Zyxel Nebula e guest WiFi: configuração do captive portal com a Purple

Bem-vindo à série de Informações Técnicas da Purple. Eu sou o vosso anfitrião e hoje vamos abordar um cenário de implementação crucial para gestores de TI e arquitetos de rede: a integração de Firewalls Zyxel Nebula Cloud e USG Flex com o Purple WiFi. Se está a implementar WiFi para convidados numa cadeia de hotéis, numa rede de retalho ou num ambiente multi-inquilino, este episódio é para si. Vamos passar diretamente para a arquitetura. Primeiro, porquê esta integração? A Zyxel fornece hardware robusto e o Nebula oferece gestão centralizada na nuvem. Mas quando implementa WiFi à escala - por exemplo, em 50 filiais de retalho ou num hotel de 200 quartos - precisa de mais do que conectividade básica. Precisa de um fluxo de autenticação estruturado, captura de dados em conformidade e segmentação de rede dinâmica. É aí que a Purple entra. Integramo-nos com a Zyxel via RADIUS e redirecionamento de Captive Portal externo para disponibilizar Redes Baseadas em Identidade. Vamos percorrer a configuração principal no Zyxel Nebula. O processo começa com as definições de SSID. Navegue até Site-wide, Configure, Access points e depois SSID advanced settings. Aqui, ativa o URL do Captive Portal externo. Introduzirá o URL de redirecionamento específico da Purple fornecido no seu portal Purple. Mas o redirecionamento por si só não é suficiente; deve configurar o Walled Garden. O Walled Garden define quais os domínios a que um dispositivo convidado pode aceder antes da autenticação. Este é um erro comum. Deve colocar na lista branca os domínios do portal Purple, quaisquer CDNs de ativos e os endpoints padrão de deteção de Captive Portal do sistema operativo. No Nebula, adiciona estes domínios linha por linha. Se falhar um domínio, a splash page não será carregada corretamente e os seus convidados ficarão retidos. Em seguida, configuramos o servidor RADIUS. Nas definições avançadas de SSID, seleciona WPA2-Enterprise com My RADIUS server, ou configura a autenticação baseada em MAC, dependendo do seu fluxo. Introduza o endereço IP do RADIUS da Purple, defina a porta de autenticação para 1812, a porta de contabilidade para 1813 e introduza o segredo partilhado. Configure sempre o servidor RADIUS de cópia de segurança para garantir uma elevada disponibilidade. Agora, vamos discutir um cenário mais avançado: segmentação Multi-Tenant utilizando as Private Pre-Shared Keys da Zyxel, ou PPSK. Em ambientes como residências de estudantes ou espaços de coworking, deseja um único SSID, mas precisa de isolar o tráfego por inquilino. O Zyxel PPSK permite-lhe emitir uma palavra-passe de WiFi única para cada utilizador. Quando estes se ligam, o controlador Nebula atribui-lhes dinamicamente uma VLAN específica com base nessa palavra-passe. Configura isto em Cloud Authentication selecionando DPPSK e atribuindo o ID de VLAN correspondente. Reduz a sobrecarga de SSID e melhora significativamente a segurança. E quanto ao firewall USG Flex? Se estiver a executar o gateway localmente, deve garantir que as suas regras de firewall e políticas de zona estão alinhadas com os seus segmentos sem fios. Normalmente, cria zonas dedicadas para o tráfego de Guest, Staff e Multi-Tenant. A zona Guest apenas deve ter acesso à internet de saída, com regras estritas que bloqueiam o acesso às zonas LAN ou DMZ. Passemos às recomendações de implementação e erros comuns. O problema mais frequente que vemos é a configuração incorreta do walled garden. Se um convidado se ligar e vir uma página em branco, verifique a sua lista de permissões. Utilize as ferramentas de programador do navegador para identificar pedidos de CDN bloqueados. O segundo problema são os tempos de espera do RADIUS. Certifique-se de que os seus firewalls a montante permitem as portas UDP 1812 e 1813 de saída para a plataforma de nuvem Purple. É altura de uma sessão rápida de perguntas e respostas. Pergunta um: Preciso de uma VLAN dedicada para o Guest WiFi? Resposta: Sim. Isole sempre o tráfego de convidados numa VLAN dedicada. Isto é obrigatório para a conformidade com o PCI-DSS se o seu local processar pagamentos na mesma infraestrutura física. Pergunta dois: Posso utilizar o Purple com APs autónomos Zyxel sem o Nebula? Resposta: Sim, mas gerir as definições de RADIUS e de portal por AP é ineficiente. Recomendamos vivamente a utilização do Nebula Control Centre para uma gestão centralizada. Pergunta três: Como é que o Purple lida com a aleatorização de endereços MAC? Resposta: O Purple baseia-se no endereço MAC fornecido pelo controlador Zyxel através de RADIUS accounting. Embora os dispositivos tornem os MACs aleatórios por rede, mantêm o mesmo MAC para o seu SSID específico, permitindo a persistência da sessão durante a sua visita. Para resumir: A integração do Zyxel Nebula com o Purple requer uma configuração precisa do URL do Captive Portal externo, um Walled Garden abrangente e definições de RADIUS precisas. Para locais multi-tenant, tire partido do Zyxel PPSK para o direcionamento dinâmico de VLAN. Acerte nestes elementos e proporcionará uma experiência de WiFi segura e escalável que recolhe dados primários valiosos. Se está a planear uma implementação, reveja o guia técnico completo para obter instruções passo a passo e diagramas de arquitetura. Obrigado por ouvir, e vemo-nos no próximo briefing técnico.