Integração do Zyxel Nebula Cloud e USG com o Purple WiFi

Resumo executivo

O Zyxel Nebula Cloud e as Firewalls USG Flex estão implementados em milhares de locais empresariais, desde cadeias de hotéis a redes de lojas de retalho. Ao integrar este hardware com a Purple, adiciona uma camada de autenticação de convidados em conformidade e com recolha de dados que transforma uma rede sem fios padrão num ativo de dados first-party. Este guia abrange quatro cenários de implementação: redirecionamento de Captive Portal de convidados através de uma splash page externa, autenticação e accounting baseados em RADIUS, WiFi seguro para Staff utilizando IEEE 802.1X e segmentação de rede multi-tenant utilizando Chaves Pré-Partilhadas Pessoais Dinâmicas (DPPSK) da Zyxel. A Purple opera em mais de 80 000 locais ativos e processou 440 milhões de inícios de sessão em 2024 (dados internos da Purple). Possui as certificações ISO 27001, GDPR, CCPA e Cyber Essentials. A arquitetura de integração descrita aqui é agnóstica em termos de hardware ao nível da plataforma, mas os caminhos e parâmetros de configuração específicos neste guia aplicam-se ao Zyxel Nebula Control Center (NCC) e às Firewalls USG Flex que executam o firmware atual.

Para uma visão mais ampla da arquitetura de segurança de WiFi empresarial, consulte o nosso Segurança de WiFi Empresarial: Um Guia Completo para 2026 .

Análise técnica aprofundada

Arquitetura de integração

A integração da Zyxel e da Purple baseia-se em três protocolo padrão que funcionam em sequência: redirecionamento HTTP (deteção de Captive Portal), Autenticação RADIUS (UDP 1812) e RADIUS Accounting (UDP 1813). Quando um dispositivo de convidado se liga ao SSID de Guest WiFi, o ponto de acesso Zyxel intercepta o primeiro pedido HTTP e emite um redirecionamento HTTP 302 para o URL do Captive Portal externo da Purple. O convidado autentica-se na splash page da Purple — via e-mail, início de sessão social ou SMS — e a Purple envia uma mensagem RADIUS Access-Accept de volta para o controlador Zyxel. O controlador concede acesso à Internet e começa a enviar pacotes RADIUS Accounting Start para registar os dados da sessão.

A Firewall Zyxel USG Flex situa-se entre os segmentos sem fios e a WAN. Aplica políticas de segurança baseadas em zonas que isolam as VLANs de Guest, Staff e Multi-Tenant entre si e da LAN corporativa. O Nebula Control Center gere os pontos de acesso e as configurações de SSID de forma centralizada via HTTPS na porta 443 para a nuvem Nebula.

Parâmetros RADIUS

A tabela seguinte resume os parâmetros de configuração RADIUS de que necessitará a partir da sua consola de administração da Purple.

Configure sempre os servidores RADIUS primário e secundário. Um único endpoint RADIUS é um ponto único de falha que irá bloquear o acesso dos convidados se o servidor estiver inacessível.

Configuração do Walled Garden

O Walled Garden (também designado por lista de permissões) define os domínios e gamas de IP que um dispositivo pode aceder antes de concluir a autenticação. No Zyxel Nebula, configura isto em Todo o site > Configurar > Pontos de acesso > Personalização do Captive Portal > Definições avançadas do Captive Portal.

Deve incluir as seguintes categorias de entradas:

• O domínio do portal Purple e todos os subdomínios (utilize o formato wildcard: *.purple.ai)
• Domínios de CDN que servem os recursos de CSS, JavaScript e imagens do portal
• Domínios de fornecedores de início de sessão social, se ativar o início de sessão com o Facebook, Google ou Microsoft
• Deteção de Captive Portal da Apple: captive.apple.com
• Verificação de conectividade da Google: connectivitycheck.gstatic.com
• NCSI da Microsoft: www.msftconnecttest.com

A ausência de qualquer uma destas entradas fará com que a splash page não seja renderizada em tipos de dispositivos específicos. Os dispositivos iOS, em particular, apresentarão um mini-navegador em branco se o endpoint CNA da Apple não for tratado corretamente.

WiFi de Staff Seguro utilizando IEEE 802.1X

Para redes de Staff, não deve utilizar uma PSK partilhada. O IEEE 802.1X (definido na norma IEEE 802.1X-2020) fornece controlo de acesso à rede baseado em portas utilizando credenciais individuais por utilizador. No Nebula, configura isto definindo a segurança do SSID para WPA2-Enterprise e apontando a autenticação para o Nebula Cloud Authentication Server (NCAS) ou para um servidor RADIUS externo, como o Microsoft Entra ID ou Okta, através de um proxy RADIUS.

Para implementações WPA3-Enterprise, o caminho de configuração é idêntico, mas seleciona WPA3 nas opções de segurança. O WPA3 exige Protected Management Frames (PMF) e utiliza Simultaneous Authentication of Equals (SAE) para uma melhor resistência a ataques de dicionário offline.

PPSK e atribuição dinâmica de VLAN para locais multi-tenant

O Zyxel DPPSK (Dynamic Personal Pre-Shared Key) permite que um único SSID sirva múltiplos segmentos de rede isolados. Cada utilizador ou dispositivo recebe uma palavra-passe única. Quando se autenticam, o controlador Nebula mapeia essa palavra-passe para um ID de VLAN definido na base de dados DPPSK. Esta é a abordagem correta para espaços de coworking, residências de estudantes, empreendimentos build-to-rent (BTR) e frações habitacionais multifamiliares (MDUs) onde necessita de isolamento de inquilinos sem transmitir dezenas de SSIDs.

O DPPSK requer a licença Nebula Pro Pack e a versão de firmware do ponto de acesso 6.00 ou posterior. Configura a base de dados DPPSK em Configurar > Autenticação na nuvem > DPPSK no Nebula Control Center. Cada entrada inclui a palavra-passe, uma data de expiração opcional, um endereço de e-mailreço para entrega e o ID da VLAN de destino.

O número máximo de entradas DPPSK autorizadas em simultâneo é de 2.048. Para implementações com mais de 2.048 utilizadores concorrentes, terá de gerir as datas de expiração com cuidado para garantir que as credenciais ativas permanecem dentro deste limite.

Guia de implementação

Passo 1: Preparar a infraestrutura de rede

Antes de aceder ao Nebula Control Center, configure as suas VLANs na Firewall USG Flex e nos switches a jusante.

1. Crie uma VLAN de Visitantes (exemplo: VLAN 10) com uma sub-rede dedicada (exemplo: 192.168.10.0/24). Configure um servidor DHCP nesta interface.
2. Crie uma VLAN de Funcionários (exemplo: VLAN 20) com uma sub-rede dedicada (exemplo: 192.168.20.0/24).
3. Para implementações multi-tenant, crie VLANs adicionais por inquilino (exemplo: VLAN 30, 40, 50).
4. No USG Flex, crie uma Zona de Visitantes mapeada para a VLAN 10. Crie uma política de segurança que permita o tráfego da Zona de Visitantes para a zona WAN. Crie uma política de bloqueio total (deny-all) que bloqueie o tráfego da Zona de Visitantes para a zona LAN.
5. Certifique-se de que as portas do switch que ligam os APs Zyxel estão configuradas como trunks 802.1Q que transportam todas as tags de VLAN necessárias.

Passo 2: Configurar o SSID de visitantes no Nebula Control Center

1. Inicie sessão no Nebula Control Center em ncc.nebula.zyxel.com.
2. Navegue até A nível do site > Configurar > Pontos de acesso > Definições de SSID.
3. Ative o SSID de visitantes e ative o Modo avançado.
4. Ative a Rede de visitantes para ativar o isolamento de clientes de Camada 2. Isto impede que os dispositivos dos visitantes comuniquem diretamente entre si no mesmo SSID.
5. Guarde.

Passo 3: Configurar o Captive Portal externo

1. Navegue até A nível do site > Configurar > Pontos de acesso > Definições avançadas de SSID.
2. Selecione o seu SSID de visitantes no menu suspenso.
3. Em Método de início de sessão, selecione Clique para continuar para o redirecionamento inicial, ou selecione O meu servidor RADIUS se estiver a utilizar a autenticação MAC baseada em RADIUS da Purple.
4. Navegue até A nível do site > Configurar > Pontos de acesso > Personalização do Captive Portal.
5. Em URL do Captive Portal externo, introduza o URL de redirecionamento da Purple a partir da sua consola de administração da Purple. O formato é https://[o-seu-dominio-purple]/[id-do-local].
6. Em Definições avançadas do Captive Portal, introduza todos os domínios Walled Garden necessários.
7. Defina a Política estrita para Bloquear todo o acesso até ao início de sessão para impedir que os visitantes contornem o portal.
8. Defina o Tempo de reautenticação para corresponder à política de sessão do seu local (normalmente 24 horas para hotelaria, 30 dias para programas de fidelização de retalho).
9. Guarde.

Passo 4: Configurar o RADIUS no Nebula

1. Em Definições avançadas de SSID, em Acesso à rede, selecione O meu servidor RADIUS.
2. Introduza o IP do servidor RADIUS primário a partir da sua consola de administração da Purple.
3. Defina a Porta de autenticação para 1812.
4. Introduza o Segredo partilhado.
5. Repita para o servidor RADIUS secundário.
6. Ative o RADIUS accounting e defina a porta de accounting para 1813.
7. Guarde.

Passo 5: Configurar o DPPSK para segmentação multi-tenant

1. Navegue até Configurar > Pontos de acesso > Definições avançadas de SSID.
2. Selecione o SSID multi-tenant e defina o Acesso à rede para PSK pessoal dinâmico.
3. Navegue até Configurar > Autenticação na nuvem > DPPSK.
4. Clique em Adicionar e selecione Criar DPPSK em lote.
5. Defina o número de credenciais, a data de expiração e o ID da VLAN de destino para cada grupo de inquilinos.
6. Introduza o endereço de e-mail para receber o lote de credenciais.
7. Guarde e distribua as credenciais pelos inquilinos.

Passo 6: Validar a implementação

1. Ligue um dispositivo de teste ao SSID de WiFi de Visitantes.
2. Confirme que o dispositivo é redirecionado para a splash page da Purple.
3. Conclua a autenticação e confirme que o acesso à Internet foi concedido.
4. Na consola de administração da Purple, verifique se a sessão aparece no painel de análise (dashboard).
5. No Nebula, navegue até Ponto de acesso > Monitorizar > Clientes para confirmar que o cliente está associado e atribuído à VLAN correta.
6. Teste o DPPSK ligando-se com uma credencial de inquilino e confirmando a atribuição correta da VLAN.

Melhores práticas

Segmente todos os tipos de tráfego. O tráfego de Visitantes, Funcionários e IoT deve ocupar, cada um, uma VLAN dedicada. Isto não é opcional se o seu local processar pagamentos com cartão na mesma infraestrutura física — o PCI DSS v4.0 exige a segmentação de rede entre ambientes de dados de titulares de cartões e redes de visitantes.

Utilize redundância RADIUS. Configure os IPs RADIUS primário e secundário da Purple no Nebula. A falha de um único servidor RADIUS impedirá toda a autenticação de visitantes até ser resolvida.

Audite o Walled Garden regularmente. Os fornecedores de portais atualizam as suas configurações de CDN. Um domínio que funcionava na altura da implementação pode deixar de funcionar seis meses mais tarde se o fornecedor migrar recursos para uma nova CDN. Agende uma revisão trimestral das suas entradas do Walled Garden.

Ative o RADIUS accounting. Sem o accounting, a Purple não consegue monitorizar a duração da sessão, a utilização de dados ou aplicar limites de acesso baseados no tempo. Os dados de accounting também alimentam o painel de WiFi Analytics .

Aplique WPA3 onde o hardware o suporte. Os pontos de acesso Zyxel lançados a partir de 2021 suportam WPA3. Para o WiFi de Funcionários, o WPA3-Enterprise com modo de segurança de 192 bits alinha-se com as recomendações da norma NIST SP 800-187 para segurança sem fios empresarial.

Teste o comportamento do CNA antes do lançamento. No iOS, o mini-browser do Captive Network Assistant (CNA) tem uma funcionalidade limitada em comparação com um browser completo. Teste a sua splash page da Purple no ambiente CNA — em particular os fluxos de início de sessão social e JavaScript personalizado — antes de a disponibilizar aos visitantes.

Para implementações em hotelaria , consulte também as nossas orientações sobre a segmentação de redes de visitantes e de back-of-house. Para ambientes de retalho , a mesma abordagem PPSK aplica-se ao isolamento de sistemas de ponto de venda do WiFi dos clientes.

Resolução de problemas e mitigação de riscos

A splash page não carrega

Sintoma: O visitante liga-se ao SSID mas vê uma página em branco ou um erro de browser no CNA.

Causa: Um ou mais domínios exigidos pela splash page não estão no Walled Garden.

Resolução: Ligue um dispositivo de teste ao Guest SSID. Abra um navegador (não o CNA) e navegue para qualquer URL HTTP. Quando for redirecionado para o portal, abra as ferramentas de programador do navegador e inspecione o separador Rede. Identifique quaisquer pedidos que devolvam erros 403 ou de ligação recusada. Adicione estes domínios ao Nebula Walled Garden.

Os convidados autenticam-se mas não obtêm acesso à internet

Sintoma: O convidado preenche o formulário do portal e vê uma página de sucesso, mas a navegação na internet falha.

Causa: O controlador Zyxel não está a receber o RADIUS Access-Accept da Purple, ou a firewall USG Flex está a bloquear a resposta RADIUS.

Resolução: Verifique se as portas UDP de saída 1812 and 1813 são permitidas do IP de gestão do AP Zyxel para o IP do servidor RADIUS da Purple. Verifique os registos de política de segurança do USG Flex para tráfego bloqueado.

Dados de accounting RADIUS em falta no painel da Purple

Sintoma: As sessões aparecem no Nebula, mas o painel de análise da Purple não mostra dados de duração da sessão.

Causa: O RADIUS Accounting não está ativado na configuração do SSID do Nebula, ou a porta UDP 1813 está bloqueada.

Resolução: Confirme se o RADIUS accounting está ativado nas definições avançadas do SSID. Verifique se a porta de accounting está definida para 1813 e se o segredo partilhado coincide com a configuração da Purple.

Utilizadores DPPSK atribuídos à VLAN errada

Sintoma: Um inquilino liga-se com o seu PPSK mas é colocado no segmento de rede errado.

Causa: O VLAN ID na entrada da base de dados DPPSK não coincide com a VLAN configurada no trunk do switch ou na interface do USG Flex.

Resolução: Cruze o VLAN ID na base de dados DPPSK do Nebula com a configuração da VLAN no switch a montante e no USG Flex. Certifique-se de que a porta do switch do AP é um trunk que transporta todas as VLANs dos inquilinos.

ROI e impacto no negócio

A integração da infraestrutura Zyxel com a Purple converte uma rede sem fios que representa um centro de custos num ativo de dados gerador de receitas. Para um hotel de 200 quartos, a recolha de endereços de e-mail dos convidados e o consentimento de marketing no início de sessão de WiFi cria uma base de dados CRM que impulsiona campanhas de reserva direta - reduzindo a dependência de comissões de OTA. Para uma cadeia de retalho, a plataforma Guest WiFi da Purple fornece análises de tráfego pedonal, dados de tempo de permanência e taxas de visitas repetidas que informam as decisões de pessoal e merchandising.

Para operadores multi-inquilino - empreendimentos BTR, alojamento de estudantes, espaços de coworking - a implementação do Zyxel DPPSK com a Purple elimina a sobrecarga operacional de gerir SSIDs e credenciais separadas por inquilino. Um único SSID com atribuição dinâmica de VLAN reduz a interferência de RF, simplifica o onboarding e escala para centenas de residentes sem infraestrutura adicional.

O SLA de uptime de 99,999% da Purple garante que a camada de autenticação não se torna um estrangulamento para o acesso de convidados. Com 29 mil milhões de pontos de dados recolhidos em toda a plataforma (dados internos da Purple), as análises fornecidas através da consola de administração da Purple oferecem aos operadores de espaços informações acionáveis que justificam o investimento na integração logo no primeiro trimestre de implementação.

Para ambientes de saúde e transportes onde o WiFi para visitantes é um serviço regulamentado, a recolha de dados em conformidade com o GDPR e a gestão de consentimento integradas no Captive Portal da Purple eliminam o risco de conformidade associado a redes abertas não geridas.

Consulte também: Arista Cognitive Wi-Fi Integration with Purple WiFi para obter um padrão de integração comparável numa plataforma de hardware diferente.