Integración de Alcatel-Lucent Enterprise (ALE) OmniAccess con Purple WiFi

Esta guía detalla la integración técnica entre los puntos de acceso Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar y Purple WiFi. Cubre la redirección de Captive Portal, la autenticación RADIUS, la configuración de Walled Garden, la red WiFi segura para empleados mediante 802.1X y la segmentación de WiFi multiinquilino mediante claves precompartidas privadas (PPSK) con direccionamiento dinámico de VLAN, lo que ofrece a los administradores de TI y arquitectos de red una referencia completa y práctica para implementar redes basadas en la identidad en hardware de ALE.

📖 9 min de lectura📝 2,047 palabras🔧 2 ejemplos prácticos❓ 4 preguntas de práctica📚 10 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Welcome to the Purple technical briefing. Today we are covering the Alcatel-Lucent Enterprise OmniAccess Stellar integration with Purple WiFi. This briefing is for IT managers, network architects, and venue operations directors who need to deploy secure, scalable, and intelligent wireless networks.

Let us start with the context. You have a venue. Maybe a hotel, a retail chain, or a stadium. You have invested in ALE OmniAccess hardware. Now you need to extract business value from that infrastructure. You need to capture first-party data, segment your users securely, and provide a seamless onboarding experience. That is where the Purple cloud overlay comes in.

Purple operates across more than 80,000 live venues worldwide and processed over 440 million logins in 2024. It is hardware-agnostic, which means it sits on top of your existing ALE infrastructure without requiring any hardware replacement. The entire authentication and data-capture logic lives in the Purple cloud.

The core of this integration relies on RADIUS. When a guest walks into your venue and connects to the open Guest WiFi SSID, the ALE AP intercepts their web traffic. Instead of letting them straight onto the internet, it redirects their browser to a Purple-hosted captive portal. This is your splash page. It is where you present your brand, collect email addresses, or offer social logins via Facebook, LinkedIn, or Google.

Once the user submits their details, the Purple cloud RADIUS server authenticates them and sends an Access-Accept message back to the ALE AP. The AP then drops the firewall rules and grants internet access. The entire flow takes under three seconds.

Now, let us get into the technical deep-dive. How do we actually configure this?

First, you need to configure the RADIUS server settings in your OmniVista or Stellar management interface. You will input the Purple RADIUS IP addresses, set the authentication port to 1812, and the accounting port to 1813. Crucially, ensure RADIUS Accounting is enabled with an interval of 300 seconds. This is what feeds session data back to Purple for analytics and compliance logging.

Next is the Walled Garden. This trips up a lot of deployments. Before a user is authenticated, they have no internet access. But they need to reach the Purple portal to log in. You must whitelist the Purple domains in your pre-authentication access list. The core domains are region1.purpleportal.net, venuewifi.com, and cloudfront.net. If you are using Facebook or LinkedIn login, you must whitelist their domains too. If the Walled Garden is wrong, the captive portal will not load. Full stop.

For the SSID configuration, create a new wireless network, set the security level to Open, and enable the External Captive Portal option. Point the redirect URL to your specific Purple splash page URL, which you will find in the Purple portal under your venue's hardware settings.

Let us move to a more advanced scenario: Multi-Tenant WiFi. Imagine a coworking space or student accommodation. You have multiple tenants who need their own secure, isolated networks. You do not want to broadcast 20 different SSIDs. That destroys your RF performance and creates a poor user experience.

The solution is PPSK - Private Pre-Shared Keys - combined with dynamic VLAN steering. You broadcast one secure SSID. But every tenant gets a unique passphrase. When Tenant A enters their passphrase, the ALE AP sends that request to the Purple RADIUS server. Purple recognises the passphrase, authenticates the user, and sends back an Access-Accept message.

But here is the important part. That message includes specific RADIUS attributes. Attribute 64 for Tunnel-Type, set to 13 for VLAN. Attribute 65 for Tunnel-Medium-Type, set to 6 for Ethernet. And Attribute 81, the Tunnel-Private-Group-ID, which contains the actual VLAN ID. The ALE AP receives this and drops Tenant A directly onto VLAN 30. When Tenant B logs in with a different passphrase, they land on VLAN 40. One SSID, total Layer 2 isolation. This is Identity-Based Networking in practice.

Let us look at a real-world example. A 200-room hotel deployed this architecture across their existing ALE OmniAccess Stellar APs. They needed to serve hotel guests, back-of-house staff, and a ground-floor restaurant as three completely separate network segments. Rather than deploying three SSIDs, they used PPSK with dynamic VLAN steering. The result was a single SSID, three isolated VLANs, and a significant reduction in management overhead compared to their previous multi-SSID approach.

Now let us discuss implementation recommendations and pitfalls.

First, maintain a hardware-agnostic design. Build your policies in Purple, not on the local controller. This allows you to scale or swap hardware vendors later without rebuilding your security policies from scratch.

Second, watch out for firmware versions. Ensure your ALE APs are running firmware that explicitly supports dynamic VLAN assignment via RADIUS. Older Stellar firmware versions may not fully support the Tunnel-Private-Group-ID attribute. Check the ALE release notes before deploying.

Third, DNS is your friend and your enemy. If your captive portal is not appearing, check your DHCP scope first. If the client is not receiving a valid DNS server, they cannot resolve the portal URL, and the whole process stops. This is the single most common support issue in captive portal deployments.

Fourth, for secure Staff WiFi using 802.1X, use PEAP with MSCHAPv2 for most environments, or EAP-TLS for certificate-based deployments. The Purple RADIUS server supports both. Staff devices authenticate against Microsoft Entra ID or Okta, and the RADIUS server returns the appropriate VLAN assignment for the staff network segment.

Let us do a rapid-fire question and answer session.

Question: Can I use this integration for PCI DSS compliance in a retail environment?

Answer: Yes. By using dynamic VLAN steering, you can ensure that point-of-sale devices are always placed on an isolated VLAN, completely separated from guest traffic. This satisfies the network segmentation requirements under PCI DSS 4.0.

Question: Does Purple require a hardware appliance on-site?

Answer: No. Purple is a cloud overlay. It communicates directly with your existing ALE hardware via standard RADIUS over the internet. There is nothing to rack and stack.

Question: What happens if the Purple cloud is unreachable?

Answer: You can configure a fallback policy on the ALE AP. For guest networks, you can allow open access as a fallback. For staff networks, configure a deny-all fallback to maintain security.

Question: Can I capture analytics data from the integration?

Answer: Yes. Every authenticated session generates a visitor profile in the Purple platform. You get dwell time, visit frequency, device type, and demographic data from the registration form. This feeds directly into your CRM via Purple's library of over 400 connectors.

To summarise the key takeaways from today's briefing.

One: The ALE OmniAccess integration with Purple uses standard RADIUS on ports 1812 and 1813. No proprietary protocols required.

Two: The Walled Garden is critical. Get it wrong and the captive portal will not load. Whitelist the Purple domains before anything else.

Three: PPSK with dynamic VLAN steering is the right architecture for multi-tenant environments. One SSID, unique passphrases, isolated VLANs per tenant.

Four: RADIUS Attributes 64, 65, and 81 are the three you need for dynamic VLAN assignment. If any one of them is missing, the steering fails.

Five: Purple is hardware-agnostic. Your policies live in the cloud, not on the controller. This gives you flexibility to scale across different hardware vendors.

Your next step is to log into your Purple portal, navigate to your venue's hardware settings, and retrieve your specific RADIUS credentials and splash page URL. Then follow the configuration steps in this guide to connect your ALE OmniAccess infrastructure to the Purple cloud.

Thank you for listening to this Purple technical briefing. For more information, visit purple.ai.

Conclusiones clave

✓ALE OmniAccess Stellar APs integrate with Purple using standard RADIUS on ports 1812 and 1813 - no proprietary protocols or on-site appliances required.
✓The Walled Garden is the most common deployment failure point. Whitelist all Purple portal domains and social login provider domains before go-live.
✓PPSK with dynamic VLAN steering is the correct architecture for multi-tenant environments. One SSID, unique passphrases per tenant, isolated VLANs via RADIUS Attributes 64, 65, and 81.
✓All three RADIUS tunnel attributes must be present in the Access-Accept message. If Attribute 81 (Tunnel-Private-Group-ID) is missing, the ALE AP ignores the VLAN assignment.
✓Purple operates as a cloud overlay. Policies live in the Purple portal, not on the local controller, giving you hardware-agnostic flexibility to scale or swap infrastructure.
✓Set RADIUS Accounting to 300-second intervals to ensure accurate session data flows into Purple's analytics platform.
✓Purple holds ISO 27001, GDPR, CCPA, and Cyber Essentials certifications, making it suitable for regulated environments including healthcare, public sector, and PCI DSS-scoped retail deployments.

Resumen ejecutivo

Los puntos de acceso Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar se integran con Purple mediante protocolos RADIUS estándar y redirección externa de Captive Portal. No se requiere ningún middleware propietario. Purple funciona como una superposición en la nube, situándose sobre su infraestructura de ALE existente y gestionando la autenticación, la captura de datos y la política de sesión sin necesidad de realizar cambios en el hardware.

Esta guía cubre tres escenarios de implementación. En primer lugar, WiFi para invitados con redirección externa de Captive Portal y configuración de Walled Garden. En segundo lugar, WiFi seguro para empleados mediante 802.1X con PEAP o EAP-TLS. En tercer lugar, WiFi multiinquilino mediante claves precompartidas privadas (PPSK) y direccionamiento dinámico de VLAN a través de los atributos RADIUS 64, 65 y 81.

Purple presta servicio a más de 80 000 recintos activos y procesó más de 440 millones de inicios de sesión en 2024 (datos internos de Purple, 2024). Cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials. La plataforma funciona con un tiempo de actividad del 99,999 %, lo que la convierte en un backend de autenticación fiable para implementaciones empresariales.

Si es un administrador de TI o un arquitecto de redes que implementa hardware ALE OmniAccess en entornos de hostelería, comercio minorista, eventos o el sector público, esta guía le proporciona los pasos de configuración exactos para pasar del hardware a una red basada en la identidad totalmente operativa.

Arquitectura técnica y flujo de integración

La integración de Purple con ALE OmniAccess Stellar se basa en dos protocolos estándar: RADIUS para autenticación y contabilidad (accounting), y redirección HTTP/HTTPS para la entrega del Captive Portal. El AP de ALE actúa como servidor de acceso a la red (NAS), reenviando las solicitudes de autenticación al servidor RADIUS en la nube de Purple y aplicando las políticas devueltas en la respuesta Access-Accept.

Figura 1: Flujo de autenticación entre el dispositivo del invitado, el AP ALE OmniAccess Stellar y el RADIUS en la nube de Purple.

El flujo funciona de la siguiente manera. Un visitante se conecta al SSID abierto de WiFi para invitados. El AP de ALE asigna una dirección IP temporal del grupo DHCP de preautenticación e intercepta la primera solicitud HTTP o HTTPS del visitante. El AP redirige el navegador a la URL del Captive Portal de Purple, pasando la dirección MAC del cliente y el identificador NAS del AP como parámetros de URL. El visitante se autentica a través de la página de inicio (splash page) de Purple, utilizando correo electrónico, inicio de sesión social o verificación por SMS. El servidor RADIUS de Purple valida la sesión y devuelve un mensaje Access-Accept al AP de ALE. El AP concede acceso a Internet y comienza a enviar actualizaciones de RADIUS Accounting a Purple en el intervalo configurado.

Para implementaciones avanzadas que utilizan PPSK y direccionamiento dinámico de VLAN, el mensaje Access-Accept de RADIUS también incluye atributos de asignación de VLAN. El AP de ALE los utiliza para dirigir el tráfico del cliente directamente al segmento de VLAN correcto, aislándolo de otros usuarios en la misma infraestructura física.

Guía de implementación

Parte 1: WiFi para invitados con Captive Portal externo

Esta sección cubre la configuración del Captive Portal de Alcatel-Lucent para la redirección externa a Purple. Estos pasos se aplican a los AP ALE OmniAccess Stellar gestionados a través de OmniVista Cirrus, OmniVista 2500 o la interfaz web de Stellar Express.

Paso 1: Recuperar las credenciales RADIUS de Purple

Inicie sesión en su portal de Purple. Vaya a Gestión > Recintos (Management > Venues), seleccione su recinto y abra la sección Hardware. Añada una nueva entrada de hardware y seleccione Alcatel-Lucent OmniAccess Stellar como tipo de hardware. Purple generará un secreto compartido de RADIUS único, la IP del servidor de autenticación y la URL del Captive Portal para su recinto. Anote estos valores antes de continuar.

Paso 2: Configurar el servidor RADIUS en el AP de ALE

En su interfaz de gestión de ALE, navegue hasta los ajustes de autenticación y añada un nuevo perfil de servidor RADIUS.

Parámetro	Valor
IP del servidor / Nombre de host	Según lo proporcionado en el portal de Purple
Puerto de autenticación	1812
Puerto de contabilidad (Accounting)	1813
Secreto compartido	Según lo proporcionado en el portal de Purple
RADIUS Accounting	Habilitado
Intervalo de contabilidad	300 segundos

Habilite un servidor RADIUS secundario utilizando la IP de respaldo del portal de Purple. Esto garantiza la tolerancia a fallos si el servidor primario no está disponible temporalmente.

Paso 3: Configurar el Walled Garden

El Walled Garden define los dominios a los que puede acceder un dispositivo antes de que se complete la autenticación. Configure las siguientes entradas en la lista de acceso de preautenticación:

Dominios principales de Purple (obligatorios):

Dominio	Propósito
region1.purpleportal.net	Captive Portal de Purple
venuewifi.com	Gestión de sesiones de Purple
cloudfront.net	CDN para recursos del portal
openweathermap.org	Widget del tiempo (opcional)
stripe.com	Pagos de WiFi de pago (si procede)

Dominios de inicio de sesión social (añadir según sea necesario):

Proveedor	Dominios
Facebook	facebook.com, fbcdn.net, connect.facebook.net
LinkedIn	linkedin.com, licdn.net
Google	accounts.google.com, googleapis.com

Omitir cualquier dominio requerido provocará que el método de inicio de sesión correspondiente falle de forma silenciosa. Pruebe cada método de inicio de sesión después de la configuración.

Paso 4: Configurar el SSID de WiFi para invitados

Cree un nuevo perfil WLAN con los siguientes ajustes:

Parámetro	Valor
Nivel de seguridad	Abierto
Captive Portal	Habilitado
Tipo de Captive Portal	Externo
URL de redirección	Según lo proporcionado en el portal de Purple
Redirección HTTPS	Deshabilitado (a menos que se instale un certificado SSL)
Tiempo de espera por inactividad	1800 segundos (30 minutos)
Perfil de servidor RADIUS	Perfil RADIUS de Purple (creado en el Paso 2)

Si necesita la redirección HTTPS, instale un certificado SSL válido en el AP de ALE en Sistema > General > Gestión de certificados (System > General > Certificate Management). Tenga en cuenta que los certificados comodín (wildcard) no se admrtado por el AP Stellar para este propósito.

Paso 5: Asignar el SSID a un grupo de AP

Aplique el perfil WLAN al grupo de AP correspondiente en OmniVista. Verifique que los AP estén transmitiendo el SSID y que los clientes puedan asociarse antes de probar el flujo del Captive Portal.

Parte 2: Proteger la WiFi del personal mediante 802.1X

Para la WiFi del personal, utilice WPA2-Enterprise o WPA3-Enterprise con autenticación 802.1X. Esto elimina las contraseñas compartidas y vincula el acceso a las identidades de usuario individuales gestionadas en Microsoft Entra ID, Okta o Google Workspace.

Paso 1: Configurar el SSID 802.1X

Cree un perfil WLAN independiente para el personal. Establezca el tipo de seguridad en WPA2-Enterprise o WPA3-Enterprise y asigne el servidor RADIUS de Purple como backend de autenticación. El servidor RADIUS de Purple actúa como proxy para las solicitudes de autenticación ante su proveedor de identidad a través de LDAP o SAML.

Paso 2: Seleccionar el método EAP

Para la mayoría de las implementaciones, utilice PEAP con MSCHAPv2. Esto solo requiere un certificado en el lado del servidor y funciona con suplicantes estándar de Windows, macOS, iOS y Android. Para entornos de mayor seguridad, utilice EAP-TLS con certificados de cliente emitidos a través de su PKI.

Paso 3: Asignar al personal a una VLAN dedicada

Configure el servidor RADIUS de Purple para que devuelva Tunnel-Private-Group-ID = el ID de VLAN de su personal en la respuesta Access-Accept. Esto garantiza que los dispositivos del personal se ubiquen en el segmento de red corporativo, separados del tráfico de invitados en la Capa 2.

Parte 3: WiFi multiinquilino mediante PPSK y direccionamiento dinámico de VLAN

PPSK (Private Pre-Shared Key), también denominado iPSK (Identity PSK) en la documentación de algunos proveedores, permite que un único SSID preste servicio a múltiples grupos de usuarios aislados. Cada grupo recibe una contraseña única. El servidor RADIUS asocia cada contraseña a una VLAN específica, lo que proporciona aislamiento de red por inquilino sin la sobrecarga de RF que suponen múltiples SSIDs.

Figura 2: Segmentación de VLAN multiinquilino PPSK en un único SSID ALE OmniAccess.

Paso 1: Crear el SSID PPSK

Cree un nuevo perfil WLAN y establezca el tipo de autenticación en WPA2-PSK con validación PSK respaldada por RADIUS. En el firmware Stellar 4.0.8.16 y versiones posteriores (para modelos AP1301 y superiores), la asignación dinámica de VLAN a través de RADIUS es compatible en Express Mode. Para modelos más antiguos o firmwares anteriores, utilice el modo gestionado por OmniVista.

Paso 2: Definir las contraseñas de los inquilinos en Purple

En el portal de Purple, cree un grupo PPSK para cada inquilino. Asigne una contraseña única por inquilino y asocie cada contraseña al ID de VLAN correspondiente. Purple almacena estas asociaciones en su base de datos RADIUS.

Paso 3: Configurar los atributos RADIUS para el direccionamiento de VLAN

Asegúrese de que el servidor RADIUS de Purple devuelva los siguientes atributos estándar de IETF en cada respuesta Access-Accept:

Número de atributo	Nombre de atributo	Valor
64	Tunnel-Type	13 (VLAN)
65	Tunnel-Medium-Type	6 (IEEE 802 / Ethernet)
81	Tunnel-Private-Group-ID	VLAN ID (p. ej., "30")

Los tres atributos deben estar presentes. Si falta alguno de ellos, el AP de ALE ignorará la asignación de VLAN y ubicará al cliente en la VLAN predeterminada.

Paso 4: Verificar el trunking de VLAN en el enlace ascendente

Asegúrese de que todas las VLAN de los inquilinos estén etiquetadas en el puerto de enlace ascendente (uplink) entre el AP de ALE y el switch de distribución. Un AP no puede dirigir el tráfico a una VLAN que no esté permitida en su enlace troncal de subida.

Buenas prácticas

Las siguientes recomendaciones reflejan las prácticas estándar para implementaciones inalámbricas empresariales y se alinean con los requisitos de IEEE 802.1X, PCI DSS 4.0 y GDPR.

Separe la WiFi de invitados de la WiFi del personal en la Capa 2. Nunca ubique el tráfico de invitados y del personal en la misma VLAN. Utilice la asignación de VLAN basada en RADIUS para aplicar esta separación de forma automática, independientemente del AP al que se conecte el usuario.

Utilice HTTPS para todas las redirecciones del Captive Portal. Instale un certificado SSL válido en el AP de ALE para habilitar la redirección HTTPS. Esto evita que los navegadores muestren advertencias de seguridad en la página de inicio, lo que reduce las tasas de abandono y se alinea con los requisitos del GDPR para el manejo seguro de datos.

Establezca el intervalo de RADIUS Accounting en 300 segundos. Esto proporciona a Purple actualizaciones periódicas de la sesión para garantizar la precisión de los análisis. Un intervalo superior a 600 segundos corre el riesgo de perder datos de la sesión si un cliente se desconecta sin una desautenticación limpia.

Pruebe el Walled Garden antes de la puesta en marcha. Conecte un dispositivo de prueba al SSID de la WiFi de invitados e intente acceder a cada proveedor de inicio de sesión social. Si un inicio de sesión falla, significa que el dominio correspondiente no está en el Walled Garden.

Segmente los dispositivos IoT mediante PPSK. En entornos comerciales y de hostelería, los dispositivos IoT, como la señalización digital, los terminales de pago y los sensores ambientales, deben recibir cada uno un PPSK único asociado a una VLAN aislada. Esto evita que un dispositivo IoT comprometido acceda a la red general.

Para obtener más información sobre los estándares y la arquitectura de seguridad WiFi para empresas, consulte nuestra guía de seguridad WiFi para empresas .

Resolución de problemas y mitigación de riesgos

La siguiente tabla cubre los modos de fallo más comunes en las integraciones de ALE OmniAccess y Purple.

Síntoma	Causa más probable	Resolución
El Captive Portal no aparece	Configuración incorrecta del Walled Garden o falta de DNS	Verifique que los dominios de Purple estén en la lista blanca; compruebe que el alcance de DHCP incluya un servidor DNS válido
La autenticación RADIUS falla	Discrepancia en el secreto compartido o el cortafuegos bloquea UDP 1812/1813	Vuelva a introducir el secreto compartido desde el portal de Purple; confirme que las reglas del cortafuegos permiten la salida de UDP 1812 y 1813
Los usuarios acceden a la VLAN incorrecta	Faltan atributos de túnel RADIUS o limitación del firmware del AP	Confirme que se devuelven los tres atributos RADIUS (64, 65, 81); compruebe si la versión de firmware de ALE admite VLAN dinámica
El botón de inicio de sesión social falla	Falta el dominio del proveedor social en el Walled Garden	Añada los dominios de proveedores sociales requeridos aa la lista de acceso de preautenticación
El captive portal HTTPS muestra una advertencia de certificado	Se utiliza un certificado comodín o no hay ningún certificado instalado	Instale un certificado SSL específico del dominio a través de Sistema > General > Gestión de certificados
Faltan datos de sesión en las analíticas de Purple	RADIUS Accounting desactivado o intervalo demasiado largo	Habilite RADIUS Accounting; establezca el intervalo en 300 segundos

Para problemas persistentes de RADIUS, habilite el registro de depuración en el AP de ALE y capture el intercambio RADIUS. Busque mensajes Access-Reject y compruebe el código de motivo de rechazo. Los códigos comunes incluyen el 16 (fallo de autenticación) y el 18 (atributo faltante).

ROI e impacto empresarial

El despliegue de Purple en el hardware ALE OmniAccess convierte una red pasiva en un activo de datos activo. Cada sesión autenticada genera un perfil de visitante: dirección de correo electrónico, frecuencia de visitas, tiempo de permanencia y tipo de dispositivo. Estos datos de primera mano se integran directamente en su CRM a través de la biblioteca de Purple de más de 400 conectores.

Harrods obtuvo un ROI de marketing de 57x con su despliegue de WiFi para invitados al utilizar la captura de datos de Purple para impulsar las suscripciones al programa de fidelización (caso de estudio de Purple, 2023). AGS Airports generó un ROI del 842 % mediante la implementación de WiFi de pago con ancho de banda por niveles en todas sus instalaciones (caso de estudio de Purple, 2022).

Para los operadores de hostelería , el captive portal es el principal punto de contacto para la captura de datos de los huéspedes. Para los entornos de comercio minorista , permite realizar analíticas del comportamiento de los compradores y promociones dirigidas. Para los centros de transporte , proporciona datos sobre el flujo de pasajeros y un registro de sesiones que cumple con las normativas.

La plataforma WiFi para invitados y las herramientas de WiFi Analytics de Purple le ofrecen la infraestructura de informes necesaria para medir estos resultados. Realice un seguimiento de las tasas de autenticación, la duración de las sesiones, las tasas de visitantes recurrentes y la conversión de aceptación (opt-in) desde un único panel de control.

Para obtener orientación sobre integraciones relacionadas, consulte la guía de integración de WatchGuard Firebox , que cubre una arquitectura similar basada en RADIUS en una plataforma de hardware diferente.

Definiciones clave

PPSK (Private Pre-Shared Key)

A security method where individual users or devices are issued unique passphrases for a single SSID, rather than sharing one global password. The RADIUS server maps each passphrase to a specific policy or VLAN.

Used in Multi-Tenant WiFi to isolate traffic between tenants, residents, or event groups without deploying multiple SSIDs.

RADIUS (Remote Authentication Dial-In User Service)

A networking protocol defined in RFC 2865 that provides centralised Authentication, Authorization, and Accounting (AAA) management for users connecting to a network service.

The core protocol Purple uses to communicate with ALE hardware. The ALE AP sends Access-Request messages; Purple responds with Access-Accept or Access-Reject.

Dynamic VLAN steering

The process of assigning a connected device to a specific VLAN based on RADIUS attributes returned during authentication, rather than a static VLAN configured on the SSID.

Essential for multi-tenant deployments where different user groups must be isolated on the same physical AP infrastructure.

Walled Garden

A controlled environment that restricts a device's internet access to a predefined set of domains before authentication is complete.

Required to allow devices to reach the Purple captive portal and external identity providers before the user has logged in.

Captive portal

A web page that intercepts a user's browser session and requires them to authenticate or accept terms before gaining full network access.

The primary interface where visitors provide consent and first-party data. Purple hosts this page in the cloud; the ALE AP performs the redirect.

Identity-Based Network

A network architecture where access policies, VLAN assignments, and bandwidth controls are determined by who the user is, rather than where or how they connect.

The architectural outcome of integrating ALE hardware with Purple's authentication overlay.

802.1X

An IEEE standard for port-based network access control that provides an authentication mechanism for devices connecting to a LAN or WLAN. It requires a supplicant on the client device, an authenticator (the AP), and an authentication server (RADIUS).

The standard used for secure Staff WiFi deployments. Eliminates shared passwords and ties access to individual user identities.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

A certificate-based EAP method where both the client and the RADIUS server present digital certificates for mutual authentication.

The most secure 802.1X method. Requires a PKI infrastructure to issue client certificates, but eliminates password-based credential theft entirely.

PEAP (Protected Extensible Authentication Protocol)

An EAP method that tunnels the inner authentication exchange inside a TLS session, protecting credentials in transit. Commonly used with MSCHAPv2 as the inner method.

The most common 802.1X method in enterprise deployments. Requires only a server-side certificate and works with standard OS supplicants.

NAS (Network Access Server)

In RADIUS terminology, the device that enforces access control - in this case, the ALE OmniAccess Stellar AP. The NAS forwards authentication requests to the RADIUS server and enforces the policies returned.

The ALE AP acts as the NAS in the Purple integration. Its IP address and shared secret must be registered in the Purple portal as a trusted NAS client.

Ejemplos prácticos

A 200-room hotel in central London uses ALE OmniAccess Stellar APs throughout the property. They need to serve hotel guests, back-of-house staff, and a ground-floor restaurant as three completely separate network segments. They want to avoid broadcasting multiple SSIDs to preserve RF performance.

Deploy a single secure SSID using PPSK. Configure the ALE OmniAccess APs to authenticate against the Purple RADIUS server. In the Purple portal, create three PPSK groups: Hotel Guests (VLAN 10), Staff (VLAN 20), and Restaurant (VLAN 30). The RADIUS server returns Tunnel-Private-Group-ID = 10, 20, or 30 depending on which passphrase the device uses. The ALE AP dynamically steers each device to the correct VLAN. Hotel guests receive internet access only. Staff receive access to the property management system. The restaurant receives an isolated segment for their EPOS terminals.

Comentario del examinador: This approach eliminates three SSIDs and replaces them with one, reducing co-channel interference and management overhead. The key technical requirement is that all three VLANs must be tagged on the uplink trunk between the AP and the distribution switch. If any VLAN is missing from the trunk, devices using that passphrase will fail to receive a DHCP address.

A conference centre hosts 15 corporate events simultaneously. Each event organiser needs their own isolated WiFi network for attendees, but the venue only has a single ALE OmniAccess infrastructure. The venue IT team needs to provision and de-provision networks quickly between events.

Use Purple's PPSK management to create per-event passphrases mapped to dedicated event VLANs. The venue pre-configures 15 VLAN segments on the ALE infrastructure. For each event, the IT team creates a new PPSK entry in the Purple portal, assigns it to the correct VLAN, and provides the passphrase to the event organiser. At the end of the event, they revoke the passphrase in Purple. The ALE AP immediately stops accepting that passphrase, isolating the de-provisioned VLAN. No AP reconfiguration is required.

Comentario del examinador: This architecture separates the provisioning workflow from the hardware configuration. The ALE APs remain static; all changes happen in the Purple cloud. This is the practical advantage of a cloud overlay: you can add, modify, or revoke access without touching the physical infrastructure. For events environments, this reduces provisioning time from hours to minutes.

Preguntas de práctica

Q1. You have configured the Alcatel-Lucent captive portal on an ALE OmniAccess Stellar AP. Guests connect to the SSID and receive an IP address, but their devices show 'No Internet Connection' and the splash page does not appear. What are the two most likely causes, and how do you resolve each?

Sugerencia: Consider what must happen at the DNS and HTTP layer before the captive portal redirect can occur.

Ver respuesta modelo

Cause 1: The DHCP scope does not include a valid DNS server. Without DNS, the client cannot resolve the captive portal URL and the OS captive portal detection mechanism fails. Resolution: Add a valid DNS server (e.g., 8.8.8.8) to the DHCP scope on the guest VLAN. Cause 2: The Walled Garden does not include the Purple portal domains. Without these, the AP blocks the redirect request before it reaches the client. Resolution: Add region1.purpleportal.net, venuewifi.com, and cloudfront.net to the pre-authentication access list.

Q2. Your Multi-Tenant WiFi deployment uses PPSK on a single ALE OmniAccess SSID. Users authenticate successfully - the Purple portal shows successful logins - but all users receive IP addresses from VLAN 1 instead of their assigned tenant VLANs. What is the most likely cause?

Sugerencia: Check the communication between the RADIUS server and the AP, and the AP's uplink configuration.

Ver respuesta modelo

There are two likely causes. First, the Purple RADIUS server may not be returning all three required RADIUS tunnel attributes (64, 65, 81) in the Access-Accept message. Verify the enforcement policy includes Tunnel-Type = 13, Tunnel-Medium-Type = 6, and Tunnel-Private-Group-ID = the correct VLAN ID. Second, the tenant VLANs may not be tagged on the uplink trunk between the ALE AP and the distribution switch. If the VLAN does not exist on the trunk, the AP cannot steer traffic to it, even if the RADIUS attributes are correct.

Q3. A venue requires that guest sessions are automatically terminated after 60 minutes, and that guests who return within 24 hours are recognised and bypass the registration form. How should this be configured in the Purple and ALE architecture?

Sugerencia: Consider which system controls session lifetime and which system controls returning visitor recognition.

Ver respuesta modelo

Session termination is controlled via the RADIUS Session-Timeout attribute. Configure the Purple RADIUS server to include Session-Timeout = 3600 (seconds) in the Access-Accept message. The ALE AP will disconnect the client after 3600 seconds. Returning visitor recognition is controlled in the Purple portal. Enable the 'remember device' or MAC-based re-authentication setting for your venue. When a returning visitor connects within the configured window, Purple's RADIUS server recognises their MAC address and returns an Access-Accept without requiring the splash page interaction, providing a seamless reconnection experience.

Q4. You are deploying Staff WiFi using 802.1X on ALE OmniAccess Stellar APs. Your organisation uses Microsoft Entra ID as the identity provider. Staff devices are Windows 11 laptops managed via Intune. Which EAP method should you use, and what certificate requirements apply?

Sugerencia: Consider the balance between security, deployment complexity, and the capabilities of the existing infrastructure.

Ver respuesta modelo

Use PEAP with MSCHAPv2 as the EAP method. This requires only a server-side certificate on the Purple RADIUS server (already provisioned by Purple) and leverages the user's Entra ID credentials for authentication. No client certificates are required, which simplifies deployment on Intune-managed devices. Configure the Windows 11 supplicant via an Intune Wi-Fi profile, specifying the SSID, WPA2-Enterprise security, PEAP method, and the Purple RADIUS server certificate thumbprint for server validation. If your security policy requires certificate-based mutual authentication, upgrade to EAP-TLS and deploy client certificates via Intune SCEP profiles, but this adds significant PKI management overhead.

Continúe leyendo esta serie

Captive Portal para Aruba

Una guía de referencia técnica autorizada para configurar los puntos de acceso gestionados por Aruba Instant (IAP) y Aruba Central para redirigir a los usuarios invitados al Captive Portal externo, seguro y de alta conversión de Purple. Esta guía cubre la configuración paso a paso del SSID de invitados, la redirección al Captive Portal externo, los parámetros de autenticación y contabilidad del servidor RADIUS, las listas de excepciones de walled garden y el soporte de WISPr.

Aruba ClearPass y Purple WiFi: Guía de Integración y Despliegue

Esta guía proporciona una referencia técnica completa para integrar HPE Aruba ClearPass Policy Manager con la plataforma Purple WiFi, cubriendo la arquitectura de proxy RADIUS, la configuración del Captive Portal y el mapeo dinámico de roles VLAN. Está diseñada para gerentes de TI y arquitectos de red en entornos con una fuerte presencia de Aruba que necesitan mantener ClearPass para NAC mientras implementan Purple para la autenticación de invitados y el análisis. La implementación de esta integración cierra una brecha crítica de proveedores, permitiendo una seguridad y cumplimiento de nivel empresarial junto con las capacidades de inteligencia de visitantes líderes en el mercado de Purple.

Aruba Central y Purple WiFi: Integración Gestionada en la Nube

Una guía de referencia técnica completa para integrar Aruba Central con la plataforma de inteligencia de WiFi para invitados alojada en la nube de Purple. Esta guía cubre la arquitectura, la configuración paso a paso de portales cautivos externos y RADIUS, y las estrategias de implementación multi-sitio para equipos de TI empresariales.