Huawei iMaster NCE (CloudCampus) et WiFi invité : configuration du captive portal avec Purple

Bienvenue dans la série technique Purple. Je suis votre hôte et, aujourd'hui, nous allons passer en revue l'une des intégrations WiFi d'entreprise les plus nuancées que nous rencontrons sur le terrain - les points d'accès Huawei AirEngine et le contrôleur CloudCampus iMaster NCE-Campus, intégrés à Purple pour le WiFi invité, l'authentification du personnel et la segmentation réseau multi-locataire. Si vous êtes architecte réseau ou responsable informatique et que vous gérez un parc Huawei - qu'il s'agisse d'un groupe hôtelier, d'une chaîne de magasins, d'un centre de conférences ou d'un campus du secteur public - cet épisode est pour vous. Nous couvrirons l'ensemble de la stack : la redirection vers le Captive Portal, les ACL de pré-authentification, le WiFi sécurisé pour le personnel via 802.1X, et la fonctionnalité Private Pre-Shared Key de Huawei pour le routage dynamique des VLAN entre plusieurs locataires. C'est parti. Première section : Contexte et architecture. La gamme AirEngine de Huawei - couvrant les séries 5700, 6700, 8700 et 9700 - fonctionne sur WiFi 6 et WiFi 6E, la série haut de gamme 9700 prenant en charge le WiFi 7. Ce sont de véritables points d'accès d'entreprise. La couche de gestion est iMaster NCE-Campus, le contrôleur réseau cloud de Huawei, qui gère tout, du provisionnement des SSID et du relais RADIUS à l'application des politiques et au transfert des syslogs. Purple se positionne au-dessus comme un overlay cloud. Nous opérons sur 80 000 sites actifs et avons traité 440 millions de connexions rien qu'en 2024. Nous sommes indépendants du matériel - ce qui signifie que nous nous intégrons avec Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist et, bien sûr, Huawei AirEngine - en utilisant les mêmes normes RADIUS et de Captive Portal que tous les contrôleurs d'entreprise prennent en charge. Le modèle d'intégration ici est simple. iMaster NCE-Campus agit comme relais RADIUS, transmettant les demandes d'authentification des points d'accès aux serveurs RADIUS de Purple. Purple gère la logique d'authentification - qu'il s'agisse d'une page de démarrage pour les invités, d'une vérification des identifiants 802.1X ou d'une recherche PPSK - et renvoie la réponse RADIUS appropriée, y compris tous les attributs d'attribution dynamique de VLAN. Deuxième section : Configuration du WiFi invité et du Captive Portal. Commençons par le déploiement le plus courant : le WiFi invité avec un Captive Portal Purple. Dans iMaster NCE-Campus, vous accédez à Design, puis Network Design, puis Template Management. Vous créez un modèle de serveur de relais RADIUS. Les paramètres clés sont : définir le service d'authentification sur Portal authentication, ajouter les adresses IP du serveur RADIUS de Purple sur le port UDP 1812 pour l'authentification et 1813 pour l'accounting, définir l'identifiant NAS sur Device MAC, et configurer le secret partagé. Purple fournit ces identifiants RADIUS depuis l'écran de configuration du site dans le tableau de bord Purple. Ensuite, vous créez une ACL - il s'agit de votre Walled Garden. Avant qu'un invité ne s'authentifie, il doit pouvoir accéder à la splash page de Purple et à tous les domaines de support. Vos règles d'ACL doivent autoriser le DNS sur UDP 53, autoriser le HTTPS vers le domaine du portail de Purple, et autoriser tous les fournisseurs de connexion sociale que vous avez activés - par exemple, les points de terminaison de l'API graph de Facebook si vous utilisez la connexion sociale. Tout le reste est refusé avant l'authentification. Vous configurez ensuite l'SSID. Définissez le type de réseau sur Open, sélectionnez l'authentification Open plus Portal, définissez le type d'authentification sur Relay authentication by cloud platform, et choisissez RADIUS relay comme mode d'interconnexion. Définissez le protocole de diffusion de page sur HTTPS. Dans les paramètres d'authentification du portail tiers, collez l'URL de redirection Purple - il s'agit de l'URL de la splash page que vous copiez depuis le tableau de bord du site Purple, avec le suffixe modifié pour inclure les paramètres spécifiques à Huawei : ap-mac, uaddress, umac, ssid et redirect-url. Enfin, créez un modèle d'URL dans iMaster NCE-Campus qui associe ces noms de paramètres aux valeurs que Huawei transmet lors de la redirection. Le mappage des paramètres est le suivant : redirect-url vers redirect-url, loginurl vers login-url, device-mac vers ap-mac, user-ip vers uaddress, user-mac vers umac, et ssid vers ssid. Une fois cette configuration terminée, un invité se connecte à l'SSID, obtient une adresse DHCP, et son trafic HTTP est intercepté par le contrôleur puis redirigé vers la splash page de Purple. Il s'authentifie - via e-mail, connexion sociale ou vérification par SMS - et le serveur RADIUS de Purple renvoie un Access-Accept à iMaster NCE-Campus, ce qui accorde à l'invité un accès complet à Internet. Du point de vue des données, Purple collecte les données de consentement de première partie à ce stade. Chaque connexion est une adhésion volontaire et consciente, conforme au GDPR et à la CCPA. Ces données alimentent la plateforme d'analyse de Purple, vous fournissant la durée de la session, le type d'appareil, le taux de visiteurs récurrents et le temps de séjour - le tout sans aucun suivi tiers. Section trois : Sécuriser le WiFi du personnel avec 802.1X. Parlons maintenant du WiFi du personnel. Il s'agit d'une posture de sécurité totalement différente. Vous ne voulez pas que le personnel se trouve sur le même segment de réseau que les invités, et vous ne voulez pas de mots de passe PSK partagés qui se volatilisent lorsque quelqu'un quitte l'entreprise. La solution est l'authentification 802.1X, définie dans la norme IEEE 802.1X-2020, utilisant EAP-TLS ou EAP-PEAP. Dans iMaster NCE-Campus, vous créez un SSID distinct pour le personnel - appelons-le CorpNet. Dans le profil d'authentification de ce SSID, vous définissez le mode d'authentification sur 802.1X, vous le pointez vers le serveur RADIUS de Purple, et vous définissez le profil de sécurité sur WPA2-Enterprise ou WPA3-Enterprise avec chiffrement AES-CCMP.Purple agit également comme serveur RADIUS ici, mais il valide désormais les identifiants par rapport à votre fournisseur d'identité. Purple s'intègre nativement avec Microsoft Entra ID, Okta, et Google Workspace. Lorsqu'un collaborateur se connecte à CorpNet, son appareil envoie les identifiants EAP au point d'accès, qui les relaye via RADIUS à Purple, qui les valide ensuite par rapport à Entra ID en utilisant SCIM ou SAML. Si les identifiants sont valides, Purple renvoie un Access-Accept avec un attribut RADIUS spécifiant le VLAN du personnel - par exemple le VLAN 20. iMaster NCE-Campus oriente automatiquement le client vers ce VLAN. Les attributs RADIUS clés pour l'attribution dynamique de VLAN sont : Tunnel-Type défini sur VLAN ou la valeur 13, Tunnel-Medium-Type défini sur 802 ou la valeur 6, et Tunnel-Private-Group-ID défini sur l'identifiant du VLAN. Ces trois attributs indiquent précisément au contrôleur Huawei à quel VLAN attribuer le client authentifié. Pour le protocole EAP-TLS spécifiquement - qui est la référence absolue pour l'authentification du personnel - des certificats clients sont requis. L'add-on SecurePass de Purple gère l'émission et le cycle de vie des certificats, en s'intégrant à votre PKI existante ou en agissant comme une autorité de certification légère. Cela élimine complètement les attaques basées sur les mots de passe. Pas de mot de passe, pas de vecteur de phishing. Section quatre : Segmentation multi-locataire avec le PPSK de Huawei. C'est là que cela devient particulièrement intéressant. Si vous gérez un espace à usage mixte - un centre commercial avec plusieurs locataires de vente au détail, un espace de coworking hébergeant plusieurs entreprises membres, ou un centre de conférence accueillant des événements simultanés - vous avez besoin d'isoler les réseaux entre les locataires sans pour autant déployer un SSID distinct pour chacun. La fonctionnalité PPSK de Huawei - Private Pre-Shared Key - résout ce problème. Elle est parfois appelée iPSK dans les écosystèmes d'autres fournisseurs. Le concept est le suivant : un seul SSID, plusieurs mots de passe uniques, chaque mot de passe étant associé à un VLAN spécifique. Le locataire A reçoit le mot de passe Alpha, associé au VLAN 30. Le locataire B reçoit le mot de passe Beta, associé au VLAN 40. Les deux locataires voient le même SSID, mais ils sont complètement isolés au niveau de la couche 2. Dans l'interface CLI de Huawei, vous configurez cela dans la vue WLAN en utilisant la commande ppsk-user. Pour chaque locataire, vous exécutez : ppsk-user psk pass-phrase, suivi de la phrase de passe unique, puis user-name, l'identifiant du locataire, puis vlan, l'identifiant du VLAN, puis ssid, le nom du SSID. Vous pouvez également définir une date d'expiration, un nombre maximum d'appareils, et lier le profil à une adresse MAC spécifique si vous avez besoin d'un contrôle plus strict. Dans iMaster NCE-Campus, la recherche PPSK peut être gérée localement sur le contrôleur ou - pour les déploiements à grande échelle - via RADIUS. Lorsque le PPSK s'appuie sur RADIUS, Purple devient la source faisant autorité pour les mappages PPSK-vers-VLAN. L'appareil d'un locataire se connecte avec sa phrase de passe unique, le contrôleur envoie une requête RADIUS Access-Request à Purple avec la phrase de passe comme identifiant, Purple recherche le mappage et renvoie un Access-Accept avec les trois attributs de tunnel VLAN. Le contrôleur oriente ensuite le client vers le bon VLAN. Cette architecture s'adapte à des centaines de locataires sur un seul SSID. Cela signifie également que vous pouvez configurer, renouveler et révoquer les identifiants des locataires depuis le tableau de bord Purple sans toucher à la configuration du contrôleur. Section cinq : Pièges de mise en œuvre et comment les éviter. Laissez-moi vous présenter les trois modes de défaillance que je rencontre le plus souvent dans les déploiements Huawei et Purple. Premier piège : le Walled Garden est incomplet. Les invités se connectent au SSID, sont redirigés vers le portail captif, mais la page ne se charge pas car un domaine requis - souvent un point de terminaison CDN ou une API de connexion sociale - est bloqué par l'ACL de pré-authentification. La solution consiste à tester le flux du portail captif depuis un nouvel appareil avant la mise en service, à capturer les requêtes DNS et les connexions HTTPS qu'il effectue, et à ajouter chaque domaine requis à l'ACL. Purple publie une liste des domaines requis dans la documentation d'intégration. Deuxième piège : non-concordance du secret partagé RADIUS. Le secret configuré dans iMaster NCE-Campus doit correspondre exactement au secret du tableau de bord Purple. Une différence d'un seul caractère entraîne des échecs d'authentification silencieux - les journaux du contrôleur affichent un message Access-Reject sans aucun message d'erreur utile. Copiez-collez toujours le secret, ne le saisissez jamais manuellement. Troisième piège : mauvaise configuration du trunk VLAN. L'attribution dynamique de VLAN via RADIUS ne fonctionne que si le VLAN est déjà configuré en mode trunk sur le port de liaison montante entre le point d'accès et le commutateur d'agrégation. Si le VLAN 20 ne figure pas dans la liste des trunks autorisés de l'interface du commutateur, les clients du personnel authentifiés rencontreront une expiration du délai DHCP et sembleront échouer à l'authentification. Inspectez vos configurations de trunk avant de tester les VLAN attribués par RADIUS. Section six : Questions rapides. Question : Puis-je utiliser le service RADIUS intégré de Purple avec le déploiement sur site d'iMaster NCE-Campus de Huawei, et non la version cloud ? Oui. Les serveurs RADIUS de Purple sont hébergés dans le cloud et accessibles via internet. Votre contrôleur iMaster NCE-Campus sur site a besoin d'autoriser les flux sortants UDP 1812 et 1813 vers les plages IP RADIUS de Purple. Purple publie ces plages IP dans le tableau de bord sous les paramètres du site. Question : Le PPSK de Huawei prend-il en charge le WPA3-SAE ? Depuis le firmware AirEngine V600R025, le WPA3-SAE-PPSK est pris en charge sur les séries 6700 et 9700. Vérifiez la version de votre firmware avant d'activer le WPA3 sur les SSID PPSK. Question : Comment Purple gère-t-il le consentement GDPR pour le WiFi invité sur le matériel Huawei ? Le portail captif de Purple recueille le consentement au moment de l'authentification. L'enregistrement du consentement - comprenant l'horodatage, l'adresse IP et les conditions spécifiques acceptées - est stocké dans la plateforme Purple et peut être exporté pour les audits de conformité. Cela s'applique quel que soit le fournisseur de matériel sous-jacent. Section sept : Résumé et prochaines étapes. Pour résumer : Huawei AirEngine et iMaster NCE-Campus s'intègrent avec Purple via un relais RADIUS pour le Captive Portal des invités, le 802.1X pour le WiFi du personnel, et le PPSK pour la segmentation VLAN multi-locataire. La configuration s'effectue dans iMaster NCE-Campus sous Design, Network Design, Template Management pour la configuration du RADIUS et de l'ACL, et sous Provision, Device Configuration, Site Configuration pour la liaison du SSID et du profil d'authentification. Vos prochaines étapes : récupérez les identifiants RADIUS de Purple depuis votre tableau de bord du site, configurez le modèle de serveur de relais RADIUS dans iMaster NCE-Campus, créez votre ACL de Walled Garden, créez le SSID invité avec une authentification Open plus Portal, et testez de bout en bout avec un nouvel appareil avant de déployer sur le terrain. Si vous déployez le PPSK pour l'isolation multi-locataire, planifiez d'abord votre plan de VLAN - assurez-vous que chaque VLAN locataire est trunké de bout en bout avant de configurer un seul utilisateur PPSK. Pour obtenir le guide de configuration complet étape par étape, y compris des exemples de CLI et des schémas d'architecture, lisez le guide écrit complet sur le site Web de Purple. Merci pour votre attention.