Passer au contenu principal
Français

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

📖 5 min de lecture📝 1,067 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Vous êtes un consultant réseau senior s'adressant au directeur informatique d'un client lors d'un briefing privé. Exprimez-vous avec un ton confiant, autoritaire et conversationnel. Adoptez un rythme mesuré, avec une diction claire. Pas de mots de remplissage. Faites des pauses naturelles occasionnelles pour marquer l'accent : Bienvenue dans ce briefing technique sur l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Je vais vous présenter l'ensemble du processus de déploiement, de la redirection vers le Captive Portal pour les invités jusqu'à l'isolation PPSK multi-tenant. À la fin de cette présentation, vous disposerez d'une feuille de route de mise en œuvre claire. [pause moyenne] Commençons par le contexte. Allied Telesis produit la série TQ, notamment les points d'accès Wi-Fi 6 TQ5403 et TQ6702 GEN2. Ce sont des AP de classe entreprise équipés du firmware AlliedWare Plus, largement déployés dans les secteurs de l'hôtellerie, de la distribution et du secteur public. Purple est une plateforme cloud overlay agnostique vis-à-vis du matériel, opérant sur 80 000 sites et gérant 440 millions de connexions en 2024. L'intégration entre ces deux plateformes est propre, basée sur des standards ouverts et prête pour la production. [pause moyenne] À présent, la première chose que la plupart des équipes informatiques doivent configurer est la redirection vers le Captive Portal invité. L'AP Allied Telesis prend en charge trois modes de Captive Portal : le clic unique, l'authentification RADIUS et la redirection vers une page externe. Pour l'intégration de Purple, vous utiliserez le mode Redirection de page externe (External Page Redirect). Voici comment cela fonctionne en pratique. Vous vous connectez à l'interface graphique du point d'accès, accédez à Wireless, sélectionnez le VAP concerné, allez dans Advanced Settings, puis dans l'onglet Security. Configurez le Captive Portal sur External Page Redirect. Dans le champ External Page URL, saisissez l'URL de la splash page Purple fournie dans votre tableau de bord Purple. C'est l'URL sur laquelle vos invités arriveront lors de leur première connexion. [courte pause] Désormais, l'AP intercepte le premier paquet HTTP ou HTTPS de chaque nouveau client et redirige ce trafic vers votre splash page Purple. L'invité s'authentifie via Purple, et le serveur RADIUS de Purple renvoie un message Access-Accept à l'AP. L'AP accorde ensuite l'accès au réseau. [pause moyenne] Pour la configuration RADIUS, Purple vous fournit une adresse IP de serveur RADIUS, un secret partagé et le port d'authentification, qui est le port UDP 1812. L'accounting s'effectue sur le port UDP 1813. Vous configurez ces paramètres sous Network Services, puis RADIUS dans l'interface graphique de l'AP. L'identifiant NAS doit être configuré sur l'IP de gestion de l'AP ou sur un nom d'hôte descriptif. Le service RADIUS as a Service de Purple gère le backend d'authentification, vous n'avez donc pas besoin de gérer votre propre infrastructure RADIUS. [courte pause]Une chose essentielle à configurer correctement est le Walled Garden. Avant qu'un utilisateur invité ne s'authentifie, l'AP bloque tout le trafic, à l'exception des destinations sur liste blanche. Vous devez ajouter les domaines de la plateforme Purple à votre walled garden pour que la page de splash charge correctement. Au minimum, autorisez le domaine de la page de splash de Purple, tous les endpoints CDN utilisés par Purple pour les ressources, ainsi que les fournisseurs de connexion sociale que vous avez activés, comme Google ou Facebook. Vous configurez cela dans le même panneau VAP Advanced Settings sous l'onglet Walled Garden. [medium pause] Passons maintenant au WiFi du personnel utilisant le protocole 802.1X. C'est ici que vous configurez le WPA Enterprise sur un VAP distinct. Dans l'interface graphique de l'AP, sélectionnez WPA Enterprise dans le menu déroulant Security, puis pointez le RADIUS Authentication Group vers votre serveur RADIUS externe — qui, dans ce cas, est le service SecurePass de Purple ou votre propre serveur RADIUS s'appuyant sur Microsoft Entra ID ou Okta. Les appareils du personnel s'authentifient en utilisant EAP-PEAP avec MSCHAPv2, ou EAP-TLS avec des certificats pour les environnements à sécurité renforcée. L'AP agit comme authentificateur 802.1X, transmettant les identifiants au serveur RADIUS et appliquant la réponse. [short pause] Pour l'attribution dynamique de VLAN sur le réseau du personnel, vous devez activer l'option Dynamic VLAN dans les paramètres Advanced Security du VAP. Lorsque le serveur RADIUS renvoie un message Access-Accept, il inclut trois attributs standards : Tunnel-Type défini sur VLAN, Tunnel-Medium-Type défini sur IEEE 802, et Tunnel-Private-Group-Id défini sur l'ID du VLAN. L'AP lit ces attributs et place automatiquement l'appareil authentifié sur le bon VLAN. Il s'agit du mécanisme défini dans la norme RFC 3580, et il fonctionne de manière constante sur l'ensemble du matériel Allied Telesis. [medium pause] Parlons maintenant de la fonctionnalité la plus intéressante pour les déploiements multi-locataires : le PPSK de Allied Telesis, ou Private Pre-Shared Key. Cette fonction est parfois appelée iPSK sur d'autres plateformes. Le concept est simple. Vous disposez d'un seul SSID, mais chaque locataire ou groupe d'utilisateurs reçoit une clé de chiffrement unique. Lorsqu'un appareil se connecte, l'AP envoie cette clé au serveur RADIUS dans le champ du mot de passe d'une requête RADIUS Access-Request. Le serveur RADIUS associe la clé à une fiche utilisateur et renvoie un message Access-Accept contenant un attribut Tunnel-Private-Group-Id qui spécifie le VLAN de ce locataire. [short pause] Ainsi, dans un bâtiment à usage mixte, le locataire A de l'espace commercial se connecte avec sa clé et atterrit sur le VLAN 100. Le restaurant du rez-de-chaussée utilise une clé différente et se retrouve sur le VLAN 300. Le WiFi invité du bâtiment utilise une troisième clé et atterrit sur le VLAN 400 où le Captive Portal de Purple est actif. Tout cela fonctionne sur un seul SSID. Pas de prolifération de SSID. Une solution propre, évolutive et facile à gérer. [medium pause] Du côté de Purple, vous configurez les enregistrements d'utilisateurs PPSK dans le tableau de bord Purple ou via l'interface RADIUS as a Service. Chaque locataire obtient une phrase secrète unique associée à un ID de VLAN. Le serveur RADIUS de Purple gère la correspondance et renvoie le bon Tunnel-Private-Group-Id. Lorsque vous devez révoquer l'accès d'un locataire, il vous suffit de supprimer ou de désactiver son enregistrement PPSK dans Purple. L'AP applique le changement lors de la tentative d'authentification suivante. [medium pause] Permettez-moi de vous présenter deux scénarios réels où cela prend tout son sens. Premièrement, un hôtel de conférence de 250 chambres. L'hôtel exploite trois réseaux : un WiFi invité avec Captive Portal Purple et connexion via les réseaux sociaux, un WiFi personnel sous 802.1X lié à l'Active Directory via Microsoft Entra ID, et un réseau de délégués de conférence pour les événements. Les AP Allied Telesis TQ6702 GEN2 gèrent ces trois réseaux sur des VAP distincts avec des VLAN distincts. Purple gère le Captive Portal invité, collecte des données de première partie pour le CRM de l'hôtel et fournit des analyses sur les périodes de pointe d'utilisation. L'équipe informatique de l'hôtel gère le réseau du personnel via le SecurePass de Purple sans maintenir de serveur RADIUS distinct sur site. [short pause] Deuxième scénario : un parc commercial regroupant 12 locataires indépendants. Le propriétaire souhaite offrir du WiFi as a service à chaque locataire sans leur donner accès au trafic des autres. Ils déploient des AP Allied Telesis sur l'ensemble du site avec un seul SSID. Chaque locataire reçoit une clé PPSK unique. Le serveur RADIUS de Purple associe chaque PPSK à un VLAN dédié. Le propriétaire peut intégrer un nouveau locataire en moins de dix minutes en créant un nouvel enregistrement PPSK dans Purple et en remettant la phrase secrète au locataire. Aucune reconfiguration d'AP n'est requise. [medium pause] À présent, voici quelques pièges à éviter. Le problème le plus courant que nous constatons est la mauvaise configuration des walled gardens. Si vous oubliez d'autoriser un point de terminaison CDN Purple, le Captive Portal se chargera partiellement ou échouera sur certains appareils. Effectuez vos tests avec un appareil neuf sans DNS mis en cache avant de passer en production. Deuxièmement, les incompatibilités de secret partagé RADIUS. Le secret configuré sur l'AP doit correspondre exactement au secret configuré dans le serveur RADIUS de Purple. Une différence d'un seul caractère provoque des échecs d'authentification silencieux. Utilisez un gestionnaire de mots de passe pour générer et stocker ce secret. Troisièmement, le VLAN dynamique qui ne s'active pas. Sur les AP Allied Telesis, le VLAN dynamique est désactivé par défaut, même lorsque le WPA Enterprise est actif. Vous devez l'activer explicitement dans les paramètres de sécurité avancés du VAP. C'est un oubli très fréquent. Quatrièmement, le conflit d'authentification entre PPSK et MAC. Si l'authentification MAC est activée sur le même VAP que la PPSK, l'ordre d'authentification est crucial. Consultez la documentation de l'AP correspondant à votre version de firmware pour confirmer quelle méthode est prioritaire. [medium pause] Questions rapides fréquemment posées par les équipes informatiques. Puis-je utiliser le serveur RADIUS de Purple à la fois pour le Captive Portal invité et pour le 802.1X du personnel sur le même déploiement ? Oui. Le RADIUS as a Service de Purple prend en charge ces deux flux d'authentification. Vous configurez des groupes ou des politiques RADIUS distincts dans Purple pour chaque cas d'usage. Les AP Allied Telesis prennent-ils en charge le WPA3 avec un captive portal ? Le TQ6702 GEN2 fonctionnant avec le firmware 5.5.4-2.3 ou supérieur prend en charge le chiffrement WPA3 CCMP. Cependant, un captive portal avec redirection externe s'exécute généralement sur un SSID ouvert ou WPA2 Personal. Le personnel en 802.1X peut utiliser le WPA3 Enterprise. Que se passe-t-il si le serveur RADIUS de Purple est injoignable ? L'AP refusera les nouvelles tentatives d'authentification. Les sessions existantes se poursuivent jusqu'à leur expiration. Vous devez configurer un serveur RADIUS secondaire dans le groupe RADIUS de l'AP pour assurer la redondance. La plateforme de Purple maintient un taux de disponibilité de 99,999 %, mais la défense en profondeur reste une bonne pratique. [medium pause] En résumé, les AP de la série TQ d'Allied Telesis s'intègrent à Purple via trois mécanismes principaux : la redirection externe vers un captive portal pour le WiFi invité, le WPA Enterprise avec RADIUS pour le 802.1X du personnel, et le PPSK avec VLAN dynamique pour l'isolation multi-locataire. Les attributs RADIUS requis sont Tunnel-Type VLAN, Tunnel-Medium-Type IEEE 802 et Tunnel-Private-Group-Id contenant l'ID du VLAN. Purple fournit le backend RADIUS en tant que SaaS, la plateforme de splash page et la couche d'analytics. [short pause] Vos prochaines étapes : récupérez les identifiants RADIUS de Purple depuis votre tableau de bord, configurez la redirection de page externe sur votre VAP invité, ajoutez les entrées du walled garden, activez le VLAN dynamique sur votre VAP personnel et effectuez un test d'authentification pour chaque segment de réseau avant la mise en production. Si vous déployez le PPSK pour du multi-locataire, planifiez votre schéma de numérotation VLAN avant de commencer, car la modification des ID de VLAN après la mise en service des locataires nécessite une coordination. [medium pause] Voilà pour ce briefing. Pour consulter la référence de configuration complète étape par étape, le diagramme d'architecture Mermaid et le tableau des attributs RADIUS, reportez-vous au guide écrit. Merci pour votre temps.

header_image.png

執行摘要

將 Allied Telesis TQ 系列無線基地台與 Purple 搭配部署,可提供具備高擴充性、安全且高度可配置的網路架構。本整合手冊詳細說明了訪客 WiFi 的外部 Captive Portal 重新導向配置、員工 WiFi 的 802.1X 驗證,以及多租戶網路隔離的私有預共用金鑰 (PPSK) 對應。透過將 Allied Telesis 硬體與 Purple 的 RADIUS 即服務(RADIUS as a Service)結合,您可以集中管理身分識別,而無需在本地部署 RADIUS 伺服器。本指南涵蓋了動態 VLAN 導向所需的特定 RADIUS 屬性、實現無縫登入頁面投遞的 Walled Garden 配置,以及在旅宿、零售和公共部門環境中擴展身分導向網路的最佳實作指南。

技術深入剖析

Allied Telesis 無線基地台(例如 TQ6702 GEN2 與 TQ5403)搭載 AlliedWare Plus 韌體。它們支援強大的企業功能,包括 WPA3、Passpoint (Hotspot 2.0) 以及完整的 RADIUS 整合。與 Purple 整合時,無線基地台充當網路存取伺服器 (NAS) 和 802.1X 驗證器,而 Purple 則作為雲端託管的 RADIUS 伺服器與 Captive Portal 提供者。

訪客 Captive Portal 重新導向

針對訪客 WiFi,無線基地台會攔截未經驗證的用戶端流量,並將 HTTP/HTTPS 請求重新導向至 Purple 登入頁面。這需要將 Captive Portal 模式配置為 External Page Redirect

當訪客連線時,無線基地台會參考其 Walled Garden 配置。Walled Garden 必須將 Purple 的網域、CDN 端點以及任何配置的社群登入提供者(例如 Google Workspace 或 Microsoft Entra ID)加入白名單。訪客在登入頁面上完成驗證流程後,Purple 的 RADIUS 伺服器會向無線基地台傳送 RADIUS Access-Accept 訊息(UDP 連接埠 1812),隨後無線基地台將授予完整的網路存取權限。

透過 RADIUS 進行動態 VLAN 導向

動態 VLAN 分配對於網路分割至關重要。使用 WPA 企業版配置員工 WiFi 時,無線基地台會將 EAP 認證資料轉發至 Purple 的 SecurePass RADIUS 服務。

驗證成功後,Purple RADIUS 伺服器會傳回一個 Access-Accept 封包,其中包含 RFC 3580 中定義的三個標準 IETF RADIUS 屬性:

  1. Tunnel-Type (Attribute 64):設定為 VLAN (13)。
  2. Tunnel-Medium-Type (Attribute 65):設定為 IEEE-802 (6)。
  3. Tunnel-Private-Group-Id (Attribute 81):設定為分配的 VLAN ID(例如 20)。

Allied Telesis AP 會讀取這些屬性,並動態將用戶端裝置分配到指定的 VLAN。**注意:**必須在 Allied Telesis GUI 內的 VAP 進階安全設定中,明確啟用動態 VLAN。

architecture_overview.png

使用 PPSK 的多租戶隔離

個人預共用金鑰 (PPSK) 允許您使用單一 SSID,同時為不同的使用者或租戶分配不同的密碼。這在多住戶單元 (MDU)、共享工作空間和零售園區中非常有效。

當裝置使用特定的 PPSK 進行關聯時,存取點會將密碼傳送到 Purple RADIUS 伺服器。Purple 會將該密碼對應到特定的租戶設定檔,並傳回 Tunnel-Private-Group-Id 屬性。這會將租戶的裝置引導至其專屬的 VLAN,在不廣播多個 SSID 的情況下確保 Layer 2 隔離。

ppsk_vlan_diagram.png

實作指南

請依照以下步驟設定 Allied Telesis 存取點以進行 Purple 整合。

步驟 1:設定 RADIUS 伺服器設定檔

  1. 登入 Allied Telesis AP 裝置 GUI。
  2. 導覽至 Network Services > RADIUS
  3. 使用 Purple 儀表板中提供的 IP 地址新增一個外部 RADIUS 伺服器。
  4. 將驗證連接埠設定為 1812,計費連接埠設定為 1813
  5. 輸入 Purple 提供的確切共用金鑰 (Shared Secret)。
  6. 設定 NAS 識別碼 (NAS Identifier) 以符合 AP 的管理 IP 或主機名稱。
  7. 將帳戶模式設定為 Start-Interim-Stop,並設定 10 分鐘的臨時更新間隔。

步驟 2:設定訪客 WiFi (Captive Portal)

  1. 導覽至 Wireless > Radio1 (或 Radio2)。
  2. 針對目標 VAP (例如 VAP0) 點擊 Edit
  3. 設定 SSID 名稱 (例如 "Guest WiFi")。
  4. 前往 Advanced Settings > Security 頁籤。
  5. 將 Captive Portal 設定為 External Page Redirect
  6. 在 External Page URL 欄位中輸入 Purple 的展示頁面 (splash page) URL。
  7. 在 Walled Garden 下,新增所需的 Purple 網域和社群登入 IP。

步驟 3:設定員工 WiFi (802.1X 和動態 VLAN)

  1. 編輯用於員工 WiFi 的獨立 VAP。
  2. 將安全性設定為 WPA Enterprise
  3. 從 RADIUS Authentication Group 下拉式選單中選擇 Purple RADIUS 伺服器設定檔。
  4. 前往 Advanced Settings > Security
  5. 啟用 Dynamic VLAN
  6. 確保後端網路交換器已設定為將動態分配的 VLAN 幹線 (trunk) 傳輸至 AP 連接埠。

步驟 4:為多租戶設定 PPSK

  1. 編輯預計用於多租戶的 VAP。
  2. 啟用 PPSK (通常與 MAC 驗證或特定的 WPA 設定結合使用,具體取決於韌體版本)。
  3. 確保已選取 RADIUS 伺服器設定檔。
  4. 在 Purple 儀表板中,建立 PPSK 使用者記錄,並將每個密碼對應到正確的 VLAN ID。## 最佳做法
  • Walled Garden 維護:定期審查並更新 Walled Garden 條目。社群登入提供商經常變更其 IP 範圍和 CDN 網域。
  • 備援:務必在 AP 的 RADIUS 群組中設定主要和次要 Purple RADIUS 伺服器 IP 位址,以確保高可用性。
  • 韌體更新:保持 AlliedWare Plus 韌體更新。WPA3 CCMP 支援和進階 PPSK 功能需要 5.5.4-2.3 或更新版本。
  • VLAN Trunking:驗證連接至存取點 (AP) 的交換器連接埠是否已設定為 802.1Q trunk,並允許所有可能由 RADIUS 伺服器動態分配的 VLAN。

疑難排解與風險緩釋

  • 無聲驗證失敗:如果裝置無法連線至 802.1X 或 PPSK 網路,請驗證 RADIUS 共用金鑰。不相符會導致 AP 無聲丟棄 Access-Reject 封包。
  • 歡迎頁面無法載入:如果 Captive Portal 重新導向陷入迴圈或無法載入資源,很可能是 Walled Garden 缺少必要的網域。請檢查瀏覽器的開發者主控台以識別被封鎖的要求。
  • 用戶端被分配到錯誤的 VLAN:如果動態 VLAN 引導失敗,請檢查 VAP 上是否已明確啟用動態 VLAN。使用封包擷取來驗證 Purple 是否有傳回 Tunnel-Private-Group-Id 屬性。

ROI 與商業影響

將 Allied Telesis 與 Purple 整合,可將基礎無線連線轉換為智慧型、數據驅動的平台。

對於 IT 團隊而言,透過 Purple RADIUS 服務進行集中驗證,可消除在邊緣端管理本地 RADIUS 伺服器和 Active Directory 整合的日常開銷。使用 PPSK 可減少 SSID 開銷,從而提高 RF 效能並簡化租戶上架流程。

對於場地營運而言,Captive Portal 可收集經驗證的第一方數據,進而推動 CRM 成長並實現精準行銷。憑藉在 Purple 平台上收集的超過 290 億個數據點,場地業者可獲得有關訪客行為、停留時間和空間利用率的具體分析,直接支援商業目標。

Définitions clés

PPSK (Private Pre-Shared Key)

Un mécanisme de sécurité dans lequel plusieurs phrases de passe uniques peuvent être utilisées sur un seul SSID, chaque phrase de passe étant associée à des politiques réseau ou des VLANs spécifiques.

Utilisé dans les environnements multi-locataires pour fournir un accès réseau sécurisé et isolé sans diffuser plusieurs SSIDs.

Tunnel-Private-Group-Id

Attribut RADIUS 81, défini dans la RFC 2868, utilisé pour spécifier l'identifiant VLAN (VLAN ID) auquel un utilisateur ou un appareil doit être attribué après une authentification réussie.

Indispensable pour l'orientation dynamique des VLANs dans les déploiements 802.1X et PPSK.

Walled Garden

Un environnement réseau restreint qui permet aux utilisateurs non authentifiés d'accéder à une liste blanche spécifique d'adresses IP ou de domaines.

Requis pour les Captive Portals afin de permettre aux appareils de charger la page de connexion et de s'authentifier via des fournisseurs de connexion sociale avant d'obtenir un accès complet à Internet.

RADIUS as a Service

Une infrastructure RADIUS hébergée dans le cloud et gérée par un tiers (comme Purple), éliminant ainsi le besoin de serveurs d'authentification sur site.

Simplifie les déploiements 802.1X pour les sites distribués en centralisant la gestion des identités dans le cloud.

Captive Portal

Une page web que les utilisateurs sont obligés de consulter et avec laquelle ils doivent interagir avant d'obtenir l'accès à un réseau WiFi public.

Utilisé pour collecter des données de première main, faire respecter les conditions d'utilisation et afficher l'image de marque du site.

VAP (Virtual Access Point)

Une entité logique au sein d'un point d'accès physique qui diffuse son propre SSID et maintient ses propres configurations de sécurité et de politique.

Permet à un unique point d'accès Allied Telesis de fournir simultanément un WiFi invité, un WiFi personnel et une connectivité IoT.

EAP-PEAP

Protected Extensible Authentication Protocol, une méthode sécurisée pour transmettre les identifiants d'authentification à l'intérieur d'un tunnel TLS chiffré.

Le protocole d'authentification le plus couramment utilisé pour le WiFi du personnel (802.1X) lors de la vérification des noms d'utilisateur et des mots de passe par rapport à un annuaire.

Access-Accept

Un paquet RADIUS standard envoyé par le serveur à l'authentificateur (le point d'accès) indiquant que l'authentification a réussi.

Comprend souvent des attributs supplémentaires, tels que des affectations de VLANs ou des limites de bande passante, afin d'appliquer la politique réseau.

Exemples concrets

Un hôtel de 250 chambres doit déployer un réseau sécurisé pour le personnel et un réseau invités personnalisé. L'équipe informatique souhaite gérer l'accès du personnel via Microsoft Entra ID sans déployer de serveur RADIUS local, tandis que les invités doivent accepter les conditions générales via un Captive Portal.

Déployez des points d'accès Allied Telesis TQ6702 GEN2. Configurez VAP0 en tant que réseau ouvert avec le Captive Portal défini sur "External Page Redirect", pointant vers l'URL de la page d'accueil Purple. Configurez VAP1 avec WPA Enterprise, en orientant le groupe d'authentification RADIUS vers les serveurs RADIUS SecurePass de Purple. Intégrez Purple SecurePass avec Microsoft Entra ID dans le cloud. Activez le VLAN dynamique sur VAP1 afin que le personnel soit automatiquement orienté vers le VLAN interne après une authentification EAP réussie.

Commentaire de l'examinateur : Cette approche utilise Purple comme courtier d'identité cloud. Elle élimine l'infrastructure RADIUS sur site tout en maintenant une isolation stricte de couche 2 entre le trafic des invités et celui du personnel à l'aide des standards 802.1X et de l'attribution dynamique de VLAN.

Un bailleur de parc d'activités commerciales souhaite fournir du WiFi à 12 unités commerciales indépendantes à l'aide d'un seul déploiement matériel. Chaque unité nécessite son propre segment de réseau sécurisé et isolé.

Configurez un seul SSID (par exemple, "Retail-Park-Secure") sur les points d'accès Allied Telesis. Activez PPSK (Private Pre-Shared Key) et dirigez l'authentification vers le serveur RADIUS Purple. Dans le tableau de bord Purple, générez une phrase secrète unique pour chaque unité commerciale et associez-la à un ID de VLAN spécifique (par exemple, Unité 1 = VLAN 101, Unité 2 = VLAN 102). Lorsqu'un appareil se connecte, le point d'accès envoie la phrase secrète à Purple, qui renvoie l'attribut Tunnel-Private-Group-Id, orientant l'appareil vers le bon VLAN du locataire.

Commentaire de l'examinateur : Le PPSK évite la prolifération des SSID, qui dégrade les performances RF. Il offre l'expérience utilisateur d'un simple mot de passe personnel WPA2/WPA3 tout en assurant la sécurité d'entreprise et la segmentation du 802.1X.

Questions d'entraînement

Q1. Un site signale que les appareils Android parviennent à se connecter au WiFi invité et à afficher la splash page, mais que les appareils Apple iOS affichent un écran blanc vide. Quel est le problème de configuration le plus probable ?

Conseil : Considérez la manière dont les différents systèmes d'exploitation détectent les Captive Portals et les domaines qu'ils doivent atteindre.

Voir la réponse type

Le Walled Garden ne contient probablement pas les domaines spécifiques qu'Apple utilise pour la détection des Captive Portals (par exemple, captive.apple.com). Si l'AP bloque ces domaines avant l'authentification, le Captive Network Assistant d'iOS ne peut pas déclencher correctement le mini-navigateur.

Q2. Vous avez configuré WPA Enterprise sur l'AP et l'avez redirigé vers le serveur RADIUS de Purple. Les journaux RADIUS indiquent une authentification réussie (Access-Accept), mais l'appareil client ne reçoit pas d'adresse IP sur le VLAN attendu. Quelles sont les deux causes les plus probables ?

Conseil : Vérifiez à la fois la configuration de l'AP et celle du port du commutateur physique.

Voir la réponse type
  1. L'option « Dynamic VLAN » n'est pas activée dans les paramètres de sécurité avancés du VAP sur l'AP Allied Telesis. 2. Le port du commutateur connectant l'AP n'est pas configuré comme un trunk 802.1Q, ou le VLAN cible n'est pas autorisé sur le trunk, ce qui empêche le trafic DHCP d'atteindre le client.

Q3. Un parc commercial souhaite déployer le PPSK pour 50 locataires. Ils demandent s'ils doivent créer 50 VAP distincts ou utiliser un seul VAP. Quelle est votre recommandation et pourquoi ?

Conseil : Considérez l'impact des trames de gestion sur le temps d'antenne sans fil.

Voir la réponse type

Il est recommandé d'utiliser un seul VAP avec PPSK. La diffusion de 50 SSID distincts génère un nombre excessif de trames balises (beacons) et de surcharge de gestion, ce qui dégrade considérablement les performances RF et le temps d'antenne disponible. Un seul SSID avec PPSK offre la même isolation de couche 2 via l'attribution dynamique de VLAN sans pénalité RF.

Continuer la lecture de cette série

Intégration de Cisco WLC et Catalyst avec Purple WiFi : Guide étape par étape pour l'accès invité

Ce guide de référence détaille l'intégration étape par étape des contrôleurs Cisco Catalyst 9800 WLC avec Purple WiFi. Il couvre l'authentification web externe (EWA) pour les portails captifs invités, l'802.1X EAP-TLS pour l'accès sécurisé du personnel, et Cisco iPSK pour la segmentation dynamique de VLAN multi-locataire.

Lire le guide →

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Lire le guide →

Intégration des points d'accès Grandstream GWN avec Purple WiFi

Ce guide de référence technique officiel détaille comment intégrer les points d'accès Grandstream GWN avec le Guest WiFi de Purple et sa plateforme d'analyse. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage dynamique des VLAN, et la segmentation PPSK multi-tenant - offrant ainsi des instructions étape par étape directement exploitables pour les MSP et les équipes informatiques déployant du WiFi invités et personnel à grande échelle.

Lire le guide →