Alcatel-Lucent OmniAccess Stellar y guest WiFi: configuración de captive portal con Purple

Bienvenido al briefing técnico de Purple. Hoy cubriremos la integración de Alcatel-Lucent Enterprise OmniAccess Stellar con Purple WiFi. Este briefing está dirigido a gerentes de TI, arquitectos de red y directores de operaciones de recintos que necesitan implementar redes inalámbricas seguras, escalables e inteligentes. Comencemos con el contexto. Tiene un recinto. Quizás un hotel, una cadena de retail o un estadio. Ha invertido en hardware ALE OmniAccess. Ahora necesita extraer valor comercial de esa infraestructura. Necesita capturar datos de origen (first-party data), segmentar a sus usuarios de manera segura y ofrecer una experiencia de incorporación fluida. Ahí es donde entra la capa de nube de Purple. Purple opera en más de 80,000 recintos activos en todo el mundo y procesó más de 440 millones de inicios de sesión en 2024. Es independiente del hardware, lo que significa que se coloca sobre su infraestructura ALE existente sin requerir ningún reemplazo de hardware. Toda la lógica de autenticación y captura de datos reside en la nube de Purple. El núcleo de esta integración se basa en RADIUS. Cuando un invitado ingresa a su recinto y se conecta al SSID de Guest WiFi abierto, el AP de ALE intercepta su tráfico web. En lugar de permitirle el acceso directo a internet, redirige su navegador a un Captive Portal alojado por Purple. Esta es su página de inicio (splash page). Aquí es donde presenta su marca, recopila direcciones de correo electrónico ochence ofrece inicios de sesión social a través de Facebook, LinkedIn o Google. Una vez que el usuario envía sus datos, el servidor RADIUS de la nube de Purple lo autentica y envía un mensaje de Access-Accept de vuelta al AP de ALE. El AP entonces libera las reglas del firewall y otorga acceso a internet. Todo el flujo toma menos de tres segundos. Ahora, entremos en el análisis técnico detallado. ¿Cómo configuramos esto realmente? Primero, debe configurar los ajustes del servidor RADIUS en su interfaz de administración OmniVista o Stellar. Ingresará las direcciones IP de RADIUS de Purple, establecerá el puerto de autenticación en 1812 y el puerto de contabilidad (accounting) en 1813. Fundamentalmente, asegúrese de que RADIUS Accounting esté habilitado con un intervalo de 300 segundos. Esto es lo que envía los datos de la sesión de vuelta a Purple para análisis y registro de cumplimiento. El siguiente paso es el Walled Garden. Esto complica muchas implementaciones. Antes de que un usuario esté autenticado, no tiene acceso a internet. Pero necesita llegar al portal de Purple para iniciar sesión. Debe agregar a la lista de permitidos (whitelist) los dominios de Purple en su lista de acceso previa a la autenticación. Los dominios principales son region1.purpleportal.net, venuewifi.com y cloudfront.net. Si utiliza el inicio de sesión de Facebook o LinkedIn, también debe agregar sus dominios a la lista de permitidos. Si el Walled Garden no es correcto, el Captive Portal no se cargará. Sin excepciones. Para la configuración del SSID, cree una nueva red inalámbrica, establezca el nivel de seguridad en Open y habilite la opción de External Captive Portal. Apunte la URL de redireccionamiento a la URL específica de su splash page de Purple, la cual encontrará en el portal de Purple bajo la configuración de hardware de su recinto. Pasemos a un escenario más avanzado: WiFi multi-inquilino. Imagine un espacio de coworking o una residencia de estudiantes. Tiene múltiples inquilinos que necesitan sus propias redes seguras y aisladas. No querrá transmitir 20 SSIDs diferentes. Eso destruye el rendimiento de RF y genera una mala experiencia de usuario. La solución es PPSK (claves privadas precompartidas) combinada con direccionamiento dinámico de VLAN. Transmite una sola SSID segura. Pero cada inquilino obtiene una frase de contraseña única. Cuando el inquilino A ingresa su frase de contraseña, el AP de ALE envía esa solicitud al servidor RADIUS de Purple. Purple reconoce la frase de contraseña, autentica al usuario y devuelve un mensaje de Access-Accept. Pero aquí está la parte importante. Ese mensaje incluye atributos RADIUS específicos. Atributo 64 para Tunnel-Type, establecido en 13 para VLAN. Atributo 65 para Tunnel-Medium-Type, establecido en 6 para Ethernet. Y el Atributo 81, el Tunnel-Private-Group-ID, que contiene el ID de VLAN real. El AP de ALE recibe esto y coloca al inquilino A directamente en la VLAN 30. Cuando el inquilino B inicia sesión con una frase de contraseña diferente, llega a la VLAN 40. Una SSID, aislamiento total de Capa 2. Esto es redes basadas en la identidad (Identity-Based Networking) en la práctica. Veamos un ejemplo del mundo real. Un hotel de 200 habitaciones implementó esta arquitectura en sus APs ALE OmniAccess Stellar existentes. Necesitaban dar servicio a los huéspedes del hotel, al personal administrativo y a un restaurante en la planta baja como tres segmentos de red completamente separados. En lugar de implementar tres SSIDs, utilizaron PPSK con direccionamiento dinámico de VLAN. El resultado fue una sola SSID, tres VLANs aisladas y una reducción significativa de la carga de administración en comparación con su enfoque anterior de múltiples SSIDs. Ahora hablemos de recomendaciones de implementación y errores comunes. Primero, mantenga un diseño independiente del hardware. Cree sus políticas en Purple, no en el controlador local. Esto le permite escalar o cambiar de proveedores de hardware más adelante sin tener que reconstruir sus políticas de seguridad desde cero. Segundo, preste atención a las versiones de firmware. Asegúrese de que sus APs de ALE ejecuten un firmware que admita explícitamente la asignación dinámica de VLAN a través de RADIUS. Es posible que las versiones de firmware de Stellar más antiguas no admitan por completo el atributo Tunnel-Private-Group-ID. Verifique las notas de la versión de ALE antes de realizar la implementación. Tercero, el DNS es su amigo y su enemigo. Si su Captive Portal no aparece, verifique primero su alcance de DHCP. Si el cliente no recibe un servidor DNS válido, no podrá resolver la URL del portal y todo el proceso se detendrá. Este es el problema de soporte más común en las implementaciones de Captive Portal. Cuarto, para un WiFi de personal seguro que use 802.1X, use PEAP con MSCHAPv2 para la mayoría de los entornos, o EAP-TLS para implementaciones basadas en certificados. El servidor RADIUS de Purple es compatible con ambos. Los dispositivos del personal se autentican contra Microsoft Entra ID u Okta, y el servidor RADIUS devuelve la asignación de VLAN adecuada para el segmento de red del personal. Hagamos una sesión de preguntas y respuestas rápidas. Pregunta: ¿Puedo usar esta integración para el cumplimiento de PCI-DSS en un entorno minorista? Respuesta: Sí. Al utilizar el direccionamiento dinámico de VLAN, puede asegurarse de que los dispositivos de punto de venta se coloquen siempre en una VLAN aislada, completamente separada del tráfico de invitados. Esto cumple con los requisitos de segmentación de red según PCI-DSS 4.0. Pregunta: ¿Requiere Purple un dispositivo de hardware en el sitio? Respuesta: No. Purple es una superposición en la nube. Se comunica directamente con su hardware ALE existente a través de RADIUS estándar a través de internet. No hay nada que montar ni instalar en rack. Pregunta: ¿Qué pasa si la nube de Purple no está disponible? Respuesta: Puede configurar una política de respaldo en el AP de ALE. Para redes de invitados, puede permitir el acceso abierto como respaldo. Para redes de personal, configure un respaldo de denegar todo para mantener la seguridad. Pregunta: ¿Puedo capturar datos analíticos de la integración? Respuesta: Sí. Cada sesión autenticada genera un perfil de visitante en la plataforma de Purple. Obtiene el tiempo de permanencia, la frecuencia de visitas, el tipo de dispositivo y los datos demográficos del formulario de registro. Esto se envía directamente a su CRM a través de la biblioteca de Purple de más de 400 conectores. Para resumir los puntos clave de la sesión de hoy. Uno: La integración de ALE OmniAccess con Purple utiliza RADIUS estándar en los puertos 1812 y 1813. No se requieren protocolos propietarios. Dos: El Walled Garden es fundamental. Si lo configura de forma incorrecta, el Captive Portal no se cargará. Ponga en la lista de permitidos los dominios de Purple antes que cualquier otra cosa. Tres: PPSK con direccionamiento dinámico de VLAN es la arquitectura adecuada para entornos multiinquilino. Un SSID, frases de contraseña únicas, VLAN aisladas por inquilino. Cuatro: Los atributos de RADIUS 64, 65 y 81 son los tres que necesita para la asignación dinámica de VLAN. Si falta alguno de ellos, el direccionamiento falla. Cinco: Purple es independiente del hardware. Sus políticas residen en la nube, no en el controlador. Esto le brinda la flexibilidad de escalar a través de diferentes proveedores de hardware. Su siguiente paso es iniciar sesión en su portal de Purple, navegar a la configuración de hardware de su sucursal y recuperar sus credenciales de RADIUS específicas y la URL de la página de inicio. Luego siga los pasos de configuración de esta guía para conectar su infraestructura ALE OmniAccess a la nube de Purple. Gracias por escuchar esta sesión técnica de Purple. Para obtener más información, visite purple.ai.