Passer au contenu principal
Français

Intégration de SonicWall TZ et SonicWave avec Purple WiFi

Cette référence technique détaille l'intégration des pare-feu SonicWall TZ et des points d'accès SonicWave avec la plateforme Purple WiFi. Elle fournit des étapes de configuration concrètes pour la redirection vers le Captive Portal, les exceptions de walled garden, l'authentification 802.1X et le routage VLAN dynamique à l'aide de clés pré-partagées privées (PPSK).

📖 6 min de lecture📝 1,263 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
INTÉGRATION DE SONICWALL TZ ET SONICWAVE AVEC PURPLE WIFI Plateforme d'intelligence Purple WiFi - Série de briefings techniques Durée : Environ 10 minutes Voix : Anglais britannique, ton de consultant senior - confiant, conversationnel, autoritaire --- SEGMENT 1 : INTRODUCTION ET CONTEXTE (environ 1 minute) Bienvenue dans la série de briefings techniques de Purple. Aujourd'hui, nous abordons l'une des intégrations les plus complexes sur le plan technique dans le domaine du WiFi d'entreprise : les pare-feu SonicWall TZ et les points d'accès SonicWave, déployés aux côtés de Purple pour l'authentification des invités, le contrôle d'accès du personnel et l'isolation réseau multi-locataire. Si vous êtes ingénieur en sécurité informatique ou MSP gérant des sites (hôtels, chaînes de magasins, centres de conférences ou complexes polyvalents), ce briefing est pour vous. Nous allons passer rapidement en revue l'architecture, les étapes de configuration et les points de friction fréquents lors des déploiements. SonicWall est un choix solide sur le marché des PME et des entreprises de taille moyenne. Les pare-feu de la série TZ sont largement déployés, et les points d'accès SonicWave s'intègrent nativement via SonicOS et le Wireless Network Manager. Lorsque vous ajoutez Purple par-dessus, vous bénéficiez d'une couche WiFi invité gérée dans le cloud avec des pages de connexion personnalisées, une authentification basée sur RADIUS et la capture de données de première partie, le tout sans remplacer votre infrastructure SonicWall existante. Entrons dans le vif de l'architecture. --- SEGMENT 2 : ANALYSE TECHNIQUE APPROFONDIE (environ 5 minutes) Il y a quatre cas d'usage distincts à couvrir ici, et chacun a un chemin de configuration différent. Le WiFi invité avec redirection vers le Captive Portal. Les exceptions de walled garden. Le WiFi personnel sécurisé à l'aide de 802.1X. Et l'isolation multi-locataire à l'aide des clés pré-partagées privées (PPSK) de SonicWall avec routage VLAN dynamique. Commençons par le WiFi invité et le Captive Portal de SonicWall. SonicOS utilise un mécanisme appelé Lightweight Hotspot Messaging (LHM) pour gérer les redirections vers les captive portals externes. Lorsqu'un invité se connecte à votre SSID invité et ouvre un navigateur, le SonicWall intercepte cette requête HTTP et la redirige vers l'URL de la page de connexion de Purple. L'invité s'authentifie sur la plateforme de Purple (via une connexion sociale, un e-mail ou un simple clic) et Purple renvoie une autorisation LHM au SonicWall sur le port TCP 4043. Le SonicWall ouvre alors l'accès Internet pour l'adresse MAC de cet appareil. La configuration dans SonicOS 7.x fonctionne comme suit. Tout d'abord, accédez à Object, puis Match Objects, puis Zones. Modifiez la zone attribuée à votre WiFi invité (généralement un WLAN ou une zone personnalisée). Sous Guest Services, activez à la fois "Enable Guest Services" et "External Guest Authentication". Allez ensuite dans Configure, Guest Services, General. Définissez le Client Redirect Protocol sur HTTP. Saisissez le nom d'hôte du portail de Purple comme adresse de serveur web (c'est-à-dire portal.purple.ai). Définissez le chemin de redirection vers l'URL de la page de connexion spécifique de votre site, que Purple fournit dans le tableau de bord du site. Le port est 4043. Dans l'onglet Auth Pages, définissez l'URL de connexion sur l'URL du portail externe de Purple. Définissez l'URL de déconnexion si vous souhaitez gérer la fin de session. Dans l'onglet Advanced, activez "Allow unauthenticated users to access HTTPS sites" uniquement si vous devez prendre en charge des appareils privilégiant le protocole HTTPS, mais sachez que cela affaiblit l'application de la redirection. Une fois enregistrée, SonicOS crée automatiquement une politique NAT et une règle d'accès WAN-to-WAN autorisant le port TCP 4043. Ne supprimez pas ces règles générées automatiquement. Ce sont elles qui permettent de finaliser le handshake LHM. Passons maintenant à la configuration du walled garden. Avant qu'un invité ne s'authentifie, son appareil doit pouvoir accéder à certains domaines pour que la page de connexion fonctionne. La plateforme de Purple dépend de ses propres endpoints CDN et API. Les tests de détection de Captive Portal du système d'exploitation (captive.apple.com pour les appareils iOS, connectivitycheck.gstatic.com pour Android et msftconnecttest.com pour Windows) doivent tous être autorisés. Si vous proposez la connexion via les réseaux sociaux, ajoutez accounts.google.com, oauth2.googleapis.com, apis.google.com et gstatic.com pour Google. Ajoutez www.facebook.com, graph.facebook.com, connect.facebook.net et le domaine CDN fbcdn.net si vous proposez la connexion via Facebook. Dans SonicOS, ajoutez-les en tant qu'objets d'adresse FQDN sous Object, Match Objects, Addresses. Créez ensuite des règles d'accès dans la zone invité qui permettent aux appareils non authentifiés d'atteindre ces FQDN. Utilisez la résolution DNS dynamique (SonicOS résout les objets FQDN à intervalles réguliers) plutôt que des entrées IP statiques, qui deviendront obsolètes à mesure que les plages d'adresses IP des CDN changent. Passons au WiFi personnel sécurisé avec 802.1X. C'est ici que les points d'accès SonicWave et le serveur RADIUS de Purple collaborent. Le point d'accès SonicWave agit comme authentificateur dans l'échange 802.1X. Le demandeur (supplicant) est l'appareil du personnel. Le serveur RADIUS de Purple est le serveur d'authentification. La méthode EAP que vous choisissez dépend de votre fournisseur d'identité. Si vous utilisez Microsoft Entra ID ou Okta, PEAP-MSCHAPv2 est le choix le plus courant car il fonctionne avec des identifiants de type nom d'utilisateur et mot de passe. Si vous avez déployé des certificats d'appareil (ce qui est l'approche recommandée pour les appareils gérés), utilisez EAP-TLS. Dans le Wireless Network Manager, accédez à Policies, Policy Hierarchy, sélectionnez votre politique de point d'accès et cliquez sur l'onglet 802.1X. Saisissez l'adresse IP du serveur RADIUS de Purple (disponible dans votre tableau de bord de site Purple sous la section des paramètres RADIUS). Le secret partagé est généré par Purple et doit correspondre exactement des deux côtés. Définissez le port d'authentification sur 1812 et le port de comptabilisation (accounting) sur 1813. Pour les paramètres EAP, sélectionnez la méthode qui correspond à la configuration de votre fournisseur d'identité. Du côté de Purple, créez une politique RADIUS pour l'authentification du personnel. Mappez le SSID du personnel sur un VLAN spécifique (par exemple, le VLAN 200 pour le personnel). Le serveur RADIUS de Purple renvoie l'attribution du VLAN à l'aide de trois attributs standards : Tunnel-Type défini sur VLAN, Tunnel-Medium-Type défini sur 802 et Tunnel-Private-Group-ID défini sur l'ID de VLAN sous forme de chaîne (donc "200" pour le VLAN 200). Le pare-feu SonicWall et le point d'accès SonicWave respectent ces attributs et placent automatiquement l'appareil du personnel authentifié dans le bon VLAN. À présent, le cas d'usage le plus intéressant sur le plan architectural : le PPSK et l'isolation multi-locataire. Les clés pré-partagées privées (PPSK) vous permettent d'exploiter un seul SSID et d'attribuer à chaque locataire, résident ou groupe d'utilisateurs une phrase de passe unique. Lorsqu'un appareil se connecte à l'aide d'un PPSK spécifique, le point d'accès SonicWave envoie cette clé au serveur RADIUS de Purple pour validation. Purple recherche la clé, identifie le locataire ou le groupe d'utilisateurs associé et renvoie l'attribution de VLAN appropriée via l'attribut Tunnel-Private-Group-ID. Le SonicWall oriente ensuite cet appareil vers le bon VLAN, complètement isolé des autres locataires sur le même SSID. C'est la mise en pratique de l'Identity-Based Networking. Vous ne gérez pas des SSID par locataire. Vous gérez des identités par locataire. Dans un complexe polyvalent comprenant dix commerces, un seul SSID est diffusé dans tout le bâtiment. Chaque locataire obtient son propre PPSK. Chaque PPSK est mappé sur un VLAN et un sous-réseau dédiés. Les appareils du locataire A ne voient jamais le trafic du locataire B, même s'ils partagent les mêmes points d'accès physiques. La configuration du PPSK dans SonicOS nécessite le mode PPSK basé sur RADIUS sur le SSID. Dans le Wireless Network Manager, modifiez le SSID, définissez le mode de sécurité sur WPA2-Enterprise avec PPSK et orientez le serveur RADIUS vers Purple. Purple gère la table de mappage PPSK-vers-VLAN de manière centralisée. Lorsque vous ajoutez un nouveau locataire, vous créez un nouveau PPSK dans Purple, lui attribuez un VLAN, et la modification se propage à tous les points d'accès SonicWave de ce site sans toucher à la configuration du pare-feu. --- SEGMENT 3 : RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER (environ 2 minutes) Laissez-moi vous présenter les trois problèmes les plus fréquents lors des déploiements de SonicWall et Purple. Premièrement : le port LHM. Le port TCP 4043 doit être ouvert depuis le WAN vers l'interface WAN du SonicWall. Si votre FAI ou votre pare-feu en amont bloque ce port, le handshake d'autorisation LHM ne se finalise jamais, et les invités restent bloqués sur la page de connexion après s'être authentifiés. Ils voient une connexion réussie du côté de Purple, mais le SonicWall ne reçoit jamais le signal d'autorisation. Testez cela avec une vérification telnet ou curl sur le port 4043 depuis une IP externe avant la mise en service. Deuxièmement : le délai de résolution des objets FQDN. SonicOS résout les objets d'adresse FQDN au démarrage, puis à un intervalle configurable. Si vous ajoutez un nouveau domaine de walled garden et que la résolution n'a pas encore été actualisée, les appareils non authentifiés ne pourront pas l'atteindre. Forcez une actualisation manuelle après avoir ajouté de nouveaux objets FQDN, ou définissez l'intervalle d'actualisation DNS sur 60 secondes dans les déploiements à fort trafic. Troisièmement : la configuration des sous-interfaces VLAN. L'attribution dynamique de VLAN via RADIUS ne fonctionne que si les VLAN cibles existent en tant que sous-interfaces sur le SonicWall avant que le premier appareil ne s'authentifie. Si une réponse RADIUS renvoie le Tunnel-Private-Group-ID 110 mais que le VLAN 110 n'existe pas en tant que sous-interface sur le SonicWall, l'appareil est soit déconnecté, soit basculé sur le VLAN par défaut. Créez et testez toutes les sous-interfaces VLAN avant d'activer l'attribution de VLAN par RADIUS. Pour les MSP gérant plusieurs sites, le tableau de bord cloud de Purple vous permet de gérer de manière centralisée les politiques RADIUS, les tables PPSK et les configurations de pages de connexion. Vous pouvez déployer des modifications de configuration sur tous les sites à partir d'une interface unique. C'est l'avantage opérationnel d'une approche de superposition cloud (cloud overlay) : le matériel SonicWall reste en place, et Purple gère la couche d'identité et de politique au-dessus. --- SEGMENT 4 : QUESTIONS-RÉPONSES RAPIDES (environ 1 minute) Quelques questions qui reviennent régulièrement. "Puis-je utiliser des points d'accès SonicWave en mode autonome avec Purple ?" Oui, mais vous perdez certaines fonctionnalités. En mode autonome, les points d'accès SonicWave gèrent localement leur propre configuration RADIUS. Vous pouvez toujours les orienter vers le serveur RADIUS de Purple pour le 802.1X. Mais pour le PPSK avec attribution dynamique de VLAN, vous avez besoin du SonicWall TZ comme proxy RADIUS ou du Wireless Network Manager pour gérer la politique des points d'accès de manière centralisée. "Est-ce que Purple prend en charge le WPA3 sur SonicWave ?" La prise en charge du WPA3 sur SonicWave dépend de la version du firmware et du modèle de point d'accès. Les points d'accès de la série SonicWave 600 prennent en charge le WPA3. Pour les cas d'usage de Captive Portal, le WPA3 avec chiffrement sans fil opportuniste (OWE) est compatible avec le flux de redirection LHM de Purple, mais effectuez des tests sur votre version spécifique de firmware avant de déployer à grande échelle. "Comment Purple gère-t-il le GDPR pour les données des invités collectées via la page de connexion ?" Purple est certifié ISO 27001, conforme au GDPR et certifié Cyber Essentials. Le consentement est recueilli sur la page de connexion grâce à des cases à cocher d'acceptation configurables. Purple stocke les données de première partie conformément à votre politique de conservation des données. Les invités peuvent accéder à leurs données et les supprimer via le portail en libre-service de Purple. "Quels attributs RADIUS Purple renvoie-t-il pour l'attribution dynamique de VLAN ?" Trois attributs : Tunnel-Type avec la valeur VLAN, Tunnel-Medium-Type avec la valeur 802 et Tunnel-Private-Group-ID avec l'ID de VLAN sous forme de chaîne. Ce sont les attributs standards de la RFC 2868 pris en charge par SonicOS et SonicWave. --- SEGMENT 5 : RÉSUMÉ ET PROCHAINES ÉTAPES (environ 1 minute) En résumé. Les pare-feu SonicWall TZ et les points d'accès SonicWave s'intègrent à Purple via deux mécanismes principaux : le LHM pour la redirection vers le Captive Portal des invités, et le RADIUS pour l'authentification du personnel en 802.1X et l'isolation multi-locataire basée sur le PPSK. Les étapes clés de la configuration sont : activer l'authentification externe des invités (External Guest Authentication) sur la zone invité, configurer l'URL du portail Purple sur le port 4043, créer vos objets d'adresse FQDN pour le walled garden, configurer le RADIUS sur la politique des points d'accès SonicWave dans le Wireless Network Manager, et créer vos sous-interfaces VLAN sur le SonicWall avant d'activer l'attribution dynamique de VLAN. Pour les déploiements multi-locataires, le PPSK avec routage VLAN basé sur RADIUS est l'architecture à privilégier. Un seul SSID, un seul ensemble de points d'accès, une isolation complète des locataires via une attribution de VLAN basée sur l'identité. Si vous planifiez un déploiement ou examinez une installation existante, l'équipe technique de Purple peut vous fournir des fichiers de configuration RADIUS spécifiques à votre site et des listes de domaines pour le walled garden. La plateforme Purple prend en charge 80 000 sites actifs et a traité 440 millions de connexions en 2024 ; les modèles d'intégration que nous avons abordés aujourd'hui ont fait leurs preuves à grande échelle. Merci pour votre écoute. Le guide écrit complet, comprenant des tableaux de configuration étape par étape et des diagrammes d'architecture Mermaid, est disponible sur le site web de Purple. --- FIN DU SCRIPT

header_image.png

执行摘要

将 SonicWall 网络基础设施与 Purple 的云覆盖层集成,可提供企业级访问控制以及先进的第一方数据捕获。本指南涵盖了四个不同用例的技术实现:具有 Captive Portal 重定向的访客 WiFi、Walled Garden 例外情况、使用 802.1X 的安全员工 WiFi,以及使用具有动态 VLAN 引导的 SonicWall 私有预共享密钥 (PPSK) 的多租户隔离。

我们每年在超过 80,000 个活跃场所处理 4.4 亿次登录。下面详述的架构已在酒店、零售和公共部门环境中得到大规模验证。它允许您保留现有的 SonicWall 硬件,同时将身份管理、Splash 页面托管和 RADIUS 身份验证卸载到 Purple 云。

技术深挖

该集成依赖于两种主要机制:用于 Captive Portal 重定向的轻量级热点消息传递 (LHM),以及用于 802.1X 和 PPSK 身份验证的 RADIUS。

通过 LHM 进行 Captive Portal 重定向

SonicOS 使用 LHM 处理外部 captive portal 重定向。当未通过身份验证的访客设备尝试访问互联网时,SonicWall TZ 防火墙会拦截 HTTP 请求,并将客户端重定向到 Purple 托管的 splash 页面。访客完成身份验证流程(例如,社交登录、表单填写)。然后,Purple 通过 TCP 端口 4043 向 SonicWall 发送回 LHM 授权数据包。收到此数据包后,SonicWall 将更新其内部访问控制列表,允许该设备的 MAC 地址访问互联网。

architecture_overview.png

Walled Garden 架构

在身份验证之前,访客设备将保留在受限区域中。Walled Garden 是允许设备访问以渲染 splash 页面并完成登录过程的特定完全限定域名 (FQDN) 集合。这包括 Purple 的 CDN (cdn.purple.ai)、身份验证 API (api.purple.ai) 以及 Google Workspace、Microsoft Entra ID 和 Meta 等第三方身份提供商所需的域名。

SonicOS 使用 FQDN 地址对象实现 walled garden。防火墙对这些对象执行动态 DNS 解析,并自动更新允许的 IP 范围。这至关重要,因为身份提供商和 CDN 使用动态 IP 分配;静态 IP 白名单将不可避免地失效。

安全员工 WiFi 和 802.1X

对于员工网络,SonicWave AP 充当 802.1X 认证器,将请求代理至 Purple 的 RADIUS 服务器。我们建议对使用证书的托管设备使用 EAP-TLS,或针对 Microsoft Entra ID 等目录使用 PEAP-MSCHAPv2 进行用户名/密码认证。认证成功后,Purple 会返回标准的 RADIUS 属性(Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID),以将设备动态分配给正确的员工 VLAN。

使用 PPSK 的多租户隔离

基于身份的网络(Identity-Based Networks)消除了对复杂多 SSID 部署的需求。使用 SonicWall PPSK,单个 SSID(例如“Multi-Tenant-WiFi”)可在整个场馆内广播。每个租户都会收到一个唯一的密码。当设备使用特定的 PPSK 进行关联时,SonicWave AP 会向 Purple 的 RADIUS 服务器验证该密钥。Purple 识别该租户并返回关联的 VLAN ID。然后,SonicWall 将流量引导至隔离的租户 VLAN 中。

ppsk_vlan_diagram.png

实施指南

1. 配置 SonicWall Captive Portal (LHM)

要在运行 SonicOS 7.x 的 SonicWall TZ 系列上配置外部 Captive Portal:

  1. 导航至 Object > Match Objects > Zones。编辑分配给您的访客网络的区域(例如 WLAN)。
  2. Guest Services 选项卡下,启用 Enable Guest ServicesExternal Guest Authentication
  3. 导航至 Configure > Guest Services > General
  4. Client Redirect Protocol 设置为 HTTP
  5. Web Server 地址设置为 portal.purple.ai
  6. Port 设置为 4043
  7. Auth Pages 选项卡下,将 Login URL 设置为 Purple 场馆控制面板中提供的特定展示页面 URL。
  8. 保存配置。SonicOS 将自动生成 NAT 策略和 WAN 到 WAN 的访问规则以允许 TCP 端口 4043。请勿修改这些自动生成的规则。

2. 构建 Walled Garden

为所需的域名创建 FQDN 地址对象,并将它们添加到地址组中。将此组应用于访客区域中的允许规则。

所需的 Purple 域名:

  • *.purple.ai
  • *.purpleportal.net

操作系统 Captive Portal 探测:

  • captive.apple.com (iOS/macOS)
  • connectivitycheck.gstatic.com (Android)
  • msftconnecttest.com (Windows)

常见的社交登录域名 (Google):

  • accounts.google.com
  • oauth2.googleapis.com
  • apis.google.com
  • *.gstatic.com

3. 为 SonicWave AP 配置 RADIUS

要通过 Wireless Network Manager 将 SonicWave AP 与 Purple RADIUS 集成:

  1. 导航至 Policies > Policy Hierarchy 并选择您的 AP 策略。
  2. 选择 802.1X 选项卡。
  3. 输入 Purple RADIUS 服务器 IP 地址(可在您的 Purple 控制面板中找到)。
  4. 输入由 Purple 生成的共享密钥。
  5. Authentication Port 设置为 1812,将 Accounting Port 设置为 1813
  6. 根据您的身份提供商选择合适的 EAP 方法。

4. 配置动态 VLAN 引导

在启用动态分配之前,确保目标 VLAN 作为子接口存在于 SonicWall TZ 防火墙上。

在 Purple 控制面板中,将用户组或 PPSK 映射到目标 VLAN ID。Purple 在成功验证后将返回以下属性:

  • Tunnel-Type = VLAN (13)
  • Tunnel-Medium-Type = 802 (6)
  • Tunnel-Private-Group-ID = [VLAN ID](例如,"110")

最佳实践

  • 测试 LHM 端口可见性:必须能够从互联网访问 SonicWall WAN 接口的 TCP 端口 4043。在上线前使用外部端口扫描器对此进行测试。如果 ISP 阻止了此端口,授权数据包将丢失,访客将一直受阻于展示页面。
  • 预先配置 VLAN 子接口:如果在验证事件发生之前未在 SonicWall 上配置目标 VLAN 子接口,动态 VLAN 引导将静默失败。设备将退回到默认的未标记 VLAN。
  • 强制基于 Web 的 OAuth:确保您的展示页面配置强制执行基于 Web 的 OAuth 流程。深层链接到原生社交媒体应用(例如 Facebook iOS 应用)通常会中断 Captive Portal 流程,因为原生应用流量会被 Walled Garden 阻止。
  • 优化 DNS 刷新间隔:SonicOS 会定期解析 FQDN 对象。在体育场或交通枢纽等高周转环境中,请将 Walled Garden 对象的 DNS 刷新间隔设置为 60 秒,以确保准确跟踪 CDN IP 更改。

故障排除与风险缓解

现象:访客完成了展示页面登录,但无法访问互联网。 原因:TCP 4043 上的 LHM 授权数据包未到达 SonicWall。 解决方法:验证自动生成的 WAN 到 WAN 访问规则是否存在。检查上游 ISP 路由器是否有端口阻止。确保 SonicWall WAN IP 在 Purple 控制面板中正确注册。

现象:展示页面加载失败,或社交登录按钮返回 CORS 错误。 原因:Walled Garden 配置不完整。 解决方法:在未验证状态下连接测试设备。使用浏览器开发者工具(Network 选项卡)识别被阻止的 HTTPS 请求。在 SonicOS 中将失败的域名添加为 FQDN 地址对象。

现象:员工设备通过 802.1X 进行身份验证,但从默认 VLAN 而不是分配的 VLAN 获取 IP 地址。 原因:SonicWall 上不存在目标 VLAN 子接口,或者 RADIUS 属性格式错误。 解决方法:验证 VLAN 子接口是否处于活动状态。检查 Purple RADIUS 日志以确认 Tunnel-Private-Group-ID 是否作为与 VLAN ID 匹配的字符串值发送。

ROI 与业务影响

将 SonicWall 基础设施与 Purple 一起部署,可将标准的网络成本中心转变为可衡量的业务资产。

对于拥有200个网点的零售连锁店,从通用的预共享密钥过渡到品牌化的 Captive Portal,通常会在六个月内使已知客户画像增加40%。这些第一方数据可直接集成至CRM系统,从而推动精准营销活动并增加回头客流量。

在联合办公空间或学生公寓等多租户环境中,支持动态VLAN引导的PPSK消除了为每个租户管理专用硬件的运营开销。您只需部署一个物理网络,并根据身份进行逻辑划分。这在降低高达60%硬件资本支出的同时,还能保持严格符合ISO 27001标准的网络隔离。

Définitions clés

Lightweight Hotspot Messaging (LHM)

Un protocole utilisé par SonicWall pour communiquer avec des captive portals externes. Il gère la redirection et le handshake d'autorisation.

Requis pour intégrer SonicOS avec des plateformes de WiFi invité gérées dans le cloud comme Purple.

Walled Garden

Un ensemble spécifique de domaines ou d'adresses IP auxquels les appareils non authentifiés sont autorisés à accéder.

Crucial pour permettre aux appareils invités de charger la page de connexion, d'accéder aux CDN et de finaliser les flux OAuth de connexion sociale avant d'obtenir un accès complet à Internet.

Private Pre-Shared Key (PPSK)

Une méthode de sécurité dans laquelle plusieurs phrases de passe uniques sont valides sur un seul SSID, chaque phrase de passe étant liée à un utilisateur ou à une politique spécifique.

Utilisé dans les environnements multi-locataires pour isoler le trafic sans diffuser plusieurs SSID.

Captive Network Assistant (CNA)

Le mécanisme intégré au système d'exploitation (sur iOS, Android, Windows) qui détecte un Captive Portal et ouvre automatiquement une fenêtre de navigation limitée pour l'authentification.

Si les domaines de test du système d'exploitation (par exemple, captive.apple.com) ne figurent pas dans le walled garden, le CNA ne se déclenchera pas et les invités penseront que le WiFi ne fonctionne pas.

Dynamic VLAN Steering

Le processus d'attribution d'un appareil à un VLAN spécifique en fonction de son identité ou de ses identifiants, plutôt que du SSID auquel il s'est connecté.

Géré par le serveur RADIUS de Purple qui renvoie l'attribut Tunnel-Private-Group-ID au SonicWall.

FQDN Address Object

Un objet de pare-feu basé sur un nom de domaine complet (FQDN) plutôt que sur une adresse IP statique.

SonicOS résout ces objets de manière dynamique, ce qui les rend essentiels pour des configurations de walled garden robustes.

Identity-Based Network

Une architecture réseau dans laquelle les politiques d'accès et la segmentation sont appliquées en fonction de l'utilisateur ou de l'appareil authentifié, plutôt que des ports physiques ou des SSID.

Réalisé en combinant le serveur RADIUS de Purple avec le PPSK de SonicWall et le 802.1X.

Tunnel-Private-Group-ID

L'attribut RADIUS standard RFC 2868 utilisé pour spécifier l'ID de VLAN d'un appareil qui se connecte.

Doit être renvoyé par Purple sous forme de chaîne de caractères (par exemple, '100') pour indiquer au SonicWall d'orienter l'appareil.

Exemples concrets

Un hôtel de 150 chambres (Premier Inn) doit fournir un accès WiFi invité gratuit via une page de connexion et un réseau WiFi personnel sécurisé pour les appareils du personnel d'entretien. Il dispose d'un SonicWall TZ570 et de 40 points d'accès SonicWave. Comment doit-il segmenter ce trafic ?

Déployez deux SSID. SSID 1 : 'Guest-WiFi' mappé sur le VLAN 100. Configurez la zone WLAN du SonicWall pour l'authentification externe des invités (External Guest Authentication) pointant vers portal.purple.ai sur le port TCP 4043. Configurez les FQDN du walled garden pour Purple et les connexions via les réseaux sociaux. SSID 2 : 'Staff-WiFi' mappé sur le VLAN 200 à l'aide de 802.1X. Orientez la politique du point d'accès SonicWave vers le serveur RADIUS de Purple. Configurez Purple pour authentifier les appareils du personnel d'entretien via le contournement d'adresse MAC (MAB) ou PEAP-MSCHAPv2, en renvoyant l'attribut Tunnel-Private-Group-ID '200'.

Commentaire de l'examinateur : Cette approche isole strictement le trafic invité non approuvé des systèmes opérationnels. L'utilisation de Purple à la fois pour le Captive Portal et l'authentification RADIUS centralise la gestion des identités. Le MAB est adapté aux appareils sans écran (comme les chariots de nettoyage), tandis que le 802.1X sécurise les téléphones du personnel.

Un espace de coworking gère 15 entreprises différentes partageant un même bureau en open space. Ils souhaitent fournir des réseaux sécurisés et isolés pour chaque entreprise sans diffuser 15 SSID différents depuis leurs points d'accès SonicWave.

Déployez un seul SSID nommé 'Workspace-Secure' utilisant WPA2-Enterprise avec PPSK. Créez 15 sous-interfaces VLAN sur le pare-feu SonicWall TZ (par exemple, les VLAN 101 à 115). Dans le tableau de bord Purple, générez un PPSK unique pour chaque entreprise et mappez-le sur son ID de VLAN spécifique. Lorsqu'un utilisateur se connecte à l'aide du PPSK de son entreprise, le serveur RADIUS de Purple renvoie le Tunnel-Private-Group-ID correspondant, et le SonicWall oriente l'appareil vers le VLAN isolé.

Commentaire de l'examinateur : Cette conception de réseau basée sur l'identité (Identity-Based Network) évolue de manière fluide. La diffusion de 15 SSID entraînerait une surcharge importante des trames de gestion et dégraderait les performances WiFi. Le PPSK offre la sécurité d'identifiants uniques et l'isolation de VLAN dédiés sans la pénalité radiofréquence liée à la multiplication des SSID.

Questions d'entraînement

Q1. Vous avez configuré la zone invité du SonicWall pour l'authentification externe des invités (External Guest Authentication) et défini le serveur web sur portal.purple.ai. Les invités sont redirigés vers la page de connexion et parviennent à s'authentifier, mais ils n'accèdent jamais à Internet. Quelle est la cause la plus probable ?

Conseil : Pensez à la manière dont Purple indique au SonicWall que l'authentification a réussi.

Voir la réponse type

Le paquet d'autorisation LHM est bloqué. Le port TCP 4043 doit être ouvert sur l'interface WAN du SonicWall pour recevoir le signal de réussite de Purple. Vérifiez si les pare-feu en amont ou les configurations du FAI bloquent ce port.

Q2. Un établissement souhaite proposer la connexion via Facebook sur sa page de connexion. Vous ajoutez www.facebook.com au groupe d'adresses FQDN du walled garden. Les invités signalent que la page de connexion Facebook se charge, mais que la mise en page est dégradée et que le bouton de connexion ne fonctionne pas.

Conseil : Les applications web modernes chargent des ressources à partir de plusieurs domaines.

Voir la réponse type

Le walled garden est incomplet. Vous devez également autoriser les domaines qui hébergent le CSS, le JavaScript et les appels API de Facebook, en particulier graph.facebook.com, connect.facebook.net et le domaine du CDN (par exemple, *.fbcdn.net).

Q3. Vous déployez le PPSK pour un bureau multi-locataire. Vous configurez le SSID pour WPA2-Enterprise avec PPSK et orientez le serveur RADIUS vers Purple. Vous créez un PPSK dans Purple mappé sur le VLAN 50. Lorsqu'un utilisateur se connecte avec ce PPSK, il reçoit une adresse IP du VLAN 10 à la place. Pourquoi ?

Conseil : Le SonicWall doit savoir où envoyer le trafic avant que la requête RADIUS ne soit finalisée.

Voir la réponse type

Le VLAN 50 n'a pas été créé en tant que sous-interface sur le pare-feu SonicWall TZ. Le routage VLAN dynamique nécessite que le VLAN cible existe préalablement sur le pare-feu ; si ce n'est pas le cas, l'appareil bascule sur le VLAN non étiqueté par défaut (dans ce cas, le VLAN 10).

Continuer la lecture de cette série

Intégration de Cisco WLC et Catalyst avec Purple WiFi : Guide étape par étape pour l'accès invité

Ce guide de référence détaille l'intégration étape par étape des contrôleurs Cisco Catalyst 9800 WLC avec Purple WiFi. Il couvre l'authentification web externe (EWA) pour les portails captifs invités, l'802.1X EAP-TLS pour l'accès sécurisé du personnel, et Cisco iPSK pour la segmentation dynamique de VLAN multi-locataire.

Lire le guide →

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Lire le guide →

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Lire le guide →