Passer au contenu principal

Guide étape par étape : Configuration des contrôleurs sans fil Ruijie pour les Captive Portals de WiFi invité

Ce guide fournit un guide technique complet pour configurer les contrôleurs et passerelles sans fil Ruijie afin de déployer des Captive Portals de WiFi invité de classe entreprise. Il couvre la segmentation VLAN, l'authentification RADIUS externe via le protocole WISPr, la configuration du walled garden et l'intégration transparente avec la plateforme Identity-Based Networks de Purple pour capturer des données de première partie et générer une valeur commerciale mesurable dans les secteurs de l'hôtellerie, de la vente au détail et du secteur public.

📖 8 min de lecture📝 1,834 mots🔧 2 exemples concrets4 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bienvenue dans la série de briefings techniques Purple. Aujourd'hui, nous abordons l'un des sujets les plus recherchés dans le domaine du sans-fil d'entreprise : comment configurer les contrôleurs sans fil Ruijie pour des Captive Portals de WiFi invité sécurisés. Je suis votre hôte, et il s'agit d'un briefing de dix minutes conçu pour les directeurs informatiques, les architectes réseau et les directeurs de sites qui doivent réussir cette mise en œuvre du premier coup. Commençons par le contexte. Si vous gérez l'informatique d'un hôtel, d'une chaîne de magasins, d'un centre de conférences ou d'un grand lieu public, le WiFi invité n'est plus un simple service de confort. C'est une exigence opérationnelle fondamentale. Les clients l'attendent. Les régulateurs vous imposent de traiter leurs données de manière responsable. Et votre équipe marketing souhaite exploiter les données de première main qu'il génère. Le défi consiste à le déployer de manière sécurisée sur un parc distribué, à grande échelle, sans créer de casse-tête en matière de conformité. Ruijie Networks est l'un des plus grands équipementiers réseau d'entreprise au monde, avec une base installée importante dans les secteurs de l'hôtellerie, du commerce de détail et des services publics. Leurs contrôleurs sans fil de la série RG-WS et leurs passerelles de la série RG-EG sont des plateformes performantes pour le WiFi invité d'entreprise, mais la configuration du Captive Portal nécessite une exécution précise. Une mauvaise configuration, et vous vous retrouvez soit avec une faille de sécurité, soit avec un portail qui ne fonctionne tout simplement pas. Entrons maintenant dans l'architecture technique. La base absolue de tout réseau invité sécurisé est l'isolation du trafic. Vous ne pouvez pas avoir des appareils d'invités sur le même segment de réseau que vos terminaux de paiement, les ordinateurs portables de votre personnel ou vos serveurs de back-office. Le mécanisme pour y parvenir est la segmentation par VLAN. Dans un environnement Ruijie, vous créez un VLAN invité dédié sur votre commutateur central, vous lui attribuez un sous-réseau IP distinct, et vous l'acheminez via un trunk vers vos points d'accès. Un déploiement type peut utiliser le VLAN dix pour l'entreprise, le VLAN vingt pour la voix, le VLAN trente pour les invités et le VLAN quatre-vingt-dix-neuf pour la gestion. C'est non négociable. Si vous ignorez cette étape, vous obtenez un WiFi pratique, pas un WiFi sécurisé. Une fois le réseau correctement segmenté, nous passons à l'authentification. Une clé pré-partagée commune ne constitue pas une sécurité d'entreprise. Elle n'offre aucune responsabilité, aucun suivi des sessions individuelles et aucun moyen de révoquer l'accès d'un seul utilisateur sans modifier le mot de passe de tout le monde. À la place, nous utilisons un Captive Portal externe avec authentification RADIUS. Voici comment fonctionne le flux. Un invité se connecte à l'SSID ouvert diffusé par le point d'accès Ruijie. La passerelle Ruijie intercepte son trafic HTTP et génère une redirection vers une page d'accueil externe - dans ce cas, hébergée par Purple. L'invité voit une page de connexion personnalisée. Il s'authentifie, par exemple via une inscription par e-mail, une connexion via les réseaux sociaux ou une acceptation en un clic. Les serveurs de Purple traitent cette authentification et renvoient un message RADIUS Accept au contrôleur Ruijie. Le contrôleur accorde ensuite l'accès à internet à l'appareil. L'ensemble de ce flux utilise le protocole WISPr, qui est le cadre standard pour l'authentification par Captive Portal externe dans le WiFi d'entreprise.La valeur commerciale ici est considérable. Chaque événement d'authentification capture un enregistrement de consentement. La plateforme de Purple stocke ces données de manière conforme au GDPR et à la CCPA, conçoit une base de données marketing de premier niveau et renvoie des analyses à votre équipe. Harrods a utilisé cette approche pour promouvoir son programme de fidélité et a obtenu un retour sur investissement multiplié par cinquante-sept. c2c Rail a obtenu un retour sur investissement de cent vingt et un pour cent et a économisé soixante-seize mille livres en coûts opérationnels. Voilà l'argument commercial pour faire cela correctement. Passons maintenant aux étapes de configuration spécifiques dans l'interface de Ruijie Cloud ou du contrôleur local. Étape une : créez le SSID invité. Connectez-vous à Ruijie Cloud ou à votre contrôleur local. Accédez à Device Config, sélectionnez Wi-Fi sous Wireless, et créez un nouveau SSID. Donnez-lui un nom clair, comme Free Guest WiFi. Définissez le mode de sécurité sur Open et attribuez-le à votre VLAN invité. Étape deux : définissez la politique de Captive Portal. Accédez à Auth and Account, puis sélectionnez Captive Portal sous Authentication. Créez une nouvelle politique. Définissez le Policy Mode sur External. Définissez l'Authentication Device sur votre passerelle ou point d'accès Ruijie. Sélectionnez le SSID invité. Dans le champ Portal Server URL, saisissez l'URL de votre splash page Purple. Saisissez les adresses IP du serveur RADIUS de Purple. Étape trois : configurez le Walled Garden, que Ruijie appelle l'Allowlist. C'est l'élément le plus fréquemment mal configuré dans tout déploiement de Captive Portal. Le Walled Garden définit quel trafic peut passer avant que l'utilisateur ne s'authentifie. Si vous n'autorisez pas explicitement les domaines Purple, la splash page ne se chargera pas. Si vous proposez la connexion via Facebook ou Google mais n'autorisez pas leurs domaines OAuth, l'authentification se bloquera au niveau du bouton de connexion sociale. Ajoutez tous les domaines d'infrastructure Purple requis, ainsi que tous les domaines de fournisseurs sociaux que vous prévoyez de prendre en charge. Étape quatre : configurez RADIUS. Ajoutez les adresses IP des serveurs RADIUS principal et secondaire de Purple. Saisissez le secret partagé depuis votre tableau de bord Purple. Assurez-vous que la comptabilité RADIUS est activée sur le port 1813. Cela permet à Purple de suivre précisément la durée de la session et la consommation de données, ce qui alimente directement vos rapports d'analyse. Étape cinq : appliquez les politiques de QoS. Un accès invité non restreint peut saturer votre liaison internet. Définissez des limites strictes de bande passante par utilisateur sur la passerelle Ruijie - généralement cinq à dix mégabits en descente et deux à fice en montée pour un déploiement hôtelier standard. Cela protège l'expérience de tous les invités et empêche un seul appareil de dégrader le réseau. Abordons maintenant les pièges d'implémentation critiques. Le premier concerne le Walled Garden. Je ne saurais trop insister sur la fréquence à laquelle cela est la cause première d'un échec de déploiement. Testez votre portail à partir d'un appareil propre sans identifiants mis en cache. Si la page ne se charge pas, vérifiez d'abord votre allowlist. Le deuxième piège est le paramètre Portal Escape. Cette fonctionnalité Ruijie libère automatiquement le trafic des utilisateurs si le point d'accès et le serveur de portail deviennent inaccessibles. Cela semble utile, mais cela signifie que les utilisateurs non authentifiés accèdent à Internet en cas de panne. Dans un environnement d'entreprise où le recueil du consentement est une obligation légale, vous devez désactiver cette option pour imposer une authentification stricte à tout moment. Le troisième piège concerne les versions de firmware. Certaines fonctionnalités de Captive Portal - notamment en ce qui concerne le contrôle de la bande passante et l'attribution dynamique de VLAN - nécessitent des versions de firmware spécifiques sur la passerelle Ruijie. Vérifiez les notes de version de Ruijie avant le déploiement et assurez-vous que vos appareils exécutent une version de firmware prise en charge. Passons maintenant aux questions rapides. Dois-je gérer le Captive Portal sur le point d'accès ou sur la passerelle ? Dans un déploiement d'entreprise Ruijie, gérez-le au niveau de la passerelle. Les passerelles de la série RG-EG sont conçues pour gérer l'interception du portail externe et appliquer les politiques de QoS. Les points d'accès se concentrent sur les performances RF et la diffusion du SSID. Puis-je exécuter plusieurs portails captifs sur différents SSIDs ? Oui. Ruijie prend en charge plusieurs politiques de Captive Portal associées à différents SSIDs. Vous pouvez avoir un portail invité standard sur un SSID et un portail premium payant sur un autre, chacun avec des limites de bande passante et des méthodes d'authentification différentes. Comment gérer un déploiement multi-sites ? Utilisez Ruijie Cloud pour gérer la configuration de manière centralisée. Vous pouvez déployer des politiques de portail sur l'ensemble des sites simultanément, garantissant ainsi la cohérence et éliminant les dérives de configuration par site. Pour résumer les points clés à retenir : segmentez votre trafic avec des VLANs avant toute autre chose. Utilisez l'authentification externe RADIUS pour capturer des données de première partie conformes. Configurez méticuleusement votre Walled Garden et testez-le à partir d'un appareil propre. Prenez une décision délibérée concernant le Portal Escape en fonction de vos exigences de conformité. Appliquez la QoS pour protéger l'expérience utilisateur. Et intégrez votre infrastructure Ruijie aux réseaux basés sur l'identité de Purple pour transformer une simple connexion en un actif sécurisé, axé sur les données et générateur de revenus. Purple opère dans plus de quatre-vingt mille sites actifs, a traité quatre cent quarante millions de connexions en 2024 et détient les certifications ISO 27001, GDPR, CCPA et Cyber Essentials. Nous sommes indépendants du matériel, ce qui signifie que votre investissement Ruijie est entièrement compatible avec notre plateforme cloud. Merci pour votre écoute. Si vous souhaitez découvrir comment Purple s'intègre à votre parc Ruijie, visitez purple dot ai slash guest dash wifi. Déployez en toute sécurité et à bientôt pour le prochain briefing.

header_image.png

Synthèse

Le déploiement d'un WiFi invité au sein d'entreprises distribuées implique bien plus que la simple mise à disposition d'un SSID ouvert. Pour les responsables informatiques et les architectes réseau, le défi consiste à concilier un accès fluide avec une sécurité stricte, la conformité au GDPR et les besoins de collecte de données. Ce guide détaille les étapes de configuration spécifiques requises pour déployer un Captive Portal sécurisé et évolutif à l'aide de contrôleurs et de passerelles sans fil Ruijie, illustrant comment l'intégration de cette infrastructure avec la plateforme Guest WiFi de Purple transforme une simple connectivité sans fil en un actif conforme et générateur de revenus.

Nous aborderons les prérequis techniques, les stratégies d'isolation de VLAN, l'authentification RADIUS externe via le protocole WISPr, la configuration du Walled Garden et les paramètres de QoS spécifiques requis pour un déploiement de niveau production. Que vous gériez un hôtel de 200 chambres, une chaîne de vente au détail de 50 magasins ou un stade de 40 000 places, ce guide fournit le plan de référence pour une configuration sécurisée du Captive Portal de Ruijie. Opérant dans plus de 80 000 sites actifs à travers le monde et traitant 440 millions de connexions en 2024 (données internes de Purple), les modèles d'intégration décrits ici ont fait leurs preuves à grande échelle.

architecture_overview.png

Architecture technique et prérequis

Avant de modifier votre contrôleur Ruijie, établissez l'architecture réseau appropriée. Un réseau invité sécurisé nécessite une isolation complète du trafic d'entreprise au niveau de la couche 2 (niveau commutateur).

Segmentation réseau

La pierre angulaire d'un WiFi invité sécurisé est l'isolation VLAN. Vous devez créer un VLAN invité dédié sur la passerelle ou le commutateur principal Ruijie. Cela garantit que le trafic invité ne croise jamais les systèmes internes, les terminaux de paiement ou les appareils du personnel. Un schéma de VLAN d'entreprise standard pour les déploiements Ruijie est présenté ci-dessous :

ID VLAN Usage Notes
10 Entreprise Appareils du personnel, serveurs internes
20 Voix Téléphones VoIP
30 Invité Captive Portal, accès Internet uniquement
40 IoT Imprimantes, téléviseurs connectés, capteurs
99 Gestion Contrôleur, gestion des commutateurs

Pour en savoir plus sur les raisons pour lesquelles les approches grand public échouent dans ce cas, consultez Why consumer-grade WiFi gear is not for your guest network .

Composants requis

Pour mener à bien ce déploiement, vous aurez besoin de :

  • Un compte Ruijie Cloud ou un contrôleur sans fil sur site de la gamme Ruijie RG-WS (par exemple, RG-WS6008 ou RG-WS7110).
  • Une passerelle de la gamme Ruijie RG-EG - indispensable pour l'authentification du portail externe via WISPr.
  • Des points d'accès de la gamme Ruijie RG-AP (par exemple, RG-AP820-I, RG-AP850-AR).
  • Une licence Purple Connect, Capture ou Engage.
  • Accès UDP sortant autorisé de la passerelle vers les serveurs Purple pour les ports 1812 (authentification RADIUS) et 1813 (comptabilité RADIUS).

Aperçu du protocole d'authentification

Ruijie prend en charge plusieurs méthodes d'authentification. Les déploiements de niveau entreprise doivent utiliser l'authentification RADIUS externe. Cette méthode utilise le protocole WISPr (Wireless Internet Service Provider Roaming) pour rediriger en toute sécurité les utilisateurs non authentifiés vers la Splash Page de Purple, traiter leurs identifiants et renvoyer un message RADIUS Accept ou Reject au contrôleur Ruijie.

comparison_chart.png

Le tableau ci-dessus résume les cinq méthodes d'authentification proposées par la plateforme Ruijie. Les inscriptions par e-mail et les connexions via les réseaux sociaux sont les choix les plus courants pour les secteurs de l'hôtellerie et du commerce, car elles capturent des données de première partie structurées et conformes au GDPR. Les codes coupons conviennent aux salles de réunion et aux niveaux d'accès payants. RADIUS avec 802.1X est réservé exclusivement aux réseaux du personnel nécessitant une authentification adossée à un annuaire.

Guide de mise en œuvre étape par étape

Veuillez exécuter les étapes suivantes dans l'interface du contrôleur Ruijie Cloud ou sur site. Les chemins d'accès à l'interface utilisateur ci-dessous s'appliquent à la nouvelle interface Ruijie Cloud (post-2024) et à la plateforme Ruijie JaCS.

Étape 1 : Configurer le SSID invité

Établissez le réseau de diffusion sans fil.

  1. Connectez-vous à l'interface web du contrôleur Ruijie Cloud ou sur site.
  2. Naviguez vers Device Config, puis sélectionnez Wi-Fi sous la section Wireless.
  3. Cliquez sur + pour créer un nouveau SSID, ou modifiez un SSID existant.
  4. Définissez le SSID Name (par exemple, "Free Guest WiFi").
  5. Définissez le Security Mode sur Open - aucune clé pré-partagée.
  6. Attribuez le SSID à votre VLAN invité dédié (par exemple, VLAN 30).
  7. Enregistrez la configuration du SSID.

Étape 2 : Définir la politique de Captive Portal

Configurez le contrôleur pour intercepter le trafic des invités et le rediriger vers Purple.

  1. Naviguez vers Auth & Account, puis sélectionnez Captive Portal sous Authentication.
  2. Créez une nouvelle politique. Définissez un Policy Name descriptif (par exemple, "Purple-Guest-Portal").
  3. Définissez le Policy Mode sur External.
  4. Définissez le Authentication Device sur votre passerelle Ruijie (série RG-EG) ou point d'accès.
  5. Sélectionnez le SSID invité créé à l'étape 1.
  6. Dans le champ Portal Server URL, saisissez l'URL unique de votre Splash Page Purple (disponible dans le panneau de configuration de Purple sous 'Configuration matérielle').
  7. Saisissez les adresses IP du serveur RADIUS de Purple dans les champs prévus à cet effet.
  8. Définissez la durée de Seamless Online pour qu'elle corresponde à votre politique d'expiration de session (par exemple, 24 heures pour l'hôtellerie, 1 heure pour le commerce).
  9. Déterminez le comportement de Portal Escape - voir la section "Bonnes pratiques" ci-dessous.

Étape 3 : Configurer le Walled Garden (liste d'autorisation)

Un Captive Portal intercepte tout le trafic jusqu'à ce qu'un utilisateur soit authentifié. Certains trafics doivent être autorisés lors de l'étape de pré-authentification pour charger la page de connexion et traiter les connexions via les réseaux sociaux. Il s'agit de la partie la plus fréquemment mal configurée dans tout déploiement de Captive Portal.

  1. Accédez à Auth & Account et sélectionnez Allowlist.
  2. Ajoutez tous les domaines d'infrastructure Purple requis. Votre tableau de bord Purple fournit la liste spécifique à votre région.
  3. Si vous proposez des connexions via les réseaux sociaux, ajoutez les domaines OAuth pour chaque fournisseur :
    • Pour Microsoft Entra ID : *.microsoft.com, *.microsoftonline.com, login.live.com
    • Pour Google Workspace : *.google.com, accounts.google.com
    • Pour Okta : le domaine spécifique de votre tenant Okta
  4. Si vous proposez des forfaits WiFi payants, ajoutez les domaines des prestataires de paiement.
  5. Enregistrez et appliquez la liste d'autorisation.

Étape 4 : Configurer l'authentification RADIUS

Configurez le canal de communication sécurisé entre Ruijie et Purple.

  1. Accédez aux paramètres du serveur RADIUS dans votre contrôleur ou passerelle Ruijie.
  2. Ajoutez l'adresse IP du serveur RADIUS principal de Purple et le port 1812 pour l'authentification.
  3. Ajoutez l'adresse IP du serveur RADIUS secondaire de Purple pour la redondance.
  4. Saisissez le Shared Secret (secret partagé) fourni par votre tableau de bord Purple. Il doit correspondre exactement.
  5. Ajoutez le serveur de comptabilité (accounting) sur le port 1813 et activez la comptabilité RADIUS. Cela permet de suivre la durée des sessions et la consommation de données, qui sont directement remontées dans les rapports de WiFi Analytics de Purple.
  6. Définissez le NAS Identifier avec une chaîne explicite (par exemple, le nom de votre établissement) afin de différencier le trafic dans les analyses de Purple.

Étape 5 : Appliquer les politiques de QoS

Un accès invité non restreint peut saturer votre connexion internet pendant les heures de pointe.

  1. Accédez à la section QoS ou de gestion de la bande passante de votre passerelle Ruijie.
  2. Définissez des limites de téléchargement par utilisateur (par exemple, 10 Mbps pour les clients d'un hôtel, 5 Mbps pour les clients de commerces).
  3. Définissez des limites d'envoi par utilisateur (par exemple, 2 à 5 Mbps).
  4. Désactivez le Client Escape pour vous assurer que les utilisateurs non authentifiés ne puissent pas accéder au réseau si le serveur du portail est temporairement inaccessible.
  5. Enregistrez et déployez la configuration sur tous les appareils concernés.

Étape 6 : Tester le déploiement

Effectuez toujours les tests à l'aide d'un appareil propre, sans identifiants mis en cache.

  1. Connectez un appareil mobile au SSID invité.
  2. Ouvrez un navigateur et accédez à une URL non-HTTPS (par exemple, http://example.com). La page du portail doit se rediriger automatiquement.
  3. Vérifiez que la page d'accueil de Purple se charge correctement.
  4. Terminez le processus d'authentification.
  5. Confirmez que l'accès internet est accordé après l'authentification.
  6. Vérifiez le tableau de bord Purple pour confirmer que la session apparaît dans vos analyses.

Bonnes pratiques pour le déploiement en entreprise

Sécurité et conformité

Ne comptez jamais sur des PSK partagés pour l'accès invité. Les mots de passe partagés n'offrent aucune piste d'audit et ne peuvent pas être révoqués de manière individuelle. En utilisant un Captive Portal Purple avec une authentification individuelle, vous pouvez exiger un consentement explicite pour le traitement des données, répondant ainsi aux exigences de l'article 7 du GDPR. Purple détient les certifications ISO 27001, GDPR, CCPA et Cyber Essentials, garantissant que le mécanisme de capture de données lui-même est auditable.

Pour approfondir l'architecture de sécurité, lisez notre guide Enterprise WiFi Security: Complete Guide for 2026 et What is Secure WiFi: The Essential Enterprise Guide for 2026 .

Portal Escape : Une décision délibérée

La fonctionnalité Portal Escape de Ruijie permet automatiquement au trafic utilisateur de passer si l'AP ne peut pas se connecter au serveur de portail. Dans un contexte hôtelier, vous pouvez choisir de l'activer - les clients incapables de se connecter au WiFi en raison d'un bref problème de serveur généreront des plaintes. Dans les environnements de vente au détail ou de santé, vous pouvez choisir de la désactiver - un accès non authentifié représente un risque de conformité et de sécurité. Documentez votre décision et votre raisonnement dans vos guides d'exploitation réseau.

Cohérence multi-sites

Utilisez Ruijie Cloud pour gérer la configuration de manière centralisée sur tous les sites. Déployez les politiques de portail simultanément pour éliminer les dérives de configuration entre les sites - la cause la plus fréquente d'expériences invités incohérentes dans les parcs distribués. L'overlay cloud de Purple fonctionne sur le même principe : un seul tableau de bord pour tous les sites.

Gestion du firmware

Certaines fonctionnalités du Captive Portal de Ruijie, notamment le contrôle de la bande passante et l'attribution dynamique de VLAN, nécessitent des versions de firmware spécifiques sur vos passerelles. Ruijie documente ces dépendances dans ses notes de mise à jour. Assurez-vous que vos passerelles RG-EG exécutent la version de firmware RGOS11.9(6)B17T1 ou supérieure pour une prise en charge complète de la QoS dans les déploiements gérés par le cloud.

Dépannage et atténuation des risques

Échec du chargement de la page du portail

Si le Captive Portal n'apparaît pas lorsqu'un appareil se connecte, vérifiez d'abord vos paramètres de Walled Garden. L'appareil doit être capable de résoudre le DNS et d'accéder à l'URL du portail Purple avant de pouvoir s'authentifier. Vérifiez que votre liste d'autorisation Ruijie inclut tous les domaines nécessaires et que vos serveurs DNS sont accessibles depuis le VLAN invité.

Expirations de session d'authentification

Si les utilisateurs voient le portail mais ne peuvent pas se connecter, le problème réside généralement dans la configuration RADIUS. Vérifiez les IP du serveur RADIUS, les ports (1812 pour l'authentification, 1813 pour l'accounting) et le secret partagé. Assurez-vous que vos pare-feu autorisent le trafic UDP entrant et sortant sur ces ports depuis l'IP de gestion de la passerelle Ruijie.

Connexions par réseaux sociaux bloquées

Si les utilisateurs cliquent sur un bouton de connexion via un réseau social et que rien ne se produit, la redirection OAuth est bloquée. Ajoutez les domaines des fournisseurs de réseaux sociaux requis à votre liste d'autorisation Ruijie. Testez cela en autorisant temporairement tout le trafic avant l'authentification pour confirmer si le portail fonctionne, puis resserrez la liste d'autorisation progressivement.

Échec de l'assignation dynamique de VLAN

Si vous utilisez RADIUS pour assigner dynamiquement des utilisateurs à des VLANs, assurez-vous que la réponse RADIUS inclut les attributs VLAN corrects (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID). Le RG-EG310GH-E de Ruijie et les passerelles similaires prennent en charge l'assignation dynamique de VLAN, mais cette fonctionnalité nécessite une configuration explicite à la fois sur le serveur RADIUS et sur la passerelle.

ROI et impact commercial

Le déploiement d'un Captive Portal sécurisé transforme le WiFi invité d'un centre de coûts en un actif stratégique. La plateforme de WiFi Analytics de Purple s'intègre à votre infrastructure Ruijie pour capturer des données de première main, constituer des listes de contacts à forte intention et fournir des informations exploitables sur le comportement des invités dans vos établissements.

Harrods a utilisé le Guest WiFi de Purple pour promouvoir son programme de fidélité, atteignant un taux d'adhésion de premier ordre et un ROI de 57x (données clients Purple). c2c Rail a utilisé Purple pour encourager les réservations directes, obtenant un retour sur investissement de 121 % et économisant £76 000 en coûts d'exploitation (données clients Purple). Pizza Express a déployé Purple dans plus de 470 restaurants pour enrichir les profils de ses clients.

Pour les opérateurs de l' hospitality , les données capturées lors de la connexion (e-mail, données démographiques, fréquence des visites) peuvent être directement injectées dans les systèmes CRM et les programmes de fidélité. Pour les environnements de retail , l'analyse des visites répétées permet d'identifier vos acheteurs à plus forte valeur ajoutée. Pour les hubs de transport , les données sur les flux de passagers optimisent la planification du personnel et des espaces commerciaux.

Purple s'intègre à Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, Fortinet et Ruijie, ce qui en fait une solution cloud superposée indépendante du matériel qui fonctionne avec vos équipements existants sans nécessiter de remplacement complet.


Guide connexe : Intégration des points d'accès Grandstream GWN et de Purple WiFi

Définitions clés

Captive portal

Une page web qu'un utilisateur d'un réseau d'accès public doit consulter et avec laquelle il doit interagir avant de pouvoir accéder à Internet. Elle intercepte tout le trafic HTTP et redirige le navigateur de l'utilisateur vers la page du portail.

Le mécanisme central pour imposer l'authentification sur les réseaux WiFi invités. Utilisé dans les hôtels, les commerces de détail, les stades et les espaces publics pour contrôler l'accès et recueillir le consentement.

Walled garden

Une liste d'autorisation de pré-authentification qui permet à des domaines et adresses IP spécifiques de contourner l'interception du Captive Portal. Le trafic vers ces destinations est autorisé avant que l'utilisateur ne s'authentifie.

Essentiel pour permettre aux appareils de charger la page de connexion, d'accéder aux fournisseurs de connexion sociale et de traiter les paiements avant que l'utilisateur ne soit entièrement authentifié. Une mauvaise configuration à ce niveau est la cause principale des échecs de Captive Portal.

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour les utilisateurs se connectant à un service réseau.

Le protocole sécurisé que les contrôleurs Ruijie utilisent pour communiquer avec les serveurs de Purple. Les requêtes d'authentification vont vers le port 1812 (UDP) ; les enregistrements de comptabilité vont vers le port 1813 (UDP).

WISPr

Wireless Internet Service Provider roaming. Une spécification de protocole qui définit comment un Captive Portal redirige les utilisateurs non authentifiés vers une page de connexion et comment le contrôleur d'accès reçoit le résultat de l'authentification.

Le cadre de protocole spécifique utilisé par Ruijie et Purple pour gérer la redirection vers le Captive Portal externe et le flux d'authentification. Requis pour le mode de portail externe sur les passerelles Ruijie.

VLAN isolation

La pratique consistant à séparer le trafic réseau en différents réseaux locaux virtuels au niveau du commutateur, empêchant les appareils de différents VLAN de communiquer directement.

Non négociable pour les réseaux invités. Garantit que les appareils invités ne peuvent pas communiquer avec les serveurs de l'entreprise, les ordinateurs portables du personnel ou les terminaux de paiement, même s'ils sont connectés à la même infrastructure physique.

Portal Escape

Une fonctionnalité Ruijie qui libère automatiquement le trafic utilisateur si le point d'accès et le serveur de portail deviennent inaccessibles, permettant un accès Internet non authentifié pendant une panne.

Un compromis délibéré entre disponibilité et sécurité. Les exploitants du secteur de l'hôtellerie peuvent l'activer pour éviter les plaintes des clients lors des pannes. Les exploitants de la santé et de la vente au détail le désactivent généralement pour imposer une authentification stricte en tout temps.

SSID

Service Set Identifier. Le nom public d'un réseau sans fil que les appareils affichent dans leur liste de réseaux disponibles.

Le nom du réseau que les invités sélectionnent sur leurs appareils, ce qui déclenche la redirection vers le Captive Portal. Chaque SSID dans un déploiement Ruijie est associé à un VLAN spécifique et à une politique d'authentification.

QoS

Quality of Service. Un ensemble de technologies qui gèrent le trafic de données pour réduire la perte de paquets, la latence et la gigue, et pour garantir des performances prévisibles pour des types de trafic spécifiques.

Utilisé dans les réseaux invités pour limiter la bande passante par utilisateur, empêchant un seul appareil de saturer la liaison Internet et de dégrader l'expérience de tous les autres utilisateurs connectés.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, fournissant un mécanisme d'authentification pour les appareils se connectant à un réseau local (LAN) ou sans fil (WLAN).

Utilisé pour les réseaux du personnel nécessitant une identité basée sur un annuaire (par exemple, via Microsoft Entra ID ou Okta). Généralement non utilisé pour les réseaux invités, où un Captive Portal avec RADIUS est le modèle approprié.

Exemples concrets

Un hôtel de 250 chambres utilise des points d'accès Ruijie RG-AP820-I et une passerelle RG-EG310GH-E. Ils exigent que les clients s'authentifient par e-mail afin de constituer une base de données marketing. La direction s'inquiète du fait que les clients contournent le portail et de la saturation de la bande passante aux heures de pointe lors des événements de type conférence.

L'équipe informatique crée un VLAN invité dédié (VLAN 40) sur le commutateur central et le relie à la passerelle et aux points d'accès Ruijie. Dans Ruijie Cloud, elle crée un SSID ouvert mappé sur le VLAN 40. Elle configure une politique de Captive Portal externe pointant vers l'URL de la page d'accueil de Purple, avec l'URL du serveur de portail et les identifiants RADIUS du tableau de bord Purple. De plus, elle configure le walled garden pour autoriser le trafic uniquement vers les domaines de Purple et désactive la fonction Portal Escape sur la passerelle Ruijie, empêchant ainsi tout accès non authentifié en cas de panne du portail. Elle applique une politique QoS limitant chaque client à 10 Mbps en descente et 3 Mbps en montée. Pour les événements de type conférence, elle crée un SSID distinct sur le VLAN 50 avec un portail basé sur des coupons et des limites de bande passante plus strictes de 5 Mbps par appareil.

Commentaire de l'examinateur : Cette approche isole correctement le trafic invité au niveau de la couche 2, impose une authentification RADIUS externe pour une capture de données conforme au GDPR et applique des contrôles de bande passante proportionnels au cas d'utilisation. La désactivation de Portal Escape est une décision de sécurité délibérée qui empêche tout accès non authentifié lors des perturbations du réseau. Le SSID de conférence distinct avec authentification par coupon est un modèle pratique pour les sites qui accueillent à la fois des clients de passage et des participants à des événements ayant des exigences d'accès différentes.

Une chaîne de vente au détail de 50 magasins utilise des contrôleurs Ruijie WS6008. Elle met en œuvre la connexion sociale (Facebook et Google Workspace) pour les clients accédant au WiFi, mais la page du portail se fige lorsque les utilisateurs cliquent sur les boutons de connexion sociale. Le problème affecte les 50 sites simultanément.

Le responsable informatique identifie que la configuration de la liste d'autorisation (walled garden) sur les contrôleurs Ruijie ne contient pas les domaines OAuth requis par Facebook et Google. Alors que l'URL du portail Purple était correctement autorisée, les domaines des fournisseurs sociaux nécessaires à la liaison OAuth étaient bloqués par l'interception du Captive Portal. L'équipe ajoute les domaines génériques requis - spécifiquement *.facebook.com, *.fbcdn.net, accounts.google.com et *.googleapis.com - à la liste d'autorisation Ruijie. Elle déploie la configuration mise à jour sur les 50 sites simultanément via Ruijie Cloud, résolvant ainsi le problème sur l'ensemble du parc en une seule opération.

Commentaire de l'examinateur : La mauvaise configuration du walled garden est la cause la plus fréquente d'échec de la connexion sociale dans les déploiements de Captive Portal. Le Captive Portal doit explicitement autoriser le trafic de pré-authentification vers les domaines OAuth des fournisseurs d'identité, sinon le processus de redirection ne peut pas aboutir. L'utilisation de Ruijie Cloud pour le déploiement centralisé de la configuration est la bonne approche pour un parc multisite - une configuration manuelle par site sur 50 emplacements serait source d'erreurs et chronophage.

Questions d'entraînement

Q1. Vous avez configuré un Captive Portal externe sur une passerelle Ruijie RG-EG. Les invités se connectent au SSID, mais leurs appareils affichent « Pas de connexion Internet » et la page du portail ne se charge jamais. Quelle est l'erreur de configuration la plus probable et comment la résoudre ?

Conseil : Réfléchissez aux opérations réseau qui doivent réussir avant même que l'utilisateur puisse voir la page de connexion.

Voir la réponse type

La zone d'accès limitée (walled garden) est mal configurée. La passerelle Ruijie bloque la résolution DNS ou le trafic HTTP requis pour atteindre l'URL de la splash page externe de Purple. Avant l'authentification, l'appareil doit pouvoir résoudre le domaine du portail et établir une connexion HTTP avec celui-ci. Ajoutez les domaines Purple spécifiques à la liste d'autorisation de pré-authentification dans la section Auth & Account de Ruijie. Vérifiez également qu'un serveur DNS valide est attribué via DHCP au VLAN invité.

Q2. Un directeur informatique de stade souhaite déployer des AP Ruijie pour le WiFi des supporters lors des événements. Il souhaite collecter des données marketing mais craint que l'authentification RADIUS ne provoque des ralentissements lorsque 10 000 supporters se connecteront simultanément au cours des 30 premières minutes suivant l'ouverture des portes. Comment doit-il concevoir le flux d'authentification pour équilibrer la capture de données et l'expérience utilisateur ?

Conseil : Considérez le compromis entre la richesse des données collectées et la fluidité de l'authentification à grande échelle.

Voir la réponse type

Il doit utiliser le One-Click Login de Purple pour les supporters récurrents déjà authentifiés auparavant, ce qui évite de remplir à nouveau le formulaire et réduit la charge RADIUS. Pour les nouveaux supporters, un formulaire de capture d'e-mail minimal est préférable à une connexion via les réseaux sociaux, qui nécessite des allers-retours OAuth supplémentaires. La passerelle Ruijie doit être dimensionnée pour gérer les requêtes RADIUS simultanées - pour 10 000 connexions simultanées, une passerelle haute capacité de la série RG-EG est requise. L'activation de la connexion automatique transparente (Seamless Online) avec une durée de session de 30 jours permet aux supporters de se connecter automatiquement lors des événements suivants. Les limites de QoS doivent être strictes (5 Mbps par appareil) pour éviter que les premiers arrivés ne saturent la liaison avant l'arrivée de la foule.

Q3. Lors d'un audit de sécurité, un testeur d'intrusion accède au serveur de fichiers de l'entreprise alors qu'il est connecté au SSID "Guest WiFi" diffusé par un AP Ruijie. Le réseau invité utilise un Captive Portal correctement configuré. Comment résolvez-vous cette vulnérabilité critique ?

Conseil : L'authentification et la segmentation du réseau sont des problématiques distinctes. L'une n'implique pas l'autre.

Voir la réponse type

Le Captive Portal fonctionne correctement, mais l'isolation VLAN est manquante ou mal configurée. Le SSID invité redirige les utilisateurs authentifiés vers le VLAN de l'entreprise ou le VLAN natif, qui dispose d'un accès de routage vers les serveurs internes. Vous devez : (1) créer un VLAN invité dédié (par exemple, le VLAN 50) sur le commutateur central ; (2) attribuer le SSID invité au VLAN 50 dans le contrôleur Ruijie ; (3) configurer les ports du commutateur connectant les AP comme des trunks 802.1Q autorisant le VLAN 50 ; (4) configurer la passerelle Ruijie pour bloquer le routage entre le VLAN 50 et tous les sous-réseaux de l'entreprise, en autorisant uniquement le trafic vers Internet depuis le VLAN invité. L'authentification et la segmentation réseau sont des contrôles indépendants - les deux doivent être correctement configurés.

Q4. Votre déploiement Ruijie a activé l'option Portal Escape. Lors d'une fenêtre de maintenance planifiée sur les serveurs RADIUS de Purple, vous remarquez que les invités accèdent à Internet sans s'authentifier. Est-ce un comportement attendu, et quelles en sont les implications en matière de conformité ?

Conseil : Considérez l'objectif de la fonctionnalité Portal Escape et vos obligations réglementaires liées au GDPR.

Voir la réponse type

Oui, il s'agit du comportement attendu de la fonctionnalité Portal Escape. Lorsque le serveur du portail est inaccessible, Ruijie libère automatiquement le trafic pour maintenir la connectivité. Cependant, cela crée un écart de conformité : les utilisateurs accèdent à Internet sans donner leur consentement pour le traitement des données, ce qui peut violer les exigences du GDPR si vos conditions d'utilisation ou la capture de données sont liées à l'événement d'authentification. Pour les établissements où la capture du consentement est une exigence légale ou commerciale, la fonction Portal Escape doit être désactivée. Planifiez la maintenance des serveurs RADIUS pendant les périodes d'activité minimale des invités, et communiquez la fenêtre de maintenance à la direction de l'établissement. Envisagez d'implémenter un serveur RADIUS Purple secondaire comme solution de secours pour éliminer complètement ce scénario.