Passer au contenu principal
Français

Captive Portal for Ruckus

Ce guide de référence technique fournit un manuel d'intégration faisant autorité pour le déploiement de portails captifs externes sur les architectures CommScope Ruckus SmartZone et Unleashed. Il guide les ingénieurs réseau à travers les configurations étape par étape pour les réseaux WLAN invités, la redirection WISPr, les paramètres du serveur RADIUS AAA et les exceptions de Walled Garden afin de fournir une solution WiFi invité sécurisée et à haute densité.

📖 14 min de lecture📝 3,327 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bienvenue dans la série de briefings techniques de Purple. Je suis votre hôte, et aujourd'hui nous allons aborder un sujet qui revient dans presque tous les déploiements de WiFi d'entreprise que nous rencontrons : la configuration d'un Captive Portal sur les contrôleurs Ruckus SmartZone et Ruckus Unleashed. Que vous soyez un MSP déployant du WiFi invité dans une chaîne hôtelière, un responsable informatique du secteur de l'hôtellerie lançant un nouvel établissement, ou un ingénieur sans fil intégrant la plateforme de Purple à une infrastructure Ruckus, cet épisode est fait pour vous. C'est parti. --- Tout d'abord, pourquoi l'intégration du Captive Portal de Ruckus est-elle si importante ? Ruckus, qui fait désormais partie de CommScope, est l'une des plateformes de WiFi d'entreprise dominantes à l'échelle mondiale. SmartZone, en particulier, est le contrôleur de choix pour les environnements à haute densité : stades, centres de congrès, grands hôtels et chaînes de magasins. Lorsque vous déployez du WiFi invité à cette échelle, vous avez besoin de plus qu'un simple SSID ouvert. Il vous faut un flux d'authentification structuré, une capture de données conforme au GDPR, et la possibilité d'envoyer ces données d'invités vers votre suite marketing. C'est précisément là qu'intervient une plateforme de Captive Portal externe comme Purple. L'architecture repose ici sur un flux de hotspot basé sur WISPr. WISPr signifie Wireless Internet Service Provider roaming — c'est un standard de l'industrie qui définit comment un contrôleur sans fil intercepte le trafic HTTP non authentifié et le redirige vers un portail externe. L'invité se connecte à votre SSID, son appareil envoie une requête HTTP, le contrôleur SmartZone l'intercepte et émet une redirection HTTP 302 vers l'URL de votre portail externe. L'invité s'authentifie — que ce soit via un identifiant de réseau social, un e-mail, un SMS ou un formulaire personnalisé — puis le portail communique en retour avec le contrôleur via l'interface Northbound, ou NBI, pour accorder l'accès. Un processus propre, basé sur des standards et extrêmement fiable lorsqu'il est correctement configuré. --- Passons maintenant à la configuration technique. Je vais d'abord détailler SmartZone, puis j'aborderai les différences pour Unleashed. Sur SmartZone — et cela s'applique aussi bien aux déploiements physiques SZ300 que virtuels vSZ —, la configuration comporte quatre composants principaux : le profil du serveur d'authentification RADIUS, le profil du serveur de comptabilité RADIUS, le profil du portail Hotspot WISPr et le WLAN lui-même. Commencez par vos serveurs RADIUS. Accédez à Services et Profils, puis Authentification. Créez un nouveau profil de serveur AAA. Définissez le protocole de service sur RADIUS. L'adresse IP de votre serveur principal et le secret partagé vous seront fournis par votre fournisseur de portail — dans le cas de Purple, ils sont documentés dans la console d'administration du portail Purple. Port 1812 pour l'authentification. Configurez toujours un serveur RADIUS de secours pour la résilience — port 1812 également sur le serveur secondaire. Faites ensuite de même pour la comptabilité sous Services et Profils, Comptabilité — port 1813, même secret partagé. Ensuite, le profil Hotspot WISPr. Allez dans Services et Profils, Hotspots et Portails, puis sélectionnez l'onglet Hotspot WISPr. Créez un nouveau profil. Définissez l'URL de connexion (Login URL) sur Externe, et saisissez l'URL de redirection de votre portail — c'est l'URL vers laquelle vos invités seront redirigés avant de s'authentifier. Définissez la page de démarrage (Start Page) pour rediriger vers une URL post-authentification, généralement une page de réussite ou la page d'accueil de votre établissement. Maintenant, le Walled Garden. C'est ici que de nombreux ingénieurs commettent des erreurs. Le Walled Garden définit les domaines et les adresses IP qu'un invité peut atteindre avant de s'être authentifié. Vous devez y inclure le domaine de votre portail, tous les domaines CDN ou d'actifs à partir desquels votre portail se charge, ainsi que les points de terminaison standard de détection de Captive Portal des systèmes d'exploitation. Dans SmartZone, les caractères génériques sont pris en charge au format astérisque-point — par exemple, *.purple.ai. Cette seule entrée couvre tous les sous-domaines. Vous devez également inclure les domaines de détection de Captive Portal d'Apple — captive.apple.com — et les points de terminaison de vérification de connectivité de Google pour éviter que le mini-navigateur CNA ne se comporte mal sur les appareils iOS et Android. Une étape critique et facile à oublier : par défaut, SmartZone chiffre l'adresse MAC et l'adresse IP qu'il transmet au portail externe dans l'URL de redirection. Le fournisseur de votre portail a besoin de voir la véritable adresse MAC du client pour effectuer la gestion de session basée sur le MAC. Vous devez désactiver cela via la CLI. Connectez-vous en SSH à votre SmartZone, passez en mode configuration et exécutez : no encrypt-mac-ip. C'est tout — une seule commande, mais c'est un point de blocage si vous l'omettez. L'interface Northbound (NBI) est l'autre élément clé. Il s'agit de l'API qui permet à la plateforme de votre portail de communiquer avec la SmartZone pour autoriser ou refuser l'accès après l'authentification. Activez-la sous Administration, Services Externes, Interface Northbound WISPr. Définissez un nom d'utilisateur et un mot de passe, puis fournissez ces identifiants à votre fournisseur de portail. La NBI fonctionne sur le port TCP 9080 pour le HTTP et 9443 pour le HTTPS — assurez-vous que votre pare-feu autorise les connexions entrantes depuis la plage d'adresses IP de la plateforme de votre portail vers ces ports. Enfin, créez votre WLAN. Définissez le type d'authentification sur Hotspot WISPr, sélectionnez votre profil de portail et attribuez vos services d'authentification et de comptabilité RADIUS. Définissez le NAS ID sur Défini par l'utilisateur si votre fournisseur de portail exige une valeur spécifique, définissez le Called Station ID sur AP MAC, et activez Single Session ID. Ce dernier paramètre garantit que la session d'un invité est liée à un seul enregistrement de session de contrôleur, ce qui est essentiel pour une comptabilité précise. --- Passons maintenant à Unleashed. L'architecture est fondamentalement différente — Unleashed est un modèle distribué sans contrôleur où un point d'accès fait office de maître. La configuration se trouve dans Admin et Services, Services, Services Hotspot. Les étapes sont globalement similaires — créez un service Hotspot, configurez l'URL de votre portail externe, configurez votre serveur d'authentification AAA, ajoutez vos entrées de Walled Garden — mais il existe des différences clés. Premièrement, il n'y a pas d'exigence d'interface Northbound dans Unleashed. Le modèle de communication du portail est plus simple. Deuxièmement, le chiffrement de l'adresse MAC n'est pas appliqué par défaut dans Unleashed, vous n'avez donc pas besoin de la commande CLI. Troisièmement, le walled garden d'Unleashed accepte les entrées au niveau du domaine plutôt que la syntaxe générique complète — vous devez donc saisir purple.ai plutôt que star-dot-purple.ai. Vérifiez la documentation de votre fournisseur pour connaître le format exact requis. Unleashed s'adapte jusqu'à environ 50 points d'accès, ce qui le rend adapté aux hôtels de taille moyenne, aux succursales de vente au détail et aux déploiements de PME. Pour tout ce qui est plus grand — groupes hôteliers multi-propriétés, stades, grands parcs de vente au détail — SmartZone est la bonne plateforme. --- Permettez-moi d'aborder les deux modes de défaillance les plus courants que je rencontre sur le terrain. Le premier est une mauvaise configuration du walled garden. Si votre page de Captive Portal ne se charge pas après la redirection, la première chose à vérifier est si tous les domaines auxquels votre page de portail fait référence se trouvent dans le walled garden. Les pages de portail modernes chargent des ressources à partir de plusieurs domaines CDN, de scripts d'analyse et de SDK de connexion sociale. Si l'un d'entre eux est bloqué avant l'authentification, la page ne se chargera pas ou s'affichera de manière incorrecte. Utilisez les outils de développement de votre navigateur sur un appareil de test connecté au SSID invité pour identifier les requêtes bloquées. Le second est le problème de connectivité NBI. Si les invités peuvent voir le portail et s'authentifier, mais n'obtiennent jamais d'accès Internet, la cause probable est que la SmartZone ne peut pas recevoir le rappel NBI de votre plateforme de portail. Vérifiez que les ports 9080 et 9443 sont ouverts en entrée vers l'IP de gestion de la SmartZone depuis la plage IP de votre fournisseur de portail. Vérifiez également que les identifiants NBI que vous avez configurés correspondent à ceux de votre fournisseur de portail. Un troisième point mérite d'être mentionné — Apple CNA, le Captive Network Assistant. Sur iOS, lorsqu'un appareil se connecte à un réseau, il envoie une requête de test à captive.apple.com. Si cette requête reçoit une réponse autre que 200, iOS ouvre le mini-navigateur. Si captive.apple.com est dans votre walled garden, le test réussit, iOS pense qu'il y a Internet et le CNA n'apparaît pas. Cela semble être une bonne chose, mais cela signifie que vos invités ne verront pas automatiquement le portail. Vous devez décider : voulez-vous que le CNA apparaisse ou préférez-vous que les invités ouvrent un navigateur manuellement ? La plupart des déploiements dans le secteur de l'hôtellerie excluent captive.apple.com du walled garden pour déclencher le CNA. --- Questions-réponses rapides. Trois questions que l'on me pose constamment. Ai-je besoin d'un VLAN pour mon WLAN invité ? Oui. Isolez toujours le trafic invité sur un VLAN dédié. Il s'agit à la fois d'une exigence de sécurité et d'une considération de conformité PCI DSS si votre établissement traite des paiements par carte sur le même réseau. Puis-je utiliser Purple avec Ruckus Cloud au lieu de SmartZone ? Oui, mais le chemin de configuration est différent — cela se trouve sous Réseaux WiFi, paramètres d'Accès Invité. Les principes de configuration du walled garden et de RADIUS restent les mêmes. Est-ce que Purple prend en charge les déploiements multi-zones SmartZone ? Oui. L'intégration de Purple gère les environnements SmartZone multi-zones, et vous pouvez adapter les configurations du Captive Portal à des zones individuelles pour différents sites ou étages. --- Pour résumer. L'intégration du Captive Portal Ruckus SmartZone avec Purple est un modèle de déploiement éprouvé et bien documenté qui offre une authentification des invités fiable et à grande échelle. Les points de configuration clés sont : RADIUS sur les ports 1812 et 1813 avec un serveur de secours, le profil Hotspot WISPr avec une URL de connexion externe, un walled garden correctement configuré à l'aide d'entrées génériques, la commande CLI no encrypt-mac-ip, et l'interface Northbound activée avec les bons identifiants. Maîtrisez ces cinq éléments, et vous disposerez d'une base solide. Pour les déploiements Unleashed, les mêmes principes s'appliquent avec un modèle de configuration plus simple et sans exigence d'API NBI. Si vous déployez Purple sur Ruckus et souhaitez valider votre configuration avant la mise en service, l'équipe d'intégration technique de Purple peut vous guider à travers une liste de contrôle de pré-lancement. La plateforme Purple fournit également des analyses en temps réel sur les temps de chargement du portail, les taux de réussite d'authentification et les données de session — vous offrant la visibilité nécessaire pour détecter les problèmes avant vos invités. Merci pour votre écoute. Dans le prochain épisode, nous aborderons l'authentification 802.1X avec Cloud RADIUS — une autre intégration qui s'associe parfaitement avec Ruckus SmartZone pour l'accès des invités d'entreprise. À bientôt.

📚 Part of our core series: Multi-Tenant WiFi

header_image.png

Résumé exécutif

Le déploiement d'un réseau sans fil invité haute performance dans les espaces d'entreprise exige un équilibre délicat entre une expérience utilisateur fluide et une sécurité technique robuste. Pour les organisations utilisant les architectures CommScope Ruckus — allant des stades et centres de congrès à haute densité aux vastes parcs de vente au détail et groupes hôteliers — le Captive Portal sert de passerelle principale pour l'intégration des utilisateurs, l'application de la conformité et la capture de données de première partie.

Ce guide fournit un manuel d'instructions faisant autorité, étape par étape, pour intégrer des Captive Portals externes aux contrôleurs Ruckus SmartZone et Ruckus Unleashed. En s'appuyant sur les protocoles d'itinérance standard de l'industrie WISPr (Wireless Internet Service Provider roaming), les ingénieurs réseau peuvent mettre en œuvre une redirection fiable, une authentification RADIUS (Remote Authentication Dial-In User Service) sécurisée et des configurations de Walled Garden granulaires.

Lorsqu'elle est associée à la plateforme Guest WiFi de Purple et de WiFi Analytics , cette intégration permet aux exploitants de sites de capturer des données démographiques cruciales sur les visiteurs, de se conformer aux réglementations internationales sur les données (telles que le GDPR et PCI DSS) et de débloquer une automatisation marketing puissante. Qu'il s'agisse de déployer des architectures Virtual SmartZone (vSZ) centralisées dans les hubs d' Hôtellerie et de Transport , ou des réseaux Unleashed distribués basés sur des points d'accès dans les environnements de Vente au détail , cette référence technique garantit un déploiement résilient et à haut débit.

Analyse technique approfondie

Pour déployer un réseau invité hautement évolutif, les ingénieurs doivent comprendre les normes de communication sous-jacentes qui régissent le flux du Captive Portal. Les architectures Ruckus utilisent la norme WISPr 2.0 pour négocier la redirection et l'authentification des clients. WISPr définit comment un point d'accès (AP) sans fil ou un contrôleur intercepte le trafic HTTP/HTTPS non authentifié et redirige le navigateur du client vers un serveur web de portail externe.

Le flux d'authentification WISPr

Le processus de redirection du Captive Portal externe suit une séquence stricte de transactions réseau. La compréhension de ce flux est essentielle pour le dépannage et la configuration des politiques de pare-feu en amont :

  1. Association : Le client invité s'associe au SSID invité ouvert et non crypté. Le point d'accès attribue une adresse IP au client via DHCP.
  2. Sonde HTTP : Le système d'exploitation du client lance une sonde HTTP (par exemple, la sonde Captive Network Assistant d'Apple vers captive.apple.com ou le test de connectivité d'Android vers connectivitycheck.gstatic.com) pour vérifier l'accès à Internet.
  3. Redirection HTTP 302 : L'AP Ruckus ou le contrôleur SmartZone intercepte cette requête HTTP non authentifiée. Il répond par une redirection HTTP 302, redirigeant le navigateur du client vers l'URL du portail externe (par exemple, la page de connexion de Purple). Cette URL de redirection est complétée par des paramètres de requête critiques, notamment l'adresse MAC du client (client_mac), l'adresse IP (client_ip), l'adresse MAC de l'AP (ap_mac) et l'IP de l'interface Northbound du contrôleur (nbiIP).
  4. Affichage du Portail : Le navigateur du client charge la page du portail externe. Le trafic non authentifié vers le domaine du portail et ses ressources associées est autorisé par la politique de Walled Garden du contrôleur.
  5. Authentification de l'utilisateur : L'utilisateur remplit les conditions de connexion (par exemple, connexion via les réseaux sociaux, inscription par SMS, soumission de formulaire) sur le portail.
  6. RADIUS Access-Request : La plateforme du portail externe, agissant en tant que client RADIUS, envoie un Access-Request au serveur d'authentification RADIUS configuré (tel que l'infrastructure Cloud RADIUS de Purple).
  7. RADIUS Access-Accept : Le serveur RADIUS valide les identifiants et renvoie un paquet Access-Accept contenant les paramètres de session (par exemple, la durée de la session, les limites de bande passante) au contrôleur Ruckus.
  8. Rappel NBI : Le portail externe effectue un appel API vers l'interface Northbound (NBI) du contrôleur Ruckus à l'aide des identifiants WISPr, demandant au contrôleur d'autoriser l'adresse MAC du client.
  9. Accès Internet : Le contrôleur fait passer l'état du client à « Authentifié », permettant un accès complet à Internet conformément aux politiques de session configurées.

architecture_overview.png

Comparaison de l'Architecture Centrale

Selon la taille du site, les organisations déploient soit l'architecture CommScope Ruckus SmartZone (échelle entreprise, basée sur un contrôleur), soit Ruckus Unleashed (distribuée, sans contrôleur). Bien que toutes deux prennent en charge les Captive Portals externes basés sur WISPr, leurs chemins de configuration sous-jacents et leurs capacités diffèrent considérablement :

Caractéristique Technique Ruckus SmartZone (vSZ / SZ144 / SZ300) Ruckus Unleashed (AP Distribué)
Architecture du Contrôleur Équipement physique ou virtuel centralisé gérant jusqu'à 10 000 AP. Architecture AP maître-membre distribuée gérant jusqu'à 50 AP.
Chemin de Configuration Services > Hotspots & Portals > Hotspot (WISPr) Admin & Services > Services > Hotspot Services
Méthode de Rappel API Interface Northbound (NBI) via les ports TCP 9080/9443. Authentification RADIUS directe/locale sans rappels API externes.
Chiffrement de l'Adresse MAC Activé par défaut ; doit être désactivé via la CLI (no encrypt-mac-ip). Désactivé par défaut ; les adresses MAC sont transmises en texte clair.
Walled Garden Wildcards Prend en charge le formatage complet par caractères génériques (ex. *.purple.ai). Prend en charge les entrées au niveau du domaine (ex. purple.ai).
Support Proxy RADIUS Pris en charge via "Proxy (SZ Authenticator)" ou AAA direct. Pris en charge via la configuration directe du serveur AAA.
Déploiements cibles Stades, grands hôtels, hubs de Transport , campus de Santé . Hôtels de taille moyenne, magasins de Détail , Écoles .

Guide d'implémentation

Ce guide d'implémentation étape par étape accompagne les ingénieurs réseau dans la configuration d'un Captive Portal externe sur les contrôleurs Ruckus SmartZone et Ruckus Unleashed.

Partie A : Configuration de Ruckus SmartZone

Étape 1 : Configurer les serveurs RADIUS AAA

Pour authentifier les utilisateurs invités par rapport à une base de données externe, vous devez d'abord définir les serveurs d'authentification et de comptabilité RADIUS.

  1. Naviguez vers Services & Profiles > Authentication et sélectionnez l'onglet Proxy (SZ Authenticator).
  2. Sélectionnez votre Zone cible et cliquez sur Create.
  3. Configurez les paramètres suivants :
    • Name : Purple_RADIUS_Auth
    • Service Protocol : RADIUS
    • Primary Server IP : Saisissez l'adresse IP fournie dans votre console d'administration Purple.
    • Port : 1812
    • Shared Secret : Saisissez votre secret partagé Purple RADIUS.
    • Backup RADIUS : Enabled (Configurez l'adresse IP secondaire, le port 1812 et le même secret partagé pour la haute disponibilité).
  4. Cliquez sur OK pour enregistrer.
  5. Naviguez vers Services & Profiles > Accounting et cliquez sur Create sous l'onglet Proxy (SZ Authenticator).
  6. Configurez les paramètres suivants :
    • Name : Purple_RADIUS_Acct
    • Service Protocol : RADIUS Accounting
    • Primary Server IP : Saisissez l'adresse IP fournie dans votre console d'administration Purple.
    • Port : 1813
    • Shared Secret : Saisissez votre secret partagé Purple RADIUS.
    • Backup RADIUS : Enabled (Configurez l'adresse IP secondaire, le port 1813 et le même secret partagé).
  7. Cliquez sur OK pour enregistrer.

Étape 2 : Configurer le profil de portail Hotspot WISPr

Le profil Hotspot WISPr définit le comportement de redirection et les règles de Walled Garden.

  1. Naviguez vers Services & Profiles > Hotspots & Portals > Hotspot (WISPr).
  2. Sélectionnez votre Zone cible et cliquez sur Create.
  3. Dans la section General Options, configurez :
    • Portal Name : Purple_WISPr_Portal
    • WISPr Smart Client Support : None
    • Login URL : Sélectionnez External et saisissez l'URL de redirection principale fournie par Purple (ex. https://login.purple.ai/start).
    • Redirect MAC Format : AA:BB:CC:DD:EE:FF (Ce format est essentiel pour l'analyse de la base de données de Purple).
  4. Dans la section Start Page, configurez :
    • Sélectionnez Redirect to the following URL et saisissez : https://login.purple.ai/success.php
  5. Dans la section Session Options, configurez :
    • Session Timeout : 1440 minutes (24 heures, ou selon votre politique d'entreprise).
    • Période de grâce : 60 minutes (permet aux utilisateurs de se reconnecter dans l'heure sans avoir à se réauthentifier).
  6. Cliquez sur OK pour enregistrer le profil.

Étape 3 : Définir les exceptions du Walled Garden

Le Walled Garden permet aux clients non authentifiés de résoudre le DNS et de télécharger des ressources à partir de domaines spécifiques requis pour charger la page de splash et s'authentifier.

  1. Modifiez votre profil Purple_WISPr_Portal nouvellement créé.
  2. Faites défiler vers le bas et cliquez sur le signe + pour développer la section Walled Garden.
  3. Ajoutez les domaines obligatoires suivants. Notez que Ruckus SmartZone requiert le format générique *.domain.com :
    • *.purple.ai (Portail principal et domaine de redirection)
    • *.cloudfront.net (CDN pour le chargement des feuilles de style et des ressources JavaScript)
    • *.apple.com et captive.apple.com (Pour gérer le comportement de l'Apple Captive Network Assistant)
    • *.googleapis.com et *.gstatic.com (Pour l'API Google et la diffusion de ressources)
  4. Ajoutez tous les domaines de réseaux sociaux si vous activez la connexion sociale (par exemple, *.facebook.com, *.facebook.net pour la connexion Facebook).
  5. Cliquez sur OK pour enregistrer.

Étape 4 : Configurer le réseau sans fil invité (WLAN)

Maintenant, associez les serveurs RADIUS et le profil Hotspot à un nouveau SSID.

  1. Accédez à Wireless LANs et sélectionnez votre Zone cible.
  2. Cliquez sur Create pour créer un nouveau WLAN.
  3. Configurez les General Options :
    • Name : Guest_WiFi
    • SSID : !Free_Venue_WiFi
  4. Configurez les Security Options :
    • Authentication Type : Hotspot (WISPr)
    • Method : Open
    • Encryption Options : None
  5. Développez la section Hotspot Portal :
    • Hotspot (WISPr) Portal : Sélectionnez Purple_WISPr_Portal.
    • Authentication Service : Sélectionnez Purple_RADIUS_Auth.
    • Accounting Service : Sélectionnez Purple_RADIUS_Acct.
    • Send Interim Update : Réglez sur 5 minutes (essentiel pour le suivi des sessions en temps réel).
  6. Développez les RADIUS Options :
    • NAS ID : Réglez sur User-defined et saisissez l'identifiant de site attribué par Purple.
    • Called Station ID : Sélectionnez AP MAC.
    • Single Session ID : ON (Empêche la duplication de session entre les points d'accès).
  7. Cliquez sur OK pour déployer le WLAN.

Étape 5 : Activer l'interface WISPr Northbound (NBI)

La NBI permet à Purple de communiquer avec le SmartZone pour autoriser les clients.

  1. Accédez à Administration > External Services > WISPr Northbound Interface.
  2. Cochez la case Enable Northbound Interface support.
  3. Définissez un Username et un Password (par exemple, purple_nbi / SecureNbiPassword123!).
  4. Saisissez ces identifiants dans la console d'administration Purple sous Integrations > Ruckus SmartZone.

Étape 6 : Désactiver le chiffrement MAC/IP (ÉTAPE CLI CRITIQUE)

Par défaut, SmartZone chiffre les adresses MAC dans l'URL de redirection. Vous devez désactiver cette option pour que Purple puisse lire les adresses MAC des clients.

  1. Ouvrez une session SSH sur l'IP de gestion de votre contrôleur SmartZone.
  2. Connectez-vous avec vos identifiants d'administrateur.
  3. Exécutez les commandes suivantes :
    ruckus> enable
ruckus# config
ruckus(config)# no encrypt-mac-ip
ruckus(config)# end
ruckus# write memory

Partie B : Configuration de Ruckus Unleashed

Pour les sites de plus petite taille utilisant une architecture Unleashed sans contrôleur, configurez le Captive Portal via l'interface web du point d'accès principal.

Étape 1 : Définir les serveurs AAA

  1. Accédez à Admin & Services > Services > AAA Servers.
  2. Cliquez sur Create New pour ajouter le serveur d'authentification RADIUS :
    • Name : Purple_Auth
    • Type : RADIUS
    • IP Address : Saisissez l'adresse IP RADIUS de Purple.
    • Port : 1812
    • Shared Secret : Saisissez votre secret partagé RADIUS Purple.
  3. Cliquez sur OK.
  4. Cliquez sur Create New pour ajouter le serveur de comptabilité RADIUS :
    • Name : Purple_Acct
    • Type : RADIUS Accounting
    • IP Address : Saisissez l'adresse IP RADIUS de Purple.
    • Port : 1813
    • Shared Secret : Saisissez votre secret partagé RADIUS Purple.
  5. Cliquez sur OK.

Étape 2 : Configurer le service Hotspot

  1. Accédez à Admin & Services > Services > Hotspot Services.
  2. Cliquez sur Create New.
  3. Sous l'onglet General :
    • Name : Purple_Hotspot
    • Login URL : Saisissez votre URL de redirection Purple.
    • Start Page : Sélectionnez Redirect to the following URL et saisissez https://login.purple.ai/success.php.
  4. Sous l'onglet Authentication :
    • Authentication Server : Sélectionnez Purple_Auth.
    • Accounting Server : Sélectionnez Purple_Acct.
    • Interim Update : Définissez sur 5 minutes.
  5. Sous l'onglet Walled Garden :
    • Ajoutez les entrées au niveau du domaine (par ex., purple.ai, cloudfront.net, gstatic.com). Notez qu'Unleashed ne requiert pas le préfixe générique astérisque ; la correspondance standard au niveau du domaine est appliquée automatiquement.
  6. Cliquez sur OK pour enregistrer.

Étape 3 : Assigner le service Hotspot au WLAN

  1. Accédez à Wi-Fi Networks et cliquez sur Create.
  2. Définissez le Name et le SSID avec le nom de votre réseau invité.
  3. Définissez le Usage Type sur Hotspot Service.
  4. Sélectionnez Purple_Hotspot dans la liste des services.
  5. Cliquez sur OK pour publier le SSID sur l'ensemble des points d'accès Unleashed.

comparison_chart.png

Bonnes pratiques

Pour garantir des performances maximales, une sécurité optimale et la conformité réglementaire, les architectes réseau doivent mettre en œuvre les bonnes pratiques standard de l'industrie suivantes :

1. Segmentation granulaire du VLAN invité

Ne mappez jamais le trafic invité sur le VLAN natif ou de gestion. Isolez toujours les clients invités sur un VLAN dédié et non routable (par ex., VLAN 100). Mettez en œuvre des listes de contrôle d'accès (ACL) strictes sur le commutateur ou le pare-feu en amont pour empêcher le trafic invité d'atteindre les sous-réseaux de l'entreprise, les systèmes de point de vente (POS) et l'infrastructure IoT. Cette segmentation est une exigence fondamentale pour la conformité PCI DSS.

2. Optimisation RF haute densité

Dans les environnements à haute densité tels que les stades, les centres de conférence et les grands hubs commerciaux, le réglage RF est essentiel. Désactivez les débits de données hérités inférieurs (par exemple, désactivez les débits 802.11b inférieurs à 12 Mbps) pour forcer les clients à utiliser des débits plus rapides, réduisant ainsi l'encombrement du temps d'antenne. Activez le Band Steering pour diriger les appareils clients bi-bande vers les spectres 5 GHz et 6 GHz, préservant ainsi la bande 2.4 GHz très encombrée pour les appareils hérités.

3. Gestion dynamique du Walled Garden

Gardez votre Walled Garden aussi restreint que possible. Des Walled Gardens trop permissifs (comme l'ajout de grands sous-réseaux IP tels que 172.217.0.0/16) peuvent permettre à des utilisateurs non authentifiés de contourner le Captive Portal et d'accéder à des services externes (comme Google Search ou YouTube) sans se connecter. Inspectez régulièrement les domaines de votre Walled Garden, en particulier après l'activation de nouveaux fournisseurs de connexion sociale.

4. Gestion sécurisée des sessions

Définissez des délais d'expiration de session raisonnables (par exemple, 1440 minutes / 24 heures) et des périodes de grâce (par exemple, 60 minutes). Une période de grâce bien configurée évite la « fatigue du portail » en permettant aux utilisateurs qui perdent temporairement la couverture WiFi (par exemple, en sortant du hall d'un hôtel) de se reconnecter de manière transparente sans être obligés de se réauthentifier.

5. Conformité réglementaire et sécurité

Le déploiement d'un réseau WiFi invité public expose les sites à des risques juridiques. Assurez-vous que l'intégration de votre Captive Portal est conforme aux réglementations locales :

  • GDPR / CCPA : Assurez-vous que la splash page affiche des conditions d'utilisation et des politiques de confidentialité claires, nécessitant un consentement actif (opt-in) pour les communications marketing.
  • Mode de transition WPA3 : Bien que les réseaux invités soient généralement ouverts, envisagez d'activer le mode de transition WPA3 avec l'Opportunistic Wireless Encryption (OWE) pour chiffrer le trafic sans fil entre le client et l'AP sans nécessiter de clé pré-partagée, protégeant ainsi les invités de l'écoute passive.
  • Filtrage de contenu Web : Les serveurs DNS en amont (tels que Cisco Umbrella ou Cloudflare Families) doivent être configurés pour bloquer les domaines malveillants, les contenus pour adultes et le trafic de partage de fichiers illégal sur le VLAN invité.

Dépannage et atténuation des risques

Lors du déploiement de Captive Portals externes sur du matériel Ruckus, les ingénieurs rencontrent généralement un ensemble prévisible de problèmes de configuration et de chemin réseau. Utilisez ce cadre de dépannage structuré pour résoudre les goulots d'étranglement du déploiement.

Modes de défaillance courants et pistes de résolution

Problème 1 : Les appareils invités ne sont pas redirigés vers la page du Captive Portal.

  • Cause racine A : Échec de la résolution DNS. Les clients non authentifiés doivent pouvoir résoudre les requêtes DNS avant la redirection. Si le client ne peut pas résoudre login.purple.ai, la redirection échouera.
    • Résolution : Vérifiez que la plage DHCP attribuée au VLAN invité fournit des serveurs DNS publics valides (par exemple, 1.1.1.1 ou 8.8.8.8). Assurez-vous que le pare-feu en amont autorise le trafic du port UDP 53 depuis le sous-réseau invité vers Internet avant l'authentification.
  • Cause racine B : Le pare-feu bloque le port 9080/9443. SmartZone nécessite l'ouverture de ports spécifiques pour charger la splash page.
    • Résolution : Assurez-vous que le port TCP 9080 (HTTP) ou 9443 (HTTPS) est autorisé à travers tous les pare-feux locaux.
  • Cause racine C : Mauvaise configuration du Walled Garden. L'URL de redirection elle-même peut être bloquée.
    • Résolution : Assurez-vous que *.purple.ai est explicitement défini dans le Walled Garden WISPr du Hotspot.

Problème 2 : Les visiteurs peuvent voir et remplir la page de connexion, mais ne peuvent pas accéder à Internet après avoir cliqué sur « Se connecter ».

  • Cause racine A : Échec de communication NBI. Le portail externe ne peut pas renvoyer l'appel API d'autorisation au contrôleur SmartZone.
    • Résolution : Vérifiez que l'interface Northbound (NBI) du SmartZone est activée et que les identifiants saisis dans la console d'administration Purple correspondent à la configuration du contrôleur. Assurez-vous que votre pare-feu périphérique autorise le trafic entrant sur le port TCP 9080 (ou 9443) depuis la plage d'adresses IP publiques de Purple vers l'IP de gestion du SmartZone.
  • Cause racine B : Échec d'authentification RADIUS. Le contrôleur rejette le message RADIUS Access-Accept ou ne l'a pas reçu.
    • Résolution : Accédez à Services & Profiles > Authentication sur le SmartZone, sélectionnez votre serveur RADIUS et cliquez sur Test AAA. Saisissez des identifiants de test pour vérifier la connectivité. Si le test échoue, vérifiez l'IP RADIUS, le port 1812 et le Secret Partagé. Assurez-vous que les ports UDP 1812 et 1813 sont autorisés en sortie sur votre pare-feu périphérique.

Problème 3 : Les appareils Apple iOS n'affichent pas automatiquement le mini-navigateur Captive Network Assistant (CNA).

  • Cause racine : Contournement du CNA Apple activé ou Walled Garden trop permissif. Si le domaine de test d'Apple est autorisé dans le walled garden, iOS suppose qu'il dispose d'un accès Internet direct et masque le CNA.
    • Résolution : Assurez-vous que captive.apple.com n'est PAS entièrement contourné dans votre walled garden si vous souhaitez forcer l'apparition du CNA. Inversement, si votre politique consiste à contourner le CNA et à forcer les utilisateurs à ouvrir un navigateur standard, assurez-vous que l'option Bypass CNA est activée (ON) dans la configuration du WLAN.

Exigences relatives aux ports réseau et aux protocoles

Pour garantir une communication fluide entre le contrôleur Ruckus, les appareils clients et le portail externe, vérifiez que les ports suivants sont autorisés sur vos pare-feux réseau :

Source Destination Protocole Port Objectif
Sous-réseau Invités DNS Public UDP 53 Résolution DNS pré-authentification.
Sous-réseau Invités Contrôleur SmartZone TCP 9080 / 9443 Redirection du Captive Portal et authentification web WISPr.
Contrôleur SmartZone Serveurs RADIUS Purple UDP 1812 Trafic d'authentification RADIUS.
Contrôleur SmartZone Serveurs RADIUS Purple UDP 1813 Comptabilité RADIUS / Suivi de session.
Purple Portal Cloud Contrôleur SmartZone TCP 9080 / 9443 Rappels API entrants de l'interface Northbound (NBI).

ROI & Impact Commercial

Alors que les ingénieurs réseau se concentrent sur les flux de paquets et les configurations de ports, les directeurs informatiques et les CTO doivent justifier l'investissement dans le WiFi invité d'entreprise. L'intégration du matériel haute densité Ruckus avec la plateforme Purple's WiFi Analytics transforme un réseau considéré comme un centre de coûts en un actif commercial à forte valeur ajoutée, offrant un retour sur investissement (ROI) mesurable.

1. Capture de données de première partie à grande échelle

Dans des secteurs comme le Retail et l' Hospitality , la compréhension de la démographie des clients est un moteur essentiel de la croissance de l'entreprise. Un SSID ouvert standard ne capture aucune donnée visiteur. En implémentant le Captive Portal de Purple, les sites atteignent des taux moyens de complétion de connexion de 25 % à 40 %. Cela permet aux exploitants de capturer légalement des adresses e-mail vérifiées, des numéros de téléphone et des profils sociaux.

2. Marketing et engagement hyper-localisés

En associant les services de localisation précis de Ruckus au moteur marketing de Purple, les sites peuvent déclencher des campagnes automatisées en temps réel basées sur la présence physique. Par exemple, une marque de retail peut déclencher l'envoi d'un coupon SMS ciblé à un client qui parcourt un rayon spécifique depuis plus de 15 minutes, ou un hôtel peut envoyer un e-mail de bienvenue avec un lien pour réserver des services de spa immédiatement après la connexion du client au WiFi du hall.

3. Efficacité opérationnelle et insights sur les sites

L'intégration des portails captifs aux analyses de localisation fournit une intelligence opérationnelle puissante. Les directeurs de sites peuvent surveiller :

  • Fréquentation et temps de séjour : Mesurez le nombre exact de visiteurs, leur temps de présence et leur parcours dans l'espace physique.
  • Fidélité et taux de retour : Identifiez les nouveaux visiteurs par rapport aux visiteurs réguliers pour évaluer l'impact des campagnes marketing et des changements opérationnels.
  • Optimisation du personnel : Alignez les effectifs sur les cartes de densité des visiteurs en temps réel, réduisant ainsi les frais généraux pendant les heures creuses et améliorant le service client pendant les heures de pointe.

Matrice d'impact commercial

Le tableau ci-dessous présente les résultats commerciaux types dans les principaux secteurs verticaux suite au déploiement d'un réseau WiFi invité intégré Ruckus et Purple :

Secteur vertical Défi commercial principal Solution Ruckus + Purple Impact commercial mesurable
Hospitality (Hôtels, Resorts) Forte friction lors de l'accueil des clients ; faibles taux de réservation directe ; faible volume d'avis. Accueil fluide via WISPr ; déclencheurs d'e-mails automatisés après le séjour liés à TripAdvisor. Augmentation de 20 % des réservations directes ; augmentation de 35 % du volume d'avis en ligne positifs.
Retail (Centres commerciaux, Flagships) Incapacité à suivre les parcours physiques des visiteurs ; faible taux d'inscription aux programmes de fidélité. Capture des données démographiques via la page d'accueil ; suivi des parcours physiques et des temps de séjour. Croissance de 15 % de la base de données de fidélité ; augmentation de 10 % du panier moyen via des SMS ciblés.
Transport (Aéroports, Gares) Forte congestion ; processus d'accès passager multilingue complexe. Performance des AP Ruckus haute densité ; Captive Portal multilingue avec suivi des vols. Réduction de 40 % des tickets de support liés à la connexion ; augmentation de 25 % des dépenses dans les concessions commerciales.
Santé (Hôpitaux, Cliniques) Conformité stricte en matière de sécurité ; charge administrative élevée pour l'accès des visiteurs. VLAN invité isolé ; portail d'auto-enregistrement sécurisé ; intégration avec les solutions NAC . Conformité à 100 % avec HIPAA et PCI DSS ; réduction de 30 % du volume de tickets d'assistance informatique.

En alignant l'excellence technique de l'ingénierie sans fil avec les objectifs stratégiques de l'entreprise, l'intégration de Ruckus et Purple offre une infrastructure réseau d'entreprise sécurisée, conforme et hautement rentable.

Références

Définitions clés

WISPr (Wireless Internet Service Provider roaming)

Un projet de protocole développé par la Wi-Fi Alliance qui permet aux clients intelligents et aux navigateurs web de s'authentifier automatiquement auprès d'un point d'accès sans fil à l'aide d'une redirection XML standardisée ou HTTP 302.

Utilisé comme protocole de redirection principal dans les contrôleurs Ruckus pour rediriger les appareils invités non authentifiés vers des plateformes de Captive Portal externes.

Northbound Interface (NBI)

Une API exposée par le contrôleur Ruckus SmartZone qui permet aux portails web externes d'envoyer des rappels d'autorisation, demandant au contrôleur d'accorder l'accès Internet à une adresse MAC client spécifique.

Doit être activé sur le port TCP 9080 (HTTP) ou 9443 (HTTPS) pour permettre à Purple d'autoriser les sessions d'invités après une connexion réussie.

Walled Garden

Une liste d'adresses IP, de sous-réseaux ou de noms de domaine auxquels les clients invités non authentifiés sont autorisés à accéder avant l'authentification.

Doit être configuré avec le domaine du portail, les CDN et les points de terminaison de détection de Captive Portal du système d'exploitation pour garantir que la page d'accueil se charge correctement.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau fonctionnant sur les ports UDP 1812 (Authentification) et 1813 (Comptabilité) qui fournit une gestion centralisée de l'Authentification, de l'Autorisation et de la Comptabilité (AAA) pour les utilisateurs.

Les contrôleurs Ruckus transmettent les données de session client aux serveurs RADIUS de Purple pour valider les identifiants et suivre la durée des sessions.

CNA (Captive Network Assistant)

Un navigateur léger et limité intégré aux systèmes d'exploitation (comme Apple iOS/macOS et Android) qui se lance automatiquement lorsqu'un réseau ouvert avec un Captive Portal actif est détecté.

Peut être contourné dans les paramètres WLAN si les ingénieurs souhaitent forcer les invités à ouvrir manuellement un navigateur complet pour terminer l'authentification.

Interim Accounting Update

Un message RADIUS périodique envoyé par le contrôleur sans fil au serveur RADIUS pour mettre à jour l'état de la session active, la consommation de bande passante et le temps de connexion.

Doit être configuré sur 5 minutes dans la configuration WLAN de Ruckus pour garantir que le tableau de bord de Purple affiche des analyses précises et en temps réel.

Client Isolation

Une fonctionnalité de sécurité configurée sur le contrôleur sans fil qui empêche les clients sans fil connectés au même AP ou SSID de communiquer directement entre eux.

Essentiel pour les réseaux WiFi invités afin de protéger les utilisateurs contre l'usurpation ARP locale, les attaques de l'homme du milieu et l'analyse non autorisée des appareils.

WPA3-Transition Mode

Une configuration de sécurité qui permet aux appareils plus anciens compatibles WPA2 et aux appareils plus récents compatibles WPA3 de se connecter simultanément au même SSID.

Peut être déployé sur les réseaux invités avec Opportunistic Wireless Encryption (OWE) pour fournir un chiffrement hertzien pour les SSID ouverts sans nécessiter de mot de passe.

Exemples concrets

Un centre de conférences à haute densité déployant Ruckus SmartZone (vSZ) doit mettre en œuvre un réseau WiFi invité utilisant le Captive Portal de Purple. Le réseau doit gérer jusqu'à 5 000 sessions simultanées, isoler le trafic invité des sous-réseaux d'entreprise et prendre en charge l'authentification par connexion sociale.

  1. Configurez un VLAN 200 invité dédié sur les commutateurs principaux et mappez-le à la zone AP Ruckus. Définissez une plage DHCP avec des serveurs DNS publics (par exemple, 1.1.1.1, 8.8.8.8) et un temps de bail court (2 heures) pour s'adapter à une rotation élevée.
  2. Dans SmartZone, accédez à Services & Profiles > Authentication > Proxy (SZ Authenticator) et créez des serveurs RADIUS principal/secondaire pointant vers les IP Cloud RADIUS de Purple sur le port 1812 avec le secret partagé fourni.
  3. Créez des serveurs RADIUS Accounting pointant vers les IP d'Accounting de Purple sur le port 1813. Définissez l'intervalle de mise à jour intermédiaire sur 5 minutes pour suivre avec précision les sessions actives.
  4. Créez un profil de portail Hotspot WISPr. Définissez l'URL de connexion sur "External" avec l'URL de redirection Purple. Ajoutez des exceptions génériques de walled garden pour ".purple.ai", ".cloudfront.net" et les domaines de réseaux sociaux (par exemple, "*.facebook.com").
  5. Créez le WLAN invité. Définissez le type d'authentification sur Hotspot (WISPr), sélectionnez le profil Hotspot nouvellement créé et associez les services d'authentification et d'accounting RADIUS. Définissez le Called Station ID sur "AP MAC" et activez "Single Session ID".
  6. Accédez à l'interface CLI de SmartZone via SSH et exécutez "no encrypt-mac-ip" pour transmettre les adresses MAC brutes au portail. Activez l'interface WISPr Northbound Interface (NBI) sur le contrôleur et saisissez les identifiants dans la console d'administration du portail Purple pour activer les rappels d'autorisation NBI.
Commentaire de l'examinateur : Cette architecture est hautement résiliente et conforme. L'utilisation d'un VLAN 200 dédié répond aux exigences de segmentation PCI DSS. Le temps de bail DHCP court de 2 heures évite l'épuisement des adresses IP dans les scénarios à haute densité. L'activation de l'accounting RADIUS avec une mise à jour intermédiaire de 5 minutes garantit que le site dispose d'un suivi des sessions en temps réel, permettant à Purple de surveiller avec précision l'utilisation de la bande passante. La désactivation du chiffrement des adresses MAC via la CLI est une étape critique ; sans cela, le portail recevrait des adresses MAC hachées et ne parviendrait pas à corréler les sessions. La configuration du rappel NBI est le seul moyen sécurisé d'autoriser les clients sur Ruckus SmartZone sans créer de boucles d'authentification locales.

Un hôtel-boutique de taille moyenne de 45 chambres souhaite déployer un WiFi invité avec une page d'accueil externe à l'aide de Ruckus Unleashed APs. Il nécessite une configuration légère et sans contrôleur qui ne nécessite pas de gestion CLI ni de port API NBI public.

  1. Connectez-vous à l'interface web de l'AP maître Unleashed. Allez dans Admin & Services > Services > AAA Servers et créez des entrées de serveur RADIUS Authentication (Port 1812) et Accounting (Port 1813) pointant vers l'infrastructure Cloud RADIUS de Purple.
  2. Accédez à Admin & Services > Services > Hotspot Services et cliquez sur Create New. Nommez le service "Purple_Hotel_Hotspot".
  3. Sous l'onglet General, définissez l'URL de connexion sur l'URL de redirection du portail Purple. Définissez la page de démarrage pour rediriger vers " https://login.purple.ai/success.php ".
  4. Sous l'onglet Authentication, sélectionnez les serveurs RADIUS nouvellement créés. Définissez l'intervalle de mise à jour intermédiaire de l'accounting sur 5 minutes.
  5. Sous l'onglet Walled Garden, ajoutez les domaines requis en tant qu'entrées de niveau domaine (par exemple, "purple.ai", "cloudfront.net", "gstatic.com"). Notez qu'Unleashed ne requiert ni ne prend en charge le préfixe générique astérisque (*.domaine.com).
  6. Allez dans Wi-Fi Networks, cliquez sur Create, et définissez le nom du SSID (par exemple, "Hotel_Guest_WiFi"). Définissez le type d'utilisation sur "Hotspot Service" et sélectionnez "Purple_Hotel_Hotspot" dans la liste déroulante. Enregistrez la configuration pour synchroniser automatiquement le SSID sur l'ensemble des 45 Unleashed APs.
Commentaire de l'examinateur : Pour les déploiements PME et de taille moyenne de moins de 50 AP, Ruckus Unleashed offre une architecture distribuée très rentable. Comme Unleashed n'applique pas de chiffrement d'adresse MAC par défaut, l'étape CLI requise dans SmartZone est évitée. De plus, Unleashed ne nécessite pas de rappel Northbound Interface (NBI) pour l'autorisation ; à la place, l'autorisation du client est négociée directement via des transactions RADIUS standard entre l'AP maître et le serveur RADIUS. Cela simplifie la configuration du pare-feu car aucun port entrant (comme 9080/9443) n'a besoin d'être ouvert vers le contrôleur depuis Internet.

Questions d'entraînement

Q1. An engineer has configured a Ruckus SmartZone captive portal integration. When users connect to the guest WiFi, they are redirected to the login page. However, after entering their credentials and clicking 'Connect', they are immediately redirected back to the login page in an infinite loop. What is the most likely cause of this issue, and how should it be resolved?

Conseil : Focus on the communication between the portal cloud and the SmartZone controller after authentication is completed.

Voir la réponse type

The most likely cause is a failure in the WISPr Northbound Interface (NBI) callback or a RADIUS authentication mismatch. When the user clicks 'Connect', the portal authenticates the user and attempts to send an NBI callback to the SmartZone controller on TCP port 9080 or 9443 to authorize the client's MAC address. If the edge firewall blocks this inbound port, or if the NBI credentials entered in the portal console do not match the controller's settings, the controller never authorizes the client. Consequently, when the client attempts to access the internet again, the controller intercepts the traffic and redirects them back to the portal. To resolve this: 1) Verify that TCP port 9443 (or 9080) is open inbound on the edge firewall from the portal's IP range to the SmartZone's management IP. 2) Check the SmartZone's NBI configuration under Administration > WISPr Northbound Interface and confirm that the username and password match what is configured in the portal admin console. 3) Test RADIUS connectivity on the SmartZone under Services & Profiles > Authentication > Test AAA to ensure the shared secret is correct.

Q2. During the deployment of a guest WiFi network on a Ruckus Unleashed cluster, several guests report that the splash page loads with broken images and styling, and the social login options fail to function. Other guests on different devices cannot load the splash page at all. What is the most likely configuration error?

Conseil : Analyze the difference between the domains that load successfully and those that fail pre-authentication.

Voir la réponse type

The most likely cause is a misconfigured or incomplete Walled Garden. Unauthenticated clients are blocked from accessing any internet destinations except those explicitly defined in the Walled Garden. If the splash page loads with broken styling and images, it means the browser is blocked from downloading those assets from external CDNs. If social login options fail, it means the social provider's authentication endpoints (e.g., Facebook or Google OAuth URLs) are blocked. To resolve this: 1) Audit the Walled Garden entries in the Unleashed Hotspot Service configuration. 2) Ensure that all CDN domains used by the portal (such as '.cloudfront.net') and core portal domains (such as 'purple.ai') are added. 3) If social login is enabled, add the specific social provider domains (e.g., '.facebook.com', '.facebook.net', '.google.com'). 4) Note that Unleashed uses domain-level matching, so do not include the asterisk wildcard prefix (e.g., use 'purple.ai' instead of '*.purple.ai').

Q3. A wireless engineer is migrating a guest WiFi network from Ruckus Unleashed to a centralized Virtual SmartZone (vSZ) controller. They copy the Walled Garden list exactly as it was configured in Unleashed: 'purple.ai', 'cloudfront.net', 'apple.com'. However, after the migration, clients on the vSZ network cannot load the splash page. What is the syntax difference that caused this failure?

Conseil : Review the specific wildcard formatting rules for Ruckus SmartZone compared to Ruckus Unleashed.

Voir la réponse type

The failure is caused by a syntax difference in how the two platforms parse Walled Garden entries. Ruckus Unleashed applies automatic domain-level matching, meaning that entering 'purple.ai' automatically covers all subdomains (such as 'login.purple.ai' or 'assets.purple.ai'). However, Ruckus SmartZone does not apply automatic subdomain matching; it requires explicit wildcard formatting using the asterisk prefix (e.g., '.purple.ai'). If the engineer entered 'purple.ai' in SmartZone, the controller would permit traffic only to the root domain, blocking the client from loading the actual login page at 'login.purple.ai'. To resolve this, the engineer must edit the Hotspot WISPr profile in SmartZone and update the Walled Garden entries to use the correct format: '.purple.ai', '.cloudfront.net', and '.apple.com'.

Continuer la lecture de cette série

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Lire le guide →

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Lire le guide →

Intégration des points d'accès Grandstream GWN avec Purple WiFi

Ce guide de référence technique officiel détaille comment intégrer les points d'accès Grandstream GWN avec le Guest WiFi de Purple et sa plateforme d'analyse. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage dynamique des VLAN, et la segmentation PPSK multi-tenant - offrant ainsi des instructions étape par étape directement exploitables pour les MSP et les équipes informatiques déployant du WiFi invités et personnel à grande échelle.

Lire le guide →