Intégration de Cisco Meraki avec Purple WiFi
This guide provides a definitive technical reference for deploying Purple WiFi on Cisco Meraki infrastructure, covering the dual-layer integration architecture — Dashboard API provisioning and Captive Portal API authentication — alongside step-by-step RADIUS and splash page configuration. It is designed for network engineers and IT managers who need to move from a functional guest WiFi deployment to a strategic guest intelligence platform, with measurable ROI outcomes drawn from live enterprise deployments including McDonald's Belgium, Harrods, and AGS Airports.
🎧 Écouter ce guide
Voir la transcription
Résumé analytique
Cisco Meraki est l'infrastructure de base privilégiée par des milliers d'établissements d'entreprise : hôtels, chaînes de magasins, stades et infrastructures du secteur public. Son architecture gérée dans le cloud offre une simplicité opérationnelle à grande échelle, mais ses capacités natives de WiFi invité sont loin de répondre aux exigences d'un exploitant de site moderne : capture de données de première partie (first-party data), gestion des consentements conforme au GDPR, analyses de fréquentation en temps réel et intégration de l'automatisation du marketing. Purple WiFi comble cette lacune de manière décisive.
L'intégration de Purple et Meraki opère sur deux couches techniques. La Meraki Dashboard API permet un provisionnement automatisé en masse, important des centaines de points d'accès d'une organisation Meraki vers le portail Purple en une seule opération. La Meraki Captive Portal API, combinée à l'authentification RADIUS, offre l'expérience orientée invité : une page d'accueil entièrement personnalisée, des options d'authentification flexibles et une comptabilisation des sessions qui alimente le moteur d'analyse de Purple. Pour les visiteurs réguliers, le SSID PurpleConnex (SecurePass) exploite Hotspot 2.0 (Passpoint, IEEE 802.11u) pour une reconnexion automatique transparente, éliminant ainsi les frictions liées aux authentifications répétées.
Les déploiements de cette intégration sont opérationnels à grande échelle : McDonald's Belgique, Walmart Canada, Harrods (ROI multiplié par 57 sur 600 000 connexions) et AGS Airports (842 % de ROI). Pour toute équipe informatique gérant un parc Meraki et cherchant à démontrer la valeur commerciale mesurable du WiFi invité, cette intégration constitue la voie la plus efficace sur le plan opérationnel pour y parvenir.
Analyse technique approfondie
Architecture d'intégration
L'intégration de Purple et Meraki se conçoit au mieux comme deux relations API parallèles opérant à différentes couches de la pile réseau. La première est une intégration du plan de gestion via la Meraki Dashboard REST API, utilisée exclusivement pour le provisionnement et la configuration. La seconde est une intégration du plan de données via la Meraki Captive Portal API et le protocole RADIUS, qui régit le flux d'authentification en direct des invités.
Plan de gestion : Provisionnement via la Dashboard API
Meraki expose une REST API complète sur api.meraki.com/api/v1. L'assistant d'importation de matériel de Purple s'authentifie auprès de cette API à l'aide d'une clé API à l'échelle de l'organisation, puis énumère tous les réseaux, SSID et points d'accès au sein de l'organisation Meraki. Cela permet à un ingénieur réseau d'importer un parc de plus de 300 points d'accès répartis sur 50 sites en une seule opération par lots — un processus qui nécessiterait autrement une saisie manuelle pour chaque appareil. La capacité d'intégration bidirectionnelle de Purple permet également à la plateforme de renvoyer la configuration du Captive Portal, du walled garden (jardin clos) et de RADIUS vers Meraki, réduisant ainsi davantage la charge de configuration manuelle.
Pour générer la clé API requise, accédez à Organisation > API & Webhooks > API Keys dans le tableau de bord Meraki et sélectionnez Generate API Key. Cette clé doit être traitée comme un identifiant privilégié : stockez-la dans un système de gestion des secrets et renouvelez-la selon le cycle de vie standard des identifiants de votre organisation.
Plan de données : Captive Portal API et RADIUS
Le flux d'authentification des invités utilise la Meraki Captive Portal API en mode Sign-on. Lorsqu'un invité s'associe au SSID invité, le moteur de contrôle d'accès de Meraki intercepte la première requête HTTP et émet une redirection 302 vers l'URL de la page d'accueil hébergée par Purple. La page d'accueil est diffusée depuis l'infrastructure CDN de Purple ; la configuration du walled garden garantit que les domaines de Purple sont accessibles avant la fin de l'authentification.
Une fois que l'invité a terminé son authentification sur la page d'accueil, la plateforme de Purple envoie un message RADIUS Access-Accept au point d'accès Meraki sur le port 1812. Meraki accorde alors à l'appareil un accès complet au réseau. Les messages de comptabilisation RADIUS sur le port 1813 fournissent les événements de début de session, de mise à jour intermédiaire (toutes les 4 minutes) et de fin de session au moteur d'analyse de Purple, permettant des calculs précis du temps de présence, de la durée de la session et des visites répétées.
Méthodes d'authentification
Le Captive Portal de Purple prend en charge plusieurs mécanismes d'authentification, chacun ayant des implications différentes en matière de capture de données :
| Méthode | Données capturées | Consentement GDPR | Cas d'usage recommandé |
|---|---|---|---|
| Connexion sociale (Facebook, Google) | Nom, e-mail, données de profil | Case à cocher de consentement intégrée | Hôtellerie, fidélisation dans le commerce de détail |
| Formulaire e-mail | E-mail, champs personnalisés | Case à cocher de consentement intégrée | Tout établissement, contrôle maximal des données |
| Vérification par SMS | Numéro de mobile | Case à cocher de consentement intégrée | Établissements de haute sécurité ou avec restriction d'âge |
| Clic de validation (CGU uniquement) | MAC de l'appareil, données de session | Acceptation des conditions | Accès public à faible friction |
PurpleConnex : SecurePass et Hotspot 2.0
PurpleConnex est un second SSID déployé aux côtés du SSID invité principal. Il est configuré comme un réseau WPA2 Enterprise, avec les serveurs RADIUS RadSec de Purple (rad1-secure.purple.ai et rad2-secure.purple.ai) sur le port 2083 avec transport TLS. Hotspot 2.0 (Passpoint) est activé sur ce SSID, diffusant le domaine securewifi.purple.ai et les OI du Purple Roaming Consortium. Lorsque l'appareil d'un visiteur régulier a préalablement téléchargé un profil Purple Passpoint, il s'associera automatiquement à PurpleConnex et s'authentifiera silencieusement — aucune page d'accueil, aucune connexion manuelle. Cela est particulièrement pertinent dans les environnements hôteliers, où un client s'enregistrant pour un séjour de plusieurs nuits ne devrait pas avoir à se réauthentifier à chaque reconnexion de son appareil.
La configuration Hotspot 2.0 répond également au défi de la randomisation des adresses MAC introduit par iOS 14 et Android 10+. Étant donné que l'authentification PurpleConnex est basée sur des identifiants plutôt que sur l'adresse MAC, Purple peut maintenir un registre d'identité invité cohérent, même si l'appareil présente une adresse MAC randomisée différente à chaque tentative de connexion.
Guide d'implémentation
Liste de contrôle de pré-déploiement
Avant de commencer la configuration, confirmez que les prérequis suivants sont en place. L'accès à l'API doit être activé pour votre organisation Meraki — il s'agit d'un paramètre au niveau de l'organisation sous Organisation > Settings > Dashboard API Access. Vous aurez besoin d'un compte sur le portail Purple avec votre ou vos établissements créés et votre ou vos SSID configurés. Obtenez les valeurs suivantes depuis le portail Purple avant de modifier le tableau de bord Meraki : les noms d'hôtes des serveurs RADIUS et le secret partagé, l'URL personnalisée de la page d'accueil, l'URL de redirection post-authentification et la liste blanche actuelle des domaines du walled garden.
Étape 1 : Générer la clé API Meraki et importer les points d'accès
Dans le tableau de bord Meraki, accédez à Organisation > API & Webhooks > API Keys et générez une nouvelle clé API. Copiez cette clé immédiatement — elle ne s'affiche qu'une seule fois. Dans le portail Purple, accédez à Venue Management > Import Hardware > Third Party API, sélectionnez Cisco Meraki et collez votre clé API. Purple énumérera l'ensemble de votre parc de points d'accès. Sélectionnez les points d'accès que vous souhaitez associer à chaque établissement Purple et confirmez l'importation.
Étape 2 : Configurer le SSID invité — Contrôle d'accès
Dans le tableau de bord Meraki, accédez à Wireless > Access Control. Sélectionnez votre SSID invité dans le menu déroulant et appliquez les paramètres suivants :
| Paramètre | Valeur |
|---|---|
| Statut du SSID | Activé |
| Sécurité | Ouvert |
| Page d'accueil | Sign-on with my RADIUS server |
| Force du Captive Portal | Block all access until sign-on is complete |
| Walled Garden | Activé (ajoutez toutes les entrées de domaine Purple) |
| Connexions simultanées | Autoriser |
| Comportement de déconnexion du contrôleur | Par défaut |
| IP client et VLAN | Meraki DHCP (mode NAT) |
| Data-Carrier Detect | Désactivé |
Sous RADIUS Servers, ajoutez deux serveurs d'authentification (primaire et secondaire) sur le port 1812 avec le secret partagé de votre portail Purple. Ajoutez les serveurs de comptabilisation correspondants sur le port 1813. Réglez l'intervalle intermédiaire de comptabilisation sur 4 minutes, le délai d'attente du serveur sur 5 secondes et le nombre de tentatives sur 3.
Sous Advanced RADIUS Settings, définissez Called-Station-ID et NAS-ID sur AP MAC address. Supprimez toute autre valeur de ces champs.
Étape 3 : Configurer la page d'accueil
Accédez à Wireless > Splash Page. Saisissez l'URL personnalisée de la page d'accueil (Custom Splash URL) issue de votre portail Purple. Définissez la destination de redirection post-accueil sur l'URL de votre choix — généralement le site web de votre établissement ou une page de destination promotionnelle spécifique. Enregistrez les modifications.
Étape 4 : Configurer PurpleConnex (SSID SecurePass)
Créez un nouveau SSID nommé PurpleConnex. Définissez la sécurité sur WPA2 Enterprise. Désactivez le Wi-Fi Personal Network (WPN). Sous les serveurs RADIUS, ajoutez rad1-secure.purple.ai et rad2-secure.purple.ai sur le port 2083 avec RadSec (RADIUS over TLS) activé et le secret partagé radsec. Réglez le délai d'inactivité TLS RADSec sur 15 minutes. Désactivez la prise en charge de RADIUS CoA. Activez le proxy RADIUS.
Accédez à Wireless > Hotspot 2.0. Sélectionnez le SSID PurpleConnex et configurez-le comme suit :
| Paramètre | Valeur |
|---|---|
| Hotspot 2.0 | Activé |
| Nom de l'opérateur | PURPLE:GB |
| Type de réseau | Réseau public gratuit (Free public network) |
| Liste de domaines | securewifi.purple.ai |
| OI du Roaming Consortium | 5A03BA0000, 004096 |
| NAI Realm | securewifi.purple.ai (EAP-TTLS / PAP) |
Étape 5 : Valider et tester
Avant de déclarer le déploiement terminé, testez le parcours complet de l'invité à partir d'un appareil grand public sur un segment de réseau distinct. Vérifiez que la page d'accueil se charge correctement, que toutes les méthodes d'authentification fonctionnent, que l'accès au réseau post-authentification est accordé dans les 3 à 5 secondes et que les données de session apparaissent dans le tableau de bord d'analyse Purple dans les 5 minutes. Testez le flux de reconnexion automatique PurpleConnex en téléchargeant le profil Passpoint et en confirmant la reconnexion transparente lors d'une deuxième visite.
Bonnes pratiques
Segmentation du réseau et conformité PCI DSS. Le trafic WiFi invité doit être isolé sur un VLAN dédié, avec des règles de pare-feu empêchant tout mouvement latéral vers les segments du réseau d'entreprise. Si votre établissement traite des données de cartes de paiement sur la même infrastructure réseau physique, un exercice formel de définition du périmètre PCI DSS est requis. Le mode NAT de Meraki offre une isolation des clients au niveau du point d'accès, mais la segmentation VLAN au niveau de la couche de commutation est le contrôle approprié pour la gestion du périmètre PCI.
Gouvernance des données GDPR et CCPA. Le Captive Portal de Purple présente un mécanisme de consentement au moment de l'authentification, capturant un opt-in explicite pour les communications marketing. Assurez-vous que les paramètres de conservation des données de votre portail Purple sont alignés sur la politique de gouvernance des données de votre organisation. La plateforme de Purple prend en charge nativement les demandes d'accès des personnes concernées et les flux de travail liés au droit à l'effacement, ce qui constitue un avantage de conformité majeur par rapport aux solutions de Captive Portal sur mesure.
Maintenance du Walled Garden. La liste des domaines du walled garden est un élément de configuration évolutif. Le CDN et l'infrastructure de la plateforme de Purple peuvent changer au fil du temps, et un walled garden obsolète entraînera une expérience de page d'accueil dégradée. Abonnez-vous aux notes de mise à jour de Purple et révisez la liste du walled garden dans le cadre de votre processus standard de gestion des changements.
Redondance et basculement. Purple fournit deux points de terminaison de serveur RADIUS pour le SSID invité et PurpleConnex. Les deux doivent toujours être configurés. En cas de panne de la plateforme Purple, configurez le comportement de déconnexion du contrôleur de Meraki sur Par défaut (Default) — cela permet aux sessions précédemment authentifiées de se poursuivre pendant que les nouvelles authentifications sont mises en file d'attente pour une nouvelle tentative.
Wi-Fi 6 et optimisation du débit. Pour les lieux à haute densité tels que les stades et les centres de conférence, les points d'accès Wi-Fi 6 (802.11ax) de Meraki offrent la marge de débit requise pour les sessions invitées simultanées. L'intégration de Purple est indépendante de la génération de matériel : la configuration RADIUS et du Captive Portal est identique pour toutes les générations de produits de points d'accès Meraki.
Dépannage et atténuation des risques
Le tableau suivant résume les modes de défaillance les plus courants rencontrés dans les déploiements Meraki et Purple, leurs causes profondes et les mesures correctives recommandées.
| Symptôme | Cause profonde | Mesure corrective |
|---|---|---|
| La page d'accueil ne se charge pas (blanche ou cassée) | Walled garden incomplet | Ajouter toutes les entrées de domaine Purple à la liste blanche du walled garden |
| L'authentification réussit mais l'accès au réseau n'est pas accordé | Délai d'attente RADIUS trop faible | Régler le délai d'attente du serveur sur 5s, le nombre de tentatives sur 3 |
| Les analyses ne montrent aucune donnée par point d'accès | NAS-ID / Called-Station-ID mal configurés | Définir les deux champs sur l'adresse MAC du point d'accès dans Advanced RADIUS Settings |
| Échecs d'authentification intermittents en pic de charge | Un seul serveur RADIUS configuré | Ajouter les points de terminaison RADIUS Purple primaire et secondaire |
| PurpleConnex ne se connecte pas automatiquement | Hotspot 2.0 mal configuré | Vérifier les paramètres des OI du Roaming Consortium et du NAI Realm |
| Les visiteurs réguliers sont invités à se réauthentifier | Le SSID PurpleConnex n'est pas déployé | Déployer le SSID PurpleConnex avec la configuration Passpoint |
| Le consentement GDPR n'est pas capturé | Champs de consentement de la page d'accueil désactivés | Activer les champs d'opt-in marketing dans l'éditeur de page d'accueil du portail Purple |
Randomisation des adresses MAC. Les appareils iOS et Android modernes présentent des adresses MAC randomisées par défaut. Cela affecte la capacité de Purple à identifier les visiteurs réguliers sur le SSID invité. La solution PurpleConnex / SecurePass résout ce problème en utilisant une authentification basée sur des identifiants plutôt qu'une identification basée sur l'adresse MAC. Pour les établissements où le déploiement de PurpleConnex n'est pas réalisable, la plateforme de Purple applique une correspondance probabiliste à l'aide des métadonnées de session pour atténuer partiellement l'impact.
Compatibilité du firmware Meraki. Assurez-vous que vos points d'accès Meraki exécutent une version de firmware prenant en charge les fonctionnalités Hotspot 2.0 et RadSec requises pour PurpleConnex. Le canal de firmware stable de Meraki est recommandé pour les déploiements en production ; les firmwares bêta ne doivent pas être utilisés dans des environnements WiFi invité en direct.
ROI et impact commercial
L'analyse de rentabilisation du déploiement de Purple sur un parc Meraki est bien démontrée par des déploiements en direct dans de multiples secteurs verticaux. Les résultats suivants sont tirés d'études de cas Purple publiées.
| Organisation | Secteur | Résultat |
|---|---|---|
| Harrods | Commerce de détail de luxe | ROI multiplié par 57 sur 600 000 connexions WiFi |
| AGS Airports | Voyage et transport | 842 % de ROI via des revenus de bande passante par paliers |
| McDonald's Belgique | Restauration rapide | Déploiement en direct de Purple + Cisco Meraki + Socialspot |
| Walmart Canada | Grande distribution | WiFi invité à l'échelle de l'entreprise avec Purple et Cisco |
| Miami HEAT (Kaseya Center) | Sports et divertissement | 290 000 connexions, moyenne de 28 000 par mois |
| c2c Rail | Transport | 81 601 utilisateurs WiFi → 151 % de ROI |
Le mécanisme de ROI est simple. Purple convertit les événements d'authentification WiFi invité en profils de données de première partie (first-party data) : adresses e-mail, informations démographiques, fréquence des visites, temps de présence et modèles comportementaux. Ces données alimentent directement les plateformes de CRM et d'automatisation du marketing via les connecteurs API de Purple, permettant des campagnes ciblées qui surpassent de manière démontrable les données d'audience tierces, tant en termes de taux de conversion que de coût par acquisition.
Pour un hôtel de 200 chambres fonctionnant à 70 % d'occupation avec une moyenne de 1,8 client par chambre, un déploiement Purple sur un parc Meraki capturera généralement 250 à 300 nouveaux profils de première partie par jour. Avec un taux de conversion standard de l'industrie du marketing par e-mail de 3 à 5 % et une valeur de réservation incrémentale moyenne de 150 £, l'attribution des revenus annuels provenant du seul réengagement par e-mail dépasse généralement le coût total de la licence de la plateforme Purple dès la première année d'exploitation.
Les gains d'efficacité opérationnelle issus du provisionnement automatisé de Meraki constituent un avantage secondaire mais significatif. Pour un opérateur multisite gérant 50 emplacements, la réduction du temps de configuration manuelle — d'une estimation de 3 à 4 heures par site à moins de 30 minutes — représente une économie matérielle sur les coûts des ressources d'ingénierie.
Termes clés et définitions
Captive Portal
A web-based authentication gateway that intercepts a guest device's initial HTTP request and redirects it to a login or terms-acceptance page before granting network access. In the Meraki-Purple integration, the captive portal is hosted by Purple and delivered via a custom splash URL configured in the Meraki dashboard.
IT teams encounter this when configuring the Splash Page settings in the Meraki dashboard. The choice between Click-through (terms acceptance only) and Sign-on (RADIUS authentication) determines the level of data capture and security the deployment provides.
RADIUS (Remote Authentication Dial-In User Service)
A networking protocol (RFC 2865) that provides centralised authentication, authorisation, and accounting (AAA) for network access. In the Meraki-Purple integration, Purple operates RADIUS servers that receive authentication requests from Meraki APs on port 1812 and return Access-Accept or Access-Reject responses. Accounting data is sent to port 1813.
RADIUS is the backbone of the guest authentication flow. Network engineers need to configure the RADIUS server IP addresses, shared secret, and port numbers in the Meraki Access Control settings. Incorrect RADIUS configuration is the most common cause of guest authentication failure.
Walled Garden
A list of network destinations (IP addresses, domain names, or CIDR blocks) that a guest device is permitted to reach before completing captive portal authentication. In the Meraki-Purple integration, the walled garden must include all domains required by Purple's splash page — CDN assets, authentication provider endpoints, and the Purple platform itself.
IT teams must maintain this list as a living configuration item. An incomplete walled garden results in a broken splash page experience for guests. Purple publishes and maintains a current whitelist of required domains in their support documentation.
RadSec (RADIUS over TLS)
An extension to the RADIUS protocol (RFC 6614) that transports RADIUS messages over a TLS-encrypted TCP connection, providing confidentiality and integrity for authentication traffic. Purple's PurpleConnex SSID uses RadSec on port 2083, replacing the standard UDP transport used by the guest SSID RADIUS configuration.
RadSec is required for the PurpleConnex SecurePass SSID. Network engineers must enable the RadSec toggle in Meraki's RADIUS server configuration and use port 2083 rather than the standard 1812/1813. Failure to enable RadSec will prevent PurpleConnex authentication from functioning.
Hotspot 2.0 / Passpoint (IEEE 802.11u)
A Wi-Fi Alliance certification programme based on the IEEE 802.11u standard that enables automatic, secure network discovery and association. A device with a Passpoint profile will automatically connect to a compatible network without user intervention, using EAP-based authentication rather than a captive portal.
In the Meraki-Purple integration, Hotspot 2.0 is configured on the PurpleConnex SSID to enable seamless auto-reconnection for returning guests. This is particularly valuable in hospitality and retail environments where repeat authentication friction reduces guest satisfaction.
NAS-ID (Network Access Server Identifier)
A RADIUS attribute (Attribute 32) that identifies the network access server — in this context, the Meraki access point — that is sending the authentication request. Purple uses the NAS-ID to attribute guest sessions to specific physical access points, enabling floor-level location analytics.
This is one of the most commonly misconfigured parameters in Meraki-Purple deployments. It must be set to AP MAC address in the Meraki Advanced RADIUS Settings. Any other value (such as SSID name or a static string) will prevent Purple from generating per-AP analytics.
Meraki Dashboard API
A RESTful API provided by Cisco Meraki that allows programmatic access to the Meraki cloud management platform. It supports read and write operations across organisations, networks, devices, and configuration objects. Purple uses this API to import access point data and push SSID/RADIUS configuration during the provisioning phase.
IT teams need to generate an API key from the Meraki dashboard (Organisation > API & Webhooks) and provide it to the Purple Portal's Hardware Import Wizard. This key should be treated as a privileged credential and stored securely.
GDPR (General Data Protection Regulation)
EU Regulation 2016/679, which governs the collection, processing, and storage of personal data of EU residents. In the context of guest WiFi, GDPR requires that venues obtain explicit, informed consent before collecting personal data (such as email addresses) through a captive portal, and provide mechanisms for data subjects to access, correct, or delete their data.
Purple was among the first WiFi providers to achieve GDPR compliance. The Purple captive portal presents a consent mechanism at the point of authentication, and the platform supports data subject access requests and right-to-erasure workflows natively. IT teams should ensure that the Purple Portal's data retention settings align with their organisation's data governance policy.
PurpleConnex (SecurePass)
Purple's seamless reconnection solution, implemented as a second SSID configured with WPA2 Enterprise security, RadSec RADIUS transport, and Hotspot 2.0 (Passpoint) advertisement. Returning guests whose devices have downloaded a Purple Passpoint profile will automatically associate with PurpleConnex without seeing a captive portal.
PurpleConnex is deployed alongside the primary guest SSID and is invisible to first-time visitors. It resolves two key challenges: repeat authentication friction for returning guests, and MAC address randomisation (iOS 14+, Android 10+) which breaks MAC-based guest identification on the primary SSID.
Called-Station-ID (RADIUS Attribute 30)
A RADIUS attribute that identifies the access point or network access server that the client connected to, typically expressed as the AP's MAC address. Purple uses this attribute in conjunction with NAS-ID to map guest sessions to specific physical access points for location analytics.
Must be set to AP MAC address in Meraki's Advanced RADIUS Settings. This attribute works in tandem with NAS-ID — both must be correctly configured for Purple's floor-level analytics to function accurately.
Études de cas
A 250-room four-star hotel group with 12 properties across the UK has a fully deployed Cisco Meraki estate (MR46 and MR57 APs, MX68 security appliances). They currently offer open guest WiFi with no captive portal. The IT Director wants to implement Purple WiFi to capture guest email addresses for the hotel's CRM, comply with GDPR, and generate analytics on peak-hour network usage. The deployment must be completed with minimal disruption to existing guests and must not require on-site engineer visits to any of the 12 properties. How should this deployment be structured?
The deployment should proceed in three phases, leveraging the Meraki Dashboard API for remote, zero-touch provisioning across all 12 properties.
Phase 1: Provisioning (Day 1, remote) Generate a Meraki API key scoped to the hotel group's Meraki organisation. In the Purple Portal, use the Hardware Import Wizard with the Third Party API option to import all access points across all 12 networks in a single batch. Assign each network to the corresponding Purple venue. This operation typically completes in under 20 minutes for an estate of this size.
Phase 2: SSID and RADIUS Configuration (Days 1–2, remote via Meraki dashboard) For each of the 12 Meraki networks, configure the existing guest SSID with the Sign-on with my RADIUS server splash page type. Add Purple's primary and secondary RADIUS servers on ports 1812 and 1813 with the shared secret from the Purple Portal. Set captive portal strength to Block all access, enable the walled garden with Purple's domain whitelist, and configure the custom splash URL. Set NAS-ID and Called-Station-ID to AP MAC address. Because Meraki's dashboard supports configuration templates, a single template can be applied across all 12 networks simultaneously, reducing per-site configuration time to near zero.
Phase 3: PurpleConnex Deployment (Days 2–3, remote) Create the PurpleConnex SSID on each network with WPA2 Enterprise and RadSec RADIUS configuration. Enable Hotspot 2.0 with the Purple operator name and domain settings. This SSID is invisible to guests who have not previously authenticated — it will auto-connect returning guests silently on subsequent visits.
Validation: Test the full guest journey remotely using a 4G-connected mobile device at one property before rolling the configuration live across all 12. Monitor the Purple analytics dashboard for session data ingestion within the first 24 hours of go-live.
The entire deployment is achievable in 2–3 days of engineering time with zero on-site visits, leveraging Meraki's cloud management and Purple's API provisioning.
A 60,000-capacity football stadium uses Cisco Meraki MR45 access points throughout the concourse, seating bowl, and hospitality suites. They want to deploy Purple WiFi to capture fan data, run in-venue surveys during matches, and integrate with their existing Salesforce CRM. The primary concern is scale: on match days, up to 35,000 concurrent WiFi sessions are expected. The stadium's IT team is concerned about RADIUS authentication performance under peak load. How should the RADIUS configuration be optimised for high-concurrency environments?
For a high-concurrency stadium deployment, the RADIUS configuration requires specific attention to redundancy, timeout parameters, and session management.
RADIUS Server Configuration for Scale: Configure both Purple RADIUS endpoints (primary and secondary) on every Meraki AP and MX in the estate. This is non-negotiable for a stadium deployment — a single RADIUS server configuration will create a single point of failure that will manifest as authentication failures precisely at kick-off, when concurrent connection attempts peak.
Set the RADIUS server timeout to 5 seconds and retry count to 3. This gives each authentication attempt up to 15 seconds before failing over to the secondary server, which is sufficient for a cloud-hosted RADIUS service under normal conditions. Do not reduce the timeout below 5 seconds in a stadium environment — the additional latency from concurrent load means that aggressive timeout values will cause false failures.
Set the accounting interim interval to 4 minutes. This generates a RADIUS Accounting-Interim-Update message every 4 minutes per active session, which Purple uses to calculate dwell time. In a stadium with 35,000 concurrent sessions, this generates approximately 145 accounting messages per second — well within Purple's platform capacity.
SSID and Network Segmentation: Deploy the guest SSID on a dedicated VLAN with a sufficiently large DHCP scope. A /16 subnet (65,534 addresses) is recommended for a 60,000-capacity venue. Ensure the DHCP lease time is set to match the expected session duration — for a 2-hour match, a 3-hour lease is appropriate. Short lease times will cause unnecessary DHCP churn and add load to the authentication infrastructure.
Salesforce CRM Integration: Purple's platform supports native Salesforce connector integration. Configure the CRM connector in the Purple Portal to push new guest profiles and session events to Salesforce in real time. Map Purple's data fields (email, visit count, dwell time, authentication method) to the corresponding Salesforce Contact and Campaign Member objects. This enables the stadium's marketing team to trigger automated post-match email campaigns within minutes of the final whistle.
In-Venue Surveys: Purple's MicroSurvey feature can be triggered post-authentication, presenting a 1–3 question survey on the splash page redirect. For a stadium deployment, configure the survey to trigger for a random 20% sample of authenticated guests to avoid survey fatigue while maintaining statistical significance.
Analyse de scénario
Q1. A retail chain with 80 stores has deployed Cisco Meraki MR33 access points throughout their estate. They want to implement Purple WiFi but their security team has raised concerns about deploying an Open SSID for guest access. The security team argues that all SSIDs should use WPA2 encryption at minimum. How do you address this concern, and what is the correct security architecture for the guest WiFi deployment?
💡 Astuce :Consider the difference between link-layer encryption (WPA2) and application-layer authentication (captive portal + RADIUS). Also consider what the PurpleConnex SSID provides.
Afficher l'approche recommandée
The security team's concern is valid in principle but reflects a conflation of two different security objectives. WPA2 encryption protects the radio link between the client device and the access point — it prevents eavesdropping on the wireless medium. However, for a public guest network, WPA2 Personal (PSK) provides minimal practical security because the pre-shared key is, by definition, publicly known to all guests. Any guest who knows the PSK can decrypt other guests' traffic using a passive capture attack.
The correct architecture is: deploy the guest SSID as Open (no WPA2) with a captive portal for authentication. This is the industry-standard approach for public guest WiFi because it allows the captive portal to function without requiring guests to know a password before they can reach the splash page. The security model relies on application-layer controls (HTTPS on the splash page, RADIUS authentication, VLAN isolation) rather than link-layer encryption.
For guests who require encrypted transport, the PurpleConnex SSID provides WPA2 Enterprise security with RadSec RADIUS — this is genuinely secure because each client receives a unique encryption key derived from their EAP credentials. Returning guests who have the PurpleConnex Passpoint profile will automatically connect to this encrypted SSID.
The complete security architecture is therefore: Open SSID for first-time guest onboarding (captive portal + RADIUS authentication + VLAN isolation) + WPA2 Enterprise PurpleConnex SSID for returning guests (RadSec + Passpoint). This satisfies both the guest experience requirement and the security team's encryption requirement for repeat visitors.
Q2. A conference centre is deploying Purple WiFi on their Meraki estate for the first time. Three weeks after go-live, the marketing team reports that the Purple analytics dashboard shows total session counts but no per-room or per-zone data — all sessions appear to be attributed to a single location. The network engineer who performed the configuration has left the organisation. What is the most likely cause, and how do you diagnose and resolve it?
💡 Astuce :Think about which RADIUS attribute Purple uses to map sessions to physical locations, and what the default Meraki configuration for that attribute is.
Afficher l'approche recommandée
The most likely cause is that the NAS-ID and/or Called-Station-ID RADIUS attributes are not configured to use AP MAC address. When these fields are set to a static string, SSID name, or left at default, every access point in the estate sends the same identifier in its RADIUS messages. Purple's analytics engine receives identical location identifiers from all APs and cannot distinguish between them, resulting in all sessions being attributed to a single (or unknown) location.
Diagnosis: In the Meraki dashboard, navigate to Wireless > Access Control for the guest SSID. Scroll to Advanced RADIUS Settings. Check the values for Called-Station-ID and NAS-ID. If either field shows anything other than AP MAC address — such as SSID name, a static string, or multiple values — this is the root cause.
Resolution: Set both Called-Station-ID and NAS-ID to AP MAC address only. Remove any other values from these fields. Save the configuration. Note that this change takes effect for new sessions — existing active sessions will not be retroactively re-attributed. Within 5–10 minutes of the configuration change, new session data in the Purple analytics dashboard should begin showing per-AP attribution.
If the issue persists after correcting the RADIUS attribute configuration, verify that the Purple Portal has the correct AP MAC addresses imported and associated with the correct floor plan zones. If APs were imported before floor plans were configured, the MAC-to-zone mapping may need to be updated in the Purple Portal's venue management settings.
Q3. A 500-bed NHS hospital trust wants to deploy Purple WiFi on their existing Cisco Meraki infrastructure to provide patient and visitor WiFi. Key requirements are: GDPR compliance for data collection, content filtering to block inappropriate content on the patient network, seamless connectivity for long-stay patients (multi-day admissions), and integration with their existing patient engagement platform via API. What Purple features and Meraki configuration elements address each requirement?
💡 Astuce :Consider Purple's compliance features, Purple Shield DNS filtering, PurpleConnex for long-stay patients, and Purple's API/connector capabilities for the patient engagement platform integration.
Afficher l'approche recommandée
Each requirement maps to a specific combination of Purple features and Meraki configuration:
GDPR Compliance: Purple's captive portal presents a consent mechanism at authentication, capturing explicit opt-in for data processing. The Purple Portal's data governance settings allow configuration of data retention periods aligned with NHS data governance policies. Purple supports data subject access requests and right-to-erasure natively. The splash page should be configured to present clear, plain-language consent language — not buried in terms and conditions — to meet the GDPR requirement for informed, unambiguous consent.
Content Filtering: Purple Shield is Purple's cloud-native DNS filtering service. It operates at the infrastructure level, filtering DNS queries before they resolve, and can be configured with category-based blocking (adult content, gambling, malware, etc.) appropriate for a patient environment. This is configured within the Purple Portal and applies to all authenticated sessions on the guest SSID without requiring additional hardware.
Seamless Connectivity for Long-Stay Patients: Deploy PurpleConnex with Hotspot 2.0 (Passpoint) configuration. Once a patient has authenticated once and downloaded the Passpoint profile, their device will auto-connect on subsequent associations — including after the device wakes from sleep, moves between wards, or reconnects after a brief disconnection. This eliminates the daily re-authentication friction that is a common complaint in hospital WiFi deployments.
Patient Engagement Platform Integration: Purple's platform exposes a REST API and supports pre-built connectors for major CRM and engagement platforms. Configure the Purple Portal's API connector to push authenticated session events (patient ID if captured at login, session start/end, ward-level location data) to the patient engagement platform in real time. If the engagement platform is not in Purple's pre-built connector library, the REST API allows custom integration development.
Points clés à retenir
- ✓The Purple and Meraki integration operates across two distinct layers: the Meraki Dashboard REST API for automated bulk provisioning of access points, and the Captive Portal API with RADIUS authentication (ports 1812/1813) for the live guest experience — understanding this separation is essential for both deployment planning and troubleshooting.
- ✓The three most critical configuration parameters are: NAS-ID and Called-Station-ID set to AP MAC address (required for per-zone analytics), RADIUS server timeout of 5 seconds with retry count of 3 (required for reliability under load), and a complete walled garden domain whitelist (required for the splash page to load correctly).
- ✓PurpleConnex (SecurePass) deploys a second WPA2 Enterprise SSID with RadSec RADIUS and Hotspot 2.0 (Passpoint/IEEE 802.11u), enabling returning guests to auto-reconnect without a captive portal — this also resolves the MAC address randomisation challenge introduced by iOS 14+ and Android 10+.
- ✓GDPR and CCPA compliance is built into Purple's captive portal by design, with explicit consent capture at authentication, data subject access request workflows, and configurable data retention — making Purple a materially lower compliance risk than bespoke captive portal solutions.
- ✓The business case is well-evidenced: Harrods achieved 57× ROI on 600,000 WiFi logins, AGS Airports achieved 842% ROI, and McDonald's Belgium, Walmart Canada, and the Miami HEAT are all live Cisco Meraki and Purple deployments at enterprise scale.
- ✓For multi-site deployments, the Meraki Dashboard API enables batch import of entire access point estates into the Purple Portal in a single operation, reducing a multi-day manual configuration exercise to under an hour — the operational efficiency gain is a significant secondary benefit beyond the guest intelligence value.
- ✓Network segmentation is a non-negotiable prerequisite: guest WiFi traffic must be isolated on a dedicated VLAN with firewall rules preventing lateral movement to corporate segments, and any PCI DSS scoping implications of shared physical infrastructure must be formally assessed before go-live.
