Alcatel-Lucent OmniAccess Stellar et WiFi invité : configuration du Captive Portal avec Purple

Bienvenue dans ce briefing technique Purple. Aujourd'hui, nous abordons l'intégration d'Alcatel-Lucent Enterprise OmniAccess Stellar avec Purple WiFi. Ce briefing s'adresse aux responsables informatiques, aux architectes réseau et aux directeurs des opérations de sites qui doivent déployer des réseaux sans fil sécurisés, évolutifs et intelligents. Commençons par le contexte. Vous gérez un site. Peut-être un hôtel, une chaîne de magasins ou un stade. Vous avez investi dans le matériel ALE OmniAccess. Vous devez maintenant tirer de la valeur commerciale de cette infrastructure. Vous devez capturer des données de première partie, segmenter vos utilisateurs en toute sécurité et offrir une expérience d'accès fluide. C'est là que l'overlay cloud Purple intervient. Purple fonctionne sur plus de 80 000 sites actifs dans le monde et a traité plus de 440 millions de connexions en 2024. Il est indépendant du matériel, ce qui signifie qu'il s'intègre par-dessus votre infrastructure ALE existante sans nécessiter de remplacement de matériel. Toute la logique d'authentification et de capture de données réside dans le cloud Purple. Le cœur de cette intégration repose sur le protocole RADIUS. Lorsqu'un invité entre dans votre site et se connecte au SSID de Guest WiFi ouvert, l'AP ALE intercepte son trafic web. Au lieu de le laisser accéder directement à Internet, il redirige son navigateur vers un Captive Portal hébergé par Purple. C'est votre page de connexion. C'est là que vous présentez votre marque, collectez des adresses e-mail ou proposez des connexions via les réseaux sociaux comme Facebook, LinkedIn ou Google. Une fois que l'utilisateur a soumis ses informations, le serveur RADIUS cloud de Purple l'authentifie et renvoie un message Access-Accept à l'AP ALE. L'AP lève alors les règles de pare-feu et accorde l'accès à Internet. L'ensemble du processus prend moins de trois secondes. Entrons maintenant dans les détails techniques. Comment configurer concrètement cela ? Tout d'abord, vous devez configurer les paramètres du serveur RADIUS dans votre interface de gestion OmniVista ou Stellar. Vous saisirez les adresses IP RADIUS de Purple, définirez le port d'authentification sur 1812 et le port de comptabilité (accounting) sur 1813. Surtout, assurez-vous que la comptabilité RADIUS est activée avec un intervalle de 300 secondes. C'est ce qui renvoie les données de session à Purple pour les analyses et la journalisation de conformité. Ensuite, le Walled Garden. C'est une étape qui pose souvent problème lors des déploiements. Avant qu'un utilisateur ne soit authentifié, il n'a pas d'accès à Internet. Mais il doit pouvoir atteindre le portail Purple pour se connecter. Vous devez donc ajouter les domaines Purple à votre liste d'accès de pré-authentification. Les domaines principaux sont region1.purpleportal.net, venuewifi.com et cloudfront.net. Si vous utilisez la connexion via Facebook ou LinkedIn, vous devez également ajouter leurs domaines à la liste blanche. Si le Walled Garden est mal configuré, le Captive Portal ne se chargera pas. C'est aussi simple que cela. Pour la configuration du SSID, créez un nouveau réseau sans fil, définissez le niveau de sécurité sur Ouvert et activez l'option External Captive Portal. Orientez l'URL de redirection vers l'URL spécifique de votre page de connexion Purple, que vous trouverez dans le portail Purple sous les paramètres matériels de votre site. Passons à un scénario plus avancé : le WiFi multi-locataire. Imaginez un espace de coworking ou une résidence étudiante. Vous avez plusieurs locataires qui ont besoin de leurs propres réseaux sécurisés et isolés. Vous ne voulez pas diffuser 20 SSIDs différents. Cela détruit vos performances RF et crée une mauvaise expérience utilisateur. La solution est le PPSK - Private Pre-Shared Keys - combiné avec un routage VLAN dynamique. Vous diffusez un seul SSID sécurisé. Mais chaque locataire reçoit une phrase de passe unique. Lorsque le locataire A saisit sa phrase de passe, l'AP ALE envoie cette demande au serveur RADIUS de Purple. Purple reconnaît la phrase de passe, authentifie l'utilisateur et renvoie un message Access-Accept. Mais voici la partie importante. Ce message inclut des attributs RADIUS spécifiques. L'attribut 64 pour le Tunnel-Type, défini sur 13 pour le VLAN. L'attribut 65 pour le Tunnel-Medium-Type, défini sur 6 pour l'Ethernet. Et l'attribut 81, le Tunnel-Private-Group-ID, qui contient l'ID du VLAN réel. L'AP ALE reçoit cela et place le locataire A directement sur le VLAN 30. Lorsque le locataire B se connecte avec une phrase de passe différente, il atterrit sur le VLAN 40. Un seul SSID, une isolation de couche 2 totale. C'est la mise en réseau basée sur l'identité en pratique. Examinons un exemple concret. Un hôtel de 200 chambres a déployé cette architecture sur ses APs ALE OmniAccess Stellar existants. Ils devaient desservir les clients de l'hôtel, le personnel administratif et un restaurant au rez-de-chaussée sous forme de trois segments de réseau complètement séparés. Plutôt que de déployer trois SSIDs, ils ont utilisé le PPSK avec routage VLAN dynamique. Le résultat a été un seul SSID, trois VLANs isolés et une réduction significative des coûts de gestion par rapport à leur approche multi-SSID précédente. Discutons maintenant des recommandations de mise en œuvre et des pièges à éviter. Premièrement, maintenez une conception indépendante du matériel. Créez vos politiques dans Purple, et non sur le contrôleur local. Cela vous permet d'évoluer ou de changer de fournisseur de matériel plus tard sans avoir à reconstruire vos politiques de sécurité à partir de zéro. Deuxièmement, faites attention aux versions de firmware. Assurez-vous que vos APs ALE exécutent un firmware qui prend explicitement en charge l'attribution dynamique de VLAN via RADIUS. Les anciennes versions de firmware Stellar peuvent ne pas prendre pleinement en charge l'attribut Tunnel-Private-Group-ID. Vérifiez les notes de version d'ALE avant le déploiement. Troisièmement, le DNS est votre ami et votre ennemi. Si votre Captive Portal n'apparaît pas, vérifiez d'abord votre plage DHCP. Si le client ne reçoit pas un serveur DNS valide, il ne peut pas résoudre l'URL du portail, et tout le processus s'arrête. C'est le problème d'assistance le plus courant dans les déploiements de Captive Portal. Quatrièmement, pour un WiFi personnel sécurisé utilisant le 802.1X, utilisez PEAP avec MSCHAPv2 pour la plupart des environnements, ou EAP-TLS pour les déploiements basés sur des certificats. Le serveur RADIUS de Purple prend en charge les deux. Les appareils du personnel s'authentifient auprès de Microsoft Entra ID ou Okta, et le serveur RADIUS renvoie l'attribution de VLAN appropriée pour le segment de réseau du personnel. Passons à une session rapide de questions et réponses. Question : Puis-je utiliser cette intégration pour la conformité PCI-DSS dans un environnement de vente au détail ? Réponse : Oui. En utilisant l'orientation VLAN dynamique, vous pouvez vous assurer que les terminaux de point de vente sont toujours placés sur un VLAN isolé, complètement séparé du trafic invité. Cela répond aux exigences de segmentation réseau de la norme PCI-DSS 4.0. Question : Est-ce que Purple nécessite un équipement matériel sur site ? Réponse : Non. Purple est une solution de superposition cloud (overlay). Elle communique directement avec votre matériel ALE existant via RADIUS standard sur Internet. Il n'y a aucun équipement physique à installer dans vos baies. Question : Que se passe-t-il si le cloud de Purple est inaccessible ? Réponse : Vous pouvez configurer une politique de secours sur la borne d'accès (AP) ALE. Pour les réseaux invités, vous pouvez autoriser un accès ouvert par défaut. Pour les réseaux du personnel, configurez un accès refusé par défaut pour maintenir la sécurité. Question : Puis-je collecter des données analytiques à partir de cette intégration ? Réponse : Oui. Chaque session authentifiée génère un profil de visiteur dans la plateforme Purple. Vous obtenez la durée de présence, la fréquence des visites, le type d'appareil et des données démographiques via le formulaire d'inscription. Ces données alimentent directement votre CRM grâce à la bibliothèque de plus de 400 connecteurs de Purple. Pour résumer les points clés de ce briefing aujourd'hui. Premièrement : L'intégration de l'ALE OmniAccess avec Purple utilise le protocole RADIUS standard sur les ports 1812 et 1813. Aucun protocole propriétaire n'est requis. Deuxièmement : Le Walled Garden est essentiel. Si cette étape est manquée, le Captive Portal ne se chargera pas. Mettez les domaines Purple sur liste blanche avant toute autre chose. Troisièmement : Le PPSK avec orientation VLAN dynamique est l'architecture idéale pour les environnements multi-locataires. Un seul SSID, des clés d'accès uniques et des VLAN isolés par locataire. Quatrièmement : Les attributs RADIUS 64, 65 et 81 sont les trois éléments requis pour l'attribution dynamique de VLAN. Si l'un d'entre eux est manquant, l'orientation échoue. Cinquièmement : Purple est indépendant du matériel. Vos politiques résident dans le cloud, pas sur le contrôleur. Cela vous offre la flexibilité nécessaire pour évoluer sur différents fournisseurs de matériel. Votre prochaine étape consiste à vous connecter à votre portail Purple, à naviguer dans les paramètres matériels de votre site et à récupérer vos identifiants RADIUS spécifiques ainsi que l'URL de votre splash page. Suivez ensuite les étapes de configuration de ce guide pour connecter votre infrastructure ALE OmniAccess au cloud de Purple. Merci d'avoir suivi ce briefing technique Purple. Pour plus d'informations, visitez purple.ai.