Intégration de Cisco WLC et Catalyst avec Purple WiFi : Guide étape par étape pour l'accès invité

Ce guide de référence détaille l'intégration étape par étape des contrôleurs Cisco Catalyst 9800 WLC avec Purple WiFi. Il couvre l'authentification web externe (EWA) pour les portails captifs invités, l'802.1X EAP-TLS pour l'accès sécurisé du personnel, et Cisco iPSK pour la segmentation dynamique de VLAN multi-locataire.

📖 6 min de lecture📝 1,300 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans la série de briefings techniques Purple. Aujourd'hui, nous abordons un sujet qui se retrouve sur le bureau de presque tous les architectes réseau d'entreprise travaillant dans l'hôtellerie, le commerce de détail ou les sites de grande envergure : l'intégration des contrôleurs Cisco Wireless LAN et de l'infrastructure sans fil Catalyst avec la plateforme Guest WiFi de Purple. Si vous gérez des contrôleurs de la série Cisco Catalyst 9800 ou l'ancienne plateforme AireOS, et que vous devez déployer un réseau invité conforme, segmenté et axé sur l'analyse, ce briefing est fait pour vous. [medium pause]

Commençons par le contexte. Purple est présent sur plus de 80 000 sites actifs dans le monde, et Cisco est le principal fournisseur d'infrastructures sans fil dans les environnements d'entreprise. Faire fonctionner ces deux plateformes ensemble de manière fluide n'est pas complexe, mais cela exige de prendre les bonnes décisions architecturales dès le départ. En cas d'erreur, vous passerez des semaines à résoudre des boucles de redirection, des erreurs de correspondance VLAN et des expirations de délai RADIUS. En faisant les bons choix, vous disposerez d'un réseau qui segmente automatiquement les invités, le personnel et les appareils IoT, collecte des données de première partie en toute conformité et s'adapte à des centaines de sites sans intervention manuelle. [medium pause]

Entrons maintenant dans l'architecture. [short pause]

Lorsqu'un invité se connecte à votre réseau WiFi sur un déploiement Cisco, trois étapes doivent se produire avant qu'il ne puisse accéder à Internet. Tout d'abord, le contrôleur Cisco Catalyst 9800 WLC doit intercepter la requête HTTP initiale et rediriger le client vers le Captive Portal de Purple. Ensuite, le portail de Purple doit authentifier l'utilisateur, que ce soit par connexion sociale, e-mail, SMS ou simple acceptation des conditions générales. Enfin, le serveur RADIUS de Purple doit renvoyer un signal au WLC pour confirmer que l'utilisateur est autorisé, et éventuellement lui attribuer un VLAN spécifique. [medium pause]

Le mécanisme qui gère la première étape s'appelle l'External Web Authentication, ou EWA. Sur le Catalyst 9800, vous configurez une carte de paramètres d'authentification web qui pointe vers l'URL de la page d'accueil de Purple. Le WLC intercepte tout le trafic HTTP provenant de clients non authentifiés et émet une redirection 302 vers cette URL. Vous devrez également configurer une ACL de pré-authentification, ou utiliser la fonction de filtrage d'URL du 9800, pour autoriser les adresses IP du portail de Purple afin que les clients puissent effectivement atteindre la page d'accueil avant d'être authentifiés. Purple fournit deux adresses IP pour son portail, et vous devrez autoriser les deux dans votre ACL de pré-authentification. [medium pause]

Voici la séquence de configuration pour le Catalyst 9800. Tout d'abord, créez la carte de paramètres. Ensuite, configurez votre filtre d'URL pour autoriser le domaine de Purple en pré-authentification. Appliquez cela au profil de politique de votre WLAN, définissez la sécurité de couche 2 sur None, activez la politique web sur la couche 3 et pointez-la vers votre carte de paramètres. [medium pause]

Maintenant, RADIUS. Purple fait office de serveur RADIUS dans cette architecture. Vous configurez le WLC pour qu'il pointe vers le point de terminaison RADIUS de Purple, que vous trouverez dans le tableau de bord Purple sous les paramètres réseau de votre site. Le secret partagé est généré par site. Sur le Catalyst 9800, accédez à Configuration, Sécurité, AAA, Serveurs, et ajoutez le serveur RADIUS de Purple avec l'adresse IP correcte et le secret partagé. Créez ensuite un groupe de serveurs, une liste de méthodes d'authentification et appliquez-la à votre WLAN. [medium pause]

Une chose qui surprend souvent : sur le 9800, vous devez également configurer l'adresse IP virtuelle dans la carte globale des paramètres d'authentification Web. Utilisez 192.0.2.1 comme adresse IPv4 virtuelle. Si vous ignorez cette étape, les clients sont parfois redirigés vers le portail interne au lieu du portail de Purple, et vous passerez une après-midi frustrante à vous demander pourquoi. [medium pause]

Passons maintenant au WiFi du personnel avec 802.1X. [short pause]

Pour les réseaux du personnel, vous souhaitez une authentification basée sur des certificats à l'aide d'EAP-TLS, ou au minimum PEAP avec MSCHAPv2 pour les environnements où le déploiement de certificats n'est pas réalisable. Sur le Catalyst 9800, créez un WLAN distinct pour le personnel, définissez la sécurité de couche 2 sur WPA2 Enterprise et pointez l'authentification vers votre serveur RADIUS. Si vous utilisez Microsoft Entra ID ou Okta comme fournisseur d'identité, le module complémentaire SecurePass de Purple agit comme un proxy RADIUS, traduisant les demandes d'authentification 802.1X en requêtes auprès du fournisseur d'identité. Cela signifie que vous n'avez pas besoin d'un serveur RADIUS sur site distinct pour l'authentification du personnel. Purple gère la terminaison EAP et transmet la vérification d'identité à votre fournisseur d'identité. [medium pause]

Pour EAP-TLS spécifiquement, vous devrez déployer des certificats clients sur les appareils du personnel, soit via Microsoft Intune, Jamf ou une plateforme MDM similaire. La chaîne de certificats doit être approuvée par le serveur RADIUS de Purple, ce qui signifie que vous devez télécharger votre certificat d'autorité de certification racine sur le tableau de bord Purple. Une fois cette étape franchie, les appareils du personnel s'authentifient silencieusement, sans demande de mot de passe, ni page de garde. L'utilisateur se connecte, le certificat est validé et il se retrouve sur le VLAN du personnel en quelques secondes. [medium pause]

Maintenant, la partie que la plupart des architectes trouvent vraiment intéressante : Cisco Identity PSK, ou iPSK. [short pause]

iPSK résout un problème spécifique qui revient constamment dans les environnements multi-locataires. Imaginez un hôtel de 300 chambres, un parc immobilier commercial de 50 magasins ou un lotissement résidentiel locatif de 200 appartements. Vous souhaitez un SSID unique, mais vous avez besoin que chaque locataire, chaque chambre ou chaque groupe d'appareils soit isolé sur son propre VLAN. La réponse traditionnelle consistait à créer un SSID distinct par locataire, ce qui n'est pas évolutif et crée un encombrement des fréquences radio. L'iPSK vous offre un SSID unique où chaque client ou groupe de clients possède une clé pré-partagée unique, et le serveur RADIUS associe cette clé à un VLAN spécifique. [medium pause]

Voici comment cela fonctionne techniquement. Lorsqu'un client s'associe au SSID, le Catalyst 9800 WLC envoie une requête RADIUS Access-Request au serveur RADIUS de Purple, incluant l'adresse MAC du client. Le serveur RADIUS de Purple recherche cette adresse MAC dans sa base de données iPSK, trouve la clé PSK et l'attribution de VLAN associées, puis renvoie un RADIUS Access-Accept contenant l'AV-pair Cisco avec la PSK, et les attributs de tunnel IETF pour l'attribution de VLAN. Le WLC utilise la PSK renvoyée pour finaliser la liaison à quatre voies WPA2, puis place le client sur le VLAN attribué. [medium pause]

Les trois attributs RADIUS requis pour l'attribution dynamique de VLAN sont : l'attribut IETF 64, Tunnel-Type, défini sur VLAN avec une valeur de 13. L'attribut IETF 65, Tunnel-Medium-Type, défini sur 802, avec une valeur de 6. Et l'attribut IETF 81, Tunnel-Private-Group-ID, défini sur l'ID du VLAN sous forme de chaîne. Ces trois attributs, envoyés ensemble dans le RADIUS Access-Accept, indiquent précisément au WLC quel VLAN attribuer. Le VLAN doit déjà exister sur le WLC en tant qu'interface dynamique, et le port du commutateur de liaison montante doit être configuré en mode trunk acheminant tous les VLAN concernés. [medium pause]

Du côté du WLC, activez le filtrage MAC sur le WLAN iPSK, activez AAA Override, et configurez la sécurité de couche 2 sur WPA2-PSK. La clé PSK globale configurée sur le WLAN sert uniquement de secours. La clé PSK renvoyée par RADIUS est prioritaire pour tout client dont l'adresse MAC est enregistrée dans la base de données iPSK de Purple. Pour les appareils non enregistrés, vous pouvez soit refuser l'accès, soit basculer sur la PSK globale, selon votre politique. [medium pause]

Permettez-moi de vous présenter deux scénarios réels pour concrétiser cela. [short pause]

Premier scénario : un hôtel de 200 chambres. L'hôtel souhaite que les clients soient sur le VLAN 10 avec un accès internet uniquement, le personnel sur le VLAN 20 avec accès au système de gestion de l'établissement, et les appareils IoT, serrures de porte, thermostats, vidéosurveillance, sur le VLAN 30 sans accès internet. Ils utilisent des contrôleurs Cisco Catalyst 9800 avec des points d'accès de la gamme Cisco 9100. [medium pause]

L'architecture : trois profils de politique sur le WLC, un par VLAN. Un seul SSID pour les invités utilisant l'authentification web externe pointant vers Purple. Un SSID distinct pour le personnel utilisant WPA2 Enterprise avec EAP-TLS, authentifié via Purple SecurePass auprès de Microsoft Entra ID. Et l'iPSK pour les appareils IoT, avec l'adresse MAC de chaque appareil enregistrée dans le portail de Purple et attribuée au VLAN 30. Le système de gestion de l'établissement hôtelier provisionne les nouveaux appareils IoT via l'API de Purple, de sorte que lorsqu'une nouvelle serrure de porte est installée, son adresse MAC est automatiquement enregistrée et attribuée au bon VLAN. Aucune configuration RADIUS manuelle n'est requise. [medium pause]

Deuxième scénario : une chaîne de vente au détail de 80 magasins. Chaque magasin dispose d'un réseau WiFi invités, d'un réseau pour le personnel et d'un réseau pour les terminaux de paiement. La conformité PCI-DSS exige que le réseau des terminaux de paiement soit complètement isolé du réseau invités. Le détaillant utilise des contrôleurs Cisco Catalyst 9800-L sur chaque site, gérés de manière centralisée via Cisco Catalyst Centre. [medium pause]

Purple se déploie comme un overlay cloud. Le WLC de chaque magasin est configuré avec les détails du serveur RADIUS de Purple. L'authentification des invités utilise un portail captif personnalisé avec capture d'e-mails, alimentant la plateforme d'analyse de Purple en données de première partie. L'authentification du personnel utilise PEAP par rapport à Active Directory via Purple SecurePass. Les terminaux de paiement utilisent iPSK avec un VLAN dédié, et l'ACL de pré-authentification bloque explicitement tout trafic entre le VLAN de paiement et le VLAN invité, répondant ainsi à l'exigence PCI DSS 1.3 relative à la segmentation du réseau. [medium pause]

Parlons maintenant des pièges courants. [short pause]

Le mode de défaillance le plus fréquent est la boucle de redirection. Cela se produit lorsque l'ACL de pré-authentification n'autorise pas correctement les adresses IP du portail de Purple. Le WLC redirige alors le client vers le portail de Purple, mais le client ne peut pas l'atteindre car l'ACL le bloque, ce qui pousse le WLC à le rediriger à nouveau, indéfiniment. Solution : vérifiez que votre filtre d'URL ou votre ACL de pré-authentification inclut bien les deux adresses IP du portail de Purple, et confirmez que la résolution DNS est autorisée avant l'authentification. [medium pause]

Le deuxième problème courant est la discordance de VLAN. Le serveur RADIUS renvoie un ID de VLAN qui n'existe pas en tant qu'interface dynamique sur le WLC. Le WLC place alors le client sur le VLAN natif, qui est généralement le VLAN de gestion. Cela représente un risque de sécurité. Solution : avant le déploiement, auditez vos interfaces dynamiques WLC par rapport aux ID de VLAN configurés dans les politiques RADIUS de Purple. Ils doivent correspondre exactement. [medium pause]

Troisième piège : les échecs de confiance des certificats dans les déploiements EAP-TLS. Si la chaîne de certificats du client n'est pas approuvée par le serveur RADIUS de Purple, l'authentification échoue silencieusement du point de vue de l'utilisateur. Il ne peut tout simplement pas se connecter. Solution : téléchargez votre CA racine et tous les certificats de CA intermédiaires dans la configuration SecurePass de Purple avant de déployer les certificats clients. Testez avec un seul appareil avant de généraliser à l'ensemble du parc. [medium pause]

Questions rapides. [short pause]

Puis-je utiliser Purple avec Cisco Meraki au lieu d'un WLC ? Oui. Cisco Meraki dispose de son propre mécanisme d'intégration de portail captif, et Purple le prend en charge nativement. La configuration RADIUS est similaire mais utilise le tableau de bord Meraki plutôt que la ligne de commande du WLC. [short pause]

Est-ce que Purple prend en charge WPA3 sur Cisco ? Oui. WPA3-SAE est pris en charge sur Cisco Catalyst 9800 avec IOS-XE 17.3 et versions ultérieures. L'intégration RADIUS de Purple fonctionne de manière identique avec WPA3. [short pause]

Quelle est la recommandation pour le délai d'expiration RADIUS ? Définissez le délai d'expiration de votre serveur RADIUS principal à trois secondes avec deux tentatives. Configurez un serveur RADIUS secondaire pour la redondance. Purple fournit des points de terminaison RADIUS redondants pour les clients d'entreprise. [short pause]

Puis-je utiliser Cisco ISE aux côtés de Purple ? Oui. Certaines organisations utilisent ISE pour l'évaluation de la posture et le profilage des appareils tout en utilisant Purple pour le portail invité et l'analyse. Les deux serveurs RADIUS sont configurés sur des WLAN distincts. [medium pause]

Pour résumer. [short pause]

L'infrastructure sans fil Cisco WLC et Catalyst s'intègre parfaitement avec Purple en utilisant l'External Web Authentication pour la redirection vers le Captive Portal des invités, l'802.1X EAP-TLS ou le PEAP pour l'authentification du personnel via Purple SecurePass, et Cisco iPSK avec attribution dynamique de VLAN pour la segmentation multi-locataire et IoT. Les trois attributs VLAN RADIUS, Tunnel-Type, Tunnel-Medium-Type et Tunnel-Private-Group-ID, constituent le mécanisme qui régit la segmentation dynamique. Configurez correctement vos ACL de pré-authentification, faites correspondre vos ID de VLAN entre RADIUS et le WLC, et testez les chaînes de confiance des certificats avant le déploiement sur l'ensemble de la flotte. [medium pause]

Purple est présent dans plus de 80 000 sites et a traité 440 millions de connexions en 2024. L'intégration Cisco est l'une de nos configurations les plus déployées à l'échelle mondiale. Pour commencer, le tableau de bord Purple vous guide pas à pas dans la configuration RADIUS par site, et notre équipe d'intégration est disponible pour les déploiements d'entreprise. [medium pause]

C'est tout pour ce briefing. Merci pour votre écoute.

Points clés à retenir

✓Utilisez l'authentification Web externe (EWA) sur les WLC Catalyst 9800 pour rediriger le trafic des invités non authentifiés vers le Captive Portal personnalisé de Purple.
✓Assurez-vous que les ACL de pré-authentification ou les filtres URL autorisent explicitement l'accès aux adresses IP du portail de Purple pour éviter les boucles de redirection.
✓Déployez Purple SecurePass en tant que proxy RADIUS cloud pour authentifier le personnel via 802.1X EAP-TLS ou PEAP directement auprès d'Entra ID ou d'Okta.
✓Tirez parti de Cisco Identity PSK (iPSK) pour segmenter de manière sécurisée les appareils IoT et les utilisateurs multi-locataires sur des VLAN spécifiques en utilisant un seul SSID.
✓Activez toujours "AAA Override" sur le WLC et assurez-vous que les interfaces dynamiques existent localement pour permettre l'attribution dynamique de VLAN gérée par RADIUS.
✓Configurez des serveurs RADIUS secondaires avec un délai d'attente de 3 secondes et 2 tentatives pour garantir une haute disponibilité pour l'authentification.

Résumé exécutif

Le déploiement d'un réseau sans fil sécurisé, conforme et évolutif dans les environnements d'entreprise nécessite une intégration étroite entre l'infrastructure et les fournisseurs d'identité. Ce guide détaille les décisions architecturales et les étapes de configuration requises pour intégrer les contrôleurs LAN sans fil (WLC) Cisco Catalyst 9800 à la plateforme cloud de Purple.

Pour l'accès invité, nous explorons l'authentification web externe (EWA) pour la redirection vers le Captive Portal, permettant la capture de données de première partie et les analyses de Guest WiFi . Pour l'accès du personnel, nous détaillons l'authentification 802.1X EAP-TLS et PEAP en utilisant Purple SecurePass comme proxy RADIUS vers Microsoft Entra ID ou Okta. Pour les environnements IoT et multi-locataires, nous décrivons la configuration Cisco Identity PSK (iPSK), qui permet l'attribution dynamique de VLAN et la segmentation du réseau sur un seul SSID sans dépendre de déploiements de certificats complexes.

Purple opère sur plus de 80 000 sites actifs dans le monde, traitant 440 millions de connexions en 2024. Cette intégration est éprouvée dans les environnements à haute densité de l' Hôtellerie , du Commerce de détail et des Transports où la disponibilité, la conformité et une expérience utilisateur fluide sont non négociables.

Analyse technique approfondie : Architecture et flux d'authentification

1. Guest WiFi : Authentification Web Externe (EWA)

Pour proposer un Captive Portal personnalisé et capturer les données des utilisateurs pour l' Analyse WiFi , le WLC Cisco Catalyst 9800 doit intercepter le trafic HTTP non authentifié et le rediriger vers la page de démarrage hébergée sur le cloud de Purple. Ce mécanisme est appelé Authentification Web Externe (EWA).

Le processus suit une séquence spécifique :

Le client s'associe au SSID ouvert ou Opportunistic Wireless Encryption (OWE).
Le WLC place le client dans un état Webauth_reqd et applique une liste de contrôle d'accès (ACL) de pré-authentification.
Le WLC intercepte la requête HTTP du client et émet une redirection 302 vers l'URL de la page de démarrage de Purple, en y ajoutant des paramètres tels que l'adresse MAC de l'AP, l'adresse MAC du client et le SSID du WLAN.
Le client termine son parcours d'authentification sur le portail Purple (par exemple, connexion via les réseaux sociaux, saisie d'un e-mail ou acceptation des conditions d'utilisation).
Le serveur RADIUS de Purple envoie un message Access-Accept au WLC.
Le WLC passe le client à l'état Run, lui accordant l'accès à internet en fonction de la politique post-authentification.

2. WiFi du personnel : 802.1X EAP-TLS et PEAP

Pour les appareils d'entreprise, WPA2/WPA3 Enterprise avec 802.1X offre la posture de sécurité la plus robuste. Plutôt que de déployer un serveur RADIUS sur site comme Cisco ISE, Purple SecurePass agit comme un proxy RADIUS cloud. Il termine le tunnel EAP (Extensible Authentication Protocol) et transmet la vérification d'identité à votre fournisseur d'identité (IdP), tel que Microsoft Entra ID ou Google Workspace.

EAP-TLS : Recommandé pour les appareils d'entreprise gérés. Nécessite le déploiement de certificats clients via un MDM (par exemple, Microsoft Intune). L'authentification est transparente et hautement sécurisée.
PEAP-MSCHAPv2 : Recommandé pour les environnements BYOD où le déploiement de certificats n'est pas pratique. Les utilisateurs s'authentifient avec leurs identifiants d'entreprise.

3. IoT et Multi-Tenant : Cisco Identity PSK (iPSK)

Dans les environnements tels que les propriétés Build-to-Rent (BTR), les résidences étudiantes ou les points de vente dotés de nombreux appareils IoT, le déploiement de 802.1X est souvent impossible car les appareils ne prennent pas en charge de suppliant. La création d'un SSID distinct pour chaque locataire ou type d'appareil provoque une congestion RF.

Cisco iPSK résout ce problème en autorisant plusieurs clés pré-partagées (PSK) uniques sur un seul SSID. Lorsqu'un appareil s'associe, le WLC envoie son adresse MAC au serveur RADIUS de Purple. Purple renvoie la PSK spécifique pour cet appareil ainsi que les attributs d'attribution dynamique de VLAN, segmentant le trafic au niveau du port du commutateur.

Guide d'implémentation

Configuration de la redirection vers le Captive Portal invité

Pour configurer l'authentification web externe sur le Catalyst 9800 WLC, vous devez définir une carte de paramètres (parameter map) et un filtre d'URL pour autoriser le trafic de pré-authentification vers le portail de Purple [1].

Étape 1 : Créer la carte de paramètres d'authentification Web

Configurez le WLC pour rediriger les clients vers le portail Purple, en transmettant les variables nécessaires. Vous devez configurer l'adresse IPv4 virtuelle (généralement 192.0.2.1) de manière globale.

parameter-map type webauth PURPLE-GUEST
  type consent
  timeout init-state sec 600
  redirect for-login https://portal.purple.ai
  redirect append ap-mac tag ap_mac
  redirect append wlan-ssid tag wlan
  redirect append client-mac tag client_mac
  redirect portal ipv4 
  logout-window-disabled
  success-window-disabled

Étape 2 : Configurer le filtre d'URL de pré-authentification

Les clients doivent pouvoir accéder au portail de Purple avant d'être authentifiés. Le 9800 WLC utilise des filtres d'URL pour ouvrir dynamiquement des accès dans l'ACL d'interception basés sur le snooping DNS.

urlfilter list PURPLE-PREAUTH
  action permit
  url portal.purple.ai

Appliquez ce filtre d'URL au profil de politique WLAN de votre SSID dans les paramètres d'ACL de pré-authentification.

Configuration de l'attribution dynamique de VLAN pour iPSK

Pour placer dynamiquement des utilisateurs ou des appareils dans des VLANs spécifiques, le serveur RADIUS de Purple doit envoyer trois attributs IETF spécifiques dans la réponse Access-Accept [2].

IETF 64 (Tunnel-Type) : Défini sur VLAN (valeur 13).
IETF 65 (Tunnel-Medium-Type) : Défini sur 802 (valeur 6).
IETF 81 (Tunnel-Private-Group-ID) : Défini sur l'ID du VLAN sous forme de chaîne (par exemple, "10").

Sur le Catalyst 9800 WLC, assurez-vous que les éléments suivants sont configurés sur le WLAN iPSK :

Le filtrage MAC est activé.
L'option AAA Override est activée (cruciale pour accepter l'attribution de VLAN par le RADIUS).
La sécurité de couche 2 est définie sur WPA2-PSK (la clé PSK configurée sert de solution de secours).

Bonnes Pratiques

Vérification des VLANs : L'ID du VLAN renvoyé par le serveur RADIUS dans Tunnel-Private-Group-ID DOIT exister en tant qu'interface dynamique sur le WLC. Si ce n'est pas le cas, le WLC bascule le client sur le VLAN natif, ce qui crée un risque de sécurité majeur.
Chaînes de Confiance des Certificats : Pour les déploiements EAP-TLS, importez votre autorité de certification racine (Root CA) et tous les certificats d'autorité de certification intermédiaire sur le tableau de bord Purple SecurePass avant de déployer les certificats clients. Si le serveur RADIUS ne peut pas valider la chaîne, l'authentification échoue silencieusement.
Redondance RADIUS : Configurez toujours des serveurs RADIUS secondaires. Définissez le délai d'expiration principal à 3 secondes avec 2 tentatives pour garantir un basculement rapide sans frustrer l'utilisateur.
Adoption de WPA3 : Utilisez WPA3-SAE pour les réseaux iPSK lorsqu'il est pris en charge par les appareils clients. Pour les réseaux invités ouverts, implémentez WPA3-OWE (Opportunistic Wireless Encryption) afin de chiffrer le trafic sans nécessiter de mot de passe.

Dépannage et Atténuation des Risques

Mode de Défaillance	Symptôme	Cause Racine	Atténuation
Boucle de Redirection	L'appareil client actualise constamment la page du Captive Portal sans la charger.	L'ACL de pré-authentification ou le filtre d'URL n'autorise pas l'accès aux adresses IP du portail de Purple. Le WLC redirige le client, le client tente de charger la page, le WLC la bloque et redirige à nouveau.	Vérifiez que le filtre d'URL `PURPLE-PREAUTH` est appliqué au profil de politique et qu'il orthographie correctement le domaine du portail. Assurez-vous que le trafic DNS est autorisé en pré-authentification.
Échec du Secours iPSK	Un appareil IoT non enregistré se connecte au réseau mais reçoit la mauvaise adresse IP.	L'adresse MAC de l'appareil ne figure pas dans la base de données RADIUS de Purple. Le WLC bascule sur la clé PSK globale configurée sur le WLAN et attribue le VLAN par défaut.	Vérifiez l'adresse MAC dans le tableau de bord Purple. Assurez-vous que le VLAN par défaut attribué au profil de politique WLAN est un réseau de quarantaine restreint, et non le LAN de l'entreprise.
Délai d'Attente RADIUS Dépassé	Les clients subissent des retards importants pour se connecter - les journaux du WLC indiquent que le serveur RADIUS est injoignable.	Les pare-feu entre le WLC et les terminaux RADIUS cloud de Purple bloquent les ports UDP 1812 (Authentification) ou 1813 (Accounting).	Vérifiez que les règles de pare-feu sortantes autorisent le trafic UDP 1812/1813 depuis l'interface de gestion du WLC vers les adresses IP RADIUS publiées de Purple.

ROI & Impact Commercial

L'implémentation d'une architecture unifiée avec Cisco et Purple génère une valeur commerciale mesurable à travers trois piliers :

Efficacité opérationnelle : Le remplacement du provisionnement manuel des VLAN et de multiples SSIDs par l'iPSK réduit le volume de tickets IT. L'automatisation de l'intégration des IoT via API permet d'économiser des heures de travail des techniciens par site.
Conformité et sécurité : L'attribution dynamique de VLAN garantit la conformité PCI-DSS dans les environnements de vente au détail en isolant strictement les terminaux de paiement du trafic invité (Exigence 1.3). L'EAP-TLS élimine le risque lié au partage des mots de passe du personnel.
Génération de revenus : L'intégration de Captive Portal transforme un centre de coûts (le WiFi invité) en un actif marketing. La collecte de consentements explicites permet de constituer une base de données de premier niveau qui alimente les campagnes de fidélisation et stimule les visites répétées.

Références

[1] Cisco Systems, "Configure Spaces Captive Portal with Catalyst 9800 WLC," mai 2025. [2] Cisco Systems, "Configure a RADIUS Server and WLC for Dynamic VLAN Assignment," septembre 2012.

Définitions clés

External Web Authentication (EWA)

Un mécanisme par lequel le Cisco WLC intercepte le trafic HTTP non authentifié et redirige le client vers un captive portal hébergé en externe (comme Purple) pour l'authentification.

Utilisé pour proposer des portails captifs personnalisés et collecter des données de première main sans dépendre du serveur web interne limité du WLC.

Identity PSK (iPSK)

Une fonctionnalité Cisco qui permet d'utiliser plusieurs clés pré-partagées (PSK) uniques sur un seul SSID, chaque clé étant mappée à une adresse MAC de client spécifique et à un VLAN via RADIUS.

Indispensable pour sécuriser les appareils IoT et les environnements multi-locataires où l'802.1X n'est pas pris en charge, réduisant ainsi le besoin de multiplier les SSIDs.

AAA Override

Un paramètre WLAN sur le Cisco WLC qui force le contrôleur à accepter les paramètres de politique (tels que les ID de VLAN ou les ACLs) renvoyés par le serveur RADIUS, remplaçant ainsi la configuration WLAN locale.

Doit être activé pour que l'attribution dynamique de VLAN et l'iPSK fonctionnent correctement.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Une méthode d'authentification 802.1X hautement sécurisée qui repose sur un échange mutuel de certificats plutôt que sur des mots de passe.

La référence absolue pour la sécurité WiFi du personnel, nécessitant un MDM pour déployer des certificats clients sur les appareils de l'entreprise.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol. Une méthode 802.1X qui chiffre le processus d'authentification à l'intérieur d'un tunnel TLS, permettant aux utilisateurs de s'authentifier en toute sécurité avec un identifiant et un mot de passe.

Utilisé pour les réseaux du personnel de type BYOD où le déploiement de certificats clients n'est pas envisageable.

Pre-Authentication ACL

Une liste de contrôle d'accès (ACL) appliquée à un client sans fil avant qu'il ne soit authentifié, définissant précisément les ressources réseau qu'il peut atteindre.

Crucial pour les portails captifs ; elle doit autoriser le DNS et l'accès aux adresses IP de la page de redirection de Purple tout en bloquant tout autre trafic.

Dynamic Interface

Une interface logique créée sur le WLC et mappée à un ID de VLAN spécifique et à un port physique.

Lorsque RADIUS renvoie un ID de VLAN pour une attribution dynamique, ce VLAN doit déjà exister en tant qu'interface dynamique sur le WLC, sinon le client sera basculé sur le VLAN natif.

WPA3-SAE

Simultaneous Authentication of Equals. Le remplacement moderne de WPA2-PSK, offrant une confidentialité persistante et une protection contre les attaques par dictionnaire hors ligne.

Pris en charge par Cisco Catalyst 9800 et Purple RADIUS pour sécuriser les réseaux IoT et invités modernes.

Exemples concrets

Un hôtel de 200 chambres doit segmenter le trafic réseau entre les invités, le personnel et les appareils IoT (serrures de porte, thermostats) à l'aide d'un seul Cisco Catalyst 9800 WLC, sans créer plusieurs SSIDs qui provoqueraient une congestion RF.

Déployez un seul SSID à l'aide de Cisco iPSK. Enregistrez l'adresse MAC de chaque appareil IoT dans le tableau de bord de Purple, en attribuant chacun au VLAN 30. Configurez le WLAN du WLC avec le filtrage MAC, l'AAA Override, et le WPA2-PSK. Lorsqu'une serrure de porte s'associe, le serveur RADIUS de Purple renvoie la clé PSK unique et les attributs IETF 64, 65 et 81 pour orienter dynamiquement l'appareil vers le VLAN 30. Les invités utilisent un SSID ouvert distinct avec authentification web externe pointant vers le captive portal de Purple.

Commentaire de l'examinateur : Cette approche minimise la surcharge liée aux SSIDs tout en maintenant une isolation stricte de niveau 2. L'utilisation d'iPSK pour les appareils IoT sans interface évite la complexité du déploiement de certificats 802.1X sur des terminaux qui ne les prennent pas en charge.

Une chaîne de vente au détail comptant 80 magasins doit isoler le trafic des terminaux de paiement du trafic WiFi invité afin de maintenir la conformité PCI DSS, le tout géré de manière centralisée via Cisco Catalyst Centre.

Configurez le SSID invité avec une ACL de pré-authentification qui rejette explicitement le trafic destiné au sous-réseau des terminaux de paiement (VLAN 40). Utilisez iPSK pour authentifier les terminaux de paiement, en les attribuant dynamiquement au VLAN 40 via le serveur RADIUS de Purple. Le trafic invité est authentifié via le captive portal de Purple et placé sur le VLAN 10.

Commentaire de l'examinateur : Cette conception répond à la spécification PCI DSS Requirement 1.3 en imposant une segmentation du réseau. La centralisation de la politique RADIUS dans Purple garantit une attribution de VLAN cohérente dans les 80 magasins sans configuration manuelle des ports de commutateur.

Questions d'entraînement

Q1. Vous déployez un Captive Portal sur un WLC Catalyst 9800. Les clients s'associent au SSID, mais leurs navigateurs actualisent continuellement l'URL de la page d'accueil sans jamais charger le contenu. Quelle est la cause architecturale la plus probable ?

Conseil : Considérez l'état du client avant la fin de l'authentification et quel trafic est autorisé.

Voir la réponse type

L'ACL de pré-authentification ou le filtre URL est mal configuré. Il bloque l'accès aux adresses IP du portail de Purple. Le WLC intercepte le trafic et redirige vers le portail, mais le client ne peut pas atteindre le portail pour le charger, déclenchant une boucle de redirection infinie. Vous devez explicitement autoriser les adresses IP de Purple ou utiliser un filtre URL pour le domaine du portail.

Q2. Un appareil IoT s'authentifie avec succès via iPSK, et le serveur RADIUS de Purple renvoie un Access-Accept avec les attributs IETF 64, 65 et 81 spécifiant le VLAN 50. Cependant, l'appareil est placé sur le VLAN 10 (le VLAN de gestion). Pourquoi cela s'est-il produit ?

Conseil : Pensez aux prérequis nécessaires sur le WLC lui-même pour accepter et appliquer un VLAN attribué par RADIUS.

Voir la réponse type

Soit "AAA Override" est désactivé dans les paramètres avancés du WLAN, ce qui conduit le WLC à ignorer les attributs RADIUS, SOIT le VLAN 50 n'existe pas en tant qu'interface dynamique configurée sur le WLC. Si le VLAN attribué n'existe pas localement, le WLC bascule sur le VLAN natif/de gestion.

Q3. Un site souhaite déployer le 802.1X pour le WiFi du personnel en utilisant Microsoft Entra ID. Ils n'ont pas de serveur RADIUS sur site comme Cisco ISE. Comment cela peut-il être réalisé en utilisant la plateforme Purple ?

Conseil : Considérez comment Purple gère le tunnel EAP et la vérification d'identité.

Voir la réponse type

Configurez le WLC pour utiliser Purple SecurePass comme serveur RADIUS. Purple agit comme un proxy RADIUS cloud, terminant le tunnel EAP-TLS ou PEAP du WLC et transmettant de manière sécurisée la recherche d'identité à Microsoft Entra ID via API/SAML. Aucun serveur RADIUS sur site n'est requis.

Continuer la lecture de cette série

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Intégration des points d'accès Grandstream GWN avec Purple WiFi

Ce guide de référence technique officiel détaille comment intégrer les points d'accès Grandstream GWN avec le Guest WiFi de Purple et sa plateforme d'analyse. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage dynamique des VLAN, et la segmentation PPSK multi-tenant - offrant ainsi des instructions étape par étape directement exploitables pour les MSP et les équipes informatiques déployant du WiFi invités et personnel à grande échelle.