Saltar para o conteúdo principal
Português

Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Este guia de referência técnica fornece um manual de configuração autoritativo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK.

📖 5 min de leitura📝 1,177 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao Purple Technical Briefing. Sou o vosso anfitrião e hoje vamos abordar um padrão de implementação que surge em quase todos os projetos de WiFi empresarial que vemos em grande escala - a integração do CommScope Ruckus com a plataforma de nuvem da Purple. Quer esteja a gerir um grupo hoteleiro, uma rede de retalho, um estádio ou um centro de conferências, este episódio dar-lhe-á o manual de configuração de que necessita. Vamos primeiro contextualizar. A Ruckus - agora sob a alçada da CommScope - é uma das plataformas de WiFi empresarial dominantes a nível global. O SmartZone, em particular, é o controlador de eleição para ambientes de alta densidade. Hotéis como o Premier Inn, grandes cadeias de retalho, estádios e centros de convenções utilizam todos a infraestrutura Ruckus. Quando se está a implementar Guest WiFi a essa escala, precisa de mais do que um SSID aberto. Precisa de autenticação estruturada, captura de dados em conformidade com o GDPR e a capacidade de alimentar esses dados de convidados na sua pilha de marketing. É exatamente aí que entra a Purple. A Purple opera em mais de 80.000 locais ativos, processou 440 milhões de inícios de sessão apenas em 2024 e possui as certificações ISO 27001, GDPR e Cyber Essentials. A integração com a Ruckus é um dos nossos padrões de implementação mais maduros. Ora, a Ruckus tem três plataformas de controladores distintas que precisa de compreender antes de tocar num ecrã de configuração. O SmartZone - disponível como um equipamento físico SZ300 ou um vSZ virtual - é o controlador empresarial para implementações de grande escala e multi-site. Gere milhares de pontos de acesso em múltiplas zonas, oferece-lhe um controlo profundo de políticas e suporta toda a gama de métodos de autenticação que vamos abordar hoje. O ZoneDirector é o controlador local legado - ainda amplamente implementado, particularmente na hotelaria - e suporta o mesmo fluxo de Captive Portal baseado em WISPr, embora com um caminho de configuração ligeiramente diferente. E o Unleashed é o modelo sem controlador, onde um AP funciona como mestre para até 128 outros. É ideal para implementações mais pequenas e de site único - hotéis independentes, filiais de retalho, escritórios de PMEs. Muito bem. Vamos aos detalhes técnicos. Vou abordar três casos de utilização distintos: Guest WiFi com redirecionamento de Captive Portal, WiFi seguro para funcionários utilizando 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK. Começando pelo Guest WiFi. A arquitetura aqui é um fluxo de hotspot baseado em WISPr. O WISPr - Wireless Internet Service Provider roaming - é um padrão da indústria que define como um controlador sem fios interceta tráfego HTTP não autenticado e o redireciona para um portal externo. O convidado liga-se ao seu SSID. O seu dispositivo envia um pedido HTTP. O SmartZone interceta-o e emite um redirecionamento HTTP 302 para o URL do seu portal externo - neste caso, o Captive Portal da Purple. O convidado autentica-se - através de início de sessão social, e-mail, SMS ou um formulário personalizado - e depois o portal comunica de volta com o controlador através da Northbound Interface, ou NBI, para conceder o acesso. No SmartZone, a configuração tem quatro componentes principais. Primeiro, o perfil do servidor de autenticação RADIUS. Navegue até Services and Profiles e depois Authentication. Crie um novo perfil de servidor AAA. Defina o Service Protocol para RADIUS. O IP do seu servidor primário e o segredo partilhado são fornecidos na consola de administração da Purple. Porta 1812 para autenticação. Configure sempre um servidor RADIUS de cópia de segurança para resiliência. Em seguida, crie o servidor de contabilidade em Services and Profiles, Accounting - porta 1813, mesmo segredo partilhado. Segundo, o perfil Hotspot WISPr. Vá a Services and Profiles, Hotspots and Portals e selecione o separador Hotspot WISPr. Crie um novo perfil. Defina o Login URL para External e introduza o URL de redirecionamento do seu portal. Defina a Start Page para redirecionar para o seu URL pós-autenticação - normalmente uma página de sucesso ou a página inicial do seu local. Agora, o Walled Garden. É aqui que os engenheiros se baralham mais frequentemente. O Walled Garden define quais os domínios e endereços IP que um convidado pode aceder antes de se autenticar. Precisa de incluir o domínio do seu portal, quaisquer domínios de CDN ou de recursos que o seu portal carregue e os endpoints padrão de deteção de Captive Portal do SO. No SmartZone, os caracteres universais são suportados utilizando o formato asterisco-ponto - pelo que asterisco-ponto-purple-ponto-ai abrange todos os subdomínios. Também precisa do domínio de deteção de Captive Portal da Apple - captive.apple.com - e dos endpoints de verificação de conectividade da Google para evitar que o mini-navegador CNA se comporte mal em dispositivos iOS e Android. Um passo crítico que é fácil de esquecer. Por predefinição, o SmartZone encripta o endereço MAC e o endereço IP que passa para o portal externo no URL de redirecionamento. A Purple precisa de ver o endereço MAC real do cliente para realizar a gestão de sessões baseada em MAC. Deve desativar isto através da CLI. Aceda por SSH ao seu SmartZone, entre no modo de configuração e execute: no encrypt-mac-ip. É apenas um comando, mas é um bloqueio absoluto se o ignorar. A Northbound Interface é a outra peça essencial. Esta é a API que permite à Purple comunicar de volta com o SmartZone para conceder ou negar o acesso após a autenticação. Ative-a em Administration, External Services, WISPr Northbound Interface. Defina um nome de utilizador e uma palavra-passe e forneça essas credenciais à Purple. A NBI corre na porta TCP 9080 para HTTP e 9443 para HTTPS - certifique-se de que a sua firewall permite ligações de entrada a partir do intervalo de IPs da Purple para estas portas. Por fim, crie a sua WLAN. Defina o Authentication Type para Hotspot WISPr, selecione o perfil do seu portal e atribua os seus serviços de autenticação e contabilidade RADIUS. Defina o NAS ID para User-defined se a Purple exigir um valor específico, defina o Called Station ID para AP MAC e ative o Single Session ID. Para o Unleashed, a arquitetura é fundamentalmente diferente - é um modelo distribuído e sem controlador. A configuração reside em Admin and Services, Services, Hotspot Services. Os passos são amplamente semelhantes - criar um serviço de Hotspot, configurar o URL do seu portal externo, configurar o seu servidor de autenticação AAA, adicionar as suas entradas de Walled Garden - mas existem duas diferenças fundamentais. Não há requisito de Northbound Interface no Unleashed. E a encriptação do endereço MAC não é aplicada por predefinição, pelo que não precisa do comando CLI. O walled garden do Unleashed também aceita entradas ao nível do domínio em vez da sintaxe completa de caracteres universais. Passemos agora para o WiFi seguro para funcionários utilizando 802.1X. Este é um modelo de autenticação completamente diferente. Em vez de um Captive Portal, os dispositivos dos funcionários autenticam-se diretamente utilizando o Extensible Authentication Protocol - EAP. O método mais comum em ambientes empresariais é o PEAP-MSCHAPv2, onde o utilizador introduz as suas credenciais do Active Directory, ou o EAP-TLS, onde o dispositivo apresenta um certificado. O suplemento SecurePass da Purple integra-se com o Microsoft Entra ID, Okta e Google Workspace para funcionar como o backend RADIUS para este fluxo. No SmartZone, crie uma nova WLAN e defina o Authentication Type para 802.1X EAP. Nas definições de AAA, aponte para o seu servidor RADIUS - o endpoint SecurePass da Purple. A principal diferença em relação ao fluxo de convidados é que também configura a atribuição dinâmica de VLAN aqui. Quando o servidor RADIUS da Purple devolve um Access-Accept, inclui três atributos padrão da IETF: Tunnel-Type definido como VLAN, valor 13; Tunnel-Medium-Type definido como IEEE-802, valor 6; e Tunnel-Private-Group-ID contendo a string do ID da VLAN - por exemplo, vinte para a VLAN de funcionários. O SmartZone lê estes atributos e etiqueta dinamicamente o tráfego do funcionário com a VLAN correta, independentemente do AP ao qual esteja ligado. Isto é o direcionamento dinâmico de VLAN, e é o que permite que um único SSID sirva múltiplas funções de utilizador com diferentes políticas de acesso à rede. Ative o AAA Override nas definições avançadas da WLAN para garantir que o SmartZone processa os atributos de VLAN devolvidos pelo RADIUS. Sem essa caixa de seleção ativada, a atribuição dinâmica não funcionará, mesmo que o servidor RADIUS esteja a enviar os atributos corretos. O terceiro caso de utilização é o isolamento multi-tenant utilizando o Ruckus Dynamic PSK - ou DPSK. Esta é uma tecnologia proprietária da Ruckus que atribui uma frase de passe WPA2 exclusiva a cada utilizador ou inquilino, tudo num único SSID. Ao contrário de uma PSK partilhada onde todos utilizam a mesma palavra-passe, o DPSK significa que o Inquilino A tem uma chave exclusiva de 62 caracteres, o Inquilino B tem uma diferente, e assim por diante. Cada chave está associada a uma VLAN específica, pelo que o tráfego do Inquilino A entra na VLAN 101 e o do Inquilino B entra na VLAN 102 - isolamento completo, sem risco de palavra-passe partilhada e revogação instantânea sem afetar outros inquilinos. Isto é particularmente poderoso em espaços de co-working, edifícios residenciais de arrendamento (build-to-rent), alojamentos de estudantes e parques de retalho multi-tenant. A Purple integra-se com o Ruckus DPSK através da API do SmartZone para automatizar o fornecimento de chaves - quando um novo inquilino é integrado na Purple, é gerado um DPSK, associado à VLAN correta e entregue ao inquilino automaticamente. Para configurar o DPSK no SmartZone: navegue até WLANs, adicione uma nova WLAN e, em Security, defina o método para Dynamic PSK. Defina o comprimento do DPSK para 62 caracteres para obter a máxima entropia. Em VLAN, ative a atribuição de VLAN por DPSK. Em seguida, utilize a API do SmartZone ou a interface de gestão de DPSK para criar chaves individuais por inquilino, cada uma mapeada para o seu próprio ID de VLAN. No Unleashed, a mesma funcionalidade está disponível em WiFi Networks, Advanced Options, Dynamic PSK. O DPSK3 é a variante WPA3, oferecendo uma encriptação mais forte baseada em SAE. Se a sua frota de APs suportar WPA3 - o que todos os APs atuais da série R da Ruckus fazem -, o DPSK3 é a escolha preferida para novas implementações. Deixem-me apresentar dois cenários de implementação do mundo real que ilustram como estes três casos de utilização se conjugam. Primeiro cenário: um hotel de 250 quartos. A propriedade utiliza o Ruckus SmartZone com pontos de acesso R750 em todo o espaço. Precisam de três tipos de rede: Guest WiFi para os hóspedes do hotel, WiFi seguro para funcionários da receção e de apoio (back-of-house), e uma rede IoT para controlos inteligentes de quartos e videovigilância (CCTV). A WLAN de convidados utiliza o fluxo de Captive Portal WISPr com a Purple. Os convidados ligam-se, são redirecionados para um portal personalizado da Purple, autenticam-se por e-mail ou início de sessão social e entram na VLAN 10. O portal recolhe dados primários - e-mail, consentimento de marketing, preferências de estadia - que alimentam diretamente o CRM do hotel. O painel de análise da Purple mostra ao hotel quais os pisos com as taxas de ligação mais elevadas, as horas de pico de utilização e as taxas de visitantes recorrentes. O Premier Inn implementou este modelo em toda a sua rede no Reino Unido e registou melhorias mensuráveis nas pontuações de satisfação dos hóspedes diretamente ligadas à experiência de WiFi. A WLAN de funcionários utiliza 802.1X com o SecurePass da Purple. Os funcionários autenticam-se com as suas credenciais do Active Directory através de PEAP-MSCHAPv2. Os funcionários da receção entram na VLAN 20 com acesso ao sistema de gestão de propriedade. Os funcionários de apoio entram na VLAN 21 com acesso apenas aos sistemas de RH e de escalas. A atribuição de VLAN é inteiramente gerida pelos atributos RADIUS que a Purple devolve - sem necessidade de configuração manual de portas. Quando um funcionário sai, a sua conta é desativada no Microsoft Entra ID e o acesso é revogado instantaneamente em todas as propriedades. A IoT WLAN utiliza uma PSK estática, isolada na VLAN 30, com o isolamento de clientes ativado. Termóstatos inteligentes, fechaduras de portas e câmaras de videovigilância residem aqui, completamente separados do tráfego de convidados e funcionários. Segundo cenário: um espaço de co-working com 15 empresa inquilinas. É aqui que o DPSK realmente mostra o seu valor. O operador utiliza o Ruckus Unleashed em três pisos. Cada empresa inquilina recebe um DPSK exclusivo associado à sua própria VLAN. Os 20 funcionários do Inquilino A utilizam todos a mesma frase de passe DPSK-A, mas essa frase de passe é exclusiva do Inquilino A e mapeia apenas para a VLAN 101. O Inquilino B utiliza o DPSK-B, mapeando para a VLAN 102. Os inquilinos estão completamente isolados uns dos outros na camada de rede. Quando um inquilino sai, o operador revoga o seu DPSK no SmartZone - ou através da interface de gestão da Purple - e já está. Nenhum outro inquilino é afetado, não são necessárias alterações de SSID, nem reposições de palavras-passe em todo o edifício. A camada de gestão multi-tenant da Purple situa-se acima disto, oferecendo ao operador do co-working um único painel para gerir a integração, a revogação de acessos e a análise de utilização de todos os 15 inquilinos. Agora, permitam-me abordar os modos de falha mais comuns e como evitá-los. Número um: má configuração do Walled Garden. Se a página do seu portal não carregar após o redirecionamento, a primeira coisa a verificar é se todos os domínios referenciados pela página do seu portal estão no walled garden. As páginas de portais modernas carregam recursos de múltiplos domínios de CDN, scripts de análise e SDKs de início de sessão social. Se algum destes for bloqueado antes da autenticação, a página falhará ou será carregada com erros. Utilize as ferramentas de programador do seu navegador num dispositivo de teste ligado ao SSID de convidados para identificar quais os pedidos que estão a ser bloqueados. A Purple fornece uma lista documentada de walled garden para o SmartZone e Unleashed - utilize-a como base e adicione quaisquer domínios específicos do local. Número dois: o problema de conectividade da NBI. Se os convidados conseguem ver o portal e autenticar-se, mas nunca obtêm acesso à internet, a causa provável é que o SmartZone não consegue receber o callback da NBI a partir da Purple. Verifique se as portas 9080 e 9443 estão obreiras para tráfego de entrada para o IP de gestão do SmartZone a partir do intervalo de IPs da Purple. Verifique também se as credenciais da NBI que configurou coincidem com as que a Purple tem registadas. Número três: a falta do comando no encrypt-mac-ip. Este é o erro específico do SmartZone mais comum. Se a Purple estiver a receber pedidos de redirecionamento mas não conseguir associar a sessão a um endereço MAC, esta é quase de certeza a causa. É uma correção de uma linha na CLI, mas é fácil de esquecer porque não é apresentada na interface gráfica (GUI). Número quatro: AAA Override não ativado para VLAN dinâmica. Se os funcionários se estão a autenticar com sucesso no 802.1X mas entram todos na mesma VLAN predefinida em vez da VLAN específica da sua função, verifique se o AAA Override está ativado nas definições avançadas da WLAN. Este é o interruptor que indica ao SmartZone para respeitar os atributos de VLAN devolvidos pelo servidor RADIUS. Número cinco: a VLAN do DPSK não está a propagar-se. Se os utilizadores do DPSK se estão a autenticar mas não entram na VLAN correta, verifique se a atribuição de VLAN por DPSK está ativada nas definições da WLAN e se as portas do switch ligadas aos seus APs estão configuradas como portas trunk que transportam todas as VLANs do DPSK. Se a porta do switch for uma porta de acesso, a etiquetação de VLAN será removida. Agora, três perguntas rápidas que me fazem em todas as implementações Ruckus-Purple. Preciso de uma VLAN dedicada para o Guest WiFi? Sim, sempre. Isole o tráfego de convidados numa VLAN dedicada. Isto é tanto um requisito de segurança como uma consideração de conformidade com o PCI DSS se o seu local processar pagamentos com cartão na mesma rede. Ative o isolamento de clientes na WLAN de convidados para impedir que os dispositivos dos convidados comuniquem entre si. Posso utilizar a Purple com o Ruckus One - a plataforma gerida na nuvem - em vez do SmartZone? Sim. O caminho de configuração é diferente - encontra-se nas definições de WiFi Networks, Guest Access no portal do Ruckus One - mas os princípios de configuração do walled garden e do RADIUS são idênticos. A Purple suporta implementações multi-zona do SmartZone? Sim. A integração da Purple lida com ambientes SmartZone multi-zona, e pode delimitar as configurações do portal para zonas individuais para diferentes locais ou pisos dentro de uma única instância do SmartZone. Para resumir. A integração da Ruckus e da Purple abrange três casos de utilização distinção, cada um com o seu próprio modelo de configuração. O Guest WiFi utiliza o fluxo de Captive Portal WISPr - cinco pontos de configuração fundamentais: RADIUS nas portas 1812 e 1813 com um servidor de cópia de segurança, o perfil Hotspot WISPr com um URL de início de sessão externo, um walled garden corretamente delimitado utilizando entradas de caracteres universais, o comando CLI no encrypt-mac-ip e a Northbound Interface ativada com as credenciais corretas. O WiFi seguro para funcionários utiliza 802.1X EAP com direcionamento dinâmico de VLAN através de atributos RADIUS - o elemento crítico é o AAA Override nas definições avançadas da WLAN. O isolamento multi-tenant utiliza o Ruckus DPSK - chaves exclusivas por inquilino, cada uma associada a uma VLAN dedicada, com revogação instantânea e zero risco de palavra-passe partilhada. Acerte nestes três padrões e terá uma arquitetura de rede que escala desde um hotel independente de 50 quartos no Unleashed até um estádio de 5.000 lugares no SmartZone, com a mesma plataforma Purple por cima de tudo a fornecer análises unificadas, captura de dados em conformidade com o GDPR e gestão de acessos centralizada. Se está a planear uma implementação Ruckus com a Purple, a equipa de integração técnica pode orientá-lo através de uma lista de verificação pré-lançamento e validar a sua configuração antes do arranque. A plataforma Purple também fornece análises em tempo real sobre os tempos de carregamento do portal, taxas de sucesso de autenticação e dados de sessão - dando-lhe a visibilidade para detetar problemas antes que os seus convidados o façam. Obrigado por ouvir. Até à próxima.

header_image.png

Resumo Executivo

A implementação de uma rede sem fios de alto desempenho em locais empresariais exige um equilíbrio delicado entre uma experiência de utilizador fluida e uma segurança técnica robusta. Para organizações que executam arquiteturas CommScope Ruckus - que vão desde estádios de alta densidade e centros de convenções a extensas redes de retalho e grupos hoteleiros - a rede serve como a principal porta de entrada para o envolvimento digital. Este guia fornece um manual técnico definitivo para integrar controladores Ruckus SmartZone, ZoneDirector e Unleashed com a plataforma de nuvem Purple. Detalhamos os passos de configuração exatos necessários para implementar Guest WiFi utilizando o redirecionamento de Captive Portal WISPr, redes seguras de funcionários via direcionamento dinâmico de VLAN 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic Pre-Shared Keys (DPSK). Ao seguir estas melhores práticas independentes de fornecedor, as equipas de TI podem automatizar a segmentação de rede, garantir a conformidade com normas como o PCI DSS e capturar dados primários de forma segura.

Análise Técnica Detalhada

A integração entre o hardware CommScope Ruckus e a Purple baseia-se em protocolos de autenticação padrão da indústria e comunicações API seguras. A arquitetura suporta três modelos de implementação distintos, cada um servindo um grupo de utilizadores específico no local.

Arquitetura de Guest WiFi (WISPr)

Para redes de acesso público no retalho e hotelaria, a Ruckus utiliza o protocolo WISPr (Wireless Internet Service Provider roaming). Quando um convidado se liga a um SSID aberto, o controlador Ruckus interceta o seu pedido HTTP inicial e emite um redirecionamento HTTP 302 para o Captive Portal externo da Purple. O convidado autentica-se através de um mecanismo de opção consciente (opt-in) - como e-mail ou um fornecedor de identidade social. Após a autenticação bem-sucedida, a Purple comunica de volta com o controlador Ruckus através da Northbound Interface (NBI) para autorizar o endereço MAC e conceder acesso à internet.

architecture_overview.png

WiFi Seguro para Funcionários (802.1X e VLANs Dinâmicas)

Os dispositivos dos funcionários exigem uma abordagem fundamentalmente diferente. Em vez de dependerem de Captive Portals, os ambientes empresariais utilizam a autenticação 802.1X. Os dispositivos autenticam-se diretamente contra a infraestrutura RADIUS da Purple utilizando os protocolos EAP-TLS (baseado em certificado) ou PEAP-MSCHAPv2 (baseado em credenciais).

O componente crítico aqui é o direcionamento dinâmico de VLAN. Quando o servidor RADIUS da Purple devolve uma mensagem Access-Accept, inclui três atributos específicos do padrão IETF:

  • Tunnel-Type (Atributo 64): Definido como VLAN (valor 13)
  • Tunnel-Medium-Type (Atributo 65): Definido como IEEE-802 (valor 6)
  • Tunnel-Private-Group-ID (Atributo 81): Contém a string do ID da VLAN (por exemplo, "20" para Staff)

O controlador Ruckus SmartZone lê estes atributos e etiqueta dinamicamente o tráfego do utilizador, colocando-o no segmento de rede isolado correto, independentemente do ponto de acesso físico ao qual se ligou.

Isolamento Multi-Tenant (Ruckus DPSK)

Para ambientes como espaços de co-working, alojamentos de estudantes e unidades multi-familiares (MDUs), a transmissão de dezenas de SSIDs cria interferências graves de canais. O Ruckus Dynamic Pre-Shared Key (DPSK) resolve isto ao atribuir uma frase de passe WPA2/WPA3 exclusiva a cada inquilino num único SSID partilhado.

Cada DPSK está associado a uma VLAN específica. Quando um residente se liga, o controlador utiliza a sua chave exclusiva para autenticar o dispositivo e colocá-lo na sua VLAN privada. A Purple automatiza este processo através de integração de API, gerando e revogando chaves à medida que os inquilinos entram e saem, eliminando os riscos de segurança associados às palavras-passe partilhadas tradicionais.

dpsk_configuration_guide.png

Guia de Implementação

Esta secção descreve os passos de configuração específicos necessários para integrar a Purple com um controlador Ruckus SmartZone. Os passos para o Unleashed são amplamente semelhantes, mas omitem o requisito da Northbound Interface.

1. Configurar Servidores RADIUS AAA

  1. Navegue até Services & Profiles > Authentication.
  2. Crie um novo perfil de servidor AAA com o Service Protocol definido como RADIUS.
  3. Introduza o IP do Servidor Primário e o Segredo Partilhado fornecidos na sua consola de administração Purple.
  4. Defina a porta de autenticação para 1812.
  5. Repita este processo em Services & Profiles > Accounting, definindo a porta para 1813.

2. Configurar o Perfil Hotspot WISPr

  1. Navegue até Services & Profiles > Hotspots & Portals > Hotspot (WISPr).
  2. Crie um novo perfil e defina o Login URL para External.
  3. Introduza o URL de redirecionamento do seu Captive Portal Purple.
  4. Defina o seu Walled Garden. Isto é crítico. Deve permitir o acesso aos domínios da Purple antes da autenticação. O SmartZone suporta caracteres universais (por exemplo, *.purple.ai). Deve também incluir captive.apple.com para gerir o comportamento do Captive Network Assistant (CNA) do iOS.

3. Desativar a Encriptação do Endereço MAC (Passo Crítico)

Por predefinição, o SmartZone encripta os endereços MAC e IP passados no URL de redirecionamento. A Purple necessita do endereço MAC original para a gestão de sessões. Deve desativar isto através da CLI:

enable
config
no encrypt-mac-ip
exit

4. Ativar a Northbound Interface (NBI)

  1. Navegue até Administration > External Services > WISPr Northbound Interface.
  2. Ative o serviço e configure um nome de utilizador e uma palavra-passe.
  3. Forneça estas credenciais à Purple. Certifique-se de que a sua a firewall permite tráfego TCP de entrada nas portas 9080 (HTTP) e 9443 (HTTPS) a partir dos intervalos de IP da Purple.

5. Criar a WLAN

  1. Crie uma nova WLAN e defina o Tipo de Autenticação para Hotspot (WISPr).
  2. Selecione o perfil de Hotspot e os servidores AAA configurados anteriormente.
  3. Para redes de funcionários 802.1X, ative o AAA Override nas definições avançadas para garantir que os atributos dinâmicos de VLAN são processados.

Boas Práticas

Para garantir uma implementação robusta e segura, siga estas recomendações padrão do setor:

  • Isolar o Tráfego de Convidados: Coloque sempre o WiFi de convidados numa VLAN dedicada e ative o isolamento de clientes. Este é um requisito obrigatório para a conformidade com o PCI DSS se o seu espaço processar pagamentos na mesma infraestrutura física.
  • Padronizar IDs de VLAN: Ao implementar o direcionamento dinâmico de VLAN em vários espaços, certifique-se de que o seu esquema de numeração de VLAN é idêntico globalmente (por exemplo, a VLAN 20 é sempre para Funcionários). Nomes inconsistentes causarão falhas de autenticação.
  • Implementar Fallback de RADIUS: Configure uma VLAN crítica ou um mecanismo de fallback nos seus controladores. Se o servidor RADIUS principal estiver inacessível, os dispositivos devem ser colocados numa VLAN restrita apenas com acesso à Internet para manter a conectividade básica.
  • Utilizar DPSK3 para Novas Implementações: Se o seu hardware Ruckus suportar WPA3, implemente o DPSK3 em vez do DPSK legado para beneficiar da encriptação baseada em SAE.

Resolução de Problemas e Mitigação de Riscos

Ao integrar Captive Portals externos e serviços RADIUS, os engenheiros encontram frequentemente os seguintes modos de falha:

  • O Portal Não Carrega: Isto deve-se quase sempre a uma configuração incorreta do Walled Garden. Os portais modernos carregam recursos de várias CDNs e fornecedores de identidade. Utilize as ferramentas de programador do navegador para identificar pedidos bloqueados e adicione os domínios necessários ao seu SmartZone Walled Garden.
  • A Autenticação Tem Sucesso mas Não Há Acesso à Internet: Isto indica uma falha na Northbound Interface. O SmartZone não está a receber o callback de autorização da Purple. Verifique as suas credenciais NBI e analise os registos da firewall para detetar tráfego rejeitado nas portas TCP 9080/9443.
  • A Atribuição Dinâmica de VLAN Falha: Se os utilizadores 802.1X se autenticarem com sucesso mas ficarem na VLAN predefinida, verifique se o AAA Override está ativado nas definições de WLAN. Sem isto, o SmartZone ignora o atributo Tunnel-Private-Group-ID devolvido pela Purple.

ROI e Impacto no Negócio

A integração da infraestrutura Ruckus com a Purple transforma uma rede sem fios padrão num ativo de negócio mensurável.

Para espaços de retalho e hotelaria, o Captive Portal recolhe dados primários (first-party) verificados, impulsionando o crescimento de programas de fidelização e permitindo campanhas de marketing direcionadas. Uma grande cadeia de hotéis do Reino Unido registou um aumento de 40% nas pontuações de satisfação dos hóspedes após a implementação conjunta da Ruckus e da Purple.

Para as operações de TI, o direcionamento dinâmico de VLAN e a automatização de DPSK reduzem drasticamente a carga de trabalho de configuração manual. Em vez de gerir portas de switch estáticas ou redefinir palavras-passe partilhadas quando um inquilino sai, o controlo de acessos é centralizado e automatizado, mitigando riscos de segurança e reduzindo os pedidos de suporte.

Definições Principais

WISPr

Wireless Internet Service Provider roaming. Um protocolo padrão da indústria utilizado por controladores sem fios para intercetar tráfego HTTP e redirecionar os utilizadores para um Captive Portal externo.

Esta é a arquitetura fundamental para todas as implementações públicas de Guest WiFi em hardware Ruckus.

Northbound Interface (NBI)

Uma API no controlador Ruckus SmartZone que permite a plataformas externas enviar comandos de autorização.

Necessário para que a Purple conceda acesso à internet a um utilizador após este concluir com sucesso o início de sessão no Captive Portal.

Walled Garden

Uma lista de permissões (whitelist) de domínios e endereços IP aos quais um dispositivo tem permissão para aceder antes de se autenticar na rede.

Essencial para permitir o carregamento da página do Captive Portal, das suas imagens associadas e dos fornecedores de início de sessão social para convidados não autenticados.

Dynamic PSK (DPSK)

Uma tecnologia proprietária da Ruckus que atribui uma frase de passe WPA2/WPA3 exclusiva a utilizadores individuais ou grupos num único SSID partilhado.

Muito utilizado em ambientes multi-tenant (MDUs, espaços de co-working) para fornecer isolamento de rede seguro sem a proliferação de SSIDs.

Dynamic VLAN Steering

O processo de atribuição automática de um dispositivo a um segmento de rede específico (VLAN) com base nos atributos RADIUS devolvidos durante a autenticação 802.1X.

Permite que as equipas de TI utilizem um único SSID 'Staff' enquanto separam de forma segura o tráfego de RH, Financeiro e Receção na camada de rede.

AAA Override

Uma definição de configuração em controladores sem fios que força o ponto de acesso a aplicar as políticas (como IDs de VLAN) devolvidas pelo servidor RADIUS.

Deve estar ativado nas WLANs Ruckus para que o direcionamento dinâmico de VLAN funcione corretamente.

Client Isolation

Uma funcionalidade de segurança que impede que os dispositivos ligados à mesma rede sem fios comuniquem diretamente entre si.

Um controlo de segurança obrigatório para redes públicas de Guest WiFi para evitar ataques peer-to-peer e garantir a conformidade.

Captive Network Assistant (CNA)

O mini-navegador integrado nos sistemas operativos móveis (como iOS e Android) que surge automaticamente quando um Captive Portal é detetado.

Os engenheiros devem gerir o comportamento do CNA através do Walled Garden para garantir uma experiência de início de sessão fluida para utilizadores móveis.

Exemplos Práticos

Um hotel de 250 quartos precisa de implementar três redes distintas na sua infraestrutura Ruckus SmartZone: uma rede pública de convidados, uma rede segura para funcionários com acesso ao sistema de gestão de propriedade e uma rede IoT isolada para termóstatos inteligentes.

A equipa de TI configura três WLANs. A WLAN 'Guest-WiFi' utiliza autenticação Hotspot (WISPr) redirecionando para o Captive Portal da Purple, colocando os utilizadores na VLAN 10 com o isolamento de clientes ativado. A WLAN 'Staff-Secure' utiliza autenticação 802.1X EAP contra o Purple SecurePass; o servidor RADIUS devolve Tunnel-Private-Group-ID = 20, direcionando dinamicamente os funcionários para a VLAN interna. A WLAN 'IoT-Devices' utiliza uma WPA2 PSK estática associada à VLAN 30, restrita através de regras de firewall para comunicar apenas com o servidor de controlo dos termóstatos.

Comentário do Examinador: Esta arquitetura aplica corretamente o princípio do privilégio mínimo. Ao tirar partido do direcionamento dinâmico de VLAN para os funcionários, o hotel evita a transmissão de múltiplos SSIDs específicos de departamentos, reduzindo a utilização de canais e mantendo a segmentação de rede rigorosa exigida para a conformidade com o PCI DSS.

O operador de um espaço de co-working gere um edifício com 15 empresas inquilinas diferentes. Precisa de fornecer acesso sem fios seguro e isolado para cada empresa sem transmitir 15 SSIDs separados.

O operador implementa o Ruckus Unleashed e configura uma única WLAN 'Tenant-WiFi' utilizando segurança Dynamic PSK (DPSK). No controlador, ativa a atribuição de VLAN por DPSK. Cada uma das 15 empresas inquilinas recebe uma frase de passe exclusiva de 62 caracteres. Quando os colaboradores do Inquilino A se ligam utilizando a sua chave específica, o controlador atribui automaticamente o seu tráfego à VLAN 101. Os colaboradores do Inquilino B utilizam uma chave diferente e entram na VLAN 102.

Comentário do Examinador: Este é o caso de utilização ideal para o Ruckus DPSK. Fornece isolamento de nível empresarial na camada de rede, mantendo o ambiente de RF limpo ao transmitir apenas um SSID. Também elimina o risco de segurança de uma palavra-passe partilhada, uma vez que a revogação do acesso do Inquilino A requer a eliminação de uma única chave, sem afetar as outras 14 empresas.

Perguntas de Prática

Q1. Configurou uma rede Guest WiFi num controlador Ruckus SmartZone integrado com a Purple. Ao ligar um dispositivo de teste, a página do Captive Portal da Purple aparece, mas a imagem do logótipo está em falta e o botão 'Iniciar sessão com o Facebook' não funciona. Qual é a causa mais provável?

Dica: Considere que acesso à rede o dispositivo tem antes de se autenticar com sucesso.

Ver resposta modelo

O Walled Garden está mal configurado. Os domínios que alojam a imagem do logótipo (por exemplo, uma CDN) e os servidores de autenticação do Facebook não foram adicionados à whitelist do Walled Garden, pelo que o controlador SmartZone está a bloquear esses pedidos antes da autenticação.

Q2. Um engenheiro de rede está a implementar 802.1X para acesso de funcionários. O servidor RADIUS da Purple está a devolver corretamente o atributo `Tunnel-Private-Group-ID` para a VLAN 20. No entanto, quando os funcionários se ligam, são colocados na VLAN predefinida atribuída à WLAN. Como resolve isto?

Dica: O controlador está a receber as instruções RADIUS, mas opta por ignorá-las.

Ver resposta modelo

Deve ativar o 'AAA Override' nas definições avançadas da WLAN no controlador SmartZone. Sem esta definição ativada, o controlador não aplicará os atributos de VLAN dinâmica devolvidos pelo servidor RADIUS.

Q3. Um espaço de co-working pretende fornecer WiFi seguro para 10 empresas diferentes. Atualmente, transmitem 10 SSIDs separados, o que está a causar interferências graves de canais. Não podem utilizar 802.1X porque muitos dispositivos são impressoras partilhadas ou smart TVs. Qual é a arquitetura Ruckus recomendada?

Dica: Procure uma solução que forneça chaves de encriptação exclusivas sem exigir certificados ou credenciais empresariais.

Ver resposta modelo

Implemente o Ruckus Dynamic PSK (DPSK) num único SSID. Emita um DPSK exclusivo para cada empresa inquilina e configure o controlador para associar cada DPSK a uma VLAN específica. Isto elimina a proliferação de SSIDs, fornece isolamento de rede e suporta dispositivos sem interface de utilizador (headless), como impressoras.

Continue a ler esta série

Integração de Pontos de Acesso Grandstream GWN com o Purple WiFi

Este guia de referência técnica detalha como integrar os pontos de acesso Grandstream GWN com a plataforma de Guest WiFi e analítica da Purple. Abrange a configuração do Captive Portal da Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas e passo a passo para MSPs e equipas de TI que implementam WiFi para convidados e funcionários em grande escala.

Ler o guia →

Integração do Huawei AirEngine e CloudCampus com o Purple WiFi

Este guia fornece instruções passo a passo para integrar os pontos de acesso Huawei AirEngine e o iMaster NCE-Campus com o Purple WiFi. Abrange a configuração do Captive Portal, a autenticação de funcionários por 802.1X e o direcionamento dinâmico de VLAN por PPSK para redes empresariais.

Ler o guia →

Integração do Cambium Networks cnPilot e cnMaestro com o Purple WiFi

Este guia de referência detalha a integração dos pontos de acesso Cambium Networks cnPilot e do controlador de nuvem cnMaestro com a plataforma de inteligência Purple WiFi. Abrange a arquitetura, a configuração do Captive Portal, os requisitos de walled garden, o WiFi para colaboradores 802.1X e a segmentação dinâmica de VLAN usando Cambium ePSK para ambientes multi-tenant.

Ler o guia →