Intégration des Access Points EnGenius Cloud avec Purple WiFi

Cette référence technique détaille l'intégration étape par étape des Access Points EnGenius Cloud et des commutateurs ECS avec la plateforme de WiFi invité de Purple. Elle couvre la redirection vers le Captive Portal invité via une page de splash externe, la configuration du Walled Garden, le WiFi sécurisé pour le personnel utilisant l'IEEE 802.1X, et l'isolation réseau multi-locataire avec EnGenius MyPSK et l'attribution dynamique de VLAN. Les installateurs informatiques et les architectes réseau y trouveront des séquences de configuration concrètes, des études de cas réelles et un cadre de dépannage pour déployer Purple sur des parcs de matériel EnGenius.

📖 9 min de lecture📝 2,239 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 10 définitions clés

Écouter ce guide

Voir la transcription du podcast

SCRIPT DE PODCAST : Intégration des Access Points EnGenius Cloud avec Purple WiFi
Plateforme d'intelligence Purple WiFi - Série de briefings techniques
Durée : Environ 10 minutes
Voix : Anglais britannique, ton de consultant senior - confiant, conversationnel, faisant autorité

[INTRO - 1 MINUTE]

Bienvenue dans la série de briefings techniques de Purple. Aujourd'hui, nous abordons un sujet qui revient régulièrement lors des déploiements en entreprise : l'intégration des access points EnGenius Cloud avec la plateforme de guest WiFi de Purple.

Si vous gérez un parc EnGenius, qu'il s'agisse d'access points de la série ECW dans un hôtel, une chaîne de magasins ou un immeuble de bureaux multi-locataires, et que vous souhaitez ajouter un Captive Portal personnalisé, collecter des données clients de première main et appliquer une segmentation réseau rigoureuse, ce briefing est fait pour vous.

Dans les dix prochaines minutes, je vais vous guider à travers les quatre grands domaines de configuration : la redirection vers le Captive Portal invité, la configuration du walled garden, le WiFi sécurisé pour le personnel via 802.1X, et l'isolation multi-locataire à l'aide d'EnGenius MyPSK avec attribution dynamique de VLAN. À la fin, vous aurez une vision claire de ce qu'il faut configurer, dans quel ordre, et des pièges courants à éviter.

C'est parti.

[ZOOM TECHNIQUE - 5 MINUTES]

Commençons par le Captive Portal invité, le point de départ le plus courant pour tout gestionnaire de site.

EnGenius Cloud prend en charge nativement les splash pages externes. Cela signifie qu'au lieu d'héberger une page de connexion basique sur l'access point lui-même, vous redirigez les invités non authentifiés vers le portail hébergé sur le cloud de Purple. C'est là que résident l'image de marque, la capture de données, la gestion des consentements et les analyses.

Voici la séquence de configuration dans EnGenius Cloud. Connectez-vous à votre tableau de bord EnGenius Cloud et accédez à Configure, puis SSID. Sélectionnez votre SSID invité. Sous l'onglet Wireless, définissez le type de sécurité sur Open ou WPA2 PSK, selon vos préférences. Le mode Open est la norme pour la plupart des déploiements de WiFi invités. Passez ensuite à l'onglet Captive Portal. Activez le Captive Portal et définissez l'Authentication Type sur Custom RADIUS. C'est le paramètre clé. Il indique à l'access point de transférer les demandes d'authentification à un serveur RADIUS externe, qui est en l'occurrence le point de terminaison RADIUS cloud de Purple.

Saisissez maintenant les détails RADIUS de Purple. L'adresse IP du serveur RADIUS principal est fournie dans votre tableau de bord Purple sous Hardware Configuration. Le port d'authentification est UDP 1812. Le port d'accounting est UDP 1813. Saisissez le secret partagé (shared secret). Purple le génère pour vous, et il doit comporter au moins 22 caractères mélangeant majuscules, minuscules, chiffres et symboles. Définissez l'identifiant NAS pour qu'il corresponde au nom de votre site ou à un identifiant unique que vous avez défini dans Purple.

Ensuite, passez à l'onglet Splash Page. Sélectionnez URL de Splash Page externe et saisissez l'URL du portail Purple. Il s'agit de l'URL fournie par Purple pour votre site spécifique. Lorsqu'un visiteur se connecte au SSID et ouvre un navigateur, le point d'accès intercepte la requête et le redirige vers cette URL, en transmettant des paramètres tels que l'adresse MAC du client, l'adresse MAC du point d'accès et l'URL d'origine que le visiteur tentait d'atteindre.

Passons maintenant au walled garden. Il s'agit de la liste des domaines et des adresses IP que les visiteurs peuvent atteindre avant de s'authentifier. Sans cela, le portail Purple lui-même ne peut pas se charger, car le navigateur du visiteur ne peut pas accéder aux serveurs de Purple. Dans EnGenius Cloud, le walled garden se trouve sous Captive Portal, puis Advanced Settings, puis Walled Garden. Vous devez ajouter le domaine du portail Purple, les points de terminaison du CDN de Purple et les points de terminaison de détection du Captive Portal du système d'exploitation. Pour les appareils Apple, il s'agit de captive.apple.com. Pour Android, connectivitycheck.gstatic.com. Pour Windows, msftconnecttest.com. Si vous en oubliez un seul, les visiteurs utilisant ces plateformes ne verront pas du tout le portail.

Si vous proposez la connexion via les réseaux sociaux avec Google ou Facebook, vous devez également autoriser les points de terminaison OAuth de ces fournisseurs. Google nécessite au minimum accounts.google.com, oauth2.googleapis.com et apis.google.com. Facebook requiert www.facebook.com, graph.facebook.com et connect.facebook.net. La documentation d'assistance de Purple fournit une liste à jour du walled garden pour chaque méthode d'authentification. Utilisez-la comme référence, car ces domaines sont amenés à changer.

Passons maintenant à la sécurisation du WiFi du personnel à l'aide de la norme 802.1X.

Il s'agit d'un SSID distinct. Le type de sécurité ici est WPA2 Enterprise ou WPA3 Enterprise. Dans EnGenius Cloud, sous l'onglet SSID Wireless, sélectionnez WPA2 Enterprise, puis choisissez Custom RADIUS. Saisissez les mêmes informations de serveur RADIUS. Le point de terminaison RADIUS de Purple, le port 1812 et le secret partagé. La différence avec la configuration visiteur est qu'il n'y a pas de Captive Portal ici. Les appareils du personnel s'authentifient de manière transparente à l'aide du protocole IEEE 802.1X. L'appareil présente un certificat ou un identifiant et un mot de passe au serveur RADIUS, qui les valide et renvoie un message Access-Accept ainsi que des attributs d'attribution de VLAN.

Les attributs RADIUS qui pilotent l'attribution dynamique de VLAN sont Tunnel-Type défini sur VLAN, Tunnel-Medium-Type défini sur 802 et Tunnel-Private-Group-ID défini sur le numéro du VLAN. Ainsi, si le VLAN de votre personnel est le VLAN 20, le serveur RADIUS renvoie la valeur 20 pour Tunnel-Private-Group-ID. Le point d'accès EnGenius lit cet attribut et place automatiquement l'appareil authentifié sur le VLAN 20. Cela signifie que vous pouvez avoir un seul SSID desservant plusieurs rôles du personnel (finance, opérations, informatique, prestataires), chacun se retrouvant sur un VLAN différent en fonction de son appartenance à un groupe d'annuaire, le tout sans aucune configuration manuelle de VLAN par appareil.Pour la méthode EAP, PEAP-MSCHAPv2 est le choix le plus courant pour les environnements utilisant Active Directory ou Microsoft Entra ID. Elle nécessite un certificat côté serveur sur le serveur RADIUS et des identifiants nom d'utilisateur/mot de passe sur le client. EAP-TLS est plus sécurisée. Elle utilise des certificats des deux côtés. Cependant, elle requiert une infrastructure PKI et un déploiement MDM pour pousser les certificats vers les appareils. Pour la plupart des exploitants de sites, PEAP-MSCHAPv2 avec une validation stricte des certificats appliquée via une stratégie de groupe ou un MDM est le choix le plus pragmatique.

Passons maintenant à la partie la plus intéressante sur le plan technique : EnGenius MyPSK et l'isolation multi-locataire.

MyPSK, également appelé PPSK ou Private Pre-Shared Key, résout un problème spécifique dans les environnements multi-locataires. Dans un programme immobilier locatif, un bureau équipé ou une résidence étudiante, vous souhaitez que chaque locataire ou résident dispose de son propre mot de passe WiFi unique. Mais vous ne voulez pas créer un SSID distinct pour chaque locataire. Cela génère un encombrement des fréquences radio et une surcharge de gestion.

MyPSK vous permet de créer jusqu'à 500 clés pré-partagées uniques par SSID. Chaque clé est liée à un VLAN spécifique. Lorsqu'un résident se connecte en utilisant sa clé unique, le point d'accès le place automatiquement sur son VLAN désigné. Le trafic du locataire A ne touche jamais le segment réseau du locataire B. Le chiffrement est également appliqué par utilisateur. Chaque clé génère une clé maîtresse par paire (Pairwise Master Key) unique, de sorte qu'un locataire ne peut pas déchiffrer le trafic aérien d'un autre locataire, même s'ils partagent le même SSID.

Dans EnGenius Cloud, vous configurez MyPSK sous les paramètres de sécurité du SSID. Sélectionnez WPA2 PSK ou WPA3 Personal, puis activez MyPSK. Vous pouvez ensuite créer des PSK individuellement ou générer automatiquement des lots allant jusqu'à 50 clés à la fois. Pour chaque PSK, vous attribuez un ID de VLAN et pouvez éventuellement définir une date d'expiration. Lorsqu'un bail prend fin ou qu'un étudiant obtient son diplôme, il vous suffit de désactiver ou de supprimer sa clé PSK. L'accès est révoqué immédiatement sans affecter les autres locataires.

Pour l'intégration de Purple dans un environnement MyPSK, les locataires côté invités peuvent toujours être redirigés vers un Captive Portal sur leur VLAN. Le personnel et les locataires opérationnels contournent entièrement le portail. La segmentation VLAN garantit que les données analytiques de Purple sont correctement attribuées par segment réseau.

[RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER - 2 MINUTES]

Laissez-moi vous présenter la séquence de mise en œuvre que je recommande pour un premier déploiement réussi.

Commencez par votre architecture VLAN avant de toucher à la configuration WiFi. Définissez le VLAN 10 pour les invités, le VLAN 20 pour le personnel, le VLAN 30 pour les locataires, ou toute autre numérotation adaptée à votre schéma existant. Configurez d'abord ces VLAN sur vos commutateurs ECS, avec les affectations appropriées de ports trunk et d'accès. Les points d'accès doivent recevoir le trafic tagué sur le port de liaison montante pour chaque VLAN que vous prévoyez d'utiliser.

Configurez ensuite les SSIDs dans EnGenius Cloud dans cet ordre : le SSID invité d'abord, car c'est le plus simple. Validez la redirection du Captive Portal vers Purple avant de continuer. Configurez ensuite le SSID du personnel avec 802.1X. Testez avec un appareil connu avant de déployer sur l'ensemble du parc. Enfin, configurez MyPSK si vous avez besoin d'une isolation multi-locataire.

Les pièges à éviter. Premièrement, le walled garden. C'est la cause numéro un des échecs de déploiement de Captive Portal. Si les invités ne peuvent pas accéder au portail, vérifiez d'abord le walled garden. Deuxièmement, une incompatibilité de clé secrète partagée RADIUS. La clé secrète partagée doit être identique sur la configuration EnGenius Cloud et sur la configuration du serveur RADIUS de Purple. Une différence d'un seul caractère entraîne l'échec silencieux de chaque authentification. Troisièmement, la configuration du trunk VLAN sur le commutateur. Si le port du commutateur ECS connecté au point d'accès n'est pas configuré comme un trunk transportant tous les VLANs requis, l'attribution dynamique de VLAN échouera. Quatrièmement, la validation des certificats sur les clients 802.1X. Si les appareils du personnel ne sont pas configurés pour valider le certificat du serveur RADIUS, ils sont vulnérables au vol d'identifiants via des points d'accès malveillants. Imposez cette validation via une stratégie de groupe (GPO) pour Windows et des profils MDM pour tous les autres systèmes.

[Q&R RAPIDE - 1 MINUTE]

Quelques questions que j'entends régulièrement sur les déploiements EnGenius et Purple.

Puis-je utiliser le RADIUS d'EnGenius Cloud au lieu de celui de Purple ? Oui, pour l'authentification interne. Mais pour le WiFi invité avec les analyses et le portail de Purple, vous devez pointer vers le point de terminaison RADIUS de Purple. Les deux peuvent coexister sur des SSIDs différents.

Est-ce que MyPSK fonctionne avec le WPA3 ? Oui. EnGenius prend en charge le WPA3 et le mode mixte WPA2/WPA3 avec MyPSK, de sorte que les appareils compatibles WPA3 bénéficient de l'authentification SAE tandis que les appareils plus anciens se rabattent sur le WPA2 PSK, le tout en utilisant la même clé par utilisateur.

Est-ce que Purple prend en charge la comptabilité RADIUS pour les données de session ? Oui. Activez le serveur de comptabilité (accounting) dans la configuration RADIUS d'EnGenius Cloud, en pointant vers le point de terminaison de comptabilité de Purple sur le port UDP 1813. Cela permet d'alimenter les analyses de Purple en données de durée de session et de volume de données.

[RÉSUMÉ ET PROCHAINES ÉTAPES - 1 MINUTE]

En résumé. Les points d'accès EnGenius Cloud s'intègrent parfaitement à la plateforme WiFi invité de Purple grâce à quatre couches de configuration. La redirection du Captive Portal invité utilise un RADIUS personnalisé et une URL de page de garde externe pointant vers Purple. La liste blanche du walled garden garantit le chargement du portail avant l'authentification. Le WiFi du personnel utilise le WPA2 Entreprise avec 802.1X et l'attribution dynamique de VLAN via les attributs RADIUS. Et l'isolation multi-locataire utilise EnGenius MyPSK pour attribuer des clés uniques par utilisateur liées à des VLANs spécifiques, avec des dates d'expiration facultatives pour les accès limités dans le temps.

Purple est déployé dans 80 000 sites et a traité 440 millions de connexions rien qu'en 2024. La plateforme est certifiée ISO 27001, conforme au GDPR et indépendante du matériel, ce qui explique précisément pourquoi elle fonctionne parfaitement avec EnGenius aux côtés de Cisco Meraki, HPE Aruba, Ruckus et du reste de l'écosystème de matériel d'entreprise.

Si vous êtes prêt à déployer, commencez par le guide de configuration du walled garden dans la documentation d'assistance de Purple, puis procédez à la configuration du SSID dans EnGenius Cloud. Le guide complet étape par étape est disponible sur purple.ai. Merci pour votre attention.

Points clés à retenir

✓EnGenius Cloud s'intègre à Purple via un RADIUS personnalisé (UDP 1812/1813) et une URL de page de garde externe configurée dans les paramètres de Captive Portal du SSID.
✓Un Walled Garden correctement configuré est l'élément le plus critique pour les déploiements de Captive Portal - il doit inclure les points de terminaison de test des OS, les domaines CDN de Purple et tous les domaines OAuth de connexion sociale.
✓La norme IEEE 802.1X avec WPA2/WPA3 Enterprise fournit une authentification sécurisée et sans mot de passe pour le personnel avec attribution dynamique de VLAN pilotée par les attributs RADIUS Tunnel-Private-Group-ID.
✓EnGenius MyPSK offre une isolation multi-locataire sur un seul SSID en attribuant des PSK et des VLAN uniques à chaque utilisateur, prenant en charge jusqu'à 500 clés par SSID avec des dates d'expiration facultatives.
✓Configurez les ports trunk du commutateur ECS avant de configurer les SSID - l'attribution dynamique de VLAN échoue silencieusement si le commutateur ne peut pas acheminer le VLAN attribué.
✓PEAP-MSCHAPv2 n'est sécurisé qu'avec une validation stricte du certificat du serveur imposée par stratégie de groupe ou MDM - déployez cela avant tout déploiement 802.1X.
✓Purple traite 440 millions de connexions par an dans plus de 80 000 sites et est certifié ISO 27001, conforme au GDPR et indépendant du matériel sur les équipements Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet.

執行摘要

企業 WiFi 若依賴共用的預先共用金鑰，會使場域面臨重大的安全性風險，且無法收集有價值的首方數據。本指南詳細說明 EnGenius Cloud Access Points 與 Purple 的 Guest WiFi 平台的整合，旨在為旅宿餐飲、零售及多租戶環境提供安全、隔離且可衡量的無線網路。透過為員工實施 IEEE 802.1X 驗證、透過 EnGenius MyPSK 為住戶與租戶進行動態 VLAN 分配，以及為訪客提供雲端託管的 Captive Portal，IT 團隊可以執行嚴格的存取控制，同時將無線基礎設施轉化為商業智慧資產。

Purple 每年在 80,000 多個實體場域處理 4.4 億次登入（Purple 內部數據，2024 年）。該平台已通過 ISO 27001 認證、符合 GDPR 與 CCPA 規範，且不受硬體品牌限制，這也正是它能與 EnGenius 以及 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 和 Ubiquiti UniFi 完美整合的原因。本指南涵蓋在 EnGenius Cloud 硬體上部署 Purple 所需的四個配置層：訪客 Captive Portal 重導向、Walled Garden 設定、安全員工 WiFi，以及使用 EnGenius MyPSK 的多租戶隔離。

技術深度解析

架構概述

EnGenius Cloud 與 Purple 之間的整合依賴於標準 RADIUS 協定與 HTTP 重導向。當訪客在啟用 Captive Portal 的 SSID 上連線至 EnGenius ECW 存取點（AP）時，AP 會攔截第一個 HTTP 請求，並將瀏覽器重導向至 Purple 的雲端託管歡迎頁面。此重導向會向該入口網站傳遞多個參數（包括 client_mac、ap_mac 與 userurl），Purple 會使用這些參數來追蹤工作階段並回傳驗證決策。

針對員工與營運設備，其架構則從 Captive Portal 重導向轉變為基於 IEEE 802.1X 連接埠的網路存取控制。EnGenius 存取點作為驗證器，透過 UDP 連接埠 1812 將可延伸驗證協定（EAP）訊息轉發至 Purple 的 RADIUS 伺服器。驗證成功後，RADIUS 伺服器會傳回包含 VLAN 分配屬性的 Access-Accept 訊息，指示 AP 將該裝置放置在正確的網路區段中。

層級	SSID 類型	驗證方法	VLAN 分配
Guest WiFi	Open 或 WPA2 PSK	透過自訂 RADIUS 的 Purple Captive Portal	靜態（例如 VLAN 10）
Staff WiFi	WPA2/WPA3 Enterprise	802.1X (PEAP 或 EAP-TLS)	透過 RADIUS 屬性動態分配
多租戶	搭配 MyPSK 的 WPA2/WPA3 PSK	每使用者 PSK	每金鑰 VLAN 綁定

EnGenius Cloud 平台

EnGenius Cloud 是一個雲端管理的網路平台，支援 ECW 系列無線基地台（包括 ECW220、ECW230 和 ECW520 WiFi 7 機型）以及 ECS 系列管理型交換器。此平台為組織內所有裝置提供了一個集中式儀表板，用於管理 SSID、RADIUS 設定、VLAN 標記以及 Captive Portal 設定。EnGenius Cloud 支援三種基於 RADIUS 的 Captive Portal 認證類型：EnGenius Authentication（使用內建的 Cloud RADIUS）、Custom RADIUS（指向外部伺服器，例如 Purple）以及憑證服務（Voucher Service）。

對於企業級部署，與 Purple 進行整合時，正確的認證類型為 Custom RADIUS。此模式會指示無線基地台將認證請求代理傳送至 Purple 的 RADIUS 端點，從而啟用 Purple 的入口網站、分析和數據擷取功能。

EnGenius MyPSK 與多租戶隔離

在建案出租住宅、學生宿舍、服務式辦公室或共享工作空間等環境中，為每個租戶廣播獨立的 SSID 會降低無線射頻效能。每增加一個 SSID 都會產生信標訊框（beacon frames），消耗空中傳輸時間並減少可用於數據流量的容量。EnGenius MyPSK（亦稱為 PPSK 或個人預共用金鑰）透過在單一 SSID 上允許高達 500 個不重複的 PSK 來解決此問題。

每個金鑰都綁定至特定的 VLAN。當住戶使用其專屬金鑰連線時，無線基地台會自動將其置於指定的網路區段中。加密是針對每位使用者的：每個金鑰都會產生一個不重複的成對主金鑰（PMK），因此即使租戶共用相同的 SSID，其中一個租戶也無法解密另一個租戶的空中傳輸流量。相較於單一共用 PSK（任何知道密碼的使用者都可以解密網路上所有流量），這是一個根本上的安全性優勢。

MyPSK 金鑰支援到期日設定，非常適合有時間限制的存取情境：學生的金鑰在學年結束時過期、承包商的金鑰在其約期結束時過期，而會議出席者的金鑰則在活動最後一天的午夜過期。

實作指南

步驟 1：定義您的 VLAN 架構

在設定任何 SSID 之前，請先在您的 ECS 交換器上定義 VLAN 結構。典型的部署會使用三個 VLAN：

VLAN ID	用途	存取原則
VLAN 10	訪客 WiFi	僅限網際網路，與企業區域網路隔離
VLAN 20	員工 WiFi	完整企業區域網路存取權限
VLAN 30	租戶/住戶 WiFi	獨立的每租戶區段

步驟 2：配置訪客 Captive Portal（EnGenius Captive Portal 設定）

這是部署帶有 Purple 的 EnGenius Splash Page 的主要配置。

登入您的 EnGenius Cloud 控制面板： cloud.engenius.ai 。
導覽至 Configure > SSID 並選擇您的訪客網路（例如 "VenueGuest"）。
在 Wireless 索引標籤下，將安全性類型（Security Type）設定為 Open。這是訪客 WiFi 的標準設定；訪客是在 Portal 層進行識別與驗證，而非在關聯層。
切換至 Captive Portal 索引標籤並啟用 Portal。
將驗證類型（Authentication Type）設定為 Custom RADIUS。
輸入 Purple RADIUS 伺服器詳細資訊：

欄位	值
RADIUS 伺服器 IP	於 Purple 控制面板的硬體配置（Hardware Configuration）中提供
驗證連接埠 (Authentication Port)	UDP 1812
計費連接埠 (Accounting Port)	UDP 1813
共用金鑰 (Shared Secret)	由 Purple 產生的 22 個以上字元的字串
NAS 識別碼 (NAS Identifier)	您的場地名稱或 Purple 場地 ID

切換至 Splash Page 索引標籤。
選擇 External Splash Page URL。
輸入您場地的 Purple Portal URL（格式：https://portal.purple.ai/[venue-id]）。
按一下 Apply。

步驟 3：配置 Walled Garden

必須配置 Walled Garden（EnGenius 訪客 WiFi 白名單），以允許在驗證前存取載入 Portal 所需的網域。導覽至 Captive Portal > Advanced Settings > Walled Garden 並新增以下項目：

Purple 基礎架構：

*.purple.ai
*.purpleportal.net

作業系統 Captive Portal 探測（強制性）：

captive.apple.com (iOS 和 macOS)
connectivitycheck.gstatic.com (Android)
msftconnecttest.com (Windows)

社群登入（若啟用）：

Google: accounts.google.com, oauth2.googleapis.com, apis.google.com, *.gstatic.com
Facebook: www.facebook.com, graph.facebook.com, connect.facebook.net, *.fbcdn.net
Microsoft Entra ID: login.microsoftonline.com, login.live.com

請務必使用網域名稱而非靜態 IP 位址。社群登入供應商使用動態 IP 範圍和任播（Anycast）路由；隨著 CDN 位址的變更，靜態 IP 白名單效能將會逐漸下降。

步驟 4：配置安全員工 WiFi (802.1X)

用於員工 WiFi 的 EnGenius RADIUS 設定採用 WPA2 Enterprise，以提供憑證型、無密碼的驗證。

建立新的 SSID（例如 "VenueStaff"）。
在 Wireless 索引標籤下，將安全性類型設定為 WPA2 Enterprise。
選擇 Custom RADIUS 並輸入 RADIUS 伺服器 IP、連接埠 1812 以及共用金鑰。
不需要 Captive Portal。員工裝置會透過 802.1X 自動在背景完成驗證。
配置您的 RADIUS 伺服器，使其在 Access-Accept 上傳回以下屬性：

RADIUS 屬性	值
Tunnel-Type	13 (VLAN)
Tunnel-Medium-Type	6 (802)
Tunnel-Private-Group-ID	20 (或您的員工 VLAN ID)

關於 EAP 方法的選擇：對於使用 Microsoft Entra ID 或 Active Directory 的環境，PEAP-MSCHAPv2 是最實用的選擇。EAP-TLS 透過完全消除密碼來提供更強的安全性，但需要公開金鑰基礎建設（PKI）和 MDM 解決方案來部署用戶端憑證。請務必透過群組原則（Windows）或 MDM 設定檔（macOS、iOS、Android），在所有用戶端裝置上強制執行嚴格的伺服器憑證驗證，以防止惡意存取點竊取憑證。

步驟 5：配置 EnGenius MyPSK 以實現多租戶隔離

適用於多租戶環境的 EnGenius MyPSK 設定：

建立一個新的 SSID（例如 "VenueResident"）。
在 Wireless 索引標籤下，將安全類型設定為 WPA2 PSK 或 WPA3 Personal。
啟用 MyPSK（Private PSK）。
按一下 Add PSK 建立個別的金鑰，或使用 Auto-Generate 一次批次產生最多 50 個金鑰。
為每個 PSK 分配一個 VLAN ID，並可選擇設定 Start Date（開始日期）和 Expiration Date（過期日期）。
將每個唯一的 PSK 分發給對應的租戶或住戶。

當租戶的租約結束時，刪除或使其 PSK 過期。存取權限會立即被撤銷，且不會影響網路上的任何其他租戶。

最佳實踐

在 802.1X 用戶端上強制執行嚴格的憑證驗證。 只有當用戶端設定為針對信任的 CA 驗證 RADIUS 伺服器的憑證時，PEAP-MSCHAPv2 才是安全的。如果沒有此設定，惡意存取點可能會呈現欺詐性憑證並竊取認證資訊。請透過 Windows 的群組原則物件（GPO）以及所有其他平台的 MDM 組態設定檔來部署驗證設定。對於任何受法規監管環境中的部署，這是不可妥協的要求。

在 Walled Garden 中使用動態 DNS 解析。 Google、Apple 和 Meta 的 OAuth 和 CDN 端點使用的是動態 IP 範圍。請將 Walled Garden 條目配置為網域名稱，並確保您的 EnGenius Cloud 控制器能對其進行動態解析。隨著 CDN IP 的更替，靜態 IP 白名單將會導致驗證失敗。

使用 MAC 驗證繞過（MAB）隔離 IoT 裝置。 印表機、顯示器和 IoT 感測器等無介面裝置無法透過 802.1X 進行驗證。請使用 MAC 驗證繞過（MAB）來識別它們，並將其放入受限制的 VLAN 中，同時配合防火牆規則以防止橫向移動。MAB並非一種安全控制手段，而是一種裝置識別機制。請將經 MAB 驗證的裝置視為不受信任的裝置。

實作 RADIUS 計費。 在 EnGenius Cloud 的 RADIUS 配置中啟用計費伺服器，將其指向 Purple 在 UDP 1813 上的計費端點。這會將工作階段持續時間、數據量和裝置資訊傳送到 Purple 的 WiFi Analytics 平台，提供證明基礎建設投資價值的場地使用率數據。

每季審查 Walled Garden。 OAuth 提供商與 CDN 會變更其網域結構。Apple 在 2023 年曾兩次更新其登入網域。請將 Walled Garden 的每季審查納入您的營運行事曆。如需企業 WiFi 安全實務的進一步指引，請參閱我們的企業 WiFi 安全指南。

疑難排解與風險緩釋

症狀：Captive Portal 無法在 iOS 裝置上載入。 原因：captive.apple.com 未加入 Walled Garden。iOS 使用此端點來偵測 Captive Portal 的存在並觸發 Captive Network Assistant。若缺少此端點，裝置會報告「無網際網路連線」，且永遠不會開啟 Portal 瀏覽器。解決方法：在 EnGenius Cloud 的「Captive Portal > 進階設定」中，將 captive.apple.com 新增至 Walled Garden。

症狀：驗證無聲無息地失敗 - RADIUS 沒有傳回回應。 原因：EnGenius Cloud 與 Purple RADIUS 伺服器設定之間的共用金鑰（Shared Secret）不一致。單一字元的差異就會導致所有驗證請求被捨棄。解決方法：在兩個系統中重新輸入共用金鑰。請從純文字來源複製貼上，以避免隱形字元的置換。

症狀：802.1X 用戶端已驗證，但未收到 IP 地址。 原因：ECS 交換器上行鏈路連接埠未設定為 Trunk 埠，或者 RADIUS 伺服器傳回的 VLAN 在該 Trunk 上不被允許。解決方法：驗證交換器連接埠設定。該連接埠必須是 Trunk 埠，且承載 RADIUS 回應中所參照的所有 VLAN。

症狀：MyPSK 用戶端已連線，但可以接觸到其他租戶的裝置。 原因：SSID 上未啟用用戶端隔離（Client Isolation），或者交換器上的 VLAN 設定未能正確隔離各個區段。解決方法：在 EnGenius Cloud 的 SSID 中啟用用戶端隔離。驗證上游路由器或防火牆上，每個 VLAN 是否都設定了適當的跨 VLAN 路由規則。

症狀：社群媒體登入按鈕有載入，但驗證失敗。 原因：Walled Garden 中遺漏了一個或多個 OAuth 提供商的子網域。Google 與 Meta 在其驗證流程中使用了多個子網域。解決方法：從未驗證的裝置上擷取瀏覽器主控台（Console）輸出，以識別哪個網域被封鎖。將遺漏的網域新增至 Walled Garden。請參閱 Purple 的 Walled Garden 網域白名單文件以取得最新列表。

投資報酬率（ROI）與業務影響

將 Purple 與 EnGenius Cloud 協同部署，能將無線基礎設施從成本中心轉變為數據資產。場地營運商可透過訪客自願同意的選擇，收集完全合規的第一方人口統計數據，進而實現精準的行銷活動與可衡量的參與度。對於 IT 團隊而言，轉向 802.1X 與 MyPSK 消除了管理共用密碼的營運開銷，減少了與存取問題相關的支援工單，並提供了網路使用狀況的精細可視性。

對於旅宿業營運商而言，Premier Inn（Purple 的知名客戶）利用顧客 WiFi 數據來提高忠誠度計劃的參與度，並個性化發送訪問後的溝通訊息。對於零售環境，結合來自 Purple 的 WiFi Analytics 平台的客流量分析與停留時間數據，可提供商品陳列洞察，獨立於安全效益之外，證明了基礎設施投資的合理性。

在多租戶環境中，MyPSK 消除了解決每個租戶需要獨立實體網路基礎設施的需求。單台 EnGenius ECW 基地台即可在單一 SSID 上為 500 個隔離的租戶提供服務，從而降低硬體成本並簡化日常管理。當租戶搬離時，其 PSK 會在幾秒鐘內被刪除，無需更改密碼，也不會對其他住戶造成影響。

Purple 的平台與硬體無關，這意味著相同的 Purple 設定、分析和數據擷取層可在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 硬體上運行。如果您的資產中混合了 EnGenius 和其他廠商，Purple 可為所有設備提供單一管理介面來進行顧客 WiFi 管理。如需相關部署指南，請參閱我們的 DrayTek Vigor 整合指南。

Définitions clés

Captive Portal

Une page web qui intercepte la première requête HTTP d'un utilisateur après sa connexion à un réseau WiFi et l'oblige à s'authentifier ou à accepter les conditions avant de lui accorder l'accès à Internet.

Le mécanisme principal pour l'intégration des invités, la collecte de données et la gestion du consentement conforme au GDPR dans les déploiements Purple. EnGenius Cloud prend en charge les pages de Captive Portal internes et externes.

Walled Garden

La liste blanche explicite de domaines et d'adresses IP avec lesquels un appareil client peut communiquer avant de s'authentifier avec succès via le Captive Portal.

Requis pour permettre aux appareils d'accéder aux serveurs du portail Purple, aux points de terminaison de sonde du système d'exploitation et aux fournisseurs d'identité tiers tels que Google ou Microsoft Entra ID avant que l'authentification ne soit finalisée.

EnGenius MyPSK

Une fonctionnalité qui permet aux administrateurs réseau de créer plusieurs clés pré-partagées (Pre-Shared Keys) uniques sur un seul SSID, chacune étant associée à un VLAN spécifique pour l'isolation du réseau.

Utilisé dans les environnements multi-locataires pour fournir des segments de réseau sécurisés et isolés sans diffuser plusieurs SSID. Prend en charge jusqu'à 500 clés uniques par SSID avec des dates d'expiration facultatives.

Attribution dynamique de VLAN

Le processus par lequel un serveur RADIUS ordonne à un point d'accès de placer un appareil authentifié sur un VLAN spécifique en fonction de son appartenance à un groupe d'annuaire, en utilisant l'attribut Tunnel-Private-Group-ID.

Permet à un seul SSID 802.1X de segmenter automatiquement et de manière sécurisée le trafic pour différents rôles du personnel, sans configuration manuelle de VLAN par appareil.

IEEE 802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un réseau local (LAN) ou sans fil (WLAN), en utilisant EAP pour transmettre les identifiants à un serveur RADIUS.

Le fondement de la sécurité WiFi d'entreprise pour les réseaux du personnel, remplaçant les mots de passe partagés vulnérables par une validation individualisée des identifiants ou des certificats.

RADIUS

Remote Authentication Dial-In User Service ; un protocole réseau fournissant une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (AAA) pour l'accès au réseau.

Le protocole utilisé par les points d'accès EnGenius pour communiquer avec les serveurs d'authentification de Purple. L'authentification utilise le port UDP 1812 ; la comptabilisation utilise le port UDP 1813.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol avec Microsoft Challenge Handshake Authentication Protocol version 2 ; une méthode 802.1X qui crée un tunnel TLS à l'aide d'un certificat côté serveur, à l'intérieur duquel les identifiants nom d'utilisateur-mot de passe sont échangés.

La méthode de déploiement 802.1X la plus courante pour les environnements utilisant Active Directory ou Microsoft Entra ID. Nécessite une validation stricte du certificat de serveur sur les clients pour empêcher le vol d'identifiants.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security ; une méthode d'authentification 802.1X nécessitant des certificats numériques à la fois sur le serveur RADIUS et sur chaque appareil client, éliminant complètement l'usage des mots de passe.

La méthode 802.1X la plus sécurisée, recommandée pour les environnements à haute sécurité. Nécessite une infrastructure à clés publiques (PKI) et une solution MDM pour déployer les certificats clients.

Identifiant NAS

Network Access Server Identifier ; un attribut sous forme de chaîne de caractères inclus dans les requêtes RADIUS pour identifier le point d'accès ou le contrôleur à l'origine de la demande d'authentification.

Configuré dans EnGenius Cloud pour correspondre à l'identifiant du site dans la plateforme Purple, garantissant que les données d'analyse et de session sont attribuées au bon emplacement.

PMK

Pairwise Master Key ; la clé cryptographique dérivée d'une PSK et du nom du SSID, utilisée pour chiffrer la session sans fil entre un client spécifique et un point d'accès.

Dans les déploiements MyPSK, chaque PSK unique génère une PMK distincte, empêchant un locataire de décrypter le trafic d'un autre, même sur le même SSID.

Exemples concrets

Un hôtel de 200 chambres doit fournir un accès WiFi transparent aux clients, un accès sécurisé au personnel de l'hôtel et des réseaux isolés pour trois concessions commerciales dans le hall, le tout en utilisant les mêmes access points EnGenius ECW et commutateurs ECS.

Déployez trois SSID sur le même matériel. SSID 1 (VenueGuest) : Sécurité ouverte avec RADIUS personnalisé pointant vers le point de terminaison RADIUS de Purple. URL de la page de splash externe configurée vers le portail Purple. Walled Garden alimenté avec les sondes d'OS, les domaines CDN de Purple et les points de terminaison Google OAuth. VLAN 10 attribué de manière statique. SSID 2 (VenueStaff) : WPA2 Enterprise avec RADIUS personnalisé. Aucun Captive Portal. Le serveur RADIUS renvoie un Tunnel-Private-Group-ID de 20 pour tout le personnel, avec des sous-groupes (finance, opérations, maintenance) mappés respectivement aux VLAN 21, 22 et 23. SSID 3 (VenueRetail) : WPA2 PSK avec MyPSK activé. Trois PSK uniques créées, chacune liée aux VLAN 31, 32 et 33. Dates d'expiration définies pour correspondre à la durée du bail de chaque concession. Le port de liaison montante du commutateur ECS est configuré comme un trunk transportant les VLAN 10, 20-23 et 31-33.

Commentaire de l'examinateur : Cette approche minimise la surcharge de SSID à seulement trois diffusions, réduisant ainsi les interférences de co-canal, tout en imposant une isolation stricte de couche 2 entre les invités, le personnel et les locataires tiers. L'attribution dynamique de VLAN pour le personnel élimine la reconfiguration manuelle lorsque les employés changent de rôle. Les dates d'expiration MyPSK automatisent la révocation d'accès pour les concessions commerciales sans nécessiter d'intervention informatique.

Un campus universitaire déployant EnGenius Cloud signale que les étudiants qui tentent de se connecter au portail invité Purple à l'aide de leurs comptes Google Workspace reçoivent une erreur de navigateur après avoir cliqué sur le bouton de connexion Google. La page du portail elle-même se charge correctement.

Le chargement de la page du portail confirme que les domaines CDN de Purple sont correctement mis sur liste blanche. L'échec à l'étape de connexion Google indique qu'un ou plusieurs domaines Google OAuth sont manquants dans le Walled Garden. Accédez à EnGenius Cloud > Captive Portal > Paramètres Avancés > Walled Garden et ajoutez : accounts.google.com, oauth2.googleapis.com, apis.google.com, et *.gstatic.com. Le caractère générique gstatic.com est requis car Google héberge ses bibliothèques JavaScript côté client sur ce CDN. Après avoir mis à jour le Walled Garden, testez avec un appareil non authentifié et capturez la sortie de la console du navigateur pour confirmer qu'aucun autre domaine n'est bloqué.

Commentaire de l'examinateur : Les échecs OAuth au niveau de l'étape du fournisseur (plutôt qu'à l'étape du chargement du portail) sont presque universellement causés par des configurations de Walled Garden incomplètes. Le Captive Portal intercepte l'appel HTTPS vers le fournisseur d'identité à moins que le domaine ne soit explicitement contourné. L'utilisation d'entrées génériques (*.gstatic.com) est l'approche pragmatique pour les fournisseurs utilisant plusieurs sous-domaines CDN, à condition que votre version d'EnGenius Cloud prenne en charge les entrées de Walled Garden génériques.

Questions d'entraînement

Q1. Vous déployez un Captive Portal Purple sur des points d'accès EnGenius ECW. Les utilisateurs Android signalent que leurs appareils affichent « Connecté, pas d'internet » et que le portail n'apparaît jamais. Les utilisateurs iOS sur le même SSID accèdent correctement au portail. Quelle est l'erreur de configuration la plus probable et comment la corriger ?

Conseil : Android et iOS utilisent différents points de terminaison de test pour le Captive Portal.

Voir la réponse type

Android utilise connectivitycheck.gstatic.com comme point de terminaison de test de Captive Portal. iOS utilise captive.apple.com. Si les utilisateurs iOS voient le portail mais pas les utilisateurs Android, connectivitycheck.gstatic.com est manquant dans le Walled Garden. Ajoutez-le dans EnGenius Cloud sous Captive Portal > Advanced Settings > Walled Garden. Ajoutez également connectivitycheck.android.com et www.google.com car Android utilise plusieurs URL de test selon la version de l'appareil.

Q2. Un site configure le 802.1X sur un SSID EnGenius. Les appareils du personnel s'authentifient avec succès (les journaux du serveur RADIUS indiquent Access-Accept), mais ils reçoivent une adresse APIPA 169.x.x.x plutôt qu'une IP d'entreprise. Quelle est la cause la plus probable ?

Conseil : Le serveur RADIUS accepte l'authentification, le problème se situe donc en aval de l'authentification.

Voir la réponse type

Le serveur RADIUS renvoie un attribut Tunnel-Private-Group-ID spécifiant un ID de VLAN. Le point d'accès EnGenius tente de taguer le trafic du client avec ce VLAN, mais le port de liaison montante (uplink) sur le commutateur ECS n'est pas configuré comme un port trunk acheminant ce VLAN. L'appareil est placé sur un VLAN où aucun serveur DHCP n'est joignable. Solution : configurez le port uplink du commutateur ECS en tant que trunk, en autorisant explicitement l'ID de VLAN renvoyé par le serveur RADIUS.

Q3. Un gestionnaire d'immeuble résidentiel locatif vous demande pourquoi vous recommandez EnGenius MyPSK plutôt que de créer un SSID distinct pour chacune des 80 unités d'habitation. Fournissez une justification technique.

Conseil : Considérez l'impact des balises (beacons) SSID sur les performances WiFi.

Voir la réponse type

Chaque SSID diffuse des trames de balise (beacons) à intervalles réguliers (généralement toutes les 100 ms). Dans un environnement dense, 80 SSID généreraient une surcharge constante de balises consommant un temps d'antenne important, réduisant la capacité disponible pour le trafic de données réel et dégradant les performances pour tous les utilisateurs. La plupart des points d'accès professionnels imposent également une limite pratique de 8 à 16 SSID par radio. MyPSK offre la même isolation (chaque résident sur un VLAN unique avec une clé de chiffrement unique) à l'aide d'un seul SSID, éliminant ainsi complètement la surcharge de balises. La PMK par utilisateur empêche également les résidents de décrypter le trafic des autres, ce qu'une simple clé PSK partagée ne peut pas faire.

Continuer la lecture de cette série

Intégration de Cisco WLC et Catalyst avec Purple WiFi : Guide étape par étape pour l'accès invité

Ce guide de référence détaille l'intégration étape par étape des contrôleurs Cisco Catalyst 9800 WLC avec Purple WiFi. Il couvre l'authentification web externe (EWA) pour les portails captifs invités, l'802.1X EAP-TLS pour l'accès sécurisé du personnel, et Cisco iPSK pour la segmentation dynamique de VLAN multi-locataire.

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.