Cisco Meraki et guest WiFi : configuration du Captive Portal avec Purple

Intégration de Cisco Meraki avec Purple WiFi - Briefing pour Consultant Senior Durée de lecture : environ 10 minutes INTRODUCTION ET CONTEXTE (environ 1 minute) Bienvenue. Si vous êtes responsable d'un déploiement Cisco Meraki et que vous essayez de déterminer si Purple WiFi est la couche d'intelligence client idéale à y associer, ce briefing est pour vous. Je vais vous expliquer exactement comment fonctionne l'intégration, ce que vous devez configurer, quels sont les pièges courants et quel type de retour sur investissement vous pouvez réalistement attendre. Plantons le décor. Cisco Meraki est, de loin, l'infrastructure sans fil gérée dans le cloud la plus largement déployée dans les secteurs de l'hôtellerie, de la vente au détail et du secteur public. Elle est fiable, évolutive et son tableau de bord cloud est véritablement excellent. Mais voilà : les fonctionnalités WiFi invités natives de Meraki sont fonctionnelles, pas stratégiques. Vous pouvez connecter un invité, mais vous ne pouvez pas capturer de données de première partie significatives, vous ne pouvez pas construire un entonnoir marketing à partir de là, et vous ne pouvez certainement pas démontrer de ROI à votre conseil d'administration. C'est précisément cette lacune que Purple comble. ZOOM TECHNIQUE (environ 5 minutes) Parlons architecture. L'intégration entre Purple et Meraki fonctionne sur deux couches techniques distinctes, et il est essentiel de comprendre les deux avant de modifier le moindre paramètre de configuration. La première couche est l'API du tableau de bord Meraki - il s'agit de la couche de provisionnement. Purple utilise l'API REST de Meraki pour importer l'ensemble de votre parc de points d'accès dans le Purple Hub en une seule opération groupée. Vous vous authentifiez avec votre clé API Meraki, que vous générez depuis la section Organisation du tableau de bord Meraki sous API et Webhooks. Une fois que Purple dispose de cette clé, elle peut récupérer chaque point d'accès, chaque réseau, chaque configuration d'SSID directement depuis votre cloud Meraki. Pour un parc de, disons, trois cents points d'accès répartis dans un groupe hôtelier, cela réduit ce qui serait un travail de configuration manuelle de plusieurs jours à une tâche que vous pouvez réaliser en moins d'une heure. Ce n'est pas une économie opérationnelle négligeable. La deuxième couche est la couche d'authentification et de Captive Portal - c'est là que vit réellement l'expérience invité. Purple fonctionne en tant que fournisseur de page de splash externe, en utilisant l'API de Captive Portal de Meraki. Lorsqu'un invité se connecte à votre SSID invité, Meraki intercepte son trafic HTTP et le redirige vers la page de splash hébergée de Purple - votre Captive Portal personnalisé. L'invité s'authentifie via la méthode que vous avez configurée : connexion sociale, formulaire d'e-mail, vérification par SMS, ou une combinaison. Purple communique ensuite en retour avec Meraki via RADIUS - Remote Authentication Dial-In User Service - fonctionnant sur le port 1812 pour l'authentification et le port 1813 pour la comptabilisation. Une fois que RADIUS confirme l'authentification, Meraki accorde à l'invité un accès complet au réseau. Maintenant, laissez-moi vous guider à travers la configuration spécifique du tableau de bord Meraki, car les détails ont leur importance ici. Dans le tableau de bord Meraki, naviguez vers Wireless, puis Access Control. Sélectionnez votre SSID invité dans le menu déroulant. Définissez la sécurité sur Open - oui, ouvert, car l'authentification est gérée par la couche RADIUS et le captive portal, et non au niveau de l'association 802.11. Définissez le type de splash page sur Sign-on with my RADIUS server. C'est la sélection essentielle - elle indique à Meraki d'utiliser un serveur RADIUS externe pour l'authentification plutôt que ses propres options intégrées. Sous Advanced Splash Settings, définissez la puissance du captive portal sur Block all access until sign-on is complete. Activez le walled garden - il s'agit de la liste des domaines que les invités peuvent atteindre avant de s'être authentifiés, qui doit inclure les domaines de la plateforme Purple afin que la splash page elle-même puisse se charger. Purple fournit une liste blanche mise à jour de ces domaines dans sa documentation d'assistance. Pour la configuration du serveur RADIUS, vous devrez ajouter deux serveurs - Purple fournit des points de terminaison primaires et secondaires pour la redondance. Le port d'authentification est 1812, et vous utiliserez le secret RADIUS fourni dans votre Purple Portal. Ajoutez les entrées correspondantes pour l'accounting RADIUS sur le port 1813. Définissez l'intervalle intermédiaire d'accounting sur quatre minutes - cela est important pour un suivi précis des sessions et des analyses. Définissez le délai d'expiration du serveur sur cinq secondes avec un nombre de tentatives de trois. Sous Advanced RADIUS Settings, configurez le Called-Station-ID et le NAS-ID pour utiliser l'adresse MAC de l'AP. C'est essentiel pour les analyses de localisation de Purple - sans cela, Purple ne peut pas attribuer avec précision les sessions à des points d'accès spécifiques et ne peut donc pas générer d'analyses significatives au niveau de l'étage. Naviguez ensuite vers Wireless, Splash Page. Saisissez l'URL de splash personnalisée fournie par votre Purple Portal - il s'agit de l'URL de votre captive portal personnalisé. Configurez l'URL de redirection post-authentification - généralement le site Web de votre établissement ou une page de destination spécifique. Il existe maintenant un deuxième composant qui mérite d'être examiné en détail : PurpleConnex, qui est la solution SecurePass de Purple. Cela crée un deuxième SSID - généralement nommé PurpleConnex - configuré comme un réseau WPA2 Enterprise utilisant les serveurs RADIUS RadSec de Purple. RadSec est du RADIUS sur TLS, ce qui fournit un transport crypté pour le trafic d'authentification. Ce SSID, combiné à la configuration Hotspot 2.0 - également connue sous le nom de Passpoint, la norme IEEE 802.11u - permet aux invités de retour de se reconnecter automatiquement sans voir à nouveau le captive portal. Leur appareil reconnaît le profil Passpoint et se connecte de manière fluide. C'est particulièrement utile dans les environnements où vous souhaitez éliminer les frictions liées aux authentifications répétées, comme un hôtel où un client séjourne pour trois nuits, ou un membre d'un programme de fidélité de commerce de détail qui s'y rend chaque semaine. La configuration Hotspot 2.0 dans Meraki nécessite de définir le nom de l'opérateur sur PURPLE:GB, de configurer la liste des domaines sur securewifi.purple.ai et d'ajouter les OIs du Roaming Consortium spécifiés par Purple. Le NAI Realm est configuré avec la méthode d'authentification EAP-TTLS et PAP. Tout cela est documenté dans le portail d'assistance de Purple, et c'est très simple une fois que l'on a compris le rôle de chaque champ. RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER (environ 2 minutes) Laissez-moi vous présenter les trois modes de défaillance les plus courants que je constate dans les déploiements Meraki et Purple, et comment les éviter. Premier point : une mauvaise configuration du walled garden. Si votre liste de walled garden est incomplète, les invités verront une page de connexion cassée - le CSS ne se chargera pas, les images ne s'afficheront pas et l'authentification échouera silencieusement. Purple tient à jour une liste d'autorisation des domaines requis. Traitez cette liste comme un document évolutif et examinez-la chaque fois que Purple publie une mise à jour de sa plateforme. Je recommande de tester l'expérience du Captive Portal depuis un appareil invité sur un segment de réseau distinct avant la mise en service. Deuxième point : les paramètres de temporisation RADIUS. La temporisation RADIUS par défaut de Meraki est souvent trop basse pour les serveurs RADIUS hébergés dans le cloud. Une configuration de cinq secondes avec trois tentatives est idéale. Si vous la laissez à la valeur par défaut de deux secondes, vous constaterez des échecs d'authentification intermittents lors des pics de charge - précisément le pire moment pour que votre expérience utilisateur se dégrade. Troisième point : une mauvaise configuration du NAS-ID et du Called-Station-ID. C'est ce qui piège le plus souvent les ingénieurs. Si vous configurez mal ces champs - ou si vous les laissez par défaut - le moteur d'analyse de Purple ne pourra pas associer les sessions à des points d'accès spécifiques. Vous obtiendrez des données agrégées mais aucune intelligence au niveau de l'étage. La valeur doit être définie sur l'adresse MAC de l'AP, et non sur le nom du SSID ou toute autre option. Du côté de la conformité : la capture de données de Purple est conforme par conception au GDPR et à la CCPA. Le Captive Portal présente un mécanisme de consentement qui répond aux exigences de ces deux réglementations. Si vous opérez dans un environnement soumis à la norme PCI-DSS - un hôtel avec un terminal de paiement sur le même segment de réseau, par exemple - assurez-vous que votre SSID invité se trouve sur un VLAN distinct avec les règles de pare-feu appropriées. Le mode NAT de Meraki pour l'attribution des adresses IP des clients, qui est le paramètre recommandé, offre un certain degré d'isolation, mais votre architecture de segmentation réseau doit être examinée de manière indépendante par votre équipe de sécurité. QUESTIONS-RÉPONSES RAPIDES (environ 1 minute) Question : Purple peut-il s'intégrer aux appliances de sécurité Meraki MX ainsi qu'aux AP sans fil ? Réponse : Oui. Le processus de configuration est pratiquement identique - le MX prend en charge la même page de connexion et la même configuration RADIUS que les AP sans fil. L'article d'assistance couvre les configurations AP, MX et les passerelles de télétravail Z1. Question : Combien de temps prend un déploiement complet pour un groupe hôtelier de 50 sites ? Réponse : Grâce au provisionnement automatisé via l'API Meraki, l'importation des points d'accès est une opération unique par organisation. La configuration du SSID et de RADIUS peut être modélisée sur l'ensemble des réseaux. Un déploiement de 50 sites par un ingénieur réseau compétent devrait pouvoir être réalisé en deux à trois jours de travail de configuration, plus le temps de test. Question : Est-ce que Purple prend en charge les nouveaux points d'accès Wi-Fi 6 et Wi-Fi 6E de Meraki ? Réponse : Oui. L'intégration fonctionne au niveau de la couche applicative - redirection RADIUS et HTTP - elle est donc indépendante de la génération de matériel. Purple fonctionne avec n'importe quel point d'accès Meraki qui prend en charge la page de splash (Captive Portal) et la configuration RADIUS décrite. RÉSUMÉ ET PROCHAINES ÉTAPES (environ 1 minute) Pour résumer : l'intégration Cisco Meraki et Purple WiFi est un déploiement mature et bien documenté qui combine l'excellente infrastructure gérée par le cloud de Meraki avec les capacités de capture de données et d'intelligence invités de Purple. L'intégration utilise deux mécanismes principaux - l'API Meraki Dashboard pour le provisionnement automatisé, et l'API Captive Portal avec authentification RADIUS pour la couche d'expérience utilisateur invité. Les trois points à valider sont : la configuration de votre walled garden, les paramètres de délai d'attente et de tentative de votre RADIUS, et la configuration de votre NAS-ID pour des analyses de localisation précises. L'analyse de rentabilisation est convaincante. McDonald's Belgique, Walmart Canada et Harrods sont tous des déploiements en direct de Purple et Cisco. AGS Airports a obtenu un retour sur investissement de 842 pour cent. Harrods a transformé 600 000 connexions WiFi en un retour sur investissement multiplié par 57. Si vous êtes prêt à avancer, la prochaine étape consiste à générer votre clé API Meraki, à vous connecter au portail Purple et à utiliser l'assistant d'importation de matériel pour intégrer votre parc de points d'accès. À partir de là, votre équipe de compte Purple peut vous guider à travers la configuration du SSID et de RADIUS en une seule session. Merci pour votre temps.