WatchGuard Firebox Integration with Purple WiFi: Setup and Configuration Guide

Este guia é um manual de integração passo a passo para gestores de TI e arquitetos de rede que implementam o WatchGuard Firebox e Access Points com o Purple. Abrange o redirecionamento de Captive Portal externo para Guest WiFi, autenticação 802.1X segura para Staff WiFi e segmentação multi-tenant utilizando WatchGuard Private Pre-Shared Keys (PPSK) com direcionamento dinâmico de VLAN - proporcionando-lhe uma arquitetura única e unificada em todos os níveis de acesso.

📖 8 min de leitura📝 1,854 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 10 definições principais

Ouça este guia

Ver transcrição do podcast

Welcome to the integration briefing. Today we are covering the WatchGuard Firebox and Access Point integration with Purple WiFi. This is a technical playbook for IT managers, network architects, and venue operations directors who need to deploy secure, scalable wireless infrastructure. We will be looking at Guest WiFi captive portals, Secure Staff WiFi using 802.1X, and Multi-Tenant segmentation using WatchGuard Private Pre-Shared Keys, or PPSK. Let's get straight into the context.

When you are managing a complex venue, say a stadium, a large retail centre, or a multi-dwelling unit, you need precise control over who accesses the network and what they can do once connected. You also need to capture first-party data to drive marketing revenue. WatchGuard provides the unified security platform and the hardware. Purple provides the cloud overlay, the identity management, and the analytics. By integrating the two, you automate identity-based access control. You eliminate the need for separate guest and staff gateways, which reduces hardware expenditure and simplifies management. Purple currently serves over 80,000 live venues and has processed 440 million logins in 2024 alone, so the platform is built to handle the scale of any venue you are likely to be managing.

Let's move into the technical deep-dive. The architecture relies on standard RADIUS protocols and HTTP redirection. We have three main access tiers. First, Guest WiFi. This is an open SSID. The WatchGuard AP intercepts HTTP requests and redirects the user to Purple's hosted splash page. Second, Staff WiFi. This is a secure WPA3-Enterprise SSID using 802.1X. Devices authenticate directly against Purple's RADIUS servers using EAP-TLS or PEAP. Third, Multi-Tenant WiFi. This uses WatchGuard PPSK. Multiple users connect to a single SSID, but each uses a unique password. The WatchGuard AP queries Purple's RADIUS server, which then dynamically assigns a VLAN based on that specific key.

So, how do we configure the Guest WiFi captive portal? Step one is setting up the RADIUS server in WatchGuard Cloud or the Firebox Policy Manager. You point the primary RADIUS server to Purple's IP address for your region. Authentication is on port 1812, accounting on port 1813. You enter the shared secret provided by Purple, and crucially, you ensure the NAS ID matches the MAC address of the Firebox or AP. This tells Purple which venue the request is coming from.

Step two is the captive portal redirection itself. In the SSID settings, you select Third-Party Hosted Captive Portal with RADIUS Authentication. You enter the Purple splash page URL, and you enter the portal shared secret. This is a specific secret generated in the Purple Analyze dashboard, and it is used to create an HMAC digest to validate authentication requests. The HMAC-SHA1 algorithm ensures that the authentication success message from Purple is genuine and has not been tampered with in transit.

Step three, and this is where many deployments stumble, is the Walled Garden. If you do not configure this, the device cannot load the splash page. You must allow access to star dot mypurple dot com, api dot mypurple dot com, and cdn dot mypurple dot com before login. If you are using social logins like Microsoft Entra ID or Google Workspace, you need to add those identity provider domains too. Think of the Walled Garden as the pre-authentication lobby. Without it, the guest cannot even reach the front door.

Now, let's look at Multi-Tenant segmentation with WatchGuard PPSK. If you manage a retail centre with 15 shops, broadcasting 15 different SSIDs is a poor approach. It causes co-channel interference, it clutters the airspace, and it creates a management overhead. PPSK solves this elegantly. You broadcast one SSID, say Centre-Retail. You enable Private Pre-Shared Key in the WatchGuard SSID settings, which requires firmware version 2.6 or higher on your WatchGuard Access Points. In Purple, you create unique keys, one per tenant.

To isolate the traffic, you use Dynamic VLAN Assignment. In WatchGuard Cloud, you set the VLAN to Dynamic VLAN assigned by RADIUS. When a shop connects a device using their specific key, the AP sends an Access-Request to Purple's RADIUS server. Purple validates the key and sends back an Access-Accept packet with three vital IETF RADIUS attributes. Tunnel-Type, which is attribute 64, set to VLAN. Tunnel-Medium-Type, attribute 65, set to 802. And Tunnel-Private-Group-ID, attribute 81, set to the assigned VLAN ID, for example VLAN 100 for Retail Tenant A. The WatchGuard AP then places that device onto VLAN 100, completely isolated from the other tenants. This is Identity-Based Networking in practice.

Let's discuss implementation recommendations and common pitfalls. First, session timeouts. Configure strict session timeouts in both Purple and WatchGuard to force re-authentication. This keeps your analytics accurate and ensures stale sessions do not consume bandwidth. Set your RADIUS Interim-Update intervals to 10 minutes. Second, firmware. You must ensure your WatchGuard Access Points are running firmware version 2.6 or higher to support PPSK. Earlier firmware versions do not support this feature. Third, MAC randomisation. Modern devices randomise their MAC addresses by default. For your secure Staff WiFi network, educate your staff to disable this feature for that specific SSID to ensure stable 802.1X authentication. MAC randomisation can cause authentication failures and inconsistent analytics data.

What happens when things go wrong? If the captive portal fails to load, check the Walled Garden first. If the device cannot resolve DNS or reach the Purple servers, it will show a timeout error rather than the splash page. If VLAN steering fails and the client receives an IP from the wrong VLAN, check the RADIUS logs in the Purple portal. Ensure the Tunnel-Private-Group-ID attribute is formatted correctly as a string and matches a VLAN that actually exists on the switch port connected to the AP. If you see HMAC digest errors in the WatchGuard logs, your Captive Portal Shared Secret does not match between WatchGuard and Purple. It must be identical in both systems, character for character.

Time for a rapid-fire Q&A. Question: Can I use PPSK and the Captive Portal on the same SSID? Answer: No. WatchGuard does not support running Dynamic VLANs via PPSK and a Captive Portal on the same SSID simultaneously. You need one SSID for the portal and a separate SSID for PPSK. Plan your SSID architecture accordingly. Question: What happens if the RADIUS server does not return a VLAN ID for a PPSK user? Answer: In WatchGuard Cloud, you configure an Unassigned Clients fallback option. You can drop them onto an untagged VLAN or a specific isolated quarantine VLAN to ensure they do not gain access to the corporate network. Always configure this fallback to avoid accidental access.

To summarise, integrating WatchGuard Firebox with Purple gives you a unified platform for security, identity, and analytics across Guest, Staff, and Multi-Tenant networks. You use external captive portal redirection for guests, 802.1X for staff, and PPSK with dynamic VLANs for multi-tenant environments. The ROI is clear. You reduce hardware costs by consolidating gateways, you simplify management through a single cloud platform, and you drive revenue by capturing first-party data through the Purple captive portal. Your next steps are to review your current SSID architecture, ensure your WatchGuard firmware is at version 2.6 or higher, and begin configuring your RADIUS settings in the Purple portal. Thank you for listening.

Principais Conclusões

✓WatchGuard Firebox integrates with Purple via standard RADIUS (ports 1812/1813) and HTTP captive portal redirection, supporting Guest WiFi, Staff WiFi, and Multi-Tenant WiFi from a single AP fleet.
✓Guest WiFi captive portal requires a Splash Page URL, a Shared Secret (for HMAC-SHA1 validation), and Walled Garden entries for Purple's domains - missing any one of these causes the portal to fail.
✓Staff WiFi uses IEEE 802.1X (EAP-TLS or PEAP) with Purple as the RADIUS server, which can proxy authentication to Microsoft Entra ID, Okta, or Google Workspace for identity lifecycle management.
✓WatchGuard PPSK (firmware v2.6+) enables multi-tenant segmentation on a single SSID - each tenant receives a unique key, and Purple's RADIUS server returns VLAN attributes (Tunnel-Type 64, Tunnel-Medium-Type 65, Tunnel-Private-Group-ID 81) to isolate their traffic.
✓Dynamic VLAN steering and Captive Portal cannot run on the same SSID in WatchGuard - plan your SSID architecture with separate SSIDs for guest portal and PPSK multi-tenant access.
✓Always configure a quarantine fallback VLAN for unassigned PPSK clients to prevent devices that fail RADIUS validation from landing on the management VLAN.
✓Purple is ISO 27001, GDPR, CCPA, and Cyber Essentials certified, and maintains 99.999% uptime - the platform handles the compliance and availability requirements for enterprise venue deployments.

Resumo executivo

A implementação de uma infraestrutura sem fios segura e escalável em locais complexos exige uma integração precisa entre o seu gateway de segurança e o fornecedor de identidade. Este guia detalha a integração do WatchGuard Firebox e dos WatchGuard Access Points com o Purple, abrangendo três níveis de acesso distintos: redirecionamento de Guest WiFi Captive Portal, Staff WiFi seguro utilizando IEEE 802.1X e segmentação de WiFi Multi-Tenant através de WatchGuard Private Pre-Shared Keys (PPSK).

Ao combinar a plataforma de segurança unificada da WatchGuard com a sobreposição de nuvem do Purple, automatiza o controlo de acesso baseado em identidade, aplica políticas de segurança granulares e recolhe dados primários (first-party data) à escala. O Purple opera em mais de 80.000 locais ativos e processou 440 milhões de inícios de sessão em 2024 (dados internos do Purple). A integração é agnóstica em termos de hardware por conceção - a WatchGuard posiciona-se ao lado da Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet na lista de hardware suportado pelo Purple. Para uma visão mais ampla dos padrões de segurança de WiFi empresarial, consulte o nosso Enterprise WiFi Security: A Complete Guide for 2026 .

Arquitetura técnica

A integração liga o hardware WatchGuard aos serviços de nuvem do Purple utilizando dois mecanismos padrão: RADIUS (Remote Authentication Dial-In User Service) para autenticação e contabilização (accounting), e redirecionamento HTTP para entrega de Captive Portal. A arquitetura suporta três níveis de acesso numa única infraestrutura física.

Nível de Acesso	Tipo de SSID	Método de Autenticação	Função do Purple
Guest WiFi	Aberto	Captive Portal externo + contabilização RADIUS	Splash page, recolha de dados, analítica
Staff WiFi	WPA3-Enterprise	802.1X (EAP-TLS ou PEAP)	Servidor RADIUS, proxy do fornecedor de identidade
WiFi Multi-Tenant	WPA2/WPA3 Personal + PPSK	PPSK validado via RADIUS	Gestão de chaves, atribuição dinâmica de VLAN

Todos os três níveis podem ser executados em simultâneo na mesma frota de WatchGuard Access Points. Os modelos WatchGuard Wi-Fi 6 - AP130, AP230W, AP330, AP332CR, AP430CR e AP432 - suportam PPSK a partir da versão de firmware v2.6.

Configurar o redirecionamento de Captive Portal do Guest WiFi

A integração do Captive Portal da WatchGuard redireciona pedidos HTTP não autenticados para a splash page alojada do Purple. Este é o mecanismo principal para recolher dados primários e aplicar os termos de serviço.

Passo 1: Configuração do servidor RADIUS

No WatchGuard Cloud ou no Firebox Policy Manager, defina o Purple como o servidor de autenticação e contabilização RADIUS.

Servidor RADIUS primário: Defina para o endereço IP do RADIUS do Purple para a sua região (disponível no portal do Purple em Definições > Integração de Hardware).
Porta de autenticação: 1812
Porta de contabilização: 1813
Segredo partilhado: Introduza o segredo exclusivo fornecido no portal do Purple.
NAS ID: Defina para o endereço MAC do Firebox ou AP utilizando o especificador de formato %m. Isto identifica o local para o Purple e encaminha a analítica para a conta correta.
Intervalo de contabilização: Defina para 10 minutos para garantir que os dados da sessão fluem para o painel de analítica do Purple em intervalos regulares.

Passo 2: Definições de SSID e Captive Portal

No WatchGuard Cloud, navegue para Configurar > Dispositivos > [O seu AP] > Configuração do Dispositivo > SSIDs. Crie ou edite o SSID de Guest.

Segurança: Aberta (sem palavra-passe de pré-autenticação).
Tipo de Captive Portal: Selecione Third-Party Hosted Captive Portal with RADIUS Authentication.
URL da Splash Page: Introduza o URL da splash page do Purple (ex.: https://wifi.mypurple.com/splash). Obtenha-o em Purple > Analisar > Portais.
Segredo partilhado: Introduza o segredo partilhado do portal a partir da mesma página de Portais de Análise do Purple. Este segredo gera o resumo HMAC-SHA1 que o WatchGuard utiliza para validar a resposta de sucesso de autenticação do Purple.

Passo 3: Configuração do Walled Garden

O Walled Garden define quais os domínios a que um dispositivo pode aceder antes de a autenticação ser concluída. Sem isto, o dispositivo não consegue carregar a splash page do Purple. Adicione as seguintes entradas a Websites a que os utilizadores podem aceder antes de iniciar sessão:

*.mypurple.com
api.mypurple.com
cdn.mypurple.com
assets.mypurple.com

Se ativar inícios de sessão sociais ou federados através do Microsoft Entra ID, Okta ou Google Workspace, adicione os domínios do fornecedor de identidade relevantes (ex.: login.microsoftonline.com, accounts.google.com). Para obter contexto legal e de conformidade sobre infraestruturas de WiFi partilhadas, consulte o nosso guia sobre Requisitos Legais e de Conformidade para Infraestruturas de WiFi Partilhadas .

Como funciona o fluxo de autenticação HMAC

Compreender este fluxo ajuda a diagnosticar falhas rapidamente.

O dispositivo convidado liga-se ao SSID aberto e faz um pedido HTTP.
O AP WatchGuard intercetará o pedido e redirecionará o navegador para o URL da splash page do Purple, anexando um parâmetro challenge (uma cadeia hexadecimal aleatória) e o endereço MAC do dispositivo.
O Purple apresenta a splash page. O convidado preenche o formulário de início de sessão.
O Purple gera um resumo HMAC-SHA1 utilizando o segredo partilhado do portal e o valor do challenge.
O Purple redireciona o navegador de volta para o URL de início de sessão do AP WatchGuard, anexando o challenge e o resumo.
O AP WatchGuard valida o resumo utilizando o mesmo segredo partilhado. Se corresponder, o AP concede acesso à Internet e envia um pacote RADIUS Accounting Start para o Purple.

Staff WiFi Seguro com 802.1X

Para o Staff WiFi, substitui o Captive Portal pelo IEEE 802.1X - o padrão empresarial para controlo de acesso à rede baseado em portas. Cada membro da equipa autentica-se com credenciais exclusivas ou um certificado, eliminando o risco de palavra-passe partilhada.

No WatchGuard Cloud, configure o SSID de Staff com segurança WPA3 Enterprise e aponte o Authentication Domain para o servidor RADIUS da Purple. A Purple atua como o servidor RADIUS e pode encaminhar pedidos de autenticação para o Microsoft Entra ID, Okta ou Google Workspace via SAML ou LDAP.

Para autenticação baseada em certificados (EAP-TLS), implemente certificados de cliente através do seu MDM em dispositivos geridos. Para autenticação baseada em credenciais (PEAP-MSCHAPv2), os utilizadores autenticam-se com as suas credenciais de diretório. A Purple valida o pedido face ao fornecedor de identidade configurado e devolve um RADIUS Access-Accept ou Access-Reject ao AP WatchGuard.

Para um passo a passo detalhado da configuração de 802.1X em vários tipos de dispositivos, consulte o nosso guia sobre autenticação 802.1X: proteger o acesso à rede em dispositivos modernos .

Nota importante sobre a aleatorização de MAC: Os dispositivos iOS e Android modernos aleatorizam os seus endereços MAC por predefinição. Para o WiFi de Staff 802.1X, instrua os funcionários a desativar a aleatorização de MAC para o SSID de Staff. Os MACs aleatorizados causam registos de autenticação inconsistentes e quebram a aplicação de políticas baseadas em MAC.

WiFi Multi-Tenant com WatchGuard PPSK

A transmissão de um SSID separado por inquilino num centro comercial, espaço de coworking ou empreendimento Build-to-Rent (BTR) causa interferência co-canal e congestiona o ambiente de RF. O WatchGuard PPSK (Private Pre-Shared Key) - introduzido no firmware de AP v2.6 - resolve isto ao atribuir uma palavra-passe exclusiva a cada utilizador ou inquilino num único SSID.

Passo 1: Ativar o PPSK no SSID

No WatchGuard Cloud, edite o SSID de destino (por exemplo, Venue-WiFi).

Segurança: WPA2 Personal ou WPA3 Personal.
Autenticação: Ative a Private Pre-Shared Key (PPSK).
Servidor RADIUS: Aponte para o servidor RADIUS da Purple. A Purple gere o armazenamento de credenciais PPSK e devolve atributos VLAN na autenticação.

Passo 2: Configurar a atribuição dinâmica de VLAN

Para isolar o tráfego de inquilinos, o AP WatchGuard atribui uma VLAN específica com base no PPSK utilizado.

Definição de VLAN: Selecione Dynamic VLAN assigned by RADIUS.
Fallback de clientes não atribuídos: Selecione uma VLAN de quarentena isolada (por exemplo, VLAN 999) para garantir que os dispositivos que falhem a validação RADIUS não consigam aceder à rede corporativa.

Requisitos para VLANs Dinâmicas em Access Points WatchGuard:

Firmware de AP v2.2 ou superior.
O NAT deve estar desativado no SSID.
As VLANs Dinâmicas e o Captive Portal não podem ser executados no mesmo SSID em simultâneo.
A porta do switch ligada ao AP deve estar configurada como uma porta trunk que transporte todas as VLANs relevantes.

Passo 3: Atributos RADIUS para direcionamento de VLAN

Quando um utilizador se liga utilizando um PPSK, o AP WatchGuard envia um RADIUS Access-Request para a Purple. A Purple valida a chave e devolve um pacote Access-Accept contendo três atributos RADIUS IETF:

Atributo RADIUS	Número do Atributo	Valor
Tunnel-Type	64	13 (VLAN)
Tunnel-Medium-Type	65	6 (802)
Tunnel-Private-Group-ID	81	VLAN ID (por exemplo, "100")

O AP WatchGuard lê o atributo 81 e coloca o cliente na VLAN correspondente. Na Purple, mapeia cada credencial PPSK para um ID de VLAN e função específicos. Este é o mecanismo por trás das Redes Baseadas em Identidade - a credencial determina o segmento de rede, não o SSID.

Melhores práticas de implementação

Estas recomendações aplicam-se a implementações em hotelaria , retalho , cuidados de saúde e transportes .

Limites de tempo de sessão: Configure limites de tempo de sessão tanto na Purple como na WatchGuard para forçar a reautenticação em intervalos regulares. Isto mantém a precisão das análises e evita que sessões inativas consumam largura de banda. Defina o RADIUS Interim-Update (Acct-Interim-Interval) para 600 segundos (10 minutos).

Gestão de firmware: Certifique-se de que os Access Points WatchGuard executam o firmware v2.6 ou superior para suporte de PPSK. Utilize o WatchGuard Cloud para agendar atualizações de firmware durante as horas de menor atividade para evitar falhas de cobertura.

Conformidade com PCI DSS: Para ambientes de retalho que processam pagamentos com cartão, isole os dispositivos POS numa VLAN dedicada (por exemplo, VLAN 200) utilizando PPSK. Certifique-se de que a VLAN de WiFi de Convidados não tem rota para a VLAN de POS. Isto suporta os requisitos de segmentação de rede do PCI DSS.

GDPR e recolha de dados: O Captive Portal da Purple utiliza opt-ins de escolha consciente, garantindo que a recolha de dados cumpre os requisitos do GDPR. A Purple possui as certificações ISO 27001, GDPR, CCPA e Cyber Essentials. Certifique-se de que a sua splash page inclui um aviso de privacidade claro e uma ligação para os termos de serviço antes de iniciar a recolha de dados.

Resolução de problemas e mitigação de riscos

Falha ao carregar o Captive Portal: O Walled Garden é o primeiro local a verificar. Se o dispositivo não conseguir resolver o DNS ou alcançar os servidores da Purple antes da autenticação, o navegador apresentará um erro de limite de tempo excedido (timeout) em vez da splash page. Verifique se todos os domínios da Purple estão na lista do Walled Garden e se as definições de DNS do WatchGuard permitem a resolução pré-autenticação.

Erros de validação de digest HMAC: Se os registos do WatchGuard mostrarem falhas de autenticação com erros de HMAC, o Captive Portal Shared Secret não coincide entre o WatchGuard e a Purple. Deve ser idêntico em ambos os sistemas. Regenere o segredo na Purple e introduza-o novamente no WatchGuard Cloud.

Falha no direcionamento de VLAN: Se um utilizador de PPSK receber um IP da VLAN errada, verifique os registos RADIUS no portal da Purple. Verifique se a Purple está a devolver todos os três atributos RADIUS IETF. Certifique-se de que o valor de Tunnel-Private-Group-ID está formatado como uma string e coincide com um ID de VLAN configurado na porta trunk do switch.

Conflito entre PPSK e Captive Portal: O WatchGuard não suporta VLANs Dinâmicas e Captive Portal no mesmo SSID. Se necessitar de ambos, utilize dois SSIDs: um para o captive portal de convidados e outroe para o acesso multi-tenant PPSK.

Falhas de autenticação 802.1X: Utilize a ferramenta de captura de pacotes disponível no firmware do AP WatchGuard v2.5 e superior para capturar o tráfego entre o AP e o servidor RADIUS. Procure por pacotes RADIUS Access-Reject e pelo código de motivo no atributo da mensagem de resposta.

ROI e impacto no negócio

A integração da WatchGuard e da Purple consolida a segurança e a análise numa única arquitetura. Um hotel de 200 quartos que utilize esta integração elimina a necessidade de gateways separados para hóspedes e funcionários, reduzindo os gastos com hardware em aproximadamente 30% em comparação com uma implementação multi-gateway (dados internos da Purple). O Captive Portal de Guest WiFi captura dados primários - endereços de e-mail, informações demográficas e frequência de visitas - que geram receitas de marketing direto através do plano Engage da Purple.

Para locais multi-tenant, o PPSK elimina a sobrecarga operacional de gerir múltiplos SSIDs. Um centro comercial que gira 15 lojas num único SSID reduz a utilização de rádio do AP e simplifica as auditorias de rede. O WiFi Analytics da Purple fornece aos operadores de espaços dados sobre o tempo de permanência, fluxo de pessoas e visitas repetidas - métricas que justificam o investimento em infraestrutura perante as equipas financeiras.

A Purple mantém um uptime de 99,999% (dados internos da Purple), garantindo que o Captive Portal de Guest WiFi permanece disponível mesmo durante períodos de pico em locais de alta densidade, como estádios e centros de conferências.

Definições Principais

PPSK (Private Pre-Shared Key)

A security feature that assigns a unique password to each user or device on a WPA2/WPA3 Personal SSID. Introduced in WatchGuard AP firmware v2.6.

Used in multi-tenant environments - retail centres, coworking spaces, BTR developments - to segment users without requiring 802.1X supplicant configuration on client devices.

Dynamic VLAN steering

The process of assigning a network device to a specific Virtual LAN based on RADIUS attributes (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) returned during authentication.

The mechanism that isolates tenant, staff, and guest traffic on the same physical access point. Requires AP firmware v2.2 or higher on WatchGuard hardware.

Walled Garden

A list of IP addresses or domains that an unauthenticated user is permitted to access before completing captive portal authentication.

Required to allow guest devices to load the Purple splash page and complete federated logins (Microsoft Entra ID, Google Workspace) before full internet access is granted.

HMAC digest

A cryptographic hash (HMAC-SHA1) used to verify the integrity and authenticity of the authentication success message from the captive portal.

WatchGuard validates the HMAC digest using the Captive Portal Shared Secret. A mismatch between the secret in WatchGuard and Purple causes authentication failures.

RADIUS accounting

The component of the RADIUS protocol that tracks network usage, including session start, session duration, and data transfer volume.

Purple relies on RADIUS Accounting packets from the WatchGuard Firebox to populate the analytics dashboard and enforce session time limits. Operates on port 1813.

Captive portal

A web page that a device is redirected to before being granted access to a public network. WatchGuard intercepts HTTP requests and redirects to the configured external portal URL.

The primary mechanism for capturing first-party data and enforcing terms of service on Guest WiFi networks. Purple hosts the splash page and manages the data.

802.1X

An IEEE standard for port-based network access control. Requires each device to authenticate with unique credentials or a certificate before network access is granted.

The enterprise standard for securing Staff WiFi. Eliminates the shared-password risk of WPA2 Personal. Requires a RADIUS server (Purple) and a supplicant on the client device.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

A highly secure 802.1X authentication method requiring both a client certificate and a server certificate for mutual authentication.

Used in high-security environments where devices are managed by an MDM. Ensures only corporate-owned devices with valid certificates can connect to the Staff WiFi SSID.

NAS ID (Network Access Server Identifier)

A string sent in RADIUS packets that identifies the network device (AP or Firebox) making the authentication request.

Purple uses the NAS ID to identify which venue a RADIUS request originates from. Typically set to the AP MAC address using the %m format specifier in WatchGuard.

Identity-Based Networking

A network architecture where access policies, VLAN assignments, and security controls are determined by the user's identity rather than their physical port or SSID.

The combination of WatchGuard PPSK, Purple RADIUS, and dynamic VLAN steering delivers Identity-Based Networking - the credential determines the network segment automatically.

Exemplos Práticos

A 200-room Premier Inn property needs to provide Guest WiFi for guests, secure Staff WiFi for front-of-house and back-office teams, and a separate network for IoT devices (smart TVs, door locks). They have WatchGuard AP330 access points managed via WatchGuard Cloud and a Firebox T85 gateway. How should they architect the three networks?

Deploy three SSIDs on the WatchGuard AP330 fleet. SSID 1: 'Premier-Guest' - open SSID with external captive portal redirection to Purple. Configure the Firebox T85 as the RADIUS client pointing to Purple's servers (port 1812/1813). Add Purple's Walled Garden domains. Guests authenticate via the Purple splash page using email, social login, or a room code. SSID 2: 'Premier-Staff' - WPA3-Enterprise SSID with 802.1X authentication. Point the authentication domain to Purple's RADIUS server, which proxies credentials to the property's Microsoft Entra ID tenant. Staff authenticate with their corporate credentials. SSID 3: 'Premier-IoT' - WPA2 Personal SSID with a static PSK, placed on a dedicated VLAN (e.g., VLAN 50) with firewall rules blocking access to the staff and guest VLANs. The Firebox T85 enforces inter-VLAN routing policies. All three SSIDs broadcast on the same AP hardware, reducing infrastructure cost.

Comentário do Examinador: This architecture follows the principle of least privilege. Each access tier has the minimum network access required for its function. The IoT SSID uses a static PSK rather than PPSK because IoT devices typically cannot handle dynamic credential rotation. The key decision is using Purple as the RADIUS server for both guest and staff tiers, which centralises identity management and analytics in a single platform.

A retail centre managing 12 shop units wants to provide each tenant with isolated WiFi access using a single SSID. The centre also needs to ensure that a compromised tenant credential does not expose other tenants' traffic. They are running WatchGuard AP230W access points on firmware v2.6.

Configure one SSID: 'Centre-Retail' with WPA2 Personal and PPSK enabled. In Purple, create 12 unique PPSK credentials, one per tenant. Map each credential to a dedicated VLAN (e.g., VLAN 101 for Tenant 1, VLAN 102 for Tenant 2, and so on). In WatchGuard Cloud, set the SSID VLAN to 'Dynamic VLAN assigned by RADIUS' with a fallback to a quarantine VLAN (VLAN 999). Configure the switch ports connected to the AP230W as trunk ports carrying VLANs 101-112 and 999. When a tenant device connects using their PPSK, the AP queries Purple RADIUS, receives the Tunnel-Private-Group-ID attribute, and places the device on the correct VLAN. A compromised credential for Tenant 3 only exposes VLAN 103 - all other tenants remain isolated.

Comentário do Examinador: PPSK provides per-credential isolation without the complexity of 802.1X certificate management. The critical design decision is the fallback VLAN. Without a quarantine VLAN configured, a device that fails RADIUS validation could be placed on the default untagged VLAN, potentially gaining access to management infrastructure. Always configure the fallback explicitly.

Perguntas de Prática

Q1. A hotel IT manager reports that guests connect to the WiFi but the Purple splash page never appears. The browser shows a connection timeout error. The WatchGuard Cloud configuration shows the correct Purple splash page URL and shared secret. What is the most likely cause and how do you resolve it?

Dica: Consider what must happen before the device is authenticated. What domains does the device need to reach to load the splash page?

Ver resposta modelo

The Walled Garden is missing or incomplete. The WatchGuard Firebox is blocking the device's initial HTTP request to Purple's servers before authentication completes. Add the required Purple domains to the 'Websites that users can access before login' list: *.mypurple.com, api.mypurple.com, and cdn.mypurple.com. If guests are using social logins, also add the relevant identity provider domains (e.g., login.microsoftonline.com for Entra ID).

Q2. You are configuring PPSK-based VLAN steering for a coworking space with 8 members. RADIUS authentication succeeds (the WatchGuard logs show Access-Accept), but every member device receives an IP address from VLAN 1 (the default management VLAN) instead of their assigned tenant VLAN. How do you diagnose and resolve this?

Dica: Authentication succeeded, so the credential is valid. The issue is in the VLAN assignment step. What does WatchGuard need from the RADIUS server to assign a VLAN?

Ver resposta modelo

The RADIUS Access-Accept packet from Purple is missing or incorrectly formatting the VLAN attributes. Capture the RADIUS traffic on the AP using the WatchGuard packet capture tool and inspect the Access-Accept packet. Verify that Purple is returning all three IETF attributes: Tunnel-Type (attribute 64, value 13), Tunnel-Medium-Type (attribute 65, value 6), and Tunnel-Private-Group-ID (attribute 81, set to the VLAN ID as a string, e.g. '101'). Also confirm that the switch port connected to the AP is configured as a trunk port carrying the relevant VLANs, and that the SSID VLAN setting in WatchGuard Cloud is set to 'Dynamic VLAN assigned by RADIUS' rather than a static VLAN ID.

Q3. A venue operator wants to run a Guest WiFi captive portal (Purple splash page) and a multi-tenant PPSK network for 6 retail units on the same WatchGuard AP330 access point. They plan to configure both features on a single SSID to simplify the RF environment. Is this possible? If not, what is the correct architecture?

Dica: Review the WatchGuard Dynamic VLAN requirements. Are there any feature conflicts?

Ver resposta modelo

This is not possible on a single SSID. WatchGuard does not support Dynamic VLANs (required for PPSK) and Captive Portal on the same SSID simultaneously. The correct architecture uses two SSIDs: SSID 1 ('Venue-Guest') configured as an open SSID with external captive portal redirection to Purple for public guests. SSID 2 ('Venue-Retail') configured with WPA2 Personal, PPSK enabled, and Dynamic VLAN assignment for the 6 retail tenants. Both SSIDs broadcast from the same AP330 hardware, so the RF impact is limited to one additional SSID beacon. The switch port connected to the AP must be a trunk port carrying all relevant VLANs for both SSIDs.

Continue a ler esta série

Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Este guia de referência técnica fornece um manual de configuração autoritativo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK.

Integração de Pontos de Acesso Grandstream GWN com o Purple WiFi

Este guia de referência técnica detalha como integrar os pontos de acesso Grandstream GWN com a plataforma de Guest WiFi e analítica da Purple. Abrange a configuração do Captive Portal da Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas e passo a passo para MSPs e equipas de TI que implementam WiFi para convidados e funcionários em grande escala.

Integração do Huawei AirEngine e CloudCampus com o Purple WiFi

Este guia fornece instruções passo a passo para integrar os pontos de acesso Huawei AirEngine e o iMaster NCE-Campus com o Purple WiFi. Abrange a configuração do Captive Portal, a autenticação de funcionários por 802.1X e o direcionamento dinâmico de VLAN por PPSK para redes empresariais.