Passer au contenu principal
Français

Captive Portal for Aruba

Un guide de référence technique complet pour configurer les points d'accès gérés Aruba Instant (IAP) et Aruba Central afin de rediriger les utilisateurs invités vers le Captive Portal externe sécurisé et hautement performant de Purple. Ce guide couvre étape par étape la configuration du SSID invité, la redirection vers le Captive Portal externe, les paramètres d'authentification et de comptabilité du serveur RADIUS, les listes d'exceptions de walled garden et le support WISPr.

📖 11 min de lecture📝 2,686 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
CAPTIVE PORTAL FOR ARUBA: INTEGRATING PURPLE FOR ENTERPRISE GUEST WIFI Un briefing technique Purple — Environ 10 minutes [INTRODUCTION & CONTEXTE — env. 1 minute] Bienvenue dans la série de briefings techniques Purple. Je suis votre hôte et aujourd'hui, nous allons aborder un sujet qui revient dans presque toutes nos conversations sur le déploiement de réseaux sans fil en entreprise : comment configurer un Captive Portal sur l'infrastructure Aruba, et plus précisément, comment connecter ce portail à la plateforme intelligente de guest WiFi de Purple. Si vous utilisez des bornes Aruba Instant AP ou si vous gérez un parc de points d'accès via Aruba Central, cet épisode est fait pour vous. Nous allons avancer rapidement — il s'agit d'un briefing pour praticiens, pas d'un cours théorique — je suppose donc que vous maîtrisez l'écran de configuration WLAN et que vous comprenez les bases de l'authentification RADIUS. Le problème fondamental que nous résolvons est le suivant : le portail invité intégré d'Aruba est fonctionnel, mais il est limité. Il n'offre pas la capture de données marketing, les flux de consentement conformes au GDPR ou les analyses en temps réel dont les sites d'entreprise ont besoin. Le remplacer par le Captive Portal externe de Purple est la bonne décision architecturale, et aujourd'hui, je vais vous expliquer exactement comment procéder. [DEEP-DIVE TECHNIQUE — env. 5 minutes] Commençons par l'architecture. Lorsqu'un invité se connecte à votre SSID Aruba et ouvre un navigateur, l'AP intercepte cette requête HTTP sur le port TCP 80 et la redirige vers l'URL du portail externe — dans ce cas, la splash page hébergée sur le cloud de Purple. L'invité s'authentifie via le portail de Purple, qui envoie ensuite un RADIUS Access-Request aux serveurs RADIUS de Purple sur le port UDP 1812. En cas de succès, le serveur RADIUS renvoie un message Access-Accept et l'AP accorde au client un accès complet à Internet. Les enregistrements de comptabilité (accounting) sont envoyés sur le port UDP 1813 tout au long de la session. Voilà pour le flux fondamental. Passons maintenant à la configuration. Il existe deux plans de gestion avec lesquels vous pouvez travailler : Aruba Instant, qui est le modèle de contrôleur virtuel sur site exécutant ArubaOS 8.x, et Aruba Central, qui est la plateforme de gestion cloud de HPE. Les étapes de configuration sont similaires sur le principe mais diffèrent quant à l'emplacement des paramètres. Commençons par Aruba Instant sur ArubaOS 8. Tout d'abord, vous allez configurer votre serveur RADIUS. Naviguez vers Security, puis Authentication Server, et cliquez sur New. Vous aurez besoin de quatre informations provenant de la plateforme Purple : l'adresse IP du serveur principal, le port d'authentification — généralement 1812 — le port de comptabilité — généralement 1813 — et le secret partagé (shared secret). Purple fournit ces informations dans votre tableau de bord de configuration du site. Ajoutez un serveur secondaire pour la résilience ; Purple exploite une infrastructure RADIUS multirégionale, vous disposerez donc d'une sauvegarde géographiquement appropriée. Ensuite, créez le profil de Captive Portal externe. Allez dans Sécurité, puis Captive Portal, cliquez sur Nouveau et définissez le Type sur Externe. Saisissez l'URL de la splash page provenant de la configuration de votre site Purple — il s'agira d'un point de terminaison HTTPS hébergé par Purple. Définissez le port sur 443, activez Utiliser HTTPS et, étape cruciale, définissez le champ WISPr sur Activé. WISPr — c'est-à-dire l'itinérance pour fournisseur de services Internet sans fil — est le protocole qui permet aux appareils de détecter automatiquement le captive portal et de l'afficher correctement, en particulier sur les appareils iOS et Android qui utilisent la détection de captive portal en arrière-plan. Si WISPr n'est pas activé, certains appareils ne parviendront pas à déclencher le portail automatiquement. Maintenant, l'SSID Invité. Créez un nouveau WLAN, définissez l'Utilisation principale sur Invité et, dans l'onglet Sécurité, définissez le Type de splash page sur Externe — Serveur RADIUS. Associez le profil de captive portal et le serveur RADIUS que vous venez de créer. Définissez l'Intervalle de réauthentification sur une valeur logique — 1440 minutes, soit 24 heures, est un choix courant pour les environnements de l'hôtellerie. Activez l'authentification MAC si vous souhaitez que les invités de retour contournent le portail lors de leurs visites ultérieures au cours de cette période. Pour Aruba Central sur AOS-8, le flux est essentiellement le même mais accessible via l'assistant WLAN sous Appareils, Configuration, WLAN. Définissez le Niveau de sécurité sur Visiteurs, le Type sur Captive Portal externe, et créez un nouveau profil de captive portal avec l'URL de splash Purple. Ajoutez vos serveurs RADIUS principal et secondaire, activez l'accounting (comptabilité) et définissez un intervalle d'accounting de cinq minutes. Cet intervalle est important — il garantit que la plateforme d'analyse de Purple reçoit des mises à jour régulières des sessions pour des rapports précis sur le temps de présence et l'engagement. Sur AOS-10, qui est l'architecture cloud-first, il y a une différence importante : le walled garden (espace sécurisé) n'est plus configuré dans l'onglet Sécurité du WLAN. À la place, vous le configurez via les Règles d'accès. Vous créez un rôle de pré-authentification — appelez-le Connexion Invité — et ajoutez des règles d'autorisation pour chaque domaine de la liste blanche du walled garden. Ensuite, vous attribuez ce rôle en tant que Rôle de pré-authentification sur l'SSID. À propos du walled garden — c'est là que la plupart des déploiements échouent. Le walled garden est la liste des domaines que les invités non authentifiés peuvent atteindre avant d'avoir terminé le parcours sur le portail. Sans ces entrées, le portail lui-même ne se chargera pas, car l'appareil de l'invité ne pourra pas atteindre le CDN de Purple pour télécharger les éléments de la splash page. Les entrées Purple obligatoires sont : étoile point purple point ai, étoile point cloudfront point net et étoile point venuewifi point com. Si vous utilisez la connexion sociale — Google, Facebook, Apple, Microsoft — vous devrez ajouter les domaines OAuth correspondants pour chaque fournisseur. Google nécessite étoile point google point com, étoile point googleapis point com et étoile point gstatic point com. Facebook nécessite étoile point facebook point com, étoile point fbcdn point net et connect point facebook point net. Apple Sign-In nécessite étoile point apple point com et appleid point apple point com. Microsoft Entra ID nécessite étoile point microsoft point com et étoile point microsoftonline point com. Une chose importante à souligner : sur Aruba, vous pouvez activer la liste blanche automatique d'URL (Automatic URL Whitelisting) dans le profil du Captive Portal. Cette fonctionnalité ajoute dynamiquement à la liste blanche les URL référencées par la page du portail. C'est utile comme solution de repli, mais je recommande de configurer explicitement le walled garden plutôt que de s'en remettre à la liste blanche automatique en production — c'est plus prévisible et plus facile à auditer. Parlons spécifiquement des paramètres RADIUS. Les attributs clés utilisés par Purple sont : NAS-IP-Address, qui identifie votre point d'accès ou contrôleur ; Called-Station-Id, qui contient le BSSID et le SSID au format adresse-MAC:nom-du-SSID — Purple utilise cela pour associer les sessions à des lieux et points d'accès spécifiques ; et Calling-Station-Id, qui est l'adresse MAC du client. Côté comptabilisation (accounting), Acct-Session-Id fournit l'identifiant de session unique, et Acct-Status-Type contient les événements Start, Interim-Update et Stop. Assurez-vous que votre configuration Aruba envoie bien ces trois types d'événements d'accounting — certains déploiements n'envoient que Start et Stop, ce qui signifie que les analyses de Purple manquent de données de session intermédiaires nécessaires pour calculer précisément le temps de présence. [RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER — environ 2 minutes] Permettez-moi de vous présenter les recommandations pratiques que je donnerais à tout client déployant cette solution. Premièrement : testez toujours avec un appareil de test dédié avant la mise en production. Connectez-vous au SSID invité, ouvrez un navigateur sur une URL HTTP — et non HTTPS — et vérifiez que la redirection se déclenche. Si vous allez directement sur du HTTPS, la redirection ne fonctionnera pas car le point d'accès ne peut pas intercepter le trafic chiffré. C'est le motif d'appel au support numéro un que nous constatons. Deuxièmement : les règles de pare-feu. Votre VLAN de gestion des points d'accès ou votre contrôleur a besoin d'un accès UDP sortant vers les adresses IP des serveurs RADIUS de Purple sur les ports 1812 et 1813. Si vous avez un pare-feu à inspection d'état (stateful) entre vos points d'accès et Internet, assurez-vous qu'il autorise ces flux UDP. Le protocole RADIUS fonctionne sans connexion, certains pare-feu nécessitent donc des règles explicites plutôt que de s'appuyer sur l'inspection d'état. Troisièmement : la confiance des certificats. Lorsque vous configurez l'URL de la splash page en HTTPS, le point d'accès doit faire confiance au certificat présenté par le serveur du portail de Purple. Sur Aruba Central, vous devrez peut-être importer un certificat d'AC de confiance dans les paramètres globaux avant que la redirection du portail ne fonctionne correctement en HTTPS. Purple utilise des certificats provenant d'une autorité de certification largement reconnue, mais cela vaut la peine de le vérifier dans votre environnement. Quatrièmement : la segmentation VLAN. Votre SSID invité doit se trouver sur un VLAN dédié, isolé de votre réseau d'entreprise. Il s'agit à la fois d'une exigence de sécurité — la norme PCI DSS 3.2.1 impose la segmentation du réseau pour les environnements de données de cartes de paiement — et d'une nécessité pratique pour le bon fonctionnement du Captive Portal. Le VLAN invité doit avoir un accès à Internet mais aucune route vers les ressources internes. Cinquièmement : le paramètre WISPr. Je l'ai mentionné plus tôt, mais cela vaut la peine de le répéter. Activez le WISPr. Sans cela, les appareils iOS en particulier ne détecteront pas automatiquement le Captive Portal, et les invités feront face à une expérience confuse où ils sembleront connectés mais n'auront pas d'accès à Internet. [Q&R RAPIDES — environ 1 minute] Passons en revue les questions que l'on me pose le plus souvent. Puis-je utiliser Aruba Instant On — le produit pour petites entreprises — avec Purple ? Oui, avec certaines limitations. Instant On prend en charge les Captive Portals externes, mais l'interface de configuration est plus limitée que celle d'Aruba Central complet. Purple propose un guide d'intégration dédié à Instant On. Est-ce que Purple prend en charge RadSec pour le RADIUS chiffré ? Oui. Purple prend en charge le RADIUS sur TLS — RadSec — pour les déploiements où le trafic RADIUS traverse des réseaux non sécurisés. Cela est de plus en plus pertinent pour les déploiements gérés dans le cloud où l'échange RADIUS traverse l'internet public. Que se passe-t-il si le portail Purple est inaccessible ? Vous pouvez configurer le paramètre d'échec du Captive Portal sur « Refuser Internet » — qui est l'option sécurisée par défaut — ou « Autoriser Internet », qui fournit un mode d'accès de secours ouvert. Pour la plupart des sites d'entreprise, « Refuser Internet » est le bon choix. Puis-je exécuter plusieurs SSIDs avec différents sites Purple sur la même infrastructure Aruba ? Absolument. Chaque SSID reçoit son propre profil de Captive Portal pointant vers une URL de site Purple différente. L'attribut RADIUS Called-Station-Id transporte le nom du SSID, que Purple utilise pour acheminer la session vers la configuration du site concerné. [RÉSUMÉ ET PROCHAINES ÉTAPES — environ 1 minute] Résumons tout cela. Le déploiement de Purple en tant que Captive Portal externe sur une infrastructure Aruba est une méthode d'intégration très courante. Les étapes clés sont : configurez vos serveurs RADIUS avec les identifiants de Purple, créez un profil de Captive Portal externe pointant vers votre URL de page d'accueil Purple avec le WISPr activé, créez votre SSID invité avec le type de page d'accueil « Serveur RADIUS externe », et configurez votre « walled garden » avec les domaines principaux de Purple ainsi que les domaines des fournisseurs de connexion sociale que vous activez. La différence importante avec AOS-10 est que la configuration du « walled garden » se déplace dans les règles d'accès (« Access Rules ») plutôt que dans l'onglet de sécurité WLAN. D'un point de vue commercial, remplacer le portail local de base d'Aruba par Purple vous permet de bénéficier d'une collecte de données conforme au GDPR, d'analyses de localisation en temps réel, de rapports démographiques et d'automatisation marketing — le tout à partir de la même infrastructure WiFi que vous possédez déjà. Pour vos prochaines étapes : récupérez vos identifiants RADIUS de site Purple depuis le tableau de bord Purple, passez en revue la liste de contrôle de configuration dans le guide écrit d'accompagnement, et testez avec un appareil dédié avant de déployer en production. Si vous déployez sur plusieurs sites, la console de gestion multi-sites de Purple vous permet de gérer les configurations de Captive Portal, l'image de marque et les analyses pour l'ensemble de votre parc à partir d'une interface unique. Merci pour votre écoute. Le guide écrit complet, les tableaux de configuration et les listes de référence pour le « walled garden » sont disponibles sur purple dot ai. À la prochaine. [FIN DU SCRIPT]

📚 Part of our core series: Multi-Tenant WiFi

header_image.png

Synthèse décisionnelle

Pour les ingénieurs réseau d'entreprise, les architectes réseau et les directeurs d'exploitation de sites, le déploiement d'une infrastructure Wi-Fi invités robuste ne se limite plus à fournir un simple accès à Internet. Les sites modernes exigent une solution qui concilie une sécurité réseau stricte, la conformité réglementaire et une expérience client à fort taux de conversion. Bien que les fonctionnalités natives de Captive Portal de HPE Aruba soient très fiables, elles manquent de la capture sophistiquée de données marketing, de la scalabilité mondiale multi-site et des analyses démographiques et de localisation en temps réel requises par les grands sites des secteurs de l'hôtellerie, de la vente de détail et du secteur public.

En intégrant Purple directement aux points d'accès gérés par Aruba Instant (IAP) ou Aruba Central, les organisations peuvent remplacer les pages d'accueil locales basiques par un portail invités mondial, sécurisé et hautement évolutif. Cette intégration s'appuie sur des protocoles réseau standards, notamment le service RADIUS (Remote Authentication Dial-In User Service) et l'itinérance WISPr (Wireless Internet Service Provider roaming), afin d'offrir une intégration fluide, sécurisée et cohérente avec l'image de marque. Ce guide de référence technique fournit les paramètres de configuration exacts, les schémas d'architecture et les procédures de dépannage nécessaires pour déployer avec succès Purple sur l'infrastructure Aruba.

Analyse technique approfondie

L'intégration de Purple avec l'infrastructure sans fil Aruba repose sur un flux standard de redirection vers un Captive Portal externe et d'authentification RADIUS. Cette architecture garantit que l'authentification des utilisateurs et la comptabilisation du trafic sont gérées de manière sécurisée dans le cloud, tandis que les points d'accès locaux appliquent les politiques de contrôle d'accès et de qualité de service (QoS).

Le flux de redirection du Captive Portal

Lorsqu'un client non authentifié s'associe au SSID invité, le point d'accès Aruba intercepte la requête HTTP initiale du client (généralement le port TCP 80) et effectue une redirection HTTP 302 vers la page d'accueil de Purple hébergée dans le cloud.

+--------------+             +-----------------+             +------------------+             +------------------+
| Guest Device |             |  Aruba AP / AP  |             |  Purple Captive  |             |  Purple RADIUS   |
|   (Client)   |             |  (Central/IAP)  |             |  Portal (Cloud)  |             |  Server (Cloud)  |
+--------------+             +-----------------+             +------------------+             +------------------+
       |                              |                               |                                |
       |-- 1. Associates to SSID ---->|                               |                                |
       |                              |                               |                                |
       |-- 2. HTTP Request (TCP 80) ->|                               |                                |
       |                              |-- 3. Redirection HTTP 302 --->|                                |
       |<-- 4. Présente la Splash Page -------------------------------|                                |
       |                              |                               |                                |
       |-- 5. Soumet le formulaire de connexion --------------------->|                                |
       |                              |                               |-- 6. RADIUS Access-Request --->|
       |                              |<-- 7. RADIUS Access-Accept ------------------------------------|
       |                              |      (avec Session Timeout)   |                                |
       |<-- 8. Accès Internet accordé |                               |                                |
       |                              |                               |                                |
       |                              |-- 9. RADIUS Accounting Start --------------------------------->|
       |                              |-- 10. RADIUS Accounting Interim (toutes les 5 min) ----------->|

architecture_overview.png

Paramètres d'authentification et de comptabilité RADIUS

Une fois que le visiteur a soumis ses identifiants ou complété une connexion sociale sur la splash page Purple, le backend du portail Purple communique avec le point d'accès ou contrôleur local Aruba pour lancer l'authentification RADIUS. L'AP Aruba agit en tant que serveur d'accès réseau (NAS) et envoie une requête RADIUS Access-Request aux serveurs RADIUS cloud de Purple sur le port UDP 1812.

Pour garantir un suivi précis des sessions, l'application des politiques et les rapports, les attributs RADIUS suivants doivent être échangés :

Nom de l'attribut ID de l'attribut Description Contexte pratique
NAS-IP-Address 4 L'adresse IP de gestion du contrôleur virtuel ou de l'AP Aruba. Identifie le matériel physique à l'origine de la demande d'authentification.
Calling-Station-Id 31 L'adresse MAC de l'appareil client (généralement formatée ainsi : XX-XX-XX-XX-XX-XX). Utilisé par Purple pour suivre les appareils uniques et appliquer la mise en cache MAC pour les visiteurs récurrents.
Called-Station-Id 30 L'adresse MAC de la radio AP (BSSID) combinée avec le nom du SSID (formatée ainsi : MAC:SSID). Essentiel pour Purple afin d'identifier le lieu physique exact et le SSID spécifique auquel l'utilisateur se connecte.
Acct-Session-Id 44 Un identifiant unique généré par l'AP pour chaque session client. Associe les événements d'authentification aux enregistrements de comptabilité ultérieurs (début, intermédiaire et fin).
Acct-Status-Type 40 Indique le type d'enregistrement d'authentification : Start (1), Stop (2) ou Interim-Update (3). Permet un suivi en temps réel des sessions actives et des calculs précis du temps de présence.
Acct-Interim-Interval 85 Spécifie la fréquence (en secondes) des mises à jour d'authentification intermédiaires envoyées par l'AP. Doit être défini sur 300 secondes (5 minutes) pour garantir que le tableau de bord analytique de Purple affiche des données en temps réel précises.

L'architecture du Walled Garden (liste d'exceptions)

Avant qu'un utilisateur ne soit authentifié, l'AP Aruba restreint tout le trafic à l'exception des destinations explicitement définies dans le Walled Garden (ou liste d'exceptions). Comme le portail de Purple est hébergé sur le cloud et s'appuie sur des fournisseurs d'identité externes (tels que Google, Facebook et Apple) pour l'authentification sociale, l'AP doit permettre aux clients non authentifiés de résoudre le DNS et de communiquer avec ces domaines externes.

Si un domaine requis est omis du walled garden, l'invité verra une page blanche, un CSS cassé, des images manquantes ou un timeout complet lors du flux de connexion.

walled_garden_infographic.png

Guide d'implémentation

Le déploiement de Purple sur l'infrastructure sans fil Aruba peut être réalisé via Aruba Instant (IAP) fonctionnant sous ArubaOS 8.x (mode contrôleur virtuel sur site) ou Aruba Central (géré par le cloud AOS-8 ou AOS-10).

Configuration d'Aruba Instant (IAP) (ArubaOS 8.x)

Étape 1 : Configurer les serveurs RADIUS

  1. Connectez-vous à l'interface web du contrôleur virtuel Aruba Instant AP.
  2. Naviguez vers Security > Authentication Server et cliquez sur New.
  3. Configurez le Serveur RADIUS Principal avec les paramètres suivants :
    • Name : Purple_Primary
    • IP Address : 34.94.146.135
    • Auth Port : 1812
    • Acct Port : 1813
    • Shared Key : [Fourni dans votre tableau de bord Purple Venue]
  4. Cliquez sur OK pour enregistrer.
  5. Cliquez à nouveau sur New pour configurer le Serveur RADIUS Secondaire :
    • Name : Purple_Secondary
    • IP Address : 34.94.183.201
    • Auth Port : 1812
    • Acct Port : 1813
    • Shared Key : [Fourni dans votre tableau de bord Purple Venue]
  6. Cliquez sur OK pour enregistrer.

Étape 2 : Créer le profil du Captive Portal

  1. Naviguez vers Security > Captive Portal et cliquez sur New.
  2. Configurez le profil avec les paramètres suivants :
    • Name : Purple_Portal
    • Type : External
    • IP or Hostname : portal.venuewifi.com
    • URL : /
    • Port : 443
    • Use HTTPS : Enabled
    • Redirect URL : https://portal.venuewifi.com
    • WISPr : Enabled (Crucial pour le déclenchement automatique du portail sur les appareils iOS et Android)
  3. Cliquez sur OK pour enregistrer.

Étape 3 : Configurer la liste blanche du Walled Garden

  1. Dans le menu Security > Captive Portal, sélectionnez votre profil Purple_Portal nouvellement créé.
  2. Dans la section Walled Garden, cliquez sur le lien pour ouvrir la configuration de la liste blanche.
  3. Ajoutez les domaines Purple principaux suivants :
    • *.purple.ai
    • *.cloudfront.net
    • *.venuewifi.com
  4. Si la connexion via les réseaux sociaux est activée, ajoutez les domaines correspondants (par exemple, *.google.com, *.facebook.com, *.apple.com).
  5. Cliquez sur Enregistrer.

Étape 4 : Créer et configurer le SSID Invité

  1. Accédez à Réseau > Nouveau pour lancer l'assistant WLAN.
  2. Dans l'onglet Paramètres WLAN :
    • Nom (SSID) : Guest-WiFi
    • Utilisation principale : Guest
    • Cliquez sur Suivant.
  3. Dans l'onglet VLAN, configurez l'attribution des adresses IP et du VLAN conformément à l'architecture de votre réseau (généralement Attribution d'IP client : Attribuée par le réseau sur un VLAN invité dédié). Cliquez sur Suivant.
  4. Dans l'onglet Sécurité :
    • Type de portail captif : External
    • Profil de portail captif : Sélectionnez Purple_Portal
    • Serveur d'authentification 1 : Sélectionnez Purple_Primary
    • Serveur d'authentification 2 : Sélectionnez Purple_Secondary
    • Intervalle de réauthentification : 1440 (24 heures, ou selon la politique du site)
    • Comptabilité (Accounting) : Activé
    • Intervalle de comptabilité : 5 minutes
  5. Cliquez sur Suivant pour passer à l'onglet Accès. Assurez-vous que la règle invité par défaut autorise la pré-authentification DHCP et DNS, puis cliquez sur Terminer.

Configuration Aruba Central (AOS-8 et AOS-10)

Aruba Central AOS-8

  1. Accédez à Appareils sous la section Gérer de votre groupe dans Aruba Central.
  2. Cliquez sur Configuration (icône d'engrenage) en haut à droite, puis allez sur l'onglet WLANs et cliquez sur + Ajouter un SSID.
  3. À l'Étape 1 : Général, saisissez le nom du SSID (par exemple, Guest-WiFi) et cliquez sur Suivant.
  4. À l'Étape 2 : VLANs, configurez le mappage de votre VLAN invité et cliquez sur Suivant.
  5. À l'Étape 3 : Sécurité :
    • Définissez le Niveau de sécurité sur Visitors.
    • Définissez le Type sur External Captive Portal.
    • Assurez-vous que la Gestion des clés est définie sur Open (n'utilisez pas Enhanced Open/OWE pour les portails invités standards car cela peut causer des problèmes de compatibilité avec les clients).
    • Cliquez sur l'icône + à côté de Profil de portail captif pour ajouter un nouveau profil :
      • Nom : Purple_Central_Portal
      • IP ou Nom d'hôte : portal.venuewifi.com
      • URL : /
      • Port : 443
      • URL de redirection : https://portal.venuewifi.com
      • Utiliser HTTPS : True
      • Échec du portail captif : Deny Internet (Recommandé pour la conformité en matière de sécurité)
    • Cliquez sur Enregistrer.
    • Cliquez sur l'icône + à côté de Serveur principal et Serveur secondaire pour ajouter les serveurs RADIUS Purple en utilisant respectivement les adresses IP 34.94.146.135 et 34.94.183.201, avec les ports 1812 (Auth) et 1813 (Acct).
    • Développez les Paramètres avancés, faites défiler jusqu'à Comptabilité (Accounting), sélectionnez Utiliser les serveurs d'authentification, et réglez l'Intervalle de comptabilité sur 5 minutes.
  6. Faites défiler vers le bas jusqu'à la section Walled Garden, cliquez sur + Ajouter, puis saisissez les domaines Purple et de connexion sociale requis.
  7. Cliquez sur Enregistrer les paramètres.

Aruba Central AOS-10

Dans AOS-10, la configuration du walled garden passe de l'onglet WLAN Security aux Access Rules.

  1. Suivez les mêmes étapes de configuration de l'SSID et de RADIUS que pour AOS-8 ci-dessus.
  2. Dans l'assistant SSID, accédez à l'onglet Access.
  3. Cliquez sur + Add Role et créez un rôle de pré-authentification nommé Purple_Pre_Auth.
  4. Dans l'éditeur de règles de ce rôle, configurez des règles d'autorisation explicites (Allow) pour le DNS, le DHCP et les domaines de walled garden requis (par exemple, *.purple.ai, *.venuewifi.com).
  5. Faites défiler vers le bas jusqu'à Assign Pre-Authentication Role, activez l'option et sélectionnez Purple_Pre_Auth dans le menu déroulant.
  6. Le rôle post-autorisation (qui correspond généralement au nom de l'SSID) doit rester configuré sur Allow any to all destinations ou selon vos politiques d'accès d'entreprise spécifiques.
  7. Cliquez sur Save Settings.

Bonnes pratiques

Pour garantir des performances, une sécurité et une conformité optimales, les architectes réseau doivent respecter les normes de l'industrie et les meilleures pratiques neutres vis-à-vis des constructeurs suivantes lors du déploiement de Captive Portals sur Aruba et Purple.

1. Gestion sécurisée des certificats

Les points d'accès Aruba doivent présenter un certificat SSL/TLS valide et approuvé pendant le flux de redirection du Captive Portal.

  • Évitez les certificats auto-signés : Si le point d'accès présente un certificat auto-signé, les navigateurs modernes afficheront un avertissement très visible "Votre connexion n'est pas privée", ce qui nuit gravement à la confiance des utilisateurs invités et réduit les taux de conversion.
  • Déployez un certificat d'autorité de certification (CA) approuvé : Importez un certificat wildcard provenant d'une autorité de certification (CA) mondialement reconnue dans vos paramètres globaux Aruba Central ou vos contrôleurs virtuels Instant. Assurez-vous que les certificats intermédiaires et racine sont combinés dans un seul fichier pour compléter la chaîne de confiance.

2. Segmentation du réseau et conformité

Le trafic invité doit être entièrement séparé du trafic d'entreprise et d'administration afin de limiter les risques de sécurité et de garantir la conformité aux normes du secteur.

  • Isolation VLAN : Associez l'SSID invité à un VLAN dédié et non routable. Utilisez des listes de contrôle d'accès (ACL) sur le commutateur central amont ou le pare-feu pour empêcher tout routage entre le VLAN invité et les sous-réseaux internes de l'entreprise.
  • Conformité PCI DSS : Si votre établissement traite des paiements par carte (par exemple, des points de vente au détail), la segmentation du réseau est une exigence obligatoire en vertu de la norme PCI DSS (exigence 1.2) [3]. Le Wi-Fi invité doit être isolé physiquement ou logiquement de l'environnement des données des titulaires de carte (CDE).
  • GDPR et confidentialité des données : Assurez-vous que le portail Purple est configuré pour afficher des cases à cocher de consentement explicites et non pré-cochées pour les inscriptions marketing, répondant ainsi aux exigences strictes du Règlement général sur la protection des données (GDPR) [4].

3. Optimisation de la détection WISPr et du Captive Portal

Les systèmes d'exploitation mobiles modernes utilisent des requêtes actives pour détecter les Captive Portals immédiatement après l'association.

  • Activer WISPr : Assurez-vous toujours que le support WISPr est activé dans votre profil de Captive Portal Aruba. Ce protocole transmet des métadonnées au format XML au système d'exploitation client, permettant à iOS (Captive Network Assistant) et Android (Captive Portal Login) de lancer proprement l'écran de connexion dans une fenêtre de navigateur dédiée.
  • Éviter les problèmes d'"Enhanced Open" (OWE) : Bien que l'Opportunistic Wireless Encryption (OWE) assure le chiffrement sur les réseaux ouverts, de nombreux appareils clients existants ne le prennent pas en charge. Pour les réseaux d'invités publics, privilégiez la gestion de clés standard Open afin de maximiser la compatibilité des appareils.

Dépannage et atténuation des risques

Même avec une planification minutieuse, les déploiements de Captive Portal peuvent rencontrer des modes de défaillance courants. La matrice de dépannage suivante fournit des étapes immédiates et exploitables pour les ingénieurs sans fil.

Matrice de dépannage du Captive Portal

Symptôme Cause probable Étapes de diagnostic Solution exploitable
L'invité s'associe mais la page d'accueil ne se charge pas (Délai d'attente dépassé/Page blanche). Configuration du Walled Garden manquante ou incomplète. Tentez de pinger portal.venuewifi.com depuis un appareil filaire sur le même VLAN. Vérifiez si l'appareil tente de charger des ressources externes (ex. scripts de connexion sociale) qui sont bloquées. Ajoutez explicitement *.purple.ai, *.venuewifi.com et *.cloudfront.net au walled garden Aruba. Vérifiez que la résolution DNS est autorisée dans le rôle de pré-authentification.
L'invité est redirigé mais le navigateur affiche un avertissement de certificat SSL/TLS. L'AP Aruba présente un certificat non approuvé ou auto-signé pour la page de redirection locale. Inspectez les détails du certificat du navigateur pour voir quel certificat est présenté. Importez un certificat SSL valide et approuvé, signé par une CA publique, sur le contrôleur virtuel Aruba ou dans les paramètres globaux de Central.
L'invité remplit le formulaire de connexion mais n'obtient pas d'accès Internet (Boucle de redirection). Échec de la communication RADIUS entre l'AP Aruba et les serveurs Purple. Vérifiez les journaux du contrôleur virtuel Aruba pour détecter les délais d'attente RADIUS ou les rejets d'accès (access-rejects). Exécutez show auth-survivability ou vérifiez les journaux du pare-feu. Vérifiez que les ports UDP sortants 1812 (Auth) et 1813 (Acct) sont ouverts sur votre pare-feu périphérique. Assurez-vous que le secret partagé RADIUS correspond exactement sur Purple et Aruba.
Le Captive Portal ne s'affiche pas automatiquement sur les appareils iOS ou Android. WISPr est désactivé, ou l'AP bloque les URL de détection de Captive Portal du système d'exploitation. Vérifiez si l'appareil peut accéder à Internet sans se connecter, ou s'il reste connecté avec la mention "Pas d'Internet" et sans pop-up. Activez WISPr dans le profil de Captive Portal Aruba. Assurez-vous que les URL de détection de Captive Portal (ex. captive.apple.com, connectivitycheck.gstatic.com) ne sont pas bloquées par des ACL de pré-authentification personnalisées.
Les analyses de temps de séjour en temps réel sont inexactes ou manquantes dans Purple. L'authentification RADIUS Accounting est désactivée ou l'intervalle d'accounting est défini sur une valeur trop élevée. Vérifiez la configuration de l'AP pour voir si l'accounting est activé et inspectez l'intervalle. Activez RADIUS Accounting sur l'SSID Aruba. Définissez l'Intervalle d'Accounting sur exactement 5 minutes (300 secondes) pour garantir des mises à jour régulières des sessions.

ROI et impact commercial

Passer d'un Captive Portal local de base à une plateforme d'intelligence WiFi de classe entreprise comme Purple offre des résultats commerciaux mesurables dans les domaines des opérations, du marketing et de la gestion de réseau.

Efficacité opérationnelle et évolutivité

La gestion de Captive Portals locaux individuels dans des centaines de magasins de détail, d'hôtels ou de lieux publics constitue un goulot d'étranglement administratif. Purple fournit une console centralisée gérée dans le cloud qui permet aux équipes informatiques de déployer, de mettre à jour et d'auditer les configurations des Captive Portals à l'échelle mondiale en un seul clic. Cela réduit les écarts de configuration, garantit une image de marque cohérente et réduit les frais administratifs jusqu'à 60 %.

Monétisation des données et ROI marketing

Pour des secteurs comme le Commerce de détail et l'Hôtellerie, le WiFi invité est un canal puissant pour l'acquisition et la fidélisation des clients. Purple remplace les connexions anonymes par des profils démographiques riches.

  • Intégration directe : Purple s'intègre aux plateformes de CRM et d'automatisation du marketing pour déclencher des campagnes en temps réel et adaptées au contexte. Par exemple, un point de vente peut déclencher un SMS de réduction personnalisé au moment précis où un client fidèle se connecte au WiFi invité.
  • Analyses de fréquentation mesurables : En analysant les données de RADIUS accounting et les associations BSSID, Purple fournit des rapports très précis sur le temps de séjour, le taux de retour et l'analyse des parcours. Ces données permettent aux directeurs d'exploitation des sites d'optimiser les niveaux de personnel, d'évaluer l'efficacité des vitrines et de mesurer le ROI direct des campagnes marketing.

Analyse coûts-avantages : Intégration Aruba native vs. Purple

Fonctionnalité / Métrique Portail local Aruba natif Intégration Aruba + Purple Impact commercial
Gestion centralisée multisite Limitée. Nécessite une configuration individuelle par contrôleur virtuel ou une cartographie complexe des groupes Aruba Central. Entièrement centralisée. Gérez des milliers de sites et d'SSIDs à partir d'un seul tableau de bord cloud. Réduit les frais informatiques et élimine les écarts de configuration sur les parcs distribués.
Saisie de données et conformité Saisie de formulaire de base. Pas de workflows intégrés de validation du consentement GDPR/CCPA. Conçu pour l'entreprise. Suivi automatisé et conforme à la législation des consentements avec synchronisation API en temps réel vers les CRM. Atténue les risques juridiques et garantit la conformité avec les réglementations mondiales sur la protection de la vie privée [4].
Social Authentication Nécessite un développement web externe personnalisé et une maintenance manuelle de l'API. Prise en charge prête à l'emploi de Google, Facebook, Apple, Microsoft, LinkedIn et SMS. Augmente les taux de conversion jusqu'à 40 % grâce à des options de connexion sans friction.
Analytics & Reporting Journaux de session de base (IP, MAC, heure de connexion). Pas de suivi démographique ou comportemental. Analyses riches : âge, sexe, temps de visite, taux de retour, cartes de chaleur (heatmaps) et itinérance multi-sites. Optimise le ROI marketing et fournit une business intelligence exploitable pour les opérations.

Définitions clés

Captive Portal

Une page web qui s'affiche pour les utilisateurs nouvellement connectés à un réseau Wi-Fi avant qu'ils ne bénéficient d'un accès plus large aux ressources du réseau.

Utilisé pour capturer les données des invités, faire respecter les conditions d'utilisation et présenter du contenu marketing personnalisé.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (AAA) pour les utilisateurs qui se connectent et utilisent un service réseau.

Purple agit comme le serveur RADIUS externe, authentifiant les invités et suivant la durée de leur session.

WISPr (Wireless Internet Service Provider roaming)

Un projet de protocole qui permet aux fournisseurs de services Internet sans fil indépendants d'autoriser les utilisateurs à se déplacer sur les réseaux des uns et des autres en utilisant un portail de connexion commun.

L'activation de WISPr sur les points d'accès Aruba permet aux smartphones modernes de détecter automatiquement le Captive Portal et d'afficher la page de connexion dans une fenêtre native du système.

Walled Garden

Un ensemble restreint de sites web ou de domaines auxquels un utilisateur non authentifié est autorisé à accéder avant de terminer le processus de connexion au Captive Portal.

Indispensable pour permettre aux invités de charger les ressources de la page de connexion (CSS, JS, images) et d'accéder aux fournisseurs de connexion sociale (Google, Facebook) avant d'être authentifiés.

BSSID (Basic Service Set Identifier)

L'adresse MAC de l'interface radio du point d'accès sans fil pour un SSID spécifique.

Envoyé dans l'attribut RADIUS Called-Station-Id, permettant à Purple d'associer l'emplacement physique de l'utilisateur à un point d'accès spécifique.

NAS-IP-Address

L'adresse IP du serveur d'accès réseau (le point d'accès ou contrôleur Aruba) à l'origine de la demande RADIUS.

Utilisé dans les paquets RADIUS pour identifier quel matériel physique demande l'authentification.

RadSec

Un protocole qui sécurise les transactions RADIUS en utilisant la sécurité de la couche de transport (TLS) sur TCP.

Utilisé pour chiffrer le trafic d'authentification et de comptabilisation RADIUS lors de la traversée de réseaux publics non sécurisés entre le point d'accès local et le cloud de Purple.

Enhanced Open (OWE)

Une extension de Wi-Fi Certified Easy Connect qui permet de chiffrer les transmissions sans fil sur les réseaux ouverts sans nécessiter de mot de passe.

Peut causer des problèmes de compatibilité avec les appareils invités plus anciens ; la sécurité Open standard est recommandée pour les Captive Portals publics.

Exemples concrets

An enterprise wireless engineer is deploying guest WiFi across a national retail chain with 150 stores. Each store has 3-5 Aruba Instant APs managed via Aruba Central. The marketing team requires a branded Captive Portal with Facebook and Google social login options, and the compliance team mandates that guest traffic must be completely isolated from the store's Point-of-Sale (PoS) network. How should this be architected and configured?

  1. Network Segmentation: Map the Guest SSID to VLAN 100 on the Aruba APs. Configure the local switch ports as trunk ports, allowing VLAN 100. On the store's gateway firewall, configure VLAN 100 with a DHCP scope and an outbound-only NAT policy. Apply an ACL on the firewall to drop all traffic from VLAN 100 to the PoS VLAN (VLAN 10).
  2. RADIUS & Portal Configuration in Aruba Central: Create a new SSID named 'Store-Guest' on VLAN 100. Set Security to 'Visitors' and Splash Page to 'External Captive Portal'. Add Purple's primary RADIUS server (34.94.146.135) and secondary server (34.94.183.201) with ports 1812/1813. Enable RADIUS Accounting with a 5-minute interval.
  3. Walled Garden: Configure the walled garden in Aruba Central to include: *.purple.ai, *.venuewifi.com, *.cloudfront.net (for Purple core), and the social login domains: *.google.com, *.googleapis.com, *.gstatic.com (for Google) and *.facebook.com, *.fbcdn.net, connect.facebook.net (for Facebook).
  4. Testing: Connect a test device to 'Store-Guest', verify DHCP assigns an IP on VLAN 100, confirm the browser redirects to the Purple portal over HTTPS, complete the Facebook login, and verify that internet access is granted while internal PoS resources remain completely unreachable.
Commentaire de l'examinateur : This approach is highly effective because it addresses both security and user experience. Using VLAN isolation at the physical switch and gateway firewall ensures robust GDPR compliance, preventing guest devices from ever reaching the CDE. Explicitly defining the social login domains in the walled garden is critical; relying on 'Automatic URL Whitelisting' can sometimes cause intermittent failures if the social provider dynamically changes their CDN subdomains. Setting the RADIUS accounting interval to 5 minutes ensures the marketing team gets high-fidelity dwell-time analytics without overloading the AP's CPU.

A stadium venue with 50,000 seats is running Aruba Central on AOS-10 with high-density AP-555 access points. During peak event hours, thousands of users attempt to connect to the guest WiFi simultaneously. The IT director is concerned about the performance impact of Captive Portal redirects on the virtual controller and wants to ensure the authentication process is as fast and resilient as possible. What advanced configurations should be applied?

  1. Pre-Authentication Role (AOS-10): In AOS-10, configure a dedicated pre-authentication role named 'Stadium-Pre-Auth'. Apply an ACL that permits DHCP (UDP 67-68), DNS (UDP 53), and outbound traffic to the Purple walled garden domains. Assign this role as the 'Pre-Authentication Role' in the SSID settings. This offloads the packet filtering from the central controller to the individual APs, distributing the load.
  2. RADIUS Load Balancing: In Aruba Central, enable RADIUS Load Balancing across the primary and secondary Purple RADIUS servers. This distributes the authentication load evenly during peak ingress windows.
  3. Server Offload: Enable 'Server Offload' in the Captive Portal Profile settings. This prevents non-browser client applications (like background mobile apps, system updates, or IoT devices) from being repeatedly redirected to the external Captive Portal, preserving AP CPU cycles and WAN bandwidth.
  4. Captive Portal Failure Policy: Set 'Captive Portal Failure' to 'Deny Internet'. While 'Allow Internet' seems customer-friendly, during an extreme network event it could lead to uncontrolled open access, bypassing security controls and exhausting DHCP pools.
Commentaire de l'examinateur : High-density environments like stadiums require a distributed processing model. Configuring the walled garden via Access Rules in AOS-10 ensures that the access control lists are compiled and executed locally in the AP's hardware-accelerated data path, rather than being tunneled back to a gateway. Enabling Server Offload is an industry-standard best practice for stadium deployments; it mitigates the 'captive portal storm' caused by background apps on thousands of locked phones attempting to reach their respective cloud servers simultaneously.

Questions d'entraînement

Q1. Un ingénieur réseau configure un nouvel SSID invité sur un cluster Aruba Instant AP. Lors des tests, il se connecte au SSID, mais au lieu de la page d'accueil personnalisée Purple, il rencontre une erreur de délai d'attente du navigateur. Quelle est la cause la plus probable de ce problème et quelles étapes de dépannage doivent être suivies ?

Conseil : Pensez aux prérequis nécessaires pour que l'appareil client accède à la page d'accueil (splash page) hébergée dans le cloud avant l'authentification.

Voir la réponse type

La cause la plus probable est une configuration manquante ou incomplète du Walled Garden, ou un problème de résolution DNS. Avant l'authentification, l'AP bloque tout le trafic à l'exception des domaines autorisés (liste blanche). Si les domaines Purple (*.purple.ai, *.venuewifi.com, *.cloudfront.net) ne figurent pas dans le walled garden, le client ne peut pas charger la page d'accueil. Étapes de dépannage : 1. Vérifier que l'appareil client a bien reçu une adresse IP valide et un serveur DNS via DHCP. 2. Tenter de résoudre "portal.venuewifi.com" depuis un appareil filaire sur le même VLAN pour confirmer que le DNS fonctionne. 3. Vérifier la configuration de l'AP Aruba pour s'assurer que la liste blanche du Walled Garden est active et contient tous les domaines Purple requis. 4. Vérifier que le rôle de pré-authentification autorise le trafic DNS (port UDP 53) vers le serveur DNS.

Q2. Lors du déploiement du WiFi invité Purple dans un grand centre de congrès, l'équipe informatique signale que les appareils des invités se connectent avec succès, mais qu'ils sont invités à se reconnecter toutes les 15 minutes. Le comportement souhaité est que les invités restent connectés pendant 24 heures. Quels paramètres de configuration Aruba et Purple doivent être inspectés pour résoudre ce problème ?

Conseil : Examinez les paramètres qui contrôlent la durée de vie de la session et les intervalles de réauthentification.

Voir la réponse type

Ce problème est causé par une mauvaise correspondance dans les paramètres de délai d'expiration de session ou d'intervalle de réauthentification. Pour résoudre cela : 1. Inspectez le "Reauth Interval" dans l'onglet de sécurité du SSID Aruba ; il doit être configuré sur 1440 minutes (24 heures) au lieu de 15 minutes. 2. Vérifiez l'attribut "Session Timeout" renvoyé par le serveur RADIUS de Purple dans le message Access-Accept. Si Purple est configuré avec une durée de vie de session courte, cela forcera la réauthentification. 3. Assurez-vous que le filtrage MAC (MAC Authentication) est activé sur le SSID Aruba. Cela permet à l'AP d'authentifier automatiquement les invités de retour via leur adresse MAC auprès de la base de données de Purple sans leur afficher à nouveau la page d'accueil durant la fenêtre de 24 heures.

Q3. Une organisation du secteur public déploie un réseau WiFi invité dans plusieurs bibliothèques à l'aide d'Aruba Central sur AOS-10. La politique de sécurité exige que tout le trafic invité soit chiffré sur les ondes, mais les directeurs des bibliothèques souhaitent une expérience de connexion fluide et sans friction. Comment l'architecte réseau peut-il répondre à ces deux exigences en utilisant Aruba et Purple ?

Conseil : Considérez les différences entre Open, OWE (Enhanced Open) et WPA2/WPA3-Enterprise, et leur interaction avec les portails captifs (Captive Portals).

Voir la réponse type

Pour obtenir à la fois un chiffrement radio et une expérience de Captive Portal fluide, l'architecte doit déployer "Enhanced Open" (Opportunistic Wireless Encryption - OWE) avec un mode de transition si la compatibilité avec les anciens appareils est requise. Enhanced Open chiffre la connexion sans fil entre le client et l'AP sans nécessiter de clé pré-partagée, protégeant ainsi les invités de l'écoute clandestine passive. 1. Configurez le SSID invité dans Aruba Central avec le niveau de sécurité défini sur "Visitors" et la gestion des clés définie sur "Enhanced Open". 2. Activez le "OWE Transition Mode" et associez-le à un SSID invité Open standard pour prendre en charge les anciens appareils qui ne gèrent pas le WPA3 OWE. 3. Configurez le profil du Captive Portal externe pointant vers Purple comme d'habitude. Cette combinaison garantit que les appareils modernes bénéficient automatiquement d'un transport sans fil chiffré, tout en étant redirigés vers la page d'accueil Purple pour la collecte de données et la conformité.

Continuer la lecture de cette série

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Lire le guide →

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Lire le guide →

Intégration des points d'accès Grandstream GWN avec Purple WiFi

Ce guide de référence technique officiel détaille comment intégrer les points d'accès Grandstream GWN avec le Guest WiFi de Purple et sa plateforme d'analyse. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage dynamique des VLAN, et la segmentation PPSK multi-tenant - offrant ainsi des instructions étape par étape directement exploitables pour les MSP et les équipes informatiques déployant du WiFi invités et personnel à grande échelle.

Lire le guide →