Integración de Alcatel-Lucent Enterprise (ALE) OmniAccess con Purple WiFi

Esta guía detalla la integración técnica entre los puntos de acceso Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar y Purple WiFi. Cubre la redirección del Captive Portal, la autenticación RADIUS, la configuración de Walled Garden, el WiFi seguro para el personal mediante 802.1X y la segmentación de WiFi multiinquilino mediante claves privadas precompartidas (PPSK) con direccionamiento dinámico de VLAN, lo que proporciona a los administradores de TI y arquitectos de red una referencia completa y práctica para implementar redes basadas en la identidad en hardware de ALE.

📖 9 min de lectura📝 2,047 palabras🔧 2 ejemplos resueltos❓ 4 preguntas de práctica📚 10 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Bienvenido a la sesión técnica de Purple. Hoy cubriremos la integración de Alcatel-Lucent Enterprise OmniAccess Stellar con Purple WiFi. Esta sesión está dirigida a directores de TI, arquitectos de red y directores de operaciones de recintos que necesitan implementar redes inalámbricas seguras, escalables e inteligentes.

Comencemos con el contexto. Tienes un recinto. Tal vez un hotel, una cadena de tiendas de retail o un estadio. Has invertido en hardware ALE OmniAccess. Ahora necesitas extraer valor comercial de esa infraestructura. Necesitas capturar datos de primera mano, segmentar a tus usuarios de forma segura y proporcionar una experiencia de acceso fluida. Ahí es donde entra la capa en la nube de Purple.

Purple opera en más de 80,000 recintos activos en todo el mundo y procesó más de 440 millones de inicios de sesión en 2024. Es agnóstico al hardware, lo que significa que se integra sobre tu infraestructura ALE existente sin requerir ningún reemplazo de hardware. Toda la lógica de autenticación y captura de datos reside en la nube de Purple.

El núcleo de esta integración se basa en RADIUS. Cuando un invitado entra a tu recinto y se conecta al SSID abierto de Guest WiFi, el AP de ALE intercepta su tráfico web. En lugar de permitirle el acceso directo a internet, redirige su navegador a un Captive Portal alojado por Purple. Esta es tu página de inicio (splash page). Es donde presentas tu marca, recopilas direcciones de correo electrónico u ofreces inicios de sesión social a través de Facebook, LinkedIn o Google.

Una vez que el usuario envía sus datos, el servidor RADIUS en la nube de Purple lo autentica y envía un mensaje Access-Accept de vuelta al AP de ALE. El AP entonces elimina las reglas del firewall y otorga acceso a internet. Todo el flujo toma menos de tres segundos.

Ahora, entremos en el análisis técnico profundo. ¿Cómo configuramos esto realmente?

Primero, debes configurar los parámetros del servidor RADIUS en tu interfaz de administración OmniVista o Stellar. Ingresarás las direcciones IP de RADIUS de Purple, establecerás el puerto de autenticación en 1812 y el puerto de contabilidad (accounting) en 1813. Es fundamental asegurarse de que RADIUS Accounting esté habilitado con un intervalo de 300 segundos. Esto es lo que envía los datos de la sesión de vuelta a Purple para analíticas y registro de cumplimiento.

El siguiente paso es el Walled Garden. Esto suele complicar muchas implementaciones. Antes de que un usuario esté autenticado, no tiene acceso a internet. Pero necesita llegar al portal de Purple para iniciar sesión. Debes incluir los dominios de Purple en tu lista de acceso de preautenticación. Los dominios principales son region1.purpleportal.net, venuewifi.com y cloudfront.net. Si utilizas el inicio de sesión de Facebook o LinkedIn, también debes incluir sus dominios en la lista de permitidos. Si el Walled Garden está mal configurado, el Captive Portal no se cargará. Punto final.

Para la configuración del SSID, crea una nueva red inalámbrica, establece el nivel de seguridad en Open y habilita la opción de External Captive Portal. Dirige la URL de redirección a la URL específica de tu splash page de Purple, la cual encontrarás en el portal de Purple bajo la configuración de hardware de tu recinto.

Pasemos a un escenario más avanzado: WiFi multiinquilino. Imagina un espacio de coworking o una residencia estudiantil. Tienes múltiples inquilinos que necesitan sus propias redes seguras y aisladas. No quieres transmitir 20 SSIDs diferentes. Eso destruye el rendimiento de tu RF y genera una mala experiencia de usuario.

La solución es PPSK (Private Pre-Shared Keys) combinado con direccionamiento dinámico de VLAN. Transmites un solo SSID seguro, pero cada inquilino recibe una contraseña única. Cuando el Inquilino A ingresa su contraseña, el AP de ALE envía esa solicitud al servidor RADIUS de Purple. Purple reconoce la contraseña, autentica al usuario y envía de vuelta un mensaje Access-Accept.

Pero aquí está la parte importante. Ese mensaje incluye atributos RADIUS específicos. El Atributo 64 para Tunnel-Type, establecido en 13 para VLAN. El Atributo 65 para Tunnel-Medium-Type, establecido en 6 para Ethernet. Y el Atributo 81, el Tunnel-Private-Group-ID, que contiene el ID de VLAN real. El AP de ALE recibe esto y coloca al Inquilino A directamente en la VLAN 30. Cuando el Inquilino B inicia sesión con una contraseña diferente, aterriza en la VLAN 40. Un solo SSID, aislamiento total en Capa 2. Esto es Redes Basadas en la Identidad en la práctica.

Veamos un ejemplo del mundo real. Un hotel de 200 habitaciones implementó esta arquitectura en sus APs ALE OmniAccess Stellar existentes. Necesitaban dar servicio a los huéspedes del hotel, al personal interno y a un restaurante en la planta baja como tres segmentos de red completamente separados. En lugar de implementar tres SSIDs, utilizaron PPSK con direccionamiento dinámico de VLAN. El resultado fue un solo SSID, tres VLANs aisladas y una reducción significativa en la carga de trabajo de administración en comparación con su enfoque anterior de múltiples SSIDs.

Ahora hablemos de recomendaciones de implementación y errores comunes.

Primero, mantén un diseño agnóstico al hardware. Crea tus políticas en Purple, no en el controlador local. Esto te permite escalar o cambiar de proveedores de hardware más adelante sin tener que reconstruir tus políticas de seguridad desde cero.

Segundo, ten cuidado con las versiones de firmware. Asegúrate de que tus APs de ALE ejecuten un firmware que admita explícitamente la asignación dinámica de VLAN a través de RADIUS. Es posible que las versiones de firmware de Stellar más antiguas no admitan completamente el atributo Tunnel-Private-Group-ID. Revisa las notas de lanzamiento de ALE antes de realizar la implementación.

Tercero, el DNS es tu amigo y tu enemigo. Si tu Captive Portal no aparece, primero verifica tu rango de DHCP. Si el cliente no recibe un servidor DNS válido, no podrá resolver la URL del portal y todo el proceso se detendrá. Este es el problema de soporte más común en las implementaciones de Captive Portal.

Cuarto, para un WiFi de personal seguro que utilice 802.1X, usa PEAP con MSCHAPv2 para la mayoría de los entornos, o EAP-TLS para implementaciones basadas en certificados. El servidor RADIUS de Purple admite ambos. Los dispositivos del personal se autentican contra Microsoft Entra ID o Okta, y el servidor RADIUS devuelve la asignación de VLAN adecuada para el segmento de red del personal.

Pasemos a una sesión de preguntas y respuestas rápidas.

Pregunta: ¿Puedo usar esta integración para el cumplimiento de PCI DSS en un entorno de retail?

Respuesta: Sí. Al utilizar el direccionamiento dinámico de VLAN, puedes asegurarte de que los dispositivos de punto de venta estén always placed on an isolated VLAN, completely separated from guest traffic. This satisfies the network segmentation requirements under PCI DSS 4.0.

Question: Does Purple require a hardware appliance on-site?

Answer: No. Purple is a cloud overlay. It communicates directly with your existing ALE hardware via standard RADIUS over the internet. There is nothing to rack and stack.

Question: What happens if the Purple cloud is unreachable?

Answer: You can configure a fallback policy on the ALE AP. For guest networks, you can allow open access as a fallback. For staff networks, configure a deny-all fallback to maintain security.

Question: Can I capture analytics data from the integration?

Answer: Yes. Every authenticated session generates a visitor profile in the Purple platform. You get dwell time, visit frequency, device type, and demographic data from the registration form. This feeds directly into your CRM via Purple's library of over 400 connectors.

To summarise the key takeaways from today's briefing.

One: The ALE OmniAccess integration with Purple uses standard RADIUS on ports 1812 and 1813. No proprietary protocols required.

Two: The Walled Garden is critical. Get it wrong and the Captive Portal will not load. Whitelist the Purple domains before anything else.

Three: PPSK with dynamic VLAN steering is the right architecture for multi-tenant environments. One SSID, unique passphrases, isolated VLANs per tenant.

Four: RADIUS Attributes 64, 65, and 81 are the three you need for dynamic VLAN assignment. If any one of them is missing, the steering fails.

Five: Purple is hardware-agnostic. Your policies live in the cloud, not on the controller. This gives you flexibility to scale across different hardware vendors.

Your next step is to log into your Purple portal, navigate to your venue's hardware settings, and retrieve your specific RADIUS credentials and splash page URL. Then follow the configuration steps in this guide to connect your ALE OmniAccess infrastructure to the Purple cloud.

Thank you for listening to this Purple technical briefing. For more information, visit purple.ai.

Puntos clave

✓Los AP ALE OmniAccess Stellar se integran con Purple utilizando RADIUS estándar en los puertos 1812 y 1813; no se requieren protocolos propietarios ni dispositivos locales.
✓El Walled Garden es el punto de falla más común en la implementación. Agregue a la lista de permitidos todos los dominios del portal de Purple y de los proveedores de inicio de sesión social antes del lanzamiento.
✓PPSK con direccionamiento dinámico de VLAN es la arquitectura correcta para entornos multiinquilino. Un SSID, frases de contraseña únicas por inquilino, VLAN aisladas a través de los atributos RADIUS 64, 65 y 81.
✓Los tres atributos de túnel RADIUS deben estar presentes en el mensaje Access-Accept. Si falta el atributo 81 (Tunnel-Private-Group-ID), el AP de ALE ignora la asignación de VLAN.
✓Purple funciona como una superposición en la nube. Las políticas residen en el portal de Purple, no en el controlador local, lo que le brinda flexibilidad independiente del hardware para escalar o cambiar la infraestructura.
✓Establezca la contabilidad RADIUS en intervalos de 300 segundos para garantizar que los datos precisos de la sesión fluyan hacia la plataforma de analítica de Purple.
✓Purple cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials, lo que la hace adecuada para entornos regulados, incluidos el sector salud, el sector público y las implementaciones minoristas dentro del alcance de PCI DSS.

Resumen ejecutivo

Los puntos de acceso Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar se integran con Purple utilizando protocolos RADIUS estándar y redirección externa de Captive Portal. No se requiere ningún middleware propietario. Purple funciona como una superposición en la nube, situándose por encima de su infraestructura ALE existente y gestionando la autenticación, la captura de datos y la política de sesión sin necesidad de realizar cambios en el hardware.

Esta guía cubre tres escenarios de implementación. Primero, Guest WiFi con redirección externa de Captive Portal y configuración de Walled Garden. Segundo, Staff WiFi seguro utilizando 802.1X con PEAP o EAP-TLS. Tercero, Multi-Tenant WiFi utilizando Private Pre-Shared Keys (PPSK) y direccionamiento dinámico de VLAN a través de los atributos RADIUS 64, 65 y 81.

Purple presta servicio a más de 80,000 establecimientos activos y procesó más de 440 millones de inicios de sesión en 2024 (datos internos de Purple, 2024). Cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials. La plataforma funciona con un tiempo de actividad del 99.999%, lo que la convierte en un backend de autenticación confiable para implementaciones empresariales.

Si usted es un gerente de TI o un arquitecto de redes que implementa hardware ALE OmniAccess en entornos de hotelería, comercio minorista, eventos o del sector público, esta guía le proporciona los pasos de configuración exactos para pasar del hardware a una red basada en la identidad totalmente operativa.

Arquitectura técnica y flujo de integración

La integración de Purple con ALE OmniAccess Stellar se basa en dos protocolos estándar: RADIUS para autenticación y contabilidad, y redirección HTTP/HTTPS para la entrega del Captive Portal. El AP de ALE actúa como el Network Access Server (NAS), reenviando las solicitudes de autenticación al servidor RADIUS en la nube de Purple y aplicando las políticas devueltas en la respuesta Access-Accept.

Figura 1: Flujo de autenticación entre el dispositivo del invitado, el AP ALE OmniAccess Stellar y el RADIUS en la nube de Purple.

El flujo funciona de la siguiente manera. Un visitante se conecta al SSID abierto de Guest WiFi. El AP de ALE asigna una dirección IP temporal del grupo DHCP de preautenticación e intercepta la primera solicitud HTTP o HTTPS del visitante. El AP redirige el navegador a la URL del Captive Portal de Purple, pasando la dirección MAC del cliente y el identificador NAS del AP como parámetros de URL. El visitante se autentica a través de la página de inicio de Purple, utilizando correo electrónico, inicio de sesión social o verificación por SMS. El servidor RADIUS de Purple valida la sesión y devuelve un mensaje Access-Accept al AP de ALE. El AP otorga acceso a internet y comienza a enviar actualizaciones de RADIUS Accounting a Purple en el intervalo configurado.

Para implementaciones avanzadas que utilizan PPSK y direccionamiento dinámico de VLAN, el mensaje RADIUS Access-Accept también incluye atributos de asignación de VLAN. El AP de ALE los utiliza para dirigir el tráfico del cliente directamente al segmento de VLAN correcto, aislándolo de otros usuarios en la misma infraestructura física.

Guía de implementación

Parte 1: Guest WiFi con Captive Portal externo

Esta sección cubre la configuración del Captive Portal de Alcatel-Lucent para la redirección externa a Purple. Estos pasos se aplican a los AP ALE OmniAccess Stellar administrados a través de OmniVista Cirrus, OmniVista 2500 o la interfaz web de Stellar Express.

Paso 1: Recuperar las credenciales de RADIUS de Purple

Inicie sesión en su portal de Purple. Navegue a Management > Venues, seleccione su establecimiento y abra la sección Hardware. Agregue una nueva entrada de hardware y seleccione Alcatel-Lucent OmniAccess Stellar como tipo de hardware. Purple genera un secreto compartido de RADIUS único, una IP de servidor de autenticación y una URL de Captive Portal para su establecimiento. Registre estos valores antes de continuar.

Paso 2: Configurar el servidor RADIUS en el AP de ALE

En su interfaz de administración de ALE, navegue a la configuración de autenticación y agregue un nuevo perfil de servidor RADIUS.

Parámetro	Valor
Server IP / Hostname	Según lo proporcionado en el portal de Purple
Authentication Port	1812
Accounting Port	1813
Shared Secret	Según lo proporcionado en el portal de Purple
RADIUS Accounting	Habilitado
Accounting Interval	300 segundos

Habilite un servidor RADIUS secundario utilizando la IP de respaldo del portal de Purple. Esto garantiza la conmutación por error si el servidor primario no está disponible temporalmente.

Paso 3: Configurar el Walled Garden

El Walled Garden define los dominios a los que un dispositivo puede acceder antes de que se complete la autenticación. Configure las siguientes entradas en la lista de acceso de preautenticación:

Dominios principales de Purple (obligatorios):

Dominio	Propósito
region1.purpleportal.net	Captive Portal de Purple
venuewifi.com	Gestión de sesiones de Purple
cloudfront.net	CDN para recursos del portal
openweathermap.org	Widget del clima (opcional)
stripe.com	Pagos de WiFi de pago (si corresponde)

Dominios de inicio de sesión social (agregar según sea necesario):

Proveedor	Dominios
Facebook	facebook.com, fbcdn.net, connect.facebook.net
LinkedIn	linkedin.com, licdn.net
Google	accounts.google.com, googleapis.com

Omitir cualquier dominio requerido provocará que el método de inicio de sesión correspondiente falle silenciosamente. Pruebe cada método de inicio de sesión después de la configuración.

Paso 4: Configurar el SSID de Guest WiFi

Cree un nuevo perfil de WLAN con la siguiente configuración:

Parámetro	Valor
Security Level	Abierto
Captive Portal	Habilitado
Captive Portal Type	Externo
Redirect URL	Según lo proporcionado en el portal de Purple
HTTPS Redirect	Deshabilitado (a menos que se instale un certificado SSL)
Inactivity Timeout	1800 segundos (30 minutos)
RADIUS Server Profile	Perfil RADIUS de Purple (creado en el Paso 2)

Si necesita la redirección HTTPS, instale un certificado SSL válido en el AP de ALE en System > General > Certificate Management. Tenga en cuenta que los certificados comodín no son comparted by the Stellar AP for this purpose.

Paso 5: Asignar el SSID a un grupo de AP

Aplique el perfil WLAN al grupo de AP correspondiente en OmniVista. Verifique que los AP estén transmitiendo el SSID y que los clientes puedan asociarse antes de probar el flujo del Captive Portal.

Parte 2: Proteger el WiFi del personal mediante 802.1X

Para el WiFi del personal, utilice WPA2-Enterprise o WPA3-Enterprise con autenticación 802.1X. Esto elimina las contraseñas compartidas y vincula el acceso a las identidades de usuario individuales administradas en Microsoft Entra ID, Okta o Google Workspace.

Paso 1: Configurar el SSID 802.1X

Cree un perfil WLAN independiente para el personal. Establezca el tipo de seguridad en WPA2-Enterprise o WPA3-Enterprise y asigne el servidor RADIUS de Purple como backend de autenticación. El servidor RADIUS de Purple actúa como proxy de las solicitudes de autenticación hacia su proveedor de identidad a través de LDAP o SAML.

Paso 2: Seleccionar el método EAP

Para la mayoría de las implementaciones, utilice PEAP con MSCHAPv2. Esto requiere solo un certificado del lado del servidor y funciona con suplicantes estándar de Windows, macOS, iOS y Android. Para entornos de mayor seguridad, utilice EAP-TLS con certificados de cliente emitidos a través de su PKI.

Paso 3: Asignar al personal a una VLAN dedicada

Configure el servidor RADIUS de Purple para que devuelva Tunnel-Private-Group-ID = el ID de su VLAN de personal en la respuesta Access-Accept. Esto garantiza que los dispositivos del personal terminen en el segmento de red corporativa, separados del tráfico de invitados en la Capa 2.

Parte 3: WiFi multiinquilino mediante PPSK y direccionamiento dinámico de VLAN

PPSK (Clave precompartida privada), también conocida como iPSK (PSK de identidad) en la documentación de algunos proveedores, permite que un único SSID sirva a múltiples grupos de usuarios aislados. Cada grupo recibe una frase de contraseña única. El servidor RADIUS asigna cada frase de contraseña a una VLAN específica, lo que proporciona aislamiento de red por inquilino sin la sobrecarga de RF de múltiples SSID.

Figura 2: Segmentación de VLAN multiinquilino PPSK en un único SSID de ALE OmniAccess.

Paso 1: Crear el SSID PPSK

Cree un nuevo perfil WLAN y establezca el tipo de autenticación en WPA2-PSK con validación PSK respaldada por RADIUS. En el firmware Stellar 4.0.8.16 y versiones superiores (para modelos AP1301 y superiores), la asignación dinámica de VLAN a través de RADIUS es compatible en Express Mode. Para modelos más antiguos o firmware anterior, utilice el modo administrado por OmniVista.

Paso 2: Definir las frases de contraseña de los inquilinos en Purple

En el portal de Purple, cree un grupo PPSK para cada inquilino. Asigne una frase de contraseña única por inquilino y asocie cada frase de contraseña al ID de VLAN correspondiente. Purple almacena estas asociaciones en su base de datos RADIUS.

Paso 3: Configurar los atributos RADIUS para el direccionamiento de VLAN

Asegúrese de que el servidor RADIUS de Purple devuelva los siguientes atributos estándar de la IETF en cada respuesta Access-Accept:

Número de atributo	Nombre de atributo	Valor
64	Tunnel-Type	13 (VLAN)
65	Tunnel-Medium-Type	6 (IEEE 802 / Ethernet)
81	Tunnel-Private-Group-ID	ID de VLAN (p. ej., "30")

Los tres atributos deben estar presentes. Si falta alguno, el AP de ALE ignora la asignación de VLAN y coloca al cliente en la VLAN predeterminada.

Paso 4: Verificar el enlace troncal de VLAN en el enlace ascendente

Asegúrese de que todas las VLAN de los inquilinos estén etiquetadas en el puerto de enlace ascendente entre el AP de ALE y el switch de distribución. Un AP no puede dirigir el tráfico a una VLAN que no esté permitida en su enlace troncal de enlace ascendente.

Mejores prácticas

Las siguientes recomendaciones reflejan la práctica estándar para implementaciones inalámbricas empresariales y se alinean con los requisitos de IEEE 802.1X, PCI DSS 4.0 y GDPR.

Separe el WiFi de invitados del WiFi del personal en la Capa 2. Nunca coloque el tráfico de invitados y del personal en la misma VLAN. Utilice la asignación de VLAN impulsada por RADIUS para aplicar esta separación de forma automática, independientemente del AP al que se conecte el usuario.

Utilice HTTPS para todas las redirecciones del Captive Portal. Instale un certificado SSL válido en el AP de ALE para habilitar la redirección HTTPS. Esto evita que los navegadores muestren advertencias de seguridad en la página de inicio, lo que reduce las tasas de abandono y se alinea con los requisitos de GDPR para el manejo seguro de datos.

Establezca el intervalo de contabilidad RADIUS en 300 segundos. Esto proporciona a Purple actualizaciones periódicas de las sesiones para la precisión de los análisis. Un intervalo superior a 600 segundos corre el riesgo de perder datos de la sesión si un cliente se desconecta sin una desautenticación limpia.

Pruebe el Walled Garden antes del lanzamiento. Conecte un dispositivo de prueba al SSID de WiFi de invitados e intente acceder a cada proveedor de inicio de sesión social. Si un inicio de sesión falla, significa que el dominio correspondiente falta en el Walled Garden.

Segmente los dispositivos IoT mediante PPSK. En entornos de retail y hotelería, los dispositivos IoT, como la señalización digital, las terminales de pago y los sensores ambientales, deben recibir cada uno un PPSK único asignado a una VLAN aislada. Esto evita que un dispositivo IoT comprometido acceda a la red más amplia.

Para obtener más información sobre los estándares y la arquitectura de seguridad de WiFi empresarial, consulte nuestra guía de seguridad de WiFi empresarial .

Resolución de problemas y mitigación de riesgos

La siguiente tabla cubre los modos de falla más comunes en las integraciones de ALE OmniAccess y Purple.

Síntoma	Causa más probable	Resolución
El Captive Portal no aparece	Configuración incorrecta de Walled Garden o falta de DNS	Verifique que los dominios de Purple estén en la lista blanca; compruebe que el alcance de DHCP incluya un servidor DNS válido
La autenticación RADIUS falla	Discrepancia en el secreto compartido o firewall bloqueando UDP 1812/1813	Vuelva a ingresar el secreto compartido desde el portal de Purple; confirme que las reglas del firewall permitan UDP 1812 y 1813 salientes
Los usuarios terminan en la VLAN incorrecta	Faltan atributos de túnel RADIUS o limitación del firmware del AP	Confirme que se devuelvan los tres atributos RADIUS (64, 65, 81); verifique que la versión de firmware de ALE admita VLAN dinámica
El botón de inicio de sesión social falla	Falta el dominio del proveedor social en el Walled Garden	Agregue los dominios del proveedor social requeridos ao the pre-authentication access list
HTTPS captive portal shows certificate warning	Wildcard certificate used or no certificate installed	Install a domain-specific SSL certificate via System > General > Certificate Management
Session data missing in Purple analytics	RADIUS Accounting disabled or interval too long	Enable RADIUS Accounting; set interval to 300 seconds

Para problemas persistentes de RADIUS, habilite el registro de depuración (debug logging) en el AP de ALE y capture el intercambio RADIUS. Busque mensajes de Access-Reject y verifique el código de motivo de rechazo. Los códigos comunes incluyen el 16 (fallo de autenticación) y el 18 (atributo faltante).

ROI e impacto de negocio

Implementar Purple en el hardware ALE OmniAccess convierte una red pasiva en un activo de datos activo. Cada sesión autenticada genera un perfil de visitante: dirección de correo electrónico, frecuencia de visitas, tiempo de permanencia y tipo de dispositivo. Estos datos de primera mano (first-party data) se alimentan directamente a su CRM a través de la biblioteca de Purple de más de 400 conectores.

Harrods logró un ROI de marketing de 57x en su implementación de Guest WiFi al utilizar la captura de datos de Purple para impulsar las suscripciones a programas de lealtad (caso de estudio de Purple, 2023). AGS Airports generó un ROI del 842% al implementar WiFi de pago con ancho de banda escalonado en todas sus instalaciones (caso de estudio de Purple, 2022).

Para los operadores de hospitalidad , el Captive Portal es el principal punto de contacto para la captura de datos de los huéspedes. Para los entornos de retail , permite el análisis del comportamiento de los compradores y las promociones dirigidas. Para los centros de transporte , proporciona datos de flujo de pasajeros y registro de sesiones listo para el cumplimiento normativo.

La plataforma de Guest WiFi de Purple y las herramientas de WiFi Analytics le brindan la infraestructura de informes para medir estos resultados. Realice un seguimiento de las tasas de autenticación, la duración de las sesiones, las tasas de visitantes recurrentes y la conversión de suscripciones desde un único panel de control.

Para obtener orientación sobre integraciones relacionadas, consulte la guía de integración de WatchGuard Firebox , que cubre una arquitectura similar basada en RADIUS en una plataforma de hardware diferente.

Definiciones clave

PPSK (Clave privada precompartida)

Un método de seguridad en el que se emiten frases de contraseña únicas para usuarios o dispositivos individuales para un solo SSID, en lugar de compartir una contraseña global. El servidor RADIUS asigna cada frase de contraseña a una política o VLAN específica.

Se utiliza en WiFi multiinquilino para aislar el tráfico entre inquilinos, residentes o grupos de eventos sin implementar múltiples SSID.

RADIUS (Servicio de usuario de marcación de autenticación remota)

Un protocolo de red definido en RFC 2865 que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios que se conectan a un servicio de red.

El protocolo principal que utiliza Purple para comunicarse con el hardware de ALE. El AP de ALE envía mensajes Access-Request; Purple responde con Access-Accept o Access-Reject.

Direccionamiento dinámico de VLAN

El proceso de asignar un dispositivo conectado a una VLAN específica en función de los atributos RADIUS devueltos durante la autenticación, en lugar de una VLAN estática configurada en el SSID.

Esencial para implementaciones multiinquilino donde diferentes grupos de usuarios deben estar aislados en la misma infraestructura física de AP.

Walled Garden

Un entorno controlado que restringe el acceso a Internet de un dispositivo a un conjunto predefinido de dominios antes de que se complete la autenticación.

Requerido para permitir que los dispositivos accedan al Captive Portal de Purple y a los proveedores de identidad externos antes de que el usuario haya iniciado sesión.

Captive Portal

Una página web que intercepta la sesión del navegador de un usuario y requiere que se autentique o acepte los términos antes de obtener acceso completo a la red.

La interfaz principal donde los visitantes proporcionan su consentimiento y datos de primera mano. Purple aloja esta página en la nube; el AP de ALE realiza la redirección.

Red basada en la identidad

Una arquitectura de red donde las políticas de acceso, las asignaciones de VLAN y los controles de ancho de banda se determinan por quién es el usuario, en lugar de dónde o cómo se conecta.

El resultado arquitectónico de integrar el hardware de ALE con la superposición de autenticación de Purple.

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos que proporciona un mecanismo de autenticación para los dispositivos que se conectan a una LAN o WLAN. Requiere un suplicante en el dispositivo cliente, un autenticador (el AP) y un servidor de autenticación (RADIUS).

El estándar utilizado para implementaciones seguras de WiFi para el personal. Elimina las contraseñas compartidas y vincula el acceso a las identidades de los usuarios individuales.

EAP-TLS (Protocolo de autenticación extensible - Seguridad de la capa de transporte)

Un método EAP basado en certificados donde tanto el cliente como el servidor RADIUS presentan certificados digitales para la autenticación mutua.

El método 802.1X más seguro. Requiere una infraestructura PKI para emitir certificados de cliente, pero elimina por completo el robo de credenciales basado en contraseñas.

PEAP (Protocolo de autenticación extensible protegido)

Un método EAP que tuneliza el intercambio de autenticación interno dentro de una sesión TLS, protegiendo las credenciales en tránsito. Comúnmente utilizado con MSCHAPv2 como método interno.

El método 802.1X más común en implementaciones empresariales. Requiere solo un certificado del lado del servidor y funciona con suplicantes de sistemas operativos estándar.

NAS (Servidor de acceso a la red)

En la terminología de RADIUS, el dispositivo que impone el control de acceso; en este caso, el AP ALE OmniAccess Stellar. El NAS reenvía las solicitudes de autenticación al servidor RADIUS e impone las políticas devueltas.

El AP de ALE actúa como el NAS en la integración con Purple. Su dirección IP y secreto compartido deben registrarse en el portal de Purple como un cliente NAS de confianza.

Ejemplos resueltos

Un hotel de 200 habitaciones en el centro de Londres utiliza AP ALE OmniAccess Stellar en toda la propiedad. Necesitan dar servicio a los huéspedes del hotel, al personal interno y a un restaurante en la planta baja como tres segmentos de red completamente independientes. Quieren evitar la transmisión de múltiples SSID para preservar el rendimiento de RF.

Implemente un único SSID seguro mediante PPSK. Configure los AP ALE OmniAccess para autenticarse contra el servidor RADIUS de Purple. En el portal de Purple, cree tres grupos PPSK: Huéspedes del hotel (VLAN 10), Personal (VLAN 20) y Restaurante (VLAN 30). El servidor RADIUS devuelve Tunnel-Private-Group-ID = 10, 20 o 30 según la frase de contraseña que utilice el dispositivo. El AP de ALE dirige dinámicamente cada dispositivo a la VLAN correcta. Los huéspedes del hotel reciben únicamente acceso a Internet. El personal recibe acceso al sistema de gestión de la propiedad. El restaurante recibe un segmento aislado para sus terminales EPOS.

Comentario del examinador: Este enfoque elimina tres SSID y los reemplaza por uno solo, lo que reduce la interferencia de canal compartido y la sobrecarga de gestión. El requisito técnico clave es que las tres VLAN deben estar etiquetadas en el enlace troncal de subida entre el AP y el switch de distribución. Si falta alguna VLAN en el enlace troncal, los dispositivos que utilicen esa frase de contraseña no recibirán una dirección DHCP.

Un centro de conferencias alberga 15 eventos corporativos simultáneamente. Cada organizador de eventos necesita su propia red WiFi aislada para los asistentes, pero el recinto solo dispone de una única infraestructura ALE OmniAccess. El equipo de TI del recinto necesita aprovisionar y desaprovisionar redes rápidamente entre eventos.

Utilice la gestión de PPSK de Purple para crear frases de contraseña por evento asignadas a VLAN de eventos dedicadas. El recinto preconfigura 15 segmentos VLAN en la infraestructura de ALE. Para cada evento, el equipo de TI crea una nueva entrada PPSK en el portal de Purple, la asigna a la VLAN correcta y proporciona la frase de contraseña al organizador del evento. Al finalizar el evento, revocan la frase de contraseña en Purple. El AP de ALE deja de aceptar inmediatamente esa frase de contraseña, aislando la VLAN desaprovisionada. No se requiere reconfiguración del AP.

Comentario del examinador: Esta arquitectura separa el flujo de trabajo de aprovisionamiento de la configuración del hardware. Los AP de ALE permanecen estáticos; todos los cambios ocurren en la nube de Purple. Esta es la ventaja práctica de una superposición en la nube: puede agregar, modificar o revocar el acceso sin tocar la infraestructura física. Para entornos de eventos, esto reduce el tiempo de aprovisionamiento de horas a minutos.

Preguntas de práctica

Q1. Ha configurado el Captive Portal de Alcatel-Lucent en un AP ALE OmniAccess Stellar. Los invitados se conectan al SSID y reciben una dirección IP, pero sus dispositivos muestran 'Sin conexión a Internet' y la página de bienvenida no aparece. ¿Cuáles son las dos causas más probables y cómo se resuelve cada una?

Sugerencia: Considere lo que debe suceder en la capa de DNS y HTTP antes de que pueda ocurrir la redirección del Captive Portal.

Ver respuesta modelo

Causa 1: El alcance de DHCP no incluye un servidor DNS válido. Sin DNS, el cliente no puede resolver la URL del Captive Portal y el mecanismo de detección del Captive Portal del sistema operativo falla. Resolución: Agregue un servidor DNS válido (por ejemplo, 8.8.8.8) al alcance de DHCP en la VLAN de invitados. Causa 2: El Walled Garden no incluye los dominios del portal de Purple. Sin estos, el AP bloquea la solicitud de redirección antes de que llegue al cliente. Resolución: Agregue region1.purpleportal.net, venuewifi.com y cloudfront.net a la lista de acceso previa a la autenticación.

Q2. Su implementación de WiFi multiinquilino utiliza PPSK en un único SSID de ALE OmniAccess. Los usuarios se autentican correctamente (el portal de Purple muestra inicios de sesión exitosos), pero todos los usuarios reciben direcciones IP de la VLAN 1 en lugar de sus VLAN de inquilino asignadas. ¿Cuál es la causa más probable?

Sugerencia: Verifique la comunicación entre el servidor RADIUS y el AP, y la configuración de subida del AP.

Ver respuesta modelo

Hay dos causas probables. Primero, es posible que el servidor RADIUS de Purple no esté devolviendo los tres atributos de túnel RADIUS requeridos (64, 65, 81) en el mensaje Access-Accept. Verifique que la política de cumplimiento incluya Tunnel-Type = 13, Tunnel-Medium-Type = 6 y Tunnel-Private-Group-ID = el ID de VLAN correcto. Segundo, es posible que las VLAN de los inquilinos no estén etiquetadas en el enlace troncal de subida entre el AP de ALE y el switch de distribución. Si la VLAN no existe en el enlace troncal, el AP no puede dirigir el tráfico hacia ella, incluso si los atributos RADIUS son correctos.

Q3. Un recinto requiere que las sesiones de los invitados se finalicen automáticamente después de 60 minutos, y que los invitados que regresen dentro de las 24 horas sean reconocidos y omitan el formulario de registro. ¿Cómo se debe configurar esto en la arquitectura de Purple y ALE?

Sugerencia: Considere qué sistema controla la duración de la sesión y qué sistema controla el reconocimiento de visitantes recurrentes.

Ver respuesta modelo

La finalización de la sesión se controla a través del atributo RADIUS Session-Timeout. Configure el servidor RADIUS de Purple para incluir Session-Timeout = 3600 (segundos) en el mensaje Access-Accept. El AP de ALE desconectará al cliente después de 3600 segundos. El reconocimiento de visitantes recurrentes se controla en el portal de Purple. Habilite la configuración de 'recordar dispositivo' o reautenticación basada en MAC para su recinto. Cuando un visitante recurrente se conecta dentro de la ventana configurada, el servidor RADIUS de Purple reconoce su dirección MAC y devuelve un Access-Accept sin requerir la interacción con la página de bienvenida, proporcionando una experiencia de reconexión fluida.

Q4. Está implementando WiFi para el personal mediante 802.1X en AP ALE OmniAccess Stellar. Su organización utiliza Microsoft Entra ID como proveedor de identidad. Los dispositivos del personal son laptops con Windows 11 administradas a través de Intune. ¿Qué método EAP debería utilizar y qué requisitos de certificado se aplican?

Sugerencia: Considere el equilibrio entre la seguridad, la complejidad de la implementación y las capacidades de la infraestructura existente.

Ver respuesta modelo

Utilice PEAP con MSCHAPv2 como método EAP. Esto requiere solo un certificado del lado del servidor en el servidor RADIUS de Purple (ya aprovisionado por Purple) y aprovecha las credenciales de Entra ID del usuario para la autenticación. No se requieren certificados de cliente, lo que simplifica la implementación en dispositivos administrados por Intune. Configure el suplicante de Windows 11 a través de un perfil de Wi-Fi de Intune, especificando el SSID, la seguridad WPA2-Enterprise, el método PEAP y la huella digital del certificado del servidor RADIUS de Purple para la validación del servidor. Si su política de seguridad requiere autenticación mutua basada en certificados, actualice a EAP-TLS e implemente certificados de cliente a través de perfiles SCEP de Intune, pero esto agrega una sobrecarga significativa de gestión de PKI.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.

Grandstream GWN Access Points Integration with Purple WiFi

Esta guía de referencia técnica autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración del walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multi-tenant, proporcionando una guía paso a paso y práctica para MSPs y equipos de TI que despliegan WiFi para invitados y personal a gran escala.