Integração do Cisco WLC e Catalyst com a Purple WiFi: Guia de Acesso de Convidados Passo a Passo

Bem-vindo à série de briefings técnicos da Purple. Hoje vamos abordar algo que chega à mesa de quase todos os arquitetos de rede corporativa que trabalham em hotelaria, retalho ou recintos de grande escala: a integração de controladores Cisco Wireless LAN e infraestrutura sem fios Catalyst com a plataforma de Guest WiFi da Purple. Se utiliza controladores da série Cisco Catalyst 9800 ou a plataforma legada AireOS, e precisa de fornecer uma rede de convidados em conformidade, segmentada e orientada por analítica, este briefing é para si. [medium pause] Comecemos pelo contexto. A Purple opera em mais de 80.000 recintos ativos globalmente, e a Cisco é o fornecedor dominante de infraestrutura sem fios em ambientes corporativos. Fazer com que estas duas plataformas funcionem juntas de forma limpa não é complicado, mas exige que tome as decisões de arquitetura corretas logo à partida. Se errar, passará semanas a resolver problemas de loops de redirecionamento, incompatibilidades de VLAN e tempos de limite de RADIUS. Se acertar, terá uma rede que segmenta convidados, funcionários e dispositivos IoT de forma automática, recolhe dados primários em conformidade e escala em centenas de locais sem intervenção manual. [medium pause] Vamos então entrar na arquitetura. [short pause] Quando um convidado se liga à sua rede WiFi numa implementação Cisco, existem três coisas que precisam de acontecer antes de acederem à internet. Primeiro, o Cisco Catalyst 9800 WLC precisa de intercetar esse pedido HTTP inicial e redirecionar o cliente para o Captive Portal da Purple. Segundo, o portal da Purple precisa de autenticar o utilizador, seja através de login social, e-mail, SMS ou uma simples aceitação de termos e condições. Terceiro, o servidor RADIUS da Purple precisa de sinalizar de volta ao WLC que o utilizador está autorizado e, opcionalmente, atribuir-lhe uma VLAN específica. [medium pause] O mecanismo que lida com o primeiro passo chama-se External Web Authentication, ou EWA. No Catalyst 9800, configura um mapa de parâmetros de autenticação web que aponta para o URL da splash page da Purple. O WLC interceta todo o tráfego HTTP de clientes não autenticados e emite um redirecionamento 302 para esse URL. Também precisará de configurar uma ACL de pré-autenticação, ou utilizar a funcionalidade de filtro de URL do 9800, para colocar na lista de permissões os endereços IP do portal da Purple para que os clientes possam efetivamente aceder à splash page antes de serem autenticados. A Purple fornece dois endereços IP para o seu portal, e precisará de permitir ambos na sua ACL de pré-autenticação. [medium pause] Aqui está a sequência de configuração para o Catalyst 9800. Primeiro, crie o mapa de parâmetros. Em seguida, configure o seu filtro de URL para permitir o domínio da Purple na pré-autenticação. Aplique isto ao seu perfil de política WLAN, defina a segurança de Camada 2 como Nenhuma, ative a Política Web na Camada 3 e aponte-a para o seu mapa de parâmetros. [medium pause] Agora, o RADIUS. O Purple atua como o servidor RADIUS nesta arquitetura. Configura o WLC para apontar para o endpoint RADIUS do Purple, que encontrará no painel do Purple em definições de rede do seu local. O segredo partilhado é gerado por local. No Catalyst 9800, navegue para Configuration, Security, AAA, Servers, e adicione o servidor RADIUS do Purple com o IP correto e o segredo partilhado. Em seguida, crie um grupo de servidores, uma lista de métodos de autenticação, e aplique-a ao seu WLAN. [medium pause] Um detalhe que costuma passar despercebido: no 9800, também deve configurar o endereço IP virtual no mapa de parâmetros globais de web auth. Utilize 192.0.2.1 como o endereço IPv4 virtual. Se ignorar este passo, os clientes podem ser redirecionados para o portal interno em vez do portal do Purple, e passará uma tarde frustrante a tentar perceber o porquê. [medium pause] Vamos passar para o WiFi de Funcionários com 802.1X. [short pause] Para redes de funcionários, pretende autenticação baseada em certificados usando EAP-TLS, ou no mínimo PEAP com MSCHAPv2 para ambientes onde a implementação de certificados não seja viável. No Catalyst 9800, crie um WLAN separado para os funcionários, defina a segurança Layer 2 para WPA2 Enterprise, e aponte a autenticação para o seu servidor RADIUS. Se estiver a utilizar o Microsoft Entra ID ou Okta como o seu fornecedor de identidade, o suplemento SecurePass do Purple funciona como o proxy RADIUS, traduzindo pedidos de autenticação 802.1X em consultas ao fornecedor de identidade. Isto significa que não necessita de um servidor RADIUS local separado para a autenticação de funcionários. O Purple trata da terminação EAP e reencaminha a verificação de identidade para o seu fornecedor de identidade. [medium pause] Especificamente para EAP-TLS, precisará de implementar certificados de cliente nos dispositivos dos funcionários, seja através do Microsoft Intune, Jamf, ou uma plataforma MDM semelhante. A cadeia de certificados deve ser fidedigna para o servidor RADIUS do Purple, o que significa carregar o seu certificado de AC de raiz para o painel do Purple. Assim que estiver configurado, os dispositivos dos funcionários autenticam-se de forma silenciosa, sem pedidos de palavra-passe, sem páginas de boas-vindas. O utilizador liga-se, o certificado é validado, e ficam na VLAN de funcionários em segundos. [medium pause] Agora, a parte que a maioria dos arquitetos considera genuinamente interessante: Cisco Identity PSK, ou iPSK. [short pause] O iPSK resolve um problema específico que surge constantemente em ambientes multi-inquilino. Imagine um hotel com 300 quartos, ou um complexo comercial com 50 lojas, ou um empreendimento residencial com 200 apartamentos. Pretende um único SSID, mas precisa de que cada inquilino, cada quarto, ou cada grupo de dispositivos esteja isolado na sua própria VLAN. A resposta tradicional era criar um SSID separado por inquilino, o que não é escalável e cria congestionamento de radiofrequência. O iPSK oferece-lhe um único SSID onde cada cliente ou grupo de clientes tem uma chave pré-partilhada exclusiva, e o servidor RADIUS mapeia essa chave para uma VLAN específica. [medium pause] Eis como funciona tecnicamente. Quando um cliente se associa ao SSID, o Catalyst 9800 WLC envia um RADIUS Access-Request para o servidor RADIUS da Purple, incluindo o endereço MAC do cliente. O servidor RADIUS da Purple procura esse endereço MAC na sua base de dados iPSK, encontra a PSK associada e a atribuição de VLAN, e devolve um RADIUS Access-Accept contendo o Cisco AV-pair com a PSK, e os atributos de túnel IETF para atribuição de VLAN. O WLC utiliza a PSK devolvida para concluir o handshake de quatro vias WPA2, e depois coloca o cliente na VLAN atribuída. [medium pause] Os três atributos RADIUS que necessita para a atribuição dinâmica de VLAN são: atributo IETF 64, Tunnel-Type, definido como VLAN com o valor 13. Atributo IETF 65, Tunnel-Medium-Type, definido como 802, com o valor 6. E o atributo IETF 81, Tunnel-Private-Group-ID, definido como o ID da VLAN como uma string. Estes três atributos, enviados em conjunto no RADIUS Access-Accept, dizem ao WLC exatamente qual a VLAN a atribuir. A VLAN já deve existir no WLC como uma interface dinâmica, e a porta do switch de uplink deve estar configurada como um trunk que transporta todas as VLANs relevantes. [medium pause] No lado do WLC, ative a filtragem MAC no WLAN iPSK, ative o AAA Override, e defina a segurança de Camada 2 para WPA2-PSK. A PSK global que configurar no WLAN funciona apenas como uma alternativa de recurso. A PSK devolvida por RADIUS tem precedência para qualquer cliente cujo endereço MAC esteja registado na base de dados iPSK da Purple. Para dispositivos não registados, pode recusar o acesso ou recorrer à PSK global, dependendo da sua política. [medium pause] Deixe-me dar-lhe dois cenários do mundo real para tornar isto concreto. [short pause] Primeiro cenário: um hotel de 200 quartos. O hotel quer os hóspedes na VLAN 10 apenas com acesso à internet, o pessoal na VLAN 20 com acesso ao sistema de gestão de propriedade, e os dispositivos IoT, fechaduras de portas, termostatos, CCTV, na VLAN 30 sem acesso à internet. Estão a utilizar controladores Cisco Catalyst 9800 com pontos de acesso Cisco série 9100. [medium pause] A arquitetura: três perfis de política no WLC, um por VLAN. Um único SSID para hóspedes que utiliza Autenticação Web Externa a apontar para a Purple. Um SSID separado para o pessoal que utiliza WPA2 Enterprise com EAP-TLS, autenticado através do Purple SecurePass contra o Microsoft Entra ID. E iPSK para dispositivos IoT, com o endereço MAC de cada dispositivo registado no portal da Purple e atribuído à VLAN 30. O sistema de gestão de propriedade do hotel aprovisiona novos dispositivos IoT através da API da Purple, por isso, quando uma nova fechadura de porta é instalada, o seu endereço MAC é automaticamente registado e atribuído à VLAN correta. Não é necessária qualquer configuração manual de RADIUS. [medium pause] Segundo cenário: uma cadeia de retalho com 80 lojas. Cada loja tem uma rede WiFi de hóspedes, uma rede de pessoal e uma rede para terminais de pagamento. A conformidade com o PCI-DSS exige que a rede de terminais de pagamento esteja completamente isolada da rede de hóspedes. O retalhista utiliza controladores Cisco Catalyst 9800-L em cada local, geridos centralmente através do Cisco Catalyst Centre. [medium pause] O Purple é implementado como uma sobreposição na nuvem. O WLC de cada loja é configurado com os detalhes do servidor RADIUS do Purple. A autenticação de convidados utiliza uma splash page personalizada com recolha de e-mail, alimentando a plataforma de analítica do Purple com dados primários. A autenticação de funcionários utiliza PEAP contra o Active Directory através do Purple SecurePass. Os terminais de pagamento utilizam iPSK com uma VLAN dedicada, e a ACL pré-autenticação bloqueia explicitamente qualquer tráfego entre a VLAN de pagamento e a VLAN de convidados, cumprindo o requisito PCI-DSS 1.3 para segmentação de rede. [medium pause] Agora vamos falar sobre os problemas comuns. [short pause] O modo de falha mais comum é o loop de redirecionamento. Isto acontece quando a ACL pré-autenticação não coloca corretamente os endereços IP do portal do Purple na lista de permissões, fazendo com que o WLC redirecione o cliente para o portal do Purple, mas o cliente não consegue aceder ao portal porque a ACL o bloqueia, fazendo com que o WLC redirecione novamente, indefinidamente. Correção: verifique se o seu filtro de URL ou ACL pré-autenticação inclui ambos os endereços IP do portal do Purple, e confirme se a resolução de DNS é permitida antes da autenticação. [medium pause] O segundo problema comum é o erro de correspondência de VLAN. O servidor RADIUS devolve um ID de VLAN que não existe como interface dinâmica no WLC. O WLC coloca então o cliente na VLAN nativa, que normalmente é a VLAN de gestão. Isto é um risco de segurança. Correção: antes de implementar, audite as suas interfaces dinâmicas do WLC em relação aos IDs de VLAN configurados nas políticas RADIUS do Purple. Devem coincidir exatamente. [medium pause] Terceiro problema comum: falhas de fidedignidade de certificados em implementações EAP-TLS. Se a cadeia de certificados do cliente não for fidedigna para o servidor RADIUS do Purple, a autenticação falha silenciosamente do ponto de vista do utilizador. Eles simplesmente não conseguem ligar-se. Correção: carregue a sua CA raiz e quaisquer certificados de CA intermédia na configuração do Purple SecurePass antes de implementar os certificados de cliente. Teste com um único dispositivo antes de implementar em toda a frota. [medium pause] Perguntas rápidas. [short pause] Posso utilizar o Purple com Cisco Meraki em vez de WLC? Sim. O Cisco Meraki tem o seu próprio mecanismo de integração de Captive Portal, e o Purple suporta-o nativamente. A configuração do RADIUS é semelhante, mas utiliza o painel de controlo do Meraki em vez da linha de comandos do WLC. [short pause] O Purple suporta WPA3 em Cisco? Sim. O WPA3-SAE é suportado em Cisco Catalyst 9800 com IOS-XE 17.3 e posterior. A integração RADIUS do Purple funciona de forma idêntica com WPA3. [short pause] Qual é a recomendação de timeout do RADIUS? Defina o timeout do seu servidor RADIUS primário para três segundos com duas tentativas. Configure um servidor RADIUS secundário para failover. O Purple fornece endpoints RADIUS redundantes para clientes empresariais. [short pause] Posso utilizar o Cisco ISE juntamente com o Purple? Sim. Algumas organizações utilizam o ISE para avaliação de postura e perfil de dispositivos, enquanto utilizam o Purple para portal de convidados e analítica. Os dois servidores RADIUS são configurados em WLANs separadas. [medium pause] Para resumir. [short pause] A infraestrutura sem fios Cisco WLC e Catalyst integra-se perfeitamente com a Purple utilizando External Web Authentication para redirecionamento de Captive Portal de convidados, 802.1X EAP-TLS ou PEAP para autenticação de colaboradores através do Purple SecurePass, e Cisco iPSK com atribuição dinâmica de VLAN para segmentação de multi-inquilino e IoT. Os três atributos RADIUS VLAN, Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID, são o mecanismo que impulsiona a segmentação dinâmica. Configure corretamente as suas ACLs de pré-autenticação, faça corresponder os seus IDs de VLAN entre o RADIUS e a WLC, e teste as cadeias de fidedignidade dos certificados antes da implementação em massa. [medium pause] A Purple opera em mais de 80.000 locais e processou 440 milhões de inícios de sessão em 2024. A integração com a Cisco é uma das nossas configurações mais implementadas globalmente. Se quiser começar, o painel da Purple guia-o através da configuração do RADIUS por local, e a nossa equipa de integração está disponível para implementações empresariais. [medium pause] É tudo para este briefing. Obrigado por ouvir.