Alcatel-Lucent OmniAccess Stellar y guest WiFi: configuración del captive portal con Purple

Bienvenido a la sesión técnica de Purple. Hoy abordaremos la integración de Alcatel-Lucent Enterprise OmniAccess Stellar con Purple WiFi. Esta sesión está dirigida a directores de TI, arquitectos de redes y directores de operaciones de recintos que necesitan implementar redes inalámbricas seguras, escalables e inteligentes. Comencemos con el contexto. Tiene un recinto. Quizá un hotel, una cadena de tiendas o un estadio. Ha invertido en hardware ALE OmniAccess. Ahora necesita extraer valor comercial de esa infraestructura. Necesita capturar datos de origen (first-party data), segmentar a sus usuarios de forma segura y ofrecer una experiencia de acceso fluida. Ahí es donde entra la capa en la nube de Purple. Purple opera en más de 80.000 recintos activos en todo el mundo y procesó más de 440 millones de inicios de sesión en 2024. Es independiente del hardware, lo que significa que se integra sobre su infraestructura ALE existente sin necesidad de reemplazar ningún equipo. Toda la lógica de autenticación y captura de datos reside en la nube de Purple. El núcleo de esta integración se basa en RADIUS. Cuando un invitado entra a su recinto y se conecta al SSID de Guest WiFi abierto, el AP de ALE intercepta su tráfico web. En lugar de permitirle el acceso directo a internet, redirige su navegador a un Captive Portal alojado en Purple. Esta es su página de inicio (splash page). Aquí es donde presenta su marca, recopila direcciones de correo electrónico u ofrece inicios de sesión sociales a través de Facebook, LinkedIn o Google. Una vez que el usuario envía sus datos, el servidor RADIUS en la nube de Purple lo autentica y envía un mensaje Access-Accept de vuelta al AP de ALE. A continuación, el AP elimina las reglas del firewall y concede acceso a internet. Todo el proceso tarda menos de tres segundos. Ahora, pasemos al análisis técnico detallado. ¿Cómo realizamos realmente esta configuración? En primer lugar, debe configurar los parámetros del servidor RADIUS en su interfaz de gestión OmniVista o Stellar. Introducirá las direcciones IP de RADIUS de Purple, establecerá el puerto de autenticación en 1812 y el puerto de contabilidad (accounting) en 1813. Es fundamental que se asegure de que RADIUS Accounting esté habilitado con un intervalo de 300 segundos. Esto es lo que envía los datos de la sesión de vuelta a Purple para el análisis y el registro de conformidad. El siguiente paso es el Walled Garden. Esto suele causar problemas en muchas implementaciones. Antes de que un usuario se autentique, no tiene acceso a internet. Sin embargo, necesita llegar al portal de Purple para iniciar sesión. Debe incluir los dominios de Purple en la lista de acceso de preautenticación. Los dominios principales son region1.purpleportal.net, venuewifi.com y cloudfront.net. Si utiliza el inicio de sesión con Facebook o LinkedIn, también debe incluir sus dominios en la lista blanca. Si el Walled Garden es incorrecto, el Captive Portal no se cargará. Sin excepciones. Para la configuración del SSID, cree una nueva red inalámbrica, establezca el nivel de seguridad en Open y habilite la opción External Captive Portal. Apunte la URL de redirección a la URL específica de su splash page de Purple, que encontrará en el portal de Purple dentro de los ajustes de hardware de su recinto. Pasemos a un escenario más avanzado: WiFi Multi-Tenant. Imagine un espacio de coworking o un alojamiento de estudiantes. Tiene varios inquilinos que necesitan sus propias redes seguras y aisladas. No querrá transmitir 20 SSIDs diferentes. Eso destruye el rendimiento de RF y genera una mala experiencia de usuario. La solución es PPSK - Private Pre-Shared Keys - combinado con direccionamiento dinámico de VLAN. Transmite un único SSID seguro, pero cada inquilino recibe una contraseña única. Cuando el Inquilino A introduce su contraseña, el AP de ALE envía esa solicitud al servidor RADIUS de Purple. Purple reconoce la contraseña, autentica al usuario y devuelve un mensaje de Access-Accept. Pero aquí está la parte importante. Ese mensaje incluye atributos RADIUS específicos. El Atributo 64 para Tunnel-Type, establecido en 13 para VLAN. El Atributo 65 para Tunnel-Medium-Type, establecido en 6 para Ethernet. Y el Atributo 81, el Tunnel-Private-Group-ID, que contiene el ID de VLAN real. El AP de ALE recibe esto y coloca al Inquilino A directamente en la VLAN 30. Cuando el Inquilino B inicia sesión con una contraseña diferente, aterriza en la VLAN 40. Un SSID, aislamiento total en Capa 2. Esto es redes basadas en la identidad en la práctica. Veamos un ejemplo del mundo real. Un hotel de 200 habitaciones desplegó esta arquitectura en sus APs ALE OmniAccess Stellar existentes. Necesitaban dar servicio a los huéspedes del hotel, al personal interno y a un restaurante en la planta baja como tres segmentos de red completamente separados. En lugar de desplegar tres SSIDs, utilizaron PPSK con direccionamiento dinámico de VLAN. El resultado fue un único SSID, tres VLANs aisladas y una reducción significativa de la carga de gestión en comparación con su enfoque anterior de múltiples SSIDs. Ahora hablemos de recomendaciones de implementación y errores comunes. Primero, mantenga un diseño agnóstico del hardware. Cree sus políticas en Purple, no en el controlador local. Esto le permite escalar o cambiar de proveedor de hardware más adelante sin tener que reconstruir sus políticas de seguridad desde cero. Segundo, preste atención a las versiones de firmware. Asegúrese de que sus APs de ALE ejecuten un firmware que admita explícitamente la asignación dinámica de VLAN a través de RADIUS. Es posible que las versiones de firmware Stellar más antiguas no admitan completamente el atributo Tunnel-Private-Group-ID. Consulte las notas de lanzamiento de ALE antes de realizar el despliegue. Tercero, el DNS es su amigo y su enemigo. Si su Captive Portal no aparece, verifique primero su rango de DHCP. Si el cliente no recibe un servidor DNS válido, no podrá resolver la URL del portal y todo el proceso se detendrá. Este es el problema de soporte más común en los despliegues de Captive Portal. Cuarto, para un WiFi de personal seguro que utilice 802.1X, use PEAP con MSCHAPv2 para la mayoría de los entornos, o EAP-TLS para despliegues basados en certificados. El servidor RADIUS de Purple admite ambos. Los dispositivos del personal se autentican contra Microsoft Entra ID u Okta, y el servidor RADIUS devuelve la asignación de VLAN adecuada para el segmento de red del personal. Pasemos a una sesión de preguntas y respuestas rápidas. Pregunta: ¿Puedo utilizar esta integración para el cumplimiento de PCI-DSS en un entorno minorista? Respuesta: Sí. Al utilizar el redireccionamiento dinámico de VLAN, puede asegurarse de que los dispositivos del punto de venta se ubiquen siempre en una VLAN aislada, completamente separada del tráfico de invitados. Esto cumple con los requisitos de segmentación de red de PCI-DSS 4.0. Pregunta: ¿Requiere Purple un dispositivo de hardware físico en las instalaciones? Respuesta: No. Purple es una superposición en la nube. Se comunica directamente con su hardware ALE existente a través de RADIUS estándar a través de Internet. No hay nada que montar en rack ni instalar. Pregunta: ¿Qué ocurre si la nube de Purple no está accesible? Respuesta: Puede configurar una política de reserva en el AP de ALE. Para las redes de invitados, puede permitir el acceso abierto como alternativa. Para las redes del personal, configure una política de reserva de denegar todo para mantener la seguridad. Pregunta: ¿Puedo capturar datos analíticos de la integración? Respuesta: Sí. Cada sesión autenticada genera un perfil de visitante en la plataforma Purple. Obtiene el tiempo de permanencia, la frecuencia de las visitas, el tipo de dispositivo y los datos demográficos del formulario de registro. Esto se envía directamente a su CRM a través de la biblioteca de Purple de más de 400 conectores. Para resumir los puntos clave de la sesión de hoy. Primero: La integración de ALE OmniAccess con Purple utiliza RADIUS estándar en los puertos 1812 y 1813. No se requieren protocolos propietarios. Segundo: El Walled Garden es fundamental. Si lo configura mal, el Captive Portal no se cargará. Añada los dominios de Purple a la lista de permitidos antes que cualquier otra cosa. Tercero: PPSK con redireccionamiento dinámico de VLAN es la arquitectura adecuada para entornos multi-inquilino. Un SSID, contraseñas únicas y VLAN aisladas por inquilino. Cuarto: Los atributos de RADIUS 64, 65 y 81 son los tres que necesita para la asignación dinámica de VLAN. Si falta alguno de ellos, el redireccionamiento falla. Quinto: Purple es independiente del hardware. Sus políticas residen en la nube, no en el controlador. Esto le ofrece la flexibilidad necesaria para escalar entre diferentes proveedores de hardware. El siguiente paso es iniciar sesión en su portal de Purple, ir a la configuración de hardware de su establecimiento y recuperar sus credenciales de RADIUS específicas y la URL de la página de bienvenida. A continuación, siga los pasos de configuración de esta guía para conectar su infraestructura ALE OmniAccess a la nube de Purple. Gracias por escuchar esta sesión informativa técnica de Purple. Para obtener más información, visite purple.ai.