Passer au contenu principal
Français

Intégration de Cisco WLC et Catalyst avec Purple WiFi : Guide étape par étape de l'accès invité

Ce guide détaille l'intégration étape par étape de Cisco WLC et Catalyst 9800 Wireless avec Purple, couvrant la redirection du Captive Portal WiFi invité via Central Web Authentication, le WiFi sécurisé pour le personnel utilisant 802.1X EAP-TLS, et la segmentation multi-tenant utilisant les clés pré-partagées d'identité Cisco (iPSK) avec attribution dynamique de VLAN. Il est rédigé pour les architectes réseau d'entreprise et les directeurs de la sécurité informatique déployant l'infrastructure Cisco dans l'hôtellerie, le commerce de détail et les grands espaces publics.

📖 9 min de lecture📝 2,116 mots🔧 2 exemples concrets3 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bienvenue dans ce briefing technique Purple. Je suis votre hôte, et aujourd'hui nous abordons un scénario de déploiement incontournable pour les architectes réseau d'entreprise : l'intégration des contrôleurs LAN sans fil Cisco et du matériel Catalyst 9800 avec la plateforme Purple WiFi. Si vous gérez l'informatique d'une chaîne hôtelière, d'un réseau de vente au détail ou d'un grand espace public, vous savez que s'appuyer sur de simples clés pré-partagées (PSK) représente un risque de sécurité inacceptable. Aujourd'hui, nous allons détailler l'architecture étape par étape pour segmenter votre réseau, sécuriser votre personnel et transformer votre WiFi invité en un actif axé sur les données. Posons le contexte. Un environnement sans fil d'entreprise doit gérer trois profils distincts : les invités, le personnel et les appareils sans tête (headless) ou locataires. Vous ne pouvez pas les traiter de la même manière, et vous ne pouvez pas diffuser vingt SSIDs différents pour y parvenir. La solution réside dans une infrastructure matérielle unifiée exploitant différents mécanismes d'authentification sur un unique contrôleur LAN sans fil Cisco Catalyst 9800. Plongeons maintenant dans l'architecture technique. Le premier niveau est le WiFi invité. L'objectif ici est un accès fluide combiné à la capture de données. Nous y parvenons en utilisant un SSID ouvert et l'authentification web centralisée, ou CWA. Lorsqu'un invité se connecte, le WLC Cisco applique une liste de contrôle d'accès (ACL) de pré-authentification. C'est votre jardin fermé (walled garden). Il bloque l'accès général à Internet mais autorise le trafic vers les domaines de Purple et les services essentiels. Lorsque l'invité tente de naviguer, le WLC intercepte la requête HTTP et le redirige vers la page de portail captif (Captive Portal) de Purple. Une fois qu'il s'est authentifié, par exemple via un formulaire d'inscription, une connexion sociale ou un code à usage unique, Purple agit comme le serveur RADIUS. Il envoie un message de changement d'autorisation, appelé CoA, au WLC. Cela déplace le client vers un VLAN invité isolé et lui accorde l'accès à Internet. L'ensemble du flux est automatisé et chaque connexion est enregistrée dans la plateforme d'analyse de Purple. Le deuxième niveau est le WiFi du personnel. Pour les appareils de l'entreprise, nous imposons l'authentification 802.1X. Plus précisément, l'EAP-TLS (Extensible Authentication Protocol Transport Layer Security). Cette méthode utilise des certificats numériques installés sur les appareils de l'entreprise via votre plateforme de gestion des appareils mobiles (MDM), qu'il s'agisse de Microsoft Intune, Jamf ou d'une autre solution. Le WLC agit comme authentificateur, transmettant les messages EAP au serveur RADIUS. Comme nous utilisons des certificats, il n'y a pas de mots de passe à voler. Si un appareil est perdu ou si un employé s'en va, vous révoquez le certificat. L'accès est interrompu instantanément, sans modifier de mot de passe global ni perturber qui que ce soit d'autre. L'EAP-TLS est la référence absolue en matière de sécurité d'entreprise. Le troisième niveau est le WiFi Multi-Tenant ou IoT. Pensez aux locataires de centres commerciaux, aux membres d'espaces de coworking ou aux capteurs de bâtiments intelligents qui ne prennent pas en charge la norme 802.1X. Pour cela, nous déployons Cisco Identity PSK, ou iPSK. Tout le monde se connecte au même SSID, mais le serveur RADIUS attribue un mot de passe unique et un VLAN unique à chaque locataire en fonction de son adresse MAC. Lorsqu'un appareil de locataire se connecte, le WLC envoie une demande d'authentification MAC au serveur RADIUS. Le serveur renvoie la PSK spécifique pour ce locataire sous la forme d'un attribut Cisco AV-Pair, ainsi que trois attributs RADIUS IETF standard pour attribuer dynamiquement le client au bon VLAN. Ces attributs sont : Tunnel-Type, défini sur VLAN ; Tunnel-Medium-Type, défini sur 802 ; et Tunnel-Private-Group-ID, défini sur l'ID du VLAN cible. Le WLC traite ces attributs et place l'appareil sur le segment de réseau isolé approprié. L'iPSK offre une segmentation d'entreprise avec la simplicité du grand public. Discutons maintenant des recommandations de mise en œuvre et des pièges que nous constatons le plus fréquemment dans les déploiements en production. Le point de défaillance le plus courant dans les déploiements invités est l'ACL du walled garden. Si les invités se connectent mais que la splash page n'apparaît pas, vérifiez d'abord votre configuration DNS. Si votre ACL de pré-authentification bloque le port UDP 53, le client ne peut pas résoudre les noms de domaine. Le système d'exploitation ne déclenchera pas le mini-navigateur du Captive Portal, et l'invité verra une erreur "Pas de connexion Internet". Autorisez toujours explicitement le trafic DNS dans votre ACL de walled garden. C'est le problème de support le plus fréquent que nous rencontrons. Le deuxième piège concerne les déploiements pour le personnel. Si vous choisissez de déployer PEAP-MSCHAPv2 au lieu de EAP-TLS, parce que vous ne disposez pas encore d'une solution MDM pour distribuer les certificats, vous devez configurer vos appareils clients pour qu'ils valident explicitement le certificat du serveur RADIUS. Cela signifie spécifier l'Autorité de Certification exacte à approuver et le nom de serveur attendu dans le profil WiFi. Si vous laissez l'utilisateur final configurer cela manuellement, un attaquant peut créer un point d'accès pirate, présenter un faux certificat et capturer les identifiants de l'entreprise. Il ne s'agit pas d'une attaque théorique. C'est une menace réelle et bien documentée. Imposez la validation des certificats via une stratégie de groupe pour les appareils Windows et via des profils MDM pour macOS et les appareils mobiles. Le troisième piège concerne les déploiements iPSK. Si un client se connecte mais reçoit le mauvais VLAN, ou ne parvient pas du tout à se connecter, la cause la plus probable est que l'ID de VLAN cible spécifié dans l'attribut Tunnel-Private-Group-ID n'existe pas sur le WLC. Le VLAN doit être créé et actif sur le contrôleur avant que le serveur RADIUS puisse y orienter les clients. Utilisez la commande debug radius sur le WLC pour vérifier que les attributs sont correctement reçus depuis le serveur RADIUS. Passons maintenant à une session rapide de questions-réponses sur les questions que nous entendons le plus souvent. Question une : Puis-je utiliser le MAC Authentication Bypass au lieu de l'iPSK pour les appareils IoT ? Vous pouvez le faire, mais vous devriez l'éviter. Les adresses MAC sont diffusées en clair et sont très faciles à usurper. Le MAC Authentication Bypass fournit une identification de l'appareil, pas de la sécurité. L'iPSK offre une véritable sécurité cryptographique pour les appareils sans écran. Si l'appareil prend en charge n'importe quelle forme de PSK, utilisez l'iPSK. Question deux : Est-ce que Purple prend en charge les contrôleurs Cisco Catalyst 9800 IOS-XE ? Oui. Purple prend entièrement en charge les contrôleurs modernes Catalyst 9800 IOS-XE ainsi que les anciens WLC AireOS. L'intégration RADIUS et Change of Authorization est entièrement validée pour les deux plateformes. Question trois : Comment gérer la redondance des serveurs RADIUS ? Configurez toujours un serveur RADIUS principal et un secondaire dans les listes de méthodes AAA de votre WLC. Le WLC basculera automatiquement vers le serveur secondaire si le principal ne répond pas dans le délai configuré. Purple fournit deux adresses IP de serveur RADIUS exactement à cette fin. Ne déployez jamais un seul serveur RADIUS dans un environnement de production. Question quatre : Quels numéros de port RADIUS Purple utilise-t-il ? Purple utilise le port UDP 1812 pour l'authentification et le port UDP 1813 pour l'accounting. Ce sont les ports standards enregistrés par l'IANA pour RADIUS, tels que définis dans les RFC 2865 et RFC 2866. Pour résumer les points clés de la présentation d'aujourd'hui : Auditez votre architecture sans fil actuelle. Si vous utilisez des mots de passe partagés pour le personnel, planifiez une migration vers le 802.1X. Si vous diffusez plusieurs SSID pour différents locataires, regroupez-les à l'aide de Cisco iPSK. Si votre WiFi invité est simplement un réseau ouvert sans capture de données, intégrez-le à Purple pour collecter des données de première main, optimiser le retour sur investissement marketing et garantir la conformité avec les exigences du GDPR et PCI DSS. En combinant l'infrastructure de classe entreprise de Cisco avec la surcouche cloud de Purple, vous offrez une connectivité sécurisée, segmentée et intelligente dans l'ensemble de votre site. Purple est déployé sur plus de 80 000 sites actifs et a enregistré 440 millions de connexions en 2024. La plateforme est indépendante du matériel, certifiée ISO 27001 et conçue pour l'échelle de l'entreprise. Votre prochaine étape est claire. Consultez le guide de configuration complet étape par étape sur le site Web de Purple, obtenez vos identifiants de serveur RADIUS sur le portail Purple et commencez l'intégration avec votre WLC Cisco dès aujourd'hui. Pour des guides de configuration détaillés et de la documentation spécifique au matériel, visitez le portail d'assistance Purple à l'adresse support point purple point ai. Merci d'avoir écouté ce briefing technique Purple. D'ici la prochaine fois, restez en sécurité.

header_image.png

এক্সিকিউটিভ সামারি

এন্টারপ্রাইজ ওয়্যারলেস নেটওয়ার্কগুলোকে অবশ্যই একই সাথে বিভিন্ন ব্যবহারকারী গ্রুপকে পরিষেবা দিতে হবে: অতিথি যাদের নিরবচ্ছিন্ন ইন্টারনেট অ্যাক্সেস প্রয়োজন, স্টাফ যাদের কর্পোরেট রিসোর্সে নিরাপদ অ্যাক্সেস প্রয়োজন, এবং হেডলেস বা টেন্যান্ট ডিভাইস যেগুলোর একে অপরের থেকে আইসোলেশন প্রয়োজন। এই গ্রুপগুলোর যেকোনো একটির জন্য একটি একক শেয়ার্ড প্রি-শেয়ার্ড কি-এর (Pre-Shared Key) ওপর নির্ভর করা একটি নিরাপত্তা ঝুঁকি। একটি মাত্র আপোসকৃত শংসাপত্র পুরো সেগমেন্টটিকে উন্মুক্ত করে দেয় এবং অ্যাক্সেস প্রত্যাহার করার জন্য একটি গ্লোবাল পাসওয়ার্ড পরিবর্তন করতে হয় যা নেটওয়ার্কের প্রতিটি ডিভাইসকে ব্যাহত করে।

এই নির্দেশিকাটি Cisco ওয়্যারলেস ল্যান কন্ট্রোলার (WLC) এবং Catalyst 9800 সিরিজের হার্ডওয়্যারের সাথে Purple-এর ক্লাউড ওভারলে-র ইন্টিগ্রেশনের বিস্তারিত বিবরণ দেয়। আমরা তিনটি ভিন্ন অথেন্টিকেশন স্তরের জন্য ধাপে ধাপে কনফিগারেশন প্রদান করি: Purple দ্বারা চালিত Captive Portal রিডাইরেকশন সহ একটি ওপেন Guest WiFi নেটওয়ার্ক, 802.1X EAP-TLS সার্টিফিকেট অথেন্টিকেশন ব্যবহার করে একটি সিকিউর স্টাফ WiFi নেটওয়ার্ক, এবং ডাইনামিক VLAN অ্যাসাইনমেন্ট সহ Cisco আইডেন্টিটি প্রি-শেয়ার্ড কি (iPSK) ব্যবহার করে একটি মাল্টি-টেন্যান্ট WiFi পরিবেশ। এই আর্কিটেকচারটি স্থাপন করার মাধ্যমে, আপনি ভিজিটর ট্রাফিক থেকে কর্পোরেট রিসোর্সগুলোকে আইসোলেট করতে পারেন, আইডেন্টিটি-ভিত্তিক অ্যাক্সেস কন্ট্রোল স্বয়ংক্রিয় করতে পারেন এবং Purple-এর WiFi Analytics প্ল্যাটফর্মের মাধ্যমে ফার্স্ট-পার্টি ডেটা সংগ্রহ করতে পারেন। Purple ৮০,০০০+ লাইভ ভেন্যুতে কাজ করে এবং ২০২৪ সালে ৪৪০ মিলিয়ন লগইন রেকর্ড করেছে (Purple-এর অভ্যন্তরীণ ডেটা), যা এটিকে স্কেলে Cisco অবকাঠামোর জন্য একটি প্রমাণিত ক্লাউড ওভারলে করে তোলে।

টেকনিক্যাল ডিপ-ডাইভ: থ্রি-টিয়ার আর্কিটেকচার

Cisco হার্ডওয়্যারে একটি আধুনিক এন্টারপ্রাইজ ওয়্যারলেস ডিপ্লয়মেন্টকে অবশ্যই ভিন্ন ভিন্ন নিরাপত্তা এবং অ্যাক্সেসের প্রয়োজনীয়তা সহ বিভিন্ন ব্যবহারকারীর প্রোফাইল পূরণ করতে হবে। Cisco WLC এবং Purple-এর মধ্যে ইন্টিগ্রেশন একটি একক Catalyst 9800 কন্ট্রোলার থেকে পরিচালিত বিভিন্ন অথেন্টিকেশন মেকানিজমের মাধ্যমে এই প্রোফাইলগুলোকে পরিষেবা দেওয়ার জন্য একটি ইউনিফাইড হার্ডওয়্যার ফুটপ্রিন্ট সক্ষম করে।

architecture_overview.png

টিয়ার ১: Guest WiFi - সেন্ট্রাল ওয়েব অথেন্টিকেশন (CWA)

Hospitality এবং Retail পরিবেশের ভিজিটরদের জন্য, উদ্দেশ্য হলো কম-ঝামেলাপূর্ণ অনবোর্ডিংয়ের সাথে কমপ্লায়েন্ট ডেটা ক্যাপচারের সমন্বয় করা। এটি সেন্ট্রাল ওয়েব অথেন্টিকেশন (CWA) এর সাথে যুক্ত একটি ওপেন SSID ব্যবহার করে অর্জন করা হয়। যখন একজন অতিথি সংযোগ করেন, তখন Cisco WLC একটি প্রি-অথেন্টিকেশন অ্যাক্সেস কন্ট্রোল লিস্ট (ACL) প্রয়োগ করে - যা ওয়াল্ড গার্ডেন (walled garden) নামে পরিচিত। এই ACL সাধারণ ইন্টারনেট ট্রাফিক ব্লক করে এবং Purple-এর Captive Portal ডোমেন, DNS এবং সোশ্যাল লগইন এন্ডপয়েন্টগুলোতে ট্রাফিকের অনুমতি দেয়। যখন গেস্ট ব্রাউজ করার চেষ্টা করেন, তখন WLC HTTP রিকোয়েস্টটিকে ইন্টারসেপ্ট করে এবং Purple স্প্ল্যাশ পেজে রিডাইরেক্ট করে। গেস্ট তাদের পছন্দের পদ্ধতির মাধ্যমে (সোশ্যাল লগইন, ইমেল রেজিস্ট্রেশন, বা ভাউচার কোড) অথেন্টিকেট করেন। এরপর Purple RADIUS সার্ভার হিসেবে কাজ করে, WLC-তে একটি RADIUS Change of Authorization (CoA) মেসেজ ফেরত পাঠায়। CoA মেসেজটি WLC-কে নির্দেশ দেয় ক্লায়েন্টকে প্রি-অথেন্টিকেশন স্টেট থেকে একটি আইসোলেটেড গেস্ট VLAN-এ পোস্ট-অথেন্টিকেশন স্টেটে নিয়ে যেতে, যার ফলে ইন্টারনেট অ্যাক্সেস মঞ্জুর হয়। প্রতিটি লগইন Purple-এর অ্যানালিটিক্স প্ল্যাটফর্মে রেকর্ড করা হয়, যা GDPR এবং CCPA মেনে ফার্স্ট-পার্টি ডেটা ক্যাপচার করে।

Tier 2: Staff WiFi - 802.1X EAP-TLS

কর্পোরেট ডিভাইসগুলোর জন্য সর্বোচ্চ স্তরের নিরাপত্তার প্রয়োজন। IEEE 802.1X পোর্ট-ভিত্তিক Network Access Control (PNAC) সংজ্ঞায়িত করে, এবং যখন এটি EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)-এর সাথে যুক্ত হয়, তখন এটি সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন প্রদান করে যা পাসওয়ার্ডের প্রয়োজনীয়তা সম্পূর্ণরূপে দূর করে। Mobile Device Management (MDM) - Microsoft Intune, Jamf, বা সমমানের মাধ্যমে কর্পোরেট ডিভাইসগুলোতে ডিজিটাল সার্টিফিকেট স্থাপন করা হয়। Cisco WLC অথেন্টিকেটর হিসেবে কাজ করে, যা সাপ্লিক্যান্ট (ডিভাইস) এবং RADIUS সার্ভারের মধ্যে EAP মেসেজ আদান-প্রদান করে। RADIUS সার্ভার সার্টিফিকেটটি যাচাই করে এবং ঐচ্ছিক VLAN অ্যাসাইনমেন্ট অ্যাট্রিবিউট সহ একটি Access-Accept ফেরত পাঠায়।

যেহেতু অথেন্টিকেশন পাসওয়ার্ডের পরিবর্তে সার্টিফিকেটের ওপর নির্ভর করে, তাই চুরি করার মতো কোনো ক্রেডেনশিয়াল থাকে না। কোনো ডিভাইস হারিয়ে গেলে বা কোনো কর্মচারী চলে গেলে, আপনি সার্টিফিকেটটি রিভোক (বাতিল) করে দিতে পারেন। অন্য কোনো ব্যবহারকারীকে ব্যাহত না করেই তাৎক্ষণিকভাবে অ্যাক্সেস বন্ধ হয়ে যায়। WPA3 এবং Zero Trust সহ এন্টারপ্রাইজ সিকিউরিটি স্ট্যান্ডার্ডের বিস্তারিত আলোচনার জন্য, আমাদের Enterprise WiFi Security: A Complete Guide for 2026 গাইডটি দেখুন।

Tier 3: Multi-Tenant WiFi - Cisco iPSK and dynamic VLAN assignment

স্টুডেন্ট অ্যাকোমোডেশন, কোওয়ার্কিং স্পেস বা রিটেল মলের মতো পরিবেশে, ডজন ডজন SSID ব্রডকাস্ট না করেই বিভিন্ন টেন্যান্টের জন্য প্রাইভেট, সেগমেন্টেড নেটওয়ার্কের প্রয়োজন হয়। Cisco Identity PSK (iPSK) এই সমস্যার সমাধান করে। সমস্ত টেন্যান্ট একটি একক SSID-তে সংযুক্ত হন। WLC প্রতিটি সংযোগকারী ডিভাইসের জন্য RADIUS সার্ভারে একটি MAC অথেন্টিকেশন রিকোয়েস্ট পাঠায়। RADIUS সার্ভার সেই টেন্যান্টের জন্য নির্দিষ্ট PSK-টি একটি cisco-av-pair অ্যাট্রিবিউট হিসেবে ফেরত পাঠায়, সাথে ক্লায়েন্টকে ডাইনামিকভাবে সঠিক VLAN-এ অ্যাসাইন করার জন্য স্ট্যান্ডার্ড IETF RADIUS অ্যাট্রিবিউটও পাঠায়।

ipsk_vlan_diagram.png

ডাইনামিক VLAN অ্যাসাইনমেন্ট পরিচালনাকারী তিনটি IETF RADIUS অ্যাট্রিবিউট হলো:

RADIUS Attribute ID Value
Tunnel-Type 64 VLAN
Tunnel-Medium-Type 65 802
Tunnel-Private-Group-ID 81 Target VLAN ID (e.g., 31)

RFC 2868-এ সংজ্ঞায়িত নিয়ম অনুযায়ী Tunnel-Private-Group-ID একটি স্ট্রিং হিসেবে এনকোড করা হয়। অ্যাসাইনমেন্ট সফল হওয়ার জন্য VLAN ID-টি অবশ্যই WLC-তে থাকতে হবে।

Implementation guide: Cisco Catalyst 9800 WLC configuration

নিচের ধাপগুলোতে Guest WiFi রিডাইরেকশনের জন্য Purple-এর সাথে ইন্টিগ্রেট করতে IOS-XE চালিত একটি Cisco Catalyst 9800 WLC কনফিগার করার বিস্তারিত বিবরণ দেওয়া হয়েছে। লিগ্যাসি AireOS WLC ডেপ্লয়মেন্টের জন্য, সমমানের সেটিংস Purple সাপোর্ট পোর্টালে পাওয়া যাবে।

ধাপ ১: RADIUS অথেন্টিকেশন এবং অ্যাকাউন্টিং কনফিগার করুন

গেস্ট অথেন্টিকেশন এবং সেশন অ্যাকাউন্টিং পরিচালনা করতে আপনাকে অবশ্যই WLC-কে Purple-এর RADIUS সার্ভারগুলোর দিকে নির্দেশ করতে হবে।

১. Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add-এ যান। ২. প্রাইমারি Purple RADIUS সার্ভারের IP অ্যাড্রেস লিখুন, auth-port ১৮১২, acct-port ১৮১৩ সেট করুন এবং Purple পোর্টাল থেকে প্রাপ্ত শেয়ার্ড সিক্রেটটি লিখুন। ৩. Support for CoA সক্রিয় করুন - Captive Portal রিডাইরেকশনের জন্য এটি বাধ্যতামূলক। ৪. সেকেন্ডারি Purple RADIUS সার্ভারের জন্য এই প্রক্রিয়াটি পুনরাবৃত্তি করুন। ৫. RADIUS > Server Groups > + Add-এ যান এবং উভয় সার্ভার সম্বলিত একটি গ্রুপ তৈরি করুন। ৬. AAA Method List > Authorization > + Add-এ যান, Type সেট করুন network এবং এটিকে RADIUS সার্ভার গ্রুপের দিকে নির্দেশ করুন। ৭. AAA Method List > Accounting > + Add-এ যান, Type সেট করুন identity এবং এটিকে একই গ্রুপের দিকে নির্দেশ করুন।

IOS-XE-তে সমমানের CLI কমান্ডগুলো হলো:

radius server Purple-Primary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
radius server Purple-Secondary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
aaa group server radius Purple-RADIUS-Group
 server name Purple-Primary
 server name Purple-Secondary
!
aaa authorization network Purple-Authz group Purple-RADIUS-Group
aaa accounting identity Purple-Acct start-stop group Purple-RADIUS-Group

ধাপ ২: প্রি-অথেন্টিকেশন ACL (walled garden) নির্ধারণ করুন

প্রি-অথেন্টিকেশন ACL ব্যবহারকারী অথেন্টিকেট করার আগে Purple-এর স্প্ল্যাশ পেজ এবং প্রয়োজনীয় পরিষেবাগুলোতে ট্রাফিকের অনুমতি দেয়। এটিই হলো walled garden।

১. Configuration > Security > ACL > + Add-এ যান। ২. Purple_Guest_Walled_Garden নামে একটি IPv4 Extended ACL তৈরি করুন। ৩. WLC ম্যানেজমেন্ট IP এবং RADIUS সার্ভার IP-তে ট্রাফিক deny করার জন্য নিয়ম যোগ করুন। ৪. আপনার DNS সার্ভারগুলোতে DNS (UDP port 53) permit করার জন্য নিয়ম যোগ করুন। ৫. Purple-এর walled garden IP রেঞ্জ এবং ডোমেনগুলোতে ট্রাফিক permit করার জন্য নিয়ম যোগ করুন (আপনার নির্দিষ্ট হার্ডওয়্যার টাইপের জন্য Purple সাপোর্ট পোর্টাল থেকে বর্তমান তালিকাটি সংগ্রহ করুন)। ৬. একটি চূড়ান্ত permit ip any any নিয়ম যোগ করুন - WLC অনুমোদিত ট্রাফিককে পোর্টাল প্রসেসিংয়ের জন্য CPU-তে রিডাইরেক্ট করবে।

৩. গেস্ট WLAN কনফিগার করুন

১. Configuration > Tags & Profiles > WLANs > + Add-এ যান। ২. আপনার পছন্দসই SSID দিয়ে Guest-WiFi নামে একটি WLAN তৈরি করুন। ৩. Security > Layer 2-এর অধীনে, সিকিউরিটি None (Open) সেট করুন। ৪. Security > Layer 3-এর অধীনে, Web Policy সক্রিয় করুন এবং Web Auth টাইপ External সেট করুন। ৫. রিডাইরেক্ট ফিল্ডে আপনার Purple অ্যাক্সেস URL লিখুন। ৬. Purple_Guest_Walled_Garden ACL-টি প্রয়োগ করুন। ৭. Security > AAA Servers-এর অধীনে, Authentication এবং Accounting উভয়ের জন্যই Purple RADIUS সার্ভারগুলো অ্যাসাইন করুন।### Step 4: Policy Profile কনফিগার করুন

  1. Configuration > Tags & Profiles > Policy > + Add-এ নেভিগেট করুন।
  2. Access Policies-এর অধীনে, VLAN 20 (অথবা আপনার নির্ধারিত গেস্ট VLAN) অ্যাসাইন করুন।
  3. Advanced-এর অধীনে, Allow AAA Override এবং NAC State সক্রিয় করুন।
  4. Purple অ্যাকাউন্টিং মেথড লিস্টটি অ্যাসাইন করুন।

CLI সমতুল্য:

wireless profile policy Guest-Policy
 aaa-override
 nac
 vlan 20
 accounting-list Purple-Acct
 no shutdown
!
wireless tag policy Guest-Policy-Tag
 wlan Guest-WiFi policy Guest-Policy

Step 5: মাল্টি-টেন্যান্ট বা IoT ডেপ্লয়মেন্টের জন্য iPSK কনফিগার করুন

iPSK-এর জন্য, WLAN কনফিগারেশন গেস্ট সেটআপ থেকে ভিন্ন হয়। WLAN-টি MAC ফিল্টারিং সক্রিয় সহ WPA2-PSK ব্যবহার করে, এবং RADIUS সার্ভার থেকে প্রতি-ক্লায়েন্ট PSK এবং VLAN গ্রহণ করার জন্য Policy Profile-এ AAA Override সক্রিয় থাকে।

wlan Tenant-WiFi 2 Tenant-WiFi
 mac-filtering Purple-Authz
 security wpa psk set-key ascii 0 DefaultKey123
 no security wpa akm dot1x
 security wpa akm psk
 peer-blocking allow-private-group
 no shutdown
!
wireless profile policy Tenant-Policy
 aaa-override
 accounting-list Purple-Acct
 vlan 30
 no shutdown

RADIUS সার্ভার (যা Purple বা আপনার RADIUS প্ল্যাটফর্মে কনফিগার করা হয়েছে) প্রতি টেন্যান্ট গ্রুপ অনুযায়ী নিম্নলিখিত অ্যাট্রিবিউটগুলো রিটার্ন করে:

cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID =

সর্বোত্তম অনুশীলন (Best practices)

প্রতিষ্ঠিত মানদণ্ড মেনে চললে আপনার ডেপ্লয়মেন্ট জুড়ে স্থায়িত্ব, নিরাপত্তা এবং রেগুলেটরি কমপ্লায়েন্স নিশ্চিত হয়।

কঠোর সার্টিফিকেট ভ্যালিডেশন প্রয়োগ করুন। 802.1X ডেপ্লয় করার সময়, MDM-এর মাধ্যমে ক্লায়েন্ট ডিভাইসগুলোকে এমনভাবে কনফিগার করুন যাতে তারা আপনার RADIUS সার্ভারের সার্টিফিকেট অথরিটিকে স্পষ্টভাবে বিশ্বাস করে এবং প্রত্যাশিত সার্ভারের নাম নির্দিষ্ট করে। এটি প্রয়োগ করতে ব্যর্থ হলে ক্লায়েন্টরা রোগ অ্যাক্সেস পয়েন্ট (rogue access point) আক্রমণের ঝুঁকিতে পড়ে, যেখানে আক্রমণকারী ক্রেডেনশিয়াল হাতিয়ে নেওয়ার জন্য একটি প্রতারণামূলক সার্টিফিকেট প্রদর্শন করে। এটি একটি কঠোর প্রয়োজনীয়তা, কোনো সাধারণ সুপারিশ নয়।

নেটওয়ার্ক লেয়ারে গেস্ট ট্রাফিক আইসোলেট করুন। গেস্ট WiFi অবশ্যই একটি ডেডিকেটেড VLAN-এ শেষ হতে হবে যা সমস্ত কর্পোরেট রিসোর্স থেকে ফায়ারওয়াল দ্বারা সুরক্ষিত। PCI DSS 4.0 অনুযায়ী কার্ডহোল্ডার ডেটা এনভায়রনমেন্ট পাবলিক নেটওয়ার্ক থেকে আইসোলেট করা আবশ্যক। VLAN 20-এ থাকা একজন গেস্টের যেন VLAN 10-এ থাকা কর্পোরেট নেটওয়ার্কে যাওয়ার কোনো রুট না থাকে।

IoT ডিভাইসের জন্য iPSK ব্যবহার করুন, MAC Authentication Bypass নয়। MAC অ্যাড্রেসগুলো প্লেইনটেক্সটে ব্রডকাস্ট হয় এবং এগুলো স্পুফ (spoof) করা অত্যন্ত সহজ। iPSK হেডলেস ডিভাইসগুলোর জন্য ক্রিপ্টোগ্রাফিক নিরাপত্তা প্রদান করে। ডিসপ্লে এবং IoT ডিভাইসগুলো কীভাবে ওয়্যারলেস প্রোটোকলের সাথে ইন্টারঅ্যাক্ট করে সে সম্পর্কে নির্দেশনার জন্য, What Is Wireless Display: Protocols & Best Practices 2026 দেখুন।

ব্যবহারের স্পষ্ট শর্তাবলী (Terms of Use) নির্ধারণ করুন। অ্যাক্সেস দেওয়ার আগে আপনার Captive Portal-এ অবশ্যই একটি ব্যবহারের শর্তাবলীর চুক্তি প্রদর্শন করতে হবে। ডেটা সংগ্রহের জন্য এটি একটি GDPR প্রয়োজনীয়তা এবং নেটওয়ার্ক ব্যবহারের নীতিমালার জন্য একটি আইনি বাধ্যবাধকতা। অভ্যন্তরীণ স্টাফ নেটওয়ার্কের জন্য, Staff WiFi Terms and Conditions: Legal and Compliance Essentials দেখুন।RADIUS রিডানডেন্সি স্থাপন করুন। সর্বদা একটি প্রাইমারি এবং সেকেন্ডারি RADIUS সার্ভার কনফিগার করুন। Purple এই উদ্দেশ্যে দুটি সার্ভার IP অ্যাড্রেস প্রদান করে। একটি একক RADIUS সার্ভার ব্যর্থ হলে সমস্ত গেস্ট লগইন বন্ধ হয়ে যাবে।

ট্রাবলশুটিং এবং ঝুঁকি হ্রাসকরণ

সতর্কতার সাথে কনফিগার করার পরেও, ইন্টিগ্রেশন সংক্রান্ত সমস্যা দেখা দিতে পারে। সমস্যা আরও বড় হওয়ার আগে সবচেয়ে সাধারণ ব্যর্থতার কারণগুলো সুশৃঙ্খলভাবে সমাধান করুন।

সমস্যা: গেস্টরা কানেক্ট করছেন কিন্তু স্প্ল্যাশ পেজটি প্রদর্শিত হচ্ছে না।

এটি সবচেয়ে সাধারণ সমস্যা। প্রি-অথেনটিকেশন ACL মূলত DNS ব্লক করছে। DNS ছাড়া, ক্লায়েন্ট প্রাথমিক HTTP রিকোয়েস্ট সমাধান করতে পারে না এবং অপারেটিং সিস্টেম Captive Portal মিনি-ব্রাউজারটি ট্রিগার করবে না। আপনার ওয়াল্ড গার্ডেন ACL-এ DNS সার্ভারগুলোর জন্য UDP পোর্ট ৫৩ অনুমোদিত কিনা তা যাচাই করুন। WLC-তে, ক্লায়েন্টটি Run স্টেটের পরিবর্তে Webauth Pending স্টেটে আছে কিনা তা নিশ্চিত করতে show wireless client summary রান করুন।

সমস্যা: iPSK ক্লায়েন্টরা কানেক্ট হতে ব্যর্থ হচ্ছে বা ভুল VLAN-এ ল্যান্ড করছে।

Tunnel-Private-Group-ID-তে নির্দিষ্ট করা VLAN-টি WLC-তে নেই, অথবা cisco-av-pair অ্যাট্রিবিউটগুলো ত্রুটিপূর্ণ। র-RADIUS রেসপন্স পরীক্ষা করতে WLC-তে debug radius all রান করুন। VLAN ID-টি Configuration > Layer 2 > VLAN > VLAN List-এর অধীনে তৈরি করা হয়েছে কিনা তা যাচাই করুন।

সমস্যা: 802.1X স্টাফ ক্লায়েন্টরা মাঝে মাঝে অথেনটিকেট হতে ব্যর্থ হচ্ছে।

এটি সাধারণত একটি RADIUS সার্ভার টাইমআউট বা ক্লায়েন্টের সার্টিফিকেট ট্রাস্ট সংক্রান্ত সমস্যা। Access-Reject মেসেজগুলোর জন্য RADIUS সার্ভার লগ পরীক্ষা করুন। Windows ক্লায়েন্টগুলোতে, WiFi প্রোফাইলটি সার্ভার সার্টিফিকেট যাচাই করার জন্য কনফিগার করা হয়েছে কিনা এবং সঠিক ট্রাস্টেড CA নির্দিষ্ট করে কিনা তা যাচাই করুন।

সমস্যা: Purple থেকে পাঠানো CoA, WLC দ্বারা প্রসেস হচ্ছে না।

CoA শেয়ার্ড সিক্রেট অবশ্যই WLC-তে কনফিগার করা RADIUS শেয়ার্ড সিক্রেটের সাথে মিলতে হবে। IOS-XE 17.4 এবং পরবর্তী সংস্করণগুলোতে, CoA কি (key) শেয়ার্ড সিক্রেট থেকে আলাদাভাবে কনফিগার করা হয়। উভয়ই Purple পোর্টালের মানগুলোর সাথে মিলছে কিনা তা যাচাই করুন।

ROI এবং ব্যবসায়িক প্রভাব

বেসিক PSK নেটওয়ার্ক থেকে Purple-এর সাথে একটি সুগঠিত, আইডেন্টিটি-ভিত্তিক আর্কিটেকচারে রূপান্তর Hospitality , Retail , Healthcare , এবং Transport ভার্টিক্যাল জুড়ে পরিমাপযোগ্য ব্যবসায়িক ফলাফল প্রদান করে।

প্রথমত, এই আর্কিটেকচারটি শেয়ার্ড পাসওয়ার্ড পরিচালনার অপারেশনাল খরচ দূর করে। যখন কর্মীরা চলে যান, আপনি তাদের সার্টিফিকেট রিভোক বা বাতিল করে দেন। আপনাকে একটি গ্লোবাল পাসওয়ার্ড পরিবর্তন করতে হয় না এবং এস্টেটের প্রতিটি ডিভাইস আপডেট করতে হয় না। দ্বিতীয়ত, Purple-এর Captive Portal-এর সাথে ইন্টিগ্রেশন একটি IT কস্ট সেন্টারকে রেভিনিউ ড্রাইভারে পরিণত করে। Purple-এর প্ল্যাটফর্ম প্রতিটি লগইনে সম্মতিপূর্ণ ফার্স্ট-পার্টি ডেটা সংগ্রহ করে, যা স্বয়ংক্রিয় মার্কেটিং ক্যাম্পেইন এবং ভিজিটর অ্যানালিটিক্স সক্ষম করে। Purple নেটওয়ার্ক জুড়ে সংগৃহীত ২৯ বিলিয়ন ডেটা পয়েন্টের মাধ্যমে (Purple-এর অভ্যন্তরীণ ডেটা), প্ল্যাটফর্মটি ভিজিটরদের আচরণ, ডুয়েলিং টাইম এবং রিটার্ন রেট সম্পর্কে কার্যকরী ইনসাইট প্রদান করে।

ভিজিটরদের সন্তুষ্টি বোঝার জন্য যে সমস্ত ভেন্যু অপারেটররা সমীক্ষা বা সার্ভে পরিচালনা করছেন, তাদের জন্য Purple প্ল্যাটফর্মটি সরাসরি রিসার্চ ওয়ার্কফ্লো-এর সাথে একীভূত হয়। Captive Portal-এর মাধ্যমে বিতরণ করা কার্যকর ভেন্যু সমীক্ষাগুলো সাজানোর নির্দেশনার জন্য Design of a Survey: A Practical Guide for Venues দেখুন।

Cisco-এর এন্টারপ্রাইজ-গ্রেড হার্ডওয়্যারকে Purple-এর ক্লাউড ওভারলে-র সাথে একীভূত করার মাধ্যমে, আপনি একটি সুরক্ষিত, স্কেলযোগ্য নেটওয়ার্ক লাভ করবেন যা ভেন্যুর বাণিজ্যিক লক্ষ্য অর্জনে সক্রিয়ভাবে অবদান রাখে। Purple হলো ISO 27001 সার্টিফাইড, GDPR এবং CCPA কমপ্লায়েন্ট, Cyber Essentials সার্টিফাইড এবং B Corp সার্টিফাইড - যা এন্টারপ্রাইজ প্রকিউরমেন্ট টিমের কমপ্লায়েন্স সংক্রান্ত প্রয়োজনীয়তাগুলো পূরণ করে।

Définitions clés

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour l'accès au réseau. Défini dans les RFC 2865 et RFC 2866.

Les équipes informatiques configurent le Cisco WLC pour transférer les identifiants des clients vers le serveur RADIUS, qui les vérifie par rapport à un annuaire et renvoie une réponse Access-Accept ou Access-Reject ainsi que des attributs de politique.

Captive Portal

Une page web qu'un utilisateur d'un réseau d'accès public doit consulter et avec laquelle il doit interagir avant de se voir accorder l'accès à Internet. Implémenté via une redirection HTTP par l'appareil d'accès au réseau.

Utilisé dans les déploiements de WiFi invités pour collecter les données des visiteurs, présenter les conditions d'utilisation ou afficher du contenu de marque avant d'autoriser l'accès à Internet. Purple fournit l'infrastructure de Captive Portal hébergée.

iPSK (Identity Pre-Shared Key)

Une fonctionnalité Cisco qui permet d'attribuer des clés pré-partagées uniques à différents utilisateurs ou groupes d'appareils sur le même SSID, la PSK étant fournie par client par un serveur RADIUS.

Essentiel pour les appareils IoT ou les environnements multi-locataires où le 802.1X n'est pas réalisable mais où la segmentation du réseau est requise. Élimine le besoin de diffuser plusieurs SSIDs.

IEEE 802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports (PNAC). Elle fournit un mécanisme d'authentification qui bloque tout trafic de données provenant d'un appareil jusqu'à ce que le serveur RADIUS ait confirmé l'autorisation.

La base du WiFi d'entreprise pour le personnel, garantissant que seuls les appareils d'entreprise autorisés disposant d'identifiants ou de certificats valides peuvent accéder aux ressources internes.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Une méthode d'authentification basée sur des certificats qui nécessite des certificats numériques à la fois sur le serveur RADIUS et sur l'appareil client, éliminant ainsi complètement les mots de passe.

La méthode la plus sécurisée pour authentifier les appareils d'entreprise. Les certificats sont déployés via MDM. L'accès est révoqué en invalidant le certificat, et non en modifiant un mot de passe partagé.

Walled garden

Un environnement réseau limité qui contrôle l'accès de l'utilisateur au contenu web avant qu'il ne soit entièrement authentifié. Implémenté sous forme d'ACL de pré-authentification sur le WLC.

Configuré sur le Cisco WLC pour permettre l'accès à la page d'accueil Purple, au DNS et aux fournisseurs de connexion sociale avant que l'invité ne bénéficie d'un accès complet à Internet.

Dynamic VLAN assignment

Le processus consistant à placer automatiquement un appareil connecté sur un réseau local virtuel (VLAN) spécifique en fonction des attributs d'autorisation RADIUS renvoyés au moment de l'authentification.

Garantit que le personnel, les invités et les appareils IoT sont placés automatiquement sur des segments de réseau isolés lors de la connexion, sans configuration manuelle par appareil.

Change of Authorization (CoA)

Une extension RADIUS (RFC 5176) qui permet au serveur RADIUS de modifier dynamiquement les attributs d'autorisation de session d'un client déjà connecté.

Requis pour les Captive Portals. Une fois que l'invité s'est authentifié sur la page d'accueil Purple, Purple envoie un message CoA au WLC pour faire passer le client de l'état de walled garden de pré-authentification à un accès Internet complet.

Central Web Authentication (CWA)

Une méthode d'authentification Cisco dans laquelle le serveur RADIUS (plutôt que le WLC) héberge ou redirige vers le portail d'authentification web, permettant des solutions de Captive Portal hébergées dans le cloud.

Utilisé pour intégrer le Cisco WLC au Captive Portal hébergé dans le cloud de Purple, permettant à Purple de gérer l'expérience d'authentification des invités et la collecte de données.

Exemples concrets

Un grand centre commercial doit fournir un WiFi sécurisé et privé à 50 locataires commerciaux en utilisant un seul Cisco Catalyst 9800 WLC et un seul SSID de diffusion. Chaque locataire doit être isolé des appareils de tous les autres locataires. Comment y parviennent-ils sans diffuser 50 SSIDs distincts ?

L'équipe informatique déploie Cisco iPSK. Elle configure un seul SSID nommé « Mall-Tenant-WiFi » avec WPA2-PSK et le filtrage MAC activé. Dans le serveur RADIUS, elle crée 50 groupes d'identité de point de terminaison, un par locataire. Chaque groupe se voit attribuer une PSK unique via l'attribut cisco-av-pair psk= et un ID de VLAN unique via l'attribut IETF Tunnel-Private-Group-ID. Lorsqu'un appareil de point de vente d'un locataire se connecte en utilisant son mot de passe spécifique, le WLC envoie une demande d'authentification MAC au serveur RADIUS. Le serveur associe l'adresse MAC au groupe du locataire et renvoie la PSK et l'attribution du VLAN. Le WLC traite les attributs, valide la PSK et place l'appareil sur le VLAN isolé du locataire. Le paramètre peer-blocking allow-private-group garantit que les appareils partageant la même PSK peuvent communiquer entre eux, tandis que les appareils sur des PSK différentes sont bloqués de toute communication entre locataires.

Commentaire de l'examinateur : Cette approche évolue efficacement. La diffusion de 50 SSIDs distincts provoquerait de graves interférences de co-canal dans un environnement dense et dégraderait les performances pour chaque utilisateur. Chaque SSID supplémentaire consomme du temps d'antenne avec des trames de gestion. iPSK offre la sécurité et la segmentation de 50 réseaux distincts avec l'efficacité RF d'un seul. Le compromis est que le serveur RADIUS devient une dépendance critique - assurez-vous qu'il est hautement disponible.

Un établissement Premier Inn de 300 chambres migre de comptes invités WLC locaux vers le Captive Portal cloud de Purple. Une fois la configuration appliquée, les clients signalent qu'ils se connectent au SSID WiFi, reçoivent une adresse IP, mais leurs appareils affichent « Pas d'Internet » et la page d'accueil n'apparaît jamais. Quel est le processus de diagnostic ?

Étape 1 : Vérifiez l'état du client sur le WLC à l'aide de show wireless client detail <mac-address>. Le client doit être dans l'état « Webauth Pending ». S'il affiche « Run », l'ACL de pré-authentification n'est pas appliquée correctement. Étape 2 : Vérifiez l'ACL de pré-authentification. La cause la plus fréquente de ce symptôme est que l'ACL bloque le DNS (port UDP 53). Sans DNS, le client ne peut résoudre aucun domaine, et le mécanisme de détection de Captive Portal de l'OS échoue silencieusement. Ajoutez une règle d'autorisation explicite pour le port UDP 53 vers les adresses IP du serveur DNS du site. Étape 3 : Vérifiez que les domaines de l'espace d'accueil (walled garden) de Purple sont autorisés dans l'ACL. Le client doit pouvoir accéder à l'URL de la page d'accueil de Purple avant l'authentification. Étape 4 : Confirmez que l'adresse IP virtuelle du WLC a été modifiée de l'adresse par défaut 1.1.1.1 vers une adresse non routable telle que 192.0.2.1, car l'adresse par défaut peut entrer en conflit avec le trafic Internet légitime.

Commentaire de l'examinateur : Le symptôme « Pas d'Internet » sans redirection est presque toujours un problème de DNS ou d'ACL d'espace d'accueil (walled garden). Les systèmes d'exploitation modernes (iOS, Android, Windows, macOS) utilisent la détection de Captive Portal en effectuant des requêtes HTTP vers des URL connues. Si le DNS échoue, ces requêtes ne peuvent pas être effectuées, et l'OS ne déclenche jamais le navigateur du Captive Portal. Autorisez toujours le DNS dans l'ACL de pré-authentification - c'est l'erreur de déploiement la plus courante que nous constatons.

Questions d'entraînement

Q1. Vous déployez un réseau WiFi pour le personnel sur 40 points de vente à l'aide de WLC Cisco Catalyst 9800. Vous souhaitez utiliser 802.1X, mais l'entreprise ne dispose pas encore d'une solution MDM pour distribuer des certificats aux smartphones des employés. Quelle est l'approche viable la plus sécurisée, et quelle mesure d'atténuation des risques devez-vous mettre en œuvre ?

Conseil : Considérez l'équilibre entre la sécurité des identifiants et la faisabilité du déploiement lorsque les certificats ne sont pas encore envisageables. Concentrez-vous sur le risque spécifique découlant de la méthode alternative.

Voir la réponse type

Déployez PEAP-MSCHAPv2 comme mesure provisoire. Bien que moins sécurisé qu'EAP-TLS, il fournit une authentification par mot de passe chiffrée au sein d'un tunnel TLS. La mesure d'atténuation des risques critique consiste à imposer la validation du certificat du serveur sur chaque appareil client. Pour les ordinateurs portables Windows, déployez un objet de stratégie de groupe (GPO) qui spécifie l'autorité de certification de confiance exacte et le nom du serveur RADIUS attendu dans le profil WiFi. Pour les appareils iOS et Android, distribuez un profil de configuration WiFi par e-mail ou via un outil léger sans MDM qui impose la validation du certificat. Sans cela, un attaquant peut déployer un point d'accès malveillant avec un faux certificat et capturer les identifiants. Planifiez la migration vers EAP-TLS dès qu'un MDM sera disponible.

Q2. Le directeur informatique d'un stade doit segmenter les diffuseurs de médias, les terminaux de billetterie et les capteurs IoT CVC sur des réseaux isolés distincts. Les capteurs IoT ne prennent pas en charge le 802.1X. Les trois groupes doivent utiliser le WiFi. Comment le WLC doit-il être configuré ?

Conseil : Recherchez une solution qui fournit des identifiants uniques et une attribution de VLAN par groupe d'appareils sans nécessiter de suppliants d'entreprise sur les appareils sans écran.

Voir la réponse type

Implémentez Cisco iPSK avec un seul SSID pour les opérations du site. Créez trois groupes d'identité de terminaux dans le serveur RADIUS : Diffuseurs, Billetterie et CVC. Attribuez à chaque groupe une PSK unique via cisco-av-pair et un ID de VLAN unique via Tunnel-Private-Group-ID. Configurez le WLAN du WLC avec WPA2-PSK, le filtrage MAC activé et AAA Override actif. Les diffuseurs reçoivent la PSK-A et le VLAN 31, la billetterie reçoit la PSK-B et le VLAN 32, et les capteurs CVC reçoivent la PSK-C et le VLAN 33. Configurez le peer-blocking sur allow-private-group afin que les appareils d'un même groupe puissent communiquer (par exemple, les terminaux de billetterie avec leur serveur), tandis que la communication entre groupes est bloquée. Cela évite le MAC Authentication Bypass, qui serait facilement usurpé.

Q3. Lors du déploiement d'un WiFi invité dans un centre de conférence, les clients se connectent au SSID et reçoivent une adresse IP, mais la redirection vers le Captive Portal ne se produit jamais. L'ACL du walled garden autorise le trafic vers toutes les plages d'adresses IP de Purple. Quel est l'élément de configuration manquant le plus probable, et comment le vérifiez-vous ?

Conseil : Pensez aux protocoles requis avant qu'une requête HTTP puisse être effectuée par l'appareil client.

Voir la réponse type

La cause la plus probable est que l'ACL de pré-authentification bloque le trafic DNS (port UDP 53). Avant qu'un appareil client puisse effectuer la requête HTTP que le WLC intercepte pour déclencher la redirection, il doit résoudre le nom de domaine via le DNS. Les mécanismes modernes de détection de Captive Portal des systèmes d'exploitation (captive.apple.com d'Apple, www.msftconnecttest.com de Microsoft, connectivitycheck.gstatic.com de Google) nécessitent tous une résolution DNS. Pour vérifier : exécutez 'show wireless client detail ' sur le WLC et confirmez que le client est dans l'état 'Webauth Pending'. Examinez ensuite les compteurs d'accès de l'ACL pour voir si le trafic DNS est rejeté. Corrigez le problème en ajoutant une règle d'autorisation explicite pour le port UDP 53 vers les adresses IP du serveur DNS du site dans l'ACL du walled garden.

Continuer la lecture de cette série

Intégration de Cisco WLC et Catalyst avec Purple WiFi : Guide étape par étape pour l'accès invité

Ce guide de référence détaille l'intégration étape par étape des contrôleurs Cisco Catalyst 9800 WLC avec Purple WiFi. Il couvre l'authentification web externe (EWA) pour les portails captifs invités, l'802.1X EAP-TLS pour l'accès sécurisé du personnel, et Cisco iPSK pour la segmentation dynamique de VLAN multi-locataire.

Lire le guide →

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Lire le guide →

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Lire le guide →