Passer au contenu principal
Français

Intégration des Access Points EnGenius Cloud avec Purple WiFi

Cette référence technique détaille l'intégration étape par étape des Access Points EnGenius Cloud et des commutateurs ECS avec la plateforme de WiFi invité de Purple. Elle couvre la redirection vers le Captive Portal invité via une page de splash externe, la configuration du Walled Garden, le WiFi sécurisé pour le personnel utilisant l'IEEE 802.1X, et l'isolation réseau multi-locataire avec EnGenius MyPSK et l'attribution dynamique de VLAN. Les installateurs informatiques et les architectes réseau y trouveront des séquences de configuration concrètes, des études de cas réelles et un cadre de dépannage pour déployer Purple sur des parcs de matériel EnGenius.

📖 9 min de lecture📝 2,239 mots🔧 2 exemples concrets3 questions d'entraînement📚 10 définitions clés

Écouter ce guide

Voir la transcription du podcast
SCRIPT DE PODCAST : Intégration des Access Points EnGenius Cloud avec Purple WiFi Plateforme d'intelligence Purple WiFi - Série de briefings techniques Durée : Environ 10 minutes Voix : Anglais britannique, ton de consultant senior - confiant, conversationnel, faisant autorité [INTRO - 1 MINUTE] Bienvenue dans la série de briefings techniques de Purple. Aujourd'hui, nous abordons un sujet qui revient régulièrement lors des déploiements en entreprise : l'intégration des access points EnGenius Cloud avec la plateforme de guest WiFi de Purple. Si vous gérez un parc EnGenius, qu'il s'agisse d'access points de la série ECW dans un hôtel, une chaîne de magasins ou un immeuble de bureaux multi-locataires, et que vous souhaitez ajouter un Captive Portal personnalisé, collecter des données clients de première main et appliquer une segmentation réseau rigoureuse, ce briefing est fait pour vous. Dans les dix prochaines minutes, je vais vous guider à travers les quatre grands domaines de configuration : la redirection vers le Captive Portal invité, la configuration du walled garden, le WiFi sécurisé pour le personnel via 802.1X, et l'isolation multi-locataire à l'aide d'EnGenius MyPSK avec attribution dynamique de VLAN. À la fin, vous aurez une vision claire de ce qu'il faut configurer, dans quel ordre, et des pièges courants à éviter. C'est parti. [ZOOM TECHNIQUE - 5 MINUTES] Commençons par le Captive Portal invité, le point de départ le plus courant pour tout gestionnaire de site. EnGenius Cloud prend en charge nativement les splash pages externes. Cela signifie qu'au lieu d'héberger une page de connexion basique sur l'access point lui-même, vous redirigez les invités non authentifiés vers le portail hébergé sur le cloud de Purple. C'est là que résident l'image de marque, la capture de données, la gestion des consentements et les analyses. Voici la séquence de configuration dans EnGenius Cloud. Connectez-vous à votre tableau de bord EnGenius Cloud et accédez à Configure, puis SSID. Sélectionnez votre SSID invité. Sous l'onglet Wireless, définissez le type de sécurité sur Open ou WPA2 PSK, selon vos préférences. Le mode Open est la norme pour la plupart des déploiements de WiFi invités. Passez ensuite à l'onglet Captive Portal. Activez le Captive Portal et définissez l'Authentication Type sur Custom RADIUS. C'est le paramètre clé. Il indique à l'access point de transférer les demandes d'authentification à un serveur RADIUS externe, qui est en l'occurrence le point de terminaison RADIUS cloud de Purple. Saisissez maintenant les détails RADIUS de Purple. L'adresse IP du serveur RADIUS principal est fournie dans votre tableau de bord Purple sous Hardware Configuration. Le port d'authentification est UDP 1812. Le port d'accounting est UDP 1813. Saisissez le secret partagé (shared secret). Purple le génère pour vous, et il doit comporter au moins 22 caractères mélangeant majuscules, minuscules, chiffres et symboles. Définissez l'identifiant NAS pour qu'il corresponde au nom de votre site ou à un identifiant unique que vous avez défini dans Purple. Ensuite, passez à l'onglet Splash Page. Sélectionnez URL de Splash Page externe et saisissez l'URL du portail Purple. Il s'agit de l'URL fournie par Purple pour votre site spécifique. Lorsqu'un visiteur se connecte au SSID et ouvre un navigateur, le point d'accès intercepte la requête et le redirige vers cette URL, en transmettant des paramètres tels que l'adresse MAC du client, l'adresse MAC du point d'accès et l'URL d'origine que le visiteur tentait d'atteindre. Passons maintenant au walled garden. Il s'agit de la liste des domaines et des adresses IP que les visiteurs peuvent atteindre avant de s'authentifier. Sans cela, le portail Purple lui-même ne peut pas se charger, car le navigateur du visiteur ne peut pas accéder aux serveurs de Purple. Dans EnGenius Cloud, le walled garden se trouve sous Captive Portal, puis Advanced Settings, puis Walled Garden. Vous devez ajouter le domaine du portail Purple, les points de terminaison du CDN de Purple et les points de terminaison de détection du Captive Portal du système d'exploitation. Pour les appareils Apple, il s'agit de captive.apple.com. Pour Android, connectivitycheck.gstatic.com. Pour Windows, msftconnecttest.com. Si vous en oubliez un seul, les visiteurs utilisant ces plateformes ne verront pas du tout le portail. Si vous proposez la connexion via les réseaux sociaux avec Google ou Facebook, vous devez également autoriser les points de terminaison OAuth de ces fournisseurs. Google nécessite au minimum accounts.google.com, oauth2.googleapis.com et apis.google.com. Facebook requiert www.facebook.com, graph.facebook.com et connect.facebook.net. La documentation d'assistance de Purple fournit une liste à jour du walled garden pour chaque méthode d'authentification. Utilisez-la comme référence, car ces domaines sont amenés à changer. Passons maintenant à la sécurisation du WiFi du personnel à l'aide de la norme 802.1X. Il s'agit d'un SSID distinct. Le type de sécurité ici est WPA2 Enterprise ou WPA3 Enterprise. Dans EnGenius Cloud, sous l'onglet SSID Wireless, sélectionnez WPA2 Enterprise, puis choisissez Custom RADIUS. Saisissez les mêmes informations de serveur RADIUS. Le point de terminaison RADIUS de Purple, le port 1812 et le secret partagé. La différence avec la configuration visiteur est qu'il n'y a pas de Captive Portal ici. Les appareils du personnel s'authentifient de manière transparente à l'aide du protocole IEEE 802.1X. L'appareil présente un certificat ou un identifiant et un mot de passe au serveur RADIUS, qui les valide et renvoie un message Access-Accept ainsi que des attributs d'attribution de VLAN. Les attributs RADIUS qui pilotent l'attribution dynamique de VLAN sont Tunnel-Type défini sur VLAN, Tunnel-Medium-Type défini sur 802 et Tunnel-Private-Group-ID défini sur le numéro du VLAN. Ainsi, si le VLAN de votre personnel est le VLAN 20, le serveur RADIUS renvoie la valeur 20 pour Tunnel-Private-Group-ID. Le point d'accès EnGenius lit cet attribut et place automatiquement l'appareil authentifié sur le VLAN 20. Cela signifie que vous pouvez avoir un seul SSID desservant plusieurs rôles du personnel (finance, opérations, informatique, prestataires), chacun se retrouvant sur un VLAN différent en fonction de son appartenance à un groupe d'annuaire, le tout sans aucune configuration manuelle de VLAN par appareil.Pour la méthode EAP, PEAP-MSCHAPv2 est le choix le plus courant pour les environnements utilisant Active Directory ou Microsoft Entra ID. Elle nécessite un certificat côté serveur sur le serveur RADIUS et des identifiants nom d'utilisateur/mot de passe sur le client. EAP-TLS est plus sécurisée. Elle utilise des certificats des deux côtés. Cependant, elle requiert une infrastructure PKI et un déploiement MDM pour pousser les certificats vers les appareils. Pour la plupart des exploitants de sites, PEAP-MSCHAPv2 avec une validation stricte des certificats appliquée via une stratégie de groupe ou un MDM est le choix le plus pragmatique. Passons maintenant à la partie la plus intéressante sur le plan technique : EnGenius MyPSK et l'isolation multi-locataire. MyPSK, également appelé PPSK ou Private Pre-Shared Key, résout un problème spécifique dans les environnements multi-locataires. Dans un programme immobilier locatif, un bureau équipé ou une résidence étudiante, vous souhaitez que chaque locataire ou résident dispose de son propre mot de passe WiFi unique. Mais vous ne voulez pas créer un SSID distinct pour chaque locataire. Cela génère un encombrement des fréquences radio et une surcharge de gestion. MyPSK vous permet de créer jusqu'à 500 clés pré-partagées uniques par SSID. Chaque clé est liée à un VLAN spécifique. Lorsqu'un résident se connecte en utilisant sa clé unique, le point d'accès le place automatiquement sur son VLAN désigné. Le trafic du locataire A ne touche jamais le segment réseau du locataire B. Le chiffrement est également appliqué par utilisateur. Chaque clé génère une clé maîtresse par paire (Pairwise Master Key) unique, de sorte qu'un locataire ne peut pas déchiffrer le trafic aérien d'un autre locataire, même s'ils partagent le même SSID. Dans EnGenius Cloud, vous configurez MyPSK sous les paramètres de sécurité du SSID. Sélectionnez WPA2 PSK ou WPA3 Personal, puis activez MyPSK. Vous pouvez ensuite créer des PSK individuellement ou générer automatiquement des lots allant jusqu'à 50 clés à la fois. Pour chaque PSK, vous attribuez un ID de VLAN et pouvez éventuellement définir une date d'expiration. Lorsqu'un bail prend fin ou qu'un étudiant obtient son diplôme, il vous suffit de désactiver ou de supprimer sa clé PSK. L'accès est révoqué immédiatement sans affecter les autres locataires. Pour l'intégration de Purple dans un environnement MyPSK, les locataires côté invités peuvent toujours être redirigés vers un Captive Portal sur leur VLAN. Le personnel et les locataires opérationnels contournent entièrement le portail. La segmentation VLAN garantit que les données analytiques de Purple sont correctement attribuées par segment réseau. [RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER - 2 MINUTES] Laissez-moi vous présenter la séquence de mise en œuvre que je recommande pour un premier déploiement réussi. Commencez par votre architecture VLAN avant de toucher à la configuration WiFi. Définissez le VLAN 10 pour les invités, le VLAN 20 pour le personnel, le VLAN 30 pour les locataires, ou toute autre numérotation adaptée à votre schéma existant. Configurez d'abord ces VLAN sur vos commutateurs ECS, avec les affectations appropriées de ports trunk et d'accès. Les points d'accès doivent recevoir le trafic tagué sur le port de liaison montante pour chaque VLAN que vous prévoyez d'utiliser. Configurez ensuite les SSIDs dans EnGenius Cloud dans cet ordre : le SSID invité d'abord, car c'est le plus simple. Validez la redirection du Captive Portal vers Purple avant de continuer. Configurez ensuite le SSID du personnel avec 802.1X. Testez avec un appareil connu avant de déployer sur l'ensemble du parc. Enfin, configurez MyPSK si vous avez besoin d'une isolation multi-locataire. Les pièges à éviter. Premièrement, le walled garden. C'est la cause numéro un des échecs de déploiement de Captive Portal. Si les invités ne peuvent pas accéder au portail, vérifiez d'abord le walled garden. Deuxièmement, une incompatibilité de clé secrète partagée RADIUS. La clé secrète partagée doit être identique sur la configuration EnGenius Cloud et sur la configuration du serveur RADIUS de Purple. Une différence d'un seul caractère entraîne l'échec silencieux de chaque authentification. Troisièmement, la configuration du trunk VLAN sur le commutateur. Si le port du commutateur ECS connecté au point d'accès n'est pas configuré comme un trunk transportant tous les VLANs requis, l'attribution dynamique de VLAN échouera. Quatrièmement, la validation des certificats sur les clients 802.1X. Si les appareils du personnel ne sont pas configurés pour valider le certificat du serveur RADIUS, ils sont vulnérables au vol d'identifiants via des points d'accès malveillants. Imposez cette validation via une stratégie de groupe (GPO) pour Windows et des profils MDM pour tous les autres systèmes. [Q&R RAPIDE - 1 MINUTE] Quelques questions que j'entends régulièrement sur les déploiements EnGenius et Purple. Puis-je utiliser le RADIUS d'EnGenius Cloud au lieu de celui de Purple ? Oui, pour l'authentification interne. Mais pour le WiFi invité avec les analyses et le portail de Purple, vous devez pointer vers le point de terminaison RADIUS de Purple. Les deux peuvent coexister sur des SSIDs différents. Est-ce que MyPSK fonctionne avec le WPA3 ? Oui. EnGenius prend en charge le WPA3 et le mode mixte WPA2/WPA3 avec MyPSK, de sorte que les appareils compatibles WPA3 bénéficient de l'authentification SAE tandis que les appareils plus anciens se rabattent sur le WPA2 PSK, le tout en utilisant la même clé par utilisateur. Est-ce que Purple prend en charge la comptabilité RADIUS pour les données de session ? Oui. Activez le serveur de comptabilité (accounting) dans la configuration RADIUS d'EnGenius Cloud, en pointant vers le point de terminaison de comptabilité de Purple sur le port UDP 1813. Cela permet d'alimenter les analyses de Purple en données de durée de session et de volume de données. [RÉSUMÉ ET PROCHAINES ÉTAPES - 1 MINUTE] En résumé. Les points d'accès EnGenius Cloud s'intègrent parfaitement à la plateforme WiFi invité de Purple grâce à quatre couches de configuration. La redirection du Captive Portal invité utilise un RADIUS personnalisé et une URL de page de garde externe pointant vers Purple. La liste blanche du walled garden garantit le chargement du portail avant l'authentification. Le WiFi du personnel utilise le WPA2 Entreprise avec 802.1X et l'attribution dynamique de VLAN via les attributs RADIUS. Et l'isolation multi-locataire utilise EnGenius MyPSK pour attribuer des clés uniques par utilisateur liées à des VLANs spécifiques, avec des dates d'expiration facultatives pour les accès limités dans le temps. Purple est déployé dans 80 000 sites et a traité 440 millions de connexions rien qu'en 2024. La plateforme est certifiée ISO 27001, conforme au GDPR et indépendante du matériel, ce qui explique précisément pourquoi elle fonctionne parfaitement avec EnGenius aux côtés de Cisco Meraki, HPE Aruba, Ruckus et du reste de l'écosystème de matériel d'entreprise. Si vous êtes prêt à déployer, commencez par le guide de configuration du walled garden dans la documentation d'assistance de Purple, puis procédez à la configuration du SSID dans EnGenius Cloud. Le guide complet étape par étape est disponible sur purple.ai. Merci pour votre attention.

header_image.png

Synthèse

S'appuyer sur une clé pré-partagée commune pour le WiFi d'entreprise expose les établissements à d'importants risques de sécurité et empêche la collecte de précieuses données de première main. Ce guide détaille l'intégration des points d'accès EnGenius Cloud avec la plateforme de Captive Portal Purple pour fournir des réseaux sans fil sécurisés, segmentés et mesurables dans les secteurs de l' hôtellerie , du commerce de détail et des environnements multi-locataires. En mettant en œuvre l'authentification IEEE 802.1X pour le personnel, l'attribution dynamique de VLAN via EnGenius MyPSK pour les résidents et les locataires, et un Captive Portal hébergé dans le cloud pour les invités, les équipes informatiques peuvent appliquer des contrôles d'accès stricts tout en transformant l'infrastructure sans fil en un actif de business intelligence.

Purple traite 440 millions de connexions par an dans plus de 80 000 sites actifs (données internes Purple, 2024). La plateforme est certifiée ISO 27001, conforme au GDPR et à la CCPA, et indépendante du matériel - c'est précisément pourquoi elle s'intègre parfaitement avec EnGenius aux côtés de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist et Ubiquiti UniFi. Ce guide couvre les quatre couches de configuration requises pour déployer Purple sur le matériel EnGenius Cloud : redirection vers le Captive Portal invité, configuration du Walled Garden, WiFi personnel sécurisé et isolation multi-locataire à l'aide d'EnGenius MyPSK.

Analyse technique approfondie

Aperçu de l'architecture

L'intégration entre EnGenius Cloud et Purple repose sur les protocoles RADIUS standards et la redirection HTTP. Lorsqu'un invité se connecte à un point d'accès EnGenius ECW sur un SSID avec Captive Portal activé, le point d'accès intercepte la première requête HTTP et redirige le navigateur vers la page de démarrage hébergée dans le cloud de Purple. Cette redirection transmet plusieurs paramètres au portail - notamment client_mac, ap_mac et userurl - que Purple utilise pour suivre la session et renvoyer une décision d'authentification.

Pour le personnel et les appareils opérationnels, l'architecture passe de la redirection par Captive Portal au contrôle d'accès réseau basé sur les ports IEEE 802.1X. Le point d'accès EnGenius agit en tant qu'authentificateur, transmettant les messages EAP (Extensible Authentication Protocol) au serveur RADIUS de Purple via le port UDP 1812. Une fois l'authentification réussie, le serveur RADIUS renvoie un message Access-Accept contenant les attributs d'attribution de VLAN, demandant au point d'accès de placer l'appareil sur le bon segment de réseau.

architecture_overview.png

Couche Type de SSID Méthode d'authentification Attribution de VLAN
Guest WiFi Ouvert ou WPA2 PSK Captive Portal Purple via RADIUS personnalisé Statique (ex. VLAN 10)
Staff WiFi WPA2/WPA3 Enterprise 802.1X (PEAP ou EAP-TLS) Dynamique via les attributs RADIUS
Multi-tenant WPA2/WPA3 PSK avec MyPSK PSK par utilisateur Liaison VLAN par clé

Plateforme EnGenius Cloud

EnGenius Cloud est une plateforme de gestion réseau dans le cloud qui prend en charge les points d'accès de la série ECW (notamment les modèles WiFi 7 ECW220, ECW230 et ECW520) et les commutateurs managés de la série ECS. La plateforme fournit un tableau de bord centralisé pour la gestion des SSID, la configuration RADIUS, le balisage VLAN et les paramètres du Captive Portal sur l'ensemble des équipements d'une organisation. EnGenius Cloud prend en charge trois types d'authentification par Captive Portal basés sur RADIUS : EnGenius Authentication (utilisant le Cloud RADIUS intégré), Custom RADIUS (pointant vers un serveur externe tel que Purple) et Voucher Service.

Pour les déploiements d'entreprise, Custom RADIUS est le type d'authentification correct lors de l'intégration avec Purple. Ce mode indique au point d'accès de relayer les requêtes d'authentification vers le point de terminaison RADIUS de Purple, activant ainsi le portail, les analyses et les fonctionnalités de capture de données de Purple.

EnGenius MyPSK et isolation multi-tenant

Dans les environnements tels que les immeubles locatifs, les résidences étudiantes, les bureaux équipés ou les espaces de coworking, diffuser un SSID distinct pour chaque résident dégrade les performances radiofréquences. Chaque SSID supplémentaire génère des trames de balise (beacons) qui consomment du temps d'antenne et réduisent la capacité disponible pour le trafic de données. EnGenius MyPSK (également appelé PPSK, ou Private Pre-Shared Key) résout ce problème en permettant jusqu'à 500 clés PSK uniques sur un seul et même SSID.

Chaque clé est liée à un VLAN spécifique. Lorsqu'un résident se connecte à l'aide de sa clé unique, le point d'accès le place automatiquement sur son segment réseau attribué. Le chiffrement s'effectue par utilisateur : chaque clé génère une clé maîtresse unique (PMK), de sorte qu'un utilisateur ne peut pas déchiffrer le trafic aérien d'un autre utilisateur, même s'ils partagent le même SSID. Il s'agit d'un avantage de sécurité fondamental par rapport à un PSK partagé unique, où tout utilisateur connaissant le mot de passe peut déchiffrer l'ensemble du trafic sur le réseau.

mypsk_vlan_infographic.png

Les clés MyPSK prennent en charge des dates d'expiration, ce qui les rend parfaitement adaptées aux scénarios d'accès limités dans le temps : la clé d'un étudiant expire à la fin de l'année universitaire, la clé d'un prestataire expire à la fin de sa mission et la clé d'un participant à une conférence expire à minuit le dernier jour de l'événement.

Guide de mise en œuvre

Étape 1 : Définir votre architecture VLAN

Avant de configurer un SSID, définissez la structure VLAN sur vos commutateurs ECS. Un déploiement typique utilise trois VLANs :

ID VLAN Usage Politique d'accès
VLAN 10 WiFi Invités Accès Internet uniquement, isolé du LAN de l'entreprise
VLAN 20 WiFi Collaborateurs Accès complet au LAN de l'entreprise
VLAN 30 WiFi Résidents/Locataires Segments isolés par résident

Configurez le port du commutateur ECS connecté à chaque point d'accès ECW en tant que port trunk, en autorisant les trois VLANs. Le VLAN natif sur le trunk doit être le VLAN de gestion. Si le trunk n'est pas configuré correctement, l'attribution dynamique des VLANs échouera de manière silencieuse.

Étape 2 : Configurer le Captive Portal invité (configuration du Captive Portal EnGenius)

Il s'agit de la configuration principale pour déployer la splash page d'EnGenius avec Purple.

  1. Connectez-vous à votre tableau de bord EnGenius Cloud à l'adresse cloud.engenius.ai .
  2. Naviguez vers Configurer > SSID et sélectionnez votre réseau invité (par ex., "VenueGuest").
  3. Sous l'onglet Wireless, configurez le Security Type sur Open. C'est la norme pour le WiFi invité ; les invités sont identifiés et authentifiés au niveau de la couche du portail, et non au niveau de la couche d'association.
  4. Passez à l'onglet Captive Portal et activez le portail.
  5. Configurez l'Authentication Type sur Custom RADIUS.
  6. Saisissez les informations du serveur RADIUS de Purple :
Champ Valeur
Adresse IP du serveur RADIUS Fournie dans le tableau de bord Purple sous Configuration matérielle
Port d'authentification UDP 1812
Port de comptabilisation (Accounting) UDP 1813
Secret partagé Chaîne de plus de 22 caractères générée par Purple
Identifiant NAS Le nom de votre site ou l'ID de site Purple
  1. Passez à l'onglet Splash Page.
  2. Sélectionnez External Splash Page URL.
  3. Saisissez l'URL du portail Purple pour votre site (format : https://portal.purple.ai/[venue-id]).
  4. Cliquez sur Appliquer.

Étape 3 : Configurer le Walled Garden

Le Walled Garden (liste blanche du WiFi invité d'EnGenius) doit être configuré pour permettre un accès avant authentification aux domaines requis pour le chargement du portail. Naviguez vers Captive Portal > Paramètres avancés > Walled Garden et ajoutez les entrées suivantes :

Infrastructure Purple :

  • *.purple.ai
  • *.purpleportal.net

Sondes de Captive Portal d'OS (obligatoire) :

  • captive.apple.com (iOS et macOS)
  • connectivitycheck.gstatic.com (Android)
  • msftconnecttest.com (Windows)

Connexion via les réseaux sociaux (si activée) :

  • Google : accounts.google.com, oauth2.googleapis.com, apis.google.com, *.gstatic.com
  • Facebook : www.facebook.com, graph.facebook.com, connect.facebook.net, *.fbcdn.net
  • Microsoft Entra ID : login.microsoftonline.com, login.live.com

Utilisez toujours des noms de domaine plutôt que des adresses IP statiques. Les fournisseurs de connexion sociale utilisent des plages d'adresses IP dynamiques et un routage anycast ; une liste blanche d'IP statiques se dégradera avec le temps à mesure que les adresses du CDN changent.

Étape 4 : Configurer le WiFi sécurisé du personnel (802.1X)

La configuration RADIUS d'EnGenius pour le WiFi du personnel utilise WPA2 Enterprise pour fournir une authentification sans mot de passe, appuyée par des certificats.

  1. Créez un nouveau SSID (par ex., "VenueStaff").
  2. Sous l'onglet Wireless, configurez le Security Type sur WPA2 Enterprise.
  3. Sélectionnez Custom RADIUS et saisissez l'IP du serveur RADIUS, le port 1812, ainsi que le secret partagé.
  4. Aucun Captive Portal n'est requis. Les appareils du personnel s'authentifient silencieusement via 802.1X.
  5. Configurez votre serveur RADIUS pour renvoyer les attributs suivants lors de l' Access-Accept :
Attribut RADIUS Valeur
Tunnel-Type 13 (VLAN)
Tunnel-Medium-Type 6 (802)
Tunnel-Private-Group-ID 20 (ou l'ID de votre VLAN personnel)

Pour la sélection de la méthode EAP : PEAP-MSCHAPv2 est le choix pratique pour les environnements utilisant Microsoft Entra ID ou Active Directory. EAP-TLS offre une sécurité renforcée en éliminant totalement les mots de passe, mais nécessite une infrastructure PKI et une solution MDM pour déployer les certificats clients. Imposez une validation stricte des certificats de serveur sur tous les appareils clients via une stratégie de groupe (Windows) ou des profils MDM (macOS, iOS, Android) afin de prévenir le vol d'identifiants par des points d'accès malveillants.

Étape 5 : Configurer EnGenius MyPSK pour l'isolation multi-tenant

Configuration d'EnGenius MyPSK pour un environnement multi-tenant :

  1. Créez un nouveau SSID (par ex., « VenueResident »).
  2. Sous l'onglet Sans fil, définissez le type de sécurité sur WPA2 PSK ou WPA3 Personal.
  3. Activez MyPSK (Private PSK).
  4. Cliquez sur Ajouter un PSK pour créer des clés individuelles, ou utilisez Génération automatique pour créer des lots allant jusqu'à 50 clés à la fois.
  5. Pour chaque PSK, attribuez un ID de VLAN et configurez éventuellement une Date de début et une Date d'expiration.
  6. Distribuez chaque PSK unique au locataire ou résident correspondant.

Lorsque le bail d'un locataire prend fin, supprimez ou désactivez son PSK. L'accès est révoqué immédiatement sans affecter les autres locataires du réseau.

Bonnes pratiques

Imposez une validation stricte des certificats sur les clients 802.1X. PEAP-MSCHAPv2 n'est sécurisé que si les clients sont configurés pour valider le certificat du serveur RADIUS par rapport à une autorité de certification de confiance. Sans cela, un point d'accès malveillant peut présenter un certificat frauduleux et récolter des identifiants. Déployez les paramètres de validation via des objets de stratégie de groupe pour Windows et des profils de configuration MDM pour toutes les autres plateformes. Cette étape est non négociable pour tout déploiement dans un environnement réglementé.

Utilisez la résolution DNS dynamique dans le Walled Garden. Google, Apple et Meta utilisent des plages d'adresses IP dynamiques pour leurs points de terminaison OAuth et CDN. Configurez les entrées du Walled Garden sous forme de noms de domaine et assurez-vous que votre contrôleur EnGenius Cloud les résout de manière dynamique. Une liste blanche d'adresses IP statiques provoquera des échecs d'authentification lors de la rotation des IP des CDN.

Segmentez les appareils IoT avec le contournement de l'authentification MAC. Les appareils sans interface utilisateur tels que les imprimantes, les écrans et les capteurs IoT ne peuvent pas s'authentifier via 802.1X. Utilisez le contournement de l'authentification MAC (MAB) pour les identifier et les placer sur un VLAN restreint avec des règles de pare-feu empêchant les mouvements latéraux. Le MAB n'est pas un contrôle de sécurité - c'est un mécanisme d'identification des appareils. Traitez les appareils authentifiés par MAB comme non fiables.

Implémentez la comptabilité RADIUS. Activez le serveur de comptabilité (accounting) dans la configuration RADIUS d'EnGenius Cloud, en pointant vers le point de terminaison de comptabilité de Purple sur le port UDP 1813. Cela transmet la durée de la session, le volume de données et les informations sur l'appareil à la plateforme de WiFi Analytics de Purple, fournissant ainsi les données d'utilisation du site qui justifient l'investissement dans l'infrastructure.

Examinez le Walled Garden chaque trimestre. Les fournisseurs OAuth et les CDN modifient régulièrement les structures de leurs domaines. Apple a mis à jour ses domaines Sign In deux fois en 2023. Intégrez un examen trimestriel du Walled Garden dans votre calendrier opérationnel. Pour plus de conseils sur les pratiques de sécurité WiFi d'entreprise, consultez notre guide de sécurité WiFi d'entreprise .

Dépannage et atténuation des risques

Symptôme : Le Captive Portal ne se charge pas sur les appareils iOS. Cause : captive.apple.com ne figure pas dans le Walled Garden. iOS utilise ce point de terminaison pour détecter la présence d'un Captive Portal et déclencher le Captive Network Assistant. Sans cela, l'appareil signale « Aucune connexion Internet » et n'ouvre jamais le navigateur du portail. Solution : Ajoutez captive.apple.com au Walled Garden dans EnGenius Cloud sous Captive Portal > Advanced Settings.

Symptôme : L'authentification échoue silencieusement - RADIUS ne renvoie aucune réponse. Cause : Incohérence de la clé secrète partagée (shared secret) entre EnGenius Cloud et la configuration du serveur RADIUS Purple. Une différence d'un seul caractère entraîne le rejet de chaque demande d'authentification. Solution : Saisissez à nouveau la clé secrète partagée dans les deux systèmes. Copiez-collez depuis une source en texte brut pour éviter la substitution de caractères invisibles.

Symptôme : Le client 802.1X s'authentifie mais ne reçoit aucune adresse IP. Cause : Le port de liaison montante (uplink) du commutateur ECS n'est pas configuré en tant que trunk, ou le VLAN renvoyé par le serveur RADIUS n'est pas autorisé sur le trunk. Solution : Vérifiez la configuration du port du commutateur. Le port doit être un trunk acheminant tous les VLAN référencés dans les réponses RADIUS.

Symptôme : Le client MyPSK se connecte mais peut accéder aux appareils d'autres locataires (tenants). Cause : L'isolation des clients n'est pas activée sur l'SSID, ou la configuration du VLAN sur le commutateur n'isole pas correctement les segments. Solution : Activez l'isolation des clients sur l'SSID dans EnGenius Cloud. Vérifiez que chaque VLAN est configuré avec les règles de routage inter-VLAN appropriées sur le routeur ou le pare-feu en amont.

Symptôme : Le bouton de connexion sociale se charge mais l'authentification échoue. Cause : Un ou plusieurs sous-domaines du fournisseur OAuth sont manquants dans le Walled Garden. Google et Meta utilisent plusieurs sous-domaines pour leurs flux d'authentification. Solution : Capturez la sortie de la console du navigateur depuis un appareil non authentifié pour identifier le domaine bloqué. Ajoutez le domaine manquant au Walled Garden. Reportez-vous à la documentation de Purple concernant la liste blanche des domaines du Walled Garden pour obtenir la liste à jour.

ROI et impact commercial

Le déploiement de Purple avec EnGenius Cloud transforme l'infrastructure sans fil d'un centre de coûts en un actif de données. Les gestionnaires de sites collectent des données démographiques de première main (first-party) entièrement conformes auprès des visiteurs grâce à des opt-ins transparents, permettant des campagnes marketing ciblées et un engagement mesurable. Pour les équipes informatiques, le passage au 802.1X et au MyPSK élimine la charge opérationnelle liée à la gestion des mots de passe partagés, réduit les tickets de support liés aux problèmes d'accès et offre une visibilité granulaire sur l'utilisation du réseau.

Pour les exploitants du secteur de l' hôtellerie , Premier Inn - un client de Purple - utilise les données du WiFi invité pour stimuler l'engagement envers son programme de fidélité et personnaliser ses communications post-visite. Pour les environnements de commerce de détail , la combinaison des analyses de fréquentation de la plateforme WiFi Analytics de Purple et des données sur le temps de rétention fournit des informations de merchandising qui justifient l'investissement d'infrastructure indépendamment des avantages en matière de sécurité.

Dans les environnements multi-locataires, MyPSK élimine le besoin d'une infrastructure réseau physique distincte par locataire. Un seul point d'accès EnGenius ECW peut desservir 500 locataires isolés sur un seul SSID, réduisant ainsi les coûts matériels et simplifiant la gestion quotidienne. Lorsqu'un locataire déménage, sa clé PSK est supprimée en quelques secondes - aucun changement de mot de passe n'est requis, aucun impact sur les autres résidents.

La plateforme de Purple est indépendante du matériel, ce qui signifie que la même configuration, les mêmes analyses et la même couche de capture de données Purple fonctionnent sur les équipements Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet. Si votre parc comprend un mélange d'équipements EnGenius et d'autres fournisseurs, Purple fournit un tableau de bord unique pour la gestion du WiFi invité sur l'ensemble de ceux-ci. Pour des conseils de déploiement associés, consultez notre guide d'intégration DrayTek Vigor .

Définitions clés

Captive Portal

Une page web qui intercepte la première requête HTTP d'un utilisateur après sa connexion à un réseau WiFi et l'oblige à s'authentifier ou à accepter les conditions avant de lui accorder l'accès à Internet.

Le mécanisme principal pour l'intégration des invités, la collecte de données et la gestion du consentement conforme au GDPR dans les déploiements Purple. EnGenius Cloud prend en charge les pages de Captive Portal internes et externes.

Walled Garden

La liste blanche explicite de domaines et d'adresses IP avec lesquels un appareil client peut communiquer avant de s'authentifier avec succès via le Captive Portal.

Requis pour permettre aux appareils d'accéder aux serveurs du portail Purple, aux points de terminaison de sonde du système d'exploitation et aux fournisseurs d'identité tiers tels que Google ou Microsoft Entra ID avant que l'authentification ne soit finalisée.

EnGenius MyPSK

Une fonctionnalité qui permet aux administrateurs réseau de créer plusieurs clés pré-partagées (Pre-Shared Keys) uniques sur un seul SSID, chacune étant associée à un VLAN spécifique pour l'isolation du réseau.

Utilisé dans les environnements multi-locataires pour fournir des segments de réseau sécurisés et isolés sans diffuser plusieurs SSID. Prend en charge jusqu'à 500 clés uniques par SSID avec des dates d'expiration facultatives.

Attribution dynamique de VLAN

Le processus par lequel un serveur RADIUS ordonne à un point d'accès de placer un appareil authentifié sur un VLAN spécifique en fonction de son appartenance à un groupe d'annuaire, en utilisant l'attribut Tunnel-Private-Group-ID.

Permet à un seul SSID 802.1X de segmenter automatiquement et de manière sécurisée le trafic pour différents rôles du personnel, sans configuration manuelle de VLAN par appareil.

IEEE 802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un réseau local (LAN) ou sans fil (WLAN), en utilisant EAP pour transmettre les identifiants à un serveur RADIUS.

Le fondement de la sécurité WiFi d'entreprise pour les réseaux du personnel, remplaçant les mots de passe partagés vulnérables par une validation individualisée des identifiants ou des certificats.

RADIUS

Remote Authentication Dial-In User Service ; un protocole réseau fournissant une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (AAA) pour l'accès au réseau.

Le protocole utilisé par les points d'accès EnGenius pour communiquer avec les serveurs d'authentification de Purple. L'authentification utilise le port UDP 1812 ; la comptabilisation utilise le port UDP 1813.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol avec Microsoft Challenge Handshake Authentication Protocol version 2 ; une méthode 802.1X qui crée un tunnel TLS à l'aide d'un certificat côté serveur, à l'intérieur duquel les identifiants nom d'utilisateur-mot de passe sont échangés.

La méthode de déploiement 802.1X la plus courante pour les environnements utilisant Active Directory ou Microsoft Entra ID. Nécessite une validation stricte du certificat de serveur sur les clients pour empêcher le vol d'identifiants.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security ; une méthode d'authentification 802.1X nécessitant des certificats numériques à la fois sur le serveur RADIUS et sur chaque appareil client, éliminant complètement l'usage des mots de passe.

La méthode 802.1X la plus sécurisée, recommandée pour les environnements à haute sécurité. Nécessite une infrastructure à clés publiques (PKI) et une solution MDM pour déployer les certificats clients.

Identifiant NAS

Network Access Server Identifier ; un attribut sous forme de chaîne de caractères inclus dans les requêtes RADIUS pour identifier le point d'accès ou le contrôleur à l'origine de la demande d'authentification.

Configuré dans EnGenius Cloud pour correspondre à l'identifiant du site dans la plateforme Purple, garantissant que les données d'analyse et de session sont attribuées au bon emplacement.

PMK

Pairwise Master Key ; la clé cryptographique dérivée d'une PSK et du nom du SSID, utilisée pour chiffrer la session sans fil entre un client spécifique et un point d'accès.

Dans les déploiements MyPSK, chaque PSK unique génère une PMK distincte, empêchant un locataire de décrypter le trafic d'un autre, même sur le même SSID.

Exemples concrets

Un hôtel de 200 chambres doit fournir un accès WiFi transparent aux clients, un accès sécurisé au personnel de l'hôtel et des réseaux isolés pour trois concessions commerciales dans le hall, le tout en utilisant les mêmes access points EnGenius ECW et commutateurs ECS.

Déployez trois SSID sur le même matériel. SSID 1 (VenueGuest) : Sécurité ouverte avec RADIUS personnalisé pointant vers le point de terminaison RADIUS de Purple. URL de la page de splash externe configurée vers le portail Purple. Walled Garden alimenté avec les sondes d'OS, les domaines CDN de Purple et les points de terminaison Google OAuth. VLAN 10 attribué de manière statique. SSID 2 (VenueStaff) : WPA2 Enterprise avec RADIUS personnalisé. Aucun Captive Portal. Le serveur RADIUS renvoie un Tunnel-Private-Group-ID de 20 pour tout le personnel, avec des sous-groupes (finance, opérations, maintenance) mappés respectivement aux VLAN 21, 22 et 23. SSID 3 (VenueRetail) : WPA2 PSK avec MyPSK activé. Trois PSK uniques créées, chacune liée aux VLAN 31, 32 et 33. Dates d'expiration définies pour correspondre à la durée du bail de chaque concession. Le port de liaison montante du commutateur ECS est configuré comme un trunk transportant les VLAN 10, 20-23 et 31-33.

Commentaire de l'examinateur : Cette approche minimise la surcharge de SSID à seulement trois diffusions, réduisant ainsi les interférences de co-canal, tout en imposant une isolation stricte de couche 2 entre les invités, le personnel et les locataires tiers. L'attribution dynamique de VLAN pour le personnel élimine la reconfiguration manuelle lorsque les employés changent de rôle. Les dates d'expiration MyPSK automatisent la révocation d'accès pour les concessions commerciales sans nécessiter d'intervention informatique.

Un campus universitaire déployant EnGenius Cloud signale que les étudiants qui tentent de se connecter au portail invité Purple à l'aide de leurs comptes Google Workspace reçoivent une erreur de navigateur après avoir cliqué sur le bouton de connexion Google. La page du portail elle-même se charge correctement.

Le chargement de la page du portail confirme que les domaines CDN de Purple sont correctement mis sur liste blanche. L'échec à l'étape de connexion Google indique qu'un ou plusieurs domaines Google OAuth sont manquants dans le Walled Garden. Accédez à EnGenius Cloud > Captive Portal > Paramètres Avancés > Walled Garden et ajoutez : accounts.google.com, oauth2.googleapis.com, apis.google.com, et *.gstatic.com. Le caractère générique gstatic.com est requis car Google héberge ses bibliothèques JavaScript côté client sur ce CDN. Après avoir mis à jour le Walled Garden, testez avec un appareil non authentifié et capturez la sortie de la console du navigateur pour confirmer qu'aucun autre domaine n'est bloqué.

Commentaire de l'examinateur : Les échecs OAuth au niveau de l'étape du fournisseur (plutôt qu'à l'étape du chargement du portail) sont presque universellement causés par des configurations de Walled Garden incomplètes. Le Captive Portal intercepte l'appel HTTPS vers le fournisseur d'identité à moins que le domaine ne soit explicitement contourné. L'utilisation d'entrées génériques (*.gstatic.com) est l'approche pragmatique pour les fournisseurs utilisant plusieurs sous-domaines CDN, à condition que votre version d'EnGenius Cloud prenne en charge les entrées de Walled Garden génériques.

Questions d'entraînement

Q1. Vous déployez un Captive Portal Purple sur des points d'accès EnGenius ECW. Les utilisateurs Android signalent que leurs appareils affichent « Connecté, pas d'internet » et que le portail n'apparaît jamais. Les utilisateurs iOS sur le même SSID accèdent correctement au portail. Quelle est l'erreur de configuration la plus probable et comment la corriger ?

Conseil : Android et iOS utilisent différents points de terminaison de test pour le Captive Portal.

Voir la réponse type

Android utilise connectivitycheck.gstatic.com comme point de terminaison de test de Captive Portal. iOS utilise captive.apple.com. Si les utilisateurs iOS voient le portail mais pas les utilisateurs Android, connectivitycheck.gstatic.com est manquant dans le Walled Garden. Ajoutez-le dans EnGenius Cloud sous Captive Portal > Advanced Settings > Walled Garden. Ajoutez également connectivitycheck.android.com et www.google.com car Android utilise plusieurs URL de test selon la version de l'appareil.

Q2. Un site configure le 802.1X sur un SSID EnGenius. Les appareils du personnel s'authentifient avec succès (les journaux du serveur RADIUS indiquent Access-Accept), mais ils reçoivent une adresse APIPA 169.x.x.x plutôt qu'une IP d'entreprise. Quelle est la cause la plus probable ?

Conseil : Le serveur RADIUS accepte l'authentification, le problème se situe donc en aval de l'authentification.

Voir la réponse type

Le serveur RADIUS renvoie un attribut Tunnel-Private-Group-ID spécifiant un ID de VLAN. Le point d'accès EnGenius tente de taguer le trafic du client avec ce VLAN, mais le port de liaison montante (uplink) sur le commutateur ECS n'est pas configuré comme un port trunk acheminant ce VLAN. L'appareil est placé sur un VLAN où aucun serveur DHCP n'est joignable. Solution : configurez le port uplink du commutateur ECS en tant que trunk, en autorisant explicitement l'ID de VLAN renvoyé par le serveur RADIUS.

Q3. Un gestionnaire d'immeuble résidentiel locatif vous demande pourquoi vous recommandez EnGenius MyPSK plutôt que de créer un SSID distinct pour chacune des 80 unités d'habitation. Fournissez une justification technique.

Conseil : Considérez l'impact des balises (beacons) SSID sur les performances WiFi.

Voir la réponse type

Chaque SSID diffuse des trames de balise (beacons) à intervalles réguliers (généralement toutes les 100 ms). Dans un environnement dense, 80 SSID généreraient une surcharge constante de balises consommant un temps d'antenne important, réduisant la capacité disponible pour le trafic de données réel et dégradant les performances pour tous les utilisateurs. La plupart des points d'accès professionnels imposent également une limite pratique de 8 à 16 SSID par radio. MyPSK offre la même isolation (chaque résident sur un VLAN unique avec une clé de chiffrement unique) à l'aide d'un seul SSID, éliminant ainsi complètement la surcharge de balises. La PMK par utilisateur empêche également les résidents de décrypter le trafic des autres, ce qu'une simple clé PSK partagée ne peut pas faire.

Continuer la lecture de cette série

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Lire le guide →

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Lire le guide →

Intégration des points d'accès Grandstream GWN avec Purple WiFi

Ce guide de référence technique officiel détaille comment intégrer les points d'accès Grandstream GWN avec le Guest WiFi de Purple et sa plateforme d'analyse. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage dynamique des VLAN, et la segmentation PPSK multi-tenant - offrant ainsi des instructions étape par étape directement exploitables pour les MSP et les équipes informatiques déployant du WiFi invités et personnel à grande échelle.

Lire le guide →