Saltar para o conteúdo principal
Português

Integração da Alta Labs com o Purple WiFi: Configuração e Configuração do Captive Portal

Este guia de referência técnica abrange a integração de ponta a ponta dos pontos de acesso Alta Labs AP6 e AP6 Pro com o Captive Portal alojado na nuvem da Purple. Detalha a configuração de redirecionamento externo, autenticação RADIUS, requisitos de walled garden e segmentação multi-tenant utilizando as Chaves Privadas Pré-Partilhadas AltaPass. Os operadores de espaços e as equipas de TI obterão um manual de implementação replicável para ambientes de hotelaria, retalho e escritórios inteligentes.

📖 8 min de leitura📝 1,844 palavras🔧 2 exemplos práticos3 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast
PODCAST SCRIPT: Integração da Alta Labs com a Purple WiFi: Configuração e Configuração do Captive Portal Purple WiFi Intelligence Platform - Série de Briefing Técnico Duração: Aproximadamente 10 minutos Voz: Inglês do Reino Unido, tom de consultor sénior - confiante, conversacional, autoritário --- [INTRODUÇÃO - 1 MINUTO] Bem-vindo à Série de Briefing Técnico da Purple. Sou o vosso anfitrião e hoje vamos detalhar a integração entre os pontos de acesso da Alta Labs e a plataforma de inteligência Purple WiFi. Se é um gestor de TI, arquiteto de rede ou diretor de operações de espaços que procura implementar uma solução de WiFi para convidados robusta e escalável, este briefing é para si. Vamos cobrir a configuração específica para os Alta Labs AP6 e AP6 Pro, como configurar o redirecionamento do captive portal externo e as definições críticas de walled garden necessárias para que os logins sociais funcionem realmente no mundo real. Também vamos aprofundar o AltaPass - a implementação de Private Pre-Shared Keys, ou PPSK, da Alta Labs - e como pode utilizá-lo para segmentar ambientes multi-tenant sem destruir o seu desempenho de RF com o excesso de SSIDs. Vamos a isso. --- [MERGULHO TÉCNICO PROFUNDO - 5 MINUTOS] A integração entre a Alta Labs e a Purple baseia-se em dois conceitos fundamentais de rede: redirecionamento HTTP para o captive portal e RADIUS para autenticação e faturação. Quando um convidado entra no seu espaço - por exemplo, uma loja de retalho ou o átrio de um hotel - e se liga à sua rede de convidados aberta ou WPA3-OWE, o AP da Alta Labs funciona como o guardião. Interceta os pedidos HTTP iniciais do cliente e redireciona-os para a sua página de splash personalizada da Purple. Para configurar isto na plataforma Alta Labs Cloud Management, navegue até às suas definições de WiFi, selecione o seu SSID de convidados e, nas Definições Avançadas, defina o tipo de rede como Guest. Isto é crucial porque aplica automaticamente o isolamento de clientes, impedindo que os dispositivos comuniquem lateralmente através da rede. Em seguida, na secção Hotspot, seleciona Externo e insere o URL de redirecionamento da Purple fornecido nas definições do seu espaço, juntamente com o seu Segredo de Autorização. Mas é aqui que a maioria das implementações encontra um obstáculo: o walled garden. O walled garden é a lista de domínios e endereços IP aos quais um dispositivo tem permissão para aceder antes de ser autenticado. Se pretender que os convidados iniciem sessão utilizando o Google, Facebook ou Apple, os seus dispositivos precisam de aceder a esses servidores OAuth enquanto ainda estão no estado pré-autenticado. Deve colocar explicitamente na lista de permissões os domínios de infraestrutura da Purple - como region1.purpleportal.net e cloudfront.net. Depois, precisa de adicionar as sondas de captive portal do SO: captive.apple.com para iOS e connectivitycheck.gstatic.com para Android. Se bloquear estas, o telemóvel não sabe que está atrás de um captive portal e a página de splash nunca aparece. Finalmente, adiciona os domínios de login social. Para o Google, são accounts.google.com, oauth2.googleapis.com e gstatic.com. Para o Facebook, são facebook.com, graph.facebook.com e os domínios fbcdn.net. Uma whitelist de IPs estáticos não funcionará aqui porque estes fornecedores utilizam redes de distribuição de conteúdos dinâmicas. Deve utilizar nomes de domínio e garantir que o seu controlador realiza a resolução dinâmica de DNS. Assim que o utilizador conclui o login na splash page da Purple, o servidor RADIUS da Purple envia uma mensagem Access-Accept de volta para o AP da Alta Labs. O AP remove então a restrição do walled garden e concede ao dispositivo acesso total à internet. É um fluxo limpo e seguro que recolhe dados primários (first-party data) enquanto mantém a integridade da rede. Agora, vamos falar sobre segmentação multi-tenant. Em ambientes como escritórios inteligentes, alojamentos de estudantes ou edifícios multifamiliares, é frequentemente necessário fornecer redes seguras e isoladas para diferentes grupos. Historicamente, as equipas de TI transmitiam um SSID separado para cada inquilino. Essa é uma prática terrível. Causa uma enorme sobrecarga de gestão e destrói o desempenho do seu wireless devido à sobrecarga de tráfego dos beacon frames. A Alta Labs resolve isto com o AltaPass, a sua versão de Private Pre-Shared Keys. Com o AltaPass, transmite um único SSID - vamos chamar-lhe BuildingWiFi. Mas gera palavras-passe exclusivas para diferentes utilizadores ou dispositivos. Quando o Inquilino A introduz a sua palavra-passe específica, o AP atribui-o dinamicamente à VLAN 101 com um limite de largura de banda de 100 Megabits. Quando a equipa de gestão introduz a sua palavra-passe no mesmo SSID, é colocada na VLAN 200 com largura de banda ilimitada. Pode até criar uma palavra-passe para dispositivos IoT, como termóstatos inteligentes, que os atribui a uma VLAN isolada e ignora completamente o Captive Portal. Um SSID. Palavras-passe ilimitadas. Isolamento completo. Isto é Identity-Based Networking na periferia (edge), e é uma solução genuinamente elegante para um problema que tem afetado as implementações multi-tenant durante anos. Deixe-me dar-lhe um exemplo concreto de como isto funciona na prática. Considere um complexo de apartamentos de 72 frações - um tipo de implementação do mundo real para o qual a Alta Labs tem sido amplamente utilizada. Em vez de transmitir 72 SSIDs separados, o administrador de rede cria um único SSID e gera uma palavra-passe exclusiva para cada fração. Cada palavra-passe mapeia para uma VLAN e sub-rede dedicadas. Os residentes no plano básico obtêm 100 Megabits. Os residentes que pagaram pelo plano premium obtêm 300 Megabits. A equipa de gestão do edifício obtém acesso sem restrições. O sistema de automação do edifício - fechaduras de portas, AVAC, elevadores - obtém a sua própria VLAN isolada com inspeção profunda de pacotes (DPI) ativada. Tudo a partir de um único SSID. O ambiente de RF fica mais limpo, o desempenho é superior e a gestão é drasticamente mais simples. Agora, passemos à configuração do 802.1X para WiFi seguro de funcionários. Para a rede dos seus colaboradores, não deve utilizar de todo uma chave pré-partilhada. Deve utilizar WPA2 ou WPA3 Enterprise com autenticação 802.1X. Na plataforma Alta Labs, configura isto selecionando o seu SSID de colaboradores, definindo o modo de segurança para WPA2-Enterprise ou WPA3-Enterprise e apontando o AP para o seu servidor RADIUS. Se estiver a integrar com o produto SecurePass da Purple, a Purple atua como intermediário RADIUS, ligando-se ao seu fornecedor de identidade - seja o Microsoft Entra ID, Okta ou Google Workspace - e devolvendo a atribuição de VLAN adequada na mensagem Access-Accept. O AP da Alta Labs lê o atributo Tunnel-Private-Group-Id da resposta RADIUS e coloca o dispositivo na VLAN correta automaticamente. Uma nota importante sobre a atribuição dinâmica de VLAN com a Alta Labs: ao configurar VLANs atribuídas por RADIUS, defina a VLAN predefinida no SSID para VLAN 1 ou deixe-a sem etiqueta (untagged). Existe um comportamento conhecido em que, se a VLAN predefinida for definida para um valor específico, o AP pode sobrepor a VLAN atribuída por RADIUS pela predefinição configurada. Definir a predefinição para VLAN 1 garante que a atribuição de RADIUS tenha precedência. --- [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS - 2 MINUTOS] Ao implementar isto, há algumas recomendações importantes que quero destacar. Primeiro, teste sempre o fluxo do seu Captive Portal com um dispositivo novo. Não utilize o seu próprio telemóvel se já se tiver ligado à rede durante os testes. O seu dispositivo lembra-se da autorização do endereço MAC ou tem entradas de DNS em cache, o que irá mascarar falhas no walled garden. Pegue num tablet que nunca tenha visto a rede, ligue-o e verifique se o assistente de Captive Portal do sistema operativo é iniciado automaticamente. Segundo, tenha cuidado com o excesso de permissões na lista de permissões (whitelisting). Vejo engenheiros ficarem frustrados com erros de login social e simplesmente adicionarem domínios wildcard inteiros ou blocos massivos de IP à lista de permissões. Isto cria uma vulnerabilidade de segurança onde utilizadores experientes podem contornar completamente o seu Captive Portal. Limite-se aos domínios específicos exigidos para o fluxo OAuth. Terceiro, ao implementar o AltaPass PPSK com VLANs dinâmicas, certifique-se de que toda a sua infraestrutura de switching está configurada corretamente. As portas do switch que ligam aos seus APs Alta Labs devem ser configuradas como trunks, permitindo que todas as VLANs etiquetadas passem para o gateway. Se o AP etiquetar o tráfego para a VLAN 101, mas a porta do switch estiver definida para o modo de acesso na VLAN 1, o tráfego cai e o cliente não obtém nenhum endereço IP. Quarto, implemente uma revisão trimestral da configuração do seu walled garden. Os fornecedores de OAuth e as redes de distribuição de conteúdos (CDNs) alteram as suas estruturas de domínio. A Apple atualizou os seus domínios de Sign In duas vezes em 2023. Um walled garden que estava correto na altura da implementação perderá o alinhamento sem uma manutenção ativa. --- [PERGUNTAS E RESPOSTAS RÁPIDAS - 1 MINUTO] Vamos passar por um par de perguntas rápidas que ouvimos no terreno. Pergunta um: Posso utilizar WPA3 com o Captive Portal da Purple em hardware Alta Labs? Sim. Deve utilizar o WPA3-OWE, que significa Opportunistic Wireless Encryption. Este protocolo encripta os dados transmitidos por via aérea, protegendo a privacidade dos convidados, enquanto continua a funcionar como uma rede aberta que aciona o redirecionamento do Captive Portal. É a escolha certa para qualquer nova implementação de WiFi para convidados em 2026. Segunda pergunta: Que portas preciso de abrir no meu firewall para o tráfego RADIUS? Os servidores RADIUS da Purple comunicam através da porta UDP 1812 para autenticação e da porta UDP 1813 para faturação (accounting). Certifique-se de que o seu firewall de fronteira permite o tráfego de saída nestas portas a partir dos APs da Alta Labs para a infraestrutura da Purple. Terceira pergunta: Posso utilizar o AltaPass PPSK juntamente com o Captive Portal da Purple no mesmo SSID? Sim, e esta é, na verdade, uma configuração muito útil. Pode criar uma palavra-passe AltaPass que ignora o Captive Portal para dispositivos conhecidos - como os seus terminais de ponto de venda ou sinalização digital - enquanto as ligações padrão ao mesmo SSID continuam a passar pela splash page da Purple. Isto proporciona-lhe um único SSID limpo que gere tanto os dispositivos autenticados como os utilizadores convidados. --- [RESUMO E PRÓXIMOS PASSOS - 1 MINUTO] Para concluir: A integração da Alta Labs com o Purple WiFi oferece-lhe uma plataforma segura e escalável para capturar dados primários (first-party data) e proporcionar uma experiência de convidado personalizada com a sua marca. Lembre-se dos três pilares para uma implementação bem-sucedida. Primeiro, configure o redirecionamento do hotspot externo e as definições de RADIUS com precisão na plataforma Alta Labs Cloud Management. Segundo, defina meticulosamente os seus domínios de walled garden para garantir que as verificações de SO e os logins sociais funcionam corretamente. E terceiro, aproveite o AltaPass PPSK para implementar Redes Baseadas em Identidade, segmentando o seu tráfego sem poluir o seu espaço aéreo com SSIDs desnecessários. A Purple opera em 80.000 locais ativos e processou 440 milhões de logins em 2024. A plataforma possui certificação ISO 27001, está em conformidade com o GDPR e foi concebida para escalar desde um único hotel boutique até uma rede de retalho nacional. Ao associar isso ao desempenho e flexibilidade do hardware da Alta Labs, obtém uma pilha de WiFi empresarial altamente atrativa. Se seguir este manual, irá proporcionar uma experiência de WiFi fluida e em conformidade, que deixará tanto a sua equipa de marketing como a sua equipa de segurança satisfeitas. Obrigado por ouvir a Série de Briefings Técnicos da Purple. Até à próxima, mantenha as suas redes seguras e os seus dados acionáveis.

header_image.png

Resumo executivo

Os pontos de acesso Alta Labs AP6 e AP6 Pro integram-se com o Captive Portal na nuvem da Purple utilizando autenticação RADIUS padrão e redirecionamento HTTP. O AP intercetará o tráfego de convidados não autenticados, redireciona-o para a sua splash page da Purple e concede acesso assim que o servidor RADIUS da Purple devolve um Access-Accept. Para ambientes multi-tenant, a tecnologia AltaPass da Alta Labs atribui a cada dispositivo ligado uma VLAN e uma política de largura de banda exclusivas com base na palavra-passe utilizada - sem necessidade de SSIDs adicionais. Este guia fornece os passos de configuração exatos, as listas de domínios de walled garden e os parâmetros RADIUS para implementar a integração do zero. A Purple opera em mais de 80.000 locais ativos e processou 440 milhões de inícios de sessão em 2024 (dados internos da Purple). O hardware da Alta Labs é uma excelente opção para MSPs e instaladores de escritórios inteligentes que necessitam de segmentação de nível empresarial a um preço competitivo.

Arquitetura técnica

A integração assenta em três camadas: a plataforma de gestão na nuvem da Alta Labs, o hardware AP6 ou AP6 Pro na periferia e a infraestrutura na nuvem da Purple que lida com a autenticação e análise de dados.

Quando um convidado se liga ao SSID aberto ou WPA3-OWE, o AP coloca o dispositivo num estado restrito de pré-autenticação. Todo o tráfego HTTP de saída é intercetado e redirecionado para o URL da splash page da Purple. O dispositivo só pode aceder aos domínios explicitamente listados no walled garden até que a autenticação seja concluída. Assim que o convidado submete as suas credenciais na splash page da Purple, o servidor RADIUS da Purple envia um Access-Accept para o AP, que remove a restrição e concede acesso total à Internet. A Purple regista os dados da sessão - tipo de dispositivo, tempo de permanência, método de início de sessão - e disponibiliza-os no painel de WiFi Analytics .

architecture_overview.png

Para redes de funcionários e de back-of-house, o mesmo hardware AP lida com a autenticação WPA2/WPA3-Enterprise (IEEE 802.1X). O AP atua como o cliente RADIUS, encaminhando os pedidos de autenticação para a infraestrutura SecurePass da Purple, que por sua vez valida as credenciais no Microsoft Entra ID, Okta ou Google Workspace. A resposta RADIUS Access-Accept transporta o atributo Tunnel-Private-Group-Id, que o AP utiliza para colocar o dispositivo na VLAN correta de forma dinâmica.

Guia de implementação

Passo 1: Adicionar o local e o hardware na Purple

Antes de aceder ao controlador da Alta Labs, registe a implementação na Purple.

  1. Inicie sessão no portal de gestão da Purple e navegue para Management > Locations.
  2. Selecione Venues and Groups > Add venue e conclua o assistente de criação de locais.
  3. No seu local, selecione Hardware > Adicionar hardware > Adicionar novo hardware.
  4. Defina o tipo de hardware para WiFi AP e selecione o tipo de AP adequado.
  5. Introduza o endereço MAC de cada unidade Alta Labs AP6 ou AP6 Pro.
  6. Clique em Ver Manual Online para obter os endereços IP do servidor RADIUS, as portas e o segredo partilhado para este local. Registe estes valores - irá precisar deles no Passo 3.

Passo 2: Configurar o SSID de convidados no Alta Labs

Inicie sessão na plataforma Alta Labs Cloud Management em manage.alta.inc.

  1. Navegue até Definições > WiFi e selecione o SSID destinado ao acesso de convidados.
  2. Em Definições Avançadas, defina o tipo de rede para Guest. Isto força o isolamento de clientes automaticamente.
  3. Desloque-se até à secção Hotspot e selecione External.
  4. No campo Redirect URL, cole o URL da splash page da Purple fornecido nas definições de hardware do seu local (ex. https://region1.purpleportal.net/access/).
  5. Introduza o Authorisation Secret (segredo partilhado RADIUS) das definições do seu local Purple.
  6. Clique em Guardar.

Passo 3: Configurar a autenticação RADIUS

Com o redirecionamento externo configurado, configure as definições de RADIUS para que o AP possa comunicar com a infraestrutura de autenticação da Purple.

Parâmetro Valor
IP do servidor de autenticação primário Fornecido pelas definições do local Purple
Porta de autenticação UDP 1812
IP do servidor de accounting primário Fornecido pelas definições do local Purple
Porta de accounting UDP 1813
Segredo partilhado Fornecido pelas definições do local Purple

Para implementações de alta disponibilidade, configure o servidor RADIUS secundário utilizando o endereço IP de cópia de segurança fornecido pela Purple.

Passo 4: Definir o walled garden

O walled garden permite domínios específicos antes de a autenticação ser concluída. Entradas em falta irão interromper o fluxo do Captive Portal ou impedir o carregamento de inícios de sessão sociais. Introduza os seguintes domínios no campo Additional Authorised Hosts / IPs na configuração do Hotspot da Alta Labs.

Infraestrutura Purple (obrigatório)

Domínio Finalidade
region1.purpleportal.net Alojamento da splash page
venuewifi.com Infraestrutura de redirecionamento Purple
cloudfront.net CDN para recursos do portal

Sondas de Captive Portal do SO (obrigatório)

Domínio SO
captive.apple.com iOS / macOS
connectivitycheck.gstatic.com Android
msftconnecttest.com Windows

Início de sessão social (adicionar por fornecedor ativado)

Fornecedor Domínios
Google accounts.google.com, oauth2.googleapis.com, apis.google.com, gstatic.com
Facebook facebook.com, graph.facebook.com, connect.facebook.net, *.fbcdn.net
Apple appleid.apple.com, idmsa.apple.com, *.apple.com

captive_portal_flow.png

AltaPass PPSK e segmentação multi-tenant

AltaPass é a implementação pendente de patente da Alta Labs de Private Pre-Shared Keys (PPSK). Permite que um único SSID suporte múltiplas palavras-passe exclusivas, com cada palavra-passe a mapear para uma VLAN, limite de largura de banda, agendamento e regra de desvio de hotspot distintos. Isto elimina a necessidade de transmitir SSIDs separados para cada inquilino, grupo de funcionários ou categoria de dispositivos.

Configurar o AltaPass no painel da Alta Labs

  1. Selecione o seu SSID e navegue até à secção de gestão de palavras-passe.
  2. Clique no botão roxo de tipo de rede à esquerda de cada entrada de palavra-passe.
  3. Atribua um ID de VLAN à palavra-passe. Os clientes que se ligarem com esta palavra-passe serão colocados na sub-rede VLAN especificada.
  4. Defina os limites de largura de banda (upload e download) por palavra-passe, conforme necessário.
  5. Ative ou desative o desvio de hotspot por palavra-passe. Os dispositivos IoT e terminais POS normalmente desviam o Captive Portal.
  6. Aplique restrições de agendamento, se necessário (por exemplo, restringir o acesso à internet para determinados dispositivos fora do horário de expediente).

altapass_ppsk_segmentation.png

Para um edifício residencial de 72 frações, isto significa um SSID e mais de 72 palavras-passe exclusivas - uma por fração, uma para a administração, uma para o sistema de automação do edifício. Cada palavra-passe mapeia para uma VLAN e sub-rede isoladas. Os residentes no plano standard recebem 100 Mbps. Os residentes premium recebem 300 Mbps. A equipa de gestão do edifício não tem restrições. Os dispositivos IoT são isolados numa VLAN dedicada com inspeção profunda de pacotes ativada. Este é o modelo de implementação que reduz o número de SSIDs de 72 para um.

Atribuição dinâmica de VLAN via RADIUS

Para redes de funcionários 802.1X, a atribuição de VLAN funciona através de atributos RADIUS em vez de PPSK. A resposta RADIUS Access-Accept deve incluir:

Atributo Valor
Tunnel-Type 13 (VLAN)
Tunnel-Medium-Type 6 (IEEE-802)
Tunnel-Private-Group-Id ID da VLAN de destino (ex., "20")

Importante: defina a VLAN predefinida no SSID para VLAN 1 (ou deixe-a sem tag) ao utilizar VLANs atribuídas por RADIUS. Se a VLAN predefinida estiver definida para um valor específico, o AP pode sobrepor a atribuição do RADIUS com a predefinição configurada. Este é um comportamento conhecido no firmware atual da Alta Labs.

Boas práticas

As seguintes recomendações aplicam-se a qualquer implementação da Alta Labs com a Purple, independentemente do tipo de local.

Utilize a resolução de DNS dinâmico para as entradas do walled garden. Os fornecedores de OAuth e CDNs rodam endereços IP frequentemente. Uma lista de permissões de IP estático irá degradar-se com o tempo. Configure o controlador da Alta Labs para resolver domínios do walled garden dinamicamente e defina um TTL de DNS não inferior a 30 segundos para evitar uma carga excessiva de consultas.

Defina o âmbito do walled garden com precisão. Adicione à lista de permissões apenas os domínios necessários para o fluxo de autenticação. A inclusão excessiva de domínios na lista de permissões - particularmente a adição de entradas com caracteres universais para domínios grandes - cria um vetor de desvio que compromete o propósito do Captive Portal. Teste com dispositivos não autenticados antes do lançamento. Utilize um dispositivo que nunca se tenha ligado à rede. Os dispositivos previamente autenticados podem ter autorizações MAC ou entradas DNS em cache que ocultam falhas no walled garden. Teste todos os métodos de início de sessão que pretende disponibilizar.

Reveja os domínios do walled garden trimestralmente. A Apple, a Google e a Meta atualizam periodicamente as suas estruturas de domínios OAuth. Integre uma revisão trimestral no seu calendário operacional para detetar desvios antes que estes afetem os utilizadores.

Segmente os dispositivos IoT desde o início. Utilize o AltaPass para atribuir dispositivos IoT a uma VLAN dedicada com o bypass de hotspot ativado. Misturar o tráfego de IoT com o tráfego de convidados ou funcionários cria riscos desnecessários e complica a resposta a incidentes.

Para uma visão mais ampla da arquitetura de segurança de WiFi empresarial, consulte o nosso guia sobre Segurança de WiFi Empresarial: Um Guia Completo para 2026 .

Resolução de problemas e mitigação de riscos

A splash page não aparece no iOS. A causa mais comum é a falta da entrada captive.apple.com no walled garden. O iOS utiliza este domínio para detetar Captive Portals. Se a verificação for bloqueada, o Captive Network Assistant nunca é iniciado e o utilizador vê um erro de conectividade genérico.

O início de sessão social apresenta um ecrã em branco ou erro de CORS. Verifique o walled garden para identificar subdomínios de CDN ou API em falta. O *.fbcdn.net do Facebook e o gstatic.com da Google são as entradas omitidas com maior frequência. Utilize as ferramentas de programador do navegador numa sessão não autenticada para identificar quais os pedidos de domínio que estão a falhar.

A atribuição de VLAN falha com o AltaPass. Verifique se a porta do switch a montante que liga ao AP está configurada como uma porta trunk e permite as VLANs etiquetadas. Uma porta de switch em modo de acesso irá rejeitar silenciosamente as tramas etiquetadas, deixando o cliente sem um endereço IP.

O tempo limite de autenticação RADIUS expirou. Confirme se as portas UDP 1812 e 1813 estão abertas para o exterior na firewall de fronteira. Verifique se o segredo partilhado na configuração da Alta Labs coincide exatamente com o valor nas definições de local da Purple - uma diferença de um único caráter fará com que todos os pedidos de autenticação falhem.

A atribuição dinâmica de VLAN coloca os utilizadores na VLAN errada. Defina a VLAN predefinida no SSID 802.1X para a VLAN 1. Se a VLAN predefinida estiver definida para um valor específico, o AP pode sobrepor-se à VLAN atribuída pelo RADIUS. Este é um comportamento ao nível do firmware confirmado no fórum da comunidade da Alta Labs.

ROI e impacto empresarial

A implementação de hardware da Alta Labs com o Purple Guest WiFi proporciona retornos mensuráveis em três dimensões: eficiência operacional, captura de dados e postura de segurança.

Do lado operacional, a consolidação de múltiplos SSIDs numa única rede gerida pelo AltaPass reduz os custos de gestão e melhora o desempenho sem fios. Menos SSIDs significam menos tráfego de tramas de sinalização (beacon frames), o que se traduz diretamente num maior débito para todos os dispositivos ligados.

No lado dos dados, o Captive Portal da Purple recolhe dados primários verificados a cada início de sessão. Os espaços que utilizam os planos Capture e Engage da Purple reportam um aumento de 40% nas adesões à base de dados de marketing em comparação com o WiFi de convidados não gerido (dados internos da Purple). Esses dados alimentam diretamente o WiFi Analytics , proporcionando às equipas de marketing visibilidade sobre padrões de afluência, tempo de permanência e taxas de visitas repetidas.

No lado da segurança, a atribuição dinâmica de VLAN isola o tráfego de convidados, funcionários e IoT na periferia. Combinada com a infraestrutura certificada ISO 27001 da Purple e o tratamento de dados em conformidade com o GDPR, esta arquitetura cumpre os requisitos de segmentação de rede PCI DSS para espaços que processam pagamentos com cartão.

Especificamente para implementações na hotelaria , a combinação de splash pages personalizadas com a marca, integrações de programas de fidelização e controlos de largura de banda por dispositivo cria uma experiência de convidado diferenciada sem adicionar complexidade à equipa de operações de rede.

Para ambientes de retalho , a capacidade de segmentar terminais POS do WiFi de convidados na mesma infraestrutura física - utilizando regras de desvio AltaPass - elimina a necessidade de cablagem ou hardware separados, reduzindo tanto as despesas de capital como as operacionais.

Guias relacionados: Arista Cognitive Wi-Fi Integration com Purple WiFi | Configuração de Walled Garden para Guest WiFi

Definições Principais

Captive Portal

Uma página web que intercepta o tráfego de rede não autenticado e exige que o utilizador interaja - iniciando sessão, aceitando os termos ou pagando - antes de conceder acesso à internet. A Purple aloja a splash page na cloud; o AP da Alta Labs lida com o redirecionamento.

O mecanismo principal para a captura de dados de convidados em implementações de WiFi na hotelaria, retalho e setor público.

Walled garden

Uma lista definida de domínios e endereços IP que um dispositivo cliente pode aceder antes de concluir a autenticação no Captive Portal. Tudo o que estiver fora da lista é bloqueado até que o utilizador inicie sessão.

Crítico para permitir que as APIs de login social, sondas de deteção de SO e ativos de CDN do portal funcionem antes de a autenticação ser concluída.

PPSK (Private Pre-Shared Key)

Um método de segurança onde múltiplas palavras-passe exclusivas podem ser utilizadas num único SSID, com cada palavra-passe a atribuir o dispositivo de ligação a uma VLAN, política de largura de banda e horário de acesso específicos.

A Alta Labs implementa isto como AltaPass. Utilizado em MDUs, escritórios inteligentes e estádios para fornecer acesso isolado sem a proliferação de SSIDs.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gestão centralizada de autenticação, autorização e contabilização (AAA). A Purple atua como o servidor RADIUS; o AP da Alta Labs atua como o cliente RADIUS.

O mecanismo que indica ao AP que um convidado se autenticou com sucesso e que lhe deve ser concedido acesso à internet.

Identity-Based Networking

Uma arquitetura de rede onde os direitos de acesso, VLANs e limites de largura de banda são aplicados com base na identidade autenticada do utilizador ou dispositivo, em vez da porta física ou SSID a que se ligam.

O termo da Purple para a combinação de RADIUS, PPSK e atribuição de VLAN que permite políticas consistentes em toda uma infraestrutura distribuída.

Atribuição dinâmica de VLAN

O processo de colocação de um dispositivo cliente numa Virtual Local Area Network específica com base nas credenciais de autenticação devolvidas por um servidor RADIUS, em vez de um mapeamento estático de SSID para VLAN.

Essencial para isolar o tráfego de funcionários, convidados e IoT numa infraestrutura sem fios partilhada. Requer os atributos RADIUS corretos: Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-Id.

Captive Network Assistant (CNA)

O mecanismo integrado do SO no iOS, Android e Windows que deteta um Captive Portal ao sondar um URL conhecido. Se a sonda for redirecionada, o SO inicia um pseudo-navegador para o utilizador iniciar sessão.

Se os domínios de sonda do CNA estiverem bloqueados no walled garden, o utilizador nunca verá a splash page. Este é o modo de falha mais comum do Captive Portal.

WPA3-OWE

Wi-Fi Protected Access 3 - Opportunistic Wireless Encryption. Um padrão que encripta dados em trânsito em redes abertas sem exigir uma palavra-passe, protegendo a privacidade dos convidados enquanto permite o redirecionamento do Captive Portal.

O modo de segurança recomendado para SSIDs de convidados em 2026. Fornece encriptação sem o atrito de uma chave pré-partilhada.

AltaPass

A implementação com patente pendente da Alta Labs de tecnologia SSID com múltiplas palavras-passe. Permite que um único SSID suporte palavras-passe exclusivas ilimitadas, cada uma com a sua própria VLAN, limite de largura de banda, horário e definição de desvio de hotspot.

A ferramenta principal para segmentação multi-inquilino em hardware Alta Labs. Substitui a necessidade de múltiplos SSIDs em implementações residenciais, hoteleiras e de escritórios inteligentes.

Exemplos Práticos

Um hotel de 200 quartos necessita de fornecer acesso WiFi em níveis: um nível básico gratuito (10 Mbps) para hóspedes normais, um nível premium pago (50 Mbps) para membros de fidelização e uma rede segura para a equipa de limpeza. Pretendem evitar a transmissão de múltiplos SSIDs para manter o desempenho de RF em 40 unidades Alta Labs AP6 Pro.

Implemente um único SSID com o nome 'Hotel Guest WiFi' com o AltaPass ativado. Crie três perfis de palavra-passe no painel da Alta Labs: (1) uma palavra-passe de hóspede padrão atribuída à VLAN 10 com um limite de download de 10 Mbps e redirecionamento de hotspot externo para a página de splash da Purple; (2) uma palavra-passe de membro de fidelização atribuída à VLAN 20 com um limite de 50 Mbps - a Purple pode distribuir esta palavra-passe pós-autenticação através da sua automação de marketing; (3) uma palavra-passe para a equipa de limpeza atribuída à VLAN 30 sem limite de largura de banda, com o bypass de hotspot ativado e o isolamento de clientes desativado para que os dispositivos da equipa possam comunicar com os sistemas internos. Configure os uplinks do switch como trunks permitindo as VLANs 10, 20 e 30. As VLANs de hóspedes e de fidelização encaminham para a internet via NAT. A VLAN da equipa encaminha para a sub-rede do sistema de gestão da propriedade.

Comentário do Examinador: Esta abordagem utiliza o AltaPass para alcançar uma Rede Baseada em Identidade sem a proliferação de SSIDs. A principal perceção é que o bypass de hotspot é uma definição por palavra-passe, e não por SSID. Isto permite que o mesmo SSID sirva simultaneamente hóspedes do Captive Portal e funcionários com bypass ativado. A distribuição do nível de fidelização através do fluxo pós-autenticação da Purple é um padrão comum na hotelaria - o hóspede inicia sessão no nível padrão e o motor de marketing da Purple envia-lhe um código de acesso premium se corresponder aos critérios de fidelização.

Uma cadeia de retalho está a implementar o Purple Guest WiFi em 50 lojas utilizando hardware da Alta Labs. Durante os testes, a página de splash carrega corretamente em dispositivos Android, mas os dispositivos Apple iOS mostram um erro genérico de 'Sem Ligação à Internet' e não apresentam o ecrã de início de sessão. O walled garden inclui o domínio do portal Purple e as entradas do Google OAuth.

Adicione captive.apple.com ao walled garden na configuração do Hotspot da Alta Labs. O iOS utiliza este domínio como a sua sonda do Captive Network Assistant. Quando o dispositivo se liga a uma nova rede, o iOS envia um pedido HTTP para captive.apple.com. Se receber a resposta esperada, assume que a rede está aberta. Se receber um redirecionamento, inicia o pseudo-navegador. Se o domínio estiver totalmente bloqueado, o iOS não consegue detetar o Captive Portal e apresenta um erro de conectividade. Assim que o domínio estiver na lista de permissões, os dispositivos iOS detetarão o redirecionamento e iniciarão o ecrã de início de sessão automaticamente.

Comentário do Examinador: Este é o modo de falha de Captive Portal mais comum no terreno. O Android utiliza connectivitycheck.gstatic.com e o Windows utiliza msftconnecttest.com para o mesmo fim. Todos os três devem estar no walled garden para uma implementação multiplataforma. A falha é particularmente confusa porque se apresenta como um erro de conectividade de rede e não como um erro do portal, levando os engenheiros a investigar o DHCP e o DNS antes de verificarem o walled garden.

Perguntas de Prática

Q1. Está a implementar pontos de acesso Alta Labs AP6 Pro num centro de conferências. O cliente necessita de um Captive Portal para os participantes, mas também precisa que os terminais de ponto de venda se liguem de forma segura aos mesmos pontos de acesso sem verem a página de splash. Ambos os tipos de dispositivos devem utilizar o mesmo SSID para simplificar a sinalética. Como configura isto?

Dica: O AltaPass permite definições de bypass de hotspot por palavra-passe no mesmo SSID.

Ver resposta modelo

Ative o AltaPass no SSID único. Crie uma palavra-passe para os terminais POS que os associe a uma VLAN segura (ex. VLAN 50) com o bypass de hotspot ativado - estes dispositivos ligam-se diretamente à rede sem verem o Captive Portal. Crie uma palavra-passe separada (ou utilize uma ligação aberta) para os participantes que acione o redirecionamento externo para a página de splash da Purple na VLAN 10. Ambos os tipos de dispositivos ligam-se ao mesmo SSID, mas recebem políticas de rede diferentes com base na sua palavra-passe.

Q2. Após configurar o Captive Portal da Purple numa rede Alta Labs, os dispositivos Android apresentam com sucesso a página de splash, mas os dispositivos Apple iOS mostram um erro genérico de "Sem Ligação à Internet" e não abrem o ecrã de início de sessão. O walled garden inclui o domínio do portal Purple e as entradas do Google OAuth. Qual é a causa mais provável e a respetiva resolução?

Dica: O iOS utiliza um domínio específico para detetar captive portals. Se não conseguir aceder a esse domínio, assume que a rede não tem acesso à internet.

Ver resposta modelo

Falta o captive.apple.com no walled garden. O iOS envia uma sonda HTTP para este domínio ao ligar-se a uma nova rede. Se a sonda for bloqueada, o iOS não consegue detetar o Captive Portal e apresenta um erro de conectividade em vez de iniciar o Captive Network Assistant. Adicione captive.apple.com ao walled garden na configuração de Hotspot da Alta Labs. Adicione também connectivitycheck.gstatic.com para Android e msftconnecttest.com para Windows para garantir a compatibilidade multiplataforma.

Q3. Um diretor de TI de um estádio configurou VLANs atribuídas por RADIUS numa rede de funcionários Alta Labs 802.1X. O servidor RADIUS está a enviar o atributo Tunnel-Private-Group-Id correto (VLAN 20), mas todos os dispositivos dos funcionários estão a ir para a VLAN 5, que é a VLAN predefinida configurada no SSID. O que está a causar isto e como resolve?

Dica: Existe um comportamento conhecido no firmware da Alta Labs relacionado com a interação entre a VLAN predefinida do SSID e as VLANs atribuídas por RADIUS.

Ver resposta modelo

O AP da Alta Labs está a sobrepor a VLAN atribuída por RADIUS com o valor da VLAN predefinida do SSID. Este é um comportamento conhecido do firmware: quando a VLAN predefinida no SSID está definida para um valor específico (VLAN 5 neste caso), o AP utiliza esse valor em vez da VLAN devolvida pelo RADIUS. A resolução consiste em definir a VLAN predefinida no SSID 802.1X para a VLAN 1 (ou deixá-la sem tag). Com a predefinição definida para a VLAN 1, o AP assume corretamente a VLAN atribuída por RADIUS para cada utilizador autenticado.

Continue a ler esta série

Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Este guia de referência técnica fornece um manual de configuração autoritativo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK.

Ler o guia →

Integração de Access Points Allied Telesis com Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar access points Allied Telesis da Série TQ com o Purple WiFi. Abrange o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implementações multi-tenant seguras.

Ler o guia →

Integração de Pontos de Acesso Grandstream GWN com o Purple WiFi

Este guia de referência técnica detalha como integrar os pontos de acesso Grandstream GWN com a plataforma de Guest WiFi e analítica da Purple. Abrange a configuração do Captive Portal da Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas e passo a passo para MSPs e equipas de TI que implementam WiFi para convidados e funcionários em grande escala.

Ler o guia →
Integração da Alta Labs com o Purple WiFi: Configuração e Configuração do Captive Portal | Guias Técnicos | Purple