Voir la transcription du podcast
SCRIPT PODCAST : Intégration des Access Points EnGenius Cloud avec Purple WiFi
Plateforme d'intelligence Purple WiFi - Série d'informations techniques
Durée : Environ 10 minutes
Voix : Anglais britannique, ton de consultant senior - confiant, conversationnel, autoritaire
[INTRO - 1 MINUTTE]
Bienvenue dans la série d'informations techniques de Purple. Aujourd'hui, nous abordons un sujet qui revient régulièrement lors des déploiements en entreprise : l'intégration des access points EnGenius Cloud avec la plateforme de guest WiFi de Purple.
Si vous gérez un parc EnGenius, qu'il s'agisse d'access points de la série ECW dans un hôtel, une chaîne de magasins ou un immeuble de bureaux multi-locataires, et que vous souhaitez ajouter un Captive Portal personnalisé, collecter des données visiteurs de première main et appliquer une segmentation réseau appropriée, ce briefing est pour vous.
Dans les dix prochaines minutes, je souhaite vous guider à travers les quatre principaux domaines de configuration : la redirection vers le Captive Portal invité, la configuration du walled garden, le WiFi sécurisé pour le personnel via 802.1X, et l'isolation multi-locataire à l'aide d'EnGenius MyPSK avec attribution dynamique de VLAN. À la fin, vous aurez une image claire de ce qu'il faut configurer, dans quel ordre, et où se trouvent les pièges courants.
Entrons dans le vif du sujet.
[ZOOM TECHNIQUE - 5 MINUTES]
Commençons par le Captive Portal invité, le point de départ le plus courant pour tout gestionnaire de site.
EnGenius Cloud prend en charge nativement les splash pages externes. Cela signifie qu'au lieu d'héberger une page de connexion basique sur l'access point lui-même, vous redirigez les invités non authentifiés vers le portail cloud de Purple. C'est là que résident l'image de marque, la capture de données, la gestion des consentements et les analyses.
Voici la séquence de configuration dans EnGenius Cloud. Connectez-vous à votre tableau de bord EnGenius Cloud et accédez à Configure, puis SSID. Sélectionnez votre SSID invité. Sous l'onglet Wireless, définissez le type de sécurité sur Open ou WPA2 PSK, selon vos préférences. Open est la norme pour la plupart des déploiements de guest WiFi. Passez ensuite à l'onglet Captive Portal. Activez le Captive Portal et définissez l'Authentication Type sur Custom RADIUS. C'est le paramètre clé. Il indique à l'access point de transférer les demandes d'authentification à un serveur RADIUS externe, qui est en l'occurrence le point de terminaison RADIUS cloud de Purple.
Saisissez maintenant les détails RADIUS de Purple. L'adresse IP du serveur RADIUS principal est fournie dans votre tableau de bord Purple sous Hardware Configuration. Le port d'authentification est l'UDP 1812. Le port de comptabilité (accounting) est l'UDP 1813. Saisissez le secret partagé. Purple le génère pour vous, et il doit comporter au moins 22 caractères mêlant majuscules, minuscules, chiffres et symboles. Définissez l'identifiant NAS pour qu'il corresponde au nom de votre site ou à un identifiant unique que vous avez défini dans Purple.
Ensuite, passez à l'onglet Splash Page. Sélectionnez External Splash Page URL et saisissez l'URL du portail Purple. Il s'agit de l'URL fournie par Purple pour votre site spécifique. Lorsqu'un invité se connecte au SSID et ouvre un navigateur, le point d'accès intercepte la demande et le redirige vers cette URL, en transmettant des paramètres tels que l'adresse MAC du client, l'adresse MAC de l'AP et l'URL d'origine que l'invité tentait de joindre.
Passons maintenant au walled garden. Il s'agit de la liste des domaines et des adresses IP que les invités peuvent consulter avant de s'authentifier. Sans cela, le portail Purple lui-même ne peut pas se charger, car le navigateur de l'invité ne peut pas joindre les serveurs de Purple. Dans EnGenius Cloud, le walled garden se trouve sous Captive Portal, puis Advanced Settings, puis Walled Garden. Vous devez ajouter le domaine du portail Purple, les points de terminaison du CDN de Purple et les points de terminaison de test de Captive Portal des systèmes d'exploitation. Pour les appareils Apple, il s'agit de captive.apple.com. Pour Android, connectivitycheck.gstatic.com. Pour Windows, msftconnecttest.com. Si vous en oubliez un seul, les invités utilisant ces plateformes ne verront pas du tout le portail.
Si vous proposez une connexion via les réseaux sociaux avec Google ou Facebook, vous devez également autoriser les points de terminaison OAuth de ces fournisseurs. Google requiert au minimum accounts.google.com, oauth2.googleapis.com et apis.google.com. Facebook requiert www.facebook.com, graph.facebook.com et connect.facebook.net. La documentation d'assistance de Purple fournit une liste de walled garden à jour pour chaque méthode d'authentification. Utilisez-la comme référence, car ces domaines évoluent.
Passons maintenant à la sécurisation du WiFi du personnel à l'aide de 802.1X.
Il s'agit d'un SSID distinct. Le type de sécurité ici est WPA2 Enterprise ou WPA3 Enterprise. Dans EnGenius Cloud, sous l'onglet SSID Wireless, sélectionnez WPA2 Enterprise puis choisissez Custom RADIUS. Saisissez les mêmes informations de serveur RADIUS. Le point de terminaison RADIUS de Purple, le port 1812 et le secret partagé. La différence avec la configuration invité est qu'il n'y a pas de Captive Portal ici. Les appareils du personnel s'authentifient de manière transparente à l'aide du protocole 802.1X. L'appareil présente un certificat ou un identifiant et un mot de passe au serveur RADIUS, qui les valide et renvoie un message Access-Accept accompagné d'attributs d'attribution de VLAN.
Les attributs RADIUS qui gèrent l'attribution dynamique de VLAN sont Tunnel-Type défini sur VLAN, Tunnel-Medium-Type défini sur 802 et Tunnel-Private-Group-ID défini sur le numéro de VLAN. Ainsi, si le VLAN de votre personnel est le VLAN 20, le serveur RADIUS renvoie Tunnel-Private-Group-ID avec une valeur de 20. Le point d'accès EnGenius lit cet attribut et place automatiquement l'appareil authentifié sur le VLAN 20. Cela signifie que vous pouvez avoir un seul SSID desservant plusieurs rôles de personnel (finance, opérations, informatique, prestataires externes), chacun arrivant sur un VLAN différent en fonction de son appartenance à un groupe d'annuaire, le tout sans aucune configuration manuelle de VLAN par appareil.
Pour la méthode EAP, PEAP-MSCHAPv2 est le choix le plus courant pour les environnements utilisant Active Directory ou Microsoft Entra ID. Elle nécessite un certificat côté serveur sur le serveur RADIUS et des identifiants nom d'utilisateur - mot de passe sur le client. EAP-TLS est plus sécurisé. Il utilise des certificats des deux côtés. Mais il nécessite une infrastructure PKI et un déploiement MDM pour pousser les certificats vers les appareils. Pour la plupart des gestionnaires de sites, PEAP-MSCHAPv2 avec une validation stricte des certificats appliquée via une stratégie de groupe ou un MDM est le choix le plus pratique.
Passons maintenant à la partie la plus intéressante sur le plan technique : EnGenius MyPSK et l'isolation multi-tenant.
MyPSK, également appelé PPSK ou Private Pre-Shared Key, résout un problème spécifique dans les environnements multi-tenants. Dans une résidence de coliving, un bureau partagé ou un logement étudiant, vous souhaitez que chaque locataire ou résident dispose de son propre mot de passe WiFi unique. Mais vous ne voulez pas créer un SSID distinct pour chaque locataire. Cela crée une congestion des radiofréquences et une surcharge de gestion.
MyPSK vous permet de créer jusqu'à 500 clés pré-partagées uniques par SSID. Chaque clé est liée à un VLAN spécifique. Lorsqu'un résident se connecte à l'aide de sa clé unique, le point d'accès le place automatiquement sur son VLAN désigné. Le trafic du locataire A ne touche jamais le segment réseau du locataire B. Le chiffrement est également par utilisateur. Chaque clé génère une clé maîtresse par paire unique, de sorte qu'un locataire ne peut pas décrypter le trafic aérien d'un autre locataire, même s'ils partagent le même SSID.
Dans EnGenius Cloud, vous configurez MyPSK sous les paramètres de sécurité du SSID. Sélectionnez WPA2 PSK ou WPA3 Personal, puis activez MyPSK. Vous pouvez ensuite créer des PSK individuellement ou générer automatiquement des lots allant jusqu'à 50 clés à la fois. Pour chaque PSK, vous attribuez un ID de VLAN et définissez éventuellement une date d'expiration. Lorsqu'un bail prend fin ou qu'un étudiant est diplômé, il vous suffit de désactiver ou de supprimer son PSK. L'accès est révoqué immédiatement sans affecter les autres locataires.
Pour l'intégration de Purple dans un environnement MyPSK, les locataires faisant face aux invités peuvent toujours être dirigés vers un Captive Portal sur leur VLAN. Le personnel et les locataires opérationnels contournent entièrement le portail. La segmentation VLAN garantit que les données analytiques de Purple sont correctement attribuées par segment réseau.
[RECOMMANDATIONS DE DÉPLOIEMENT ET PIÈGES À ÉVITER - 2 MINUTES]
Permettez-moi de vous présenter la séquence de déploiement que je recommande pour une première installation propre.
Commencez par votre architecture VLAN avant de toucher à la configuration du WiFi. Définissez le VLAN 10 pour les invités, le VLAN 20 pour le personnel, le VLAN 30 pour les locataires, ou toute autre numérotation adaptée à votre schéma existant. Configurez d'abord ces VLANs sur vos commutateurs ECS, avec les affectations de ports trunk et d'accès appropriées. Les points d'accès doivent recevoir du trafic balisé sur le port de liaison montante pour chaque VLAN que vous prévoyez d'utiliser.
Configurez ensuite les SSIDs dans EnGenius Cloud dans cet ordre : le SSID invité d'abord, car c'est le plus simple. Validez la redirection du Captive Portal vers Purple avant de continuer. Configurez ensuite le SSID du personnel avec le protocole 802.1X. Testez avec un appareil connu avant de déployer sur l'ensemble du parc. Enfin, configurez MyPSK si vous avez besoin d'une isolation multi-locataire.
Les pièges à éviter. Tout d'abord, le walled garden. C'est la cause numéro un des échecs de déploiement de Captive Portal. Si les invités ne parviennent pas à accéder au portail, vérifiez d'abord le walled garden. Deuxièmement, l'incohérence du secret partagé RADIUS. Le secret partagé doit être identique sur la configuration EnGenius Cloud et sur la configuration du serveur RADIUS de Purple. Une différence d'un seul caractère entraîne l'échec silencieux de chaque authentification. Troisièmement, la configuration du trunk VLAN sur le switch. Si le port du switch ECS qui connecte le point d'accès n'est pas configuré comme un trunk transportant tous les VLANs requis, l'attribution dynamique de VLAN échouera. Quatrièmement, la validation du certificat sur les clients 802.1X. Si les appareils du personnel ne sont pas configurés pour valider le certificat du serveur RADIUS, ils sont vulnérables au vol d'identifiants via des points d'accès malveillants. Imposez cette validation via une stratégie de groupe pour Windows et des profils MDM pour le reste.
[Q&A EXPRESS - 1 MINUTE]
Quelques questions que j'entends régulièrement sur les déploiements EnGenius et Purple.
Puis-je utiliser le RADIUS d'EnGenius Cloud au lieu de celui de Purple ? Oui, pour l'authentification interne. Mais pour le WiFi invité avec les analyses et le portail de Purple, vous devez pointer vers le point de terminaison RADIUS de Purple. Les deux peuvent coexister sur des SSIDs différents.
Est-ce que MyPSK fonctionne avec le WPA3 ? Oui. EnGenius prend en charge le WPA3 et le mode mixte WPA2/WPA3 avec MyPSK, de sorte que les appareils compatibles WPA3 bénéficient de l'authentification SAE tandis que les appareils plus anciens se rabattent sur le WPA2 PSK, le tout en utilisant la même clé par utilisateur.
Est-ce que Purple prend en charge la comptabilité RADIUS pour les données de session ? Oui. Activez le serveur de comptabilité (accounting) dans la configuration RADIUS d'EnGenius Cloud, en pointant vers le point de terminaison de comptabilité de Purple sur le port UDP 1813. Cela permet d'intégrer la durée de la session et le volume de données dans les analyses de Purple.
[RÉSUMÉ ET PROCHAINES ÉTAPES - 1 MINUTE]
Pour résumer. Les points d'accès EnGenius Cloud s'intègrent parfaitement à la plateforme WiFi invité de Purple grâce à quatre couches de configuration. La redirection du Captive Portal invité utilise un RADIUS personnalisé et une URL de page de démarrage externe pointant vers Purple. La liste blanche du walled garden garantit le chargement du portail avant l'authentification. Le WiFi du personnel utilise le WPA2 Entreprise avec 802.1X et l'attribution dynamique de VLAN via des attributs RADIUS. Et l'isolation multi-locataire utilise EnGenius MyPSK pour attribuer des clés uniques par utilisateur liées à des VLANs spécifiques, avec des dates d'expiration facultatives pour les accès limités dans le temps.
Purple est présent dans 80 000 sites et a traité 440 millions de connexions rien qu'en 2024. La plateforme est certifiée ISO 27001, conforme au GDPR et indépendante du matériel, ce qui explique précisément pourquoi elle fonctionne parfaitement avec EnGenius aux côtés de Cisco Meraki, HPE Aruba, Ruckus et le reste de l'écosystème de matériel d'entreprise.
Si vous êtes prêt pour le déploiement, commencez par le guide de configuration du walled garden dans la documentation d'assistance de Purple, puis procédez à la configuration du SSID dans EnGenius Cloud. Le guide complet étape par étape est disponible sur purple.ai. Merci de votre attention.
