Passer au contenu principal
Français

Intégration des points d'accès d'entreprise et NETGEAR Insight avec Purple WiFi

Ce guide fournit aux responsables informatiques une feuille de route technique définitive pour intégrer NETGEAR Insight et les points d'accès d'entreprise WAX avec Purple WiFi. Il couvre les configurations essentielles, notamment les Captive Portals pour les invités, les réseaux du personnel en 802.1X, et la segmentation multi-locataire à l'aide du PPSK et de l'attribution dynamique de VLAN.

📖 6 min de lecture📝 1,295 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bienvenue dans le briefing technique de Purple. Aujourd'hui, nous abordons un sujet qui revient constamment dans nos conversations avec les responsables informatiques et les architectes réseau dans les secteurs de l'hôtellerie, du commerce de détail et des sites multi-locataires : comment intégrer les points d'accès NETGEAR Insight et de la série WAX avec Purple WiFi. Si vous gérez un hôtel, un parc commercial, un centre de conférences ou un développement à usage mixte, ce briefing est directement pertinent pour votre prochaine décision de déploiement. Plantons le décor. La série WAX de NETGEAR - les WAX610, WAX620 et WAX630 - comprend des points d'accès WiFi 6 gérés via la plateforme cloud Insight. Ils prennent en charge jusqu'à huit SSIDs distincts par radio, le chiffrement WPA3 et jusqu'à six gigabits de débit sur le WAX630. Ils sont alimentés par PoE, montables au plafond et gérés à partir d'une interface unique via le portail cloud Insight. Pour un installateur informatique ou un administrateur réseau de PME, il s'agit d'une plateforme véritablement performante à un prix bien inférieur à celui de Cisco Meraki ou HPE Aruba. Purple est une surcouche cloud indépendante du matériel. Nous nous superposons à votre infrastructure existante et nous y ajoutons la couche d'expérience client, la couche de capture de données et la couche d'analyse. Nous avons traité 440 millions de connexions en 2024 sur 80 000 sites actifs. L'intégration avec NETGEAR Insight est propre et bien documentée, et elle couvre quatre cas d'usage distincts que nous allons passer en revue aujourd'hui. Entrons maintenant dans le vif du sujet technique. Les quatre cas d'usage sont : le Guest WiFi avec un Captive Portal Purple, le WiFi sécurisé pour le personnel utilisant le 802.1X, la segmentation multi-locataire à l'aide de la fonctionnalité PPSK de NETGEAR, et l'attribution dynamique de VLAN via RADIUS pour les réseaux basés sur l'identité (Identity-Based Networks). Premier cas d'usage : le Guest WiFi avec un Captive Portal Purple. C'est le point de départ le plus courant. Vous créez un SSID Guest dédié dans NETGEAR Insight et vous le configurez comme un réseau ouvert. La configuration clé se trouve dans la section Captive Portal des paramètres du SSID. Vous sélectionnez Captive Portal externe et vous y collez l'URL de la Splash Page fournie par Purple. Ensuite, vous configurez le type d'authentification. Pour la plupart des déploiements Purple, vous sélectionnerez l'authentification RADIUS. Purple vous fournit une adresse IP de serveur RADIUS principal, le port 1812 pour l'authentification et le port 1813 pour la comptabilité, ainsi qu'un secret partagé. Vous les collez dans la configuration du Captive Portal externe de NETGEAR Insight. Vous définissez également un NAS Identifier - il s'agit d'une chaîne de caractères qui identifie ce point d'accès ou cet emplacement spécifique auprès du serveur RADIUS. Utilisez un nom explicite, comme le nom de votre site et le code de l'emplacement. Le walled garden est l'élément qui pose le plus de problèmes aux installateurs. Avant qu'un invité ne s'authentifie, son appareil doit pouvoir accéder à la splash page de Purple, aux serveurs d'authentification et aux fournisseurs de connexion sociale que vous avez activés. NETGEAR Insight dispose d'une section Walled Garden dédiée dans la configuration du Captive Portal externe où vous ajoutez ces URL. La documentation d'assistance de Purple fournit la liste exacte des domaines à autoriser. Si vous vous trompez, les invités verront une page blanche au lieu de votre portail personnalisé. Une fois configuré, le flux fonctionne ainsi : un invité se connecte au SSID Hotel Guest. Le point d'accès intercepte sa première requête HTTP et le redirige vers la splash page de Purple. L'invité voit votre portail personnalisé, accepte les conditions et fournit éventuellement son adresse e-mail ou se connecte via les réseaux sociaux. Le serveur RADIUS de Purple renvoie un message Access-Accept au point d'accès, et l'accès Internet est accordé à l'invité. Purple capture les données de consentement, enregistre la session, et ces données sont transmises à votre tableau de bord d'analyse Purple. Deuxième cas d'usage : le WiFi sécurisé pour le personnel utilisant le 802.1X. C'est ici que vous abandonnez complètement les mots de passe partagés. Pour les réseaux du personnel, une clé pré-partagée est un risque de sécurité : lorsqu'un employé s'en va, vous devez changer le mot de passe pour tout le monde. Le 802.1X, défini par la norme IEEE 802.1X, attribue à chaque utilisateur un identifiant individuel. Lorsqu'il part, vous désactivez son compte dans votre annuaire et son accès est révoqué instantanément. Dans NETGEAR Insight, vous configurez un SSID Staff distinct avec une sécurité WPA2 Enterprise. Cela indique au point d'accès d'utiliser l'authentification 802.1X plutôt qu'une clé pré-partagée. Vous configurez ensuite les paramètres du serveur RADIUS au niveau de l'emplacement réseau. Allez dans les paramètres de l'emplacement réseau, sélectionnez RADIUS, activez l'authentification d'accès 802.1X, puis saisissez l'IP, le port et le secret partagé de votre serveur RADIUS. L'intervalle de réauthentification par défaut est de 3 600 secondes (une heure), ce qui est un point de départ raisonnable pour la plupart des sites. La méthode EAP la plus courante dans les déploiements de PME est PEAP-MSCHAPv2, qui utilise un certificat côté serveur pour créer un tunnel chiffré à l'intérieur duquel l'utilisateur s'authentifie avec son nom d'utilisateur et son mot de passe Active Directory. EAP-TLS est plus sécurisé (il utilise des certificats des deux côtés) mais nécessite une infrastructure PKI et un MDM pour déployer les certificats sur les appareils. Un point critique : imposez la validation des certificats sur chaque appareil client. Configurez vos appareils Windows via des objets de stratégie de groupe (GPO) et vos appareils mobiles via des profils MDM pour valider le certificat du serveur RADIUS. Si vous ignorez cette étape, les appareils sont vulnérables aux attaques de points d'accès malveillants (rogue AP) où un attaquant présente un faux certificat et capture les identifiants. Troisième cas d'usage : le PPSK de NETGEAR pour les sites multi-locataires. La clé privée pré-partagée (Private Pre-Shared Key) résout un problème spécifique dans les parcs commerciaux, les développements à usage mixte et les espaces de coworking. Vous avez plusieurs locataires qui partagent la même infrastructure WiFi physique. Vous ne voulez pas exécuter des SSIDs distincts pour chaque locataire, car cela crée une congestion des fréquences radio et une complexité de gestion. Mais vous ne pouvez pas non plus donner le même mot de passe à tout le monde, car le locataire A pourrait alors voir le trafic du locataire B. Le PPSK résout cela de manière élégante. Vous créez un seul SSID et vous créez plusieurs clés pré-partagées dans NETGEAR Insight sous Wireless, Settings, Advanced, Multi PSK Settings. Chaque clé est associée à un VLAN spécifique. Le locataire A obtient un mot de passe unique de 16 caractères qui correspond au VLAN 30. Le locataire B obtient un mot de passe différent qui correspond au VLAN 40. L'équipe de gestion du site obtient un troisième mot de passe qui correspond au VLAN 20, lequel a accès aux systèmes de gestion. Lorsque les appareils du locataire A se connectent à l'aide de leur mot de passe, le point d'accès les place automatiquement sur le VLAN 30. Ils ne peuvent voir aucun trafic sur le VLAN 40 ou le VLAN 20. Du point de vue du locataire, il dispose simplement d'un mot de passe WiFi. De votre point de vue d'administrateur réseau, vous bénéficiez d'une isolation complète du trafic entre les locataires sans aucun matériel supplémentaire. Il y a deux limitations importantes à connaître. Tout d'abord, le PPSK dans NETGEAR Insight nécessite un chiffrement WPA2 Personal ou WPA2 Personal Mixed. Il ne fonctionne pas sur la bande 6 GHz. Deuxièmement, le PPSK ne peut pas être combiné avec un Captive Portal sur le même SSID. Si vous avez besoin des deux, vous devez créer deux SSIDs distincts, ce qui ne pose aucun problème puisque les points d'accès de la série WAX en prennent en charge jusqu'à huit. Quatrième cas d'usage : l'attribution dynamique de VLAN via RADIUS. Il s'agit de la configuration la plus sophistiquée et de celle qui sous-tend la capacité de réseaux basés sur l'identité (Identity-Based Networks) de Purple. Au lieu d'attribuer statiquement un VLAN à un mot de passe ou à un SSID, vous laissez le serveur RADIUS décider quel VLAN attribuer en fonction de la personne qui s'authentifie. Le mécanisme utilise trois attributs RADIUS standard : Tunnel-Type, qui doit être défini sur la valeur 13 pour le VLAN ; Tunnel-Medium-Type, qui doit être défini sur la valeur 6 pour l'IEEE 802 ; et Tunnel-Private-Group-ID, qui transporte l'ID de VLAN sous forme de chaîne de caractères. Lorsqu'un utilisateur s'authentifie avec succès, le serveur RADIUS renvoie ces trois attributs dans le message Access-Accept. Le point d'accès les lit et place le client sur le VLAN spécifié. En pratique, cela signifie que vous pouvez avoir un seul SSID WPA2 Enterprise où un directeur d'hôtel s'authentifie et arrive sur le VLAN 20 avec accès aux systèmes de gestion de l'établissement, un agent de réception s'authentifie et arrive sur le VLAN 21 avec accès uniquement au système d'enregistrement, et un prestataire s'authentifie et arrive sur le VLAN 50 avec un accès Internet uniquement. Tout cela à partir du même SSID, appliqué automatiquement par le serveur RADIUS en fonction de l'appartenance aux groupes Active Directory. Parlons maintenant des recommandations de mise en œuvre et des pièges à éviter. Le premier piège est le walled garden. Chaque déploiement de Captive Portal externe échoue au moins une fois au niveau du walled garden. Le symptôme est que les invités se connectent au SSID mais voient une erreur de navigateur au lieu de la splash page. La solution est méthodique : ouvrez la documentation d'assistance de Purple, copiez chaque domaine de la liste du walled garden et collez-les dans la section Walled Garden de NETGEAR Insight. Testez avec un appareil qui n'a pas d'identifiants en cache. Le deuxième piège est l'accessibilité du serveur RADIUS. Le point d'accès NETGEAR doit pouvoir atteindre votre serveur RADIUS. RADIUS utilise le port UDP 1812 pour l'authentification et le port UDP 1813 pour la comptabilité. Ouvrez ces ports depuis l'IP de gestion du point d'accès vers l'IP du serveur RADIUS. Testez avec un outil de test RADIUS avant de passer en production. Le troisième piège est le conflit entre le PPSK et le Captive Portal. NETGEAR Insight ne permet pas d'avoir le PPSK et un Captive Portal sur le même SSID. Si vous avez besoin des deux, acryez deux SSIDs. Nommez-les clairement : un pour les locataires PPSK et un pour les invités du Captive Portal. Le quatrième piège est la validation des certificats sur les clients 802.1X. Chaque appareil Windows a besoin d'un objet de stratégie de groupe (GPO) qui spécifie l'autorité de certification de confiance et le nom attendu du serveur RADIUS. Chaque appareil mobile a besoin d'un profil MDM avec les mêmes paramètres. Sans cela, un utilisateur pourrait s'authentifier sans le savoir auprès d'un point d'accès malveillant et transmettre ses identifiants Active Directory. Passons maintenant à une session de questions-réponses rapide. Question un : Puis-je utiliser Purple avec NETGEAR Insight sans serveur RADIUS ? Oui, pour les déploiements de Captive Portals pour invités, vous pouvez utiliser le mode d'authentification web de Purple plutôt que RADIUS. Le point d'accès redirige vers la splash page via HTTP, et Purple gère l'authentification via une session web. Le RADIUS vous offre plus de contrôle et de meilleures données de comptabilité, mais il n'est pas obligatoire pour les déploiements de portails d'invités de base. Question deux : Combien de clés PPSK puis-je créer dans NETGEAR Insight ? NETGEAR Insight prend en charge jusqu'à 64 clés PPSK par SSID sur les points d'accès de la série WAX. Pour la plupart des sites multi-locataires, c'est amplement suffisant. Si vous avez plus de 64 locataires, vous devez plutôt passer à une solution de VLAN dynamique basée sur RADIUS. Question trois : NETGEAR Insight prend-il en charge le WPA3 Enterprise pour le 802.1X ? Oui, les points d'accès de la série WAX prennent en charge le WPA3 Enterprise. Pour la plupart des déploiements de PME, le WPA2 Enterprise est suffisant et offre une compatibilité plus large avec les appareils clients. Le WPA3 Enterprise mérite d'être envisagé pour les environnements traitant des données sensibles, comme la santé ou les services financiers. Question quatre : Que se passe-t-il si le serveur RADIUS de Purple est injoignable ? NETGEAR Insight prend en charge une option de secours (failsafe) dans la configuration du Captive Portal externe. Si vous activez le mode de secours, les invités bénéficient d'un accès Internet pendant une courte période même si les serveurs du Captive Portal sont injoignables. Purple maintient une disponibilité de 99,999 % sur l'ensemble de son infrastructure, mais l'activation du mode de secours est une bonne pratique pour tout déploiement en production. Pour résumer les points clés du briefing d'aujourd'hui. Les points d'accès de la série NETGEAR WAX s'intègrent à Purple via le mécanisme de Captive Portal externe dans NETGEAR Insight. Vous configurez l'URL de la splash page, les identifiants du serveur RADIUS et les domaines du walled garden dans le portail cloud Insight. Pour les réseaux du personnel, utilisez le WPA2 Enterprise avec le 802.1X et imposez la validation des certificats sur chaque appareil client. Pour les sites multi-locataires, la fonctionnalité PPSK de NETGEAR vous offre une isolation VLAN par locataire à partir d'un seul SSID avec jusqu'à 64 clés uniques. Pour les déploiements les plus sophistiqués, l'attribution dynamique de VLAN via les attributs RADIUS vous offre une segmentation réseau basée sur l'identité qui s'adapte à la personne qui se connecte, et pas seulement à l'endroit d'où elle se connecte. Si vous planifiez un déploiement NETGEAR avec Purple, la prochaine étape consiste à demander vos identifiants RADIUS Purple et la liste des domaines du walled garden à l'équipe d'assistance de Purple, et à tester la redirection du Captive Portal sur un SSID de test avant de le déployer en production. La configuration prend moins de 30 minutes une fois que vous avez ces identifiants en main. Merci d'avoir écouté le briefing technique de Purple. Pour obtenir le guide écrit complet, y compris les détails de configuration étape par étape et des exemples concrets, visitez purple.ai.

header_image.png

Executive Summary

Relying on pre-shared keys for enterprise WiFi access is a significant security liability. A single compromised credential exposes the entire network, and revoking access requires changing the password for every device. This guide provides IT managers and network architects with a definitive roadmap for integrating NETGEAR Insight and WAX series enterprise access points with Purple.

We detail four core deployment architectures: Guest WiFi with a captive portal, Secure Staff WiFi using 802.1X, Multi-Tenant segmentation via NETGEAR Private Pre-Shared Keys (PPSK), and Identity-Based Networks using dynamic VLAN assignment. Whether you operate Hospitality venues, Retail spaces, or public-sector environments, these configurations eliminate shared passwords, enforce strict network segmentation, and capture actionable WiFi Analytics .

Listen to our technical briefing podcast below for a comprehensive overview of the architecture and common deployment pitfalls.

Technical Deep-Dive

NETGEAR WAX series access points (WAX610, WAX620, WAX630) are cloud-managed WiFi 6 devices designed for high-density environments. Managed via the NETGEAR Insight portal, they support up to eight separate SSIDs per radio, WPA3 encryption, and multi-gigabit throughput. Purple acts as a hardware-agnostic cloud overlay, integrating with NETGEAR Insight to deliver enterprise-grade access control and data capture.

1. Guest WiFi with Captive Portal

For public-facing environments, you must deploy an External Captive Portal. This configuration intercepts guest HTTP requests and redirects them to a Purple-hosted splash page.

Architecture:

  1. Access Point: NETGEAR WAX access point broadcasts an open or WPA2 Personal Guest SSID.
  2. Walled Garden: NETGEAR Insight permits pre-authentication traffic to Purple's servers and social login providers.
  3. Authentication: Purple handles the user session via RADIUS or HTTP web authentication.

When a guest connects, they are presented with a branded portal. Upon accepting the terms and providing details, Purple's RADIUS server returns an Access-Accept message, granting internet access. This approach guarantees compliance with data privacy regulations like GDPR while capturing valuable first-party data.

2. Secure Staff WiFi (802.1X)

Pre-shared keys are unacceptable for staff networks. You must implement IEEE 802.1X authentication. In this model, every user has an individual credential. When an employee departs, you disable their directory account, and their access is revoked instantly.

In NETGEAR Insight, you configure a Staff SSID with WPA2 Enterprise or WPA3 Enterprise security. The access point acts as the authenticator, relaying Extensible Authentication Protocol (EAP) messages to the RADIUS server. The RADIUS server validates the credentials against your directory (e.g., Microsoft Entra ID or Okta) and returns the authorisation decision.

3. Multi-Tenant Segmentation (PPSK)

Mixed-use developments and retail parks face a specific challenge: multiple tenants sharing physical WiFi infrastructure. Deploying separate SSIDs for each tenant creates radio frequency congestion. Providing a single shared password compromises security.

NETGEAR Private Pre-Shared Key (PPSK) solves this. You broadcast a single SSID. In NETGEAR Insight, you generate unique passwords for each tenant. Crucially, each password maps to a specific VLAN.

ppsk_vlan_infographic.png

When a device connects using the retail unit's password, the access point places it on the isolated retail VLAN. When venue management connects using their password, they land on the management VLAN. You achieve complete traffic isolation with zero additional hardware. Note that PPSK requires WPA2 Personal and cannot be combined with a captive portal on the same SSID.

4. Dynamic VLAN Assignment via RADIUS

For sophisticated Identity-Based Networks, you must use dynamic VLAN assignment. Instead of statically assigning a VLAN to an SSID or a password, the RADIUS server dictates the VLAN based on the user's directory profile.

The RADIUS server returns three standard attributes in the Access-Accept message:

  • [64] Tunnel-Type = 13 (VLAN)
  • [65] Tunnel-Medium-Type = 6 (802)
  • [81] Tunnel-Private-Group-ID = [VLAN ID]

A single WPA2 Enterprise SSID can serve the entire organisation. A hotel manager authenticates and lands on VLAN 20. A front desk agent lands on VLAN 21. A contractor lands on VLAN 50. The network adapts to the identity of the user. For a broader look at securing your environment, review our Enterprise WiFi Security: A Complete Guide for 2026 .

architecture_overview.png

Implementation Guide

Follow these steps to deploy NETGEAR Insight with Purple Guest WiFi .

Step 1: Configure the Guest SSID

  1. Log in to the NETGEAR Insight Cloud Portal.
  2. Select your network location and navigate to Wireless > Settings.
  3. Create a new SSID (e.g., "Venue Guest WiFi").
  4. Select Captive Portal and choose External Captive Portal.

Step 2: Configure the Captive Portal

  1. In the Splash Page URL field, enter the URL provided by Purple.
  2. Select the Radius radio button.
  3. Enter the Primary Authentication Server IP, port (1812), and shared secret provided by Purple.
  4. Enter the Primary Accounting Server IP, port (1813), and shared secret.
  5. Set a descriptive NAS-Identifier (e.g., "London-Retail-01").

Step 3: Configure the Walled Garden

This is the most critical step. If the walled garden is incorrect, guests will see a blank screen.

  1. Scroll to the Walled Garden section in the Captive Portal settings.
  2. Add every domain provided in Purple's integration documentation. This includes Purple's CDN domains, authentication servers, and any enabled social login providers (e.g., Facebook, Google).
  3. Click Save.

Step 4: Verify RADIUS Reachability

Ensure your firewall permits UDP ports 1812 and 1813 outbound from the access point management IP addresses to the Purple RADIUS servers.

Best Practices

  • Enforce Certificate Validation: For 802.1X deployments, you must enforce strict certificate validation on all client devices via Group Policy Objects (GPO) or Mobile Device Management (MDM). If clients do not validate the RADIUS server certificate, they are vulnerable to rogue access point attacks.
  • Isolate Management Traffic: Always place access point management IP addresses on a dedicated management VLAN, isolated from guest and staff traffic.
  • Enable Failsafe: In the NETGEAR Insight Captive Portal settings, enable the FailSafe option. If the RADIUS servers become unreachable, guests are granted temporary internet access, preventing a total WiFi outage.
  • Separate SSIDs for PPSK: Because NETGEAR Insight does not support PPSK and Captive Portal on the same SSID, you must create dedicated SSIDs (e.g., "Venue-Guest" and "Venue-Tenant").

Troubleshooting & Risk Mitigation

Symptom: Guests connect to the SSID but the splash page does not load.

  • Cause: Incomplete Walled Garden configuration.
  • Resolution: Verify that all Purple domains and social login domains are entered correctly in the NETGEAR Insight Walled Garden settings. Test with a device that has no cached credentials.

Symptom: Staff devices fail to authenticate via 802.1X.

  • Cause: RADIUS timeout or incorrect shared secret.
  • Resolution: Verify that UDP ports 1812 and 1813 are open outbound. Confirm the shared secret matches exactly between the NETGEAR Insight portal and the RADIUS server. Check the RADIUS server logs for Access-Reject messages.

Symptom: PPSK clients are placed on the wrong VLAN.

  • Cause: Incorrect VLAN mapping or missing VLAN configuration on the switch.
  • Resolution: Ensure the VLAN is created in NETGEAR Insight under Wired settings. Verify the Multi PSK Settings map the correct password to the correct VLAN ID. Ensure the switch port connecting the access point is configured as a trunk port allowing the target VLAN.

ROI & Business Impact

Deploying NETGEAR Insight with Purple transforms your wireless infrastructure from a cost centre into a revenue-generating asset. By implementing Identity-Based Networks and captive portals, you achieve:

  • Reduced IT Overhead: PPSK and 802.1X eliminate the need to manually manage shared passwords or dispatch engineers for routine access changes.
  • Actionable Analytics: Capture demographic data, dwell times, and return rates to optimise venue operations and tenant mix.
  • Marketing ROI: Build a high-intent, GDPR-compliant CRM database. Venues typically see a significant reduction in customer acquisition costs when leveraging first-party data collected via WiFi.
  • Enhanced Security: Dynamic VLAN assignment isolates IoT devices, point-of-sale systems, and guest traffic, significantly reducing the attack surface and ensuring PCI DSS compliance.

Définitions clés

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un LAN ou un WLAN.

Essentiel pour la sécurité de l'entreprise ; remplace les mots de passe partagés par des identifiants d'utilisateur individuels.

Captive Portal

Une page web qu'un utilisateur d'un réseau d'accès public est obligé de consulter et avec laquelle il doit interagir avant que l'accès ne lui soit accordé.

Utilisé par Purple pour capturer des données de première partie et garantir l'acceptation des conditions d'utilisation.

PPSK (Private Pre-Shared Key)

Une fonctionnalité permettant plusieurs mots de passe uniques sur un seul SSID, où chaque mot de passe attribue l'utilisateur à un VLAN spécifique.

Idéal pour les bâtiments multi-locataires ou l'isolation des appareils IoT sans créer plusieurs SSIDs.

RADIUS

Remote Authentication Dial-In User Service ; un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA).

Le serveur central qui valide les identifiants et indique au point d'accès NETGEAR s'il doit accorder l'accès.

Walled Garden

Un environnement limité qui contrôle l'accès de l'utilisateur aux contenus et services web avant l'authentification complète.

Doit être configuré dans NETGEAR Insight pour permettre aux appareils d'accéder à la splash page de Purple et aux fournisseurs de connexion sociale.

Dynamic VLAN Assignment

Le processus par lequel un serveur RADIUS ordonne à un point d'accès de placer un utilisateur authentifié sur un VLAN spécifique en fonction de son identité.

Permet les réseaux basés sur l'identité, permettant à un seul SSID de desservir plusieurs départements de manière sécurisée.

NAS-Identifier

Network Access Server Identifier ; une chaîne de caractères utilisée pour identifier la source d'une demande d'accès RADIUS.

Configuré dans NETGEAR Insight pour que Purple sache depuis quel site ou point d'accès l'utilisateur se connecte.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security ; une méthode d'authentification nécessitant des certificats numériques à la fois sur le client et sur le serveur.

La méthode 802.1X la plus sécurisée, éliminant complètement les mots de passe, bien qu'elle nécessite un MDM pour déployer les certificats.

Exemples concrets

Un parc commercial de 40 unités doit fournir un WiFi sécurisé et isolé pour les systèmes de point de vente de chaque locataire, ainsi qu'un réseau WiFi public personnalisé pour les acheteurs. Ils ont déployé des points d'accès NETGEAR WAX630. Comment le réseau doit-il être configuré ?

Créez deux SSIDs dans NETGEAR Insight. SSID 1 : 'RetailPark-Guest'. Configurez-le avec un Captive Portal externe pointant vers la splash page de Purple, avec une authentification RADIUS et un walled garden complet. Associez-le au VLAN 10 (Internet uniquement). SSID 2 : 'RetailPark-Tenants'. Configurez-le avec WPA2 Personal et activez le Multi PSK (PPSK). Créez 40 mots de passe uniques. Associez le mot de passe du locataire A au VLAN 101, celui du locataire B au VLAN 102, etc. Assurez-vous que le commutateur principal achemine (trunk) tous les VLAN vers les points d'accès.

Commentaire de l'examinateur : Cette approche équilibre parfaitement la sécurité et l'expérience utilisateur. En séparant les SSIDs, nous évitons la limitation de NETGEAR qui empêche de mélanger le PPSK et les Captive Portals. La configuration PPSK garantit une visibilité nulle entre les locataires pour la conformité PCI, tandis que le portail Purple capture les données des acheteurs.

Un siège social souhaite abandonner le mot de passe WPA2 partagé. Ils ont besoin que le personnel s'authentifie avec leurs identifiants Microsoft Entra ID, et ils souhaitent que l'équipe financière soit sur le VLAN 50 et l'équipe marketing sur le VLAN 60.

Déployez un seul SSID 'Corporate-Secure' configuré pour WPA2 Enterprise. Orientez les paramètres RADIUS de NETGEAR Insight vers un serveur RADIUS intégré à Entra ID. Configurez le serveur RADIUS pour renvoyer les attributs de tunnel standard (Tunnel-Type=13, Tunnel-Medium-Type=6, Tunnel-Private-Group-ID=50 ou 60) en fonction de l'appartenance au groupe d'annuaire de l'utilisateur. Imposez la validation des certificats sur tous les ordinateurs portables de l'entreprise via MDM.

Commentaire de l'examinateur : Cela démontre une véritable mise en réseau basée sur l'identité (Identity-Based Networking). Le point d'accès attribue dynamiquement le VLAN en fonction de la réponse RADIUS. De plus, l'obligation de valider les certificats empêche les attaques de points d'accès malveillants (rogue AP), ce qui est obligatoire pour la sécurité de l'entreprise.

Questions d'entraînement

Q1. Vous avez déployé un Captive Portal Purple sur un NETGEAR WAX620. Les invités peuvent se connecter au WiFi, mais leurs navigateurs affichent une erreur 'Impossible de joindre la destination' au lieu de la splash page. Quelle est l'erreur de configuration la plus probable ?

Conseil : Considérez ce qui doit se passer avant que l'invité ne soit entièrement authentifié pour atteindre les serveurs externes.

Voir la réponse type

Le Walled Garden est mal configuré ou incomplet. Le point d'accès NETGEAR bloque le trafic initial vers les serveurs de Purple. Vous devez vous assurer que tous les domaines CDN de Purple, les URL d'authentification et les domaines de connexion sociale requis sont ajoutés à la liste du Walled Garden dans le portail Insight.

Q2. Un site nécessite à la fois un Captive Portal pour les invités et un WiFi sécurisé et isolé pour 10 locataires commerciaux différents. Ils souhaitent minimiser les interférences RF. Comment configurez-vous les points d'accès NETGEAR ?

Conseil : NETGEAR Insight présente des limitations spécifiques concernant le mélange des Captive Portals et du PPSK.

Voir la réponse type

Vous devez créer exactement deux SSIDs. NETGEAR ne prend pas en charge le PPSK et le Captive Portal sur le même SSID. Créez 'Venue-Guest' avec un Captive Portal externe pointant vers Purple. Créez 'Venue-Retail' avec WPA2 Personal et configurez le Multi PSK (PPSK) avec 10 mots de passe uniques, chacun étant associé à un VLAN différent.

Q3. Lors de la configuration de l'attribution dynamique de VLAN pour le personnel utilisant le 802.1X, quels sont les trois attributs RADIUS que le serveur doit renvoyer dans le message Access-Accept ?

Conseil : Pensez aux attributs standard de la RFC 2868 pour la configuration des tunnels.

Voir la réponse type

Le serveur RADIUS doit renvoyer : [64] Tunnel-Type = 13 (VLAN), [65] Tunnel-Medium-Type = 6 (802), et [81] Tunnel-Private-Group-ID = [La chaîne de caractères de l'ID de VLAN spécifique].

Continuer la lecture de cette série

Intégration de Cisco WLC et Catalyst avec Purple WiFi : Guide étape par étape pour l'accès invité

Ce guide de référence détaille l'intégration étape par étape des contrôleurs Cisco Catalyst 9800 WLC avec Purple WiFi. Il couvre l'authentification web externe (EWA) pour les portails captifs invités, l'802.1X EAP-TLS pour l'accès sécurisé du personnel, et Cisco iPSK pour la segmentation dynamique de VLAN multi-locataire.

Lire le guide →

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Lire le guide →

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Lire le guide →