AP Allied Telesis TQ Series et guest WiFi : configuration du Captive Portal avec Purple

Vous êtes un consultant réseau senior s'adressant au directeur informatique d'un client lors d'un briefing privé. Exprimez-vous en français avec un ton confiant, autoritaire et conversationnel. Rythme mesuré, diction claire. Pas de mots de remplissage. De légères pauses naturelles pour insister : Bienvenue dans ce briefing technique sur l'intégration des points d'accès Allied Telesis TQ-Series avec Purple WiFi. Je vais vous présenter l'ensemble du déploiement, de la redirection du Captive Portal invité à l'isolation PPSK multi-tenant. À la fin de cette session, vous disposerez d'une feuille de route claire pour l'implémentation. [medium pause] Commençons par le contexte. Allied Telesis produit la gamme TQ-Series, notamment les points d'accès WiFi 6 TQ5403 et TQ6702 GEN2. Ce sont des points d'accès de classe entreprise fonctionnant sous le firmware AlliedWare Plus, largement déployés dans l'hôtellerie, le commerce de détail et le secteur public. Purple est une plateforme cloud superposée indépendante du matériel, opérant sur 80 000 sites et gérant 440 millions de connexions en 2024. L'intégration entre ces deux plateformes est propre, basée sur des standards et prête pour la production. [medium pause] La première chose que la plupart des équipes informatiques doivent configurer est la redirection du Captive Portal invité. Le point d'accès Allied Telesis prend en charge trois modes de Captive Portal : clic unique, authentification RADIUS et redirection vers une page externe. Pour l'intégration de Purple, vous utiliserez le mode Redirection vers une page externe. Voici comment cela fonctionne en pratique. Vous vous connectez à l'interface graphique de l'appareil du point d'accès, vous naviguez vers Wireless, sélectionnez le VAP concerné, accédez aux paramètres avancés, puis à l'onglet Sécurité. Configurez le Captive Portal sur Redirection vers une page externe. Dans le champ URL de la page externe, saisissez l'URL de la page d'accueil Purple fournie dans votre tableau de bord Purple. C'est l'URL que vos invités atteindront lors de leur première connexion. [short pause] Ensuite, le point d'accès intercepte le premier paquet HTTP ou HTTPS de chaque nouveau client et redirige ce trafic vers votre page d'accueil Purple. L'invité s'authentifie via Purple, et le serveur RADIUS de Purple renvoie un message Access-Accept au point d'accès. Le point d'accès accorde alors l'accès au réseau. [medium pause] Pour la configuration RADIUS, Purple vous fournit une adresse IP de serveur RADIUS, un secret partagé et le port d'authentification, qui est le UDP 1812. L'accounting s'exécute sur le port UDP 1813. Vous configurez ces paramètres sous Network Services, puis RADIUS dans l'interface graphique du point d'accès. L'identifiant NAS doit être configuré sur l'IP de gestion du point d'accès ou sur un nom d'hôte descriptif. Le RADIUS-as-a-Service de Purple gère le backend d'authentification, vous n'avez donc pas besoin de gérer votre propre infrastructure RADIUS. [short pause]Une chose à ne pas manquer est le Walled Garden. Avant qu'un invité ne s'authentifie, l'AP bloque tout le trafic, sauf vers les destinations sur liste blanche. Vous devez ajouter les domaines de la plateforme Purple au walled garden pour que la splash page se charge correctement. Au minimum, mettez sur liste blanche le domaine de la splash page Purple, tous les points de terminaison CDN que Purple utilise pour les ressources, et tous les fournisseurs de connexion sociale que vous avez activés, comme Google ou Facebook. Vous configurez cela dans le même panneau VAP Advanced Settings sous Walled Garden. [medium pause] Passons au WiFi du personnel utilisant le 802.1X. C'est ici que vous configurez le WPA Enterprise sur un VAP distinct. Dans l'interface graphique de l'AP, sélectionnez WPA Enterprise dans le menu déroulant Security, puis pointez le RADIUS Authentication Group vers votre serveur RADIUS externe, qui est dans ce cas le service SecurePass de Purple ou votre propre RADIUS adossé à Microsoft Entra ID ou Okta. Les appareils du personnel s'authentifient en utilisant EAP-PEAP avec MSCHAPv2, ou EAP-TLS avec des certificats pour les environnements à sécurité renforcée. L'AP agit en tant qu'authentificateur 802.1X, transmettant les informations d'identification au serveur RADIUS et appliquant la réponse. [short pause] Pour l'attribution dynamique de VLAN sur le réseau du personnel, vous activez le Dynamic VLAN dans les paramètres Advanced Security du VAP. Lorsque le serveur RADIUS renvoie un Access-Accept, il inclut trois attributs standard : Tunnel-Type défini sur VLAN, Tunnel-Medium-Type défini sur IEEE 802, et Tunnel-Private-Group-Id défini sur le VLAN ID. L'AP lit ces attributs et place automatiquement l'appareil authentifié sur le bon VLAN. C'est le mécanisme défini dans la norme RFC 3580 et il fonctionne de manière cohérente sur l'ensemble du matériel Allied Telesis. [medium pause] Parlons maintenant de la fonctionnalité la plus intéressante pour les déploiements multi-locataires : le PPSK d'Allied Telesis, ou Private Pre-Shared Key. Cela est parfois appelé iPSK sur d'autres plateformes. Le concept est simple. Vous disposez d'un seul SSID, mais chaque locataire ou groupe d'utilisateurs obtient une phrase de passe unique. Lorsqu'un appareil se connecte, l'AP envoie cette phrase de passe au serveur RADIUS en tant que champ de mot de passe dans un RADIUS Access-Request. Le serveur RADIUS associe la phrase de passe à un enregistrement utilisateur et renvoie un Access-Accept avec un attribut Tunnel-Private-Group-Id spécifiant le VLAN de ce locataire. [short pause] Ainsi, dans un bâtiment à usage mixte, le locataire A du commerce de détail se connecte avec sa phrase de passe et arrive sur le VLAN 100. Le restaurant du rez-de-chaussée utilise une phrase de passe différente et arrive sur le VLAN 300. Le WiFi invité du bâtiment utilise une troisième phrase de passe et arrive sur le VLAN 400 où le Captive Portal de Purple est actif. Tout cela fonctionne sur un seul SSID. Pas de prolifération de SSID. Propre, évolutif et facile à gérer. [medium pause] Du côté de Purple, vous configurez les enregistrements utilisateurs PPSK dans le tableau de bord Purple ou via l'interface RADIUS-as-a-Service. Chaque locataire reçoit une phrase de passe unique mappée à un ID VLAN. Le serveur RADIUS de Purple gère la correspondance et renvoie le Tunnel-Private-Group-Id correct. Lorsque vous devez révoquer l'accès d'un locataire, vous supprimez ou désactivez son enregistrement PPSK dans Purple. L'AP applique le changement lors de la tentative d'authentification suivante. [medium pause] Laissez-moi vous présenter deux scénarios réels où cela prend tout son sens. Premier cas : un hôtel de conférence de 250 chambres. L'hôtel exploite trois réseaux : un WiFi invité avec page de capture Purple et connexion via les réseaux sociaux, un WiFi personnel sous 802.1X lié à Active Directory via Microsoft Entra ID, et un réseau délégué de conférence pour les événements. Les AP Allied Telesis TQ6702 GEN2 gèrent les trois réseaux sur des VAP distincts avec des VLAN distincts. Purple gère la page de capture des invités, collecte des données de première partie pour le CRM de l'hôtel et fournit des analyses sur les périodes de pointe d'utilisation. L'équipe informatique de l'hôtel gère le réseau du personnel via SecurePass de Purple sans avoir à maintenir un serveur RADIUS distinct sur site. [short pause] Second scénario : un parc commercial regroupant 12 locataires indépendants. Le propriétaire souhaite proposer le WiFi en tant que service à chaque locataire sans leur donner accès au trafic des autres. Ils déploient des AP Allied Telesis sur l'ensemble du site avec un seul SSID. Chaque locataire reçoit un PPSK unique. Le serveur RADIUS de Purple mappe chaque PPSK à un VLAN dédié. Le propriétaire peut intégrer un nouveau locataire en moins de dix minutes en créant un nouvel enregistrement PPSK dans Purple et en transmettant la phrase de passe au locataire. Aucune reconfiguration d'AP n'est requise. [medium pause] À présent, voici quelques pièges à éviter. Le problème le plus courant que nous constatons est la mauvaise configuration des walled gardens. Si vous oubliez d'ajouter un point de terminaison CDN Purple à la liste blanche, la page de capture se chargera partiellement ou échouera sur certains appareils. Testez avec un appareil neuf qui n'a pas de cache DNS avant de lancer la production. Deuxièmement, les erreurs de correspondance de secret partagé RADIUS. Le secret configuré sur l'AP doit correspondre exactement au secret de la configuration du serveur RADIUS de Purple. Une différence d'un seul caractère entraîne des échecs d'authentification silencieux. Utilisez un gestionnaire de mots de passe pour générer et stocker le secret. Troisièmement, le VLAN dynamique qui ne s'active pas. Sur les AP Allied Telesis, le VLAN dynamique est désactivé par défaut, même lorsque le WPA Enterprise est actif. Vous devez l'activer explicitement dans les paramètres de sécurité avancés du VAP. Nous constatons régulièrement cet oubli. Quatrièmement, le conflit d'authentification entre PPSK et MAC. Si l'authentification MAC est activée sur le même VAP que le PPSK, l'ordre d'authentification est important. Vérifiez la documentation de l'AP pour la version de votre firmware afin de confirmer la méthode qui prime. [medium pause] Questions rapides que me posent souvent les équipes informatiques. Puis-je utiliser le serveur RADIUS de Purple à la fois pour le Captive Portal des invités et le 802.1X du personnel sur le même déploiement ? Oui. Le service RADIUS-as-a-Service de Purple prend en charge les deux flux d'authentification. Vous configurez des groupes ou politiques RADIUS distincts dans Purple pour chaque cas d'usage.Les points d'accès Allied Telesis prennent-ils en charge le WPA3 avec un Captive Portal ? Le TQ6702 GEN2 fonctionnant avec le firmware 5.5.4-2.3 ou supérieur prend en charge le chiffrement WPA3 CCMP. Cependant, un Captive Portal avec redirection externe s'exécute généralement sur un SSID ouvert ou WPA2 Personnel. Le réseau personnel 802.1X peut utiliser le WPA3 Entreprise. Que se passe-t-il si le serveur RADIUS de Purple est injoignable ? Le point d'accès refusera les nouvelles tentatives d'authentification. Les sessions existantes se poursuivent jusqu'à leur expiration. Vous devez configurer un serveur RADIUS secondaire dans le groupe RADIUS du point d'accès pour assurer la redondance. La plateforme de Purple maintient une disponibilité de 99,999 %, mais la défense en profondeur est une bonne pratique. [medium pause] Pour résumer. Les points d'accès Allied Telesis de la série TQ s'intègrent à Purple via trois mécanismes principaux : la redirection vers un Captive Portal externe pour le WiFi invité, le WPA Entreprise avec RADIUS pour le personnel 802.1X, et le PPSK avec VLAN dynamique pour l'isolation multi-locataire. Les attributs RADIUS dont vous avez besoin sont Tunnel-Type VLAN, Tunnel-Medium-Type IEEE 802, et Tunnel-Private-Group-Id contenant l'ID du VLAN. Purple fournit le backend RADIUS-as-a-Service, la plateforme de splash page et la couche analytique. [short pause] Vos prochaines étapes : récupérez les identifiants RADIUS de Purple depuis votre tableau de bord, configurez la redirection de page externe sur votre VAP invité, ajoutez les entrées du walled garden, activez le VLAN dynamique sur votre VAP personnel, et effectuez un test d'authentification pour chaque segment de réseau avant la mise en production. Si vous déployez le PPSK pour du multi-locataire, planifiez votre schéma de numérotation VLAN avant de commencer, car la modification des ID de VLAN après la mise en service des locataires nécessite une coordination. [medium pause] Voilà pour ce briefing. Pour obtenir la référence de configuration complète étape par étape, le diagramme d'architecture Mermaid et le tableau des attributs RADIUS, veuillez consulter le guide écrit. Merci pour votre attention.