Passer au contenu principal
Français

Comment configurer le WiFi invité et les Captive Portals sur Ruijie Networks

Ce guide technique détaille la configuration du WiFi invité et des Captive Portals sur le matériel Ruijie Networks, couvrant à la fois les portails cloud natifs et les intégrations RADIUS externes. Il fournit aux responsables informatiques et aux architectes réseau des étapes concrètes pour l'isolation VLAN, la configuration du walled garden et l'intégration de plateformes tierces afin de stimuler les analyses et les revenus.

📖 6 min de lecture📝 1,489 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Comment configurer le WiFi invité et les Captive Portals sur Ruijie Networks Un briefing technique Purple - Environ 10 minutes INTRODUCTION ET CONTEXTE - 1 minute Bienvenue dans ce briefing technique Purple. Je suis votre hôte et, au cours des dix prochaines minutes, nous allons couvrir tout ce que vous devez savoir sur la configuration du WiFi invité et des Captive Portals sur le matériel Ruijie Networks. Si vous êtes responsable informatique, architecte réseau ou directeur des opérations sur site dans un hôtel, une chaîne de magasins, un stade ou un centre de conférences, et que vous disposez d'équipements Ruijie sur site ou que vous les évaluez, ce briefing est pour vous. Ruijie Networks est l'un des fournisseurs de solutions sans fil d'entreprise qui connaît la croissance la plus rapide au monde. Leurs contrôleurs de la série RG-WS, leurs passerelles Reyee EG et leurs points d'accès gérés dans le cloud sont désormais déployés dans des milliers de sites en Europe, au Moyen-Orient, en Asie et au-delà. Mais pour réussir le WiFi invité sur le matériel Ruijie - en particulier la partie Captive Portal - il faut comprendre quelques décisions architecturales dès le départ. Si vous prenez de mauvaises décisions, vous vous retrouverez avec un portail qui ne fonctionne pas sur iOS, des invités qui ne peuvent pas s'authentifier et un réseau soit trop ouvert, soit trop verrouillé. Corrigeons cela. ZOOM TECHNIQUE - 5 minutes Tout d'abord, l'architecture. Ruijie vous propose trois modèles de déploiement distincts pour le WiFi invité, et le choix du bon modèle dépend de votre échelle et de votre approche de gestion. Le premier modèle est le portail géré par Ruijie Cloud ou JaCS. Il s'agit de l'option native intégrée. Vous vous connectez à Ruijie Cloud, naviguez vers Device Config, puis Basic, créez ou modifiez votre SSID invité, activez le bouton d'authentification et sélectionnez Captive Portal comme mode. La plateforme JaCS de Ruijie, qui est leur système de gestion axé sur l'hôtellerie, prend en charge les scénarios hôteliers et autres, et vous offre un outil de création de portail par glisser-déposer avec des options de connexion comprenant l'accès en un clic, les codes de réduction et la connexion basée sur un compte. C'est le bon choix pour les déploiements plus modestes : un seul hôtel, une boutique ou un centre de conférences qui souhaite une page d'accueil rapide et personnalisée sans dépendances externes. Le deuxième modèle est le Captive Portal externe via WISPr et RADIUS. Il s'agit de l'approche de niveau entreprise, et c'est ce dont vous avez besoin lorsque vous souhaitez intégrer Ruijie à une plateforme tierce d'intelligence WiFi invité, comme Purple. Ici, vous naviguez vers Auth and Account dans l'interface Ruijie, sélectionnez Captive Portal, définissez le mode de politique sur External et faites pointer l'URL du serveur de portail vers votre plateforme externe. Vous configurez ensuite un groupe de serveurs RADIUS avec les identifiants fournis par votre plateforme. Le protocole WISPr gère la redirection et l'échange d'authentification entre la passerelle Ruijie et le portail externe. Ce modèle s'adapte à des centaines de sites, vous offre des analyses centralisées et vous permet d'exécuter des flux de collecte de données conformes au GDPR. Le troisième modèle est le mode AP autonome. Les points d'accès Reyee de Ruijie fonctionnant sous ReyeeOS version 1.219 ou ultérieure peuvent exécuter un Captive Portal local sans passerelle, ce qui est utile pour les déploiements temporaires ou les petits sites sans routeur EG. Maintenant, l'élément critique que la plupart des guides ignorent : l'isolation VLAN. Lorsque vous créez un SSID invité sur Ruijie, vous disposez de deux options de transfert : le mode NAT et le mode VLAN. Le mode NAT est plus simple. La passerelle attribue aux appareils invités des adresses provenant d'un pool dédié, généralement 192.168.23.0 slash 24 par défaut, et tout le trafic invité est traduit par NAT vers Internet. Cela fonctionne, mais vous offre moins de contrôle. Le mode VLAN est le bon choix pour tout déploiement sérieux. Vous attribuez le SSID invité à un VLAN dédié - par exemple le VLAN 100 - et utilisez des ACL sur la passerelle pour empêcher le trafic invité d'atteindre votre VLAN d'entreprise. Le modèle de commande CLI ressemble à ceci : vous créez une liste d'accès étendue, refusez le trafic IP de votre sous-réseau invité vers votre sous-réseau d'entreprise, autorisez tout le reste et appliquez cette liste d'accès en entrée sur l'interface BVI invité. C'est le même principe que vous appliqueriez sur Cisco Meraki, HPE Aruba ou Ruckus - Ruijie a simplement sa propre syntaxe CLI. Les normes de sécurité sont importantes ici. Ruijie prend en charge le WPA3-Personal et le mode mixte WPA2/WPA3 sur les SSID invités. Pour un réseau invité où vous souhaitez un accès sans friction, vous utilisez généralement un SSID ouvert avec authentification par Captive Portal plutôt qu'une clé pré-partagée. Le Captive Portal devient votre couche d'authentification. Si vous avez besoin d'une sécurité plus forte - par exemple pour un environnement de santé ou de services financiers - vous pouvez superposer la norme IEEE 802.1X, en utilisant EAP-TLS ou PEAP avec un serveur RADIUS pour une authentification basée sur des certificats ou des identifiants. Les contrôleurs de la série RG-WS de Ruijie prennent en charge le 802.1X complet avec attribution dynamique de VLAN, ce qui signifie que vous pouvez pousser différents VLAN vers différents groupes d'utilisateurs en fonction des attributs RADIUS. Le walled garden - ou liste d'autorisation - est un autre domaine qui pose souvent problème. Avant qu'un invité ne s'authentifie via le Captive Portal, son appareil ne peut atteindre que les domaines que vous avez explicitement mis sur liste blanche. Au minimum, vous devez autoriser le domaine et l'adresse IP de votre plateforme de portail, tous les fournisseurs de connexion sociale que vous utilisez et le point de terminaison de détection de Captive Portal d'Apple, qui est captive.apple.com. Si vous oubliez ce dernier, les appareils iOS afficheront une expérience de portail défectueuse. Vous configurez la liste d'autorisation dans Ruijie Cloud sous Auth and Account, puis Allowlist. RECOMMANDATIONS DE DÉPLOIEMENT ET PIÈGES À ÉVITER - 2 minutes Laissez-moi vous présenter les quatre décisions qui déterminent le succès ou l'échec de votre déploiement de WiFi invité Ruijie. Décision un : portail natif ou plateforme externe. Si vous gérez plus de cinq sites, ou si vous devez collecter des données de première partie pour le marketing, utilisez une plateforme externe. Purple, par exemple, fonctionne comme une surcouche cloud indépendante du matériel sur plus de 80 000 sites actifs. Vous pointez votre passerelle Ruijie vers l'URL du portail de Purple, configurez les identifiants RADIUS, et vous obtenez des analyses centralisées, une collecte de données conforme au GDPR et des intégrations CRM - le tout sans toucher à nouveau au matériel Ruijie. Purple a traité 440 millions de connexions rien qu'en 2024 et détient la certification ISO 27001, la conformité est donc assurée. Décision deux : NAT ou VLAN. Utilisez toujours le mode VLAN pour les déploiements de production. Le mode NAT convient pour un proof of concept, mais le mode VLAN vous offre une véritable isolation de couche 3, une gestion plus facile des politiques de pare-feu et la possibilité d'appliquer des politiques de QoS par VLAN. Décision trois : gestion de la bande passante. Les passerelles EG de Ruijie disposent de contrôles de QoS intégrés. Définissez des limites de téléchargement et d'envoi par utilisateur sur le SSID invité - généralement de deux à cinq megabits par seconde en téléchargement pour un réseau invité standard. Cela évite qu'un seul invité diffusant des vidéos 4K ne dégrade l'expérience de tous les autres. Si vous utilisez une plateforme externe, désactivez Client Escape du côté Ruijie pour vous assurer que les contrôles de bande passante de la plateforme s'appliquent correctement. Décision quatre : expiration de session et réauthentification. Définissez une expiration de session raisonnable - de huit à 24 heures pour l'hôtellerie, plus courte pour le commerce ou les événements. Ruijie vous permet de configurer cela par politique de portail. Associez-le à une URL de redirection post-connexion afin que les invités atterrissent sur le site web de votre établissement ou sur une page promotionnelle après s'être connectés. Le piège le plus courant que je constate est le déploiement d'un Captive Portal sans le tester simultanément sur iOS et Android. Apple et Google ont tous deux des mécanismes de détection de Captive Portal qui se comportent différemment. Testez les deux avant la mise en service. Le deuxième piège le plus courant consiste à oublier de synchroniser la configuration du portail avec le produit EG dans JaCS - il y a un bouton Synchronise explicite sur lequel vous devez cliquer après avoir créé ou modifié un portail, sinon la passerelle ne prend pas en compte les modifications. QUESTIONS-RÉPONSES RAPIDES - 1 minute Passons en revue les questions que l'on me pose le plus souvent. Les points d'accès Ruijie peuvent-ils exécuter un Captive Portal sans passerelle ? Oui, sur ReyeeOS 1.219 ou ultérieur, mais les fonctionnalités sont limitées par rapport aux déploiements basés sur une passerelle. Ruijie prend-il en charge le 802.1X pour les réseaux invités ? Oui, les contrôleurs de la série RG-WS prennent en charge le 802.1X complet avec attribution dynamique de VLAN via RADIUS. Puis-je intégrer Ruijie avec Purple ? Oui. Configurez le mode de Captive Portal externe, faites pointer l'URL du portail vers le point de terminaison de Purple, configurez le groupe de serveurs RADIUS avec les identifiants de Purple et ajoutez les domaines de Purple à la liste d'autorisation. L'architecture indépendante du matériel de Purple s'occupe du reste. Le WPA3 fonctionne-t-il avec les Captive Portals ? Oui. Vous utilisez un SSID ouvert pour le flux du Captive Portal. Le WPA3 s'applique aux SSID authentifiés. Pour les réseaux invités, le portail lui-même constitue la couche d'authentification. RÉSUMÉ ET PROCHAINES ÉTAPES - 1 minute Pour résumer : Ruijie Networks vous offre une plateforme performante et flexible pour le déploiement de WiFi invité et de Captive Portal. Les trois modèles de déploiement - portail cloud natif, portail externe basé sur RADIUS et AP autonome - couvrent tous les besoins, de l'hôtel-boutique sur site unique à la chaîne de magasins multisites. Les décisions clés sont l'isolation VLAN plutôt que le NAT, une plateforme externe pour tout cas d'usage multisite ou de collecte de données, et une configuration correcte du walled garden pour éviter les échecs d'authentification sur iOS. Vos prochaines étapes : auditez vos versions actuelles de firmware Ruijie pour confirmer la compatibilité avec ReyeeOS, décidez si vous avez besoin d'une gestion de portail native ou externe, et si vous gérez plus de cinq sites ou avez besoin d'analyses, contactez Purple pour intégrer leur plateforme à votre infrastructure Ruijie. Vous pouvez trouver la documentation d'intégration de Purple et demander une démo sur purple.ai. Merci pour votre écoute. Nous vous donnons rendez-vous lors du prochain briefing.

header_image.png

Résumé exécutif

La configuration du WiFi invité et des Captive Portals sur le matériel Ruijie Networks nécessite une compréhension claire de l'architecture de la plateforme, en particulier le choix entre les portails cloud natifs et les intégrations RADIUS externes. Ce guide de référence technique fournit aux responsables informatiques, aux architectes réseau et aux directeurs des opérations sur site les étapes définitives pour déployer des réseaux invités sécurisés, isolés et évolutifs à l'aide de contrôleurs Ruijie RG-WS et de passerelles Reyee EG. Nous couvrons la transition du transfert NAT de base à une isolation VLAN robuste, la configuration de Captive Portals externes via WISPr, et l'intégration de plateformes tierces comme Purple pour collecter des données de première partie et générer des revenus. Que vous gériez un seul hôtel ou un parc de commerces multisites, ce guide fournit les étapes de configuration pratiques et indépendantes du fournisseur requises pour créer un réseau sans fil conforme et performant.

Zoom technique

Ruijie Networks fournit une architecture sans fil robuste de niveau entreprise qui prend en charge plusieurs modèles de déploiement pour l'accès invité. La décision fondamentale pour tout architecte réseau consiste à sélectionner le flux d'authentification et la stratégie d'isolation appropriés.

Modèles de déploiement de Captive Portal

Ruijie prend en charge trois modèles de déploiement de Captive Portal distincts, chacun adapté à des exigences opérationnelles différentes :

  1. Portail cloud natif (Ruijie JaCS) : La plateforme intégrée Ruijie Cloud, en particulier l'interface JaCS pour l'hôtellerie, fournit un outil de création de portail par glisser-déposer. Ce modèle est configuré sous Device Config, où l'authentification SSID est définie sur Captive Portal. Il prend en charge des options de connexion de base, notamment l'accès en un clic et les codes de réduction. Cela convient aux sites uniques qui ne nécessitent pas d'analyses approfondies ni d'intégration CRM externe.
  2. Captive Portal externe (WISPr/RADIUS) : Pour les déploiements d'entreprise, le commerce multisite et les grands espaces publics, le modèle de portail externe est obligatoire. Cette approche utilise le protocole WISPr pour rediriger le trafic invité vers une plateforme tierce comme Purple. L'authentification est gérée via un groupe de serveurs RADIUS externe utilisant le chiffrement PAP. Ce modèle permet une collecte de données avancée, la gestion de la conformité GDPR et une intégration transparente avec les piles marketing existantes.
  3. Portail AP autonome : Les points d'accès Ruijie Reyee fonctionnant sous ReyeeOS 1.219 ou ultérieur prennent en charge un Captive Portal localisé sans nécessiter de passerelle EG. Il s'agit d'une option de secours pour les déploiements temporaires, mais elle ne dispose pas des fonctionnalités robustes de QoS et d'isolation d'une architecture basée sur un contrôleur.

architecture_overview.png

Isolation réseau : NAT contre VLAN

La décision architecturale la plus critique est la manière d'isoler le trafic invité du réseau d'entreprise. Ruijie propose deux modes de transfert pour les SSID invités :

  • Mode NAT : La passerelle attribue des adresses IP à partir d'un pool dédié (par défaut 192.168.23.0/24) et effectue une traduction d'adresse réseau (NAT) avant d'acheminer le trafic vers Internet. Bien que simple à déployer, cette méthode offre une visibilité et un contrôle limités sur le trafic invité au niveau de la couche 3.
  • Mode VLAN : La norme d'entreprise recommandée. Le SSID invité est mappé sur un VLAN dédié (par exemple, le VLAN 100). La passerelle Reyee EG ou le contrôleur RG-WS utilise des listes de contrôle d'accès (ACL) pour appliquer une isolation stricte. Une ACL étendue doit être configurée pour refuser le trafic IP du sous-réseau invité vers le sous-réseau d'entreprise, tout en autorisant l'accès Internet sortant. Cette approche s'aligne sur les principes de Enterprise WiFi Security: A Complete Guide for 2026 .

Configuration du Walled Garden

Avant qu'un invité ne termine l'authentification sur le Captive Portal, son appareil fonctionne dans un état restreint. Un walled garden, ou liste d'autorisation, doit être configuré pour permettre l'accès aux services essentiels. Si vous utilisez une plateforme externe, vous devez ajouter le domaine de la plateforme, ses adresses IP et les points de terminaison d'authentification de tous les fournisseurs de connexion sociale (tels que Facebook ou Google). De plus, vous devez absolument inclure captive.apple.com pour garantir que les appareils iOS déclenchent correctement le mini-navigateur du Captive Portal.

captive_portal_flow.png

Guide d'implémentation

Le déploiement d'un Captive Portal externe sur le matériel Ruijie nécessite une configuration précise du SSID, des politiques d'authentification et des couches d'isolation réseau. Suivez ces étapes pour intégrer Ruijie à une plateforme externe comme Purple.

Étape 1 : Configurer le SSID invité et le VLAN

  1. Connectez-vous à Ruijie Cloud ou à l'interface eWeb locale de votre contrôleur.
  2. Naviguez vers Wireless Settings et créez un nouveau SSID nommé de manière appropriée pour votre site.
  3. Définissez le Security Mode sur Open. Le Captive Portal servira de mécanisme d'authentification.
  4. Attribuez le SSID à votre VLAN invité désigné. Assurez-vous que l'interface VLAN correspondante est configurée sur votre passerelle EG avec une plage DHCP.

Étape 2 : Configurer la politique de Captive Portal externe

  1. Naviguez vers la section Auth & Account.
  2. Sélectionnez Captive Portal sous le menu Authentication.
  3. Créez une nouvelle politique et définissez le Policy Mode sur External.
  4. Sélectionnez le SSID invité que vous avez créé à l'étape 1.
  5. Saisissez l'URL du serveur de portail fournie par votre extplateforme externe (par exemple, le point de terminaison du portail de Purple).
  6. Configurez le groupe de serveurs RADIUS à l'aide des adresses IP, des ports (généralement 1812 pour l'authentification et 1813 pour la comptabilité) et des secrets partagés fournis par votre plateforme.

Étape 3 : Implémenter le Walled Garden

  1. Dans la section Auth & Account, localisez la configuration de la liste d'autorisation (Allowlist).
  2. Ajoutez les domaines et les adresses IP requis pour votre plateforme externe.
  3. Ajoutez les domaines de tous les fournisseurs d'identité sociale que vous prévoyez d'utiliser.
  4. Assurez-vous que les domaines standard de détection de Captive Portal sont autorisés.

Étape 4 : Appliquer l'isolation ACL

Connectez-vous à l'interface de ligne de commande de votre passerelle ou contrôleur Ruijie pour configurer l'ACL d'isolation. Cette étape garantit que les invités ne peuvent pas accéder aux ressources internes.

Ruijie(config)# access-list extended 107
Ruijie(config-ext-nacl)# deny ip 192.168.100.0 0.0.0.255 192.168.10.0 0.0.0.255
Ruijie(config-ext-nacl)# permit ip any any
Ruijie(config-ext-nacl)# exit
Ruijie(config)# interface BVI 100
Ruijie(config-if-BVI 100)# access-group 107 in

Bonnes pratiques

Pour garantir une expérience WiFi invité fiable et sécurisée, respectez ces bonnes pratiques standard de l'industrie :

  • Utiliser l'authentification externe pour l'évolutivité : Si vous gérez plusieurs sites ou si vous avez besoin d'analyses détaillées sur le WiFi invité , contournez le portail natif et utilisez une intégration RADIUS externe. Les plateformes comme Purple offrent une gestion indépendante du matériel, vous permettant de standardiser l'expérience invité sur les équipements Ruijie, Cisco Meraki, HPE Aruba et Ruckus.
  • Implémenter une bande passante à plusieurs niveaux : Utilisez les fonctionnalités QoS de la passerelle Ruijie EG pour appliquer des limites de bande passante par utilisateur. Proposez un niveau de base gratuit (par exemple, 5 Mbps) et intégrez une passerelle de paiement via votre portail externe pour proposer un niveau premium à haut débit. Cela crée une source de revenus directe à partir de votre infrastructure.
  • Synchroniser les configurations : Lors de l'utilisation de la plateforme Ruijie JaCS, vous devez cliquer explicitement sur le bouton Synchroniser après avoir modifié une politique de Captive Portal. Dans le cas contraire, la passerelle EG ne recevra pas la configuration mise à jour, ce qui entraînera un comportement incohérent du portail.
  • Se conformer aux réglementations sur la confidentialité des données : Assurez-vous que votre Captive Portal inclut des options d'adhésion (opt-in) explicites et volontaires pour les communications marketing. Lorsque vous utilisez Purple, la plateforme gère automatiquement la conformité au GDPR et à la CCPA, offrant ainsi une couche sécurisée de confidentialité des données. Reportez-vous au Guide de l'administrateur réseau pour la conformité au GDPR et à la confidentialité des données des invités pour obtenir des exigences détaillées.

Dépannage et atténuation des risques

Même avec une configuration minutieuse, les déploiements de Captive Portal peuvent rencontrer des problèmes. Voici les modes de défaillance courants et la manière de les résoudre :

  • Les appareils iOS ne parviennent pas à afficher le portail : Il s'agit presque toujours d'un problème de Walled Garden. Les appareils Apple vérifient captive.apple.com pour déterminer s'ils se trouvent derrière un portail. Si ce domaine est bloqué, l'appareil suppose qu'il dispose d'un accès Internet complet et ne parvient pas à lancer l'assistant de réseau captif. Vérifiez la configuration de votre liste d'autorisation (allowlist).
  • Les invités ne peuvent pas s'authentifier via RADIUS : Vérifiez le secret partagé RADIUS et les configurations de port sur la passerelle Ruijie. Assurez-vous que l'adresse IP publique de la passerelle est correctement enregistrée sur votre plateforme externe. Utilisez les outils de diagnostic Ruijie pour vérifier l'accessibilité de RADIUS.
  • Les limites de bande passante sont ignorées : Si vous utilisez une plateforme externe pour appliquer des niveaux de bande passante, vous devez désactiver la fonctionnalité Client Escape sur la passerelle Ruijie. Si Client Escape est actif, la passerelle peut contourner les instructions QoS de la plateforme externe.
  • Le trafic invité atteint le réseau de l'entreprise : Examinez votre configuration ACL. Assurez-vous que la liste d'accès étendue est appliquée en entrée sur le bon VLAN ou l'interface BVI. Testez l'isolation en connectant un appareil au SSID invité et en essayant de pinger une adresse IP interne connue.

ROI et impact commercial

Le déploiement d'un Captive Portal robuste sur le matériel Ruijie transforme le WiFi invité d'un coût perdu en un actif commercial mesurable. En intégrant une plateforme externe de WiFi Analytics comme Purple, les établissements peuvent obtenir des retours significatifs.

  • Acquisition de données de première partie (First-Party) : Le Captive Portal sert de point principal de collecte de données. En offrant du WiFi gratuit en échange d'une adresse e-mail ou d'une connexion via les réseaux sociaux, les établissements constituent une base de données riche en profils clients. Ces données alimentent des campagnes marketing ciblées, augmentant ainsi la valeur de vie du client.
  • Efficacité opérationnelle : La gestion centralisée dans le cloud via Ruijie Cloud et Purple réduit le temps que les équipes informatiques consacrent au dépannage des problèmes de réseau local. La nature indépendante du matériel de la solution de superposition signifie que vous pouvez mettre à niveau ou remplacer des points d'accès sans avoir à reconstruire l'ensemble de votre infrastructure d'analyse.
  • Génération de revenus directs : L'implémentation de modèles de bande passante à plusieurs niveaux permet aux établissements de monétiser directement le réseau. Par exemple, AGS Airports a mis en œuvre une stratégie WiFi à plusieurs niveaux et a constaté un retour sur investissement de 842 %.
  • Expérience visiteur améliorée : Une expérience de connexion fluide et personnalisée améliore la satisfaction des clients. Dans des secteurs comme l' Hôtellerie et le Commerce de détail , une connectivité fiable est une attente fondamentale ; la fournir de manière sécurisée renforce la confiance dans la marque.

Définitions clés

Captive Portal

Une page web qu'un utilisateur d'un réseau d'accès public est obligé de consulter et avec laquelle il doit interagir avant que l'accès ne lui soit accordé.

Le mécanisme principal pour authentifier les invités et collecter des données de première partie sur un réseau sans fil Ruijie.

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (AAA).

Utilisé pour connecter de manière sécurisée les passerelles Ruijie à des plateformes externes comme Purple pour l'authentification des invités.

Walled Garden

Une liste d'autorisation de domaines et d'adresses IP auxquels un appareil invité peut accéder avant de terminer l'authentification sur le Captive Portal.

Essentiel pour permettre le fonctionnement des fournisseurs de connexion sociale et des mécanismes de détection de Captive Portal (comme le CNA d'Apple).

VLAN Isolation

La pratique consistant à attribuer le trafic invité à un réseau local virtuel (VLAN) distinct et à utiliser des listes de contrôle d'accès (ACL) pour empêcher la communication avec les réseaux d'entreprise internes.

La posture de sécurité standard pour les déploiements de WiFi invité d'entreprise sur le matériel Ruijie.

WISPr

Wireless Internet Service Provider roaming. Un protocole qui permet aux utilisateurs de basculer entre différents fournisseurs de services sans fil, souvent utilisé pour gérer la redirection vers des Captive Portals externes.

Le mécanisme sous-jacent utilisé par Ruijie lorsque la politique de Captive Portal est définie sur le mode External.

Ruijie JaCS

La plateforme de gestion cloud de Ruijie spécialement conçue pour les scénarios d'hôtellerie, offrant des outils natifs de création de Captive Portal.

Utilisé pour gérer les déploiements sur site unique qui ne nécessitent pas de plateformes externes de collecte de données.

Reyee EG Gateway

La gamme de routeurs de sécurité d'entreprise de Ruijie qui gèrent le routage, les politiques de pare-feu et la redirection vers le Captive Portal pour le réseau sans fil.

Le composant matériel central où les ACL et les configurations RADIUS sont appliquées dans un déploiement Ruijie.

Client Escape

Une fonctionnalité sur les passerelles Ruijie qui, si elle est activée, peut permettre aux clients de contourner certaines restrictions de QoS ou de portail.

Doit être désactivé lors de l'utilisation d'une plateforme externe pour appliquer des limites de bande passante par paliers.

Exemples concrets

Un hôtel de 200 chambres déployant des points d'accès Ruijie RG-AP et une passerelle EG doit fournir un WiFi invité gratuit tout en collectant des adresses e-mail pour sa base de données marketing. Il nécessite également une isolation stricte de son réseau de système de gestion hôtelière (PMS).

L'équipe informatique configure un nouvel SSID Open attribué au VLAN 100. Sur la passerelle EG, elle configure une ACL étendue pour refuser le trafic du VLAN 100 vers le VLAN PMS, en l'appliquant en entrée sur l'interface invité. Elle définit la politique de Captive Portal sur le mode External, en faisant pointer l'URL du serveur de portail vers la plateforme de Purple. Elle configure le groupe de serveurs RADIUS avec les identifiants de Purple et ajoute les domaines de Purple à la liste d'autorisation. La plateforme Purple gère la page d'accueil personnalisée et le flux de collecte d'e-mails.

Commentaire de l'examinateur : Cette approche utilise correctement l'isolation VLAN au lieu d'un simple NAT, garantissant ainsi la sécurité du PMS. En s'appuyant sur un portail externe via RADIUS, l'hôtel bénéficie de capacités de collecte de données conformes au GDPR que le portail natif Ruijie ne peut pas fournir à un niveau d'entreprise.

Une chaîne de magasins de 50 points de vente déploie du matériel Ruijie. Les clients signalent que lorsqu'ils se connectent au WiFi invité sur leurs iPhones, l'écran de connexion ne s'affiche pas automatiquement, les obligeant à ouvrir un navigateur manuellement.

L'administrateur réseau se connecte à Ruijie Cloud, navigue vers Auth & Account et ouvre la configuration de l'Allowlist. Il ajoute 'captive.apple.com' à la liste du walled garden et synchronise la configuration sur toutes les passerelles EG du parc.

Commentaire de l'examinateur : Cela résout l'échec classique du Captive Network Assistant (CNA). Les appareils iOS nécessitent un accès à des points de terminaison Apple spécifiques pour déclencher l'affichage automatique du portail. L'ajout de cet élément au walled garden est une étape obligatoire pour tout déploiement de Captive Portal.

Questions d'entraînement

Q1. Vous déployez le WiFi Ruijie dans un stade. Vous devez collecter les données des supporters pour le marketing et imposer une limite de bande passante de 5 Mbps par utilisateur. Devez-vous utiliser le portail natif Ruijie ou une plateforme externe, et comment appliquez-vous la bande passante ?

Conseil : Prenez en compte l'échelle du déploiement et les exigences de collecte de données.

Voir la réponse type

Vous devez utiliser une plateforme externe comme Purple pour la collecte de données et l'intégration marketing. Pour appliquer la bande passante, configurez les paramètres de QoS sur la passerelle Ruijie EG pour le SSID invité, et assurez-vous que la fonctionnalité Client Escape est désactivée afin que les politiques de la plateforme externe soient respectées.

Q2. Un client se plaint que son réseau invité n'est pas sécurisé car le SSID est défini sur 'Open'. Il vous demande d'implémenter une clé pré-partagée (WPA2-Personal) en parallèle du Captive Portal. Comment le conseillez-vous ?

Conseil : Prenez en compte l'expérience utilisateur et l'objectif du Captive Portal.

Voir la réponse type

Conseillez au client que pour les réseaux invités publics, l'ajout d'une clé pré-partagée introduit des frictions inutiles sans améliorer de manière significative la sécurité, car la clé doit de toute façon être partagée publiquement. Le Captive Portal lui-même sert de couche d'authentification et d'autorisation. Pour une véritable sécurité, il convient d'utiliser WPA3-Enterprise avec 802.1X, mais cela est rarement adapté à un accès invité public.

Q3. Après avoir configuré une nouvelle politique de Captive Portal externe sur Ruijie Cloud et l'avoir fait pointer vers Purple, les invités voient toujours la page de connexion Ruijie par défaut. Quelle est la cause la plus probable ?

Conseil : Pensez au processus de déploiement de la configuration dans l'interface Ruijie.

Voir la réponse type

L'administrateur a probablement enregistré la configuration dans Ruijie Cloud mais a oublié de cliquer sur le bouton Synchronise. La configuration n'a pas été poussée vers la passerelle EG locale, qui continue donc d'afficher le portail local par défaut.

Continuer la lecture de cette série

How to Set Up a Captive Portal on Starlink: A Guide for Remote & Maritime Venues

Ce guide explique en détail comment contourner le matériel Starlink natif et intégrer un Captive Portal géré dans le cloud à l'aide d'équipements de routage d'entreprise. Vous apprendrez à surmonter la limitation du CGNAT, à appliquer la segmentation VLAN, à gérer les contraintes de bande passante satellite et à garantir la conformité réglementaire.

Lire le guide →

Gestion du WiFi pour les clients d'hôtels : Intégration du PMS, des portails et des normes de marque

Ce guide technique détaille comment concevoir des réseaux WiFi hôteliers de classe entreprise, en se concentrant sur la segmentation VLAN, l'intégration PMS pour la gestion automatisée des sessions et l'optimisation du Captive Portal pour une collecte de données conforme au GDPR.

Lire le guide →

Captive Portal Best Practices: Designing for High Conversion and Compliance

Ce guide technique offre aux responsables informatiques, architectes réseau et directeurs de l'exploitation des sites un modèle complet pour déployer des Captive Portals qui concilient sécurité réseau et taux de conversion élevé. Il couvre l'intégralité de l'architecture, de la segmentation VLAN et l'authentification RADIUS à la conception de consentements conformes au GDPR et à la sélection des méthodes d'authentification. Issu de l'expérience opérationnelle de Purple sur plus de 80 000 sites et 440 millions de connexions en 2024, chaque recommandation s'appuie sur des données de déploiement réelles.

Lire le guide →