Intégration de Cisco WLC et Catalyst avec Purple WiFi : Guide étape par étape de l'accès invité

Ce guide détaille l'intégration étape par étape de Cisco WLC et Catalyst 9800 Wireless avec Purple, couvrant la redirection du Captive Portal WiFi invité via Central Web Authentication, le WiFi sécurisé pour le personnel utilisant 802.1X EAP-TLS, et la segmentation multi-tenant utilisant les clés pré-partagées d'identité Cisco (iPSK) avec attribution dynamique de VLAN. Il est rédigé pour les architectes réseau d'entreprise et les directeurs de la sécurité informatique déployant l'infrastructure Cisco dans l'hôtellerie, le commerce de détail et les grands espaces publics.

📖 9 min de lecture📝 2,116 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans ce briefing technique Purple. Je suis votre hôte, et aujourd'hui nous abordons un scénario de déploiement incontournable pour les architectes réseau d'entreprise : l'intégration des contrôleurs LAN sans fil Cisco et du matériel Catalyst 9800 avec la plateforme Purple WiFi. Si vous gérez l'informatique d'une chaîne hôtelière, d'un réseau de vente au détail ou d'un grand espace public, vous savez que s'appuyer sur de simples clés pré-partagées (PSK) représente un risque de sécurité inacceptable. Aujourd'hui, nous allons détailler l'architecture étape par étape pour segmenter votre réseau, sécuriser votre personnel et transformer votre WiFi invité en un actif axé sur les données.

Posons le contexte. Un environnement sans fil d'entreprise doit gérer trois profils distincts : les invités, le personnel et les appareils sans tête (headless) ou locataires. Vous ne pouvez pas les traiter de la même manière, et vous ne pouvez pas diffuser vingt SSIDs différents pour y parvenir. La solution réside dans une infrastructure matérielle unifiée exploitant différents mécanismes d'authentification sur un unique contrôleur LAN sans fil Cisco Catalyst 9800.

Plongeons maintenant dans l'architecture technique. Le premier niveau est le WiFi invité. L'objectif ici est un accès fluide combiné à la capture de données. Nous y parvenons en utilisant un SSID ouvert et l'authentification web centralisée, ou CWA. Lorsqu'un invité se connecte, le WLC Cisco applique une liste de contrôle d'accès (ACL) de pré-authentification. C'est votre jardin fermé (walled garden). Il bloque l'accès général à Internet mais autorise le trafic vers les domaines de Purple et les services essentiels. Lorsque l'invité tente de naviguer, le WLC intercepte la requête HTTP et le redirige vers la page de portail captif (Captive Portal) de Purple. Une fois qu'il s'est authentifié, par exemple via un formulaire d'inscription, une connexion sociale ou un code à usage unique, Purple agit comme le serveur RADIUS. Il envoie un message de changement d'autorisation, appelé CoA, au WLC. Cela déplace le client vers un VLAN invité isolé et lui accorde l'accès à Internet. L'ensemble du flux est automatisé et chaque connexion est enregistrée dans la plateforme d'analyse de Purple.

Le deuxième niveau est le WiFi du personnel. Pour les appareils de l'entreprise, nous imposons l'authentification 802.1X. Plus précisément, l'EAP-TLS (Extensible Authentication Protocol Transport Layer Security). Cette méthode utilise des certificats numériques installés sur les appareils de l'entreprise via votre plateforme de gestion des appareils mobiles (MDM), qu'il s'agisse de Microsoft Intune, Jamf ou d'une autre solution. Le WLC agit comme authentificateur, transmettant les messages EAP au serveur RADIUS. Comme nous utilisons des certificats, il n'y a pas de mots de passe à voler. Si un appareil est perdu ou si un employé s'en va, vous révoquez le certificat. L'accès est interrompu instantanément, sans modifier de mot de passe global ni perturber qui que ce soit d'autre. L'EAP-TLS est la référence absolue en matière de sécurité d'entreprise.

Le troisième niveau est le WiFi Multi-Tenant ou IoT. Pensez aux locataires de centres commerciaux, aux membres d'espaces de coworking ou aux capteurs de bâtiments intelligents qui ne prennent pas en charge la norme 802.1X. Pour cela, nous déployons Cisco Identity PSK, ou iPSK. Tout le monde se connecte au même SSID, mais le serveur RADIUS attribue un mot de passe unique et un VLAN unique à chaque locataire en fonction de son adresse MAC. Lorsqu'un appareil de locataire se connecte, le WLC envoie une demande d'authentification MAC au serveur RADIUS. Le serveur renvoie la PSK spécifique pour ce locataire sous la forme d'un attribut Cisco AV-Pair, ainsi que trois attributs RADIUS IETF standard pour attribuer dynamiquement le client au bon VLAN. Ces attributs sont : Tunnel-Type, défini sur VLAN ; Tunnel-Medium-Type, défini sur 802 ; et Tunnel-Private-Group-ID, défini sur l'ID du VLAN cible. Le WLC traite ces attributs et place l'appareil sur le segment de réseau isolé approprié. L'iPSK offre une segmentation d'entreprise avec la simplicité du grand public.

Discutons maintenant des recommandations de mise en œuvre et des pièges que nous constatons le plus fréquemment dans les déploiements en production.

Le point de défaillance le plus courant dans les déploiements invités est l'ACL du walled garden. Si les invités se connectent mais que la splash page n'apparaît pas, vérifiez d'abord votre configuration DNS. Si votre ACL de pré-authentification bloque le port UDP 53, le client ne peut pas résoudre les noms de domaine. Le système d'exploitation ne déclenchera pas le mini-navigateur du Captive Portal, et l'invité verra une erreur "Pas de connexion Internet". Autorisez toujours explicitement le trafic DNS dans votre ACL de walled garden. C'est le problème de support le plus fréquent que nous rencontrons.

Le deuxième piège concerne les déploiements pour le personnel. Si vous choisissez de déployer PEAP-MSCHAPv2 au lieu de EAP-TLS, parce que vous ne disposez pas encore d'une solution MDM pour distribuer les certificats, vous devez configurer vos appareils clients pour qu'ils valident explicitement le certificat du serveur RADIUS. Cela signifie spécifier l'Autorité de Certification exacte à approuver et le nom de serveur attendu dans le profil WiFi. Si vous laissez l'utilisateur final configurer cela manuellement, un attaquant peut créer un point d'accès pirate, présenter un faux certificat et capturer les identifiants de l'entreprise. Il ne s'agit pas d'une attaque théorique. C'est une menace réelle et bien documentée. Imposez la validation des certificats via une stratégie de groupe pour les appareils Windows et via des profils MDM pour macOS et les appareils mobiles.

Le troisième piège concerne les déploiements iPSK. Si un client se connecte mais reçoit le mauvais VLAN, ou ne parvient pas du tout à se connecter, la cause la plus probable est que l'ID de VLAN cible spécifié dans l'attribut Tunnel-Private-Group-ID n'existe pas sur le WLC. Le VLAN doit être créé et actif sur le contrôleur avant que le serveur RADIUS puisse y orienter les clients. Utilisez la commande debug radius sur le WLC pour vérifier que les attributs sont correctement reçus depuis le serveur RADIUS.

Passons maintenant à une session rapide de questions-réponses sur les questions que nous entendons le plus souvent.

Question une : Puis-je utiliser le MAC Authentication Bypass au lieu de l'iPSK pour les appareils IoT ?

Vous pouvez le faire, mais vous devriez l'éviter. Les adresses MAC sont diffusées en clair et sont très faciles à usurper. Le MAC Authentication Bypass fournit une identification de l'appareil, pas de la sécurité. L'iPSK offre une véritable sécurité cryptographique pour les appareils sans écran. Si l'appareil prend en charge n'importe quelle forme de PSK, utilisez l'iPSK.

Question deux : Est-ce que Purple prend en charge les contrôleurs Cisco Catalyst 9800 IOS-XE ?

Oui. Purple prend entièrement en charge les contrôleurs modernes Catalyst 9800 IOS-XE ainsi que les anciens WLC AireOS. L'intégration RADIUS et Change of Authorization est entièrement validée pour les deux plateformes.

Question trois : Comment gérer la redondance des serveurs RADIUS ?

Configurez toujours un serveur RADIUS principal et un secondaire dans les listes de méthodes AAA de votre WLC. Le WLC basculera automatiquement vers le serveur secondaire si le principal ne répond pas dans le délai configuré. Purple fournit deux adresses IP de serveur RADIUS exactement à cette fin. Ne déployez jamais un seul serveur RADIUS dans un environnement de production.

Question quatre : Quels numéros de port RADIUS Purple utilise-t-il ?

Purple utilise le port UDP 1812 pour l'authentification et le port UDP 1813 pour l'accounting. Ce sont les ports standards enregistrés par l'IANA pour RADIUS, tels que définis dans les RFC 2865 et RFC 2866.

Pour résumer les points clés de la présentation d'aujourd'hui : Auditez votre architecture sans fil actuelle. Si vous utilisez des mots de passe partagés pour le personnel, planifiez une migration vers le 802.1X. Si vous diffusez plusieurs SSID pour différents locataires, regroupez-les à l'aide de Cisco iPSK. Si votre WiFi invité est simplement un réseau ouvert sans capture de données, intégrez-le à Purple pour collecter des données de première main, optimiser le retour sur investissement marketing et garantir la conformité avec les exigences du GDPR et PCI DSS.

En combinant l'infrastructure de classe entreprise de Cisco avec la surcouche cloud de Purple, vous offrez une connectivité sécurisée, segmentée et intelligente dans l'ensemble de votre site. Purple est déployé sur plus de 80 000 sites actifs et a enregistré 440 millions de connexions en 2024. La plateforme est indépendante du matériel, certifiée ISO 27001 et conçue pour l'échelle de l'entreprise.

Votre prochaine étape est claire. Consultez le guide de configuration complet étape par étape sur le site Web de Purple, obtenez vos identifiants de serveur RADIUS sur le portail Purple et commencez l'intégration avec votre WLC Cisco dès aujourd'hui. Pour des guides de configuration détaillés et de la documentation spécifique au matériel, visitez le portail d'assistance Purple à l'adresse support point purple point ai.

Merci d'avoir écouté ce briefing technique Purple. D'ici la prochaine fois, restez en sécurité.

Points clés à retenir

✓Remplacez les clés pré-partagées (PSK) non sécurisées par une architecture à trois niveaux : Guest WiFi via Captive Portal, Staff WiFi via 802.1X EAP-TLS, et Tenant/IoT WiFi via Cisco iPSK.
✓Intégrez Cisco WLC avec Purple en utilisant l'authentification web centrale (CWA) et RADIUS CoA pour automatiser l'intégration des invités et capturer des données de première partie à grande échelle.
✓Configurez des ACL de pré-authentification précises (walled garden) sur le WLC, en autorisant toujours le DNS (UDP 53) sous peine d'échec de la redirection du Captive Portal.
✓Déployez EAP-TLS pour le Staff WiFi afin d'éliminer totalement les mots de passe et de vous appuyer sur des certificats numériques distribués par MDM pour obtenir la posture de sécurité la plus robuste possible.
✓Utilisez Cisco iPSK avec attribution dynamique de VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) pour segmenter les environnements multi-locataires et IoT sur un seul SSID.
✓Impérativement appliquer la validation du certificat du serveur RADIUS sur les appareils clients lors de l'utilisation de PEAP-MSCHAPv2 afin de prévenir le vol d'identifiants par de faux points d'accès.
✓Purple est présent dans plus de 80 000 sites, est certifié ISO 27001 et GDPR, et fournit une infrastructure RADIUS redondante - configurez les serveurs primaire et secondaire sur le WLC.

Résumé exécutif

Les réseaux sans fil d'entreprise doivent servir simultanément différents groupes d'utilisateurs : les invités qui ont besoin d'un accès internet fluide, le personnel qui requiert un accès sécurisé aux ressources de l'entreprise, et les appareils sans tête ou locataires qui nécessitent d'être isolés les uns des autres. S'appuyer sur une clé pré-partagée unique pour l'un de ces groupes constitue une faille de sécurité. Un seul identifiant compromis expose l'ensemble du segment, et révoquer l'accès nécessite de modifier un mot de passe global, ce qui perturbe tous les appareils du réseau.

Ce guide détaille l'intégration des contrôleurs LAN sans fil Cisco (WLC) et du matériel de la série Catalyst 9800 avec la solution cloud de Purple. Nous fournissons la configuration étape par étape pour trois niveaux d'authentification distincts : un réseau Guest WiFi ouvert avec redirection vers un Captive Portal propulsé par Purple, un réseau Secure Staff WiFi utilisant l'authentification par certificat 802.1X EAP-TLS, et un environnement Multi-Tenant WiFi utilisant les clés pré-partagées d'identité Cisco (iPSK) avec attribution dynamique de VLAN. En déployant cette architecture, vous isolez les ressources de l'entreprise du trafic des visiteurs, automatisez le contrôle d'accès basé sur l'identité et capturez des données de première main grâce à la plateforme WiFi Analytics de Purple. Purple opère sur plus de 80 000 sites actifs et a enregistré 440 millions de connexions en 2024 (données internes de Purple), ce qui en fait une solution cloud éprouvée pour l'infrastructure Cisco à grande échelle.

Analyse technique approfondie : l'architecture à trois niveaux

Un déploiement sans fil d'entreprise moderne sur du matériel Cisco doit répondre à différents profils d'utilisateurs ayant des exigences de sécurité et d'accès distinctes. L'intégration entre le WLC Cisco et Purple permet à une infrastructure matérielle unifiée de servir ces profils via des mécanismes d'authentification distincts, le tout géré à partir d'un seul contrôleur Catalyst 9800.

Niveau 1 : Guest WiFi - Authentification Web Centrale (CWA)

Pour les visiteurs dans les environnements de l' Hôtellerie et du Commerce de détail , l'objectif est une intégration fluide combinée à une capture de données conforme au GDPR. Ceci est réalisé en utilisant un SSID ouvert couplé à l'authentification web centrale (CWA). Lorsqu'un invité se connecte, le WLC Cisco applique une liste de contrôle d'accès (ACL) de pré-authentification - le jardin d'enfants (walled garden). Cette ACL bloque le trafic internet général tout en autorisant le trafic vers les domaines du Captive Portal de Purple, le DNS et les points de terminaison de connexion sociale.Lorsque l'invité tente de naviguer, le WLC intercepte la requête HTTP et émet une redirection vers la splash page Purple. L'invité s'authentifie via la méthode de son choix (connexion sociale, inscription par e-mail ou code coupon). Purple agit ensuite en tant que serveur RADIUS, renvoyant un message RADIUS Change of Authorization (CoA) au WLC. Le CoA ordonne au WLC de faire passer le client de l'état de pré-authentification à un état de post-authentification sur un VLAN invité isolé, lui accordant ainsi l'accès à Internet. Chaque connexion est enregistrée dans la plateforme d'analyse de Purple, capturant des données de première partie en conformité avec le GDPR et la CCPA.

Niveau 2 : WiFi du personnel - 802.1X EAP-TLS

Les appareils de l'entreprise exigent le plus haut niveau de sécurité. La norme IEEE 802.1X définit le contrôle d'accès réseau basé sur les ports (PNAC), et lorsqu'elle est combinée avec EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), elle fournit une authentification basée sur des certificats qui élimine totalement les mots de passe. Les certificats numériques sont déployés sur les appareils de l'entreprise via une gestion des appareils mobiles (MDM) - Microsoft Intune, Jamf ou équivalent. Le Cisco WLC agit en tant qu'authentificateur, transmettant les messages EAP entre le suppliant (l'appareil) et le serveur RADIUS. Le serveur RADIUS valide le certificat et renvoie un Access-Accept avec des attributs d'attribution de VLAN facultatifs.

L'authentification reposant sur des certificats plutôt que sur des mots de passe, il n'y a pas d'identifiants à voler. Si un appareil est perdu ou si un employé s'en va, vous révoquez le certificat. L'accès prend fin instantanément sans perturber aucun autre utilisateur. Pour un traitement complet des normes de sécurité d'entreprise, y compris le WPA3 et le Zero Trust, consultez notre guide sur la Sécurité WiFi d'entreprise : Un guide complet pour 2026 .

Niveau 3 : WiFi multi-locataire - Cisco iPSK et attribution dynamique de VLAN

Dans des environnements tels que les résidences étudiantes, les espaces de coworking ou les centres commerciaux, vous avez besoin de réseaux privés et segmentés pour différents locataires sans diffuser des dizaines de SSID. Cisco Identity PSK (iPSK) résout ce problème. Tous les locataires se connectent à un seul SSID. Le WLC envoie une demande d'authentification MAC au serveur RADIUS pour chaque appareil qui se connecte. Le serveur RADIUS renvoie la clé PSK spécifique pour ce locataire sous forme d'attribut cisco-av-pair, ainsi que les attributs RADIUS standard de l'IETF pour attribuer dynamiquement le client au bon VLAN.

Les trois attributs RADIUS de l'IETF qui gèrent l'attribution dynamique de VLAN sont :

Attribut RADIUS	ID	Valeur
Tunnel-Type	64	VLAN
Tunnel-Medium-Type	65	802
Tunnel-Private-Group-ID	81	ID du VLAN cible (ex. 31)

Le Tunnel-Private-Group-ID est encodé sous forme de chaîne de caractères, comme défini dans la RFC 2868. L'ID du VLAN doit exister sur le WLC pour que l'attribution réussisse.

Guide de mise en œuvre : Configuration du Cisco Catalyst 9800 WLC

Les étapes suivantes détaillent la configuration d'un Cisco Catalyst 9800 WLC sous IOS-XE pour s'intégrer à Purple pour la redirection du WiFi invité. Pour les déploiements de WLC AireOS existants, les paramètres équivalents sont disponibles sur le portail d'assistance Purple.

Étape 1 : Configurer l'authentification et la comptabilisation RADIUS

Vous devez pointer le WLC vers les serveurs RADIUS de Purple pour gérer l'authentification des invités et la comptabilisation des sessions.

Accédez à Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add.
Saisissez l'adresse IP du serveur RADIUS Purple principal, définissez le port d'authentification (auth-port) sur 1812, le port de comptabilisation (acct-port) sur 1813, et saisissez le secret partagé fourni sur le portail Purple.
Activez Support for CoA - ceci est obligatoire pour la redirection vers le Captive Portal.
Répétez l'opération pour le serveur RADIUS Purple secondaire.
Accédez à RADIUS > Server Groups > + Add et créez un groupe contenant les deux serveurs.
Accédez à AAA Method List > Authorization > + Add, définissez le Type sur network, et pointez-le vers le groupe de serveurs RADIUS.
Accédez à AAA Method List > Accounting > + Add, définissez le Type sur identity, et pointez-le vers ce même groupe.

Les commandes CLI équivalentes sur IOS-XE sont :

radius server Purple-Primary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
radius server Purple-Secondary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
aaa group server radius Purple-RADIUS-Group
 server name Purple-Primary
 server name Purple-Secondary
!
aaa authorization network Purple-Authz group Purple-RADIUS-Group
aaa accounting identity Purple-Acct start-stop group Purple-RADIUS-Group

Étape 2 : Définir l'ACL de pré-authentification (walled garden)

L'ACL de pré-authentification autorise le trafic vers la page de connexion de Purple et les services essentiels avant que l'utilisateur ne s'authentifie. Il s'agit du walled garden.

Accédez à Configuration > Security > ACL > + Add.
Créez une ACL IPv4 étendue nommée Purple_Guest_Walled_Garden.
Ajoutez des règles pour refuser (deny) le trafic vers l'IP de gestion du WLC et les IP des serveurs RADIUS.
Ajoutez des règles pour autoriser (permit) le DNS (port UDP 53) vers vos serveurs DNS.
Ajoutez des règles pour autoriser (permit) le trafic vers les plages d'adresses IP et les domaines du walled garden de Purple (obtenez la liste actuelle sur le portail d'assistance Purple pour votre type de matériel spécifique).
Ajoutez une règle finale permit ip any any - le WLC redirigera le trafic autorisé vers le CPU pour le traitement du portail.

Étape 3 : Configurer le WLAN invité

Accédez à Configuration > Tags & Profiles > WLANs > + Add.
Créez un WLAN nommé Guest-WiFi avec l'SSID de votre choix.
Sous Security > Layer 2, définissez la sécurité sur None (Open).
Sous Security > Layer 3, activez Web Policy et définissez le type de Web Auth sur External.
Saisissez votre URL d'accès Purple dans le champ de redirection.
Appliquez l'ACL Purple_Guest_Walled_Garden.
Sous Security > AAA Servers, attribuez les serveurs RADIUS Purple à la fois pour l'authentification et la comptabilisation.

Étape 4 : Configurer le profil de politique (Policy Profile)

Naviguez vers Configuration > Tags & Profiles > Policy > + Add.
Sous Access Policies, attribuez le VLAN 20 (ou votre VLAN invité dédié).
Sous Advanced, activez Allow AAA Override et NAC State.
Attribuez la liste de méthodes de comptabilisation Purple.

L'équivalent en CLI :

wireless profile policy Guest-Policy
 aaa-override
 nac
 vlan 20
 accounting-list Purple-Acct
 no shutdown
!
wireless tag policy Guest-Policy-Tag
 wlan Guest-WiFi policy Guest-Policy

Étape 5 : Configurer l'iPSK pour les déploiements multi-locataires ou IoT

Pour l'iPSK, la configuration du WLAN diffère de celle de l'accès invité. Le WLAN utilise le WPA2-PSK avec le filtrage MAC activé, et le profil de politique a l'option AAA Override active pour accepter la clé PSK par client et le VLAN renvoyés par le serveur RADIUS.

wlan Tenant-WiFi 2 Tenant-WiFi
 mac-filtering Purple-Authz
 security wpa psk set-key ascii 0 DefaultKey123
 no security wpa akm dot1x
 security wpa akm psk
 peer-blocking allow-private-group
 no shutdown
!
wireless profile policy Tenant-Policy
 aaa-override
 accounting-list Purple-Acct
 vlan 30
 no shutdown

Le serveur RADIUS (configuré dans Purple ou sur votre plateforme RADIUS) renvoie les attributs suivants par groupe de locataires :

cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID =

Bonnes pratiques

Le respect des normes établies garantit la stabilité, la sécurité et la conformité réglementaire de votre déploiement.

Imposez une validation stricte des certificats. Lors du déploiement du 802.1X, configurez les appareils clients via MDM pour qu'ils fassent explicitement confiance à l'autorité de certification de votre serveur RADIUS et spécifiez le nom de serveur attendu. Ne pas imposer cette validation rend les clients vulnérables aux attaques par point d'accès pirate, où un attaquant présente un faux certificat pour capturer les identifiants. Il s'agit d'une exigence absolue, et non d'une simple recommandation.

Isolez le trafic invité au niveau de la couche réseau. Le WiFi invité doit se terminer sur un VLAN dédié, protégé par un pare-feu de toutes les ressources de l'entreprise. La norme PCI DSS 4.0 exige que les environnements de données de titulaires de cartes soient isolés des réseaux publics. Un invité sur le VLAN 20 ne doit avoir aucune route vers le réseau de l'entreprise sur le VLAN 10.

Utilisez l'iPSK pour les appareils IoT, et non le MAC Authentication Bypass. Les adresses MAC sont diffusées en clair et sont faciles à usurper. L'iPSK offre une sécurité cryptographique pour les appareils sans interface utilisateur. Pour savoir comment les écrans et les appareils IoT interagissent avec les protocoles sans fil, consultez What Is Wireless Display: Protocols & Best Practices 2026 .

Définissez des conditions d'utilisation claires. Votre Captive Portal doit présenter des conditions d'utilisation avant d'accorder l'accès. Il s'agit d'une obligation RGPD pour la collecte de données et d'une nécessité juridique pour les politiques d'utilisation du réseau. Pour les réseaux internes destinés au personnel, consultez Staff WiFi Terms and Conditions: Legal and Compliance Essentials . Déployez la redondance RADIUS. Configurez toujours un serveur RADIUS principal et un secondaire. Purple fournit deux adresses IP de serveur à cet effet. Une seule défaillance de serveur RADIUS empêchera toutes les connexions des invités.

Dépannage et atténuation des risques

Même avec une configuration minutieuse, des problèmes d'intégration peuvent survenir. Traitez les modes de défaillance les plus courants de manière systématique avant de remonter le problème.

Problème : Les invités se connectent mais la splash page n'apparaît pas.

C'est le problème le plus courant. L'ACL de pré-authentification bloque le DNS. Sans DNS, le client ne peut pas résoudre la requête HTTP initiale, et le système d'exploitation ne déclenchera pas le mini-navigateur du Captive Portal. Vérifiez que le port UDP 53 est autorisé vers vos serveurs DNS dans l'ACL du walled garden. Sur le WLC, exécutez show wireless client summary pour confirmer que le client est dans un état Webauth Pending plutôt que Run.

Problème : Les clients iPSK ne parviennent pas à se connecter ou se retrouvent sur le mauvais VLAN.

Le VLAN spécifié dans Tunnel-Private-Group-ID n'existe pas sur le WLC, ou les attributs cisco-av-pair sont mal formés. Exécutez debug radius all sur le WLC pour inspecter la réponse RADIUS brute. Vérifiez que l'ID de VLAN est créé sous Configuration > Layer 2 > VLAN > VLAN List.

Problème : Les clients du personnel en 802.1X ne parviennent pas à s'authentifier par intermittence.

Il s'agit généralement d'un délai d'attente dépassé (timeout) du serveur RADIUS ou d'un problème de confiance de certificat sur le client. Vérifiez les journaux du serveur RADIUS pour les messages Access-Reject. Sur les clients Windows, vérifiez que le profil WiFi est configuré pour valider le certificat du serveur et spécifie la CA de confiance correcte.

Problème : Le CoA de Purple n'est pas traité par le WLC.

Le secret partagé CoA doit correspondre au secret partagé RADIUS configuré sur le WLC. Sur IOS-XE 17.4 et versions ultérieures, la clé CoA est configurée séparément du secret partagé. Vérifiez que les deux correspondent aux valeurs du portail Purple.

ROI et impact commercial

La transition de réseaux PSK basiques vers une architecture structurée basée sur l'identité avec Purple offre des résultats commerciaux mesurables dans les secteurs de l' Hôtellerie , du Commerce de détail , de la Santé et des Transports .

Premièrement, l'architecture élimine le coût opérationnel lié à la gestion des mots de passe partagés. Lorsqu'un membre du personnel s'en va, vous révoquez son certificat. Vous n'avez pas à modifier un mot de passe global et à mettre à jour chaque appareil du parc. Deuxièmement, l'intégration avec le Captive Portal de Purple transforme un centre de coûts informatiques en un moteur de revenus. La plateforme de Purple capture des données de première partie conformes à chaque connexion, permettant des campagnes marketing automatisées et des analyses de visiteurs. Avec 29 milliards de points de données collectés sur le réseau Purple (données internes de Purple), la plateforme fournit des informations exploitables sur le comportement des visiteurs, le temps de séjour et les taux de retour.

Pour les exploitants de sites qui réalisent des enquêtes afin de mesurer la satisfaction des visiteurs, la plateforme Purple s'intègre directement aux flux de travail de recherche. Consultez le guide Design of a Survey: A Practical Guide for Venues pour obtenir des conseils sur la structuration d'enquêtes de site efficaces diffusées via le Captive Portal.

En intégrant le matériel de classe entreprise de Cisco à la solution cloud de Purple, vous obtenez un réseau sécurisé et évolutif qui contribue activement aux objectifs commerciaux du site. Purple est certifié ISO 27001, conforme au GDPR et à la CCPA, certifié Cyber Essentials et certifié B Corp, répondant ainsi aux exigences de conformité des équipes d'achats des entreprises.

Définitions clés

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour l'accès au réseau. Défini dans les RFC 2865 et RFC 2866.

Les équipes informatiques configurent le Cisco WLC pour transférer les identifiants des clients vers le serveur RADIUS, qui les vérifie par rapport à un annuaire et renvoie une réponse Access-Accept ou Access-Reject ainsi que des attributs de politique.

Captive Portal

Une page web qu'un utilisateur d'un réseau d'accès public doit consulter et avec laquelle il doit interagir avant de se voir accorder l'accès à Internet. Implémenté via une redirection HTTP par l'appareil d'accès au réseau.

Utilisé dans les déploiements de WiFi invités pour collecter les données des visiteurs, présenter les conditions d'utilisation ou afficher du contenu de marque avant d'autoriser l'accès à Internet. Purple fournit l'infrastructure de Captive Portal hébergée.

iPSK (Identity Pre-Shared Key)

Une fonctionnalité Cisco qui permet d'attribuer des clés pré-partagées uniques à différents utilisateurs ou groupes d'appareils sur le même SSID, la PSK étant fournie par client par un serveur RADIUS.

Essentiel pour les appareils IoT ou les environnements multi-locataires où le 802.1X n'est pas réalisable mais où la segmentation du réseau est requise. Élimine le besoin de diffuser plusieurs SSIDs.

IEEE 802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports (PNAC). Elle fournit un mécanisme d'authentification qui bloque tout trafic de données provenant d'un appareil jusqu'à ce que le serveur RADIUS ait confirmé l'autorisation.

La base du WiFi d'entreprise pour le personnel, garantissant que seuls les appareils d'entreprise autorisés disposant d'identifiants ou de certificats valides peuvent accéder aux ressources internes.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Une méthode d'authentification basée sur des certificats qui nécessite des certificats numériques à la fois sur le serveur RADIUS et sur l'appareil client, éliminant ainsi complètement les mots de passe.

La méthode la plus sécurisée pour authentifier les appareils d'entreprise. Les certificats sont déployés via MDM. L'accès est révoqué en invalidant le certificat, et non en modifiant un mot de passe partagé.

Walled garden

Un environnement réseau limité qui contrôle l'accès de l'utilisateur au contenu web avant qu'il ne soit entièrement authentifié. Implémenté sous forme d'ACL de pré-authentification sur le WLC.

Configuré sur le Cisco WLC pour permettre l'accès à la page d'accueil Purple, au DNS et aux fournisseurs de connexion sociale avant que l'invité ne bénéficie d'un accès complet à Internet.

Dynamic VLAN assignment

Le processus consistant à placer automatiquement un appareil connecté sur un réseau local virtuel (VLAN) spécifique en fonction des attributs d'autorisation RADIUS renvoyés au moment de l'authentification.

Garantit que le personnel, les invités et les appareils IoT sont placés automatiquement sur des segments de réseau isolés lors de la connexion, sans configuration manuelle par appareil.

Change of Authorization (CoA)

Une extension RADIUS (RFC 5176) qui permet au serveur RADIUS de modifier dynamiquement les attributs d'autorisation de session d'un client déjà connecté.

Requis pour les Captive Portals. Une fois que l'invité s'est authentifié sur la page d'accueil Purple, Purple envoie un message CoA au WLC pour faire passer le client de l'état de walled garden de pré-authentification à un accès Internet complet.

Central Web Authentication (CWA)

Une méthode d'authentification Cisco dans laquelle le serveur RADIUS (plutôt que le WLC) héberge ou redirige vers le portail d'authentification web, permettant des solutions de Captive Portal hébergées dans le cloud.

Utilisé pour intégrer le Cisco WLC au Captive Portal hébergé dans le cloud de Purple, permettant à Purple de gérer l'expérience d'authentification des invités et la collecte de données.

Exemples concrets

Un grand centre commercial doit fournir un WiFi sécurisé et privé à 50 locataires commerciaux en utilisant un seul Cisco Catalyst 9800 WLC et un seul SSID de diffusion. Chaque locataire doit être isolé des appareils de tous les autres locataires. Comment y parviennent-ils sans diffuser 50 SSIDs distincts ?

L'équipe informatique déploie Cisco iPSK. Elle configure un seul SSID nommé « Mall-Tenant-WiFi » avec WPA2-PSK et le filtrage MAC activé. Dans le serveur RADIUS, elle crée 50 groupes d'identité de point de terminaison, un par locataire. Chaque groupe se voit attribuer une PSK unique via l'attribut cisco-av-pair psk= et un ID de VLAN unique via l'attribut IETF Tunnel-Private-Group-ID. Lorsqu'un appareil de point de vente d'un locataire se connecte en utilisant son mot de passe spécifique, le WLC envoie une demande d'authentification MAC au serveur RADIUS. Le serveur associe l'adresse MAC au groupe du locataire et renvoie la PSK et l'attribution du VLAN. Le WLC traite les attributs, valide la PSK et place l'appareil sur le VLAN isolé du locataire. Le paramètre peer-blocking allow-private-group garantit que les appareils partageant la même PSK peuvent communiquer entre eux, tandis que les appareils sur des PSK différentes sont bloqués de toute communication entre locataires.

Commentaire de l'examinateur : Cette approche évolue efficacement. La diffusion de 50 SSIDs distincts provoquerait de graves interférences de co-canal dans un environnement dense et dégraderait les performances pour chaque utilisateur. Chaque SSID supplémentaire consomme du temps d'antenne avec des trames de gestion. iPSK offre la sécurité et la segmentation de 50 réseaux distincts avec l'efficacité RF d'un seul. Le compromis est que le serveur RADIUS devient une dépendance critique - assurez-vous qu'il est hautement disponible.

Un établissement Premier Inn de 300 chambres migre de comptes invités WLC locaux vers le Captive Portal cloud de Purple. Une fois la configuration appliquée, les clients signalent qu'ils se connectent au SSID WiFi, reçoivent une adresse IP, mais leurs appareils affichent « Pas d'Internet » et la page d'accueil n'apparaît jamais. Quel est le processus de diagnostic ?

Étape 1 : Vérifiez l'état du client sur le WLC à l'aide de show wireless client detail <mac-address>. Le client doit être dans l'état « Webauth Pending ». S'il affiche « Run », l'ACL de pré-authentification n'est pas appliquée correctement. Étape 2 : Vérifiez l'ACL de pré-authentification. La cause la plus fréquente de ce symptôme est que l'ACL bloque le DNS (port UDP 53). Sans DNS, le client ne peut résoudre aucun domaine, et le mécanisme de détection de Captive Portal de l'OS échoue silencieusement. Ajoutez une règle d'autorisation explicite pour le port UDP 53 vers les adresses IP du serveur DNS du site. Étape 3 : Vérifiez que les domaines de l'espace d'accueil (walled garden) de Purple sont autorisés dans l'ACL. Le client doit pouvoir accéder à l'URL de la page d'accueil de Purple avant l'authentification. Étape 4 : Confirmez que l'adresse IP virtuelle du WLC a été modifiée de l'adresse par défaut 1.1.1.1 vers une adresse non routable telle que 192.0.2.1, car l'adresse par défaut peut entrer en conflit avec le trafic Internet légitime.

Commentaire de l'examinateur : Le symptôme « Pas d'Internet » sans redirection est presque toujours un problème de DNS ou d'ACL d'espace d'accueil (walled garden). Les systèmes d'exploitation modernes (iOS, Android, Windows, macOS) utilisent la détection de Captive Portal en effectuant des requêtes HTTP vers des URL connues. Si le DNS échoue, ces requêtes ne peuvent pas être effectuées, et l'OS ne déclenche jamais le navigateur du Captive Portal. Autorisez toujours le DNS dans l'ACL de pré-authentification - c'est l'erreur de déploiement la plus courante que nous constatons.

Questions d'entraînement

Q1. Vous déployez un réseau WiFi pour le personnel sur 40 points de vente à l'aide de WLC Cisco Catalyst 9800. Vous souhaitez utiliser 802.1X, mais l'entreprise ne dispose pas encore d'une solution MDM pour distribuer des certificats aux smartphones des employés. Quelle est l'approche viable la plus sécurisée, et quelle mesure d'atténuation des risques devez-vous mettre en œuvre ?

Conseil : Considérez l'équilibre entre la sécurité des identifiants et la faisabilité du déploiement lorsque les certificats ne sont pas encore envisageables. Concentrez-vous sur le risque spécifique découlant de la méthode alternative.

Voir la réponse type

Déployez PEAP-MSCHAPv2 comme mesure provisoire. Bien que moins sécurisé qu'EAP-TLS, il fournit une authentification par mot de passe chiffrée au sein d'un tunnel TLS. La mesure d'atténuation des risques critique consiste à imposer la validation du certificat du serveur sur chaque appareil client. Pour les ordinateurs portables Windows, déployez un objet de stratégie de groupe (GPO) qui spécifie l'autorité de certification de confiance exacte et le nom du serveur RADIUS attendu dans le profil WiFi. Pour les appareils iOS et Android, distribuez un profil de configuration WiFi par e-mail ou via un outil léger sans MDM qui impose la validation du certificat. Sans cela, un attaquant peut déployer un point d'accès malveillant avec un faux certificat et capturer les identifiants. Planifiez la migration vers EAP-TLS dès qu'un MDM sera disponible.

Q2. Le directeur informatique d'un stade doit segmenter les diffuseurs de médias, les terminaux de billetterie et les capteurs IoT CVC sur des réseaux isolés distincts. Les capteurs IoT ne prennent pas en charge le 802.1X. Les trois groupes doivent utiliser le WiFi. Comment le WLC doit-il être configuré ?

Conseil : Recherchez une solution qui fournit des identifiants uniques et une attribution de VLAN par groupe d'appareils sans nécessiter de suppliants d'entreprise sur les appareils sans écran.

Voir la réponse type

Implémentez Cisco iPSK avec un seul SSID pour les opérations du site. Créez trois groupes d'identité de terminaux dans le serveur RADIUS : Diffuseurs, Billetterie et CVC. Attribuez à chaque groupe une PSK unique via cisco-av-pair et un ID de VLAN unique via Tunnel-Private-Group-ID. Configurez le WLAN du WLC avec WPA2-PSK, le filtrage MAC activé et AAA Override actif. Les diffuseurs reçoivent la PSK-A et le VLAN 31, la billetterie reçoit la PSK-B et le VLAN 32, et les capteurs CVC reçoivent la PSK-C et le VLAN 33. Configurez le peer-blocking sur allow-private-group afin que les appareils d'un même groupe puissent communiquer (par exemple, les terminaux de billetterie avec leur serveur), tandis que la communication entre groupes est bloquée. Cela évite le MAC Authentication Bypass, qui serait facilement usurpé.

Q3. Lors du déploiement d'un WiFi invité dans un centre de conférence, les clients se connectent au SSID et reçoivent une adresse IP, mais la redirection vers le Captive Portal ne se produit jamais. L'ACL du walled garden autorise le trafic vers toutes les plages d'adresses IP de Purple. Quel est l'élément de configuration manquant le plus probable, et comment le vérifiez-vous ?

Conseil : Pensez aux protocoles requis avant qu'une requête HTTP puisse être effectuée par l'appareil client.

Voir la réponse type

La cause la plus probable est que l'ACL de pré-authentification bloque le trafic DNS (port UDP 53). Avant qu'un appareil client puisse effectuer la requête HTTP que le WLC intercepte pour déclencher la redirection, il doit résoudre le nom de domaine via le DNS. Les mécanismes modernes de détection de Captive Portal des systèmes d'exploitation (captive.apple.com d'Apple, www.msftconnecttest.com de Microsoft, connectivitycheck.gstatic.com de Google) nécessitent tous une résolution DNS. Pour vérifier : exécutez 'show wireless client detail ' sur le WLC et confirmez que le client est dans l'état 'Webauth Pending'. Examinez ensuite les compteurs d'accès de l'ACL pour voir si le trafic DNS est rejeté. Corrigez le problème en ajoutant une règle d'autorisation explicite pour le port UDP 53 vers les adresses IP du serveur DNS du site dans l'ACL du walled garden.

Continuer la lecture de cette série

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Intégration des points d'accès Grandstream GWN avec Purple WiFi

Ce guide de référence technique officiel détaille comment intégrer les points d'accès Grandstream GWN avec le Guest WiFi de Purple et sa plateforme d'analyse. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage dynamique des VLAN, et la segmentation PPSK multi-tenant - offrant ainsi des instructions étape par étape directement exploitables pour les MSP et les équipes informatiques déployant du WiFi invités et personnel à grande échelle.