Guide étape par étape : Configuration des contrôleurs sans fil Ruijie pour les Captive Portals WiFi invités

Ce guide propose un parcours technique complet pour configurer les contrôleurs sans fil et les passerelles Ruijie afin de déployer des Captive Portals WiFi invités de classe entreprise. Il couvre la segmentation VLAN, l'authentification RADIUS externe via le protocole WISPr, la configuration du walled garden, et l'intégration transparente avec la plateforme Identity-Based Networks de Purple pour capturer des données de première partie et générer une valeur commerciale mesurable dans les secteurs de l'hôtellerie, du commerce de détail et du secteur public.

📖 8 min de lecture📝 1,834 mots🔧 2 exemples concrets❓ 4 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans la série de briefings techniques de Purple. Aujourd'hui, nous abordons l'un des sujets les plus recherchés dans le domaine du sans-fil d'entreprise : comment configurer les contrôleurs sans fil Ruijie pour des Captive Portals WiFi invités sécurisés. Je suis votre hôte, et voici un briefing de dix minutes conçu pour les responsables informatiques, les architectes réseau et les directeurs d'exploitation de sites qui ont besoin de réussir cette mise en œuvre dès le premier coup.

Commençons par le contexte. Si vous gérez l'informatique d'un hôtel, d'une chaîne de magasins, d'un centre de conférences ou d'un grand espace public, le WiFi invité n'est plus un simple service de confort. C'est une exigence opérationnelle fondamentale. Les clients s'y attendent. Les régulateurs vous imposent de gérer leurs données de manière responsable. Et votre équipe marketing souhaite exploiter les données de première partie qu'il génère. Le défi consiste à le déployer de manière sécurisée sur un parc distribué, à grande échelle, sans créer de casse-tête en matière de conformité.

Ruijie Networks est l'un des plus grands fournisseurs de réseaux d'entreprise au monde, avec une base installée importante dans les secteurs de l'hôtellerie, du commerce de détail et du secteur public. Leurs contrôleurs sans fil de la série RG-WS et leurs passerelles de la série RG-EG sont des plateformes performantes pour le WiFi invité d'entreprise, mais la configuration du Captive Portal nécessite une exécution précise. Si vous vous trompez, vous vous retrouverez soit avec une faille de sécurité, soit avec un portail qui ne fonctionne tout simplement pas.

Entrons maintenant dans l'architecture technique. La base absolue de tout réseau invité sécurisé est l'isolation du trafic. Vous ne pouvez pas avoir d'appareils invités sur le même segment de réseau que vos terminaux de paiement, les ordinateurs portables de votre personnel ou vos serveurs administratifs. Le mécanisme pour cela est la segmentation VLAN. Dans un environnement Ruijie, vous créez un VLAN invité dédié sur votre commutateur central, lui attribuez un sous-réseau IP distinct, et le connectez en trunk à vos points d'accès. Un déploiement typique peut utiliser le VLAN dix pour l'entreprise, le VLAN vingt pour la voix, le VLAN trente pour les invités et le VLAN quatre-vingt-dix-neuf pour la gestion. C'est non négociable. Si vous sautez cette étape, vous obtenez un WiFi pratique, pas un WiFi sécurisé.

Une fois le réseau correctement segmenté, nous passons à l'authentification. Une clé pré-partagée unique ne relève pas de la sécurité d'entreprise. Elle n'offre aucune responsabilisation, aucun suivi individuel des sessions et aucun moyen de révoquer l'accès d'un seul utilisateur sans changer le mot de passe pour tout le monde. À la place, nous utilisons un Captive Portal externe avec authentification RADIUS.

Voici comment fonctionne le flux. Un invité se connecte au SSID ouvert diffusé par le point d'accès Ruijie. La passerelle Ruijie intercepte son trafic HTTP et émet une redirection vers une page de connexion externe — dans ce cas, hébergée par Purple. L'invité voit une page de connexion personnalisée. Il s'authentifie, par exemple via une inscription par e-mail, une connexion sociale ou une acceptation en un clic. Les serveurs de Purple traitent cette authentification et renvoient un message RADIUS Accept au contrôleur Ruijie. Le contrôleur accorde alors l'accès Internet à l'appareil. L'ensemble de ce flux utilise le protocole WISPr, qui est le framework standard pour l'authentification par Captive Portal externe dans les réseaux sans fil d'entreprise.

La valeur commerciale ici est significative. Chaque événement d'authentification capture un enregistrement de consentement. La plateforme de Purple stocke ces données de manière conforme au GDPR et à la CCPA, constitue une base de données marketing de première partie et fournit des analyses à votre équipe. Harrods a utilisé cette approche pour promouvoir son programme de fidélité et a obtenu un retour sur investissement de cinquante-sept fois. c2c Rail a obtenu un retour sur investissement de cent vingt et un pour cent et a économisé soixante-seize mille livres en coûts opérationnels. C'est l'argument commercial pour faire les choses correctement.

Passons maintenant en revue les étapes de configuration spécifiques dans Ruijie Cloud ou dans l'interface du contrôleur local.

Étape une : créer le SSID invité. Connectez-vous à Ruijie Cloud ou à votre contrôleur local. Naviguez vers Device Config, sélectionnez Wi-Fi sous Wireless, et créez un nouveau SSID. Donnez-lui un nom clair, comme Free Guest WiFi. Définissez le mode de sécurité sur Open, et attribuez-le à votre VLAN invité.

Étape deux : définir la politique de Captive Portal. Naviguez vers Auth and Account, puis sélectionnez Captive Portal sous Authentication. Créez une nouvelle politique. Définissez le Policy Mode sur External. Définissez l'Authentication Device sur votre passerelle ou point d'accès Ruijie. Sélectionnez le SSID invité. Dans le champ Portal Server URL, saisissez l'URL de votre page de connexion Purple. Saisissez les adresses IP du serveur RADIUS de Purple.

Étape trois : configurer le Walled Garden, que Ruijie appelle l'Allowlist. C'est l'élément le plus fréquemment mal configuré dans un déploiement de Captive Portal. Le Walled Garden définit le trafic qui peut passer avant que l'utilisateur ne s'authentifie. Si vous n'autorisez pas explicitement les domaines de Purple, la page de connexion ne se chargera pas. Si vous proposez la connexion via Facebook ou Google mais n'autorisez pas leurs domaines OAuth, l'authentification se bloquera sur le bouton de connexion sociale. Ajoutez tous les domaines d'infrastructure Purple requis, ainsi que tous les domaines de fournisseurs sociaux que vous prévoyez de prendre en charge.

Étape quatre : configurer RADIUS. Ajoutez les adresses IP des serveurs RADIUS principal et secondaire de Purple. Saisissez le secret partagé depuis votre tableau de bord Purple. Assurez-vous que la comptabilité RADIUS est activée sur le port 1813. Cela permet à Purple de suivre précisément la durée des sessions et l'utilisation des données, ce qui alimente directement vos rapports d'analyse.

Étape cinq : appliquer les politiques QoS. Un accès invité non restreint peut saturer votre liaison Internet. Définissez des limites strictes de bande passante par utilisateur sur la passerelle Ruijie — généralement de cinq à dix mégabits en descente et de deux à cinq en montée pour un déploiement hôtelier standard. Cela protège l'expérience de tous les invités et empêche un seul appareil de dégrader le réseau.

Abordons maintenant les pièges critiques de mise en œuvre.

Le premier est le Walled Garden. Je ne saurais trop insister sur la fréquence à laquelle il est la cause première d'un échec de déploiement. Testez votre portail depuis un appareil propre sans identifiants mis en cache. Si la page ne se charge pas, vérifiez d'abord votre liste d'autorisation.

Le deuxième piège est le paramètre Portal Escape. Cette fonctionnalité de Ruijie libère automatiquement le trafic utilisateur si le point d'accès et le serveur de portail deviennent inaccessibles. Cela semble utile, mais cela signifie que des utilisateurs non authentifiés accèdent à Internet en cas de panne. Dans un environnement d'entreprise où la capture du consentement est une exigence légale, vous souhaitez désactiver cette option pour imposer une authentification stricte à tout moment.

Le troisième piège concerne les versions de firmware. Certaines fonctionnalités de Captive Portal — en particulier concernant les contrôles de bande passante et l'attribution dynamique de VLAN — nécessitent des versions de firmware spécifiques sur la passerelle Ruijie. Vérifiez les notes de mise à jour de Ruijie avant de déployer et assurez-vous que vos appareils exécutent une version de firmware prise en charge.

Passons maintenant à des questions rapides.

Dois-je gérer le Captive Portal sur le point d'accès ou sur la passerelle ? Dans un déploiement d'entreprise Ruijie, gérez-le au niveau de la passerelle. Les passerelles de la série RG-EG sont conçues pour gérer l'interception du portail externe et appliquer les politiques QoS. Les points d'accès se concentrent sur les performances RF et la diffusion du SSID.

Puis-je exécuter plusieurs Captive Portals sur différents SSID ? Oui. Ruijie prend en charge plusieurs politiques de Captive Portal mappées sur différents SSID. Vous pourriez avoir un portail invité standard sur un SSID et un portail payant premium sur un autre, chacun avec des limites de bande passante et des méthodes d'authentification différentes.

Comment gérer un déploiement multi-site ? Utilisez Ruijie Cloud pour gérer la configuration de manière centralisée. Vous pouvez déployer des politiques de portail sur tous les sites simultanément, garantissant ainsi la cohérence et éliminant les dérives de configuration par site.

Pour résumer les points clés à retenir. Segmentez votre trafic avec des VLAN avant de faire quoi que ce soit d'autre. Utilisez l'authentification RADIUS externe pour capturer des données de première partie conformes. Configurez votre Walled Garden méticuleusement et testez-le depuis un appareil propre. Prenez une décision délibérée concernant Portal Escape en fonction de vos exigences de conformité. Appliquez la QoS pour protéger l'expérience utilisateur. Et intégrez votre infrastructure Ruijie avec la plateforme Identity-Based Networks de Purple pour transformer une simple connexion en un actif sécurisé, axé sur les données et générateur de revenus.

Purple est présent dans plus de quatre-vingt mille sites actifs, a traité quatre cent quarante millions de connexions en 2024 et détient les certifications ISO 27001, GDPR, CCPA et Cyber Essentials. Nous sommes indépendants du matériel, ce qui signifie que votre investissement Ruijie est entièrement compatible avec notre plateforme cloud.

Merci pour votre écoute. Si vous souhaitez découvrir comment Purple s'intègre à votre parc Ruijie, visitez purple point ai slash guest tiret wifi. Déployez en toute sécurité, et à bientôt pour un prochain briefing.

Points clés à retenir

✓Segmentez le trafic invité sur un VLAN dédié avant de configurer les paramètres du portail — l'isolation du réseau est la base, pas une réflexion après coup.
✓Utilisez l'authentification RADIUS externe plutôt que des mots de passe partagés ; l'authentification individuelle permet une capture de données conforme au GDPR et la responsabilisation des sessions.
✓Configurez méticuleusement le walled garden (liste d'autorisation) et testez-le depuis un appareil propre — les listes d'autorisation mal configurées sont la cause principale des échecs de portail et des blocages de connexion sociale.
✓Dans les déploiements d'entreprise Ruijie, la passerelle RG-EG gère l'interception du portail et la QoS ; les points d'accès RG-AP diffusent le SSID et imposent le marquage VLAN.
✓Prenez une décision délibérée concernant Portal Escape : activez-le pour les environnements privilégiant la disponibilité comme les hôtels, désactivez-le pour les environnements privilégiant la conformité comme la santé ou le commerce de détail.
✓L'intégration du matériel Ruijie avec la plateforme Identity-Based Networks de Purple transforme une connectivité de base en un actif conforme, axé sur l'analyse et générateur de revenus.
✓Purple est présent dans plus de 80 000 sites et a traité 440 millions de connexions en 2024 — les modèles d'intégration de ce guide ont fait leurs preuves à l'échelle de l'entreprise.

Résumé exécutif

Le déploiement du WiFi invité au sein d'une entreprise distribuée nécessite plus qu'un simple SSID ouvert. Pour les responsables informatiques et les architectes réseau, le défi consiste à équilibrer un accès transparent avec une sécurité stricte, la conformité au GDPR et les exigences de capture de données. Ce guide détaille les étapes de configuration exactes pour déployer un Captive Portal sécurisé et évolutif à l'aide de contrôleurs sans fil et de passerelles Ruijie — et montre comment l'intégration de cette infrastructure avec la plateforme WiFi invité de Purple transforme une simple connexion sans fil en un actif conforme et générateur de revenus.

Nous couvrons les prérequis techniques, les stratégies de segmentation VLAN, l'authentification RADIUS externe via le protocole WISPr, la configuration du walled garden et les paramètres QoS spécifiques requis pour un déploiement en production. Que vous gériez un hôtel de 200 chambres, une chaîne de magasins de 50 points de vente ou un stade de 40 000 spectateurs, ce guide fournit le modèle de référence pour une configuration sécurisée du Captive Portal Ruijie. Purple est présent dans plus de 80 000 sites actifs et a traité 440 millions de connexions en 2024 (données internes de Purple), les modèles d'intégration décrits ici ont donc fait leurs preuves à grande échelle.

Architecture technique et prérequis

Avant de modifier votre contrôleur Ruijie, établissez l'architecture réseau appropriée. Un réseau invité sécurisé exige une isolation complète du trafic d'entreprise au niveau de la couche 2 — le niveau du commutateur.

Segmentation du réseau

La base d'un WiFi invité sécurisé est l'isolation VLAN. Vous devez créer un VLAN invité dédié sur votre passerelle ou commutateur central Ruijie. Cela garantit que le trafic invité ne croise jamais les systèmes internes, les terminaux de paiement ou les appareils du personnel. Un schéma VLAN d'entreprise standard pour un déploiement Ruijie ressemble à ceci :

ID VLAN	Usage	Notes
10	Entreprise	Appareils du personnel, serveurs internes
20	Voix	Postes VoIP
30	Invité	Captive Portal, Internet uniquement
40	IoT	Imprimantes, téléviseurs connectés, capteurs
99	Gestion	Contrôleur, gestion des commutateurs

Pour en savoir plus sur les raisons pour lesquelles les approches grand public échouent ici, lisez Pourquoi les équipements WiFi grand public n'ont pas leur place sur votre réseau invité .

Composants requis

Pour mener à bien ce déploiement, vous avez besoin de :

Un compte Ruijie Cloud ou un contrôleur sans fil local Ruijie de la série RG-WS (par exemple, RG-WS6008 ou RG-WS7110).
Une passerelle Ruijie de la série RG-EG — requise pour l'authentification par portail externe via WISPr.
Des points d'accès Ruijie de la série RG-AP (par exemple, RG-AP820-I, RG-AP850-AR).
Une licence Purple Connect, Capture ou Engage.
Un accès UDP sortant sur les ports 1812 (authentification RADIUS) et 1813 (comptabilité RADIUS) depuis la passerelle vers les serveurs de Purple.

Présentation du protocole d'authentification

Ruijie prend en charge plusieurs méthodes d'authentification. Les déploiements d'entreprise doivent utiliser l'authentification RADIUS externe. Cette approche utilise le protocole WISPr (Wireless Internet Service Provider roaming) pour rediriger en toute sécurité les utilisateurs non authentifiés vers la page de connexion de Purple, traiter leurs identifiants et renvoyer un message RADIUS Accept ou Reject au contrôleur Ruijie.

Le tableau ci-dessus résume les cinq méthodes d'authentification disponibles sur les plateformes Ruijie. L'inscription par e-mail et la connexion via les réseaux sociaux sont les choix les plus courants pour les environnements de l'hôtellerie et du commerce de détail, car elles permettent de capturer des données de première partie structurées et conformes au GDPR. Les codes de coupon conviennent aux salles de conférence et aux niveaux d'accès payants. Le protocole RADIUS avec 802.1X est réservé aux réseaux du personnel nécessitant une identité basée sur un annuaire.

Guide de mise en œuvre étape par étape

Suivez ces étapes dans l'interface de Ruijie Cloud ou du contrôleur local. Les chemins d'accès à l'interface utilisateur ci-dessous s'appliquent à la nouvelle interface de Ruijie Cloud (post-2024) et à la plateforme Ruijie JaCS.

Étape 1 : Configurer le SSID invité

Établissez le réseau de diffusion sans fil.

Connectez-vous à Ruijie Cloud ou à l'interface web du contrôleur local.
Naviguez vers Device Config et sélectionnez Wi-Fi sous la section Wireless.
Cliquez sur + pour créer un nouveau SSID, ou modifiez-en un existant.
Définissez le SSID Name (par exemple, "Free Guest WiFi").
Définissez le Security Mode sur Open — pas de clé pré-partagée.
Attribuez le SSID à votre VLAN invité dédié (par exemple, le VLAN 30).
Enregistrez la configuration du SSID.

Étape 2 : Définir la politique de Captive Portal

Indiquez au contrôleur d'intercepter le trafic invité et de le rediriger vers Purple.

Naviguez vers Auth & Account et sélectionnez Captive Portal sous Authentication.
Créez une nouvelle politique. Définissez un Policy Name descriptif (par exemple, "Purple-Guest-Portal").
Définissez le Policy Mode sur External.
Définissez l'Authentication Device sur votre passerelle Ruijie (série RG-EG) ou votre point d'accès.
Sélectionnez le SSID invité créé à l'étape 1.
Dans le champ Portal Server URL, saisissez l'URL spécifique de votre page de connexion Purple (disponible dans votre tableau de bord Purple sous Configuration du matériel).
Saisissez les adresses IP du serveur RADIUS de Purple dans les champs prévus à cet effet.
Définissez la durée de Seamless Online pour qu'elle corresponde à votre politique d'expiration de session (par exemple, 24 heures pour l'hôtellerie, une heure pour le commerce de détail).
Décidez du comportement de Portal Escape — voir la section Bonnes pratiques ci-dessous.

Étape 3 : Configurer le walled garden (liste d'autorisation)

Un Captive Portal intercepte tout le trafic jusqu'à ce que l'utilisateur s'authentifie. Certains trafics doivent passer par la pré-authentification pour permettre à la page de connexion de se chargeret traiter les connexions via les réseaux sociaux. Il s'agit de l'élément le plus fréquemment mal configuré dans tout déploiement de Captive Portal.

Accédez à Auth & Account et sélectionnez Allowlist.
Ajoutez tous les domaines d'infrastructure Purple requis. Votre tableau de bord Purple fournit la liste exacte pour votre région.
Si vous proposez la connexion via les réseaux sociaux, ajoutez les domaines OAuth pour chaque fournisseur :
- Pour Microsoft Entra ID : *.microsoft.com, *.microsoftonline.com, login.live.com
- Pour Google Workspace : *.google.com, accounts.google.com
- Pour Okta : votre domaine de tenant Okta spécifique
Ajoutez les domaines des processeurs de paiement si vous proposez des forfaits WiFi payants.
Enregistrez et appliquez l'allowlist.

Étape 4 : Configurer l'authentification RADIUS

Configurez le canal de communication sécurisé entre Ruijie et Purple.

Accédez aux paramètres du serveur RADIUS dans votre contrôleur ou passerelle Ruijie.
Ajoutez l'adresse IP du serveur RADIUS Purple principal et le port 1812 pour l'authentification.
Ajoutez l'adresse IP du serveur RADIUS Purple secondaire comme solution de secours (failover).
Saisissez le Shared Secret de votre tableau de bord Purple. Il doit correspondre exactement.
Ajoutez le serveur de comptabilité (accounting) sur le port 1813 et activez la comptabilité RADIUS. Cela permet de suivre la durée des sessions et l'utilisation des données, alimentant directement les rapports WiFi Analytics de Purple.
Définissez le NAS Identifier sur une chaîne explicite (par exemple, le nom de votre établissement) pour distinguer le trafic dans les analyses de Purple.

Étape 5 : Appliquer les politiques de QoS

Un accès invité non restreint peut saturer votre liaison internet pendant les périodes de pointe.

Accédez à la section de gestion de la QoS ou de la bande passante de votre passerelle Ruijie.
Définissez des limites de téléchargement (download) par utilisateur (par exemple, 10 Mbps pour les clients d'un hôtel, 5 Mbps pour les clients d'un magasin).
Définissez des limites de téléversement (upload) par utilisateur (par exemple, 2 à 5 Mbps).
Désactivez Client Escape pour vous assurer que les utilisateurs non authentifiés ne puissent pas accéder au réseau si le serveur du portail est temporairement inaccessible.
Enregistrez et déployez la configuration sur tous les appareils concernés.

Étape 6 : Tester le déploiement

Testez toujours à partir d'un appareil propre, sans identifiants mis en cache.

Connectez un appareil mobile au SSID invité.
Ouvrez un navigateur et accédez à une URL non HTTPS (par exemple, http://example.com). Le portail devrait vous rediriger.
Vérifiez que la page d'accueil (splash page) Purple se charge correctement.
Terminez le flux d'authentification.
Confirmez que l'accès à internet est accordé après l'authentification.
Vérifiez le tableau de bord Purple pour confirmer que la session apparaît dans vos analyses.

Bonnes pratiques pour le déploiement en entreprise

Sécurité et conformité

Ne vous fiez jamais à une clé PSK partagée pour l'accès invité. Les mots de passe partagés n'offrent aucune traçabilité et sont impossibles à révoquer pour un seul utilisateur. En utilisant le Captive Portal de Purple avec une authentification individuelle, vous imposez un consentement explicite pour le traitement des données, répondant ainsi aux exigences de l'article 7 du GDPR. Purple détient les certifications ISO 27001, GDPR, CCPA et Cyber Essentials, garantissant que le mécanisme de capture des données lui-même est auditable.

Pour un aperçu plus approfondi de l'architecture de sécurité, lisez notre Sécurité WiFi en entreprise : un guide complet pour 2026 et Qu'est-ce qu'un WiFi sécurisé : guide essentiel pour les entreprises 2026 .

Portal Escape : une décision délibérée

La fonctionnalité Portal Escape de Ruijie libère automatiquement le trafic des utilisateurs si le point d'accès (AP) et le serveur du portail deviennent inaccessibles. Dans le secteur de l'hôtellerie, vous pouvez choisir de l'activer : un client privé de WiFi lors d'une micro-coupure de serveur génère des plaintes. Dans un environnement de vente au détail ou de santé, vous pouvez choisir de la désactiver : un accès non authentifié représente un risque de conformité et de sécurité. Documentez votre décision et sa justification dans votre cahier d'exploitation réseau (runbook).

Cohérence multi-site

Utilisez Ruijie Cloud pour gérer la configuration de manière centralisée sur tous les sites. Déployez les politiques de portail simultanément pour éliminer les dérives de configuration par site, qui sont la cause la plus fréquente d'expériences invités incohérentes sur un parc distribué. La superposition cloud de Purple fonctionne sur le même principe : un seul tableau de bord, tous les sites.

Gestion des firmwares

Certaines fonctionnalités du Captive Portal de Ruijie, en particulier les contrôles de bande passante et l'attribution dynamique de VLAN, nécessitent des versions de firmware spécifiques sur la passerelle. Les notes de mise à jour de Ruijie documentent ces dépendances. Assurez-vous que vos passerelles RG-EG exécutent le firmware RGOS11.9(6)B17T1 ou supérieur pour une prise en charge complète de la QoS sur les déploiements gérés dans le cloud.

Dépannage et atténuation des risques

Échec du chargement de la page du portail

Si le Captive Portal n'apparaît pas lorsqu'un appareil se connecte, vérifiez d'abord vos paramètres de walled garden (espace sécurisé). L'appareil doit résoudre le DNS et atteindre l'URL du portail Purple avant l'authentification. Vérifiez que votre allowlist Ruijie inclut tous les domaines nécessaires et que votre serveur DNS est accessible depuis le VLAN invité.

Délais d'attente d'authentification (timeouts)

Si les utilisateurs voient le portail mais ne peuvent pas se connecter, le problème réside généralement dans la configuration RADIUS. Vérifiez les adresses IP du serveur RADIUS, les ports (1812 pour l'authentification, 1813 pour la comptabilité) et le secret partagé (shared secret). Assurez-vous que votre pare-feu autorise le trafic UDP sortant sur ces ports depuis l'IP de gestion de la passerelle Ruijie.

Blocage de la connexion via les réseaux sociaux

Si les utilisateurs cliquent sur un bouton de connexion sociale et que rien ne se produit, la redirection OAuth est bloquée. Ajoutez les domaines des fournisseurs sociaux requis à votre allowlist Ruijie. Testez en autorisant temporairement tout le trafic avant l'authentification pour confirmer que le portail fonctionne, puis restreignez l'allowlist progressivement.

Échecs d'attribution dynamique de VLAN

Si vous utilisez RADIUS pour attribuer dynamiquement des utilisateurs à des VLAN, assurez-vous que la réponse RADIUS inclut les attributs VLAN corrects (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID). Les passerelles Ruijie RG-EG310GH-E et similaires prennent en charge l'attribution dynamique de VLAN, mais cette fonctionnalité nécessite une configuration explicite à la fois sur le serveur RADIUS et sur la passerelle.

ROI et impact commercial

Le déploiement d'un Captive Portal sécurisé transforme le WiFi invité d'un centre de coûts en un actif stratégique. La plateforme WiFi Analytics de Purple, intégréeé à votre infrastructure Ruijie, capture des données first-party, constitue des listes de contacts à forte intention et fournit des informations exploitables sur le comportement des visiteurs dans l'ensemble de votre parc.

Harrods a utilisé le WiFi invité de Purple pour promouvoir son programme de fidélité, atteignant un taux d'opt-in leader sur le marché et un ROI de 57x (données clients Purple). c2c Rail a utilisé Purple pour encourager les réservations directes, obtenant un retour sur investissement de 121 % et économisant 76 000 £ en coûts opérationnels (données clients Purple). Pizza Express a déployé Purple dans plus de 470 restaurants pour créer des profils clients plus riches.

Pour les opérateurs du secteur de l' hôtellerie-restauration , les données capturées lors de la connexion (e-mail, données démographiques, fréquence des visites) alimentent directement les systèmes CRM et les programmes de fidélité. Pour les environnements de commerce de détail , les analyses de visites répétées identifient vos acheteurs à plus forte valeur. Pour les hubs de transport , les données sur les flux de passagers optimisent la planification du personnel et des espaces commerciaux.

Purple s'intègre à Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet – ainsi qu'à Ruijie – ce qui en fait la superposition cloud indépendante du matériel qui fonctionne avec votre parc existant plutôt que de le remplacer.

Guides connexes : Intégration des points d'accès Grandstream GWN avec Purple WiFi

Définitions clés

Captive Portal

Une page web qu'un utilisateur d'un réseau d'accès public doit consulter et avec laquelle il doit interagir avant de pouvoir accéder à Internet. Elle intercepte tout le trafic HTTP et redirige le navigateur de l'utilisateur vers la page du portail.

Le mécanisme central pour imposer l'authentification sur les réseaux WiFi invités. Utilisé dans les hôtels, les commerces, les stades et les espaces publics pour contrôler l'accès et recueillir le consentement.

Walled garden

Une liste d'autorisation de pré-authentification qui permet à des domaines et adresses IP spécifiques de contourner l'interception du Captive Portal. Le trafic vers ces destinations est autorisé avant que l'utilisateur ne s'authentifie.

Essentiel pour permettre aux appareils de charger la page de connexion, d'accéder aux fournisseurs de connexion sociale et de traiter les flux de paiement avant que l'utilisateur ne soit entièrement authentifié. Une mauvaise configuration à ce niveau est la cause principale des échecs de Captive Portal.

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour les utilisateurs se connectant à un service réseau.

Le protocole sécurisé utilisé par les contrôleurs Ruijie pour communiquer avec les serveurs de Purple. Les requêtes d'authentification vont vers le port 1812 (UDP) ; les enregistrements de comptabilité vont vers le port 1813 (UDP).

WISPr

Wireless Internet Service Provider roaming. Une spécification de protocole qui définit comment un Captive Portal redirige les utilisateurs non authentifiés vers une page de connexion et comment le contrôleur d'accès reçoit le résultat de l'authentification.

Le framework de protocole spécifique utilisé par Ruijie et Purple pour gérer la redirection et le flux d'authentification du Captive Portal externe. Requis pour le mode portail externe sur les passerelles Ruijie.

Isolation VLAN

La pratique consistant à séparer le trafic réseau en différents réseaux locaux virtuels (VLAN) au niveau du commutateur, empêchant les appareils situés sur des VLAN différents de communiquer directement.

Non négociable pour les réseaux invités. Garantit que les appareils des invités ne peuvent pas communiquer avec les serveurs de l'entreprise, les ordinateurs portables du personnel ou les terminaux de paiement, même s'ils sont connectés à la même infrastructure physique.

Portal Escape

Une fonctionnalité Ruijie qui libère automatiquement le trafic utilisateur si le point d'accès et le serveur de portail deviennent inaccessibles, permettant un accès Internet non authentifié pendant une panne.

Un compromis délibéré entre disponibilité et sécurité. Les exploitants hôteliers peuvent l'activer pour éviter les plaintes des clients en cas de panne. Les exploitants du secteur de la santé et du commerce de détail le désactivent généralement pour imposer une authentification stricte à tout moment.

SSID

Service Set Identifier. Le nom public d'un réseau sans fil que les appareils affichent dans leur liste de réseaux disponibles.

Le nom de réseau que les invités sélectionnent sur leurs appareils, ce qui déclenche la redirection vers le Captive Portal. Chaque SSID dans un déploiement Ruijie est mappé sur un VLAN et une politique d'authentification spécifiques.

QoS

Qualité de Service. Un ensemble de technologies qui gèrent le trafic de données pour réduire la perte de paquets, la latence et la gigue, et pour garantir des performances prévisibles pour des types de trafic spécifiques.

Utilisé dans les réseaux invités pour limiter la bande passante par utilisateur, empêchant un seul appareil de saturer la liaison Internet et de dégrader l'expérience de tous les autres utilisateurs connectés.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, fournissant un mécanisme d'authentification pour les appareils se connectant à un réseau local (LAN) ou sans fil (WLAN).

Utilisé pour les réseaux du personnel nécessitant une identité basée sur un annuaire (par exemple, via Microsoft Entra ID ou Okta). Généralement non utilisé pour les réseaux invités, où un Captive Portal avec RADIUS est le modèle approprié.

Exemples concrets

Un hôtel de 250 chambres utilise des points d'accès Ruijie RG-AP820-I et une passerelle RG-EG310GH-E. Ils exigent que les invités s'authentifient par e-mail pour constituer une base de données marketing. La direction s'inquiète du fait que les invités puissent contourner le portail et de la saturation de la bande passante aux heures de pointe lors des conférences.

L'équipe informatique crée un VLAN invité dédié (VLAN 40) sur le commutateur central et le connecte en trunk à la passerelle et aux points d'accès Ruijie. Dans Ruijie Cloud, elle crée un SSID ouvert mappé sur le VLAN 40. Elle configure une politique de Captive Portal externe pointant vers l'URL de la page de connexion Purple, avec l'URL du serveur de portail et les identifiants RADIUS du tableau de bord Purple. De manière cruciale, elle configure le Walled Garden pour autoriser le trafic uniquement vers les domaines de Purple et désactive la fonctionnalité Portal Escape sur la passerelle Ruijie, empêchant ainsi tout accès non authentifié en cas de panne du portail. Elle applique une politique QoS limitant chaque client à 10 Mbps en descente et 3 Mbps en montée. Pour les conférences, elle crée un SSID distinct sur le VLAN 50 avec un portail basé sur des coupons et des limites de bande passante plus strictes de 5 Mbps par appareil.

Commentaire de l'examinateur : Cette approche isole correctement le trafic invité au niveau de la couche 2, impose une authentification RADIUS externe pour une capture de données conforme au GDPR, et applique des contrôles de bande passante proportionnels au cas d'usage. La désactivation de Portal Escape est une décision de sécurité délibérée qui empêche l'accès non authentifié lors des perturbations du réseau. Le SSID de conférence distinct avec authentification par coupon est un modèle pratique pour les sites qui accueillent à la fois des invités de passage et des participants à des événements ayant des exigences d'accès différentes.

Une chaîne de magasins de 50 points de vente utilise des contrôleurs Ruijie WS6008. Ils mettent en œuvre la connexion via les réseaux sociaux (Facebook et Google Workspace) pour les clients accédant au WiFi, mais la page du portail se fige lorsque les utilisateurs cliquent sur les boutons de connexion sociale. Le problème affecte les 50 sites simultanément.

Le responsable informatique identifie que la configuration de la liste d'autorisation (Walled Garden) sur les contrôleurs Ruijie ne contient pas les domaines OAuth requis par Facebook et Google. Bien que l'URL du portail Purple ait été correctement autorisée, les domaines des fournisseurs sociaux nécessaires à la liaison OAuth étaient bloqués par l'interception du Captive Portal. L'équipe ajoute les domaines génériques requis - spécifiquement *.facebook.com, *.fbcdn.net, accounts.google.com et *.googleapis.com - à la liste d'autorisation Ruijie. Elle déploie la configuration mise à jour sur les 50 sites simultanément via Ruijie Cloud, résolvant ainsi le problème sur l'ensemble du parc en une seule opération.

Commentaire de l'examinateur : Une mauvaise configuration du walled garden est la cause la plus fréquente d'échec de la connexion sociale dans les déploiements de Captive Portal. Le Captive Portal doit explicitement autoriser le trafic de pré-authentification vers les domaines OAuth des fournisseurs d'identité, sinon le processus de redirection ne peut pas aboutir. L'utilisation de Ruijie Cloud pour le déploiement centralisé de la configuration est la bonne approche pour un parc multi-site — une configuration manuelle site par site sur 50 emplacements serait source d'erreurs et chronophage.

Questions d'entraînement

Q1. Vous avez configuré un Captive Portal externe sur une passerelle Ruijie RG-EG. Les invités se connectent au SSID, mais leurs appareils indiquent 'Pas de connexion Internet' et la page du portail ne se charge jamais. Quelle est l'erreur de configuration la plus probable et comment la résoudre ?

Conseil : Pensez aux opérations réseau qui doivent réussir avant même que l'utilisateur ne puisse voir la page de connexion.

Voir la réponse type

Le walled garden (liste d'autorisation) est mal configuré. La passerelle Ruijie bloque la résolution DNS ou le trafic HTTP requis pour atteindre l'URL externe de la page de connexion Purple. Avant l'authentification, l'appareil doit être capable de résoudre le domaine du portail et d'établir une connexion HTTP avec celui-ci. Ajoutez les domaines Purple spécifiques à la liste d'autorisation de pré-authentification dans la section Auth & Account de Ruijie. Vérifiez également qu'un serveur DNS valide est attribué au VLAN invité via DHCP.

Q2. Le directeur informatique d'un stade souhaite déployer des points d'accès Ruijie pour le WiFi des supporters pendant les événements. Il souhaite collecter des données marketing mais craint que l'authentification RADIUS ne provoque des ralentissements lorsque 10 000 supporters se connectent simultanément au cours des 30 premières minutes de l'ouverture des portes. Comment doit-il concevoir le flux d'authentification pour équilibrer la capture de données et l'expérience utilisateur ?

Conseil : Considérez le compromis entre la richesse des données et la friction d'authentification à grande échelle.

Voir la réponse type

Ils devraient utiliser la connexion en un clic (One-Click Login) de Purple pour les supporters fidèles qui se sont déjà authentifiés, ce qui évite de remplir le formulaire et réduit la charge RADIUS. Pour les nouveaux supporters, un formulaire de capture d'e-mail minimal est préférable à la connexion sociale, qui nécessite des allers-retours OAuth supplémentaires. La passerelle Ruijie doit être dimensionnée pour gérer les requêtes RADIUS simultanées — pour 10 000 connexions simultanées, une passerelle de la série RG-EG à haute capacité est requise. L'activation de Seamless Online avec une durée de session de 30 jours permet aux supporters de retour de se connecter automatiquement lors des événements suivants. Les limites QoS doivent être strictes (5 Mbps par appareil) pour empêcher les premiers arrivés de saturer la liaison avant l'arrivée de la foule principale.

Q3. Lors d'un audit de sécurité, un testeur d'intrusion accède au serveur de fichiers de l'entreprise tout en étant connecté au SSID 'Guest WiFi' diffusé par un point d'accès Ruijie. Le réseau invité utilise un Captive Portal correctement configuré. Comment résolvez-vous cette vulnérabilité critique ?

Conseil : L'authentification et la segmentation du réseau sont des préoccupations distinctes. L'une n'implique pas l'autre.

Voir la réponse type

Le Captive Portal fonctionne correctement, mais l'isolation VLAN est absente ou mal configurée. Le SSID invité place les utilisateurs authentifiés sur le VLAN de l'entreprise ou le VLAN natif, qui dispose d'un accès de routage vers les serveurs internes. Vous devez : (1) créer un VLAN invité dédié (par exemple, le VLAN 50) sur le commutateur central ; (2) attribuer le SSID invité au VLAN 50 dans le contrôleur Ruijie ; (3) configurer les ports du commutateur connectant les points d'accès en tant que trunks 802.1Q autorisant le VLAN 50 ; (4) configurer la passerelle Ruijie pour bloquer le routage entre le VLAN 50 et tous les sous-réseaux de l'entreprise, en autorisant uniquement le trafic vers Internet depuis le VLAN invité. L'authentification et la segmentation du réseau sont des contrôles indépendants — les deux doivent être correctement configurés.

Q4. Votre déploiement Ruijie a activé Portal Escape. Pendant une fenêtre de maintenance planifiée sur les serveurs RADIUS de Purple, vous remarquez que les invités accèdent à Internet sans s'authentifier. Est-ce un comportement attendu, et quelles sont les implications en matière de conformité ?

Conseil : Considérez l'objectif de Portal Escape et vos obligations liées au GDPR.

Voir la réponse type

Oui, c'est le comportement attendu de Portal Escape. Lorsque le serveur de portail est inaccessible, Ruijie libère automatiquement le trafic pour maintenir la connectivité. Cependant, cela crée un écart de conformité : les utilisateurs accèdent à Internet sans donner leur consentement pour le traitement des données, ce qui peut enfreindre les exigences du GDPR si vos conditions d'utilisation ou la capture de données sont liées à l'événement d'authentification. Pour les sites où la capture du consentement est une exigence légale ou commerciale, Portal Escape doit être désactivé. Planifiez la maintenance du serveur RADIUS pendant les périodes d'activité minimale des invités et communiquez la fenêtre de maintenance à la direction du site. Envisagez de mettre en œuvre un serveur RADIUS Purple secondaire comme basculement pour éliminer complètement ce scénario.

Continuer la lecture de cette série

How to Set Up a Captive Portal on Starlink: A Guide for Remote & Maritime Venues

Ce guide explique en détail comment contourner le matériel Starlink natif et intégrer un Captive Portal géré dans le cloud à l'aide d'équipements de routage d'entreprise. Vous apprendrez à surmonter la limitation du CGNAT, à appliquer la segmentation VLAN, à gérer les contraintes de bande passante satellite et à garantir la conformité réglementaire.

Gestion du WiFi pour les clients d'hôtels : Intégration du PMS, des portails et des normes de marque

Ce guide technique détaille comment concevoir des réseaux WiFi hôteliers de classe entreprise, en se concentrant sur la segmentation VLAN, l'intégration PMS pour la gestion automatisée des sessions et l'optimisation du Captive Portal pour une collecte de données conforme au GDPR.

Captive Portal Best Practices: Designing for High Conversion and Compliance

Ce guide technique offre aux responsables informatiques, architectes réseau et directeurs de l'exploitation des sites un modèle complet pour déployer des Captive Portals qui concilient sécurité réseau et taux de conversion élevé. Il couvre l'intégralité de l'architecture, de la segmentation VLAN et l'authentification RADIUS à la conception de consentements conformes au GDPR et à la sélection des méthodes d'authentification. Issu de l'expérience opérationnelle de Purple sur plus de 80 000 sites et 440 millions de connexions en 2024, chaque recommandation s'appuie sur des données de déploiement réelles.