Cambium cnPilot et WiFi invité : configuration du captive portal avec Purple

Intégration de Cambium Networks cnPilot et cnMaestro avec Purple WiFi. Une présentation pour les consultants. Bienvenue. Si vous gérez un environnement Cambium Networks et qu'on vous a demandé de proposer une expérience WiFi invités qui capture des données, stimule le marketing et reste conforme - cette présentation est exactement ce qu'il vous faut. Je vais vous expliquer comment les points d'accès Cambium cnPilot, le contrôleur cloud cnMaestro et Purple WiFi s'articulent. Nous aborderons l'architecture, le flux d'authentification RADIUS, la configuration du walled garden, le WiFi sécurisé pour le personnel via 802.1X, et la segmentation multi-locataire utilisant la fonctionnalité ePSK de Cambium avec attribution dynamique de VLAN. Que vous gériez un parc hôtelier, un portefeuille de commerces de détail, un centre de conférences ou un campus du secteur public, les principes restent les mêmes. Entrons dans le vif du sujet. Tout d'abord, une présentation rapide des deux plateformes. Cambium Networks produit la gamme cnPilot de points d'accès WiFi d'entreprise - les e410, e425H, e430H et e505 pour les déploiements intérieurs et extérieurs. Ces AP sont gérés de manière centralisée via cnMaestro, la plateforme de gestion cloud de Cambium. cnMaestro vous offre une visibilité centralisée, la gestion des configurations et les mises à jour de firmware sur l'ensemble de votre parc d'AP - qu'il s'agisse d'une poignée d'appareils dans un seul lieu ou de milliers d'AP sur un parc national. Purple WiFi est une plateforme d'intelligence WiFi invités pour les entreprises. Elle gère le Captive Portal - la page d'accueil personnalisée que vos invités voient lorsqu'ils se connectent - et fait également office de serveur d'authentification RADIUS, de moteur de capture de données et de plateforme d'automatisation marketing. Purple opère sur 80 000 sites actifs et a traité 440 millions de connexions rien qu'en 2024. L'association de Cambium cnMaestro et de Purple vous offre une infrastructure WiFi invités de niveau production, à la fois solide sur le plan technique et performante sur le plan commercial. Parlons maintenant de l'architecture d'intégration. Le mécanisme central est une redirection de Captive Portal combinée à une authentification RADIUS. Voici comment le flux fonctionne en pratique. Un appareil invité s'associe à votre SSID invités. Ce SSID est configuré dans cnMaestro comme un réseau ouvert - pas de clé pré-partagée pour les invités. L'AP Cambium intercepte la première requête HTTP de l'appareil et la redirige vers l'URL du Captive Portal de Purple. Cette redirection est configurée dans cnMaestro sous les paramètres de Guest Access du WLAN, où vous définissez l'URL de la page externe (External Page URL) sur le point de terminaison du portail de site Purple. L'invité interagit ensuite avec le portail Purple. Il peut s'authentifier via une connexion sociale, un e-mail, une vérification SMS ou un formulaire personnalisé. Une fois le flux d'authentification terminé, le backend de Purple renvoie un message RADIUS Access-Accept à l'AP Cambium sur le port UDP 1812. L'AP fait alors passer l'appareil de l'état de pré-authentification à un accès réseau complet. Laissez-moi vous guider à travers les étapes de configuration exactes dans cnMaestro. Accédez à Configuration, puis WiFi Profiles, puis WLANs. Créez un nouveau WLAN pour votre réseau invité. Définissez le nom du SSID - par exemple "Hotel Guest WiFi" - et configurez la sécurité sur Open. Sous Guest Access, activez l'option External Hotspot. C'est le paramètre clé qui indique à cnMaestro de rediriger les clients non authentifiés vers un Captive Portal externe. Définissez l'URL de l'External Page avec l'URL du portail de votre site Purple. Activez l'authentification RADIUS et saisissez l'adresse IP du serveur RADIUS de Purple, le secret partagé, et configurez le port d'authentification sur UDP 1812. Activez la comptabilité RADIUS sur UDP 1813 - ceci est essentiel pour que les outils d'analyse de Purple fonctionnent correctement. Sans enregistrements de comptabilité, Purple ne peut pas générer de données de session, de mesures de temps de présence ou d'analyses de fréquence des visites. Ensuite, le walled garden. Il s'agit de la liste des domaines et des adresses IP que les appareils invités peuvent atteindre avant de s'authentifier. Vous devez autoriser le domaine du portail de Purple et tous les points de terminaison CDN utilisés pour héberger les ressources du portail. Vous devez également autoriser tous les domaines des fournisseurs d'authentification - si vous utilisez la connexion sociale via Google ou Facebook, leurs domaines OAuth doivent figurer dans le walled garden. Un walled garden mal configuré est la cause la plus fréquente d'échec du Captive Portal. L'appareil de l'invité doit pouvoir résoudre le DNS et accéder au portail Purple via HTTPS avant de pouvoir s'authentifier. Dans cnMaestro, le walled garden se configure sous les paramètres de l'External Hotspot. Ajoutez des entrées pour le domaine du portail de Purple, les domaines des fournisseurs de connexion sociale et les domaines des passerelles de paiement si vous proposez des forfaits WiFi payants. Parlons maintenant du WiFi sécurisé pour le personnel via IEEE 802.1X. Pour les réseaux du personnel, vous ne voulez pas de Captive Portal. Vous préférez une authentification basée sur des certificats ou des identifiants qui s'effectue de manière invisible au niveau de l'appareil. Dans cnMaestro, créez un WLAN distinct pour le personnel. Configurez la sécurité sur WPA2-Enterprise. Configurez les détails du serveur RADIUS - à nouveau, l'IP du serveur RADIUS de Purple sur UDP 1812. Les appareils du personnel s'authentifient en utilisant PEAP avec des identifiants de type nom d'utilisateur et mot de passe, ou EAP-TLS avec des certificats d'appareil pour un niveau de sécurité optimal. Purple s'intègre avec Microsoft Entra ID, Okta et Google Workspace en tant que fournisseurs d'identité. Cela signifie que votre personnel peut s'authentifier au WiFi à l'aide de ses identifiants d'entreprise existants - aucun mot de passe WiFi distinct à gérer. Purple valide les identifiants auprès de votre fournisseur d'identité et renvoie un Access-Accept au point d'accès Cambium. L'attribution dynamique de VLAN place ensuite l'appareil authentifié du personnel sur le bon VLAN du personnel, l'isolant ainsi du trafic invité. Passons maintenant à la segmentation multi-locataires à l'aide de Cambium ePSK. L'ePSK - enhanced pre-shared key - est l'implémentation de Cambium de ce que l'industrie appelle PPSK ou iPSK. Le concept est simple : au lieu d'un seul mot de passe partagé pour tout un SSID, chaque utilisateur ou locataire obtient sa propre phrase de passe unique. Ils se connectent tous au même SSID, mais chaque clé unique est associée à un VLAN spécifique, ce qui vous offre une isolation réseau sans la complexité de gérer plusieurs SSID. cnMaestro prend en charge jusqu'à 2 000 entrées ePSK par WLAN. Chaque ePSK peut se voir attribuer un ID de VLAN spécifique, une limite de débit et une date d'expiration. Cela le rend idéal pour les environnements multi-locataires - pensez à un centre de conférence où chaque exposant dispose de son propre segment de réseau isolé, ou à un immeuble résidentiel en colocation où chaque résident dispose de son propre réseau privé. Pour configurer l'ePSK dans cnMaestro, accédez à Configuration, WiFi Profiles, WLANs. Créez un nouveau WLAN. Définissez la sécurité sur WPA2 Pre-Shared Key. Activez l'option ePSK. Vous pouvez ensuite ajouter des entrées ePSK individuelles manuellement, ou utiliser l'API cnMaestro pour les provisionner par programmation - ce qui est l'approche recommandée pour les déploiements à grande échelle. Pour chaque entrée ePSK, définissez la phrase de passe, l'ID de VLAN attribué et, en option, la limite de débit et l'expiration. Lorsqu'un appareil se connecte à l'aide de cette phrase de passe, l'AP Cambium le place automatiquement sur le VLAN attribué. Aucun RADIUS n'est requis pour le flux ePSK lui-même - l'attribution du VLAN est gérée localement par l'AP en fonction de la phrase de passe utilisée. Purple s'intègre à ce modèle en gérant le cycle de vie des ePSK via l'API cnMaestro. Purple peut provisionner de nouvelles entrées ePSK lorsqu'un nouveau locataire est intégré, mettre à jour l'attribution du VLAN, définir des dates d'expiration et révoquer l'accès lorsqu'un locataire part. Cela supprime la charge de travail manuelle liée à la gestion de centaines ou de milliers de clés individuelles. Voyons maintenant ce qui peut mal tourner et comment l'éviter. Le piège le plus courant est le walled garden. Si vos entrées de walled garden sont incomplètes, la redirection vers le Captive Portal n'aboutit jamais. Les invités voient une expiration de connexion, pas une page de connexion. Testez toujours avec un nouvel appareil - pas un qui s'est déjà connecté auparavant - et vérifiez que le portail Purple se charge avant l'authentification. Vérifiez que la résolution DNS fonctionne pour le domaine du portail Purple depuis l'état de pré-authentification. Deuxièmement : les incompatibilités de secret partagé RADIUS. Dans les grands déploiements multi-sites, il est facile d'avoir un secret partagé configuré différemment dans cnMaestro par rapport à ce que Purple a enregistré. Vérifiez toujours le secret partagé des deux côtés avant la mise en service. Utilisez un secret fort, généré de manière aléatoire - d'au moins 32 caractères - et stockez-le dans un gestionnaire de secrets, pas dans un tableur. Troisièmement : la comptabilisation RADIUS. Ne l'impassez pas. Les enregistrements de comptabilisation sont ce que Purple utilise pour générer des analyses de session - temps de séjour, fréquence des visites, type d'appareil. Configurez la comptabilisation RADIUS sur le port UDP 1813 dans cnMaestro. Sans cela, vous perdez la valeur analytique fournie par Purple. C'est une étape de configuration de cinq minutes. Quatrièmement : le trunking VLAN. Pour que l'affectation dynamique des VLAN fonctionne, les VLAN doivent être trunkés sur les ports du switch connectés à vos AP Cambium. Si le VLAN 100 pour les invités n'est pas autorisé sur le trunk, les invités authentifiés n'obtiendront pas d'adresse IP et sembleront n'avoir aucun accès internet, même après une authentification réussie. Vérifiez la configuration du trunk de votre switch avant de tester. Cinquièmement : conflits de plages de VLAN ePSK. Assurez-vous que votre plage de VLAN ePSK n'entre pas en conflit avec les VLAN existants de votre réseau - en particulier les VLAN de gestion ou les VLAN d'infrastructure. Documentez votre allocation de VLAN avant de commencer. Sixièmement : version du firmware. Assurez-vous que vos AP cnPilot utilisent la version de firmware 6.0 ou ultérieure pour bénéficier d'un support complet des hotspots externes et des fonctionnalités ePSK. Les versions antérieures du firmware présentent des problèmes connus concernant le comportement de redirection du Captive Portal. Passons maintenant à quelques questions rapides. Puis-je utiliser Purple avec Cambium sans RADIUS - avec une simple redirection ? Oui, mais vous perdez l'affectation dynamique des VLAN et les données de comptabilisation des sessions. Pour tout ce qui va au-delà d'une simple page d'accueil, RADIUS est fortement recommandé. Est-ce que Purple prend en charge le WPA3 sur les AP Cambium ? Oui. L'authentification par portail de Purple est compatible avec le WPA3-SAE sur l'SSID. Le flux RADIUS est indépendant du protocole de sécurité sans fil. Puis-je gérer Purple sur plusieurs sites Cambium à partir d'un seul compte Purple ? Absolument. L'architecture multi-sites de Purple est conçue exactement pour cela. Chaque site correspond à un site dans Purple, et les politiques réseau de cnMaestro se déploient de manière fluide sur l'ensemble d'un parc national. Combien d'entrées ePSK cnMaestro peut-il prendre en charge ? Jusqu'à 2 000 par WLAN. Pour les déploiements nécessitant plus d'entrées, utilisez une approche basée sur RADIUS pour la gestion des clés. En résumé : l'intégration entre Cambium cnMaestro et Purple WiFi est une architecture éprouvée qui offre un WiFi invité avec capture de données, authentification RADIUS, segmentation dynamique des VLAN et analyses complètes - le tout géré de manière centralisée via la console cloud de cnMaestro. Les étapes clés pour lancer cette solution : configurez votre WLAN invité dans cnMaestro en activant le Hotspot Externe et en saisissant l'URL du portail Purple, ajoutez les détails du serveur RADIUS de Purple pour l'authentification et la comptabilisation, configurez vos entrées de walled garden, vérifiez le trunking VLAN sur vos switchs et testez avec un nouvel appareil avant la mise en production. Pour les déploiements multi-locataires, configurez l'ePSK sur un WLAN dédié, attribuez des ID de VLAN par locataire et utilisez l'API de cnMaestro pour la gestion du cycle de vie à grande échelle. Le retour sur investissement est simple. La plateforme d'analyse de Purple transforme votre WiFi invité d'un centre de coûts en un actif de données de premier niveau. Harrods a obtenu un retour sur investissement marketing de 57 fois grâce au déploiement de son WiFi invité Purple. AGS Airports a généré un retour sur investissement de 842 %. Associé à l'infrastructure de qualité professionnelle de Cambium, vous bénéficiez d'une solution qui s'adapte d'un site unique à un parc national sans modification d'architecture. Pour vos prochaines étapes : obtenez les détails du serveur RADIUS de Purple auprès de votre responsable de compte Purple, accédez à la configuration WLAN cnMaestro pour votre SSID invité, et parcourez la liste de contrôle de configuration. La plupart des déploiements sur site unique sont mis en service en moins d'une journée. Merci pour votre écoute. Si vous souhaitez approfondir la conception de Captive Portal, la stratégie de segmentation VLAN ou la gestion du cycle de vie ePSK, la documentation de Purple et l'équipe d'assistance sont vos meilleurs interlocuteurs.