Saltar para o conteúdo principal
Português

Cisco Catalyst WLC e guest WiFi: configuração de captive portal com a Purple

Como um controlador LAN sem fios Cisco Catalyst 9800 (IOS-XE) funciona com o guest WiFi da Purple: autenticação web externa, RADIUS e uma walled garden, com um link para o guia de configuração passo a passo da Purple para a configuração exata.

📖 2 min de leitura📝 399 palavras📚 5 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo à série de briefings técnicos da Purple. Hoje estamos a abordar algo que chega à secretária de quase todos os arquitetos de rede empresariais que trabalham na hotelaria, no retalho ou em recintos de grande escala: a integração de Cisco Wireless LAN Controllers e da infraestrutura wireless Catalyst com a plataforma de Guest WiFi da Purple. Se utiliza controladores da série Cisco Catalyst 9800 ou a plataforma legada AireOS, e precisa de fornecer uma rede de convidados em conformidade, segmentada e orientada por analítica, este briefing é para si. [medium pause] Comecemos pelo contexto. A Purple opera em mais de 80.000 recintos ativos globalmente, e a Cisco é o fornecedor dominante de infraestrutura wireless em ambientes empresariais. Fazer com que estas duas plataformas funcionem juntas de forma limpa não é complicado, mas exige que tome as decisões de arquitetura corretas logo à partida. Se errar, passará semanas a resolver problemas de loops de redirecionamento, incompatibilidades de VLAN e tempos de limite de RADIUS. Se acertar, terá uma rede que segmenta convidados, funcionários e dispositivos IoT automaticamente, recolhe dados primários em conformidade e escala em centenas de sites sem intervenção manual. [medium pause] Vamos então entrar na arquitetura. [short pause] Quando um convidado se liga à sua rede WiFi numa implementação Cisco, há três coisas que precisam de acontecer antes de aceder à internet. Primeiro, o Cisco Catalyst 9800 WLC precisa de intercetar esse pedido HTTP inicial e redirecionar o cliente para o Captive Portal da Purple. Segundo, o portal da Purple precisa de autenticar o utilizador, seja através de login social, e-mail, SMS ou uma simples aceitação de termos e condições. Terceiro, o servidor RADIUS da Purple precisa de sinalizar de volta para o WLC que o utilizador está autorizado e, opcionalmente, atribuir-lhe uma VLAN específica. [medium pause] O mecanismo que trata do passo um chama-se External Web Authentication, ou EWA. No Catalyst 9800, configura um mapa de parâmetros de autenticação web que aponta para o URL da splash page da Purple. O WLC interceta todo o tráfego HTTP de clientes não autenticados e emite um redirecionamento 302 para esse URL. Também precisará de configurar uma ACL de pré-autenticação, ou usar a funcionalidade de filtro de URL do 9800, para colocar na whitelist os endereços IP do portal da Purple para que os clientes possam efetivamente aceder à splash page antes de serem autorizados. A Purple fornece dois endereços IP para o seu portal, e precisará de permitir ambos na sua ACL de pré-autenticação. [medium pause] Aqui está a sequência de configuração para o Catalyst 9800. Primeiro, crie o mapa de parâmetros. Depois, configure o seu filtro de URL para permitir o domínio da Purple na pré-autenticação. Aplique isto ao seu perfil de política de WLAN, defina a segurança de Layer 2 para None, ative a Web Policy na Layer 3 e aponte-a para o seu mapa de parâmetros. [medium pause] Agora, o RADIUS. A Purple atua como o servidor RADIUS nesta arquitetura. Configura o WLC para apontar para o endpoint RADIUS da Purple, que encontrará no dashboard da Purple sob as definições de rede do seu espaço. O segredo partilhado é gerado por espaço. No Catalyst 9800, navegue para Configuration, Security, AAA, Servers, e adicione o servidor RADIUS da Purple com o IP correto e o segredo partilhado. De seguida, crie um grupo de servidores, uma lista de métodos de autenticação, e aplique-a ao seu WLAN. [medium pause] Um pormenor que costuma escapar a muita gente: no 9800, também deve configurar o endereço IP virtual no mapa global de parâmetros de web auth. Utilize 192.0.2.1 como o endereço IPv4 virtual. Se ignorar este passo, os clientes são por vezes redirecionados para o portal interno em vez de para o portal da Purple, e passará uma tarde frustrante a tentar perceber o porquê. [medium pause] Passemos agora para o WiFi para colaboradores com 802.1X. [short pause] Para as redes de colaboradores, pretende-se uma autenticação baseada em certificados utilizando EAP-TLS, ou no mínimo PEAP com MSCHAPv2 para ambientes onde a implementação de certificados não seja viável. No Catalyst 9800, crie um WLAN separado para os colaboradores, defina a segurança de Layer 2 para WPA2 Enterprise, e aponte a autenticação para o seu servidor RADIUS. Se estiver a utilizar o Microsoft Entra ID ou o Okta como o seu fornecedor de identidade, o módulo SecurePass da Purple atua como o proxy RADIUS, traduzindo os pedidos de autenticação 802.1X em consultas ao fornecedor de identidade. Isto significa que não necessita de um servidor RADIUS local dedicado para a autenticação de colaboradores. A Purple lida com a terminação EAP e reencaminha a verificação de identidade para o seu fornecedor de identidade. [medium pause] Especificamente para EAP-TLS, precisará de implementar certificados de cliente nos dispositivos dos colaboradores, seja através do Microsoft Intune, Jamf, ou uma plataforma MDM semelhante. A cadeia de certificados deve ser confiada pelo servidor RADIUS da Purple, o que significa que deve carregar o seu certificado de CA raiz para o dashboard da Purple. Uma vez configurado, os dispositivos dos colaboradores autenticam-se de forma silenciosa, sem pedidos de palavra-passe, sem splash pages. O utilizador liga-se, o certificado é validado, e estão na VLAN de colaboradores em poucos segundos. [medium pause] Agora, a parte que a maioria dos arquitetos considera verdadeiramente interessante: o Cisco Identity PSK, ou iPSK. [short pause] O iPSK resolve um problema específico que surge constantemente em ambientes multi-tenant. Imagine um hotel com 300 quartos, ou uma rede de retalho com 50 lojas, ou um empreendimento residencial com 200 apartamentos. Pretende um único SSID, mas precisa que cada inquilino, cada quarto, ou cada grupo de dispositivos esteja isolado na sua própria VLAN. A resposta tradicional era criar um SSID separado por inquilino, o que não é escalável e cria congestionamento de radiofrequência. O iPSK oferece um único SSID onde cada cliente ou grupo de clientes tem uma chave pré-partilhada exclusiva, e o servidor RADIUS mapeia essa chave para uma VLAN específica. [medium pause] Eis como funciona tecnicamente. Quando um cliente se associa ao SSID, o Catalyst 9800 WLC envia um RADIUS Access-Request para o servidor RADIUS da Purple, incluindo o endereço MAC do cliente. O servidor RADIUS da Purple procura esse endereço MAC na sua base de dados iPSK, encontra a PSK associada e a atribuição de VLAN, e devolve um RADIUS Access-Accept contendo o Cisco AV-pair com a PSK, e os atributos de túnel IETF para atribuição de VLAN. O WLC utiliza a PSK devolvida para concluir o handshake de quatro vias WPA2, e depois coloca o cliente na VLAN atribuída. [medium pause] Os três atributos RADIUS necessários para a atribuição dinâmica de VLAN são: atributo IETF 64, Tunnel-Type, definido como VLAN com um valor de 13. Atributo IETF 65, Tunnel-Medium-Type, definido como 802, com um valor de 6. E atributo IETF 81, Tunnel-Private-Group-ID, definido para o ID da VLAN como uma string. Estes três atributos, enviados em conjunto no RADIUS Access-Accept, dizem ao WLC exatamente qual VLAN atribuir. A VLAN já deve existir no WLC como uma interface dinâmica, e a porta de uplink do switch deve estar configurada como trunk transportando todas as VLANs relevantes. [medium pause] No lado do WLC, ative a filtragem de MAC na WLAN iPSK, ative o AAA Override, e defina a segurança de Camada 2 para WPA2-PSK. A PSK global configurada na WLAN funciona apenas como fallback. A PSK devolvida por RADIUS tem precedência para qualquer cliente cujo endereço MAC esteja registado na base de dados iPSK da Purple. Para dispositivos não registados, pode negar o acesso ou recorrer à PSK global, dependendo da sua política. [medium pause] Permita-me dar-lhe dois cenários do mundo real para tornar isto mais concreto. [short pause] Primeiro cenário: um hotel de 200 quartos. O hotel pretende hóspedes na VLAN 10 apenas com acesso à internet, funcionários na VLAN 20 com acesso ao sistema de gestão de propriedade, e dispositivos IoT, fechaduras de portas, termóstatos, CCTV, na VLAN 30 sem acesso à internet. Estão a utilizar controladores Cisco Catalyst 9800 com pontos de acesso Cisco série 9100. [medium pause] A arquitetura: três perfis de política no WLC, um por VLAN. Um único SSID para hóspedes a utilizar Autenticação Web Externa a apontar para a Purple. Um SSID separado para os funcionários utilizando WPA2 Enterprise com EAP-TLS, autenticado através do Purple SecurePass contra o Microsoft Entra ID. E iPSK para dispositivos IoT, com o endereço MAC de cada dispositivo registado no portal da Purple e atribuído à VLAN 30. O sistema de gestão de propriedade do hotel provisiona novos dispositivos IoT através da API da Purple, pelo que, quando uma nova fechadura de porta é instalada, o seu endereço MAC é automaticamente registado e atribuído à VLAN correta. Não é necessária qualquer configuração manual de RADIUS. [medium pause] Segundo cenário: uma cadeia de retalho com 80 lojas. Cada loja tem uma rede WiFi de hóspedes, uma rede de funcionários, e uma rede para terminais de pagamento. A conformidade com PCI-DSS exige que a rede de terminais de pagamento seja completamente isolada da rede de hóspedes. O retalhista utiliza controladores Cisco Catalyst 9800-L em cada local, geridos centralmente através do Cisco Catalyst Centre. [medium pause] A Purple é implementada como uma sobreposição na nuvem. O WLC de cada loja é configurado com os detalhes do servidor RADIUS da Purple. A autenticação de convidados utiliza uma splash page personalizada com captura de e-mail, alimentando dados primários na plataforma de analytics da Purple. A autenticação de funcionários utiliza PEAP contra o Active Directory através do Purple SecurePass. Os terminais de pagamento utilizam iPSK com uma VLAN dedicada, e a ACL de pré-autenticação bloqueia explicitamente qualquer tráfego entre a VLAN de pagamento e a VLAN de convidados, cumprindo o requisito 1.3 do PCI-DSS para segmentação de rede. [medium pause] Agora vamos falar sobre as armadilhas comuns. [short pause] O modo de falha mais comum é o loop de redirecionamento. Isto acontece quando a ACL de pré-autenticação não coloca corretamente na lista de permissões os endereços IP do portal da Purple, fazendo com que o WLC redirecione o cliente para o portal da Purple, mas o cliente não consegue aceder ao portal porque a ACL o bloqueia, fazendo com que o WLC redirecione novamente, indefinidamente. Correção: verifique se o seu filtro de URL ou ACL de pré-autenticação inclui ambos os endereços IP do portal da Purple e confirme se a resolução de DNS é permitida antes da autenticação. [medium pause] O segundo problema comum é o desfasamento de VLAN. O servidor RADIUS devolve um ID de VLAN que não existe como uma interface dinâmica no WLC. O WLC coloca então o cliente na VLAN nativa, que normalmente é a VLAN de gestão. Isto representa um risco de segurança. Correção: antes de implementar, audite as suas interfaces dinâmicas do WLC em relação aos IDs de VLAN configurados nas políticas de RADIUS da Purple. Devem coincidir exatamente. [medium pause] Terceira armadilha: falhas de confiança de certificado em implementações EAP-TLS. Se a cadeia de certificados do cliente não for fidedigna para o servidor RADIUS da Purple, a autenticação falha silenciosamente do ponto de vista do utilizador. Simplesmente não conseguem ligar-se. Correção: carregue a sua CA raiz e quaisquer certificados de CA intermédia para a configuração do Purple SecurePass antes de implementar certificados de cliente. Teste com um único dispositivo antes de implementar em toda a frota. [medium pause] Perguntas rápidas. [short pause] Posso utilizar a Purple com a Cisco Meraki em vez do WLC? Sim. A Cisco Meraki tem o seu próprio mecanismo de integração de Captive Portal, e a Purple suporta-o nativamente. A configuração de RADIUS é semelhante, mas utiliza o painel da Meraki em vez da linha de comandos do WLC. [short pause] A Purple suporta WPA3 em Cisco? Sim. O WPA3-SAE é suportado no Cisco Catalyst 9800 com IOS-XE 17.3 e posterior. A integração de RADIUS da Purple funciona de forma idêntica com WPA3. [short pause] Qual é a recomendação de timeout do RADIUS? Defina o timeout do seu servidor RADIUS principal para três segundos com duas tentativas. Configure um servidor RADIUS secundário para failover. A Purple fornece endpoints RADIUS redundantes para clientes empresariais. [short pause] Posso utilizar o Cisco ISE juntamente com a Purple? Sim. Algumas organizações utilizam o ISE para avaliação de postura e criação de perfis de dispositivos, enquanto utilizam a Purple para o portal de convidados e analytics. Os dois servidores RADIUS são configurados em WLANs separadas. [medium pause] Para resumir. [short pause] A infraestrutura sem fios Cisco WLC e Catalyst integra-se perfeitamente com o Purple utilizando External Web Authentication para redirecionamento de Captive Portal de convidados, 802.1X EAP-TLS ou PEAP para autenticação de funcionários através do Purple SecurePass, e Cisco iPSK com atribuição dinâmica de VLAN para segmentação multi-tenant e IoT. Os três atributos RADIUS VLAN, Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID, são o mecanismo que impulsiona a segmentação dinâmica. Configure corretamente as suas ACLs de pré-autenticação, faça a correspondência dos seus IDs de VLAN entre o RADIUS e o WLC, e teste as cadeias de confiança de certificados antes da implementação na frota. [medium pause] O Purple opera em mais de 80.000 locais e processou 440 milhões de logins em 2024. A integração Cisco é uma das nossas configurações mais implementadas globalmente. Se quiser começar, o dashboard do Purple guia-o através da configuração RADIUS por local, e a nossa equipa de integração está disponível para implementações empresariais. [medium pause] Isto é tudo para este briefing. Obrigado por ouvir.

Os controladores LAN sem fios Cisco Catalyst 9800 com IOS-XE gerem a parte de rádio da sua rede. A Purple adiciona a camada de guest no topo: o captive portal que os seus visitantes veem, a jornada de início de sessão e os dados primários que recolhe. Não substitui nenhum dos seus equipamentos Cisco.

Como o Cisco Catalyst funciona com o guest WiFi da Purple

A Purple é uma sobreposição na nuvem. O seu controlador Catalyst continua a gerir o WiFi; a Purple gere a experiência de guest através de dois mecanismos padrão que o seu controlador já suporta.

  • Autenticação web externa. O controlador redireciona um novo dispositivo para a sua splash page da Purple em vez de conceder acesso imediato. O visitante inicia sessão e a página devolve o controlo ao controlador.
  • RADIUS. O controlador verifica cada início de sessão em relação ao serviço RADIUS da Purple nas portas padrão, 1812 para autenticação e 1813 para contabilidade. Os dados de contabilidade são o que alimenta a sua análise de visitantes.

Uma walled garden, uma pequena lista de permissões de endereços que um dispositivo pode aceder antes de iniciar sessão, permite o carregamento da splash page e a conclusão de quaisquer etapas de pagamento ou início de sessão social.

Este é o modelo completo: a Cisco move os pacotes, a Purple é proprietária do início de sessão e dos dados. Como funciona com base em autenticação web padrão e RADIUS, funciona da mesma forma no Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. A Purple é agnóstica em termos de hardware por design.

O que precisa

  • Um controlador Cisco Catalyst 9800 em IOS-XE, com acesso de administrador à interface web.
  • Um local da Purple com a sua splash page e jornada de início de sessão configuradas.
  • Os seus detalhes de RADIUS da Purple e endereços de walled garden, a partir do seu painel de controlo da Purple.

Configure-o com a Purple

As definições exatas do controlador, o mapa de parâmetros Web Auth, as entradas do servidor AAA, a Change of Authorisation e a walled garden estão documentados passo a passo no guia de suporte da Purple, com os valores precisos a introduzir.

Guia de configuração do Cisco Catalyst WLC (IOS-XE)

Siga esse guia para a configuração. Esta página explica como as peças se encaixam, para que saiba o que cada passo está a fazer.

O que obtém

Assim que os convidados iniciam sessão através da Purple, cada visita torna-se em dados primários verificados, com consentimento consciente: quem visitou, com que frequência e como os contactar com permissão. Essa é a diferença entre um WiFi que liga pessoas e um WiFi que constrói uma audiência de marketing que lhe pertence. A Purple está alinhada com o GDPR e é certificada pela ISO 27001, com 99,999% de tempo de atividade em mais de 80.000 locais ativos.

Definições Principais

Captive portal

A página de início de sessão que um visitante vê antes de aceder à internet. A Purple aloja-a e gere-a; o seu controlador redireciona os dispositivos para a mesma.

A camada de experiência de guest que a Purple adiciona no topo do seu WiFi Cisco.

Autenticação web externa

Uma funcionalidade do controlador que redireciona um dispositivo não autenticado para uma página de início de sessão alojada externamente e, em seguida, retoma assim que o visitante inicia sessão.

Como o controlador Catalyst encaminha o guest para a splash page da Purple.

RADIUS

Um protocolo padrão para verificar inícios de sessão e registar dados de sessão, nas portas UDP 1812 (autenticação) e 1813 (contabilidade).

Como o controlador valida cada guest em relação à Purple e alimenta as análises.

Walled garden

Uma pequena lista de permissões de endereços que um dispositivo pode aceder antes de ter iniciado sessão.

Permite o carregamento da splash page, pagamentos e início de sessão social antes da autenticação.

Change of Authorisation (CoA)

Uma mensagem RADIUS que atualiza ou termina uma sessão após esta ter sido iniciada.

Utilizado para alterar o acesso de um guest após este ter iniciado sessão.

Continue a ler esta série

Cisco Meraki e guest WiFi: configuração do captive portal com a Purple

Como os pontos de acesso Cisco Meraki e os dispositivos das gamas MX e Z-series funcionam com o guest WiFi da Purple: autenticação web externa, RADIUS e um walled garden, com um link para o guia de configuração passo a passo da Purple para a configuração exata.

Ler o guia →

Mikrotik RouterOS e guest WiFi: configuração do captive portal com a Purple

Como o guest WiFi na nuvem da Purple se integra com dispositivos MikroTik com RouterOS, utilizando o Hotspot integrado e o RADIUS, e onde encontrar os passos exatos de configuração.

Ler o guia →

Alcatel-Lucent OmniAccess Stellar and guest WiFi: captive portal setup with Purple

How Alcatel-Lucent OmniAccess Stellar access points, managed from OmniVista Cirrus, work with Purple guest WiFi: an external captive portal, RADIUS and a walled garden, with a link to Purple's step-by-step setup guide for the exact configuration.

Ler o guia →