Integração Alcatel-Lucent Enterprise (ALE) OmniAccess com Purple WiFi

Este guia detalha a integração técnica entre os pontos de acesso Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar e a Purple WiFi. Abrange a redireção de Captive Portal, autenticação RADIUS, configuração de Walled Garden, Wi-Fi seguro 802.1X para funcionários e segmentação de Wi-Fi Multi-Tenant utilizando chaves privadas pré-partilhadas (PPSK) com direcionamento dinâmico de VLAN - fornecendo aos gestores de TI e arquitetos de rede uma referência completa e acionável para implementar Redes Baseadas em Identidade em hardware ALE.

📖 9 min de leitura📝 2,047 palavras🔧 2 exemplos práticos❓ 4 perguntas de prática📚 10 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao briefing técnico da Purple. Hoje vamos abordar a integração do Alcatel-Lucent Enterprise OmniAccess Stellar com o Purple WiFi. Este briefing destina-se a gestores de TI, arquitetos de rede e diretores de operações de recintos que necessitam de implementar redes sem fios seguras, escaláveis e inteligentes.

Comecemos pelo contexto. Tem um recinto. Talvez um hotel, uma cadeia de retalho ou um estádio. Investiu em hardware ALE OmniAccess. Agora necessita de extrair valor de negócio dessa infraestrutura. Precisa de recolher dados primários (first-party), segmentar os seus utilizadores de forma segura e proporcionar uma experiência de integração (onboarding) fluida. É aí que entra a sobreposição na nuvem da Purple.

A Purple opera em mais de 80.000 recintos ativos em todo o mundo e processou mais de 440 milhões de inícios de sessão em 2024. É independente de hardware, o que significa que se posiciona sobre a sua infraestrutura ALE existente sem exigir qualquer substituição de hardware. Toda a lógica de autenticação e recolha de dados reside na nuvem da Purple.

O núcleo desta integração baseia-se no RADIUS. Quando um visitante entra no seu recinto e se liga ao SSID aberto de Guest WiFi, o AP da ALE interpeta o seu tráfego web. Em vez de o direcionar diretamente para a internet, redireciona o seu navegador para um Captive Portal alojado pela Purple. Esta é a sua splash page. É aqui que apresenta a sua marca, recolhe endereços de e-mail ou oferece inícios de sessão social através do Facebook, LinkedIn ou Google.

Assim que o utilizador submete os seus dados, o servidor RADIUS na nuvem da Purple autentica-o e envia uma mensagem de Access-Accept de volta para o AP da ALE. O AP remove então as regras de firewall e concede acesso à internet. Todo o fluxo demora menos de três segundos.

Agora, entremos na análise técnica detalhada. Como configuramos isto na prática?

Primeiro, precisa de configurar as definições do servidor RADIUS na sua interface de gestão OmniVista ou Stellar. Irá introduzir os endereços IP de RADIUS da Purple, definir a porta de autenticação para 1812 e a porta de accounting para 1813. Crucialmente, certifique-se de que o RADIUS Accounting está ativado com um intervalo de 300 segundos. É isto que envia os dados de sessão de volta para a Purple para efeitos de analítica e registo de conformidade.

Em seguida, temos o Walled Garden. Isto causa problemas em muitas implementações. Antes de um utilizador ser autenticado, não tem acesso à internet. No entanto, precisa de aceder ao portal da Purple para iniciar sessão. Deve incluir os domínios da Purple na sua lista de permissões (whitelist) de pré-autenticação. Os domínios principais são region1.purpleportal.net, venuewifi.com e cloudfront.net. Se estiver a utilizar o início de sessão do Facebook ou LinkedIn, deve também incluir os domínios dos mesmos na lista de permissões. Se o Walled Garden estiver incorreto, o Captive Portal não irá carregar. Ponto final.

Para a configuração do SSID, crie uma nova rede sem fios, defina o nível de segurança para Aberto (Open) e ative a opção de Captive Portal Externo. Direcione o URL de redirecionamento para o URL específico da sua splash page da Purple, que encontrará no portal da Purple sob as definições de hardware do seu recinto.

Passemos para um cenário mais avançado: WiFi Multi-Tenant. Imagine um espaço de coworking ou uma residência de estudantes. Tem vários inquilinos que necessitam das suas próprias redes seguras e isoladas. Não quer transmitir 20 SSIDs diferentes. Isso destrói o seu desempenho de RF e cria uma experiência de utilizador medíocre.

A solução é o PPSK - Private Pre-Shared Keys - combinado com o direcionamento dinâmico de VLAN. Transmite um único SSID seguro. Mas cada inquilino recebe uma frase de passe exclusiva. Quando o Inquilino A introduz a sua frase de passe, o AP da ALE envia esse pedido para o servidor RADIUS da Purple. A Purple reconhece a frase de passe, autentica o utilizador e devolve uma mensagem de Access-Accept.

Mas aqui está a parte importante. Essa mensagem inclui atributos RADIUS específicos. Atributo 64 para Tunnel-Type, definido como 13 para VLAN. Atributo 65 para Tunnel-Medium-Type, definido como 6 para Ethernet. E o Atributo 81, o Tunnel-Private-Group-ID, que contém o ID real da VLAN. O AP da ALE recebe isto e coloca o Inquilino A diretamente na VLAN 30. Quando o Inquilino B inicia sessão com uma frase de passe diferente, vai parar à VLAN 40. Um único SSID, isolamento total de Layer 2. Isto é Networking Baseado em Identidade na prática.

Vejamos um exemplo do mundo real. Um hotel de 200 quartos implementou esta arquitetura nos seus APs ALE OmniAccess Stellar existentes. Precisavam de servir os hóspedes do hotel, o pessoal interno e um restaurante no rés do chão como três segmentos de rede completamente separados. Em vez de implementarem três SSIDs, utilizaram PPSK com direcionamento dinâmico de VLAN. O resultado foi um único SSID, três VLANs isoladas e uma redução significativa nos custos de gestão em comparação com a abordagem anterior de múltiplos SSIDs.

Agora, vamos discutir recomendações de implementação e armadilhas.

Primeiro, mantenha um design agnóstico em relação ao hardware. Crie as suas políticas na Purple, não no controlador local. Isto permite-lhe dimensionar ou trocar de fornecedores de hardware mais tarde, sem ter de reconstruir as suas políticas de segurança do zero.

Segundo, preste atenção às versões de firmware. Certifique-se de que os seus APs ALE estão a executar um firmware que suporta explicitamente a atribuição dinâmica de VLAN via RADIUS. As versões de firmware Stellar mais antigas podem não suportar totalmente o atributo Tunnel-Private-Group-ID. Verifique as notas de lançamento da ALE antes de implementar.

Terceiro, o DNS é o seu amigo e o seu inimigo. Se o seu Captive Portal não estiver a aparecer, verifique primeiro o seu escopo DHCP. Se o cliente não estiver a receber um servidor DNS válido, não conseguirá resolver o URL do portal e todo o processo é interrompido. Este é o problema de suporte mais comum em implementações de Captive Portal.

Quarto, para WiFi seguro do pessoal com 802.1X, utilize PEAP com MSCHAPv2 para a maioria dos ambientes, ou EAP-TLS para implementações baseadas em certificados. O servidor RADIUS da Purple suporta ambos. Os dispositivos dos funcionários autenticam-se no Microsoft Entra ID ou no Okta, e o servidor RADIUS devolve a atribuição de VLAN adequada para o segmento de rede dos funcionários.

Vamos fazer uma sessão rápida de perguntas e respostas.

Pergunta: Posso utilizar esta integração para conformidade com PCI DSS num ambiente de retalho?

Resposta: Sim. Ao utilizar o dynamic VLAN steering, pode garantir que os dispositivos de ponto de venda são sempre colocados numa VLAN isolada, completamente separada do tráfego de convidados. Isto satisfaz os requisitos de segmentação de rede ao abrigo do PCI DSS 4.0.

Pergunta: A Purple requer um equipamento de hardware físico no local?

Resposta: Não. A Purple é um cloud overlay. Comunica diretamente com o seu hardware ALE existente através de RADIUS padrão pela internet. Não há nada para instalar fisicamente.

Pergunta: O que acontece se a cloud da Purple estiver inacessível?

Resposta: Pode configurar uma política de contingência no AP da ALE. Para redes de convidados, pode permitir o acesso aberto como contingência. Para redes de funcionários, configure uma contingência de rejeição total para manter a segurança.

Pergunta: Posso capturar dados analíticos a partir da integração?

Resposta: Sim. Cada sessão autenticada gera um perfil de visitante na plataforma Purple. Obtém o tempo de permanência, frequência de visitas, tipo de dispositivo e dados demográficos do formulário de registo. Isto alimenta diretamente o seu CRM através da biblioteca da Purple com mais de 400 conectores.

Para resumir as principais conclusões do briefing de hoje.

Um: A integração do ALE OmniAccess com a Purple utiliza RADIUS padrão nas portas 1812 e 1813. Não são necessários protocolos proprietários.

Dois: O Walled Garden é crítico. Se falhar, o Captive Portal não será carregado. Adicione os domínios da Purple à lista de permissões antes de qualquer outra coisa.

Três: O PPSK com dynamic VLAN steering é a arquitetura certa para ambientes multi-tenant. Um SSID, palavras-passe exclusivas, VLANs isoladas por tenant.

Quatro: Os atributos RADIUS 64, 65 e 81 são os três necessários para a atribuição dinâmica de VLAN. Se algum deles estiver em falta, o steering falha.

Cinco: A Purple é independente de hardware. As suas políticas residem na cloud, não no controlador. Isto dá-lhe flexibilidade para escalar entre diferentes fornecedores de hardware.

O seu próximo passo é iniciar sessão no seu portal Purple, navegar até às definições de hardware do seu local e recuperar as suas credenciais RADIUS específicas e o URL da splash page. Em seguida, siga os passos de configuração deste guia para ligar a sua infraestrutura ALE OmniAccess à cloud da Purple.

Obrigado por ouvir este briefing técnico da Purple. Para mais informações, visite purple.ai.

Principais Conclusões

✓Os APs ALE OmniAccess Stellar integram-se com a Purple usando RADIUS padrão nas portas 1812 e 1813 - sem necessidade de protocolos proprietários ou equipamentos no local.
✓O Walled Garden é o ponto de falha de implementação mais comum. Adicione à whitelist todos os domínios do Captive Portal da Purple e os domínios dos fornecedores de login social antes de entrar em produção.
✓PPSK com direcionamento de VLAN dinâmico é a arquitetura correta para ambientes multi-tenant. Um único SSID, chaves de acesso exclusivas por tenant, VLANs isoladas através dos Atributos RADIUS 64, 65 e 81.
✓Todos os três atributos de túnel RADIUS têm de estar presentes na mensagem Access-Accept. Se o Atributo 81 (Tunnel-Private-Group-ID) estiver em falta, o AP ALE ignora a atribuição de VLAN.
✓A Purple funciona como uma sobreposição na nuvem (cloud overlay). As políticas residem no portal Purple, e não no controlador local, proporcionando flexibilidade independente do hardware para dimensionar ou substituir a infraestrutura.
✓Configure o RADIUS Accounting para intervalos de 300 segundos para garantir que os dados de sessão fluam corretamente para a plataforma de analytics da Purple.
✓A Purple possui as certificações ISO 27001, GDPR, CCPA e Cyber Essentials, tornando-a adequada para ambientes regulados, incluindo saúde, setor público e implementações de retalho no âmbito da norma PCI DSS.

Resumo executivo

Os pontos de acesso Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar integram-se com a Purple utilizando protocolos RADIUS padrão e redirecionamento para Captive Portal externo. Não é necessário middleware proprietário. A Purple funciona como uma sobreposição na nuvem, operando sobre a sua infraestrutura ALE existente e gerindo a autenticação, a captura de dados e as políticas de sessão sem exigir alterações de hardware.

Este guia aborda três cenários de implementação. Primeiro, WiFi para Convidados com redirecionamento para Captive Portal externo e configuração de Walled Garden. Segundo, WiFi seguro para Funcionários utilizando 802.1X com PEAP ou EAP-TLS. Terceiro, WiFi Multi-Tenant utilizando Chaves Pré-Partilhadas Privadas (PPSK) e direcionamento dinâmico de VLAN através dos Atributos RADIUS 64, 65 e 81.

A Purple serve mais de 80.000 locais ativos e processou mais de 440 milhões de inícios de sessão em 2024 (dados internos da Purple, 2024). Detém as certificações ISO 27001, GDPR, CCPA e Cyber Essentials. A plataforma opera com um tempo de atividade de 99,999%, tornando-a um backend de autenticação fiável para implementações empresariais.

Se é um gestor de TI ou arquiteto de rede a implementar hardware ALE OmniAccess em ambientes de hotelaria, retalho, eventos ou setor público, este guia fornece-lhe os passos exatos de configuração para passar do hardware para uma Rede Baseada em Identidade totalmente operacional.

Arquitetura técnica e fluxo de integração

A integração da Purple com o ALE OmniAccess Stellar baseia-se em dois protocolos padrão: RADIUS para autenticação e faturação (accounting), e redirecionamento HTTP/HTTPS para a disponibilização do Captive Portal. O AP ALE funciona como o Network Access Server (NAS), encaminhando os pedidos de autenticação para o servidor RADIUS na nuvem da Purple e aplicando as políticas devolvidas na resposta Access-Accept.

Figura 1: Fluxo de autenticação entre o dispositivo do visitante, o AP ALE OmniAccess Stellar e o RADIUS na nuvem da Purple.

O fluxo funciona da seguinte forma. Um visitante liga-se ao SSID de WiFi para Convidados aberto. O AP ALE atribui um endereço IP temporário a partir do pool de DHCP de pré-autenticação e intercetará o primeiro pedido HTTP ou HTTPS do visitante. O AP redireciona o browser para o URL do Captive Portal da Purple, transmitindo o endereço MAC do cliente e o identificador NAS do AP como parâmetros de URL. O visitante autentica-se através da splash page da Purple - utilizando e-mail, início de sessão através de redes sociais ou verificação por SMS. O servidor RADIUS da Purple valida a sessão e devolve uma mensagem Access-Accept ao AP ALE. O AP concede acesso à Internet e começa a enviar atualizações de RADIUS Accounting para a Purple no intervalo configurado. Para implementações avançadas que utilizam PPSK e encaminhamento dinâmico de VLAN, a mensagem RADIUS Access-Accept também inclui atributos de atribuição de VLAN. O AP ALE utiliza-os para colocar o tráfego do cliente diretamente no segmento de VLAN correto, isolando-o de outros utilizadores na mesma infraestrutura física.

Guia de implementação

Parte 1: WiFi de convidados com Captive Portal externo

Esta secção abrange a configuração do Captive Portal Alcatel-Lucent para redirecionamento externo para a Purple. Estes passos aplicam-se aos APs ALE OmniAccess Stellar geridos através do OmniVista Cirrus, OmniVista 2500 ou da interface web Stellar Express.

Passo 1: Obter as credenciais RADIUS da Purple

Inicie sessão no seu portal Purple. Navegue para Gestão > Locais, selecione o seu local e abra a secção Hardware. Adicione uma nova entrada de hardware e selecione Alcatel-Lucent OmniAccess Stellar como o tipo de hardware. A Purple gera um segredo partilhado RADIUS único, o IP do servidor de autenticação e o URL do Captive Portal para o seu local. Registe estes valores antes de prosseguir.

Passo 2: Configurar o servidor RADIUS no AP ALE

Na sua interface de gestão ALE, navegue para as definições de autenticação e adicione um novo perfil de servidor RADIUS.

Parâmetro	Valor
IP do Servidor / Nome de Host	Conforme fornecido no portal Purple
Porta de Autenticação	1812
Porta de Accounting	1813
Segredo Partilhado	Conforme fornecido no portal Purple
RADIUS Accounting	Ativado
Intervalo de Accounting	300 segundos

Ative um servidor RADIUS secundário utilizando o IP de cópia de segurança do portal Purple. Isto garante a redundância caso o servidor primário esteja temporariamente inacessível.

Passo 3: Configurar o Walled Garden

O Walled Garden define os domínios a que um dispositivo pode aceder antes de a autenticação estar concluída. Configure as seguintes entradas na lista de acesso pré-autenticação:

Domínios principais da Purple (obrigatórios):

Domínio	Finalidade
region1.purpleportal.net	Captive Portal da Purple
venuewifi.com	Gestão de sessão da Purple
cloudfront.net	CDN para recursos do portal
openweathermap.org	Widget de meteorologia (opcional)
stripe.com	Pagamentos de WiFi pago (se aplicável)

Domínios de início de sessão social (adicione conforme necessário):

Fornecedor	Domínios
Facebook	facebook.com, fbcdn.net, connect.facebook.net
LinkedIn	linkedin.com, licdn.net
Google	accounts.google.com, googleapis.com

A omissão de qualquer domínio necessário fará com que o método de início de sessão correspondente falhe de forma silenciosa. Teste cada método de início de sessão após a configuração.

Passo 4: Configurar o SSID de WiFi de convidados

Crie um novo perfil WLAN com as seguintes definições:

Parâmetro	Valor
Nível de Segurança	Aberto
Captive Portal	Ativado
Tipo de Captive Portal	Externo
URL de Redirecionamento	Conforme fornecido no portal Purple
Redirecionamento HTTPS	Desativado (a menos que um certificado SSL esteja instalado)
Tempo Limite de Inatividade	1800 segundos (30 minutos)
Perfil do Servidor RADIUS	Perfil RADIUS Purple (criado no Passo 2)
Se necessitar de redirecionamento HTTPS, instale um certificado SSL válido no AP ALE em System > General > Certificate Management. Note que os certificados wildcard não são suportados pelo AP Stellar para esta finalidade.

Passo 5: Atribuir o SSID a um grupo de APs

Aplique o perfil WLAN ao grupo de APs relevante no OmniVista. Verifique se os APs estão a transmitir o SSID e se os clientes se conseguem associar antes de testar o fluxo do Captive Portal.

Parte 2: WiFi seguro para colaboradores utilizando 802.1X

Para o WiFi de colaboradores, utilize WPA2-Enterprise ou WPA3-Enterprise com autenticação 802.1X. Isto elimina as palavras-passe partilhadas e associa o acesso a identidades de utilizadores individuais geridas no Microsoft Entra ID, Okta ou Google Workspace.

Passo 1: Configurar o SSID 802.1X

Crie um perfil WLAN separado para os colaboradores. Defina o tipo de segurança como WPA2-Enterprise ou WPA3-Enterprise e atribua o servidor RADIUS da Purple como o backend de autenticação. O servidor RADIUS da Purple reencaminha os pedidos de autenticação para o seu fornecedor de identidade através de LDAP ou SAML.

Passo 2: Selecionar o método EAP

Na maioria das implementações, utilize PEAP com MSCHAPv2. Isto requer apenas um certificado do lado do servidor e funciona com os suplicantes padrão do Windows, macOS, iOS e Android. Para ambientes de maior segurança, utilize EAP-TLS com certificados de cliente emitidos através da sua PKI.

Passo 3: Atribuir os colaboradores a uma VLAN dedicada

Configure o servidor RADIUS da Purple para devolver Tunnel-Private-Group-ID = ID da sua VLAN de colaboradores na resposta Access-Accept. Isto garante que os dispositivos dos colaboradores fiquem no segmento de rede corporativo, separados do tráfego de convidados na Camada 2.

Parte 3: WiFi Multi-Tenant utilizando PPSK e encaminhamento dinâmico de VLAN

O PPSK (Private Pre-Shared Key) - também designado por iPSK (Identity PSK) em documentação de alguns fabricantes - permite que um único SSID sirva múltiplos grupos de utilizadores isolados. Cada grupo recebe uma frase de acesso exclusiva. O servidor RADIUS mapeia cada frase de acesso para uma VLAN específica, proporcionando isolamento de rede por tenant sem a sobrecarga de RF de múltiplos SSIDs.

Figura 2: Segmentação de VLAN multi-tenant PPSK num único SSID ALE OmniAccess.

Passo 1: Criar o SSID PPSK

Crie um novo perfil WLAN e defina o tipo de autenticação como WPA2-PSK com validação PSK suportada por RADIUS. No firmware Stellar 4.0.8.16 e superior (para modelos AP1301 e superiores), a atribuição dinâmica de VLAN via RADIUS é suportada em Express Mode. Para modelos mais antigos ou firmware anterior, utilize o modo gerido pelo OmniVista.

Passo 2: Definir as frases de acesso dos tenants na Purple

No portal Purple, crie um grupo PPSK para cada tenant. Atribua uma frase de acesso exclusiva por tenant e mapeie cada frase de acesso ao respetivo ID de VLAN. A Purple armazena estes mapeamentos na sua base de dados RADIUS.

Passo 3: Configurar atributos RADIUS para encaminhamento de VLAN

Certifique-se de que o servidor RADIUS Purple devolve os seguintes atributos padrão IETF em cada resposta Access-Accept:

Número do Atributo	Nome do Atributo	Valor
64	Tunnel-Type	13 (VLAN)
65	Tunnel-Medium-Type	6 (IEEE 802 / Ethernet)
81	Tunnel-Private-Group-ID	VLAN ID (ex., "30")

Todos os três atributos têm de estar presentes. Se algum estiver em falta, o ALE AP ignora a atribuição de VLAN e coloca o cliente na VLAN predefinida.

Passo 4: Verificar o trunking de VLAN no uplink

Certifique-se de que todas as VLANs de inquilinos estão etiquetadas na porta de uplink entre o ALE AP e o switch de distribuição. Um AP não consegue direcionar o tráfego para uma VLAN que não seja permitida no seu trunk de uplink.

Melhores práticas

As seguintes recomendações refletem as práticas padrão para implementações sem fios empresariais e alinham-se com os requisitos IEEE 802.1X, PCI DSS 4.0 e GDPR.

Separar o WiFi de Convidados do WiFi de Funcionários na Camada 2. Nunca coloque o tráfego de convidados e funcionários na mesma VLAN. Utilize a atribuição de VLAN orientada por RADIUS para impor esta separação de forma automática, independentemente do AP ao qual o utilizador se liga.

Utilizar HTTPS para todos os redirecionamentos do Captive Portal. Instale um certificado SSL válido no ALE AP para ativar o redirecionamento HTTPS. Isto evita que os browsers mostrem avisos de segurança na splash page, o que reduz as taxas de abandono e alinha-se com os requisitos do GDPR para o manuseamento seguro de dados.

Definir o intervalo de Accounting do RADIUS para 300 segundos. Isto fornece à Purple atualizações regulares de sessão para garantir a precisão das análises. Um intervalo superior a 600 segundos corre o risco de perder dados de sessão se um cliente se desligar sem uma desautenticação limpa.

Testar o Walled Garden antes do lançamento oficial. Ligue um dispositivo de teste ao SSID do WiFi de Convidados e tente aceder a cada fornecedor de login social. Se um login falhar, o domínio correspondente está em falta no Walled Garden.

Segmentar dispositivos IoT utilizando PPSK. Em ambientes de retalho e hotelaria, os dispositivos IoT, tais como sinalização digital, terminais de pagamento e sensores ambientais, devem receber um PPSK exclusivo mapeado para uma VLAN isolada. Isto evita que um dispositivo IoT comprometido aceda à rede mais ampla.

Para mais informações sobre as normas e arquitetura de segurança de WiFi empresarial, consulte o nosso guia de segurança de WiFi empresarial .

Resolução de problemas e mitigação de riscos

A tabela seguinte abrange os modos de falha mais comuns nas integrações ALE OmniAccess e Purple.

Sintoma	Causa Mais Provável	Resolução
O Captive Portal não aparece	Configuração incorreta do Walled Garden ou DNS em falta	Verifique se os domínios da Purple estão na lista de permissões; confirme se o âmbito DHCP inclui um servidor DNS válido
A autenticação RADIUS falha	Incompatibilidade do segredo partilhado ou firewall a bloquear UDP 1812/1813	Reintroduza o segredo partilhado a partir do portal Purple; confirme se as regras de firewall permitem UDP de saída 1812 e 1813
Utilizadores aterram na VLAN errada	Atributos de Tunnel RADIUS em falta ou limitação de firmware do AP	Confirme se todos os três atributos RADIUS (64, 65, 81) são devolvidos; verifique se a versão do firmware ALE suporta VLAN dinâmica
Botão de login social falha	Domínio do fornecedor social em falta no Walled Garden	Adicione os domínios do fornecedor social necessários à lista de acesso pré-autenticação
Captive Portal HTTPS mostra aviso de certificado	Certificado wildcard utilizado ou nenhum certificado instalado	Instale um certificado SSL específico do domínio através de Sistema > Geral > Gestão de Certificados
Dados de sessão em falta na análise do Purple	Accounting RADIUS desativado ou intervalo demasiado longo	Ative o Accounting RADIUS; defina o intervalo para 300 segundos

Para problemas persistentes de RADIUS, ative o registo de depuração (debug logging) no AP ALE e capture a troca de mensagens RADIUS. Procure por mensagens de Access-Reject e verifique o código do motivo de rejeição. Os códigos comuns incluem 16 (falha de autenticação) e 18 (atributo em falta).

ROI e impacto empresarial

A implementação do Purple em hardware ALE OmniAccess converte uma rede passiva num ativo de dados ativo. Cada sessão autenticada gera um perfil de visitante: endereço de e-mail, frequência de visitas, tempo de permanência e tipo de dispositivo. Estes dados primários (first-party data) alimentam diretamente o seu CRM através da biblioteca do Purple de mais de 400 conectores.

A Harrods alcançou um ROI de marketing de 57x com a sua implementação de Guest WiFi, ao utilizar a recolha de dados do Purple para impulsionar as inscrições no programa de fidelização (estudo de caso Purple, 2023). A AGS Airports gerou um ROI de 842% ao implementar WiFi Pago com largura de banda segmentada em toda a sua propriedade (estudo de caso Purple, 2022).

Para operadores de hotelaria , o Captive Portal é o ponto de contacto principal para a recolha de dados dos hóspedes. Para ambientes de retalho , permite a análise do comportamento dos clientes e promoções direcionadas. Para interfaces de transportes , fornece dados de fluxo de passageiros e registo de sessões em conformidade com as normas.

A plataforma de Guest WiFi do Purple e as ferramentas de WiFi Analytics oferecem-lhe a infraestrutura de relatórios para medir estes resultados. Acompanhe as taxas de autenticação, a duração das sessões, as taxas de visitantes repetidos e a conversão de opt-in a partir de um único painel de controlo.

Para orientações de integração relacionadas, consulte o guia de integração WatchGuard Firebox , que abrange uma arquitetura semelhante baseada em RADIUS numa plataforma de hardware diferente.

Definições Principais

PPSK (Private Pre-Shared Key)

Um método de segurança no qual são emitidas palavras-passe únicas para utilizadores ou dispositivos individuais para um único SSID, em vez de partilharem uma única palavra-passe global. O servidor RADIUS mapeia cada palavra-passe para uma política ou VLAN específica.

Usado em Multi-Tenant WiFi para isolar o tráfego entre inquilinos, residentes ou grupos de eventos sem implementar múltiplos SSIDs.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede definido na norma RFC 2865 que fornece gestão centralizada de Autenticação, Autorização e Contabilização (AAA) para utilizadores que se ligam a um serviço de rede.

O protocolo principal que a Purple utiliza para comunicar com o hardware ALE. O AP da ALE envia mensagens de Access-Request; a Purple responde com Access-Accept ou Access-Reject.

Dynamic VLAN steering

O processo de atribuição de um dispositivo ligado a uma VLAN específica com base nos atributos RADIUS retornados durante a autenticação, em vez de uma VLAN estática configurada no SSID.

Essencial para implementações multi-tenant onde diferentes grupos de utilizadores devem ser isolados na mesma infraestrutura física de AP.

Walled Garden

Um ambiente controlado que restringe o acesso de um dispositivo à Internet a um conjunto predefinido de domínios antes de a autenticação ser concluída.

Necessário para permitir que os dispositivos alcancem o Captive Portal da Purple e fornecedores de identidade externos antes de o utilizador iniciar sessão.

Captive portal

Uma página web que intercepta a sessão do navegador de um utilizador e exige que este se autentique ou aceite os termos antes de obter acesso total à rede.

A interface principal onde os visitantes fornecem consentimento e dados primários (first-party). A Purple aloja esta página na cloud; o AP da ALE executa o redirecionamento.

Identity-Based Network

Uma arquitetura de rede onde as políticas de acesso, as atribuições de VLAN e os controlos de largura de banda são determinados por quem o utilizador é, em vez de onde ou como se liga.

O resultado arquitetónico da integração do hardware ALE com a camada de autenticação da Purple.

802.1X

Uma norma IEEE para controlo de acesso à rede baseado em portas que fornece um mecanismo de autenticação para dispositivos que se ligam a uma LAN ou WLAN. Requer um suplicante no dispositivo cliente, um autenticador (o AP) e um servidor de autenticação (RADIUS).

O padrão utilizado para implementações seguras de WiFi para funcionários. Elimina palavras-passe partilhadas e associa o acesso a identidades de utilizadores individuais.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Um método EAP baseado em certificados no qual tanto o cliente como o servidor RADIUS apresentam certificados digitais para autenticação mútua.

O método 802.1X mais seguro. Requer uma infraestrutura PKI para emitir certificados de cliente, mas elimina totalmente o roubo de credenciais baseado em palavras-passe.

PEAP (Protected Extensible Authentication Protocol)

Um método EAP que canaliza a troca de autenticação interna dentro de uma sessão TLS, protegendo as credenciais em trânsito. Comumente utilizado com MSCHAPv2 como o método interno.

O método 802.1X mais comum em implementações empresariais. Requer apenas um certificado do lado do servidor e funciona com suplicantes de SO padrão.

NAS (Network Access Server)

Na terminologia RADIUS, o dispositivo que aplica o controlo de acesso - neste caso, o AP ALE OmniAccess Stellar. O NAS encaminha os pedidos de autenticação para o servidor RADIUS e aplica as políticas retornadas.

O AP da ALE atua como o NAS na integração com a Purple. O seu endereço IP e segredo partilhado devem ser registados no portal Purple como um cliente NAS de confiança.

Exemplos Práticos

Um hotel de 200 quartos no centro de Londres utiliza APs ALE OmniAccess Stellar em toda a propriedade. Necessitam de servir os hóspedes do hotel, a equipa de back-of-house e um restaurante no rés-do-chão como três segmentos de rede completamente separados. Querem evitar a transmissão de múltiplos SSIDs para preservar o desempenho de RF.

Implementar um único SSID seguro utilizando PPSK. Configurar os APs ALE OmniAccess para autenticação no servidor RADIUS da Purple. No portal da Purple, criar três grupos PPSK: Hóspedes do Hotel (VLAN 10), Funcionários (VLAN 20) e Restaurante (VLAN 30). O servidor RADIUS devolve o Tunnel-Private-Group-ID = 10, 20 ou 30, dependendo da frase de passe que o dispositivo utiliza. O AP ALE direciona dinamicamente cada dispositivo para a VLAN correta. Os hóspedes do hotel recebem apenas acesso à internet. Os funcionários recebem acesso ao sistema de gestão da propriedade. O restaurante recebe um segmento isolado para os seus terminais EPOS.

Comentário do Examinador: Esta abordagem elimina três SSIDs e substitui-os por um, reduzindo a interferência de canais partilhados e os custos de gestão. O requisito técnico fundamental é que as três VLANs devem estar marcadas (tagged) no tronco de uplink entre o AP e o comutador de distribuição. Se faltar alguma VLAN no tronco, os dispositivos que utilizam essa frase de passe não conseguirão receber um endereço DHCP.

Um centro de conferências acolhe 15 eventos corporativos em simultâneo. Cada organizador de eventos necessita da sua própria rede Wi-Fi isolada para os participantes, mas o espaço possui apenas uma infraestrutura ALE OmniAccess única. A equipa de TI do espaço necessita de aprovisionar e desaprovisionar redes rapidamente entre os eventos.

Utilizar a gestão de PPSK da Purple para criar frases de passe por evento mapeadas para VLANs de eventos dedicadas. O espaço pré-configura 15 segmentos de VLAN na infraestrutura ALE. Para cada evento, a equipa de TI cria uma nova entrada PPSK no portal da Purple, atribui-a à VLAN correta e fornece a frase de passe ao organizador do evento. No final do evento, revogam a frase de passe na Purple. O AP ALE deixa imediatamente de aceitar essa frase de passe, isolando a VLAN desaprovisionada. Não é necessária qualquer reconfiguração do AP.

Comentário do Examinador: Esta arquitetura separa o fluxo de trabalho de aprovisionamento da configuração do hardware. Os APs ALE permanecem estáticos; todas as alterações ocorrem na cloud da Purple. Esta é a vantagem prática de uma sobreposição na cloud: pode adicionar, modificar ou revogar acessos sem tocar na infraestrutura física. Para ambientes de eventos, isto reduz o tempo de aprovisionamento de horas para minutos.

Perguntas de Prática

Q1. Configurou o Captive Portal da Alcatel-Lucent num AP ALE OmniAccess Stellar. Os convidados ligam-se ao SSID e recebem um endereço IP, mas os seus dispositivos mostram "Sem Ligação à Internet" e a página de splash não aparece. Quais são as duas causas mais prováveis e como resolve cada uma?

Dica: Considere o que deve acontecer na camada de DNS e HTTP antes de ocorrer o redirecionamento para o Captive Portal.

Ver resposta modelo

Causa 1: O âmbito DHCP não inclui um servidor DNS válido. Sem DNS, o cliente não consegue resolver o URL do Captive Portal e o mecanismo de deteção de Captive Portal do sistema operativo falha. Resolução: Adicione um servidor DNS válido (ex: 8.8.8.8) ao âmbito DHCP na VLAN de convidados. Causa 2: O Walled Garden não inclui os domínios do portal Purple. Sem estes, o AP bloqueia o pedido de redirecionamento antes de este chegar ao cliente. Resolução: Adicione region1.purpleportal.net, venuewifi.com e cloudfront.net à lista de acessos pré-autenticação.

Q2. A sua implementação de WiFi multi-tenant utiliza PPSK num único SSID ALE OmniAccess. Os utilizadores autenticam-se com sucesso - o portal Purple mostra logins bem-sucedidos - mas todos os utilizadores recebem endereços IP da VLAN 1 em vez das VLANs de tenant atribuídas. Qual é a causa mais provável?

Dica: Verifique a comunicação entre o servidor RADIUS e o AP, bem como a configuração de uplink do AP.

Ver resposta modelo

Existem duas causas prováveis. Primeiro, o servidor RADIUS do Purple pode não estar a retornar os três atributos de túnel RADIUS obrigatórios (64, 65, 81) na mensagem Access-Accept. Verifique se a política de aplicação inclui Tunnel-Type = 13, Tunnel-Medium-Type = 6 e Tunnel-Private-Group-ID = o ID de VLAN correto. Segundo, as VLANs de tenant podem não estar marcadas (tagged) no trunk de uplink entre o AP ALE e o switch de distribuição. Se a VLAN não existir no trunk, o AP não consegue direcionar o tráfego para a mesma, mesmo que os atributos RADIUS estejam corretos.

Q3. Um espaço exige que as sessões de convidados sejam terminadas automaticamente após 60 minutos e que os convidados que regressem num período de 24 horas sejam reconhecidos, ignorando o formulário de registo. Como deve isto ser configurado na arquitetura Purple e ALE?

Dica: Considere qual o sistema que controla o tempo de vida da sessão e qual o que controla o reconhecimento de visitantes frequentes.

Ver resposta modelo

O encerramento da sessão é controlado através do atributo RADIUS Session-Timeout. Configure o servidor RADIUS do Purple para incluir Session-Timeout = 3600 (segundos) na mensagem Access-Accept. O AP ALE irá desligar o cliente após 3600 segundos. O reconhecimento de visitantes frequentes é controlado no portal Purple. Ative a definição "lembrar dispositivo" ou a reautenticação baseada em MAC para o seu espaço. Quando um visitante frequente se liga dentro do período configurado, o servidor RADIUS do Purple reconhece o seu endereço MAC e envia um Access-Accept sem exigir a interação com a página de splash, proporcionando uma experiência de ligação contínua.

Q4. Está a implementar o WiFi de Colaboradores utilizando 802.1X em APs ALE OmniAccess Stellar. A sua organização utiliza o Microsoft Entra ID como fornecedor de identidade. Os dispositivos dos colaboradores são portáteis Windows 11 geridos via Intune. Que método EAP deve utilizar e que requisitos de certificado se aplicam?

Dica: Considere o equilíbrio entre segurança, complexidade de implementação e as capacidades da infraestrutura existente.

Ver resposta modelo

Utilize PEAP com MSCHAPv2 como método EAP. Isto requer apenas um certificado do lado do servidor no servidor RADIUS do Purple (já fornecido pelo Purple) e aproveita as credenciais do Entra ID do utilizador para autenticação. Não são necessários certificados de cliente, o que simplifica a implementação em dispositivos geridos pelo Intune. Configure o supplicant do Windows 11 através de um perfil de Wi-Fi do Intune, especificando o SSID, a segurança WPA2-Enterprise, o método PEAP e a impressão digital do certificado do servidor RADIUS do Purple para validação do servidor. Se a sua política de segurança exigir autenticação mútua baseada em certificados, atualize para EAP-TLS e implemente certificados de cliente através de perfis SCEP do Intune, embora isto adicione uma sobrecarga significativa de gestão de PKI.

Continue a ler esta série

Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Este guia de referência técnica fornece um manual de configuração autoritativo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK.

Integração de Access Points Allied Telesis com Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar access points Allied Telesis da Série TQ com o Purple WiFi. Abrange o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implementações multi-tenant seguras.

Integração de Pontos de Acesso Grandstream GWN com o Purple WiFi

Este guia de referência técnica detalha como integrar os pontos de acesso Grandstream GWN com a plataforma de Guest WiFi e analítica da Purple. Abrange a configuração do Captive Portal da Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas e passo a passo para MSPs e equipas de TI que implementam WiFi para convidados e funcionários em grande escala.