Alcatel-Lucent Enterprise (ALE) OmniAccess Integration with Purple WiFi

Questa guida dettaglia l'integrazione tecnica tra gli access point Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar e Purple WiFi. Copre il reindirizzamento del Captive Portal, l'autenticazione RADIUS, la configurazione del Walled Garden, il WiFi protetto per il personale tramite 802.1X e la segmentazione WiFi Multi-Tenant tramite chiavi pre-condivise private (PPSK) con instradamento dinamico della VLAN, offrendo a responsabili IT e architetti di rete un riferimento completo e pratico per l'implementazione di reti basate sull'identità su hardware ALE.

📖 9 minuti di lettura📝 2,047 parole🔧 2 esempi pratici❓ 4 domande di esercitazione📚 10 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Benvenuti al briefing tecnico di Purple. Oggi parleremo dell'integrazione di Alcatel-Lucent Enterprise OmniAccess Stellar con Purple WiFi. Questo briefing è rivolto a IT manager, network architect e direttori delle operazioni della sede che devono implementare reti wireless sicure, scalabili e intelligenti.

Iniziamo con il contesto. Avete una sede. Forse un hotel, una catena di negozi o uno stadio. Avete investito nell'hardware ALE OmniAccess. Ora dovete estrarre valore di business da quella infrastruttura. Dovete acquisire dati di prima parte, segmentare i vostri utenti in modo sicuro e offrire un'esperienza di onboarding fluida. È qui che entra in gioco l'overlay cloud di Purple.

Purple opera in oltre 80.000 sedi attive in tutto il mondo e ha gestito più di 440 milioni di login nel 2024. È indipendente dall'hardware (hardware-agnostic), il che significa che si sovrappone alla vostra infrastruttura ALE esistente senza richiedere alcuna sostituzione dell'hardware. L'intera logica di autenticazione e acquisizione dei dati risiede nel cloud di Purple.

Il nucleo di questa integrazione si basa su RADIUS. Quando un ospite entra nella vostra sede e si connette alla rete WiFi Guest aperta tramite SSID, l'AP ALE intercetta il suo traffico web. Invece di consentire l'accesso diretto a Internet, reindirizza il browser a un Captive Portal ospitato da Purple. Questa è la vostra splash page. È qui che presentate il vostro marchio, raccogliete indirizzi email o offrite il login social tramite Facebook, LinkedIn o Google.

Una volta che l'utente ha inviato i propri dati, il server RADIUS cloud di Purple lo autentica e invia un messaggio Access-Accept all'AP ALE. L'AP disabilita quindi le regole del firewall e concede l'accesso a Internet. L'intero flusso richiede meno di tre secondi.

Ora entriamo nel dettaglio tecnico. Come si configura concretamente?

Innanzitutto, è necessario configurare le impostazioni del server RADIUS nell'interfaccia di gestione OmniVista o Stellar. Dovrete inserire gli indirizzi IP RADIUS di Purple, impostare la porta di autenticazione su 1812 e la porta di accounting su 1813. In particolare, assicuratevi che il RADIUS Accounting sia abilitato con un intervallo di 300 secondi. Questo è ciò che trasmette i dati di sessione a Purple per l'analisi e la registrazione della conformità.

Il passo successivo è il Walled Garden. Questo rappresenta un ostacolo per molte distribuzioni. Prima che un utente sia autenticato, non ha accesso a Internet. Tuttavia, deve poter raggiungere il portale Purple per effettuare l'accesso. È necessario inserire i domini Purple nella whitelist dell'elenco degli accessi pre-autenticazione. I domini principali sono region1.purpleportal.net, venuewifi.com e cloudfront.net. Se utilizzate il login tramite Facebook o LinkedIn, dovete inserire in whitelist anche i loro domini. Se il Walled Garden è configurato in modo errato, il Captive Portal non si caricherà. Senza eccezioni.

Per la configurazione dell'SSID, create una nuova rete wireless, impostate il livello di sicurezza su Open e abilitate l'opzione Captive Portal esterno. Indirizzate l'URL di reindirizzamento all'URL specifico della vostra splash page Purple, che troverete nel portale Purple sotto le impostazioni hardware della vostra sede.

Passiamo a uno scenario più avanzato: il WiFi Multi-Tenant. Immagina uno spazio di coworking o uno studentato. Ci sono più tenant che hanno bisogno di reti sicure e isolate. Non vuoi trasmettere 20 SSID diversi: questo distruggerebbe le prestazioni RF e creerebbe una pessima esperienza utente.

La soluzione è la tecnologia PPSK (Private Pre-Shared Keys) combinata con lo steering dinamico delle VLAN. Trasmetti un unico SSID sicuro, ma ogni tenant riceve una passphrase univoca. Quando il Tenant A inserisce la propria passphrase, l'AP ALE invia la richiesta al server RADIUS di Purple. Purple riconosce la passphrase, autentica l'utente e restituisce un messaggio di Access-Accept.

Ma ecco la parte importante: quel messaggio include attributi RADIUS specifici. L'attributo 64 per Tunnel-Type, impostato su 13 per VLAN. L'attributo 65 per Tunnel-Medium-Type, impostato su 6 per Ethernet. E l'attributo 81, il Tunnel-Private-Group-ID, che contiene l'ID effettivo della VLAN. L'AP ALE riceve queste informazioni e inserisce il Tenant A direttamente nella VLAN 30. Quando il Tenant B accede con una passphrase diversa, finisce sulla VLAN 40. Un solo SSID, isolamento totale a livello Layer 2. Questo è il networking basato sull'identità (Identity-Based Networking) all'atto pratico.

Vediamo un esempio reale. Un hotel di 200 camere ha implementato questa architettura sulla propria rete esistente di AP ALE OmniAccess Stellar. Avevano l'esigenza di servire gli ospiti dell'hotel, il personale interno e un ristorante al piano terra come tre segmenti di rete completamente separati. Invece di implementare tre SSID, hanno utilizzato il PPSK con lo steering dinamico delle VLAN. Il risultato è stato un unico SSID, tre VLAN isolate e una drastica riduzione dei costi di gestione rispetto al precedente approccio multi-SSID.

Ora parliamo di raccomandazioni per l'implementazione e di errori comuni da evitare.

In primo luogo, mantieni un design indipendente dall'hardware (hardware-agnostic). Costruisci le tue policy in Purple, non sul controller locale. Questo ti permetterà di scalare o cambiare fornitore di hardware in futuro senza dover ricostruire da zero le tue policy di sicurezza.

In secondo luogo, fai attenzione alle versioni del firmware. Assicurati che i tuoi AP ALE eseguano un firmware che supporti esplicitamente l'assegnazione dinamica delle VLAN tramite RADIUS. Le versioni precedenti del firmware Stellar potrebbero non supportare completamente l'attributo Tunnel-Private-Group-ID. Controlla le note di rilascio di ALE prima dell'installazione.

In terzo luogo, il DNS è al tempo stesso tuo amico e tuo nemico. Se il tuo Captive Portal non viene visualizzato, controlla prima di tutto lo scope DHCP. Se il client non riceve un server DNS valido, non può risolvere l'URL del portale e l'intero processo si interrompe. Questo è il problema di supporto in assoluto più comune nelle installazioni di Captive Portal.

In quarto luogo, per un WiFi aziendale sicuro per il personale che utilizza lo standard 802.1X, usa PEAP con MSCHAPv2 nella maggior parte degli ambienti, oppure EAP-TLS per le implementazioni basate su certificati. Il server RADIUS di Purple supporta entrambi. I dispositivi del personale si autenticano tramite Microsoft Entra ID o Okta e il server RADIUS restituisce l'assegnazione della VLAN appropriata per il segmento di rete del personale.

Facciamo ora una rapida sessione di domande e risposte.

Domanda: Posso utilizzare questa integrazione per la conformità PCI DSS in un ambiente retail?

Risposta: Sì. Utilizzando il dynamic VLAN steering, è possibile garantire che i dispositivi dei punti vendita siano sempre collocati su una VLAN isolata, completamente separata dal traffico degli ospiti. Ciò soddisfa i requisiti di segmentazione della rete previsti dallo standard PCI DSS 4.0.

Domanda: Purple richiede un'apparecchiatura hardware in loco?

Risposta: No. Purple è un overlay cloud. Comunica direttamente con l'hardware ALE esistente tramite RADIUS standard su Internet. Non c'è nulla da montare a rack.

Domanda: Cosa succede se il cloud di Purple non è raggiungibile?

Risposta: È possibile configurare una policy di fallback sull'AP ALE. Per le reti ospiti, è possibile consentire l'accesso aperto come fallback. Per le reti del personale, configurare un fallback deny-all per mantenere la sicurezza.

Domanda: Posso acquisire dati analitici dall'integrazione?

Risposta: Sì. Ogni sessione autenticata genera un profilo visitatore nella piattaforma Purple. Si ottengono tempo di permanenza, frequenza delle visite, tipo di dispositivo e dati demografici dal modulo di registrazione. Questi dati vengono inviati direttamente al CRM tramite la libreria di oltre 400 connettori di Purple.

Per riassumere i punti chiave del briefing di oggi.

Uno: L'integrazione di ALE OmniAccess con Purple utilizza RADIUS standard sulle porte 1812 and 1813. Non sono richiesti protocolli proprietari.

Due: Il Walled Garden è fondamentale. Se si sbaglia, il Captive Portal non si caricherà. Inserisci i domini Purple in whitelist prima di qualsiasi altra cosa.

Tre: Il PPSK con dynamic VLAN steering è l'architettura corretta per gli ambienti multi-tenant. Un solo SSID, password univoche, VLAN isolate per ogni tenant.

Quattro: Gli attributi RADIUS 64, 65 e 81 sono i tre necessari per l'assegnazione dinamica della VLAN. Se ne manca anche uno solo, lo steering fallisce.

Cinque: Purple è indipendente dall'hardware. Le policy risiedono nel cloud, non sul controller. Ciò offre la flessibilità necessaria per scalare tra diversi fornitori di hardware.

Il passo successivo consiste nell'accedere al portale Purple, navigare nelle impostazioni hardware della propria sede e recuperare le credenziali RADIUS specifiche e l'URL della splash page. Quindi, seguire i passaggi di configurazione descritti in questa guida per connettere l'infrastruttura ALE OmniAccess al cloud di Purple.

Grazie per aver seguito questo briefing tecnico di Purple. Per ulteriori informazioni, visita purple.ai.

Punti chiave

✓Gli AP ALE OmniAccess Stellar si integrano con Purple utilizzando lo standard RADIUS sulle porte 1812 e 1813 - non sono richiesti protocolli proprietari o appliance in loco.
✓Il Walled Garden è il punto di errore di implementazione più comune. Inserisci nella whitelist tutti i domini del portale Purple e i domini dei provider di social login prima della messa in servizio.
✓Il PPSK con indirizzamento dinamico della VLAN è l'architettura corretta per gli ambienti multi-tenant. Un unico SSID, passphrase univoche per ogni tenant, VLAN isolate tramite i RADIUS Attributes 64, 65 e 81.
✓Tutti e tre gli attributi del tunnel RADIUS devono essere presenti nel messaggio Access-Accept. Se l'Attribute 81 (Tunnel-Private-Group-ID) è mancante, l'AP ALE ignora l'assegnazione della VLAN.
✓Purple funziona come un overlay cloud. Le policy risiedono nel portale Purple, non sul controller locale, offrendo una flessibilità indipendente dall'hardware per scalare o sostituire l'infrastruttura.
✓Imposta l'accounting RADIUS a intervalli di 300 secondi per garantire che dati di sessione accurati fluiscano nella piattaforma di analytics di Purple.
✓Purple possiede le certificazioni ISO 27001, GDPR, CCPA e Cyber Essentials, risultando idoneo per ambienti regolamentati che includono sanità, settore pubblico e implementazioni retail conformi a PCI DSS.

Executive summary

Gli access point Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar si integrano con Purple utilizzando protocolli RADIUS standard e il reindirizzamento a un Captive Portal esterno. Non è richiesto alcun middleware proprietario. Purple funziona come un overlay cloud, posizionandosi al di sopra dell'infrastruttura ALE esistente e gestendo l'autenticazione, l'acquisizione dei dati e i criteri di sessione senza richiedere modifiche all'hardware.

Questa guida copre tre scenari di implementazione. Primo, Guest WiFi con reindirizzamento al Captive Portal esterno e configurazione del Walled Garden. Secondo, Staff WiFi sicuro utilizzando 802.1X con PEAP o EAP-TLS. Terzo, Multi-Tenant WiFi utilizzando Private Pre-Shared Keys (PPSK) e instradamento dinamico delle VLAN tramite gli attributi RADIUS 64, 65 e 81.

Purple serve più di 80.000 sedi attive e ha elaborato oltre 440 milioni di accessi nel 2024 (dati interni Purple, 2024). Possiede le certificazioni ISO 27001, GDPR, CCPA e Cyber Essentials. La piattaforma opera con un uptime del 99,999%, rendendola un backend di autenticazione affidabile per le implementazioni aziendali.

Se sei un IT manager o un network architect che distribuisce hardware ALE OmniAccess in ambienti del settore alberghiero, retail, eventi o nel settore pubblico, questa guida ti offre i passaggi di configurazione esatti per passare dall'hardware a una rete basata sull'identità completamente operativa.

Architettura tecnica e flusso di integrazione

L'integrazione di Purple con ALE OmniAccess Stellar si basa su due protocolli standard: RADIUS per l'autenticazione e l'accounting, e il reindirizzamento HTTP/HTTPS per l'erogazione del Captive Portal. L'AP ALE funge da Network Access Server (NAS), inoltrando le richieste di autenticazione al server RADIUS cloud di Purple e applicando i criteri restituiti nella risposta Access-Accept.

Figura 1: Flusso di autenticazione tra il dispositivo ospite, l'AP ALE OmniAccess Stellar e il cloud RADIUS di Purple.

Il flusso funziona come segue. Un visitatore si connette all'SSID Guest WiFi aperto. L'AP ALE assegna un indirizzo IP temporaneo dal pool DHCP di pre-autenticazione e intercetta la prima richiesta HTTP o HTTPS del visitatore. L'AP reindirizza il browser all'URL del Captive Portal di Purple, passando l'indirizzo MAC del client e l'identificatore NAS dell'AP come parametri URL. Il visitatore si autentica tramite la pagina di benvenuto di Purple, utilizzando l'e-mail, il login social o la verifica tramite SMS. Il server RADIUS di Purple convalida la sessione e restituisce un messaggio Access-Accept all'AP ALE. L'AP concede l'accesso a Internet e inizia a inviare aggiornamenti di RADIUS Accounting a Purple all'intervallo configurato. Per installazioni avanzate che utilizzano PPSK e la gestione dinamica della VLAN, il messaggio RADIUS Access-Accept include anche gli attributi di assegnazione della VLAN. L'AP ALE li utilizza per indirizzare il traffico del client direttamente sul segmento VLAN corretto, isolandolo dagli altri utenti sulla stessa infrastruttura fisica.

Guida all'implementazione

Parte 1: WiFi per ospiti con Captive Portal esterno

Questa sezione tratta la configurazione del Captive Portal Alcatel-Lucent per il reindirizzamento esterno a Purple. Questi passaggi si applicano agli AP ALE OmniAccess Stellar gestiti tramite OmniVista Cirrus, OmniVista 2500 o l'interfaccia web Stellar Express.

Passaggio 1: Recuperare le credenziali RADIUS di Purple

Accedi al tuo portale Purple. Vai su Management > Venues, seleziona la tua sede e apri la sezione Hardware. Aggiungi un nuovo elemento hardware e seleziona Alcatel-Lucent OmniAccess Stellar come tipo di hardware. Purple genera un segreto condiviso RADIUS unico, l'IP del server di autenticazione e l'URL del Captive Portal per la tua sede. Registra questi valori prima di procedere.

Passaggio 2: Configurare il server RADIUS sull'AP ALE

Nell'interfaccia di gestione ALE, passa alle impostazioni di autenticazione e aggiungi un nuovo profilo server RADIUS.

Parametro	Valore
Server IP / Hostname	Come fornito nel portale Purple
Porta di autenticazione	1812
Porta di accounting	1813
Segreto condiviso	Come fornito nel portale Purple
Accounting RADIUS	Abilitato
Intervallo di accounting	300 secondi

Abilita un server RADIUS secondario utilizzando l'IP di backup del portale Purple. Ciò garantisce il failover se il server principale è temporaneamente irraggiungibile.

Passaggio 3: Configurare il Walled Garden

Il Walled Garden definisce i domini che un dispositivo può raggiungere prima del completamento dell'autenticazione. Configura le seguenti voci nell'elenco di accesso pre-autenticazione:

Domini Purple principali (obbligatori):

Dominio	Scopo
region1.purpleportal.net	Captive Portal Purple
venuewifi.com	Gestione della sessione Purple
cloudfront.net	CDN per gli elementi del portale
openweathermap.org	Widget meteo (opzionale)
stripe.com	Pagamenti WiFi a pagamento (se applicabile)

Domini per il login social (aggiungi come richiesto):

Provider	Domini
Facebook	facebook.com, fbcdn.net, connect.facebook.net
LinkedIn	linkedin.com, licdn.net
Google	accounts.google.com, googleapis.com

L'omissione di qualsiasi dominio richiesto causerà il fallimento invisibile del metodo di login corrispondente. Verifica ciascun metodo di login dopo la configurazione.

Passaggio 4: Configurare l'SSID del WiFi ospiti

Crea un nuovo profilo WLAN con le seguenti impostazioni:

Parametro	Valore
Livello di sicurezza	Aperto
Captive Portal	Abilitato
Tipo di Captive Portal	Esterno
URL di reindirizzamento	Come fornito nel portale Purple
Reindirizzamento HTTPS	Disabilitato (a meno che non sia installato un certificato SSL)
Timeout inattività	1800 secondi (30 minuti)
Profilo server RADIUS	Profilo RADIUS Purple (creato al Passaggio 2)
Se si richiede il reindirizzamento HTTPS, installare un certificato SSL valido nell'AP ALE in System > General > Certificate Management. Nota: i certificati wildcard non sono supportati dall'AP Stellar per questo scopo.

Step 5: Assegnare l'SSID a un gruppo AP

Applicare il profilo WLAN al gruppo AP pertinente in OmniVista. Verificare che gli AP stiano trasmettendo l'SSID e che i client possano associarsi prima di testare il flusso del Captive Portal.

Part 2: Secure Staff WiFi using 802.1X

Per il WiFi del personale, utilizzare WPA2-Enterprise o WPA3-Enterprise con autenticazione 802.1X. Questo elimina le password condivise e associa l'accesso alle singole identità utente gestite in Microsoft Entra ID, Okta o Google Workspace.

Step 1: Configurare l'SSID 802.1X

Creare un profilo WLAN separato per il personale. Impostare il tipo di sicurezza su WPA2-Enterprise o WPA3-Enterprise e assegnare il server RADIUS Purple come backend di autenticazione. Il server RADIUS di Purple inoltra le richieste di autenticazione al proprio identity provider tramite LDAP o SAML.

Step 2: Selezionare il metodo EAP

Nella maggior parte delle installazioni, utilizzare PEAP con MSCHAPv2. Questo richiede solo un certificato lato server e funziona con i supplicant standard Windows, macOS, iOS e Android. Per ambienti a sicurezza più elevata, utilizzare EAP-TLS con certificati client emessi tramite la propria PKI.

Step 3: Assegnare il personale a una VLAN dedicata

Configurare il server RADIUS di Purple per restituire Tunnel-Private-Group-ID = ID della VLAN del personale nella risposta Access-Accept. Questo assicura che i dispositivi del personale si colleghino al segmento di rete aziendale, separato dal traffico ospiti al Layer 2.

Part 3: Multi-Tenant WiFi using PPSK and dynamic VLAN steering

Il PPSK (Private Pre-Shared Key) - denominato anche iPSK (Identity PSK) in alcune documentazioni dei produttori - consente a un singolo SSID di servire più gruppi di utenti isolati. Ogni gruppo riceve una passphrase univoca. Il server RADIUS mappa ogni passphrase a una VLAN specifica, fornendo l'isolamento della rete per singolo tenant senza il sovraccarico RF di più SSID.

Figura 2: Segmentazione VLAN multi-tenant PPSK su un singolo SSID ALE OmniAccess.

Step 1: Creare l'SSID PPSK

Creare un nuovo profilo WLAN e impostare il tipo di autenticazione su WPA2-PSK con convalida PSK basata su RADIUS. Nel firmware Stellar 4.0.8.16 e successivi (per i modelli AP1301 e superiori), l'assegnazione dinamica della VLAN tramite RADIUS è supportata in Express Mode. Per i modelli più vecchi o firmware precedenti, utilizzare la modalità gestita da OmniVista.

Step 2: Definire le passphrase dei tenant in Purple

Nel portale Purple, creare un gruppo PPSK per ciascun tenant. Assegnare una passphrase univoca per tenant e mappare ogni passphrase al corrispondente ID VLAN. Purple memorizza queste mappature nel proprio database RADIUS.

Step 3: Configurare gli attributi RADIUS per il dynamic VLAN steering

Assicurati che il server RADIUS di Purple restituisca i seguenti attributi standard IETF in ogni risposta Access-Accept:

Numero Attributo	Nome Attributo	Valore
64	Tunnel-Type	13 (VLAN)
65	Tunnel-Medium-Type	6 (IEEE 802 / Ethernet)
81	Tunnel-Private-Group-ID	ID VLAN (es. "30")

Tutti e tre gli attributi devono essere presenti. Se anche uno solo è mancante, l'AP ALE ignora l'assegnazione della VLAN e inserisce il client nella VLAN predefinita.

Passaggio 4: Verifica il trunking VLAN sull'uplink

Assicurati che tutte le VLAN dei tenant siano taggate sulla porta di uplink tra l'AP ALE e lo switch di distribuzione. Un AP non può instradare il traffico verso una VLAN che non è consentita sul suo trunk di uplink.

Best practice

Le seguenti raccomandazioni riflettono la prassi standard per le distribuzioni wireless aziendali e sono in linea con i requisiti IEEE 802.1X, PCI DSS 4.0 e GDPR.

Separa il WiFi ospiti dal WiFi del personale a livello Layer 2. Non inserire mai il traffico degli ospiti e quello del personale sulla stessa VLAN. Utilizza l'assegnazione VLAN guidata da RADIUS per applicare automaticamente questa separazione, indipendentemente dall'AP a cui l'utente si connette.

Utilizza l'HTTPS per tutti i reindirizzamenti del Captive Portal. Installa un certificato SSL valido sull'AP ALE per abilitare il reindirizzamento HTTPS. Ciò impedisce ai browser di visualizzare avvisi di sicurezza sulla splash page, riducendo i tassi di abbandono e allineandosi ai requisiti GDPR per la gestione sicura dei dati.

Imposta l'intervallo di RADIUS Accounting a 300 secondi. Questo fornisce a Purple aggiornamenti regolari sulle sessioni per l'accuratezza dei dati di analisi. Un intervallo superiore a 600 secondi rischia di causare la perdita dei dati di sessione se un client si disconnette senza una de-autenticazione pulita.

Testa il Walled Garden prima del go-live. Connetti un dispositivo di test all'SSID del WiFi ospiti e prova ad accedere a ciascun provider di login social. Se un login non va a buon fine, il dominio corrispondente è mancante dal Walled Garden.

Segmenta i dispositivi IoT utilizzando il PPSK. Negli ambienti retail e hospitality, i dispositivi IoT come la segnaletica digitale, i terminali di pagamento e i sensori ambientali dovrebbero ricevere ciascuno un PPSK univoco mappato su una VLAN isolata. Ciò impedisce a un dispositivo IoT compromesso di accedere alla rete più ampia.

Per ulteriori approfondimenti sugli standard di sicurezza e sull'architettura WiFi aziendale, consulta la nostra guida alla sicurezza WiFi aziendale .

Risoluzione dei problemi e mitigazione dei rischi

La tabella seguente copre i casi di errore più comuni nelle integrazioni tra ALE OmniAccess e Purple.

Sintomo	Causa più probabile	Risoluzione
Il Captive Portal non appare	Configurazione errata del Walled Garden o DNS mancante	Verifica che i domini Purple siano inseriti nella whitelist; controlla che lo scope DHCP includa un server DNS valido
L'autenticazione RADIUS non va a buon fine	Mancata corrispondenza del shared secret o firewall che blocca le porte UDP 1812/1813	Inserisci nuovamente il shared secret dal portale Purple; conferma che le regole del firewall consentano il traffico in uscita UDP 1812 e 1813
Gli utenti finiscono sulla VLAN errata	Attributi RADIUS Tunnel mancanti o limitazione del firmware dell'AP	Confermare che vengano restituiti tutti e tre gli attributi RADIUS (64, 65, 81); verificare che la versione del firmware ALE supporti la VLAN dinamica
Il pulsante di login social non funziona	Dominio del provider social mancante dal Walled Garden	Aggiungere i domini del provider social richiesti alla lista di accesso pre-autenticazione
Il captive portal HTTPS mostra un avviso sul certificato	Viene utilizzato un certificato wildcard o nessun certificato installato	Installare un certificato SSL specifico per il dominio tramite Sistema > Generale > Gestione Certificati
Dati di sessione mancanti negli analytics di Purple	RADIUS Accounting disabilitato o intervallo troppo lungo	Abilitare il RADIUS Accounting; impostare l'intervallo a 300 secondi

Per problemi RADIUS persistenti, abilitare la registrazione di debug sull'AP ALE e acquisire lo scambio RADIUS. Cercare i messaggi Access-Reject e verificare il codice del motivo del rifiuto. I codici comuni includono il 16 (errore di autenticazione) e il 18 (attributo mancante).

ROI e impatto aziendale

L'implementazione di Purple sull'hardware ALE OmniAccess converte una rete passiva in un asset di dati attivo. Ogni sessione autenticata genera un profilo visitatore: indirizzo email, frequenza delle visite, tempo di permanenza e tipo di dispositivo. Questi dati di prima parte alimentano direttamente il vostro CRM tramite la libreria di oltre 400 connettori di Purple.

Harrods ha ottenuto un ROI di marketing pari a 57 volte l'investimento dalla propria implementazione di Guest WiFi, utilizzando l'acquisizione dati di Purple per guidare le iscrizioni ai programmi fedeltà (case study Purple, 2023). AGS Airports ha generato un ROI dell'842% implementando un servizio WiFi a pagamento con larghezza di banda a livelli in tutte le sue strutture (case study Purple, 2022).

Per gli operatori dell' ospitalità , il captive portal è il punto di contatto principale per l'acquisizione dei dati degli ospiti. Per gli ambienti retail , consente l'analisi del comportamento degli acquirenti e promozioni mirate. Per i nodi di trasporto , fornisce dati sul flusso dei passeggeri e la registrazione delle sessioni pronta per la conformità.

La piattaforma Guest WiFi e gli strumenti di WiFi Analytics di Purple offrono l'infrastruttura di reporting necessaria per misurare questi risultati. Monitorate i tassi di autenticazione, la durata delle sessioni, i tassi di visitatori ricorrenti e le conversioni opt-in da un'unica dashboard.

Per una guida all'integrazione correlata, consultare la guida all'integrazione di WatchGuard Firebox , che copre un'architettura simile basata su RADIUS su una piattaforma hardware diversa.

Definizioni chiave

PPSK (Private Pre-Shared Key)

Un metodo di sicurezza in cui ai singoli utenti o dispositivi vengono assegnate passphrase univoche per un singolo SSID, anziché condividere un'unica password globale. Il server RADIUS associa ogni passphrase a una policy o VLAN specifica.

Utilizzato nel WiFi multi-tenant per isolare il traffico tra inquilini, residenti o gruppi di eventi senza implementare più SSID.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete definito nella RFC 2865 che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento (AAA - Authentication, Authorization, Accounting) per gli utenti che si connettono a un servizio di rete.

Il protocollo principale utilizzato da Purple per comunicare con l'hardware ALE. L'AP ALE invia messaggi di Access-Request; Purple risponde con Access-Accept o Access-Reject.

Dynamic VLAN steering

Il processo di assegnazione di un dispositivo connesso a una VLAN specifica in base agli attributi RADIUS restituiti durante l'autenticazione, anziché a una VLAN statica configurata sull'SSID.

Essenziale per le implementazioni multi-tenant in cui diversi gruppi di utenti devono essere isolati sulla stessa infrastruttura AP fisica.

Walled Garden

Un ambiente controllato che limita l'accesso a Internet di un dispositivo a un insieme predefinito di domini prima che l'autenticazione sia completata.

Richiesto per consentire ai dispositivi di raggiungere il Captive Portal di Purple e gli identity provider esterni prima che l'utente abbia effettuato l'accesso.

Captive portal

Una pagina web che intercetta la sessione del browser di un utente e richiede di autenticarsi o accettare i termini prima di ottenere l'accesso completo alla rete.

L'interfaccia principale in cui i visitatori forniscono il consenso e i dati di prima parte. Purple ospita questa pagina nel cloud; l'AP ALE esegue il reindirizzamento.

Identity-Based Network

Un'architettura di rete in cui le policy di accesso, le assegnazioni delle VLAN e i controlli della larghezza di banda sono determinati dall'identità dell'utente, anziché da dove o come si connette.

Il risultato architetturale dell'integrazione dell'hardware ALE con l'overlay di autenticazione di Purple.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta che fornisce un meccanismo di autenticazione per i dispositivi che si connettono a una LAN o WLAN. Richiede un supplicant sul dispositivo client, un autenticatore (l'AP) e un server di autenticazione (RADIUS).

Lo standard utilizzato per le distribuzioni WiFi sicure del personale. Elimina le password condivise e associa l'accesso alle singole identità degli utenti.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Un metodo EAP basato su certificati in cui sia il client sia il server RADIUS presentano certificati digitali per la mutua autenticazione.

Il metodo 802.1X più sicuro. Richiede un'infrastruttura PKI per rilasciare i certificati client, ma elimina completamente il furto di credenziali basato su password.

PEAP (Protected Extensible Authentication Protocol)

Un metodo EAP che incapsula lo scambio di autenticazione interno all'interno di una sessione TLS, proteggendo le credenziali in transito. Comunemente usato con MSCHAPv2 come metodo interno.

Il metodo 802.1X più comune nelle implementazioni aziendali. Richiede solo un certificato lato server e funziona con i supplicant standard dei sistemi operativi.

NAS (Network Access Server)

Nella terminologia RADIUS, il dispositivo che applica il controllo degli accessi - in questo caso, l'AP ALE OmniAccess Stellar. Il NAS inoltra le richieste di autenticazione al server RADIUS e applica le policy restituite.

L'AP ALE funge da NAS nell'integrazione con Purple. Il suo indirizzo IP e il segreto condiviso devono essere registrati nel portale Purple come client NAS attendibile.

Esempi pratici

Un hotel da 200 camere nel centro di Londra utilizza AP ALE OmniAccess Stellar in tutta la proprietà. È necessario servire gli ospiti dell'hotel, il personale interno e un ristorante al piano terra come tre segmenti di rete completamente separati. Vogliono evitare di trasmettere più SSID per preservare le prestazioni RF.

Implementare un singolo SSID sicuro utilizzando PPSK. Configurare gli AP ALE OmniAccess per l'autenticazione con il server RADIUS di Purple. Nel portale Purple, creare tre gruppi PPSK: Ospiti Hotel (VLAN 10), Personale (VLAN 20) e Ristorante (VLAN 30). Il server RADIUS restituisce Tunnel-Private-Group-ID = 10, 20 o 30 a seconda della passphrase utilizzata dal dispositivo. L'AP ALE indirizza dinamicamente ciascun dispositivo alla VLAN corretta. Gli ospiti dell'hotel ricevono solo l'accesso a Internet. Il personale riceve l'accesso al sistema di gestione della proprietà. Il ristorante riceve un segmento isolato per i propri terminali EPOS.

Commento dell'esaminatore: Questo approccio elimina tre SSID e li sostituisce con uno solo, riducendo l'interferenza co-canale e i costi di gestione. Il requisito tecnico fondamentale è che tutte e tre le VLAN devono essere taggate sul trunk di uplink tra l'AP e lo switch di distribuzione. Se una qualsiasi VLAN manca dal trunk, i dispositivi che utilizzano quella passphrase non riusciranno a ricevere un indirizzo DHCP.

Un centro congressi ospita 15 eventi aziendali contemporaneamente. Ciascun organizzatore di eventi ha bisogno della propria rete WiFi isolata per i partecipanti, ma la struttura dispone solo di una singola infrastruttura ALE OmniAccess. Il team IT della struttura deve attivare e disattivare rapidamente le reti tra un evento e l'altro.

Utilizzare la gestione PPSK di Purple per creare passphrase per singolo evento mappate su VLAN dedicate all'evento. La struttura pre-configura 15 segmenti VLAN sull'infrastruttura ALE. Per ogni evento, il team IT crea una nuova voce PPSK nel portale Purple, la assegna alla VLAN corretta e fornisce la passphrase all'organizzatore dell'evento. Al termine dell'evento, revocano la passphrase in Purple. L'AP ALE smette immediatamente di accettare quella passphrase, isolando la VLAN disattivata. Non è richiesta alcuna riconfigurazione dell'AP.

Commento dell'esaminatore: Questa architettura separa il flusso di lavoro di provisioning dalla configurazione dell'hardware. Gli AP ALE rimangono statici; tutte le modifiche avvengono nel cloud Purple. Questo è il vantaggio pratico di un overlay cloud: è possibile aggiungere, modificare o revocare l'accesso senza toccare l'infrastruttura fisica. Per gli ambienti dedicati agli eventi, questo riduce i tempi di provisioning da ore a minuti.

Domande di esercitazione

Q1. Hai configurato il Captive Portal Alcatel-Lucent su un AP ALE OmniAccess Stellar. Gli ospiti si connettono all'SSID e ricevono un indirizzo IP, ma i loro dispositivi mostrano "Nessuna connessione Internet" e la splash page non compare. Quali sono le due cause più probabili e come risolverle?

Suggerimento: Considera cosa deve accadere a livello DNS e HTTP prima che possa verificarsi il reindirizzamento al Captive Portal.

Visualizza risposta modello

Causa 1: Lo scope DHCP non include un server DNS valido. Senza DNS, il client non può risolvere l'URL del Captive Portal e il meccanismo di rilevamento del Captive Portal del sistema operativo fallisce. Risoluzione: Aggiungi un server DNS valido (ad es. 8.8.8.8) allo scope DHCP sulla VLAN guest. Causa 2: Il Walled Garden non include i domini del portale Purple. Senza di questi, l'AP blocca la richiesta di reindirizzamento prima che raggiunga il client. Risoluzione: Aggiungi region1.purpleportal.net, venuewifi.com e cloudfront.net alla lista di accesso di pre-autenticazione.

Q2. La tua distribuzione WiFi Multi-Tenant utilizza PPSK su un singolo SSID ALE OmniAccess. Gli utenti si autenticano correttamente - il portale Purple mostra gli accessi riusciti - ma tutti gli utenti ricevono indirizzi IP dalla VLAN 1 anziché dalle VLAN tenant a loro assegnate. Qual è la causa più probabile?

Suggerimento: Verifica la comunicazione tra il server RADIUS e l'AP, e la configurazione dell'uplink dell'AP.

Visualizza risposta modello

Ci sono due probabili cause. Primo, il server RADIUS di Purple potrebbe non restituire tutti e tre gli attributi tunnel RADIUS richiesti (64, 65, 81) nel messaggio Access-Accept. Verifica che la policy di enforcement includa Tunnel-Type = 13, Tunnel-Medium-Type = 6 e Tunnel-Private-Group-ID = l'ID VLAN corretto. Secondo, le VLAN tenant potrebbero non essere taggate sul trunk di uplink tra l'AP ALE e lo switch di distribuzione. Se la VLAN non esiste sul trunk, l'AP non può indirizzare il traffico verso di essa, anche se gli attributi RADIUS sono corretti.

Q3. Una location richiede che le sessioni degli ospiti vengano interrotte automaticamente dopo 60 minuti e che gli ospiti che ritornano entro 24 ore vengano riconosciuti, saltando il modulo di registrazione. Come deve essere configurata questa impostazione nell'architettura Purple e ALE?

Suggerimento: Considera quale sistema controlla la durata della sessione e quale sistema controlla il riconoscimento dei visitatori di ritorno.

Visualizza risposta modello

La chiusura della sessione è controllata tramite l'attributo RADIUS Session-Timeout. Configura il server RADIUS di Purple per includere Session-Timeout = 3600 (secondi) nel messaggio Access-Accept. L'AP ALE disconnetterà il client dopo 3600 secondi. Il riconoscimento dei visitatori di ritorno è controllato nel portale Purple. Abilita l'impostazione "ricorda dispositivo" o la riautenticazione basata su MAC per la tua location. Quando un visitatore di ritorno si connette entro la finestra temporale configurata, il server RADIUS di Purple riconosce il suo indirizzo MAC e restituisce un Access-Accept senza richiedere l'interazione con la splash page, fornendo un'esperienza di riconnessione fluida.

Q4. Stai distribuendo il WiFi aziendale per lo staff utilizzando 802.1X su AP ALE OmniAccess Stellar. La tua organizzazione utilizza Microsoft Entra ID come provider di identità. I dispositivi dello staff sono laptop Windows 11 gestiti tramite Intune. Quale metodo EAP dovresti utilizzare e quali requisiti di certificato si applicano?

Suggerimento: Considera il bilanciamento tra sicurezza, complessità di implementazione e le capacità dell'infrastruttura esistente.

Visualizza risposta modello

Utilizza PEAP con MSCHAPv2 come metodo EAP. Questo richiede solo un certificato lato server sul server RADIUS di Purple (già fornito da Purple) e sfrutta le credenziali Entra ID dell'utente per l'autenticazione. Non sono richiesti certificati client, il che semplifica l'implementazione sui dispositivi gestiti da Intune. Configura il supplicant di Windows 11 tramite un profilo Wi-Fi di Intune, specificando l'SSID, la sicurezza WPA2-Enterprise, il metodo PEAP e l'identificazione del certificato del server RADIUS di Purple per la convalida del server. Se la tua policy di sicurezza richiede un'autenticazione reciproca basata su certificati, passa a EAP-TLS e distribuisci i certificati client tramite i profili SCEP di Intune, ma questo comporta un notevole sovraccarico di gestione della PKI.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.