Ruckus Unleashed e WiFi de convidados: configuração do captive portal com a Purple

Bem-vindo ao Briefing Técnico Purple. Sou o seu anfitrião e hoje vamos cobrir um padrão de implementação que surge em quase todos os projetos de WiFi empresarial que vemos à escala - a integração do CommScope Ruckus com a plataforma cloud da Purple. Quer esteja a gerir um grupo de hotéis, uma rede de retalho, um estádio ou um centro de conferências, este episódio dar-lhe-á o manual de configuração de que necessita. Vamos primeiro contextualizar. A Ruckus - agora sob a alçada da CommScope - é uma das plataformas de WiFi empresarial dominantes a nível mundial. O SmartZone, em particular, é o controlador de eleição para ambientes de alta densidade. Hotéis como o Premier Inn, grandes cadeias de retalho, estádios e centros de convenções utilizam todos infraestruturas Ruckus. Quando está a implementar WiFi para convidados a essa escala, precisa de mais do que um SSID aberto. Precisa de autenticação estruturada, captura de dados em conformidade com o GDPR e a capacidade de alimentar esses dados de convidados na sua stack de marketing. É exatamente aí que a Purple entra. A Purple opera em mais de 80.000 locais ativos, processou 440 milhões de logins apenas em 2024 e detém as certificações ISO 27001, GDPR e Cyber Essentials. A integração com a Ruckus é um dos nossos padrões de implementação mais maduros. Ora, a Ruckus tem três plataformas de controladores distintas que precisa de compreender antes de tocar num ecrã de configuração. O SmartZone - disponível como um equipamento físico SZ300 ou virtual vSZ - é o controlador empresarial para implementações de grande dimensão e multi-site. Gere milhares de pontos de acesso em múltiplas zonas, oferece-lhe um controlo profundo de políticas e suporta toda a gama de métodos de autenticação que iremos cobrir hoje. O ZoneDirector é o controlador local legado - ainda amplamente implementado, particularmente na hotelaria - e suporta o mesmo fluxo de Captive Portal baseado em WISPr, embora com um caminho de configuração ligeiramente diferente. E o Unleashed é o modelo sem controlador, onde um AP funciona como master para até 128 outros APs. É ideal para implementações mais pequenas e num único local - hotéis independentes, filiais de retalho, escritórios de PMEs. Certo. Vamos aos detalhes técnicos. Vou cobrir três casos de utilização distintos: WiFi para Convidados com redirecionamento de Captive Portal, WiFi Seguro para Funcionários utilizando 802.1X, e isolamento de rede Multi-Tenant utilizando Dynamic PSK da Ruckus. Começando com o WiFi para Convidados. A arquitetura aqui é um fluxo de hotspot baseado em WISPr. O WISPr - Wireless Internet Service Provider roaming - é um padrão da indústria que define como um controlador sem fios intercepta o tráfego HTTP não autenticado e o redireciona para um portal externo. O convidado liga-se ao seu SSID. O seu dispositivo envia um pedido HTTP. O SmartZone intercepta-o e emite um redirecionamento HTTP 302 para o URL do seu portal externo - neste caso, o Captive Portal da Purple. O convidado autentica-se - através de login social, email, SMS ou um formulário personalizado - e depois o portal comunica de volta com o controlador através do Northbound Interface, ou NBI, para conceder o acesso. No SmartZone, a configuração tem quatro componentes principais. Primeiro, o perfil do servidor de autenticação RADIUS. Navegue até Services and Profiles e depois Authentication. Crie um novo perfil de servidor AAA. Defina o Service Protocol como RADIUS. O IP do seu servidor primário e o segredo partilhado são fornecidos na consola de administração do Purple. Porta 1812 para autenticação. Configure sempre um servidor RADIUS de backup para resiliência. Depois, crie o servidor de accounting em Services and Profiles, Accounting - porta 1813, com o mesmo segredo partilhado. Segundo, o perfil de Hotspot WISPr. Aceda a Services and Profiles, Hotspots and Portals, e selecione o separador Hotspot WISPr. Crie um novo perfil. Defina o Login URL como External e introduza o URL de redirecionamento do seu portal. Defina a Start Page para redirecionar para o seu URL pós-autenticação - normalmente uma página de sucesso ou a homepage do seu local. Agora, o Walled Garden. É aqui que os engenheiros cometem erros com mais frequência. O Walled Garden define quais os domínios e endereços IP a que um convidado pode aceder antes de estar autenticado. Precisa de incluir o domínio do seu portal, quaisquer domínios de CDN ou de recursos a partir dos quais o seu portal carrega e os endpoints padrão de deteção de Captive Portal do sistema operativo. No SmartZone, os wildcards são suportados utilizando o formato asterisco-ponto - por isso, *.purple.ai cobre todos os subdomínios. Também precisa do domínio de deteção de Captive Portal da Apple - captive.apple.com - e dos endpoints de verificação de conectividade da Google para evitar que o mini-browser CNA se comporte incorretamente em dispositivos iOS e Android. Um passo crítico que é fácil de esquecer. Por predefinição, o SmartZone encripta o endereço MAC e o endereço IP que passa para o portal externo no URL de redirecionamento. O Purple precisa de ver o endereço MAC real do cliente para realizar a gestão de sessão baseada em MAC. Deve desativar isto através do CLI. Aceda por SSH ao seu SmartZone, entre no modo de configuração e execute: no encrypt-mac-ip. Trata-se de um comando simples, mas é um bloqueio total se o ignorar. A Northbound Interface é a outra peça essencial. Esta é a API que permite ao Purple comunicar de volta com o SmartZone para conceder ou recusar o acesso após a autenticação. Ative-a em Administration, External Services, WISPr Northbound Interface. Defina um nome de utilizador e palavra-passe e forneça essas credenciais ao Purple. A NBI corre na porta TCP 9080 para HTTP e 9443 para HTTPS - certifique-se de que a sua firewall permite ligações de entrada da gama de IP do Purple para estas portas. Finalmente, crie a sua WLAN. Defina o Authentication Type como Hotspot WISPr, selecione o perfil do seu portal e atribua os seus serviços de autenticação e accounting RADIUS. Defina o NAS ID como User-defined se o Purple exigir um valor específico, defina Called Station ID como AP MAC e ative Single Session ID. Para o Unleashed, a arquitetura é fundamentalmente diferente - é um modelo distribuído e sem controlador. A configuração reside em Admin and Services, Services, Hotspot Services. Os passos são amplamente semelhantes - criar um serviço de Hotspot, configurar o URL do portal externo, configurar o servidor de autenticação AAA, adicionar as entradas de Walled Garden - mas existem duas diferenças importantes. Não há requisito de Interface Northbound no Unleashed. E a encriptação de endereços MAC não é aplicada por predefinição, pelo que não necessita do comando CLI. O walled garden do Unleashed também aceita entradas ao nível do domínio em vez da sintaxe de wildcard completa. Agora passemos para o Secure Staff WiFi utilizando 802.1X. Este é um modelo de autenticação completamente diferente. Em vez de um Captive Portal, os dispositivos da equipa autenticam-se diretamente utilizando o Extensible Authentication Protocol - EAP. O método mais comum em ambientes empresariais é o PEAP-MSCHAPv2, onde o utilizador introduz as suas credenciais do Active Directory, ou o EAP-TLS, onde o dispositivo apresenta um certificado. O suplemento SecurePass do Purple integra-se com o Microsoft Entra ID, Okta e Google Workspace para funcionar como o backend RADIUS para este fluxo. No SmartZone, crie uma nova WLAN e defina o Tipo de Autenticação como 802.1X EAP. Nas definições de AAA, aponte para o seu servidor RADIUS - o endpoint SecurePass do Purple. A principal diferença em relação ao fluxo de convidados é que também configura a atribuição dinâmica de VLAN aqui. Quando o servidor RADIUS do Purple devolve um Access-Accept, este inclui três atributos padrão IETF: Tunnel-Type definido como VLAN, valor 13; Tunnel-Medium-Type definido como IEEE-802, valor 6; e Tunnel-Private-Group-ID contendo a string de ID da VLAN - por exemplo, vinte para a VLAN da Equipa. O SmartZone lê estes atributos e etiqueta dinamicamente o tráfego do membro da equipa com a VLAN correta, independentemente do AP a que este esteja ligado. Isto é o direcionamento dinâmico de VLAN, e é o que permite que um único SSID sirva múltiplos papéis de utilizador com diferentes políticas de acesso à rede. Ative a Sobreposição AAA nas definições avançadas da WLAN para garantir que o SmartZone processa os atributos de VLAN devolvidos pelo RADIUS. Sem essa caixa de verificação, a atribuição dinâmica não funcionará, mesmo que o servidor RADIUS esteja a enviar os atributos corretos. O terceiro caso de utilização é o isolamento Multi-Tenant utilizando o Ruckus Dynamic PSK - ou DPSK. Esta é uma tecnologia proprietária da Ruckus que atribui uma frase-passe WPA2 exclusiva a cada utilizador ou tenant, tudo num único SSID. Ao contrário de uma PSK partilhada onde todos utilizam a mesma palavra-passe, o DPSK significa que o Tenant A tem uma chave exclusiva de 62 carateres, o Tenant B tem uma chave diferente, e assim sucessivamente. Cada chave está associada a uma VLAN específica, pelo que o tráfego do Tenant A vai para a VLAN 101 e o do Tenant B vai para a VLAN 102 - isolamento total, sem risco de partilha de palavras-passe e revogação instantânea sem afetar os outros tenants. Isto é particularmente potente em espaços de co-working, edifícios residenciais para arrendamento (build-to-rent), alojamento de estudantes e parques comerciais multi-inquilino. A Purple integra-se com o Ruckus DPSK através da API SmartZone para automatizar o aprovisionamento de chaves - quando um novo inquilino é integrado na Purple, é gerado um DPSK, associado à VLAN correta e entregue ao inquilino automaticamente. Para configurar o DPSK no SmartZone: navegue até WLANs, adicione uma nova WLAN e, em Security, defina o método como Dynamic PSK. Defina o comprimento do DPSK para 62 caracteres para uma entropia máxima. Em VLAN, ative Per-DPSK VLAN assignment. Em seguida, utilize a API SmartZone ou a interface de gestão DPSK para criar chaves individuais por inquilino, cada uma mapeada para o seu próprio VLAN ID. No Unleashed, a mesma funcionalidade está disponível em WiFi Networks, Advanced Options, Dynamic PSK. O DPSK3 é a variante WPA3, oferecendo uma encriptação baseada em SAE mais forte. Se a sua frota de APs suporta WPA3 - o que todos os APs Ruckus da série R atuais fazem - o DPSK3 é a escolha preferida para novas implementações. Deixe-me apresentar dois cenários reais de implementação que ilustram como estes três casos de utilização se conjugam. Primeiro cenário: um hotel de 250 quartos. A propriedade corre Ruckus SmartZone com pontos de acesso R750 em todo o espaço. Precisam de três tipos de rede: WiFi de convidados para os hóspedes do hotel, WiFi de funcionários seguro para a equipa de receção e de apoio (back-of-house), e uma rede IoT para controlos de quartos inteligentes e CCTV. A WLAN de convidados utiliza o fluxo de Captive Portal WISPr com a Purple. Os convidados ligam-se, são redirecionados para um portal Purple personalizado, autenticam-se por e-mail ou login social, e entram na VLAN 10. O portal recolhe dados primários - e-mail, consentimento de marketing, preferências de estadia - que alimentam diretamente o CRM do hotel. O painel de analítica da Purple mostra ao hotel quais os pisos com as taxas de ligação mais elevadas, horas de pico de utilização e taxas de visitantes recorrentes. O Premier Inn implementou este modelo em todas as suas propriedades no Reino Unido e registou melhorias mensuráveis nas pontuações de satisfação dos hóspedes diretamente associadas à experiência de WiFi. A WLAN de funcionários utiliza 802.1X com o SecurePass da Purple. Os funcionários autenticam-se com as suas credenciais de Active Directory através de PEAP-MSCHAPv2. A equipa da receção entra na VLAN 20 com acesso ao sistema de gestão da propriedade. A equipa de back-of-house entra na VLAN 21 com acesso apenas aos sistemas de RH e de escalas. A atribuição de VLAN é inteiramente gerada pelos atributos RADIUS que a Purple devolve - sem necessidade de configuração manual de portas. Quando um funcionário sai da empresa, a sua conta é desativada no Microsoft Entra ID e o acesso é revogado instantaneamente em todas as propriedades. A WLAN de IoT utiliza uma PSK estática, isolada na VLAN 30, com o isolamento de clientes ativado. Termóstatos inteligentes, fechaduras de portas e câmaras de CCTV encontram-se aqui, completamente separados do tráfego de convidados e funcionários. Segundo cenário: um espaço de co-working com 15 empresas inquilinas. É aqui que o DPSK realmente prova o seu valor. O operador executa o Ruckus Unleashed em três pisos. Cada empresa inquilina recebe um DPSK único associado à sua própria VLAN. Os 20 funcionários do Inquilino A utilizam a mesma frase-passe DPSK-A, mas essa frase-passe é única para o Inquilino A e mapeia apenas para a VLAN 101. O Inquilino B utiliza o DPSK-B, mapeando para a VLAN 102. Os inquilinos estão completamente isolados uns dos outros na camada de rede. Quando um inquilino sai, o operador revoga o seu DPSK no SmartZone - ou através da interface de gestão da Purple - e já está. Nenhum outro inquilino é afetado, não são necessárias alterações de SSID, nem redefinições de palavras-passe em todo o edifício. A camada de gestão multi-tenant da Purple fica acima disto, oferecendo ao operador do co-working um único painel para gerir a integração, a revogação de acessos e a análise de utilização de todos os 15 inquilinos. Deixe-me agora abordar os modos de falha mais comuns e como evitá-los. Número um: configuração incorreta do Walled Garden. Se a página do seu portal não carregar após o redirecionamento, a primeira coisa a verificar é se todos os domínios aos quais a página do portal faz referência estão no walled garden. As páginas de portais modernas carregam recursos de múltiplos domínios de CDN, scripts de análise e SDKs de login social. Se algum destes for bloqueado antes da autenticação, a página falhará no carregamento ou será carregada com erros. Utilize as ferramentas de programador do seu browser num dispositivo de teste ligado ao SSID de convidados para identificar quais os pedidos que estão a ser bloqueados. A Purple fornece uma lista documentada de walled garden para SmartZone e Unleashed - utilize-a como base e adicione quaisquer domínios específicos do local no topo. Número dois: o problema de conectividade NBI. Se os convidados conseguem ver o portal e autenticar-se, mas nunca obtêm acesso à internet, a causa provável é que o SmartZone não consegue receber o retorno de chamada NBI da Purple. Verifique se as portas 9080 e 9443 estão abertas para entrada no IP de gestão do SmartZone a partir da gama de IPs da Purple. Verifique também se as credenciais NBI que configurou correspondem às que a Purple tem em arquivo. Número três: a falta do comando no encrypt-mac-ip. Este é o imprevisto mais comum e específico do SmartZone. Se a Purple estiver a receber pedidos de redirecionamento mas não conseguir fazer corresponder a sessão a um endereço MAC, esta é quase de certeza a causa. É uma correção de CLI de uma única linha, mas é fácil de esquecer porque não é apresentada na GUI. Número quatro: o AAA Override não está ativado para VLAN dinâmica. Se os funcionários se estão a autenticar com sucesso no 802.1X, mas todos acabam na mesma VLAN padrão em vez de na sua VLAN específica de função, verifique se o AAA Override está ativado nas definições avançadas da WLAN. Este é o interruptor que indica ao SmartZone para respeitar os atributos de VLAN devolvidos pelo servidor RADIUS. Número cinco: VLAN DPSK não está a propagar. Se os utilizadores DPSK se estão a autenticar mas não estão a entrar na VLAN correta, verifique se a atribuição de VLAN Per-DPSK está ativada nas definições de WLAN e se as portas do switch ligadas aos seus APs estão configuradas como portas trunk que transportam todas as VLANs DPSK. Se a porta do switch for uma porta de acesso, a marcação de VLAN será removida. Agora, três perguntas rápidas que me fazem em todas as implementações do Ruckus-Purple. Preciso de uma VLAN dedicada para o WiFi de convidados? Sim, sempre. Isole o tráfego de convidados numa VLAN dedicada. Este é um requisito de segurança e uma consideração de conformidade PCI-DSS se o seu espaço processar pagamentos com cartão na mesma rede. Ative o isolamento de clientes na WLAN de convidados para impedir que os dispositivos de convidados comuniquem entre si. Posso usar o Purple com o Ruckus One - a plataforma gerida na nuvem - em vez do SmartZone? Sim. O caminho de configuração é diferente - está em WiFi Networks, definições de Guest Access no portal Ruckus One - mas os princípios do walled garden e da configuração RADIUS são idênticos. O Purple suporta implementações multi-zone do SmartZone? Sim. A integração do Purple lida com ambientes SmartZone multi-zone e pode definir o âmbito das configurações do portal para zonas individuais para diferentes espaços ou pisos dentro de uma única instância do SmartZone. Para concluir. A integração do Ruckus e do Purple abrange três casos de utilização distintos, cada um com o seu próprio modelo de configuração. O WiFi de convidados utiliza o fluxo de Captive Portal WISPr - cinco pontos-chave de configuração: RADIUS nas portas 1812 e 1813 com um servidor de cópia de segurança, o perfil Hotspot WISPr com um URL de início de sessão externo, um walled garden corretamente dimensionado utilizando entradas com caracteres curinga, o comando CLI no encrypt-mac-ip e a Northbound Interface ativada com as credenciais corretas. O WiFi seguro para funcionários utiliza 802.1X EAP com direcionamento dinâmico de VLAN através de atributos RADIUS - o facilitador crítico é o AAA Override nas definições avançadas de WLAN. O isolamento Multi-Tenant utiliza Ruckus DPSK - chaves exclusivas por inquilino, cada uma vinculada a uma VLAN dedicada, com revogação instantânea e risco zero de palavra-passe partilhada. Acerte nestes três padrões e terá uma arquitetura de rede que se expande de um hotel independente de 50 quartos no Unleashed para um estádio de 5000 lugares no SmartZone, com a mesma plataforma Purple acima de tudo a fornecer análises unificadas, captura de dados em conformidade com o GDPR e gestão de acessos centralizada. Se está a planear uma implementação do Ruckus com o Purple, a equipa de integração técnica pode orientá-lo através de uma lista de verificação pré-lançamento e validar a sua configuração antes de entrar em direto. A plataforma Purple também fornece análises em tempo real sobre os tempos de carregamento do portal, taxas de sucesso de autenticação e dados de sessão - dando-lhe a visibilidade para detetar problemas antes que os seus convidados o façam. Obrigado por ouvir. Até à próxima.