Intégration de Cambium Networks cnPilot et cnMaestro avec Purple WiFi

Ce guide de référence détaille l'intégration des points d'accès Cambium Networks cnPilot et du contrôleur cloud cnMaestro avec la plateforme d'intelligence Purple WiFi. Il couvre l'architecture, la configuration du Captive Portal, les exigences de walled garden, le WiFi personnel en 802.1X, et la segmentation VLAN dynamique à l'aide de Cambium ePSK pour les environnements multi-locataires.

📖 5 min de lecture📝 1,178 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast

Intégration de Cambium Networks cnPilot et cnMaestro avec Purple WiFi. Un guide pour les consultants.

Bienvenue. Si vous gérez un environnement Cambium Networks et que l'on vous a demandé de proposer une expérience WiFi invité qui capture des données, stimule le marketing et reste conforme — ce guide est exactement ce qu'il vous faut.

Je vais vous expliquer comment les points d'accès Cambium cnPilot, le contrôleur cloud cnMaestro et Purple WiFi s'articulent ensemble. Nous aborderons l'architecture, le flux d'authentification RADIUS, la configuration du walled garden, le WiFi sécurisé pour le personnel à l'aide de la norme 802.1X, et la segmentation multi-tenant via la fonctionnalité ePSK de Cambium avec attribution dynamique de VLAN.

Que vous gériez un parc hôtelier, un portefeuille de commerces de détail, un centre de conférences ou un campus du secteur public, les principes restent les mêmes. Entrons dans le vif du sujet.

Tout d'abord, une présentation rapide des deux plateformes.

Cambium Networks produit la gamme de points d'accès WiFi d'entreprise cnPilot — les e410, e425H, e430H et e505 pour les déploiements intérieurs et extérieurs. Ces AP sont gérés de manière centralisée via cnMaestro, la plateforme de gestion cloud de Cambium. cnMaestro vous offre une visibilité centralisée, une gestion de la configuration et des mises à jour de firmware sur l'ensemble de votre parc d'AP — qu'il s'agisse d'une poignée d'appareils dans un seul lieu ou de milliers d'AP sur un territoire national.

Purple WiFi est une plateforme d'intelligence WiFi invité pour les entreprises. Elle gère le Captive Portal — la page d'accueil personnalisée que vos invités voient lorsqu'ils se connectent — et fait également office de serveur d'authentification RADIUS, de moteur de capture de données et de plateforme d'automatisation du marketing. Purple fonctionne sur 80 000 sites actifs et a traité 440 millions de connexions rien qu'en 2024. L'association de Cambium cnMaestro et de Purple vous offre une infrastructure WiFi invité de niveau production, à la fois techniquement robuste et commercialement performante.

Parlons maintenant de l'architecture d'intégration.

Le mécanisme central est une redirection vers un Captive Portal combinée à une authentification RADIUS. Voici comment fonctionne le flux en pratique.

L'appareil d'un invité s'associe à votre SSID invité. Ce SSID est configuré dans cnMaestro comme un réseau ouvert — sans clé pré-partagée pour les invités. L'AP Cambium intercepte la première requête HTTP de l'appareil et la redirige vers l'URL du Captive Portal de Purple. Cette redirection est configurée dans cnMaestro sous les paramètres d'accès invité du WLAN, où vous définissez l'URL de la page externe sur le point de terminaison du portail de site Purple.

L'invité interagit ensuite avec le portail Purple. Il peut s'authentifier via un réseau social, un e-mail, une vérification par SMS ou un formulaire personnalisé. Une fois le flux d'authentification terminé, le backend de Purple renvoie un message RADIUS Access-Accept à l'AP Cambium sur le port UDP 1812. L'AP fait alors passer l'appareil de l'état de pré-authentification à un accès réseau complet.

Laissez-moi vous guider à travers les étapes de configuration exactes dans cnMaestro.

Naviguez vers Configuration, puis Profils WiFi, puis WLANs. Créez un nouveau WLAN pour votre réseau invité. Définissez le nom du SSID — par exemple "Hotel Guest WiFi" — et configurez la sécurité sur Open. Sous Accès Invité, activez l'option External Hotspot. C'est le paramètre clé qui indique à cnMaestro de rediriger les clients non authentifiés vers un Captive Portal externe.

Définissez l'URL de la page externe sur l'URL du portail de votre site Purple. Activez l'authentification RADIUS et saisissez l'adresse IP du serveur RADIUS de Purple, le secret partagé, puis configurez le port d'authentification sur UDP 1812. Activez la comptabilisation RADIUS sur UDP 1813 — ceci est essentiel pour que les analyses de Purple fonctionnent correctement. Sans enregistrements de comptabilisation, Purple ne peut pas générer de données de session, de métriques de temps de séjour ou d'analyses de fréquence de visite.

Passons maintenant au walled garden (espace sécurisé). Il s'agit de la liste des domaines et des adresses IP que les appareils invités peuvent atteindre avant de s'authentifier. Vous devez inscrire sur liste blanche le domaine du portail de Purple et tous les points de terminaison CDN utilisés pour diffuser les ressources du portail. Vous devez également inscrire sur liste blanche tous les domaines des fournisseurs d'authentification — si vous utilisez la connexion sociale via Google ou Facebook, leurs domaines OAuth doivent figurer dans le walled garden. Un walled garden mal configuré est la cause la plus fréquente d'échec du Captive Portal. L'appareil invité doit pouvoir résoudre le DNS et atteindre le portail Purple via HTTPS avant de pouvoir s'authentifier.

Dans cnMaestro, le walled garden est configuré sous les paramètres de l'External Hotspot. Ajoutez des entrées pour le domaine du portail de Purple, tous les domaines des fournisseurs de connexion sociale et tous les domaines des passerelles de paiement si vous proposez des offres WiFi payantes.

Parlons maintenant du WiFi sécurisé pour le personnel utilisant la norme IEEE 802.1X.

Pour les réseaux du personnel, vous ne voulez pas de Captive Portal. Vous souhaitez une authentification basée sur des certificats ou des identifiants qui s'effectue de manière transparente au niveau de l'appareil. Dans cnMaestro, créez un WLAN distinct pour le personnel. Configurez la sécurité sur WPA2-Enterprise. Configurez les détails du serveur RADIUS — à nouveau, l'IP du serveur RADIUS de Purple sur UDP 1812. Les appareils du personnel s'authentifient à l'aide d'EAP-PEAP avec des identifiants (nom d'utilisateur et mot de passe), ou d'EAP-TLS avec des certificats d'appareil pour un niveau de sécurité maximal.

Purple s'intègre à Microsoft Entra ID, Okta et Google Workspace en tant que fournisseurs d'identité. Cela signifie que votre personnel peut s'authentifier au WiFi en utilisant ses identifiants d'entreprise existants — aucun mot de passe WiFi distinct à gérer. Purple valide les identifiants auprès de votre fournisseur d'identité et renvoie un Access-Accept au point d'accès Cambium. L'attribution dynamique de VLAN place ensuite l'appareil authentifié du personnel sur le bon VLAN du personnel, l'isolant ainsi du trafic invité.

Passons maintenant à la segmentation multi-tenant à l'aide de Cambium ePSK.

L'ePSK — enhanced pre-shared key — est l'implémentation par Cambium de ce que l'industrie appelle PPSK ou iPSK. Le concept est simple : au lieu d'un seul mot de passe partagé pour tout un SSID, chaque utilisateur ou locataire obtient sa propre clé d'accès unique. Tous se connectent au même SSID, mais chaque clé unique est associée à un VLAN spécifique, ce qui vous offre une isolation réseau sans la complexité liée à la gestion de multiples SSIDs.

cnMaestro prend en charge jusqu'à 2 000 entrées ePSK par WLAN. Chaque ePSK peut se voir attribuer un ID de VLAN spécifique, une limite de débit et une date d'expiration. Cela le rend idéal pour les environnements multi-locataires — pensez à un centre de conférence où chaque exposant dispose de son propre segment de réseau isolé, ou à un immeuble résidentiel locatif où chaque résident dispose de son propre réseau privé.

Pour configurer l'ePSK dans cnMaestro, accédez à Configuration, WiFi Profiles, WLANs. Créez un nouveau WLAN. Définissez la sécurité sur WPA2 Pre-Shared Key. Activez l'option ePSK. Vous pouvez ensuite ajouter des entrées ePSK individuelles manuellement, ou utiliser l'API cnMaestro pour les provisionner par programmation — ce qui est l'approche recommandée pour les déploiements à grande échelle.

Pour chaque entrée ePSK, définissez la clé d'accès, l'ID de VLAN attribué et, en option, la limite de débit et l'expiration. Lorsqu'un appareil se connecte à l'aide de cette clé d'accès, l'AP Cambium le place automatiquement sur le VLAN attribué. Aucun serveur RADIUS n'est requis pour le flux ePSK lui-même — l'attribution du VLAN est gérée localement par l'AP en fonction de la clé d'accès utilisée.

Purple s'intègre à ce modèle en gérant le cycle de vie des ePSK via l'API cnMaestro. Purple peut provisionner de nouvelles entrées ePSK lors de l'intégration d'un nouveau locataire, mettre à jour l'attribution du VLAN, définir des dates d'expiration et révoquer l'accès lorsqu'un locataire s'en va. Cela élimine la charge de travail manuelle liée à la gestion de centaines ou de milliers de clés individuelles.

Passons maintenant aux problèmes potentiels et à la manière de les éviter.

Le piège le plus courant concerne le walled garden. Si vos entrées de walled garden sont incomplètes, la redirection vers le Captive Portal ne se termine jamais. Les invités voient un délai d'attente de connexion dépassé, et non une page de connexion. Testez toujours avec un nouvel appareil — pas un appareil qui s'est déjà connecté auparavant — et vérifiez que le portail Purple se charge avant l'authentification. Vérifiez que la résolution DNS fonctionne pour le domaine du portail Purple depuis l'état de pré-authentification.

Deuxièmement : les incohérences de secret partagé RADIUS. Dans les grands déploiements multi-sites, il est facile d'avoir un secret partagé configuré différemment dans cnMaestro par rapport à ce que Purple a enregistré. Vérifiez toujours le secret partagé des deux côtés avant la mise en service. Utilisez un secret fort, généré de manière aléatoire — d'au moins 32 caractères — et stockez-le dans un gestionnaire de secrets, pas dans un tableur.

Troisièmement : la comptabilisation (accounting) RADIUS. Ne l'impassez pas. Les enregistrements de comptabilisation sont ce que Purple utilise pour générer les analyses de session — temps de séjour, fréquence des visites, type d'appareil. Configurez la comptabilisation RADIUS sur le port UDP 1813 dans cnMaestro. Sans cela, vous perdez la valeur analytique fournie par Purple. C'est une étape de configuration qui ne prend que cinq minutes.

Quatrièmement : le trunking VLAN. Pour que l'attribution dynamique de VLAN fonctionne, les VLAN doivent être configurés en trunk sur les ports de commutateur connectés à vos AP Cambium. Si le VLAN 100 pour les invités n'est pas autorisé sur le trunk, les invités authentifiés n'obtiendront pas d'adresse IP et sembleront ne pas avoir d'accès Internet, même après une authentification réussie. Vérifiez la configuration du trunk de votre commutateur avant de procéder aux tests.

Cinquièmement : les conflits de plage de VLAN ePSK. Assurez-vous que votre plage de VLAN ePSK n'entre pas en conflit avec les VLAN existants de votre réseau, en particulier les VLAN de gestion ou d'infrastructure. Documentez votre allocation de VLAN avant de commencer.

Sixièmement : la version du firmware. Assurez-vous que vos AP cnPilot exécutent la version 6.0 ou ultérieure du firmware pour bénéficier d'une prise en charge complète du hotspot externe et des fonctionnalités ePSK. Les versions antérieures du firmware présentent des problèmes connus avec le comportement de redirection du Captive Portal.

Passons maintenant à quelques questions rapides.

Puis-je utiliser Purple avec Cambium sans RADIUS — avec une simple redirection ? Oui, mais vous perdez l'attribution dynamique de VLAN et les données de comptabilisation des sessions. Pour tout ce qui va au-delà d'une simple page d'accueil, RADIUS est fortement recommandé.

Est-ce que Purple prend en charge le WPA3 sur les AP Cambium ? Oui. L'authentification basée sur le portail de Purple est compatible avec le WPA3-SAE sur l'SSID. Le flux RADIUS est indépendant du protocole de sécurité sans fil.

Puis-je gérer Purple sur plusieurs sites Cambium à partir d'un seul compte Purple ? Absolument. L'architecture multi-sites de Purple est conçue exactement pour cela. Chaque site correspond à un lieu dans Purple, et les politiques réseau de cnMaestro se déploient de manière fluide à l'échelle d'un parc national.

Combien d'entrées ePSK cnMaestro peut-il prendre en charge ? Jusqu'à 2 000 par WLAN. Pour les déploiements nécessitant davantage d'entrées, utilisez une approche basée sur RADIUS pour la gestion des clés.

En résumé : l'intégration de Cambium cnMaestro et Purple WiFi est une architecture éprouvée qui offre un WiFi invité avec capture de données, authentification RADIUS, segmentation dynamique des VLAN et analyses complètes — le tout géré de manière centralisée via la console cloud de cnMaestro.

Les étapes clés pour la mise en service : configurez votre WLAN invité dans cnMaestro en activant le Hotspot Externe et en renseignant l'URL du portail Purple, ajoutez les détails du serveur RADIUS de Purple pour l'authentification et la comptabilisation, configurez vos entrées de walled garden, vérifiez le trunking VLAN sur vos commutateurs, et testez avec un nouvel appareil avant le lancement officiel.

Pour les déploiements multi-locataires, configurez l'ePSK sur un WLAN dédié, attribuez des ID de VLAN par locataire, et utilisez l'API de cnMaestro pour la gestion du cycle de vie à grande échelle.

Le retour sur investissement est évident. La plateforme d'analyse de Purple transforme votre WiFi invité d'un centre de coûts en un actif de données de premier niveau. Harrods a obtenu un retour sur investissement marketing de 57 fois grâce à son déploiement de WiFi invité Purple. AGS Airports a généré un retour sur investissement de 842 %. Associé à l'infrastructure de classe entreprise de Cambium, vous obtenez une solution qui s'adapte d'un site unique à un parc national sans modification d'architecture.

Pour les étapes suivantes : obtenez les détails du serveur RADIUS de Purple auprès de votre responsable de compte Purple, ouvrez la configuration WLAN cnMaestro pour votre SSID invité, et passez en revue la liste de contrôle de configuration. La plupart des déploiements sur site unique sont opérationnels en une journée.

Merci pour votre attention. Si vous souhaitez approfondir la conception de Captive Portal, la stratégie de segmentation VLAN ou la gestion du cycle de vie ePSK, la documentation et l'équipe d'assistance de Purple sont vos meilleurs interlocuteurs.

Points clés à retenir

✓Intégrez les points d'accès Cambium cnPilot avec Purple WiFi en utilisant la redirection HTTP standard et les protocoles RADIUS.
✓Configurez la redirection du Captive Portal dans cnMaestro sous les paramètres d'accès invité WLAN (WLAN Guest Access).
✓Assurez-vous que le walled garden inclut les domaines de Purple et tous les points de terminaison des fournisseurs d'identité requis.
✓Activez le RADIUS Accounting sur le port UDP 1813 pour alimenter les tableaux de bord analytiques de Purple avec les données de session.
✓Sécurisez les réseaux du personnel à l'aide de l'authentification 802.1X, en liant l'accès WiFi aux identités de l'entreprise.
✓Utilisez Cambium ePSK pour les environnements multi-locataires afin de segmenter le trafic en toute sécurité sur un seul SSID.
✓Automatisez la gestion du cycle de vie des ePSK grâce à l'intégration de Purple avec l'API cnMaestro.

Résumé exécutif

Pour les entreprises standardisant leur infrastructure sur Cambium Networks, le déploiement d'une solution WiFi invité de niveau production nécessite une intégration étroite entre la couche d'accès sans fil et la plateforme de gestion des identités. Ce guide fournit un modèle définitif pour intégrer les points d'accès Cambium cnPilot et le contrôleur cloud cnMaestro avec Purple WiFi. En combinant le matériel évolutif de Cambium avec le Captive Portal, l'authentification RADIUS et les capacités d'analyse de Purple, les équipes informatiques peuvent transformer leurs réseaux sans fil d'un centre de coûts en un actif stratégique. L'architecture détaillée ici prend en charge tout, de l'accès invité de base à la segmentation multi-locataire complexe à l'aide des clés pré-partagées privées (PPSK) de Cambium, offrant une connectivité sécurisée, conforme et riche en données dans les environnements de l'hôtellerie, du commerce de détail et du secteur public.

Approfondissement technique

L'intégration entre Cambium Networks et Purple repose sur des protocoles de redirection HTTP et RADIUS standard. Cette approche neutre vis-à-vis des fournisseurs garantit une sécurité robuste, une compatibilité multiplateforme et une gestion centralisée via cnMaestro.

Architecture d'intégration

Le mécanisme central implique une redirection de Captive Portal gérée par l'AP Cambium, associée à une authentification RADIUS gérée par Purple.

Lorsqu'un appareil invité s'associe à un SSID invité ouvert, l'AP Cambium intercepte la requête HTTP initiale. Au lieu d'acheminer le trafic vers Internet, l'AP redirige l'appareil vers l'URL du Captive Portal hébergé de Purple. L'invité effectue le parcours d'authentification sur la page d'accueil de Purple, qui prend en charge la connexion via les réseaux sociaux, l'inscription par e-mail et les formulaires de capture de données personnalisés.

Une fois l'authentification réussie, le backend de Purple envoie un message RADIUS Access-Accept à l'AP Cambium sur le port UDP 1812. Ce message signale à l'AP de faire passer l'appareil client de l'état de zone d'accès restreint (walled garden) de pré-authentification à un accès réseau complet. Parallèlement, l'AP envoie des données de comptabilité RADIUS à Purple sur le port UDP 1813, alimentant les tableaux de bord analytiques de Purple avec des informations sur la durée de la session, l'utilisation des données et le type d'appareil.

Exigences de la zone d'accès restreint (Walled Garden)

La zone d'accès restreint (walled garden) est un composant essentiel du flux de Captive Portal. Elle définit les adresses IP et les domaines spécifiques qu'un appareil non authentifié peut atteindre. Si la zone d'accès restreint est mal configurée, l'appareil ne peut pas charger le portail Purple, ce qui entraîne une expiration du délai de connexion.

Pour que l'intégration fonctionne, le walled garden doit inclure les domaines de portail de Purple, tous les points de terminaison du réseau de diffusion de contenu (CDN) hébergeant les ressources du portail, ainsi que les domaines de tous les fournisseurs d'identité pris en charge (tels que Facebook, Google ou Microsoft Entra ID).

Segmentation multi-locataire avec Cambium ePSK

L'implémentation par Cambium des clés pré-partagées privées, sous la marque ePSK, permet aux architectes réseau de segmenter le trafic en toute sécurité sans diffuser plusieurs SSIDs.

Avec ePSK, un seul SSID prend en charge jusqu'à 2 000 phrases de passe uniques. Chaque phrase de passe est associée à un VLAN spécifique. Lorsqu'un utilisateur se connecte à l'aide de sa clé unique, l'AP Cambium place automatiquement son trafic sur le VLAN attribué. Cette fonctionnalité est précieuse pour les environnements multi-locataires, tels que les espaces de coworking ou les bâtiments résidentiels, où chaque locataire a besoin d'un segment de réseau isolé. Purple s'intègre à cette architecture en gérant le cycle de vie des ePSK via l'API cnMaestro, automatisant ainsi le provisionnement, l'attribution des VLAN et la révocation des identifiants des locataires.

Guide d'implémentation

Le déploiement de l'intégration Cambium et Purple nécessite une configuration précise au sein de la console cloud cnMaestro. Suivez ces étapes pour établir le service de base Guest WiFi.

1. Configurer le WLAN Invité

Naviguez vers le menu Configuration dans cnMaestro, sélectionnez WiFi Profiles, puis ouvrez l'onglet WLANs. Créez un nouveau profil WLAN.

Name / SSID : Définissez le nom du réseau invité (par ex., "Venue Guest WiFi").
Security : Réglez sur Open.
Client Isolation : Réglez sur Enable pour empêcher les appareils invités de communiquer entre eux sur le sous-réseau local.

2. Activer le Hotspot Externe

Dans la configuration du WLAN, localisez la section Guest Access.

Enable Guest Access : Cochez cette case.
Portal Type : Sélectionnez External Hotspot.
External Page URL : Saisissez l'URL spécifique du Captive Portal fournie par votre responsable de compte Purple.

3. Configurer l'authentification et la comptabilisation RADIUS

Dans cette même section Guest Access, configurez les paramètres RADIUS.

Authentication Server : Saisissez l'adresse IP du serveur RADIUS principal de Purple.
Authentication Port : 1812
Accounting Server : Saisissez l'adresse IP du serveur RADIUS principal de Purple.
Accounting Port : 1813
Shared Secret : Saisissez le secret partagé complexe fourni par Purple. Assurez-vous qu'il correspond exactement sur les deux plateformes.

4. Définir le Walled Garden

Sous les paramètres de l'External Hotspot, renseignez la liste du walled garden. Vous devez ajouter les domaines principaux de Purple ainsi que les domaines spécifiques requis pour les méthodes d'authentification choisies (par ex., les fournisseurs de connexion sociale).

5. Configurer le 802.1X pour le WiFi du personnel

Pour sécuriser l'accès du personnel, créez un profil WLAN distinct dans cnMaestro.

Sécurité : Configurez sur WPA2-Enterprise.
Serveur RADIUS : Pointez vers l'adresse IP du serveur RADIUS de Purple sur le port 1812.

Le personnel s'authentifie à l'aide de ses identifiants d'entreprise via Microsoft Entra ID ou Google Workspace, que Purple valide. Purple renvoie ensuite un attribut RADIUS Tunnel-Private-Group-ID, indiquant à l'AP Cambium de placer l'appareil du personnel sur le VLAN d'entreprise sécurisé.

Bonnes pratiques

Trunking VLAN : Assurez-vous que tous les VLAN requis (Invité, Personnel, Gestion) sont acheminés en mode trunk sur les ports du commutateur connectés aux AP Cambium. Si le VLAN est manquant sur le trunk, les clients authentifiés ne parviendront pas à obtenir une adresse IP via DHCP.
Cohérence du firmware : Standardisez votre parc d'AP sur la version 6.0 ou ultérieure du firmware cnPilot. Cette version offre le support le plus stable pour la redirection vers un hotspot externe et la fonctionnalité ePSK.
L'Accounting est obligatoire : Ne désactivez jamais l'accounting RADIUS. Purple s'appuie entièrement sur le flux d'accounting UDP 1813 pour générer les métriques de temps de présence, les données de fréquence des visites et les journaux de conformité.
Évitez les PSK locaux pour le personnel : Remplacez les anciens mots de passe partagés par une authentification 802.1X pour les réseaux du personnel. Cette approche est conforme aux exigences de la norme ISO 27001 en liant l'accès au réseau à des identités individuelles et auditables.

Dépannage et atténuation des risques

Lorsque des problèmes d'intégration surviennent, ils se manifestent généralement lors de la redirection initiale vers le Captive Portal ou de la phase d'authentification RADIUS.

Échec du chargement du portail : Il s'agit presque toujours d'un problème de walled garden. Si un appareil invité se connecte au SSID mais reçoit un délai d'attente dépassé au lieu de la page de connexion, l'AP bloque l'accès au domaine du portail Purple. Vérifiez vos entrées de walled garden dans cnMaestro et assurez-vous que la résolution DNS est autorisée avant l'authentification.
Échec de l'authentification (erreur d'identifiants invalides) : Vérifiez le secret partagé RADIUS. Une non-correspondance entre cnMaestro et Purple entraînera le rejet silencieux des demandes d'authentification par le serveur RADIUS.
L'appareil s'authentifie mais n'a pas d'accès Internet : Cela indique un échec dans l'attribution dynamique du VLAN ou dans le processus DHCP. Vérifiez que Purple renvoie le bon ID de VLAN dans la réponse RADIUS et confirmez que la configuration du trunking du port du commutateur autorise ce VLAN.

ROI et impact commercial

Le déploiement de Purple WiFi sur l'infrastructure Cambium Networks transforme un simple service réseau en un actif commercial mesurable. En capturant des données de première main au moment de l'authentification, les établissements peuvent créer des profils de visiteurs complets et mener des campagnes marketing ciblées. Par exemple, Harrods a implémenté Purple Guest WiFi et a obtenu un ROI marketing de 57x en intégrant les données capturées à leur programme de fidélité. De même, AGS Airports a généré un ROI de 842 % en utilisant une bande passante hiérarchisée et un engagement ciblé des passagers. En se standardisant sur Cambium cnMaestro et Purple, les leaders informatiques peuvent offrir une connectivité sécurisée et conforme, tout en fournissant simultanément à l'équipe marketing les données nécessaires pour générer des revenus.

Définitions clés

Captive Portal

Une page de connexion personnalisée qui exige des utilisateurs qu'ils s'authentifient ou acceptent les conditions d'utilisation avant d'accéder à un réseau WiFi public ou d'entreprise.

Utilisé dans les déploiements de WiFi invités pour collecter des données de première main, appliquer les politiques d'utilisation acceptable et présenter l'image de marque du site avant d'accorder l'accès à Internet.

RADIUS

Remote Authentication Dial-In User Service ; un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (AAA).

Le protocole utilisé par les points d'accès Cambium pour communiquer avec Purple afin de vérifier les identifiants des utilisateurs et de signaler les données de session.

Walled Garden

Un environnement limité qui contrôle l'accès des utilisateurs aux contenus et services web avant l'authentification.

Requis dans cnMaestro pour permettre aux appareils des invités d'accéder à la page d'accueil de Purple et aux domaines des fournisseurs d'identité (comme Facebook ou Google) avant d'avoir un accès complet à Internet.

ePSK

Enhanced Pre-Shared Key ; l'implémentation par Cambium de clés pré-partagées privées, permettant des phrases de passe uniques pour chaque utilisateur sur un seul SSID.

Utilisé pour fournir des segments de réseau sécurisés et isolés pour les environnements multi-locataires sans diffuser de nombreux SSIDs.

Dynamic VLAN Assignment

Le processus consistant à placer un appareil authentifié sur un réseau local virtuel (VLAN) spécifique en fonction des attributs RADIUS plutôt que du port physique ou du SSID.

Permet au service informatique d'utiliser un seul SSID tout en séparant de manière sécurisée le trafic des invités de celui du personnel ou de la direction.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, fournissant un mécanisme d'authentification aux appareils souhaitant se connecter à un LAN ou un WLAN.

La norme utilisée pour le WiFi sécurisé du personnel, remplaçant les mots de passe partagés par des identifiants d'entreprise individuels validés auprès d'un fournisseur d'identité.

cnMaestro

La plateforme de gestion cloud ou sur site de Cambium Networks pour le contrôle centralisé de l'infrastructure réseau filaire et sans fil.

L'interface où les architectes réseau configurent les profils WLAN, les paramètres RADIUS et les walled gardens requis pour l'intégration de Purple.

First-Party Data

Informations qu'une entreprise collecte directement auprès de ses clients et dont elle est l'entière propriétaire.

Le principal résultat commercial d'un déploiement de WiFi invité Purple, utilisé pour mener des campagnes marketing et comprendre le comportement des visiteurs.

Exemples concrets

Un hôtel de 200 chambres doit déployer un réseau WiFi sécurisé pour les clients, le personnel et un centre de conférences. Les clients ont besoin d'un Captive Portal personnalisé, le personnel nécessite un accès sécurisé aux systèmes internes, et le centre de conférences exige des réseaux isolés pour les différents organisateurs d'événements. Comment l'architecte réseau doit-il configurer l'environnement Cambium cnMaestro pour prendre cela en charge à l'aide de Purple ?

L'architecte doit déployer trois profils WLAN distincts dans cnMaestro.

WLAN Invités : Configuré comme un réseau ouvert avec l'option « External Hotspot » activée. L'URL de redirection pointe vers le Captive Portal de Purple. L'authentification RADIUS (UDP 1812) et la comptabilité (UDP 1813) pointent vers les serveurs de Purple. Le walled garden inclut les domaines de Purple.
WLAN Personnel : Configuré en WPA2-Enterprise (802.1X). Le RADIUS pointe vers Purple, qui s'intègre à l'ID Microsoft Entra de l'hôtel. Le personnel s'authentifie avec ses identifiants d'entreprise, et Purple lui attribue le VLAN Personnel.
WLAN Conférence : Configuré avec WPA2 Pre-Shared Key et Cambium ePSK activé. Purple fournit des phrases de passe ePSK uniques pour chaque organisateur d'événements via l'API cnMaestro, en attribuant chaque clé à un VLAN isolé (par exemple, VLAN 301, 302).

Commentaire de l'examinateur : Cette approche associe correctement les capacités techniques de Cambium et de Purple aux exigences de l'entreprise. Elle isole le trafic de manière sécurisée en utilisant l'attribution dynamique de VLAN et l'ePSK, évitant ainsi la dégradation du spectre causée par la diffusion de multiples SSID pour chaque locataire de la conférence.

Une chaîne de magasins a déployé des points d'accès Cambium e410 et a configuré le Captive Portal de Purple. Cependant, les clients signalent que la page d'accueil n'apparaît jamais sur leurs smartphones ; à la place, le navigateur affiche un délai d'attente de connexion dépassé. Quelle est la cause principale et comment la résoudre ?

La cause principale est une configuration incomplète du walled garden dans cnMaestro. Le point d'accès Cambium bloque le trafic HTTP/HTTPS requis pour charger le portail Purple avant que l'utilisateur ne soit authentifié.

Pour résoudre ce problème, l'ingénieur réseau doit se connecter à cnMaestro, accéder au profil WLAN Invités et mettre à jour la liste du walled garden de l'External Hotspot. Il doit ajouter les domaines de portail spécifiques de Purple ainsi que tous les points de terminaison CDN associés. Une fois cette configuration appliquée, les appareils non authentifiés pourront accéder au portail et finaliser le processus de connexion.

Commentaire de l'examinateur : Les mauvaises configurations du walled garden sont la cause la plus fréquente d'échec des portails captifs. Cette solution identifie correctement les contraintes de l'état de pré-authentification et fournit le chemin de configuration exact dans cnMaestro pour corriger le problème.

Questions d'entraînement

Q1. Vous déployez Purple Guest WiFi dans 50 points de vente à l'aide de points d'accès Cambium e505. Les utilisateurs peuvent se connecter au SSID et voir la splash page, mais après s'être connectés, ils ne peuvent pas accéder à Internet. Vous vérifiez que Purple envoie bien le message Access-Accept. Quel est le problème d'infrastructure le plus probable ?

Conseil : Considérez ce qui se passe au niveau du commutateur lorsqu'un appareil tente d'obtenir une adresse IP après l'authentification.

Voir la réponse type

Le problème le plus probable est l'absence de trunking VLAN sur les ports du commutateur connectés aux points d'accès Cambium. Bien que le point d'accès autorise l'appareil, si le VLAN Invité attribué n'est pas autorisé sur le trunk du commutateur, l'appareil ne peut pas joindre le serveur DHCP pour obtenir une adresse IP, ce qui entraîne une absence d'accès Internet.

Q2. Un campus universitaire souhaite utiliser un seul SSID pour tous les étudiants dans les dortoirs, mais exige que les appareils de chaque étudiant soient isolés dans leur propre segment de réseau privé pour permettre la diffusion (casting) vers leur smart TV spécifique. Comment implémentez-vous cela en utilisant Cambium et Purple ?

Conseil : Examinez l'implémentation des clés pré-partagées privées de Cambium.

Voir la réponse type

Implémentez Cambium ePSK (Enhanced Pre-Shared Key) sur le WLAN du dortoir. Purple gérera le cycle de vie de l'ePSK via l'API cnMaestro, en générant une phrase de passe unique pour chaque étudiant. Lorsqu'un étudiant connecte ses appareils à l'aide de sa clé spécifique, le point d'accès Cambium les affecte à un VLAN unique, créant ainsi un réseau privé isolé.

Q3. Lors d'un déploiement pilote, le tableau de bord analytique de Purple affiche un temps de présence et des mesures d'utilisation des données nuls pour le site de test Cambium, même si les utilisateurs s'authentifient et naviguent sur Internet avec succès. Quelle étape de configuration a été omise dans cnMaestro ?

Conseil : Les analyses nécessitent des données de session, qui sont gérées par un port UDP spécifique dans la configuration AAA.

Voir la réponse type

Le RADIUS Accounting n'a pas été configuré. L'ingénieur réseau doit activer le RADIUS Accounting dans le profil WLAN Invité de cnMaestro et le pointer vers le serveur RADIUS de Purple sur le port UDP 1813. Sans cela, Purple gère uniquement l'authentification et ne reçoit aucune donnée sur le cycle de vie des sessions.

Continuer la lecture de cette série

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Intégration des points d'accès Grandstream GWN avec Purple WiFi

Ce guide de référence technique officiel détaille comment intégrer les points d'accès Grandstream GWN avec le Guest WiFi de Purple et sa plateforme d'analyse. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage dynamique des VLAN, et la segmentation PPSK multi-tenant - offrant ainsi des instructions étape par étape directement exploitables pour les MSP et les équipes informatiques déployant du WiFi invités et personnel à grande échelle.