Intégration des routeurs et points d'accès DrayTek Vigor avec Purple WiFi

Ce guide fournit des instructions techniques étape par étape pour intégrer les routeurs DrayTek Vigor et les points d'accès VigorAP avec la plateforme cloud de Purple. Il couvre la configuration du Captive Portal DrayTek pour le WiFi invité, l'authentification 802.1X pour un WiFi personnel sécurisé, la configuration du Walled Garden, et la configuration DrayTek Multiple PSK (PPSK) pour la segmentation de réseau multi-locataire avec attribution dynamique de VLAN. Conçu pour les installateurs informatiques et les administrateurs réseau de PME déployant Purple dans les secteurs de l'hôtellerie, du commerce de détail et des sites multi-locataires.

📖 10 min de lecture📝 2,500 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans ce guide d'intégration de Purple. Aujourd'hui, nous nous intéressons aux routeurs DrayTek Vigor et aux points d'accès VigorAP, et plus particulièrement à la manière de les intégrer avec Purple WiFi. Ce guide s'adresse aux responsables informatiques et aux architectes réseau qui déploient des réseaux pour les invités, le personnel et les environnements multi-locataires au sein des PME et des entreprises de taille intermédiaire.

Commençons par le contexte. Le matériel DrayTek est extrêmement populaire dans le commerce de détail, l'hôtellerie et les immeubles collectifs car il offre des fonctionnalités robustes de routage, de VPN et de sans-fil à un tarif compétitif. En associant un routeur DrayTek Vigor à Purple, vous transformez une connexion internet standard en un réseau basé sur l'identité. Purple compte plus de 80 000 sites actifs et traite 440 millions de connexions par an. Nous fournissons le Captive Portal, les analyses et la couche de sécurité. DrayTek fournit l'infrastructure d'accès fiable.

Entrons dans les détails techniques. Comment faire fonctionner tout cela concrètement ? Le cœur de l'intégration repose sur l'authentification RADIUS et la redirection vers un Captive Portal externe.

Tout d'abord, la configuration du WiFi invité. Vous allez configurer le routeur DrayTek Vigor en tant que passerelle Hotspot Web Portal. Dans l'interface DrayOS, sous Applications et RADIUS, vous ajoutez l'adresse IP du serveur RADIUS de Purple et le secret partagé. Ensuite, sous Hotspot Web Portal, vous définissez la méthode de portail sur Serveur Externe et collez votre URL d'accès Purple spécifique. Le routeur DrayTek intercepte le trafic des invités, le redirige vers l'overlay cloud de Purple pour l'authentification, puis utilise RADIUS pour accorder l'accès.

Une étape cruciale ici est le Walled Garden. Les invités doivent pouvoir accéder aux serveurs de Purple avant d'être authentifiés. Vous devez configurer l'onglet Destination Domain dans le profil Hotspot de DrayTek pour autoriser le trafic vers les domaines d'authentification de Purple. Si vous oubliez cette étape, la page de connexion ne s'chargera tout simplement pas. C'est l'une des erreurs les plus courantes lors du déploiement initial.

Qu'en est-il maintenant du WiFi du personnel ? Pour un accès sécurisé du personnel, vous n'utilisez pas de Captive Portal. Vous utilisez l'authentification 802.1X, qui est la norme IEEE pour le contrôle d'accès réseau basé sur les ports. Dans les paramètres de sécurité du réseau local sans fil (Wireless LAN Security) de DrayTek, vous sélectionnez WPA2 / 802.1X et le pointez vers le serveur RADIUS de Purple. Les appareils du personnel s'authentifient de manière transparente à l'aide de PEAP et MS-CHAPv2. Cela élimine complètement les mots de passe partagés et vous permet de révoquer instantanément l'accès lorsqu'un employé s'en va. Il n'est plus nécessaire de changer le mot de passe sur l'ensemble du site.

Parlons des environnements Multi-Tenant. Pensez aux résidences étudiantes, aux espaces de coworking ou aux concessions de vente au détail. Vous avez besoin d'une segmentation du réseau. DrayTek gère cela avec les VLAN et le Multiple PSK, également connu sous le nom de PPSK ou Private Pre-Shared Key. Vous configurez les VLAN sur le routeur DrayTek. Par exemple, le VLAN 10 pour les invités, le VLAN 20 pour le personnel et le VLAN 30 pour les locataires. Grâce à la fonctionnalité WPA2-PPSK de DrayTek sur les VigorAP, chaque locataire obtient une phrase secrète unique. Lorsqu'ils se connectent, le point d'accès associe cette phrase secrète à leur adresse MAC et les place dans leur VLAN isolé. Cela signifie qu'un locataire de café au rez-de-chaussée d'un hôtel ne peut pas voir le réseau interne de l'hôtel, même s'ils partagent le même point d'accès physique.

L'attribution dynamique de VLAN va encore plus loin. Le serveur RADIUS de Purple peut renvoyer des attributs RADIUS spécifiques lorsqu'un utilisateur s'authentifie. Il s'agit des attributs Tunnel-Type, Tunnel-Medium-Type et Tunnel-Private-Group-ID. Le routeur DrayTek lit ces valeurs et attribue de manière dynamique le client authentifié au bon VLAN. C'est le principe même de l'Identity-Based Networking : le réseau s'adapte à l'identité de l'utilisateur, et non l'inverse.

Passons maintenant aux recommandations de mise en œuvre et aux pièges à éviter.

Recommandation numéro un : utilisez toujours un backhaul filaire pour vos VigorAP. Les systèmes de distribution sans fil, ou répéteurs universels, ne peuvent pas transmettre les balises VLAN 802.1Q requises pour une segmentation correcte du réseau. Si vous souhaitez un réseau invité isolé de votre LAN interne, vous devez conserver ces balises VLAN intactes, ce qui implique un câble Ethernet physique reliant chaque point d'accès au routeur DrayTek ou à un commutateur géré.

Recommandation numéro deux : activez l'AP-Assisted Mobility sur les VigorAP. Cette fonctionnalité dissocie intelligemment les clients dont le signal est faible, les obligeant à basculer vers un point d'accès plus proche. Elle résout le problème des clients persistants qui perturbe de nombreux déploiements de PME. Dans un environnement de vente au détail, un client qui marche de l'avant vers l'arrière du magasin doit passer de manière fluide d'un point d'accès à un autre. Sans l'AP-Assisted Mobility, son appareil peut rester connecté au point d'accès avant même si le signal est faible.

Recommandation numéro trois : planifiez votre schéma de numérotation VLAN avant de commencer. Modifier les identifiants de VLAN après le déploiement nécessite de reconfigurer le routeur, tous les points d'accès et potentiellement tous les commutateurs gérés sur le chemin. Documentez clairement votre schéma.

Le plus grand piège ? Oublier de redémarrer le routeur DrayTek après avoir appliqué les configurations RADIUS et Captive Portal. DrayOS nécessite un redémarrage pour appliquer ces modifications spécifiques. Si vous ignorez cette étape, vous passerez des heures à dépanner une configuration qui est en réalité correcte mais simplement pas encore active. Cela est documenté dans le guide d'assistance officiel de Purple pour le matériel DrayTek.

Passons à une session rapide de questions-réponses.

Question : Puis-je utiliser le serveur RADIUS interne du routeur Vigor ?Réponse : Vous le pouvez pour l'authentification locale 802.1X, mais pour l'intégration de Purple, vous devez utiliser les serveurs RADIUS externes de Purple. C'est ce qui permet la gestion centralisée des politiques et les analyses fournies par Purple.

Question : DrayTek prend-il en charge le routage VLAN dynamique via RADIUS ?
Réponse : Oui. Le serveur RADIUS de Purple renvoie les attributs Tunnel-Type et Tunnel-Private-Group-ID lors de l'authentification. Le routeur DrayTek les lit et attribue dynamiquement le client au bon VLAN.

Question : Que se passe-t-il si l'appareil iOS d'un utilisateur utilise une adresse MAC privée avec PPSK ?
Réponse : L'authentification échouera. Le profil PPSK est lié à une adresse MAC spécifique. Vous devez demander aux utilisateurs de désactiver l'option Adresse WiFi privée pour votre réseau spécifique dans leurs paramètres iOS afin de garantir une connectivité stable.

Question : Quels modèles DrayTek sont pris en charge avec Purple ?
Réponse : Les modèles actuellement pris en charge comprennent les séries 2862, 3220, 2926, 2952, 2765, 2865, 2866, 2927, 2962 et 3910. Consultez la documentation d'assistance de Purple pour obtenir la liste la plus récente.

En résumé. DrayTek et Purple vous offrent ensemble un contrôle réseau de classe entreprise à des tarifs adaptés aux PME. Vous utilisez le portail Web Hotspot pour les invités, le 802.1X pour le personnel et le PPSK avec VLAN pour les locataires. Cartographiez soigneusement vos VLAN, configurez vos walled gardens et redémarrez toujours après avoir appliqué les paramètres RADIUS. Utilisez une liaison terrestre filaire pour vos points d'accès, activez la mobilité assistée par AP et anticipez la randomisation MAC sur les appareils iOS.

Merci d'avoir suivi ce briefing technique. Configurez votre matériel, et nous vous retrouverons sur la plateforme Purple.

Points clés à retenir

✓Les routeurs DrayTek Vigor utilisent la fonctionnalité Hotspot Web Portal avec le mode External Server pour rediriger le trafic des invités vers la splash page hébergée sur le cloud de Purple pour une capture de données conforme au GDPR.
✓Le Walled Garden (onglet Dest Domain) doit lister tous les domaines d'authentification Purple avant le déploiement - les entrées manquantes sont la cause la plus fréquente d'échec de la splash page.
✓Le WiFi du personnel doit utiliser la sécurité WPA2/802.1X Enterprise, avec une authentification auprès du serveur RADIUS de Purple, afin d'éliminer les mots de passe partagés et de permettre la révocation instantanée des accès par utilisateur.
✓Les environnements multi-locataires utilisent DrayTek WPA2-PPSK sur les VigorAP pour attribuer des phrases de passe uniques par locataire, étiquetant dynamiquement le trafic dans des VLAN isolés sur le routeur Vigor.
✓Tous les VigorAP doivent se connecter au routeur via Ethernet filaire - les modes répéteurs sans fil suppriment les balises VLAN 802.1Q et brisent la segmentation du réseau.
✓DrayOS nécessite un redémarrage du routeur pour appliquer toute modification aux configurations RADIUS ou Hotspot Web Portal - il s'agit d'une étape obligatoire, et non facultative.
✓Activez l'AP-Assisted Mobility sur les VigorAP pour éviter le comportement des clients collants et garantir des sessions de Captive Portal stables lorsque les utilisateurs se déplacent dans l'établissement.

執行摘要

DrayTek Vigor 路由器與 VigorAP 基地台已廣泛部署於英國與歐洲成千上萬的中小型企業、零售及餐旅場所。當與 Purple 的雲端重疊網路整合時，這些硬體將成為「基於身分的網路」之基石 — 從單一平台即可收集第一方數據、保護內部資源並區隔多租戶流量。

本指南涵蓋四種部署情境：採用品牌專屬引導頁面與 RADIUS 驗證的 Guest WiFi 、使用 IEEE 802.1X 企業級安全驗證的員工 WiFi、允許驗證前流量的 Walled Garden 配置，以及利用 DrayTek 的 WPA2-PPSK 功能搭配動態 VLAN 分配的多租戶 WiFi。Purple 已在超過 80,000 個實際營運場地運行，且達到 99.999% 的可用性，並獲得 ISO 27001、GDPR 及 Cyber Essentials 認證 — 因此您場地面臨的安全與合規要求均已融入平台之中。

支援的 DrayTek 型號包括 Vigor 2862、2865、2866、2926、2927、2952、2962、3220 與 3910 系列。所有透過中央基地台管理 (APM) 進行管理的 VigorAP 基地台皆與此整合相容。

技術深入剖析

整合運作原理

DrayTek 與 Purple 的整合依賴兩種機制協同運作：外部 Captive Portal 重新導向與 RADIUS（遠端驗證撥入使用者服務）驗證。Purple 扮演集中化的身分提供者和原則引擎。DrayTek Vigor 路由器則作為網路存取伺服器 (NAS)，執行 Purple RADIUS 伺服器傳回的存取決策。

當訪客連線到 WiFi SSID 時，DrayTek 路由器會將裝置置於驗證前的狀態。它會攔截該裝置的 HTTP 流量，並透過 DrayOS 中的 Hotspot Web Portal 功能將其重新導向至 Purple 的雲端託管 splash page。使用者在 Purple 的平台上完成登入流程 — 可使用社群登入、電子郵件、簡訊，或受管理的授權提供者（如 Microsoft Entra ID、Okta 或 Google Workspace）。Purple 的 RADIUS 伺服器隨後會向 DrayTek 路由器回傳 Access-Accept 訊息，進而授予網際網路存取權限並在連接埠 1813 上啟動 RADIUS 計費。

Guest WiFi 與 DrayTek Captive Portal

DrayTek Hotspot Web Portal 是訪客驗證的核心機制。在 DrayOS 中，您可以設定 Hotspot Profile，其中定義了 portal 方法、驗證伺服器、工作階段限制和登陸頁面。將 Portal Method 設定為 External Server 會指示 DrayOS 將未驗證的用戶端重新導向至外部 URL — 在此處即為您的 Purple 存取 URL — 而非提供本機託管的頁面。 Hotspot Profile 中的 RADIUS 設定指向 Purple 的 RADIUS 伺服器 IP（連接埠 1812 用於驗證，連接埠 1813 用於計費）。共用金鑰必須與您的 Purple 場域儀表板中顯示的完全一致。此處不匹配是導致驗證失敗最常見的原因。

工作階段管理由 Expired Time After Activation 設定控制。對於大多數餐旅和零售部署，六個小時是實用的預設值。您可以將此設定與您的 Purple 工作階段逾時時間保持一致，以確保兩個系統之間的行為一致。

Walled Garden 設定

在訪客進行驗證之前，其裝置無法存取網際網路。然而，裝置必須能夠連線至 Purple 的伺服器以載入歡迎頁面（splash page）。Walled Garden（透過 DrayTek Hotspot Profile 中的 Dest Domain 索引標籤進行設定）定義了驗證前可存取的網域。

您必須將 Purple 的驗證網域新增至此清單中，每個索引一個。如果您使用的是社群登入提供商（例如 Google 或 Facebook）或受管理的識別資訊提供商（如 Microsoft Entra ID），則也必須包含其網域。未能正確設定 Walled Garden 是 DrayTek Captive Portal 無法顯示歡迎頁面最常見的單一原因。Purple 的支援文件提供了每種登入方式目前所需的網域清單。

使用 802.1X 安全保護員工 WiFi

對於內部員工而言，Captive Portal 並非合適的工具。共用的 WPA2 密碼存在安全性隱患：當員工離職時，您必須更新每台裝置上的密碼。IEEE 802.1X 企業級驗證完全解決了這個問題。

在 DrayOS 中，導覽至 Wireless LAN > Security，並為您的員工 SSID 選取 WPA2/802.1X。點擊 RADIUS Server 連結並輸入 Purple 的伺服器 IP、連接埠和共用金鑰。員工裝置會使用 PEAP（受保護的擴充驗證協定）並以 MS-CHAPv2 作為內部方法進行驗證。這是 Windows、macOS、iOS 和 Android 裝置連線至企業無線網路所需的設定。

Purple 會在識別資訊層級撤銷存取權限。當員工離職時，您只需在您的識別資訊提供商（Microsoft Entra ID、Okta 或 Google Workspace）中停用其帳戶即可。Purple 的 RADIUS 伺服器會立即停止接受該帳戶的驗證請求。無需在整個場域中變更密碼。

如欲了解更多關於企業無線網路安全性架構的資訊，請參閱我們的企業級 WiFi 安全性：2026 年完整指南。

使用 DrayTek 多重 PSK 進行多租戶網路分割

多租戶環境（例如設有外包餐廳或零售空間的飯店、共同工作空間、學生宿舍以及建屋出租專案）需要租戶之間實施嚴格的網路隔離。專櫃中的顧客絕不能存取飯店的內部網路，且兩個零售租戶之間必須無法看到彼此的流量。

DrayTek 透過兩項互補的功能來解決此問題：VLAN 標記和 WPA2-PPSK (Private Pre-Shared Key)。

Vigor 路由器上的 VLAN 設定會將每個租戶分配到獨立的邏輯網路。前往 LAN > VLAN，啟用 VLAN 設定，並為每個租戶區段分配一個唯一的 VLAN ID。所有連接到 VigorAP 的 LAN 連接埠必須是所有相關 VLAN 的成員，實際上是以 802.1Q 幹線 (trunk) 連接埠運作。LAN > General Setup 中的 Inter-LAN Routing Table 可控制流量是否可以跨 VLAN 傳輸——為了實現租戶隔離，必須停用此功能。

VigorAP 上的 WPA2-PPSK 會為每個租戶分配一個唯一的密碼。無線基地台會將此密碼與裝置的 MAC 位址綁定。當裝置連接時，AP 會識別所使用的密碼，並用對應的 VLAN ID 標記流量。這使得單一 SSID 能夠同時為多個隔離的租戶網路提供服務，從而減少無線開銷並簡化終端使用者體驗。

透過 RADIUS 進行動態 VLAN 分配

對於需要根據使用者身分而非靜態密碼來驅動 VLAN 分配的部署，Purple 的 RADIUS 伺服器支援動態 VLAN 引導。當使用者進行驗證時，Purple 會在 Access-Accept 訊息中傳回三個 RADIUS 屬性：

RADIUS 屬性	值
Tunnel-Type	VLAN (13)
Tunnel-Medium-Type	IEEE-802 (6)
Tunnel-Private-Group-ID	VLAN ID (例如 "20")

DrayTek 路由器會讀取這些屬性，並將已驗證的用戶端分配到指定的 VLAN，無論他們連接到哪一個 SSID。這就是「基於身分的網路 (Identity-Based Networking)」：網路區段是由使用者的身分決定，而不是由他們輸入的密碼決定。

實作指南

部署前檢查清單

在開始之前，請確認以下事項：

項目	需求
DrayTek 韌體	最新穩定的 DrayOS 版本
Purple 場域	已在 Purple 控制面板中建立並啟用
RADIUS 憑證	從 Purple 取得的存取 URL、RADIUS 伺服器 IP、共用金鑰、NAS 識別碼
VLAN 計劃	已記錄 Guest、Staff 和每個租戶的 VLAN ID
VigorAP 回傳網路	已確認所有無線基地台皆使用實線乙太網路

步驟 1：在 DrayTek 路由器上設定 RADIUS

導覽至 DrayOS 網頁介面中的 Applications > RADIUS/TACACS+。在 External RADIUS 索引標籤上，啟用設定檔並輸入 Purple 的 RADIUS 伺服器 IP 位址、連接埠 (1812) 和共用金鑰。按一下 OK 儲存。路由器需要重新啟動才能套用此變更——請勿跳過此步驟。

步驟 2：建立 Captive Portal 設定檔

導覽至 Hotspot Web Portal > Profile Setup 並選擇一個可用的索引。依下列方式設定設定檔：

設定	值
啟用此設定檔	是
Portal Method	External Server
Captive Portal URL	您的 Purple 存取 URL
Redirection URL	http://portal.draytek.com
Authentication Method	External RADIUS Server
Server IP Address	Purple RADIUS 伺服器 IP
Destination Port	1812
Shared Secret	您的 Purple 共用金鑰
Enable Accounting	Yes
Accounting Port	1813
MAC Address Format	AA-BB-CC-DD-EE-FF

點擊 OK 儲存。

步驟 3：設定 Walled Garden

點擊 Save and Next 進入 Dest Domain 頁籤。新增每個必要的 Purple 網域，每個索引一個。目前的網域列表請參閱支援文件中的 Purple Walled Garden 網域白名單。點擊 Save and Next 繼續。

步驟 4：設定工作階段與到達網頁設定

在最後的設定畫面上，設定：

設定	值
Expired Time After Activation	0 天, 6 小時, 0 分 (或您偏好的時長)
HTTPS Redirection	No
Captive Portal Detection	Yes
Landing Page After Authentication	您的 Purple 重新導向 URL
Applied Interfaces	選擇訪客 WiFi SSID

點擊 Finish 儲存。測試前請重新啟動路由器。

步驟 5：設定 VLAN 進行網路區隔

導覽至 LAN > VLAN 並啟用 VLAN Configuration。為每個網路區隔建立一個 VLAN 項目。將所有連接到 VigorAPs 的 LAN 連接埠指派為所有相關 VLAN 的成員 (trunk 設定)。導覽至 LAN > General Setup，並使用 Inter-LAN Routing Table 在需要時封鎖跨 VLAN 的存取。

步驟 6：為員工 WiFi 設定 802.1X

導覽至 Wireless LAN > Security 並選擇員工 SSID。將安全模式設定為 WPA2/802.1X。點擊 RADIUS Server 連結並輸入 Purple 的伺服器 IP、連接埠 1812 以及共用金鑰。儲存設定。

步驟 7：設定 PPSK 進行多租戶隔離

在每個 VigorAP 上，導覽至 Wireless LAN > Security Settings 並選擇 WPA2PPSK。點擊 PPSK 按鈕以新增項目。為每個租戶建立一個包含該租戶裝置 MAC 位址與唯一密碼的 PPSK 項目。請確保該密碼與您路由器設定中正確的 VLAN 相關聯。請注意，2.4GHz 和 5GHz 的 PPSK 設定檔在 VigorAPs 上是分開管理的。

最佳實踐

以下建議反映了 Purple 在 80,000 多個場所的部署經驗，其中包括餐旅、零售、醫療保健以及交通運輸環境。

所有 VigorAPs 請使用有線回傳。 無線分佈系統 (WDS) 和通用中繼模式無法傳遞 802.1Q VLAN 標籤。如果您需要進行網路區隔 - 在任何多租戶或混合用途的場所中這都是必須的 - 每個無線基地台都必須透過乙太網路連接到路由器或網管型交換器。

啟用 AP 輔助漫遊 (AP-Assisted Mobility)。DrayTek VigorAP 支援預先驗證 (Pre-Authentication) 和 PMK 快取 (PMK Caching)，以在用戶端在存取點之間漫遊時加速 802.1X 重新驗證。啟用 AP 輔助漫遊以主動斷開訊號強度弱的用戶端，強迫其連接至最近的 AP。這在顧客持續移動的零售環境中尤為重要。

在部署前規劃您的 VLAN 方案。部署後變更 VLAN ID 需要重新設定路由器、所有存取點以及路徑中的任何網管型交換器。在接觸硬體之前，請先記錄您的方案（例如：訪客使用 VLAN 10、員工使用 VLAN 20、租戶使用 VLAN 30+）。

同步 DrayTek 與 Purple 之間的工作階段逾時時間。如果 DrayTek 熱點設定檔在 6 小時後結束工作階段，而 Purple 的工作階段設定為 24 小時，使用者將在工作階段中途被重新導向至 Splash Page。請將兩者設為相同的值。

針對 PPSK 部署停用 MAC 隨機化。iOS 和 macOS 裝置預設會使用專用 Wi-Fi 位址（隨機化 MAC）。由於 DrayTek PPSK 會將密碼綁定到特定的 MAC 位址，隨機化將導致驗證失敗。請指示使用者針對您的網路停用此設定，或在您的上線流程中清楚記錄此步驟。

在 VigorAP 上使用頻段導引 (Band Steering)。啟用頻段導引以引導支援雙頻的裝置使用 5GHz 頻段。這可以減少 2.4GHz 頻段的擁塞，並提高所有已連線裝置的吞吐量。

如需深入瞭解企業無線安全架構，請參閱我們的指南 Enterprise WiFi Security: A Complete Guide for 2026 。如果您是在包含不同硬體廠商的多個站點進行部署，我們的 SonicWall TZ and SonicWave Integration with Purple WiFi 指南涵蓋了類似的整合模式。

疑難排解與風險緩釋

Splash Page 無法載入。最常見的原因是 Walled Garden 設定不完整。請驗證 Dest Domain 索引標籤中是否列出了所有必要的 Purple 網域。同時確認訪客 DHCP 整合池已啟用，且預先驗證的用戶端能正常進行 DNS 解析。請透過連接裝置並嘗試瀏覽已知的 HTTP URL 來進行測試。

RADIUS 驗證失敗。請檢查共用密鑰 (Shared Secret) 是否拼寫錯誤（區分大小寫）。確認 DrayTek 路由器已連接至網際網路，且未阻擋連接埠 1812 和 1813 上的輸出 UDP 流量。確認套用 RADIUS 設定後已重新啟動路由器。檢查 Purple 控制面板中的驗證記錄，以確認請求是否已到達 Purple 的伺服器。 客戶端被分配到錯誤的 VLAN。 請驗證 DrayTek 路由器與 VigorAP 之間的中繼埠（trunk port）設定。交換器連接埠必須允許特定的 VLAN 標籤。如果您使用的是無管理功能交換器，請確認它能傳遞 802.1Q 標記框架且未剝離標籤。檢查 PPSK 設定檔以確認密碼與 VLAN 的對應關係是否正確。

黏性用戶端未漫遊。 如果裝置未如預期在 VigorAP 之間漫遊，請驗證是否已啟用 AP 輔助行動功能（AP-Assisted Mobility），且 RSSI 閾值已針對您的場域進行適當設定。同時請確認所有 VigorAP 皆運行相同的韌體版本，因為版本不一致可能會影響漫遊行為。

iOS 裝置 PPSK 驗證失敗。 請確認使用者已在 設定 > WiFi > [網路名稱] > 專用 WiFi 位址 中針對您的特定網路停用了「專用 WiFi 位址」。PPSK 設定檔必須包含裝置的真實硬體 MAC 位址。

投資報酬率（ROI）與商業影響

將 DrayTek 硬體與 Purple 結合部署，可在營運效率、數據擷取和合規性三個方面帶來可衡量的回報。

營運效率。 802.1X 驗證消除了管理共用 WiFi 密碼的開銷。當員工離職時，您只需在 Microsoft Entra ID、Okta 或 Google Workspace 中停用其帳戶，Purple 的 RADIUS 伺服器便會立即停止接受其憑證，無需在整個場域中輪換密碼。對於擁有 50 家分店的零售連鎖店而言，單是這一項每年就能減少數百小時的 IT 額外開銷。

數據擷取與行銷投資報酬率。 每一位透過 Purple Captive Portal 連線的訪客都會提供經驗證的身份資訊——電子郵件地址、電話號碼或社群個人檔案。這些第一方數據會直接匯入 Purple 的 WiFi Analytics 平台，您可以在該平台追蹤停留時間、重複造訪率和行銷活動參與度。Purple 已在其網路中收集了 290 億個數據點。使用 Purple Engage 方案的場域報告指出，透過針對性的造訪後溝通，重複造訪率有了顯著增長。

合規性。 Purple 已通過 ISO 27001 認證、符合 GDPR 與 CCPA 規範，並獲得 Cyber Essentials 認證。Captive Portal 強制執行自願選擇加入（conscious-choice opt-ins），確保數據收集符合 GDPR 要求。VLAN 區段將付款卡環境與訪客流量隔離，以支援 PCI DSS 合規性。對於醫療保健機構，患者與訪客的網路隔離符合 NHS 和 ICO 的數據處理指南。

如欲詳細了解 Purple 如何在場域環境中推動以數據分析為導向的決策，請參閱我們的 WiFi Analytics platform overview 。

Définitions clés

Captive Portal

Une page web qui intercepte le trafic HTTP d'un utilisateur et nécessite une interaction - connexion, acceptation des conditions ou soumission de données - avant d'accorder l'accès au réseau.

Le mécanisme utilisé par Purple pour capturer les données de premier niveau des invités sur le portail web DrayTek Hotspot. Configuré via la méthode de portail Serveur Externe dans DrayOS.

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une authentification, une autorisation et une comptabilisation (AAA) centralisées pour l'accès au réseau.

Le routeur DrayTek envoie les requêtes d'authentification au serveur RADIUS de Purple sur le port UDP 1812 et les données de comptabilisation sur le port 1813. Le secret partagé doit correspondre des deux côtés.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports. Exige que les appareils s'authentifient auprès d'un serveur RADIUS avant de pouvoir accéder au réseau.

Utilisé pour le WiFi du personnel sur le matériel DrayTek. Élimine les mots de passe partagés et permet la révocation de l'accès par utilisateur via le fournisseur d'identité.

VLAN

Virtual Local Area Network. Un segment de réseau logique qui isole le trafic au niveau de la couche 2, même lorsque les appareils partagent la même infrastructure physique.

Utilisé sur les routeurs DrayTek Vigor pour séparer le trafic des invités, du personnel et des locataires. Nécessite des ports trunk 802.1Q entre le routeur et les VigorAPs.

Walled Garden

Un ensemble de domaines ou de plages d'adresses IP auxquels les utilisateurs non authentifiés peuvent accéder avant de terminer le parcours du Captive Portal.

Configuré dans l'onglet Dest Domain du profil Hotspot DrayTek. Doit inclure les serveurs d'authentification de Purple et tous les domaines de fournisseurs d'identité utilisés pour la connexion.

PPSK

Private Pre-Shared Key. Une méthode de sécurité dans laquelle chaque utilisateur ou appareil se voit attribuer une phrase de passe unique, plutôt que de partager un seul mot de passe réseau.

Utilisé sur les VigorAPs de DrayTek pour attribuer des appareils multi-locataires à des VLAN spécifiques. La phrase de passe est liée à l'adresse MAC de l'appareil.

AP-Assisted Mobility

Une fonctionnalité DrayTek VigorAP qui surveille la force du signal du client et dissocie activement les clients en dessous d'un seuil RSSI défini, les incitant à basculer vers un point d'accès plus proche.

Crucial pour les déploiements dans le commerce de détail et l'hôtellerie où les utilisateurs se déplacent dans l'établissement. Évite les comportements de clients dits "sticky" qui provoquent des déconnexions de session sur le Captive Portal.

PEAP

Protected Extensible Authentication Protocol. Une méthode EAP 802.1X qui encapsule l'échange d'authentification dans un tunnel TLS, protégeant ainsi les identifiants en transit.

La méthode EAP utilisée pour le WiFi du personnel sur le matériel DrayTek. Combinée avec MS-CHAPv2 comme méthode d'authentification interne pour les appareils Windows, macOS, iOS et Android.

Dynamic VLAN assignment

Un mécanisme par lequel le serveur RADIUS renvoie des attributs de VLAN dans le message Access-Accept, et l'équipement réseau attribue automatiquement le client authentifié au VLAN spécifié.

Le serveur RADIUS de Purple renvoie les attributs Tunnel-Type, Tunnel-Medium-Type et Tunnel-Private-Group-ID. Le routeur DrayTek applique l'attribution du VLAN en fonction de l'identité de l'utilisateur.

Exemples concrets

Un hôtel-boutique de 150 chambres déploie un routeur DrayTek Vigor 2865 avec six points d'accès VigorAP 903. Ils doivent fournir un WiFi invité personnalisé avec collecte de données, un WiFi personnel sécurisé pour 40 employés, et un réseau isolé pour un restaurant loué au rez-de-chaussée. Le responsable informatique de l'hôtel n'a jamais configuré de 802.1X auparavant.

Le responsable informatique crée trois VLAN sur le Vigor 2865 : VLAN 10 pour les invités (192.168.10.0/24), VLAN 20 pour le personnel (192.168.20.0/24), et VLAN 30 pour le restaurant (192.168.30.0/24). Le routage inter-LAN est désactivé entre ces trois segments. Les six unités VigorAP 903 sont connectées via Ethernet et gérées via la gestion centralisée des AP sur le routeur. Trois SSID sont diffusés : "Hotel Guest" (VLAN 10, Captive Portal pointant vers Purple), "Hotel Staff" (VLAN 20, WPA2/802.1X pointant vers le RADIUS de Purple), et "Restaurant" (VLAN 30, WPA2-PPSK avec une phrase de passe spécifique aux terminaux de point de vente du restaurant). L'entrée PPSK du restaurant associe les adresses MAC des terminaux de point de vente au VLAN 30. Le responsable informatique enregistre le tenant Microsoft Entra ID de l'hôtel auprès de Purple, permettant au personnel de s'authentifier avec leurs identifiants d'entreprise existants. Le Walled Garden est configuré avec tous les domaines Purple requis. Après avoir redémarré le routeur, le responsable informatique teste chaque SSID et confirme l'attribution correcte des VLAN via la table des baux DHCP du routeur.

Commentaire de l'examinateur : Cette configuration sépare correctement trois populations d'utilisateurs distinctes en utilisant la méthode d'authentification appropriée pour chacune. Les invités utilisent un Captive Portal pour la collecte de données et le consentement conforme au GDPR. Le personnel utilise le 802.1X pour un accès basé sur des identifiants liés à leur fournisseur d'identité existant, éliminant ainsi le besoin d'un mot de passe distinct. Le restaurant utilise le PPSK pour isoler les terminaux de point de vente sans nécessiter de configuration client 802.1X sur du matériel sans écran. Le raccordement filaire garantit que les balises VLAN sont préservées tout au long du processus.

Une chaîne de vente au détail comptant 80 magasins enregistre de faibles taux de complétion sur son Captive Portal. Les analyses montrent que 40 % des clients qui se connectent au SSID WiFi invité n'atteignent jamais la page de connexion. La chaîne utilise des routeurs DrayTek Vigor 2865 et des points d'accès VigorAP 912C. La configuration des magasins est vaste, avec des points d'accès aux deux extrémités de la surface de vente.

L'administrateur réseau étudie deux causes principales. Tout d'abord, il audite la configuration du Walled Garden sur les 80 sites à l'aide de VigorACS 3, la plateforme de gestion centralisée de DrayTek. Il constate que 23 sites n'ont pas configuré deux des domaines d'authentification Purple requis, ce qui entraîne l'expiration du délai d'affichage de la page de connexion pour les clients sur ces réseaux. Il met à jour les profils de point d'accès de manière centralisée via VigorACS 3. Deuxièmement, il active la mobilité assistée par AP sur tous les VigorAP avec un seuil RSSI de -75 dBm. Cela oblige les appareils des clients à basculer vers l'AP le plus proche lorsqu'ils se déplacent dans le magasin, évitant ainsi le problème de client persistant qui provoquait l'interruption des sessions du Captive Portal en cours d'authentification. Après ces deux modifications, le taux de complétion du portail passe de 60 % à 89 % sur l'ensemble du parc.

Commentaire de l'examinateur : Cet exemple illustre deux modes de défaillance distincts qui se traduisent tous deux par de faibles taux de complétion du portail. Une mauvaise configuration du Walled Garden empêche complètement le chargement de la page de connexion. Le comportement de client persistant provoque des interruptions de session en cours de processus. La gestion centralisée via VigorACS 3 est la bonne approche pour un parc multisite ; auditer manuellement 80 routeurs individuellement serait irréalisable. La mobilité assistée par AP est le mécanisme spécifique à DrayTek qui résout le problème d'itinérance ; s'en remettre aux décisions d'itinérance côté client n'est pas fiable dans les environnements de vente au détail.

Questions d'entraînement

Q1. Vous avez configuré le portail web DrayTek Hotspot et l'avez redirigé vers l'URL d'accès Purple. Les paramètres RADIUS sont corrects. Cependant, lorsque les clients se connectent au SSID Guest WiFi, leurs navigateurs signalent un délai d'attente dépassé et la splash page ne se charge jamais. Quelle est la cause la plus probable et quelle est la première étape pour la diagnostiquer ?

Conseil : Les clients en état de pré-authentification ont un accès réseau très restreint. Réfléchissez au trafic que le routeur autorise avant que l'authentification ne soit finalisée.

Voir la réponse type

La cause la plus probable est une configuration de Walled Garden incomplète ou manquante. Le routeur DrayTek bloque tout le trafic des clients non authentifiés, sauf vers les domaines explicitement listés dans l'onglet Dest Domain. Si les domaines d'authentification de Purple ne sont pas listés, le navigateur du client ne peut pas atteindre le serveur de la splash page. La première étape de diagnostic consiste à accéder au profil Hotspot, à cliquer sur l'onglet Dest Domain et à vérifier que tous les domaines Purple requis sont présents. Comparez-les avec la liste blanche des domaines Walled Garden de Purple dans la documentation d'assistance. Une vérification secondaire consiste à confirmer que le DNS résout correctement pour les clients pré-authentifiés.

Q2. Un espace de coworking compte 12 entreprises membres partageant un seul DrayTek Vigor 2865 et quatre points d'accès VigorAP 912C. Chaque entreprise doit être isolée des autres, mais le gestionnaire du site souhaite diffuser un seul SSID pour éviter d'encombrer la liste WiFi sur les appareils des membres. Comment concevez-vous cette architecture ?

Conseil : Réfléchissez à la manière dont DrayTek gère les phrases de passe uniques sur un seul SSID, et à la configuration supplémentaire requise pour imposer l'isolation entre les entreprises.

Voir la réponse type

Configurez le WPA2-PPSK sur les VigorAP avec un seul SSID. Créez 12 VLANs sur le Vigor 2865, un par entreprise. Pour chaque entreprise, créez une entrée PPSK qui associe une phrase de passe unique aux adresses MAC des appareils de cette entreprise et les affecte à leur VLAN dédié. Désactivez le routage inter-VLAN dans la table de routage Inter-LAN pour empêcher le trafic entre entreprises. Les appareils de chaque entreprise se connectent au même SSID en utilisant leur phrase de passe unique, et le VigorAP les place automatiquement dans leur VLAN isolé. Pour les entreprises disposant de plusieurs appareils, chaque appareil a besoin de sa propre entrée PPSK avec son adresse MAC spécifique et la phrase de passe partagée de l'entreprise.

Q3. Après une mise à jour logicielle de routine sur un DrayTek Vigor 2865, les membres du personnel signalent que leurs ordinateurs portables ne peuvent plus se connecter au SSID Staff WiFi. Le SSID est visible, mais l'authentification échoue. Le Guest WiFi continue de fonctionner normalement. Quelles sont les trois causes les plus probables, et dans quel ordre devez-vous les examiner ?

Conseil : Le Guest WiFi utilise un mécanisme d'authentification différent de celui du WiFi du personnel. Identifiez quelle couche de la pile 802.1X est défaillante.

Voir la réponse type

Les trois causes les plus probables sont : (1) La mise à jour logicielle a réinitialisé la configuration du serveur RADIUS pour le SSID WPA2/802.1X - accédez à Wireless LAN > Security, confirmez que l'IP du serveur RADIUS et le secret partagé sont toujours corrects, puis redémarrez si vous effectuez des modifications. (2) La mise à jour logicielle a modifié la méthode EAP ou les paramètres du port RADIUS - vérifiez que le port 1812 est toujours configuré et que le routeur peut atteindre le serveur RADIUS de Purple sur ce port. (3) La mise à jour logicielle a introduit un changement de certificat qui provoque l'échec de la validation EAP-TLS sur les appareils clients - vérifiez le tableau de bord Purple pour voir si les requêtes atteignent le serveur dans les journaux d'authentification. Enquêtez dans cet ordre : la configuration RADIUS en premier (le plus fréquent après une mise à jour logicielle), puis la connectivité réseau vers le serveur RADIUS, et enfin les problèmes de certificat ou de méthode EAP.

Continuer la lecture de cette série

Intégration de Cisco WLC et Catalyst avec Purple WiFi : Guide étape par étape pour l'accès invité

Ce guide de référence détaille l'intégration étape par étape des contrôleurs Cisco Catalyst 9800 WLC avec Purple WiFi. Il couvre l'authentification web externe (EWA) pour les portails captifs invités, l'802.1X EAP-TLS pour l'accès sécurisé du personnel, et Cisco iPSK pour la segmentation dynamique de VLAN multi-locataire.

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.