Comment configurer un Captive Portal Ruijie pour le WiFi invité

Parlez en anglais britannique avec un ton confiant, autoritaire et conversationnel - comme un consultant informatique senior informant un client. Un rythme mesuré, une diction claire, professionnel mais pas rigide. Accentuation naturelle occasionnelle sur les termes techniques clés : Comment configurer un Captive Portal Ruijie pour le WiFi invité. Un briefing technique Purple. [pause moyenne] INTRODUCTION ET CONTEXTE. [courte pause] Bienvenue. Au cours des dix prochaines minutes, nous allons aborder tout ce que vous devez savoir sur la configuration d'un Captive Portal Ruijie pour le WiFi invité - des décisions d'architecture qui déterminent le succès ou l'échec de votre déploiement, aux étapes de configuration spécifiques que la plupart des guides omettent complètement. Si vous êtes responsable informatique, architecte réseau ou directeur des opérations sur site dans un hôtel, une chaîne de magasins, un stade ou un centre de conférences, et que vous disposez de matériel Ruijie sur site ou que vous l'évaluez, ce briefing est pour vous. Ruijie Networks est l'un des fournisseurs de solutions sans fil d'entreprise qui connaît la croissance la plus rapide au monde. Selon les données d'IDC, Ruijie occupe la première place sur le marché du WLAN d'entreprise en Chine avec une part de 23,34 %, et sa présence s'étend rapidement en Europe, au Moyen-Orient et en Asie-Pacifique. Leurs contrôleurs sans fil de la série RG-WS, leurs passerelles de la série Reyee EG et leurs points d'accès RG-RAP gérés par le cloud sont désormais déployés dans des milliers de sites à travers le monde. Mais voilà. Pour réussir le WiFi invité sur le matériel Ruijie - en particulier la partie Captive Portal - il faut comprendre d'emblée quelques décisions architecturales. Si vous vous trompez dans ces décisions, vous vous retrouverez avec un portail qui ne fonctionne pas sur iOS, des invités qui ne peuvent pas s'authentifier et un réseau soit trop ouvert, soit trop verrouillé. Corrigeons cela. [pause moyenne] ANALYSE TECHNIQUE APPROFONDIE. [courte pause] Tout d'abord, l'architecture. Ruijie vous propose trois modèles de déploiement distincts pour les portails captifs WiFi invités, et le choix du bon modèle dépend de votre envergure et de vos exigences de gestion. Le premier modèle est le portail natif géré par Ruijie Cloud ou JaCS. JaCS est le système de gestion de Ruijie axé sur l'hôtellerie. C'est l'option intégrée. Vous vous connectez à Ruijie Cloud, accédez à Device Config, puis à Basic, créez ou modifiez votre SSID invité, activez le bouton Authentication et sélectionnez Captive Portal comme mode. JaCS prend en charge les scénarios Hotel et Other et vous offre un outil de création de portail par glisser-déposer avec des options de connexion comprenant l'accès en un clic, les codes de réduction et la connexion basée sur un compte. C'est le bon choix pour les déploiements plus modestes - un seul hôtel, une boutique ou un centre de conférences qui souhaite une page d'accueil rapide et personnalisée sans dépendances externes. Le modèle deux est le Captive Portal externe via WISPr et RADIUS. WISPr - Wireless Internet Service Provider roaming - est le protocole qui gère la redirection et la négociation d'authentification entre la passerelle Ruijie et une plateforme de portail externe. C'est l'approche de niveau entreprise. C'est ce dont vous avez besoin lorsque vous souhaitez intégrer Ruijie à une plateforme d'intelligence WiFi invité tierce. Ici, vous accédez à Auth et Account dans l'interface Ruijie, sélectionnez Captive Portal, définissez le Policy Mode sur External et pointez l'URL du Portal Server vers votre plateforme externe. Vous configurez ensuite un groupe de serveurs RADIUS avec les identifiants fournis par votre plateforme. Ce modèle s'adapte à des centaines de sites, vous offre des analyses centralisées et vous permet d'exécuter des flux de capture de données conformes au GDPR. Le modèle trois est le mode AP autonome. Les points d'accès Reyee de Ruijie exécutant ReyeeOS version 1.219 ou ultérieure peuvent exécuter un Captive Portal local sans passerelle, ce qui est utile pour les déploiements temporaires ou les petits sites sans routeur EG. Cependant, les fonctionnalités sont limitées par rapport aux déploiements basés sur une passerelle, considérez donc cela comme une solution de secours et non comme une architecture principale. [medium pause] Maintenant, l'élément critique que la plupart des guides ignorent complètement : l'isolation VLAN. Lorsque vous créez un SSID invité sur Ruijie, vous disposez de deux options de transfert : le mode NAT et le mode VLAN. Le mode NAT est plus simple. La passerelle attribue aux appareils invités des adresses provenant d'un pool dédié, généralement 192.168.23.0 slash 24 par défaut, et tout le trafic invité est traduit (NAT) vers Internet. Cela fonctionne pour un proof of concept, mais cela vous donne une visibilité et un contrôle limités sur le trafic invité au niveau de la couche 3. Le mode VLAN est le bon choix pour tout déploiement en production. Vous attribuez le SSID invité à un VLAN dédié, par exemple le VLAN 100, et utilisez des ACL sur la passerelle pour empêcher le trafic invité d'atteindre votre VLAN d'entreprise. Le schéma est le suivant : créez une liste d'accès étendue, refusez le trafic IP du sous-réseau invité vers le sous-réseau d'entreprise, autorisez tout le reste, et appliquez cette liste d'accès en entrée sur l'interface BVI invitée. C'est le même principe que vous appliqueriez sur Cisco Meraki, HPE Aruba ou Ruckus - Ruijie a simplement sa propre syntaxe CLI. Les normes de sécurité sont importantes ici. Ruijie prend en charge le WPA3-Personal et le mode mixte WPA2 slash WPA3 sur les SSID invités. Pour un réseau invité où vous souhaitez un accès sans friction, vous exécutez généralement un SSID ouvert avec authentification par Captive Portal plutôt qu'une clé pré-partagée. Le Captive Portal devient votre couche d'authentification. Si vous avez besoin d'une sécurité plus renforcée - par exemple pour un environnement de santé ou de services financiers - vous pouvez superposer l'IEEE 802.1X, en utilisant EAP-TLS ou PEAP avec un serveur RADIUS pour une authentification basée sur des certificats ou des identifiants. Les contrôleurs de la série RG-WS de Ruijie prennent en charge le 802.1X complet avec attribution dynamique de VLAN, ce qui signifie que vous pouvez attribuer différents VLAN à différents groupes d'utilisateurs en fonction des attributs RADIUS. [medium pause] Le walled garden - ou liste d'autorisation - est un autre aspect qui pose souvent problème. Avant qu'un utilisateur invité ne s'authentifie via le Captive Portal, son appareil fonctionne dans un état restreint. Il ne peut accéder qu'aux domaines que vous autorisez explicitement. Au minimum, vous devez autoriser le domaine et l'adresse IP de votre plateforme de portail, tous les fournisseurs de connexion sociale que vous utilisez, et le point de terminaison de détection de Captive Portal d'Apple - captive.apple.com. Si vous oubliez ce dernier, les appareils iOS afficheront un portail dégradé. Vous configurez la liste d'autorisation dans Ruijie Cloud sous Auth and Account, puis Allowlist. Ajoutez chaque domaine et adresse IP individuellement. [medium pause] RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER. [short pause] Laissez-moi vous présenter les quatre décisions qui déterminent le succès ou l'échec de votre déploiement WiFi invité Ruijie. Décision une : portail natif versus plateforme externe. Si vous gérez plus de cinq sites, ou si vous devez collecter des données de première partie pour le marketing, utilisez une plateforme externe. Purple, par exemple, fonctionne comme un overlay cloud indépendant du matériel sur plus de 80 000 sites actifs. Vous pointez votre passerelle Ruijie vers l'URL du portail de Purple, configurez les identifiants RADIUS, et vous obtenez des analyses centralisées, une collecte de données conforme au GDPR et des intégrations CRM - le tout sans avoir à toucher à nouveau au matériel Ruijie. Purple a traité 440 millions de connexions rien qu'en 2024 et détient la certification ISO 27001, la conformité est donc assurée. Décision deux : NAT versus VLAN. Utilisez toujours le mode VLAN pour les déploiements en production. Le mode NAT convient pour une preuve de concept, mais le mode VLAN vous offre une véritable isolation de couche 3, une gestion plus simple des politiques de pare-feu et la possibilité d'appliquer des politiques de QoS par VLAN. Décision trois : gestion de la bande passante. Les passerelles EG de Ruijie disposent de contrôles QoS intégrés. Définissez des limites de téléchargement et d'envoi par utilisateur sur l'SSID invité - généralement deux à cinq mégabits par seconde en téléchargement pour un réseau invité standard. Cela évite qu'un seul invité diffusant de la vidéo 4K ne dégrade l'expérience de tous les autres. Si vous utilisez une plateforme externe, désactivez Client Escape du côté de Ruijie pour vous assurer que les contrôles de bande passante de la plateforme s'appliquent correctement. Décision quatre : expiration de session et ré-authentification. Définissez une expiration de session raisonnable - de huit à 24 heures pour l'hôtellerie, plus courte pour le commerce de détail ou les événements. Ruijie vous permet de configurer cela par politique de portail. Associez-le à une URL de redirection post-connexion afin que les invités atterrissent sur le site Web de votre établissement ou sur une page promotionnelle après s'être connectés. [medium pause] Le piège le plus courant que je constate est le déploiement d'un Captive Portal par des équipes sans le tester simultanément sur iOS et Android. Apple et Google ont tous deux des mécanismes de détection de Captive Portal qui se comportent différemment. Testez les deux avant la mise en service. Le deuxième piège le plus courant est d'oublier de synchroniser la configuration du portail avec le produit EG dans JaCS - il y a un bouton Synchroniser explicite sur lequel vous devez cliquer après avoir créé ou modifié un portail, sinon la passerelle ne prend pas en compte les modifications. [medium pause] QUESTIONS ET RÉPONSES RAPIDES. [short pause] Laissez-moi passer en revue les questions que l'on me pose le plus souvent. Les AP Ruijie peuvent-ils exécuter un Captive Portal sans passerelle ? Oui, sur ReyeeOS 1.219 ou version ultérieure, mais les fonctionnalités sont limitées par rapport aux déploiements basés sur une passerelle. Ruijie prend-il en charge le 802.1X pour les réseaux invités ? Oui, les contrôleurs de la série RG-WS prennent en charge le 802.1X complet avec attribution dynamique de VLAN via RADIUS. Puis-je intégrer Ruijie avec Purple ? Oui. Configurez le mode Captive Portal externe, pointez l'URL du portail vers le point de terminaison de Purple, configurez le groupe de serveurs RADIUS avec les identifiants de Purple, et ajoutez les domaines de Purple à la liste d'autorisation. L'architecture matérielle agnostique de Purple s'occupe du reste. Le WPA3 fonctionne-t-il avec les portails captifs ? Oui. Vous utilisez un SSID ouvert pour le flux du Captive Portal. Le WPA3 s'applique aux SSIDs authentifiés. Pour les réseaux invités, le portail lui-même constitue la couche d'authentification. Quels ports RADIUS Ruijie utilise-t-il ? Le port 1812 pour l'authentification et le port 1813 pour la comptabilité (accounting) - ce sont les ports standard attribués par l'IANA selon les normes RFC 2865 et RFC 2866. [medium pause] RÉSUMÉ ET PROCHAINES ÉTAPES. [short pause] En résumé. Ruijie Networks vous offre une plateforme performante et flexible pour le déploiement de WiFi invité et de Captive Portal. Les trois modèles de déploiement - portail cloud natif, portail externe basé sur RADIUS, et AP autonome - couvrent tous les besoins, de l'hôtel-boutique sur un seul site à la chaîne de vente au détail multi-sites. Les décisions clés sont : l'isolation VLAN plutôt que le NAT pour tout déploiement en production. Une plateforme externe pour tout cas d'usage multi-sites ou de capture de données. Une configuration correcte du walled garden pour éviter les échecs d'authentification iOS. Et effectuez toujours des tests sur iOS et Android avant la mise en service. Vos prochaines étapes : auditez vos versions actuelles du firmware Ruijie pour confirmer la compatibilité avec ReyeeOS. Décidez si vous avez besoin d'une gestion de portail native ou externe. Si vous gérez plus de cinq sites ou si vous avez besoin d'analyses, contactez Purple pour intégrer leur plateforme à votre infrastructure Ruijie. Purple opère dans plus de 80 000 sites, traite des centaines de millions de connexions par an et est certifié ISO 27001, GDPR et Cyber Essentials. Vous pouvez trouver la documentation d'intégration de Purple et demander une démo sur purple.ai. Merci pour votre écoute. Nous vous retrouverons lors du prochain briefing.