WLC Cisco Catalyst et WiFi invité : configuration du captive portal avec Purple

Bienvenue dans la série de briefs techniques de Purple. Aujourd'hui, nous abordons un sujet qui se retrouve sur le bureau de presque tous les architectes réseau d'entreprise travaillant dans l'hôtellerie, le commerce de détail ou les sites de grande envergure : l'intégration des contrôleurs Cisco Wireless LAN et de l'infrastructure sans fil Catalyst avec la plateforme Guest WiFi de Purple. Si vous gérez des contrôleurs de la série Cisco Catalyst 9800 ou l'ancienne plateforme AireOS, et que vous devez fournir un réseau invité conforme, segmenté et axé sur l'analyse, ce brief est pour vous. [medium pause] Commençons par le contexte. Purple est déployé dans plus de 80 000 sites actifs à travers le monde, et Cisco est le fournisseur d'infrastructure sans fil dominant dans les environnements d'entreprise. Faire fonctionner ces deux plateformes ensemble proprement n'est pas compliqué, mais cela nécessite de prendre les bonnes décisions architecturales dès le départ. Faites le mauvais choix, et vous passerez des semaines à résoudre des boucles de redirection, des incohérences de VLAN et des expirations de délai RADIUS. Faites le bon choix, et vous obtiendrez un réseau qui segmente automatiquement les invités, le personnel et les appareils IoT, collecte des données de première main de manière conforme et se met à l'échelle sur des centaines de sites sans intervention manuelle. [medium pause] Entrons donc dans l'architecture. [short pause] Lorsqu'un invité se connecte à votre réseau WiFi sur un déploiement Cisco, trois étapes doivent se produire avant qu'il n'accède à Internet. Tout d'abord, le WLC Cisco Catalyst 9800 doit intercepter cette requête HTTP initiale et rediriger le client vers le Captive Portal de Purple. Deuxièmement, le portail de Purple doit authentifier l'utilisateur, que ce soit via une connexion sociale, un e-mail, un SMS ou une simple acceptation des conditions générales. Troisièmement, le serveur RADIUS de Purple doit signaler en retour au WLC que l'utilisateur est autorisé, et éventuellement l'affecter à un VLAN spécifique. [medium pause] Le mécanisme qui gère la première étape s'appelle l'authentification web externe, ou EWA. Sur le Catalyst 9800, vous configurez une carte de paramètres d'authentification web (parameter map) qui pointe vers l'URL de la splash page de Purple. Le WLC intercepte tout le trafic HTTP des clients non authentifiés et émet une redirection 302 vers cette URL. Vous devrez également configurer une ACL de pré-authentification, ou utiliser la fonctionnalité de filtrage d'URL du 9800, pour autoriser les adresses IP du portail de Purple afin que les clients puissent réellement accéder à la splash page avant d'être autorisés. Purple fournit deux adresses IP pour son portail, et vous devrez autoriser les deux dans votre ACL de pré-authentification. [medium pause] Voici la séquence de configuration pour le Catalyst 9800. Tout d'abord, créez la carte de paramètres (parameter map). Configurez ensuite votre filtre d'URL pour autoriser le domaine de Purple en pré-authentification. Appliquez cela au profil de politique WLAN, définissez la sécurité de couche 2 (Layer 2) sur None, activez la politique web (Web Policy) sur la couche 3 (Layer 3) et faites-la pointer vers votre carte de paramètres. [medium pause] Maintenant, RADIUS. Purple fait office de serveur RADIUS dans cette architecture. Vous configurez le WLC pour pointer vers le point de terminaison RADIUS de Purple, que vous trouverez dans le tableau de bord Purple sous les paramètres réseau de votre site. Le secret partagé est généré par site. Sur le Catalyst 9800, accédez à Configuration, Sécurité, AAA, Serveurs, et ajoutez le serveur RADIUS de Purple avec l'adresse IP et le secret partagé corrects. Créez ensuite un groupe de serveurs, une liste de méthodes d'authentification, et appliquez-la à votre WLAN. [medium pause] Une chose qui piège souvent les utilisateurs : sur le 9800, vous devez également configurer l'adresse IP virtuelle dans la table globale des paramètres d'authentification web. Utilisez 192.0.2.1 comme adresse IPv4 virtuelle. Si vous ignorez cette étape, les clients sont parfois redirigés vers le portail interne au lieu du portail de Purple, et vous passerez un après-midi frustrant à vous demander pourquoi. [medium pause] Passons maintenant au WiFi des collaborateurs avec le protocole 802.1X. [short pause] Pour les réseaux du personnel, vous souhaitez une authentification par certificat utilisant EAP-TLS, ou au minimum PEAP avec MSCHAPv2 pour les environnements où le déploiement de certificats n'est pas réalisable. Sur le Catalyst 9800, créez un WLAN distinct pour le personnel, définissez la sécurité de couche 2 sur WPA2 Entreprise, et pointez l'authentification vers votre serveur RADIUS. Si vous utilisez Microsoft Entra ID ou Okta comme fournisseur d'identité, l'extension SecurePass de Purple agit comme un proxy RADIUS, traduisant les requêtes d'authentification 802.1X en requêtes auprès du fournisseur d'identité. Cela signifie que vous n'avez pas besoin d'un serveur RADIUS sur site distinct pour l'authentification du personnel. Purple gère la terminaison EAP et transmet la vérification d'identité à votre fournisseur d'identité. [medium pause] Pour EAP-TLS spécifiquement, vous devrez déployer des certificats clients sur les appareils des collaborateurs, soit via Microsoft Intune, Jamf ou une plateforme MDM similaire. La chaîne de certificats doit être approuvée par le serveur RADIUS de Purple, ce qui implique de télécharger votre certificat CA racine sur le tableau de bord Purple. Une fois cette configuration en place, les appareils du personnel s'authentifient silencieusement, sans invite de mot de passe ni page de d'accueil. L'utilisateur se connecte, le certificat est validé, et il se retrouve sur le VLAN du personnel en quelques secondes. [medium pause] Maintenant, la partie que la plupart des architectes trouvent véritablement intéressante : Cisco Identity PSK, ou iPSK. [short pause] L'iPSK résout un problème spécifique qui revient constamment dans les environnements multi-locataires. Imaginez un hôtel de 300 chambres, un parc de vente au détail de 50 magasins, ou un complexe résidentiel locatif de 200 appartements. Vous voulez un seul SSID, mais vous avez besoin que chaque locataire, chaque chambre ou chaque groupe d'appareils soit isolé sur son propre VLAN. La réponse traditionnelle consistait à créer un SSID distinct par locataire, ce qui n'est pas évolutif et crée une congestion des radiofréquences. L'iPSK vous offre un SSID unique où chaque client ou groupe de clients possède une clé pré-partagée unique, et le serveur RADIUS associe cette clé à un VLAN spécifique. [medium pause] Voici comment cela fonctionne techniquement. Lorsqu'un client s'associe au SSID, le Catalyst 9800 WLC envoie une requête RADIUS Access-Request au serveur RADIUS de Purple, incluant l'adresse MAC du client. Le serveur RADIUS de Purple recherche cette adresse MAC dans sa base de données iPSK, trouve la clé PSK et l'attribution de VLAN associées, puis renvoie un RADIUS Access-Accept contenant l'AV-pair Cisco avec la PSK, ainsi que les attributs de tunnel IETF pour l'attribution du VLAN. Le WLC utilise la PSK renvoyée pour finaliser le handshake à quatre voies WPA2, puis place le client sur le VLAN attribué. [medium pause] Les trois attributs RADIUS requis pour l'attribution dynamique de VLAN sont : l'attribut IETF 64, Tunnel-Type, configuré sur VLAN avec une valeur de 13. L'attribut IETF 65, Tunnel-Medium-Type, configuré sur 802, avec une valeur de 6. Et l'attribut IETF 81, Tunnel-Private-Group-ID, configuré avec l'ID du VLAN sous forme de chaîne de caractères. Ces trois attributs, envoyés ensemble dans le RADIUS Access-Accept, indiquent précisément au WLC quel VLAN attribuer. Le VLAN doit déjà exister sur le WLC en tant qu'interface dynamique, et le port du commutateur de liaison montante doit être configuré en tant que trunk transportant tous les VLAN concernés. [medium pause] Du côté du WLC, activez le filtrage MAC sur le WLAN iPSK, activez le AAA Override, et configurez la sécurité de couche 2 sur WPA2-PSK. La PSK globale que vous configurez sur le WLAN sert uniquement de secours. La PSK renvoyée par le serveur RADIUS est prioritaire pour tout client dont l'adresse MAC est enregistrée dans la base de données iPSK de Purple. Pour les appareils non enregistrés, vous pouvez soit refuser l'accès, soit basculer sur la PSK globale, selon votre politique. [medium pause] Laissez-moi vous présenter deux scénarios réels pour rendre cela concret. [short pause] Premier scénario : un hôtel de 200 chambres. L'hôtel souhaite placer les clients sur le VLAN 10 avec un accès internet uniquement, le personnel sur le VLAN 20 avec un accès au système de gestion de l'établissement, et les appareils IoT, serrures de portes, thermostats, caméras de surveillance, sur le VLAN 30 sans aucun accès internet. Ils utilisent des contrôleurs Cisco Catalyst 9800 avec des points d'accès de la gamme Cisco 9100. [medium pause] L'architecture : trois profils de politique sur le WLC, un par VLAN. Un SSID unique pour les clients utilisant l'authentification web externe pointant vers Purple. Un SSID distinct pour le personnel utilisant WPA2 Entreprise avec EAP-TLS, authentifié via Purple SecurePass auprès de Microsoft Entra ID. Et l'iPSK pour les appareils IoT, avec l'adresse MAC de chaque appareil enregistrée sur le portail de Purple et attribuée au VLAN 30. Le système de gestion de l'établissement hôtelier provisionne les nouveaux appareils IoT via l'API de Purple, de sorte que lorsqu'une nouvelle serrure de porte est installée, son adresse MAC est automatiquement enregistrée et attribuée au bon VLAN. Aucune configuration RADIUS manuelle n'est requise. [medium pause] Deuxième scénario : une chaîne de vente au détail comptant 80 magasins. Chaque magasin dispose d'un réseau WiFi pour les clients, d'un réseau pour le personnel et d'un réseau pour les terminaux de paiement. La conformité PCI-DSS exige que le réseau des terminaux de paiement soit totalement isolé du réseau invité. Le détaillant utilise des contrôleurs Cisco Catalyst 9800-L sur chaque site, gérés de manière centralisée via Cisco Catalyst Centre. [medium pause] Purple se déploie comme un overlay cloud. Le contrôleur WLC de chaque magasin est configuré avec les détails du serveur RADIUS de Purple. L'authentification des invités utilise un portail captif personnalisé avec capture d'e-mails, alimentant la plateforme d'analyse de Purple en données de première main. L'authentification du personnel utilise PEAP par rapport à Active Directory via Purple SecurePass. Les terminaux de paiement utilisent iPSK avec un VLAN dédié, et l'ACL de pré-authentification bloque explicitement tout trafic entre le VLAN de paiement et le VLAN invité, répondant ainsi à l'exigence PCI-DSS 1.3 pour la segmentation du réseau. [medium pause] Parlons maintenant des pièges à éviter. [short pause] Le mode de défaillance le plus courant est la boucle de redirection. Cela se produit lorsque l'ACL de pré-authentification n'autorise pas correctement les adresses IP du portail de Purple. Le contrôleur WLC redirige alors le client vers le portail de Purple, mais le client ne peut pas l'atteindre car l'ACL le bloque, ce qui entraîne une nouvelle redirection infinie du WLC. Solution : vérifiez que votre filtre d'URL ou votre ACL de pré-authentification inclut bien les deux adresses IP du portail de Purple, et confirmez que la résolution DNS est autorisée avant l'authentification. [medium pause] Le deuxième problème courant est la non-correspondance des VLAN. Le serveur RADIUS renvoie un ID de VLAN qui n'existe pas en tant qu'interface dynamique sur le contrôleur WLC. Le WLC place alors le client sur le VLAN natif, qui est généralement le VLAN de gestion. Cela représente un risque de sécurité. Solution : avant le déploiement, contrôlez vos interfaces dynamiques WLC par rapport aux ID de VLAN configurés dans les politiques RADIUS de Purple. Ils doivent correspondre exactement. [medium pause] Troisième piège : les échecs de confiance de certificat dans les déploiements EAP-TLS. Si la chaîne de certificats du client n'est pas approuvée par le serveur RADIUS de Purple, l'authentification échoue de manière transparente pour l'utilisateur. Il ne peut tout simplement pas se connecter. Solution : téléchargez votre CA racine et tous les certificats CA intermédiaires dans la configuration SecurePass de Purple avant de déployer les certificats clients. Testez avec un seul appareil avant de déployer sur l'ensemble du parc. [medium pause] Questions rapides. [short pause] Puis-je utiliser Purple avec Cisco Meraki au lieu d'un WLC ? Oui. Cisco Meraki dispose de son propre mécanisme d'intégration de Captive Portal, et Purple le prend en charge nativement. La configuration RADIUS est similaire mais utilise le tableau de bord Meraki plutôt que la ligne de commande du WLC. [short pause] Est-ce que Purple prend en charge WPA3 sur Cisco ? Oui. WPA3-SAE est pris en charge sur Cisco Catalyst 9800 avec IOS-XE 17.3 et versions ultérieures. L'intégration RADIUS de Purple fonctionne à l'identique avec WPA3. [short pause] Quelle est la recommandation pour le délai d'attente RADIUS ? Définissez le délai d'attente de votre serveur RADIUS principal sur trois secondes avec deux tentatives. Configurez un serveur RADIUS secondaire pour le basculement. Purple fournit des points de terminaison RADIUS redondants pour les clients d'entreprise. [short pause] Puis-je utiliser Cisco ISE aux côtés de Purple ? Oui. Certaines organisations utilisent ISE pour l'évaluation de la conformité et le profilage des appareils, tout en utilisant Purple pour le portail invité et les analyses. Les deux serveurs RADIUS sont configurés sur des WLAN distincts. [medium pause] Pour résumer. [short pause] L'infrastructure sans fil Cisco WLC et Catalyst s'intègre parfaitement avec Purple en utilisant l'External Web Authentication pour la redirection du portail captif des invités, le 802.1X EAP-TLS ou PEAP pour l'authentification du personnel via Purple SecurePass, et Cisco iPSK avec attribution dynamique de VLAN pour la segmentation multi-locataire et IoT. Les trois attributs VLAN RADIUS, Tunnel-Type, Tunnel-Medium-Type, et Tunnel-Private-Group-ID, constituent le mécanisme qui régit la segmentation dynamique. Configurez correctement vos ACL de pré-authentification, faites correspondre vos ID de VLAN entre RADIUS et le WLC, et testez les chaînes de confiance des certificats avant le déploiement sur l'ensemble de la flotte. [medium pause] Purple est présent dans plus de 80 000 sites et a traité 440 millions de connexions en 2024. L'intégration Cisco est l'une de nos configurations les plus déployées à l'échelle mondiale. Si vous souhaitez commencer, le tableau de bord de Purple vous guide à travers la configuration RADIUS par site, et notre équipe d'intégration est disponible pour les déploiements d'entreprise. [medium pause] C'est tout pour ce briefing. Merci de votre écoute.