Integração do Cambium Networks cnPilot e cnMaestro com o Purple WiFi

Integração do Cambium Networks cnPilot e cnMaestro com o Purple WiFi. Um Briefing para Consultores. Bem-vindo. Se gere um ambiente Cambium Networks e lhe foi solicitado que forneça uma experiência de WiFi para hóspedes que recolha dados, impulsione o marketing e garanta a conformidade — este briefing é exatamente o que precisa. Vou explicar-lhe como os pontos de acesso Cambium cnPilot, o controlador de nuvem cnMaestro e o Purple WiFi se articulam. Vamos abordar a arquitetura, o fluxo de autenticação RADIUS, a configuração do walled garden, o WiFi seguro para colaboradores utilizando 802.1X e a segmentação multi-tenant utilizando a funcionalidade ePSK da Cambium com atribuição dinâmica de VLAN. Quer esteja a gerir um complexo hoteleiro, um portfólio de retalho, um centro de conferências ou um campus do setor público, os princípios são os mesmos. Vamos a isso. Primeiro, uma rápida orientação sobre as duas plataformas. A Cambium Networks produz a gama cnPilot de pontos de acesso WiFi empresariais — o e410, e425H, e430H e e505 para implementações em interiores e exteriores. Estes APs são geridos centralmente através do cnMaestro, a plataforma de gestão na nuvem da Cambium. O cnMaestro oferece-lhe visibilidade centralizada, gestão de configuração e atualizações de firmware em todo o seu parque de APs — quer se trate de um punhado de dispositivos num único local ou de milhares de APs num parque nacional. O Purple WiFi é uma plataforma de inteligência de WiFi para hóspedes empresarial. Trata do Captive Portal — a splash page personalizada com a marca que os seus hóspedes veem quando se ligam — e também funciona como um servidor de autenticação RADIUS, um motor de recolha de dados e uma plataforma de automação de marketing. O Purple opera em mais de 80.000 locais ativos e processou 440 milhões de inícios de sessão apenas em 2024. A combinação do Cambium cnMaestro e do Purple oferece-lhe uma pilha de WiFi para hóspedes de nível de produção que é tecnicamente sólida e comercialmente valiosa. Agora, vamos falar sobre a arquitetura de integração. O mecanismo principal é um redirecionamento de Captive Portal combinado com autenticação RADIUS. Eis como o fluxo funciona na prática. Um dispositivo de hóspede associa-se ao seu SSID de hóspedes. Esse SSID está configurado no cnMaestro como uma rede aberta — sem chave pré-partilhada para hóspedes. O AP Cambium intercepta o primeiro pedido HTTP do dispositivo e redireciona-o para o URL do Captive Portal do Purple. Este redirecionamento é configurado no cnMaestro sob as definições de Guest Access da WLAN, onde define o URL da Página Externa para o endpoint do portal do local do Purple. O hóspede interage então com o portal do Purple. Pode autenticar-se através de início de sessão social, e-mail, verificação por SMS ou um formulário personalizado. Assim que conclui o fluxo de autenticação, o backend do Purple envia uma mensagem RADIUS Access-Accept de volta para o AP Cambium na porta UDP 1812. O AP move então o dispositivo do estado de pré-autenticação para o acesso total à rede. Deixe-me guiá-lo pelos passos exatos de configuração no cnMaestro. Navegue até Configuration, depois WiFi Profiles e, em seguida, WLANs. Crie uma nova WLAN para a sua rede de hóspedes. Defina o nome do SSID — algo como "Hotel Guest WiFi" — e defina a segurança para Open. Em Guest Access, ative a opção External Hotspot. Esta é a definição principal que indica ao cnMaestro para redirecionar clientes não autenticados para um portal externo. Defina o URL da Página Externa para o URL do portal do seu local do Purple. Ative a autenticação RADIUS e introduza o endereço IP do servidor RADIUS do Purple, o segredo partilhado (shared secret) e defina a porta de autenticação para UDP 1812. Ative o RADIUS accounting na porta UDP 1813 — isto é fundamental para que a análise de dados do Purple funcione corretamente. Sem registos de accounting, o Purple não consegue gerar dados de sessão, métricas de tempo de permanência ou análises de frequência de visitas. Agora, o walled garden. Esta é a lista de domínios e endereços IP que os dispositivos dos hóspedes podem aceder antes de se autenticarem. Precisa de colocar na lista de permissões (whitelist) o domínio do portal do Purple e quaisquer endpoints de CDN utilizados para fornecer os recursos do portal. Também precisa de colocar na lista de permissões quaisquer domínios de fornecedores de autenticação — se estiver a utilizar o início de sessão social através do Google ou Facebook, os domínios de OAuth deles precisam de estar no walled garden. Um walled garden mal configurado é a causa individual mais comum de falhas no Captive Portal. O dispositivo do hóspede precisa de resolver o DNS e aceder ao portal do Purple através de HTTPS antes de se poder autenticar. No cnMaestro, o walled garden é configurado sob as definições de External Hotspot. Adicione entradas para o domínio do portal do Purple, quaisquer domínios de fornecedores de início de sessão social e quaisquer domínios de gateways de pagamento se estiver a disponibilizar planos de WiFi pagos. Agora vamos falar sobre WiFi seguro para colaboradores utilizando o IEEE 802.1X. Para redes de colaboradores, não pretende um Captive Portal. Pretende uma autenticação baseada em certificados ou credenciais que ocorra silenciosamente ao nível do dispositivo. No cnMaestro, crie uma WLAN separada para os colaboradores. Defina a segurança para WPA2-Enterprise. Configure os detalhes do servidor RADIUS — novamente, o IP do servidor RADIUS do Purple em UDP 1812. Os dispositivos dos colaboradores autenticam-se utilizando EAP-PEAP com credenciais de utilizador e palavra-passe, ou EAP-TLS com certificados de dispositivo para obter o nível de segurança mais elevado. O Purple integra-se com o Microsoft Entra ID, Okta e Google Workspace como fornecedores de identidade. Isto significa que os seus colaboradores podem autenticar-se no WiFi utilizando as suas credenciais corporativas existentes — sem necessidade de gerir uma palavra-passe de WiFi separada. O Purple valida as credenciais junto do seu fornecedor de identidade e devolve um Access-Accept ao AP Cambium. A atribuição dinâmica de VLAN coloca então o dispositivo do colaborador autenticado na VLAN de colaboradores correta, isolando-o do tráfego de hóspedes. Agora, a segmentação multi-tenant utilizando o Cambium ePSK. O ePSK — enhanced pre-shared key — é a implementação da Cambium daquilo que a indústria designa por PPSK ou iPSK. O conceito é simples: em vez de uma palavra-passe partilhada para todo um SSID, cada utilizador ou cliente recebe a sua própria palavra-passe exclusiva. Todos se ligam ao mesmo SSID, mas cada chave exclusiva mapeia para uma VLAN específica, proporcionando-lhe isolamento de rede sem a complexidade de gerir múltiplos SSIDs. cnMaestro suporta até 2.000 entradas ePSK por WLAN. Cada ePSK pode ser atribuído a um ID de VLAN específico, a um limite de largura de banda (rate limit) e a uma data de expiração. Isto torna-o ideal para ambientes multi-tenant — pense num centro de conferências onde cada expositor tem o seu próprio segmento de rede isolado, ou num edifício residencial de arrendamento de longa duração onde cada residente tem a sua própria rede de área privada. Para configurar o ePSK no cnMaestro, navegue até Configuration, WiFi Profiles, WLANs. Crie uma nova WLAN. Defina a segurança para WPA2 Pre-Shared Key. Ative a opção ePSK. Pode então adicionar entradas ePSK individuais manualmente ou utilizar a API do cnMaestro para as aprovisionar programaticamente — que é a abordagem recomendada para implementações em grande escala. Para cada entrada ePSK, defina a palavra-passe, o ID de VLAN atribuído e, opcionalmente, o limite de largura de banda e a expiração. Quando um dispositivo se liga utilizando essa palavra-passe, o AP Cambium coloca-o automaticamente na VLAN atribuída. Não é necessário RADIUS para o fluxo ePSK em si — a atribuição de VLAN é tratada localmente pelo AP com base na palavra-passe utilizada. O Purple integra-se com este modelo gerindo o ciclo de vida do ePSK através da API do cnMaestro. O Purple pode aprovisionar novas entradas ePSK quando um novo cliente é integrado, atualizar a atribuição de VLAN, definir datas de expiração e revogar o acesso quando um cliente sai. Isto elimina o esforço manual de gerir centenas ou milhares de chaves individuais. Muito bem, vamos falar sobre o que pode correr mal e como evitá-lo. O erro mais comum é o walled garden. Se as suas entradas de walled garden estiverem incompletas, o redirecionamento do Captive Portal nunca é concluído. Os hóspedes veem um tempo limite de ligação esgotado, e não uma página de início de sessão. Teste sempre com um dispositivo novo — e não um que já se tenha ligado anteriormente — e confirme que o portal do Purple carrega antes da autenticação. Verifique se a resolução de DNS funciona para o domínio do portal do Purple a partir do estado de pré-autenticação. Segundo: divergências no segredo partilhado (shared secret) do RADIUS. Em grandes implementações com múltiplos locais, é fácil ter um segredo partilhado configurado de forma diferente no cnMaestro em comparação com o que o Purple tem registado. Confirme sempre o segredo partilhado em ambos os lados antes de entrar em produção. Utilize um segredo forte, gerado aleatoriamente — com pelo menos 32 caracteres — e guarde-o num gestor de segredos, não numa folha de cálculo. Terceiro: RADIUS accounting. Não o ignore. Os registos de accounting são o que o Purple utiliza para criar análises de sessão — tempo de permanência, frequência de visitas, tipo de dispositivo. Configure o RADIUS accounting na porta UDP 1813 no cnMaestro. Sem ele, perde o valor analítico que o Purple oferece. É um passo de configuração de cinco minutos. Quarto: trunking de VLAN. Para que a atribuição dinâmica de VLAN funcione, as VLANs devem estar em modo trunk nas portas do switch que ligam aos seus APs Cambium. Se a VLAN 100 para hóspedes não for permitida no trunk, os hóspedes autenticados não obterão um endereço IP e parecerá que não têm acesso à Internet, mesmo após uma autenticação bem-sucedida. Verifique a configuração do trunk do seu switch antes de testar. Quinto: conflitos de intervalos de VLAN do ePSK. Certifique-se de que o seu intervalo de VLAN do ePSK não entra em conflito com as VLANs existentes na sua rede — particularmente as VLANs de gestão ou de infraestrutura. Documente a sua atribuição de VLANs antes de começar. Sexto: versão do firmware. Certifique-se de que os seus APs cnPilot estão a executar a versão de firmware 6.0 ou posterior para suporte total de hotspot externo e funcionalidade ePSK. As versões de firmware anteriores têm problemas conhecidos com o comportamento de redirecionamento do Captive Portal. Agora, algumas perguntas rápidas. Posso utilizar o Purple com a Cambium sem RADIUS — apenas com um redirecionamento simples? Sim, mas perde a atribuição dinâmica de VLAN e os dados de accounting de sessão. Para qualquer cenário além de uma splash page básica, o RADIUS é fortemente recomendado. O Purple suporta WPA3 nos APs Cambium? Sim. A autenticação baseada em portal do Purple é compatível com WPA3-SAE no SSID. O fluxo RADIUS é independente do protocolo de segurança sem fios. Posso executar o Purple em múltiplos locais Cambium a partir de uma única conta Purple? Absolutamente. A arquitetura multi-local (multi-venue) do Purple foi concebida exatamente para isso. Cada local mapeia para um espaço no Purple, e as políticas de rede do cnMaestro escalam de forma limpa em todo o parque nacional. Quantas entradas ePSK pode o cnMaestro suportar? Até 2.000 por WLAN. Para implementações que exijam mais, utilize uma abordagem baseada em RADIUS para a gestão de chaves. Em resumo: a integração do Cambium cnMaestro e do Purple WiFi é uma arquitetura comprovada que fornece WiFi para hóspedes com recolha de dados, autenticação RADIUS, segmentação dinâmica de VLAN e análise de dados completa — tudo gerido centralmente através da consola na nuvem do cnMaestro. Os passos principais para colocar isto em funcionamento: configure a sua WLAN de hóspedes no cnMaestro com o External Hotspot ativado e o URL do portal do Purple definido, adicione os detalhes do servidor RADIUS do Purple para autenticação e accounting, configure as suas entradas de walled garden, verifique o trunking de VLAN nos seus switches e teste com um dispositivo novo antes de entrar em produção. Para implementações multi-tenant, configure o ePSK numa WLAN dedicada, atribua IDs de VLAN por cliente e utilize a API do cnMaestro para a gestão do ciclo de vida em grande escala. O caso de ROI é simples. A plataforma de análise do Purple transforma o seu WiFi para hóspedes de um centro de custos num ativo de dados primários (first-party data). O Harrods alcançou um ROI de marketing de 57 vezes com a sua implementação de WiFi para hóspedes do Purple. A AGS Airports gerou um ROI de 842%. Combinado com a infraestrutura de nível empresarial da Cambium, obtém uma solução que escala de um único local para um parque nacional sem alterações arquitetónicas. Para os seus próximos passos: obtenha os detalhes do servidor RADIUS do Purple junto do seu gestor de conta Purple, aceda à configuração de WLAN do cnMaestro para o seu SSID de hóspedes e execute a lista de verificação de configuração. A maioria das implementações num único local entra em funcionamento no próprio dia. Obrigado por ouvir. Se quiser aprofundar o design do Captive Portal, a estratégia de segmentação de VLAN ou a gestão do ciclo de vida do ePSK, a documentação e a equipa de suporte do Purple são o próximo contacto ideal.