Alcatel-Lucent OmniAccess Stellar and guest WiFi: captive portal setup with Purple

How Alcatel-Lucent OmniAccess Stellar access points, managed from OmniVista Cirrus, work with Purple guest WiFi: an external captive portal, RADIUS and a walled garden, with a link to Purple's step-by-step setup guide for the exact configuration.

📖 2 min de leitura📝 433 palavras📚 5 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao briefing técnico da Purple. Hoje estamos a abordar a integração do Alcatel-Lucent Enterprise OmniAccess Stellar com o Purple WiFi. Este briefing destina-se a gestores de TI, arquitetos de rede e diretores de operações de recintos que necessitam de implementar redes sem fios seguras, escaláveis e inteligentes.

Comecemos pelo contexto. Tem um recinto. Talvez um hotel, uma cadeia de retalho ou um estádio. Investiu em hardware ALE OmniAccess. Agora precisa de extrair valor de negócio dessa infraestrutura. Precisa de captar dados primários, segmentar os seus utilizadores de forma segura e proporcionar uma experiência de integração simples. É aí que entra a sobreposição de nuvem da Purple.

A Purple opera em mais de 80.000 recintos ativos em todo o mundo e processou mais de 440 milhões de inícios de sessão em 2024. É independente de hardware, o que significa que se integra sobre a sua infraestrutura ALE existente sem exigir qualquer substituição de hardware. Toda a lógica de autenticação e recolha de dados reside na nuvem da Purple.

O núcleo desta integração baseia-se em RADIUS. Quando um visitante entra no seu recinto e se liga ao SSID público de Guest WiFi, o AP da ALE intercepta o tráfego web do mesmo. Em vez de o deixar aceder diretamente à internet, redireciona o seu browser para um portal cativo alojado pela Purple. Esta é a sua página splash. É onde apresenta a sua marca, recolhe endereços de email ou oferece inícios de sessão sociais através do Facebook, LinkedIn ou Google.

Assim que o utilizador submete os seus dados, o servidor RADIUS na nuvem da Purple autentica-o e envia uma mensagem de Access-Accept de volta para o AP da ALE. O AP remove então as regras de firewall e concede acesso à internet. Todo o fluxo demora menos de três segundos.

Agora, entremos na análise técnica detalhada. Como configuramos isto na prática?

Primeiro, precisa de configurar as definições do servidor RADIUS na sua interface de gestão OmniVista ou Stellar. Irá introduzir os endereços IP do RADIUS da Purple, definir a porta de autenticação para 1812 e a porta de accounting para 1813. Crucialmente, certifique-se de que o RADIUS Accounting está ativado com um intervalo de 300 segundos. É isto que envia os dados de sessão de volta para a Purple para fins de análise e registo de conformidade.

Em seguida, temos o Walled Garden. Isto causa problemas em muitas implementações. Antes de um utilizador ser autenticado, ele não tem acesso à internet. Mas precisa de aceder ao portal da Purple para iniciar sessão. Deve colocar os domínios da Purple na lista de permissões da sua lista de acesso pré-autenticação. Os domínios principais são region1.purpleportal.net, venuewifi.com e cloudfront.net. Se estiver a utilizar o início de sessão do Facebook ou LinkedIn, deve também colocar os domínios deles na lista de permissões. Se o Walled Garden estiver incorreto, o portal cativo não irá carregar. Ponto final.

Para a configuração do SSID, crie uma nova rede sem fios, defina o nível de segurança para Open e ative a opção de External Captive Portal. Aponte o URL de redirecionamento para o URL da sua página splash específica da Purple, que encontrará no portal da Purple sob as definições de hardware do seu recinto.

Passemos para um cenário mais avançado: WiFi Multi-Tenant. Imagine um espaço de coworking ou uma residência de estudantes. Tem vários inquilinos que precisam de ter as suas próprias redes seguras e isoladas. Não quer transmitir 20 SSIDs diferentes. Isso destrói o desempenho de RF e cria uma má experiência para o utilizador.

A solução é o PPSK - Private Pre-Shared Keys - combinado com encaminhamento dinâmico de VLAN. Transmite um único SSID seguro. Mas cada inquilino recebe uma frase-passe única. Quando o Inquilino A introduz a sua frase-passe, o AP da ALE envia esse pedido para o servidor RADIUS da Purple. A Purple reconhece a frase-passe, autentica o utilizador e envia de volta uma mensagem Access-Accept.

Mas aqui está a parte importante. Essa mensagem inclui atributos RADIUS específicos. O Atributo 64 para Tunnel-Type, definido como 13 para VLAN. O Atributo 65 para Tunnel-Medium-Type, definido como 6 para Ethernet. E o Atributo 81, o Tunnel-Private-Group-ID, que contém o ID da VLAN real. O AP da ALE recebe isto e coloca o Inquilino A diretamente na VLAN 30. Quando o Inquilino B inicia sessão com uma frase-passe diferente, vai parar à VLAN 40. Um único SSID, isolamento total de Layer 2. Isto é o Identity-Based Networking na prática.

Vejamos um exemplo do mundo real. Um hotel de 200 quartos implementou esta arquitetura nos seus APs ALE OmniAccess Stellar existentes. Precisavam de servir os hóspedes do hotel, o pessoal interno e um restaurante no rés-do-chão como três segmentos de rede completamente separados. Em vez de implementarem três SSIDs, utilizaram PPSK com encaminhamento dinâmico de VLAN. O resultado foi um único SSID, três VLANs isoladas e uma redução significativa nos custos de gestão em comparação com a abordagem anterior de múltiplos SSIDs.

Agora, vamos discutir recomendações de implementação e armadilhas a evitar.

Primeiro, mantenha um design independente de hardware. Construa as suas políticas na Purple, não no controlador local. Isto permite-lhe escalar ou mudar de fornecedores de hardware mais tarde sem reconstruir as suas políticas de segurança do zero.

Segundo, preste atenção às versões de firmware. Certifique-se de que os seus APs da ALE estão a executar firmware que suporte explicitamente a atribuição dinâmica de VLAN via RADIUS. Versões mais antigas de firmware Stellar podem não suportar totalmente o atributo Tunnel-Private-Group-ID. Verifique as notas de lançamento da ALE antes de implementar.

Terceiro, o DNS é o seu melhor amigo e o seu pior inimigo. Se o seu Captive Portal não estiver a aparecer, verifique primeiro o seu âmbito de DHCP. Se o cliente não estiver a receber um servidor DNS válido, não conseguirá resolver o URL do portal e todo o processo é interrompido. Este é o problema de suporte mais comum em implementações de Captive Portal.

Quarto, para WiFi seguro de funcionários utilizando 802.1X, utilize PEAP com MSCHAPv2 para a maioria dos ambientes, ou EAP-TLS para implementações baseadas em certificados. O servidor RADIUS da Purple suporta ambos. Os dispositivos dos funcionários autenticam-se no Microsoft Entra ID ou Okta, e o servidor RADIUS devolve a atribuição de VLAN apropriada para o segmento de rede dos funcionários.

Vamos fazer uma sessão rápida de perguntas e respostas.

Pergunta: Posso utilizar esta integração para conformidade com PCI-DSS num ambiente de retalho?

Resposta: Sim. Ao utilizar o encaminhamento dinâmico de VLAN, pode garantir que os dispositivos de ponto de venda são sempre colocados numa VLAN isolada, completamente separada do tráfego de convidados. Isto cumpre os requisitos de segmentação de rede ao abrigo da PCI-DSS 4.0.

Pergunta: A Purple requer um equipamento físico de hardware no local?

Resposta: Não. A Purple é uma sobreposição na nuvem. Comunica diretamente com o seu hardware ALE existente através de RADIUS padrão pela internet. Não há nada para instalar fisicamente.

Pergunta: O que acontece se a nuvem da Purple estiver inacessível?

Resposta: Pode configurar uma política de contingência no AP ALE. Para redes de convidados, pode permitir o acesso aberto como contingência. Para redes de funcionários, configure uma contingência de recusa total para manter a segurança.

Pergunta: Posso capturar dados analíticos a partir da integração?

Resposta: Sim. Cada sessão autenticada gera um perfil de visitante na plataforma Purple. Obtém o tempo de permanência, a frequência de visitas, o tipo de dispositivo e os dados demográficos do formulário de registo. Isto alimenta diretamente o seu CRM através da biblioteca da Purple com mais de 400 conectores.

Para resumir as principais conclusões do briefing de hoje.

Um: A integração do ALE OmniAccess com a Purple utiliza RADIUS padrão nas portas 1812 and 1813. Não são necessários protocolos proprietários.

Dois: O Walled Garden é crítico. Se falhar este passo, o Captive Portal não irá carregar. Adicione os domínios da Purple à lista de permissões antes de qualquer outra coisa.

Três: PPSK com encaminhamento dinâmico de VLAN é a arquitetura certa para ambientes multi-tenant. Um SSID, palavras-passe únicas, VLANs isoladas por inquilino.

Quatro: Os atributos RADIUS 64, 65 e 81 são os três necessários para a atribuição dinâmica de VLAN. Se algum deles estiver em falta, o encaminhamento falha.

Cinco: A Purple é agnóstica em termos de hardware. As suas políticas residem na nuvem, não no controlador. Isto dá-lhe flexibilidade para escalar em diferentes fornecedores de hardware.

O seu próximo passo é iniciar sessão no seu portal Purple, navegar até às definições de hardware do seu local e obter as suas credenciais RADIUS específicas e o URL da página de destino. Em seguida, siga os passos de configuração descritos neste guia para ligar a sua infraestrutura ALE OmniAccess à nuvem Purple.

Obrigado por ouvir este briefing técnico da Purple. Para mais informações, visite purple.ai.

Alcatel-Lucent OmniAccess Stellar access points, managed from the OmniVista Cirrus cloud dashboard, run the radio side of your network. Purple adds the guest layer on top: the captive portal your visitors see, the sign-in journey, and the first-party data you collect. It does not replace any of your Alcatel-Lucent kit.

How Alcatel-Lucent OmniAccess Stellar works with Purple guest WiFi

Purple is a cloud overlay. Your Stellar access points keep running the WiFi; Purple runs the guest experience through standard mechanisms you configure in OmniVista Cirrus.

External captive portal. On your guest WLAN, an access role profile sends a new device to your Purple splash page instead of granting access straight away. The visitor signs in, and the page hands control back to the access point.
RADIUS. You add Purple as a RADIUS server and reference it from an AAA server profile, so each sign-in is checked against Purple's RADIUS service on the standard ports, 1812 for authentication and 1813 for accounting. The accounting data is what powers your visitor analytics.

A walled garden, set as allowlist domains on the access role profile, lets the splash page load and any payment or social-login steps complete before a visitor has signed in.

That is the whole model: Alcatel-Lucent moves the packets, Purple owns the sign-in and the data. Because it runs on standard web authentication and RADIUS, it works the same way across Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme and Fortinet. Purple is hardware-agnostic by design.

What you need

Alcatel-Lucent OmniAccess Stellar access points with access to the OmniVista Cirrus dashboard.
A Purple venue with your splash page and sign-in journey set up.
Your Purple RADIUS details and walled garden addresses, from your Purple dashboard.

Set it up with Purple

The exact settings, the RADIUS server, the AAA server profile, the access role profile with its external captive portal and allowlist domains, and the guest WLAN SSID, are documented step by step in Purple's support guide, with the precise values to enter.

Alcatel-Lucent Stellar AP setup guide

Follow that guide for the configuration. This page explains how the pieces fit together, so you know what each step is doing.

What you get

Once guests sign in through Purple, every visit becomes verified, conscious-choice opt-in first-party data: who visited, how often, and how to reach them with permission. That is the difference between WiFi that connects people and WiFi that builds a marketing audience you own. Purple is GDPR-aligned and ISO 27001 certified, with 99.999% uptime across more than 80,000 live venues.

Definições Principais

Captive portal

A página de início de sessão que um visitante visualiza antes de aceder à internet. O Purple aloja-a e executa-a; o seu ponto de acesso redireciona os dispositivos para a mesma.

O nível de experiência do visitante que o Purple adiciona à sua rede WiFi Stellar.

Access role profile

Um perfil Stellar que configura o captive portal como externo, aponta para o servidor de portal do Purple e contém os domínios da lista de permissões.

Como o OmniVista Cirrus envia os visitantes para o portal externo.

AAA server profile

Um perfil que agrupa os servidores de autenticação e tarifação RADIUS utilizados para a rede de convidados.

Como a rede WLAN faz referência ao servidor RADIUS do Purple.

RADIUS

Um protocolo padrão para verificar inícios de sessão e registar dados de sessão nas portas UDP 1812 (autenticação) e 1813 (tarifação).

Como os inícios de sessão são validados no Purple e os dados analíticos são fornecidos.

Walled garden

Uma pequena lista de permissões, definida como domínios permitidos, de endereços aos quais um dispositivo pode aceder antes de iniciar sessão.

Permite que a splash page, pagamentos e login social carreguem antes da autenticação.

Continue a ler esta série

Mikrotik RouterOS e guest WiFi: configuração do captive portal com a Purple

Como o guest WiFi na nuvem da Purple se integra com dispositivos MikroTik com RouterOS, utilizando o Hotspot integrado e o RADIUS, e onde encontrar os passos exatos de configuração.

Cisco Meraki e guest WiFi: configuração do captive portal com a Purple

Como os pontos de acesso Cisco Meraki e os dispositivos das gamas MX e Z-series funcionam com o guest WiFi da Purple: autenticação web externa, RADIUS e um walled garden, com um link para o guia de configuração passo a passo da Purple para a configuração exata.

Captive portal para HPE Aruba: configure-o com o guest WiFi da Purple

Configurar um captive portal de visitantes em pontos de acesso HPE Aruba Instant com a Purple, utilizando um captive portal externo, RADIUS e uma lista de permissões (allowlist), através do Aruba Central ou do Virtual Controller.