Integração de Pontos de Acesso Grandstream GWN com o Purple WiFi

Bem-vindo à Série de Briefings Técnicos da Purple. Sou o vosso anfitrião e hoje vamos abordar um padrão de implementação que se está a tornar cada vez mais comum em hotéis, retalho e propriedades multi-tenant: a integração de pontos de acesso Grandstream GWN com a plataforma de WiFi de convidados da Purple. Se é um MSP, uma equipa de TI interna ou um arquiteto de rede a quem foi confiada uma implementação de Grandstream GWN com o pedido de adicionar um Captive Portal personalizado com analítica, este episódio é para si. Vamos cobrir todo o ecossistema: redirecionamento da página de entrada (splash page) de convidados, configuração de walled garden, WiFi seguro para funcionários utilizando 802.1X e segmentação multi-tenant utilizando a funcionalidade Private Pre-Shared Key da Grandstream. Vamos a isso. --- Primeiro, um pouco de contexto. A série GWN da Grandstream é uma gama sólida de pontos de acesso para o mercado médio. Temos o GWN7600 e o GWN7630 para implementações em interiores, o GWN7660 e o GWN7664 para ambientes Wi-Fi 6, e o GWN7610 como uma opção de montagem no teto para espaços de maior densidade. São geridos através do GWN Manager, que é um controlador local que instala num servidor Linux ou Windows, ou através do GWN ponto Cloud, que é a plataforma de gestão alojada na nuvem da Grandstream, agora renomeada como GDMS Networking. A boa notícia para os MSPs é que ambas as plataformas de gestão suportam a configuração de Captive Portal nativamente. Pode criar a política do portal, personalizar a splash page e associá-la a um SSID inteiramente dentro do GWN Manager ou do GWN ponto Cloud. Mas para implementações empresariais onde necessita de captura de dados em conformidade com o GDPR, automação de marketing e analítica em tempo real, irá substituir esse portal nativo por uma plataforma externa. É aí que entra a Purple. A Purple opera como uma sobreposição na nuvem (cloud overlay). Fica posicionada acima do seu hardware e fornece o Captive Portal, a camada de autenticação RADIUS, o motor de analítica e as ferramentas de marketing. A Purple suporta 80.000 locais ativos e processou 440 milhões de inícios de sessão apenas em 2024, pelo que a plataforma está mais do que comprovada em grande escala. A integração com o Grandstream GWN segue a mesma abordagem baseada em padrões que a Purple utiliza em Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e Ubiquiti UniFi. --- Vamos entrar na arquitetura técnica. O fluxo de WiFi de convidados no Grandstream GWN com a Purple funciona da seguinte forma. Um convidado liga-se ao seu SSID de convidados. O seu dispositivo envia um pedido HTTP para qualquer website. O ponto de acesso GWN intercepta esse pedido e emite um redirecionamento HTTP 302 para o URL do portal da Purple. O convidado acede à sua splash page personalizada, alojada pela Purple. Autentica-se, seja por e-mail, login social, verificação por SMS ou um formulário personalizado. A plataforma da Purple valida essa autenticação, regista o consentimento e os dados em conformidade com o GDPR e, em seguida, envia um RADIUS Access-Accept de volta para o ponto de acesso GWN. O AP concede acesso à Internet. Todo o fluxo demora cerca de três a cinco segundos desde a ligação até ao acesso à Internet. Agora, os principais componentes de configuração do lado da Grandstream são: a política de Captive Portal, as definições da splash page, o walled garden e a associação do SSID. Deixe-me explicar cada um deles. --- Passo um: configure a política de Captive Portal no GWN Manager ou no GWN ponto Cloud. Navegue até Captive Portal, depois Policy List, e crie uma nova política. Dê-lhe um nome descritivo, algo como "Purple-Guest-Portal". Defina o Tipo de Autenticação para Servidor RADIUS. Verá então os campos para Endereço do Servidor RADIUS, Porta do Servidor RADIUS e Segredo do Servidor RADIUS. Introduza o endereço IP do servidor RADIUS da Purple e a porta 1812 para autenticação. O seu segredo partilhado provém da consola de administração do portal da Purple, na secção de configuração de hardware do local. Defina o Método de Autenticação RADIUS para PAP, que é o que o fluxo de Captive Portal da Purple utiliza. Em Landing Page, defina para Redirecionar para Página Externa e introduza o URL de redirecionamento do portal da Purple. Este é o URL para o qual os convidados serão enviados quando se ligarem pela primeira vez. Mais uma vez, este provém da sua consola de administração da Purple. Defina o tempo de Expiração para corresponder à política de sessão do seu local. Para um hotel, 24 horas é o habitual. Para um local de conferências, pode definir para a duração do evento. Para um ambiente de retalho, duas a quatro horas é o comum. Ative o Modo Failsafe. Isto é importante. Se o ponto de acesso GWN não conseguir contactar o servidor RADIUS da Purple, o modo failsafe concede acesso à Internet de qualquer forma, em vez de bloquear todos os convidados. Para a maioria das implementações em hotelaria e retalho, uma breve interrupção do RADIUS não deve resultar na perda de conectividade de todos os convidados. --- Passo dois: configure o walled garden. O walled garden é a lista de domínios e endereços IP aos quais os convidados podem aceder antes de se autenticarem através do portal. Se errar aqui, os convidados verão uma página em branco ou um portal quebrado, e culparão o WiFi. No GWN Manager, o walled garden é configurado sob a política de Captive Portal como Pre-Authentication Rules. Adicione os seguintes domínios como regras de permissão: o domínio do portal da Purple, que é portal ponto purple ponto ai; quaisquer domínios de CDN dos quais a splash page da Purple carrega recursos, incluindo cloudfront ponto net utilizando uma entrada wildcard; o endpoint de deteção de Captive Portal da Apple, captive ponto apple ponto com; e o endpoint de verificação de conectividade da Google, connectivitycheck ponto gstatic ponto com. O portal de suporte da Purple tem um gerador dinâmico de walled garden em support ponto purple ponto ai. Selecione Grandstream da lista de hardware, escolha os seus métodos de autenticação e este gera a lista exata de domínios de que necessita. Utilize essa lista. Não tente construí-la manualmente do zero. Uma decisão que precisa de tomar: inclui ou não o captive ponto apple ponto com no walled garden? Se o incluir, os dispositivos iOS não mostrarão o mini-browser Captive Network Assistant automaticamente. Os convidados precisarão de abrir um browser manualmente para aceder ao portal. Se o excluir, o iOS abre o mini-browser automaticamente quando o dispositivo se liga. Para a maioria das implementações em hotelaria, pretende que o mini-browser apareça, por isso deixe o captive ponto apple ponto com fora do walled garden. --- Passo três: configure o SSID. No GWN Manager, navegue até SSID e edite o seu SSID de convidados. Ative o Captive Portal e selecione a política que acabou de criar. Defina o SSID para WPA2-Personal com uma palavra-passe simples, ou configure-o como um SSID aberto se o seu local preferir essa abordagem. A segurança neste fluxo provém da autenticação do portal, não da palavra-passe do WiFi. Ative o Isolamento de Clientes (Client Isolation). Isto impede que os convidados vejam os dispositivos uns dos outros na rede. É um requisito básico de segurança e uma consideração do PCI DSS se o seu local processar pagamentos com cartão na mesma infraestrutura. Atribua o SSID à sua VLAN de convidados. A VLAN 10 é uma convenção comum para o tráfego de convidados. Certifique-se de que o seu switch e router a montante estão configurados para encaminhar essa VLAN para a Internet com as regras de firewall adequadas. --- Agora vamos falar sobre o WiFi de funcionários utilizando 802.1X. O IEEE 802.1X é o padrão para controlo de acesso à rede baseado em portas. Para o WiFi de funcionários, substitui a chave pré-partilhada comum por credenciais por utilizador, validadas num fornecedor de identidade. Quando um funcionário se liga, o ponto de acesso GWN atua como o autenticador, o seu dispositivo é o suplicante e o servidor RADIUS da Purple é o servidor de autenticação. No GWN Manager, crie um SSID separado para os funcionários. Defina o Modo de Segurança para WPA2-Enterprise, o que ativa o 802.1X. Configure as definições do servidor RADIUS com o IP RADIUS da Purple, a porta 1812 e o seu segredo partilhado. Ative o RADIUS Accounting na porta 1813 para obter um registo de auditoria completo de quem se ligou, quando e por quanto tempo. Este registo de auditoria é o que necessita para a conformidade com o GDPR e para responder a quaisquer incidentes de segurança. Para o método EAP, tem duas opções principais. O EAP-TLS utiliza certificados digitais tanto no servidor como no dispositivo cliente. É a opção mais segura, mas requer uma plataforma de Gestão de Dispositivos Móveis (MDM) para enviar os certificados para os dispositivos dos funcionários. Se tiver o Microsoft Intune ou o Jamf, o EAP-TLS é a escolha certa. PEAP, que significa Protected EAP, utiliza um nome de utilizador e palavra-passe dentro de um túnel TLS encriptado. É mais fácil de implementar, particularmente para ambientes BYOD, mas deve garantir que os funcionários são instruídos para não aceitarem avisos de certificado. Um ponto de acesso falso pode recolher credenciais PEAP se os utilizadores ignorarem os erros de certificado. Ative a atribuição dinâmica de VLAN nas definições do SSID. Quando esta opção está ativa, o servidor RADIUS pode retornar um ID de VLAN no pacote Access-Accept, e o AP GWN colocará o dispositivo de ligação nessa VLAN. Isto significa que pode ter um único SSID de funcionários mas segmentar automaticamente a equipa de TI para a VLAN 20, a gestão para a VLAN 21 e os dispositivos de ponto de venda para a VLAN 40, tudo com base na identidade do utilizador no diretório da Purple. Os atributos RADIUS para VLAN dinâmica são: Tunnel-Type definido para VLAN, que é o valor de atributo 13; Tunnel-Medium-Type definido para IEEE-802, que é o valor de atributo 6; e Tunnel-Private-Group-ID definido para o número da VLAN como uma string. Estes três atributos no pacote Access-Accept são tudo o que o AP GWN necessita para direcionar o dispositivo para a VLAN correta. --- Agora, a funcionalidade que é particularmente relevante para propriedades multi-tenant: as Private Pre-Shared Keys da Grandstream, ou PPSK. O PPSK é um mecanismo que permite que um único SSID suporte múltiplas palavras-passe exclusivas, cada uma mapeada para uma VLAN ou política de rede diferente. Pense num bloco de apartamentos de arrendamento, num espaço de co-working ou num edifício de escritórios partilhados. Pretende um único SSID visível para todos, mas cada inquilino recebe a sua própria palavra-passe que o coloca no seu próprio segmento de rede isolado. No GWN Manager, o PPSK é configurado sob as definições do SSID. Defina o Modo de Segurança para WPA2-Personal e, em seguida, ative o PPSK. Pode então criar entradas PSK individuais, cada uma com uma palavra-passe exclusiva e um ID de VLAN associado. Quando um dispositivo se liga utilizando a palavra-passe do Inquilino A, o AP coloca-o na VLAN 31. Quando um dispositivo utiliza a palavra-passe do Inquilino B, entra na VLAN 32. Os inquilinos partilham o mesmo SSID mas estão completamente isolados uns dos outros na camada de rede. Para implementações maiores, a Grandstream também suporta PPSK com backend RADIUS. Neste modo, o AP envia o PSK como um atributo RADIUS para o servidor de autenticação, que o valida e retorna a atribuição de VLAN apropriada. É aqui que a funcionalidade Identity-Based Networks da Purple se integra diretamente. A Purple pode gerir a base de dados PPSK, validar chaves no seu diretório e retornar atribuições dinâmicas de VLAN, proporcionando-lhe uma gestão centralizada de centenas de credenciais de inquilinos a partir de uma única plataforma. O atributo RADIUS utilizado para a validação de PPSK é normalmente o atributo Tunnel-Password, ou um atributo específico do fabricante, dependendo da versão do firmware. Verifique as notas de lançamento da Grandstream para o seu firmware específico, uma vez que o mapeamento de atributos tem evoluído ao longo das versões do GWN Manager. --- Deixe-me abordar os dois modos de falha mais comuns que vejo em implementações da Grandstream com portais externos. O primeiro é o redirecionamento não funcionar. Um convidado liga-se ao SSID, abre um browser e recebe um erro de "site inacessível" em vez da página do portal. A causa mais provável é uma configuração incorreta do walled garden. A própria página do portal está a ser bloqueada na pré-autenticação. Abra as ferramentas de programador do seu browser num dispositivo de teste ligado ao SSID de convidados, analise o separador de rede e identifique quais os pedidos que estão a falhar. Adicione esses domínios às suas regras de pré-autenticação. O segundo modo de falha é o tempo de espera esgotado (timeout) do RADIUS. O AP envia um Access-Request para o servidor RADIUS da Purple e não obtém resposta. Isto normalmente significa que uma firewall está a bloquear a porta UDP 1812 de saída da VLAN de gestão do AP para a gama de IPs RADIUS da Purple. Verifique as suas regras de firewall. Os endereços IP RADIUS da Purple estão documentados na consola de administração da Purple sob as definições do local. Certifique-se de que ambos os IPs RADIUS, primário e secundário, são permitidos. Um terceiro que vale a pena mencionar: a VLAN Dinâmica não funciona. Os funcionários ligam-se e entram na VLAN errada. A causa mais comum é que a opção 'Enable Dynamic VLAN' não está selecionada nas definições do SSID no GWN Manager. É uma única caixa de seleção que é fácil de esquecer. A segunda causa é uma incompatibilidade do segredo partilhado. Se o segredo partilhado no AP não corresponder ao configurado na Purple, o AP descarta silenciosamente a resposta RADIUS e reverte para a VLAN predefinida. --- Deixe-me dar-lhe dois cenários do mundo real para tornar isto concreto. Cenário um: um hotel de 120 quartos. O hotel utiliza pontos de acesso GWN7660 geridos através do GWN ponto Cloud. Necessitam de um Captive Portal personalizado para convidados, uma rede segura para funcionários para a receção e limpeza, e uma VLAN de gestão separada para o sistema de gestão de propriedade. A configuração utiliza três SSIDs: Guest WiFi na VLAN 10 com a política de Captive Portal da Purple; Staff WiFi na VLAN 20 com WPA2-Enterprise e autenticação PEAP contra o RADIUS da Purple; e um SSID Management oculto na VLAN 30 para terminais PMS. A atribuição dinâmica de VLAN no SSID de funcionários significa que os dispositivos de limpeza entram na VLAN 21 com acesso restrito à Internet, enquanto os dispositivos da receção entram na VLAN 20 com acesso total. O painel de analítica da Purple mostra ao operador do hotel a contagem diária de convidados, a duração das sessões e as taxas de aceitação para marketing, fornecendo à equipa de marketing os dados de que necessitam para realizar campanhas direcionadas. Cenário dois: um bloco de apartamentos de arrendamento de 40 frações. O operador utiliza pontos de acesso GWN7630 com o GWN Manager local. Cada apartamento necessita da sua própria rede isolada. O operador utiliza PPSK com backend RADIUS. A Purple gere 40 credenciais exclusivas de inquilinos, cada uma mapeada para uma VLAN dedicada. Os residentes ligam-se ao SSID único "BuildingConnect" utilizando a palavra-passe da sua fração. O portal da Purple lida com o fluxo inicial de integração, recolhe o consentimento do residente e fornece ao operador analítica de ocupação e dados de envolvimento. Quando um residente se muda, o operador revoga a sua credencial PPSK na consola de administração da Purple e o acesso é imediatamente terminado. Não há necessidade de alterar a palavra-passe do SSID ou reconfigurar os APs. --- Perguntas rápidas. Três perguntas que me fazem constantemente sobre implementações da Grandstream. Pergunta um: Posso utilizar o GWN ponto Cloud em vez do GWN Manager para a integração com a Purple? Sim. A configuração do Captive Portal no GWN ponto Cloud é funcionalmente idêntica à do GWN Manager. Os caminhos dos menus são os mesmos. As definições de RADIUS e walled garden estão nos mesmos locais. O GWN ponto Cloud é a melhor escolha para MSPs que gerem múltiplos locais, uma vez que obtêm uma visão centralizada (single pane of glass) de todas as implementações. Pergunta dois: A Purple suporta a analítica nativa da Grandstream juntamente com a sua própria? A Purple substitui a analítica nativa do Captive Portal pelo seu próprio conjunto de dados mais detalhado. Obtém contagens de sessões, tempos de permanência, taxas de aceitação, dados demográficos dos campos de formulário e integração com plataformas de marketing. A analítica nativa do GWN para desempenho de RF, estado do AP e contagem de clientes continua disponível no GWN Manager ou no GWN ponto Cloud juntamente com a analítica de portal da Purple. Pergunta três: De que versão de firmware necessito nos APs GWN para PPSK com RADIUS? O PPSK com backend RADIUS requer o firmware GWN 1.0.19 ou superior na série GWN76xx. Verifique as notas de lançamento da Grandstream antes da implementação. Executar firmware desatualizado é a causa mais comum de comportamento inesperado em implementações de PPSK. --- Para concluir. A integração de pontos de acesso Grandstream GWN com a Purple é uma implementação simples quando segue a sequência correta. Configure primeiro as definições do seu servidor RADIUS na política de Captive Portal. Construa o seu walled garden utilizando a ferramenta geradora de domínios da Purple. Associe a política ao seu SSID de convidados e ative o isolamento de clientes. Para o WiFi de funcionários, ative o WPA2-Enterprise com atribuição dinâmica de VLAN. Para propriedades multi-tenant, utilize PPSK com backend RADIUS e gira as credenciais centralmente através da Purple. As cinco coisas a acertar: RADIUS em UDP 1812 com um segredo partilhado correspondente; o walled garden a cobrir todos os domínios de recursos do portal; o isolamento de clientes ativado no SSID de convidados; a VLAN dinâmica ativada nas definições do SSID; e o firmware PPSK na versão 1.0.19 ou superior. Acerte nestas cinco e terá uma implementação sólida e escalável que servirá o seu local durante anos. A equipa de integração da Purple pode validar a sua configuração antes de entrar em produção, e o tempo de atividade de 99,999% da plataforma significa que não terá de explicar falhas no portal aos hóspedes do hotel às duas da manhã. Obrigado por ouvir. Para mais guias técnicos sobre integrações de WiFi empresarial, visite purple ponto ai. No próximo episódio, abordaremos a atribuição dinâmica de VLAN com o Microsoft Entra ID e a funcionalidade SecurePass da Purple. Até lá.