Integração Alcatel-Lucent Enterprise (ALE) OmniAccess com Purple WiFi

Este guia detalha a integração técnica entre os pontos de acesso Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar e a Purple WiFi. Ele abrange o redirecionamento do Captive Portal, autenticação RADIUS, configuração de Walled Garden, Wi-Fi seguro de funcionários com 802.1X e segmentação de Wi-Fi Multi-Tenant usando Chaves Privadas Pré-Compartilhadas (PPSK) com direcionamento dinâmico de VLAN — oferecendo aos gerentes de TI e arquitetos de rede uma referência completa e prática para a implantação de Redes Baseadas em Identidade em hardware ALE.

📖 9 min de leitura📝 2,047 palavras🔧 2 exemplos práticos❓ 4 questões práticas📚 10 definições principais

Ouça este guia

Ver transcrição do podcast

Boas-vindas ao briefing técnico da Purple. Hoje abordaremos a integração do Alcatel-Lucent Enterprise OmniAccess Stellar com o Purple WiFi. Este briefing é destinado a gerentes de TI, arquitetos de rede e diretores de operações de locais que precisam implantar redes sem fio seguras, escalonáveis e inteligentes.

Vamos começar pelo contexto. Você tem um local. Talvez um hotel, uma rede de varejo ou um estádio. Você investiu em hardware ALE OmniAccess. Agora, precisa extrair valor de negócios dessa infraestrutura. Você precisa capturar dados primários (first-party data), segmentar seus usuários com segurança e fornecer uma experiência de onboarding fluida. É aí que entra a sobreposição de nuvem da Purple.

A Purple opera em mais de 80.000 locais ativos em todo o mundo e processou mais de 440 milhões de logins em 2024. Ela é agnóstica em relação a hardware, o que significa que se integra perfeitamente à sua infraestrutura ALE existente, sem a necessidade de substituição de hardware. Toda a lógica de autenticação e captura de dados reside na nuvem da Purple.

O núcleo dessa integração depende do RADIUS. Quando um visitante entra em seu local e se conecta ao SSID de Guest WiFi aberto, o AP da ALE intercepta o tráfego da web. Em vez de permitir o acesso direto à internet, ele redireciona o navegador para um Captive Portal hospedado pela Purple. Esta é a sua splash page. É onde você apresenta sua marca, coleta endereços de e-mail ou oferece logins sociais via Facebook, LinkedIn ou Google.

Assim que o usuário envia seus dados, o servidor RADIUS da nuvem Purple o autentica e envia uma mensagem Access-Accept de volta ao AP da ALE. O AP então libera as regras de firewall e concede o acesso à internet. Todo o fluxo leva menos de três segundos.

Agora, vamos nos aprofundar na parte técnica. Como realmente configuramos isso?

Primeiro, você precisa configurar os parâmetros do servidor RADIUS em sua interface de gerenciamento OmniVista ou Stellar. Você inserirá os endereços IP do RADIUS da Purple, definirá a porta de autenticação como 1812 e a porta de tarifação (accounting) como 1813. Fundamentalmente, certifique-se de que o RADIUS Accounting está ativado com um intervalo de 300 segundos. É isso que envia os dados de sessão de volta para a Purple para fins de análises e registros de conformidade.

O próximo passo é o Walled Garden. Isso costuma causar problemas em muitas implantações. Antes que o usuário seja autenticado, ele não tem acesso à internet. Porém, ele precisa alcançar o portal da Purple para fazer o login. Você deve colocar os domínios da Purple na lista de permissões (whitelist) em sua lista de controle de acesso pré-autenticação. Os domínios principais são region1.purpleportal.net, venuewifi.com e cloudfront.net. Se você estiver usando o login do Facebook ou do LinkedIn, também deverá colocar os domínios deles na lista de permissões. Se o Walled Garden estiver incorreto, o Captive Portal não carregará. Sem exceções.

Para a configuração do SSID, crie uma nova rede sem fio, defina o nível de segurança como Open (Aberto) e ative a opção de External Captive Portal. Aponte a URL de redirecionamento para a URL específica da sua splash page da Purple, que você encontrará no portal da Purple sob as configurações de hardware do seu local.

Vamos para um cenário mais avançado: Multi-Tenant WiFi. Imagine um espaço de coworking ou uma residência estudantil. Você tem múltiplos locatários que precisam de suas próprias redes seguras e isoladas. Você não quer transmitir 20 SSIDs diferentes. Isso destrói o desempenho de RF e cria uma experiência de usuário ruim.

A solução é o PPSK - Private Pre-Shared Keys - combinado com o direcionamento dinâmico de VLAN. Você transmite apenas um SSID seguro. Mas cada locatário recebe uma senha exclusiva. Quando o Locatário A insere sua senha, o AP da ALE envia essa solicitação para o servidor RADIUS da Purple. A Purple reconhece a senha, autentica o usuário e envia de volta uma mensagem Access-Accept.

Mas aqui está a parte importante. Essa mensagem inclui atributos RADIUS específicos. Atributo 64 para Tunnel-Type, definido como 13 para VLAN. Atributo 65 para Tunnel-Medium-Type, definido como 6 para Ethernet. E o Atributo 81, o Tunnel-Private-Group-ID, que contém o ID da VLAN real. O AP da ALE recebe isso e direciona o Locatário A diretamente para a VLAN 30. Quando o Locatário B faz login com uma senha diferente, ele vai para a VLAN 40. Um único SSID, isolamento total de Camada 2. Isso é o Identity-Based Networking na prática.

Vamos ver um exemplo do mundo real. Um hotel de 200 quartos implantou essa arquitetura em seus APs ALE OmniAccess Stellar existentes. Eles precisavam atender aos hóspedes do hotel, à equipe administrativa e a um restaurante no térreo como três segmentos de rede completamente separados. Em vez de implantar três SSIDs, eles usaram PPSK com direcionamento dinâmico de VLAN. O resultado foi um único SSID, três VLANs isoladas e uma redução significativa na sobrecarga de gerenciamento em comparação com a abordagem anterior de múltiplos SSIDs.

Agora, vamos discutir recomendações de implementação e armadilhas comuns.

Primeiro, mantenha um design agnóstico de hardware. Construa suas políticas na Purple, não no controlador local. Isso permite que você dimensione ou troque de fornecedores de hardware mais tarde sem reconstruir suas políticas de segurança do zero.

Segundo, preste atenção nas versões de firmware. Certifique-se de que seus APs ALE estejam executando um firmware que ofereça suporte explícito à atribuição dinâmica de VLAN via RADIUS. Versões mais antigas do firmware Stellar podem não suportar totalmente o atributo Tunnel-Private-Group-ID. Verifique as notas de versão da ALE antes de implantar.

Terceiro, o DNS é seu amigo e seu inimigo. Se o seu Captive Portal não estiver aparecendo, verifique primeiro o seu escopo DHCP. Se o cliente não estiver recebendo um servidor DNS válido, ele não conseguirá resolver a URL do portal, e todo o processo será interrompido. Esse é o problema de suporte mais comum em implantações de Captive Portal.

Quarto, para um Staff WiFi seguro usando 802.1X, use PEAP com MSCHAPv2 para a maioria dos ambientes, ou EAP-TLS para implantações baseadas em certificados. O servidor RADIUS da Purple suporta ambos. Os dispositivos da equipe são autenticados no Microsoft Entra ID ou Okta, e o servidor RADIUS retorna a atribuição de VLAN apropriada para o segmento de rede da equipe.

Vamos fazer uma sessão rápida de perguntas e respostas.

Pergunta: Posso usar essa integração para conformidade com o PCI DSS em um ambiente de varejo?

Resposta: Sim. Ao usar o direcionamento dinâmico de VLAN, você pode garantir que os dispositivos de ponto de venda sejam sempre colocados em uma VLAN isolada, completamente separada do tráfego de convidados. Isso atende aos requisitos de segmentação de rede sob o PCI DSS 4.0.

Pergunta: A Purple exige um appliance de hardware no local?

Resposta: Não. A Purple é uma sobreposição de nuvem. Ela se comunica diretamente com o seu hardware ALE existente por meio de RADIUS padrão pela internet. Não há necessidade de empilhar ou instalar equipamentos físicos.

Pergunta: O que acontece se a nuvem Purple estiver inacessível?

Resposta: Você pode configurar uma política de fallback no AP ALE. Para redes de convidados, você pode permitir o acesso aberto como fallback. Para redes de funcionários, configure um fallback de negar tudo para manter a segurança.

Pergunta: Posso capturar dados analíticos a partir da integração?

Resposta: Sim. Cada sessão autenticada gera um perfil de visitante na plataforma Purple. Você obtém tempo de permanência, frequência de visitas, tipo de dispositivo e dados demográficos do formulário de registro. Isso alimenta diretamente o seu CRM através da biblioteca da Purple com mais de 400 conectores.

Para resumir os principais pontos da apresentação de hoje.

Um: A integração do ALE OmniAccess com a Purple usa RADIUS padrão nas portas 1812 and 1813. Não são necessários protocolos proprietários.

Dois: O Walled Garden é crítico. Se errar, o Captive Portal não será carregado. Adicione os domínios da Purple à lista de permissões antes de qualquer outra coisa.

Três: PPSK com direcionamento dinâmico de VLAN é a arquitetura certa para ambientes multi-tenant. Um SSID, senhas exclusivas, VLANs isoladas por inquilino.

Quatro: Os atributos RADIUS 64, 65 e 81 são os três necessários para atribuição dinâmica de VLAN. Se algum deles estiver ausente, o direcionamento falhará.

Cinco: A Purple é agnóstica em termos de hardware. Suas políticas vivem na nuvem, não na controladora. Isso oferece flexibilidade para escalar entre diferentes fornecedores de hardware.

Seu próximo passo é fazer login no seu portal Purple, navegar até as configurações de hardware do seu local de eventos e recuperar suas credenciais RADIUS específicas e a URL da splash page. Em seguida, siga as etapas de configuração deste guia para conectar sua infraestrutura ALE OmniAccess à nuvem Purple.

Obrigado por ouvir esta apresentação técnica da Purple. Para mais informações, visite purple.ai.

Principais conclusões

✓Os ALE OmniAccess Stellar APs integram-se ao Purple usando RADIUS padrão nas portas 1812 e 1813 - sem a necessidade de protocolos proprietários ou appliances locais.
✓O Walled Garden é o ponto de falha de implantação mais comum. Adicione todos os domínios do Captive Portal do Purple e dos provedores de login social à whitelist antes do go-live.
✓PPSK com direcionamento dinâmico de VLAN é a arquitetura correta para ambientes multi-tenant. Um único SSID, senhas exclusivas por tenant e VLANs isoladas via atributos RADIUS 64, 65 e 81.
✓Todos os três atributos de túnel RADIUS devem estar presentes na mensagem Access-Accept. Se o Atributo 81 (Tunnel-Private-Group-ID) estiver ausente, o ALE AP ignora a atribuição de VLAN.
✓O Purple opera como um overlay de nuvem. As políticas residem no portal do Purple, não no controlador local, oferecendo flexibilidade agnóstica de hardware para escalar ou trocar a infraestrutura.
✓Configure o RADIUS Accounting para intervalos de 300 segundos para garantir que os dados de sessão fluam com precisão para a plataforma de analytics do Purple.
✓O Purple possui as certificações ISO 27001, GDPR, CCPA e Cyber Essentials, tornando-o adequado para ambientes regulamentados, incluindo saúde, setor público e implantações de varejo no escopo do PCI DSS.

Resumo executivo

Os pontos de acesso Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar se integram ao Purple usando protocolos RADIUS padrão e redirecionamento de Captive Portal externo. Nenhum middleware proprietário é necessário. O Purple opera como uma sobreposição na nuvem, posicionando-se acima de sua infraestrutura ALE existente e gerenciando autenticação, captura de dados e políticas de sessão sem exigir alterações de hardware.

Este guia aborda três cenários de implantação. Primeiro, WiFi para convidados com redirecionamento de Captive Portal externo e configuração de Walled Garden. Segundo, WiFi seguro para funcionários usando 802.1X com PEAP ou EAP-TLS. Terceiro, WiFi multi-inquilino (Multi-Tenant) usando Chaves Privadas Pré-Compartilhadas (PPSK) e direcionamento dinâmico de VLAN por meio dos Atributos RADIUS 64, 65 e 81.

O Purple atende a mais de 80.000 locais ativos e processou mais de 440 milhões de acessos em 2024 (dados internos do Purple, 2024). Possui certificações ISO 27001, GDPR, CCPA e Cyber Essentials. A plataforma opera com 99,999% de tempo de atividade (uptime), tornando-se um back-end de autenticação confiável para implantações corporativas.

Se você é um gerente de TI ou arquiteto de rede implantando hardware ALE OmniAccess em ambientes de hotelaria, varejo, eventos ou setor público, este guia fornece as etapas exatas de configuração para passar do hardware para uma rede baseada em identidade totalmente operacional.

Arquitetura técnica e fluxo de integração

A integração do Purple com o ALE OmniAccess Stellar baseia-se em dois protocolos padrão: RADIUS para autenticação e bilhetagem (accounting), e redirecionamento HTTP/HTTPS para entrega do Captive Portal. O AP ALE atua como o Servidor de Acesso à Rede (NAS), encaminhando as solicitações de autenticação para o servidor RADIUS na nuvem do Purple e aplicando as políticas retornadas na resposta Access-Accept.

Figura 1: Fluxo de autenticação entre o dispositivo do visitante, o AP ALE OmniAccess Stellar e o RADIUS na nuvem do Purple.

O fluxo funciona da seguinte maneira. Um visitante conecta-se ao SSID de WiFi para convidados aberto. O AP ALE atribui um endereço IP temporário a partir do pool DHCP de pré-autenticação e intercepta a primeira solicitação HTTP ou HTTPS do visitante. O AP redireciona o navegador para a URL do Captive Portal do Purple, passando o endereço MAC do cliente e o identificador NAS do AP como parâmetros de URL. O visitante se autentica por meio da página de login (splash page) do Purple — usando e-mail, login social ou verificação por SMS. O servidor RADIUS do Purple valida a sessão e retorna uma mensagem Access-Accept para o AP ALE. O AP concede acesso à internet e começa a enviar atualizações de RADIUS Accounting para o Purple no intervalo configurado.

Para implantações avançadas usando PPSK e direcionamento dinâmico de VLAN, a mensagem RADIUS Access-Accept também inclui atributos de atribuição de VLAN. O AP ALE usa esses atributos para direcionar o tráfego do cliente diretamente para o segmento de VLAN correto, isolando-o de outros usuários na mesma infraestrutura física.

Guia de implementação

Parte 1: Guest WiFi com Captive Portal externo

Esta seção aborda a configuração do Captive Portal Alcatel-Lucent para redirecionamento externo para o Purple. Estas etapas se aplicam aos APs ALE OmniAccess Stellar gerenciados via OmniVista Cirrus, OmniVista 2500 ou pela interface web do Stellar Express.

Etapa 1: Recuperar as credenciais RADIUS do Purple

Faça login no seu portal Purple. Navegue até Management > Venues (Gerenciamento > Locais), selecione seu local e abra a seção Hardware. Adicione uma nova entrada de hardware e selecione Alcatel-Lucent OmniAccess Stellar como o tipo de hardware. O Purple gera um segredo compartilhado RADIUS exclusivo, o IP do servidor de autenticação e a URL do Captive Portal para o seu local. Anote esses valores antes de prosseguir.

Etapa 2: Configurar o servidor RADIUS no AP ALE

Na sua interface de gerenciamento ALE, navegue até as configurações de autenticação e adicione um novo perfil de servidor RADIUS.

Parâmetro	Valor
IP do Servidor / Hostname	Conforme fornecido no portal Purple
Porta de Autenticação	1812
Porta de Accounting	1813
Segredo Compartilhado	Conforme fornecido no portal Purple
RADIUS Accounting	Ativado
Intervalo de Accounting	300 segundos

Ative um servidor RADIUS secundário usando o IP de backup do portal Purple. Isso garante o failover caso o servidor principal esteja temporariamente inacessível.

Etapa 3: Configurar o Walled Garden

O Walled Garden define os domínios que um dispositivo pode acessar antes que a autenticação seja concluída. Configure as seguintes entradas na lista de acesso de pré-autenticação:

Domínios principais do Purple (obrigatórios):

Domínio	Finalidade
region1.purpleportal.net	Captive Portal do Purple
venuewifi.com	Gerenciamento de sessão do Purple
cloudfront.net	CDN para ativos do portal
openweathermap.org	Widget de clima (opcional)
stripe.com	Pagamentos de WiFi pago (se aplicável)

Domínios de login social (adicione conforme necessário):

Provedor	Domínios
Facebook	facebook.com, fbcdn.net, connect.facebook.net
LinkedIn	linkedin.com, licdn.net
Google	accounts.google.com, googleapis.com

A omissão de qualquer domínio obrigatório fará com que o método de login correspondente falhe silenciosamente. Teste cada método de login após a configuração.

Etapa 4: Configurar o SSID de Guest WiFi

Crie um novo perfil de WLAN com as seguintes configurações:

Parâmetro	Valor
Nível de Segurança	Aberto
Captive Portal	Ativado
Tipo de Captive Portal	Externo
URL de Redirecionamento	Conforme fornecido no portal Purple
Redirecionamento HTTPS	Desativado (a menos que um certificado SSL esteja instalado)
Timeout por Inatividade	1800 segundos (30 minutos)
Perfil do Servidor RADIUS	Perfil RADIUS Purple (criado na Etapa 2)
Se você precisar de redirecionamento HTTPS, instale um certificado SSL válido no AP ALE em System > General > Certificate Management. Observe que certificados curinga (wildcard) não são suportados pelo Stellar AP para essa finalidade.

Passo 5: Atribuir o SSID a um grupo de APs

Aplique o perfil de WLAN ao grupo de APs correspondente no OmniVista. Verifique se os APs estão transmitindo o SSID e se os clientes conseguem se associar antes de testar o fluxo do Captive Portal.

Parte 2: WiFi corporativo seguro para funcionários usando 802.1X

Para o WiFi de funcionários, use WPA2-Enterprise ou WPA3-Enterprise com autenticação 802.1X. Isso elimina senhas compartilhadas e vincula o acesso a identidades de usuários individuais gerenciadas no Microsoft Entra ID, Okta ou Google Workspace.

Passo 1: Configurar o SSID 802.1X

Crie um perfil de WLAN separado para os funcionários. Defina o tipo de segurança como WPA2-Enterprise ou WPA3-Enterprise e atribua o servidor RADIUS da Purple como o backend de autenticação. O servidor RADIUS da Purple encaminha as solicitações de autenticação para o seu provedor de identidade via LDAP ou SAML.

Passo 2: Selecionar o método EAP

Para a maioria das implantações, use PEAP com MSCHAPv2. Isso requer apenas um certificado do lado do servidor e funciona com os suplicantes padrão do Windows, macOS, iOS e Android. Para ambientes de maior segurança, use EAP-TLS com certificados de cliente emitidos através de sua PKI.

Passo 3: Atribuir funcionários a uma VLAN dedicada

Configure o servidor RADIUS da Purple para retornar Tunnel-Private-Group-ID = o ID da VLAN dos seus funcionários na resposta Access-Accept. Isso garante que os dispositivos dos funcionários caiam no segmento de rede corporativa, separados do tráfego de convidados na Camada 2.

Parte 3: WiFi multi-tenant usando PPSK e direcionamento dinâmico de VLAN

O PPSK (Private Pre-Shared Key) - também conhecido como iPSK (Identity PSK) em documentações de alguns fabricantes - permite que um único SSID atenda a múltiplos grupos de usuários isolados. Cada grupo recebe uma senha exclusiva. O servidor RADIUS mapeia cada senha para uma VLAN específica, proporcionando isolamento de rede por tenant sem a sobrecarga de RF de múltiplos SSIDs.

Figura 2: Segmentação de VLAN multi-tenant com PPSK em um único SSID ALE OmniAccess.

Passo 1: Criar o SSID PPSK

Crie um novo perfil de WLAN e defina o tipo de autenticação como WPA2-PSK com validação de PSK baseada em RADIUS. No firmware Stellar 4.0.8.16 e superior (para modelos AP1301 e superiores), a atribuição dinâmica de VLAN via RADIUS é suportada no modo Express. Para modelos mais antigos ou firmwares anteriores, use o modo gerenciado pelo OmniVista.

Passo 2: Definir as senhas dos tenants na Purple

No portal Purple, crie um grupo PPSK para cada tenant. Atribua uma senha exclusiva por tenant e mapeie cada senha para o ID da VLAN correspondente. A Purple armazena esses mapeamentos em seu banco de dados RADIUS.

Passo 3: Configurar atributos RADIUS para direcionamento de VLAN

Certifique-se de que o servidor RADIUS da Purple retorne os seguintes atributos padrão da IETF em todas as respostas Access-Accept:

Número do Atributo	Nome do Atributo	Valor
64	Tunnel-Type	13 (VLAN)
65	Tunnel-Medium-Type	6 (IEEE 802 / Ethernet)
81	Tunnel-Private-Group-ID	ID da VLAN (ex: "30")

Todos os três atributos devem estar presentes. Se algum deles estiver ausente, o AP ALE ignorará a atribuição de VLAN e colocará o cliente na VLAN padrão.

Passo 4: Verificar o trunking de VLAN no uplink

Certifique-se de que todas as VLANs dos clientes estejam marcadas (tagged) na porta de uplink entre o AP ALE e o switch de distribuição. Um AP não pode direcionar tráfego para uma VLAN que não seja permitida em seu trunk de uplink.

Melhores práticas

As recomendações a seguir refletem as práticas recomendadas padrão para implantações de rede sem fio corporativas e estão alinhadas com os requisitos do IEEE 802.1X, PCI DSS 4.0 e GDPR.

Separe o WiFi de Visitantes do WiFi de Funcionários na Camada 2. Nunca coloque o tráfego de visitantes e funcionários na mesma VLAN. Use a atribuição de VLAN orientada por RADIUS para impor essa separação automaticamente, independentemente de qual AP o usuário se conecte.

Use HTTPS para todos os redirecionamentos de Captive Portal. Instale um certificado SSL válido no AP ALE para habilitar o redirecionamento HTTPS. Isso evita que os navegadores exibam avisos de segurança na splash page, o que reduz as taxas de abandono e se alinha com os requisitos da GDPR para processamento seguro de dados.

Defina o intervalo de Accounting do RADIUS para 300 segundos. Isso fornece à Purple atualizações regulares de sessão para maior precisão de relatórios. Um intervalo superior a 600 segundos corre o risco de perder dados de sessão se um cliente se desconectar sem uma desautenticação limpa.

Teste o Walled Garden antes do lançamento. Conecte um dispositivo de teste ao SSID do WiFi de Visitantes e tente acessar cada provedor de login social. Se um login falhar, o domínio correspondente estará ausente no Walled Garden.

Segmente dispositivos IoT usando PPSK. Em ambientes de varejo e hotelaria, dispositivos IoT, como sinalização digital, terminais de pagamento e sensores ambientais, devem receber, cada um, uma PPSK exclusiva mapeada para uma VLAN isolada. Isso evita que um dispositivo IoT comprometido acesse a rede mais ampla.

Para leituras adicionais sobre padrões e arquitetura de segurança de WiFi corporativo, consulte nosso guia de segurança de WiFi corporativo .

Solução de problemas e mitigação de riscos

A tabela a seguir abrange os modos de falha mais comuns nas integrações entre ALE OmniAccess e Purple.

Sintoma	Causa Mais Provável	Resolução
Captive Portal não aparece	Configuração incorreta do Walled Garden ou DNS ausente	Verifique se os domínios da Purple estão na lista de permissões; verifique se o escopo DHCP inclui um servidor DNS válido
Falha na autenticação RADIUS	Incompatibilidade de segredo compartilhado ou firewall bloqueando UDP 1812/1813	Insira novamente o segredo compartilhado do portal Purple; confirme se as regras de firewall permitem UDP de saída 1812 e 1813
Usuários caem na VLAN errada	Atributos de Tunnel RADIUS ausentes ou limitação de firmware do AP	Confirme se todos os três atributos RADIUS (64, 65, 81) são retornados; verifique se a versão do firmware do ALE suporta VLAN dinâmica
Botão de login social falha	Domínio do provedor social ausente do Walled Garden	Adicione os domínios do provedor social necessários à lista de acesso de pré-autenticação
Captive Portal HTTPS mostra aviso de certificado	Certificado curinga (wildcard) utilizado ou nenhum certificado instalado	Instale um certificado SSL específico do domínio via System > General > Certificate Management
Dados de sessão ausentes no Purple analytics	RADIUS Accounting desativado ou intervalo muito longo	Ative o RADIUS Accounting; defina o intervalo para 300 segundos

Para problemas persistentes de RADIUS, ative o log de depuração (debug) no ALE AP e capture a troca de mensagens RADIUS. Procure por mensagens de Access-Reject e verifique o código de motivo da rejeição. Os códigos comuns incluem 16 (falha de autenticação) e 18 (atributo ausente).

ROI e impacto nos negócios

A implantação do Purple no hardware ALE OmniAccess converte uma rede passiva em um ativo de dados ativo. Cada sessão autenticada gera um perfil de visitante: endereço de e-mail, frequência de visitas, tempo de permanência e tipo de dispositivo. Esses dados primários (first-party) alimentam diretamente o seu CRM por meio da biblioteca de mais de 400 conectores do Purple.

A Harrods alcançou um ROI de marketing de 57x a partir de sua implantação de Guest WiFi utilizando a captura de dados do Purple para impulsionar as inscrições em programas de fidelidade (estudo de caso Purple, 2023). A AGS Airports gerou um ROI de 842% ao implementar WiFi Pago com largura de banda em níveis em todas as suas propriedades (estudo de caso Purple, 2022).

Para operadores de hospitalidade , o Captive Portal é o principal ponto de contato para captura de dados de hóspedes. Para ambientes de varejo , ele permite a análise do comportamento dos compradores e promoções direcionadas. Para hubs de transporte , ele fornece dados de fluxo de passageiros e registro de sessão em conformidade com as regulamentações.

A plataforma de Guest WiFi do Purple e as ferramentas de WiFi Analytics oferecem a infraestrutura de relatórios para medir esses resultados. Acompanhe taxas de autenticação, duração das sessões, taxas de visitantes recorrentes e conversão de opt-in a partir de um único painel.

Para orientações de integração relacionadas, consulte o guia de integração do WatchGuard Firebox , que aborda uma arquitetura semelhante baseada em RADIUS em uma plataforma de hardware diferente.

Definições principais

PPSK (Private Pre-Shared Key)

Um método de segurança no qual são emitidas senhas exclusivas para usuários ou dispositivos individuais para um único SSID, em vez de compartilhar uma senha global. O servidor RADIUS mapeia cada senha para uma política específica ou VLAN.

Usado em Multi-Tenant WiFi para isolar o tráfego entre locatários, residentes ou grupos de eventos sem implantar múltiplos SSIDs.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede definido na RFC 2865 que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilidade (AAA) para usuários que se conectam a um serviço de rede.

O protocolo principal que a Purple usa para se comunicar com o hardware ALE. O AP ALE envia mensagens de Access-Request; a Purple responde com Access-Accept ou Access-Reject.

Direcionamento dinâmico de VLAN (Dynamic VLAN steering)

O processo de atribuição de um dispositivo conectado a uma VLAN específica com base nos atributos RADIUS retornados durante a autenticação, em vez de uma VLAN estática configurada no SSID.

Essencial para implantações multi-tenant onde diferentes grupos de usuários devem ser isolados na mesma infraestrutura física de AP.

Walled Garden

Um ambiente controlado que restringe o acesso à internet de um dispositivo a um conjunto predefinido de domínios antes que a autenticação seja concluída.

Necessário para permitir que os dispositivos alcancem o Captive Portal da Purple e provedores de identidade externos antes que o usuário faça o login.

Captive Portal

Uma página web que intercepta a sessão do navegador do usuário e exige que ele se autentique ou aceite os termos antes de obter acesso total à rede.

A interface principal onde os visitantes fornecem consentimento e dados de primeira parte. A Purple hospeda esta página na nuvem; o AP ALE realiza o redirecionamento.

Rede Baseada em Identidade (Identity-Based Network)

Uma arquitetura de rede onde as políticas de acesso, atribuições de VLAN e controles de largura de banda são determinados por quem o usuário é, em vez de onde ou como ele se conecta.

O resultado arquitetônico da integração do hardware ALE com a camada de autenticação da Purple.

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta que fornece um mecanismo de autenticação para dispositivos que se conectam a uma LAN ou WLAN. Requer um suplicante no dispositivo cliente, um autenticador (o AP) e um servidor de autenticação (RADIUS).

O padrão usado para implantações seguras de WiFi para funcionários. Elimina senhas compartilhadas e vincula o acesso a identidades de usuários individuais.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Um método EAP baseado em certificado onde tanto o cliente quanto o servidor RADIUS apresentam certificados digitais para autenticação mútua.

O método 802.1X mais seguro. Requer uma infraestrutura PKI para emitir certificados de cliente, mas elimina totalmente o roubo de credenciais baseado em senha.

PEAP (Protected Extensible Authentication Protocol)

Um método EAP que encapsula a troca de autenticação interna dentro de uma sessão TLS, protegendo as credenciais em trânsito. Comumente usado com MSCHAPv2 como o método interno.

O método 802.1X mais comum em implantações corporativas. Requer apenas um certificado do lado do servidor e funciona com suplicantes de SO padrão.

NAS (Network Access Server)

Na terminologia RADIUS, o dispositivo que impõe o controle de acesso — neste caso, o AP ALE OmniAccess Stellar. O NAS encaminha as solicitações de autenticação para o servidor RADIUS e aplica as políticas retornadas.

O AP ALE atua como o NAS na integração com a Purple. Seu endereço IP e segredo compartilhado devem ser registrados no portal da Purple como um cliente NAS confiável.

Exemplos práticos

Um hotel de 200 quartos no centro de Londres usa APs ALE OmniAccess Stellar em toda a propriedade. Eles precisam atender aos hóspedes do hotel, à equipe interna de back-of-house e a um restaurante no térreo como três segmentos de rede completamente separados. Eles desejam evitar a transmissão de múltiplos SSIDs para preservar o desempenho de RF.

Implante um único SSID seguro usando PPSK. Configure os APs ALE OmniAccess para autenticar contra o servidor RADIUS da Purple. No portal Purple, crie três grupos de PPSK: Hóspedes do Hotel (VLAN 10), Funcionários (VLAN 20) e Restaurante (VLAN 30). O servidor RADIUS retorna Tunnel-Private-Group-ID = 10, 20 ou 30, dependendo de qual senha o dispositivo usa. O AP ALE direciona dinamicamente cada dispositivo para a VLAN correta. Os hóspedes do hotel recebem apenas acesso à internet. Os funcionários recebem acesso ao sistema de gestão de propriedades. O restaurante recebe um segmento isolado para seus terminais de EPOS.

Comentário do examinador: Esta abordagem elimina três SSIDs e os substitui por um, reduzindo a interferência de canal adjacente e a sobrecarga de gerenciamento. O principal requisito técnico é que todas as três VLANs devem estar marcadas (tagged) no trunk de uplink entre o AP e o switch de distribuição. Se qualquer VLAN estiver ausente do trunk, os dispositivos que utilizam essa senha falharão em receber um endereço DHCP.

Um centro de conferências sedia 15 eventos corporativos simultaneamente. Cada organizador de evento precisa de sua própria rede Wi-Fi isolada para os participantes, mas o local possui apenas uma única infraestrutura ALE OmniAccess. A equipe de TI do local precisa provisionar e desprovisionar redes rapidamente entre os eventos.

Use o gerenciamento de PPSK da Purple para criar senhas por evento mapeadas para VLANs dedicadas ao evento. O local pré-configura 15 segmentos de VLAN na infraestrutura ALE. Para cada evento, a equipe de TI cria uma nova entrada PPSK no portal Purple, atribui-a à VLAN correta e fornece a senha ao organizador do evento. No final do evento, eles revogam a senha na Purple. O AP ALE para imediatamente de aceitar aquela senha, isolando a VLAN desprovisionada. Nenhuma reconfiguração do AP é necessária.

Comentário do examinador: Esta arquitetura separa o fluxo de trabalho de provisionamento da configuração do hardware. Os APs ALE permanecem estáticos; todas as alterações ocorrem na nuvem da Purple. Essa é a vantagem prática de uma sobreposição em nuvem: você pode adicionar, modificar ou revogar acessos sem tocar na infraestrutura física. Para ambientes de eventos, isso reduz o tempo de provisionamento de horas para minutos.

Questões práticas

Q1. Você configurou o Captive Portal da Alcatel-Lucent em um AP ALE OmniAccess Stellar. Os visitantes se conectam ao SSID e recebem um endereço IP, mas seus dispositivos mostram 'Sem Conexão com a Internet' e a splash page não aparece. Quais são as duas causas mais prováveis e como resolver cada uma?

Dica: Considere o que deve acontecer nas camadas DNS e HTTP antes que o redirecionamento do Captive Portal ocorra.

Ver resposta modelo

Causa 1: O escopo DHCP não inclui um servidor DNS válido. Sem DNS, o cliente não consegue resolver a URL do Captive Portal e o mecanismo de detecção de Captive Portal do sistema operacional falha. Resolução: Adicione um servidor DNS válido (ex: 8.8.8.8) ao escopo DHCP na VLAN de visitantes. Causa 2: O Walled Garden não inclui os domínios do portal Purple. Sem estes, o AP bloqueia a requisição de redirecionamento antes que ela chegue ao cliente. Resolução: Adicione region1.purpleportal.net, venuewifi.com e cloudfront.net à lista de acesso de pré-autenticação.

Q2. Sua implantação de Multi-Tenant WiFi usa PPSK em um único SSID ALE OmniAccess. Os usuários se autenticam com sucesso - o portal Purple mostra logins bem-sucedidos - mas todos os usuários recebem endereços IP da VLAN 1 em vez de suas VLANs de tenant atribuídas. Qual é a causa mais provável?

Dica: Verifique a comunicação entre o servidor RADIUS e o AP, além da configuração de uplink do AP.

Ver resposta modelo

Existem duas causas prováveis. Primeiro, o servidor RADIUS do Purple pode não estar retornando todos os três atributos de túnel RADIUS obrigatórios (64, 65, 81) na mensagem Access-Accept. Verifique se a política de aplicação inclui Tunnel-Type = 13, Tunnel-Medium-Type = 6 e Tunnel-Private-Group-ID = o ID de VLAN correto. Segundo, as VLANs de tenant podem não estar marcadas (tagged) no trunk de uplink entre o AP ALE e o switch de distribuição. Se a VLAN não existir no trunk, o AP não conseguirá direcionar o tráfego para ela, mesmo que os atributos RADIUS estejam corretos.

Q3. Um estabelecimento exige que as sessões de visitantes sejam encerradas automaticamente após 60 minutos, e que os visitantes que retornarem dentro de 24 horas sejam reconhecidos e ignorem o formulário de registro. Como isso deve ser configurado na arquitetura Purple e ALE?

Dica: Considere qual sistema controla o tempo de vida da sessão e qual sistema controla o reconhecimento de visitantes recorrentes.

Ver resposta modelo

O encerramento da sessão é controlado através do atributo RADIUS Session-Timeout. Configure o servidor RADIUS do Purple para incluir Session-Timeout = 3600 (segundos) na mensagem Access-Accept. O AP ALE desconectará o cliente após 3600 segundos. O reconhecimento de visitantes recorrentes é controlado no portal Purple. Ative a configuração de 'lembrar dispositivo' ou reautenticação baseada em MAC para o seu estabelecimento. Quando um visitante recorrente se conecta dentro da janela configurada, o servidor RADIUS do Purple reconhece seu endereço MAC e retorna um Access-Accept sem exigir a interação com a splash page, proporcionando uma experiência de reconexão transparente.

Q4. Você está implantando uma rede WiFi corporativa usando 802.1X em APs ALE OmniAccess Stellar. Sua organização utiliza o Microsoft Entra ID como provedor de identidade. Os dispositivos dos funcionários são notebooks Windows 11 gerenciados via Intune. Qual método EAP você deve usar e quais requisitos de certificado se aplicam?

Dica: Considere o equilíbrio entre segurança, complexidade de implantação e as capacidades da infraestrutura existente.

Ver resposta modelo

Use PEAP com MSCHAPv2 como método EAP. Isso requer apenas um certificado do lado do servidor no servidor RADIUS do Purple (já provisionado pelo Purple) e aproveita as credenciais de Entra ID do usuário para autenticação. Não são necessários certificados de cliente, o que simplifica a implantação em dispositivos gerenciados pelo Intune. Configure o supplicant do Windows 11 por meio de um perfil de Wi-Fi do Intune, especificando o SSID, segurança WPA2-Enterprise, método PEAP e o thumbprint do certificado do servidor RADIUS do Purple para validação do servidor. Se sua política de segurança exigir autenticação mútua baseada em certificado, mude para EAP-TLS e implante certificados de cliente via perfis SCEP do Intune, mas isso adicionará uma sobrecarga significativa de gerenciamento de PKI.

Continue a ler esta série

CommScope Ruckus Integration with Purple WiFi: Setup and Configuration Guide

Este guia de referência técnica fornece um manual de configuração definitivo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Ele detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK.

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).

Integração de Access Points Grandstream GWN com Purple WiFi

Este guia de referência técnica detalhado explica como integrar os access points Grandstream GWN com o Guest WiFi e a plataforma de analytics da Purple. Ele abrange a configuração do Captive Portal Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários via 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas passo a passo para MSPs e equipes de TI que implantam WiFi para visitantes e funcionários em escala.