Saltar para o conteúdo principal
Português

SonicWall TZ and SonicWave Integration with Purple WiFi

Esta referência técnica detalha a integração de firewalls SonicWall TZ e APs SonicWave com a plataforma Purple WiFi. Fornece passos de configuração práticos para redirecionamento de Captive Portal, exceções de walled garden, autenticação 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK).

📖 6 min de leitura📝 1,263 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
INTEGRAÇÃO DO SONICWALL TZ E SONICWAVE COM A PURPLE WIFI Purple WiFi Intelligence Platform - Série de Briefing Técnico Duração: Aproximadamente 10 minutos Voz: Inglês do Reino Unido, tom de consultor sénior - confiante, conversacional, autoritário --- SEGMENTO 1: INTRODUÇÃO E CONTEXTO (aproximadamente 1 minuto) Bem-vindo à Série de Briefing Técnico da Purple. Hoje estamos a abordar uma das integrações tecnicamente mais complexas no espaço de WiFi empresarial: firewalls SonicWall TZ e pontos de acesso SonicWave, implementados em conjunto com a Purple para autenticação de convidados, controlo de acesso de funcionários e isolamento de rede multi-tenant. Se é um engenheiro de segurança de TI ou um MSP a gerir locais - hotéis, cadeias de retalho, centros de conferências ou empreendimentos de uso misto - este briefing é para si. Vamos avançar rapidamente pela arquitetura, os passos de configuração e os pontos onde as implementações costumam falhar. A SonicWall é uma escolha forte no segmento das PME e no mercado intermédio. As firewalls da série TZ estão amplamente implementadas e os APs SonicWave integram-se nativamente através do SonicOS e do Wireless Network Manager. Quando adiciona a Purple por cima, obtém uma camada de WiFi de convidados gerida na nuvem com Captive Portals personalizados, autenticação baseada em RADIUS e captura de dados primários - tudo isto sem substituir a sua infraestrutura SonicWall existente. Vamos passar à arquitetura. --- SEGMENTO 2: MERGULHO TÉCNICO PROFUNDO (aproximadamente 5 minutos) Existem quatro casos de uso distintos para abordar aqui, e cada um tem um caminho de configuração diferente. WiFi de convidados com redirecionamento de Captive Portal. Exceções de Walled Garden. WiFi seguro para funcionários utilizando 802.1X. E isolamento multi-tenant utilizando chaves privadas pré-partilhadas da SonicWall - PPSK - com direcionamento dinâmico de VLAN. Vamos começar com o WiFi de convidados e o Captive Portal da SonicWall. O SonicOS utiliza um mecanismo chamado Lightweight Hotspot Messaging - LHM - para lidar com redirecionamentos de Captive Portal externos. Quando um convidado se liga ao seu SSID de convidados e abre um navegador, o SonicWall intercepta essa requisição HTTP e redireciona-a para o URL do Captive Portal da Purple. O convidado autentica-se na plataforma da Purple - através de login social, e-mail ou um clique de aceitação - e a Purple envia uma autorização LHM de volta para o SonicWall na porta TCP 4043. O SonicWall abre então o acesso à Internet para o endereço MAC desse dispositivo. A configuração no SonicOS 7.x funciona da seguinte forma. Primeiro, navegue até Object, depois Match Objects, e depois Zones. Edite a zona atribuída ao seu WiFi de convidados - normalmente uma WLAN ou uma zona personalizada. Em Guest Services, ative tanto "Enable Guest Services" como "External Guest Authentication." Depois aceda a Configure, Guest Services, General. Defina o Client Redirect Protocol para HTTP. Introduza o hostname do portal da Purple como endereço do servidor web - que é portal.purple.ai. Defina o caminho de redirecionamento para o URL do Captive Portal específico do seu local, que a Purple fornece no painel do local. A porta é a 4043. No separador Auth Pages, configure o URL de login para o URL do portal externo da Purple. Configure o URL de logout se pretender gerir a terminação da sessão. No separador Advanced, ative "Allow unauthenticated users to access HTTPS sites" apenas se precisar de suportar dispositivos HTTPS-first - mas tenha em atenção que isto enfraquece a aplicação do redirecionamento. Depois de guardado, o SonicOS cria automaticamente uma política NAT e uma regra de acesso WAN-to-WAN que permite TCP 4043. Não elimine estas regras geradas automaticamente. São elas que permitem a conclusão do handshake LHM. Agora, a configuração do Walled Garden. Antes de um convidado se autenticar, o seu dispositivo precisa de aceder a determinados domínios para que a splash page funcione. A plataforma da Purple depende da sua própria CDN e endpoints de API. As sondas de deteção de Captive Portal do sistema operativo - captive.apple.com para dispositivos iOS, connectivitycheck.gstatic.com para Android e msftconnecttest.com para Windows - devem ser todas incluídas na whitelist. Se estiver a disponibilizar o login social, adicione accounts.google.com, oauth2.googleapis.com, apis.google.com e gstatic.com para o Google. Adicione www.facebook.com, graph.facebook.com, connect.facebook.net e o domínio de CDN fbcdn.net se estiver a disponibilizar o login do Facebook. No SonicOS, adicione estes como objetos de endereço FQDN em Object, Match Objects, Addresses. Em seguida, crie regras de acesso na zona de convidados que permitam que os dispositivos não autenticados acedam a estes FQDNs. Utilize a resolução DNS dinâmica - o SonicOS resolve objetos FQDN em intervalos regulares - em vez de entradas de IP estáticas, que irão sofrer desvios à medida que os intervalos de IP da CDN forem alterados. Passando para o WiFi Seguro para Funcionários com 802.1X. É aqui que os APs SonicWave e o servidor RADIUS da Purple funcionam em conjunto. O AP SonicWave atua como o autenticador na troca 802.1X. O suplicante é o dispositivo do funcionário. O servidor RADIUS da Purple é o servidor de autenticação. O método EAP que escolher depende do seu fornecedor de identidade. Se estiver a utilizar o Microsoft Entra ID ou o Okta, o PEAP-MSCHAPv2 é a escolha mais comum porque funciona com credenciais de utilizador e palavra-passe. Se tiver implementado certificados de dispositivo - que é a abordagem recomendada para dispositivos geridos - utilize EAP-TLS. No Wireless Network Manager, navegue até Policies, Policy Hierarchy, selecione a sua política de AP e clique no separador 802.1X. Introduza o endereço IP do servidor RADIUS da Purple - disponível no painel de controlo do seu espaço Purple na secção de definições de RADIUS. O segredo partilhado é gerado pela Purple e deve corresponder exatamente em ambos os lados. Configure a porta de autenticação para 1812 e a porta de accounting para 1813. Para as definições de EAP, selecione o método que corresponde à configuração do seu fornecedor de identidade. Do lado do Purple, crie uma política RADIUS para a autenticação de funcionários. Mapeie o SSID dos funcionários para uma VLAN específica - por exemplo, VLAN 200 para funcionários. O servidor RADIUS do Purple devolve a atribuição de VLAN utilizando três atributos padrão: Tunnel-Type definido como VLAN, Tunnel-Medium-Type definido como 802 e Tunnel-Private-Group-ID definido como o ID da VLAN em formato string - ou seja, "200" para a VLAN 200. A firewall SonicWall e o AP SonicWave respeitam estes atributos e colocam automaticamente o dispositivo autenticado do funcionário na VLAN correta. Agora, o caso de utilização mais interessante do ponto de vista arquitetónico: PPSK e isolamento multi-tenant. As Chaves Privadas Partilhadas Previamente (PPSK) permitem executar um único SSID e atribuir a cada inquilino, residente ou grupo de utilizadores uma frase de acesso exclusiva. Quando um dispositivo se liga utilizando uma PPSK específica, o AP SonicWave envia essa chave para o servidor RADIUS do Purple para validação. O Purple consulta a chave, identifica o inquilino ou grupo de utilizadores associado e devolve a atribuição de VLAN apropriada através do atributo Tunnel-Private-Group-ID. O SonicWall encaminha então esse dispositivo para a VLAN correta - completamente isolado de outros inquilinos no mesmo SSID. Isto é Redes Baseadas em Identidade na prática. Não está a gerir SSIDs por inquilino. Está a gerir identidades por inquilino. Num empreendimento de uso misto com dez unidades de retalho, um único SSID emite para todo o edifício. Cada inquilino recebe a sua própria PPSK. Cada PPSK mapeia para uma VLAN e sub-rede dedicadas. Os dispositivos do Inquilino A nunca veem o tráfego do Inquilino B, embora partilhem os mesmos pontos de acesso físicos. A configuração de PPSK no SonicOS requer o modo PPSK baseado em RADIUS no SSID. No Wireless Network Manager, edite o SSID, defina o modo de segurança para WPA2-Enterprise com PPSK e aponte o servidor RADIUS para o Purple. O Purple gere a tabela de mapeamento PPSK-para-VLAN de forma centralizada. Quando adiciona um novo inquilino, cria uma nova PPSK no Purple, atribui-lhe uma VLAN e a alteração propaga-se para todos os APs SonicWave nesse local sem tocar na configuração da firewall. --- SEGMENTO 3: RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS (aproximadamente 2 minutos) Deixe-me apresentar-lhe as três coisas que mais frequentemente correm mal nas implementações de SonicWall e Purple. Primeiro: a porta LHM. A porta TCP 4043 deve estar aberta da WAN para a interface WAN do SonicWall. Se o seu ISP ou firewall a montante bloquear esta porta, o handshake de autorização LHM nunca é concluído e os visitantes ficam presos na splash page após a autenticação. Eles veem um início de sessão bem-sucedido do lado do Purple, mas o SonicWall nunca recebe o sinal de autorização. Teste isto com uma verificação por telnet ou curl para a porta 4043 a partir de um IP externo antes da entrada em produção. Segundo: o tempo de resolução de objetos FQDN. O SonicOS resolve objetos de endereço FQDN no arranque e, depois, num intervalo configurável. Se adicionar um novo domínio de walled garden e a resolução ainda não tiver sido atualizada, os dispositivos não autenticados não conseguirão aceder ao mesmo. Force uma atualização manual após adicionar novos objetos FQDN ou defina o intervalo de atualização de DNS para 60 segundos em implementações de elevado tráfego. Terceiro: Configuração de subinterfaces VLAN. A atribuição dinâmica de VLAN via RADIUS só funciona se as VLANs de destino existirem como subinterfaces na SonicWall antes da autenticação do primeiro dispositivo. Se uma resposta RADIUS retornar o Tunnel-Private-Group-ID 110 mas a VLAN 110 não existir como uma subinterface na SonicWall, o dispositivo será desconectado ou reverterá para a VLAN padrão. Crie e teste todas as subinterfaces VLAN antes de ativar a atribuição de VLAN por RADIUS. Para MSPs que gerem múltiplos locais, o painel na nuvem da Purple permite-lhe gerir políticas RADIUS, tabelas PPSK e configurações de splash pages de forma centralizada. Pode aplicar alterações de configuração a todos os locais a partir de uma única interface. Essa é a vantagem operacional de uma abordagem de sobreposição na nuvem - o hardware SonicWall permanece no local e a Purple lida com a camada de identidade e política acima dele. --- SEGMENTO 4: PERGUNTAS E RESPOSTAS RÁPIDAS (aproximadamente 1 minuto) Algumas perguntas que surgem regularmente. "Posso usar APs SonicWave em modo autónomo com a Purple?" Sim, mas perde algumas funcionalidades. No modo autónomo, os APs SonicWave gerem a sua própria configuração RADIUS localmente. Pode continuar a apontá-los para o servidor RADIUS da Purple para 802.1X. Mas para PPSK com atribuição dinâmica de VLAN, precisa da firewall SonicWall TZ como proxy RADIUS ou do Wireless Network Manager a gerir a política dos APs de forma centralizada. "A Purple suporta WPA3 em SonicWave?" O suporte para WPA3 em SonicWave depende da versão do firmware e do modelo do AP. Os APs da série SonicWave 600 suportam WPA3. Para casos de uso de Captive Portal, o WPA3 com Opportunistic Wireless Encryption é compatível com o fluxo de redirecionamento LHM da Purple, mas teste na sua versão de firmware específica antes de implementar em larga escala. "Como é que a Purple lida com o GDPR para dados de convidados recolhidos através da splash page?" A Purple possui certificação ISO 27001, está em conformidade com o GDPR e tem a certificação Cyber Essentials. O consentimento é capturado na splash page com caixas de seleção de auto-exclusão (opt-in) configuráveis. A Purple armazena dados primários de acordo com a sua política de retenção de dados. Os convidados podem aceder e eliminar os seus dados através do portal de self-service da Purple. "Que atributos RADIUS é que a Purple retorna para a atribuição dinâmica de VLAN?" Três atributos: Tunnel-Type com o valor VLAN, Tunnel-Medium-Type com o valor 802, e Tunnel-Private-Group-ID com o ID da VLAN como uma string. Estes são os atributos padrão RFC 2868 suportados pelo SonicOS e SonicWave. --- SEGMENTO 5: RESUMO E PRÓXIMOS PASSOS (aproximadamente 1 minuto) Em resumo. As firewalls SonicWall TZ e os APs SonicWave integram-se com a Purple através de dois mecanismos principais: LHM para redirecionamento do Captive Portal de convidados, e RADIUS para autenticação 802.1X de funcionários e isolamento multi-tenant baseado em PPSK. Os principais passos de configuração são: ativar a Autenticação Externa de Convidados na zona de convidados, configurar o URL do portal da Purple na porta 4043, criar os seus objetos FQDN de walled garden, configurar o RADIUS na política do AP SonicWave no Wireless Network Manager, e criar as suas subinterfaces VLAN na SonicWall antes de ativar a atribuição dinâmica de VLAN.Para implementações multi-tenant, o PPSK com direcionamento de VLAN baseado em RADIUS é a arquitetura a utilizar. Um SSID, um conjunto de APs, isolamento completo de tenants através de atribuição de VLAN baseada em identidade. Se está a planear uma implementação ou a rever uma existente, a equipa técnica da Purple pode fornecer ficheiros de configuração RADIUS específicos para o local e listas de domínios para o walled garden. A plataforma Purple suporta 80.000 locais ativos e processou 440 milhões de inícios de sessão em 2024 - os padrões de integração que cobrimos hoje estão comprovados à escala. Obrigado por ouvir. O guia escrito completo, com tabelas de configuração passo a passo e diagramas de arquitetura Mermaid, está disponível no website da Purple. --- FIM DO GUIÃO

header_image.png

执行摘要

将 SonicWall 网络基础设施与 Purple 的云覆盖层集成,可提供企业级访问控制以及先进的第一方数据捕获。本指南涵盖了四个不同用例的技术实现:具有 Captive Portal 重定向的访客 WiFi、Walled Garden 例外情况、使用 802.1X 的安全员工 WiFi,以及使用具有动态 VLAN 引导的 SonicWall 私有预共享密钥 (PPSK) 的多租户隔离。

我们每年在超过 80,000 个活跃场所处理 4.4 亿次登录。下面详述的架构已在酒店、零售和公共部门环境中得到大规模验证。它允许您保留现有的 SonicWall 硬件,同时将身份管理、Splash 页面托管和 RADIUS 身份验证卸载到 Purple 云。

技术深挖

该集成依赖于两种主要机制:用于 Captive Portal 重定向的轻量级热点消息传递 (LHM),以及用于 802.1X 和 PPSK 身份验证的 RADIUS。

通过 LHM 进行 Captive Portal 重定向

SonicOS 使用 LHM 处理外部 captive portal 重定向。当未通过身份验证的访客设备尝试访问互联网时,SonicWall TZ 防火墙会拦截 HTTP 请求,并将客户端重定向到 Purple 托管的 splash 页面。访客完成身份验证流程(例如,社交登录、表单填写)。然后,Purple 通过 TCP 端口 4043 向 SonicWall 发送回 LHM 授权数据包。收到此数据包后,SonicWall 将更新其内部访问控制列表,允许该设备的 MAC 地址访问互联网。

architecture_overview.png

Walled Garden 架构

在身份验证之前,访客设备将保留在受限区域中。Walled Garden 是允许设备访问以渲染 splash 页面并完成登录过程的特定完全限定域名 (FQDN) 集合。这包括 Purple 的 CDN (cdn.purple.ai)、身份验证 API (api.purple.ai) 以及 Google Workspace、Microsoft Entra ID 和 Meta 等第三方身份提供商所需的域名。

SonicOS 使用 FQDN 地址对象实现 walled garden。防火墙对这些对象执行动态 DNS 解析,并自动更新允许的 IP 范围。这至关重要,因为身份提供商和 CDN 使用动态 IP 分配;静态 IP 白名单将不可避免地失效。

安全员工 WiFi 和 802.1X

对于员工网络,SonicWave AP 充当 802.1X 认证器,将请求代理至 Purple 的 RADIUS 服务器。我们建议对使用证书的托管设备使用 EAP-TLS,或针对 Microsoft Entra ID 等目录使用 PEAP-MSCHAPv2 进行用户名/密码认证。认证成功后,Purple 会返回标准的 RADIUS 属性(Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID),以将设备动态分配给正确的员工 VLAN。

使用 PPSK 的多租户隔离

基于身份的网络(Identity-Based Networks)消除了对复杂多 SSID 部署的需求。使用 SonicWall PPSK,单个 SSID(例如“Multi-Tenant-WiFi”)可在整个场馆内广播。每个租户都会收到一个唯一的密码。当设备使用特定的 PPSK 进行关联时,SonicWave AP 会向 Purple 的 RADIUS 服务器验证该密钥。Purple 识别该租户并返回关联的 VLAN ID。然后,SonicWall 将流量引导至隔离的租户 VLAN 中。

ppsk_vlan_diagram.png

实施指南

1. 配置 SonicWall Captive Portal (LHM)

要在运行 SonicOS 7.x 的 SonicWall TZ 系列上配置外部 Captive Portal:

  1. 导航至 Object > Match Objects > Zones。编辑分配给您的访客网络的区域(例如 WLAN)。
  2. Guest Services 选项卡下,启用 Enable Guest ServicesExternal Guest Authentication
  3. 导航至 Configure > Guest Services > General
  4. Client Redirect Protocol 设置为 HTTP
  5. Web Server 地址设置为 portal.purple.ai
  6. Port 设置为 4043
  7. Auth Pages 选项卡下,将 Login URL 设置为 Purple 场馆控制面板中提供的特定展示页面 URL。
  8. 保存配置。SonicOS 将自动生成 NAT 策略和 WAN 到 WAN 的访问规则以允许 TCP 端口 4043。请勿修改这些自动生成的规则。

2. 构建 Walled Garden

为所需的域名创建 FQDN 地址对象,并将它们添加到地址组中。将此组应用于访客区域中的允许规则。

所需的 Purple 域名:

  • *.purple.ai
  • *.purpleportal.net

操作系统 Captive Portal 探测:

  • captive.apple.com (iOS/macOS)
  • connectivitycheck.gstatic.com (Android)
  • msftconnecttest.com (Windows)

常见的社交登录域名 (Google):

  • accounts.google.com
  • oauth2.googleapis.com
  • apis.google.com
  • *.gstatic.com

3. 为 SonicWave AP 配置 RADIUS

要通过 Wireless Network Manager 将 SonicWave AP 与 Purple RADIUS 集成:

  1. 导航至 Policies > Policy Hierarchy 并选择您的 AP 策略。
  2. 选择 802.1X 选项卡。
  3. 输入 Purple RADIUS 服务器 IP 地址(可在您的 Purple 控制面板中找到)。
  4. 输入由 Purple 生成的共享密钥。
  5. Authentication Port 设置为 1812,将 Accounting Port 设置为 1813
  6. 根据您的身份提供商选择合适的 EAP 方法。

4. 配置动态 VLAN 引导

在启用动态分配之前,确保目标 VLAN 作为子接口存在于 SonicWall TZ 防火墙上。

在 Purple 控制面板中,将用户组或 PPSK 映射到目标 VLAN ID。Purple 在成功验证后将返回以下属性:

  • Tunnel-Type = VLAN (13)
  • Tunnel-Medium-Type = 802 (6)
  • Tunnel-Private-Group-ID = [VLAN ID](例如,"110")

最佳实践

  • 测试 LHM 端口可见性:必须能够从互联网访问 SonicWall WAN 接口的 TCP 端口 4043。在上线前使用外部端口扫描器对此进行测试。如果 ISP 阻止了此端口,授权数据包将丢失,访客将一直受阻于展示页面。
  • 预先配置 VLAN 子接口:如果在验证事件发生之前未在 SonicWall 上配置目标 VLAN 子接口,动态 VLAN 引导将静默失败。设备将退回到默认的未标记 VLAN。
  • 强制基于 Web 的 OAuth:确保您的展示页面配置强制执行基于 Web 的 OAuth 流程。深层链接到原生社交媒体应用(例如 Facebook iOS 应用)通常会中断 Captive Portal 流程,因为原生应用流量会被 Walled Garden 阻止。
  • 优化 DNS 刷新间隔:SonicOS 会定期解析 FQDN 对象。在体育场或交通枢纽等高周转环境中,请将 Walled Garden 对象的 DNS 刷新间隔设置为 60 秒,以确保准确跟踪 CDN IP 更改。

故障排除与风险缓解

现象:访客完成了展示页面登录,但无法访问互联网。 原因:TCP 4043 上的 LHM 授权数据包未到达 SonicWall。 解决方法:验证自动生成的 WAN 到 WAN 访问规则是否存在。检查上游 ISP 路由器是否有端口阻止。确保 SonicWall WAN IP 在 Purple 控制面板中正确注册。

现象:展示页面加载失败,或社交登录按钮返回 CORS 错误。 原因:Walled Garden 配置不完整。 解决方法:在未验证状态下连接测试设备。使用浏览器开发者工具(Network 选项卡)识别被阻止的 HTTPS 请求。在 SonicOS 中将失败的域名添加为 FQDN 地址对象。

现象:员工设备通过 802.1X 进行身份验证,但从默认 VLAN 而不是分配的 VLAN 获取 IP 地址。 原因:SonicWall 上不存在目标 VLAN 子接口,或者 RADIUS 属性格式错误。 解决方法:验证 VLAN 子接口是否处于活动状态。检查 Purple RADIUS 日志以确认 Tunnel-Private-Group-ID 是否作为与 VLAN ID 匹配的字符串值发送。

ROI 与业务影响

将 SonicWall 基础设施与 Purple 一起部署,可将标准的网络成本中心转变为可衡量的业务资产。

对于拥有200个网点的零售连锁店,从通用的预共享密钥过渡到品牌化的 Captive Portal,通常会在六个月内使已知客户画像增加40%。这些第一方数据可直接集成至CRM系统,从而推动精准营销活动并增加回头客流量。

在联合办公空间或学生公寓等多租户环境中,支持动态VLAN引导的PPSK消除了为每个租户管理专用硬件的运营开销。您只需部署一个物理网络,并根据身份进行逻辑划分。这在降低高达60%硬件资本支出的同时,还能保持严格符合ISO 27001标准的网络隔离。

Definições Principais

Lightweight Hotspot Messaging (LHM)

Um protocolo utilizado pela SonicWall para comunicar com Captive Portals externos. Trata do redirecionamento e do processo de autorização.

Necessário para integrar o SonicOS com plataformas de WiFi de convidados geridas na nuvem, como a Purple.

Walled Garden

Um conjunto específico de domínios ou endereços IP que os dispositivos não autenticados têm permissão para aceder.

Crucial para permitir que os dispositivos dos convidados carreguem a splash page, acedam a CDNs e concluam os fluxos de OAuth de login social antes de obterem acesso total à internet.

Private Pre-Shared Key (PPSK)

Um método de segurança no qual várias palavras-passe exclusivas são válidas num único SSID, estando cada palavra-passe associada a um utilizador ou política específica.

Utilizado em ambientes multi-tenant para isolar o tráfego sem transmitir múltiplos SSIDs.

Captive Network Assistant (CNA)

O mecanismo integrado do SO (em iOS, Android, Windows) que deteta um Captive Portal e abre automaticamente uma janela de navegador limitada para autenticação.

Se os domínios de validação do SO (por exemplo, captive.apple.com) não estiverem no walled garden, o CNA não será ativado e os convidados pensarão que o WiFi não está a funcionar.

Dynamic VLAN Steering

O processo de atribuição de um dispositivo a uma VLAN específica com base na sua identidade ou credenciais, em vez do SSID ao qual se ligou.

Gerido pelo RADIUS da Purple, que devolve o atributo Tunnel-Private-Group-ID à SonicWall.

FQDN Address Object

Um objeto de firewall baseado num Fully Qualified Domain Name (Nome de Domínio Totalmente Qualificado) em vez de num endereço IP estático.

O SonicOS resolve estes objetos de forma dinâmica, tornando-os essenciais para configurações robustas de walled garden.

Identity-Based Network

Uma arquitetura de rede onde as políticas de acesso e a segmentação são aplicadas com base no utilizador ou dispositivo autenticado, em vez de portas físicas ou SSIDs.

Alcançado através da combinação do RADIUS da Purple com PPSK e 802.1X da SonicWall.

Tunnel-Private-Group-ID

O atributo RADIUS padrão da norma RFC 2868 utilizado para especificar o ID da VLAN para um dispositivo em ligação.

Deve ser devolvido pela Purple como um valor de string (por exemplo, '100') para instruir a SonicWall a direcionar o dispositivo.

Exemplos Práticos

Um hotel de 150 quartos (Premier Inn) necessita de disponibilizar WiFi para convidados gratuito através de uma splash page e uma rede Staff WiFi segura para dispositivos de limpeza (housekeeping). Possuem um SonicWall TZ570 e 40 APs SonicWave. Como devem segmentar este tráfego?

Implemente dois SSIDs. SSID 1: "Guest-WiFi" mapeado para a VLAN 100. Configure a zona WLAN do SonicWall para Autenticação Externa de Convidados a apontar para portal.purple.ai em TCP 4043. Configure os FQDNs de walled garden para a Purple e logins sociais. SSID 2: "Staff-WiFi" mapeado para a VLAN 200 usando 802.1X. Aponte a política de AP SonicWave para o servidor RADIUS da Purple. Configure a Purple para autenticar os dispositivos de limpeza via bypass de endereço MAC (MAB) ou PEAP-MSCHAPv2, retornando Tunnel-Private-Group-ID "200".

Comentário do Examinador: Esta abordagem isola rigorosamente o tráfego não confiável de convidados dos sistemas operacionais. Usar a Purple tanto para o Captive Portal como para a autenticação RADIUS centraliza a gestão de identidades. O MAB é apropriado para dispositivos headless (como carrinhos de limpeza), enquanto o 802.1X protege os telemóveis do pessoal.

Um espaço de coworking gere 15 empresas diferentes que partilham um escritório em plano aberto. Querem fornecer redes seguras e isoladas para cada empresa sem transmitir 15 SSIDs diferentes a partir dos seus APs SonicWave.

Implemente um único SSID chamado "Workspace-Secure" usando WPA2-Enterprise com PPSK. Crie 15 subinterfaces VLAN no firewall SonicWall TZ (ex. VLANs 101-115). No painel da Purple, gere um PPSK exclusivo para cada empresa e mapeie-o para o respetivo ID de VLAN. Quando um utilizador se liga utilizando o PPSK da sua empresa, o RADIUS da Purple retorna o Tunnel-Private-Group-ID correspondente, e o SonicWall direciona o dispositivo para a VLAN isolada.

Comentário do Examinador: Este design de rede baseada em identidade escala de forma limpa. A transmissão de 15 SSIDs causaria uma sobrecarga severa de tráfego de gestão e degradaria o desempenho do WiFi. O PPSK oferece a segurança de credenciais exclusivas e o isolamento de VLANs dedicadas sem o impacto de RF de múltiplos SSIDs.

Perguntas de Prática

Q1. Configurou a zona de convidados do SonicWall para Autenticação Externa de Convidados e definiu o servidor web para portal.purple.ai. Os convidados são redirecionados para a splash page e conseguem iniciar sessão com sucesso, mas nunca obtêm acesso à internet. Qual é a causa mais provável?

Dica: Pense em como a Purple informa o SonicWall de que a autenticação foi bem-sucedida.

Ver resposta modelo

O pacote de autorização LHM está a ser bloqueado. A porta TCP 4043 deve estar aberta na interface WAN do SonicWall para receber o sinal de sucesso da Purple. Verifique as firewalls a montante ou as configurações do ISP quanto ao bloqueio de portas.

Q2. Um espaço pretende disponibilizar o início de sessão do Facebook na sua splash page. Adiciona o endereço www.facebook.com ao grupo de endereços FQDN do walled garden. Os convidados relatam que a página de início de sessão do Facebook carrega, mas a formatação está incorreta e o botão de login não funciona.

Dica: As aplicações web modernas carregam recursos de múltiplos domínios.

Ver resposta modelo

O walled garden está incompleto. Deve também incluir na lista de permissões os domínios que fornecem o CSS, JavaScript e as chamadas de API do Facebook, especificamente graph.facebook.com, connect.facebook.net e o domínio CDN (por exemplo, *.fbcdn.net).

Q3. Está a implementar PPSK para um escritório partilhado com várias empresas. Configura o SSID para WPA2-Enterprise com PPSK e aponta o servidor RADIUS para a Purple. Cria uma PPSK na Purple associada à VLAN 50. Quando um utilizador se liga com essa PPSK, recebe um endereço IP da VLAN 10. Porquê?

Dica: O SonicWall precisa de saber para onde enviar o tráfego antes de o pedido RADIUS ser concluído.

Ver resposta modelo

A VLAN 50 não foi criada como uma subinterface na firewall SonicWall TZ. O encaminhamento dinâmico de VLAN requer que a VLAN de destino já exista previamente na firewall; caso contrário, o dispositivo reverte para a VLAN predefinida sem etiqueta (neste caso, a VLAN 10).

Continue a ler esta série

Integração do Cisco WLC e Catalyst com a Purple WiFi: Guia de Acesso de Convidados Passo a Passo

Este guia de referência detalha a integração passo a passo de Cisco Catalyst 9800 WLCs com a Purple WiFi. Abrange a External Web Authentication para portais cativos de convidados, 802.1X EAP-TLS para acesso seguro de funcionários e Cisco iPSK for segmentação de VLAN dinâmica multi-tenant.

Ler o guia →

Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Este guia de referência técnica fornece um manual de configuração autoritativo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK.

Ler o guia →

Integração de Access Points Allied Telesis com Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar access points Allied Telesis da Série TQ com o Purple WiFi. Abrange o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implementações multi-tenant seguras.

Ler o guia →