Integração de Cisco WLC e Catalyst com Purple WiFi: Guia Passo a Passo de Acesso de Convidados

Este guia detalha a integração passo a passo do Cisco WLC e Catalyst 9800 Wireless com a Purple, abrangendo o redirecionamento do Captive Portal de Guest WiFi via Central Web Authentication, Secure Staff WiFi usando 802.1X EAP-TLS e segmentação Multi-Tenant usando Cisco Identity Pre-Shared Keys (iPSK) com atribuição dinâmica de VLAN. Foi escrito para arquitetos de redes empresariais e diretores de segurança de TI que implementam infraestrutura Cisco em hotelaria, retalho e grandes espaços públicos.

📖 9 min de leitura📝 2,116 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Purple Technical Briefing. Sou o seu anfitrião e hoje vamos abordar um cenário de implementação definitivo para arquitetos de redes empresariais: a integração de Cisco Wireless LAN Controllers e hardware Catalyst 9800 com a plataforma Purple WiFi. Se gere o departamento de TI de uma cadeia de hotéis, de uma rede de retalho ou de um grande espaço público, sabe que depender de Pre-Shared Keys básicas é um risco de segurança inaceitável. Hoje, vamos delinear a arquitetura passo a passo para segmentar a sua rede, proteger a sua equipa e transformar o seu WiFi de convidados num ativo orientado por dados.

Vamos contextualizar. Um ambiente sem fios empresarial deve gerir três perfis distintos: Convidados, Staff e dispositivos Headless ou de Inquilinos. Não pode tratá-los da mesma forma e não pode transmitir vinte SSIDs diferentes para os acomodar. A solução é uma infraestrutura de hardware unificada que tira partido de diferentes mecanismos de autenticação num único Cisco Catalyst 9800 Wireless LAN Controller.

Agora, vamos aprofundar a arquitetura técnica. O primeiro nível é o Guest WiFi. O objetivo aqui é o acesso com o mínimo de fricção combinado com a recolha de dados. Conseguimos isto utilizando um SSID aberto e Central Web Authentication, ou CWA. Quando um convidado se liga, o Cisco WLC aplica uma Access Control List de pré-autenticação. Este é o seu "walled garden". Bloqueia o acesso geral à internet, mas permite o tráfego para os domínios da Purple e serviços essenciais. Quando o convidado tenta navegar, o WLC intercetará o pedido HTTP e redireciona-o para a splash page do Captive Portal da Purple. Assim que se autenticam, talvez através de um formulário de registo, de um login social ou de um código único, a Purple atua como o servidor RADIUS. Envia uma mensagem de Change of Authorization, conhecida como CoA, para o WLC. Isto move o cliente para uma VLAN de convidados isolada e concede acesso à internet. Todo o fluxo é automatizado e cada login é registado na plataforma de analytics da Purple.

O segundo nível é o Staff WiFi. Para dispositivos corporativos, exigimos autenticação 802.1X. Especificamente, EAP-TLS, que significa Extensible Authentication Protocol Transport Layer Security. Este método utiliza certificados digitais instalados nos dispositivos corporativos através da sua plataforma de Mobile Device Management, quer seja o Microsoft Intune, Jamf ou outra solução. O WLC atua como o autenticador, transmitindo mensagens EAP para o servidor RADIUS. Como utilizamos certificados, não existem palavras-passe para roubar. Se um dispositivo for perdido ou um colaborador sair, revoga o certificado. O acesso é terminado instantaneamente, sem alterar uma palavra-passe global ou interromper o trabalho de qualquer outra pessoa. O EAP-TLS é o padrão de excelência para a segurança empresarial.

O terceiro nível é o WiFi Multi-Tenant ou IoT. Pense em lojistas de centros comerciais, membros de espaços de coworking ou sensores de edifícios inteligentes que não suportam 802.1X. Para isto, implementamos o Cisco Identity PSK, ou iPSK. Todos se ligam ao mesmo SSID, mas o servidor RADIUS atribui uma palavra-passe única e uma VLAN única a cada inquilino com base no seu endereço MAC. Quando o dispositivo de um inquilino se liga, o WLC envia um pedido de autenticação MAC para o servidor RADIUS. O servidor devolve a PSK específica para esse inquilino como um atributo Cisco AV-Pair, juntamente com três atributos RADIUS IETF padrão para atribuir dinamicamente o cliente à VLAN correta. Esses atributos são: Tunnel-Type, definido como VLAN; Tunnel-Medium-Type, definido como 802; e Tunnel-Private-Group-ID, definido como o ID da VLAN de destino. O WLC processa estes atributos e coloca o dispositivo no segmento de rede isolado correto. O iPSK oferece segmentação empresarial com a simplicidade do mercado de consumo.

Agora vamos discutir as recomendações de implementação e as armadilhas que vemos com mais frequência em implementações de produção.

O ponto de falha mais comum em implementações de convidados é a ACL do walled garden. Se os convidados se ligarem mas a página de splash não aparecer, verifique primeiro a sua configuração de DNS. Se a sua ACL de pré-autenticação bloquear a porta UDP 53, o cliente não conseguirá resolver nomes de domínio. O sistema operativo não irá acionar o mini-browser do Captive Portal e o convidado verá um erro de Sem Internet. Permita sempre explicitamente o tráfego DNS na sua ACL do walled garden. Este é o problema de suporte mais comum que encontramos.

A segunda armadilha reside nas implementações para colaboradores. Se optar por implementar PEAP-MSCHAPv2 em vez de EAP-TLS, por ainda não ter uma solução MDM para distribuir certificados, deve configurar os seus dispositivos clientes para validarem explicitamente o certificado do servidor RADIUS. Isto significa especificar a Autoridade de Certificação exata em que deve confiar e o nome do servidor esperado no perfil de WiFi. Se deixar isto para o utilizador final configurar manualmente, um atacante pode criar um ponto de acesso não autorizado, apresentar um certificado fraudulento e capturar credenciais corporativas. Este não é um ataque teórico. É uma ameaça real e bem documentada. Force a validação de certificados através de Política de Grupo para dispositivos Windows e através de perfis MDM para macOS e dispositivos móveis.

A terceira armadilha reside nas implementações de iPSK. Se um cliente se ligar mas receber a VLAN errada, ou falhar totalmente a ligação, a causa mais provável é que o ID da VLAN de destino especificado no atributo Tunnel-Private-Group-ID não exista no WLC. A VLAN deve ser criada e estar ativa no controlador antes de o servidor RADIUS poder direcionar os clientes para ela. Utilize o comando debug radius no WLC para verificar se os atributos estão a ser recebidos corretamente a partir do servidor RADIUS.

Agora vamos fazer uma sessão rápida de perguntas e respostas sobre as questões que ouvimos com mais frequência.

Pergunta um: Posso utilizar o MAC Authentication Bypass em vez do iPSK para dispositivos IoT?

Pode fazê-lo, mas não deve. Os endereços MAC são transmitidos em texto simples e são fáceis de falsificar. O MAC Authentication Bypass fornece identificação de dispositivos, não segurança. O iPSK fornece segurança criptográfica real para dispositivos sem ecrã/interface (headless). Se o dispositivo suportar qualquer forma de PSK, utilize iPSK.

Segunda pergunta: A Purple suporta controladores Cisco Catalyst 9800 IOS-XE?

Sim. A Purple suporta totalmente os controladores modernos Catalyst 9800 IOS-XE, bem como os WLCs AireOS legados. A integração de RADIUS e Change of Authorization está totalmente validada para ambas as plataformas.

Terceira pergunta: Como posso gerir a redundância do servidor RADIUS?

Configure sempre um servidor RADIUS primário e secundário nas suas listas de métodos AAA do WLC. O WLC fará automaticamente o failover para o servidor secundário se o primário não responder dentro do tempo limite configurado. A Purple fornece dois endereços IP de servidor RADIUS exatamente para este propósito. Nunca implemente um único servidor RADIUS num ambiente de produção.

Quarta pergunta: Quais são as portas RADIUS que a Purple utiliza?

A Purple utiliza a porta UDP 1812 para autenticação e a porta UDP 1813 para monitorização (accounting). Estas são as portas padrão registadas pela IANA para RADIUS, conforme definido no RFC 2865 e RFC 2866.

Para resumir as principais conclusões do briefing de hoje: Audite a sua arquitetura sem fios atual. Se estiver a utilizar palavras-passe partilhadas para os funcionários, planeie uma migração para 802.1X. Se estiver a transmitir múltiplos SSIDs para diferentes inquilinos, consolide-os utilizando Cisco iPSK. Se o seu WiFi de convidados é apenas uma rede aberta sem captura de dados, integre-o com a Purple para recolher dados primários (first-party data), impulsionar o retorno do investimento em marketing e garantir a conformidade com os requisitos do GDPR e PCI DSS.

Ao combinar a infraestrutura de classe empresarial da Cisco com a sobreposição de nuvem da Purple, oferece uma conectividade segura, segmentada e inteligente em todo o seu espaço. A Purple opera em mais de 80.000 espaços ativos e registou 440 milhões de inícios de sessão em 2024. A plataforma é agnóstica em termos de hardware, certificada pela norma ISO 27001 e concebida para a escala empresarial.

O seu próximo passo é claro. Reveja o guia de configuração passo a passo completo no website da Purple, obtenha as suas credenciais de servidor RADIUS no portal da Purple e inicie hoje mesmo a integração com o seu Cisco WLC. Para guias de configuração detalhados e documentação específica de hardware, visite o portal de suporte da Purple em support ponto purple ponto ai.

Obrigado por ouvir este Briefing Técnico da Purple. Até à próxima, mantenha-se seguro.

Principais Conclusões

✓Substitua as Pre-Shared Keys partilhadas e inseguras por uma arquitetura de três níveis: Guest WiFi via Captive Portal, Staff WiFi via 802.1X EAP-TLS e Tenant/IoT WiFi via Cisco iPSK.
✓Integre o Cisco WLC com a Purple utilizando Central Web Authentication (CWA) e RADIUS CoA para automatizar o registo de convidados e capturar dados primários em escala.
✓Configure ACLs de pré-autenticação precisas (walled garden) no WLC, permitindo sempre DNS (UDP 53), caso contrário o redirecionamento do Captive Portal irá falhar.
✓Implemente EAP-TLS para Staff WiFi para eliminar totalmente as palavras-passe e confiar em certificados digitais distribuídos por MDM para obter a postura de segurança mais forte disponível.
✓Utilize Cisco iPSK com atribuição dinâmica de VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) para segmentar ambientes multi-tenant e IoT através de um único SSID.
✓Exija sempre a validação do certificado do servidor RADIUS nos dispositivos clientes ao utilizar PEAP-MSCHAPv2 para evitar o roubo de credenciais por pontos de acesso fraudulentos.
✓A Purple opera em mais de 80.000 locais, possui certificação ISO 27001 e GDPR, e fornece infraestrutura RADIUS redundante - configure os servidores primário e secundário no WLC.

Resumo executivo

As redes sem fios empresariais devem servir grupos de utilizadores distintos em simultâneo: convidados que necessitam de um acesso à internet sem fricção, colaboradores que exigem acesso seguro aos recursos corporativos e dispositivos sem interface (headless) ou de inquilinos que necessitam de isolamento mútuo. Depender de uma única Chave Pré-Partilhada (PSK) para qualquer um destes grupos é um risco de segurança. Uma única credencial comprometida expõe todo o segmento, e a revogação do acesso exige a alteração de uma palavra-passe global que perturba todos os dispositivos na rede.

Este guia detalha a integração de Controladores LAN Sem Fios (WLC) Cisco e hardware da série Catalyst 9800 com a sobreposição de nuvem da Purple. Fornecemos a configuração passo a passo para três níveis de autenticação distintos: uma rede Guest WiFi aberta com redirecionamento de Captive Portal fornecido pela Purple, uma rede Secure Staff WiFi utilizando autenticação por certificado 802.1X EAP-TLS, e um ambiente Multi-Tenant WiFi utilizando Chaves Pré-Partilhadas de Identidade (iPSK) da Cisco com atribuição dinâmica de VLAN. Ao implementar esta arquitetura, isola o tráfego de recursos corporativos do tráfego de visitantes, automatiza o controlo de acessos baseado em identidade e recolhe dados primários através da plataforma de WiFi Analytics da Purple. A Purple opera em mais de 80.000 locais ativos e registou 440 milhões de inícios de sessão em 2024 (dados internos da Purple), tornando-se uma sobreposição de nuvem comprovada para infraestruturas Cisco em grande escala.

Análise técnica aprofundada: a arquitetura de três níveis

Uma implementação sem fios empresarial moderna em hardware Cisco deve atender a perfis de utilizador distintos com diferentes requisitos de segurança e acesso. A integração entre o Cisco WLC e a Purple permite que uma infraestrutura de hardware unificada sirva estes perfis através de mecanismos de autenticação distintos, todos geridos a partir de um único controlador Catalyst 9800.

Nível 1: Guest WiFi - Autenticação Web Centralizada (CWA)

Para visitantes em ambientes de Hospitality e Retail , o objetivo é uma adesão com baixa fricção combinada com uma recolha de dados em conformidade. Isto é alcançado utilizando um SSID aberto associado à Autenticação Web Centralizada (CWA). Quando um convidado se liga, o Cisco WLC aplica uma Lista de Controlo de Acesso (ACL) de pré-autenticação - o jardim vedado (walled garden). Esta ACL bloqueia o tráfego geral de internet ao mesmo tempo que permite o tráfego para os domínios do Captive Portal da Purple, DNS e endpoints de início de sessão social.

Quando o convidado tenta navegar, o WLC intercepta o pedido HTTP e emite um redirecionamento para a splash page da Purple. O convidado autentica-se através do método escolhido (login social, registo por e-mail ou código de voucher). A Purple atua então como o servidor RADIUS, enviando uma mensagem RADIUS Change of Authorization (CoA) de volta para o WLC. O CoA instrui o WLC a mover o cliente do estado de pré-autenticação para um estado pós-autenticação numa VLAN de convidados isolada, concedendo acesso à internet. Cada login é registado na plataforma de analytics da Purple, capturando dados primários em conformidade com o GDPR e a CCPA.

Tier 2: Staff WiFi - 802.1X EAP-TLS

Os dispositivos corporativos exigem o nível mais elevado de segurança. O IEEE 802.1X define o Network Access Control baseado em porta (PNAC) e, quando combinado com EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), fornece uma autenticação baseada em certificados que elimina totalmente as palavras-passe. Os certificados digitais são implementados nos dispositivos corporativos através de Mobile Device Management (MDM) - Microsoft Intune, Jamf ou equivalente. O Cisco WLC atua como o Autenticador, transmitindo mensagens EAP entre o suplicante (dispositivo) e o servidor RADIUS. O servidor RADIUS valida o certificado e devolve um Access-Accept com atributos opcionais de atribuição de VLAN.

Como a autenticação depende de certificados em vez de palavras-passe, não existem credenciais para roubar. Se um dispositivo for perdido ou um colaborador sair, o certificado é revogado. O acesso termina instantaneamente sem interromper qualquer outro utilizador. Para uma abordagem abrangente das normas de segurança empresarial, incluindo WPA3 e Zero Trust, consulte o nosso guia sobre Enterprise WiFi Security: A Complete Guide for 2026 .

Tier 3: Multi-Tenant WiFi - Cisco iPSK e atribuição dinâmica de VLAN

Em ambientes como alojamento de estudantes, espaços de coworking ou centros comerciais, necessita de redes privadas e segmentadas para diferentes inquilinos sem transmitir dezenas de SSIDs. O Cisco Identity PSK (iPSK) resolve isto. Todos os inquilinos ligam-se a um único SSID. O WLC envia um pedido de autenticação MAC para o servidor RADIUS para cada dispositivo que se liga. O servidor RADIUS devolve a PSK específica para esse inquilino como um atributo cisco-av-pair, juntamente com os atributos RADIUS padrão da IETF para atribuir dinamicamente o cliente à VLAN correta.

Os três atributos RADIUS da IETF que impulsionam a atribuição dinâmica de VLAN são:

Atributo RADIUS	ID	Valor
Tunnel-Type	64	VLAN
Tunnel-Medium-Type	65	802
Tunnel-Private-Group-ID	81	ID da VLAN de Destino (ex. 31)

O Tunnel-Private-Group-ID é codificado como uma string, conforme definido no RFC 2868. O ID da VLAN deve existir no WLC para que a atribuição seja bem-sucedida.

Guia de implementação: Configuração do Cisco Catalyst 9800 WLC

Os passos seguintes detalham a configuração para um Cisco Catalyst 9800 WLC com IOS-XE para integração com a Purple para redirecionamento de Guest WiFi. Para implementações legadas de AireOS WLC, as definições equivalentes estão disponíveis no portal de suporte da Purple.

Passo 1: Configurar a autenticação e a monitorização (accounting) RADIUS

Deve apontar o WLC para os servidores RADIUS da Purple para gerir a autenticação de convidados e a monitorização de sessões.

Navegue para Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add.
Introduza o endereço IP do servidor RADIUS primário da Purple, defina a porta de autenticação (auth-port) para 1812, a porta de monitorização (acct-port) para 1813 e introduza o segredo partilhado (shared secret) do portal da Purple.
Ative o Support for CoA - isto é obrigatório para o redirecionamento do Captive Portal.
Repita o processo para o servidor RADIUS secundário da Purple.
Navegue para RADIUS > Server Groups > + Add e crie um grupo que contenha ambos os servidores.
Navegue para AAA Method List > Authorization > + Add, defina o Tipo (Type) para network e aponte-o para o grupo de servidores RADIUS.
Navegue para AAA Method List > Accounting > + Add, defina o Tipo (Type) para identity e aponte-o para o mesmo grupo.

Os comandos CLI equivalentes no IOS-XE são:

radius server Purple-Primary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
radius server Purple-Secondary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
aaa group server radius Purple-RADIUS-Group
 server name Purple-Primary
 server name Purple-Secondary
!
aaa authorization network Purple-Authz group Purple-RADIUS-Group
aaa accounting identity Purple-Acct start-stop group Purple-RADIUS-Group

Passo 2: Definir a ACL de pré-autenticação (walled garden)

A ACL de pré-autenticação permite o tráfego para a splash page da Purple e serviços essenciais antes de o utilizador se autenticar. Este é o walled garden.

Navegue para Configuration > Security > ACL > + Add.
Crie uma ACL Estendida IPv4 com o nome Purple_Guest_Walled_Garden.
Adicione regras para rejeitar (deny) o tráfego para o IP de gestão do WLC e para os IPs dos servidores RADIUS.
Adicione regras para permitir (permit) DNS (porta UDP 53) para os seus servidores DNS.
Adicione regras para permitir (permit) o tráfego para as gamas de IP e domínios do walled garden da Purple (obtenha a lista atualizada no portal de suporte da Purple para o seu tipo de hardware específico).
Adicione uma regra final permit ip any any - o WLC redirecionará o tráfego permitido para o CPU para processamento do portal.

Passo 3: Configurar a WLAN de convidados

Navegue para Configuration > Tags & Profiles > WLANs > + Add.
Crie uma WLAN com o nome Guest-WiFi com o seu SSID escolhido.
Em Security > Layer 2, defina a segurança para None (Open).
Em Security > Layer 3, ative a Web Policy e defina o tipo de Web Auth para External.
Introduza o seu URL de acesso da Purple no campo de redirecionamento.
Aplique a ACL Purple_Guest_Walled_Garden.
Em Security > AAA Servers, atribua os servidores RADIUS da Purple tanto à Autenticação como à Monitorização (Accounting).

Passo 4: Configurar o Policy Profile

Navegue até Configuration > Tags & Profiles > Policy > + Add.
Em Access Policies, atribua a VLAN 20 (ou a sua VLAN de convidados designada).
Em Advanced, ative Allow AAA Override e NAC State.
Atribua a lista de métodos de accounting da Purple.

O equivalente em CLI:

wireless profile policy Guest-Policy
 aaa-override
 nac
 vlan 20
 accounting-list Purple-Acct
 no shutdown
!
wireless tag policy Guest-Policy-Tag
 wlan Guest-WiFi policy Guest-Policy

Passo 5: Configurar iPSK para implementações multi-tenant ou IoT

Para iPSK, a configuração da WLAN difere da configuração de convidados. A WLAN utiliza WPA2-PSK com MAC filtering ativado, e o Policy Profile tem o AAA Override ativo para aceitar a PSK por cliente e a VLAN do servidor RADIUS.

wlan Tenant-WiFi 2 Tenant-WiFi
 mac-filtering Purple-Authz
 security wpa psk set-key ascii 0 DefaultKey123
 no security wpa akm dot1x
 security wpa akm psk
 peer-blocking allow-private-group
 no shutdown
!
wireless profile policy Tenant-Policy
 aaa-override
 accounting-list Purple-Acct
 vlan 30
 no shutdown

O servidor RADIUS (configurado na Purple ou na sua plataforma RADIUS) devolve os seguintes atributos por grupo de tenant:

cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID =

Melhores práticas

A adesão a padrões estabelecidos garante estabilidade, segurança e conformidade regulamentar em toda a sua implementação.

Imponha uma validação rigorosa de certificados. Ao implementar 802.1X, configure os dispositivos dos clientes via MDM para confiar explicitamente na autoridade de certificação do seu servidor RADIUS e especifique o nome do servidor esperado. A não imposição desta regra deixa os clientes vulneráveis a ataques de rogue access point, onde um atacante apresenta um certificado fraudulento para capturar credenciais. Este é um requisito obrigatório, não uma recomendação.

Isole o tráfego de convidados na camada de rede. O WiFi de convidados deve terminar numa VLAN dedicada que esteja protegida por firewall de todos os recursos corporativos. O PCI DSS 4.0 exige que os ambientes de dados de titulares de cartões sejam isolados das redes públicas. Um convidado na VLAN 20 não deve ter rota para a rede corporativa na VLAN 10.

Utilize iPSK para dispositivos IoT, não MAC Authentication Bypass. Os endereços MAC são transmitidos em texto simples e são fáceis de falsificar. O iPSK fornece segurança criptográfica para dispositivos headless. Para obter orientações sobre como os dispositivos de ecrã e IoT interagem com protocolos sem fios, consulte What Is Wireless Display: Protocols & Best Practices 2026 .

Defina termos de utilização claros. O seu Captive Portal deve apresentar um acordo de termos de utilização antes de conceder o acesso. Este é um requisito do GDPR para a recolha de dados e uma necessidade legal para as políticas de utilização da rede. Para redes internas de colaboradores, consulte Staff WiFi Terms and Conditions: Legal and Compliance Essentials .

Implemente redundância RADIUS. Configure sempre um servidor RADIUS primário e secundário. A Purple fornece dois endereços IP de servidor para este fim. Uma única falha no servidor RADIUS impedirá todos os inícios de sessão de convidados.

Resolução de problemas e mitigação de riscos

Mesmo com uma configuração cuidadosa, surgem problemas de integração. Aborde os modos de falha mais comuns de forma sistemática antes de escalar.

Problema: Os convidados ligam-se, mas a splash page não aparece.

Este é o problema mais comum. A ACL de pré-autenticação está a bloquear o DNS. Sem DNS, o cliente não consegue resolver o pedido HTTP inicial e o sistema operativo não irá acionar o mini-browser do Captive Portal. Verifique se a porta UDP 53 é permitida para os seus servidores DNS na ACL do walled garden. No WLC, execute show wireless client summary para confirmar se o cliente está num estado Webauth Pending em vez de Run.

Problema: Os clientes iPSK não se conseguem ligar ou vão parar à VLAN errada.

A VLAN especificada em Tunnel-Private-Group-ID não existe no WLC, ou os atributos cisco-av-pair estão mal formados. Execute debug radius all no WLC para inspecionar a resposta RADIUS em bruto. Verifique se o ID da VLAN foi criado em Configuration > Layer 2 > VLAN > VLAN List.

Problema: Os clientes da equipa com 802.1X falham a autenticação de forma intermitente.

Isto deve-se normalmente a um timeout do servidor RADIUS ou a um problema de fidedignidade do certificado no cliente. Verifique os registos do servidor RADIUS para mensagens Access-Reject. Nos clientes Windows, verifique se o perfil de WiFi está configurado para validar o certificado do servidor e se especifica a CA fidedigna correta.

Problema: O CoA da Purple não é processado pelo WLC.

A chave secreta partilhada do CoA deve corresponder à chave secreta partilhada do RADIUS configurada no WLC. No IOS-XE 17.4 e posterior, a chave CoA é configurada separadamente da chave secreta partilhada. Verifique se ambas correspondem aos valores no portal da Purple.

ROI e impacto empresarial

A transição de redes PSK básicas para uma arquitetura estruturada e baseada em identidade com a Purple proporciona resultados de negócio mensuráveis nos setores de Hotelaria , Retalho , Saúde e Transportes .

Primeiro, a arquitetura elimina o custo operacional de gerir palavras-passe partilhadas. Quando os colaboradores saem, o utilizador revoga o seu certificado. Não precisa de alterar uma palavra-passe global e atualizar todos os dispositivos da infraestrutura. Segundo, a integração com o Captive Portal da Purple transforma um centro de custos de TI num gerador de receitas. A plataforma da Purple recolhe dados primários em conformidade a cada início de sessão, permitindo campanhas de marketing automatizadas e análises de visitantes. Com 29 mil milhões de pontos de dados recolhidos em toda a rede Purple (dados internos da Purple), la plataforma fornece informações acionáveis sobre o comportamento dos visitantes, tempo de permanência e taxas de retorno.

Para os operadores de espaços que realizam inquéritos para compreender a satisfação dos visitantes, a plataforma Purple integra-se diretamente com os fluxos de trabalho de pesquisa. Consulte Design of a Survey: A Practical Guide for Venues para obter orientações sobre como estruturar inquéritos eficazes para espaços, disponibilizados através do Captive Portal.

Ao integrar o hardware de classe empresarial da Cisco com a sobreposição na nuvem da Purple, obtém uma rede segura e escalável que contribui ativamente para os objetivos comerciais do espaço. A Purple possui certificação ISO 27001, conformidade com o GDPR e CCPA, certificação Cyber Essentials e certificação B Corp - cumprindo os requisitos de conformidade das equipas de compras empresariais.

Definições Principais

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilização (AAA) para acesso à rede. Definido em RFC 2865 e RFC 2866.

As equipas de TI configuram o Cisco WLC para reencaminhar as credenciais do cliente para o servidor RADIUS, que as verifica num diretório e devolve uma resposta Access-Accept ou Access-Reject, juntamente com os atributos de política.

Captive Portal

Uma página web que um utilizador de uma rede de acesso público deve visualizar e com a qual deve interagir antes de lhe ser concedido acesso à Internet. Implementado através de redirecionamento HTTP pelo dispositivo de acesso à rede.

Utilizado em implementações de WiFi de convidados para recolher dados de visitantes, apresentar termos de utilização ou exibir conteúdos de marca antes de permitir o acesso à Internet. A Purple fornece a infraestrutura de Captive Portal alojada.

iPSK (Identity Pre-Shared Key)

Uma funcionalidade da Cisco que permite atribuir chaves pré-partilhadas (Pre-Shared Keys) exclusivas a diferentes utilizadores ou grupos de dispositivos no mesmo SSID, sendo a PSK fornecida por cliente através de um servidor RADIUS.

Essencial para dispositivos IoT ou ambientes multi-tenant onde o 802.1X não é viável, mas a segmentação de rede é necessária. Elimina a necessidade de transmitir múltiplos SSIDs.

IEEE 802.1X

Uma norma IEEE para Controlo de Acesso à Rede baseado em portas (PNAC). Fornece um mecanismo de autenticação que bloqueia todo o tráfego de dados de um dispositivo até que o servidor RADIUS confirme a autorização.

A base do WiFi corporativo para colaboradores, garantindo que apenas dispositivos corporativos autorizados com credenciais ou certificados válidos possam aceder aos recursos internos.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Um método de autenticação baseado em certificados que exige certificados digitais tanto no servidor RADIUS como no dispositivo cliente, eliminando totalmente as palavras-passe.

O método mais seguro para autenticar dispositivos corporativos. Os certificados são implementados via MDM. O acesso é revogado ao invalidar o certificado, e não ao alterar uma palavra-passe partilhada.

Walled garden

Um ambiente de rede limitado que controla o acesso do utilizador a conteúdos web antes de este estar totalmente autenticado. Implementado como uma ACL de pré-autenticação no WLC.

Configurado no Cisco WLC para permitir o acesso à página de entrada da Purple, DNS e fornecedores de login social antes de o convidado ter acesso total à Internet.

Atribuição dinâmica de VLAN

O processo de colocação automática de um dispositivo ligado numa Virtual LAN específica com base nos atributos de autorização RADIUS devolvidos no momento da autenticação.

Garante que colaboradores, convidados e dispositivos IoT sejam colocados em segmentos de rede isolados automaticamente após a ligação, sem necessidade de configuração manual por dispositivo.

Change of Authorization (CoA)

Uma extensão RADIUS (RFC 5176) que permite ao servidor RADIUS modificar dinamicamente os atributos de autorização de sessão de um cliente que já se encontra ligado.

Necessário para Captive Portals. Assim que o convidado se autentica na página de entrada da Purple, a Purple envia uma mensagem de CoA para o WLC para transitar o cliente do estado de walled garden de pré-autenticação para o acesso total à Internet.

Central Web Authentication (CWA)

Um método de autenticação da Cisco no qual o servidor RADIUS (em vez do WLC) aloja ou redireciona para o portal de autenticação web, permitindo soluções de Captive Portal alojadas na nuvem.

Utilizado para integrar o Cisco WLC com o Captive Portal alojado na nuvem da Purple, permitindo à Purple gerir a experiência de autenticação de convidados e a recolha de dados.

Exemplos Práticos

Um grande centro comercial necessita de fornecer WiFi seguro e privado a 50 lojistas utilizando um único Cisco Catalyst 9800 WLC e um único SSID de transmissão. Cada lojista deve ser isolado dos dispositivos de todos os outros lojistas. Como conseguem alcançar isto sem transmitir 50 SSIDs separados?

A equipa de TI implementa o Cisco iPSK. Configuram um único SSID chamado 'Mall-Tenant-WiFi' com WPA2-PSK e filtragem MAC ativada. No servidor RADIUS, criam 50 grupos de identidade de endpoint, um por lojista. A cada grupo é atribuída uma PSK exclusiva através do atributo cisco-av-pair psk= e um ID de VLAN exclusivo através do atributo IETF Tunnel-Private-Group-ID. Quando o dispositivo de ponto de venda de um lojista se liga utilizando a sua palavra-passe específica, o WLC envia um pedido de autenticação MAC para o servidor RADIUS. O servidor faz a correspondência do endereço MAC com o grupo do lojista e devolve a atribuição de PSK e VLAN. O WLC processa os atributos, valida a PSK e coloca o dispositivo na VLAN isolada do lojista. A definição peer-blocking allow-private-group garante que os dispositivos que partilham a mesma PSK podem comunicar entre si, enquanto os dispositivos com PSKs diferentes são impedidos de comunicar entre lojistas.

Comentário do Examinador: Esta abordagem escala de forma eficiente. A transmissão de 50 SSIDs separados causaria interferência severa de co-canal num ambiente denso e degradaria o desempenho para todos os utilizadores. Cada SSID adicional consome tempo de antena com tramas de gestão. O iPSK oferece a segurança e a segmentação de 50 redes separadas com a eficiência de RF de apenas uma. O compromisso é que o servidor RADIUS se torna uma dependência crítica - certifique-se de que está altamente disponível.

Uma propriedade Premier Inn de 300 quartos está a migrar de contas locais de convidados WLC para o Captive Portal na nuvem da Purple. Após a aplicação da configuração, os convidados relatam que se ligam ao SSID do WiFi, recebem um endereço IP, mas os seus dispositivos mostram 'Sem Internet' e a página de boas-vindas nunca aparece. Qual é o processo de diagnóstico?

Passo 1: Verifique o estado do cliente no WLC usando show wireless client detail <mac-address>. O cliente deve estar no estado 'Webauth Pending'. Se mostrar 'Run', a ACL de pré-autenticação não está aplicada corretamente. Passo 2: Verifique a ACL de pré-autenticação. A causa mais comum deste sintoma é que a ACL bloqueia o DNS (porta UDP 53). Sem DNS, o cliente não consegue resolver nenhum domínio e o mecanismo de deteção de Captive Portal do SO falha silenciosamente. Adicione uma regra de permissão explícita para a porta UDP 53 para os IPs do servidor DNS do local. Passo 3: Verifique se os domínios de walled garden da Purple são permitidos na ACL. O cliente deve ser capaz de alcançar o URL da página de boas-vindas da Purple antes da autenticação. Passo 4: Confirme se o endereço IP virtual do WLC foi alterado do padrão 1.1.1.1 para um endereço não roteável, como 192.0.2.1, pois o endereço padrão pode entrar em conflito com o tráfego legítimo da Internet.

Comentário do Examinador: O sintoma de 'Sem Internet' sem redirecionamento é quase sempre um problema de DNS ou de ACL de walled garden. Os sistemas operativos modernos (iOS, Android, Windows, macOS) utilizam a deteção de Captive Portal fazendo pedidos HTTP para URLs conhecidos. Se o DNS falhar, estes pedidos não podem ser feitos e o SO nunca aciona o navegador do Captive Portal. Permita sempre o DNS na ACL de pré-autenticação - este é o erro de implementação mais comum que vemos.

Perguntas de Prática

Q1. Está a implementar Staff WiFi em 40 filiais de retalho utilizando Cisco Catalyst 9800 WLCs. Pretende utilizar 802.1X, mas a empresa ainda não tem uma solução de MDM para distribuir certificados pelos smartphones dos colaboradores. Qual é a abordagem viável mais segura e que mitigação de risco deve implementar?

Dica: Considere o equilíbrio entre a segurança das credenciais e a viabilidade de implementação quando os certificados ainda não são uma opção. Foque-se no risco específico que surge do método alternativo.

Ver resposta modelo

Implemente PEAP-MSCHAPv2 como medida provisória. Embora não seja tão seguro como o EAP-TLS, fornece autenticação de palavra-passe encriptada dentro de um túnel TLS. A mitigação de risco crítica é impor a validação do certificado do servidor em cada dispositivo cliente. Para portáteis Windows, implemente um Group Policy Object que especifique a Autoridade de Certificação fidedigna exata e o nome do servidor RADIUS esperado no perfil de WiFi. Para dispositivos iOS e Android, distribua um perfil de configuração de WiFi por e-mail ou através de uma ferramenta leve sem MDM que imponha a validação de certificados. Sem isto, um atacante pode implementar um rogue access point com um certificado fraudulento e capturar credenciais. Planeie a migração para EAP-TLS assim que o MDM estiver disponível.

Q2. Um diretor de TI de um estádio precisa de segmentar emissores de media, terminais de bilheteira e sensores IoT de AVAC em redes isoladas separadas. Os sensores IoT não suportam 802.1X. Todos os três grupos devem utilizar WiFi. Como deve ser configurada a WLC?

Dica: Procure uma solução que forneça credenciais exclusivas e atribuição de VLAN por grupo de dispositivos sem exigir suplicantes enterprise em dispositivos headless.

Ver resposta modelo

Implemente Cisco iPSK com um único SSID para as operações do recinto. Crie três grupos de identidade de endpoint no servidor RADIUS: Emissores, Bilheteira e AVAC. Atribua a cada grupo uma PSK exclusiva via cisco-av-pair e um VLAN ID exclusivo via Tunnel-Private-Group-ID. Configure a WLAN da WLC com WPA2-PSK, filtragem MAC ativada e AAA Override ativo. Os emissores recebem a PSK-A e a VLAN 31, a bilheteira recebe a PSK-B e a VLAN 32, e os sensores de AVAC recebem a PSK-C e a VLAN 33. Defina o peer-blocking para allow-private-group para que os dispositivos do mesmo grupo possam comunicar entre si (por exemplo, terminais de bilheteira com o seu servidor), enquanto a comunicação entre grupos é bloqueada. Isto evita o MAC Authentication Bypass, que seria facilmente falsificado.

Q3. Durante uma implementação de Guest WiFi num centro de conferências, os clientes ligam-se ao SSID e recebem um endereço IP, mas o redirecionamento do Captive Portal nunca ocorre. A ACL do walled garden permite o tráfego para todas as gamas de IP da Purple. Qual é o elemento de configuração em falta mais provável e como o verifica?

Dica: Pense nos protocolos necessários antes que um pedido HTTP possa ser feito pelo dispositivo cliente.

Ver resposta modelo

A causa mais provável é que a ACL de pré-autenticação bloqueia o tráfego DNS (porta UDP 53). Antes de um dispositivo cliente poder fazer o pedido HTTP que a WLC intercepta para acionar o redirecionamento, ele deve resolver o nome de domínio via DNS. Os mecanismos modernos de deteção de Captive Portal dos sistemas operativos (captive.apple.com da Apple, www.msftconnecttest.com da Microsoft, connectivitycheck.gstatic.com da Google) requerem todos resolução DNS. Para verificar: execute 'show wireless client detail ' na WLC e confirme se o cliente está no estado 'Webauth Pending'. Em seguida, reveja os contadores de correspondência da ACL para ver se o tráfego DNS está a ser negado. Corrija adicionando uma regra de permissão explícita para a porta UDP 53 para os IPs do servidor DNS do recinto na ACL do walled garden.

Continue a ler esta série

Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Este guia de referência técnica fornece um manual de configuração autoritativo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK.

Integração de Access Points Allied Telesis com Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar access points Allied Telesis da Série TQ com o Purple WiFi. Abrange o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implementações multi-tenant seguras.

Integração de Pontos de Acesso Grandstream GWN com o Purple WiFi

Este guia de referência técnica detalha como integrar os pontos de acesso Grandstream GWN com a plataforma de Guest WiFi e analítica da Purple. Abrange a configuração do Captive Portal da Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas e passo a passo para MSPs e equipas de TI que implementam WiFi para convidados e funcionários em grande escala.