Alcatel-Lucent Enterprise (ALE) OmniAccess 与 Purple WiFi 集成指南
本指南详细介绍了 Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar 接入点与 Purple WiFi 之间的技术集成。内容涵盖 Captive Portal 重定向、RADIUS 身份验证、Walled Garden 配置、安全的 802.1X 员工 WiFi,以及使用私有预共享密钥 (PPSK) 结合动态 VLAN 引导的多租户 WiFi 隔离——为 IT 经理和网络架构师在 ALE 硬件上部署基于身份的网络提供完整且具可操作性的参考。
收听本指南
查看播客转录
执行摘要
Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar 接入点通过标准 RADIUS 协议和外部 Captive Portal 重定向与 Purple 集成。无需任何专有中间件。Purple 作为云端覆盖层运行,部署在您现有的 ALE 基础设施之上,负责处理身份验证、数据捕获和会话策略,而无需更改硬件。
本指南涵盖三种部署场景。第一,具有外部 Captive Portal 重定向和 Walled Garden 配置的访客 WiFi。第二,使用 802.1X(配合 PEAP 或 EAP-TLS)的安全员工 WiFi。第三,使用私有预共享密钥 (PPSK) 和通过 RADIUS 属性 64、65 和 81 进行动态 VLAN 引导的多租户 WiFi。
Purple 为超过 80,000 个活跃场所提供服务,并在 2024 年处理了超过 4.4 亿次登录(Purple 内部数据,2024 年)。它拥有 ISO 27001、GDPR、CCPA 和 Cyber Essentials 认证。该平台运行可用性达 99.999%,使其成为企业部署中可靠的身份验证后端。
如果您是在酒店、零售、活动或公共部门环境中部署 ALE OmniAccess 硬件的 IT 经理或网络架构师,本指南将为您提供从硬件到完全运营的基于身份的网络的精确配置步骤。
技术架构与集成流程
Purple 与 ALE OmniAccess Stellar 的集成依赖于两种标准协议:用于身份验证和计费的 RADIUS,以及用于交付 Captive Portal 的 HTTP/HTTPS 重定向。ALE AP 作为网络接入服务器 (NAS),将身份验证请求转发到 Purple 云 RADIUS 服务器,并执行 Access-Accept 响应中返回的策略。
图 1:访客设备、ALE OmniAccess Stellar AP 与 Purple 云 RADIUS 之间的身份验证流程。
该流程运行如下:访客连接到开放的访客 WiFi SSID。ALE AP 从认证前 DHCP 地址池分配一个临时 IP 地址,并拦截访客的第一个 HTTP 或 HTTPS 请求。AP 将浏览器重定向到 Purple Captive Portal URL,并将客户端的 MAC 地址和 AP 的 NAS 标识符作为 URL 参数传递。访客通过 Purple 登录页面进行身份验证 - 使用电子邮件、社交登录或短信验证。Purple 的 RADIUS 服务器验证该会话并向 ALE AP 返回 Access-Accept 消息。AP 授予互联网访问权限,并开始按配置的间隔向 Purple 发送 RADIUS 计费更新。
对于使用 PPSK 和动态 VLAN 引导的高级部署,RADIUS Access-Accept 消息还包含 VLAN 分配属性。ALE AP 使用这些属性将客户端流量直接投递到正确的 VLAN 网段,从而将他们与同一物理基础设施上的其他用户隔离。
实施指南
第 1 部分:具有外部 Captive Portal 的访客 WiFi
本节介绍用于外部重定向到 Purple 的 Alcatel-Lucent Captive Portal 配置。这些步骤适用于通过 OmniVista Cirrus、OmniVista 2500 或 Stellar Express Web 界面管理的 ALE OmniAccess Stellar AP。
步骤 1:获取 Purple RADIUS 凭据
登录您的 Purple 门户。导航至 Management > Venues,选择您的场所,然后打开 Hardware 部分。添加一个新的硬件条目,并选择 Alcatel-Lucent OmniAccess Stellar 作为硬件类型。Purple 会为您的场所生成唯一的 RADIUS 共享密钥、身份验证服务器 IP 和 Captive Portal URL。在继续之前记录这些值。
步骤 2:在 ALE AP 上配置 RADIUS 服务器
在您的 ALE 管理界面中,导航至身份验证设置并添加一个新的 RADIUS 服务器配置文件。
| 参数 | 值 |
|---|---|
| 服务器 IP / 主机名 | 由 Purple 门户提供 |
| 身份验证端口 | 1812 |
| 计费端口 | 1813 |
| 共享密钥 | 由 Purple 门户提供 |
| RADIUS 计费 | 已启用 |
| 计费间隔 | 300 秒 |
使用 Purple 门户中的备用 IP 启用备用 RADIUS 服务器。这可确保在主服务器暂时无法访问时进行故障转移。
步骤 3:配置 Walled Garden
Walled Garden 定义了设备在完成身份验证之前可以访问的域名。在认证前访问控制列表中配置以下条目:
核心 Purple 域名(必填):
| 域名 | 用途 |
|---|---|
| region1.purpleportal.net | Purple Captive Portal |
| venuewifi.com | Purple 会话管理 |
| cloudfront.net | 门户资产的 CDN |
| openweathermap.org | 天气小部件(可选) |
| stripe.com | 付费 WiFi 支付(如果适用) |
社交登录域名(根据需要添加):
| 提供商 | 域名 |
|---|---|
| facebook.com, fbcdn.net, connect.facebook.net | |
| linkedin.com, licdn.net | |
| accounts.google.com, googleapis.com |
遗漏任何所需的域名都会导致相应的登录方式静默失败。配置后请测试每种登录方式。
步骤 4:配置访客 WiFi SSID
使用以下设置创建一个新的 WLAN 配置文件:
| 参数 | 值 |
|---|---|
| 安全级别 | Open |
| Captive Portal | 已启用 |
| Captive Portal 类型 | 外部 |
| 重定向 URL | 由 Purple 门户提供 |
| HTTPS 重定向 | 已禁用(除非已安装 SSL 证书) |
| 空闲超时 | 1800 秒(30 分钟) |
| RADIUS 服务器配置文件 | Purple RADIUS 配置文件(在步骤 2 中创建) |
如果您需要 HTTPS 重定向,请在 ALE AP 的 System > General > Certificate Management 下安装有效的 SSL 证书。请注意,不支持通配符证书rted by the Stellar AP for this purpose.
步骤 5:将 SSID 分配给 AP 组
将 WLAN 配置文件应用到 OmniVista 中相关的 AP 组。在测试 Captive Portal 流程之前,验证 AP 是否正在广播该 SSID,以及客户端是否可以进行关联。
第 2 部分:使用 802.1X 保护员工 WiFi
对于员工 WiFi,请使用带有 802.1X 认证的 WPA2-Enterprise 或 WPA3-Enterprise。这消除了共享密码,并将访问权限与 Microsoft Entra ID、Okta 或 Google Workspace 中管理的个人用户身份绑定。
步骤 1:配置 802.1X SSID
为员工创建一个单独的 WLAN 配置文件。将安全类型设置为 WPA2-Enterprise 或 WPA3-Enterprise,并分配 Purple RADIUS 服务器作为认证后端。Purple 的 RADIUS 服务器通过 LDAP 或 SAML 将认证请求代理到您的身份提供商。
步骤 2:选择 EAP 方法
对于大多数部署,使用 PEAP with MSCHAPv2。这只需要服务器端证书,并且适用于标准的 Windows、macOS、iOS 和 Android 客户端。对于安全性要求更高的环境,请使用通过您的 PKI 颁发的客户端证书的 EAP-TLS。
步骤 3:将员工分配到专用 VLAN
配置 Purple RADIUS 服务器,在 Access-Accept 响应中返回 Tunnel-Private-Group-ID = 您的员工 VLAN ID。这可以确保员工设备进入企业网络段,在第 2 层与访客流量隔离。
第 3 部分:使用 PPSK 和动态 VLAN 引导的多租户 WiFi
PPSK(Private Pre-Shared Key)——在某些厂商文档中也被称为 iPSK(Identity PSK)——允许单个 SSID 为多个隔离的用户群组提供服务。每个群组接收一个唯一的密码。RADIUS 服务器将每个密码映射到特定的 VLAN,从而提供每个租户的网络隔离,而无需多个 SSID 带来的 RF 开销。
图 2:在单个 ALE OmniAccess SSID 上进行 PPSK 多租户 VLAN 细分。
步骤 1:创建 PPSK SSID
创建一个新的 WLAN 配置文件,并将认证类型设置为带有 RADIUS 支持的 PSK 验证的 WPA2-PSK。在 Stellar 固件 4.0.8.16 及以上版本(适用于 AP1301 及更高型号)中,Express 模式支持通过 RADIUS 进行动态 VLAN 分配。对于较旧的型号或较早的固件,请使用 OmniVista 管理模式。
步骤 2:在 Purple 中定义租户密码
在 Purple 门户中,为每个租户创建一个 PPSK 组。为每个租户分配一个唯一的密码,并将每个密码映射到相应的 VLAN ID。Purple 将这些映射存储在其 RADIUS 数据库中。
步骤 3:配置用于 VLAN 引导的 RADIUS 属性
确保 Purple RADIUS 服务器在每个 Access-Accept 响应中返回以下 IETF 标准属性:
| 属性编号 | 属性名称 | 值 |
|---|---|---|
| 64 | Tunnel-Type | 13 (VLAN) |
| 65 | Tunnel-Medium-Type | 6 (IEEE 802 / Ethernet) |
| 81 | Tunnel-Private-Group-ID | VLAN ID (例如, "30") |
这三个属性必须全部存在。如果缺少任何一个,ALE AP 将忽略 VLAN 分配,并将客户端置于默认 VLAN 中。
步骤 4:验证上行链路上的 VLAN Trunking
确保在 ALE AP 和分布交换机之间的上行链路端口上标记了所有租户 VLAN。AP 无法将流量引导至其上行链路 Trunk 上不允许的 VLAN。
最佳实践
以下建议反映了企业无线部署的标准实践,并符合 IEEE 802.1X、PCI DSS 4.0 和 GDPR 要求。
在第 2 层将访客 WiFi 与员工 WiFi 隔离。 切勿将访客和员工流量放在同一个 VLAN 上。使用 RADIUS 驱动的 VLAN 分配来自动强制执行此隔离,无论用户连接到哪个 AP。
对所有 Captive Portal 重定向使用 HTTPS。 在 ALE AP 上安装有效的 SSL 证书以启用 HTTPS 重定向。这可以防止浏览器在展示页面上显示安全警告,从而降低流失率,并符合 GDPR 对安全数据处理的要求。
将 RADIUS Accounting 间隔设置为 300 秒。 这为 Purple 提供了定期的会话更新,以确保分析的准确性。如果客户端在没有干净去认证的情况下断开连接,超过 600 秒的间隔可能会面临丢失会话数据的风险。
在上线前测试 Walled Garden。 将测试设备连接到访客 WiFi SSID,并尝试访问每个社交登录提供商。如果登录失败,则说明 Walled Garden 中缺少相应的域名。
使用 PPSK 细分 IoT 设备。 在零售和酒店环境中,数字标牌、支付终端和环境传感器等 IoT 设备应各自接收一个映射到隔离 VLAN 的唯一 PPSK。这可以防止受损的 IoT 设备访问更广泛的网络。
有关企业 WiFi 安全标准和架构的进一步阅读,请参阅我们的 企业 WiFi 安全指南 。
故障排除与风险缓解
下表涵盖了 ALE OmniAccess 和 Purple 集成中最常见的故障模式。
| 症状 | 最可能的原因 | 解决方案 |
|---|---|---|
| Captive Portal 未出现 | Walled Garden 配置错误或缺少 DNS | 验证 Purple 域名是否已列入白名单;检查 DHCP 范围是否包含有效的 DNS 服务器 |
| RADIUS 认证失败 | 共享密钥不匹配或防火墙阻止了 UDP 1812/1813 | 重新输入 Purple 门户中的共享密钥;确认防火墙规则允许出站 UDP 1812 和 1813 |
| 用户进入错误的 VLAN | 缺少 RADIUS Tunnel 属性或 AP 固件限制 | 确认返回了所有三个 RADIUS 属性(64、65、81);检查 ALE 固件版本是否支持动态 VLAN |
| 社交登录按钮失效 | Walled Garden 中缺少社交提供商域名 | 将所需的社交提供商域名添加到o the pre-authentication access list |
| HTTPS captive portal shows certificate warning | Wildcard certificate used or no certificate installed | Install a domain-specific SSL certificate via System > General > Certificate Management |
| Session data missing in Purple analytics | RADIUS Accounting disabled or interval too long | Enable RADIUS Accounting; set interval to 300 seconds |
对于持续出现的 RADIUS 问题,请在 ALE AP 上启用调试日志记录并捕获 RADIUS 交互。查找 Access-Reject 消息并检查拒绝原因代码。常见代码包括 16(身份验证失败)和 18(缺少属性)。
投资回报率(ROI)与业务影响
在 ALE OmniAccess 硬件上部署 Purple 可将静态网络转化为动态的数据资产。每个通过身份验证的会话都会生成一个访客画像:电子邮件地址、访问频率、停留时间和设备类型。这些第一方数据可通过 Purple 拥有 400 多个连接器的库直接导入您的 CRM。
Harrods 百货通过使用 Purple 的数据捕获来推动会员计划注册,使其 Guest WiFi 部署实现了 57 倍的营销投资回报率(Purple 案例研究,2023 年)。AGS 机场通过在其整个区域内实施分层带宽的付费 WiFi,实现了 842% 的投资回报率(Purple 案例研究,2022 年)。
对于 酒店住宿 运营商而言,Captive Portal 是捕获宾客数据的主要触点。对于 零售 环境,它支持购物者行为分析和定向促销。对于 交通 枢纽,它提供旅客流量数据和符合合规要求的会话日志记录。
Purple 的 Guest WiFi 平台和 WiFi Analytics 工具为您提供了衡量这些成果的报表基础设施。通过单一仪表板即可跟踪身份验证率、会话持续时间、回头客率以及选择加入(opt-in)转化率。
有关相关的集成指南,请参阅 WatchGuard Firebox 集成指南 ,该指南涵盖了在不同硬件平台上类似的基于 RADIUS 的架构。
关键定义
PPSK (Private Pre-Shared Key)
一种安全方法,向单个用户或设备发放针对单个 SSID 的唯一密码,而不是共享一个全局密码。RADIUS 服务器将每个密码映射到特定的策略或 VLAN。
用于多租户 WiFi,在不部署多个 SSID 的情况下隔离租户、居民或活动小组之间的流量。
RADIUS (Remote Authentication Dial-In User Service)
RFC 2865 中定义的一种网络协议,为连接到网络服务的用户提供集中式的认证、授权和计费 (AAA) 管理。
Purple 用于与 ALE 硬件通信的核心协议。ALE AP 发送 Access-Request 消息;Purple 回应 Access-Accept 或 Access-Reject。
Dynamic VLAN steering
根据身份验证期间返回的 RADIUS 属性将连接的设备分配给特定 VLAN 的过程,而不是在 SSID 上配置静态 VLAN。
对于多租户部署至关重要,在这些部署中,不同的用户群体必须在相同的物理 AP 基础设施上进行隔离。
Walled Garden
一种受控环境,在身份验证完成之前,将设备的互联网访问限制在预定义的一组域名内。
在用户登录之前,允许设备访问 Purple Captive Portal 和外部身份提供商所必需的配置。
Captive portal
一个拦截用户浏览器会话的网页,要求用户在获得完整网络访问权限之前进行身份验证或接受条款。
访客提供同意和第一方数据的主要界面。Purple 在云端托管此页面;ALE AP 执行重定向。
Identity-Based Network
一种网络架构,其中访问策略、VLAN 分配和带宽控制由用户是谁决定,而不是由他们连接的位置或方式决定。
将 ALE 硬件与 Purple 的身份验证覆盖层集成后的架构成果。
802.1X
一种用于基于端口的网络访问控制的 IEEE 标准,为连接到 LAN 或 WLAN 的设备提供身份验证机制。它需要客户端设备上的请求方、认证方(AP)和认证服务器(RADIUS)。
用于安全员工 WiFi 部署的标准。消除了共享密码,并将访问权限与个人用户身份绑定。
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
一种基于证书的 EAP 方法,客户端和 RADIUS 服务器均出示数字证书以进行双向身份验证。
最安全的 802.1X 方法。需要 PKI 基础设施来颁发客户端证书,但完全消除了基于密码的凭据窃取。
PEAP (Protected Extensible Authentication Protocol)
一种 EAP 方法,它将内部身份验证交换封装在 TLS 会话中,从而保护传输中的凭据。通常使用 MSCHAPv2 作为内部方法。
企业部署中最常用的 802.1X 方法。仅需要服务器端证书,并可与标准操作系统请求方配合工作。
NAS (Network Access Server)
在 RADIUS 术语中,指执行访问控制的设备——在本例中为 ALE OmniAccess Stellar AP。NAS 将身份验证请求转发给 RADIUS 服务器并执行返回的策略。
在 Purple 集成中,ALE AP 充当 NAS。其 IP 地址和共享密钥必须在 Purple 门户中注册为受信任的 NAS 客户端。
应用实例
一家位于伦敦市中心、拥有 200 间客房的酒店,在整个物业中部署了 ALE OmniAccess Stellar AP。他们需要将酒店住客、后勤员工和一楼餐厅作为三个完全独立的网络段进行服务。为了保持射频性能,他们希望避免广播多个 SSID。
使用 PPSK 部署单个安全的 SSID。配置 ALE OmniAccess AP 以针对 Purple RADIUS 服务器进行身份验证。在 Purple 门户中,创建三个 PPSK 组:酒店住客(VLAN 10)、员工(VLAN 20)和餐厅(VLAN 30)。RADIUS 服务器根据设备使用的密码返回 Tunnel-Private-Group-ID = 10、20 或 30。ALE AP 动态地将每个设备引导至正确的 VLAN。酒店住客仅获得互联网访问权限。员工获得物业管理系统的访问权限。餐厅获得用于其 EPOS 终端的隔离网段。
一个会议中心同时举办 15 场企业活动。每个活动组织者都需要为参会者提供自己独立的 WiFi 网络,但场馆只有一套 ALE OmniAccess 基础设施。场馆 IT 团队需要在活动之间快速配置和注销网络。
使用 Purple 的 PPSK 管理功能创建映射到专用活动 VLAN 的单场活动密码。场馆在 ALE 基础设施上预先配置 15 个 VLAN 网段。对于每场活动,IT 团队在 Purple 门户中创建一个新的 PPSK 条目,将其分配给正确的 VLAN,并将密码提供给活动组织者。活动结束时,他们在 Purple 中撤销该密码。ALE AP 立即停止接受该密码,从而隔离已注销的 VLAN。无需重新配置 AP。
练习题
Q1. 您已在 ALE OmniAccess Stellar AP 上配置了 Alcatel-Lucent Captive Portal。访客连接到 SSID 并获取了 IP 地址,但他们的设备显示“无互联网连接”,且未弹出欢迎页面。最可能的两个原因是什么,您如何解决每一个?
提示:考虑在 Captive Portal 重定向发生之前,DNS 和 HTTP 层必须发生什么。
查看标准答案
原因 1:DHCP 作用域不包含有效的 DNS 服务器。没有 DNS,客户端无法解析 Captive Portal URL,操作系统的 Captive Portal 检测机制就会失败。解决方法:在访客 VLAN 的 DHCP 作用域中添加一个有效的 DNS 服务器(例如 8.8.8.8)。原因 2:Walled Garden 不包含 Purple 门户域名。如果没有这些域名,AP 会在重定向请求到达客户端之前将其拦截。解决方法:将 region1.purpleportal.net、venuewifi.com 和 cloudfront.net 添加到认证前访问列表中。
Q2. 您的多租户 WiFi 部署在单个 ALE OmniAccess SSID 上使用 PPSK。用户成功通过身份验证(Purple 门户显示登录成功),但所有用户都从 VLAN 1 获取 IP 地址,而不是他们被分配的租户 VLAN。最可能的原因是什么?
提示:检查 RADIUS 服务器与 AP 之间的通信,以及 AP 的上行链路配置。
查看标准答案
有两个可能的原因。第一,Purple RADIUS 服务器可能未在 Access-Accept 消息中返回所有三个必需的 RADIUS 隧道属性(64、65、81)。请验证执行策略是否包含 Tunnel-Type = 13、Tunnel-Medium-Type = 6 以及 Tunnel-Private-Group-ID = 正确的 VLAN ID。第二,租户 VLAN 可能未在 ALE AP 和分配交换机之间的上行链路 Trunk 上进行标记。如果 Trunk 上不存在该 VLAN,即使 RADIUS 属性正确,AP 也无法将流量引导至该 VLAN。
Q3. 某场馆要求访客会话在 60 分钟后自动终止,并且在 24 小时内返回的访客能够被识别并跳过注册表单。在 Purple 和 ALE 架构中应该如何配置?
提示:考虑哪个系统控制会话生命周期,哪个系统控制回访客识别。
查看标准答案
会话终止通过 RADIUS Session-Timeout 属性控制。配置 Purple RADIUS 服务器,使其在 Access-Accept 消息中包含 Session-Timeout = 3600(秒)。ALE AP 将在 3600 秒后断开客户端连接。回访客识别在 Purple 门户中控制。为您的场馆启用“记住设备”或基于 MAC 的重新验证设置。当回访客在配置的时间窗口内连接时,Purple 的 RADIUS 服务器会识别其 MAC 地址并返回 Access-Accept,而无需进行欢迎页面交互,从而提供无缝的重新连接体验。
Q4. 您正在 ALE OmniAccess Stellar AP 上使用 802.1X 部署员工 WiFi。您的组织使用 Microsoft Entra ID 作为身份提供商。员工设备是通过 Intune 管理的 Windows 11 笔记本电脑。您应该使用哪种 EAP 方法,以及适用哪些证书要求?
提示:考虑安全性、部署复杂性以及现有基础设施能力之间的平衡。
查看标准答案
使用 PEAP 结合 MSCHAPv2 作为 EAP 方法。这仅需要在 Purple RADIUS 服务器上部署服务器端证书(已由 Purple 配置),并利用用户的 Entra ID 凭据进行身份验证。不需要客户端证书,这简化了在 Intune 管理的设备上的部署。通过 Intune Wi-Fi 配置文件配置 Windows 11 请求方,指定 SSID、WPA2-Enterprise 安全性、PEAP 方法以及用于服务器验证的 Purple RADIUS 服务器证书指纹。如果您的安全策略要求基于证书的双向身份验证,请升级到 EAP-TLS 并通过 Intune SCEP 配置文件部署客户端证书,但这会增加显著的 PKI 管理开销。
继续阅读本系列
CommScope Ruckus 与 Purple WiFi 集成:安装与配置指南
本技术参考指南为 CommScope Ruckus 架构与 Purple WiFi 的集成提供了权威的配置指南。它详细介绍了 Guest WiFi Captive Portal、通过 802.1X 实现的 Secure Staff WiFi 以及使用 Ruckus Dynamic PSK 实现的多租户网络隔离的逐步部署过程。
Allied Telesis 接入点与 Purple WiFi 集成
本指南为 Allied Telesis TQ 系列接入点与 Purple WiFi 的集成提供了全面的配置手册。内容涵盖外部 Captive Portal 重定向、802.1X RADIUS 身份验证,以及使用专用预共享密钥 (PPSK) 进行动态 VLAN 引导,以实现安全的多租户部署。
Grandstream GWN Access Points 接入 Purple WiFi 集成指南
本权威技术参考指南详细介绍了如何将 Grandstream GWN 接入点与 Purple 的访客 WiFi 及分析平台进行集成。内容涵盖 Grandstream Captive Portal 配置、RADIUS AAA 设置、Walled Garden(围墙花园)设置、基于动态 VLAN 引导的安全员工 802.1X 认证以及多租户 PPSK 细分,为部署大规模访客和员工 WiFi 的 MSP 及 IT 团队提供切实可行的分步指导。