Ver transcrição do podcast
Bem-vindo à série técnica da Purple. Eu sou o seu anfitrião e hoje vamos analisar uma das integrações de WiFi empresarial mais complexas que vemos no terreno - os pontos de acesso Huawei AirEngine e o controlador CloudCampus iMaster NCE-Campus, integrados com a Purple para WiFi de convidados, autenticação de funcionários e segmentação de rede multi-tenant.
Se é um arquiteto de rede ou gestor de TI que administra uma infraestrutura Huawei - seja um grupo hoteleiro, uma cadeia de retalho, um centro de conferências ou um campus do setor público - este episódio é para si. Vamos abranger todo o ecossistema: redirecionamento de Captive Portal, ACLs de pré-autenticação, WiFi seguro para funcionários utilizando 802.1X, e a funcionalidade Private Pre-Shared Key da Huawei para direcionamento dinâmico de VLAN entre vários inquilinos.
Vamos a isso.
Secção um: Contexto e arquitetura.
O portfólio AirEngine da Huawei - que abrange as séries 5700, 6700, 8700 e 9700 - funciona em WiFi 6 e WiFi 6E, com a série topo de gama 9700 a suportar WiFi 7. Estes são pontos de acesso empresariais de alto nível. A camada de gestão é o iMaster NCE-Campus, o controlador de rede baseado na nuvem da Huawei, que trata de tudo, desde o aprovisionamento de SSID e retransmissão RADIUS até à aplicação de políticas e encaminhamento de syslog.
A Purple posiciona-se acima disto como uma sobreposição na nuvem. Operamos em 80.000 locais ativos e processámos 440 milhões de inícios de sessão apenas em 2024. Somos agnósticos em relação ao hardware - o que significa que nos integramos com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e, sim, Huawei AirEngine - utilizando os mesmos padrões de RADIUS e Captive Portal que todos os controladores empresariais suportam.
O modelo de integração aqui é simples. O iMaster NCE-Campus atua como o retransmissor RADIUS, encaminhando os pedidos de autenticação dos pontos de acesso para os servidores RADIUS da Purple. A Purple lida com a lógica de autenticação - seja uma página de boas-vindas para convidados, uma verificação de credenciais 802.1X ou uma consulta PPSK - e devolve a resposta RADIUS apropriada, incluindo quaisquer atributos de atribuição dinâmica de VLAN.
Secção dois: Configuração de WiFi de convidados e Captive Portal.
Vamos começar com a implementação mais comum: WiFi de convidados com um Captive Portal da Purple.
No iMaster NCE-Campus, navegue até Design, depois Network Design e, em seguida, Template Management. Crie um modelo de RADIUS Relay Server. Os parâmetros fundamentais são: definir o serviço de autenticação para autenticação Portal, adicionar os endereços IP do servidor RADIUS da Purple na porta UDP 1812 para autenticação e 1813 para contabilidade, definir o identificador NAS como Device MAC e configurar o segredo partilhado. A Purple fornece estas credenciais RADIUS a partir do ecrã de configuração do local no painel de controlo da Purple.
Em seguida, cria uma ACL - este é o seu Walled Garden. Antes de um convidado se autenticar, ele precisa de aceder à splash page da Purple e a quaisquer domínios de suporte. As suas regras de ACL devem permitir DNS em UDP 53, permitir HTTPS para o domínio do portal da Purple e permitir quaisquer fornecedores de login social que tenha ativado - por exemplo, os endpoints da graph API do Facebook, se estiver a utilizar o início de sessão social. Tudo o resto é negado na pré-autenticação.
Depois, configura o SSID. Defina o tipo de rede como Aberta, selecione autenticação Aberta mais Portal, defina o tipo de autenticação para Autenticação Relay por plataforma na nuvem e escolha RADIUS relay como o modo de interligação. Defina o protocolo de push de página para HTTPS. Nos parâmetros de autenticação do portal de terceiros, cole o URL de redirecionamento da Purple - este é o URL da splash page que copia do painel do local da Purple, com o sufixo modificado para incluir os parâmetros específicos da Huawei: ap-mac, uaddress, umac, ssid e redirect-url.
Finalmente, crie um modelo de URL no iMaster NCE-Campus que mapeie estes nomes de parâmetros para os valores que a Huawei passa no redirecionamento. O mapeamento de parâmetros é: redirect-url para redirect-url, loginurl para login-url, device-mac para ap-mac, user-ip para uaddress, user-mac para umac e ssid para ssid.
Assim que isto estiver configurado, um convidado liga-se ao SSID, obtém um endereço DHCP e o seu tráfego HTTP é intercetado pelo controlador e redirecionado para a splash page da Purple. Eles autenticam-se - via e-mail, login social ou verificação de SMS - e o servidor RADIUS da Purple envia um Access-Accept de volta para o iMaster NCE-Campus, que concede ao convidado acesso total à internet.
Do ponto de vista dos dados, a Purple captura dados de consentimento de primeira parte neste ponto. Cada login é uma opção de adesão por escolha consciente, em conformidade com o GDPR e a CCPA. Esses dados alimentam a plataforma de analytics da Purple, fornecendo-lhe a duração da sessão, o tipo de dispositivo, as taxas de visitantes repetidos e o tempo de permanência - tudo sem qualquer rastreio de terceiros.
Secção três: WiFi seguro para funcionários com 802.1X.
Agora vamos falar sobre o WiFi dos funcionários. Esta é uma postura de segurança inteiramente diferente. Não quer os funcionários no mesmo segmento de rede que os convidados, e não quer passwords PSK partilhadas que saem pela porta fora quando alguém se demite.
A resposta é a autenticação 802.1X, definida na norma IEEE 802.1X-2020, utilizando EAP-TLS ou EAP-PEAP. No iMaster NCE-Campus, cria um SSID separado para os funcionários - vamos chamar-lhe CorpNet. No perfil de autenticação para este SSID, define o modo de autenticação para 802.1X, aponta-o para o servidor RADIUS da Purple e define o perfil de segurança para WPA2-Enterprise ou WPA3-Enterprise com encriptação AES-CCMP.Purple atua também aqui como o servidor RADIUS, mas agora está a validar credenciais contra o seu fornecedor de identidade. Purple integra-se nativamente com Microsoft Entra ID, Okta e Google Workspace. Quando um colaborador se liga à CorpNet, o seu dispositivo envia credenciais EAP para o ponto de acesso, que as retransmite via RADIUS para o Purple, que por sua vez as valida contra o Entra ID usando SCIM ou SAML. Se as credenciais forem válidas, o Purple devolve um Access-Accept com um atributo RADIUS especificando a VLAN do colaborador - por exemplo, VLAN 20. O iMaster NCE-Campus direciona o cliente para essa VLAN automaticamente.
Os atributos RADIUS essenciais para a atribuição dinâmica de VLAN são: Tunnel-Type definido para VLAN ou o valor 13, Tunnel-Medium-Type definido para 802 ou o valor 6, e Tunnel-Private-Group-ID definido para o ID da VLAN. Estes três atributos juntos indicam ao controlador Huawei exatamente qual a VLAN a atribuir ao cliente autenticado.
Especificamente para EAP-TLS - que é o padrão de excelência para a autenticação de colaboradores - necessita de certificados de cliente. O suplemento SecurePass do Purple gere a emissão e o ciclo de vida dos certificados, integrando-se com a sua PKI existente ou atuando como uma autoridade de certificação leve. Isto elimina completamente os ataques baseados em palavras-passe. Sem palavra-passe, sem vetor de phishing.
Secção quatro: Segmentação multi-tenant com Huawei PPSK.
É aqui que as coisas se tornam genuinamente interessantes. Se gere um espaço de utilização mista - um centro comercial com vários inquilinos de retalho, um espaço de co-working com várias empresas associadas ou um centro de conferências que acolhe eventos simultâneos - necessita de isolamento de rede entre inquilinos sem implementar um SSID separado para cada um.
A funcionalidade PPSK da Huawei - Private Pre-Shared Key - resolve isto. Por vezes é chamada de iPSK noutros ecossistemas de fornecedores. O conceito é: um único SSID, múltiplas palavras-passe exclusivas, cada palavra-passe mapeada para uma VLAN específica. O Inquilino A recebe a palavra-passe Alpha, que mapeia para a VLAN 30. O Inquilino B recebe a palavra-passe Beta, que mapeia para a VLAN 40. Ambos os inquilinos veem o mesmo SSID, mas estão completamente isolados na Camada 2.
No CLI da Huawei, configura isto na visualização WLAN usando o comando ppsk-user. Para cada inquilino, executa: ppsk-user psk pass-phrase, seguido da frase-passe exclusiva, depois user-name, o identificador do inquilino, depois vlan, o ID da VLAN, e depois ssid, o nome do SSID. Também pode definir uma data de expiração, um limite máximo de dispositivos e vincular a um endereço MAC específico se necessitar de um controlo mais rigoroso.
No iMaster NCE-Campus, a consulta PPSK pode ser gerida localmente no controlador ou - para implementações em larga escala - via RADIUS. Quando é utilizado PPSK baseado em RADIUS, o Purple torna-se a fonte fidedigna para os mapeamentos PPSK para VLAN. O dispositivo de um inquilino liga-se com a sua frase-passe exclusiva, o controlador envia um RADIUS Access-Request ao Purple com a frase-passe como credencial, o Purple consulta o mapeamento e devolve um Access-Accept com os três atributos de túnel VLAN. O controlador direciona o cliente para a VLAN correta.
Esta arquitetura escala para centenas de inquilinos num único SSID. Significa também que pode aprovisionar, rodar e revogar credenciais de inquilinos a partir do painel da Purple sem tocar na configuração do controlador.
Secção cinco: Erros de implementação e como evitá-los.
Deixe-me apresentar-lhe os três modos de falha que vejo com mais frequência em implementações da Huawei e da Purple.
Primeiro: o Walled Garden está incompleto. Os convidados ligam-se ao SSID, são redirecionados para a splash page, mas a página não carrega porque um domínio obrigatório - frequentemente um endpoint de CDN ou uma API de início de sessão social - está bloqueado pela ACL pré-autenticação. A correção consiste em testar o fluxo da splash page a partir de um dispositivo novo antes de entrar em produção, capturar as consultas DNS e ligações HTTPS que o mesmo faz, e adicionar todos os domínios obrigatórios à ACL. A Purple publica uma lista de domínios obrigatórios na documentação de integração.
Segundo: incompatibilidade de segredo partilhado RADIUS. O segredo configurado no iMaster NCE-Campus deve corresponder exatamente ao segredo no painel da Purple. Uma diferença de um único caráter causa falhas de autenticação silenciosas - os registos do controlador mostram Access-Reject sem qualquer mensagem de erro útil. Copie e cole sempre o segredo, nunca o digite manualmente.
Terceiro: configuração incorreta de trunk VLAN. A atribuição dinâmica de VLAN via RADIUS só funciona se a VLAN já estiver em modo trunk na porta de uplink entre o ponto de acesso e o switch de agregação. Se a VLAN 20 não estiver na lista de permissão de trunk (allow-pass) na interface do switch, os clientes da equipa autenticados terão um timeout de DHCP e parecerá que falharam a autenticação. Audite as configurações de trunk antes de testar VLANs atribuídas por RADIUS.
Secção seis: Perguntas rápidas.
Pergunta: Posso utilizar o RADIUS integrado da Purple com a implementação local do iMaster NCE-Campus da Huawei, e não com a versão na nuvem?
Sim. Os servidores RADIUS da Purple estão alojados na nuvem e são acessíveis através da internet. O seu controlador iMaster NCE-Campus local precisa de acesso de saída UDP 1812 e 1813 para as gamas de IP do RADIUS da Purple. A Purple publica estas gamas de IP no painel nas definições do local.
Pergunta: O PPSK da Huawei suporta WPA3-SAE?
A partir do firmware AirEngine V600R025, o WPA3-SAE-PPSK é suportado nas séries 6700 e 9700. Verifique a sua versão de firmware antes de ativar o WPA3 em SSIDs PPSK.
Pergunta: Como é que a Purple lida com o consentimento do GDPR para WiFi de convidados no hardware da Huawei?
A splash page da Purple recolhe o consentimento no momento da autenticação. O registo de consentimento - incluindo carimbo de data/hora, endereço IP e os termos específicos aceites - é armazenado na plataforma da Purple e é exportável para auditorias de conformidade. Isto aplica-se independentemente do fabricante de hardware subjacente.
Secção sete: Resumo e próximos passos.
Para recapitular: o Huawei AirEngine e o iMaster NCE-Campus integram-se com o Purple via relay RADIUS para Captive Portal de convidados, 802.1X para WiFi de funcionários e PPSK para segmentação de VLAN multi-tenant. A configuração reside no iMaster NCE-Campus em Design, Network Design, Template Management para a configuração de RADIUS e ACL, e em Provision, Device Configuration, Site Configuration para a associação de SSID e perfil de autenticação.
Os seus próximos passos: obtenha as credenciais RADIUS do Purple a partir do painel do seu local, configure o modelo de servidor de relay RADIUS no iMaster NCE-Campus, crie a sua ACL de Walled Garden, crie o SSID de convidados com autenticação Open mais Portal, e teste de ponta a ponta com um novo dispositivo antes de implementar no local.
Se estiver a implementar PPSK para isolamento multi-tenant, planeie primeiro o seu esquema de VLAN - certifique-se de que cada VLAN de tenant está em modo trunk de ponta a ponta antes de configurar um único utilizador PPSK.
Para obter o guia de configuração passo a passo completo, incluindo exemplos de CLI e diagramas de arquitetura, leia o guia escrito completo no website da Purple. Obrigado por ouvir.
