Captive Portal pour Ruijie : configurez-le avec le WiFi invité Purple

Parlez en anglais britannique avec un ton confiant, autoritaire et conversationnel - comme un consultant informatique senior s'adressant à un client. Un rythme mesuré, une diction claire, professionnel mais sans rigidité. Mettez parfois l'accent de manière naturelle sur les termes techniques clés : Comment configurer un Captive Portal Ruijie pour le WiFi invité. Un briefing technique Purple. [pause moyenne] INTRODUCTION ET CONTEXTE. [courte pause] Bienvenue. Au cours des dix prochaines minutes, nous allons couvrir tout ce que vous devez savoir pour configurer un Captive Portal Ruijie pour le WiFi invité - des décisions d'architecture qui déterminent le succès ou l'échec de votre déploiement, aux étapes de configuration spécifiques que la plupart des guides omettent totalement. Si vous êtes responsable informatique, architecte réseau ou directeur des opérations sur site dans un hôtel, une chaîne de magasins, un stade ou un centre de conférence, et que vous disposez d'équipements Ruijie sur site ou que vous les évaluez, ce briefing est pour vous. Ruijie Networks est l'un des fournisseurs de réseaux sans fil d'entreprise qui connaît la croissance la plus rapide au monde. Selon les données d'IDC, Ruijie détient la première place sur le marché WLAN d'entreprise en Chine avec une part de 23,34 %, et leur présence se développe rapidement en Europe, au Moyen-Orient et en Asie-Pacifique. Leurs contrôleurs sans fil de la série RG-WS, les passerelles de la série Reyee EG et les points d'accès RG-RAP gérés par le cloud sont désormais déployés dans des milliers de sites à travers le monde. Mais voilà le problème. Pour réussir le WiFi invité sur le matériel Ruijie - en particulier la partie Captive Portal - il faut d'abord comprendre quelques décisions architecturales clés. Si vous prenez de mauvaises décisions, vous vous retrouverez avec un portail qui ne fonctionne pas sur iOS, des invités qui ne peuvent pas s'authentifier et un réseau soit trop ouvert, soit trop verrouillé. Corrigeons cela. [pause moyenne] ANALYSE TECHNIQUE APPROFONDIE. [courte pause] Tout d'abord, l'architecture. Ruijie propose trois modèles de déploiement distincts pour les portails captifs WiFi invités, et le choix du bon modèle dépend de votre échelle et de vos exigences de gestion. Le premier modèle est le portail natif géré par Ruijie Cloud ou JaCS. JaCS est le système de gestion de Ruijie axé sur l'hôtellerie. Il s'agit de l'option intégrée. Vous vous connectez à Ruijie Cloud, accédez à Device Config, puis à Basic, créez ou modifiez votre SSID invité, activez l'option Authentication et sélectionnez Captive Portal comme mode. JaCS prend en charge les scénarios Hotel et Other et offre un outil de création de portail par glisser-déposer avec des options de connexion comprenant l'accès en un clic, les codes de réduction et la connexion par compte. C'est le bon choix pour les déploiements de petite taille - un seul hôtel, une boutique ou un centre de conférence qui souhaite une page d'accueil rapide et personnalisée sans dépendances externes. Le deuxième modèle est le Captive Portal externe via WISPr et RADIUS. WISPr - Wireless Internet Service Provider roaming - est le protocole qui gère la redirection et le protocole d'authentification entre la passerelle Ruijie et une plateforme de portail externe. C'est l'approche de classe entreprise. C'est ce dont vous avez besoin lorsque vous souhaitez intégrer Ruijie avec une plateforme d'intelligence WiFi tierce pour les invités. Ici, vous accédez à Auth et Account dans l'interface Ruijie, sélectionnez Captive Portal, définissez le Policy Mode sur External, et pointez l'URL du Portal Server vers votre plateforme externe. Vous configurez ensuite un groupe de serveurs RADIUS avec les identifiants fournis par votre plateforme. Ce modèle se déploie sur des centaines de sites, vous offre des analyses centralisées et vous permet d'exécuter des flux de capture de données conformes à la réglementation GDPR. Le troisième modèle est le mode AP autonome. Les points d'accès Reyee de Ruijie exécutant ReyeeOS version 1.219 ou ultérieure peuvent héberger un Captive Portal local sans passerelle, ce qui est utile pour les déploiements temporaires ou les petits sites sans routeur EG. Cependant, les fonctionnalités sont limitées par rapport aux déploiements basés sur une passerelle - considérez donc cela comme une solution de secours et non comme une architecture principale. [medium pause] À présent, l'élément critique que la plupart des guides ignorent complètement : l'isolation VLAN. Lorsque vous créez un SSID invité sur Ruijie, vous disposez de deux options de transfert - le mode NAT et le mode VLAN. Le mode NAT est plus simple. La passerelle attribue aux appareils des invités des adresses provenant d'un pool dédié, généralement 192.168.23.0 slash 24 par défaut, et tout le trafic invité est traduit (NAT) vers Internet. Cela fonctionne pour une preuve de concept, mais vous offre une visibilité et un contrôle limités sur le trafic invité au niveau de la couche 3. Le mode VLAN est le bon choix pour tout déploiement en production. Vous attribuez le SSID invité à un VLAN dédié, par exemple le VLAN 100, et vous utilisez des ACL sur la passerelle pour empêcher le trafic invité d'atteindre votre VLAN d'entreprise. Le schéma est le suivant : créer une liste d'accès étendue, refuser le trafic IP du sous-réseau invité vers le sous-réseau d'entreprise, autoriser tout le reste, et appliquer cette liste d'accès en entrée sur l'interface BVI invité. C'est le même principe que vous appliqueriez sur Cisco Meraki, HPE Aruba ou Ruckus - Ruijie utilise simplement sa propre syntaxe CLI. Les normes de sécurité sont importantes ici. Ruijie prend en charge le WPA3-Personal et le mode mixte WPA2 slash WPA3 sur les SSID invités. Pour un réseau invité où vous souhaitez un accès sans friction, vous utilisez généralement un SSID ouvert avec authentification par Captive Portal plutôt qu'une clé pré-partagée. Le Captive Portal devient votre couche d'authentification. Si vous avez besoin d'une sécurité plus renforcée - par exemple pour un environnement de santé ou de services financiers - vous pouvez superposer la norme 802.1X par-dessus, en utilisant EAP-TLS ou PEAP avec un serveur RADIUS pour une authentification basée sur des certificats ou des identifiants. Les contrôleurs de la série RG-WS de Ruijie prennent en charge le 802.1X complet avec attribution dynamique de VLAN, ce qui signifie que vous pouvez attribuer différents VLAN à différents groupes d'utilisateurs en fonction des attributs RADIUS. [medium pause] Le walled garden - ou liste d'autorisation - est un autre élément qui pose souvent problème. Avant qu'un utilisateur invité ne s'authentifie via le Captive Portal, son appareil fonctionne en mode restreint. Il ne peut accéder qu'aux domaines que vous avez explicitement autorisés. Au minimum, vous devez autoriser le domaine et l'adresse IP de votre plateforme de portail, tous les fournisseurs de connexion sociale que vous utilisez, et le point de terminaison de détection de Captive Portal d'Apple - captive.apple.com. Si vous oubliez ce dernier, les appareils iOS afficheront un portail dégradé. Vous configurez la liste d'autorisation dans Ruijie Cloud sous Auth and Account, puis Allowlist. Ajoutez chaque domaine et adresse IP individuellement. [medium pause] RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER. [short pause] Permettez-moi de vous présenter les quatre décisions qui déterminent le succès ou l'échec de votre déploiement WiFi invité Ruijie. Décision un : portail natif par rapport à une plateforme externe. Si vous gérez plus de cinq sites, ou si vous devez collecter des données de première partie à des fins marketing, utilisez une plateforme externe. Purple, par exemple, fonctionne comme une solution cloud superposée indépendante du matériel sur plus de 80 000 sites actifs. Vous pointez votre passerelle Ruijie vers l'URL du portail de Purple, configurez les identifiants RADIUS, et vous obtenez des analyses centralisées, une collecte de données conforme au GDPR et des intégrations CRM - le tout sans plus jamais toucher au matériel Ruijie. Purple a traité 440 millions de connexions rien qu'en 2024 et détient la certification ISO 27001, la conformité est donc entièrement gérée. Décision deux : NAT par rapport à VLAN. Utilisez toujours le mode VLAN pour les déploiements de production. Le mode NAT convient pour une démonstration de faisabilité, mais le mode VLAN vous offre une véritable isolation de couche 3, une gestion simplifiée des politiques de pare-feu et la possibilité d'appliquer des politiques de QoS par VLAN. Décision trois : gestion de la bande passante. Les passerelles EG de Ruijie intègrent des contrôles de QoS. Définissez des limites de téléchargement descendant et ascendant par utilisateur sur le SSID invité - généralement deux à cinq mégabits par seconde en téléchargement pour un réseau invité standard. Cela évite qu'un seul invité diffusant du contenu vidéo 4K ne dégrade l'expérience de tous les autres. Si vous utilisez une plateforme externe, désactivez Client Escape côté Ruijie pour vous assurer que les contrôles de bande passante de la plateforme s'appliquent correctement. Décision quatre : expiration de session et ré-authentification. Définissez une limite de session raisonnable - de huit à 24 heures pour le secteur de l'hôtellerie, et plus courte pour le commerce de détail ou les événements. Ruijie vous permet de configurer cela par politique de portail. Associez-le à une URL de redirection après connexion afin que les invités arrivent sur le site Web de votre établissement ou sur une page promotionnelle après s'être connectés. [medium pause] Le piège le plus courant que je constate est le déploiement d'un Captive Portal sans le tester simultanément sur iOS et Android. Apple et Google disposent tous deux de mécanismes de détection de Captive Portal qui se comportent différemment. Testez les deux avant la mise en service. Le deuxième piège le plus courant est d'oublier de synchroniser la configuration du portail avec le produit EG dans JaCS - il y a un bouton Synchronise explicite sur lequel vous devez cliquer après avoir créé ou modifié un portail, sinon la passerelle ne prend pas en compte les modifications. [medium pause] QUESTIONS ET RÉPONSES RAPIDES. [short pause] Permettez-moi de passer en revue les questions que l'on me pose le plus souvent. Les AP Ruijie peuvent-ils exécuter un Captive Portal sans passerelle ? Oui, sur ReyeeOS 1.219 ou version ultérieure, mais les fonctionnalités sont limitées par rapport aux déploiements basés sur une passerelle. Ruijie prend-il en charge le 802.1X pour les réseaux invités ? Oui, les contrôleurs de la série RG-WS prennent en charge le 802.1X complet avec attribution dynamique de VLAN via RADIUS. Puis-je intégrer Ruijie avec Purple ? Oui. Configurez le mode Captive Portal externe, pointez l'URL du portail vers le point de terminaison de Purple, configurez le groupe de serveurs RADIUS avec les identifiants de Purple, et ajoutez les domaines de Purple à la liste d'autorisation. L'architecture matérielle agnostique de Purple s'occupe du reste. Le WPA3 fonctionne-t-il avec les portails captifs ? Oui. Vous exécutez un SSID ouvert pour le flux de Captive Portal. Le WPA3 s'applique aux SSID authentifiés. Pour les réseaux invités, le portail lui-même constitue la couche d'authentification. Quels ports RADIUS Ruijie utilise-t-il ? Le port 1812 pour l'authentification et le port 1813 pour la comptabilisation - ce sont les ports standard attribués par l'IANA selon les normes RFC 2865 et RFC 2866. [medium pause] RÉSUMÉ ET PROCHAINES ÉTAPES. [short pause] En résumé, Ruijie Networks vous offre une plateforme performante et flexible pour le déploiement de WiFi invité et de Captive Portal. Les trois modèles de déploiement - portail cloud natif, portail externe basé sur RADIUS, et AP autonome - couvrent tous les besoins, du boutique-hôtel unique à la chaîne de vente au détail multisite. Les décisions clés sont : l'isolation VLAN plutôt que le NAT pour tout déploiement en production, une plateforme externe pour tout cas d'usage multisite ou de capture de données, une configuration correcte du walled garden pour éviter les échecs d'authentification iOS, et toujours tester sur iOS et Android avant la mise en service. Vos prochaines étapes : auditez vos versions actuelles de firmware Ruijie pour confirmer la compatibilité avec ReyeeOS. Décidez si vous avez besoin d'une gestion de portail native ou externe. Si vous gérez plus de cinq sites ou si vous avez besoin d'analyses, contactez Purple pour intégrer leur plateforme à votre infrastructure Ruijie. Purple est présent sur plus de 80 000 sites, traite des centaines de millions de connexions par an, et est certifié ISO 27001, GDPR et Cyber Essentials. Vous pouvez trouver la documentation d'intégration de Purple et demander une démo sur purple.ai. Merci pour votre écoute. Nous vous retrouverons lors du prochain briefing.