Integración de Alcatel-Lucent Enterprise (ALE) OmniAccess con Purple WiFi

Esta guía detalla la integración técnica entre los puntos de acceso Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar y Purple WiFi. Cubre la redirección del Captive Portal, la autenticación RADIUS, la configuración de Walled Garden, el WiFi seguro para el personal mediante 802.1X y la segmentación de WiFi multiinquilino mediante claves privadas precompartidas (PPSK) con direccionamiento dinámico de VLAN, lo que proporciona a los administradores de TI y arquitectos de red una referencia completa y práctica para implementar redes basadas en la identidad en hardware de ALE.

📖 9 min de lectura📝 2,047 palabras🔧 2 ejemplos resueltos❓ 4 preguntas de práctica📚 10 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Bienvenido a la sesión técnica de Purple. Hoy cubriremos la integración de Alcatel-Lucent Enterprise OmniAccess Stellar con Purple WiFi. Esta sesión está dirigida a directores de TI, arquitectos de red y directores de operaciones de recintos que necesitan implementar redes inalámbricas seguras, escalables e inteligentes.

Comencemos con el contexto. Tienes un recinto. Tal vez un hotel, una cadena de tiendas de retail o un estadio. Has invertido en hardware ALE OmniAccess. Ahora necesitas extraer valor comercial de esa infraestructura. Necesitas capturar datos de primera mano, segmentar a tus usuarios de forma segura y proporcionar una experiencia de acceso fluida. Ahí es donde entra la capa en la nube de Purple.

Purple opera en más de 80,000 recintos activos en todo el mundo y procesó más de 440 millones de inicios de sesión en 2024. Es agnóstico al hardware, lo que significa que se integra sobre tu infraestructura ALE existente sin requerir ningún reemplazo de hardware. Toda la lógica de autenticación y captura de datos reside en la nube de Purple.

El núcleo de esta integración se basa en RADIUS. Cuando un invitado entra a tu recinto y se conecta al SSID abierto de Guest WiFi, el AP de ALE intercepta su tráfico web. En lugar de permitirle el acceso directo a internet, redirige su navegador a un Captive Portal alojado por Purple. Esta es tu página de inicio (splash page). Es donde presentas tu marca, recopilas direcciones de correo electrónico u ofreces inicios de sesión social a través de Facebook, LinkedIn o Google.

Una vez que el usuario envía sus datos, el servidor RADIUS en la nube de Purple lo autentica y envía un mensaje Access-Accept de vuelta al AP de ALE. El AP entonces elimina las reglas del firewall y otorga acceso a internet. Todo el flujo toma menos de tres segundos.

Ahora, entremos en el análisis técnico profundo. ¿Cómo configuramos esto realmente?

Primero, debes configurar los parámetros del servidor RADIUS en tu interfaz de administración OmniVista o Stellar. Ingresarás las direcciones IP de RADIUS de Purple, establecerás el puerto de autenticación en 1812 y el puerto de contabilidad (accounting) en 1813. Es fundamental asegurarse de que RADIUS Accounting esté habilitado con un intervalo de 300 segundos. Esto es lo que envía los datos de la sesión de vuelta a Purple para analíticas y registro de cumplimiento.

El siguiente paso es el Walled Garden. Esto suele complicar muchas implementaciones. Antes de que un usuario esté autenticado, no tiene acceso a internet. Pero necesita llegar al portal de Purple para iniciar sesión. Debes incluir los dominios de Purple en tu lista de acceso de preautenticación. Los dominios principales son region1.purpleportal.net, venuewifi.com y cloudfront.net. Si utilizas el inicio de sesión de Facebook o LinkedIn, también debes incluir sus dominios en la lista de permitidos. Si el Walled Garden está mal configurado, el Captive Portal no se cargará. Punto final.

Para la configuración del SSID, crea una nueva red inalámbrica, establece el nivel de seguridad en Open y habilita la opción de External Captive Portal. Dirige la URL de redirección a la URL específica de tu splash page de Purple, la cual encontrarás en el portal de Purple bajo la configuración de hardware de tu recinto.

Pasemos a un escenario más avanzado: WiFi multiinquilino. Imagina un espacio de coworking o una residencia estudiantil. Tienes múltiples inquilinos que necesitan sus propias redes seguras y aisladas. No quieres transmitir 20 SSIDs diferentes. Eso destruye el rendimiento de tu RF y genera una mala experiencia de usuario.

La solución es PPSK (Private Pre-Shared Keys) combinado con direccionamiento dinámico de VLAN. Transmites un solo SSID seguro, pero cada inquilino recibe una contraseña única. Cuando el Inquilino A ingresa su contraseña, el AP de ALE envía esa solicitud al servidor RADIUS de Purple. Purple reconoce la contraseña, autentica al usuario y envía de vuelta un mensaje Access-Accept.

Pero aquí está la parte importante. Ese mensaje incluye atributos RADIUS específicos. El Atributo 64 para Tunnel-Type, establecido en 13 para VLAN. El Atributo 65 para Tunnel-Medium-Type, establecido en 6 para Ethernet. Y el Atributo 81, el Tunnel-Private-Group-ID, que contiene el ID de VLAN real. El AP de ALE recibe esto y coloca al Inquilino A directamente en la VLAN 30. Cuando el Inquilino B inicia sesión con una contraseña diferente, aterriza en la VLAN 40. Un solo SSID, aislamiento total en Capa 2. Esto es Redes Basadas en la Identidad en la práctica.

Veamos un ejemplo del mundo real. Un hotel de 200 habitaciones implementó esta arquitectura en sus APs ALE OmniAccess Stellar existentes. Necesitaban dar servicio a los huéspedes del hotel, al personal interno y a un restaurante en la planta baja como tres segmentos de red completamente separados. En lugar de implementar tres SSIDs, utilizaron PPSK con direccionamiento dinámico de VLAN. El resultado fue un solo SSID, tres VLANs aisladas y una reducción significativa en la carga de trabajo de administración en comparación con su enfoque anterior de múltiples SSIDs.

Ahora hablemos de recomendaciones de implementación y errores comunes.

Primero, mantén un diseño agnóstico al hardware. Crea tus políticas en Purple, no en el controlador local. Esto te permite escalar o cambiar de proveedores de hardware más adelante sin tener que reconstruir tus políticas de seguridad desde cero.

Segundo, ten cuidado con las versiones de firmware. Asegúrate de que tus APs de ALE ejecuten un firmware que admita explícitamente la asignación dinámica de VLAN a través de RADIUS. Es posible que las versiones de firmware de Stellar más antiguas no admitan completamente el atributo Tunnel-Private-Group-ID. Revisa las notas de lanzamiento de ALE antes de realizar la implementación.

Tercero, el DNS es tu amigo y tu enemigo. Si tu Captive Portal no aparece, primero verifica tu rango de DHCP. Si el cliente no recibe un servidor DNS válido, no podrá resolver la URL del portal y todo el proceso se detendrá. Este es el problema de soporte más común en las implementaciones de Captive Portal.

Cuarto, para un WiFi de personal seguro que utilice 802.1X, usa PEAP con MSCHAPv2 para la mayoría de los entornos, o EAP-TLS para implementaciones basadas en certificados. El servidor RADIUS de Purple admite ambos. Los dispositivos del personal se autentican contra Microsoft Entra ID o Okta, y el servidor RADIUS devuelve la asignación de VLAN adecuada para el segmento de red del personal.

Pasemos a una sesión de preguntas y respuestas rápidas.

Pregunta: ¿Puedo usar esta integración para el cumplimiento de PCI DSS en un entorno de retail?

Respuesta: Sí. Al utilizar el direccionamiento dinámico de VLAN, puedes asegurarte de que los dispositivos de punto de venta estén always placed on an isolated VLAN, completely separated from guest traffic. This satisfies the network segmentation requirements under PCI DSS 4.0.

Question: Does Purple require a hardware appliance on-site?

Answer: No. Purple is a cloud overlay. It communicates directly with your existing ALE hardware via standard RADIUS over the internet. There is nothing to rack and stack.

Question: What happens if the Purple cloud is unreachable?

Answer: You can configure a fallback policy on the ALE AP. For guest networks, you can allow open access as a fallback. For staff networks, configure a deny-all fallback to maintain security.

Question: Can I capture analytics data from the integration?

Answer: Yes. Every authenticated session generates a visitor profile in the Purple platform. You get dwell time, visit frequency, device type, and demographic data from the registration form. This feeds directly into your CRM via Purple's library of over 400 connectors.

To summarise the key takeaways from today's briefing.

One: The ALE OmniAccess integration with Purple uses standard RADIUS on ports 1812 and 1813. No proprietary protocols required.

Two: The Walled Garden is critical. Get it wrong and the Captive Portal will not load. Whitelist the Purple domains before anything else.

Three: PPSK with dynamic VLAN steering is the right architecture for multi-tenant environments. One SSID, unique passphrases, isolated VLANs per tenant.

Four: RADIUS Attributes 64, 65, and 81 are the three you need for dynamic VLAN assignment. If any one of them is missing, the steering fails.

Five: Purple is hardware-agnostic. Your policies live in the cloud, not on the controller. This gives you flexibility to scale across different hardware vendors.

Your next step is to log into your Purple portal, navigate to your venue's hardware settings, and retrieve your specific RADIUS credentials and splash page URL. Then follow the configuration steps in this guide to connect your ALE OmniAccess infrastructure to the Purple cloud.

Thank you for listening to this Purple technical briefing. For more information, visit purple.ai.

Puntos clave

✓Los AP ALE OmniAccess Stellar se integran con Purple utilizando RADIUS estándar en los puertos 1812 y 1813; no se requieren protocolos propietarios ni dispositivos locales.
✓El Walled Garden es el punto de falla más común en la implementación. Agregue a la lista de permitidos todos los dominios del portal de Purple y de los proveedores de inicio de sesión social antes del lanzamiento.
✓PPSK con direccionamiento dinámico de VLAN es la arquitectura correcta para entornos multiinquilino. Un SSID, frases de contraseña únicas por inquilino, VLAN aisladas a través de los atributos RADIUS 64, 65 y 81.
✓Los tres atributos de túnel RADIUS deben estar presentes en el mensaje Access-Accept. Si falta el atributo 81 (Tunnel-Private-Group-ID), el AP de ALE ignora la asignación de VLAN.
✓Purple funciona como una superposición en la nube. Las políticas residen en el portal de Purple, no en el controlador local, lo que le brinda flexibilidad independiente del hardware para escalar o cambiar la infraestructura.
✓Establezca la contabilidad RADIUS en intervalos de 300 segundos para garantizar que los datos precisos de la sesión fluyan hacia la plataforma de analítica de Purple.
✓Purple cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials, lo que la hace adecuada para entornos regulados, incluidos el sector salud, el sector público y las implementaciones minoristas dentro del alcance de PCI DSS.

執行摘要

Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar 基地台與 Purple 的整合，是透過標準 RADIUS 協定及外部 Captive Portal 重新導向來完成。不需要任何專有的中介軟體。Purple 做為雲端覆蓋層運作，直接建置在您現有的 ALE 基礎架構之上，處理驗證、數據擷取以及工作階段原則，而不需要變更硬體。

本指南涵蓋三種佈署情境。第一，具備外部 Captive Portal 重新導向與 Walled Garden 設定的訪客 WiFi。第二，使用 802.1X（搭配 PEAP 或 EAP-TLS）的安全員工 WiFi。第三，使用個人預先共用金鑰 (PPSK) 與透過 RADIUS 屬性 64、65 和 81 進行動態 VLAN 導向的多租戶 WiFi。

Purple 為超過 80,000 個實體場域提供服務，並在 2024 年處理了超過 4.4 億次登入（Purple 內部數據，2024 年）。它擁有 ISO 27001、GDPR、CCPA 和 Cyber Essentials 等認證。該平台維持 99.999% 的正常運作時間，使其成為企業佈署中可靠的驗證後端。

如果您是在餐旅、零售、活動或公共部門環境中佈署 ALE OmniAccess 硬體的 IT 經理或網路架構師，本指南將為您提供從硬體到完全運作的「身分識別導向網路」的確切設定步驟。

技術架構與整合流程

Purple 與 ALE OmniAccess Stellar 的整合依賴兩種標準協定：用於驗證和帳務的 RADIUS，以及用於提供 Captive Portal 的 HTTP/HTTPS 重新導向。ALE AP 扮演網路存取伺服器 (NAS) 的角色，將驗證請求轉發至 Purple 雲端 RADIUS 伺服器，並執行 Access-Accept 回應中傳回的原則。

圖 1：訪客裝置、ALE OmniAccess Stellar AP 與 Purple 雲端 RADIUS 之間的驗證流程。

流程運作如下。訪客連線至開放的訪客 WiFi SSID。ALE AP 從預先驗證的 DHCP 位址池中分配一個暫時的 IP 位址，並攔截訪客的第一個 HTTP 或 HTTPS 請求。AP 將瀏覽器重新導向至 Purple Captive Portal URL，並將用戶端的 MAC 位址和 AP 的 NAS 識別碼做為 URL 參數傳遞。訪客透過 Purple 登入頁面進行驗證（使用電子郵件、社群登入或簡訊驗證）。Purple 的 RADIUS 伺服器驗證該工作階段，並向 ALE AP 傳回 Access-Accept 訊息。AP 隨即授予網際網路存取權限，並開始以設定的間隔向 Purple 發送 RADIUS 帳務更新。

對於使用 PPSK 和動態 VLAN 導向的進階部署，RADIUS Access-Accept 訊息還包含 VLAN 分配屬性。ALE AP 使用這些屬性將用戶端流量直接引入正確的 VLAN 區段，將其與同一實體基礎架構上的其他使用者隔離。

實作指南

第 1 部分：使用外部 Captive Portal 的 Guest WiFi

本節涵蓋用於外部重新導向至 Purple 的 Alcatel-Lucent Captive Portal 設定。這些步驟適用於透過 OmniVista Cirrus、OmniVista 2500 或 Stellar Express 網頁介面管理的 ALE OmniAccess Stellar AP。

步驟 1：取得 Purple RADIUS 憑證

登入您的 Purple 入口網站。導覽至 Management > Venues，選取您的場域，然後開啟 Hardware 區段。新增一個硬體項目，並選取 Alcatel-Lucent OmniAccess Stellar 作為硬體類型。Purple 會為您的場域產生一個唯一的 RADIUS 共用密鑰、驗證伺服器 IP 和 Captive Portal URL。請在繼續之前記錄這些值。

步驟 2：在 ALE AP 上設定 RADIUS 伺服器

在您的 ALE 管理介面中，導覽至驗證設定並新增一個 RADIUS 伺服器設定檔。

參數	值
伺服器 IP / 主機名稱	如 Purple 入口網站所提供
驗證連接埠	1812
帳務連接埠	1813
共用密鑰	如 Purple 入口網站所提供
RADIUS 帳務	已啟用
帳務間隔	300 秒

使用 Purple 入口網站中的備用 IP 啟用次要 RADIUS 伺服器。這可確保在主要伺服器暫時無法連線時進行容錯轉移。

步驟 3：設定 Walled Garden

Walled Garden 定義了裝置在完成驗證之前可以存取的網域。在預先驗證存取清單中設定以下項目：

核心 Purple 網域（強制性）：

網域	用途
region1.purpleportal.net	Purple Captive Portal
venuewifi.com	Purple 工作階段管理
cloudfront.net	用於入口網站資產的 CDN
openweathermap.org	天氣小工具（選用）
stripe.com	付費 WiFi 付款（若適用）

社群登入網域（依需求新增）：

提供者	網域
Facebook	facebook.com, fbcdn.net, connect.facebook.net
LinkedIn	linkedin.com, licdn.net
Google	accounts.google.com, googleapis.com

遺漏任何必要的網域將導致對應的登入方法無聲失敗。設定後請測試每種登入方法。

步驟 4：設定 Guest WiFi SSID

建立一個新的 WLAN 設定檔，並進行以下設定：

參數	值
安全層級	開放
Captive Portal	已啟用
Captive Portal 類型	外部
重新導向 URL	如 Purple 入口網站所提供
HTTPS 重新導向	已停用（除非已安裝 SSL 憑證）
閒置逾時	1800 秒（30 分鐘）
RADIUS 伺服器設定檔	Purple RADIUS 設定檔（於步驟 2 建立）
如果您需要 HTTPS 重新導向，請在 ALE AP 的 System > General > Certificate Management 中安裝有效的 SSL 憑證。請注意，Stellar AP 在此用途下不支援萬用字元憑證 (wildcard certificates)。

步驟 5：將 SSID 指派給 AP 群組

將 WLAN 設定檔套用至 OmniVista 中相關的 AP 群組。在測試 Captive Portal 流程之前，請確認 AP 正在廣播該 SSID 且用戶端可以進行關聯。

第 2 部分：使用 802.1X 保護員工 WiFi

針對員工 WiFi，請使用 WPA2-Enterprise 或 WPA3-Enterprise 搭配 802.1X 驗證。這可以免除共用密碼，並將存取權限與 Microsoft Entra ID、Okta 或 Google Workspace 中管理的個人使用者身分綁定。

步驟 1：設定 802.1X SSID

為員工建立一個獨立的 WLAN 設定檔。將安全類型設定為 WPA2-Enterprise 或 WPA3-Enterprise，並指派 Purple RADIUS 伺服器作為驗證後端。Purple 的 RADIUS 伺服器會透過 LDAP 或 SAML 將驗證請求代理傳送至您的身分識別提供者 (IdP)。

步驟 2：選擇 EAP 方法

對於大多數部署，請使用 PEAP 搭配 MSCHAPv2。這只需要伺服器端的憑證，且適用於標準的 Windows、macOS、iOS 和 Android 請求端 (supplicants)。對於安全性要求較高的環境，請使用 EAP-TLS 搭配透過您的 PKI 發行的用戶端憑證。

步驟 3：將員工指派到專屬 VLAN

設定 Purple RADIUS 伺服器，使其在 Access-Accept 回應中傳回 Tunnel-Private-Group-ID = 您的員工 VLAN ID。這能確保員工裝置進入公司網路區段，在 Layer 2 與訪客流量隔離開來。

第 3 部分：使用 PPSK 和動態 VLAN 導向的多租戶 WiFi

PPSK (Private Pre-Shared Key)——在某些廠商的文件中也稱為 iPSK (Identity PSK)——允許單一 SSID 為多個隔離的使用者群組提供服務。每個群組都會收到一個唯一的密碼組合。RADIUS 伺服器會將每個密碼組合對應到特定的 VLAN，從而提供每個租戶的網路隔離，而不會產生多個 SSID 的 RF 開銷。

圖 2：單一 ALE OmniAccess SSID 上的 PPSK 多租戶 VLAN 分割。

步驟 1：建立 PPSK SSID

建立一個新的 WLAN 設定檔，並將驗證類型設定為 WPA2-PSK 搭配 RADIUS 支援的 PSK 驗證。在 Stellar 韌體 4.0.8.16 及以上版本（適用於 AP1301 及更高型號）中，Express Mode 支援透過 RADIUS 進行動態 VLAN 指派。對於較舊的型號或較早的韌體，請使用 OmniVista 託管模式。

步驟 2：在 Purple 中定義租戶密碼

在 Purple 入口網站中，為每個租戶建立一個 PPSK 群組。為每個租戶指派一個唯一的密碼，並將每個密碼對應到相應的 VLAN ID。Purple 會將這些對應關係儲存在其 RADIUS 資料庫中。

步驟 3：設定用於 VLAN 導向的 RADIUS 屬性

請確保 Purple RADIUS 伺服器在每個 Access-Accept 回應中返回以下 IETF 標準屬性：

屬性編號	屬性名稱	值
64	Tunnel-Type	13 (VLAN)
65	Tunnel-Medium-Type	6 (IEEE 802 / Ethernet)
81	Tunnel-Private-Group-ID	VLAN ID (例如 "30")

這三個屬性都必須存在。如果遺漏任何一個，ALE AP 將會忽略 VLAN 分配，並將用戶端置於預設 VLAN 中。

步驟 4：驗證上行鏈路上的 VLAN 中繼 (Trunking)

請確保在 ALE AP 與分發交換器之間網路上行鏈路連接埠上標記了所有租戶 VLAN。AP 無法將流量引導至其上行鏈路中繼不允許的 VLAN。

最佳實踐

以下建議反映了企業級無線部署的標準實踐，並符合 IEEE 802.1X、PCI DSS 4.0 和 GDPR 要求。

在 Layer 2 將訪客 WiFi 與員工 WiFi 隔離。 絕不要將訪客流量與員工流量放在同一個 VLAN。使用 RADIUS 驅動的 VLAN 分配來自動執行此隔離，不論使用者連接到哪個 AP。

對所有 Captive Portal 重定向使用 HTTPS。 在 ALE AP 上安裝有效的 SSL 憑證以啟用 HTTPS 重定向。這可防止瀏覽器在 Splash Page 上顯示安全警告，從而降低流失率並符合 GDPR 對安全數據處理的要求。

將 RADIUS Accounting 間隔設定為 300 秒。 這可為 Purple 提供定期的工作階段更新，以確保數據分析的準確性。如果間隔長於 600 秒，當用戶端在沒有清除解除驗證的情況下斷開連接時，將面臨遺失工作階段數據的風險。

在正式上線前測試 Walled Garden。 將測試裝置連接到訪客 WiFi SSID，並嘗試訪問每個社群媒體登入提供商。如果登入失敗，說明 Walled Garden 中遺漏了對應的網域。

使用 PPSK 隔離 IoT 裝置。 在零售和餐旅環境中，數位看板、付款終端和環境感測器等 IoT 裝置應各自獲得對應到隔離 VLAN 的不重複 PPSK。這可防止受侵害的 IoT 裝置存取更廣泛的網路。

如需進一步閱讀企業 WiFi 安全標準和架構，請參閱我們的企業 WiFi 安全指南。

疑難排解與風險緩釋

下表涵蓋了 ALE OmniAccess 與 Purple 整合中最常見的故障模式。

故障現象	最可能的原因	解決方案
Captive Portal 未出現	Walled Garden 設定錯誤或遺失 DNS	驗證 Purple 網域已列入白名單；檢查 DHCP 範圍是否包含有效的 DNS 伺服器
RADIUS 驗證失敗	共用密鑰不匹配或防火牆阻擋 UDP 1812/1813	重新輸入來自 Purple 入口網站的共用密鑰；確認防火牆規則允許輸出 UDP 1812 和 1813
使用者進入錯誤的 VLAN	遺失 RADIUS 隧道屬性或 AP 韌體限制	確認已傳回所有三個 RADIUS 屬性 (64, 65, 81)；檢查 ALE 韌體版本是否支援動態 VLAN
社群登入按鈕失效	Walled Garden 中遺失社群提供者網域	將所需的社群提供者網域新增至預先驗證存取清單
HTTPS Captive Portal 顯示憑證警告	使用通配符憑證或未安裝憑證	透過系統 > 一般 > 憑證管理安裝特定網域的 SSL 憑證
Purple 分析中遺失工作階段資料	RADIUS Accounting 已停用或間隔太長	啟用 RADIUS Accounting；將間隔設定為 300 秒

若 RADIUS 問題持續存在，請在 ALE AP 上啟用偵錯記錄並擷取 RADIUS 交換。尋找 Access-Reject 訊息並檢查拒絕原因代碼。常見代碼包括 16 (驗證失敗) 與 18 (遺失屬性)。

ROI 與商業影響

在 ALE OmniAccess 硬體上部署 Purple，可將被動網路轉換為主動數據資產。每個通過驗證的工作階段都會產生訪客設定檔：電子郵件地址、造訪頻率、停留時間和裝置類型。此第一方數據會透過 Purple 擁有超過 400 個連接器的資料庫直接匯入您的 CRM。

Harrods 透過使用 Purple 的數據擷取來推動會員計劃註冊，使其 Guest WiFi 部署實現了 57 倍的行銷 ROI (Purple 案例研究，2023 年)。AGS Airports 藉由在旗下機場實施分級頻寬付費 WiFi，創造了 842% 的 ROI (Purple 案例研究，2022 年)。

對於旅宿業者而言，Captive Portal 是擷取顧客數據的首要接觸點。對於零售環境，它能實現顧客行為分析與精準促銷。對於交通樞紐，它能提供旅客流量數據與符合法規的工作階段記錄。

Purple 的 Guest WiFi 平台與 WiFi Analytics 工具為您提供衡量這些成效的報表基礎架構。從單一儀表板追蹤驗證率、工作階段持續時間、回訪客率以及選擇加入 (opt-in) 轉換率。

如需相關整合指引，請參閱 WatchGuard Firebox 整合指南，該指南涵蓋了在不同硬體平台上類似的 RADIUS 架構。

Definiciones clave

PPSK (Clave privada precompartida)

Un método de seguridad en el que se emiten frases de contraseña únicas para usuarios o dispositivos individuales para un solo SSID, en lugar de compartir una contraseña global. El servidor RADIUS asigna cada frase de contraseña a una política o VLAN específica.

Se utiliza en WiFi multiinquilino para aislar el tráfico entre inquilinos, residentes o grupos de eventos sin implementar múltiples SSID.

RADIUS (Servicio de usuario de marcación de autenticación remota)

Un protocolo de red definido en RFC 2865 que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios que se conectan a un servicio de red.

El protocolo principal que utiliza Purple para comunicarse con el hardware de ALE. El AP de ALE envía mensajes Access-Request; Purple responde con Access-Accept o Access-Reject.

Direccionamiento dinámico de VLAN

El proceso de asignar un dispositivo conectado a una VLAN específica en función de los atributos RADIUS devueltos durante la autenticación, en lugar de una VLAN estática configurada en el SSID.

Esencial para implementaciones multiinquilino donde diferentes grupos de usuarios deben estar aislados en la misma infraestructura física de AP.

Walled Garden

Un entorno controlado que restringe el acceso a Internet de un dispositivo a un conjunto predefinido de dominios antes de que se complete la autenticación.

Requerido para permitir que los dispositivos accedan al Captive Portal de Purple y a los proveedores de identidad externos antes de que el usuario haya iniciado sesión.

Captive Portal

Una página web que intercepta la sesión del navegador de un usuario y requiere que se autentique o acepte los términos antes de obtener acceso completo a la red.

La interfaz principal donde los visitantes proporcionan su consentimiento y datos de primera mano. Purple aloja esta página en la nube; el AP de ALE realiza la redirección.

Red basada en la identidad

Una arquitectura de red donde las políticas de acceso, las asignaciones de VLAN y los controles de ancho de banda se determinan por quién es el usuario, en lugar de dónde o cómo se conecta.

El resultado arquitectónico de integrar el hardware de ALE con la superposición de autenticación de Purple.

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos que proporciona un mecanismo de autenticación para los dispositivos que se conectan a una LAN o WLAN. Requiere un suplicante en el dispositivo cliente, un autenticador (el AP) y un servidor de autenticación (RADIUS).

El estándar utilizado para implementaciones seguras de WiFi para el personal. Elimina las contraseñas compartidas y vincula el acceso a las identidades de los usuarios individuales.

EAP-TLS (Protocolo de autenticación extensible - Seguridad de la capa de transporte)

Un método EAP basado en certificados donde tanto el cliente como el servidor RADIUS presentan certificados digitales para la autenticación mutua.

El método 802.1X más seguro. Requiere una infraestructura PKI para emitir certificados de cliente, pero elimina por completo el robo de credenciales basado en contraseñas.

PEAP (Protocolo de autenticación extensible protegido)

Un método EAP que tuneliza el intercambio de autenticación interno dentro de una sesión TLS, protegiendo las credenciales en tránsito. Comúnmente utilizado con MSCHAPv2 como método interno.

El método 802.1X más común en implementaciones empresariales. Requiere solo un certificado del lado del servidor y funciona con suplicantes de sistemas operativos estándar.

NAS (Servidor de acceso a la red)

En la terminología de RADIUS, el dispositivo que impone el control de acceso; en este caso, el AP ALE OmniAccess Stellar. El NAS reenvía las solicitudes de autenticación al servidor RADIUS e impone las políticas devueltas.

El AP de ALE actúa como el NAS en la integración con Purple. Su dirección IP y secreto compartido deben registrarse en el portal de Purple como un cliente NAS de confianza.

Ejemplos resueltos

Un hotel de 200 habitaciones en el centro de Londres utiliza AP ALE OmniAccess Stellar en toda la propiedad. Necesitan dar servicio a los huéspedes del hotel, al personal interno y a un restaurante en la planta baja como tres segmentos de red completamente independientes. Quieren evitar la transmisión de múltiples SSID para preservar el rendimiento de RF.

Implemente un único SSID seguro mediante PPSK. Configure los AP ALE OmniAccess para autenticarse contra el servidor RADIUS de Purple. En el portal de Purple, cree tres grupos PPSK: Huéspedes del hotel (VLAN 10), Personal (VLAN 20) y Restaurante (VLAN 30). El servidor RADIUS devuelve Tunnel-Private-Group-ID = 10, 20 o 30 según la frase de contraseña que utilice el dispositivo. El AP de ALE dirige dinámicamente cada dispositivo a la VLAN correcta. Los huéspedes del hotel reciben únicamente acceso a Internet. El personal recibe acceso al sistema de gestión de la propiedad. El restaurante recibe un segmento aislado para sus terminales EPOS.

Comentario del examinador: Este enfoque elimina tres SSID y los reemplaza por uno solo, lo que reduce la interferencia de canal compartido y la sobrecarga de gestión. El requisito técnico clave es que las tres VLAN deben estar etiquetadas en el enlace troncal de subida entre el AP y el switch de distribución. Si falta alguna VLAN en el enlace troncal, los dispositivos que utilicen esa frase de contraseña no recibirán una dirección DHCP.

Un centro de conferencias alberga 15 eventos corporativos simultáneamente. Cada organizador de eventos necesita su propia red WiFi aislada para los asistentes, pero el recinto solo dispone de una única infraestructura ALE OmniAccess. El equipo de TI del recinto necesita aprovisionar y desaprovisionar redes rápidamente entre eventos.

Utilice la gestión de PPSK de Purple para crear frases de contraseña por evento asignadas a VLAN de eventos dedicadas. El recinto preconfigura 15 segmentos VLAN en la infraestructura de ALE. Para cada evento, el equipo de TI crea una nueva entrada PPSK en el portal de Purple, la asigna a la VLAN correcta y proporciona la frase de contraseña al organizador del evento. Al finalizar el evento, revocan la frase de contraseña en Purple. El AP de ALE deja de aceptar inmediatamente esa frase de contraseña, aislando la VLAN desaprovisionada. No se requiere reconfiguración del AP.

Comentario del examinador: Esta arquitectura separa el flujo de trabajo de aprovisionamiento de la configuración del hardware. Los AP de ALE permanecen estáticos; todos los cambios ocurren en la nube de Purple. Esta es la ventaja práctica de una superposición en la nube: puede agregar, modificar o revocar el acceso sin tocar la infraestructura física. Para entornos de eventos, esto reduce el tiempo de aprovisionamiento de horas a minutos.

Preguntas de práctica

Q1. Ha configurado el Captive Portal de Alcatel-Lucent en un AP ALE OmniAccess Stellar. Los invitados se conectan al SSID y reciben una dirección IP, pero sus dispositivos muestran 'Sin conexión a Internet' y la página de bienvenida no aparece. ¿Cuáles son las dos causas más probables y cómo se resuelve cada una?

Sugerencia: Considere lo que debe suceder en la capa de DNS y HTTP antes de que pueda ocurrir la redirección del Captive Portal.

Ver respuesta modelo

Causa 1: El alcance de DHCP no incluye un servidor DNS válido. Sin DNS, el cliente no puede resolver la URL del Captive Portal y el mecanismo de detección del Captive Portal del sistema operativo falla. Resolución: Agregue un servidor DNS válido (por ejemplo, 8.8.8.8) al alcance de DHCP en la VLAN de invitados. Causa 2: El Walled Garden no incluye los dominios del portal de Purple. Sin estos, el AP bloquea la solicitud de redirección antes de que llegue al cliente. Resolución: Agregue region1.purpleportal.net, venuewifi.com y cloudfront.net a la lista de acceso previa a la autenticación.

Q2. Su implementación de WiFi multiinquilino utiliza PPSK en un único SSID de ALE OmniAccess. Los usuarios se autentican correctamente (el portal de Purple muestra inicios de sesión exitosos), pero todos los usuarios reciben direcciones IP de la VLAN 1 en lugar de sus VLAN de inquilino asignadas. ¿Cuál es la causa más probable?

Sugerencia: Verifique la comunicación entre el servidor RADIUS y el AP, y la configuración de subida del AP.

Ver respuesta modelo

Hay dos causas probables. Primero, es posible que el servidor RADIUS de Purple no esté devolviendo los tres atributos de túnel RADIUS requeridos (64, 65, 81) en el mensaje Access-Accept. Verifique que la política de cumplimiento incluya Tunnel-Type = 13, Tunnel-Medium-Type = 6 y Tunnel-Private-Group-ID = el ID de VLAN correcto. Segundo, es posible que las VLAN de los inquilinos no estén etiquetadas en el enlace troncal de subida entre el AP de ALE y el switch de distribución. Si la VLAN no existe en el enlace troncal, el AP no puede dirigir el tráfico hacia ella, incluso si los atributos RADIUS son correctos.

Q3. Un recinto requiere que las sesiones de los invitados se finalicen automáticamente después de 60 minutos, y que los invitados que regresen dentro de las 24 horas sean reconocidos y omitan el formulario de registro. ¿Cómo se debe configurar esto en la arquitectura de Purple y ALE?

Sugerencia: Considere qué sistema controla la duración de la sesión y qué sistema controla el reconocimiento de visitantes recurrentes.

Ver respuesta modelo

La finalización de la sesión se controla a través del atributo RADIUS Session-Timeout. Configure el servidor RADIUS de Purple para incluir Session-Timeout = 3600 (segundos) en el mensaje Access-Accept. El AP de ALE desconectará al cliente después de 3600 segundos. El reconocimiento de visitantes recurrentes se controla en el portal de Purple. Habilite la configuración de 'recordar dispositivo' o reautenticación basada en MAC para su recinto. Cuando un visitante recurrente se conecta dentro de la ventana configurada, el servidor RADIUS de Purple reconoce su dirección MAC y devuelve un Access-Accept sin requerir la interacción con la página de bienvenida, proporcionando una experiencia de reconexión fluida.

Q4. Está implementando WiFi para el personal mediante 802.1X en AP ALE OmniAccess Stellar. Su organización utiliza Microsoft Entra ID como proveedor de identidad. Los dispositivos del personal son laptops con Windows 11 administradas a través de Intune. ¿Qué método EAP debería utilizar y qué requisitos de certificado se aplican?

Sugerencia: Considere el equilibrio entre la seguridad, la complejidad de la implementación y las capacidades de la infraestructura existente.

Ver respuesta modelo

Utilice PEAP con MSCHAPv2 como método EAP. Esto requiere solo un certificado del lado del servidor en el servidor RADIUS de Purple (ya aprovisionado por Purple) y aprovecha las credenciales de Entra ID del usuario para la autenticación. No se requieren certificados de cliente, lo que simplifica la implementación en dispositivos administrados por Intune. Configure el suplicante de Windows 11 a través de un perfil de Wi-Fi de Intune, especificando el SSID, la seguridad WPA2-Enterprise, el método PEAP y la huella digital del certificado del servidor RADIUS de Purple para la validación del servidor. Si su política de seguridad requiere autenticación mutua basada en certificados, actualice a EAP-TLS e implemente certificados de cliente a través de perfiles SCEP de Intune, pero esto agrega una sobrecarga significativa de gestión de PKI.

Continúe leyendo esta serie

Integración de Cisco WLC y Catalyst con Purple WiFi: Guía de acceso de invitados paso a paso

Esta guía autorizada detalla paso a paso la integración de los WLC Cisco Catalyst 9800 con Purple WiFi. Cubre la External Web Authentication para Captive Portals de invitados, 802.1X EAP-TLS para el acceso seguro del personal e iPSK de Cisco para la segmentación dinámica de VLAN multi-inquilino.

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.