Passer au contenu principal
Français

Zyxel Nebula Cloud and USG Integration with Purple WiFi

Ce guide de référence technique couvre l'intégration de bout en bout de Zyxel Nebula Cloud et des pare-feu USG Flex avec la plateforme Purple WiFi. Il fournit des instructions de configuration étape par étape pour la redirection du Captive Portal invité, l'authentification RADIUS, la configuration du Walled Garden, le WiFi sécurisé du personnel via 802.1X, et la segmentation réseau multi-locataire à l'aide des clés pré-partagées privées (PPSK) de Zyxel avec attribution dynamique de VLAN. Les responsables informatiques, les MSP et les architectes réseau déployant le WiFi dans les secteurs de l'hôtellerie, du commerce de détail et des sites multi-locataires y trouveront des conseils pratiques basés sur les normes de l'industrie, notamment PCI DSS, IEEE 802.1X et le GDPR.

📖 9 min de lecture📝 2,234 mots🔧 2 exemples concrets3 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast
Welcome to the Purple Technical Briefing Series. I am your host, and today we are covering a crucial deployment scenario for IT managers and network architects: integrating Zyxel Nebula Cloud and USG Flex Firewalls with Purple WiFi. If you are deploying guest WiFi across a hotel chain, a retail estate, or a multi-tenant environment, this episode is for you. Let us get straight into the architecture. First, why this integration? Zyxel provides robust hardware, and Nebula offers centralised cloud management. But when you deploy WiFi at scale - say, across 50 retail branches or a 200-room hotel - you need more than basic connectivity. You need a structured authentication flow, compliant data capture, and dynamic network segmentation. That is where Purple comes in. We integrate with Zyxel via RADIUS and external captive portal redirection to deliver Identity-Based Networks. Let us walk through the core configuration on Zyxel Nebula. The process starts with your SSID settings. You navigate to Site-wide, Configure, Access points, and then SSID advanced settings. Here, you enable the external captive portal URL. You will input the specific Purple redirect URL provided in your Purple portal. But redirection alone is not enough; you must configure the Walled Garden. The Walled Garden defines which domains a guest device can reach before authentication. This is a common pitfall. You must whitelist the Purple portal domains, any asset CDNs, and the standard OS captive portal detection endpoints. In Nebula, you add these domains line by line. If you miss a domain, the splash page will fail to load properly, and your guests will be stuck. Next, we configure the RADIUS server. In the SSID advanced settings, you select WPA2-Enterprise with My RADIUS server, or configure MAC-based authentication depending on your flow. You enter the Purple RADIUS IP address, set the authentication port to 1812, the accounting port to 1813, and input the shared secret. Always configure the backup RADIUS server to ensure high availability. Now, let us discuss a more advanced scenario: Multi-Tenant segmentation using Zyxel Private Pre-Shared Keys, or PPSK. In environments like student accommodation or coworking spaces, you want a single SSID, but you need to isolate traffic per tenant. Zyxel PPSK allows you to issue a unique WiFi password to each user. When they connect, the Nebula controller dynamically assigns them to a specific VLAN based on that password. You configure this under Cloud Authentication by selecting DPPSK and assigning the corresponding VLAN ID. It reduces SSID overhead and significantly improves security. What about the USG Flex firewall? If you are running the gateway on-premise, you must ensure your firewall rules and zone policies align with your wireless segments. You typically create dedicated zones for Guest, Staff, and Multi-Tenant traffic. The Guest zone must only have outbound internet access, with strict rules blocking access to the LAN or DMZ zones. Let us move to implementation recommendations and common pitfalls. The most frequent issue we see is walled garden misconfiguration. If a guest connects and sees a blank page, check your whitelist. Use browser developer tools to identify blocked CDN requests. The second issue is RADIUS timeouts. Ensure your upstream firewalls allow UDP ports 1812 and 1813 outbound to the Purple cloud platform. Time for a rapid-fire Q and A. Question one: Do I need a dedicated VLAN for Guest WiFi? Answer: Yes. Always isolate guest traffic on a dedicated VLAN. This is mandatory for PCI DSS compliance if your venue processes payments on the same physical infrastructure. Question two: Can I use Purple with Zyxel standalone APs without Nebula? Answer: Yes, but managing the RADIUS and portal settings per AP is inefficient. We strongly recommend using Nebula Control Center for centralised management. Question three: How does Purple handle MAC address randomisation? Answer: Purple relies on the MAC address provided by the Zyxel controller via RADIUS accounting. While devices randomise MACs per network, they keep the same MAC for your specific SSID, allowing session persistence during their visit. To summarise: Integrating Zyxel Nebula with Purple requires precise configuration of the external captive portal URL, a comprehensive Walled Garden, and accurate RADIUS settings. For multi-tenant venues, leverage Zyxel PPSK for dynamic VLAN steering. Get these elements right, and you deliver a secure, scalable WiFi experience that captures valuable first-party data. If you are planning a deployment, review the full technical guide for step-by-step instructions and architecture diagrams. Thank you for listening, and we will see you on the next technical briefing.

header_image.png

Synthèse

Les pare-feu Zyxel Nebula Cloud et USG Flex sont déployés dans des milliers de sites d'entreprises, des chaînes hôtelières aux parcs de commerces de détail. Lorsque vous intégrez ce matériel avec Purple, vous ajoutez une couche d'authentification des invités conforme et de capture de données qui transforme un réseau sans fil standard en un actif de données de première partie. Ce guide couvre quatre scénarios de déploiement : la redirection vers le Captive Portal invité via une page d'accueil externe, l'authentification et la comptabilisation basées sur RADIUS, le WiFi sécurisé du personnel via IEEE 802.1X, et la segmentation réseau multi-locataire à l'aide des clés pré-partagées personnelles dynamiques (DPPSK) de Zyxel. Purple opère dans plus de 80 000 sites actifs et a traité 440 millions de connexions en 2024 (données internes de Purple). Elle détient les certifications ISO 27001, GDPR, CCPA et Cyber Essentials. L'architecture d'intégration décrite ici est indépendante du matériel au niveau de la plateforme, mais les chemins de configuration et paramètres spécifiques de ce guide s'appliquent au Zyxel Nebula Control Center (NCC) et aux pare-feu USG Flex exécutant le firmware actuel.

Pour une vue d'ensemble de l'architecture de sécurité WiFi d'entreprise, consultez notre guide Sécurité WiFi d'entreprise : un guide complet pour 2026 .

Analyse technique approfondie

Architecture d'intégration

L'intégration de Zyxel et Purple repose sur trois protocoles standards fonctionnant en séquence : la redirection HTTP (détection du Captive Portal), l'authentification RADIUS (UDP 1812) et la comptabilisation RADIUS (UDP 1813). Lorsqu'un appareil invité se connecte au SSID WiFi invité, le point d'accès Zyxel intercepte la première requête HTTP et émet une redirection HTTP 302 vers l'URL du Captive Portal externe de Purple. L'invité s'authentifie sur la page d'accueil de Purple - par e-mail, connexion sociale ou SMS - et Purple renvoie un message RADIUS Access-Accept au contrôleur Zyxel. Le contrôleur accorde l'accès à Internet et commence à envoyer des paquets RADIUS Accounting Start pour enregistrer les données de session.

architecture_overview.png

Le pare-feu Zyxel USG Flex se situe entre les segments sans fil et le WAN. Il applique des politiques de sécurité basées sur des zones qui isolent les VLAN Invité, Personnel et Multi-locataire les uns des autres et du LAN de l'entreprise. Nebula Control Center gère les points d'accès et les configurations SSID de manière centralisée via HTTPS sur le port 443 vers le cloud Nebula.

Paramètres RADIUS

Le tableau suivant résume les paramètres de configuration RADIUS dont vous aurez besoin depuis votre console d'administration Purple.

Paramètre Valeur
IP RADIUS principale Fournie dans la console d'administration Purple
IP RADIUS secondaire Fournie dans la console d'administration Purple
Port d'authentification UDP 1812
Port de comptabilisation UDP 1813
Secret partagé Fourni dans la console d'administration Purple
Identifiant NAS Définir sur l'adresse MAC de l'AP ou le nom du site
Called Station ID Adresse MAC de l'AP

Configurez toujours les serveurs RADIUS principal et secondaire. Un point de terminaison RADIUS unique constitue un point de défaillance unique qui bloquera les invités si le serveur est inaccessible.

Configuration du Walled Garden

Le Walled Garden (également appelé liste blanche) définit les domaines et les plages d'adresses IP qu'un appareil peut atteindre avant de terminer l'authentification. Dans Zyxel Nebula, vous configurez cela sous Site-wide > Configure > Access points > Captive portal customisation > Captive portal advance setting.

Vous devez inclure les catégories d'entrées suivantes :

  • Le domaine du portail Purple et tous les sous-domaines (utilisez le format générique : *.purple.ai)
  • Les domaines CDN desservant les ressources CSS, JavaScript et d'images du portail
  • Les domaines des fournisseurs de connexion sociale si vous activez la connexion via Facebook, Google ou Microsoft
  • Détection du Captive Portal Apple : captive.apple.com
  • Test de connectivité Google : connectivitycheck.gstatic.com
  • Microsoft NCSI : www.msftconnecttest.com

L'absence de l'une de ces entrées empêchera l'affichage de la page d'accueil sur certains types d'appareils. Les appareils iOS en particulier afficheront un mini-navigateur vide si le point de terminaison Apple CNA n'est pas géré correctement.

WiFi sécurisé du personnel via IEEE 802.1X

Pour les réseaux du personnel, vous ne devez pas utiliser de clé PSK partagée. La norme IEEE 802.1X (définie dans la norme IEEE 802.1X-2020) fournit un contrôle d'accès réseau basé sur les ports en utilisant des identifiants individuels par utilisateur. Dans Nebula, vous configurez cela en définissant la sécurité du SSID sur WPA2-Enterprise et en orientant l'authentification soit vers le Nebula Cloud Authentication Server (NCAS), soit vers un serveur RADIUS externe tel que Microsoft Entra ID ou Okta via un proxy RADIUS.

Pour les déploiements WPA3-Enterprise, le chemin de configuration est identique mais vous sélectionnez WPA3 dans les options de sécurité. Le WPA3 impose les trames de gestion protégées (PMF) et utilise l'authentification simultanée d'égaux (SAE) pour une meilleure résistance aux attaques par dictionnaire hors ligne.

PPSK et attribution dynamique de VLAN pour les sites multi-locataires

ppsk_vlan_diagram.png

Le DPPSK (Dynamic Personal Pre-Shared Key) de Zyxel permet à un seul SSID de desservir plusieurs segments de réseau isolés. Chaque utilisateur ou appareil reçoit une phrase de passe unique. Lors de l'authentification, le contrôleur Nebula associe cette phrase de passe à un ID de VLAN défini dans la base de données DPPSK. C'est l'approche idéale pour les espaces de coworking, les logements étudiants, les développements immobiliers locatifs (BTR) et les immeubles collectifs (MDU) où vous avez besoin d'isoler les locataires sans diffuser des dizaines de SSID.

DPPSK nécessite la licence Nebula Pro Pack et la version 6.00 ou ultérieure du firmware du point d'accès. Vous configurez la base de données DPPSK sous Configure > Cloud authentication > DPPSK dans le Nebula Control Center. Chaque entrée comprend la phrase de passe, une date d'expiration facultative, une adresse e-mailresse de livraison, et l'ID de VLAN cible.

Le nombre maximal d'entrées DPPSK autorisées simultanément est de 2 048. Pour les déploiements comptant plus de 2 048 utilisateurs simultanés, vous devrez gérer soigneusement les dates d'expiration afin de garantir que les identifiants actifs restent dans cette limite.

Guide d'implémentation

Étape 1 : Préparer l'infrastructure réseau

Avant d'intervenir sur le Nebula Control Center, configurez vos VLAN sur le pare-feu USG Flex et les commutateurs en aval.

  1. Créez un VLAN Invité (exemple : VLAN 10) avec un sous-réseau dédié (exemple : 192.168.10.0/24). Configurez un serveur DHCP sur cette interface.
  2. Créez un VLAN Personnel (exemple : VLAN 20) avec un sous-réseau dédié (exemple : 192.168.20.0/24).
  3. Pour les déploiements multi-locataires, créez des VLAN supplémentaires par locataire (exemple : VLAN 30, 40, 50).
  4. Sur l'USG Flex, créez une Zone Invité mappée sur le VLAN 10. Créez une politique de sécurité autorisant le trafic de la Zone Invité vers la zone WAN. Créez une politique de refus global bloquant le trafic de la Zone Invité vers la zone LAN.
  5. Assurez-vous que les ports de commutateur connectant les points d'accès Zyxel sont configurés comme des trunks 802.1Q acheminant tous les tags VLAN requis.

Étape 2 : Configurer le SSID invité dans le Nebula Control Center

  1. Connectez-vous au Nebula Control Center à l'adresse ncc.nebula.zyxel.com.
  2. Accédez à À l'échelle du site > Configurer > Points d'accès > Paramètres SSID.
  3. Activez le SSID invité et basculez en Mode avancé.
  4. Activez Réseau invité pour activer l'isolation des clients de couche 2. Cela empêche les appareils invités de communiquer directement entre eux sur le même SSID.
  5. Enregistrez.

Étape 3 : Configurer le Captive Portal externe

  1. Accédez à À l'échelle du site > Configurer > Points d'accès > Paramètres avancés du SSID.
  2. Sélectionnez votre SSID invité dans le menu déroulant.
  3. Sous Méthode de connexion, sélectionnez Cliquer pour continuer pour la redirection initiale, ou sélectionnez Mon serveur RADIUS si vous utilisez l'authentification MAC basée sur RADIUS de Purple.
  4. Accédez à À l'échelle du site > Configurer > Points d'accès > Personnalisation du Captive Portal.
  5. Sous URL du Captive Portal externe, saisissez l'URL de redirection Purple depuis votre console d'administration Purple. Le format est https://[votre-domaine-purple]/[id-site].
  6. Sous Paramètres avancés du Captive Portal, saisissez tous les domaines Walled Garden requis.
  7. Définissez la Politique stricte sur Bloquer tout accès jusqu'à la connexion pour empêcher les invités de contourner le portail.
  8. Définissez le Temps de réauthentification pour qu'il corresponde à la politique de session de votre établissement (généralement 24 heures pour l'hôtellerie, 30 jours pour les programmes de fidélité du commerce de détail).
  9. Enregistrez.

Étape 4 : Configurer RADIUS dans Nebula

  1. Dans les Paramètres avancés du SSID, sous Accès réseau, sélectionnez Mon serveur RADIUS.
  2. Saisissez l'IP du serveur RADIUS principal depuis votre console d'administration Purple.
  3. Définissez le Port d'authentification sur 1812.
  4. Saisissez le Secret partagé.
  5. Répétez l'opération pour le serveur RADIUS secondaire.
  6. Activez la Comptabilité RADIUS (RADIUS accounting) et définissez le port de comptabilité sur 1813.
  7. Enregistrez.

Étape 5 : Configurer DPPSK pour la segmentation multi-locataire

  1. Accédez à Configurer > Points d'accès > Paramètres avancés du SSID.
  2. Sélectionnez le SSID multi-locataire et définissez l'Accès réseau sur Dynamic personal PSK.
  3. Accédez à Configurer > Authentification cloud > DPPSK.
  4. Cliquez sur Ajouter et sélectionnez Création par lot de DPPSK.
  5. Définissez le nombre d'identifiants, la date d'expiration et l'ID de VLAN cible pour chaque groupe de locataires.
  6. Saisissez l'adresse e-mail pour recevoir le lot d'identifiants.
  7. Enregistrez et distribuez les identifiants aux locataires.

Étape 6 : Valider le déploiement

  1. Connectez un appareil de test au SSID WiFi invité.
  2. Confirmez que l'appareil est redirigé vers la page de connexion Purple.
  3. Effectuez l'authentification et confirmez que l'accès à Internet est accordé.
  4. Dans la console d'administration Purple, vérifiez que la session apparaît dans le tableau de bord analytique.
  5. Dans Nebula, accédez à Point d'accès > Surveiller > Clients pour confirmer que le client est associé et attribué au bon VLAN.
  6. Testez le DPPSK en vous connectant avec un identifiant de locataire et en confirmant l'attribution correcte du VLAN.

Bonnes pratiques

Segmentez chaque type de trafic. Les trafics Invité, Personnel et IoT doivent chacun occuper un VLAN dédié. Ce n'est pas facultatif si votre établissement traite des paiements par carte sur la même infrastructure physique : la norme PCI DSS v4.0 exige une segmentation réseau entre les environnements de données des titulaires de cartes et les réseaux invités.

Utilisez la redondance RADIUS. Configurez les adresses IP RADIUS principale et secondaire de Purple dans Nebula. Une seule défaillance du serveur RADIUS empêchera toute authentification des invités jusqu'à sa résolution.

Auditez régulièrement le Walled Garden. Les fournisseurs de portails mettent à jour leurs configurations CDN. Un domaine qui fonctionnait lors du déploiement peut cesser de fonctionner six mois plus tard si le fournisseur migre ses ressources vers un nouveau CDN. Planifiez un examen trimestriel de vos entrées Walled Garden.

Activez la comptabilité RADIUS. Sans comptabilité, Purple ne peut pas suivre la durée des sessions, l'utilisation des données, ni appliquer des limites d'accès basées sur le temps. Les données de comptabilité alimentent également le tableau de bord WiFi Analytics .

Appliquez le WPA3 lorsque le matériel le prend en charge. Les points d'accès Zyxel sortis à partir de 2021 prennent en charge le WPA3. Pour le WiFi du personnel, le WPA3-Enterprise avec un mode de sécurité 192 bits est conforme aux recommandations de la NIST SP 800-187 pour la sécurité sans fil des entreprises.

Testez le comportement du CNA avant la mise en service. Sur iOS, le mini-navigateur Captive Network Assistant (CNA) offre des fonctionnalités limitées par rapport à un navigateur complet. Testez votre page de connexion Purple dans l'environnement CNA (en particulier les flux de connexion sociale et le JavaScript personnalisé) avant de la déployer auprès des invités.

Pour les déploiements dans le secteur de l'hôtellerie , consultez également nos conseils sur la segmentation des réseaux invités et administratifs. Pour les environnements de commerce de détail , la même approche PPSK s'applique pour isoler les systèmes de point de vente du WiFi des acheteurs.

Dépannage et atténuation des risques

Échec du chargement de la page de connexion

Symptôme : L'invité se connecte au SSID mais voit une page blanche ou une erreur de navigateur dans le CNA.

Cause : Un ou plusieurs domaines requis par la page de connexion ne figurent pas dans le Walled Garden.

Résolution : Connectez un appareil de test au SSID invité. Ouvrez un navigateur (pas le CNA) et accédez à n'importe quelle URL HTTP. Lors de la redirection vers le portail, ouvrez les outils de développement du navigateur et inspectez l'onglet Réseau (Network). Identifiez les requêtes renvoyant des erreurs 403 ou de connexion refusée. Ajoutez ces domaines au Walled Garden Nebula.

Les invités s'authentifient mais n'obtiennent pas d'accès Internet

Symptôme : L'invité remplit le formulaire du portail et voit une page de réussite, mais la navigation Internet échoue.

Cause : Le contrôleur Zyxel ne reçoit pas le message RADIUS Access-Accept de Purple, ou le pare-feu USG Flex bloque la réponse RADIUS.

Résolution : Vérifiez que les ports UDP sortants 1812 et 1813 sont autorisés depuis l'IP de gestion de l'AP Zyxel vers l'IP du serveur RADIUS Purple. Vérifiez les journaux de politique de sécurité de l'USG Flex pour détecter le trafic bloqué.

Données de RADIUS Accounting manquantes dans le tableau de bord Purple

Symptôme : Les sessions apparaissent dans Nebula mais le tableau de bord analytique de Purple n'affiche aucune donnée de durée de session.

Cause : Le RADIUS Accounting n'est pas activé dans la configuration du SSID Nebula, ou le port UDP 1813 est bloqué.

Résolution : Confirmez que le RADIUS Accounting est activé dans les paramètres avancés du SSID. Vérifiez que le port de comptabilisation est défini sur 1813 et que le secret partagé correspond à la configuration de Purple.

Utilisateurs DPPSK attribués au mauvais VLAN

Symptôme : Un locataire se connecte avec son PPSK mais est placé sur le mauvais segment de réseau.

Cause : L'ID VLAN dans l'entrée de la base de données DPPSK ne correspond pas au VLAN configuré sur le trunk du commutateur ou sur l'interface de l'USG Flex.

Résolution : Comparez l'ID VLAN de la base de données DPPSK de Nebula avec la configuration VLAN sur le commutateur amont et l'USG Flex. Assurez-vous que le port du commutateur de l'AP est un trunk acheminant tous les VLAN des locataires.

ROI et impact commercial

L'intégration de l'infrastructure Zyxel avec Purple transforme un réseau sans fil considéré comme un centre de coûts en un actif de données générateur de revenus. Pour un hôtel de 200 chambres, la collecte des adresses e-mail des invités et de leur consentement marketing lors de la connexion au WiFi permet de constituer une base de données CRM qui alimente les campagnes de réservation directe, réduisant ainsi la dépendance aux commissions des OTA. Pour une chaîne de magasins, la plateforme Guest WiFi de Purple fournit des analyses de fréquentation, des données sur le temps de visite et des taux de visites répétées qui éclairent les décisions en matière de personnel et de merchandising.

Pour les opérateurs multi-locataires (projets BTR, logements étudiants, espaces de coworking), le déploiement de Zyxel DPPSK avec Purple élimine la charge opérationnelle liée à la gestion de SSIDs et d'identifiants distincts par locataire. Un seul SSID avec attribution dynamique de VLAN réduit les interférences RF, simplifie l'intégration et s'adapte à des centaines de résidents sans infrastructure supplémentaire.

Le SLA de disponibilité de 99,999 % de Purple garantit que la couche d'authentification ne devienne pas un goulot d'étranglement pour l'accès des invités. Avec 29 milliards de points de données collectés sur l'ensemble de la plateforme (données internes de Purple), les analyses fournies via la console d'administration de Purple offrent aux exploitants de sites des informations exploitables qui justifient l'investissement d'intégration dès le premier trimestre de déploiement.

Pour les environnements de santé et de transport où le WiFi pour les visiteurs est un service réglementé, la capture de données et la gestion du consentement conformes au GDPR intégrées au Captive Portal de Purple éliminent le risque de non-conformité associé aux réseaux ouverts non gérés.

Voir aussi : Intégration d'Arista Cognitive Wi-Fi avec Purple WiFi pour un modèle d'intégration comparable sur une plateforme matérielle différente.

Définitions clés

Captive portal

A web page that intercepts unauthenticated HTTP traffic from a connected device and requires the user to interact or authenticate before internet access is granted.

The primary mechanism Purple uses to capture guest data and enforce terms of service on Zyxel Guest WiFi networks.

Walled Garden

A list of IP addresses and domain names that a device can access before completing captive portal authentication.

Configured in Nebula under Captive portal advance setting. Must include all Purple portal domains, CDN endpoints, and OS connectivity check URLs.

RADIUS

Remote Authentication Dial-In User Service. A networking protocol providing centralised Authentication, Authorisation, and Accounting (AAA) management for network access.

Purple acts as the RADIUS server. Zyxel APs send authentication requests on UDP 1812 and accounting data on UDP 1813.

DPPSK

Dynamic Personal Pre-Shared Key. A Zyxel Nebula feature that issues unique WiFi passphrases on a single SSID, mapping each passphrase to a specific VLAN.

Used in multi-tenant venues to isolate resident or tenant traffic without broadcasting multiple SSIDs. Requires Nebula Pro Pack.

VLAN

Virtual Local Area Network. A logical network segment that isolates traffic at Layer 2, regardless of the physical switch or AP infrastructure.

Mandatory for separating Guest, Staff, and Multi-Tenant traffic. Required for PCI DSS compliance in venues that process card payments.

IEEE 802.1X

An IEEE standard for port-based network access control that uses the Extensible Authentication Protocol (EAP) to authenticate individual users or devices before granting network access.

Used for Staff WiFi in Nebula by selecting WPA2-Enterprise or WPA3-Enterprise with either the Nebula Cloud Authentication Server or an external RADIUS server.

CNA

Captive Network Assistant. The pseudo-browser that iOS and macOS devices automatically open when they detect a captive portal on a WiFi network.

Has limited JavaScript and cookie support compared to a full browser. Purple splash pages must be tested in the CNA environment before deployment.

Identity-Based Networks

A network architecture where access policies, VLAN assignments, and bandwidth limits are dynamically applied based on the authenticated identity of the user or device.

The outcome of combining Zyxel DPPSK with Purple's RADIUS platform. Each user gets the right network segment automatically at connection time.

NCC

Nebula Control Center. Zyxel's cloud-based network management platform for centrally configuring and monitoring Zyxel access points, switches, and firewalls.

All SSID, captive portal, RADIUS, and DPPSK configurations described in this guide are performed within NCC.

Exemples concrets

A 200-room hotel is deploying Zyxel Nebula access points and a USG Flex 500 firewall. They need guest WiFi with a branded splash page, a separate staff network with individual credentials, and an IoT network for smart TVs and thermostats - all without broadcasting more than three SSIDs.

The IT team configures three SSIDs. The first is 'Hotel-Guest', an open SSID with the Purple external captive portal URL configured in Nebula. Guests are redirected to a branded Purple splash page where they submit their email and accept marketing consent. RADIUS authentication and accounting point to the Purple cloud platform on ports 1812 and 1813. The second SSID is 'Hotel-Staff', configured with WPA2-Enterprise and the Nebula Cloud Authentication Server. Each staff member has a unique username and password in the NCAS database, mapped to VLAN 20. The third SSID is 'Hotel-IoT', configured with DPPSK. Each smart TV and thermostat receives a unique passphrase mapped to VLAN 30. The USG Flex enforces zone policies: Guest (VLAN 10) can only reach the WAN. Staff (VLAN 20) can reach the WAN and internal management systems. IoT (VLAN 30) is restricted to specific local services only.

Commentaire de l'examinateur : This architecture achieves full segmentation with minimal SSID overhead. Using DPPSK for IoT devices provides device-level isolation without requiring 802.1X supplicants, which headless devices cannot support. The Purple integration on the guest SSID captures first-party data at scale while the staff SSID maintains enterprise-grade security via individual 802.1X credentials.

A coworking space operator manages 12 tenants across three floors. Each tenant needs isolated internet access and must not be able to reach other tenants' devices. The operator wants to issue WiFi credentials at move-in and revoke them at move-out, without changing the SSID or reconfiguring the APs.

The operator deploys a single 'CoWork-Connect' SSID with DPPSK enabled in Nebula. At move-in, they log in to the Nebula Control Center, navigate to Configure > Cloud authentication > DPPSK, and create a new credential for the tenant with the target VLAN ID matching that tenant's network segment. They set an expiry date matching the lease end date and email the credential to the tenant. At move-out, they delete the DPPSK entry. The credential immediately becomes invalid and the tenant's devices can no longer associate. Layer 2 isolation is enabled on the SSID to prevent cross-tenant communication even within the same VLAN.

Commentaire de l'examinateur : DPPSK provides a clean lifecycle management model for multi-tenant environments. The expiry date feature automates offboarding without requiring manual AP reconfiguration. The 2,048 concurrent credential limit is well within the capacity of a 12-tenant coworking space. For larger deployments, operators should plan credential rotation schedules to stay within this limit.

Questions d'entraînement

Q1. You have configured the Purple captive portal URL in Zyxel Nebula and enabled the external portal. Guests connect to the SSID but report that the splash page takes over 30 seconds to load and appears visually broken - missing images and layout. What is the most likely cause and how do you resolve it?

Conseil : Consider what controls access to external resources before a guest has authenticated.

Voir la réponse type

The Walled Garden configuration is incomplete. The Purple splash page loads CSS, JavaScript, and image assets from CDN domains. If these domains are not whitelisted in the Nebula Captive portal advance setting, the AP blocks those requests before authentication is complete. Resolution: connect a test device to the Guest SSID, open a browser (not the CNA mini-browser), navigate to any HTTP URL to trigger the redirect, then open developer tools and inspect the Network tab. Identify any requests returning 403 or connection errors. Add those domains to the Nebula Walled Garden and retest.

Q2. A venue operator wants to provide isolated networks for 15 different retail tenants in a shopping centre. Their initial plan is to broadcast 15 separate SSIDs from their Zyxel APs. Why is this approach problematic, and what should they deploy instead?

Conseil : Think about RF airtime and the Zyxel feature designed specifically for this use case.

Voir la réponse type

Broadcasting 15 SSIDs generates 15 sets of beacon frames per access point per second. In a dense retail environment with multiple APs, this beacon overhead consumes significant airtime and degrades throughput for all connected devices. The correct approach is to broadcast a single SSID and enable Zyxel DPPSK. Each tenant receives a unique passphrase mapped to their dedicated VLAN ID. When a tenant device connects, the Nebula controller dynamically assigns it to the correct VLAN. This achieves full traffic isolation with a single SSID and minimal RF overhead.

Q3. After deploying the Zyxel and Purple integration, guests can authenticate successfully and browse the internet. However, the Purple analytics dashboard shows zero session duration data and the time-based access limit feature is not working. What is missing from the configuration?

Conseil : Authentication and session tracking use different ports and protocols.

Voir la réponse type

RADIUS Accounting is either not enabled in the Nebula SSID configuration or UDP port 1813 is blocked by the upstream firewall. Authentication (UDP 1812) is succeeding, which is why guests can connect. But without Accounting packets (Start, Interim-Update, Stop), Purple cannot track session duration, enforce time limits, or populate the analytics dashboard. Resolution: confirm RADIUS accounting is enabled in SSID advanced settings with the accounting port set to 1813 and the correct shared secret. Then verify the upstream firewall permits outbound UDP 1813 from the Zyxel AP management IP to the Purple RADIUS server IP.

Continuer la lecture de cette série

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Lire le guide →

Allied Telesis Access Points Integration with Purple WiFi

Ce guide fournit un manuel de configuration complet pour intégrer les points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il couvre la redirection vers un Captive Portal externe, l'authentification RADIUS 802.1X et le routage dynamique des VLAN à l'aide de clés pré-partagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Lire le guide →

Grandstream GWN Access Points Integration with Purple WiFi

Ce guide de référence technique faisant autorité détaille comment intégrer les points d'accès Grandstream GWN avec la plateforme de Guest WiFi et d'analyse de Purple. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage VLAN dynamique, et la segmentation PPSK multi-tenant - fournissant des instructions pratiques, étape par étape, pour les MSP et les équipes informatiques déployant du WiFi pour les invités et le personnel à grande échelle.

Lire le guide →