Arista Cognitive Wi-Fi Integration with Purple WiFi

Résumé exécutif

Le déploiement d'un Captive Portal Arista pour l'accès invité n'est pas une simple tâche de connectivité. C'est une intersection critique entre la sécurité réseau, la conformité réglementaire et la stratégie de données. Pour les responsables informatiques gérant des sites distribués, l'intégration d'Arista CloudVision Cognitive Unified Edge (CV-CUE) avec Purple transforme le trafic invité non géré en un actif sécurisé, segmenté et mesurable.

Cette référence fournit un plan définitif pour configurer Arista Cognitive Wi-Fi avec Purple. Nous détaillons les mécanismes exacts requis pour déployer des splash pages hébergées par des tiers, construire des listes de contrôle d'accès Walled Garden précises et implémenter l'authentification RADIUS. Nous couvrons également l'isolation Multi-Tenant WiFi avancée à l'aide des clés pré-partagées privées Arista (PPSK) et du pilotage dynamique des VLAN - l'architecture qui élimine la prolifération des SSID dans les espaces de coworking, les centres commerciaux et les bâtiments résidentiels.

Purple opère sur plus de 80 000 sites actifs et a traité 440 millions de connexions en 2024 (données internes de Purple). La plateforme est certifiée ISO 27001, conforme au GDPR et au CCPA, et détient les certifications Cyber Essentials et B Corp. Ce guide reflète des configurations testées en production et validées dans les secteurs de l'hôtellerie, du commerce de détail et du secteur public.

Analyse technique approfondie

L'architecture d'intégration du Captive Portal Arista

Le flux d'intégration des invités dicte la manière dont les appareils interagissent avec le point d'accès (AP) Arista avant et après l'authentification. Lorsqu'un appareil s'associe au SSID invité ouvert, l'AP Arista l'affecte à un VLAN de pré-authentification. Dans cet état, l'AP limite le trafic DNS et HTTP à une liste d'autorisation définie. Le système d'exploitation de l'appareil détecte le Captive Portal et tente de joindre un point de terminaison connu - iOS envoie une requête HTTP à captive.apple.com, Android à connectivitycheck.gstatic.com et Windows à www.msftconnecttest.com. L'AP Arista intercepte cette requête et émet une redirection HTTP 302 vers l'URL de la splash page Purple.

{{asset:captive_portal_flow.png}}

Pour garantir que ce flux s'exécute sans erreur, le contrôleur Arista CV-CUE doit être configuré pour désigner Purple comme un portail hébergé par un tiers. Cela nécessite de définir les serveurs RADIUS Purple (port d'authentification 1812, port de comptabilité 1813) dans les profils réseau CV-CUE. Une fois que l'invité soumet ses identifiants ou accepte les conditions sur le portail Purple, Purple agit en tant que serveur RADIUS et renvoie un message Access-Accept à l'AP Arista. Ce message inclut les attributs RADIUS Change of Authorization (CoA) définis dans la norme RFC 3576, demandant à l'AP de faire passer l'adresse MAC du client de l'état de pré-authentification restreint à un accès Internet complet sur le VLAN de post-authentification.

Conception de l'ACL Walled Garden dans CV-CUE

Le Walled Garden est une liste blanche de domaines et d'adresses IP que les appareils non authentifiés doivent pouvoir atteindre pour charger la splash page et finaliser l'authentification. Dans Arista CV-CUE, vous configurez ce paramètre sous les options du Captive Portal en tant que "Websites that users can access before login" (Sites web auxquels les utilisateurs peuvent accéder avant de se connecter).

Le Walled Garden est une liste d'autorisation explicite. Vous devez inclure les domaines principaux de Purple pour afficher le portail. Si vous proposez la connexion via les réseaux sociaux, vous devez également ajouter les domaines des fournisseurs d'identité (IdP) à la liste blanche. Si cette liste n'est pas correctement configurée, les visiteurs ne pourront pas charger l'écran de connexion du fournisseur d'authentification, ce qui entraînera un abandon immédiat.

Entrées minimales requises dans le Walled Garden pour Purple :

• region1.purpleportal.net
• venuewifi.com
• cloudfront.net
• openweathermap.org
• stripe.com (si l'accès payant est activé)

Entrées supplémentaires pour la connexion via les réseaux sociaux :

• Facebook : facebook.com, fbcdn.net, akamaihd.net, connect.facebook.net
• Google Workspace : accounts.google.com, googleapis.com
• Twitter/X : twitter.com, twimg.com
• LinkedIn : linkedin.com, licdn.net

Configuration d'Arista PPSK pour l'isolation multi-locataire

Pour les environnements tels que les espaces de coworking, les bâtiments résidentiels ou les centres commerciaux, la norme 802.1X standard est souvent trop complexe pour les appareils non gérés, tandis que les réseaux ouverts manquent de la sécurité nécessaire. La fonctionnalité Arista Private Pre-Shared Keys (PPSK) résout ce problème en permettant d'associer plusieurs clés de passe uniques à un seul SSID, chacune étant mappée à une politique réseau distincte.

Lorsqu'elle est intégrée à Purple RADIUS, la fonctionnalité Arista PPSK permet un routage dynamique des VLAN. Un résident ou un locataire commercial se connecte au SSID unifié en utilisant sa clé PPSK spécifique. L'AP Arista authentifie la clé auprès du serveur Purple RADIUS. Purple renvoie la réponse standard Access-Accept, mais y ajoute trois attributs RADIUS qui déterminent l'attribution du VLAN :

L'AP Arista attribue dynamiquement l'appareil à ce VLAN. Cela offre une isolation stricte de couche 2 entre les locataires sans diffuser des dizaines de SSIDs distincts, optimisant ainsi l'utilisation des RF tout en maintenant des frontières de sécurité absolues.

Sécuriser le WiFi du personnel avec IEEE 802.1X

Pour les réseaux du personnel, les phrases secrètes partagées constituent une faille de sécurité. La norme IEEE 802.1X (définie dans IEEE Std 802.1X-2020) fournit un contrôle d'accès réseau basé sur les ports à l'aide d'identifiants par utilisateur. Dans CV-CUE, vous configurez un SSID d'entreprise avec une sécurité WPA2-Enterprise ou WPA3-Enterprise. L'AP agit en tant qu'authentificateur, transmettant les identifiants au serveur RADIUS via EAP (Extensible Authentication Protocol). Purple prend en charge EAP-PEAP pour l'authentification par nom d'utilisateur/mot de passe et EAP-TLS pour l'authentification par certificat.

Pour les déploiements EAP-TLS, vous intégrez Microsoft Entra ID, Okta ou Google Workspace en tant qu'autorité de certification. Lorsqu'un appareil d'un membre du personnel présente un certificat client valide, le serveur RADIUS le valide par rapport à l'annuaire et renvoie un Access-Accept. Cela élimine complètement le vol d'identifiants comme vecteur d'attaque.

Intégration d'Arista Cloud WIPS

Le système de prévention des intrusions sans fil (WIPS) d'Arista fonctionne en continu en arrière-plan, recherchant les points d'accès malveillants, les AP mal configurés et les clients non autorisés. Dans CV-CUE, accédez à Configure > WIPS > Automatic Intrusion Prevention pour configurer le niveau de prévention. Arista propose quatre niveaux : Degrade, Interrupt, Disrupt, et Block. Pour les déploiements d'entreprise, commencez par Disrupt, qui perturbe les communications non autorisées sans les bloquer complètement, réduisant ainsi le risque de faux positifs lors du déploiement initial.

Activez le SSID VLAN Monitoring sous Configure > Device > Access Point > Security tab pour vous assurer que les AP surveillent activement leurs VLAN assignés à la recherche d'activités suspectes. Les modèles de la série Arista AP-3xx prennent en charge la surveillance de jusqu'à 42 VLAN simultanément (documentation Arista WIPS, 2025).

Guide de mise en œuvre

Étape 1 : Segmentation du réseau et configuration RADIUS

1. Connectez-vous à Arista CV-CUE et accédez à Configure > Network Profiles > RADIUS.
2. Cliquez sur Add RADIUS Server.
3. Saisissez les informations du serveur RADIUS Purple principal : adresse IP, port d'authentification (1812), port de comptabilité (1813) et le secret partagé (Shared Secret) figurant sur la page de configuration matérielle du portail Purple.
4. Répétez l'opération pour le serveur RADIUS Purple secondaire afin de garantir une haute disponibilité.
5. Vérifiez sur votre pare-feu que les ports UDP 1812 et 1813 sont ouverts entre les AP Arista et les serveurs RADIUS Purple.

Étape 2 : Configuration du SSID invité et du Captive Portal

1. Accédez à Configure > WiFi > SSID et cliquez sur Add New SSID.
2. Définissez le nom du SSID (par exemple, Guest_WiFi) et configurez le type de SSID sur Guest.
3. Sous l'onglet Security, définissez le niveau de sécurité sur Open.
4. Sous l'onglet Network, configurez le VLAN de pré-authentification (par exemple, VLAN 10) avec une plage DHCP dédiée.
5. Sous l'onglet Captive Portal, cochez la case Captive Portal.
6. Sélectionnez Third-Party Hosted dans le menu déroulant Cloud Hosted.
7. Cochez With RADIUS Authentication et sélectionnez le profil RADIUS Purple.
8. Saisissez l'URL de la Splash Page Purple (par ex., https://region1.purpleportal.net/access/) et l'URL de redirection (par ex., https://region1.purpleportal.net/access/?res=success).
9. Définissez le format du Called Station ID sur %m (format d'adresse MAC requis par Purple).
10. Réglez l'Accounting Interval (intervalle de comptabilité) sur 2 minutes.
11. Décochez la case HTTPS Redirection.

Phase 3 : Déploiement du Walled Garden

1. Dans l'onglet Captive Portal, localisez la section Websites that users can access before login.
2. Ajoutez tous les domaines Purple requis et les domaines des fournisseurs d'identité répertoriés ci-dessus.
3. Enregistrez la configuration du SSID et appliquez-la aux groupes d'AP Arista cibles.

Phase 4 : Configuration multi-tenant PPSK

1. Dans le portail Purple, accédez à la configuration matérielle du site et récupérez les paramètres RADIUS PPSK.
2. Dans CV-CUE, créez un nouveau SSID avec une sécurité WPA2-Personal et activez le mode PPSK.
3. Configurez le SSID pour qu'il s'authentifie auprès du profil RADIUS Purple.
4. Dans le portail Purple, créez une phrase secrète PPSK pour chaque client (tenant) et associez-la à l'ID VLAN correspondant.
5. Vérifiez que les ports du commutateur connectés aux AP Arista sont configurés pour acheminer (trunk) les VLAN des clients requis.

Phase 5 : WiFi personnel sécurisé (802.1X)

1. Créez un nouveau SSID d'entreprise dans CV-CUE.
2. Sous l'onglet Security, sélectionnez WPA2-Enterprise ou WPA3-Enterprise.
3. Sélectionnez le profil RADIUS pointant vers votre fournisseur d'identité d'entreprise (Microsoft Entra ID, Okta ou Google Workspace).
4. Configurez le type EAP : PEAP pour l'authentification par nom d'utilisateur/mot de passe, EAP-TLS pour l'authentification par certificat.
5. Attribuez le SSID du personnel à un VLAN dédié (par ex., VLAN 20) isolé du VLAN invité.

Bonnes pratiques

Automatisez les mises à jour du Walled Garden. Les fournisseurs d'identité modifient fréquemment leurs domaines CDN. Planifiez un examen trimestriel de votre configuration Walled Garden Arista CV-CUE par rapport aux listes de domaines mises à jour de Purple. Une seule entrée CDN manquante interrompra la connexion via les réseaux sociaux pour tous les invités.

Optimisez les temporisateurs de session selon le type d'établissement. Configurez les délais d'inactivité (idle timeouts) dans Arista CV-CUE pour qu'ils correspondent au profil de trafic de votre site. Les environnements de vente au détail bénéficient d'un délai d'inactivité de 10 minutes pour récupérer les adresses IP des appareils ayant quitté le magasin. Les déploiements hôteliers doivent utiliser des délais d'inactivité plus longs (4 à 8 heures) afin d'éviter de déclencher à nouveau le portail pendant le séjour d'un client.

Imponez l'isolation des clients (Client Isolation). Activez toujours l'isolation des clients sur le SSID invité dans Arista CV-CUE. Cela empêche les appareils des invités de communiquer entre eux, atténuant ainsi les risques de mouvement latéral et répondant aux exigences de segmentation réseau de la norme PCI DSS.Activez l'authentification RADIUS Accounting. Veillez à ce que RADIUS Accounting soit activé avec un intervalle de 2 minutes. Cela permet de fournir à Purple des métriques précises sur la durée des sessions et le transfert de données, alimentant ainsi le tableau de bord WiFi Analytics et permettant une analyse précise du temps de présence des visiteurs.

Segmentez par type de SSID, pas par AP. Appliquez les SSIDs Invité, Personnel et Multi-locataire aux mêmes groupes d'AP. Arista CV-CUE gère le marquage VLAN par SSID, de sorte que vous n'avez pas besoin d'AP distincts pour chaque type d'utilisateur. Cela simplifie votre déploiement matériel tout en maintenant une séparation logique stricte.

Pour une vision plus large de l'architecture de sécurité WiFi d'entreprise, consultez notre Sécurité WiFi d'entreprise : un guide complet pour 2026 .

Études de cas

Étude de cas 1 : Chaîne hôtelière de 350 chambres

Une chaîne d'hôtels de taille moyenne comptant 12 établissements a déployé des AP Arista Wi-Fi 6E sur l'ensemble de ses sites, gérés via une instance CV-CUE unique. L'objectif était de proposer un Guest WiFi personnalisé aux couleurs de la marque avec collecte d'adresses e-mail pour le marketing, isolé du réseau du système de gestion hôtelière (PMS), tout en prenant en charge le protocole 802.1X pour les appareils du personnel.

L'équipe a configuré trois SSIDs par établissement : un SSID Invité (VLAN 10) pointant vers Purple, un SSID Personnel (VLAN 20) utilisant le protocole 802.1X relié à Microsoft Entra ID, et un SSID IoT (VLAN 30) pour les équipements de gestion technique du bâtiment. Le Captive Portal de Purple a collecté les adresses e-mail des clients ainsi que leur consentement lors de l'enregistrement. En l'espace de 90 jours, la chaîne a collecté des données de première main vérifiées auprès de 68 % des clients (données internes de Purple), ce qui a permis de lancer des campagnes de réengagement ciblées. Le réseau du PMS est resté totalement isolé, répondant ainsi aux exigences de la norme PCI DSS concernant la segmentation de l'environnement des données de titulaires de cartes.

Étude de cas 2 : Espace de coworking multi-locataire

Un opérateur d'espaces de coworking gérant huit sites devait fournir un WiFi isolé à 35 entreprises membres par site, sans avoir à diffuser 35 SSIDs. L'environnement RF était déjà saturé, et la prolifération des SSID dégradait les performances de tous les membres.

La solution a consisté en un SSID unique par site utilisant la technologie PPSK d'Arista combinée à Purple RADIUS. Chaque entreprise membre a reçu une clé PPSK unique. Purple a associé chaque clé à un VLAN dédié (du VLAN 100 au VLAN 3500). Lorsqu'un membre se connectait, l'AP Arista le redirigeait dynamiquement vers son VLAN en fonction de l'attribut Tunnel-Private-Group-ID renvoyé par Purple RADIUS. Résultat : le nombre de SSIDs est passé de 35 à un seul par site, ce qui a permis d'améliorer de manière mesurable l'efficacité de la bande passante et d'assurer une isolation complète de niveau 2 entre les entreprises membres. Lorsqu'un contrat de membre prenait fin, l'opérateur révoquait sa clé d'accès dans le portail Purple, coupant ainsi l'accès en quelques secondes.

Résolution des problèmes et atténuation des risques

Issue: Splash page fails to load on Apple devices. iOS uses a specific mechanism to detect captive portals. If the splash page fails to load automatically, verify that the Arista Walled Garden includes all Purple CDN domains. If the Walled Garden is overly restrictive, the iOS device cannot load the portal assets and aborts the connection.

Issue: MAC address randomization breaks returning guest recognition. iOS 14+ and Android 10+ devices randomize their MAC address per SSID. This prevents Purple from recognizing a returning guest based solely on their MAC address. Rely on authenticated identity (email or social login) for long-term tracking. For seamless, secure reconnection without a Captive Portal, migrate to Passpoint/Hotspot 2.0 architectures.

Issue: Dynamic VLAN steering fails with PPSK. If tenants are assigned the default VLAN instead of their specific VLAN, verify the RADIUS response using the Arista CV-CUE troubleshooting tools. Ensure Purple is returning the correct Tunnel-Private-Group-ID, Tunnel-Type, and Tunnel-Medium-Type attributes, and that the specified VLAN exists on the switch port connected to the Arista AP.

Issue: DHCP pool exhaustion on the Guest VLAN. Reduce the idle timeout to 5-10 minutes in high-footfall environments. Increase the DHCP scope size if the venue regularly exceeds 80% pool utilisation. Consider using a /22 or larger subnet for high-density venues such as stadiums or conference centres.

Issue: RADIUS accounting data shows zero-second sessions. Verify that UDP port 1813 is open on the firewall between the Arista APs and the Purple RADIUS servers. Confirm the Accounting Interval is set to 2 minutes in the CV-CUE SSID settings.

For related guidance on wireless display and protocol best practices in enterprise environments, see What Is Wireless Display: Protocols and Best Practices 2026 .

ROI and business impact

Deploying Arista Cognitive Wi-Fi with Purple transforms a network cost center into a measurable business asset. By enforcing a compliant Captive Portal, you mitigate the risk of GDPR fines, which can reach 4% of global annual turnover. More importantly, the Guest WiFi portal captures verified, first-party data. Purple has collected 29 billion data points across its network (Purple internal data), demonstrating the scale of what a properly deployed guest WiFi architecture can generate.

Pour les espaces de Vente au détail , ces données alimentent directement les systèmes CRM, permettant des campagnes marketing ciblées basées sur la fréquence des visites et le temps de présence. Pour les opérateurs de l' Hôtellerie et Restauration , elles permettent un réengagement personnalisé avec les clients de retour. Pour les hubs de Transport , elles fournissent des données précises sur les flux de passagers qui éclairent les décisions opérationnelles. Pour les établissements de Santé , elles garantissent que les patients et les visiteurs bénéficient d'un accès réseau approprié tandis que les systèmes cliniques restent complètement isolés.

La plateforme Purple fonctionne avec une disponibilité de 99,999 % (données internes de Purple), garantissant que l'accès des invités n'est jamais interrompu par des problèmes de disponibilité de la plateforme. Combinée à l'infrastructure gérée dans le cloud d'Arista, vous bénéficiez d'une architecture de bout en bout qui s'adapte d'un site unique à plus de 80 000 sites sans modification architecturale.

Pour plus de contexte sur l'intégration, consultez notre guide sur l' Intégration de NETGEAR Insight et des points d'accès d'entreprise avec Purple WiFi . Pour les exploitants de sites qui évaluent des outils d'enquête pour compléter leurs analyses WiFi, consultez Conception d'une enquête : un guide pratique pour les espaces physiques .