Passer au contenu principal
Français

Intégration de SonicWall TZ et SonicWave avec Purple WiFi

Cette référence technique détaille l'intégration des pare-feu SonicWall TZ et des points d'accès SonicWave avec la plateforme Purple WiFi. Elle fournit des étapes de configuration concrètes pour la redirection vers le Captive Portal, les exceptions de walled garden, l'authentification 802.1X et le routage VLAN dynamique à l'aide de clés pré-partagées privées (PPSK).

📖 6 min de lecture📝 1,263 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
INTÉGRATION DE SONICWALL TZ ET SONICWAVE AVEC PURPLE WIFI Plateforme d'intelligence Purple WiFi - Série de briefings techniques Durée : Environ 10 minutes Voix : Anglais britannique, ton de consultant senior - confiant, conversationnel, autoritaire --- SEGMENT 1 : INTRODUCTION ET CONTEXTE (environ 1 minute) Bienvenue dans la série de briefings techniques de Purple. Aujourd'hui, nous abordons l'une des intégrations les plus complexes sur le plan technique dans le domaine du WiFi d'entreprise : les pare-feu SonicWall TZ et les points d'accès SonicWave, déployés aux côtés de Purple pour l'authentification des invités, le contrôle d'accès du personnel et l'isolation réseau multi-locataire. Si vous êtes ingénieur en sécurité informatique ou MSP gérant des sites (hôtels, chaînes de magasins, centres de conférences ou complexes polyvalents), ce briefing est pour vous. Nous allons passer rapidement en revue l'architecture, les étapes de configuration et les points de friction fréquents lors des déploiements. SonicWall est un choix solide sur le marché des PME et des entreprises de taille moyenne. Les pare-feu de la série TZ sont largement déployés, et les points d'accès SonicWave s'intègrent nativement via SonicOS et le Wireless Network Manager. Lorsque vous ajoutez Purple par-dessus, vous bénéficiez d'une couche WiFi invité gérée dans le cloud avec des pages de connexion personnalisées, une authentification basée sur RADIUS et la capture de données de première partie, le tout sans remplacer votre infrastructure SonicWall existante. Entrons dans le vif de l'architecture. --- SEGMENT 2 : ANALYSE TECHNIQUE APPROFONDIE (environ 5 minutes) Il y a quatre cas d'usage distincts à couvrir ici, et chacun a un chemin de configuration différent. Le WiFi invité avec redirection vers le Captive Portal. Les exceptions de walled garden. Le WiFi personnel sécurisé à l'aide de 802.1X. Et l'isolation multi-locataire à l'aide des clés pré-partagées privées (PPSK) de SonicWall avec routage VLAN dynamique. Commençons par le WiFi invité et le Captive Portal de SonicWall. SonicOS utilise un mécanisme appelé Lightweight Hotspot Messaging (LHM) pour gérer les redirections vers les captive portals externes. Lorsqu'un invité se connecte à votre SSID invité et ouvre un navigateur, le SonicWall intercepte cette requête HTTP et la redirige vers l'URL de la page de connexion de Purple. L'invité s'authentifie sur la plateforme de Purple (via une connexion sociale, un e-mail ou un simple clic) et Purple renvoie une autorisation LHM au SonicWall sur le port TCP 4043. Le SonicWall ouvre alors l'accès Internet pour l'adresse MAC de cet appareil. La configuration dans SonicOS 7.x fonctionne comme suit. Tout d'abord, accédez à Object, puis Match Objects, puis Zones. Modifiez la zone attribuée à votre WiFi invité (généralement un WLAN ou une zone personnalisée). Sous Guest Services, activez à la fois "Enable Guest Services" et "External Guest Authentication". Allez ensuite dans Configure, Guest Services, General. Définissez le Client Redirect Protocol sur HTTP. Saisissez le nom d'hôte du portail de Purple comme adresse de serveur web (c'est-à-dire portal.purple.ai). Définissez le chemin de redirection vers l'URL de la page de connexion spécifique de votre site, que Purple fournit dans le tableau de bord du site. Le port est 4043. Dans l'onglet Auth Pages, définissez l'URL de connexion sur l'URL du portail externe de Purple. Définissez l'URL de déconnexion si vous souhaitez gérer la fin de session. Dans l'onglet Advanced, activez "Allow unauthenticated users to access HTTPS sites" uniquement si vous devez prendre en charge des appareils privilégiant le protocole HTTPS, mais sachez que cela affaiblit l'application de la redirection. Une fois enregistrée, SonicOS crée automatiquement une politique NAT et une règle d'accès WAN-to-WAN autorisant le port TCP 4043. Ne supprimez pas ces règles générées automatiquement. Ce sont elles qui permettent de finaliser le handshake LHM. Passons maintenant à la configuration du walled garden. Avant qu'un invité ne s'authentifie, son appareil doit pouvoir accéder à certains domaines pour que la page de connexion fonctionne. La plateforme de Purple dépend de ses propres endpoints CDN et API. Les tests de détection de Captive Portal du système d'exploitation (captive.apple.com pour les appareils iOS, connectivitycheck.gstatic.com pour Android et msftconnecttest.com pour Windows) doivent tous être autorisés. Si vous proposez la connexion via les réseaux sociaux, ajoutez accounts.google.com, oauth2.googleapis.com, apis.google.com et gstatic.com pour Google. Ajoutez www.facebook.com, graph.facebook.com, connect.facebook.net et le domaine CDN fbcdn.net si vous proposez la connexion via Facebook. Dans SonicOS, ajoutez-les en tant qu'objets d'adresse FQDN sous Object, Match Objects, Addresses. Créez ensuite des règles d'accès dans la zone invité qui permettent aux appareils non authentifiés d'atteindre ces FQDN. Utilisez la résolution DNS dynamique (SonicOS résout les objets FQDN à intervalles réguliers) plutôt que des entrées IP statiques, qui deviendront obsolètes à mesure que les plages d'adresses IP des CDN changent. Passons au WiFi personnel sécurisé avec 802.1X. C'est ici que les points d'accès SonicWave et le serveur RADIUS de Purple collaborent. Le point d'accès SonicWave agit comme authentificateur dans l'échange 802.1X. Le demandeur (supplicant) est l'appareil du personnel. Le serveur RADIUS de Purple est le serveur d'authentification. La méthode EAP que vous choisissez dépend de votre fournisseur d'identité. Si vous utilisez Microsoft Entra ID ou Okta, PEAP-MSCHAPv2 est le choix le plus courant car il fonctionne avec des identifiants de type nom d'utilisateur et mot de passe. Si vous avez déployé des certificats d'appareil (ce qui est l'approche recommandée pour les appareils gérés), utilisez EAP-TLS. Dans le Wireless Network Manager, accédez à Policies, Policy Hierarchy, sélectionnez votre politique de point d'accès et cliquez sur l'onglet 802.1X. Saisissez l'adresse IP du serveur RADIUS de Purple (disponible dans votre tableau de bord de site Purple sous la section des paramètres RADIUS). Le secret partagé est généré par Purple et doit correspondre exactement des deux côtés. Définissez le port d'authentification sur 1812 et le port de comptabilisation (accounting) sur 1813. Pour les paramètres EAP, sélectionnez la méthode qui correspond à la configuration de votre fournisseur d'identité. Du côté de Purple, créez une politique RADIUS pour l'authentification du personnel. Mappez le SSID du personnel sur un VLAN spécifique (par exemple, le VLAN 200 pour le personnel). Le serveur RADIUS de Purple renvoie l'attribution du VLAN à l'aide de trois attributs standards : Tunnel-Type défini sur VLAN, Tunnel-Medium-Type défini sur 802 et Tunnel-Private-Group-ID défini sur l'ID de VLAN sous forme de chaîne (donc "200" pour le VLAN 200). Le pare-feu SonicWall et le point d'accès SonicWave respectent ces attributs et placent automatiquement l'appareil du personnel authentifié dans le bon VLAN. À présent, le cas d'usage le plus intéressant sur le plan architectural : le PPSK et l'isolation multi-locataire. Les clés pré-partagées privées (PPSK) vous permettent d'exploiter un seul SSID et d'attribuer à chaque locataire, résident ou groupe d'utilisateurs une phrase de passe unique. Lorsqu'un appareil se connecte à l'aide d'un PPSK spécifique, le point d'accès SonicWave envoie cette clé au serveur RADIUS de Purple pour validation. Purple recherche la clé, identifie le locataire ou le groupe d'utilisateurs associé et renvoie l'attribution de VLAN appropriée via l'attribut Tunnel-Private-Group-ID. Le SonicWall oriente ensuite cet appareil vers le bon VLAN, complètement isolé des autres locataires sur le même SSID. C'est la mise en pratique de l'Identity-Based Networking. Vous ne gérez pas des SSID par locataire. Vous gérez des identités par locataire. Dans un complexe polyvalent comprenant dix commerces, un seul SSID est diffusé dans tout le bâtiment. Chaque locataire obtient son propre PPSK. Chaque PPSK est mappé sur un VLAN et un sous-réseau dédiés. Les appareils du locataire A ne voient jamais le trafic du locataire B, même s'ils partagent les mêmes points d'accès physiques. La configuration du PPSK dans SonicOS nécessite le mode PPSK basé sur RADIUS sur le SSID. Dans le Wireless Network Manager, modifiez le SSID, définissez le mode de sécurité sur WPA2-Enterprise avec PPSK et orientez le serveur RADIUS vers Purple. Purple gère la table de mappage PPSK-vers-VLAN de manière centralisée. Lorsque vous ajoutez un nouveau locataire, vous créez un nouveau PPSK dans Purple, lui attribuez un VLAN, et la modification se propage à tous les points d'accès SonicWave de ce site sans toucher à la configuration du pare-feu. --- SEGMENT 3 : RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER (environ 2 minutes) Laissez-moi vous présenter les trois problèmes les plus fréquents lors des déploiements de SonicWall et Purple. Premièrement : le port LHM. Le port TCP 4043 doit être ouvert depuis le WAN vers l'interface WAN du SonicWall. Si votre FAI ou votre pare-feu en amont bloque ce port, le handshake d'autorisation LHM ne se finalise jamais, et les invités restent bloqués sur la page de connexion après s'être authentifiés. Ils voient une connexion réussie du côté de Purple, mais le SonicWall ne reçoit jamais le signal d'autorisation. Testez cela avec une vérification telnet ou curl sur le port 4043 depuis une IP externe avant la mise en service. Deuxièmement : le délai de résolution des objets FQDN. SonicOS résout les objets d'adresse FQDN au démarrage, puis à un intervalle configurable. Si vous ajoutez un nouveau domaine de walled garden et que la résolution n'a pas encore été actualisée, les appareils non authentifiés ne pourront pas l'atteindre. Forcez une actualisation manuelle après avoir ajouté de nouveaux objets FQDN, ou définissez l'intervalle d'actualisation DNS sur 60 secondes dans les déploiements à fort trafic. Troisièmement : la configuration des sous-interfaces VLAN. L'attribution dynamique de VLAN via RADIUS ne fonctionne que si les VLAN cibles existent en tant que sous-interfaces sur le SonicWall avant que le premier appareil ne s'authentifie. Si une réponse RADIUS renvoie le Tunnel-Private-Group-ID 110 mais que le VLAN 110 n'existe pas en tant que sous-interface sur le SonicWall, l'appareil est soit déconnecté, soit basculé sur le VLAN par défaut. Créez et testez toutes les sous-interfaces VLAN avant d'activer l'attribution de VLAN par RADIUS. Pour les MSP gérant plusieurs sites, le tableau de bord cloud de Purple vous permet de gérer de manière centralisée les politiques RADIUS, les tables PPSK et les configurations de pages de connexion. Vous pouvez déployer des modifications de configuration sur tous les sites à partir d'une interface unique. C'est l'avantage opérationnel d'une approche de superposition cloud (cloud overlay) : le matériel SonicWall reste en place, et Purple gère la couche d'identité et de politique au-dessus. --- SEGMENT 4 : QUESTIONS-RÉPONSES RAPIDES (environ 1 minute) Quelques questions qui reviennent régulièrement. "Puis-je utiliser des points d'accès SonicWave en mode autonome avec Purple ?" Oui, mais vous perdez certaines fonctionnalités. En mode autonome, les points d'accès SonicWave gèrent localement leur propre configuration RADIUS. Vous pouvez toujours les orienter vers le serveur RADIUS de Purple pour le 802.1X. Mais pour le PPSK avec attribution dynamique de VLAN, vous avez besoin du SonicWall TZ comme proxy RADIUS ou du Wireless Network Manager pour gérer la politique des points d'accès de manière centralisée. "Est-ce que Purple prend en charge le WPA3 sur SonicWave ?" La prise en charge du WPA3 sur SonicWave dépend de la version du firmware et du modèle de point d'accès. Les points d'accès de la série SonicWave 600 prennent en charge le WPA3. Pour les cas d'usage de Captive Portal, le WPA3 avec chiffrement sans fil opportuniste (OWE) est compatible avec le flux de redirection LHM de Purple, mais effectuez des tests sur votre version spécifique de firmware avant de déployer à grande échelle. "Comment Purple gère-t-il le GDPR pour les données des invités collectées via la page de connexion ?" Purple est certifié ISO 27001, conforme au GDPR et certifié Cyber Essentials. Le consentement est recueilli sur la page de connexion grâce à des cases à cocher d'acceptation configurables. Purple stocke les données de première partie conformément à votre politique de conservation des données. Les invités peuvent accéder à leurs données et les supprimer via le portail en libre-service de Purple. "Quels attributs RADIUS Purple renvoie-t-il pour l'attribution dynamique de VLAN ?" Trois attributs : Tunnel-Type avec la valeur VLAN, Tunnel-Medium-Type avec la valeur 802 et Tunnel-Private-Group-ID avec l'ID de VLAN sous forme de chaîne. Ce sont les attributs standards de la RFC 2868 pris en charge par SonicOS et SonicWave. --- SEGMENT 5 : RÉSUMÉ ET PROCHAINES ÉTAPES (environ 1 minute) En résumé. Les pare-feu SonicWall TZ et les points d'accès SonicWave s'intègrent à Purple via deux mécanismes principaux : le LHM pour la redirection vers le Captive Portal des invités, et le RADIUS pour l'authentification du personnel en 802.1X et l'isolation multi-locataire basée sur le PPSK. Les étapes clés de la configuration sont : activer l'authentification externe des invités (External Guest Authentication) sur la zone invité, configurer l'URL du portail Purple sur le port 4043, créer vos objets d'adresse FQDN pour le walled garden, configurer le RADIUS sur la politique des points d'accès SonicWave dans le Wireless Network Manager, et créer vos sous-interfaces VLAN sur le SonicWall avant d'activer l'attribution dynamique de VLAN. Pour les déploiements multi-locataires, le PPSK avec routage VLAN basé sur RADIUS est l'architecture à privilégier. Un seul SSID, un seul ensemble de points d'accès, une isolation complète des locataires via une attribution de VLAN basée sur l'identité. Si vous planifiez un déploiement ou examinez une installation existante, l'équipe technique de Purple peut vous fournir des fichiers de configuration RADIUS spécifiques à votre site et des listes de domaines pour le walled garden. La plateforme Purple prend en charge 80 000 sites actifs et a traité 440 millions de connexions en 2024 ; les modèles d'intégration que nous avons abordés aujourd'hui ont fait leurs preuves à grande échelle. Merci pour votre écoute. Le guide écrit complet, comprenant des tableaux de configuration étape par étape et des diagrammes d'architecture Mermaid, est disponible sur le site web de Purple. --- FIN DU SCRIPT

header_image.png

Résumé opérationnel

L'intégration de l'infrastructure réseau SonicWall avec la superposition cloud de Purple offre un contrôle d'accès de classe entreprise ainsi qu'une capture sophistiquée de données de première partie. Ce guide couvre la mise en œuvre technique de quatre cas d'usage distincts : le WiFi invité avec redirection vers le Captive Portal, les exceptions de walled garden, le WiFi personnel sécurisé à l'aide de 802.1X, et l'isolation multi-locataire à l'aide des clés pré-partagées privées (PPSK) de SonicWall avec routage VLAN dynamique.

Nous traitons 440 millions de connexions par an sur plus de 80 000 sites actifs. L'architecture détaillée ci-dessous a fait ses preuves à grande échelle dans les secteurs de l'hôtellerie, du commerce de détail et du secteur public. Elle vous permet de conserver votre matériel SonicWall existant tout en déléguant la gestion des identités, l'hébergement des pages de connexion et l'authentification RADIUS au cloud de Purple.

Analyse technique approfondie

L'intégration repose sur deux mécanismes principaux : le Lightweight Hotspot Messaging (LHM) pour la redirection vers le Captive Portal, et le RADIUS pour l'authentification 802.1X et PPSK.

Redirection vers le Captive Portal via LHM

SonicOS utilise le LHM pour gérer les redirections vers les captive portals externes. Lorsqu'un appareil invité non authentifié tente d'accéder à Internet, le pare-feu SonicWall TZ intercepte la requête HTTP et redirige le client vers la page de connexion hébergée de Purple. L'invité finalise le flux d'authentification (par exemple, connexion sociale, formulaire à remplir). Purple envoie ensuite un paquet d'autorisation LHM au SonicWall sur le port TCP 4043. Dès la réception de ce paquet, le SonicWall met à jour sa liste de contrôle d'accès interne, autorisant l'adresse MAC de l'appareil à accéder à Internet.

architecture_overview.png

Architecture du walled garden

Avant l'authentification, l'appareil invité est maintenu dans une zone restreinte. Le walled garden est l'ensemble spécifique de noms de domaine complets (FQDN) auxquels l'appareil est autorisé à accéder pour afficher la page de connexion et finaliser le processus d'authentification. Cela inclut le CDN de Purple (cdn.purple.ai), l'API d'authentification (api.purple.ai) et les domaines requis par les fournisseurs d'identité tiers comme Google Workspace, Microsoft Entra ID et Meta.

SonicOS implémente les walled gardens à l'aide d'objets d'adresse FQDN. Le pare-feu effectue une résolution DNS dynamique sur ces objets, mettant à jour automatiquement les plages d'adresses IP autorisées. C'est un point critique car les fournisseurs d'identité et les CDN utilisent une allocation d'adresses IP dynamiques ; les listes blanches d'adresses IP statiques finiront inévitablement par échouer.

WiFi personnel sécurisé et 802.1X

Pour les réseaux du personnel, les points d'accès SonicWave agissent comme authentificateurs 802.1X, relayant les requêtes vers le serveur RADIUS de Purple. Nous recommandons EAP-TLS pour les appareils gérés utilisant des certificats, ou PEAP-MSCHAPv2 pour l'authentification par nom d'utilisateur/mot de passe auprès d'annuaires comme Microsoft Entra ID. Une fois l'authentification réussie, Purple renvoie les attributs RADIUS standards (Tunnel-Type, Tunnel-Medium-Type et Tunnel-Private-Group-ID) pour attribuer dynamiquement l'appareil au bon VLAN du personnel.

Isolation multi-locataire avec PPSK

Les réseaux basés sur l'identité (Identity-Based Networks) éliminent le besoin de déploiements complexes à SSID multiples. Grâce au PPSK de SonicWall, un seul SSID (par exemple, "Multi-Tenant-WiFi") est diffusé sur l'ensemble du site. Chaque locataire reçoit une phrase de passe unique. Lorsqu'un appareil s'associe à l'aide d'un PPSK spécifique, le point d'accès SonicWave valide la clé auprès du serveur RADIUS de Purple. Purple identifie le locataire et renvoie l'ID de VLAN associé. Le SonicWall oriente ensuite le trafic vers le VLAN isolé du locataire.

ppsk_vlan_diagram.png

Guide de mise en œuvre

1. Configuration du Captive Portal de SonicWall (LHM)

Pour configurer le Captive Portal externe sur un SonicWall de la série TZ exécutant SonicOS 7.x :

  1. Accédez à Object > Match Objects > Zones. Modifiez la zone attribuée à votre réseau invité (par exemple, WLAN).
  2. Sous l'onglet Guest Services, activez Enable Guest Services et External Guest Authentication.
  3. Accédez à Configure > Guest Services > General.
  4. Définissez le Client Redirect Protocol sur HTTP.
  5. Définissez l'adresse du Web Server sur portal.purple.ai.
  6. Définissez le Port sur 4043.
  7. Sous l'onglet Auth Pages, définissez l'Login URL sur l'URL spécifique de la page de connexion fournie dans votre tableau de bord de site Purple.
  8. Enregistrez la configuration. SonicOS générera automatiquement une politique NAT et une règle d'accès WAN-to-WAN pour autoriser le port TCP 4043. Ne modifiez pas ces règles générées automatiquement.

2. Création du walled garden

Créez des objets d'adresse FQDN pour les domaines requis et ajoutez-les à un groupe d'adresses. Appliquez ce groupe à une règle d'autorisation dans votre zone invité.

Domaines Purple requis :

  • *.purple.ai
  • *.purpleportal.net

Tests de Captive Portal du système d'exploitation :

  • captive.apple.com (iOS/macOS)
  • connectivitycheck.gstatic.com (Android)
  • msftconnecttest.com (Windows)

Domaines de connexion sociale courants (Google) :

  • accounts.google.com
  • oauth2.googleapis.com
  • apis.google.com
  • *.gstatic.com

3. Configuration de RADIUS pour les points d'accès SonicWave

Pour intégrer les points d'accès SonicWave au serveur RADIUS de Purple via le Wireless Network Manager :

  1. Accédez à Policies > Policy Hierarchy et sélectionnez votre politique de point d'accès (AP Policy).
  2. Sélectionnez l'onglet 802.1X.
  3. Saisissez l'adresse IP du serveur RADIUS de Purple (disponible dans votre tableau de bord Purple).
  4. Saisissez le secret partagé généré par Purple.
  5. Définissez l'Authentication Port sur 1812 et l'Accounting Port sur 1813.
  6. Sélectionnez la méthode EAP appropriée en fonction de votre fournisseur d'identité.

4. Configuration du routage VLAN dynamique

Assurez-vous que les VLAN cibles existent en tant que sous-interfaces sur le pare-feu SonicWall TZ avant d'activer l'attribution dynamique.

Dans le tableau de bord Purple, associez le groupe d'utilisateurs ou le PPSK à l'ID de VLAN cible. Purple renverra les attributs suivants en cas d'authentification réussie :

  • Tunnel-Type = VLAN (13)
  • Tunnel-Medium-Type = 802 (6)
  • Tunnel-Private-Group-ID = [VLAN ID] (par ex., "110")

Bonnes pratiques

  • Tester la visibilité du port LHM : Le port TCP 4043 doit être accessible depuis Internet vers l'interface WAN de SonicWall. Testez cela à l'aide d'un scanner de ports externe avant la mise en service. Si le FAI bloque ce port, le paquet d'autorisation sera rejeté et les invités resteront bloqués sur la page de connexion.
  • Pré-provisionner les sous-interfaces VLAN : Le routage dynamique des VLAN échouera silencieusement si la sous-interface VLAN cible n'est pas configurée sur le SonicWall avant l'événement d'authentification. L'appareil basculera sur le VLAN non étiqueté par défaut.
  • Forcer l'OAuth via le Web : Assurez-vous que la configuration de votre page de connexion force les flux OAuth basés sur le Web. Les liens profonds vers des applications de réseaux sociaux natives (comme l'application Facebook iOS) interrompent souvent la séquence du Captive Portal car le trafic de l'application native est bloqué par le walled garden.
  • Optimiser les intervalles de rafraîchissement DNS : SonicOS résout périodiquement les objets FQDN. Dans les environnements à forte rotation comme les stades ou les hubs de transport, définissez l'intervalle de rafraîchissement DNS pour les objets du walled garden à 60 secondes afin de garantir un suivi précis des modifications d'IP du CDN.

Dépannage et atténuation des risques

Symptôme : L'invité termine sa connexion sur la page de connexion mais n'a pas d'accès Internet. Cause : Le paquet d'autorisation LHM sur le port TCP 4043 n'atteint pas le SonicWall. Résolution : Vérifiez que la règle d'accès WAN-to-WAN générée automatiquement existe. Vérifiez si les routeurs du FAI en amont bloquent le port. Assurez-vous que l'adresse IP WAN du SonicWall est correctement enregistrée dans le tableau de bord Purple.

Symptôme : La page de connexion ne se charge pas, ou les boutons de connexion sociale renvoient des erreurs CORS. Cause : Configuration incomplète du walled garden. Résolution : Connectez un appareil de test dans un état non authentifié. Utilisez les outils de développement du navigateur (onglet Réseau) pour identifier les requêtes HTTPS bloquées. Ajoutez les domaines défaillants en tant qu'objets d'adresse FQDN dans SonicOS.

Symptôme : Les appareils du personnel s'authentifient via 802.1X mais reçoivent une adresse IP du VLAN par défaut au lieu du VLAN attribué. Cause : La sous-interface VLAN cible n'existe pas sur le SonicWall, ou les attributs RADIUS sont mal formés. Résolution : Vérifiez que la sous-interface VLAN est active. Vérifiez les journaux RADIUS de Purple pour confirmer que Tunnel-Private-Group-ID est envoyé sous forme de chaîne correspondant à l'ID de VLAN.

ROI et impact commercial

Le déploiement d'une infrastructure SonicWall avec Purple transforme un centre de coûts réseau standard en un actif commercial mesurable.

Pour une chaîne de vente au détail de 200 points de vente, le passage de clés pré-partagées génériques à un Captive Portal personnalisé génère généralement une augmentation de 40 % des profils clients connus en l'espace de six mois. Ces données de première partie s'intègrent directement dans les systèmes CRM, alimentant des campagnes marketing ciblées et augmentant la fréquentation récurrente.

Dans les environnements multi-locataires comme les espaces de coworking ou les résidences étudiantes, le PPSK avec routage dynamique des VLAN élimine les coûts opérationnels liés à la gestion de matériel dédié par locataire. Vous déployez un seul réseau physique et le segmentez logiquement par identité. Cela réduit les dépenses d'investissement en matériel jusqu'à 60 % tout en maintenant une isolation réseau stricte et conforme à la norme ISO 27001.

Définitions clés

Lightweight Hotspot Messaging (LHM)

Un protocole utilisé par SonicWall pour communiquer avec des captive portals externes. Il gère la redirection et le handshake d'autorisation.

Requis pour intégrer SonicOS avec des plateformes de WiFi invité gérées dans le cloud comme Purple.

Walled Garden

Un ensemble spécifique de domaines ou d'adresses IP auxquels les appareils non authentifiés sont autorisés à accéder.

Crucial pour permettre aux appareils invités de charger la page de connexion, d'accéder aux CDN et de finaliser les flux OAuth de connexion sociale avant d'obtenir un accès complet à Internet.

Private Pre-Shared Key (PPSK)

Une méthode de sécurité dans laquelle plusieurs phrases de passe uniques sont valides sur un seul SSID, chaque phrase de passe étant liée à un utilisateur ou à une politique spécifique.

Utilisé dans les environnements multi-locataires pour isoler le trafic sans diffuser plusieurs SSID.

Captive Network Assistant (CNA)

Le mécanisme intégré au système d'exploitation (sur iOS, Android, Windows) qui détecte un Captive Portal et ouvre automatiquement une fenêtre de navigation limitée pour l'authentification.

Si les domaines de test du système d'exploitation (par exemple, captive.apple.com) ne figurent pas dans le walled garden, le CNA ne se déclenchera pas et les invités penseront que le WiFi ne fonctionne pas.

Dynamic VLAN Steering

Le processus d'attribution d'un appareil à un VLAN spécifique en fonction de son identité ou de ses identifiants, plutôt que du SSID auquel il s'est connecté.

Géré par le serveur RADIUS de Purple qui renvoie l'attribut Tunnel-Private-Group-ID au SonicWall.

FQDN Address Object

Un objet de pare-feu basé sur un nom de domaine complet (FQDN) plutôt que sur une adresse IP statique.

SonicOS résout ces objets de manière dynamique, ce qui les rend essentiels pour des configurations de walled garden robustes.

Identity-Based Network

Une architecture réseau dans laquelle les politiques d'accès et la segmentation sont appliquées en fonction de l'utilisateur ou de l'appareil authentifié, plutôt que des ports physiques ou des SSID.

Réalisé en combinant le serveur RADIUS de Purple avec le PPSK de SonicWall et le 802.1X.

Tunnel-Private-Group-ID

L'attribut RADIUS standard RFC 2868 utilisé pour spécifier l'ID de VLAN d'un appareil qui se connecte.

Doit être renvoyé par Purple sous forme de chaîne de caractères (par exemple, '100') pour indiquer au SonicWall d'orienter l'appareil.

Exemples concrets

Un hôtel de 150 chambres (Premier Inn) doit fournir un accès WiFi invité gratuit via une page de connexion et un réseau WiFi personnel sécurisé pour les appareils du personnel d'entretien. Il dispose d'un SonicWall TZ570 et de 40 points d'accès SonicWave. Comment doit-il segmenter ce trafic ?

Déployez deux SSID. SSID 1 : 'Guest-WiFi' mappé sur le VLAN 100. Configurez la zone WLAN du SonicWall pour l'authentification externe des invités (External Guest Authentication) pointant vers portal.purple.ai sur le port TCP 4043. Configurez les FQDN du walled garden pour Purple et les connexions via les réseaux sociaux. SSID 2 : 'Staff-WiFi' mappé sur le VLAN 200 à l'aide de 802.1X. Orientez la politique du point d'accès SonicWave vers le serveur RADIUS de Purple. Configurez Purple pour authentifier les appareils du personnel d'entretien via le contournement d'adresse MAC (MAB) ou PEAP-MSCHAPv2, en renvoyant l'attribut Tunnel-Private-Group-ID '200'.

Commentaire de l'examinateur : Cette approche isole strictement le trafic invité non approuvé des systèmes opérationnels. L'utilisation de Purple à la fois pour le Captive Portal et l'authentification RADIUS centralise la gestion des identités. Le MAB est adapté aux appareils sans écran (comme les chariots de nettoyage), tandis que le 802.1X sécurise les téléphones du personnel.

Un espace de coworking gère 15 entreprises différentes partageant un même bureau en open space. Ils souhaitent fournir des réseaux sécurisés et isolés pour chaque entreprise sans diffuser 15 SSID différents depuis leurs points d'accès SonicWave.

Déployez un seul SSID nommé 'Workspace-Secure' utilisant WPA2-Enterprise avec PPSK. Créez 15 sous-interfaces VLAN sur le pare-feu SonicWall TZ (par exemple, les VLAN 101 à 115). Dans le tableau de bord Purple, générez un PPSK unique pour chaque entreprise et mappez-le sur son ID de VLAN spécifique. Lorsqu'un utilisateur se connecte à l'aide du PPSK de son entreprise, le serveur RADIUS de Purple renvoie le Tunnel-Private-Group-ID correspondant, et le SonicWall oriente l'appareil vers le VLAN isolé.

Commentaire de l'examinateur : Cette conception de réseau basée sur l'identité (Identity-Based Network) évolue de manière fluide. La diffusion de 15 SSID entraînerait une surcharge importante des trames de gestion et dégraderait les performances WiFi. Le PPSK offre la sécurité d'identifiants uniques et l'isolation de VLAN dédiés sans la pénalité radiofréquence liée à la multiplication des SSID.

Questions d'entraînement

Q1. Vous avez configuré la zone invité du SonicWall pour l'authentification externe des invités (External Guest Authentication) et défini le serveur web sur portal.purple.ai. Les invités sont redirigés vers la page de connexion et parviennent à s'authentifier, mais ils n'accèdent jamais à Internet. Quelle est la cause la plus probable ?

Conseil : Pensez à la manière dont Purple indique au SonicWall que l'authentification a réussi.

Voir la réponse type

Le paquet d'autorisation LHM est bloqué. Le port TCP 4043 doit être ouvert sur l'interface WAN du SonicWall pour recevoir le signal de réussite de Purple. Vérifiez si les pare-feu en amont ou les configurations du FAI bloquent ce port.

Q2. Un établissement souhaite proposer la connexion via Facebook sur sa page de connexion. Vous ajoutez www.facebook.com au groupe d'adresses FQDN du walled garden. Les invités signalent que la page de connexion Facebook se charge, mais que la mise en page est dégradée et que le bouton de connexion ne fonctionne pas.

Conseil : Les applications web modernes chargent des ressources à partir de plusieurs domaines.

Voir la réponse type

Le walled garden est incomplet. Vous devez également autoriser les domaines qui hébergent le CSS, le JavaScript et les appels API de Facebook, en particulier graph.facebook.com, connect.facebook.net et le domaine du CDN (par exemple, *.fbcdn.net).

Q3. Vous déployez le PPSK pour un bureau multi-locataire. Vous configurez le SSID pour WPA2-Enterprise avec PPSK et orientez le serveur RADIUS vers Purple. Vous créez un PPSK dans Purple mappé sur le VLAN 50. Lorsqu'un utilisateur se connecte avec ce PPSK, il reçoit une adresse IP du VLAN 10 à la place. Pourquoi ?

Conseil : Le SonicWall doit savoir où envoyer le trafic avant que la requête RADIUS ne soit finalisée.

Voir la réponse type

Le VLAN 50 n'a pas été créé en tant que sous-interface sur le pare-feu SonicWall TZ. Le routage VLAN dynamique nécessite que le VLAN cible existe préalablement sur le pare-feu ; si ce n'est pas le cas, l'appareil bascule sur le VLAN non étiqueté par défaut (dans ce cas, le VLAN 10).

Continuer la lecture de cette série

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Lire le guide →

Allied Telesis Access Points Integration with Purple WiFi

Ce guide fournit un manuel de configuration complet pour intégrer les points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il couvre la redirection vers un Captive Portal externe, l'authentification RADIUS 802.1X et le routage dynamique des VLAN à l'aide de clés pré-partagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Lire le guide →

Grandstream GWN Access Points Integration with Purple WiFi

Ce guide de référence technique faisant autorité détaille comment intégrer les points d'accès Grandstream GWN avec la plateforme de Guest WiFi et d'analyse de Purple. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage VLAN dynamique, et la segmentation PPSK multi-tenant - fournissant des instructions pratiques, étape par étape, pour les MSP et les équipes informatiques déployant du WiFi pour les invités et le personnel à grande échelle.

Lire le guide →