Passer au contenu principal
Français

Intégration d'Alta Labs avec Purple WiFi : Configuration et paramétrage du Captive Portal

Ce guide de référence technique couvre l'intégration de bout en bout des points d'accès Alta Labs AP6 et AP6 Pro avec le captive portal hébergé dans le cloud de Purple. Il détaille la configuration de la redirection externe, l'authentification RADIUS, les exigences de walled garden et la segmentation multi-tenant à l'aide des clés pré-partagées privées AltaPass. Les exploitants de sites et les équipes informatiques disposeront d'un playbook de déploiement reproductible pour les environnements de l'hôtellerie, du commerce de détail et des bureaux intelligents.

📖 8 min de lecture📝 1,844 mots🔧 2 exemples concrets3 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast
SCRIPT DE PODCAST : Intégration d'Alta Labs avec Purple WiFi : Configuration et paramétrage du Captive Portal Plateforme d'intelligence Purple WiFi - Série de briefings techniques Durée : Environ 10 minutes Voix : Français, ton de consultant senior - confiant, conversationnel, autoritaire --- [INTRO - 1 MINUTE] Bienvenue dans la série de briefings techniques de Purple. Je suis votre hôte, et aujourd'hui nous décortiquons l'intégration entre les points d'accès Alta Labs et la plateforme d'intelligence Purple WiFi. Si vous êtes responsable informatique, architecte réseau ou directeur de l'exploitation d'un site et que vous cherchez à déployer une solution WiFi invité robuste et évolutive, ce briefing est pour vous. Nous allons couvrir la configuration spécifique des Alta Labs AP6 et AP6 Pro, la manière de configurer la redirection externe du captive portal, ainsi que les paramètres critiques de walled garden requis pour que les connexions via les réseaux sociaux fonctionnent réellement dans le monde réel. Nous aborderons également AltaPass - l'implémentation par Alta Labs des clés pré-partagées privées, ou PPSK - et la façon dont vous pouvez l'utiliser pour segmenter des environnements multi-tenant sans détruire vos performances RF avec une prolifération de SSIDs. C'est parti. --- [DEEP-DIVE TECHNIQUE - 5 MINUTES] L'intégration entre Alta Labs et Purple repose sur deux concepts réseau fondamentaux : la redirection HTTP pour le captive portal, et RADIUS pour l'authentification et la comptabilisation. Lorsqu'un client entre dans votre établissement - par exemple, un magasin de détail ou le hall d'un hôtel - et se connecte à votre réseau invité ouvert ou WPA3-OWE, l'AP Alta Labs agit comme un gardien. Il intercepte les requêtes HTTP initiales du client et les redirige vers votre splash page personnalisée Purple. Pour configurer cela dans la plateforme Alta Labs Cloud Management, accédez à vos paramètres WiFi, sélectionnez votre SSID invité et, sous les paramètres avancés (Advanced Settings), définissez le type de réseau sur Invité (Guest). C'est crucial car cela applique automatiquement l'isolation des clients, empêchant les appareils de communiquer latéralement sur le réseau. Ensuite, sous la section Hotspot, sélectionnez Externe (External) et insérez l'URL de redirection Purple fournie dans les paramètres de votre site, ainsi que votre secret d'autorisation (Authorisation Secret). Mais c'est là que la plupart des déploiements rencontrent un problème : le walled garden. Le walled garden est la liste des domaines et des adresses IP auxquels un appareil est autorisé à accéder avant de s'être authentifié. Si vous souhaitez que les clients se connectent à l'aide de Google, Facebook ou Apple, leurs appareils doivent pouvoir atteindre ces serveurs OAuth alors qu'ils sont encore dans un état pré-authentifié. Vous devez explicitement mettre sur liste blanche les domaines d'infrastructure de Purple - comme region1.purpleportal.net et cloudfront.net. Ensuite, vous devez ajouter les sondes de captive portal des OS : captive.apple.com pour iOS, et connectivitycheck.gstatic.com for Android. Si vous les bloquez, le téléphone ne sait pas qu'il se trouve derrière un captive portal, et la splash page ne s'affiche jamais. Enfin, vous ajoutez les domaines de connexion sociale. Pour Google, il s'agit de accounts.google.com, oauth2.googleapis.com et gstatic.com. Pour Facebook, il s'agit de facebook.com, graph.facebook.com et des domaines fbcdn.net. Une liste blanche d'IP statiques ne fonctionnera pas ici car ces fournisseurs utilisent des réseaux de diffusion de contenu (CDN) dynamiques. Vous devez utiliser des noms de domaine et vous assurer que votre contrôleur effectue une résolution DNS dynamique. Une fois que l'utilisateur a terminé sa connexion sur la splash page de Purple, le serveur RADIUS de Purple renvoie un message Access-Accept à l'AP Alta Labs. L'AP supprime alors la restriction du walled garden et accorde à l'appareil un accès complet à Internet. C'est un flux propre et sécurisé qui capture des données de première partie tout en maintenant l'intégrité du réseau. Parlons maintenant de la segmentation multi-tenant. Dans des environnements tels que les bureaux intelligents, les résidences étudiantes ou les immeubles collectifs, vous devez souvent fournir des réseaux sécurisés et isolés pour différents groupes. Historiquement, les équipes informatiques diffusaient un SSID distinct pour chaque locataire. C'est une très mauvaise pratique. Cela génère une surcharge de gestion massive et détruit vos performances sans fil en raison de la surcharge des trames balises (beacons). Alta Labs résout ce problème avec AltaPass, leur version des clés pré-partagées privées (PPSK). Avec AltaPass, vous diffusez un seul et unique SSID - appelons-le BuildingWiFi. Mais vous générez des mots de passe uniques pour différents utilisateurs ou appareils. Lorsque le locataire A saisit son mot de passe spécifique, l'AP l'attribue dynamiquement au VLAN 101 avec une limite de bande passante de 100 mégabits. Lorsque l'équipe de gestion saisit son mot de passe sur le même SSID, elle est placée sur le VLAN 200 avec une bande passante illimitée. Vous pouvez même créer un mot de passe pour les appareils IoT, comme les thermostats intelligents, qui les attribue à un VLAN isolé et contourne entièrement le captive portal. Un seul SSID. Des mots de passe illimités. Une isolation complète. C'est de l'Identity-Based Networking à la périphérie, et c'est une solution véritablement élégante à un problème qui perturbe les déploiements multi-tenant depuis des années. Laissez-moi vous donner un exemple concret de la façon dont cela fonctionne en pratique. Prenons un complexe résidentiel de 72 appartements - un type de déploiement réel pour lequel le matériel Alta Labs est largement utilisé. Au lieu de diffuser 72 SSIDs distincts, l'administrateur réseau crée un seul SSID et génère un mot de passe unique pour chaque appartement. Chaque mot de passe est associé à un VLAN et à un sous-réseau dédiés. Les résidents de l'offre de base bénéficient de 100 mégabits. Les résidents ayant souscrit à l'offre premium bénéficient de 300 mégabits. L'équipe de gestion de l'immeuble bénéficie d'un accès illimité. Le système d'automatisation du bâtiment (serrures de portes, CVC, ascenseurs) dispose de son propre VLAN isolé avec inspection approfondie des paquets (DPI) activée. Tout cela à partir d'un seul SSID. L'environnement RF est plus propre, les performances sont plus élevées et la gestion est considérablement simplifiée. Passons maintenant à la configuration 802.1X pour le WiFi sécurisé du personnel. Pour le réseau de votre personnel, vous ne devriez pas utiliser de clé pré-partagée du tout. Vous devriez utiliser le WPA2 ou le WPA3 Entreprise avec authentification 802.1X. Dans la plateforme Alta Labs, vous configurez cela en sélectionnant le SSID de votre personnel, en définissant le mode de sécurité sur WPA2-Enterprise ou WPA3-Enterprise, et en orientant l'AP vers votre serveur RADIUS. Si vous intégrez le produit SecurePass de Purple, Purple agit comme intermédiaire RADIUS, se connectant à votre fournisseur d'identité - qu'il s'agisse de Microsoft Entra ID, Okta ou Google Workspace - et renvoyant l'attribution de VLAN appropriée dans le message Access-Accept. L'AP Alta Labs lit l'attribut Tunnel-Private-Group-Id de la réponse RADIUS et place automatiquement l'appareil sur le bon VLAN. Une note importante concernant l'attribution dynamique de VLAN avec Alta Labs : lors de la configuration de VLANs attribués par RADIUS, définissez le VLAN par défaut sur le SSID sur le VLAN 1 ou laissez-le non étiqueté. Il existe un comportement connu selon lequel si le VLAN par défaut est défini sur une valeur spécifique, l'AP peut remplacer le VLAN attribué par RADIUS par le VLAN par défaut configuré. Définir le paramètre par défaut sur le VLAN 1 garantit que l'attribution RADIUS est prioritaire. --- [RECOMMANDATIONS DE DÉPLOIEMENT ET PIÈGES À ÉVITER - 2 MINUTES] Lorsque vous déployez cette solution, je souhaite mettre en évidence quelques recommandations clés. Premièrement, testez toujours le flux de votre captive portal with un appareil neuf. N'utilisez pas votre propre téléphone si vous vous êtes déjà connecté au réseau pendant les tests. Votre appareil se souvient de l'autorisation de l'adresse MAC ou possède des entrées DNS en cache, ce qui masquera les échecs de walled garden. Prenez une tablette qui n'a jamais vu le réseau, connectez-la et vérifiez que l'assistant de captive portal de l'OS se lance automatiquement. Deuxièmement, attention à l'excès de mise sur liste blanche. Je vois des ingénieurs s'agacer des erreurs de connexion sociale et mettre sur liste blanche des domaines génériques entiers ou d'immenses blocs d'adresses IP. Cela crée une faille de sécurité permettant à des utilisateurs avertis de contourner entièrement votre captive portal. Limitez-vous aux domaines spécifiques requis pour le flux OAuth. Troisièmement, lors du déploiement d'AltaPass PPSK avec des VLANs dynamiques, assurez-vous que l'ensemble de votre infrastructure de commutation est correctement configurée. Les ports de commutateur connectés à vos APs Alta Labs doivent être configurés en trunks, permettant à tous les VLANs étiquetés de passer vers la passerelle. Si l'AP étiquette le trafic pour le VLAN 101, mais que le port du commutateur est configuré en mode d'accès sur le VLAN 1, le trafic est abandonné et le client n'obtient pas d'adresse IP. Quatrièmement, mettez en œuvre une révision trimestrielle de la configuration de votre walled garden. Les fournisseurs OAuth et les réseaux de diffusion de contenu modifient leurs structures de domaine. Apple a mis à jour ses domaines de connexion (Sign In) à deux reprises en 2023. Un walled garden qui était correct lors du déploiement finira par se désaligner sans maintenance active. --- [QUESTIONS-RÉPONSES RAPIDES - 1 MINUTE] Passons en revue quelques questions rapides que nous entendons sur le terrain. Question un : Puis-je utiliser le WPA3 avec le captive portal de Purple sur le matériel Alta Labs ? Oui. Vous devez utiliser le WPA3-OWE, qui signifie Opportunistic Wireless Encryption. Cela chiffre les données sur les ondes, protégeant la confidentialité des clients, tout en fonctionnant comme un réseau ouvert qui déclenche la redirection vers le captive portal. C'est le bon choix pour tout nouveau déploiement de WiFi invité en 2026. Question deux : Quels ports dois-je ouvrir sur mon pare-feu pour le trafic RADIUS ? Les serveurs RADIUS de Purple communiquent via le port UDP 1812 pour l'authentification et le port UDP 1813 pour la comptabilisation. Assurez-vous que votre pare-feu périphérique autorise le trafic sortant sur ces ports depuis les APs Alta Labs vers l'infrastructure Purple. Question trois : Puis-je utiliser AltaPass PPSK aux côtés du captive portal de Purple sur le même SSID ? Oui, et c'est en fait une configuration très utile. Vous pouvez créer un mot de passe AltaPass qui contourne le captive portal pour les appareils connus - comme vos terminaux de point de vente ou votre signalisation numérique - tandis que les connexions standard au même SSID passent toujours par la splash page de Purple. Cela vous donne un SSID unique et propre qui gère à la fois les appareils authentifiés et les utilisateurs invités. --- [RÉSUMÉ ET PROCHAINES ÉTAPES - 1 MINUTE] Pour résumer : l'intégration d'Alta Labs avec Purple WiFi vous offre une plateforme sécurisée et évolutive pour capturer des données de première partie et offrir une expérience client personnalisée. Gardez à l'esprit les trois piliers d'un déploiement réussi. Premièrement, configurez avec précision la redirection externe du hotspot et les paramètres RADIUS dans la plateforme Alta Labs Cloud Management. Deuxièmement, définissez méticuleusement vos domaines de walled garden pour garantir le bon fonctionnement des sondes d'OS et des connexions via les réseaux sociaux. Et troisièmement, exploitez AltaPass PPSK pour implémenter l'Identity-Based Networking, en segmentant votre trafic sans polluer votre espace hertzien avec des SSIDs inutiles. Purple est présent dans 80 000 sites actifs et a traité 440 millions de connexions en 2024. La plateforme est certifiée ISO 27001, conforme au GDPR et conçue pour s'adapter aussi bien à un hôtel-boutique unique qu'à un parc national de commerces de détail. En associant cela aux performances et à la flexibilité du matériel Alta Labs, vous disposez d'une suite WiFi d'entreprise particulièrement attractive. Si vous suivez ce guide, vous offrirez une expérience WiFi fluide et conforme, qui satisfera à la fois votre équipe marketing et votre équipe de sécurité. Merci d'avoir écouté la série de briefings techniques de Purple. À la prochaine, gardez vos réseaux sécurisés et vos données exploitables.

header_image.png

Synthèse

Les points d'accès Alta Labs AP6 et AP6 Pro s'intègrent au captive portal cloud de Purple à l'aide d'une authentification RADIUS standard et d'une redirection HTTP. L'AP intercepte le trafic invité non authentifié, le redirige vers votre splash page Purple et accorde l'accès une fois que le serveur RADIUS de Purple renvoie un message Access-Accept. Pour les environnements multi-tenant, la technologie AltaPass d'Alta Labs attribue à chaque appareil connecté un VLAN unique et une politique de bande passante en fonction du mot de passe utilisé - aucun SSID supplémentaire n'est requis. Ce guide vous présente les étapes de configuration exactes, les listes de domaines de walled garden et les paramètres RADIUS pour déployer l'intégration à partir de zéro. Purple est présent dans plus de 80 000 sites actifs et a traité 440 millions de connexions en 2024 (données internes de Purple). Le matériel Alta Labs est particulièrement adapté aux MSP et aux installateurs de bureaux intelligents qui ont besoin d'une segmentation de classe entreprise à un prix compétitif.

Architecture technique

L'intégration s'articule autour de trois couches : la plateforme de gestion cloud Alta Labs, le matériel AP6 ou AP6 Pro à la périphérie, et l'infrastructure cloud de Purple qui gère l'authentification et les analyses.

Lorsqu'un client se connecte au SSID ouvert ou WPA3-OWE, l'AP place l'appareil dans un état pré-authentifié restreint. Tout le trafic HTTP sortant est intercepté et redirigé vers l'URL de la splash page de Purple. L'appareil ne peut atteindre que les domaines explicitement répertoriés dans le walled garden jusqu'à ce que l'authentification soit terminée. Une fois que le client a soumis ses identifiants sur la splash page de Purple, le serveur RADIUS de Purple envoie un message Access-Accept à l'AP, qui supprime la restriction et accorde un accès complet à Internet. Purple enregistre les données de session - type d'appareil, temps de présence, méthode de connexion - et les met à disposition dans le tableau de bord WiFi Analytics .

architecture_overview.png

Pour les réseaux du personnel et internes, le même matériel AP gère l'authentification WPA2/WPA3-Enterprise (IEEE 802.1X). L'AP agit comme client RADIUS, transmettant les demandes d'authentification à l'infrastructure SecurePass de Purple, qui valide à son tour les identifiants auprès de Microsoft Entra ID, Okta ou Google Workspace. La réponse RADIUS Access-Accept contient l'attribut Tunnel-Private-Group-Id, que l'AP utilise pour placer dynamiquement l'appareil sur le bon VLAN.

Guide de déploiement

Étape 1 : Ajouter le site et le matériel dans Purple

Avant de configurer le contrôleur Alta Labs, enregistrez le déploiement dans Purple.

  1. Connectez-vous au portail de gestion de Purple et accédez à Management > Locations.
  2. Sélectionnez Venues and Groups > Add venue et suivez l'assistant d'ajout de site.
  3. Depuis votre site, sélectionnez Hardware > Add hardware > Add new hardware.
  4. Définissez le type de matériel sur WiFi AP et sélectionnez le type d'AP approprié.
  5. Saisissez l'adresse MAC de chaque unité Alta Labs AP6 ou AP6 Pro.
  6. Cliquez sur View Manual Online pour récupérer les adresses IP du serveur RADIUS, les ports et le secret partagé pour ce site. Enregistrez ces valeurs - vous en aurez besoin à l'Étape 3.

Étape 2 : Configurer le SSID invité dans Alta Labs

Connectez-vous à la plateforme Alta Labs Cloud Management à l'adresse manage.alta.inc.

  1. Accédez à Settings > WiFi et sélectionnez le SSID destiné à l'accès invité.
  2. Dans Advanced Settings, définissez le type de réseau sur Guest. Cela applique automatiquement l'isolation des clients.
  3. Faites défiler jusqu'à la section Hotspot et sélectionnez External.
  4. Dans le champ Redirect URL, collez l'URL de la splash page de Purple fournie dans les paramètres matériels de votre site (par exemple, https://region1.purpleportal.net/access/).
  5. Saisissez le Authorisation Secret (secret partagé RADIUS) issu des paramètres de votre site Purple.
  6. Cliquez sur Save.

Étape 3 : Configurer l'authentification RADIUS

Une fois la redirection externe en place, configurez les paramètres RADIUS afin que l'AP puisse communiquer avec l'infrastructure d'authentification de Purple.

Paramètre Valeur
IP du serveur d'authentification principal Fournie par les paramètres du site Purple
Port d'authentification UDP 1812
IP du serveur de comptabilisation principal Fournie par les paramètres du site Purple
Port de comptabilisation UDP 1813
Secret partagé Fourni par les paramètres du site Purple

Pour les déploiements à haute disponibilité, configurez le serveur RADIUS secondaire en utilisant l'adresse IP de secours fournie par Purple.

Étape 4 : Définir le walled garden

Le walled garden autorise des domaines spécifiques avant la fin de l'authentification. Les entrées manquantes bloqueront le flux du captive portal ou empêcheront le chargement des connexions via les réseaux sociaux. Saisissez les domaines suivants dans le champ Additional Authorised Hosts / IPs de la configuration Hotspot d'Alta Labs.

Infrastructure Purple (requis)

Domaine Objectif
region1.purpleportal.net Hébergement de la splash page
venuewifi.com Infrastructure de redirection Purple
cloudfront.net CDN pour les ressources du portail

Sondes de captive portal d'OS (requis)

Domaine OS
captive.apple.com iOS / macOS
connectivitycheck.gstatic.com Android
msftconnecttest.com Windows

Connexion sociale (à ajouter selon les fournisseurs activés)

Fournisseur Domaines
Google accounts.google.com, oauth2.googleapis.com, apis.google.com, gstatic.com
Facebook facebook.com, graph.facebook.com, connect.facebook.net, *.fbcdn.net
Apple appleid.apple.com, idmsa.apple.com, *.apple.com

captive_portal_flow.png

AltaPass PPSK et segmentation multi-tenant

AltaPass est l'implémentation en instance de brevet d'Alta Labs des clés pré-partagées privées (PPSK). Elle permet à un seul SSID de prendre en charge plusieurs mots de passe uniques, avec chaque mot de passe associé à un VLAN distinct, une limite de bande passante, un calendrier et une règle de contournement du hotspot. Cela élimine le besoin de diffuser des SSID distincts pour chaque locataire, groupe de personnel ou catégorie d'appareil.

Configuration d'AltaPass dans le tableau de bord Alta Labs

  1. Sélectionnez votre SSID et accédez à la section de gestion des mots de passe.
  2. Cliquez sur le bouton de type de réseau Purple à gauche de chaque saisie de mot de passe.
  3. Attribuez un ID de VLAN au mot de passe. Les clients se connectant avec ce mot de passe seront placés sur le sous-réseau VLAN spécifié.
  4. Définissez les limites de bande passante (montante et descendante) par mot de passe selon les besoins.
  5. Activez ou désactivez le contournement du hotspot par mot de passe. Les appareils IoT et les terminaux de point de vente (POS) contournent généralement le Captive Portal.
  6. Appliquez des restrictions de calendrier si nécessaire (par exemple, restreindre l'accès Internet pour certains appareils en dehors des heures d'ouverture).

altapass_ppsk_segmentation.png

Pour un immeuble résidentiel de 72 unités, cela signifie un seul SSID et plus de 72 mots de passe uniques - un par unité, un pour la gestion, un pour le système d'automatisation du bâtiment. Chaque mot de passe est associé à un VLAN et un sous-réseau isolés. Les résidents de l'offre standard reçoivent 100 Mbps. Les résidents premium reçoivent 300 Mbps. L'équipe de gestion du bâtiment n'a pas de restriction. Les appareils IoT sont isolés sur un VLAN dédié avec l'inspection approfondie des paquets (DPI) activée. C'est ce modèle de déploiement qui permet de réduire le nombre de SSID de 72 à un seul.

Attribution dynamique de VLAN via RADIUS

Pour les réseaux de personnel 802.1X, l'attribution de VLAN fonctionne via des attributs RADIUS plutôt que PPSK. La réponse RADIUS Access-Accept doit inclure :

Attribut Valeur
Tunnel-Type 13 (VLAN)
Tunnel-Medium-Type 6 (IEEE-802)
Tunnel-Private-Group-Id ID du VLAN cible (par ex., "20")

Important : définissez le VLAN par défaut sur le SSID sur VLAN 1 (ou laissez-le non étiqueté) lors de l'utilisation de VLAN attribués par RADIUS. Si le VLAN par défaut est défini sur une valeur spécifique, l'AP peut remplacer l'attribution RADIUS par le paramètre par défaut configuré. Il s'agit d'un comportement connu dans le micrologiciel actuel d'Alta Labs.

Bonnes pratiques

Les recommandations suivantes s'appliquent à tout déploiement Alta Labs avec Purple, quel que soit le type d'établissement.

Utilisez la résolution DNS dynamique pour les entrées du walled garden. Les fournisseurs OAuth et les CDN alternent fréquemment les adresses IP. Une liste blanche d'adresses IP statiques se dégradera avec le temps. Configurez le contrôleur Alta Labs pour résoudre dynamiquement les domaines du walled garden, et définissez un TTL DNS d'au moins 30 secondes pour éviter une charge de requêtes excessive.

Définissez précisément le périmètre du walled garden. N'ajoutez à la liste blanche que les domaines requis pour le flux d'authentification. Une liste blanche trop permissive — en particulier l'ajout d'entrées génériques (wildcards) pour de grands domaines — crée un vecteur de contournement qui compromet l'utilité du Captive Portal.

Testez avec des appareils non authentifiés avant la mise en service. Utilisez un appareil qui ne s'est jamais connecté au réseau. Les appareils précédemment authentifiés peuvent avoir mis en cache des autorisations MAC ou des entrées DNS qui masquent les échecs du walled garden. Testez chaque méthode de connexion que vous prévoyez de proposer.

Examinez les domaines du walled garden chaque trimestre. Apple, Google et Meta mettent périodiquement à jour leurs structures de domaines OAuth. Intégrez un examen trimestriel à votre calendrier opérationnel pour détecter les dérives avant qu'elles n'affectent les utilisateurs.

Segmentez les appareils IoT dès le départ. Utilisez AltaPass pour attribuer les appareils IoT à un VLAN dédié avec le contournement du hotspot activé. Mélanger le trafic IoT avec le trafic des invités ou du personnel crée des risques inutiles et complique la réponse aux incidents.

Pour une vue d'ensemble de l'architecture de sécurité WiFi d'entreprise, consultez notre guide sur la Sécurité WiFi d'entreprise : un guide complet pour 2026 .

Dépannage et atténuation des risques

La page de connexion (splash page) ne s'affiche pas sur iOS. La cause la plus fréquente est l'absence de l'entrée captive.apple.com dans le walled garden. iOS utilise ce domaine pour détecter les Captive Portals. Si le test est bloqué, l'assistant réseau captif ne se lance jamais et l'utilisateur voit une erreur de connectivité générique.

La connexion via les réseaux sociaux renvoie un écran vide ou une erreur CORS. Vérifiez si des sous-domaines CDN ou API sont manquants dans le walled garden. Les domaines *.fbcdn.net de Facebook et gstatic.com de Google sont les entrées les plus fréquemment omises. Utilisez les outils de développement du navigateur lors d'une session non authentifiée pour identifier les requêtes de domaine qui échouent.

L'attribution de VLAN échoue avec AltaPass. Vérifiez que le port du commutateur amont connecté à l'AP est configuré comme un port trunk et autorise les VLAN étiquetés. Un port de commutateur en mode accès rejettera silencieusement les trames étiquetées, laissant le client sans adresse IP.

L'authentification RADIUS expire. Confirmez que les ports UDP 1812 et 1813 sont ouverts en sortie sur le pare-feu périphérique. Vérifiez que le secret partagé dans la configuration d'Alta Labs correspond exactement à la valeur définie dans les paramètres d'établissement de Purple - une différence d'un seul caractère entraînera l'échec de toutes les demandes d'authentification.

L'attribution dynamique de VLAN place les utilisateurs sur le mauvais VLAN. Définissez le VLAN par défaut sur le SSID 802.1X sur VLAN 1. Si le VLAN par défaut est défini sur une valeur spécifique, l'AP peut remplacer le VLAN attribué par RADIUS. Il s'agit d'un comportement au niveau du micrologiciel confirmé sur le forum de la communauté Alta Labs.

ROI et impact commercial

Le déploiement du matériel Alta Labs avec Purple Guest WiFi offre des retours mesurables sur trois dimensions : l'efficacité opérationnelle, la capture de données et la posture de sécurité.

Sur le plan opérationnel, la consolidation de plusieurs SSID en un seul réseau géré par AltaPass réduit les coûts de gestion et améliore les performances sans fil. Moins de SSID signifie moins de surcharge de trames de balise (beacon frames), ce qui se traduit directement par un débit plus élevé pour tous les appareils connectés.

Sur le plan des données, le Captive Portal de Purple capture des données de première partie (first-party) vérifiées à chaque connexion. Les établissements utilisant les abonnements Capture et Engage de Purple signalent une augmentation de 40 % des inscriptions à la base de données marketing par rapport à un WiFi invité non géré (données internes de Purple). Ces données falimente directement WiFi Analytics , offrant aux équipes marketing une visibilité sur les flux de fréquentation, le temps de séjour et les taux de visites répétées.

Côté sécurité, l'attribution dynamique de VLAN isole le trafic des invités, du personnel et de l'IoT à la périphérie. Associée à l'infrastructure certifiée ISO 27001 de Purple et à un traitement des données conforme au GDPR, cette architecture répond aux exigences de segmentation réseau PCI DSS pour les établissements traitant des paiements par carte.

Pour les déploiements dans le secteur de l'hôtellerie en particulier, l'association de portails de connexion personnalisés, d'intégrations de programmes de fidélité et de contrôles de bande passante par appareil crée une expérience client différenciée sans complexifier la tâche de l'équipe des opérations réseau.

Pour les environnements du commerce de détail , la possibilité de segmenter les terminaux de point de vente (POS) du WiFi invité sur la même infrastructure physique – à l'aide des règles de contournement AltaPass – élimine le besoin de câblage ou de matériel distinct, réduisant ainsi les dépenses d'investissement et de fonctionnement.

Guides connexes : Intégration d'Arista Cognitive Wi-Fi avec Purple WiFi | Configuration de Walled Garden pour le WiFi invité

Définitions clés

Captive portal

Une page web qui intercepte le trafic réseau non authentifié et exige que l'utilisateur interagisse (connexion, acceptation des conditions ou paiement) avant d'accorder l'accès à Internet. Purple héberge la splash page dans le cloud ; l'AP Alta Labs gère la redirection.

Le mécanisme principal de capture des données des clients dans les déploiements WiFi de l'hôtellerie, du commerce de détail et du secteur public.

Walled garden

Une liste définie de domaines et d'adresses IP auxquels un appareil client peut accéder avant de terminer l'authentification du captive portal. Tout ce qui se trouve en dehors de cette liste est bloqué jusqu'à ce que l'utilisateur se connecte.

Crucial pour permettre le fonctionnement des APIs de connexion sociale, des sondes de détection de l'OS et des ressources CDN du portail avant la fin de l'authentification.

PPSK (Private Pre-Shared Key)

Une méthode de sécurité dans laquelle plusieurs mots de passe uniques peuvent être utilisés sur un seul SSID, chaque mot de passe attribuant l'appareil connecté à un VLAN spécifique, à une politique de bande passante et à un calendrier d'accès.

Alta Labs implémente cela sous le nom d'AltaPass. Utilisé dans les immeubles collectifs (MDU), les bureaux intelligents et les stades pour fournir un accès isolé sans prolifération de SSIDs.

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (AAA). Purple agit comme serveur RADIUS ; l'AP Alta Labs agit comme client RADIUS.

Le mécanisme qui indique à l'AP qu'un client s'est authentifié avec succès et qu'il doit bénéficier d'un accès à Internet.

Identity-Based Networking

Une architecture réseau dans laquelle les droits d'accès, les VLANs et les limites de bande passante sont appliqués en fonction de l'identité authentifiée de l'utilisateur ou de l'appareil, plutôt que du port physique ou du SSID auquel ils se connectent.

Le terme utilisé par Purple pour désigner la combinaison de RADIUS, PPSK et de l'attribution de VLAN qui permet d'appliquer des politiques cohérentes sur un parc distribué.

Dynamic VLAN assignment

Le processus consistant à placer un appareil client sur un réseau local virtuel (VLAN) spécifique en fonction des informations d'authentification renvoyées par un serveur RADIUS, plutôt que d'un mappage statique SSID-vers-VLAN.

Essentiel pour isoler le trafic du personnel, des clients et de l'IoT sur une infrastructure sans fil partagée. Nécessite les attributs RADIUS corrects : Tunnel-Type, Tunnel-Medium-Type et Tunnel-Private-Group-Id.

Captive Network Assistant (CNA)

Le mécanisme d'OS intégré sur iOS, Android et Windows qui détecte un captive portal en interrogeant une URL connue. Si la sonde est redirigée, l'OS lance un pseudo-navigateur pour que l'utilisateur se connecte.

Si les domaines de sonde CNA sont bloqués dans le walled garden, l'utilisateur ne voit jamais la splash page. Il s'agit du mode de défaillance de captive portal le plus courant.

WPA3-OWE

Wi-Fi Protected Access 3 - Opportunistic Wireless Encryption. Un standard qui chiffre les données en transit sur les réseaux ouverts sans nécessiter de mot de passe, protégeant la confidentialité des clients tout en permettant la redirection vers le captive portal.

Le mode de sécurité recommandé pour les SSIDs invités en 2026. Fournit un chiffrement sans la friction d'une clé pré-partagée.

AltaPass

L'implémentation en instance de brevet d'Alta Labs de la technologie SSID multi-mots de passe. Permet à un seul SSID de prendre en charge un nombre illimité de mots de passe uniques, chacun ayant son propre VLAN, sa limite de bande passante, son calendrier et son paramètre de contournement du hotspot.

L'outil principal pour la segmentation multi-tenant sur le matériel Alta Labs. Remplace le besoin de multiples SSIDs dans les déploiements résidentiels, hôteliers et de bureaux intelligents.

Exemples concrets

Un hôtel de 200 chambres doit fournir un accès WiFi à plusieurs niveaux : un niveau de base gratuit (10 Mbps) pour les clients standard, un niveau payant premium (50 Mbps) pour les membres du programme de fidélité, et un réseau sécurisé pour le personnel de ménage. Ils souhaitent éviter de diffuser plusieurs SSIDs afin de maintenir les performances RF sur 40 unités Alta Labs AP6 Pro.

Déployez un seul SSID nommé 'Hotel Guest WiFi' avec AltaPass activé. Créez trois profils de mot de passe dans le tableau de bord Alta Labs : (1) un mot de passe client standard attribué au VLAN 10 avec une limite de téléchargement de 10 Mbps et une redirection hotspot externe vers la splash page de Purple ; (2) un mot de passe de membre de programme de fidélité attribué au VLAN 20 avec une limite de 50 Mbps - Purple peut distribuer ce mot de passe après authentification via son automatisation marketing ; (3) un mot de passe pour le personnel de ménage attribué au VLAN 30 sans limite de bande passante, avec contournement du hotspot activé et isolation des clients désactivée afin que les appareils du personnel puissent communiquer avec les systèmes internes. Configurez les liaisons montantes du commutateur en tant que trunks autorisant les VLANs 10, 20 et 30. Les VLANs clients et fidélité sont acheminés vers Internet via NAT. Le VLAN du personnel est acheminé vers le sous-réseau du système de gestion de l'établissement.

Commentaire de l'examinateur : Cette approche utilise AltaPass pour réaliser un réseau basé sur l'identité (Identity-Based Networking) sans prolifération de SSIDs. L'élément clé est que le contournement du hotspot est un paramètre par mot de passe, et non par SSID. Cela permet au même SSID de desservir simultanément les clients du captive portal et le personnel bénéficiant du contournement. La distribution du niveau de fidélité via le flux post-authentification de Purple est un modèle courant dans l'hôtellerie : le client se connecte sur le niveau standard, et le moteur marketing de Purple lui envoie un code d'accès premium s'il correspond aux critères de fidélité.

Une chaîne de vente au détail déploie Purple Guest WiFi dans 50 magasins à l'aide du matériel Alta Labs. Pendant les tests, la splash page se charge correctement sur les appareils Android, mais les appareils Apple iOS affichent une erreur générique 'Pas de connexion Internet' et n'affichent pas l'écran de connexion. Le walled garden comprend le domaine du portail Purple et les entrées Google OAuth.

Ajoutez captive.apple.com au walled garden dans la configuration Hotspot d'Alta Labs. iOS utilise ce domaine comme sonde pour son Captive Network Assistant. Lorsque l'appareil se connecte à un nouveau réseau, iOS envoie une requête HTTP à captive.apple.com. S'il reçoit la réponse attendue, il suppose que le réseau est ouvert. S'il reçoit une redirection, il lance le pseudo-navigateur. Si le domaine est entièrement bloqué, iOS ne peut pas détecter le captive portal et affiche une erreur de connectivité. Une fois le domaine mis sur liste blanche, les appareils iOS détecteront la redirection et lanceront automatiquement l'écran de connexion.

Commentaire de l'examinateur : Il s'agit du mode de défaillance de captive portal le plus courant sur le terrain. Android utilise connectivitycheck.gstatic.com et Windows utilise msftconnecttest.com dans le même but. Tous trois doivent figurer dans le walled garden pour un déploiement multiplateforme. Cette défaillance est particulièrement déroutante car elle se présente comme une erreur de connectivité réseau plutôt que comme une erreur de portail, ce qui conduit les ingénieurs à examiner le DHCP et le DNS avant de vérifier le walled garden.

Questions d'entraînement

Q1. Vous déployez des points d'accès Alta Labs AP6 Pro dans un centre de conférences. Le client exige un captive portal pour les participants, mais a également besoin que les terminaux de point de vente se connectent de manière sécurisée aux mêmes points d'accès sans voir la splash page. Les deux types d'appareils doivent utiliser le même SSID pour simplifier la signalisation. Comment configurez-vous cela ?

Conseil : AltaPass permet des paramètres de contournement de hotspot par mot de passe sur le même SSID.

Voir la réponse type

Activez AltaPass sur le SSID unique. Créez un mot de passe pour les terminaux de point de vente qui les attribue à un VLAN sécurisé (par exemple, le VLAN 50) avec le contournement du hotspot activé - ces appareils se connectent directement au réseau sans voir le captive portal. Créez un mot de passe distinct (ou utilisez une connexion ouverte) pour les participants qui déclenche la redirection externe vers la splash page de Purple sur le VLAN 10. Les deux types d'appareils se connectent au même SSID mais reçoivent des politiques réseau différentes en fonction de leur mot de passe.

Q2. Après avoir configuré le captive portal de Purple sur un réseau Alta Labs, les appareils Android affichent correctement la splash page, mais les appareils Apple iOS affichent une erreur générique 'Pas de connexion Internet' et n'ouvrent pas l'écran de connexion. Le walled garden comprend le domaine du portail Purple et les entrées Google OAuth. Quelle est la cause la plus probable et comment y remédier ?

Conseil : iOS utilise un domaine spécifique pour détecter les captive portals. S'il ne peut pas atteindre ce domaine, il suppose que le réseau n'a pas d'accès Internet.

Voir la réponse type

Le walled garden ne contient pas captive.apple.com. iOS envoie une sonde HTTP vers ce domaine lors de la connexion à un nouveau réseau. Si la sonde est bloquée, iOS ne peut pas détecter le captive portal et affiche une erreur de connectivité au lieu de lancer le Captive Network Assistant. Ajoutez captive.apple.com au walled garden dans la configuration Hotspot d'Alta Labs. Ajoutez également connectivitycheck.gstatic.com pour Android et msftconnecttest.com pour Windows afin de garantir la compatibilité multiplateforme.

Q3. Un directeur informatique de stade a configuré des VLANs attribués par RADIUS sur un réseau de personnel Alta Labs 802.1X. Le serveur RADIUS envoie le bon attribut Tunnel-Private-Group-Id (VLAN 20), mais tous les appareils du personnel se retrouvent sur le VLAN 5, qui est le VLAN par défaut configuré sur le SSID. Quelle est la cause de ce problème et comment le résoudre ?

Conseil : Il existe un comportement connu dans le firmware d'Alta Labs concernant l'interaction entre le VLAN par défaut du SSID et les VLANs attribués par RADIUS.

Voir la réponse type

L'AP Alta Labs remplace le VLAN attribué par RADIUS par la valeur du VLAN par défaut du SSID. Il s'agit d'un comportement connu du firmware : lorsque le VLAN par défaut sur le SSID est défini sur une valeur spécifique (le VLAN 5 dans ce cas), l'AP utilise cette valeur au lieu du VLAN renvoyé par RADIUS. La solution consiste à définir le VLAN par défaut sur le SSID 802.1X sur le VLAN 1 (ou à le laisser non étiqueté). Avec le paramètre par défaut défini sur le VLAN 1, l'AP s'en remet correctement au VLAN attribué par RADIUS pour chaque utilisateur authentifié.

Continuer la lecture de cette série

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Lire le guide →

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Lire le guide →

Intégration des points d'accès Grandstream GWN avec Purple WiFi

Ce guide de référence technique officiel détaille comment intégrer les points d'accès Grandstream GWN avec le Guest WiFi de Purple et sa plateforme d'analyse. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage dynamique des VLAN, et la segmentation PPSK multi-tenant - offrant ainsi des instructions étape par étape directement exploitables pour les MSP et les équipes informatiques déployant du WiFi invités et personnel à grande échelle.

Lire le guide →