Passer au contenu principal
Français

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

📖 5 min de lecture📝 1,177 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bienvenue dans ce point technique Purple. Je suis votre hôte, et aujourd'hui nous abordons un modèle de déploiement qui revient dans presque tous les projets WiFi d'entreprise à grande échelle : l'intégration de CommScope Ruckus avec la plateforme cloud de Purple. Que vous gériez un groupe hôtelier, un parc de points de vente, un stade ou un centre de conférences, cet épisode vous donnera le manuel de configuration dont vous avez besoin. Plantons d'abord le décor. Ruckus – désormais sous la bannière de CommScope – est l'une des plateformes de WiFi d'entreprise dominantes dans le monde. SmartZone en particulier est le contrôleur de choix pour les environnements à haute densité. Des hôtels comme Premier Inn, de grandes chaînes de magasins, des stades et des centres de congrès exploitent tous l'infrastructure Ruckus. Lorsque vous déployez du WiFi invité à cette échelle, il vous faut plus qu'un simple SSID ouvert. Vous avez besoin d'une authentification structurée, d'une capture de données conforme au GDPR et de la capacité d'intégrer ces données d'invités dans votre pile marketing. C'est précisément là que Purple intervient. Purple est présent dans plus de 80 000 sites actifs, a traité 440 millions de connexions rien qu'en 2024, et détient les certifications ISO 27001, GDPR et Cyber Essentials. L'intégration Ruckus est l'un de nos modèles de déploiement les plus matures. Ruckus propose trois plateformes de contrôleurs distinctes que vous devez comprendre avant de toucher à un écran de configuration. SmartZone – disponible sous forme d'appareil physique SZ300 ou virtuel vSZ – est le contrôleur d'entreprise pour les grands déploiements multi-sites. Il gère des milliers de points d'accès sur plusieurs zones, vous offre un contrôle approfondi des politiques et prend en charge toute la gamme des méthodes d'authentification que nous allons aborder aujourd'hui. ZoneDirector est le contrôleur sur site hérité – encore largement déployé, notamment dans l'hôtellerie – et il prend en charge le même flux de Captive Portal basé sur WISPr, bien qu'avec un chemin de configuration légèrement différent. Et Unleashed est le modèle sans contrôleur, où un point d'accès fait office de maître pour jusqu'à 128 autres. Il est idéal pour les déploiements plus petits sur un seul site : hôtels indépendants, succursales de vente au détail, bureaux de PME. Très bien. Entrons dans les détails techniques. Je vais aborder trois cas d'usage distincts : le WiFi invité avec redirection vers un Captive Portal, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK. Commençons par le WiFi invité. L'architecture ici est un flux de hotspot basé sur WISPr. WISPr – Wireless Internet Service Provider roaming – est un standard de l'industrie qui définit comment un contrôleur sans fil intercepte le trafic HTTP non authentifié et le redirige vers un portail externe. L'invité se connecte à votre SSID. Son appareil envoie une requête HTTP. SmartZone l'intercepte et émet une redirection HTTP 302 vers l'URL de votre portail externe – dans ce cas, le Captive Portal de Purple. L'invité s'authentifie – via une connexion sociale, un e-mail, un SMS ou un formulaire personnalisé – puis le portail communique en retour avec le contrôleur via l'interface Northbound, ou NBI, pour accorder l'accès. Sur SmartZone, la configuration comporte quatre composants principaux. Tout d'abord, le profil du serveur d'authentification RADIUS. Accédez à Services and Profiles, puis Authentification. Créez un nouveau profil de serveur AAA. Définissez le protocole de service sur RADIUS. L'adresse IP de votre serveur principal et le secret partagé sont fournis dans la console d'administration de Purple. Port 1812 pour l'authentification. Configurez toujours un serveur RADIUS de secours pour la résilience. Créez ensuite le serveur de comptabilité sous Services and Profiles, Accounting – port 1813, même secret partagé. Deuxièmement, le profil Hotspot WISPr. Allez dans Services and Profiles, Hotspots and Portals, et sélectionnez l'onglet Hotspot WISPr. Créez un nouveau profil. Définissez l'URL de connexion sur Externe et saisissez l'URL de redirection de votre portail. Définissez la page de démarrage pour rediriger vers votre URL post-authentification – généralement une page de réussite ou la page d'accueil de votre site. Ensuite, le Walled Garden. C'est là que les ingénieurs trébuchent le plus souvent. Le Walled Garden définit les domaines et les adresses IP qu'un invité peut atteindre avant de s'authentifier. Vous devez inclure le domaine de votre portail, tous les domaines de CDN ou de ressources à partir desquels votre portail se charge, ainsi que les points de terminaison standard de détection de Captive Portal des systèmes d'exploitation. Dans SmartZone, les caractères génériques sont pris en charge au format astérisque-point – ainsi, *.purple.ai couvre tous les sous-domaines. Vous avez également besoin du domaine de détection de Captive Portal d'Apple – captive.apple.com – et des points de terminaison de vérification de connectivité de Google pour éviter que le mini-navigateur CNA ne se comporte mal sur les appareils iOS et Android. Une étape cruciale facile à manquer. Par défaut, SmartZone chiffre l'adresse MAC et l'adresse IP qu'il transmet au portail externe dans l'URL de redirection. Purple a besoin de voir l'adresse MAC réelle du client pour effectuer la gestion des sessions basée sur le MAC. Vous devez désactiver cela via la CLI. Connectez-vous en SSH à votre SmartZone, entrez en mode configuration et exécutez : no encrypt-mac-ip. C'est une seule commande, mais c'est un point de blocage absolu si vous l'ignorez. L'interface Northbound est l'autre élément essentiel. Il s'agit de l'API qui permet à Purple de communiquer en retour avec SmartZone pour accorder ou refuser l'accès après l'authentification. Activez-la sous Administration, Services externes, Interface Northbound WISPr. Définissez un nom d'utilisateur et un mot de passe, et fournissez ces identifiants à Purple. La NBI fonctionne sur le port TCP 9080 pour le HTTP et 9443 pour le HTTPS – assurez-vous que votre pare-feu autorise les connexions entrantes de la plage IP de Purple vers ces ports. Enfin, créez votre WLAN. Définissez le type d'authentification sur Hotspot WISPr, sélectionnez le profil de votre portail et attribuez vos services d'authentification et de comptabilité RADIUS. Définissez le NAS ID sur Défini par l'utilisateur si Purple requiert une valeur spécifique, définissez le Called Station ID sur AP MAC et activez Single Session ID. Pour Unleashed, l'architecture est fondamentalement différente : il s'agit d'un modèle distribué sans contrôleur. La configuration se trouve dans Admin et Services, Services, Services Hotspot. Les étapes sont globalement similaires – créer un service Hotspot, configurer l'URL de votre portail externe, configurer votre serveur d'authentification AAA, ajouter vos entrées de Walled Garden – mais il y a deux différences clés. Il n'y a pas d'exigence d'interface Northbound dans Unleashed. Et le chiffrement de l'adresse MAC n'est pas appliqué par défaut, vous n'avez donc pas besoin de la commande CLI. Le Walled Garden d'Unleashed accepte également des entrées au niveau du domaine plutôt que la syntaxe complète des caractères génériques. Passons maintenant au WiFi personnel sécurisé via 802.1X. Il s'agit d'un modèle d'authentification complètement différent. Au lieu d'un Captive Portal, les appareils du personnel s'authentifient directement à l'aide du protocole d'authentification extensible – EAP. La méthode la plus courante dans les environnements d'entreprise est PEAP-MSCHAPv2, où l'utilisateur saisit ses identifiants Active Directory, ou EAP-TLS, où l'appareil présente un certificat. Le module complémentaire SecurePass de Purple s'intègre à Microsoft Entra ID, Okta et Google Workspace pour faire office de backend RADIUS pour ce flux. Sur SmartZone, créez un nouveau WLAN et définissez le type d'authentification sur 802.1X EAP. Dans les paramètres AAA, pointez vers votre serveur RADIUS – le point de terminaison SecurePass de Purple. La différence clé par rapport au flux invité est que vous configurez également l'attribution dynamique de VLAN ici. Lorsque le serveur RADIUS de Purple renvoie un Access-Accept, il inclut trois attributs standard de l'IETF : Tunnel-Type défini sur VLAN, valeur 13 ; Tunnel-Medium-Type défini sur IEEE-802, valeur 6 ; et Tunnel-Private-Group-ID contenant la chaîne de l'ID de VLAN – par exemple, 20 pour le VLAN du personnel. SmartZone lit ces attributs et étiquette dynamiquement le trafic du membre du personnel avec le bon VLAN, quel que soit le point d'accès auquel il est connecté. C'est l'orientation dynamique des VLAN, et c'est ce qui permet à un seul SSID de desservir plusieurs rôles d'utilisateurs avec des politiques d'accès réseau différentes. Activez l'option AAA Override dans les paramètres avancés du WLAN pour vous assurer que SmartZone traite les attributs de VLAN renvoyés par le RADIUS. Sans cette case cochée, l'attribution dynamique ne fonctionnera pas, même si le serveur RADIUS envoie les bons attributs. Le troisième cas d'usage est l'isolation multi-locataire à l'aide de Ruckus Dynamic PSK – ou DPSK. Il s'agit d'une technologie propriétaire de Ruckus qui attribue une phrase de passe WPA2 unique à chaque utilisateur ou locataire, le tout sur un seul SSID. Contrairement à un PSK partagé où tout le monde utilise le même mot de passe, le DPSK signifie que le locataire A dispose d'une clé unique de 62 caractères, le locataire B d'une autre, et ainsi de suite. Chaque clé est liée à un VLAN spécifique, de sorte que le trafic du locataire A arrive sur le VLAN 101 et celui du locataire B sur le VLAN 102 – isolation complète, aucun risque lié au mot de passe partagé et révocation instantanée sans affecter les autres locataires. C'est particulièrement puissant dans les espaces de coworking, les immeubles résidentiels locatifs, les logements étudiants et les parcs d'activités commerciales multi-locataires. Purple s'intègre à Ruckus DPSK via l'API de SmartZone pour automatiser l'attribution des clés – lorsqu'un nouveau locataire est intégré dans Purple, un DPSK est généré, lié au bon VLAN et transmis automatiquement au locataire. Pour configurer le DPSK sur SmartZone : accédez à WLANs, ajoutez un nouveau WLAN et, sous Sécurité, définissez la méthode sur Dynamic PSK. Définissez la longueur du DPSK sur 62 caractères pour une entropie maximale. Sous VLAN, activez l'attribution de VLAN par DPSK. Utilisez ensuite l'API de SmartZone ou l'interface de gestion DPSK pour créer des clés individuelles par locataire, chacune mappée à son propre ID de VLAN. Sur Unleashed, la même fonctionnalité est disponible sous Réseaux WiFi, Options avancées, Dynamic PSK. Le DPSK3 est la variante WPA3, offrant un chiffrement plus fort basé sur SAE. Si votre parc de points d'accès prend en charge le WPA3 – ce qui est le cas de tous les points d'accès Ruckus actuels de la série R – le DPSK3 est le choix privilégié pour les nouveaux déploiements. Laissez-moi vous présenter deux scénarios de mise en œuvre réels qui illustrent comment ces trois cas d'usage s'articulent. Premier scénario : un hôtel de 250 chambres. L'établissement utilise Ruckus SmartZone avec des points d'accès R750 répartis partout. Ils ont besoin de trois types de réseaux : un WiFi invité pour les clients de l'hôtel, un WiFi personnel sécurisé pour le personnel d'accueil et d'arrière-guichet, et un réseau IoT pour les commandes de chambres intelligentes et la vidéosurveillance. Le WLAN invité utilise le flux de Captive Portal WISPr avec Purple. Les invités se connectent, sont redirigés vers un portail Purple personnalisé, s'authentifient par e-mail ou connexion sociale, et arrivent sur le VLAN 10. Le portail capture des données de première partie – e-mail, consentement marketing, préférences de séjour – qui alimentent directement le CRM de l'hôtel. Le tableau de bord analytique de Purple montre à l'hôtel quelles zones présentent les taux de connexion les plus élevés, les heures de pointe et les taux de visiteurs récurrents. Premier Inn a déployé ce modèle sur l'ensemble de son parc au Royaume-Uni et a constaté des améliorations mesurables des scores de satisfaction des clients directement liées à l'expérience WiFi. Le WLAN du personnel utilise le 802.1X avec SecurePass de Purple. Le personnel s'authentifie avec ses identifiants Active Directory via PEAP-MSCHAPv2. Le personnel de réception arrive sur le VLAN 20 avec accès au système de gestion de l'établissement. Le personnel d'arrière-guichet arrive sur le VLAN 21 avec un accès uniquement aux systèmes de RH et de planification. L'attribution du VLAN est entièrement gérée par les attributs RADIUS renvoyés par Purple – aucune configuration manuelle de port n'est requise. Lorsqu'un membre du personnel s'en va, son compte est désactivé dans Microsoft Entra ID et l'accès est révoqué instantanément sur tous les sites. Le IoT WLAN utilise un PSK statique, isolé sur le VLAN 30, avec l'isolation des clients activée. Les thermostats intelligents, les serrures de porte et les caméras de vidéosurveillance se trouvent ici, complètement séparés du trafic des invités et du personnel. Deuxième scénario : un espace de coworking avec 15 entreprises locataires. C'est là que le DPSK prend tout son sens. L'opérateur utilise Ruckus Unleashed sur trois étages. Chaque entreprise locataire reçoit un DPSK unique lié à son propre VLAN. Les 20 membres du personnel du locataire A utilisent tous la même phrase de passe DPSK-A, mais cette phrase de passe est unique au locataire A et ne correspond qu'au VLAN 101. Le locataire B utilise le DPSK-B, correspondant au VLAN 102. Les locataires sont complètement isolés les uns des autres au niveau de la couche réseau. Lorsqu'un locataire s'en va, l'opérateur révoque son DPSK dans SmartZone – ou via l'interface de gestion de Purple – et c'est tout. Aucun autre locataire n'est affecté, aucun changement de SSID n'est requis, aucune réinitialisation de mot de passe dans tout le bâtiment. La couche de gestion multi-locataire de Purple chapeaute le tout, offrant à l'opérateur de coworking un tableau de bord unique pour gérer l'intégration, la révocation des accès et les analyses d'utilisation pour les 15 locataires. Laissez-moi maintenant aborder les modes de défaillance les plus courants et comment les éviter. Numéro un : mauvaise configuration du Walled Garden. Si la page de votre portail ne se charge pas après la redirection, la première chose à vérifier est si tous les domaines auxquels votre page de portail fait référence figurent dans le Walled Garden. Les pages de portail modernes chargent des ressources à partir de plusieurs domaines de CDN, de scripts d'analyse et de SDK de connexion sociale. Si l'un d'entre eux est bloqué avant l'authentification, la page ne se chargera pas ou s'affichera de manière incorrecte. Utilisez les outils de développement de votre navigateur sur un appareil de test connecté au SSID invité pour identifier les requêtes bloquées. Purple fournit une liste de Walled Garden documentée pour SmartZone et Unleashed – utilisez-la comme base et ajoutez-y les domaines spécifiques à votre site. Numéro deux : le problème de connectivité NBI. Si les invités peuvent voir le portail et s'authentifier, mais n'obtiennent jamais d'accès à Internet, la cause probable est que SmartZone ne peut pas recevoir le rappel NBI de Purple. Vérifiez que les ports 9080 et 9443 sont ouverts en entrée vers l'adresse IP de gestion de SmartZone depuis la plage IP de Purple. Vérifiez également que les identifiants NBI que vous avez configurés correspondent à ceux enregistrés par Purple. Numéro trois : la commande manquante no encrypt-mac-ip. C'est le piège le plus courant spécifique à SmartZone. Si Purple reçoit des requêtes de redirection mais ne parvient pas à associer la session à une adresse MAC, c'est presque certainement la cause. C'est une correction d'une seule ligne en CLI, mais elle est facile à manquer car elle n'apparaît pas dans l'interface graphique. Numéro quatre : AAA Override non activé pour le VLAN dynamique. Si le personnel s'authentifie avec succès sur le 802.1X mais se retrouve sur le même VLAN par défaut plutôt que sur son VLAN spécifique à son rôle, vérifiez que l'option AAA Override est activée dans les paramètres avancés du WLAN. C'est le commutateur qui indique à SmartZone de respecter les attributs de VLAN renvoyés par le serveur RADIUS. Numéro cinq : le VLAN DPSK ne se propage pas. Si les utilisateurs de DPSK s'authentifient mais n'arrivent pas sur le bon VLAN, vérifiez que l'attribution de VLAN par DPSK est activée dans les paramètres du WLAN, et que les ports de commutateur connectés à vos points d'accès sont configurés comme des ports trunk acheminant tous les VLAN DPSK. Si le port du commutateur est un port d'accès, le marquage VLAN sera supprimé. Maintenant, trois questions rapides que l'on me pose lors de chaque déploiement Ruckus-Purple. Ai-je besoin d'un VLAN dédié pour le WiFi invité ? Oui, toujours. Isolez le trafic des invités sur un VLAN dédié. Il s'agit à la fois d'une exigence de sécurité et d'une considération de conformité PCI DSS si votre établissement traite des paiements par carte sur le même réseau. Activez l'isolation des clients sur le WLAN invité pour empêcher les appareils des invités de communiquer entre eux. Puis-je utiliser Purple avec Ruckus One – la plateforme gérée dans le cloud – au lieu de SmartZone ? Oui. Le chemin de configuration est différent – cela se trouve sous Réseaux WiFi, paramètres d'accès invité dans le portail Ruckus One – mais les principes de configuration du Walled Garden et du RADIUS sont identiques. Purple prend-il en charge les déploiements multi-zones de SmartZone ? Oui. L'intégration de Purple gère les environnements SmartZone multi-zones, et vous pouvez cibler les configurations de portail sur des zones individuelles pour différents sites ou étages au sein d'une seule instance SmartZone. Pour résumer. L'intégration de Ruckus et Purple couvre trois cas d'usage distincts, chacun ayant son propre modèle de configuration. Le WiFi invité utilise le flux de Captive Portal WISPr – cinq points de configuration clés : RADIUS sur les ports 1812 et 1813 avec un serveur de secours, le profil Hotspot WISPr avec une URL de connexion externe, un Walled Garden correctement dimensionné utilisant des entrées génériques, la commande CLI no encrypt-mac-ip, et l'interface Northbound activée avec les bons identifiants. Le WiFi personnel sécurisé utilise le 802.1X EAP avec orientation dynamique des VLAN via les attributs RADIUS – l'élément déclencheur essentiel est l'option AAA Override dans les paramètres avancés du WLAN. L'isolation multi-locataire utilise Ruckus Dynamic PSK – des clés uniques par locataire, chacune liée à un VLAN dédié, avec une révocation instantanée et aucun risque lié au mot de passe partagé. Maîtrisez ces trois modèles et vous obtiendrez une architecture réseau qui s'adapte aussi bien à un hôtel indépendant de 50 chambres sur Unleashed qu'à un stade de 5 000 places sur SmartZone, avec la même plateforme Purple chapeautant le tout pour fournir des analyses unifiées, une capture de données conforme au GDPR et une gestion centralisée des accès. Si vous planifiez un déploiement Ruckus avec Purple, l'équipe d'intégration technique peut vous guider à travers une liste de contrôle avant lancement et valider votre configuration avant la mise en service. La plateforme Purple fournit également des analyses en temps réel sur les temps de chargement du portail, les taux de réussite d'authentification et les données de session – vous offrant la visibilité nécessaire pour détecter les problèmes avant vos invités. Merci pour votre écoute. À la prochaine.

header_image.png

Résumé opérationnel

Le déploiement d'un réseau sans fil haute performance dans les sites d'entreprise exige un équilibre délicat entre une expérience utilisateur fluide et une sécurité technique robuste. Pour les organisations exploitant des architectures CommScope Ruckus – allant des stades à haute densité et des centres de congrès aux vastes parcs de points de vente et groupes hôteliers – le réseau sert de passerelle principale pour l'engagement numérique. Ce guide fournit un manuel technique définitif pour intégrer les contrôleurs Ruckus SmartZone, ZoneDirector et Unleashed à la plateforme cloud Purple. Nous détaillons les étapes de configuration exactes requises pour déployer le WiFi invité à l'aide de la redirection vers un Captive Portal WISPr, sécuriser les réseaux du personnel via l'orientation dynamique des VLAN 802.1X, et assurer l'isolation réseau multi-locataire à l'aide des clés pré-partagées dynamiques (DPSK) de Ruckus. En suivant ces meilleures pratiques indépendantes des fournisseurs, les équipes informatiques peuvent automatiser la segmentation du réseau, garantir la conformité avec des normes telles que PCI DSS et capturer des données de première partie en toute sécurité.

Analyse technique approfondie

L'intégration entre le matériel CommScope Ruckus et Purple s'appuie sur des protocoles d'authentification standard de l'industrie et des communications API sécurisées. L'architecture prend en charge trois modèles de déploiement distincts, chacun desservant un groupe d'utilisateurs spécifique au sein du site.

Architecture du WiFi invité (WISPr)

Pour les réseaux d'accès public dans le commerce de détail et l'hôtellerie, Ruckus utilise le protocole WISPr (Wireless Internet Service Provider roaming). Lorsqu'un invité se connecte à un SSID ouvert, le contrôleur Ruckus intercepte sa requête HTTP initiale et émet une redirection HTTP 302 vers le Captive Portal externe de Purple. L'invité s'authentifie via un mécanisme d'opt-in délibéré – tel qu'un e-mail ou un fournisseur d'identité sociale. Une fois l'authentification réussie, Purple communique en retour avec le contrôleur Ruckus via l'interface Northbound (NBI) pour autoriser l'adresse MAC et accorder l'accès à Internet.

architecture_overview.png

WiFi personnel sécurisé (802.1X et VLAN dynamiques)

Les appareils du personnel nécessitent une approche fondamentalement différente. Plutôt que de s'appuyer sur des Captive Portals, les environnements d'entreprise utilisent l'authentification 802.1X. Les appareils s'authentifient directement auprès de l'infrastructure RADIUS de Purple à l'aide des protocoles EAP-TLS (basé sur des certificats) ou PEAP-MSCHAPv2 (basé sur des identifiants).

Le composant essentiel ici est l'orientation dynamique des VLAN. Lorsque le serveur RADIUS de Purple renvoie un message Access-Accept, il inclut trois attributs standard spécifiques de l'IETF :

  • Tunnel-Type (Attribut 64) : Défini sur VLAN (valeur 13)
  • Tunnel-Medium-Type (Attribut 65) : Défini sur IEEE-802 (valeur 6)
  • Tunnel-Private-Group-ID (Attribut 81) : Contient la chaîne de l'ID de VLAN (par exemple, "20" pour le personnel)

Le contrôleur Ruckus SmartZone lit ces attributs et étiquette dynamiquement le trafic de l'utilisateur, le plaçant dans le segment de réseau isolé approprié, quel que soit le point d'accès physique auquel il s'est connecté.

Isolation multi-locataire (Ruckus DPSK)

Pour les environnements tels que les espaces de coworking, les logements étudiants et les immeubles collectifs, la diffusion de dizaines de SSID crée de graves interférences de canaux. La clé pré-partagée dynamique de Ruckus (DPSK) résout ce problème en attribuant une phrase de passe WPA2/WPA3 unique à chaque locataire sur un seul SSID partagé.

Chaque DPSK est lié à un VLAN spécifique. Lorsqu'un résident se connecte, le contrôleur utilise sa clé unique pour authentifier l'appareil et le placer dans son VLAN privé. Purple automatise ce processus via une intégration API, générant et révoquant des clés au fur et à mesure que les locataires emménagent et déménagent, éliminant ainsi les risques de sécurité associés aux mots de passe partagés traditionnels.

dpsk_configuration_guide.png

Guide de mise en œuvre

Cette section décrit les étapes de configuration spécifiques requises pour intégrer Purple à un contrôleur Ruckus SmartZone. Les étapes pour Unleashed sont globalement similaires mais omettent l'exigence d'interface Northbound.

1. Configurer les serveurs RADIUS AAA

  1. Accédez à Services & Profiles > Authentication.
  2. Créez un nouveau profil de serveur AAA avec le protocole de service défini sur RADIUS.
  3. Saisissez l'adresse IP du serveur principal et le secret partagé fournis dans votre console d'administration Purple.
  4. Définissez le port d'authentification sur 1812.
  5. Répétez ce processus sous Services & Profiles > Accounting, en définissant le port sur 1813.

2. Configurer le profil Hotspot WISPr

  1. Accédez à Services & Profiles > Hotspots & Portals > Hotspot (WISPr).
  2. Créez un nouveau profil et définissez l'URL de connexion sur External.
  3. Saisissez l'URL de redirection de votre Captive Portal Purple.
  4. Définissez votre Walled Garden. C'est essentiel. Vous devez autoriser l'accès aux domaines de Purple avant l'authentification. SmartZone prend en charge les caractères génériques (par exemple, *.purple.ai). Vous devez également inclure captive.apple.com pour gérer le comportement du Captive Network Assistant (CNA) d'iOS.

3. Désactiver le chiffrement des adresses MAC (étape critique)

Par défaut, SmartZone chiffre les adresses MAC et IP transmises dans l'URL de redirection. Purple a besoin de l'adresse MAC brute pour la gestion des sessions. Vous devez désactiver cela via la CLI :

enable
config
no encrypt-mac-ip
exit

4. Activer l'interface Northbound (NBI)

  1. Accédez à Administration > External Services > WISPr Northbound Interface.
  2. Activez le service et configurez un nom d'utilisateur et un mot de passe.
  3. Fournissez ces identifiants à Purple. Assurez-vous que votre le pare-feu autorise le trafic TCP entrant sur les ports 9080 (HTTP) et 9443 (HTTPS) depuis les plages d'adresses IP de Purple.

5. Créer le WLAN

  1. Créez un nouveau WLAN et définissez le type d'authentification sur Hotspot (WISPr).
  2. Sélectionnez le profil de Hotspot et les serveurs AAA configurés précédemment.
  3. Pour les réseaux du personnel en 802.1X, activez AAA Override dans les paramètres avancés pour vous assurer que les attributs VLAN dynamiques sont traités.

Bonnes pratiques

Pour garantir un déploiement robuste et sécurisé, respectez ces recommandations conformes aux normes de l'industrie :

  • Isoler le trafic invité : Placez toujours le WiFi invité sur un VLAN dédié et activez l'isolation des clients. Il s'agit d'une exigence obligatoire pour la conformité PCI DSS si votre établissement traite des paiements sur la même infrastructure physique.
  • Standardiser les ID de VLAN : Lors du déploiement de l'orientation dynamique des VLAN sur plusieurs sites, assurez-vous que votre schéma de numérotation des VLAN est identique à l'échelle mondiale (par exemple, le VLAN 20 correspond toujours au personnel). Un nommage incohérent entraînera des échecs d'authentification.
  • Implémenter le repli RADIUS : Configurez un VLAN critique ou un mécanisme de repli sur vos contrôleurs. Si le serveur RADIUS principal est injoignable, les appareils doivent être basculés vers un VLAN restreint avec accès Internet uniquement afin de maintenir une connectivité de base.
  • Utiliser DPSK3 pour les nouveaux déploiements : Si votre matériel Ruckus prend en charge le WPA3, déployez DPSK3 au lieu du DPSK hérité pour bénéficier du chiffrement basé sur SAE.

Dépannage et atténuation des risques

Lors de l'intégration de Captive Portal externes et de services RADIUS, les ingénieurs sont généralement confrontés aux modes de défaillance suivants :

  • Échec du chargement du portail : Il s'agit presque toujours d'une mauvaise configuration du Walled Garden. Les portails modernes chargent des ressources à partir de plusieurs CDN et fournisseurs d'identité. Utilisez les outils de développement du navigateur pour identifier les requêtes bloquées et ajoutez les domaines requis à votre SmartZone Walled Garden.
  • L'authentification réussit mais aucun accès Internet n'est disponible : Cela indique une défaillance de l'interface Northbound (NBI). SmartZone ne reçoit pas le rappel d'autorisation de Purple. Vérifiez vos identifiants NBI et examinez les journaux du pare-feu pour détecter le trafic rejeté sur les ports TCP 9080/9443.
  • Échec de l'attribution dynamique de VLAN : Si les utilisateurs 802.1X s'authentifient avec succès mais se retrouvent sur le VLAN par défaut, vérifiez que l'option AAA Override est activée dans les paramètres WLAN. Sans cela, SmartZone ignore l'attribut Tunnel-Private-Group-ID renvoyé par Purple.

ROI et impact commercial

L'intégration de l'infrastructure Ruckus avec Purple transforme un réseau sans fil standard en un actif commercial mesurable.

Pour les commerces et les établissements hôteliers, le Captive Portal capture des données de première main vérifiées, stimulant la croissance des programmes de fidélité et permettant des campagnes marketing ciblées. Une grande chaîne hôtelière britannique a enregistré une augmentation de 40 % des scores de satisfaction des clients suite au déploiement de Ruckus et Purple.

Pour les équipes informatiques, l'orientation dynamique des VLAN et l'automatisation DPSK réduisent considérablement la charge de configuration manuelle. Au lieu de gérer des ports de commutateur statiques ou de réinitialiser des mots de passe partagés lorsqu'un locataire s'en va, le contrôle d'accès est centralisé et automatisé, ce qui atténue les risques de sécurité et réduit le nombre de tickets d'assistance.

Définitions clés

WISPr

Wireless Internet Service Provider roaming. Un protocole standard de l'industrie utilisé par les contrôleurs sans fil pour intercepter le trafic HTTP et rediriger les utilisateurs vers un Captive Portal externe.

Il s'agit de l'architecture fondamentale pour tous les déploiements de WiFi invité public sur le matériel Ruckus.

Northbound Interface (NBI)

Une API sur le contrôleur Ruckus SmartZone qui permet aux plateformes externes d'envoyer des commandes d'autorisation.

Requis pour que Purple autorise l'accès Internet d'un utilisateur après sa connexion réussie sur le Captive Portal.

Walled Garden

Une liste blanche de domaines et d'adresses IP qu'un appareil est autorisé à consulter avant de s'authentifier sur le réseau.

Essentiel pour permettre le chargement de la page du Captive Portal, de ses images associées et des fournisseurs de connexion sociale pour les invités non authentifiés.

Dynamic PSK (DPSK)

Une technologie propriétaire de Ruckus qui attribue une phrase de passe WPA2/WPA3 unique à des utilisateurs ou groupes individuels sur un seul SSID partagé.

Très utilisé dans les environnements multi-locataires (immeubles collectifs, espaces de coworking) pour assurer une isolation réseau sécurisée sans multiplication des SSID.

Dynamic VLAN Steering

Le processus d'attribution automatique d'un appareil à un segment de réseau spécifique (VLAN) en fonction des attributs RADIUS renvoyés lors de l'authentification 802.1X.

Permet aux équipes informatiques d'utiliser un seul SSID 'Staff' tout en séparant de manière sécurisée le trafic des RH, de la finance et de la réception au niveau de la couche réseau.

AAA Override

Un paramètre de configuration sur les contrôleurs sans fil qui force le point d'accès à appliquer les politiques (comme les ID de VLAN) renvoyées par le serveur RADIUS.

Doit être activé sur les WLAN Ruckus pour que l'orientation dynamique des VLAN fonctionne correctement.

Client Isolation

Une fonctionnalité de sécurité qui empêche les appareils connectés au même réseau sans fil de communiquer directement entre eux.

Un contrôle de sécurité obligatoire pour les réseaux WiFi invités publics afin de prévenir les attaques de pair à pair et de garantir la conformité.

Captive Network Assistant (CNA)

Le mini-navigateur intégré aux systèmes d'exploitation mobiles (comme iOS et Android) qui s'affiche automatiquement lorsqu'un Captive Portal est détecté.

Les ingénieurs doivent gérer le comportement du CNA via le Walled Garden pour garantir une expérience de connexion fluide aux utilisateurs mobiles.

Exemples concrets

Un hôtel de 250 chambres doit déployer trois réseaux distincts sur son infrastructure Ruckus SmartZone : un réseau invité public, un réseau personnel sécurisé avec accès au système de gestion de l'établissement et un réseau IoT isolé pour les thermostats intelligents.

L'équipe informatique configure trois WLAN. Le WLAN 'Guest-WiFi' utilise l'authentification Hotspot (WISPr) avec redirection vers le Captive Portal de Purple, plaçant les utilisateurs sur le VLAN 10 avec l'isolation des clients activée. Le WLAN 'Staff-Secure' utilise l'authentification 802.1X EAP auprès de Purple SecurePass ; le serveur RADIUS renvoie Tunnel-Private-Group-ID = 20, orientant dynamiquement le personnel vers le VLAN interne. Le WLAN 'IoT-Devices' utilise une clé WPA2 PSK statique liée au VLAN 30, restreinte par des règles de pare-feu pour communiquer uniquement avec le serveur de contrôle des thermostats.

Commentaire de l'examinateur : Cette architecture applique correctement le principe du moindre privilège. En s'appuyant sur l'orientation dynamique des VLAN pour le personnel, l'hôtel évite de diffuser plusieurs SSID spécifiques à chaque service, réduisant ainsi l'utilisation des canaux tout en maintenant la segmentation stricte du réseau requise pour la conformité PCI DSS.

Un opérateur d'espace de coworking gère un bâtiment abritant 15 entreprises locataires différentes. Il doit fournir un accès sans fil sécurisé et isolé pour chaque entreprise sans diffuser 15 SSID distincts.

L'opérateur déploie Ruckus Unleashed et configure un unique WLAN 'Tenant-WiFi' utilisant la sécurité Dynamic PSK (DPSK). Au sein du contrôleur, il active l'attribution de VLAN par DPSK. Chacune des 15 entreprises locataires reçoit une phrase de passe unique de 62 caractères. Lorsque les employés du locataire A se connectent à l'aide de leur clé spécifique, le contrôleur attribue automatiquement leur trafic au VLAN 101. Les employés du locataire B utilisent une clé différente et se retrouvent sur le VLAN 102.

Commentaire de l'examinateur : C'est le cas d'usage optimal pour Ruckus DPSK. Il offre une isolation de niveau entreprise au niveau de la couche réseau tout en maintenant l'environnement RF propre en ne diffusant qu'un seul SSID. Il élimine également le risque de sécurité lié à un mot de passe partagé, car la révocation de l'accès du locataire A nécessite la suppression d'une seule clé sans impact sur les 14 autres entreprises.

Questions d'entraînement

Q1. Vous avez configuré un réseau WiFi invité sur un contrôleur Ruckus SmartZone intégré à Purple. Lors de la connexion d'un appareil de test, la page du Captive Portal de Purple s'affiche, mais l'image du logo est manquante et le bouton 'Se connecter avec Facebook' ne fonctionne pas. Quelle est la cause la plus probable ?

Conseil : Considérez l'accès réseau dont dispose l'appareil avant de s'authentifier avec succès.

Voir la réponse type

Le Walled Garden est mal configuré. Les domaines hébergeant l'image du logo (par exemple, un CDN) et les serveurs d'authentification Facebook n'ont pas été ajoutés à la liste blanche du Walled Garden, de sorte que le contrôleur SmartZone bloque ces requêtes avant l'authentification.

Q2. Un ingénieur réseau déploie le 802.1X pour l'accès du personnel. Le serveur RADIUS de Purple renvoie correctement l'attribut `Tunnel-Private-Group-ID` pour le VLAN 20. Cependant, lorsque le personnel se connecte, il est placé sur le VLAN par défaut attribué au WLAN. Comment résoudre ce problème ?

Conseil : Le contrôleur reçoit les instructions RADIUS mais choisit de les ignorer.

Voir la réponse type

Vous devez activer 'AAA Override' dans les paramètres avancés du WLAN sur le contrôleur SmartZone. Sans l'activation de ce paramètre, le contrôleur n'appliquera pas les attributs de VLAN dynamiques renvoyés par le serveur RADIUS.

Q3. Un espace de coworking souhaite fournir un WiFi sécurisé à 10 entreprises différentes. Il diffuse actuellement 10 SSID distincts, ce qui provoque de graves interférences de canaux. Il ne peut pas utiliser le 802.1X car de nombreux appareils sont des imprimantes partagées ou des téléviseurs intelligents. Quelle est l'architecture Ruckus recommandée ?

Conseil : Recherchez une solution qui fournit des clés de chiffrement uniques sans nécessiter de certificats ou d'identifiants d'entreprise.

Voir la réponse type

Implémentez Ruckus Dynamic PSK (DPSK) sur un seul SSID. Attribuez un DPSK unique à chaque entreprise locataire et configurez le contrôleur pour lier chaque DPSK à un VLAN spécifique. Cela élimine la prolifération des SSID, assure l'isolation du réseau et prend en charge les appareils sans écran comme les imprimantes.

Continuer la lecture de cette série

Allied Telesis Access Points Integration with Purple WiFi

Ce guide fournit un manuel de configuration complet pour intégrer les points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il couvre la redirection vers un Captive Portal externe, l'authentification RADIUS 802.1X et le routage dynamique des VLAN à l'aide de clés pré-partagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Lire le guide →

Grandstream GWN Access Points Integration with Purple WiFi

Ce guide de référence technique faisant autorité détaille comment intégrer les points d'accès Grandstream GWN avec la plateforme de Guest WiFi et d'analyse de Purple. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage VLAN dynamique, et la segmentation PPSK multi-tenant - fournissant des instructions pratiques, étape par étape, pour les MSP et les équipes informatiques déployant du WiFi pour les invités et le personnel à grande échelle.

Lire le guide →

Intégration du firmware personnalisé OpenWrt avec Purple WiFi

Ce guide fournit le guide d'intégration complet pour déployer le firmware personnalisé OpenWrt avec Purple WiFi. Il couvre la configuration du Captive Portal CoovaChilli, la gestion du walled garden via iptables, le WiFi sécurisé pour le personnel en 802.1X avec hostapd, et la segmentation PPSK multi-tenant avec attribution dynamique de VLAN - offrant aux équipes informatiques les étapes de configuration exactes nécessaires pour créer un réseau basé sur l'identité sur n'importe quel matériel compatible OpenWrt.

Lire le guide →