Integración de Alcatel-Lucent Enterprise (ALE) OmniAccess con Purple WiFi

Esta guía detalla la integración técnica entre los puntos de acceso Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar y Purple WiFi. Cubre la redirección de Captive Portal, la autenticación RADIUS, la configuración de Walled Garden, WiFi seguro 802.1X para empleados y la segmentación WiFi multiinquilino mediante claves precompartidas privadas (PPSK) con direccionamiento dinámico de VLAN, ofreciendo a los directores de TI y arquitectos de redes una referencia completa y práctica para implementar redes basadas en la identidad en hardware ALE.

📖 9 min de lectura📝 2,047 palabras🔧 2 ejemplos prácticos❓ 4 preguntas de práctica📚 10 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Bienvenido al briefing técnico de Purple. Hoy cubriremos la integración de Alcatel-Lucent Enterprise OmniAccess Stellar con Purple WiFi. Este briefing está dirigido a directores de TI, arquitectos de red y directores de operaciones de recintos que necesitan implementar redes inalámbricas seguras, escalables e inteligentes.

Empecemos con el contexto. Tiene un recinto. Quizás un hotel, una cadena de retail o un estadio. Ha invertido en hardware de ALE OmniAccess. Ahora necesita extraer valor empresarial de esa infraestructura. Necesita capturar datos de origen (first-party), segmentar a sus usuarios de forma segura y proporcionar una experiencia de registro (onboarding) fluida. Ahí es donde entra la capa en la nube de Purple.

Purple opera en más de 80.000 recintos activos en todo el mundo y procesó más de 440 millones de inicios de sesión en 2024. Es independiente del hardware, lo que significa que se integra sobre su infraestructura existente de ALE sin requerir ningún reemplazo de hardware. Toda la lógica de autenticación y captura de datos reside en la nube de Purple.

El núcleo de esta integración se basa en RADIUS. Cuando un invitado entra en su recinto y se conecta al SSID de Guest WiFi abierto, el AP de ALE intercepta su tráfico web. En lugar de permitirle el acceso directo a internet, redirige su navegador a un Captive Portal alojado por Purple. Esta es su página de inicio (splash page). Aquí es donde presenta su marca, recopila direcciones de correo electrónico o permite inicios de sesión sociales a través de Facebook, LinkedIn o Google.

Una vez que el usuario envía sus datos, el servidor RADIUS de la nube de Purple lo autentica y envía un mensaje Access-Accept de vuelta al AP de ALE. A continuación, el AP elimina las reglas de firewall y concede acceso a internet. Todo el flujo tarda menos de tres segundos.

Ahora, entremos en el análisis técnico detallado. ¿Cómo lo configuramos realmente?

Primero, debe configurar los ajustes del servidor RADIUS en su interfaz de gestión OmniVista o Stellar. Introducirá las direcciones IP de RADIUS de Purple, establecerá el puerto de autenticación en 1812 y el de contabilidad (accounting) en 1813. Fundamentalmente, asegúrese de que RADIUS Accounting esté habilitado con un intervalo de 300 segundos. Esto es lo que envía los datos de la sesión de vuelta a Purple para el análisis y el registro de cumplimiento.

Lo siguiente es el Walled Garden. Esto suele complicar muchas implementaciones. Antes de que un usuario se autentique, no tiene acceso a internet, pero necesita llegar al portal de Purple para iniciar sesión. Debe incluir los dominios de Purple en la lista blanca de su lista de acceso de preautenticación. Los dominios principales son region1.purpleportal.net, venuewifi.com y cloudfront.net. Si utiliza el inicio de sesión de Facebook o LinkedIn, también debe incluir sus dominios en la lista blanca. Si el Walled Garden está mal configurado, el Captive Portal no se cargará. Sin excepciones.

Para la configuración del SSID, cree una nueva red inalámbrica, establezca el nivel de seguridad en Abierto (Open) y habilite la opción de Captive Portal externo. Dirija la URL de redirección a la URL específica de su splash page de Purple, que encontrará en el portal de Purple dentro de la configuración de hardware de su recinto.

Pasemos a un escenario más avanzado: WiFi multiinquilino (Multi-Tenant). Imagine un espacio de coworking o una residencia de estudiantes. Tiene varios inquilinos que necesitan sus propias redes seguras y aisladas. No querrá transmitir 20 SSIDs diferentes. Eso destruye el rendimiento de RF y genera una mala experiencia de usuario.

La solución es PPSK (Private Pre-Shared Keys), combinada con el redireccionamiento dinámico de VLAN. Transmite un único SSID seguro, pero cada inquilino recibe una contraseña única. Cuando el Inquilino A introduce su contraseña, el AP de ALE envía esa solicitud al servidor RADIUS de Purple. Purple reconoce la contraseña, autentica al usuario y devuelve un mensaje de Access-Accept.

Pero aquí está la parte importante. Ese mensaje incluye atributos RADIUS específicos. El Atributo 64 para Tunnel-Type, establecido en 13 para VLAN. El Atributo 65 para Tunnel-Medium-Type, establecido en 6 para Ethernet. Y el Atributo 81, el Tunnel-Private-Group-ID, que contiene el ID de VLAN real. El AP de ALE recibe esto y ubica al Inquilino A directamente en la VLAN 30. Cuando el Inquilino B inicia sesión con una contraseña diferente, aterriza en la VLAN 40. Un solo SSID, aislamiento total de Capa 2. Esto es redes basadas en la identidad (Identity-Based Networking) en la práctica.

Veamos un ejemplo del mundo real. Un hotel de 200 habitaciones implementó esta arquitectura en sus APs ALE OmniAccess Stellar existentes. Necesitaban dar servicio a los huéspedes del hotel, al personal interno y a un restaurante en la planta baja como tres segmentos de red completamente separados. En lugar de desplegar tres SSIDs, utilizaron PPSK con redireccionamiento dinámico de VLAN. El resultado fue un único SSID, tres VLANs aisladas y una reducción significativa de los costes de gestión en comparación con su enfoque anterior de múltiples SSIDs.

Analicemos ahora las recomendaciones de implementación y los errores comunes.

Primero, mantenga un diseño independiente del hardware (hardware-agnostic). Cree sus políticas en Purple, no en el controlador local. Esto le permite escalar o cambiar de proveedor de hardware más adelante sin tener que reconstruir sus políticas de seguridad desde cero.

Segundo, preste atención a las versiones de firmware. Asegúrese de que sus APs de ALE ejecuten un firmware que admita explícitamente la asignación dinámica de VLAN a través de RADIUS. Es posible que las versiones de firmware Stellar más antiguas no admitan por completo el atributo Tunnel-Private-Group-ID. Consulte las notas de la versión de ALE antes de realizar la implementación.

Tercero, el DNS es su amigo y su enemigo. Si su Captive Portal no aparece, verifique primero su rango de DHCP. Si el cliente no recibe un servidor DNS válido, no podrá resolver la URL del portal y todo el proceso se detendrá. Este es el problema de soporte más común en las implementaciones de Captive Portal.

Cuarto, para un WiFi de personal seguro utilizando 802.1X, use PEAP con MSCHAPv2 para la mayoría de los entornos, o EAP-TLS para implementaciones basadas en certificados. El servidor RADIUS de Purple admite ambos. Los dispositivos del personal se autentican contra Microsoft Entra ID u Okta, y el servidor RADIUS devuelve la asignación de VLAN adecuada para el segmento de red del personal.

Hagamos una sesión rápida de preguntas y respuestas.

Pregunta: ¿Puedo utilizar esta integración para el cumplimiento de PCI DSS en un entorno de retail?

Respuesta: Sí. Al utilizar el redireccionamiento dinámico de VLAN, puede asegurarse de que los dispositivos de punto de venta se ubiquen siempre en una VLAN aislada, completamente separados del tráfico de invitados. Esto cumple con los requisitos de segmentación de red según PCI DSS 4.0.

Pregunta: ¿Requiere Purple un equipo de hardware físico en las instalaciones?

Respuesta: No. Purple es una solución superpuesta en la nube (cloud overlay). Se comunica directamente con su hardware de ALE existente a través de RADIUS estándar por internet. No hay necesidad de instalar ni apilar hardware físico.

Pregunta: ¿Qué sucede si la nube de Purple no está accesible?

Respuesta: Puede configurar una política de respaldo (fallback) en el AP de ALE. Para las redes de invitados, puede permitir el acceso abierto como alternativa. Para las redes del personal, configure una política de respaldo de denegar todo (deny-all) para mantener la seguridad.

Pregunta: ¿Puedo recopilar datos analíticos de la integración?

Respuesta: Sí. Cada sesión autenticada genera un perfil de visitante en la plataforma Purple. Obtendrá información sobre el tiempo de permanencia, la frecuencia de visitas, el tipo de dispositivo y los datos demográficos del formulario de registro. Esto se envía directamente a su CRM a través de la biblioteca de Purple de más de 400 conectores.

Para resumir los puntos clave de la sesión informativa de hoy:

Primero: La integración de ALE OmniAccess con Purple utiliza RADIUS estándar en los puertos 1812 y 1813. No se requieren protocolos propietarios.

Segundo: El Walled Garden es fundamental. Si se configura de forma incorrecta, el Captive Portal no se cargará. Autorice los dominios de Purple en la lista blanca antes de cualquier otra cosa.

Tercero: PPSK con redireccionamiento dinámico de VLAN es la arquitectura adecuada para entornos multiinquilino (multi-tenant). Un único SSID, contraseñas únicas y VLAN aisladas por inquilino.

Cuarto: Los atributos RADIUS 64, 65 y 81 son los tres necesarios para la asignación dinámica de VLAN. Si falta alguno de ellos, el redireccionamiento fallará.

Quinto: Purple es independiente del hardware. Sus políticas residen en la nube, no en el controlador. Esto le brinda flexibilidad para escalar a través de diferentes proveedores de hardware.

El siguiente paso es iniciar sesión en su portal de Purple, dirigirse a la configuración de hardware de su establecimiento y obtener sus credenciales RADIUS específicas y la URL de la página de bienvenida (splash page). A continuación, siga los pasos de configuración de esta guía para conectar su infraestructura ALE OmniAccess a la nube de Purple.

Gracias por asistir a esta sesión informativa técnica de Purple. Para obtener más información, visite purple.ai.

Conclusiones clave

✓Los AP OmniAccess Stellar de ALE se integran con Purple utilizando RADIUS estándar en los puertos 1812 y 1813, sin necesidad de protocolos propietarios ni de hardware físico en las instalaciones.
✓El Walled Garden es el punto de fallo más común en el despliegue. Añada a la lista blanca todos los dominios del Captive Portal de Purple y de los proveedores de inicio de sesión social antes de la puesta en marcha.
✓PPSK con direccionamiento dinámico de VLAN es la arquitectura correcta para entornos multiinquilino. Un único SSID, frases de contraseña únicas por inquilino y VLAN aisladas mediante los atributos RADIUS 64, 65 y 81.
✓Los tres atributos de túnel RADIUS deben estar presentes en el mensaje Access-Accept. Si falta el atributo 81 (Tunnel-Private-Group-ID), el AP de ALE ignorará la asignación de VLAN.
✓Purple funciona como una capa de red superpuesta en la nube. Las políticas residen en el portal de Purple, no en el controlador local, lo que le ofrece una flexibilidad independiente del hardware para escalar o cambiar la infraestructura.
✓Configure la contabilidad RADIUS (RADIUS Accounting) en intervalos de 300 segundos para garantizar que los datos de sesión fluyan correctamente hacia la plataforma de analítica de Purple.
✓Purple cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials, lo que la hace idónea para entornos regulados, incluidos el sector sanitario, el sector público y despliegues de retail bajo el estándar PCI DSS.

Resumen ejecutivo

Los puntos de acceso Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar se integran con Purple utilizando protocolos RADIUS estándar y redirección a un Captive Portal externo. No se requiere ningún middleware propietario. Purple funciona como una superposición en la nube, situándose por encima de su infraestructura ALE existente y gestionando la autenticación, la captura de datos y la política de sesión sin necesidad de realizar cambios de hardware.

Esta guía abarca tres escenarios de implementación. Primero, WiFi para invitados con redirección a un Captive Portal externo y configuración de Walled Garden. Segundo, WiFi seguro para el personal mediante 802.1X con PEAP o EAP-TLS. Tercero, WiFi multiinquilino mediante claves precompartidas privadas (PPSK) y direccionamiento dinámico de VLAN a través de los atributos RADIUS 64, 65 y 81.

Purple presta servicio a más de 80.000 recintos activos y procesó más de 440 millones de inicios de sesión en 2024 (datos internos de Purple, 2024). Cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials. La plataforma funciona con un tiempo de actividad del 99,999 %, lo que la convierte en un backend de autenticación fiable para implementaciones empresariales.

Si es usted un gestor de TI o un arquitecto de red que va a implementar hardware ALE OmniAccess en entornos de hostelería, comercio minorista, eventos o el sector público, esta guía le ofrece los pasos de configuración exactos para pasar del hardware a una red basada en la identidad totalmente operativa.

Arquitectura técnica y flujo de integración

La integración de Purple con ALE OmniAccess Stellar se basa en dos protocolos estándar: RADIUS para autenticación y contabilidad, y redirección HTTP/HTTPS para la entrega del Captive Portal. El AP de ALE actúa como el servidor de acceso a la red (NAS), reenviando las solicitudes de autenticación al servidor RADIUS en la nube de Purple y aplicando las políticas devueltas en la respuesta Access-Accept.

Figura 1: Flujo de autenticación entre el dispositivo del invitado, el AP ALE OmniAccess Stellar y el RADIUS en la nube de Purple.

El flujo funciona de la siguiente manera. Un visitante se conecta al SSID abierto de la WiFi de invitados. El AP de ALE asigna una dirección IP temporal del grupo DHCP de preautenticación e intercepta la primera solicitud HTTP o HTTPS del visitante. El AP redirige el navegador a la URL del Captive Portal de Purple, pasando la dirección MAC del cliente y el identificador NAS del AP como parámetros de la URL. El visitante se autentica a través de la página de bienvenida de Purple, mediante correo electrónico, inicio de sesión social o verificación por SMS. El servidor RADIUS de Purple valida la sesión y devuelve un mensaje Access-Accept al AP de ALE. El AP concede acceso a internet y comienza a enviar actualizaciones de contabilidad RADIUS (RADIUS Accounting) a Purple en el intervalo configurado. Para implementaciones avanzadas que utilizan PPSK y direccionamiento dinámico de VLAN, el mensaje RADIUS Access-Accept también incluye atributos de asignación de VLAN. El AP de ALE utiliza estos atributos para dirigir el tráfico del cliente directamente al segmento de VLAN correcto, aislándolo de otros usuarios en la misma infraestructura física.

Guía de implementación

Parte 1: WiFi de invitados con Captive Portal externo

Esta sección cubre la configuración del Captive Portal de Alcatel-Lucent para el redireccionamiento externo a Purple. Estos pasos se aplican a los AP ALE OmniAccess Stellar gestionados a través de OmniVista Cirrus, OmniVista 2500 o la interfaz web de Stellar Express.

Paso 1: Recuperar las credenciales RADIUS de Purple

Inicie sesión en su portal de Purple. Vaya a Gestión > Centros, seleccione su centro y abra la sección Hardware. Añada una nueva entrada de hardware y seleccione Alcatel-Lucent OmniAccess Stellar como tipo de hardware. Purple genera un secreto compartido RADIUS único, una IP de servidor de autenticación y una URL de Captive Portal para su centro. Registre estos valores antes de continuar.

Paso 2: Configurar el servidor RADIUS en el AP de ALE

En su interfaz de gestión de ALE, navegue hasta la configuración de autenticación y añada un nuevo perfil de servidor RADIUS.

Parámetro	Valor
IP del servidor / Nombre de host	Según lo proporcionado en el portal de Purple
Puerto de autenticación	1812
Puerto de contabilidad (Accounting)	1813
Secreto compartido	Según lo proporcionado en el portal de Purple
Contabilidad RADIUS	Habilitado
Intervalo de contabilidad	300 segundos

Habilite un servidor RADIUS secundario utilizando la IP de respaldo del portal de Purple. Esto garantiza la redundancia si el servidor principal no está disponible temporalmente.

Paso 3: Configurar el Walled Garden

El Walled Garden define los dominios a los que puede acceder un dispositivo antes de que se complete la autenticación. Configure las siguientes entradas en la lista de acceso de preautenticación:

Dominios principales de Purple (obligatorios):

Dominio	Propósito
region1.purpleportal.net	Captive Portal de Purple
venuewifi.com	Gestión de sesiones de Purple
cloudfront.net	CDN para recursos del portal
openweathermap.org	Widget del tiempo (opcional)
stripe.com	Pagos de WiFi de pago (si corresponde)

Dominios de inicio de sesión social (añadir según sea necesario):

Proveedor	Dominios
Facebook	facebook.com, fbcdn.net, connect.facebook.net
LinkedIn	linkedin.com, licdn.net
Google	accounts.google.com, googleapis.com

Omitir cualquier dominio requerido hará que el método de inicio de sesión correspondiente falle sin mostrar errores. Pruebe cada método de inicio de sesión después de la configuración.

Paso 4: Configurar el SSID de WiFi de invitados

Cree un nuevo perfil WLAN con la siguiente configuración:

Parámetro	Valor
Nivel de seguridad	Abierto
Captive Portal	Habilitado
Tipo de Captive Portal	Externo
URL de redireccionamiento	Según lo proporcionado en el portal de Purple
Redireccionamiento HTTPS	Deshabilitado (a menos que haya un certificado SSL instalado)
Tiempo de espera por inactividad	1800 segundos (30 minutos)
Perfil de servidor RADIUS	Perfil RADIUS de Purple (creado en el Paso 2)

Paso 5: Asignar el SSID a un grupo de AP

Aplica el perfil WLAN al grupo de AP correspondiente en OmniVista. Verifica que los AP estén transmitiendo el SSID y que los clientes puedan asociarse antes de probar el flujo del Captive Portal.

Parte 2: WiFi para el personal seguro mediante 802.1X

Para el WiFi del personal, utiliza WPA2-Enterprise o WPA3-Enterprise con autenticación 802.1X. Esto elimina las contraseñas compartidas y vincula el acceso a las identidades de usuario individuales gestionadas en Microsoft Entra ID, Okta o Google Workspace.

Paso 1: Configurar el SSID de 802.1X

Crea un perfil WLAN independiente para el personal. Establece el tipo de seguridad en WPA2-Enterprise o WPA3-Enterprise y asigna el servidor RADIUS de Purple como backend de autenticación. El servidor RADIUS de Purple actúa como proxy para las solicitudes de autenticación hacia tu proveedor de identidad a través de LDAP o SAML.

Paso 2: Seleccionar el método EAP

Para la mayoría de las implementaciones, utiliza PEAP con MSCHAPv2. Esto requiere únicamente un certificado en el lado del servidor y funciona con los suplicantes estándar de Windows, macOS, iOS y Android. Para entornos de mayor seguridad, utiliza EAP-TLS con certificados de cliente emitidos a través de tu PKI.

Paso 3: Asignar el personal a una VLAN dedicada

Configura el servidor RADIUS de Purple para que devuelva Tunnel-Private-Group-ID = tu ID de VLAN de personal en la respuesta Access-Accept. Esto garantiza que los dispositivos del personal se ubiquen en el segmento de red corporativo, separados del tráfico de invitados en la Capa 2.

Parte 3: WiFi multiinquilino mediante PPSK y redirección dinámica de VLAN

PPSK (Private Pre-Shared Key) —también conocido como iPSK (Identity PSK) en la documentación de algunos fabricantes— permite que un único SSID sirva a múltiples grupos de usuarios aislados. Cada grupo recibe una contraseña única. El servidor RADIUS asigna cada contraseña a una VLAN específica, proporcionando aislamiento de red por inquilino sin la sobrecarga de RF de tener múltiples SSIDs.

Figura 2: Segmentación de VLAN multiinquilino mediante PPSK en un único SSID de ALE OmniAccess.

Paso 1: Crear el SSID de PPSK

Crea un nuevo perfil WLAN y establece el tipo de autenticación en WPA2-PSK con validación PSK respaldada por RADIUS. En el firmware de Stellar 4.0.8.16 y superior (para modelos AP1301 y superiores), la asignación dinámica de VLAN a través de RADIUS es compatible en Modo Express. Para modelos más antiguos o firmware anterior, utiliza el modo gestionado por OmniVista.

Paso 2: Definir las contraseñas de los inquilinos en Purple

En el portal de Purple, crea un grupo PPSK para cada inquilino. Asigna una contraseña única por inquilino y vincula cada contraseña al ID de VLAN correspondiente. Purple almacena estas asignaciones en su base de datos RADIUS.

Paso 3: Configurar los atributos de RADIUS para la redirección de VLAN

Asegúrese de que el servidor RADIUS de Purple devuelva los siguientes atributos estándar IETF en cada respuesta Access-Accept:

Número de atributo	Nombre de atributo	Valor
64	Tunnel-Type	13 (VLAN)
65	Tunnel-Medium-Type	6 (IEEE 802 / Ethernet)
81	Tunnel-Private-Group-ID	VLAN ID (p. ej., "30")

Los tres atributos deben estar presentes. Si falta alguno, el AP de ALE ignorará la asignación de VLAN y ubicará al cliente en la VLAN predeterminada.

Paso 4: Verificar el truncamiento de VLAN (trunking) en el enlace ascendente

Asegúrese de que todas las VLAN de los inquilinos estén etiquetadas en el puerto de enlace ascendente (uplink) entre el AP de ALE y el switch de distribución. Un AP no puede dirigir el tráfico a una VLAN que no esté permitida en su trunk de enlace ascendente.

Buenas prácticas

Las siguientes recomendaciones reflejan las prácticas estándar para despliegues inalámbricos empresariales y se alinean con los requisitos de IEEE 802.1X, PCI DSS 4.0 y GDPR.

Separe la WiFi de invitados de la WiFi del personal en la Capa 2. Nunca ubique el tráfico de invitados y del personal en la misma VLAN. Utilice la asignación de VLAN basada en RADIUS para forzar esta separación de forma automática, independientemente del AP al que se conecte el usuario.

Utilice HTTPS para todas las redirecciones del Captive Portal. Instale un certificado SSL válido en el AP de ALE para habilitar la redirección HTTPS. Esto evita que los navegadores muestren advertencias de seguridad en la página de inicio (splash page), lo que reduce las tasas de abandono y se alinea con los requisitos de GDPR para el manejo seguro de datos.

Establezca el intervalo de RADIUS Accounting en 300 segundos. Esto proporciona a Purple actualizaciones periódicas de la sesión para la precisión de los análisis. Un intervalo superior a 600 segundos corre el riesgo de perder datos de la sesión si un cliente se desconecta sin una desautenticación limpia.

Pruebe el Walled Garden antes de la puesta en marcha. Conecte un dispositivo de prueba al SSID de la WiFi de invitados e intente acceder a cada proveedor de inicio de sesión social. Si un inicio de sesión falla, significa que el dominio correspondiente no está en el Walled Garden.

Segmente los dispositivos IoT mediante PPSK. En entornos de retail y hostelería, los dispositivos IoT, como la señalización digital, los terminales de pago y los sensores ambientales, deben recibir cada uno un PPSK único asignado a una VLAN aislada. Esto evita que un dispositivo IoT comprometido acceda a la red general.

Para profundizar en los estándares y la arquitectura de seguridad WiFi empresarial, consulte nuestra guía de seguridad WiFi empresarial .

Resolución de problemas y mitigación de riesgos

La siguiente tabla cubre los fallos más comunes en las integraciones de ALE OmniAccess y Purple.

Síntoma	Causa más probable	Resolución
El Captive Portal no aparece	Configuración incorrecta del Walled Garden o falta de DNS	Verifique que los dominios de Purple estén en la lista blanca; compruebe que el rango de DHCP incluya un servidor DNS válido
La autenticación RADIUS falla	Conflicto de secreto compartido o firewall bloqueando UDP 1812/1813	Vuelva a introducir el secreto compartido desde el portal de Purple; confirme que las reglas del firewall permiten UDP 1812 y 1813 salientes
Los usuarios acceden a una VLAN incorrecta	Faltan atributos de túnel RADIUS o hay una limitación de firmware del AP	Confirme que se devuelven los tres atributos RADIUS (64, 65, 81); compruebe si la versión de firmware de ALE admite VLAN dinámica
El botón de inicio de sesión social falla	Falta el dominio del proveedor social en el Walled Garden	Añada los dominios del proveedor social requeridos a la lista de acceso de preautenticación
El Captive Portal HTTPS muestra una advertencia de certificado	Se utiliza un certificado comodín o no hay ningún certificado instalado	Instale un certificado SSL específico de dominio a través de Sistema > General > Gestión de certificados
Faltan datos de sesión en los análisis de Purple	RADIUS Accounting está desactivado o el intervalo es demasiado largo	Active RADIUS Accounting; establezca el intervalo en 300 segundos

Para problemas persistentes de RADIUS, active el registro de depuración en el AP de ALE y capture el intercambio de RADIUS. Busque mensajes de Access-Reject y compruebe el código del motivo del rechazo. Los códigos comunes incluyen el 16 (fallo de autenticación) y el 18 (falta de atributo).

ROI e impacto empresarial

La implementación de Purple en el hardware ALE OmniAccess convierte una red pasiva en un activo de datos activo. Cada sesión autenticada genera un perfil de visitante: dirección de correo electrónico, frecuencia de visitas, tiempo de permanencia y tipo de dispositivo. Estos datos de origen se envían directamente a su CRM a través de la biblioteca de Purple de más de 400 conectores.

Harrods logró un ROI de marketing de 57 veces gracias a su despliegue de WiFi para invitados al utilizar la captura de datos de Purple para impulsar las suscripciones a programas de fidelización (caso de estudio de Purple, 2023). AGS Airports generó un ROI del 842 % al implementar WiFi de pago con ancho de banda escalonado en todas sus instalaciones (caso de estudio de Purple, 2022).

Para los operadores de hostelería , el Captive Portal es el principal punto de contacto para la captura de datos de los huéspedes. Para los entornos de comercio minorista , permite el análisis del comportamiento de los compradores y las promociones dirigidas. Para los centros de transporte , proporciona datos de flujo de pasajeros y registro de sesiones preparado para el cumplimiento normativo.

La plataforma de WiFi de invitados de Purple y las herramientas de Análisis de WiFi le ofrecen la infraestructura de informes para medir estos resultados. Realice un seguimiento de las tasas de autenticación, la duración de las sesiones, las tasas de visitantes recurrentes y la conversión de aceptación desde un único panel.

Para obtener orientación sobre integraciones relacionadas, consulte la guía de integración de WatchGuard Firebox , que cubre una arquitectura basada en RADIUS similar en una plataforma de hardware diferente.

Definiciones clave

PPSK (Private Pre-Shared Key)

Un método de seguridad en el que se emiten contraseñas únicas a usuarios o dispositivos individuales para un único SSID, en lugar de compartir una sola contraseña global. El servidor RADIUS asocia cada contraseña a una política o VLAN específica.

Se utiliza en WiFi multiinquilino para aislar el tráfico entre inquilinos, residentes o grupos de eventos sin necesidad de desplegar múltiples SSIDs.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red definido en RFC 2865 que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios que se conectan a un servicio de red.

El protocolo principal que utiliza Purple para comunicarse con el hardware ALE. El AP de ALE envía mensajes Access-Request; Purple responde con Access-Accept o Access-Reject.

Dynamic VLAN steering

El proceso de asignación de un dispositivo conectado a una VLAN específica basada en los atributos RADIUS devueltos durante la autenticación, en lugar de una VLAN estática configurada en el SSID.

Esencial para despliegues multiinquilino donde los diferentes grupos de usuarios deben estar aislados en la misma infraestructura física de AP.

Walled Garden

Un entorno controlado que restringe el acceso a internet de un dispositivo a un conjunto predefinido de dominios antes de que se complete la autenticación.

Necesario para permitir que los dispositivos accedan al Captive Portal de Purple y a los proveedores de identidad externos antes de que el usuario haya iniciado sesión.

Captive portal

Una página web que intercepta la sesión del navegador de un usuario y le obliga a autenticarse o aceptar las condiciones antes de obtener acceso completo a la red.

La interfaz principal donde los visitantes dan su consentimiento y proporcionan datos de primera mano. Purple aloja esta página en la nube; el AP de ALE realiza la redirección.

Identity-Based Network

Una arquitectura de red en la que las políticas de acceso, las asignaciones de VLAN y los controles de ancho de banda se determinan por quién es el usuario, en lugar de por dónde o cómo se conecta.

El resultado arquitectónico de integrar el hardware ALE con la capa de autenticación de Purple.

802.1X

Un estándar IEEE para el control de acceso a redes basado en puertos que proporciona un mecanismo de autenticación para los dispositivos que se conectan a una LAN o WLAN. Requiere un suplicante en el dispositivo cliente, un autenticador (el AP) y un servidor de autenticación (RADIUS).

El estándar utilizado para despliegues seguros de WiFi para empleados. Elimina las contraseñas compartidas y vincula el acceso a las identidades de los usuarios individuales.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Un método EAP basado en certificados en el que tanto el cliente como el servidor RADIUS presentan certificados digitales para la autenticación mutua.

El método 802.1X más seguro. Requiere una infraestructura PKI para emitir certificados de cliente, pero elimina por completo el robo de credenciales basado en contraseñas.

PEAP (Protected Extensible Authentication Protocol)

Un método EAP que tuneliza el intercambio de autenticación interna dentro de una sesión TLS, protegiendo las credenciales en tránsito. Comúnmente utilizado con MSCHAPv2 como método interno.

El método 802.1X más común en despliegues empresariales. Requiere únicamente un certificado en el lado del servidor y funciona con suplicantes de sistemas operativos estándar.

NAS (Network Access Server)

En la terminología RADIUS, el dispositivo que hace cumplir el control de acceso; en este caso, el AP ALE OmniAccess Stellar. El NAS reenvía las solicitudes de autenticación al servidor RADIUS y aplica las políticas devueltas.

El AP de ALE actúa como el NAS en la integración con Purple. Su dirección IP y el secreto compartido deben registrarse en el portal de Purple como un cliente NAS de confianza.

Ejemplos prácticos

Un hotel de 200 habitaciones en el centro de Londres utiliza puntos de acceso ALE OmniAccess Stellar en todo el establecimiento. Necesitan dar servicio a los huéspedes del hotel, al personal de servicio y a un restaurante en la planta baja como tres segmentos de red completamente separados. Quieren evitar la transmisión de múltiples SSID para preservar el rendimiento de RF.

Implemente un único SSID seguro mediante PPSK. Configure los puntos de acceso ALE OmniAccess para que se autentiquen contra el servidor RADIUS de Purple. En el portal de Purple, cree tres grupos PPSK: huéspedes del hotel (VLAN 10), personal (VLAN 20) y restaurante (VLAN 30). El servidor RADIUS devuelve Tunnel-Private-Group-ID = 10, 20 o 30 según la contraseña que utilice el dispositivo. El punto de acceso de ALE dirige dinámicamente cada dispositivo a la VLAN correcta. Los huéspedes del hotel solo reciben acceso a Internet. El personal recibe acceso al sistema de gestión del establecimiento. El restaurante recibe un segmento aislado para sus terminales de punto de venta (EPOS).

Comentario del examinador: Este enfoque elimina tres SSID y los sustituye por uno, lo que reduce la interferencia de canal común y la sobrecarga de gestión. El requisito técnico clave es que las tres VLAN deben estar etiquetadas en el enlace troncal (uplink trunk) entre el punto de acceso y el conmutador de distribución. Si falta alguna VLAN en el enlace troncal, los dispositivos que utilicen esa contraseña no recibirán una dirección DHCP.

Un centro de conferencias acoge 15 eventos corporativos simultáneamente. Cada organizador de eventos necesita su propia red WiFi aislada para los asistentes, pero el recinto solo dispone de una única infraestructura ALE OmniAccess. El equipo de TI del recinto necesita aprovisionar y desaprovisionar redes rápidamente entre eventos.

Utilice la gestión PPSK de Purple para crear contraseñas por evento asignadas a VLAN de eventos dedicadas. El recinto preconfigura 15 segmentos de VLAN en la infraestructura de ALE. Para cada evento, el equipo de TI crea una nueva entrada PPSK en el portal de Purple, la asigna a la VLAN correcta y proporciona la contraseña al organizador del evento. Al finalizar el evento, revocan la contraseña en Purple. El punto de acceso de ALE deja de aceptar inmediatamente esa contraseña, aislando la VLAN desaprovisionada. No se requiere ninguna reconfiguración del punto de acceso.

Comentario del examinador: Esta arquitectura separa el flujo de trabajo de aprovisionamiento de la configuración del hardware. Los puntos de acceso de ALE permanecen estáticos; todos los cambios se realizan en la nube de Purple. Esta es la ventaja práctica de una superposición en la nube (cloud overlay): se puede añadir, modificar o revocar el acceso sin tocar la infraestructura física. Para entornos de eventos, esto reduce el tiempo de aprovisionamiento de horas a minutos.

Preguntas de práctica

Q1. Ha configurado el Captive Portal de Alcatel-Lucent en un AP ALE OmniAccess Stellar. Los invitados se conectan al SSID y reciben una dirección IP, pero sus dispositivos muestran "Sin conexión a Internet" y la página de bienvenida no aparece. ¿Cuáles son las dos causas más probables y cómo se resuelve cada una?

Sugerencia: Considere qué debe ocurrir en las capas DNS y HTTP antes de que pueda producirse la redirección al Captive Portal.

Ver respuesta modelo

Causa 1: El ámbito DHCP no incluye un servidor DNS válido. Sin DNS, el cliente no puede resolver la URL del Captive Portal y el mecanismo de detección del Captive Portal del sistema operativo falla. Resolución: Añada un servidor DNS válido (por ejemplo, 8.8.8.8) al ámbito DHCP en la VLAN de invitados. Causa 2: El Walled Garden no incluye los dominios del portal de Purple. Sin estos, el AP bloquea la solicitud de redirección antes de que llegue al cliente. Resolución: Añada region1.purpleportal.net, venuewifi.com y cloudfront.net a la lista de acceso previa a la autenticación.

Q2. Su despliegue de WiFi multiinquilino utiliza PPSK en un único SSID de ALE OmniAccess. Los usuarios se autentican correctamente (el portal de Purple muestra inicios de sesión correctos), pero todos los usuarios reciben direcciones IP de la VLAN 1 en lugar de sus VLAN de inquilino asignadas. ¿Cuál es la causa más probable?

Sugerencia: Compruebe la comunicación entre el servidor RADIUS y el AP, así como la configuración del enlace ascendente (uplink) del AP.

Ver respuesta modelo

Hay dos causas probables. Primero, es posible que el servidor RADIUS de Purple no esté devolviendo los tres atributos de túnel RADIUS requeridos (64, 65, 81) en el mensaje Access-Accept. Verifique que la política de cumplimiento incluya Tunnel-Type = 13, Tunnel-Medium-Type = 6 y Tunnel-Private-Group-ID = el ID de VLAN correcto. Segundo, es posible que las VLAN de los inquilinos no estén etiquetadas en el trunk de enlace ascendente entre el AP de ALE y el switch de distribución. Si la VLAN no existe en el trunk, el AP no puede dirigir el tráfico hacia ella, incluso si los atributos RADIUS son correctos.

Q3. Un establecimiento requiere que las sesiones de los invitados se finalicen automáticamente después de 60 minutos, y que los invitados que regresen dentro de un plazo de 24 horas sean reconocidos y omitan el formulario de registro. ¿Cómo debe configurarse esto en la arquitectura de Purple y ALE?

Sugerencia: Considere qué sistema controla el tiempo de vida de la sesión y qué sistema controla el reconocimiento de visitantes recurrentes.

Ver respuesta modelo

La finalización de la sesión se controla mediante el atributo RADIUS Session-Timeout. Configure el servidor RADIUS de Purple para incluir Session-Timeout = 3600 (segundos) en el mensaje Access-Accept. El AP de ALE desconectará al cliente después de 3600 segundos. El reconocimiento de visitantes recurrentes se controla en el portal de Purple. Active la opción "recordar dispositivo" o la reautenticación basada en MAC para su establecimiento. Cuando un visitante recurrente se conecta dentro del plazo configurado, el servidor RADIUS de Purple reconoce su dirección MAC y devuelve un Access-Accept sin requerir la interacción con la página de bienvenida, proporcionando una experiencia de reconexión fluida.

Q4. Está desplegando una red WiFi para el personal utilizando 802.1X en APs ALE OmniAccess Stellar. Su organización utiliza Microsoft Entra ID como proveedor de identidad. Los dispositivos del personal son portátiles con Windows 11 gestionados a través de Intune. ¿Qué método EAP debería utilizar y qué requisitos de certificado se aplican?

Sugerencia: Considere el equilibrio entre seguridad, complejidad de despliegue y las capacidades de la infraestructura existente.

Ver respuesta modelo

Utilice PEAP con MSCHAPv2 como método EAP. Esto requiere únicamente un certificado de servidor en el servidor RADIUS de Purple (ya provisto por Purple) y aprovecha las credenciales de Entra ID del usuario para la autenticación. No se requieren certificados de cliente, lo que simplifica el despliegue en dispositivos gestionados por Intune. Configure el suplicante de Windows 11 a través de un perfil de Wi-Fi de Intune, especificando el SSID, la seguridad WPA2-Enterprise, el método PEAP y la huella digital del certificado del servidor RADIUS de Purple para la validación del servidor. Si su política de seguridad requiere autenticación mutua basada en certificados, actualice a EAP-TLS y despliegue certificados de cliente a través de perfiles SCEP de Intune, aunque esto añade una sobrecarga significativa de gestión de PKI.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Integración de los puntos de acceso Grandstream GWN con Purple WiFi

Esta guía técnica de referencia autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP e instalaciones de TI que desplieguen WiFi para invitados y personal a gran escala.