Passer au contenu principal
Français

Intégration des points d'accès d'entreprise et NETGEAR Insight avec Purple WiFi

Ce guide fournit aux responsables informatiques une feuille de route technique définitive pour intégrer NETGEAR Insight et les points d'accès d'entreprise WAX avec Purple WiFi. Il couvre les configurations essentielles, notamment les Captive Portals pour les invités, les réseaux du personnel en 802.1X, et la segmentation multi-locataire à l'aide du PPSK et de l'attribution dynamique de VLAN.

📖 6 min de lecture📝 1,295 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bienvenue dans le briefing technique de Purple. Aujourd'hui, nous abordons un sujet qui revient constamment dans nos conversations avec les responsables informatiques et les architectes réseau dans les secteurs de l'hôtellerie, du commerce de détail et des sites multi-locataires : comment intégrer les points d'accès NETGEAR Insight et de la série WAX avec Purple WiFi. Si vous gérez un hôtel, un parc commercial, un centre de conférences ou un développement à usage mixte, ce briefing est directement pertinent pour votre prochaine décision de déploiement. Plantons le décor. La série WAX de NETGEAR - les WAX610, WAX620 et WAX630 - comprend des points d'accès WiFi 6 gérés via la plateforme cloud Insight. Ils prennent en charge jusqu'à huit SSIDs distincts par radio, le chiffrement WPA3 et jusqu'à six gigabits de débit sur le WAX630. Ils sont alimentés par PoE, montables au plafond et gérés à partir d'une interface unique via le portail cloud Insight. Pour un installateur informatique ou un administrateur réseau de PME, il s'agit d'une plateforme véritablement performante à un prix bien inférieur à celui de Cisco Meraki ou HPE Aruba. Purple est une surcouche cloud indépendante du matériel. Nous nous superposons à votre infrastructure existante et nous y ajoutons la couche d'expérience client, la couche de capture de données et la couche d'analyse. Nous avons traité 440 millions de connexions en 2024 sur 80 000 sites actifs. L'intégration avec NETGEAR Insight est propre et bien documentée, et elle couvre quatre cas d'usage distincts que nous allons passer en revue aujourd'hui. Entrons maintenant dans le vif du sujet technique. Les quatre cas d'usage sont : le Guest WiFi avec un Captive Portal Purple, le WiFi sécurisé pour le personnel utilisant le 802.1X, la segmentation multi-locataire à l'aide de la fonctionnalité PPSK de NETGEAR, et l'attribution dynamique de VLAN via RADIUS pour les réseaux basés sur l'identité (Identity-Based Networks). Premier cas d'usage : le Guest WiFi avec un Captive Portal Purple. C'est le point de départ le plus courant. Vous créez un SSID Guest dédié dans NETGEAR Insight et vous le configurez comme un réseau ouvert. La configuration clé se trouve dans la section Captive Portal des paramètres du SSID. Vous sélectionnez Captive Portal externe et vous y collez l'URL de la Splash Page fournie par Purple. Ensuite, vous configurez le type d'authentification. Pour la plupart des déploiements Purple, vous sélectionnerez l'authentification RADIUS. Purple vous fournit une adresse IP de serveur RADIUS principal, le port 1812 pour l'authentification et le port 1813 pour la comptabilité, ainsi qu'un secret partagé. Vous les collez dans la configuration du Captive Portal externe de NETGEAR Insight. Vous définissez également un NAS Identifier - il s'agit d'une chaîne de caractères qui identifie ce point d'accès ou cet emplacement spécifique auprès du serveur RADIUS. Utilisez un nom explicite, comme le nom de votre site et le code de l'emplacement. Le walled garden est l'élément qui pose le plus de problèmes aux installateurs. Avant qu'un invité ne s'authentifie, son appareil doit pouvoir accéder à la splash page de Purple, aux serveurs d'authentification et aux fournisseurs de connexion sociale que vous avez activés. NETGEAR Insight dispose d'une section Walled Garden dédiée dans la configuration du Captive Portal externe où vous ajoutez ces URL. La documentation d'assistance de Purple fournit la liste exacte des domaines à autoriser. Si vous vous trompez, les invités verront une page blanche au lieu de votre portail personnalisé. Une fois configuré, le flux fonctionne ainsi : un invité se connecte au SSID Hotel Guest. Le point d'accès intercepte sa première requête HTTP et le redirige vers la splash page de Purple. L'invité voit votre portail personnalisé, accepte les conditions et fournit éventuellement son adresse e-mail ou se connecte via les réseaux sociaux. Le serveur RADIUS de Purple renvoie un message Access-Accept au point d'accès, et l'accès Internet est accordé à l'invité. Purple capture les données de consentement, enregistre la session, et ces données sont transmises à votre tableau de bord d'analyse Purple. Deuxième cas d'usage : le WiFi sécurisé pour le personnel utilisant le 802.1X. C'est ici que vous abandonnez complètement les mots de passe partagés. Pour les réseaux du personnel, une clé pré-partagée est un risque de sécurité : lorsqu'un employé s'en va, vous devez changer le mot de passe pour tout le monde. Le 802.1X, défini par la norme IEEE 802.1X, attribue à chaque utilisateur un identifiant individuel. Lorsqu'il part, vous désactivez son compte dans votre annuaire et son accès est révoqué instantanément. Dans NETGEAR Insight, vous configurez un SSID Staff distinct avec une sécurité WPA2 Enterprise. Cela indique au point d'accès d'utiliser l'authentification 802.1X plutôt qu'une clé pré-partagée. Vous configurez ensuite les paramètres du serveur RADIUS au niveau de l'emplacement réseau. Allez dans les paramètres de l'emplacement réseau, sélectionnez RADIUS, activez l'authentification d'accès 802.1X, puis saisissez l'IP, le port et le secret partagé de votre serveur RADIUS. L'intervalle de réauthentification par défaut est de 3 600 secondes (une heure), ce qui est un point de départ raisonnable pour la plupart des sites. La méthode EAP la plus courante dans les déploiements de PME est PEAP-MSCHAPv2, qui utilise un certificat côté serveur pour créer un tunnel chiffré à l'intérieur duquel l'utilisateur s'authentifie avec son nom d'utilisateur et son mot de passe Active Directory. EAP-TLS est plus sécurisé (il utilise des certificats des deux côtés) mais nécessite une infrastructure PKI et un MDM pour déployer les certificats sur les appareils. Un point critique : imposez la validation des certificats sur chaque appareil client. Configurez vos appareils Windows via des objets de stratégie de groupe (GPO) et vos appareils mobiles via des profils MDM pour valider le certificat du serveur RADIUS. Si vous ignorez cette étape, les appareils sont vulnérables aux attaques de points d'accès malveillants (rogue AP) où un attaquant présente un faux certificat et capture les identifiants. Troisième cas d'usage : le PPSK de NETGEAR pour les sites multi-locataires. La clé privée pré-partagée (Private Pre-Shared Key) résout un problème spécifique dans les parcs commerciaux, les développements à usage mixte et les espaces de coworking. Vous avez plusieurs locataires qui partagent la même infrastructure WiFi physique. Vous ne voulez pas exécuter des SSIDs distincts pour chaque locataire, car cela crée une congestion des fréquences radio et une complexité de gestion. Mais vous ne pouvez pas non plus donner le même mot de passe à tout le monde, car le locataire A pourrait alors voir le trafic du locataire B. Le PPSK résout cela de manière élégante. Vous créez un seul SSID et vous créez plusieurs clés pré-partagées dans NETGEAR Insight sous Wireless, Settings, Advanced, Multi PSK Settings. Chaque clé est associée à un VLAN spécifique. Le locataire A obtient un mot de passe unique de 16 caractères qui correspond au VLAN 30. Le locataire B obtient un mot de passe différent qui correspond au VLAN 40. L'équipe de gestion du site obtient un troisième mot de passe qui correspond au VLAN 20, lequel a accès aux systèmes de gestion. Lorsque les appareils du locataire A se connectent à l'aide de leur mot de passe, le point d'accès les place automatiquement sur le VLAN 30. Ils ne peuvent voir aucun trafic sur le VLAN 40 ou le VLAN 20. Du point de vue du locataire, il dispose simplement d'un mot de passe WiFi. De votre point de vue d'administrateur réseau, vous bénéficiez d'une isolation complète du trafic entre les locataires sans aucun matériel supplémentaire. Il y a deux limitations importantes à connaître. Tout d'abord, le PPSK dans NETGEAR Insight nécessite un chiffrement WPA2 Personal ou WPA2 Personal Mixed. Il ne fonctionne pas sur la bande 6 GHz. Deuxièmement, le PPSK ne peut pas être combiné avec un Captive Portal sur le même SSID. Si vous avez besoin des deux, vous devez créer deux SSIDs distincts, ce qui ne pose aucun problème puisque les points d'accès de la série WAX en prennent en charge jusqu'à huit. Quatrième cas d'usage : l'attribution dynamique de VLAN via RADIUS. Il s'agit de la configuration la plus sophistiquée et de celle qui sous-tend la capacité de réseaux basés sur l'identité (Identity-Based Networks) de Purple. Au lieu d'attribuer statiquement un VLAN à un mot de passe ou à un SSID, vous laissez le serveur RADIUS décider quel VLAN attribuer en fonction de la personne qui s'authentifie. Le mécanisme utilise trois attributs RADIUS standard : Tunnel-Type, qui doit être défini sur la valeur 13 pour le VLAN ; Tunnel-Medium-Type, qui doit être défini sur la valeur 6 pour l'IEEE 802 ; et Tunnel-Private-Group-ID, qui transporte l'ID de VLAN sous forme de chaîne de caractères. Lorsqu'un utilisateur s'authentifie avec succès, le serveur RADIUS renvoie ces trois attributs dans le message Access-Accept. Le point d'accès les lit et place le client sur le VLAN spécifié. En pratique, cela signifie que vous pouvez avoir un seul SSID WPA2 Enterprise où un directeur d'hôtel s'authentifie et arrive sur le VLAN 20 avec accès aux systèmes de gestion de l'établissement, un agent de réception s'authentifie et arrive sur le VLAN 21 avec accès uniquement au système d'enregistrement, et un prestataire s'authentifie et arrive sur le VLAN 50 avec un accès Internet uniquement. Tout cela à partir du même SSID, appliqué automatiquement par le serveur RADIUS en fonction de l'appartenance aux groupes Active Directory. Parlons maintenant des recommandations de mise en œuvre et des pièges à éviter. Le premier piège est le walled garden. Chaque déploiement de Captive Portal externe échoue au moins une fois au niveau du walled garden. Le symptôme est que les invités se connectent au SSID mais voient une erreur de navigateur au lieu de la splash page. La solution est méthodique : ouvrez la documentation d'assistance de Purple, copiez chaque domaine de la liste du walled garden et collez-les dans la section Walled Garden de NETGEAR Insight. Testez avec un appareil qui n'a pas d'identifiants en cache. Le deuxième piège est l'accessibilité du serveur RADIUS. Le point d'accès NETGEAR doit pouvoir atteindre votre serveur RADIUS. RADIUS utilise le port UDP 1812 pour l'authentification et le port UDP 1813 pour la comptabilité. Ouvrez ces ports depuis l'IP de gestion du point d'accès vers l'IP du serveur RADIUS. Testez avec un outil de test RADIUS avant de passer en production. Le troisième piège est le conflit entre le PPSK et le Captive Portal. NETGEAR Insight ne permet pas d'avoir le PPSK et un Captive Portal sur le même SSID. Si vous avez besoin des deux, acryez deux SSIDs. Nommez-les clairement : un pour les locataires PPSK et un pour les invités du Captive Portal. Le quatrième piège est la validation des certificats sur les clients 802.1X. Chaque appareil Windows a besoin d'un objet de stratégie de groupe (GPO) qui spécifie l'autorité de certification de confiance et le nom attendu du serveur RADIUS. Chaque appareil mobile a besoin d'un profil MDM avec les mêmes paramètres. Sans cela, un utilisateur pourrait s'authentifier sans le savoir auprès d'un point d'accès malveillant et transmettre ses identifiants Active Directory. Passons maintenant à une session de questions-réponses rapide. Question un : Puis-je utiliser Purple avec NETGEAR Insight sans serveur RADIUS ? Oui, pour les déploiements de Captive Portals pour invités, vous pouvez utiliser le mode d'authentification web de Purple plutôt que RADIUS. Le point d'accès redirige vers la splash page via HTTP, et Purple gère l'authentification via une session web. Le RADIUS vous offre plus de contrôle et de meilleures données de comptabilité, mais il n'est pas obligatoire pour les déploiements de portails d'invités de base. Question deux : Combien de clés PPSK puis-je créer dans NETGEAR Insight ? NETGEAR Insight prend en charge jusqu'à 64 clés PPSK par SSID sur les points d'accès de la série WAX. Pour la plupart des sites multi-locataires, c'est amplement suffisant. Si vous avez plus de 64 locataires, vous devez plutôt passer à une solution de VLAN dynamique basée sur RADIUS. Question trois : NETGEAR Insight prend-il en charge le WPA3 Enterprise pour le 802.1X ? Oui, les points d'accès de la série WAX prennent en charge le WPA3 Enterprise. Pour la plupart des déploiements de PME, le WPA2 Enterprise est suffisant et offre une compatibilité plus large avec les appareils clients. Le WPA3 Enterprise mérite d'être envisagé pour les environnements traitant des données sensibles, comme la santé ou les services financiers. Question quatre : Que se passe-t-il si le serveur RADIUS de Purple est injoignable ? NETGEAR Insight prend en charge une option de secours (failsafe) dans la configuration du Captive Portal externe. Si vous activez le mode de secours, les invités bénéficient d'un accès Internet pendant une courte période même si les serveurs du Captive Portal sont injoignables. Purple maintient une disponibilité de 99,999 % sur l'ensemble de son infrastructure, mais l'activation du mode de secours est une bonne pratique pour tout déploiement en production. Pour résumer les points clés du briefing d'aujourd'hui. Les points d'accès de la série NETGEAR WAX s'intègrent à Purple via le mécanisme de Captive Portal externe dans NETGEAR Insight. Vous configurez l'URL de la splash page, les identifiants du serveur RADIUS et les domaines du walled garden dans le portail cloud Insight. Pour les réseaux du personnel, utilisez le WPA2 Enterprise avec le 802.1X et imposez la validation des certificats sur chaque appareil client. Pour les sites multi-locataires, la fonctionnalité PPSK de NETGEAR vous offre une isolation VLAN par locataire à partir d'un seul SSID avec jusqu'à 64 clés uniques. Pour les déploiements les plus sophistiqués, l'attribution dynamique de VLAN via les attributs RADIUS vous offre une segmentation réseau basée sur l'identité qui s'adapte à la personne qui se connecte, et pas seulement à l'endroit d'où elle se connecte. Si vous planifiez un déploiement NETGEAR avec Purple, la prochaine étape consiste à demander vos identifiants RADIUS Purple et la liste des domaines du walled garden à l'équipe d'assistance de Purple, et à tester la redirection du Captive Portal sur un SSID de test avant de le déployer en production. La configuration prend moins de 30 minutes une fois que vous avez ces identifiants en main. Merci d'avoir écouté le briefing technique de Purple. Pour obtenir le guide écrit complet, y compris les détails de configuration étape par étape et des exemples concrets, visitez purple.ai.

header_image.png

Résumé exécutif

S'appuyer sur des clés pré-partagées pour l'accès WiFi d'entreprise constitue un risque de sécurité important. Un seul identifiant compromis expose l'ensemble du réseau, et la révocation de l'accès nécessite de modifier le mot de passe de chaque appareil. Ce guide fournit aux responsables informatiques et aux architectes réseau une feuille de route définitive pour intégrer NETGEAR Insight et les points d'accès d'entreprise de la série WAX avec Purple.

Nous détaillons quatre architectures de déploiement de base : le Guest WiFi avec un Captive Portal, le WiFi sécurisé pour le personnel utilisant le 802.1X, la segmentation multi-locataire via les Private Pre-Shared Keys (PPSK) de NETGEAR, et les réseaux basés sur l'identité (Identity-Based Networks) utilisant l'attribution dynamique de VLAN. Que vous gériez des établissements de l' Hôtellerie , des espaces de Vente au détail ou des environnements du secteur public, ces configurations éliminent les mots de passe partagés, imposent une segmentation réseau stricte et capturent des Analyses WiFi exploitables.

Écoutez notre podcast de briefing technique ci-dessous pour un aperçu complet de l'architecture et des pièges de déploiement courants.

Analyse technique approfondie

Les points d'accès de la série NETGEAR WAX (WAX610, WAX620, WAX630) sont des appareils WiFi 6 gérés dans le cloud, conçus pour les environnements à haute densité. Gérés via le portail NETGEAR Insight, ils prennent en charge jusqu'à huit SSIDs distincts par radio, le chiffrement WPA3 et un débit multi-gigabit. Purple agit comme une surcouche cloud indépendante du matériel, s'intégrant à NETGEAR Insight pour offrir un contrôle d'accès et une capture de données de classe entreprise.

1. Guest WiFi avec Captive Portal

Pour les environnements ouverts au public, vous devez déployer un Captive Portal externe. Cette configuration intercepte les requêtes HTTP des invités et les redirige vers une splash page hébergée par Purple.

Architecture :

  1. Point d'accès : Le point d'accès NETGEAR WAX diffuse un SSID Guest ouvert ou WPA2 Personal.
  2. Walled Garden : NETGEAR Insight autorise le trafic de pré-authentification vers les serveurs de Purple et les fournisseurs de connexion sociale.
  3. Authentification : Purple gère la session utilisateur via RADIUS ou l'authentification web HTTP.

Lorsqu'un invité se connecte, un portail personnalisé lui est présenté. Après avoir accepté les conditions et fourni ses coordonnées, le serveur RADIUS de Purple renvoie un message Access-Accept, accordant l'accès à Internet. Cette approche garantit la conformité avec les réglementations sur la confidentialité des données comme le GDPR tout en capturant des données de première partie précieuses.

2. WiFi sécurisé pour le personnel (802.1X)

Les clés pré-partagées ne sont pas acceptables pour les réseaux du personnel. Vous devez mettre en œuvre l'authentification IEEE 802.1X. Dans ce modèle, chaque utilisateur dispose d'un identifiant individuel. Lorsqu'un employé s'en va, vous désactivez son compte d'annuaire et son accès est révoqué instantanément.

Dans NETGEAR Insight, vous configurez un SSID Staff avec une sécurité WPA2 Enterprise ou WPA3 Enterprise. Le point d'accès agit comme authentificateur, relayant les messages EAP (Extensible Authentication Protocol) vers le serveur RADIUS. Le serveur RADIUS valide les identifiants par rapport à votre annuaire (par exemple, Microsoft Entra ID ou Okta) et renvoie la décision d'autorisation.

3. Segmentation multi-locataire (PPSK)

Les développements à usage mixte et les parcs commerciaux sont confrontés à un défi spécifique : plusieurs locataires partagent la même infrastructure WiFi physique. Le déploiement de SSIDs distincts pour chaque locataire crée une congestion des fréquences radio. Fournir un seul mot de passe partagé compromet la sécurité.

Le PPSK (Private Pre-Shared Key) de NETGEAR résout ce problème. Vous diffusez un seul SSID. Dans NETGEAR Insight, vous générez des mots de passe uniques pour chaque locataire. De plus, chaque mot de passe est associé à un VLAN spécifique.

ppsk_vlan_infographic.png

Lorsqu'un appareil se connecte en utilisant le mot de passe de l'unité commerciale, le point d'accès le place sur le VLAN commercial isolé. Lorsque la gestion du site se connecte en utilisant son mot de passe, elle arrive sur le VLAN de gestion. Vous obtenez une isolation complète du trafic sans aucun matériel supplémentaire. Note que le PPSK nécessite le WPA2 Personal et ne peut pas être combiné avec un Captive Portal sur le même SSID.

4. Attribution dynamique de VLAN via RADIUS

Pour les réseaux basés sur l'identité (Identity-Based Networks) sophistiqués, vous devez utiliser l'attribution dynamique de VLAN. Au lieu d'attribuer statiquement un VLAN à un SSID ou à un mot de passe, le serveur RADIUS dicte le VLAN en fonction du profil d'annuaire de l'utilisateur.

Le serveur RADIUS renvoie trois attributs standard dans le message Access-Accept :

  • [64] Tunnel-Type = 13 (VLAN)
  • [65] Tunnel-Medium-Type = 6 (802)
  • [81] Tunnel-Private-Group-ID = [VLAN ID]

Un seul SSID WPA2 Enterprise peut desservir l'ensemble de l'organisation. Un directeur d'hôtel s'authentifie et arrive sur le VLAN 20. Un agent de réception arrive sur le VLAN 21. Un prestataire arrive sur le VLAN 50. Le réseau s'adapte à l'identité de l'utilisateur. Pour un aperçu plus large de la sécurisation de votre environnement, consultez notre guide Sécurité WiFi d'entreprise : un guide complet pour 2026 .

architecture_overview.png

Guide de mise en œuvre

Suivez ces étapes pour déployer NETGEAR Insight avec le Guest WiFi de Purple.

Étape 1 : Configurer le SSID Guest

  1. Connectez-vous au portail cloud NETGEAR Insight.
  2. Sélectionnez votre emplacement réseau et accédez à Wireless > Settings.
  3. Créez un nouveau SSID (par exemple, "Venue Guest WiFi").
  4. Sélectionnez Captive Portal et choisissez External Captive Portal.

Étape 2 : Configurer le Captive Portal

  1. Dans le champ Splash Page URL, saisissez l'URL fournie par Purple.
  2. Sélectionnez le bouton radio Radius.
  3. Saisissez l'adresse IP du serveur d'authentification principal, le port (1812) et le secret partagé fournis par Purple.
  4. Saisissez l'adresse IP du serveur de comptabilité principal, le port (1813) et le secret partagé.
  5. Définissez un NAS-Identifier descriptif (par ex., « London-Retail-01 »).

Étape 3 : Configurer le Walled Garden

Il s'agit de l'étape la plus critique. Si le walled garden est incorrect, les invités verront un écran vide.

  1. Faites défiler jusqu'à la section Walled Garden dans les paramètres du Captive Portal.
  2. Ajoutez chaque domaine fourni dans la documentation d'intégration de Purple. Cela inclut les domaines CDN de Purple, les serveurs d'authentification et tous les fournisseurs de connexion sociale activés (par ex., Facebook, Google).
  3. Cliquez sur Enregistrer.

Étape 4 : Vérifier l'accessibilité RADIUS

Assurez-vous que votre pare-feu autorise les ports UDP 1812 et 1813 en sortie depuis les adresses IP de gestion des points d'accès vers les serveurs RADIUS de Purple.

Bonnes pratiques

  • Imposer la validation des certificats : Pour les déploiements 802.1X, vous devez imposer une validation stricte des certificats sur tous les appareils clients via des objets de stratégie de groupe (GPO) ou une gestion des appareils mobiles (MDM). Si les clients ne valident pas le certificat du serveur RADIUS, ils sont vulnérables aux attaques par point d'accès pirate.
  • Isoler le trafic de gestion : Placez toujours les adresses IP de gestion des points d'accès sur un VLAN de gestion dédié, isolé du trafic des invités et du personnel.
  • Activer le Failsafe : Dans les paramètres du Captive Portal de NETGEAR Insight, activez l'option FailSafe. Si les serveurs RADIUS deviennent inaccessibles, les invités bénéficient d'un accès Internet temporaire, évitant ainsi une panne totale du WiFi.
  • Séparer les SSIDs pour le PPSK : Comme NETGEAR Insight ne prend pas en charge le PPSK et le Captive Portal sur le même SSID, vous devez créer des SSIDs dédiés (par ex., « Venue-Guest » et « Venue-Tenant »).

Dépannage et atténuation des risques

Symptôme : Les invités se connectent au SSID mais la splash page ne se charge pas.

  • Cause : Configuration incomplète du Walled Garden.
  • Résolution : Vérifiez que tous les domaines Purple et les domaines de connexion sociale sont correctement saisis dans les paramètres du Walled Garden de NETGEAR Insight. Testez avec un appareil qui n'a pas d'identifiants en cache.

Symptôme : Les appareils du personnel ne parviennent pas à s'authentifier via 802.1X.

  • Cause : Expiration du délai RADIUS ou secret partagé incorrect.
  • Résolution : Vérifiez que les ports UDP 1812 et 1813 sont ouverts en sortie. Confirmez que le secret partagé correspond exactement entre le portail NETGEAR Insight et le serveur RADIUS. Vérifiez les journaux du serveur RADIUS pour les messages Access-Reject.

Symptôme : Les clients PPSK sont placés sur le mauvais VLAN.

  • Cause : Mappage VLAN incorrect ou configuration VLAN manquante sur le commutateur.
  • Résolution : Assurez-vous que le VLAN est créé dans NETGEAR Insight sous les paramètres Filaire (Wired). Vérifiez que les paramètres Multi PSK associent le bon mot de passe au bon ID de VLAN. Assurez-vous que le port du commutateur connectant le point d'accès est configuré comme un port trunk autorisant le VLAN cible.

ROI et impact commercial

Le déploiement de NETGEAR Insight avec Purple transforme votre infrastructure sans fil d'un centre de coûts en un actif générateur de revenus. En mettant en œuvre des réseaux basés sur l'identité (Identity-Based Networks) et des Captive Portals, vous obtenez :

  • Réduction des frais généraux informatiques : Le PPSK et le 802.1X éliminent le besoin de gérer manuellement les mots de passe partagés ou d'envoyer des techniciens pour les modifications d'accès de routine.
  • Analyses exploitables : Capturez des données démographiques, des temps de présence et des taux de retour pour optimiser l'exploitation des sites et la mixité des locataires.
  • ROI marketing : Constituez une base de données CRM hautement qualifiée et conforme au GDPR. Les établissements constatent généralement une réduction significative des coûts d'acquisition de clients lorsqu'ils exploitent les données de première partie collectées via le WiFi.
  • Sécurité renforcée : L'attribution dynamique de VLAN isole les appareils IoT, les systèmes de point de vente et le trafic des invités, réduisant considérablement la surface d'attaque et garantissant la conformité PCI DSS.

Définitions clés

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un LAN ou un WLAN.

Essentiel pour la sécurité de l'entreprise ; remplace les mots de passe partagés par des identifiants d'utilisateur individuels.

Captive Portal

Une page web qu'un utilisateur d'un réseau d'accès public est obligé de consulter et avec laquelle il doit interagir avant que l'accès ne lui soit accordé.

Utilisé par Purple pour capturer des données de première partie et garantir l'acceptation des conditions d'utilisation.

PPSK (Private Pre-Shared Key)

Une fonctionnalité permettant plusieurs mots de passe uniques sur un seul SSID, où chaque mot de passe attribue l'utilisateur à un VLAN spécifique.

Idéal pour les bâtiments multi-locataires ou l'isolation des appareils IoT sans créer plusieurs SSIDs.

RADIUS

Remote Authentication Dial-In User Service ; un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA).

Le serveur central qui valide les identifiants et indique au point d'accès NETGEAR s'il doit accorder l'accès.

Walled Garden

Un environnement limité qui contrôle l'accès de l'utilisateur aux contenus et services web avant l'authentification complète.

Doit être configuré dans NETGEAR Insight pour permettre aux appareils d'accéder à la splash page de Purple et aux fournisseurs de connexion sociale.

Dynamic VLAN Assignment

Le processus par lequel un serveur RADIUS ordonne à un point d'accès de placer un utilisateur authentifié sur un VLAN spécifique en fonction de son identité.

Permet les réseaux basés sur l'identité, permettant à un seul SSID de desservir plusieurs départements de manière sécurisée.

NAS-Identifier

Network Access Server Identifier ; une chaîne de caractères utilisée pour identifier la source d'une demande d'accès RADIUS.

Configuré dans NETGEAR Insight pour que Purple sache depuis quel site ou point d'accès l'utilisateur se connecte.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security ; une méthode d'authentification nécessitant des certificats numériques à la fois sur le client et sur le serveur.

La méthode 802.1X la plus sécurisée, éliminant complètement les mots de passe, bien qu'elle nécessite un MDM pour déployer les certificats.

Exemples concrets

Un parc commercial de 40 unités doit fournir un WiFi sécurisé et isolé pour les systèmes de point de vente de chaque locataire, ainsi qu'un réseau WiFi public personnalisé pour les acheteurs. Ils ont déployé des points d'accès NETGEAR WAX630. Comment le réseau doit-il être configuré ?

Créez deux SSIDs dans NETGEAR Insight. SSID 1 : 'RetailPark-Guest'. Configurez-le avec un Captive Portal externe pointant vers la splash page de Purple, avec une authentification RADIUS et un walled garden complet. Associez-le au VLAN 10 (Internet uniquement). SSID 2 : 'RetailPark-Tenants'. Configurez-le avec WPA2 Personal et activez le Multi PSK (PPSK). Créez 40 mots de passe uniques. Associez le mot de passe du locataire A au VLAN 101, celui du locataire B au VLAN 102, etc. Assurez-vous que le commutateur principal achemine (trunk) tous les VLAN vers les points d'accès.

Commentaire de l'examinateur : Cette approche équilibre parfaitement la sécurité et l'expérience utilisateur. En séparant les SSIDs, nous évitons la limitation de NETGEAR qui empêche de mélanger le PPSK et les Captive Portals. La configuration PPSK garantit une visibilité nulle entre les locataires pour la conformité PCI, tandis que le portail Purple capture les données des acheteurs.

Un siège social souhaite abandonner le mot de passe WPA2 partagé. Ils ont besoin que le personnel s'authentifie avec leurs identifiants Microsoft Entra ID, et ils souhaitent que l'équipe financière soit sur le VLAN 50 et l'équipe marketing sur le VLAN 60.

Déployez un seul SSID 'Corporate-Secure' configuré pour WPA2 Enterprise. Orientez les paramètres RADIUS de NETGEAR Insight vers un serveur RADIUS intégré à Entra ID. Configurez le serveur RADIUS pour renvoyer les attributs de tunnel standard (Tunnel-Type=13, Tunnel-Medium-Type=6, Tunnel-Private-Group-ID=50 ou 60) en fonction de l'appartenance au groupe d'annuaire de l'utilisateur. Imposez la validation des certificats sur tous les ordinateurs portables de l'entreprise via MDM.

Commentaire de l'examinateur : Cela démontre une véritable mise en réseau basée sur l'identité (Identity-Based Networking). Le point d'accès attribue dynamiquement le VLAN en fonction de la réponse RADIUS. De plus, l'obligation de valider les certificats empêche les attaques de points d'accès malveillants (rogue AP), ce qui est obligatoire pour la sécurité de l'entreprise.

Questions d'entraînement

Q1. Vous avez déployé un Captive Portal Purple sur un NETGEAR WAX620. Les invités peuvent se connecter au WiFi, mais leurs navigateurs affichent une erreur 'Impossible de joindre la destination' au lieu de la splash page. Quelle est l'erreur de configuration la plus probable ?

Conseil : Considérez ce qui doit se passer avant que l'invité ne soit entièrement authentifié pour atteindre les serveurs externes.

Voir la réponse type

Le Walled Garden est mal configuré ou incomplet. Le point d'accès NETGEAR bloque le trafic initial vers les serveurs de Purple. Vous devez vous assurer que tous les domaines CDN de Purple, les URL d'authentification et les domaines de connexion sociale requis sont ajoutés à la liste du Walled Garden dans le portail Insight.

Q2. Un site nécessite à la fois un Captive Portal pour les invités et un WiFi sécurisé et isolé pour 10 locataires commerciaux différents. Ils souhaitent minimiser les interférences RF. Comment configurez-vous les points d'accès NETGEAR ?

Conseil : NETGEAR Insight présente des limitations spécifiques concernant le mélange des Captive Portals et du PPSK.

Voir la réponse type

Vous devez créer exactement deux SSIDs. NETGEAR ne prend pas en charge le PPSK et le Captive Portal sur le même SSID. Créez 'Venue-Guest' avec un Captive Portal externe pointant vers Purple. Créez 'Venue-Retail' avec WPA2 Personal et configurez le Multi PSK (PPSK) avec 10 mots de passe uniques, chacun étant associé à un VLAN différent.

Q3. Lors de la configuration de l'attribution dynamique de VLAN pour le personnel utilisant le 802.1X, quels sont les trois attributs RADIUS que le serveur doit renvoyer dans le message Access-Accept ?

Conseil : Pensez aux attributs standard de la RFC 2868 pour la configuration des tunnels.

Voir la réponse type

Le serveur RADIUS doit renvoyer : [64] Tunnel-Type = 13 (VLAN), [65] Tunnel-Medium-Type = 6 (802), et [81] Tunnel-Private-Group-ID = [La chaîne de caractères de l'ID de VLAN spécifique].

Continuer la lecture de cette série

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Lire le guide →

Allied Telesis Access Points Integration with Purple WiFi

Ce guide fournit un manuel de configuration complet pour intégrer les points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il couvre la redirection vers un Captive Portal externe, l'authentification RADIUS 802.1X et le routage dynamique des VLAN à l'aide de clés pré-partagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Lire le guide →

Grandstream GWN Access Points Integration with Purple WiFi

Ce guide de référence technique faisant autorité détaille comment intégrer les points d'accès Grandstream GWN avec la plateforme de Guest WiFi et d'analyse de Purple. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage VLAN dynamique, et la segmentation PPSK multi-tenant - fournissant des instructions pratiques, étape par étape, pour les MSP et les équipes informatiques déployant du WiFi pour les invités et le personnel à grande échelle.

Lire le guide →