Alcatel-Lucent OmniAccess Stellar e guest WiFi: configurazione del captive portal con Purple

Benvenuto al briefing tecnico di Purple. Oggi parleremo dell'integrazione di Alcatel-Lucent Enterprise OmniAccess Stellar con Purple WiFi. Questo briefing è rivolto a IT manager, network architect e direttori operativi di sedi che hanno la necessità di implementare reti wireless sicure, scalabili e intelligenti. Iniziamo con il contesto. Hai una sede. Forse un hotel, una catena di negozi o uno stadio. Hai investito in hardware ALE OmniAccess. Ora hai bisogno di estrarre valore di business da questa infrastruttura. Devi acquisire dati di prima parte, segmentare i tuoi utenti in modo sicuro e offrire un'esperienza di onboarding fluida. È qui che entra in gioco l'overlay cloud di Purple. Purple opera in oltre 80.000 sedi attive in tutto il mondo e ha gestito oltre 440 milioni di accessi nel 2024. È indipendente dall'hardware, il che significa che si integra sopra la tua infrastruttura ALE esistente senza richiedere alcuna sostituzione di hardware. L'intera logica di autenticazione e acquisizione dati risiede nel cloud di Purple. Il cuore di questa integrazione si basa su RADIUS. Quando un ospite entra nella tua sede e si connette all'SSID aperto di Guest WiFi, l'AP ALE intercetta il suo traffico web. Invece di consentire l'accesso diretto a Internet, reindirizza il browser a un Captive Portal ospitato da Purple. Questa è la tua splash page. È qui che presenti il tuo brand, raccogli indirizzi e-mail o offri accessi social tramite Facebook, LinkedIn o Google. Una volta che l'utente ha inviato i propri dati, il server cloud RADIUS di Purple lo autentica e invia un messaggio di Access-Accept all'AP ALE. L'AP rimuove quindi le regole del firewall e concede l'accesso a Internet. L'intero flusso richiede meno di tre secondi. Ora entriamo nell'approfondimento tecnico. Come si configura concretamente tutto questo? Per prima cosa, è necessario configurare le impostazioni del server RADIUS nell'interfaccia di gestione OmniVista o Stellar. Inserirai gli indirizzi IP di Purple RADIUS, impostando la porta di autenticazione su 1812 e la porta di accounting su 1813. Aspetto cruciale: assicurati che il RADIUS Accounting sia abilitato con un intervallo di 300 secondi. Questo è ciò che invia i dati di sessione a Purple per l'analisi e la registrazione della conformità. Il passo successivo è il Walled Garden. Questo passaggio mette in difficoltà molte implementazioni. Prima che un utente sia autenticato, non ha accesso a Internet. Ma deve poter raggiungere il portale Purple per accedere. È necessario inserire i domini Purple nella whitelist dell'elenco di accesso pre-autenticazione. I domini principali sono region1.purpleportal.net, venuewifi.com e cloudfront.net. Se utilizzi l'accesso con Facebook o LinkedIn, devi inserire nella whitelist anche i loro domini. Se il Walled Garden è errato, il Captive Portal non si caricherà. Senza eccezioni. Per la configurazione dell'SSID, crea una nuova rete wireless, imposta il livello di sicurezza su Open e abilita l'opzione External Captive Portal. Indirizza l'URL di reindirizzamento all'URL della tua splash page Purple specifica, che troverai nel portale Purple sotto le impostazioni hardware della tua sede. Passiamo a uno scenario più avanzato: il WiFi Multi-Tenant. Immagina un spazio di coworking o una residenza per studenti. Hai più tenant che necessitano di reti proprie, sicure e isolate. Non vuoi trasmettere 20 SSID diversi. Questo distruggerebbe le tue prestazioni RF e creerebbe una pessima esperienza utente. La soluzione è la tecnologia PPSK - Private Pre-Shared Keys - combinata con lo steering dinamico delle VLAN. Trasmetti un unico SSID sicuro. Ma ogni tenant riceve una passphrase univoca. Quando il Tenant A inserisce la propria passphrase, l'AP ALE invia la richiesta al server RADIUS di Purple. Purple riconosce la passphrase, autentica l'utente e rimanda un messaggio di Access-Accept. Ma ecco la parte importante. Quel messaggio include attributi RADIUS specifici. L'Attributo 64 per Tunnel-Type, impostato su 13 per VLAN. L'Attributo 65 per Tunnel-Medium-Type, impostato su 6 per Ethernet. E l'Attributo 81, il Tunnel-Private-Group-ID, che contiene l'effettivo VLAN ID. L'AP ALE lo riceve e inserisce il Tenant A direttamente nella VLAN 30. Quando il Tenant B accede con una passphrase diversa, finisce sulla VLAN 40. Un solo SSID, isolamento totale a Livello 2. Questo è l'Identity-Based Networking nella pratica. Vediamo un esempio reale. Un hotel di 200 camere ha implementato questa architettura sui suoi AP ALE OmniAccess Stellar esistenti. Aveva la necessità di servire gli ospiti dell'hotel, il personale interno e un ristorante al piano terra come tre segmenti di rete completamente separati. Invece di implementare tre SSID, hanno utilizzato PPSK con lo steering dinamico delle VLAN. Il risultato è stato un singolo SSID, tre VLAN isolate e una significativa riduzione dei costi di gestione rispetto al precedente approccio multi-SSID. Ora parliamo di raccomandazioni e potenziali errori di implementazione. In primo luogo, mantieni un design indipendente dall'hardware. Crea le tue policy in Purple, non sul controller locale. Questo ti consente di scalare o cambiare i fornitori di hardware in un secondo momento senza dover ricostruire da zero le tue policy di sicurezza. In secondo luogo, fai attenzione alle versioni del firmware. Assicurati che i tuoi AP ALE eseguano un firmware che supporti esplicitamente l'assegnazione dinamica delle VLAN tramite RADIUS. Le versioni precedenti del firmware Stellar potrebbero non supportare completamente l'attributo Tunnel-Private-Group-ID. Controlla le note di rilascio di ALE prima di procedere all'installazione. In terzo luogo, il DNS è il tuo migliore amico e il tuo peggior nemico. Se il tuo Captive Portal non viene visualizzato, controlla prima il tuo scope DHCP. Se il client non riceve un server DNS valido, non può risolvere l'URL del portale e l'intero processo si interrompe. Questo è il problema di supporto in assoluto più comune nelle installazioni di Captive Portal. In quarto luogo, per un WiFi aziendale sicuro che utilizza l'802.1X, utilizza PEAP con MSCHAPv2 per la maggior parte degli ambienti, oppure EAP-TLS per le implementazioni basate su certificati. Il server RADIUS di Purple supporta entrambi. I dispositivi del personale si autenticano tramite Microsoft Entra ID o Okta, e il server RADIUS restituisce l'assegnazione VLAN appropriata per il segmento di rete del personale. Facciamo una sessione rapida di domande e risposte. Domanda: posso utilizzare questa integrazione per la conformità PCI-DSS in un ambiente retail? Risposta: Sì. Utilizzando lo steering dinamico delle VLAN, è possibile garantire che i dispositivi dei punti vendita siano sempre posizionati su una VLAN isolata, completamente separata dal traffico degli ospiti. Questo soddisfa i requisiti di segmentazione della rete previsti dallo standard PCI-DSS 4.0. Domanda: Purple richiede un dispositivo hardware in loco? Risposta: No. Purple è un overlay cloud. Comunica direttamente con l'hardware ALE esistente tramite RADIUS standard via Internet. Non c'è nulla da montare a rack. Domanda: Cosa succede se il cloud di Purple non è raggiungibile? Risposta: È possibile configurare una politica di fallback sull'AP ALE. Per le reti ospiti, è possibile consentire l'accesso aperto come fallback. Per le reti del personale, configurare un fallback deny-all per mantenere la sicurezza. Domanda: Posso acquisire dati analitici dall'integrazione? Risposta: Sì. Ogni sessione autenticata genera un profilo visitatore nella piattaforma Purple. È possibile ottenere il tempo di permanenza, la frequenza delle visite, il tipo di dispositivo e i dati demografici dal modulo di registrazione. Questi dati confluiscono direttamente nel CRM tramite la libreria di Purple con oltre 400 connettori. Per riassumere i punti chiave del briefing di oggi. Uno: L'integrazione di ALE OmniAccess con Purple utilizza lo standard RADIUS sulle porte 1812 e 1813. Non sono richiesti protocolli proprietari. Due: Il Walled Garden è fondamentale. Se si sbaglia, il Captive Portal non si carica. Inserire i domini Purple nella whitelist prima di ogni altra cosa. Tre: PPSK con steering dinamico delle VLAN è l'architettura corretta per gli ambienti multi-tenant. Un unico SSID, passphrase univoche, VLAN isolate per ciascun tenant. Quattro: Gli attributi RADIUS 64, 65 e 81 sono i tre necessari per l'assegnazione dinamica delle VLAN. Se ne manca anche uno solo, lo steering fallisce. Cinque: Purple è indipendente dall'hardware. Le politiche risiedono nel cloud, non sul controller. Questo offre la flessibilità necessaria per scalare su diversi fornitori di hardware. Il passo successivo consiste nell'accedere al portale Purple, navigare nelle impostazioni hardware della propria sede e recuperare le credenziali RADIUS specifiche e l'URL della splash page. Seguire quindi i passaggi di configurazione descritti in questa guida per connettere l'infrastruttura ALE OmniAccess al cloud di Purple. Grazie per aver ascoltato questo briefing tecnico di Purple. Per ulteriori informazioni, visitare purple.ai.