Passer au contenu principal
Français

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

📖 5 min de lecture📝 1,177 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bienvenue dans ce point technique Purple. Je suis votre hôte, et aujourd'hui nous abordons un modèle de déploiement qui revient dans presque tous les projets WiFi d'entreprise à grande échelle : l'intégration de CommScope Ruckus avec la plateforme cloud de Purple. Que vous gériez un groupe hôtelier, un parc de points de vente, un stade ou un centre de conférences, cet épisode vous donnera le manuel de configuration dont vous avez besoin. Plantons d'abord le décor. Ruckus – désormais sous la bannière de CommScope – est l'une des plateformes de WiFi d'entreprise dominantes dans le monde. SmartZone en particulier est le contrôleur de choix pour les environnements à haute densité. Des hôtels comme Premier Inn, de grandes chaînes de magasins, des stades et des centres de congrès exploitent tous l'infrastructure Ruckus. Lorsque vous déployez du WiFi invité à cette échelle, il vous faut plus qu'un simple SSID ouvert. Vous avez besoin d'une authentification structurée, d'une capture de données conforme au GDPR et de la capacité d'intégrer ces données d'invités dans votre pile marketing. C'est précisément là que Purple intervient. Purple est présent dans plus de 80 000 sites actifs, a traité 440 millions de connexions rien qu'en 2024, et détient les certifications ISO 27001, GDPR et Cyber Essentials. L'intégration Ruckus est l'un de nos modèles de déploiement les plus matures. Ruckus propose trois plateformes de contrôleurs distinctes que vous devez comprendre avant de toucher à un écran de configuration. SmartZone – disponible sous forme d'appareil physique SZ300 ou virtuel vSZ – est le contrôleur d'entreprise pour les grands déploiements multi-sites. Il gère des milliers de points d'accès sur plusieurs zones, vous offre un contrôle approfondi des politiques et prend en charge toute la gamme des méthodes d'authentification que nous allons aborder aujourd'hui. ZoneDirector est le contrôleur sur site hérité – encore largement déployé, notamment dans l'hôtellerie – et il prend en charge le même flux de Captive Portal basé sur WISPr, bien qu'avec un chemin de configuration légèrement différent. Et Unleashed est le modèle sans contrôleur, où un point d'accès fait office de maître pour jusqu'à 128 autres. Il est idéal pour les déploiements plus petits sur un seul site : hôtels indépendants, succursales de vente au détail, bureaux de PME. Très bien. Entrons dans les détails techniques. Je vais aborder trois cas d'usage distincts : le WiFi invité avec redirection vers un Captive Portal, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK. Commençons par le WiFi invité. L'architecture ici est un flux de hotspot basé sur WISPr. WISPr – Wireless Internet Service Provider roaming – est un standard de l'industrie qui définit comment un contrôleur sans fil intercepte le trafic HTTP non authentifié et le redirige vers un portail externe. L'invité se connecte à votre SSID. Son appareil envoie une requête HTTP. SmartZone l'intercepte et émet une redirection HTTP 302 vers l'URL de votre portail externe – dans ce cas, le Captive Portal de Purple. L'invité s'authentifie – via une connexion sociale, un e-mail, un SMS ou un formulaire personnalisé – puis le portail communique en retour avec le contrôleur via l'interface Northbound, ou NBI, pour accorder l'accès. Sur SmartZone, la configuration comporte quatre composants principaux. Tout d'abord, le profil du serveur d'authentification RADIUS. Accédez à Services and Profiles, puis Authentification. Créez un nouveau profil de serveur AAA. Définissez le protocole de service sur RADIUS. L'adresse IP de votre serveur principal et le secret partagé sont fournis dans la console d'administration de Purple. Port 1812 pour l'authentification. Configurez toujours un serveur RADIUS de secours pour la résilience. Créez ensuite le serveur de comptabilité sous Services and Profiles, Accounting – port 1813, même secret partagé. Deuxièmement, le profil Hotspot WISPr. Allez dans Services and Profiles, Hotspots and Portals, et sélectionnez l'onglet Hotspot WISPr. Créez un nouveau profil. Définissez l'URL de connexion sur Externe et saisissez l'URL de redirection de votre portail. Définissez la page de démarrage pour rediriger vers votre URL post-authentification – généralement une page de réussite ou la page d'accueil de votre site. Ensuite, le Walled Garden. C'est là que les ingénieurs trébuchent le plus souvent. Le Walled Garden définit les domaines et les adresses IP qu'un invité peut atteindre avant de s'authentifier. Vous devez inclure le domaine de votre portail, tous les domaines de CDN ou de ressources à partir desquels votre portail se charge, ainsi que les points de terminaison standard de détection de Captive Portal des systèmes d'exploitation. Dans SmartZone, les caractères génériques sont pris en charge au format astérisque-point – ainsi, *.purple.ai couvre tous les sous-domaines. Vous avez également besoin du domaine de détection de Captive Portal d'Apple – captive.apple.com – et des points de terminaison de vérification de connectivité de Google pour éviter que le mini-navigateur CNA ne se comporte mal sur les appareils iOS et Android. Une étape cruciale facile à manquer. Par défaut, SmartZone chiffre l'adresse MAC et l'adresse IP qu'il transmet au portail externe dans l'URL de redirection. Purple a besoin de voir l'adresse MAC réelle du client pour effectuer la gestion des sessions basée sur le MAC. Vous devez désactiver cela via la CLI. Connectez-vous en SSH à votre SmartZone, entrez en mode configuration et exécutez : no encrypt-mac-ip. C'est une seule commande, mais c'est un point de blocage absolu si vous l'ignorez. L'interface Northbound est l'autre élément essentiel. Il s'agit de l'API qui permet à Purple de communiquer en retour avec SmartZone pour accorder ou refuser l'accès après l'authentification. Activez-la sous Administration, Services externes, Interface Northbound WISPr. Définissez un nom d'utilisateur et un mot de passe, et fournissez ces identifiants à Purple. La NBI fonctionne sur le port TCP 9080 pour le HTTP et 9443 pour le HTTPS – assurez-vous que votre pare-feu autorise les connexions entrantes de la plage IP de Purple vers ces ports. Enfin, créez votre WLAN. Définissez le type d'authentification sur Hotspot WISPr, sélectionnez le profil de votre portail et attribuez vos services d'authentification et de comptabilité RADIUS. Définissez le NAS ID sur Défini par l'utilisateur si Purple requiert une valeur spécifique, définissez le Called Station ID sur AP MAC et activez Single Session ID. Pour Unleashed, l'architecture est fondamentalement différente : il s'agit d'un modèle distribué sans contrôleur. La configuration se trouve dans Admin et Services, Services, Services Hotspot. Les étapes sont globalement similaires – créer un service Hotspot, configurer l'URL de votre portail externe, configurer votre serveur d'authentification AAA, ajouter vos entrées de Walled Garden – mais il y a deux différences clés. Il n'y a pas d'exigence d'interface Northbound dans Unleashed. Et le chiffrement de l'adresse MAC n'est pas appliqué par défaut, vous n'avez donc pas besoin de la commande CLI. Le Walled Garden d'Unleashed accepte également des entrées au niveau du domaine plutôt que la syntaxe complète des caractères génériques. Passons maintenant au WiFi personnel sécurisé via 802.1X. Il s'agit d'un modèle d'authentification complètement différent. Au lieu d'un Captive Portal, les appareils du personnel s'authentifient directement à l'aide du protocole d'authentification extensible – EAP. La méthode la plus courante dans les environnements d'entreprise est PEAP-MSCHAPv2, où l'utilisateur saisit ses identifiants Active Directory, ou EAP-TLS, où l'appareil présente un certificat. Le module complémentaire SecurePass de Purple s'intègre à Microsoft Entra ID, Okta et Google Workspace pour faire office de backend RADIUS pour ce flux. Sur SmartZone, créez un nouveau WLAN et définissez le type d'authentification sur 802.1X EAP. Dans les paramètres AAA, pointez vers votre serveur RADIUS – le point de terminaison SecurePass de Purple. La différence clé par rapport au flux invité est que vous configurez également l'attribution dynamique de VLAN ici. Lorsque le serveur RADIUS de Purple renvoie un Access-Accept, il inclut trois attributs standard de l'IETF : Tunnel-Type défini sur VLAN, valeur 13 ; Tunnel-Medium-Type défini sur IEEE-802, valeur 6 ; et Tunnel-Private-Group-ID contenant la chaîne de l'ID de VLAN – par exemple, 20 pour le VLAN du personnel. SmartZone lit ces attributs et étiquette dynamiquement le trafic du membre du personnel avec le bon VLAN, quel que soit le point d'accès auquel il est connecté. C'est l'orientation dynamique des VLAN, et c'est ce qui permet à un seul SSID de desservir plusieurs rôles d'utilisateurs avec des politiques d'accès réseau différentes. Activez l'option AAA Override dans les paramètres avancés du WLAN pour vous assurer que SmartZone traite les attributs de VLAN renvoyés par le RADIUS. Sans cette case cochée, l'attribution dynamique ne fonctionnera pas, même si le serveur RADIUS envoie les bons attributs. Le troisième cas d'usage est l'isolation multi-locataire à l'aide de Ruckus Dynamic PSK – ou DPSK. Il s'agit d'une technologie propriétaire de Ruckus qui attribue une phrase de passe WPA2 unique à chaque utilisateur ou locataire, le tout sur un seul SSID. Contrairement à un PSK partagé où tout le monde utilise le même mot de passe, le DPSK signifie que le locataire A dispose d'une clé unique de 62 caractères, le locataire B d'une autre, et ainsi de suite. Chaque clé est liée à un VLAN spécifique, de sorte que le trafic du locataire A arrive sur le VLAN 101 et celui du locataire B sur le VLAN 102 – isolation complète, aucun risque lié au mot de passe partagé et révocation instantanée sans affecter les autres locataires. C'est particulièrement puissant dans les espaces de coworking, les immeubles résidentiels locatifs, les logements étudiants et les parcs d'activités commerciales multi-locataires. Purple s'intègre à Ruckus DPSK via l'API de SmartZone pour automatiser l'attribution des clés – lorsqu'un nouveau locataire est intégré dans Purple, un DPSK est généré, lié au bon VLAN et transmis automatiquement au locataire. Pour configurer le DPSK sur SmartZone : accédez à WLANs, ajoutez un nouveau WLAN et, sous Sécurité, définissez la méthode sur Dynamic PSK. Définissez la longueur du DPSK sur 62 caractères pour une entropie maximale. Sous VLAN, activez l'attribution de VLAN par DPSK. Utilisez ensuite l'API de SmartZone ou l'interface de gestion DPSK pour créer des clés individuelles par locataire, chacune mappée à son propre ID de VLAN. Sur Unleashed, la même fonctionnalité est disponible sous Réseaux WiFi, Options avancées, Dynamic PSK. Le DPSK3 est la variante WPA3, offrant un chiffrement plus fort basé sur SAE. Si votre parc de points d'accès prend en charge le WPA3 – ce qui est le cas de tous les points d'accès Ruckus actuels de la série R – le DPSK3 est le choix privilégié pour les nouveaux déploiements. Laissez-moi vous présenter deux scénarios de mise en œuvre réels qui illustrent comment ces trois cas d'usage s'articulent. Premier scénario : un hôtel de 250 chambres. L'établissement utilise Ruckus SmartZone avec des points d'accès R750 répartis partout. Ils ont besoin de trois types de réseaux : un WiFi invité pour les clients de l'hôtel, un WiFi personnel sécurisé pour le personnel d'accueil et d'arrière-guichet, et un réseau IoT pour les commandes de chambres intelligentes et la vidéosurveillance. Le WLAN invité utilise le flux de Captive Portal WISPr avec Purple. Les invités se connectent, sont redirigés vers un portail Purple personnalisé, s'authentifient par e-mail ou connexion sociale, et arrivent sur le VLAN 10. Le portail capture des données de première partie – e-mail, consentement marketing, préférences de séjour – qui alimentent directement le CRM de l'hôtel. Le tableau de bord analytique de Purple montre à l'hôtel quelles zones présentent les taux de connexion les plus élevés, les heures de pointe et les taux de visiteurs récurrents. Premier Inn a déployé ce modèle sur l'ensemble de son parc au Royaume-Uni et a constaté des améliorations mesurables des scores de satisfaction des clients directement liées à l'expérience WiFi. Le WLAN du personnel utilise le 802.1X avec SecurePass de Purple. Le personnel s'authentifie avec ses identifiants Active Directory via PEAP-MSCHAPv2. Le personnel de réception arrive sur le VLAN 20 avec accès au système de gestion de l'établissement. Le personnel d'arrière-guichet arrive sur le VLAN 21 avec un accès uniquement aux systèmes de RH et de planification. L'attribution du VLAN est entièrement gérée par les attributs RADIUS renvoyés par Purple – aucune configuration manuelle de port n'est requise. Lorsqu'un membre du personnel s'en va, son compte est désactivé dans Microsoft Entra ID et l'accès est révoqué instantanément sur tous les sites. Le IoT WLAN utilise un PSK statique, isolé sur le VLAN 30, avec l'isolation des clients activée. Les thermostats intelligents, les serrures de porte et les caméras de vidéosurveillance se trouvent ici, complètement séparés du trafic des invités et du personnel. Deuxième scénario : un espace de coworking avec 15 entreprises locataires. C'est là que le DPSK prend tout son sens. L'opérateur utilise Ruckus Unleashed sur trois étages. Chaque entreprise locataire reçoit un DPSK unique lié à son propre VLAN. Les 20 membres du personnel du locataire A utilisent tous la même phrase de passe DPSK-A, mais cette phrase de passe est unique au locataire A et ne correspond qu'au VLAN 101. Le locataire B utilise le DPSK-B, correspondant au VLAN 102. Les locataires sont complètement isolés les uns des autres au niveau de la couche réseau. Lorsqu'un locataire s'en va, l'opérateur révoque son DPSK dans SmartZone – ou via l'interface de gestion de Purple – et c'est tout. Aucun autre locataire n'est affecté, aucun changement de SSID n'est requis, aucune réinitialisation de mot de passe dans tout le bâtiment. La couche de gestion multi-locataire de Purple chapeaute le tout, offrant à l'opérateur de coworking un tableau de bord unique pour gérer l'intégration, la révocation des accès et les analyses d'utilisation pour les 15 locataires. Laissez-moi maintenant aborder les modes de défaillance les plus courants et comment les éviter. Numéro un : mauvaise configuration du Walled Garden. Si la page de votre portail ne se charge pas après la redirection, la première chose à vérifier est si tous les domaines auxquels votre page de portail fait référence figurent dans le Walled Garden. Les pages de portail modernes chargent des ressources à partir de plusieurs domaines de CDN, de scripts d'analyse et de SDK de connexion sociale. Si l'un d'entre eux est bloqué avant l'authentification, la page ne se chargera pas ou s'affichera de manière incorrecte. Utilisez les outils de développement de votre navigateur sur un appareil de test connecté au SSID invité pour identifier les requêtes bloquées. Purple fournit une liste de Walled Garden documentée pour SmartZone et Unleashed – utilisez-la comme base et ajoutez-y les domaines spécifiques à votre site. Numéro deux : le problème de connectivité NBI. Si les invités peuvent voir le portail et s'authentifier, mais n'obtiennent jamais d'accès à Internet, la cause probable est que SmartZone ne peut pas recevoir le rappel NBI de Purple. Vérifiez que les ports 9080 et 9443 sont ouverts en entrée vers l'adresse IP de gestion de SmartZone depuis la plage IP de Purple. Vérifiez également que les identifiants NBI que vous avez configurés correspondent à ceux enregistrés par Purple. Numéro trois : la commande manquante no encrypt-mac-ip. C'est le piège le plus courant spécifique à SmartZone. Si Purple reçoit des requêtes de redirection mais ne parvient pas à associer la session à une adresse MAC, c'est presque certainement la cause. C'est une correction d'une seule ligne en CLI, mais elle est facile à manquer car elle n'apparaît pas dans l'interface graphique. Numéro quatre : AAA Override non activé pour le VLAN dynamique. Si le personnel s'authentifie avec succès sur le 802.1X mais se retrouve sur le même VLAN par défaut plutôt que sur son VLAN spécifique à son rôle, vérifiez que l'option AAA Override est activée dans les paramètres avancés du WLAN. C'est le commutateur qui indique à SmartZone de respecter les attributs de VLAN renvoyés par le serveur RADIUS. Numéro cinq : le VLAN DPSK ne se propage pas. Si les utilisateurs de DPSK s'authentifient mais n'arrivent pas sur le bon VLAN, vérifiez que l'attribution de VLAN par DPSK est activée dans les paramètres du WLAN, et que les ports de commutateur connectés à vos points d'accès sont configurés comme des ports trunk acheminant tous les VLAN DPSK. Si le port du commutateur est un port d'accès, le marquage VLAN sera supprimé. Maintenant, trois questions rapides que l'on me pose lors de chaque déploiement Ruckus-Purple. Ai-je besoin d'un VLAN dédié pour le WiFi invité ? Oui, toujours. Isolez le trafic des invités sur un VLAN dédié. Il s'agit à la fois d'une exigence de sécurité et d'une considération de conformité PCI DSS si votre établissement traite des paiements par carte sur le même réseau. Activez l'isolation des clients sur le WLAN invité pour empêcher les appareils des invités de communiquer entre eux. Puis-je utiliser Purple avec Ruckus One – la plateforme gérée dans le cloud – au lieu de SmartZone ? Oui. Le chemin de configuration est différent – cela se trouve sous Réseaux WiFi, paramètres d'accès invité dans le portail Ruckus One – mais les principes de configuration du Walled Garden et du RADIUS sont identiques. Purple prend-il en charge les déploiements multi-zones de SmartZone ? Oui. L'intégration de Purple gère les environnements SmartZone multi-zones, et vous pouvez cibler les configurations de portail sur des zones individuelles pour différents sites ou étages au sein d'une seule instance SmartZone. Pour résumer. L'intégration de Ruckus et Purple couvre trois cas d'usage distincts, chacun ayant son propre modèle de configuration. Le WiFi invité utilise le flux de Captive Portal WISPr – cinq points de configuration clés : RADIUS sur les ports 1812 et 1813 avec un serveur de secours, le profil Hotspot WISPr avec une URL de connexion externe, un Walled Garden correctement dimensionné utilisant des entrées génériques, la commande CLI no encrypt-mac-ip, et l'interface Northbound activée avec les bons identifiants. Le WiFi personnel sécurisé utilise le 802.1X EAP avec orientation dynamique des VLAN via les attributs RADIUS – l'élément déclencheur essentiel est l'option AAA Override dans les paramètres avancés du WLAN. L'isolation multi-locataire utilise Ruckus Dynamic PSK – des clés uniques par locataire, chacune liée à un VLAN dédié, avec une révocation instantanée et aucun risque lié au mot de passe partagé. Maîtrisez ces trois modèles et vous obtiendrez une architecture réseau qui s'adapte aussi bien à un hôtel indépendant de 50 chambres sur Unleashed qu'à un stade de 5 000 places sur SmartZone, avec la même plateforme Purple chapeautant le tout pour fournir des analyses unifiées, une capture de données conforme au GDPR et une gestion centralisée des accès. Si vous planifiez un déploiement Ruckus avec Purple, l'équipe d'intégration technique peut vous guider à travers une liste de contrôle avant lancement et valider votre configuration avant la mise en service. La plateforme Purple fournit également des analyses en temps réel sur les temps de chargement du portail, les taux de réussite d'authentification et les données de session – vous offrant la visibilité nécessaire pour détecter les problèmes avant vos invités. Merci pour votre écoute. À la prochaine.

header_image.png

मुख्य सारांश

एंटरप्राइझ ठिकाणी उच्च-कार्यक्षमता वायरलेस नेटवर्क तैनात करण्यासाठी अखंड वापरकर्ता अनुभव आणि मजबूत तांत्रिक सुरक्षा यांच्यात काळजीपूर्वक संतुलन राखणे आवश्यक आहे. CommScope Ruckus आर्किटेक्चर चालवणाऱ्या संस्थांसाठी - ज्यामध्ये उच्च-घनता स्टेडियम आणि कन्व्हेन्शन सेंटर्सपासून ते विस्तीर्ण रिटेल इस्टेट्स आणि हॉस्पिटॅलिटी ग्रुप्सचा समावेश आहे - नेटवर्क डिजिटल सहभागासाठी प्राथमिक गेटवे म्हणून कार्य करते. हे मार्गदर्शक Ruckus SmartZone, ZoneDirector आणि Unleashed कंट्रोलर्सना Purple क्लाउड प्लॅटफॉर्मसह एकत्रित करण्यासाठी एक निश्चित तांत्रिक प्लेबुक प्रदान करते. आम्ही WISPr Captive Portal रिडायरेक्शन वापरून Guest WiFi तैनात करण्यासाठी, 802.1X डायनॅमिक VLAN स्टिअरिंगद्वारे कर्मचारी नेटवर्क सुरक्षित करण्यासाठी आणि Ruckus Dynamic Pre-Shared Keys (DPSK) वापरून मल्टी-टेनंट नेटवर्क आयसोलेशनसाठी आवश्यक असलेल्या अचूक कॉन्फिगरेशन पायऱ्यांचा तपशील देतो. या व्हेंडर-न्यूट्रल सर्वोत्तम पद्धतींचे अनुसरण करून, IT टीम्स नेटवर्क विभाजन स्वयंचलित करू शकतात, PCI DSS सारख्या मानकांचे पालन सुनिश्चित करू शकतात आणि फर्स्ट-पार्टी डेटा सुरक्षितपणे कॅप्चर करू शकतात.

तांत्रिक सखोल विश्लेषण

CommScope Ruckus हार्डवेअर आणि Purple मधील एकत्रीकरण उद्योग-मानक प्रमाणीकरण प्रोटोकॉल आणि सुरक्षित API संवादांवर अवलंबून असते. हे आर्किटेक्चर तीन स्वतंत्र उपयोजन मॉडेलचे समर्थन करते, प्रत्येक ठिकाणातील विशिष्ट वापरकर्ता समूहाला सेवा देते.

Guest WiFi आर्किटेक्चर (WISPr)

रिटेल आणि हॉस्पिटॅलिटीमधील सार्वजनिक प्रवेश नेटवर्कसाठी, Ruckus वायरलेस इंटरनेट सेवा प्रदाता रोमिंग (WISPr) प्रोटोकॉलचा वापर करते. जेव्हा एखादा अतिथी ओपन SSID शी कनेक्ट होतो, Windows Ruckus कंट्रोलर त्यांच्या सुरुवातीच्या HTTP विनंतीला अडवतो आणि Purple च्या बाह्य Captive Portal वर HTTP 302 रिडायरेक्ट जारी करतो. अतिथी जागरूक-निवड ऑप्ट-इन यंत्रणेद्वारे प्रमाणित करतो - जसे की ईमेल किंवा सोशल आयडेंटिटी प्रदाता. यशस्वी प्रमाणीकरणानंतर, Purple MAC पत्ता अधिकृत करण्यासाठी आणि इंटरनेट प्रवेश मंजूर करण्यासाठी Northbound Interface (NBI) द्वारे Ruckus कंट्रोलरशी परत संवाद साधते.

architecture_overview.png

सुरक्षित स्टाफ WiFi (802.1X आणि डायनॅमिक VLANs)

स्टाफ उपकरणांसाठी मूलभूतपणे भिन्न दृष्टिकोन आवश्यक आहे. Captive Portals वर अवलंबून राहण्याऐवजी, एंटरप्राइझ वातावरण 802.1X प्रमाणीकरण वापरतात. उपकरणे EAP-TLS (प्रमाणपत्र-आधारित) किंवा PEAP-MSCHAPv2 (क्रेडेन्शियल्स-आधारित) प्रोटोकॉल वापरून थेट Purple च्या RADIUS इन्फ्रास्ट्रक्चरच्या विरुद्ध प्रमाणित होतात.

येथील महत्त्वाचा घटक म्हणजे डायनॅमिक VLAN स्टिअरिंग. जेव्हा Purple चे RADIUS सर्व्हर Access-Accept मेसेज रिटर्न करते, तेव्हा त्यामध्ये तीन विशिष्ट IETF मानक ॲट्रिब्युट्स समाविष्ट असतात:

  • Tunnel-Type (ॲट्रिब्यूट ६४): VLAN (व्हॅल्यू १३) वर सेट करा
  • Tunnel-Medium-Type (ॲट्रिब्यूट ६५): IEEE-802 (व्हॅल्यू ६) वर सेट करा
  • Tunnel-Private-Group-ID (ॲट्रिब्यूट ८१): यामध्ये VLAN ID स्ट्रिंग असते (उदा., स्टाफसाठी "२०")

Ruckus SmartZone कंट्रोलर हे ॲट्रिब्युट्स वाचतो आणि युझरच्या ट्रॅफिकला डायनॅमिकली टॅग करतो, ज्यामुळे ते कोणत्याही फिजिकल ॲक्सेस पॉइंटशी कनेक्ट झाले असले तरीही त्यांना योग्य आयसोलेटेड नेटवर्क सेगमेंटमध्ये ठेवले जाते.

मल्टि-टेनंट आयसोलेशन (Ruckus DPSK)

को-वर्किंग स्पेस, स्टुडंट अकॉमॉडेशन आणि मल्टि-ड्वेलिंग युनिट्स (MDUs) सारख्या वातावरणासाठी, डझनभर SSIDs ब्रॉडकास्ट केल्याने गंभीर चॅनल इंटरफेरन्स (हस्तक्षेप) निर्माण होतो. Ruckus Dynamic Pre-Shared Key (DPSK) एकाच शेअर केलेल्या SSID वर प्रत्येक भाडेकरूला (टेनंट) एक युनिक WPA2/WPA3 पासफ्रेज देऊन याचे निराकरण करते.

प्रत्येक DPSK एका विशिष्ट VLAN शी बाइंड केलेला असतो. जेव्हा एखादा रहिवासी कनेक्ट होतो, तेव्हा कंट्रोलर डिव्हाइस ऑथेंटिकेट करण्यासाठी आणि त्यांना त्यांच्या खाजगी VLAN मध्ये टाकण्यासाठी त्यांच्या युनिक की चा वापर करतो. Purple ही प्रक्रिया API इंटिग्रेशनद्वारे स्वयंचलित करते, भाडेकरू आत किंवा बाहेर शिफ्ट होताना की जनरेट आणि रिव्होक (रद्द) करते, ज्यामुळे पारंपारिक शेअर केलेल्या पासवर्डशी संबंधित सुरक्षा धोके नाहीसे होतात.

dpsk_configuration_guide.png

इम्प्लीमेंटेशन गाईड

हा विभाग Purple ला Ruckus SmartZone कंट्रोलरसह इंटिग्रेट करण्यासाठी आवश्यक असलेल्या विशिष्ट कॉन्फिगरेशन स्टेप्सची रूपरेषा देतो. Unleashed साठीच्या पायऱ्या बऱ्याच अंशी सारख्याच आहेत परंतु त्यात नॉर्थबाउंड इंटरफेसची आवश्यकता नसते.

१. RADIUS AAA सर्व्हर्स कॉन्फिगर करा

१. Services & Profiles > Authentication वर जा. २. सर्व्हिस प्रोटोकॉल RADIUS वर सेट करून एक नवीन AAA सर्व्हर प्रोफाइल तयार करा. ३. तुमच्या Purple ॲडमिन कन्सोलमध्ये प्रदान केलेला प्रायमरी सर्व्हर IP आणि शेअर केलेला सिक्रेट कोड प्रविष्ट करा. ४. ऑथेंटिकेशन पोर्ट १८१२ वर सेट करा. ५. हीच प्रक्रिया Services & Profiles > Accounting अंतर्गत पुन्हा करा, आणि पोर्ट १८१३ वर सेट करा.

२. Hotspot WISPr प्रोफाइल कॉन्फिगर करा

१. Services & Profiles > Hotspots & Portals > Hotspot (WISPr) वर जा. २. एक नवीन प्रोफाइल तयार करा आणि लॉगिन URL External वर सेट करा. ३. तुमची Purple Captive Portal रिडायरेक्ट URL प्रविष्ट करा. ४. तुमचे वॉल्ड गार्डन (Walled Garden) निश्चित करा. हे अत्यंत महत्त्वाचे आहे. तुम्ही ऑथेंटिकेशनच्या आधी Purple च्या डोमेन्सना ॲक्सेस देण्यास अनुमती दिली पाहिजे. SmartZone वाईल्डकार्ड्सना सपोर्ट करतो (उदा. *.purple.ai). iOS Captive Network Assistant (CNA) चे वर्तन व्यवस्थापित करण्यासाठी तुम्ही captive.apple.com समाविष्ट करणे देखील आवश्यक आहे.

३. MAC ॲड्रेस एन्क्रिप्शन बंद करा (महत्त्वाची पायरी)

बाय डीफॉल्ट, SmartZone रिडायरेक्ट URL मध्ये पाठवले जाणारे MAC आणि IP ॲड्रेस एन्क्रिप्ट करतो. Purple ला सेशन मॅनेजमेंटसाठी मूळ (raw) MAC ॲड्रेसची आवश्यकता असते. तुम्ही CLI द्वारे हे बंद केले पाहिजे:

enable
config
no encrypt-mac-ip
exit

४. नॉर्थबाउंड इंटरफेस (NBI) सक्षम करा

  1. Administration > External Services > WISPr Northbound Interface वर जा.
  2. सेवा सक्षम (Enable) करा आणि युझरनेम आणि पासवर्ड कॉन्फिगर करा.
  3. हे क्रेडेंशियल्स Purple ला प्रदान करा. तुमची फायरवॉल Purple च्या IP श्रेणींमधून (ranges) पोर्ट 9080 (HTTP) आणि 9443 (HTTPS) वर इनबाउंड TCP ट्रॅफिकला अनुमती देते याची खात्री करा.

5. WLAN तयार करा

  1. नवीन WLAN तयार करा आणि ऑथेंटिकेशन प्रकार Hotspot (WISPr) वर सेट करा.
  2. आधी कॉन्फिगर केलेले Hotspot प्रोफाईल आणि AAA सर्व्हर्स निवडा.
  3. 802.1X स्टाफ नेटवर्कसाठी, डायनॅमिक VLAN ॲट्रिब्युट्सवर प्रक्रिया केली जाईल याची खात्री करण्यासाठी प्रगत (advanced) सेटिंग्जमध्ये AAA Override सक्षम करा.

सर्वोत्तम पद्धती (Best Practices)

मजबूत आणि सुरक्षित उपयोजन (deployment) सुनिश्चित करण्यासाठी, या उद्योग-मानक शिफारसींचे पालन करा:

  • अतिथी ट्रॅफिक वेगळे करा (Isolate Guest Traffic): अतिथी WiFi नेहमी एका समर्पित VLAN वर ठेवा आणि क्लायंट आयसोलेशन सक्षम करा. तुमचे ठिकाण त्याच प्रत्यक्ष पायाभूत सुविधांवर पेमेंट प्रक्रियेचे काम करत असल्यास PCI DSS अनुपालनासाठी (compliance) ही एक अनिवार्य आवश्यकता आहे.
  • VLAN IDs प्रमाणित करा: एकाधिक ठिकाणी डायनॅमिक VLAN स्टिअरिंग उपयोजित करताना, तुमची VLAN नंबरिंग योजना जागतिक स्तरावर समान असल्याची खात्री करा (उदा. VLAN 20 नेहमी स्टाफ आहे). विसंगत नावामुळे ऑथेंटिकेशन अयशस्वी होईल.
  • RADIUS फॉलबॅक लागू करा: तुमच्या कंट्रोलर्सवर एक महत्त्वपूर्ण VLAN किंवा फॉलबॅक यंत्रणा कॉन्फिगर करा. मुख्य RADIUS सर्व्हरशी संपर्क होऊ शकत नसल्यास, मूलभूत कनेक्टिव्हिटी राखण्यासाठी डिव्हाइसेस एका प्रतिबंधित इंटरनेट-ओन्ली VLAN मध्ये हस्तांतरित केले जावेत.
  • नवीन उपयोजनांसाठी DPSK3 वापरा: तुमचे Ruckus हार्डवेअर WPA3 ला सपोर्ट करत असल्यास, SAE-आधारित एन्क्रिप्शनचा लाभ घेण्यासाठी जुन्या DPSK ऐवजी DPSK3 वापरा.

ट्रबलशूटिंग आणि जोखीम निवारण

बाह्य Captive Portals आणि RADIUS सेवा एकत्रित करताना, अभियंत्यांना सामान्यतः खालील समस्यांचा सामना करावा लागतो:

  • पोर्टल लोड होण्यास अपयशी ठरते: हे सहसा Walled Garden मधील चुकीच्या कॉन्फिगरेशनमुळे होते. आधुनिक पोर्टल्स एकाधिक CDNs आणि आयडेंटिटी प्रदात्यांकडून ॲसेट्स लोड करतात. ब्लॉक केलेल्या विनंत्या ओळखण्यासाठी ब्राउझर डेव्हलपर टूल्स वापरा आणि आवश्यक डोमेन्स तुमच्या SmartZone Walled Garden मध्ये जोडा.
  • ऑथेंटिकेशन यशस्वी होते पण इंटरनेट ॲक्सेस मिळत नाही: हे Northbound Interface अयशस्वी झाल्याचे दर्शवते. SmartZone ला Purple कडून ऑथरायझेशन कॉलबॅक मिळत नाही आहे. तुमचे NBI क्रेडेंशियल्स तपासा आणि TCP पोर्ट 9080/9443 वरील ड्रॉप केलेल्या ट्रॅफिकसाठी फायरवॉल लॉग तपासा.
  • डायनॅमिक VLAN असाइनमेंट अयशस्वी होते: जर 802.1X युझर्स यशस्वीरित्या ऑथेंटिकेट झाले पण डीफॉल्ट VLAN वर आले, तर WLAN सेटिंग्जमध्ये AAA Override सक्षम आहे का ते तपासा. याशिवाय, SmartZone Purple द्वारे परत पाठवलेल्या Tunnel-Private-Group-ID ॲट्रिब्युटकडे दुर्लक्ष करते.

ROI आणि व्यवसाय प्रभाव

Ruckus इन्फ्रास्ट्रक्चरला Purple सोबत एकत्रित केल्याने एका मानक वायरलेस नेटवर्कचे रूपांतर मोजता येण्याजोग्या व्यावसायिक मालमत्तेत होते.

रिटेल आणि हॉस्पिटॅलिटी ठिकाणांसाठी, Captive Portal सत्यापित फर्स्ट-पार्टी डेटा गोळा करतो, ज्यामुळे लॉयल्टी प्रोग्रामच्या वाढीला गती मिळते आणि लक्ष्यित (targeted) मार्केटिंग मोहिमा सक्षम होतात. एका प्रमुख UK हॉटेल साखळीने (hotel chain) त्यांच्या Ruckus आणि Purple रोलआउटनंतर अतिथींच्या समाधानाच्या स्कोअरमध्ये 40% वाढ झाल्याची नोंद केली आहे.

IT ऑपरेशन्ससाठी, डायनॅमिक VLAN स्टिअरिंग आणि DPSK ऑटोमेशन मॅन्युअल कॉन्फिगरेशनचा ताण लक्षणीयरीत्या कमी करते. एखादा भाडेकरू गेल्यास स्टॅटिक स्विच पोर्ट्स व्यवस्थापित करणे किंवा सामायिक केलेले पासवर्ड रीसेट करण्याऐवजी, ॲक्सेस कंट्रोल केंद्रीकृत आणि स्वयंचलित केले जाते, ज्यामुळे सुरक्षा जोखीम कमी होते आणि सपोर्ट तिकिटांची संख्या घटते।

Définitions clés

WISPr

Wireless Internet Service Provider roaming. Un protocole standard de l'industrie utilisé par les contrôleurs sans fil pour intercepter le trafic HTTP et rediriger les utilisateurs vers un Captive Portal externe.

Il s'agit de l'architecture fondamentale pour tous les déploiements de WiFi invité public sur le matériel Ruckus.

Northbound Interface (NBI)

Une API sur le contrôleur Ruckus SmartZone qui permet aux plateformes externes d'envoyer des commandes d'autorisation.

Requis pour que Purple autorise l'accès Internet d'un utilisateur après sa connexion réussie sur le Captive Portal.

Walled Garden

Une liste blanche de domaines et d'adresses IP qu'un appareil est autorisé à consulter avant de s'authentifier sur le réseau.

Essentiel pour permettre le chargement de la page du Captive Portal, de ses images associées et des fournisseurs de connexion sociale pour les invités non authentifiés.

Dynamic PSK (DPSK)

Une technologie propriétaire de Ruckus qui attribue une phrase de passe WPA2/WPA3 unique à des utilisateurs ou groupes individuels sur un seul SSID partagé.

Très utilisé dans les environnements multi-locataires (immeubles collectifs, espaces de coworking) pour assurer une isolation réseau sécurisée sans multiplication des SSID.

Dynamic VLAN Steering

Le processus d'attribution automatique d'un appareil à un segment de réseau spécifique (VLAN) en fonction des attributs RADIUS renvoyés lors de l'authentification 802.1X.

Permet aux équipes informatiques d'utiliser un seul SSID 'Staff' tout en séparant de manière sécurisée le trafic des RH, de la finance et de la réception au niveau de la couche réseau.

AAA Override

Un paramètre de configuration sur les contrôleurs sans fil qui force le point d'accès à appliquer les politiques (comme les ID de VLAN) renvoyées par le serveur RADIUS.

Doit être activé sur les WLAN Ruckus pour que l'orientation dynamique des VLAN fonctionne correctement.

Client Isolation

Une fonctionnalité de sécurité qui empêche les appareils connectés au même réseau sans fil de communiquer directement entre eux.

Un contrôle de sécurité obligatoire pour les réseaux WiFi invités publics afin de prévenir les attaques de pair à pair et de garantir la conformité.

Captive Network Assistant (CNA)

Le mini-navigateur intégré aux systèmes d'exploitation mobiles (comme iOS et Android) qui s'affiche automatiquement lorsqu'un Captive Portal est détecté.

Les ingénieurs doivent gérer le comportement du CNA via le Walled Garden pour garantir une expérience de connexion fluide aux utilisateurs mobiles.

Exemples concrets

Un hôtel de 250 chambres doit déployer trois réseaux distincts sur son infrastructure Ruckus SmartZone : un réseau invité public, un réseau personnel sécurisé avec accès au système de gestion de l'établissement et un réseau IoT isolé pour les thermostats intelligents.

L'équipe informatique configure trois WLAN. Le WLAN 'Guest-WiFi' utilise l'authentification Hotspot (WISPr) avec redirection vers le Captive Portal de Purple, plaçant les utilisateurs sur le VLAN 10 avec l'isolation des clients activée. Le WLAN 'Staff-Secure' utilise l'authentification 802.1X EAP auprès de Purple SecurePass ; le serveur RADIUS renvoie Tunnel-Private-Group-ID = 20, orientant dynamiquement le personnel vers le VLAN interne. Le WLAN 'IoT-Devices' utilise une clé WPA2 PSK statique liée au VLAN 30, restreinte par des règles de pare-feu pour communiquer uniquement avec le serveur de contrôle des thermostats.

Commentaire de l'examinateur : Cette architecture applique correctement le principe du moindre privilège. En s'appuyant sur l'orientation dynamique des VLAN pour le personnel, l'hôtel évite de diffuser plusieurs SSID spécifiques à chaque service, réduisant ainsi l'utilisation des canaux tout en maintenant la segmentation stricte du réseau requise pour la conformité PCI DSS.

Un opérateur d'espace de coworking gère un bâtiment abritant 15 entreprises locataires différentes. Il doit fournir un accès sans fil sécurisé et isolé pour chaque entreprise sans diffuser 15 SSID distincts.

L'opérateur déploie Ruckus Unleashed et configure un unique WLAN 'Tenant-WiFi' utilisant la sécurité Dynamic PSK (DPSK). Au sein du contrôleur, il active l'attribution de VLAN par DPSK. Chacune des 15 entreprises locataires reçoit une phrase de passe unique de 62 caractères. Lorsque les employés du locataire A se connectent à l'aide de leur clé spécifique, le contrôleur attribue automatiquement leur trafic au VLAN 101. Les employés du locataire B utilisent une clé différente et se retrouvent sur le VLAN 102.

Commentaire de l'examinateur : C'est le cas d'usage optimal pour Ruckus DPSK. Il offre une isolation de niveau entreprise au niveau de la couche réseau tout en maintenant l'environnement RF propre en ne diffusant qu'un seul SSID. Il élimine également le risque de sécurité lié à un mot de passe partagé, car la révocation de l'accès du locataire A nécessite la suppression d'une seule clé sans impact sur les 14 autres entreprises.

Questions d'entraînement

Q1. Vous avez configuré un réseau WiFi invité sur un contrôleur Ruckus SmartZone intégré à Purple. Lors de la connexion d'un appareil de test, la page du Captive Portal de Purple s'affiche, mais l'image du logo est manquante et le bouton 'Se connecter avec Facebook' ne fonctionne pas. Quelle est la cause la plus probable ?

Conseil : Considérez l'accès réseau dont dispose l'appareil avant de s'authentifier avec succès.

Voir la réponse type

Le Walled Garden est mal configuré. Les domaines hébergeant l'image du logo (par exemple, un CDN) et les serveurs d'authentification Facebook n'ont pas été ajoutés à la liste blanche du Walled Garden, de sorte que le contrôleur SmartZone bloque ces requêtes avant l'authentification.

Q2. Un ingénieur réseau déploie le 802.1X pour l'accès du personnel. Le serveur RADIUS de Purple renvoie correctement l'attribut `Tunnel-Private-Group-ID` pour le VLAN 20. Cependant, lorsque le personnel se connecte, il est placé sur le VLAN par défaut attribué au WLAN. Comment résoudre ce problème ?

Conseil : Le contrôleur reçoit les instructions RADIUS mais choisit de les ignorer.

Voir la réponse type

Vous devez activer 'AAA Override' dans les paramètres avancés du WLAN sur le contrôleur SmartZone. Sans l'activation de ce paramètre, le contrôleur n'appliquera pas les attributs de VLAN dynamiques renvoyés par le serveur RADIUS.

Q3. Un espace de coworking souhaite fournir un WiFi sécurisé à 10 entreprises différentes. Il diffuse actuellement 10 SSID distincts, ce qui provoque de graves interférences de canaux. Il ne peut pas utiliser le 802.1X car de nombreux appareils sont des imprimantes partagées ou des téléviseurs intelligents. Quelle est l'architecture Ruckus recommandée ?

Conseil : Recherchez une solution qui fournit des clés de chiffrement uniques sans nécessiter de certificats ou d'identifiants d'entreprise.

Voir la réponse type

Implémentez Ruckus Dynamic PSK (DPSK) sur un seul SSID. Attribuez un DPSK unique à chaque entreprise locataire et configurez le contrôleur pour lier chaque DPSK à un VLAN spécifique. Cela élimine la prolifération des SSID, assure l'isolation du réseau et prend en charge les appareils sans écran comme les imprimantes.

Continuer la lecture de cette série

Intégration de Cisco WLC et Catalyst avec Purple WiFi : Guide étape par étape pour l'accès invité

Ce guide de référence détaille l'intégration étape par étape des contrôleurs Cisco Catalyst 9800 WLC avec Purple WiFi. Il couvre l'authentification web externe (EWA) pour les portails captifs invités, l'802.1X EAP-TLS pour l'accès sécurisé du personnel, et Cisco iPSK pour la segmentation dynamique de VLAN multi-locataire.

Lire le guide →

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Lire le guide →

Intégration des points d'accès Grandstream GWN avec Purple WiFi

Ce guide de référence technique officiel détaille comment intégrer les points d'accès Grandstream GWN avec le Guest WiFi de Purple et sa plateforme d'analyse. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage dynamique des VLAN, et la segmentation PPSK multi-tenant - offrant ainsi des instructions étape par étape directement exploitables pour les MSP et les équipes informatiques déployant du WiFi invités et personnel à grande échelle.

Lire le guide →