Voir la transcription du podcast
Bienvenue dans ce briefing. Aujourd'hui, nous analysons l'intégration d'Arista Cognitive Wi-Fi avec la plateforme Purple. Il s'agit d'un briefing pour consultants seniors, destiné spécifiquement aux architectes réseau d'entreprise et aux administrateurs de systèmes cloud qui doivent déployer cette solution correctement dès la première fois.
Plantons le décor. Le système Arista Cognitive Wi-Fi, géré via la plateforme CloudVision Cognitive Unified Edge, est une infrastructure sans fil gérée dans le cloud qui prend en charge les déploiements de réseaux invités et de personnel de classe entreprise. Purple est un overlay cloud agnostique au matériel qui fournit le portail invité, la capture d'identité, l'authentification RADIUS et la couche d'analyse. En combinant les deux, vous obtenez une architecture WiFi invité complète, conforme et commercialement précieuse. Passons aux aspects techniques.
La première chose à comprendre est le flux d'intégration du Captive Portal. Lorsqu'un appareil invité s'associe au SSID invité ouvert sur un point d'accès Arista, le point d'accès place immédiatement cet appareil dans un VLAN de pré-authentification. Dans cet état, l'appareil dispose d'une adresse IP attribuée par DHCP, mais son trafic DNS et HTTP est fortement restreint. Le système d'exploitation de l'appareil, qu'il s'agisse d'iOS, Android ou Windows, effectue une détection de Captive Portal. iOS envoie une requête HTTP à captive.apple.com. Android interroge connectivitycheck.gstatic.com. Le point d'accès Arista intercepte cette requête et renvoie une redirection 302, orientant l'appareil vers l'URL de la splash page Purple.
C'est là que la plupart des déploiements échouent. Pour que cette redirection fonctionne et que la splash page s'affiche réellement, vous devez configurer correctement le Walled Garden dans Arista CV-CUE. Le Walled Garden est une liste d'autorisation explicite. En état de pré-authentification, tout le trafic est rejeté par défaut. Vous devez mettre sur liste blanche chaque domaine requis pour charger le portail. Au minimum, cela concerne les domaines principaux de Purple : region1.purpleportal.net, venuewifi.com et cloudfront.net. Si vous proposez la connexion via les réseaux sociaux avec Google Workspace, vous devez ajouter accounts.google.com et ses plages de CDN associées. Pour Facebook, vous avez besoin de facebook.com, fbcdn.net et akamaihd.net. Si vous en oubliez un seul, l'invité verra un écran vide ou un bouton de connexion qui tourne indéfiniment. Il abandonnera, et vous perdrez l'opportunité de capture de données.
Laissez-moi vous guider à travers la configuration RADIUS dans CV-CUE. Naviguez vers Configurer, puis Profils réseau, puis RADIUS. Cliquez sur Ajouter un serveur RADIUS. Saisissez l'adresse IP du serveur RADIUS principal de Purple, définissez le port d'authentification sur 1812, le port de comptabilité sur 1813, et saisissez le secret partagé fourni par Purple. Répétez cette opération pour le serveur secondaire. Cette redondance est essentielle. Si le serveur principal est inaccessible, le serveur secondaire prend le relais sans interrompre l'accès des invités.
Une fois les profils RADIUS enregistrés, allez dans Configure, puis WiFi, puis SSID, et cliquez sur Add New SSID. Nommez votre SSID, définissez le type sur Guest, et sous l'onglet Security, définissez le niveau de sécurité sur Open. Cela est correct pour un déploiement de Captive Portal. Sous l'onglet Captive Portal, cochez la case Captive Portal, sélectionnez Third-Party Hosted dans la liste déroulante Cloud Hosted, et cochez la case With RADIUS Authentication. Collez l'URL de la Splash Page Purple dans le champ Splash Page URL. Elle est généralement au format https://region1.purpleportal.net/access/. Saisissez le secret partagé. Ensuite, dans la section Websites that users can access before login, ajoutez vos domaines de Walled Garden. Définissez le format Called Station ID sur percent-m, ce qui envoie l'adresse MAC dans le format attendu par Purple. Définissez l'Accounting Interval sur 2 minutes. Décochez la case HTTPS Redirection. Enregistrez le SSID. Il se propagera sur vos AP Arista en quelques minutes.
Voyons maintenant ce qui se passe après que l'invité a soumis ses informations sur le portail Purple. Purple agit en tant que serveur RADIUS. Il valide l'identité, enregistre le consentement et renvoie un message RADIUS Access-Accept à l'AP Arista. Mais voici l'élément critique : ce message Access-Accept contient des attributs Change of Authorisation, définis dans la RFC 3576. Ces attributs demandent à l'AP Arista de faire passer dynamiquement ce client spécifique de l'état pré-authentification restreint au VLAN post-authentification avec un accès Internet complet. Simultanément, l'AP envoie un message RADIUS Accounting-Start à Purple sur le port 1813. Cela démarre le minuteur de session et transmet les données de durée de session au tableau de bord analytique de Purple.
Passons au cas d'usage plus avancé : le WiFi multi-locataire utilisant les clés pré-partagées privées Arista, ou PPSK. C'est l'architecture idéale pour les espaces de coworking, les centres commerciaux, les immeubles résidentiels ou tout environnement comportant plusieurs groupes d'utilisateurs distincts nécessitant une isolation réseau stricte.
Le problème des approches traditionnelles est que la diffusion d'un SSID distinct pour chaque locataire génère une surcharge radio (RF) massive. Chaque SSID nécessite des trames de balise (beacon). Dans un environnement dense avec 20 locataires, cela représente 20 SSIDs consommant du temps d'antenne. Le PPSK résout ce problème de manière élégante. Vous diffusez un seul SSID. Mais dans le portail Purple, chaque locataire se voit attribuer une phrase secrète unique. Lorsqu'un utilisateur se connecte, l'AP Arista authentifie cette phrase secrète auprès du serveur RADIUS Purple. Purple vérifie la phrase secrète, identifie le locataire associé et renvoie un message Access-Accept. De manière cruciale, il y ajoute trois attributs RADIUS : Tunnel-Type, défini sur VLAN ; Tunnel-Medium-Type, défini sur 802 ; et Tunnel-Private-Group-ID, défini sur l'ID de VLAN spécifique du locataire. L'AP Arista lit ces attributs et oriente dynamiquement le client vers le bon VLAN. Le locataire A, utilisant sa phrase secrète, se retrouve sur le VLAN 100. Le locataire B se retrouve sur le VLAN 200. Ils sont complètement isolés au niveau de la couche 2. Ils ne peuvent pas voir les appareils, imprimantes ou serveurs des autres.Il s'agit du concept d'Identity-Based Networking en pratique. L'identité associée à la phrase de passe détermine le segment de réseau. La gestion est centralisée via Purple, de sorte que lorsqu'un locataire s'en va, vous révoquez sa phrase de passe dans le portail Purple, et l'accès est immédiatement interrompu. Aucun changement n'est requis sur l'infrastructure Arista.
Abordons maintenant le WiFi sécurisé pour le personnel à l'aide de la norme IEEE 802.1X. Pour le SSID de votre personnel, vous ne devez pas utiliser une phrase de passe partagée. Vous devez utiliser le protocole 802.1X avec EAP (Extensible Authentication Protocol). Dans CV-CUE, créez un nouveau SSID d'entreprise. Sous l'onglet Sécurité, sélectionnez WPA2-Enterprise ou WPA3-Enterprise. Sélectionnez votre profil RADIUS, qui doit pointer vers votre fournisseur d'identité d'entreprise, tel que Microsoft Entra ID ou Okta. Lorsqu'un membre du personnel se connecte, son appareil présente des informations d'identification à l'AP Arista, qui les transmet au serveur RADIUS via EAP. Le fournisseur d'identité valide les informations d'identification et renvoie un Access-Accept. Pour l'authentification basée sur les certificats à l'aide d'EAP-TLS, l'appareil présente un certificat client plutôt qu'un nom d'utilisateur et un mot de passe, ce qui élimine complètement le vol d'informations d'identification comme vecteur d'attaque.
Permettez-moi d'évoquer l'intégration d'Arista Cloud WIPS. Le système de prévention des intrusions sans fil (Wireless Intrusion Prevention System) d'Arista fonctionne en arrière-plan, recherchant les points d'accès non autorisés et les clients non autorisés. Dans CV-CUE, accédez à Configuration, puis WIPS, puis Prévention automatique des intrusions. Vous pouvez configurer le niveau de prévention de Dégradé à Bloqué. Pour les déploiements en entreprise, nous recommandons le niveau Interrompre comme point de départ, qui perturbe les communications non autorisées sans les bloquer complètement, réduisant ainsi le risque de faux positifs. Vous devez également configurer la surveillance VLAN sous Configuration, puis Appareil, puis Point d'accès, en sélectionnant l'onglet Sécurité. Activez la surveillance VLAN SSID pour que les AP surveillent activement leurs VLAN attribués à la recherche d'activités suspectes.
Examinons à présent quelques pièges de mise en œuvre à éviter. Tout d'abord, l'épuisement du pool DHCP. Dans les environnements à forte fréquentation comme les magasins de détail ou les stades, les appareils se connectent brièvement puis s'éloignent. Si votre délai d'inactivité est trop élevé, ces sessions restent actives, conservant les adresses IP. Définissez le délai d'inactivité dans CV-CUE à 10 minutes pour le commerce de détail, et à seulement 5 minutes pour les lieux d'événements. Cela permet de récupérer agressivement les adresses IP et d'éviter l'épuisement du pool.
Deuxièmement, la randomisation des adresses MAC. Depuis iOS 14 et Android 10, les appareils randomisent leur adresse MAC par SSID par défaut. Cela perturbe toute architecture qui s'appuie sur les adresses MAC pour identifier les visiteurs récurrents. La bonne approche consiste à orienter votre modèle d'identité vers des informations d'identification authentifiées, à savoir l'adresse e-mail ou l'identifiant de réseau social collectés via le portail Purple. Pour une reconnexion transparente sans portail, la voie de migration à long terme est Passpoint, également connu sous le nom de Hotspot 2.0, qui utilise une authentification basée sur des certificats et élimine complètement le Captive Portal.
Troisièmement, la redirection HTTPS. Lors de la configuration du Captive Portal dans CV-CUE, assurez-vous que la case Redirection HTTPS est décochée. Purple gère la session HTTPS de manière indépendante. L'activation de la redirection HTTPS du côté Arista peut provoquer des erreurs d'incompatibilité de certificat qui empêchent le portail de se charger.
Passons à une session de questions-réponses rapide sur les scénarios courants.
Question : La page du portail d'un invité affiche un écran blanc. Où devez-vous regarder en premier ? Réponse : Le Walled Garden. Un domaine manquant est presque toujours la cause. Vérifiez que tous les domaines Purple et les domaines CDN des fournisseurs d'identité pertinents sont autorisés dans CV-CUE.
Question : Les utilisateurs PPSK se retrouvent tous sur le VLAN par défaut. Quel est le problème ? Réponse : Le serveur RADIUS de Purple ne renvoie pas l'attribut Tunnel-Private-Group-ID. Vérifiez la réponse RADIUS dans les journaux de dépannage de CV-CUE et vérifiez le mappage VLAN dans le portail Purple.
Question : Les données de comptabilité RADIUS dans Purple affichent des sessions de zéro seconde. Quel est le problème ? Réponse : Le port de comptabilité est probablement mal configuré ou bloqué. Vérifiez que le port 1813 est ouvert sur le pare-feu entre les points d'accès Arista et les serveurs RADIUS de Purple, et que l'intervalle de comptabilité est défini sur 2 minutes dans les paramètres SSID.
Pour résumer les points clés de ce briefing. Un : le Walled Garden est une liste d'autorisation explicite. Maintenez-la comme une tâche opérationnelle récurrente, et non comme une configuration unique. Deux : le RADIUS Change of Authorization est le mécanisme qui accorde l'accès. Sans lui, le portail se termine mais l'invité reste bloqué. Trois : le PPSK d'Arista avec le RADIUS de Purple permet un routage VLAN dynamique pour l'isolation multi-locataire sur un seul SSID, éliminant ainsi la surcharge de balisage. Quatre : activez toujours l'isolation des clients sur les SSID invités pour empêcher tout mouvement latéral. Cinq : la randomisation des adresses MAC nécessite de passer à une authentification basée sur l'identité pour obtenir des analyses précises. Six : une intégration correcte répond aux exigences de consentement GDPR et capture des données de première main qui génèrent directement un ROI marketing.
Vos prochaines étapes : récupérez les adresses IP et les secrets partagés du serveur RADIUS de Purple depuis la page de configuration matérielle du portail Purple. Configurez les profils RADIUS dans CV-CUE. Créez votre liste de domaines Walled Garden. Déployez votre SSID invité. Testez le flux d'authentification complet depuis un appareil mobile avant de le déployer en production. Et si vous déployez des environnements multi-locataires, mappez vos identifiants VLAN de locataire dans Purple avant de configurer les phrases secrètes PPSK.
Ceci conclut ce briefing technique. Merci pour votre écoute.
