Intégration d'Alcatel-Lucent Enterprise (ALE) OmniAccess avec Purple WiFi

Ce guide détaille l'intégration technique entre les points d'accès Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar et Purple WiFi. Il couvre la redirection vers le Captive Portal, l'authentification RADIUS, la configuration du Walled Garden, le WiFi personnel sécurisé 802.1X et la segmentation WiFi multi-locataire à l'aide de clés pré-partagées privées (PPSK) avec routage VLAN dynamique - offrant aux responsables informatiques et aux architectes réseau une référence complète et exploitable pour déployer des réseaux basés sur l'identité sur le matériel ALE.

📖 9 min de lecture📝 2,047 mots🔧 2 exemples concrets❓ 4 questions d'entraînement📚 10 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans cette présentation technique de Purple. Aujourd'hui, nous abordons l'intégration d'Alcatel-Lucent Enterprise OmniAccess Stellar avec Purple WiFi. Ce briefing s'adresse aux directeurs informatiques, architectes réseau et directeurs de l'exploitation des sites qui doivent déployer des réseaux sans fil sécurisés, évolutifs et intelligents.

Commençons par le contexte. Vous gérez un site. Peut-être un hôtel, une chaîne de magasins ou un stade. Vous avez investi dans le matériel ALE OmniAccess. À présent, vous devez extraire de la valeur commerciale de cette infrastructure. Vous devez capturer des données de première main (first-party), segmenter vos utilisateurs en toute sécurité et offrir une expérience de connexion fluide. C'est là que la superposition cloud de Purple intervient.

Purple est présent sur plus de 80 000 sites actifs à travers le monde et a traité plus de 440 millions de connexions en 2024. Il est indépendant du matériel (hardware-agnostic), ce qui signifie qu'il s'intègre au-dessus de votre infrastructure ALE existante sans nécessiter de remplacement de matériel. Toute la logique d'authentification et de capture de données réside dans le cloud de Purple.

Le cœur de cette intégration repose sur RADIUS. Lorsqu'un visiteur entre sur votre site et se connecte au SSID Guest WiFi ouvert, l'AP ALE intercepte son trafic web. Au lieu de lui donner un accès direct à Internet, il redirige son navigateur vers un Captive Portal hébergé par Purple. Il s'agit de votre splash page. C'est là que vous présentez votre marque, collectez des adresses e-mail ou proposez des connexions via les réseaux sociaux comme Facebook, LinkedIn ou Google.

Une fois que l'utilisateur a soumis ses informations, le serveur RADIUS cloud de Purple l'authentifie et renvoie un message Access-Accept à l'AP ALE. L'AP lève alors les règles du pare-feu et autorise l'accès à Internet. L'ensemble du processus prend moins de trois secondes.

Entrons maintenant dans les détails techniques. Comment configurer concrètement cette solution ?

Tout d'abord, vous devez configurer les paramètres du serveur RADIUS dans votre interface de gestion OmniVista ou Stellar. Vous saisirez les adresses IP du RADIUS de Purple, définirez le port d'authentification sur 1812 et le port de comptabilité (accounting) sur 1813. Il est crucial de veiller à ce que le RADIUS Accounting soit activé avec un intervalle de 300 secondes. C'est ce qui permet de remonter les données de session à Purple pour les analyses et les journaux de conformité.

Vient ensuite le Walled Garden. C'est un point d'achoppement pour beaucoup de déploiements. Avant d'être authentifié, l'utilisateur n'a pas d'accès Internet. Pourtant, il doit pouvoir accéder au portail Purple pour se connecter. Vous devez donc inscrire sur liste blanche les domaines de Purple dans votre liste d'accès de pré-authentification. Les domaines principaux sont region1.purpleportal.net, venuewifi.com et cloudfront.net. Si vous utilisez la connexion via Facebook ou LinkedIn, vous devez également autoriser leurs domaines. Si le Walled Garden est mal configuré, le Captive Portal ne se chargera pas. Point final.

Pour la configuration du SSID, créez un nouveau réseau sans fil, réglez le niveau de sécurité sur Open et activez l'option External Captive Portal. Orientez l'URL de redirection vers l'URL spécifique de votre splash page Purple, que vous trouverez dans le portail Purple sous les paramètres matériels de votre site.

Passons à un scénario plus avancé : le WiFi multi-locataire (Multi-Tenant). Imaginez un espace de coworking ou une résidence étudiante. Vous avez plusieurs locataires qui ont besoin de leurs propres réseaux sécurisés et isolés. Vous ne voulez pas diffuser 20 SSIDs différents. Cela détruit vos performances RF et crée une mauvaise expérience utilisateur.

La solution est le PPSK (Private Pre-Shared Keys), combiné avec le routage VLAN dynamique. Vous diffusez un seul SSID sécurisé. Mais chaque locataire reçoit une phrase de passe unique. Lorsque le locataire A saisit sa phrase de passe, l'AP ALE envoie cette demande au serveur RADIUS Purple. Purple reconnaît la phrase de passe, authentifie l'utilisateur et renvoie un message Access-Accept.

Mais voici la partie importante. Ce message inclut des attributs RADIUS spécifiques. L'attribut 64 pour Tunnel-Type, défini sur 13 pour VLAN. L'attribut 65 pour Tunnel-Medium-Type, défini sur 6 pour Ethernet. Et l'attribut 81, le Tunnel-Private-Group-ID, qui contient l'ID du VLAN réel. L'AP ALE reçoit cela et place directement le locataire A sur le VLAN 30. Lorsque le locataire B se connecte avec une phrase de passe différente, il se retrouve sur le VLAN 40. Un seul SSID, une isolation complète de niveau 2. C'est le réseau basé sur l'identité (Identity-Based Networking) en pratique.

Examinons un exemple concret. Un hôtel de 200 chambres a déployé cette architecture sur ses points d'accès ALE OmniAccess Stellar existants. Ils devaient desservir les clients de l'hôtel, le personnel administratif et un restaurant au rez-de-chaussée sous la forme de trois segments de réseau complètement distincts. Plutôt que de déployer trois SSIDs, ils ont utilisé le PPSK avec routage VLAN dynamique. Le résultat a été un SSID unique, trois VLANs isolés et une réduction significative des coûts de gestion par rapport à leur approche multi-SSID précédente.

Discutons maintenant des recommandations de déploiement et des pièges à éviter.

Premièrement, maintenez une conception indépendante du matériel. Créez vos politiques dans Purple, et non sur le contrôleur local. Cela vous permet de faire évoluer ou de remplacer les fournisseurs de matériel plus tard sans avoir à reconstruire vos politiques de sécurité de zéro.

Deuxièmement, faites attention aux versions de firmware. Assurez-vous que vos APs ALE exécutent un firmware qui prend explicitement en charge l'attribution dynamique de VLAN via RADIUS. Les anciennes versions du firmware Stellar peuvent ne pas prendre entièrement en charge l'attribut Tunnel-Private-Group-ID. Vérifiez les notes de mise à jour d'ALE avant le déploiement.

Troisièmement, le DNS est votre ami et votre ennemi. Si votre Captive Portal ne s'affiche pas, vérifiez d'abord votre plage DHCP. Si le client ne reçoit pas de serveur DNS valide, il ne peut pas résoudre l'URL du portail, et tout le processus s'arrête. C'est le problème de support le plus courant dans les déploiements de Captive Portal.

Quatrièmement, pour un WiFi personnel sécurisé via 802.1X, utilisez PEAP avec MSCHAPv2 pour la plupart des environnements, ou EAP-TLS pour les déploiements basés sur des certificats. Le serveur RADIUS Purple prend en charge les deux. Les appareils du personnel s'authentifient auprès de Microsoft Entra ID ou Okta, et le serveur RADIUS renvoie l'attribution de VLAN appropriée pour le segment de réseau du personnel.

Passons à une session de questions-réponses rapide.

Question : Puis-je utiliser cette intégration pour la conformité PCI DSS dans un environnement de vente au détail ?

Answer: Yes. By using dynamic VLAN steering, you can ensure that point-of-sale devices are always placed on an isolated VLAN, completely separated from guest traffic. This satisfies the network segmentation requirements under PCI DSS 4.0.

Question: Does Purple require a hardware appliance on-site?

Answer: No. Purple is a cloud overlay. It communicates directly with your existing ALE hardware via standard RADIUS over the internet. There is nothing to rack and stack.

Question: What happens if the Purple cloud is unreachable?

Answer: You can configure a fallback policy on the ALE AP. For guest networks, you can allow open access as a fallback. For staff networks, configure a deny-all fallback to maintain security.

Question: Can I capture analytics data from the integration?

Answer: Yes. Every authenticated session generates a visitor profile in the Purple platform. You get dwell time, visit frequency, device type, and demographic data from the registration form. This feeds directly into your CRM via Purple's library of over 400 connectors.

To summarise the key takeaways from today's briefing.

One: The ALE OmniAccess integration with Purple uses standard RADIUS on ports 1812 and 1813. No proprietary protocols required.

Two: The Walled Garden is critical. Get it wrong and the captive portal will not load. Whitelist the Purple domains before anything else.

Three: PPSK with dynamic VLAN steering is the right architecture for multi-tenant environments. One SSID, unique passphrases, isolated VLANs per tenant.

Four: RADIUS Attributes 64, 65, and 81 are the three you need for dynamic VLAN assignment. If any one of them is missing, the steering fails.

Five: Purple is hardware-agnostic. Your policies live in the cloud, not on the controller. This gives you flexibility to scale across different hardware vendors.

Your next step is to log into your Purple portal, navigate to your venue's hardware settings, and retrieve your specific RADIUS credentials and splash page URL. Then follow the configuration steps in this guide to connect your ALE OmniAccess infrastructure to the Purple cloud.

Thank you for listening to this Purple technical briefing. For more information, visit purple.ai.

Points clés à retenir

✓Les AP ALE OmniAccess Stellar s'intègrent à Purple via le protocole standard RADIUS sur les ports 1812 et 1813 – aucun protocole propriétaire ni appliance sur site n'est requis.
✓Le Walled Garden est le point de défaillance le plus courant lors des déploiements. Ajoutez tous les domaines du Captive Portal de Purple et des fournisseurs de connexion sociale à la liste blanche avant la mise en service.
✓Le PPSK avec routage VLAN dynamique est l'architecture idéale pour les environnements multi-locataires. Un seul SSID, des phrases de passe uniques par locataire et des VLAN isolés via les attributs RADIUS 64, 65 et 81.
✓Les trois attributs de tunnel RADIUS doivent être présents dans le message Access-Accept. Si l'attribut 81 (Tunnel-Private-Group-ID) est manquant, l'AP ALE ignore l'attribution du VLAN.
✓Purple fonctionne comme un overlay cloud. Les politiques résident dans le portail Purple et non sur le contrôleur local, ce qui vous offre une flexibilité matérielle agnostique pour faire évoluer ou remplacer votre infrastructure.
✓Configurez le RADIUS Accounting sur des intervalles de 300 secondes pour garantir un flux de données de session précis vers la plateforme d'analyse de Purple.
✓Purple détient les certifications ISO 27001, GDPR, CCPA et Cyber Essentials, ce qui le rend adapté aux environnements réglementés, notamment la santé, le secteur public et les déploiements de vente au détail soumis à la norme PCI DSS.

Résumé exécutif

Les points d'accès Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar s'intègrent à Purple à l'aide des protocoles RADIUS standard et de la redirection de Captive Portal externe. Aucun middleware propriétaire n'est requis. Purple fonctionne comme une surcouche cloud, s'intégrant au-dessus de votre infrastructure ALE existante et gérant l'authentification, la capture de données et la politique de session sans nécessiter de modifications matérielles.

Ce guide couvre trois scénarios de déploiement. Premièrement, le WiFi invité avec redirection de Captive Portal externe et configuration de Walled Garden. Deuxièmement, le WiFi du personnel sécurisé à l'aide de 802.1X avec PEAP ou EAP-TLS. Troisièmement, le WiFi multi-locataire à l'aide de clés pré-partagées privées (PPSK) et de l'orientation VLAN dynamique via les attributs RADIUS 64, 65 et 81.

Purple dessert plus de 80 000 sites actifs et a traité plus de 440 millions de connexions en 2024 (données internes Purple, 2024). Il détient les certifications ISO 27001, GDPR, CCPA et Cyber Essentials. La plateforme fonctionne à un taux de disponibilité de 99,999 %, ce qui en fait un backend d'authentification fiable pour les déploiements d'entreprise.

Si vous êtes un responsable informatique ou un architecte réseau déployant du matériel ALE OmniAccess dans des environnements d'hôtellerie, de vente au détail, d'événements ou du secteur public, ce guide vous fournit les étapes de configuration exactes pour passer du matériel à un réseau basé sur l'identité entièrement opérationnel.

Architecture technique et flux d'intégration

L'intégration de Purple avec ALE OmniAccess Stellar repose sur deux protocoles standard : RADIUS pour l'authentification et la comptabilisation, et la redirection HTTP/HTTPS pour la diffusion du Captive Portal. L'AP ALE agit en tant que serveur d'accès réseau (NAS), transmettant les demandes d'authentification au serveur RADIUS cloud de Purple et appliquant les politiques renvoyées dans la réponse Access-Accept.

Figure 1 : Flux d'authentification entre l'appareil invité, l'AP ALE OmniAccess Stellar et le RADIUS cloud de Purple.

Le flux fonctionne comme suit. Un visiteur se connecte au SSID WiFi invité ouvert. L'AP ALE attribue une adresse IP temporaire à partir du pool DHCP de pré-authentification et intercepte la première requête HTTP ou HTTPS du visiteur. L'AP redirige le navigateur vers l'URL du Captive Portal de Purple, en transmettant l'adresse MAC du client et l'identifiant NAS de l'AP en tant que paramètres d'URL. Le visiteur s'authentifie via la page de démarrage de Purple - par e-mail, connexion via les réseaux sociaux ou vérification par SMS. Le serveur RADIUS de Purple valide la session et renvoie un message Access-Accept à l'AP ALE. L'AP accorde l'accès à Internet et commence à envoyer des mises à jour de comptabilisation RADIUS à Purple à l'intervalle configuré.

Pour les déploiements avancés utilisant le PPSK et le routage VLAN dynamique, le message RADIUS Access-Accept inclut également des attributs d'attribution de VLAN. L'AP ALE les utilise pour acheminer directement le trafic client vers le bon segment VLAN, l'isolant ainsi des autres utilisateurs sur la même infrastructure physique.

Guide de mise en œuvre

Partie 1 : WiFi invités avec Captive Portal externe

Cette section couvre la configuration du Captive Portal Alcatel-Lucent pour la redirection externe vers Purple. Ces étapes s'appliquent aux AP ALE OmniAccess Stellar gérés via OmniVista Cirrus, OmniVista 2500 ou l'interface web Stellar Express.

Étape 1 : Récupérer les identifiants RADIUS de Purple

Connectez-vous à votre portail Purple. Naviguez vers Management > Venues, sélectionnez votre site, et ouvrez la section Hardware. Ajoutez un nouvel équipement et sélectionnez Alcatel-Lucent OmniAccess Stellar comme type de matériel. Purple génère un secret partagé RADIUS unique, une IP de serveur d'authentification et une URL de Captive Portal pour votre site. Notez ces valeurs avant de continuer.

Étape 2 : Configurer le serveur RADIUS sur l'AP ALE

Dans votre interface de gestion ALE, naviguez vers les paramètres d'authentification et ajoutez un nouveau profil de serveur RADIUS.

Paramètre	Valeur
IP du serveur / Nom d'hôte	Comme fourni dans le portail Purple
Port d'authentification	1812
Port de comptabilité (Accounting)	1813
Secret partagé	Comme fourni dans le portail Purple
Comptabilité RADIUS	Activé
Intervalle de comptabilité	300 secondes

Activez un serveur RADIUS secondaire en utilisant l'IP de secours du portail Purple. Cela garantit le basculement en cas d'indisponibilité temporaire du serveur principal.

Étape 3 : Configurer le Walled Garden

Le Walled Garden définit les domaines qu'un appareil peut atteindre avant la fin de l'authentification. Configurez les entrées suivantes dans la liste d'accès de pré-authentification :

Domaines Purple principaux (obligatoires) :

Domaine	Objectif
region1.purpleportal.net	Captive Portal Purple
venuewifi.com	Gestion de session Purple
cloudfront.net	CDN pour les ressources du portail
openweathermap.org	Widget météo (optionnel)
stripe.com	Paiements pour WiFi payant (le cas échéant)

Domaines de connexion via les réseaux sociaux (à ajouter selon les besoins) :

Fournisseur	Domaines
Facebook	facebook.com, fbcdn.net, connect.facebook.net
LinkedIn	linkedin.com, licdn.net
Google	accounts.google.com, googleapis.com

L'omission d'un domaine requis entraînera l'échec silencieux de la méthode de connexion correspondante. Testez chaque méthode de connexion après la configuration.

Étape 4 : Configurer le SSID du WiFi invités

Créez un nouveau profil WLAN avec les paramètres suivants :

Paramètre	Valeur
Niveau de sécurité	Ouvert (Open)
Captive Portal	Activé
Type de Captive Portal	Externe
URL de redirection	Comme fourni dans le portail Purple
Redirection HTTPS	Désactivé (sauf si un certificat SSL est installé)
Délai d'inactivité	1800 secondes (30 minutes)
Profil de serveur RADIUS	Profil RADIUS Purple (créé à l'étape 2)
Si vous avez besoin d'une redirection HTTPS, installez un certificat SSL valide dans l'AP ALE sous System > General > Certificate Management. Notez que les certificats génériques (wildcard) ne sont pas pris en charge par l'AP Stellar à cette fin.

Étape 5 : Assigner le SSID à un groupe d'AP

Appliquez le profil WLAN au groupe d'AP concerné dans OmniVista. Vérifiez que les AP diffusent le SSID et que les clients peuvent s'y associer avant de tester le flux du Captive Portal.

Partie 2 : Sécuriser le WiFi du personnel à l'aide de 802.1X

Pour le WiFi du personnel, utilisez WPA2-Enterprise ou WPA3-Enterprise avec l'authentification 802.1X. Cela élimine les mots de passe partagés et associe l'accès aux identités individuelles des utilisateurs gérées dans Microsoft Entra ID, Okta ou Google Workspace.

Étape 1 : Configurer le SSID 802.1X

Créez un profil WLAN distinct pour le personnel. Définissez le type de sécurité sur WPA2-Enterprise ou WPA3-Enterprise et attribuez le serveur RADIUS Purple comme serveur d'authentification. Le serveur RADIUS de Purple relaie les demandes d'authentification vers votre fournisseur d'identité via LDAP ou SAML.

Étape 2 : Sélectionner la méthode EAP

Pour la plupart des déploiements, utilisez PEAP avec MSCHAPv2. Cela ne nécessite qu'un certificat côté serveur et fonctionne avec les clients (supplicants) standard Windows, macOS, iOS et Android. Pour les environnements de haute sécurité, utilisez EAP-TLS avec des certificats clients émis via votre PKI.

Étape 3 : Assigner le personnel à un VLAN dédié

Configurez le serveur RADIUS Purple pour renvoyer Tunnel-Private-Group-ID = votre ID de VLAN du personnel dans la réponse Access-Accept. Cela garantit que les appareils du personnel se connectent au segment du réseau d'entreprise, séparés du trafic invité au niveau de la couche 2.

Partie 3 : WiFi multi-locataire via PPSK et routage dynamique des VLAN

Le PPSK (Private Pre-Shared Key) - également appelé iPSK (Identity PSK) dans la documentation de certains fournisseurs - permet à un seul SSID de desservir plusieurs groupes d'utilisateurs isolés. Chaque groupe reçoit une clé d'accès unique. Le serveur RADIUS associe chaque clé à un VLAN spécifique, assurant une isolation réseau par locataire sans la surcharge RF de plusieurs SSID.

Figure 2 : Segmentation VLAN multi-locataire PPSK sur un seul SSID ALE OmniAccess.

Étape 1 : Créer le SSID PPSK

Créez un nouveau profil WLAN et définissez le type d'authentification sur WPA2-PSK avec validation PSK basée sur RADIUS. Dans la version de firmware Stellar 4.0.8.16 et supérieure (pour les modèles AP1301 et plus récents), l'attribution dynamique de VLAN via RADIUS est prise en charge en Express Mode. Pour les modèles plus anciens ou les firmwares antérieurs, utilisez le mode géré par OmniVista.

Étape 2 : Définir les clés d'accès des locataires dans Purple

Dans le portail Purple, créez un groupe PPSK pour chaque locataire. Attribuez une clé d'accès unique par locataire et associez chaque clé à l'ID de VLAN correspondant. Purple stocke ces associations dans sa base de données RADIUS.

Étape 3 : Configurer les attributs RADIUS pour le routage des VLAN

Assurez-vous que le serveur RADIUS Purple renvoie les attributs standards de l'IETF suivants dans chaque réponse Access-Accept :

Numéro d'attribut	Nom de l'attribut	Valeur
64	Tunnel-Type	13 (VLAN)
65	Tunnel-Medium-Type	6 (IEEE 802 / Ethernet)
81	Tunnel-Private-Group-ID	VLAN ID (par ex., "30")

Ces trois attributs doivent être présents. Si l'un d'entre eux manque, l'AP ALE ignore l'affectation du VLAN et place le client sur le VLAN par défaut.

Étape 4 : Vérifier le trunking VLAN sur la liaison montante (uplink)

Assurez-vous que tous les VLAN locataires sont balisés (tagged) sur le port de liaison montante entre l'AP ALE et le commutateur de distribution. Un AP ne peut pas diriger le trafic vers un VLAN qui n'est pas autorisé sur son trunk de liaison montante.

Bonnes pratiques

Les recommandations suivantes reflètent les pratiques standard pour les déploiements WiFi d'entreprise et s'alignent sur les exigences IEEE 802.1X, PCI DSS 4.0 et GDPR.

Séparez le WiFi Invité du WiFi Personnel au niveau de la Couche 2. Ne placez jamais le trafic invité et le trafic personnel sur le même VLAN. Utilisez l'affectation de VLAN gérée par RADIUS pour imposer automatiquement cette séparation, quel que soit l'AP auquel l'utilisateur se connecte.

Utilisez le protocole HTTPS pour toutes les redirections du Captive Portal. Installez un certificat SSL valide sur l'AP ALE pour activer la redirection HTTPS. Cela évite que les navigateurs n'affichent des avertissements de sécurité sur la splash page, ce qui réduit les taux d'abandon et s'aligne sur les exigences du GDPR en matière de traitement sécurisé des données.

Définissez l'intervalle de comptabilité (Accounting) RADIUS sur 300 secondes. Cela fournit à Purple des mises à jour régulières de session pour la précision des analyses. Un intervalle supérieur à 600 secondes risque d'entraîner la perte de données de session si un client se déconnecte sans une désauthentification propre.

Testez le Walled Garden avant la mise en service. Connectez un appareil de test à l'SSID du WiFi Invité et tentez d'accéder à chaque fournisseur de connexion sociale. Si une connexion échoue, cela signifie que le domaine correspondant est manquant dans le Walled Garden.

Segmentez les appareils IoT à l'aide de PPSK. Dans les environnements de vente au détail et d'hôtellerie, les appareils IoT tels que la signalisation numérique, les terminaux de paiement et les capteurs environnementaux doivent chacun recevoir une clé PPSK unique mappée sur un VLAN isolé. Cela empêche un appareil IoT compromis d'accéder au réseau plus large.

Pour en savoir plus sur les normes et l'architecture de sécurité du WiFi d'entreprise, consultez notre guide de sécurité WiFi d'entreprise .

Dépannage et atténuation des risques

Le tableau suivant présente les modes de défaillance les plus courants lors des intégrations ALE OmniAccess et Purple.

Symptôme	Cause la plus probable	Résolution
Le Captive Portal n'apparaît pas	Mauvaise configuration du Walled Garden ou DNS manquant	Vérifiez que les domaines Purple sont sur liste blanche ; vérifiez que le scope DHCP inclut un serveur DNS valide
L'authentification RADIUS échoue	Incohérence de la clé secrète partagée ou pare-feu bloquant l'UDP 1812/1813	Saisissez à nouveau la clé secrète partagée depuis le portail Purple ; confirmez que les règles de pare-feu autorisent l'UDP sortant 1812 et 1813
Les utilisateurs atterrissent sur le mauvais VLAN	Attributs de tunnel RADIUS manquants ou limitation du micrologiciel de l'AP	Confirmer que les trois attributs RADIUS (64, 65, 81) sont renvoyés ; vérifier si la version du micrologiciel ALE prend en charge le VLAN dynamique
Échec du bouton de connexion sociale	Domaine du fournisseur social manquant dans le Walled Garden	Ajouter les domaines de fournisseurs sociaux requis à la liste d'accès de pré-authentification
Le Captive Portal HTTPS affiche un avertissement de certificat	Certificat générique utilisé ou aucun certificat installé	Installer un certificat SSL spécifique au domaine via Système > Général > Gestion des certificats
Données de session manquantes dans les analyses Purple	Accounting RADIUS désactivé ou intervalle trop long	Activer l'Accounting RADIUS ; définir l'intervalle sur 300 secondes

Pour les problèmes RADIUS persistants, activez la journalisation de débogage sur l'AP ALE et capturez l'échange RADIUS. Recherchez les messages Access-Reject et vérifiez le code de motif de rejet. Les codes courants incluent le 16 (échec d'authentification) et le 18 (attribut manquant).

ROI et impact commercial

Le déploiement de Purple sur le matériel ALE OmniAccess convertit un réseau passif en un actif de données actif. Chaque session authentifiée génère un profil de visiteur : adresse e-mail, fréquence des visites, temps de séjour et type d'appareil. Ces données de première main alimentent directement votre CRM grâce à la bibliothèque de plus de 400 connecteurs de Purple.

Harrods a obtenu un ROI marketing de 57x grâce à son déploiement de WiFi invité en utilisant la capture de données de Purple pour stimuler les inscriptions au programme de fidélité (étude de cas Purple, 2023). AGS Airports a généré un ROI de 842 % en mettant en œuvre un WiFi payant à bande passante échelonnée sur l'ensemble de son domaine (étude de cas Purple, 2022).

Pour les opérateurs de l' hôtellerie , le Captive Portal est le principal point de contact pour la capture des données des clients. Pour les environnements de vente au détail , il permet d'analyser le comportement des acheteurs et de proposer des promotions ciblées. Pour les hubs de transport , il fournit des données sur le flux des passagers et une journalisation des sessions conforme à la réglementation.

La plateforme de Guest WiFi de Purple et ses outils de WiFi Analytics vous offrent l'infrastructure de reporting nécessaire pour mesurer ces résultats. Suivez les taux d'authentification, la durée des sessions, le taux de visiteurs récurrents et la conversion des opt-in depuis un tableau de bord unique.

Pour des conseils d'intégration connexes, consultez le guide d'intégration WatchGuard Firebox , qui présente une architecture similaire basée sur RADIUS sur une plateforme matérielle différente.

Définitions clés

PPSK (Private Pre-Shared Key)

Une méthode de sécurité où des phrases de passe uniques sont attribuées à des utilisateurs ou appareils individuels pour un seul SSID, plutôt que de partager un seul mot de passe global. Le serveur RADIUS associe chaque phrase de passe à une politique spécifique ou à un VLAN.

Utilisé dans le WiFi multi-locataire pour isoler le trafic entre les locataires, les résidents ou les groupes d'événements sans déployer plusieurs SSID.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau défini dans la RFC 2865 qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour les utilisateurs se connectant à un service réseau.

Le protocole central utilisé par Purple pour communiquer avec le matériel ALE. L'AP ALE envoie des messages Access-Request ; Purple répond par un Access-Accept ou un Access-Reject.

Aiguillage dynamique de VLAN (Dynamic VLAN steering)

Le processus d'affectation d'un appareil connecté à un VLAN spécifique en fonction des attributs RADIUS renvoyés lors de l'authentification, plutôt que d'un VLAN statique configuré sur le SSID.

Indispensable pour les déploiements multi-locataires où différents groupes d'utilisateurs doivent être isolés sur la même infrastructure d'AP physique.

Portail captif (Walled Garden)

Un environnement contrôlé qui restreint l'accès Internet d'un appareil à un ensemble prédéfini de domaines avant que l'authentification ne soit finalisée.

Requis pour permettre aux appareils d'accéder au Captive Portal de Purple et aux fournisseurs d'identité externes avant que l'utilisateur ne se soit connecté.

Captive Portal

Une page web qui intercepte la session du navigateur d'un utilisateur et l'oblige à s'authentifier ou à accepter les conditions d'utilisation avant d'obtenir un accès complet au réseau.

L'interface principale où les visiteurs donnent leur consentement et fournissent des données de première main. Purple héberge cette page dans le cloud ; l'AP ALE effectue la redirection.

Réseau basé sur l'identité (Identity-Based Network)

Une architecture réseau dans laquelle les politiques d'accès, les affectations de VLAN et les contrôles de bande passante sont déterminés par l'identité de l'utilisateur, plutôt que par le lieu ou le mode de connexion.

Le résultat architectural de l'intégration du matériel ALE avec la superposition d'authentification de Purple.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports qui fournit un mécanisme d'authentification pour les appareils se connectant à un LAN ou un WLAN. Elle nécessite un supplicant sur l'appareil client, un authentificateur (l'AP) et un serveur d'authentification (RADIUS).

La norme utilisée pour les déploiements de WiFi personnel sécurisés. Élimine les mots de passe partagés et associe l'accès aux identités d'utilisateurs individuelles.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Une méthode EAP basée sur des certificats où le client et le serveur RADIUS présentent tous deux des certificats numériques pour une authentification mutuelle.

La méthode 802.1X la plus sécurisée. Nécessite une infrastructure PKI pour émettre des certificats clients, mais élimine totalement le vol d'identifiants basés sur des mots de passe.

PEAP (Protected Extensible Authentication Protocol)

Une méthode EAP qui encapsule l'échange d'authentification interne dans une session TLS, protégeant ainsi les identifiants en transit. Couramment utilisée avec MSCHAPv2 comme méthode interne.

La méthode 802.1X la plus courante dans les déploiements d'entreprise. Nécessite uniquement un certificat côté serveur et fonctionne avec les supplicants standard des systèmes d'exploitation.

NAS (Network Access Server)

Dans la terminologie RADIUS, l'appareil qui applique le contrôle d'accès - dans ce cas, l'AP ALE OmniAccess Stellar. Le NAS transmet les demandes d'authentification au serveur RADIUS et applique les politiques renvoyées.

L'AP ALE agit comme le NAS dans l'intégration de Purple. Son adresse IP et le secret partagé doivent être enregistrés dans le portail Purple en tant que client NAS de confiance.

Exemples concrets

Un hôtel de 200 chambres dans le centre de Londres utilise des points d'accès ALE OmniAccess Stellar dans tout l'établissement. Il doit desservir les clients de l'hôtel, le personnel administratif et un restaurant au rez-de-chaussée sous forme de trois segments de réseau complètement distincts. Il souhaite éviter de diffuser plusieurs SSID afin de préserver les performances RF.

Déployez un seul SSID sécurisé à l'aide de PPSK. Configurez les points d'accès ALE OmniAccess pour qu'ils s'authentifient auprès du serveur RADIUS de Purple. Dans le portail Purple, créez trois groupes PPSK : Clients de l'hôtel (VLAN 10), Personnel (VLAN 20) et Restaurant (VLAN 30). Le serveur RADIUS renvoie Tunnel-Private-Group-ID = 10, 20 ou 30 selon la phrase secrète utilisée par l'appareil. Le point d'accès ALE oriente dynamiquement chaque appareil vers le bon VLAN. Les clients de l'hôtel bénéficient uniquement d'un accès Internet. Le personnel accède au système de gestion de l'établissement. Le restaurant dispose d'un segment isolé pour ses terminaux de paiement.

Commentaire de l'examinateur : Cette approche élimine trois SSID pour les remplacer par un seul, réduisant ainsi les interférences cocanal et les frais de gestion. La principale exigence technique est que les trois VLAN doivent être tagués sur le trunk de liaison montante entre le point d'accès et le commutateur de distribution. Si un VLAN est manquant sur le trunk, les appareils utilisant cette phrase secrète ne recevront pas d'adresse DHCP.

Un centre de conférences accueille simultanément 15 événements d'entreprise. Chaque organisateur d'événement a besoin de son propre réseau WiFi isolé pour les participants, mais le site ne dispose que d'une seule infrastructure ALE OmniAccess. L'équipe informatique du site doit provisionner et déprovisionner les réseaux rapidement d'un événement à l'autre.

Utilisez la gestion PPSK de Purple pour créer des phrases secrètes par événement associées à des VLAN d'événement dédiés. Le site préconfigure 15 segments VLAN sur l'infrastructure ALE. Pour chaque événement, l'équipe informatique crée une nouvelle entrée PPSK dans le portail Purple, l'attribue au bon VLAN et fournit la phrase secrète à l'organisateur de l'événement. À la fin de l'événement, elle révoque la phrase secrète dans Purple. Le point d'accès ALE cesse immédiatement d'accepter cette phrase secrète, isolant ainsi le VLAN déprovisionné. Aucune reconfiguration du point d'accès n'est requise.

Commentaire de l'examinateur : Cette architecture sépare le flux de travail de provisionnement de la configuration matérielle. Les points d'accès ALE restent statiques ; toutes les modifications s'effectuent dans le cloud Purple. C'est l'avantage pratique d'une superposition cloud : vous pouvez ajouter, modifier ou révoquer des accès sans toucher à l'infrastructure physique. Pour les environnements d'événements, cela réduit le temps de provisionnement de quelques heures à quelques minutes.

Questions d'entraînement

Q1. Vous avez configuré le Captive Portal Alcatel-Lucent sur un AP ALE OmniAccess Stellar. Les invités se connectent au SSID et reçoivent une adresse IP, mais leurs appareils affichent « Pas de connexion Internet » et la splash page n'apparaît pas. Quelles sont les deux causes les plus probables et comment résoudre chacune d'elles ?

Conseil : Considérez ce qui doit se produire au niveau de la couche DNS et HTTP avant que la redirection vers le Captive Portal ne puisse avoir lieu.

Voir la réponse type

Cause 1 : La plage DHCP n'inclut pas de serveur DNS valide. Sans DNS, le client ne peut pas résoudre l'URL du Captive Portal et le mécanisme de détection du Captive Portal de l'OS échoue. Résolution : Ajoutez un serveur DNS valide (par exemple, 8.8.8.8) à la plage DHCP sur le VLAN invité. Cause 2 : Le Walled Garden n'inclut pas les domaines du portail Purple. Sans cela, l'AP bloque la demande de redirection avant qu'elle n'atteigne le client. Résolution : Ajoutez region1.purpleportal.net, venuewifi.com et cloudfront.net à la liste d'accès de pré-authentification.

Q2. Votre déploiement WiFi multi-tenant utilise PPSK sur un seul SSID ALE OmniAccess. Les utilisateurs s'authentifient avec succès (le portail Purple indique des connexions réussies), mais tous les utilisateurs reçoivent des adresses IP du VLAN 1 au lieu de leurs VLANs locataires attribués. Quelle est la cause la plus probable ?

Conseil : Vérifiez la communication entre le serveur RADIUS et l'AP, ainsi que la configuration de la liaison montante (uplink) de l'AP.

Voir la réponse type

Il y a deux causes probables. Premièrement, le serveur RADIUS Purple peut ne pas renvoyer les trois attributs de tunnel RADIUS requis (64, 65, 81) dans le message Access-Accept. Vérifiez que la politique d'application inclut Tunnel-Type = 13, Tunnel-Medium-Type = 6 et Tunnel-Private-Group-ID = l'ID de VLAN correct. Deuxièmement, les VLANs locataires peuvent ne pas être étiquetés (tagged) sur le trunk de liaison montante entre l'AP ALE et le commutateur de distribution. Si le VLAN n'existe pas sur le trunk, l'AP ne peut pas y acheminer le trafic, même si les attributs RADIUS sont corrects.

Q3. Un site exige que les sessions des invités soient automatiquement interrompues après 60 minutes, et que les invités qui reviennent dans les 24 heures soient reconnus et évitent le formulaire d'inscription. Comment cela doit-il être configuré dans l'architecture Purple et ALE ?

Conseil : Déterminez quel système contrôle la durée de vie de la session et quel système contrôle la reconnaissance des visiteurs récurrents.

Voir la réponse type

La fin de session est contrôlée via l'attribut RADIUS Session-Timeout. Configurez le serveur RADIUS Purple pour inclure Session-Timeout = 3600 (secondes) dans le message Access-Accept. L'AP ALE déconnectera le client après 3600 secondes. La reconnaissance des visiteurs récurrents est contrôlée dans le portail Purple. Activez le paramètre « mémoriser l'appareil » ou la ré-authentification basée sur l'adresse MAC pour votre site. Lorsqu'un visiteur récurrent se connecte dans la fenêtre configurée, le serveur RADIUS de Purple reconnaît son adresse MAC et renvoie un Access-Accept sans nécessiter d'interaction avec la splash page, offrant ainsi une expérience de reconnexion transparente.

Q4. Vous déployez un réseau WiFi pour le personnel en utilisant 802.1X sur des APs ALE OmniAccess Stellar. Votre organisation utilise Microsoft Entra ID comme fournisseur d'identité. Les appareils du personnel sont des ordinateurs portables Windows 11 gérés via Intune. Quelle méthode EAP devez-vous utiliser et quelles exigences de certificat s'appliquent ?

Conseil : Considérez l'équilibre entre la sécurité, la complexité du déploiement et les capacités de l'infrastructure existante.

Voir la réponse type

Utilisez PEAP avec MSCHAPv2 comme méthode EAP. Cela ne requiert qu'un certificat côté serveur sur le serveur RADIUS Purple (déjà fourni par Purple) et exploite les identifiants Entra ID de l'utilisateur pour l'authentification. Aucun certificat client n'est requis, ce qui simplifie le déploiement sur les appareils gérés par Intune. Configurez le demandeur (supplicant) Windows 11 via un profil Wi-Fi Intune, en spécifiant le SSID, la sécurité WPA2-Enterprise, la méthode PEAP et l'empreinte du certificat du serveur RADIUS Purple pour la validation du serveur. Si votre politique de sécurité exige une authentification mutuelle basée sur des certificats, passez à EAP-TLS et déployez des certificats clients via des profils SCEP Intune, mais cela ajoute une charge de gestion PKI importante.

Continuer la lecture de cette série

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Intégration des points d'accès Grandstream GWN avec Purple WiFi

Ce guide de référence technique officiel détaille comment intégrer les points d'accès Grandstream GWN avec le Guest WiFi de Purple et sa plateforme d'analyse. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage dynamique des VLAN, et la segmentation PPSK multi-tenant - offrant ainsi des instructions étape par étape directement exploitables pour les MSP et les équipes informatiques déployant du WiFi invités et personnel à grande échelle.