Guide étape par étape : Configuration des contrôleurs sans fil Ruijie pour les Captive Portals de WiFi invité
Ce guide fournit un guide technique complet pour configurer les contrôleurs et passerelles sans fil Ruijie afin de déployer des Captive Portals de WiFi invité de classe entreprise. Il couvre la segmentation VLAN, l'authentification RADIUS externe via le protocole WISPr, la configuration du walled garden et l'intégration transparente avec la plateforme Identity-Based Networks de Purple pour capturer des données de première partie et générer une valeur commerciale mesurable dans les secteurs de l'hôtellerie, de la vente au détail et du secteur public.
Écouter ce guide
Voir la transcription du podcast
- Synthèse
- Architecture technique et prérequis
- Segmentation réseau
- Composants requis
- Aperçu du protocole d'authentification
- Guide de mise en œuvre étape par étape
- Étape 1 : Configurer le SSID invité
- Étape 2 : Définir la politique de Captive Portal
- Étape 3 : Configurer le Walled Garden (liste d'autorisation)
- Étape 4 : Configurer l'authentification RADIUS
- Étape 5 : Appliquer les politiques de QoS
- Étape 6 : Tester le déploiement
- Bonnes pratiques pour le déploiement en entreprise
- Sécurité et conformité
- Portal Escape : Une décision délibérée
- Cohérence multi-sites
- Gestion du firmware
- Dépannage et atténuation des risques
- Échec du chargement de la page du portail
- Expirations de session d'authentification
- Connexions par réseaux sociaux bloquées
- Échec de l'assignation dynamique de VLAN
- ROI et impact commercial

Synthèse
Le déploiement d'un WiFi invité au sein d'entreprises distribuées implique bien plus que la simple mise à disposition d'un SSID ouvert. Pour les responsables informatiques et les architectes réseau, le défi consiste à concilier un accès fluide avec une sécurité stricte, la conformité au GDPR et les besoins de collecte de données. Ce guide détaille les étapes de configuration spécifiques requises pour déployer un Captive Portal sécurisé et évolutif à l'aide de contrôleurs et de passerelles sans fil Ruijie, illustrant comment l'intégration de cette infrastructure avec la plateforme Guest WiFi de Purple transforme une simple connectivité sans fil en un actif conforme et générateur de revenus.
Nous aborderons les prérequis techniques, les stratégies d'isolation de VLAN, l'authentification RADIUS externe via le protocole WISPr, la configuration du Walled Garden et les paramètres de QoS spécifiques requis pour un déploiement de niveau production. Que vous gériez un hôtel de 200 chambres, une chaîne de vente au détail de 50 magasins ou un stade de 40 000 places, ce guide fournit le plan de référence pour une configuration sécurisée du Captive Portal de Ruijie. Opérant dans plus de 80 000 sites actifs à travers le monde et traitant 440 millions de connexions en 2024 (données internes de Purple), les modèles d'intégration décrits ici ont fait leurs preuves à grande échelle.

Architecture technique et prérequis
Avant de modifier votre contrôleur Ruijie, établissez l'architecture réseau appropriée. Un réseau invité sécurisé nécessite une isolation complète du trafic d'entreprise au niveau de la couche 2 (niveau commutateur).
Segmentation réseau
La pierre angulaire d'un WiFi invité sécurisé est l'isolation VLAN. Vous devez créer un VLAN invité dédié sur la passerelle ou le commutateur principal Ruijie. Cela garantit que le trafic invité ne croise jamais les systèmes internes, les terminaux de paiement ou les appareils du personnel. Un schéma de VLAN d'entreprise standard pour les déploiements Ruijie est présenté ci-dessous :
| ID VLAN | Usage | Notes |
|---|---|---|
| 10 | Entreprise | Appareils du personnel, serveurs internes |
| 20 | Voix | Téléphones VoIP |
| 30 | Invité | Captive Portal, accès Internet uniquement |
| 40 | IoT | Imprimantes, téléviseurs connectés, capteurs |
| 99 | Gestion | Contrôleur, gestion des commutateurs |
Pour en savoir plus sur les raisons pour lesquelles les approches grand public échouent dans ce cas, consultez Why consumer-grade WiFi gear is not for your guest network .
Composants requis
Pour mener à bien ce déploiement, vous aurez besoin de :
- Un compte Ruijie Cloud ou un contrôleur sans fil sur site de la gamme Ruijie RG-WS (par exemple, RG-WS6008 ou RG-WS7110).
- Une passerelle de la gamme Ruijie RG-EG - indispensable pour l'authentification du portail externe via WISPr.
- Des points d'accès de la gamme Ruijie RG-AP (par exemple, RG-AP820-I, RG-AP850-AR).
- Une licence Purple Connect, Capture ou Engage.
- Accès UDP sortant autorisé de la passerelle vers les serveurs Purple pour les ports 1812 (authentification RADIUS) et 1813 (comptabilité RADIUS).
Aperçu du protocole d'authentification
Ruijie prend en charge plusieurs méthodes d'authentification. Les déploiements de niveau entreprise doivent utiliser l'authentification RADIUS externe. Cette méthode utilise le protocole WISPr (Wireless Internet Service Provider Roaming) pour rediriger en toute sécurité les utilisateurs non authentifiés vers la Splash Page de Purple, traiter leurs identifiants et renvoyer un message RADIUS Accept ou Reject au contrôleur Ruijie.

Le tableau ci-dessus résume les cinq méthodes d'authentification proposées par la plateforme Ruijie. Les inscriptions par e-mail et les connexions via les réseaux sociaux sont les choix les plus courants pour les secteurs de l'hôtellerie et du commerce, car elles capturent des données de première partie structurées et conformes au GDPR. Les codes coupons conviennent aux salles de réunion et aux niveaux d'accès payants. RADIUS avec 802.1X est réservé exclusivement aux réseaux du personnel nécessitant une authentification adossée à un annuaire.
Guide de mise en œuvre étape par étape
Veuillez exécuter les étapes suivantes dans l'interface du contrôleur Ruijie Cloud ou sur site. Les chemins d'accès à l'interface utilisateur ci-dessous s'appliquent à la nouvelle interface Ruijie Cloud (post-2024) et à la plateforme Ruijie JaCS.
Étape 1 : Configurer le SSID invité
Établissez le réseau de diffusion sans fil.
- Connectez-vous à l'interface web du contrôleur Ruijie Cloud ou sur site.
- Naviguez vers Device Config, puis sélectionnez Wi-Fi sous la section Wireless.
- Cliquez sur + pour créer un nouveau SSID, ou modifiez un SSID existant.
- Définissez le SSID Name (par exemple, "Free Guest WiFi").
- Définissez le Security Mode sur Open - aucune clé pré-partagée.
- Attribuez le SSID à votre VLAN invité dédié (par exemple, VLAN 30).
- Enregistrez la configuration du SSID.
Étape 2 : Définir la politique de Captive Portal
Configurez le contrôleur pour intercepter le trafic des invités et le rediriger vers Purple.
- Naviguez vers Auth & Account, puis sélectionnez Captive Portal sous Authentication.
- Créez une nouvelle politique. Définissez un Policy Name descriptif (par exemple, "Purple-Guest-Portal").
- Définissez le Policy Mode sur External.
- Définissez le Authentication Device sur votre passerelle Ruijie (série RG-EG) ou point d'accès.
- Sélectionnez le SSID invité créé à l'étape 1.
- Dans le champ Portal Server URL, saisissez l'URL unique de votre Splash Page Purple (disponible dans le panneau de configuration de Purple sous 'Configuration matérielle').
- Saisissez les adresses IP du serveur RADIUS de Purple dans les champs prévus à cet effet.
- Définissez la durée de Seamless Online pour qu'elle corresponde à votre politique d'expiration de session (par exemple, 24 heures pour l'hôtellerie, 1 heure pour le commerce).
- Déterminez le comportement de Portal Escape - voir la section "Bonnes pratiques" ci-dessous.
Étape 3 : Configurer le Walled Garden (liste d'autorisation)
Un Captive Portal intercepte tout le trafic jusqu'à ce qu'un utilisateur soit authentifié. Certains trafics doivent être autorisés lors de l'étape de pré-authentification pour charger la page de connexion et traiter les connexions via les réseaux sociaux. Il s'agit de la partie la plus fréquemment mal configurée dans tout déploiement de Captive Portal.
- Accédez à Auth & Account et sélectionnez Allowlist.
- Ajoutez tous les domaines d'infrastructure Purple requis. Votre tableau de bord Purple fournit la liste spécifique à votre région.
- Si vous proposez des connexions via les réseaux sociaux, ajoutez les domaines OAuth pour chaque fournisseur :
- Pour Microsoft Entra ID :
*.microsoft.com,*.microsoftonline.com,login.live.com - Pour Google Workspace :
*.google.com,accounts.google.com - Pour Okta : le domaine spécifique de votre tenant Okta
- Pour Microsoft Entra ID :
- Si vous proposez des forfaits WiFi payants, ajoutez les domaines des prestataires de paiement.
- Enregistrez et appliquez la liste d'autorisation.
Étape 4 : Configurer l'authentification RADIUS
Configurez le canal de communication sécurisé entre Ruijie et Purple.
- Accédez aux paramètres du serveur RADIUS dans votre contrôleur ou passerelle Ruijie.
- Ajoutez l'adresse IP du serveur RADIUS principal de Purple et le port 1812 pour l'authentification.
- Ajoutez l'adresse IP du serveur RADIUS secondaire de Purple pour la redondance.
- Saisissez le Shared Secret (secret partagé) fourni par votre tableau de bord Purple. Il doit correspondre exactement.
- Ajoutez le serveur de comptabilité (accounting) sur le port 1813 et activez la comptabilité RADIUS. Cela permet de suivre la durée des sessions et la consommation de données, qui sont directement remontées dans les rapports de WiFi Analytics de Purple.
- Définissez le NAS Identifier avec une chaîne explicite (par exemple, le nom de votre établissement) afin de différencier le trafic dans les analyses de Purple.
Étape 5 : Appliquer les politiques de QoS
Un accès invité non restreint peut saturer votre connexion internet pendant les heures de pointe.
- Accédez à la section QoS ou de gestion de la bande passante de votre passerelle Ruijie.
- Définissez des limites de téléchargement par utilisateur (par exemple, 10 Mbps pour les clients d'un hôtel, 5 Mbps pour les clients de commerces).
- Définissez des limites d'envoi par utilisateur (par exemple, 2 à 5 Mbps).
- Désactivez le Client Escape pour vous assurer que les utilisateurs non authentifiés ne puissent pas accéder au réseau si le serveur du portail est temporairement inaccessible.
- Enregistrez et déployez la configuration sur tous les appareils concernés.
Étape 6 : Tester le déploiement
Effectuez toujours les tests à l'aide d'un appareil propre, sans identifiants mis en cache.
- Connectez un appareil mobile au SSID invité.
- Ouvrez un navigateur et accédez à une URL non-HTTPS (par exemple,
http://example.com). La page du portail doit se rediriger automatiquement. - Vérifiez que la page d'accueil de Purple se charge correctement.
- Terminez le processus d'authentification.
- Confirmez que l'accès internet est accordé après l'authentification.
- Vérifiez le tableau de bord Purple pour confirmer que la session apparaît dans vos analyses.
Bonnes pratiques pour le déploiement en entreprise
Sécurité et conformité
Ne comptez jamais sur des PSK partagés pour l'accès invité. Les mots de passe partagés n'offrent aucune piste d'audit et ne peuvent pas être révoqués de manière individuelle. En utilisant un Captive Portal Purple avec une authentification individuelle, vous pouvez exiger un consentement explicite pour le traitement des données, répondant ainsi aux exigences de l'article 7 du GDPR. Purple détient les certifications ISO 27001, GDPR, CCPA et Cyber Essentials, garantissant que le mécanisme de capture de données lui-même est auditable.
Pour approfondir l'architecture de sécurité, lisez notre guide Enterprise WiFi Security: Complete Guide for 2026 et What is Secure WiFi: The Essential Enterprise Guide for 2026 .
Portal Escape : Une décision délibérée
La fonctionnalité Portal Escape de Ruijie permet automatiquement au trafic utilisateur de passer si l'AP ne peut pas se connecter au serveur de portail. Dans un contexte hôtelier, vous pouvez choisir de l'activer - les clients incapables de se connecter au WiFi en raison d'un bref problème de serveur généreront des plaintes. Dans les environnements de vente au détail ou de santé, vous pouvez choisir de la désactiver - un accès non authentifié représente un risque de conformité et de sécurité. Documentez votre décision et votre raisonnement dans vos guides d'exploitation réseau.
Cohérence multi-sites
Utilisez Ruijie Cloud pour gérer la configuration de manière centralisée sur tous les sites. Déployez les politiques de portail simultanément pour éliminer les dérives de configuration entre les sites - la cause la plus fréquente d'expériences invités incohérentes dans les parcs distribués. L'overlay cloud de Purple fonctionne sur le même principe : un seul tableau de bord pour tous les sites.
Gestion du firmware
Certaines fonctionnalités du Captive Portal de Ruijie, notamment le contrôle de la bande passante et l'attribution dynamique de VLAN, nécessitent des versions de firmware spécifiques sur vos passerelles. Ruijie documente ces dépendances dans ses notes de mise à jour. Assurez-vous que vos passerelles RG-EG exécutent la version de firmware RGOS11.9(6)B17T1 ou supérieure pour une prise en charge complète de la QoS dans les déploiements gérés par le cloud.
Dépannage et atténuation des risques
Échec du chargement de la page du portail
Si le Captive Portal n'apparaît pas lorsqu'un appareil se connecte, vérifiez d'abord vos paramètres de Walled Garden. L'appareil doit être capable de résoudre le DNS et d'accéder à l'URL du portail Purple avant de pouvoir s'authentifier. Vérifiez que votre liste d'autorisation Ruijie inclut tous les domaines nécessaires et que vos serveurs DNS sont accessibles depuis le VLAN invité.
Expirations de session d'authentification
Si les utilisateurs voient le portail mais ne peuvent pas se connecter, le problème réside généralement dans la configuration RADIUS. Vérifiez les IP du serveur RADIUS, les ports (1812 pour l'authentification, 1813 pour l'accounting) et le secret partagé. Assurez-vous que vos pare-feu autorisent le trafic UDP entrant et sortant sur ces ports depuis l'IP de gestion de la passerelle Ruijie.
Connexions par réseaux sociaux bloquées
Si les utilisateurs cliquent sur un bouton de connexion via un réseau social et que rien ne se produit, la redirection OAuth est bloquée. Ajoutez les domaines des fournisseurs de réseaux sociaux requis à votre liste d'autorisation Ruijie. Testez cela en autorisant temporairement tout le trafic avant l'authentification pour confirmer si le portail fonctionne, puis resserrez la liste d'autorisation progressivement.
Échec de l'assignation dynamique de VLAN
Si vous utilisez RADIUS pour assigner dynamiquement des utilisateurs à des VLANs, assurez-vous que la réponse RADIUS inclut les attributs VLAN corrects (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID). Le RG-EG310GH-E de Ruijie et les passerelles similaires prennent en charge l'assignation dynamique de VLAN, mais cette fonctionnalité nécessite une configuration explicite à la fois sur le serveur RADIUS et sur la passerelle.
ROI et impact commercial
Le déploiement d'un Captive Portal sécurisé transforme le WiFi invité d'un centre de coûts en un actif stratégique. La plateforme de WiFi Analytics de Purple s'intègre à votre infrastructure Ruijie pour capturer des données de première main, constituer des listes de contacts à forte intention et fournir des informations exploitables sur le comportement des invités dans vos établissements.
Harrods a utilisé le Guest WiFi de Purple pour promouvoir son programme de fidélité, atteignant un taux d'adhésion de premier ordre et un ROI de 57x (données clients Purple). c2c Rail a utilisé Purple pour encourager les réservations directes, obtenant un retour sur investissement de 121 % et économisant £76 000 en coûts d'exploitation (données clients Purple). Pizza Express a déployé Purple dans plus de 470 restaurants pour enrichir les profils de ses clients.
Pour les opérateurs de l' hospitality , les données capturées lors de la connexion (e-mail, données démographiques, fréquence des visites) peuvent être directement injectées dans les systèmes CRM et les programmes de fidélité. Pour les environnements de retail , l'analyse des visites répétées permet d'identifier vos acheteurs à plus forte valeur ajoutée. Pour les hubs de transport , les données sur les flux de passagers optimisent la planification du personnel et des espaces commerciaux.
Purple s'intègre à Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, Fortinet et Ruijie, ce qui en fait une solution cloud superposée indépendante du matériel qui fonctionne avec vos équipements existants sans nécessiter de remplacement complet.
Guide connexe : Intégration des points d'accès Grandstream GWN et de Purple WiFi
Définitions clés
Captive portal
Une page web qu'un utilisateur d'un réseau d'accès public doit consulter et avec laquelle il doit interagir avant de pouvoir accéder à Internet. Elle intercepte tout le trafic HTTP et redirige le navigateur de l'utilisateur vers la page du portail.
Le mécanisme central pour imposer l'authentification sur les réseaux WiFi invités. Utilisé dans les hôtels, les commerces de détail, les stades et les espaces publics pour contrôler l'accès et recueillir le consentement.
Walled garden
Une liste d'autorisation de pré-authentification qui permet à des domaines et adresses IP spécifiques de contourner l'interception du Captive Portal. Le trafic vers ces destinations est autorisé avant que l'utilisateur ne s'authentifie.
Essentiel pour permettre aux appareils de charger la page de connexion, d'accéder aux fournisseurs de connexion sociale et de traiter les paiements avant que l'utilisateur ne soit entièrement authentifié. Une mauvaise configuration à ce niveau est la cause principale des échecs de Captive Portal.
RADIUS
Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour les utilisateurs se connectant à un service réseau.
Le protocole sécurisé que les contrôleurs Ruijie utilisent pour communiquer avec les serveurs de Purple. Les requêtes d'authentification vont vers le port 1812 (UDP) ; les enregistrements de comptabilité vont vers le port 1813 (UDP).
WISPr
Wireless Internet Service Provider roaming. Une spécification de protocole qui définit comment un Captive Portal redirige les utilisateurs non authentifiés vers une page de connexion et comment le contrôleur d'accès reçoit le résultat de l'authentification.
Le cadre de protocole spécifique utilisé par Ruijie et Purple pour gérer la redirection vers le Captive Portal externe et le flux d'authentification. Requis pour le mode de portail externe sur les passerelles Ruijie.
VLAN isolation
La pratique consistant à séparer le trafic réseau en différents réseaux locaux virtuels au niveau du commutateur, empêchant les appareils de différents VLAN de communiquer directement.
Non négociable pour les réseaux invités. Garantit que les appareils invités ne peuvent pas communiquer avec les serveurs de l'entreprise, les ordinateurs portables du personnel ou les terminaux de paiement, même s'ils sont connectés à la même infrastructure physique.
Portal Escape
Une fonctionnalité Ruijie qui libère automatiquement le trafic utilisateur si le point d'accès et le serveur de portail deviennent inaccessibles, permettant un accès Internet non authentifié pendant une panne.
Un compromis délibéré entre disponibilité et sécurité. Les exploitants du secteur de l'hôtellerie peuvent l'activer pour éviter les plaintes des clients lors des pannes. Les exploitants de la santé et de la vente au détail le désactivent généralement pour imposer une authentification stricte en tout temps.
SSID
Service Set Identifier. Le nom public d'un réseau sans fil que les appareils affichent dans leur liste de réseaux disponibles.
Le nom du réseau que les invités sélectionnent sur leurs appareils, ce qui déclenche la redirection vers le Captive Portal. Chaque SSID dans un déploiement Ruijie est associé à un VLAN spécifique et à une politique d'authentification.
QoS
Quality of Service. Un ensemble de technologies qui gèrent le trafic de données pour réduire la perte de paquets, la latence et la gigue, et pour garantir des performances prévisibles pour des types de trafic spécifiques.
Utilisé dans les réseaux invités pour limiter la bande passante par utilisateur, empêchant un seul appareil de saturer la liaison Internet et de dégrader l'expérience de tous les autres utilisateurs connectés.
802.1X
Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, fournissant un mécanisme d'authentification pour les appareils se connectant à un réseau local (LAN) ou sans fil (WLAN).
Utilisé pour les réseaux du personnel nécessitant une identité basée sur un annuaire (par exemple, via Microsoft Entra ID ou Okta). Généralement non utilisé pour les réseaux invités, où un Captive Portal avec RADIUS est le modèle approprié.
Exemples concrets
Un hôtel de 250 chambres utilise des points d'accès Ruijie RG-AP820-I et une passerelle RG-EG310GH-E. Ils exigent que les clients s'authentifient par e-mail afin de constituer une base de données marketing. La direction s'inquiète du fait que les clients contournent le portail et de la saturation de la bande passante aux heures de pointe lors des événements de type conférence.
L'équipe informatique crée un VLAN invité dédié (VLAN 40) sur le commutateur central et le relie à la passerelle et aux points d'accès Ruijie. Dans Ruijie Cloud, elle crée un SSID ouvert mappé sur le VLAN 40. Elle configure une politique de Captive Portal externe pointant vers l'URL de la page d'accueil de Purple, avec l'URL du serveur de portail et les identifiants RADIUS du tableau de bord Purple. De plus, elle configure le walled garden pour autoriser le trafic uniquement vers les domaines de Purple et désactive la fonction Portal Escape sur la passerelle Ruijie, empêchant ainsi tout accès non authentifié en cas de panne du portail. Elle applique une politique QoS limitant chaque client à 10 Mbps en descente et 3 Mbps en montée. Pour les événements de type conférence, elle crée un SSID distinct sur le VLAN 50 avec un portail basé sur des coupons et des limites de bande passante plus strictes de 5 Mbps par appareil.
Une chaîne de vente au détail de 50 magasins utilise des contrôleurs Ruijie WS6008. Elle met en œuvre la connexion sociale (Facebook et Google Workspace) pour les clients accédant au WiFi, mais la page du portail se fige lorsque les utilisateurs cliquent sur les boutons de connexion sociale. Le problème affecte les 50 sites simultanément.
Le responsable informatique identifie que la configuration de la liste d'autorisation (walled garden) sur les contrôleurs Ruijie ne contient pas les domaines OAuth requis par Facebook et Google. Alors que l'URL du portail Purple était correctement autorisée, les domaines des fournisseurs sociaux nécessaires à la liaison OAuth étaient bloqués par l'interception du Captive Portal. L'équipe ajoute les domaines génériques requis - spécifiquement *.facebook.com, *.fbcdn.net, accounts.google.com et *.googleapis.com - à la liste d'autorisation Ruijie. Elle déploie la configuration mise à jour sur les 50 sites simultanément via Ruijie Cloud, résolvant ainsi le problème sur l'ensemble du parc en une seule opération.
Questions d'entraînement
Q1. Vous avez configuré un Captive Portal externe sur une passerelle Ruijie RG-EG. Les invités se connectent au SSID, mais leurs appareils affichent « Pas de connexion Internet » et la page du portail ne se charge jamais. Quelle est l'erreur de configuration la plus probable et comment la résoudre ?
Conseil : Réfléchissez aux opérations réseau qui doivent réussir avant même que l'utilisateur puisse voir la page de connexion.
Voir la réponse type
La zone d'accès limitée (walled garden) est mal configurée. La passerelle Ruijie bloque la résolution DNS ou le trafic HTTP requis pour atteindre l'URL de la splash page externe de Purple. Avant l'authentification, l'appareil doit pouvoir résoudre le domaine du portail et établir une connexion HTTP avec celui-ci. Ajoutez les domaines Purple spécifiques à la liste d'autorisation de pré-authentification dans la section Auth & Account de Ruijie. Vérifiez également qu'un serveur DNS valide est attribué via DHCP au VLAN invité.
Q2. Un directeur informatique de stade souhaite déployer des AP Ruijie pour le WiFi des supporters lors des événements. Il souhaite collecter des données marketing mais craint que l'authentification RADIUS ne provoque des ralentissements lorsque 10 000 supporters se connecteront simultanément au cours des 30 premières minutes suivant l'ouverture des portes. Comment doit-il concevoir le flux d'authentification pour équilibrer la capture de données et l'expérience utilisateur ?
Conseil : Considérez le compromis entre la richesse des données collectées et la fluidité de l'authentification à grande échelle.
Voir la réponse type
Il doit utiliser le One-Click Login de Purple pour les supporters récurrents déjà authentifiés auparavant, ce qui évite de remplir à nouveau le formulaire et réduit la charge RADIUS. Pour les nouveaux supporters, un formulaire de capture d'e-mail minimal est préférable à une connexion via les réseaux sociaux, qui nécessite des allers-retours OAuth supplémentaires. La passerelle Ruijie doit être dimensionnée pour gérer les requêtes RADIUS simultanées - pour 10 000 connexions simultanées, une passerelle haute capacité de la série RG-EG est requise. L'activation de la connexion automatique transparente (Seamless Online) avec une durée de session de 30 jours permet aux supporters de se connecter automatiquement lors des événements suivants. Les limites de QoS doivent être strictes (5 Mbps par appareil) pour éviter que les premiers arrivés ne saturent la liaison avant l'arrivée de la foule.
Q3. Lors d'un audit de sécurité, un testeur d'intrusion accède au serveur de fichiers de l'entreprise alors qu'il est connecté au SSID "Guest WiFi" diffusé par un AP Ruijie. Le réseau invité utilise un Captive Portal correctement configuré. Comment résolvez-vous cette vulnérabilité critique ?
Conseil : L'authentification et la segmentation du réseau sont des problématiques distinctes. L'une n'implique pas l'autre.
Voir la réponse type
Le Captive Portal fonctionne correctement, mais l'isolation VLAN est manquante ou mal configurée. Le SSID invité redirige les utilisateurs authentifiés vers le VLAN de l'entreprise ou le VLAN natif, qui dispose d'un accès de routage vers les serveurs internes. Vous devez : (1) créer un VLAN invité dédié (par exemple, le VLAN 50) sur le commutateur central ; (2) attribuer le SSID invité au VLAN 50 dans le contrôleur Ruijie ; (3) configurer les ports du commutateur connectant les AP comme des trunks 802.1Q autorisant le VLAN 50 ; (4) configurer la passerelle Ruijie pour bloquer le routage entre le VLAN 50 et tous les sous-réseaux de l'entreprise, en autorisant uniquement le trafic vers Internet depuis le VLAN invité. L'authentification et la segmentation réseau sont des contrôles indépendants - les deux doivent être correctement configurés.
Q4. Votre déploiement Ruijie a activé l'option Portal Escape. Lors d'une fenêtre de maintenance planifiée sur les serveurs RADIUS de Purple, vous remarquez que les invités accèdent à Internet sans s'authentifier. Est-ce un comportement attendu, et quelles en sont les implications en matière de conformité ?
Conseil : Considérez l'objectif de la fonctionnalité Portal Escape et vos obligations réglementaires liées au GDPR.
Voir la réponse type
Oui, il s'agit du comportement attendu de la fonctionnalité Portal Escape. Lorsque le serveur du portail est inaccessible, Ruijie libère automatiquement le trafic pour maintenir la connectivité. Cependant, cela crée un écart de conformité : les utilisateurs accèdent à Internet sans donner leur consentement pour le traitement des données, ce qui peut violer les exigences du GDPR si vos conditions d'utilisation ou la capture de données sont liées à l'événement d'authentification. Pour les établissements où la capture du consentement est une exigence légale ou commerciale, la fonction Portal Escape doit être désactivée. Planifiez la maintenance des serveurs RADIUS pendant les périodes d'activité minimale des invités, et communiquez la fenêtre de maintenance à la direction de l'établissement. Envisagez d'implémenter un serveur RADIUS Purple secondaire comme solution de secours pour éliminer complètement ce scénario.
Continuer la lecture de cette série
Captive Portal pour Ruijie : configurez-le avec le WiFi invité Purple
Découvrez comment le WiFi invité cloud de Purple se superpose aux points d'accès Ruijie RG Series en utilisant l'authentification web et RADIUS, configuré en ligne de commande, et où trouver les étapes exactes de configuration.
Conception de Captive Portals B2B : Collecter le Nom Enregistré et les Données de l'Entreprise
Ce guide fournit aux responsables informatiques et aux exploitants de sites un cadre technique indépendant des fournisseurs pour concevoir des Captive Portals B2B. Il détaille comment structurer les champs d'inscription pour capturer le nom enregistré et les données de l'entreprise, garantissant des taux de complétion élevés tout en maintenant la conformité GDPR et en développant une intelligence au niveau des comptes.
Architecture de Captive Portal : Sécurité, redirection et bonnes pratiques
Une référence technique définitive sur l'architecture de captive portal d'entreprise. Ce guide détaille l'isolation réseau, la redirection DNS, l'authentification RADIUS et la conformité en matière de sécurité pour les responsables informatiques déployant des réseaux WiFi invités sécurisés et riches en données.