Intégration d'Alcatel-Lucent Enterprise (ALE) OmniAccess avec Purple WiFi

Ce guide détaille l'intégration technique entre les points d'accès Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar et Purple WiFi. Il couvre la redirection vers le Captive Portal, l'authentification RADIUS, la configuration du Walled Garden, le WiFi sécurisé pour le personnel via 802.1X, et la segmentation WiFi multi-locataire à l'aide de clés privées pré-partagées (PPSK) avec routage VLAN dynamique - offrant aux responsables informatiques et aux architectes réseau une référence complète et exploitable pour déployer des réseaux basés sur l'identité sur le matériel ALE.

📖 9 min de lecture📝 2,047 mots🔧 2 exemples concrets❓ 4 questions d'entraînement📚 10 définitions clés

Écouter ce guide

Voir la transcription du podcast

Welcome to the Purple technical briefing. Today we are covering the Alcatel-Lucent Enterprise OmniAccess Stellar integration with Purple WiFi. This briefing is for IT managers, network architects, and venue operations directors who need to deploy secure, scalable, and intelligent wireless networks.

Let us start with the context. You have a venue. Maybe a hotel, a retail chain, or a stadium. You have invested in ALE OmniAccess hardware. Now you need to extract business value from that infrastructure. You need to capture first-party data, segment your users securely, and provide a seamless onboarding experience. That is where the Purple cloud overlay comes in.

Purple operates across more than 80,000 live venues worldwide and processed over 440 million logins in 2024. It is hardware-agnostic, which means it sits on top of your existing ALE infrastructure without requiring any hardware replacement. The entire authentication and data-capture logic lives in the Purple cloud.

The core of this integration relies on RADIUS. When a guest walks into your venue and connects to the open Guest WiFi SSID, the ALE AP intercepts their web traffic. Instead of letting them straight onto the internet, it redirects their browser to a Purple-hosted captive portal. This is your splash page. It is where you present your brand, collect email addresses, or offer social logins via Facebook, LinkedIn, or Google.

Once the user submits their details, the Purple cloud RADIUS server authenticates them and sends an Access-Accept message back to the ALE AP. The AP then drops the firewall rules and grants internet access. The entire flow takes under three seconds.

Now, let us get into the technical deep-dive. How do we actually configure this?

First, you need to configure the RADIUS server settings in your OmniVista or Stellar management interface. You will input the Purple RADIUS IP addresses, set the authentication port to 1812, and the accounting port to 1813. Crucially, ensure RADIUS Accounting is enabled with an interval of 300 seconds. This is what feeds session data back to Purple for analytics and compliance logging.

Next is the Walled Garden. This trips up a lot of deployments. Before a user is authenticated, they have no internet access. But they need to reach the Purple portal to log in. You must whitelist the Purple domains in your pre-authentication access list. The core domains are region1.purpleportal.net, venuewifi.com, and cloudfront.net. If you are using Facebook or LinkedIn login, you must whitelist their domains too. If the Walled Garden is wrong, the captive portal will not load. Full stop.

For the SSID configuration, create a new wireless network, set the security level to Open, and enable the External Captive Portal option. Point the redirect URL to your specific Purple splash page URL, which you will find in the Purple portal under your venue's hardware settings.

Let us move to a more advanced scenario: Multi-Tenant WiFi. Imagine a coworking space or student accommodation. You have multiple tenants who need their own secure, isolated networks. You do not want to broadcast 20 different SSIDs. That destroys your RF performance and creates a poor user experience.

The solution is PPSK - Private Pre-Shared Keys - combined with dynamic VLAN steering. You broadcast one secure SSID. But every tenant gets a unique passphrase. When Tenant A enters their passphrase, the ALE AP sends that request to the Purple RADIUS server. Purple recognises the passphrase, authenticates the user, and sends back an Access-Accept message.

But here is the important part. That message includes specific RADIUS attributes. Attribute 64 for Tunnel-Type, set to 13 for VLAN. Attribute 65 for Tunnel-Medium-Type, set to 6 for Ethernet. And Attribute 81, the Tunnel-Private-Group-ID, which contains the actual VLAN ID. The ALE AP receives this and drops Tenant A directly onto VLAN 30. When Tenant B logs in with a different passphrase, they land on VLAN 40. One SSID, total Layer 2 isolation. This is Identity-Based Networking in practice.

Let us look at a real-world example. A 200-room hotel deployed this architecture across their existing ALE OmniAccess Stellar APs. They needed to serve hotel guests, back-of-house staff, and a ground-floor restaurant as three completely separate network segments. Rather than deploying three SSIDs, they used PPSK with dynamic VLAN steering. The result was a single SSID, three isolated VLANs, and a significant reduction in management overhead compared to their previous multi-SSID approach.

Now let us discuss implementation recommendations and pitfalls.

First, maintain a hardware-agnostic design. Build your policies in Purple, not on the local controller. This allows you to scale or swap hardware vendors later without rebuilding your security policies from scratch.

Second, watch out for firmware versions. Ensure your ALE APs are running firmware that explicitly supports dynamic VLAN assignment via RADIUS. Older Stellar firmware versions may not fully support the Tunnel-Private-Group-ID attribute. Check the ALE release notes before deploying.

Third, DNS is your friend and your enemy. If your captive portal is not appearing, check your DHCP scope first. If the client is not receiving a valid DNS server, they cannot resolve the portal URL, and the whole process stops. This is the single most common support issue in captive portal deployments.

Fourth, for secure Staff WiFi using 802.1X, use PEAP with MSCHAPv2 for most environments, or EAP-TLS for certificate-based deployments. The Purple RADIUS server supports both. Staff devices authenticate against Microsoft Entra ID or Okta, and the RADIUS server returns the appropriate VLAN assignment for the staff network segment.

Let us do a rapid-fire question and answer session.

Question: Can I use this integration for PCI DSS compliance in a retail environment?

Answer: Yes. By using dynamic VLAN steering, you can ensure that point-of-sale devices are always placed on an isolated VLAN, completely separated from guest traffic. This satisfies the network segmentation requirements under PCI DSS 4.0.

Question: Does Purple require a hardware appliance on-site?

Answer: No. Purple is a cloud overlay. It communicates directly with your existing ALE hardware via standard RADIUS over the internet. There is nothing to rack and stack.

Question: What happens if the Purple cloud is unreachable?

Answer: You can configure a fallback policy on the ALE AP. For guest networks, you can allow open access as a fallback. For staff networks, configure a deny-all fallback to maintain security.

Question: Can I capture analytics data from the integration?

Answer: Yes. Every authenticated session generates a visitor profile in the Purple platform. You get dwell time, visit frequency, device type, and demographic data from the registration form. This feeds directly into your CRM via Purple's library of over 400 connectors.

To summarise the key takeaways from today's briefing.

One: The ALE OmniAccess integration with Purple uses standard RADIUS on ports 1812 and 1813. No proprietary protocols required.

Two: The Walled Garden is critical. Get it wrong and the captive portal will not load. Whitelist the Purple domains before anything else.

Three: PPSK with dynamic VLAN steering is the right architecture for multi-tenant environments. One SSID, unique passphrases, isolated VLANs per tenant.

Four: RADIUS Attributes 64, 65, and 81 are the three you need for dynamic VLAN assignment. If any one of them is missing, the steering fails.

Five: Purple is hardware-agnostic. Your policies live in the cloud, not on the controller. This gives you flexibility to scale across different hardware vendors.

Your next step is to log into your Purple portal, navigate to your venue's hardware settings, and retrieve your specific RADIUS credentials and splash page URL. Then follow the configuration steps in this guide to connect your ALE OmniAccess infrastructure to the Purple cloud.

Thank you for listening to this Purple technical briefing. For more information, visit purple.ai.

Points clés à retenir

✓ALE OmniAccess Stellar APs integrate with Purple using standard RADIUS on ports 1812 and 1813 - no proprietary protocols or on-site appliances required.
✓The Walled Garden is the most common deployment failure point. Whitelist all Purple portal domains and social login provider domains before go-live.
✓PPSK with dynamic VLAN steering is the correct architecture for multi-tenant environments. One SSID, unique passphrases per tenant, isolated VLANs via RADIUS Attributes 64, 65, and 81.
✓All three RADIUS tunnel attributes must be present in the Access-Accept message. If Attribute 81 (Tunnel-Private-Group-ID) is missing, the ALE AP ignores the VLAN assignment.
✓Purple operates as a cloud overlay. Policies live in the Purple portal, not on the local controller, giving you hardware-agnostic flexibility to scale or swap infrastructure.
✓Set RADIUS Accounting to 300-second intervals to ensure accurate session data flows into Purple's analytics platform.
✓Purple holds ISO 27001, GDPR, CCPA, and Cyber Essentials certifications, making it suitable for regulated environments including healthcare, public sector, and PCI DSS-scoped retail deployments.

Résumé analytique

Les points d'accès Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar s'intègrent à Purple à l'aide de protocoles RADIUS standard et d'une redirection externe vers le Captive Portal. Aucun middleware propriétaire n'est requis. Purple fonctionne comme une surcouche cloud, s'intégrant au-dessus de votre infrastructure ALE existante et gérant l'authentification, la capture de données et la politique de session sans nécessiter de modifications matérielles.

Ce guide couvre trois scénarios de déploiement. Premièrement, le WiFi invité avec redirection externe vers le Captive Portal et configuration du Walled Garden. Deuxièmement, le WiFi sécurisé pour le personnel via 802.1X avec PEAP ou EAP-TLS. Troisièmement, le WiFi multi-locataire à l'aide de clés privées pré-partagées (PPSK) et du routage VLAN dynamique via les attributs RADIUS 64, 65 et 81.

Purple dessert plus de 80 000 sites actifs et a traité plus de 440 millions de connexions en 2024 (données internes Purple, 2024). Elle détient les certifications ISO 27001, GDPR, CCPA et Cyber Essentials. La plateforme fonctionne avec une disponibilité de 99,999 %, ce qui en fait un backend d'authentification fiable pour les déploiements d'entreprise.

Si vous êtes un responsable informatique ou un architecte réseau déployant du matériel ALE OmniAccess dans les secteurs de l'hôtellerie, du commerce de détail, de l'événementiel ou du secteur public, ce guide vous fournit les étapes de configuration exactes pour passer du matériel à un réseau basé sur l'identité entièrement opérationnel.

Architecture technique et flux d'intégration

L'intégration de Purple avec ALE OmniAccess Stellar repose sur deux protocoles standard : RADIUS pour l'authentification et la comptabilisation (accounting), et la redirection HTTP/HTTPS pour la diffusion du Captive Portal. L'AP ALE agit en tant que serveur d'accès réseau (NAS), transmettant les demandes d'authentification au serveur RADIUS cloud de Purple et appliquant les politiques renvoyées dans la réponse Access-Accept.

Figure 1 : Flux d'authentification entre l'appareil invité, l'AP ALE OmniAccess Stellar et le RADIUS cloud de Purple.

Le flux fonctionne comme suit. Un visiteur se connecte au SSID WiFi invité ouvert. L'AP ALE attribue une adresse IP temporaire à partir du pool DHCP de pré-authentification et intercepte la première requête HTTP ou HTTPS du visiteur. L'AP redirige le navigateur vers l'URL du Captive Portal de Purple, en transmettant l'adresse MAC du client et l'identifiant NAS de l'AP en tant que paramètres d'URL. Le visiteur s'authentifie via le portail de connexion (splash page) de Purple - en utilisant son e-mail, une connexion sociale ou une vérification par SMS. Le serveur RADIUS de Purple valide la session et renvoie un message Access-Accept à l'AP ALE. L'AP accorde l'accès à Internet et commence à envoyer des mises à jour de comptabilisation (RADIUS Accounting) à Purple à l'intervalle configuré.

Pour les déploiements avancés utilisant le PPSK et le routage VLAN dynamique, le message RADIUS Access-Accept inclut également des attributs d'attribution de VLAN. L'AP ALE les utilise pour acheminer directement le trafic client vers le bon segment VLAN, l'isolant ainsi des autres utilisateurs sur la même infrastructure physique.

Guide de mise en œuvre

Partie 1 : WiFi invité avec Captive Portal externe

Cette section couvre la configuration du Captive Portal Alcatel-Lucent pour la redirection externe vers Purple. Ces étapes s'appliquent aux AP ALE OmniAccess Stellar gérés via OmniVista Cirrus, OmniVista 2500 ou l'interface web Stellar Express.

Étape 1 : Récupérer les identifiants RADIUS de Purple

Connectez-vous à votre portail Purple. Accédez à Management > Venues (Gestion > Sites), sélectionnez votre site et ouvrez la section Hardware (Matériel). Ajoutez une nouvelle entrée de matériel et sélectionnez Alcatel-Lucent OmniAccess Stellar comme type de matériel. Purple génère un secret partagé RADIUS unique, l'adresse IP du serveur d'authentification et l'URL du Captive Portal pour votre site. Enregistrez ces valeurs avant de continuer.

Étape 2 : Configurer le serveur RADIUS sur l'AP ALE

Dans votre interface de gestion ALE, accédez aux paramètres d'authentification et ajoutez un nouveau profil de serveur RADIUS.

Paramètre	Valeur
Server IP / Hostname	Tel que fourni dans le portail Purple
Authentication Port	1812
Accounting Port	1813
Shared Secret	Tel que fourni dans le portail Purple
RADIUS Accounting	Activé
Accounting Interval	300 secondes

Activez un serveur RADIUS secondaire en utilisant l'adresse IP de secours du portail Purple. Cela garantit le basculement si le serveur principal est temporairement inaccessible.

Étape 3 : Configurer le Walled Garden

Le Walled Garden définit les domaines qu'un appareil peut atteindre avant que l'authentification ne soit terminée. Configurez les entrées suivantes dans la liste d'accès de pré-authentification :

Domaines principaux de Purple (obligatoires) :

Domaine	Objectif
region1.purpleportal.net	Captive Portal Purple
venuewifi.com	Gestion de session Purple
cloudfront.net	CDN pour les ressources du portail
openweathermap.org	Widget météo (facultatif)
stripe.com	Paiements WiFi payants (le cas échéant)

Domaines de connexion sociale (à ajouter selon les besoins) :

Fournisseur	Domaines
Facebook	facebook.com, fbcdn.net, connect.facebook.net
LinkedIn	linkedin.com, licdn.net
Google	accounts.google.com, googleapis.com

L'omission de tout domaine requis entraînera l'échec silencieux de la méthode de connexion correspondante. Testez chaque méthode de connexion après la configuration.

Étape 4 : Configurer le SSID WiFi invité

Créez un nouveau profil WLAN avec les paramètres suivants :

Paramètre	Valeur
Security Level	Open
Captive Portal	Activé
Captive Portal Type	Externe
Redirect URL	Tel que fourni dans le portail Purple
HTTPS Redirect	Désactivé (sauf si un certificat SSL est installé)
Inactivity Timeout	1800 secondes (30 minutes)
RADIUS Server Profile	Profil RADIUS Purple (créé à l'étape 2)

Si vous avez besoin de la redirection HTTPS, installez un certificat SSL valide dans l'AP ALE sous System > General > Certificate Management. Notez que les certificats génériques (wildcard) ne sont pas supporté par l'AP Stellar à cet effet.

Étape 5 : Assigner l'SSID à un groupe d'AP

Appliquez le profil WLAN au groupe d'AP concerné dans OmniVista. Vérifiez que les AP diffusent l'SSID et que les clients peuvent s'y associer avant de tester le flux du Captive Portal.

Partie 2 : Sécuriser le WiFi du personnel à l'aide de 802.1X

Pour le WiFi du personnel, utilisez WPA2-Enterprise ou WPA3-Enterprise avec authentification 802.1X. Cela élimine les mots de passe partagés et associe l'accès aux identités d'utilisateurs individuelles gérées dans Microsoft Entra ID, Okta ou Google Workspace.

Étape 1 : Configurer l'SSID 802.1X

Créez un profil WLAN distinct pour le personnel. Définissez le type de sécurité sur WPA2-Enterprise ou WPA3-Enterprise et attribuez le serveur RADIUS Purple comme backend d'authentification. Le serveur RADIUS de Purple relaie les demandes d'authentification vers votre fournisseur d'identité via LDAP ou SAML.

Étape 2 : Sélectionner la méthode EAP

Pour la plupart des déploiements, utilisez PEAP avec MSCHAPv2. Cela ne nécessite qu'un certificat côté serveur et fonctionne avec les suppliants standards Windows, macOS, iOS et Android. Pour les environnements à sécurité plus élevée, utilisez EAP-TLS avec des certificats clients émis via votre PKI.

Étape 3 : Assigner le personnel à un VLAN dédié

Configurez le serveur RADIUS Purple pour renvoyer Tunnel-Private-Group-ID = l'ID de VLAN de votre personnel dans la réponse Access-Accept. Cela garantit que les appareils du personnel se connectent au segment de réseau de l'entreprise, séparé du trafic invité au niveau de la couche 2 (Layer 2).

Partie 3 : WiFi multi-locataire à l'aide de PPSK et de l'orientation dynamique des VLAN

La clé PPSK (Private Pre-Shared Key) - également appelée iPSK (Identity PSK) dans la documentation de certains fournisseurs - permet à un seul SSID de desservir plusieurs groupes d'utilisateurs isolés. Chaque groupe reçoit une phrase de passe unique. Le serveur RADIUS associe chaque phrase de passe à un VLAN spécifique, offrant ainsi une isolation réseau par locataire sans la surcharge RF de plusieurs SSID.

Figure 2 : Segmentation VLAN multi-locataire PPSK sur un seul SSID ALE OmniAccess.

Étape 1 : Créer l'SSID PPSK

Créez un nouveau profil WLAN et définissez le type d'authentification sur WPA2-PSK avec validation PSK basée sur RADIUS. Dans le firmware Stellar 4.0.8.16 et versions ultérieures (pour les modèles AP1301 et supérieurs), l'attribution dynamique de VLAN via RADIUS est prise en charge en mode Express. Pour les modèles plus anciens ou les firmwares antérieurs, utilisez le mode géré par OmniVista.

Étape 2 : Définir les phrases de passe des locataires dans Purple

Dans le portail Purple, créez un groupe PPSK pour chaque locataire. Attribuez une phrase de passe unique par locataire et associez chaque phrase de passe à l'ID de VLAN correspondant. Purple stocke ces mappages dans sa base de données RADIUS.

Étape 3 : Configurer les attributs RADIUS pour l'orientation des VLAN

Assurez-vous que le serveur RADIUS Purple renvoie les attributs standard de l'IETF suivants dans chaque réponse Access-Accept :

Numéro d'attribut	Nom de l'attribut	Valeur
64	Tunnel-Type	13 (VLAN)
65	Tunnel-Medium-Type	6 (IEEE 802 / Ethernet)
81	Tunnel-Private-Group-ID	ID de VLAN (ex. "30")

Les trois attributs doivent être présents. Si l'un d'eux est manquant, l'AP ALE ignore l'attribution de VLAN et place le client sur le VLAN par défaut.

Étape 4 : Vérifier le trunking VLAN sur la liaison montante (uplink)

Assurez-vous que tous les VLAN des locataires sont étiquetés (tagged) sur le port de liaison montante entre l'AP ALE et le commutateur de distribution. Un AP ne peut pas orienter le trafic vers un VLAN qui n'est pas autorisé sur son trunk de liaison montante.

Bonnes pratiques

Les recommandations suivantes reflètent les pratiques standard pour les déploiements sans fil d'entreprise et s'alignent sur les exigences IEEE 802.1X, PCI DSS 4.0 et GDPR.

Séparez le WiFi invité du WiFi du personnel au niveau de la couche 2 (Layer 2). Ne placez jamais le trafic invité et le trafic du personnel sur le même VLAN. Utilisez l'attribution de VLAN pilotée par RADIUS pour appliquer cette séparation automatiquement, quel que soit l'AP auquel l'utilisateur se connecte.

Utilisez le protocole HTTPS pour toutes les redirections de Captive Portal. Installez un certificat SSL valide sur l'AP ALE pour activer la redirection HTTPS. Cela empêche les navigateurs d'afficher des avertissements de sécurité sur la page d'accueil (splash page), ce qui réduit les taux d'abandon et s'aligne sur les exigences du GDPR en matière de traitement sécurisé des données.

Définissez l'intervalle d'Accounting RADIUS sur 300 secondes. Cela fournit à Purple des mises à jour régulières des sessions pour garantir la précision des analyses. Un intervalle supérieur à 600 secondes risque de faire perdre des données de session si un client se déconnecte sans une désauthentification propre.

Testez le Walled Garden avant la mise en service. Connectez un appareil de test au SSID du WiFi invité et tentez d'accéder à chaque fournisseur de connexion sociale. Si une connexion échoue, le domaine correspondant est manquant dans le Walled Garden.

Segmentez les appareils IoT à l'aide de PPSK. Dans les environnements de vente au détail et d'hôtellerie, les appareils IoT tels que l'affichage numérique, les terminaux de paiement et les capteurs environnementaux doivent chacun recevoir un PPSK unique associé à un VLAN isolé. Cela empêche un appareil IoT compromis d'accéder au réseau plus large.

Pour en savoir plus sur les normes et l'architecture de sécurité WiFi d'entreprise, consultez notre guide de sécurité WiFi d'entreprise .

Dépannage et atténuation des risques

Le tableau suivant présente les modes de défaillance les plus courants lors des intégrations d'ALE OmniAccess et de Purple.

Symptôme	Cause la plus probable	Résolution
Le Captive Portal n'apparaît pas	Mauvaise configuration du Walled Garden ou DNS manquant	Vérifiez que les domaines Purple sont sur liste blanche ; vérifiez que la plage DHCP inclut un serveur DNS valide
L'authentification RADIUS échoue	Incohérence du secret partagé ou pare-feu bloquant l'UDP 1812/1813	Saisissez à nouveau le secret partagé depuis le portail Purple ; confirmez que les règles de pare-feu autorisent l'UDP sortant 1812 et 1813
Les utilisateurs se retrouvent sur le mauvais VLAN	Attributs de tunnel RADIUS manquants ou limitation du firmware de l'AP	Confirmez que les trois attributs RADIUS (64, 65, 81) sont renvoyés ; vérifiez que la version du firmware ALE prend en charge le VLAN dynamique
Le bouton de connexion sociale échoue	Domaine du fournisseur social manquant dans le Walled Garden	Ajoutez les domaines de fournisseurs sociaux requis tà la liste d'accès de pré-authentification
Le Captive Portal HTTPS affiche un avertissement de certificat	Certificat générique (wildcard) utilisé ou aucun certificat installé	Installez un certificat SSL spécifique au domaine via Système > Général > Gestion des certificats
Données de session manquantes dans les analyses Purple	RADIUS Accounting désactivé ou intervalle trop long	Activez RADIUS Accounting ; définissez l'intervalle sur 300 secondes

Pour les problèmes RADIUS persistants, activez la journalisation de débogage sur l'AP ALE et capturez l'échange RADIUS. Recherchez les messages Access-Reject et vérifiez le code de motif de rejet. Les codes courants incluent 16 (échec d'authentification) et 18 (attribut manquant).

ROI et impact commercial

Déployer Purple sur le matériel ALE OmniAccess transforme un réseau passif en un actif de données actif. Chaque session authentifiée génère un profil de visiteur : adresse e-mail, fréquence des visites, temps de séjour et type d'appareil. Ces données de première partie alimentent directement votre CRM via la bibliothèque de plus de 400 connecteurs de Purple.

Harrods a obtenu un ROI marketing de 57x grâce au déploiement de son Guest WiFi en utilisant la capture de données de Purple pour stimuler les inscriptions au programme de fidélité (étude de cas Purple, 2023). AGS Airports a généré un ROI de 842 % en implémentant un WiFi payant à bande passante échelonnée sur l'ensemble de son parc (étude de cas Purple, 2022).

Pour les opérateurs du secteur de l' hôtellerie , le Captive Portal est le principal point de contact pour la capture des données des clients. Pour les environnements de la vente au détail , il permet d'analyser le comportement des acheteurs et de proposer des promotions ciblées. Pour les hubs de transport , il fournit des données sur le flux de passagers et un enregistrement des sessions conforme aux réglementations.

La plateforme Guest WiFi et les outils WiFi Analytics de Purple vous fournissent l'infrastructure de reporting nécessaire pour mesurer ces résultats. Suivez les taux d'authentification, les durées de session, les taux de visiteurs récurrents et les conversions d'opt-in depuis un tableau de bord unique.

Pour obtenir des conseils d'intégration connexes, consultez le guide d'intégration WatchGuard Firebox , qui présente une architecture similaire basée sur RADIUS sur une plateforme matérielle différente.

Définitions clés

PPSK (Private Pre-Shared Key)

A security method where individual users or devices are issued unique passphrases for a single SSID, rather than sharing one global password. The RADIUS server maps each passphrase to a specific policy or VLAN.

Used in Multi-Tenant WiFi to isolate traffic between tenants, residents, or event groups without deploying multiple SSIDs.

RADIUS (Remote Authentication Dial-In User Service)

A networking protocol defined in RFC 2865 that provides centralised Authentication, Authorization, and Accounting (AAA) management for users connecting to a network service.

The core protocol Purple uses to communicate with ALE hardware. The ALE AP sends Access-Request messages; Purple responds with Access-Accept or Access-Reject.

Dynamic VLAN steering

The process of assigning a connected device to a specific VLAN based on RADIUS attributes returned during authentication, rather than a static VLAN configured on the SSID.

Essential for multi-tenant deployments where different user groups must be isolated on the same physical AP infrastructure.

Walled Garden

A controlled environment that restricts a device's internet access to a predefined set of domains before authentication is complete.

Required to allow devices to reach the Purple captive portal and external identity providers before the user has logged in.

Captive portal

A web page that intercepts a user's browser session and requires them to authenticate or accept terms before gaining full network access.

The primary interface where visitors provide consent and first-party data. Purple hosts this page in the cloud; the ALE AP performs the redirect.

Identity-Based Network

A network architecture where access policies, VLAN assignments, and bandwidth controls are determined by who the user is, rather than where or how they connect.

The architectural outcome of integrating ALE hardware with Purple's authentication overlay.

802.1X

An IEEE standard for port-based network access control that provides an authentication mechanism for devices connecting to a LAN or WLAN. It requires a supplicant on the client device, an authenticator (the AP), and an authentication server (RADIUS).

The standard used for secure Staff WiFi deployments. Eliminates shared passwords and ties access to individual user identities.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

A certificate-based EAP method where both the client and the RADIUS server present digital certificates for mutual authentication.

The most secure 802.1X method. Requires a PKI infrastructure to issue client certificates, but eliminates password-based credential theft entirely.

PEAP (Protected Extensible Authentication Protocol)

An EAP method that tunnels the inner authentication exchange inside a TLS session, protecting credentials in transit. Commonly used with MSCHAPv2 as the inner method.

The most common 802.1X method in enterprise deployments. Requires only a server-side certificate and works with standard OS supplicants.

NAS (Network Access Server)

In RADIUS terminology, the device that enforces access control - in this case, the ALE OmniAccess Stellar AP. The NAS forwards authentication requests to the RADIUS server and enforces the policies returned.

The ALE AP acts as the NAS in the Purple integration. Its IP address and shared secret must be registered in the Purple portal as a trusted NAS client.

Exemples concrets

A 200-room hotel in central London uses ALE OmniAccess Stellar APs throughout the property. They need to serve hotel guests, back-of-house staff, and a ground-floor restaurant as three completely separate network segments. They want to avoid broadcasting multiple SSIDs to preserve RF performance.

Deploy a single secure SSID using PPSK. Configure the ALE OmniAccess APs to authenticate against the Purple RADIUS server. In the Purple portal, create three PPSK groups: Hotel Guests (VLAN 10), Staff (VLAN 20), and Restaurant (VLAN 30). The RADIUS server returns Tunnel-Private-Group-ID = 10, 20, or 30 depending on which passphrase the device uses. The ALE AP dynamically steers each device to the correct VLAN. Hotel guests receive internet access only. Staff receive access to the property management system. The restaurant receives an isolated segment for their EPOS terminals.

Commentaire de l'examinateur : This approach eliminates three SSIDs and replaces them with one, reducing co-channel interference and management overhead. The key technical requirement is that all three VLANs must be tagged on the uplink trunk between the AP and the distribution switch. If any VLAN is missing from the trunk, devices using that passphrase will fail to receive a DHCP address.

A conference centre hosts 15 corporate events simultaneously. Each event organiser needs their own isolated WiFi network for attendees, but the venue only has a single ALE OmniAccess infrastructure. The venue IT team needs to provision and de-provision networks quickly between events.

Use Purple's PPSK management to create per-event passphrases mapped to dedicated event VLANs. The venue pre-configures 15 VLAN segments on the ALE infrastructure. For each event, the IT team creates a new PPSK entry in the Purple portal, assigns it to the correct VLAN, and provides the passphrase to the event organiser. At the end of the event, they revoke the passphrase in Purple. The ALE AP immediately stops accepting that passphrase, isolating the de-provisioned VLAN. No AP reconfiguration is required.

Commentaire de l'examinateur : This architecture separates the provisioning workflow from the hardware configuration. The ALE APs remain static; all changes happen in the Purple cloud. This is the practical advantage of a cloud overlay: you can add, modify, or revoke access without touching the physical infrastructure. For events environments, this reduces provisioning time from hours to minutes.

Questions d'entraînement

Q1. You have configured the Alcatel-Lucent captive portal on an ALE OmniAccess Stellar AP. Guests connect to the SSID and receive an IP address, but their devices show 'No Internet Connection' and the splash page does not appear. What are the two most likely causes, and how do you resolve each?

Conseil : Consider what must happen at the DNS and HTTP layer before the captive portal redirect can occur.

Voir la réponse type

Cause 1: The DHCP scope does not include a valid DNS server. Without DNS, the client cannot resolve the captive portal URL and the OS captive portal detection mechanism fails. Resolution: Add a valid DNS server (e.g., 8.8.8.8) to the DHCP scope on the guest VLAN. Cause 2: The Walled Garden does not include the Purple portal domains. Without these, the AP blocks the redirect request before it reaches the client. Resolution: Add region1.purpleportal.net, venuewifi.com, and cloudfront.net to the pre-authentication access list.

Q2. Your Multi-Tenant WiFi deployment uses PPSK on a single ALE OmniAccess SSID. Users authenticate successfully - the Purple portal shows successful logins - but all users receive IP addresses from VLAN 1 instead of their assigned tenant VLANs. What is the most likely cause?

Conseil : Check the communication between the RADIUS server and the AP, and the AP's uplink configuration.

Voir la réponse type

There are two likely causes. First, the Purple RADIUS server may not be returning all three required RADIUS tunnel attributes (64, 65, 81) in the Access-Accept message. Verify the enforcement policy includes Tunnel-Type = 13, Tunnel-Medium-Type = 6, and Tunnel-Private-Group-ID = the correct VLAN ID. Second, the tenant VLANs may not be tagged on the uplink trunk between the ALE AP and the distribution switch. If the VLAN does not exist on the trunk, the AP cannot steer traffic to it, even if the RADIUS attributes are correct.

Q3. A venue requires that guest sessions are automatically terminated after 60 minutes, and that guests who return within 24 hours are recognised and bypass the registration form. How should this be configured in the Purple and ALE architecture?

Conseil : Consider which system controls session lifetime and which system controls returning visitor recognition.

Voir la réponse type

Session termination is controlled via the RADIUS Session-Timeout attribute. Configure the Purple RADIUS server to include Session-Timeout = 3600 (seconds) in the Access-Accept message. The ALE AP will disconnect the client after 3600 seconds. Returning visitor recognition is controlled in the Purple portal. Enable the 'remember device' or MAC-based re-authentication setting for your venue. When a returning visitor connects within the configured window, Purple's RADIUS server recognises their MAC address and returns an Access-Accept without requiring the splash page interaction, providing a seamless reconnection experience.

Q4. You are deploying Staff WiFi using 802.1X on ALE OmniAccess Stellar APs. Your organisation uses Microsoft Entra ID as the identity provider. Staff devices are Windows 11 laptops managed via Intune. Which EAP method should you use, and what certificate requirements apply?

Conseil : Consider the balance between security, deployment complexity, and the capabilities of the existing infrastructure.

Voir la réponse type

Use PEAP with MSCHAPv2 as the EAP method. This requires only a server-side certificate on the Purple RADIUS server (already provisioned by Purple) and leverages the user's Entra ID credentials for authentication. No client certificates are required, which simplifies deployment on Intune-managed devices. Configure the Windows 11 supplicant via an Intune Wi-Fi profile, specifying the SSID, WPA2-Enterprise security, PEAP method, and the Purple RADIUS server certificate thumbprint for server validation. If your security policy requires certificate-based mutual authentication, upgrade to EAP-TLS and deploy client certificates via Intune SCEP profiles, but this adds significant PKI management overhead.

Continuer la lecture de cette série

Intégration d'Alta Labs avec Purple WiFi : Configuration et paramétrage du Captive Portal

Ce guide de référence technique couvre l'intégration de bout en bout des points d'accès Alta Labs AP6 et AP6 Pro avec le Captive Portal hébergé dans le cloud de Purple. Il détaille la configuration de la redirection externe, l'authentification RADIUS, les exigences de walled garden et la segmentation multi-tenant à l'aide des clés pré-partagées privées (PPSK) AltaPass. Les exploitants de sites et les équipes informatiques disposeront d'un guide de déploiement reproductible pour les environnements de l'hôtellerie, du commerce de détail et des bureaux intelligents.

Intégration de WatchGuard Firebox avec Purple WiFi : Guide d'installation et de configuration

Ce guide est un manuel d'intégration étape par étape destiné aux responsables informatiques et aux architectes réseau qui déploient WatchGuard Firebox et des points d'accès avec Purple. Il couvre la redirection vers un Captive Portal externe pour le Guest WiFi, l'authentification sécurisée 802.1X pour le Staff WiFi, et la segmentation multi-tenant à l'aide des clés privées pré-partagées (PPSK) de WatchGuard avec routage VLAN dynamique, vous offrant ainsi une architecture unique et unifiée sur tous les niveaux d'accès.

Aruba ClearPass et Purple WiFi : Guide d'intégration et de déploiement

Ce guide fournit une référence technique complète pour l'intégration de HPE Aruba ClearPass Policy Manager avec la plateforme Purple WiFi, couvrant l'architecture de proxy RADIUS, la configuration du Captive Portal et le mappage dynamique des rôles VLAN. Il est conçu pour les responsables informatiques et les architectes réseau dans des environnements fortement basés sur Aruba qui ont besoin de conserver ClearPass pour le NAC tout en déployant Purple pour l'authentification des invités et l'analyse. La mise en œuvre de cette intégration comble une lacune critique entre les fournisseurs, permettant une sécurité et une conformité de niveau entreprise, parallèlement aux capacités d'intelligence des visiteurs de Purple, leader sur le marché.