Voir la transcription du podcast
Bienvenue dans la série de briefings techniques Purple. Je suis votre hôte et aujourd'hui, nous abordons un sujet qui revient dans presque tous les déploiements WiFi d'entreprise - la configuration d'un Captive Portal sur les contrôleurs Ruckus SmartZone et Ruckus Unleashed. Que vous soyez un MSP déployant un WiFi invité dans une chaîne hôtelière, un responsable informatique du secteur de l'hôtellerie lançant un nouvel établissement, ou un ingénieur sans fil intégrant la plateforme de Purple à une infrastructure Ruckus, cet épisode est pour vous. C'est parti.
---
Tout d'abord - pourquoi l'intégration du Captive Portal Ruckus est-elle importante ? Ruckus, désormais sous la bannière de CommScope, est l'une des plateformes WiFi d'entreprise dominantes à l'échelle mondiale. SmartZone en particulier est le contrôleur de choix pour les environnements à haute densité - stades, centres de congrès, grands hôtels et chaînes de vente au détail. Lorsque vous déployez un WiFi invité à cette échelle, vous avez besoin de plus qu'un simple SSID ouvert. Il vous faut un flux d'authentification structuré, une capture de données conforme au GDPR et la possibilité d'envoyer ces données d'invités vers votre pile marketing. C'est exactement là qu'intervient une plateforme de Captive Portal externe comme Purple.
L'architecture repose ici sur un flux de point d'accès basé sur WISPr. WISPr signifie Wireless Internet Service Provider roaming - c'est une norme de l'industrie qui définit comment un contrôleur sans fil intercepte le trafic HTTP non authentifié et le redirige vers un portail externe. L'invité se connecte à votre SSID, son appareil envoie une requête HTTP, le contrôleur SmartZone l'intercepte et émet une redirection HTTP 302 vers l'URL de votre portail externe. L'invité s'authentifie - que ce soit via un identifiant de réseau social, un e-mail, un SMS ou un formulaire personnalisé - puis le portail communique à nouveau avec le contrôleur via l'interface Northbound, ou NBI, pour accorder l'accès. Un processus propre, basé sur des normes et hautement fiable lorsqu'il est configuré correctement.
---
Passons maintenant à la configuration technique. Je vais d'abord détailler SmartZone, puis j'aborderai les différences pour Unleashed.
Sur SmartZone - et cela s'applique aux déploiements physiques SZ300 comme virtuels vSZ - la configuration comporte quatre composants principaux : le profil du serveur d'authentification RADIUS, le profil du serveur de comptabilité RADIUS, le profil du portail Hotspot WISPr et le WLAN lui-même.
Commencez par vos serveurs RADIUS. Accédez à Services et Profils, puis Authentification. Créez un nouveau profil de serveur AAA. Définissez le protocole de service sur RADIUS. L'IP de votre serveur principal et le secret partagé vous seront fournis par votre fournisseur de portail - dans le cas de Purple, ceux-ci sont documentés dans la console d'administration du portail Purple. Port 1812 pour l'authentification. Configurez toujours un serveur RADIUS de secours pour la résilience - port 1812 sur le serveur secondaire également. Faites de même pour la comptabilité sous Services et Profils, Comptabilité - port 1813, même secret partagé.
Ensuite, le profil Hotspot WISPr. Allez dans Services et Profils, Hotspots et Portals, puis sélectionnez l'onglet Hotspot WISPr. Créez un nouveau profil. Définissez l'URL de connexion sur Externe, et saisissez l'URL de redirection de votre portail - c'est l'URL vers laquelle vos invités seront redirigés avant de s'authentifier. Définissez la page de démarrage pour rediriger vers une URL post-authentification, généralement une page de réussite ou la page d'accueil de votre site.
Maintenant, le Walled Garden. C'est ici que de nombreux ingénieurs commettent des erreurs. Le Walled Garden définit les domaines et les adresses IP qu'un invité peut atteindre avant de s'authentifier. Vous devez y inclure le domaine de votre portail, tous les domaines CDN ou de ressources à partir desquels votre portail se charge, et les points de terminaison standard de détection de Captive Portal des systèmes d'exploitation. Dans SmartZone, les caractères génériques sont pris en charge au format astérisque-point - par exemple, *.purple.ai. Cette seule entrée couvre tous les sous-domaines. Vous devez également inclure les domaines de détection de Captive Portal d'Apple - captive.apple.com - et les points de terminaison de vérification de connectivité de Google pour éviter que le mini-navigateur CNA ne fonctionne mal sur les appareils iOS et Android.
Une étape critique et facile à oublier : par défaut, SmartZone chiffre l'adresse MAC et l'adresse IP qu'il transmet au portail externe dans l'URL de redirection. Le fournisseur de votre portail doit voir l'adresse MAC réelle du client pour effectuer la gestion des sessions basée sur le MAC. Vous devez désactiver cette option via l'interface en ligne de commande (CLI). Connectez-vous en SSH à votre SmartZone, passez en mode configuration, et exécutez : no encrypt-mac-ip. C'est tout - une seule commande, mais c'est un point bloquant si vous l'ignorez.
L'interface Northbound est l'autre élément clé. Il s'agit de l'API qui permet à votre plateforme de portail de communiquer avec la SmartZone pour accorder ou refuser l'accès après l'authentification. Activez-la sous Administration, Services Externes, WISPr Northbound Interface. Définissez un nom d'utilisateur et un mot de passe, et fournissez ces informations d'identification à votre fournisseur de portail. L'NBI fonctionne sur le port TCP 9080 pour HTTP et 9443 pour HTTPS - assurez-vous que votre pare-feu autorise les connexions entrantes depuis la plage IP de votre plateforme de portail vers ces ports.
Enfin, créez votre WLAN. Définissez le type d'authentification sur Hotspot WISPr, sélectionnez le profil de votre portail et attribuez vos services d'authentification et de comptabilité RADIUS. Définissez le NAS ID sur Défini par l'utilisateur si votre fournisseur de portail requiert une valeur spécifique, définissez le Called Station ID sur AP MAC, et activez le Single Session ID. Ce dernier paramètre garantit que la session d'un invité est liée à un seul enregistrement de session de contrôleur, ce qui est essentiel pour une comptabilité précise.
---
Passons maintenant à Unleashed. L'architecture est fondamentalement différente - Unleashed est un modèle distribué sans contrôleur où un AP fait office de maître. La configuration se trouve dans Admin et Services, Services, Services Hotspot. Les étapes sont globalement similaires - créez un service Hotspot, configurez l'URL de votre portail externe, configurez votre serveur d'authentification AAA, ajoutez vos entrées de Walled Garden - mais il existe des différences clés.
Tout d'abord, il n'y a pas d'exigence d'interface Northbound dans Unleashed. Le modèle de communication du portail est plus simple. Deuxièmement, le chiffrement de l'adresse MAC n'est pas appliqué par défaut dans Unleashed, vous n'avez donc pas besoin de la commande CLI. Troisièmement, le walled garden d'Unleashed accepte les entrées au niveau du domaine plutôt que la syntaxe générique complète - vous devez donc saisir purple.ai plutôt que *.purple.ai. Consultez la documentation de votre fournisseur pour connaître le format exact requis.
Unleashed évolue jusqu'à environ 50 points d'accès, ce qui le rend adapté aux hôtels de taille moyenne, aux succursales de vente au détail et aux déploiements de PME. Pour tout ce qui est plus grand - groupes hôteliers multi-propriétés, stades, grands parcs de vente au détail - SmartZone est la bonne plateforme.
-
Laissez-moi aborder les deux modes de défaillance les plus courants que je rencontre sur le terrain.
Le premier est une mauvaise configuration du walled garden. Si votre page de Captive Portal ne se charge pas après la redirection, la première chose à vérifier est si tous les domaines auxquels votre page de portail fait référence sont dans le walled garden. Les pages de portail modernes chargent des ressources à partir de plusieurs domaines CDN, de scripts d'analyse, et de SDK de connexion sociale. Si l'un de ces éléments est bloqué avant l'authentification, la page ne se chargera pas ou se chargera de manière incorrecte. Utilisez les outils de développement de votre navigateur sur un appareil de test connecté au SSID invité pour identifier les requêtes bloquées.
Le deuxième est le problème de connectivité NBI. Si les invités peuvent voir le portail et s'authentifier, mais n'obtiennent jamais d'accès internet, la cause probable est que le SmartZone ne peut pas recevoir le rappel NBI de votre plateforme de portail. Vérifiez que les ports 9080 et 9443 sont ouverts en entrée vers l'IP de gestion de SmartZone depuis la plage IP de votre fournisseur de portail. Vérifiez également que les identifiants NBI que vous avez configurés correspondent à ceux dont dispose votre fournisseur de portail.
Un troisième point mérite d'être mentionné - Apple CNA, le Captive Network Assistant. Sur iOS, lorsqu'un appareil se connecte à un réseau, il envoie une requête de test à captive.apple.com. Si cette requête reçoit une réponse autre que 200, iOS ouvre le mini-navigateur. Si captive.apple.com est dans votre walled garden, la requête réussit, iOS pense qu'il y a internet et le CNA n'apparaît pas. Cela semble être une bonne chose, mais cela signifie que vos invités ne verront pas automatiquement le portail. Vous devez décider : souhaitez-vous que le CNA apparaisse ou préférez-vous que les invités ouvrent un navigateur manuellement ? La plupart des déploiements hôteliers maintiennent captive.apple.com en dehors du walled garden pour déclencher le CNA.
-
En résumé. Trois questions que l'on me pose constamment.
Ai-je besoin d'un VLAN pour mon WLAN invité ? Oui. Isolez toujours le trafic invité sur un VLAN dédié. Il s'agit à la fois d'une exigence de sécurité et d'une considération de conformité PCI-DSS si votre établissement traite des paiements par carte sur le même réseau.
Puis-je utiliser Purple avec Ruckus Cloud au lieu de SmartZone ? Oui, mais le chemin de configuration est différent - cela se trouve sous Réseaux WiFi, paramètres d'accès invité. Les principes de configuration du walled garden et de RADIUS restent les mêmes.
Est-ce que Purple prend en charge les déploiements multi-zones SmartZone ? Oui. L'intégration de Purple gère les environnements SmartZone multi-zones, et vous pouvez cibler les configurations de portail sur des zones individuelles pour différents sites ou étages.
---
Pour conclure. L'intégration du Captive Portal Ruckus SmartZone avec Purple est un modèle de déploiement mature et bien documenté qui offre une authentification des invités fiable et à grande échelle. Les points clés de la configuration sont : RADIUS sur les ports 1812 et 1813 avec un serveur de secours, le profil Hotspot WISPr avec une URL de connexion externe, un walled garden correctement délimité à l'aide d'entrées génériques, la commande CLI no encrypt-mac-ip, et l'interface Northbound activée avec les bonnes informations d'identification. Maîtrisez ces cinq éléments, et vous disposerez d'une base solide.
Pour les déploiements Unleashed, les mêmes principes s'appliquent avec un modèle de configuration plus simple et sans exigence d'NBI.
Si vous déployez Purple sur Ruckus et souhaitez valider votre configuration avant la mise en service, l'équipe d'intégration technique de Purple peut vous accompagner à travers une liste de contrôle de pré-lancement. La plateforme Purple fournit également des analyses en temps réel sur les temps de chargement du portail, les taux de réussite d'authentification et les données de session - vous offrant la visibilité nécessaire pour détecter les problèmes avant vos invités.
Merci de votre écoute. Dans le prochain épisode, nous aborderons l'authentification 802.1X avec Cloud RADIUS - une autre intégration qui s'associe parfaitement avec Ruckus SmartZone pour l'accès des invités d'entreprise. D'ici là.
