Alcatel-Lucent OmniAccess Stellar e guest WiFi: configuração de Captive Portal com a Purple

Bem-vindo ao briefing técnico da Purple. Hoje vamos cobrir a integração do Alcatel-Lucent Enterprise OmniAccess Stellar com a Purple WiFi. Este briefing é voltado para gerentes de TI, arquitetos de rede e diretores de operações de locais físicos que precisam implantar redes sem fio seguras, escalonáveis e inteligentes. Vamos começar com o contexto. Você tem um local físico. Pode ser um hotel, uma rede de varejo ou um estádio. Você investiu em hardware ALE OmniAccess. Agora, precisa extrair valor comercial dessa infraestrutura. Você precisa capturar dados primários (first-party), segmentar seus usuários com segurança e fornecer uma experiência de integração contínua. É aí que entra a sobreposição na nuvem da Purple. A Purple opera em mais de 80.000 locais físicos ativos no mundo todo e processou mais de 440 milhões de logins em 2024. Ela é agnóstica em relação a hardware, o que significa que se integra sobre a sua infraestrutura ALE existente sem exigir nenhuma substituição de hardware. Toda a lógica de autenticação e captura de dados reside na nuvem da Purple. O núcleo desta integração baseia-se em RADIUS. Quando um visitante entra no seu local físico e se conecta ao SSID de Guest WiFi aberto, o AP ALE intercepta seu tráfego web. Em vez de permitir o acesso direto à internet, ele redireciona o navegador para um Captive Portal hospedado pela Purple. Esta é a sua splash page. É onde você apresenta sua marca, coleta endereços de e-mail ou oferece logins sociais via Facebook, LinkedIn ou Google. Assim que o usuário envia seus dados, o servidor RADIUS na nuvem da Purple o autentica e envia uma mensagem Access-Accept de volta ao AP ALE. O AP então libera as regras de firewall e concede acesso à internet. Todo o fluxo ocorre em menos de três segundos. Agora, vamos nos aprofundar na parte técnica. Como realmente configuramos isso? Primeiro, você precisa configurar as definições do servidor RADIUS na sua interface de gerenciamento OmniVista ou Stellar. Você inserirá os endereços IP RADIUS da Purple, definirá a porta de autenticação como 1812 e a porta de tarifação (accounting) como 1813. Fundamentalmente, certifique-se de que o RADIUS Accounting esteja ativado com um intervalo de 300 segundos. É isso que envia os dados de sessão de volta para a Purple para análises e registros de conformidade. O próximo passo é o Walled Garden. Isso costuma gerar problemas em muitas implantações. Antes de um usuário ser autenticado, ele não tem acesso à internet. Mas ele precisa acessar o portal da Purple para fazer o login. Você deve incluir os domínios da Purple na sua lista de acesso de pré-autenticação (whitelist). Os domínios principais são region1.purpleportal.net, venuewifi.com e cloudfront.net. Se estiver usando o login do Facebook ou LinkedIn, também deverá incluir os domínios deles na whitelist. Se o Walled Garden estiver incorreto, o Captive Portal não será carregado. Ponto final. Para a configuração do SSID, crie uma nova rede sem fio, defina o nível de segurança como Aberto (Open) e ative a opção de Captive Portal Externo. Direcione a URL de redirecionamento para a URL específica da sua splash page da Purple, que você encontrará no painel da Purple nas configurações de hardware do seu local físico. Vamos para um cenário mais avançado: Multi-Tenant WiFi. Imagine um espaço de coworking ou acomodação estudantil. Você tem vários inquilinos que precisam de suas próprias redes seguras e isoladas. Você não quer transmitir 20 SSIDs diferentes. Isso destrói o desempenho de RF e cria uma experiência de usuário ruim. A solução é PPSK - Private Pre-Shared Keys - combinada com direcionamento dinâmico de VLAN. Você transmite um SSID seguro. Mas cada inquilino recebe uma senha exclusiva. Quando o Inquilino A insere sua senha, o AP ALE envia essa solicitação para o servidor Purple RADIUS. A Purple reconhece a senha, autentica o usuário e envia de volta uma mensagem de Access-Accept. Mas aqui está a parte importante. Essa mensagem inclui atributos RADIUS específicos. Atributo 64 para Tunnel-Type, definido como 13 para VLAN. Atributo 65 para Tunnel-Medium-Type, definido como 6 para Ethernet. E Atributo 81, o Tunnel-Private-Group-ID, que contém o ID da VLAN real. O AP ALE recebe isso e coloca o Inquilino A diretamente na VLAN 30. Quando o Inquilino B faz login com uma senha diferente, ele vai para a VLAN 40. Um SSID, isolamento total de Layer 2. Isso é Identity-Based Networking na prática. Vejamos um exemplo do mundo real. Um hotel de 200 quartos implantou essa arquitetura em seus APs ALE OmniAccess Stellar existentes. Eles precisavam atender aos hóspedes do hotel, à equipe administrativa e a um restaurante no térreo como três segmentos de rede completamente separados. Em vez de implantar três SSIDs, eles usaram PPSK com direcionamento dinâmico de VLAN. O resultado foi um único SSID, três VLANs isoladas e uma redução significativa na sobrecarga de gerenciamento em comparação com a abordagem multi-SSID anterior. Agora vamos discutir recomendações de implementação e armadilhas. Primeiro, mantenha um design agnóstico de hardware. Construa suas políticas na Purple, não no controlador local. Isso permite que você dimensione ou troque de fornecedores de hardware mais tarde sem reconstruir suas políticas de segurança do zero. Segundo, fique atento às versões de firmware. Certifique-se de que seus APs ALE estejam executando um firmware que suporte explicitamente a atribuição dinâmica de VLAN via RADIUS. Versões mais antigas de firmware Stellar podem não suportar totalmente o atributo Tunnel-Private-Group-ID. Verifique as notas de versão da ALE antes de implantar. Terceiro, o DNS é seu amigo e seu inimigo. Se o seu Captive Portal não estiver aparecendo, verifique o escopo DHCP primeiro. Se o cliente não estiver recebendo um servidor DNS válido, ele não conseguirá resolver a URL do portal, e todo o processo é interrompido. Este é o problema de suporte mais comum em implantações de Captive Portal. Quarto, para WiFi corporativo seguro para funcionários usando 802.1X, use PEAP com MSCHAPv2 para a maioria dos ambientes, ou EAP-TLS para implantações baseadas em certificados. O servidor Purple RADIUS suporta ambos. Os dispositivos da equipe se autenticam no Microsoft Entra ID ou Okta, e o servidor RADIUS retorna a atribuição de VLAN apropriada para o segmento de rede da equipe. Vamos fazer uma sessão rápida de perguntas e respostas. Pergunta: Posso usar esta integração para conformidade com PCI-DSS em um ambiente de varejo? Resposta: Sim. Ao usar o direcionamento dinâmico de VLAN, você pode garantir que os dispositivos de ponto de venda sejam sempre colocados em uma VLAN isolada, completamente separada do tráfego de convidados. Isso atende aos requisitos de segmentação de rede sob a PCI-DSS 4.0. Pergunta: O Purple exige um dispositivo de hardware físico no local? Resposta: Não. O Purple é uma sobreposição em nuvem. Ele se comunica diretamente com seu hardware ALE existente via RADIUS padrão pela internet. Não há necessidade de empilhar ou instalar equipamentos físicos. Pergunta: O que acontece se a nuvem do Purple estiver inacessível? Resposta: Você pode configurar uma política de contingência no AP ALE. Para redes de convidados, você pode permitir o acesso aberto como contingência. Para redes de funcionários, configure uma contingência de negação total para manter a segurança. Pergunta: Posso capturar dados analíticos a partir da integração? Resposta: Sim. Cada sessão autenticada gera um perfil de visitante na plataforma Purple. Você obtém tempo de permanência, frequência de visitas, tipo de dispositivo e dados demográficos do formulário de registro. Isso alimenta diretamente o seu CRM através da biblioteca do Purple com mais de 400 conectores. Para resumir os principais pontos da apresentação de hoje. Primeiro: A integração do ALE OmniAccess com o Purple usa RADIUS padrão nas portas 1812 and 1813. Nenhum protocolo proprietário é necessário. Segundo: O Walled Garden é fundamental. Se errar nessa configuração, o Captive Portal não será carregado. Adicione os domínios do Purple à lista de permissões antes de qualquer outra coisa. Terceiro: PPSK com direcionamento dinâmico de VLAN é a arquitetura certa para ambientes multi-tenant. Um SSID, senhas exclusivas, VLANs isoladas por locatário. Quarto: Os Atributos RADIUS 64, 65 e 81 são os três que você precisa para a atribuição dinâmica de VLAN. Se algum deles estiver ausente, o direcionamento falhará. Quinto: O Purple é agnóstico em relação ao hardware. Suas políticas residem na nuvem, não na controladora. Isso oferece flexibilidade para escalar entre diferentes fornecedores de hardware. Seu próximo passo é fazer login no seu portal Purple, navegar até as configurações de hardware do seu local e recuperar suas credenciais de RADIUS específicas e a URL da página de login. Em seguida, siga as etapas de configuração deste guia para conectar sua infraestrutura ALE OmniAccess à nuvem Purple. Obrigado por acompanhar esta apresentação técnica do Purple. Para mais informações, visite purple.ai.