Passer au contenu principal
Français

Intégration de Huawei AirEngine et CloudCampus avec Purple WiFi

Ce guide fournit des instructions étape par étape pour intégrer les points d'accès Huawei AirEngine et iMaster NCE-Campus avec Purple WiFi. Il couvre la configuration du Captive Portal, l'authentification du personnel en 802.1X et le routage VLAN dynamique PPSK pour les réseaux d'entreprise.

📖 6 min de lecture📝 1,408 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bienvenue dans la série technique de Purple. Je suis votre hôte, et aujourd'hui nous allons passer en revue l'une des intégrations WiFi d'entreprise les plus nuancées que nous rencontrons sur le terrain : les points d'accès Huawei AirEngine et le contrôleur CloudCampus iMaster NCE-Campus, intégrés à Purple pour le WiFi invité, l'authentification du personnel et la segmentation réseau multi-locataire. Si vous êtes un architecte réseau ou un responsable informatique gérant un parc Huawei - qu'il s'agisse d'un groupe hôtelier, d'une chaîne de magasins, d'un centre de conférences ou d'un campus du secteur public - cet épisode est pour vous. Nous allons couvrir l'ensemble de la pile : la redirection vers le Captive Portal, les ACL de pré-authentification, le WiFi sécurisé pour le personnel via 802.1X, et la fonctionnalité Private Pre-Shared Key de Huawei pour le routage VLAN dynamique à travers plusieurs locataires. C'est parti. Première section : Contexte et architecture. La gamme AirEngine de Huawei - qui comprend les séries 5700, 6700, 8700 et 9700 - fonctionne sur WiFi 6 et WiFi 6E, la série haut de gamme 9700 prenant en charge le WiFi 7. Ce sont de véritables points d'accès d'entreprise. La couche de gestion est iMaster NCE-Campus, le contrôleur réseau basé sur le cloud de Huawei, qui gère tout, du provisionnement des SSID et du relais RADIUS à l'application des politiques et au transfert syslog. Purple se positionne au-dessus de cela en tant qu'overlay cloud. Nous opérons sur 80 000 sites actifs et avons traité 440 millions de connexions rien qu'en 2024. Nous sommes agnostiques en matière de matériel - ce qui signifie que nous nous intégrons à Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, et bien sûr, Huawei AirEngine - en utilisant les mêmes standards RADIUS et de Captive Portal que tous les contrôleurs d'entreprise prennent en charge. Le modèle d'intégration ici est simple. iMaster NCE-Campus agit comme le relais RADIUS, transmettant les demandes d'authentification des points d'accès aux serveurs RADIUS de Purple. Purple gère la logique d'authentification - qu'il s'agisse d'une page d'accueil pour les invités, d'une vérification d'identifiants 802.1X ou d'une recherche PPSK - et renvoie la réponse RADIUS appropriée, y compris tous les attributs d'attribution dynamique de VLAN. Deuxième section : Configuration du WiFi invité et du Captive Portal. Commençons par le déploiement le plus courant : le WiFi invité avec un Captive Portal Purple. Dans iMaster NCE-Campus, vous naviguez vers Design, puis Network Design, puis Template Management. Vous créez un modèle de serveur de relais RADIUS. Les paramètres clés sont : définir le service d'authentification sur Portal authentication, ajouter les adresses IP du serveur RADIUS de Purple sur le port UDP 1812 pour l'authentification et 1813 pour l'accounting, définir le NAS identifier sur Device MAC, et configurer le secret partagé. Purple fournit ces identifiants RADIUS depuis l'écran de configuration du site dans le tableau de bord Purple. Ensuite, vous créez une ACL - il s'agit de votre Walled Garden. Avant qu'un invité ne s'authentifie, il doit pouvoir accéder à la splash page de Purple et à tous les domaines associés. Vos règles ACL doivent autoriser le DNS sur le port UDP 53, autoriser le HTTPS vers le domaine du Captive Portal de Purple, et autoriser tous les fournisseurs de connexion sociale que vous avez activés - par exemple, les points de terminaison de l'API Graph de Facebook si vous utilisez la connexion via les réseaux sociaux. Tout le reste est bloqué avant l'authentification. Ensuite, vous configurez l'SSID. Définissez le type de réseau sur Open, sélectionnez l'authentification Open plus Portal, configurez le type d'authentification sur Relay authentication by cloud platform, et choisissez RADIUS relay comme mode d'interconnexion. Définissez le protocole de redirection de page sur HTTPS. Dans les paramètres d'authentification du portail tiers, collez l'URL de redirection Purple - il s'agit de l'URL de la splash page que vous copiez depuis le tableau de bord de l'établissement Purple, avec le suffixe modifié pour inclure les paramètres spécifiques à Huawei : ap-mac, uaddress, umac, ssid et redirect-url. Enfin, créez un modèle d'URL dans iMaster NCE-Campus qui associe ces noms de paramètres aux valeurs que Huawei transmet lors de la redirection. Le mappage des paramètres est le suivant : redirect-url vers redirect-url, loginurl vers login-url, device-mac vers ap-mac, user-ip vers uaddress, user-mac vers umac, et ssid vers ssid. Une fois cette configuration terminée, un invité se connecte à l'SSID, obtient une adresse DHCP, et son trafic HTTP est intercepté par le contrôleur puis redirigé vers la splash page de Purple. Il s'authentifie - via e-mail, connexion sociale ou vérification par SMS - et le serveur RADIUS de Purple renvoie un message Access-Accept à iMaster NCE-Campus, qui accorde à l'invité un accès complet à Internet. Du point de vue des données, Purple capture à ce stade les données de consentement de première partie. Chaque connexion est une adhésion volontaire et consciente, conforme au GDPR et à la CCPA. Ces données alimentent la plateforme d'analyse de Purple, vous fournissant la durée des sessions, le type d'appareil, le taux de visiteurs récurrents et le temps de présence - le tout sans aucun suivi tiers. Section trois : Sécuriser le WiFi du personnel avec le 802.1X. Parlons maintenant du WiFi du personnel. Il s'agit d'une posture de sécurité totalement différente. Vous ne voulez pas que le personnel se trouve sur le même segment de réseau que les invités, et vous voulez éviter les mots de passe PSK partagés qui quittent l'entreprise dès que quelqu'un s'en va. La solution est l'authentification 802.1X, définie par la norme IEEE 802.1X-2020, utilisant EAP-TLS ou EAP-PEAP. Dans iMaster NCE-Campus, vous créez un SSID distinct pour le personnel - appelons-le CorpNet. Dans le profil d'authentification de cet SSID, vous définissez le mode d'authentification sur 802.1X, vous le pointez vers le serveur RADIUS de Purple, et vous configurez le profil de sécurité sur WPA2-Enterprise ou WPA3-Enterprise avec un chiffrement AES-CCMP. Purple agit également en tant que serveur RADIUS ici, mais valide désormais les identifiants par rapport à votre fournisseur d'identité. Purple s'intègre nativement avec Microsoft Entra ID, Okta et Google Workspace. Lorsqu'un membre du personnel se connecte à CorpNet, son appareil envoie les identifiants EAP au point d'accès, qui les transmet via RADIUS à Purple, qui les valide ensuite par rapport à Entra ID à l'aide de SCIM ou SAML. Si les identifiants sont valides, Purple renvoie un Access-Accept avec un attribut RADIUS spécifiant le VLAN du personnel - par exemple le VLAN 20. iMaster NCE-Campus oriente automatiquement le client vers ce VLAN. Les attributs RADIUS clés pour l'attribution dynamique de VLAN sont : Tunnel-Type défini sur VLAN ou la valeur 13, Tunnel-Medium-Type défini sur 802 ou la valeur 6, et Tunnel-Private-Group-ID défini sur l'ID du VLAN. Ces trois attributs indiquent ensemble au contrôleur Huawei exactement quel VLAN attribuer au client authentifié. Pour l'EAP-TLS spécifiquement - qui est la référence absolue pour l'authentification du personnel - vous avez besoin de certificats clients. L'extension SecurePass de Purple gère la délivrance et le cycle de vie des certificats, en s'intégrant à votre PKI existante ou en agissant comme une autorité de certification légère. Cela élimine complètement les attaques basées sur les mots de passe. Pas de mot de passe, pas de vecteur de phishing. Section quatre : Segmentation multi-locataire avec le PPSK de Huawei. C'est là que cela devient vraiment intéressant. Si vous gérez un espace à usage mixte - un centre commercial avec plusieurs locataires de vente au détail, un espace de co-working avec plusieurs entreprises membres, ou un centre de conférence accueillant des événements simultanés - vous avez besoin d'une isolation réseau entre les locataires sans déployer un SSID distinct pour chacun d'eux. La fonctionnalité PPSK de Huawei - Private Pre-Shared Key - résout ce problème. Elle est parfois appelée iPSK dans d'autres écosystèmes de constructeurs. Le concept est le suivant : un seul SSID, plusieurs mots de passe uniques, chaque mot de passe étant associé à un VLAN spécifique. Le locataire A obtient le mot de passe Alpha, qui correspond au VLAN 30. Le locataire B obtient le mot de passe Beta, qui correspond au VLAN 40. Les deux locataires voient le même SSID, mais ils sont complètement isolés au niveau de la couche 2. Dans la CLI de Huawei, vous configurez cela dans la vue WLAN à l'aide de la commande ppsk-user. Pour chaque locataire, vous exécutez : ppsk-user psk pass-phrase, suivi de la phrase secrète unique, puis user-name, l'identifiant du locataire, puis vlan, l'ID du VLAN, puis ssid, le nom du SSID. Vous pouvez également définir une date d'expiration, un nombre maximal d'appareils et lier le tout à une adresse MAC spécifique si vous avez besoin d'un contrôle plus strict. Dans iMaster NCE-Campus, la recherche PPSK peut être gérée localement sur le contrôleur ou - pour les déploiements à grande échelle - via RADIUS. Lorsque le PPSK basé sur RADIUS est utilisé, Purple devient la source faisant autorité pour les mappages PPSK-vers-VLAN. L'appareil d'un locataire se connecte avec sa phrase secrète unique, le contrôleur envoie une requête RADIUS Access-Request à Purple avec la phrase secrète comme identifiant, Purple recherche le mappage et renvoie un Access-Accept avec les trois attributs de tunnel VLAN. Le contrôleur oriente le client vers le bon VLAN. Cette architecture s'adapte à des centaines de locataires sur un seul SSID. Cela signifie également que vous pouvez provisionner, renouveler et révoquer les identifiants des locataires depuis le tableau de bord Purple sans toucher à la configuration du contrôleur. Section cinq : Pièges de mise en œuvre et comment les éviter. Laissez-moi vous présenter les trois modes de défaillance que je rencontre le plus souvent dans les déploiements Huawei et Purple. Premier piège : le Walled Garden est incomplet. Les invités se connectent au SSID, sont redirigés vers la page d'accueil (splash page), mais la page ne se charge pas car un domaine requis - souvent un point de terminaison CDN ou une API de connexion sociale - est bloqué par l'ACL de pré-authentification. La solution consiste à tester le flux de la page d'accueil depuis un nouvel appareil avant la mise en service, à capturer les requêtes DNS et les connexions HTTPS qu'il effectue, et à ajouter chaque domaine requis à l'ACL. Purple publie une liste des domaines requis dans la documentation d'intégration. Deuxième piège : non-concordance du secret partagé RADIUS. Le secret configuré dans iMaster NCE-Campus doit correspondre exactement au secret du tableau de bord Purple. Une différence d'un seul caractère entraîne des échecs d'authentification silencieux - les journaux du contrôleur affichent un message Access-Reject sans aucun message d'erreur utile. Copiez-collez toujours le secret, ne le saisissez jamais manuellement. Troisième piège : mauvaise configuration du trunk VLAN. L'attribution dynamique de VLAN via RADIUS ne fonctionne que si le VLAN est déjà trunké sur le port de liaison montante (uplink) entre le point d'accès et le commutateur d'agrégation. Si le VLAN 20 ne figure pas dans la liste d'autorisation du trunk sur l'interface du commutateur, les clients du personnel authentifiés subiront un dépassement de délai DHCP et sembleront échouer à l'authentification. Auditez vos configurations de trunk avant de tester les VLAN attribués par RADIUS. Section six : Questions-réponses rapides. Question : Puis-je utiliser le RADIUS intégré de Purple avec le déploiement sur site d'iMaster NCE-Campus de Huawei, et non la version cloud ? Oui. Les serveurs RADIUS de Purple sont hébergés dans le cloud et accessibles via Internet. Votre contrôleur iMaster NCE-Campus sur site a besoin des ports sortants UDP 1812 et 1813 vers les plages d'adresses IP RADIUS de Purple. Purple publie ces plages d'adresses IP dans le tableau de bord sous les paramètres du site. Question : Est-ce que le PPSK de Huawei prend en charge le WPA3-SAE ? Depuis la version de firmware AirEngine V600R025, le WPA3-SAE-PPSK est pris en charge sur les séries 6700 et 9700. Vérifiez votre version de firmware avant d'activer le WPA3 sur les SSIDs PPSK. Question : Comment Purple gère-t-il le consentement GDPR pour le WiFi invité sur le matériel Huawei ? La page d'accueil de Purple recueille le consentement au moment de l'authentification. L'enregistrement du consentement - comprenant l'horodatage, l'adresse IP et les conditions spécifiques acceptées - est stocké dans la plateforme de Purple et peut être exporté pour les audits de conformité. Cela s'applique quel que soit le fournisseur de matériel sous-jacent. Section sept : Résumé et prochaines étapes. Pour résumer : Huawei AirEngine et iMaster NCE-Campus s'intègrent à Purple via un relais RADIUS pour le Captive Portal invité, le 802.1X pour le WiFi du personnel, et le PPSK pour la segmentation VLAN multi-tenant. La configuration s'effectue dans iMaster NCE-Campus sous Design, Network Design, Template Management pour la configuration RADIUS et ACL, et sous Provision, Device Configuration, Site Configuration pour l'association du SSID et du profil d'authentification. Vos prochaines étapes : récupérez les identifiants RADIUS Purple depuis votre tableau de bord de site, configurez le modèle de serveur de relais RADIUS dans iMaster NCE-Campus, créez votre ACL Walled Garden, configurez le SSID invité avec une authentification Open plus Portal, et testez de bout en bout avec un nouvel appareil avant le déploiement global. Si vous déployez le PPSK pour l'isolation multi-tenant, planifiez d'abord votre schéma de VLAN - assurez-vous que chaque VLAN tenant est acheminé en trunk de bout en bout avant de configurer le moindre utilisateur PPSK. Pour obtenir le guide de configuration complet étape par étape, incluant des exemples de CLI et des schémas d'architecture, consultez le guide écrit complet sur le site web de Purple. Merci pour votre écoute.

header_image.png

Résumé exécutif

Les réseaux d'entreprise exigent un matériel fiable associé à une gestion intelligente des identités. Les points d'accès Huawei AirEngine et le contrôleur iMaster NCE-Campus offrent une connectivité haute densité, tandis que Purple fournit la surcouche cloud pour l'authentification, l'analyse et l'application des politiques. Ce guide détaille l'architecture d'intégration requise pour déployer le Guest WiFi , le Staff WiFi sécurisé et le WiFi Multi-Tenant à l'aide d'un seul contrôleur Huawei.

En intégrant Huawei CloudCampus à Purple, vous remplacez les silos d'authentification disparates par un réseau unifié basé sur l'identité. Nous opérons sur plus de 80 000 sites actifs et avons traité 440 millions de connexions en 2024. Notre plateforme agnostique vis-à-vis du matériel s'intègre nativement avec Huawei via les protocoles standards RADIUS et Captive Portal. Cette intégration permet des opt-ins explicites pour les visiteurs, la validation de certificats 802.1X pour les employés et un routage VLAN dynamique via des clés pré-partagées privées (PPSK) pour les locataires.

Que vous gériez un stade, un campus universitaire ou une chaîne de vente au détail, ce document fournit les étapes de configuration exactes, les attributs RADIUS et les listes de contrôle d'accès requis pour sécuriser votre périphérie sans fil et collecter des données de première partie à grande échelle.

Écoutez le podcast de présentation technique :

Analyse technique approfondie

L'intégration repose sur des protocoles standards : RADIUS (UDP 1812/1813) pour l'authentification et la comptabilisation, et HTTPS (TCP 443) pour la redirection vers le Captive Portal. iMaster NCE-Campus agit en tant que serveur d'accès réseau (NAS) et relais RADIUS, transmettant les requêtes des points d'accès AirEngine vers l'infrastructure RADIUS cloud de Purple.

Aperçu de l'architecture

architecture_overview.png

Purple prend en charge trois modèles d'authentification principaux sur le matériel Huawei :

  1. Guest WiFi (Captive Portal) : Le trafic non authentifié est intercepté par le contrôleur Huawei et redirigé vers la splash page de Purple. L'accès avant authentification est limité par une ACL Walled Garden. Une fois la connexion réussie, Purple envoie un Access-Accept RADIUS, accordant au client un accès complet au réseau.
  2. Staff WiFi (802.1X) : Les employés s'authentifient à l'aide de leurs identifiants d'entreprise via EAP-PEAP ou EAP-TLS. Purple valide ces identifiants auprès de fournisseurs d'identité tels que Microsoft Entra ID, Okta ou Google Workspace.
  3. WiFi Multi-Tenant (PPSK) : Les locataires se connectent à un seul SSID partagé à l'aide de phrases de passe uniques. Purple valide la phrase de passe et renvoie des attributs RADIUS spécifiques pour orienter dynamiquement le locataire vers son VLAN isolé.

Walled Garden et ACL de pré-authentification

Un Captive Portal nécessite un Walled Garden - une liste de contrôle d'accès (ACL) qui autorise le trafic vers les services essentiels avant que l'utilisateur ne s'authentifie. Si le Walled Garden est incomplet, la page d'accueil ne se chargera pas, ce qui entraînera une mauvaise expérience pour le visiteur.

Pour Huawei iMaster NCE-Campus, l'ACL de pré-authentification doit autoriser :

  • La résolution DNS (UDP 53)
  • Les domaines du Captive Portal de Purple (*.purpleportal.net, *.purple.ai)
  • Les réseaux de diffusion de contenu (CDNs) hébergeant les ressources de la page d'accueil
  • Les domaines des fournisseurs d'identité si la connexion via les réseaux sociaux (Apple, Google, Facebook) est activée

Tout autre trafic doit être refusé jusqu'à ce que Purple renvoie le RADIUS Access-Accept.

Routage dynamique des VLAN et attributs RADIUS

Pour isoler le trafic réseau, Purple utilise l'attribution dynamique de VLAN. Au lieu de diffuser plusieurs SSIDs, vous diffusez un seul SSID et attribuez le VLAN de manière dynamique en fonction de l'identité de l'utilisateur.

Lorsque Purple authentifie un utilisateur (via 802.1X ou PPSK), il renvoie un paquet Access-Accept contenant trois attributs RADIUS standard de l'IETF obligatoires :

  • Tunnel-Type = VLAN (ou 13)
  • Tunnel-Medium-Type = 802 (ou 6)
  • Tunnel-Private-Group-ID = [VLAN ID]

Le contrôleur Huawei reçoit ces attributs et demande au point d'accès AirEngine de marquer le trafic du client avec l'ID de VLAN spécifié.

ppsk_vlan_segmentation.png

Guide d'implémentation

Cette section détaille les étapes exactes pour configurer iMaster NCE-Campus pour l'intégration de Purple.

Étape 1 : Configurer le serveur relais RADIUS

Tout d'abord, définissez Purple comme serveur d'authentification externe.

  1. Dans iMaster NCE-Campus, accédez à Design > Network Design > Template Management.
  2. Sélectionnez RADIUS Server et cliquez sur Create.
  3. Définissez le Authentication service sur Portal authentication.
  4. Saisissez les adresses IP RADIUS principale et secondaire de Purple (disponibles dans votre tableau de bord Purple).
  5. Définissez le port d'authentification sur 1812 et le port de comptabilisation (accounting) sur 1813.
  6. Saisissez le secret partagé RADIUS fourni par Purple.
  7. Définissez le NAS identifier sur Device MAC.

Étape 2 : Créer l'ACL du Walled Garden

Créez l'ACL pour autoriser le trafic de pré-authentification.

  1. Accédez à Design > Network Design > Template Management > ACL.
  2. Créez une nouvelle ACL nommée Purple_Walled_Garden.
  3. Définissez le ACL Type sur User.
  4. Ajoutez des règles d'autorisation (permit) pour le DNS et les domaines requis par Purple (par exemple, *.purpleportal.net).
  5. Enregistrez le modèle d'ACL.

Étape 3 : Configurer le modèle d'URL du Captive Portal

Huawei requiert un modèle d'URL pour mapper les paramètres de redirection standard vers le format requis par Purple.

  1. Accédez à Design > Network Design > Template Management > URL Template.
  2. Créez un nouveau modèle nommé Purple_URL_Template.
  3. Définissez le Template Type sur Cloud platform-based relay authentication.
  4. Configurez le mappage des paramètres exactement comme suit :
    • redirect-url correspond à redirect-url
    • loginurl correspond à login-url
    • device-mac correspond à ap-mac
    • user-ip correspond à uaddress
    • user-mac correspond à umac
    • ssid correspond à ssid

Étape 4 : Provisionner le SSID Invité

Liez le serveur RADIUS, l'ACL et le modèle d'URL au SSID.

  1. Accédez à Provision > Device Configuration > Site Configuration.
  2. Sélectionnez AP et créez un nouveau SSID.
  3. Définissez le Network Type sur Open.
  4. Sélectionnez Open+Portal authentication.
  5. Définissez le type d'authentification sur Relay authentication by cloud platform.
  6. Définissez le mode d'interconnexion sur RADIUS relay.
  7. Sélectionnez le Purple_URL_Template créé précédemment.
  8. Dans le champ de l'URL d'authentification tierce, collez l'URL unique de votre Captive Portal Purple.
  9. Sélectionnez le modèle de serveur RADIUS Purple.
  10. Sélectionnez l'ACL Purple_Walled_Garden pour la règle d'autorisation par défaut.
  11. Enregistrez et déployez la configuration sur les points d'accès AirEngine.

Bonnes pratiques

Pour garantir un déploiement sécurisé et fiable, suivez ces bonnes pratiques indépendantes des constructeurs :

  • Implémentez le 802.1X pour les employés : N'utilisez jamais de clés PSK partagées pour les réseaux du personnel. Déployez le 802.1X avec EAP-TLS en utilisant le module complémentaire SecurePass de Purple pour émettre des certificats clients. Cela élimine les vecteurs de phishing basés sur les mots de passe et s'aligne sur les exigences de la norme ISO 27001.
  • Consolidez les SSID : La diffusion d'un trop grand nombre de SSID dégrade l'efficacité du temps d'antenne en raison de la surcharge des trames de gestion. Utilisez le PPSK et l'orientation VLAN dynamique pour consolider les réseaux multi-locataires en un seul SSID.
  • Vérifiez les configurations de Trunk : L'attribution dynamique de VLAN échoue silencieusement si le VLAN attribué n'est pas autorisé sur le port trunk du commutateur connectant le point d'accès. Inspectez toujours les configurations des ports de commutateur avant de tester l'orientation RADIUS.
  • Surveillez la latence RADIUS : Les délais d'attente d'authentification proviennent souvent de la latence du WAN. Assurez-vous que votre contrôleur iMaster NCE-Campus dispose d'un chemin à faible latence vers l'infrastructure RADIUS régionale de Purple.

Dépannage et atténuation des risques

Lors de l'intégration d'un RADIUS cloud avec des contrôleurs d'entreprise, les problèmes se limitent généralement à trois domaines : le Walled Garden, le secret partagé RADIUS ou le trunking VLAN.

Échec du chargement du Captive Portal

Symptôme : Un appareil se connecte au WiFi Invité, mais le navigateur affiche une erreur de délai d'attente au lieu du Captive Portal Purple. Cause racine : L'ACL du Walled Garden est incomplète, bloquant l'accès aux domaines du portail de Purple ou aux CDN requis. Mitigation : Connectez un appareil de test au SSID. Tentez de pinger purpleportal.net. Si le ping échoue, vérifiez la configuration de l'ACL iMaster NCE-Campus et assurez-vous qu'elle est appliquée à l'état de pré-authentification du SSID.

Échecs d'authentification silencieux

Symptôme : Un utilisateur saisit des identifiants valides, mais la connexion s'interrompt sans message d'erreur. Cause racine : Une incompatibilité de la clé secrète partagée RADIUS entre iMaster NCE-Campus et Purple. Mitigation : Copiez la clé secrète partagée directement depuis le tableau de bord Purple et collez-la dans le modèle de serveur RADIUS Huawei. Un simple espace de fin brisera le hachage MD5 utilisé dans les paquets RADIUS.

Expiration du délai DHCP après l'authentification

Symptôme : Un membre du personnel s'authentifie avec succès via 802.1X, mais l'appareil reçoit une adresse APIPA 169.254.x.x au lieu d'une IP valide. Cause racine : Purple a attribué avec succès un VLAN dynamique via RADIUS, mais ce VLAN n'est pas acheminé en trunk vers le point d'accès AirEngine. Mitigation : Connectez-vous au commutateur d'accès et vérifiez que la commande port trunk allow-pass vlan inclut l'ID du VLAN cible sur l'interface connectée au point d'accès.

ROI & Impact commercial

Le déploiement de Huawei AirEngine avec Purple transforme une infrastructure réseau standard en un actif commercial mesurable.

Pour les opérateurs du Retail , cette intégration capture les données de première partie des acheteurs, permettant des campagnes marketing ciblées qui stimulent la fréquentation et augmentent la valeur moyenne des transactions. Le tableau de bord WiFi Analytics de Purple fournit des cartes de chaleur et des mesures de temps de présence, permettant aux gestionnaires de sites d'optimiser l'agencement des magasins en fonction du comportement réel des visiteurs.

Dans les environnements de l' Hospitality , l'authentification automatisée via OpenRoaming ou Passpoint élimine les frictions des connexions manuelles, augmentant ainsi les scores de satisfaction des clients. Pour les bâtiments multi-locataires, l'orientation VLAN dynamique PPSK réduit les coûts de gestion informatique en éliminant le besoin de configurer et de gérer manuellement des SSID distincts pour chaque nouveau locataire.

En unifiant l'engagement des visiteurs, la sécurité du personnel et l'isolation des locataires sur une seule empreinte matérielle, les organisations maximisent le retour sur leur investissement Huawei CloudCampus.

Définitions clés

iMaster NCE-Campus

La plateforme d'automatisation et de gestion de réseau de Huawei, basée sur le cloud ou sur site.

Les équipes informatiques l'utilisent comme contrôleur central pour configurer les SSIDs, pousser les politiques vers les APs AirEngine et configurer le relais RADIUS vers Purple.

PPSK (Private Pre-Shared Key)

Une fonctionnalité de sécurité qui permet d'utiliser plusieurs mots de passe uniques sur un seul SSID, chaque mot de passe associant l'utilisateur à une politique réseau ou un VLAN spécifique.

Indispensable pour les environnements multi-locataires (comme les espaces de coworking ou les parcs commerciaux) où les locataires ont besoin de réseaux isolés sans diffuser des dizaines de SSIDs.

Dynamic VLAN Steering

Le processus d'attribution d'un appareil à un réseau local virtuel (VLAN) spécifique en fonction de son identité authentifiée, plutôt que du SSID auquel il s'est connecté.

Utilisé par Purple pour garantir qu'un manager, un caissier et un visiteur se connectant au même point d'accès physique soient placés sur des segments de réseau totalement distincts et sécurisés.

Walled Garden

Une liste de contrôle d'accès (ACL) appliquée aux utilisateurs non authentifiés, autorisant l'accès uniquement aux adresses IP ou domaines spécifiques requis pour finaliser le processus de connexion.

Si le Walled Garden est mal configuré, les visiteurs verront un écran vide ou une erreur de délai d'attente au lieu de la page de connexion Purple.

RADIUS Relay

Une configuration dans laquelle le contrôleur réseau local transfère les demandes d'authentification des points d'accès vers un serveur RADIUS externe.

Huawei iMaster NCE-Campus agit comme relais, transmettant de manière sécurisée les identifiants du site vers l'infrastructure cloud de Purple pour validation.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un LAN ou un WLAN.

La norme d'entreprise pour le WiFi du personnel. Elle remplace les mots de passe partagés par des identifiants d'utilisateur individuels ou des certificats numériques.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Une méthode d'authentification 802.1X qui s'appuie sur des certificats client et serveur plutôt que sur des mots de passe.

La méthode d'authentification la plus sécurisée disponible. SecurePass de Purple délivre ces certificats aux appareils des employés pour éliminer les risques de phishing.

Captive Portal

Une page web qu'un utilisateur d'un réseau d'accès public est obligé de consulter et avec laquelle il doit interagir avant que l'accès ne lui soit accordé.

Le mécanisme principal utilisé par Purple pour collecter les données de première main et le consentement des visiteurs du site.

Exemples concrets

Un hôtel de 200 chambres doit fournir un WiFi sécurisé et isolé pour les clients, le personnel et un café tiers situé dans le hall, en utilisant seulement deux SSIDs pour préserver le temps d'antenne.

Déployez un premier SSID nommé 'Hotel_Guest' configuré avec une politique d'authentification Open+Portal pointant vers le Captive Portal de Purple. Déployez un second SSID nommé 'Hotel_Secure' configuré avec WPA3-Enterprise et une authentification 802.1X. Le personnel s'authentifie via EAP-TLS, et Purple renvoie un attribut RADIUS les affectant au VLAN 20. Le café utilise le PPSK sur ce même SSID 'Hotel_Secure' ; ils saisissent un mot de passe unique, et Purple renvoie un attribut RADIUS les affectant au VLAN 30.

Commentaire de l'examinateur : Cette approche optimise les performances RF en limitant la surcharge liée aux SSIDs. En s'appuyant sur Purple comme autorité RADIUS centrale, l'hôtel obtient une isolation complète de couche 2 entre le personnel et le locataire sans déployer de matériel supplémentaire ni de routage complexe côté contrôleur.

Une grande chaîne de vente au détail migre vers Huawei AirEngine et doit s'assurer que son portail de connexion Purple existant se charge correctement dans tous les magasins sans déclencher d'avertissements de sécurité sur les smartphones modernes.

Configurez le modèle d'URL iMaster NCE-Campus pour mapper précisément les paramètres requis (ap-mac, uaddress, umac, ssid, redirect-url). Créez une ACL Walled Garden complète qui autorise le trafic DNS (UDP 53) et HTTPS (TCP 443) vers les domaines de Purple et toutes les APIs de connexion sociale requises. Assurez-vous que le contrôleur intercepte le trafic HTTP et le redirige vers la page de connexion HTTPS.

Commentaire de l'examinateur : Les implémentations modernes de systèmes d'exploitation (iOS, Android) utilisent des mécanismes stricts de détection de Captive Portal. Si le Walled Garden bloque les CDNs requis ou si la redirection repose sur des certificats SSL invalides, l'OS interrompra la connexion. Une configuration précise de l'ACL est essentielle pour une expérience utilisateur fluide.

Questions d'entraînement

Q1. Vous avez configuré le SSID Invité et l'ACL Walled Garden sur iMaster NCE-Campus. Lorsque vous testez la connexion, votre téléphone détecte le Captive Portal, mais l'écran reste vide. Quelle est la cause la plus probable ?

Conseil : Considérez ce dont l'appareil a besoin pour charger une page web moderne hébergée sur une plateforme cloud.

Voir la réponse type

L'ACL Walled Garden manque probablement de règles d'autorisation pour les domaines requis. Plus précisément, le DNS (UDP 53) doit être autorisé, ainsi que l'accès HTTPS aux domaines du portail de Purple et à tous les réseaux de diffusion de contenu (CDN) hébergeant les ressources de la page. Si la connexion via les réseaux sociaux est activée, ces points de terminaison API spécifiques doivent également être autorisés avant l'authentification.

Q2. Un utilisateur de votre réseau PPSK se plaint de ne pas pouvoir accéder à Internet. Vous vérifiez les journaux d'iMaster NCE-Campus et constatez que Purple a renvoyé un message RADIUS Access-Accept avec l'attribut Tunnel-Private-Group-ID défini sur 40. Cependant, l'appareil client a une adresse IP en 169.254.x.x. Quelle est l'erreur de configuration ?

Conseil : L'authentification a réussi, mais le routage réseau a échoué à la périphérie.

Voir la réponse type

Le port du commutateur connectant le point d'accès Huawei AirEngine au réseau n'est pas configuré pour acheminer le VLAN 40 en mode trunk. Bien que Purple ait autorisé l'utilisateur avec succès et que le contrôleur ait ordonné au point d'accès de marquer le trafic avec le VLAN 40, le commutateur en amont a rejeté les paquets car le VLAN n'est pas autorisé sur le trunk. Vous devez ajouter le VLAN 40 à la liste des VLAN autorisés (allow-pass) sur le trunk du commutateur d'accès.

Q3. Vous migrez d'un contrôleur hérité vers Huawei iMaster NCE-Campus. Vous configurez le modèle de serveur RADIUS exactement comme il l'était sur l'ancien système, mais toutes les demandes d'authentification échouent silencieusement. Que devez-vous vérifier en premier ?

Conseil : Les échecs silencieux dans RADIUS indiquent généralement une incompatibilité cryptographique.

Voir la réponse type

Vérifiez le secret partagé (Shared Secret) RADIUS. Si le secret configuré dans iMaster NCE-Campus ne correspond pas parfaitement au secret du tableau de bord Purple, les paquets RADIUS ne peuvent pas être déchiffrés, ce qui entraîne des échecs silencieux ou des messages Access-Reject sans code d'erreur clair. Assurez-vous qu'il n'y a pas d'espaces superflus lors de la copie du secret.

Continuer la lecture de cette série

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Lire le guide →

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Lire le guide →

Intégration des points d'accès Grandstream GWN avec Purple WiFi

Ce guide de référence technique officiel détaille comment intégrer les points d'accès Grandstream GWN avec le Guest WiFi de Purple et sa plateforme d'analyse. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage dynamique des VLAN, et la segmentation PPSK multi-tenant - offrant ainsi des instructions étape par étape directement exploitables pour les MSP et les équipes informatiques déployant du WiFi invités et personnel à grande échelle.

Lire le guide →