Ruckus Unleashed and guest WiFi : configuration du captive portal avec Purple

Bienvenue dans ce briefing technique Purple. Je suis votre hôte et aujourd'hui, nous allons aborder un modèle de déploiement qui revient dans presque tous les projets de WiFi d'entreprise à grande échelle : l'intégration de CommScope Ruckus avec la plateforme cloud de Purple. Que vous gériez un groupe hôtelier, un parc de magasins, un stade ou un centre de conférences, cet épisode vous fournira le guide de configuration dont vous avez besoin. Plantons d'abord le décor. Ruckus - qui fait désormais partie de CommScope - est l'une des plateformes de WiFi d'entreprise les plus dominantes au monde. SmartZone en particulier est le contrôleur de choix pour les environnements à haute densité. Les hôtels comme Premier Inn, les grandes chaînes de magasins, les stades et les centres de congrès utilisent tous l'infrastructure Ruckus. Lorsque vous déployez un WiFi invité à cette échelle, vous avez besoin de plus qu'un simple SSID ouvert. Vous avez besoin d'une authentification structurée, d'une collecte de données conforme au GDPR et de la capacité d'intégrer ces données invités dans votre stack marketing. C'est exactement là que Purple intervient. Purple opère dans plus de 80 000 sites actifs, a traité 440 millions de connexions rien qu'en 2024 et détient les certifications ISO 27001, GDPR et Cyber Essentials. L'intégration de Ruckus est l'un de nos modèles de déploiement les plus éprouvés. De plus, Ruckus propose trois plateformes de contrôleurs distinctes que vous devez comprendre avant de toucher à un écran de configuration. SmartZone - disponible sous forme d'appareil physique SZ300 ou virtuel vSZ - est le contrôleur d'entreprise pour les déploiements multi-sites de grande envergure. Il gère des milliers de points d'accès à travers plusieurs zones, vous offre un contrôle approfondi des politiques et prend en charge toute la gamme de méthodes d'authentification que nous allons aborder aujourd'hui. ZoneDirector est le contrôleur sur site hérité - encore largement déployé, en particulier dans le secteur de l'hôtellerie - et il prend en charge le même flux de Captive Portal basé sur WISPr, bien qu'avec un chemin de configuration légèrement différent. Et Unleashed est le modèle sans contrôleur, où un point d'accès agit comme maître pour un maximum de 128 autres. Il est idéal pour les déploiements plus petits et sur un seul site - hôtels indépendants, succursales de vente au détail, bureaux de PME. Très bien. Entrons dans les détails techniques. Je vais aborder trois cas d'usage distincts : le WiFi invité avec redirection vers un Captive Portal, le WiFi personnel sécurisé utilisant le 802.1X, et l'isolation de réseau multi-locataires utilisant les clés dynamiques Ruckus Dynamic PSK. Commençons par le WiFi invité. L'architecture repose ici sur un flux de point d'accès basé sur WISPr. WISPr - Wireless Internet Service Provider roaming - est une norme de l'industrie qui définit comment un contrôleur sans fil intercepte le trafic HTTP non authentifié et le redirige vers un portail externe. L'invité se connecte à votre SSID. Son appareil envoie une requête HTTP. SmartZone l'intercepte et émet une redirection HTTP 302 vers l'URL de votre portail externe - dans ce cas, le Captive Portal de Purple. L'invité s'authentifie - via un réseau social, un e-mail, un SMS ou un formulaire personnalisé - puis le portail communique en retour avec le contrôleur via l'interface Northbound, ou NBI, pour accorder l'accès. Sur SmartZone, la configuration comprend quatre composants principaux. Tout d'abord, le profil du serveur d'authentification RADIUS. Naviguez vers Services and Profiles, puis Authentication. Créez un nouveau profil de serveur AAA. Définissez le Service Protocol sur RADIUS. L'IP de votre serveur principal et le secret partagé sont fournis dans la console d'administration Purple. Port 1812 pour l'authentification. Configurez toujours un serveur RADIUS de secours pour la résilience. Créez ensuite le serveur de comptabilité (accounting) sous Services and Profiles, Accounting - port 1813, même secret partagé. Deuxièmement, le profil Hotspot WISPr. Allez dans Services and Profiles, Hotspots and Portals, et sélectionnez l'onglet Hotspot WISPr. Créez un nouveau profil. Définissez l'URL de connexion sur External, et saisissez l'URL de redirection de votre Captive Portal. Définissez la Start Page pour rediriger vers votre URL de post-authentification - généralement une page de réussite ou la page d'accueil de votre établissement. Ensuite, le Walled Garden. C'est l'étape où les ingénieurs se trompent le plus souvent. Le Walled Garden définit les domaines et les adresses IP qu'un invité peut atteindre avant de s'être authentifié. Vous devez inclure le domaine de votre Captive Portal, tous les domaines CDN ou d'actifs à partir desquels votre Captive Portal se charge, ainsi que les points de terminaison standard de détection de Captive Portal des systèmes d'exploitation. Dans SmartZone, les jokers sont pris en charge en utilisant le format astérisque-point - ainsi *.purple.ai couvre tous les sous-domaines. Vous avez également besoin du domaine de détection de Captive Portal d'Apple - captive.apple.com - et des points de terminaison de vérification de connectivité de Google pour éviter que le mini-navigateur CNA ne se comporte mal sur les appareils iOS et Android. Une étape critique et facile à oublier. Par défaut, SmartZone chiffre l'adresse MAC et l'adresse IP qu'il transmet au Captive Portal externe dans l'URL de redirection. Purple a besoin de voir la véritable adresse MAC du client pour effectuer la gestion de session basée sur l'adresse MAC. Vous devez désactiver cela via la CLI. Connectez-vous en SSH à votre SmartZone, passez en mode configuration et exécutez : no encrypt-mac-ip. C'est une seule commande, mais c'est un blocage complet si vous l'ignorez. La Northbound Interface est l'autre élément essentiel. Il s'agit de l'API qui permet à Purple de communiquer en retour avec SmartZone pour accorder ou refuser l'accès après l'authentification. Activez-la sous Administration, External Services, WISPr Northbound Interface. Définissez un nom d'utilisateur et un mot de passe, et fournissez ces identifiants à Purple. L'NBI fonctionne sur le port TCP 9080 pour HTTP et 9443 pour HTTPS - assurez-vous que votre pare-feu autorise les connexions entrantes depuis la plage IP de Purple vers ces ports. Enfin, créez votre WLAN. Définissez l'Authentication Type sur Hotspot WISPr, sélectionnez votre profil de Captive Portal, et attribuez vos services d'authentification et de comptabilité RADIUS. Définissez le NAS ID sur User-defined si Purple requiert une valeur spécifique, définissez le Called Station ID sur AP MAC, et activez le Single Session ID. Pour Unleashed, l'architecture est fondamentalement différente - c'est un modèle distribué et sans contrôleur. La configuration se trouve sous Admin and Services, Services, Hotspot Services. Les étapes sont globalement similaires - créer un service Hotspot, configurer l'URL de votre portail externe, configurer votre serveur d'authentification AAA, ajouter vos entrées de Walled Garden - mais il y a deux différences clés. Il n'y a pas d'exigence d'interface Northbound dans Unleashed. De plus, le chiffrement des adresses MAC n'est pas appliqué par défaut, vous n'avez donc pas besoin de la commande CLI. Le walled garden d'Unleashed accepte également des entrées au niveau du domaine plutôt que la syntaxe complète des caractères génériques. Passons maintenant au Secure Staff WiFi avec 802.1X. Il s'agit d'un modèle d'authentification complètement différent. Au lieu d'un Captive Portal, les appareils du personnel s'authentifient directement à l'aide du protocole d'authentification extensible - EAP. La méthode la plus courante dans les environnements d'entreprise est PEAP-MSCHAPv2, où l'utilisateur saisit ses identifiants Active Directory, ou EAP-TLS, où l'appareil présente un certificat. L'add-on SecurePass de Purple s'intègre à Microsoft Entra ID, Okta et Google Workspace pour agir comme backend RADIUS pour ce flux. Sur SmartZone, créez un nouveau WLAN et définissez l'Authentication Type sur 802.1X EAP. Dans les paramètres AAA, pointez vers votre serveur RADIUS - le point de terminaison SecurePass de Purple. La différence clé par rapport au flux invité est que vous configurez également l'attribution dynamique de VLAN ici. Lorsque le serveur RADIUS de Purple renvoie un Access-Accept, il inclut trois attributs standard IETF : Tunnel-Type défini sur VLAN, valeur 13 ; Tunnel-Medium-Type défini sur IEEE-802, valeur 6 ; et Tunnel-Private-Group-ID contenant la chaîne de l'ID de VLAN - par exemple, vingt pour le VLAN du personnel. SmartZone lit ces attributs et étiquette dynamiquement le trafic du membre du personnel avec le bon VLAN, quel que soit l'AP auquel il est connecté. C'est ce qu'on appelle le routage dynamique de VLAN, et c'est ce qui permet à un seul SSID de servir plusieurs rôles d'utilisateurs avec des politiques d'accès réseau différentes. Activez l'option AAA Override dans les paramètres avancés du WLAN pour vous assurer que SmartZone traite les attributs de VLAN renvoyés par RADIUS. Sans cette case cochée, l'attribution dynamique ne fonctionnera pas même si le serveur RADIUS envoie les bons attributs. Le troisième cas d'utilisation est l'isolation multi-tenant à l'aide de Ruckus Dynamic PSK - ou DPSK. Il s'agit d'une technologie propriétaire de Ruckus qui attribue une phrase de passe WPA2 unique à chaque utilisateur ou tenant, le tout sur un seul SSID. Contrairement à une clé PSK partagée où tout le monde utilise le même mot de passe, DPSK signifie que le Tenant A possède une clé unique de 62 caractères, le Tenant B en possède une autre, et ainsi de suite. Chaque clé est liée à un VLAN spécifique, de sorte que le trafic du Tenant A arrive sur le VLAN 101 et celui du Tenant B sur le VLAN 102 - isolation complète, aucun risque de mot de passe partagé et révocation instantanée sans affecter les autres tenants. Ceci est particulièrement puissant dans les espaces de co-working, les immeubles résidentiels locatifs, les résidences étudiantes et les parcs commerciaux multi-locataires. Purple s'intègre à Ruckus DPSK via l'API SmartZone pour automatiser l'attribution des clés - lorsqu'un nouveau locataire est intégré dans Purple, une DPSK est générée, liée au bon VLAN, et transmise automatiquement au locataire. Pour configurer la DPSK sur SmartZone : accédez à WLANs, ajoutez un nouveau WLAN, et sous Security, configurez la méthode sur Dynamic PSK. Définissez la longueur de la DPSK sur 62 caractères pour une entropie maximale. Sous VLAN, activez l'affectation Per-DPSK VLAN. Utilisez ensuite l'API SmartZone ou l'interface de gestion DPSK pour créer des clés individuelles par locataire, chacune mappée à son propre ID VLAN. Sur Unleashed, la même fonctionnalité est disponible sous WiFi Networks, Advanced Options, Dynamic PSK. DPSK3 est la variante WPA3, offrant un chiffrement plus fort basé sur SAE. Si votre flotte d'AP prend en charge WPA3 - ce qui est le cas de tous les AP Ruckus de la série R actuels - DPSK3 est le choix privilégié pour les nouveaux déploiements. Laissez-moi vous présenter deux scénarios d'implémentation réels qui illustrent comment ces trois cas d'usage s'articulent. Premier scénario : un hôtel de 250 chambres. L'établissement utilise Ruckus SmartZone avec des points d'accès R750 répartis dans tout l'hôtel. Ils ont besoin de trois types de réseaux : un WiFi invité pour les clients de l'hôtel, un WiFi personnel sécurisé pour le personnel d'accueil et administratif, et un réseau IoT pour les commandes de chambres intelligentes et la vidéosurveillance. Le WLAN invité utilise le flux WISPr Captive Portal avec Purple. Les clients se connectent, sont redirigés vers un portail Purple personnalisé, s'authentifient par e-mail ou via les réseaux sociaux, et arrivent sur le VLAN 10. Le portail capture des données de première main - e-mail, consentement marketing, préférences de séjour - qui alimentent directement le CRM de l'hôtel. Le tableau de bord analytique de Purple montre à l'hôtel quels étages ont les taux de connexion les plus élevés, les heures de pointe et les taux de visiteurs récurrents. Premier Inn a déployé ce modèle sur l'ensemble de son parc au Royaume-Uni et a constaté des améliorations mesurables des scores de satisfaction des clients, directement liées à l'expérience WiFi. Le WLAN du personnel utilise le 802.1X avec SecurePass de Purple. Le personnel s'authentifie avec ses identifiants Active Directory via PEAP-MSCHAPv2. Le personnel de la réception arrive sur le VLAN 20 avec accès au système de gestion de l'établissement. Le personnel administratif arrive sur le VLAN 21 avec un accès uniquement aux systèmes RH et de planification. L'attribution du VLAN est entièrement gérée par les attributs RADIUS renvoyés par Purple - aucune configuration manuelle de port n'est requise. Lorsqu'un membre du personnel s'en va, son compte est désactivé dans Microsoft Entra ID, et l'accès est instantanément révoqué sur l'ensemble des établissements. Le WLAN IoT utilise une PSK statique, isolée sur le VLAN 30, avec l'isolation des clients activée. Les thermostats intelligents, les serrures de porte et les caméras de vidéosurveillance se trouvent ici, complètement séparés du trafic des invités et du personnel. Deuxième scénario : un espace de co-working avec 15 entreprises locataires. C'est là que le DPSK prend tout son sens. L'opérateur utilise Ruckus Unleashed sur trois étages. Chaque entreprise locataire reçoit un DPSK unique lié à son propre VLAN. Les 20 collaborateurs du Locataire A utilisent tous la même phrase de passe DPSK-A, mais cette phrase de passe est unique au Locataire A et s'associe uniquement au VLAN 101. Le Locataire B utilise le DPSK-B, s'associant au VLAN 102. Les locataires sont complètement isolés les uns des autres au niveau de la couche réseau. Lorsqu'un locataire s'en va, l'opérateur révoque son DPSK dans SmartZone - ou via l'interface de gestion de Purple - et c'est tout. Aucun autre locataire n'est affecté, aucun changement de SSID n'est requis, aucune réinitialisation de mot de passe n'est nécessaire dans tout le bâtiment. La couche de gestion multi-locataire de Purple se situe au-dessus de cela, offrant à l'opérateur de co-working un tableau de bord unique pour gérer l'intégration, la révocation des accès et les analyses d'utilisation pour l'ensemble des 15 locataires. Laissez-moi maintenant aborder les modes de défaillance les plus courants et comment les éviter. Numéro un : une mauvaise configuration du Walled Garden. Si votre page de Captive Portal ne parvient pas à se charger après la redirection, la première chose à vérifier est de savoir si tous les domaines référencés par votre page de Captive Portal figurent dans le walled garden. Les pages de Captive Portal modernes chargent des ressources à partir de plusieurs domaines CDN, de scripts d'analyse et de SDK de connexion sociale. Si l'un de ces éléments est bloqué avant l'authentification, la page ne se chargera pas ou s'affichera de manière incorrecte. Utilisez les outils de développement de votre navigateur sur un appareil de test connecté au SSID invité pour identifier les requêtes qui sont bloquées. Purple fournit une liste de walled garden documentée pour SmartZone et Unleashed - utilisez-la comme base et ajoutez-y les domaines spécifiques au site. Numéro deux : le problème de connectivité NBI. Si les invités peuvent voir le Captive Portal et s'authentifier, mais n'obtiennent jamais d'accès à internet, la cause probable est que SmartZone ne peut pas recevoir le rappel NBI de Purple. Vérifiez que les ports 9080 et 9443 sont ouverts en entrée vers l'IP de gestion de SmartZone depuis la plage IP de Purple. Vérifiez également que les identifiants NBI que vous avez configurés correspondent à ceux dont dispose Purple. Numéro trois : la commande no encrypt-mac-ip manquante. C'est le piège le plus courant spécifique à SmartZone. Si Purple reçoit des requêtes de redirection mais ne parvient pas à faire correspondre la session à une adresse MAC, c'est presque certainement la cause. C'est une correction en une seule ligne de CLI, mais elle est facile à oublier car elle n'apparaît pas dans l'interface graphique. Numéro quatre : le AAA Override non activé pour le VLAN dynamique. Si le personnel s'authentifie avec succès sur le 802.1X mais se retrouve tout de même sur le même VLAN par défaut plutôt que sur leur VLAN spécifique à leur rôle, vérifiez que le AAA Override est activé dans les paramètres avancés du WLAN. C'est le commutateur qui indique à SmartZone de respecter les attributs VLAN renvoyés par le serveur RADIUS. Numéro cinq : le VLAN DPSK ne se propage pas. Si les utilisateurs DPSK s'authentifient mais n'aboutissent pas sur le bon VLAN, vérifiez que l'attribution de VLAN par DPSK est activée dans les paramètres WLAN, et que les ports du commutateur connectés à vos AP sont configurés en tant que ports trunk acheminant tous les VLAN DPSK. Si le port du commutateur est un port d'accès, le marquage VLAN sera supprimé. À présent, voici trois questions rapides que l'on me pose lors de chaque déploiement Ruckus - Purple. Ai-je besoin d'un VLAN dédié pour le WiFi invités ? Oui, toujours. Isolez le trafic invité sur un VLAN dédié. Il s'agit à la fois d'une exigence de sécurité et d'une considération de conformité PCI-DSS si votre établissement traite des paiements par carte sur le même réseau. Activez l'isolation des clients sur le WLAN invité pour empêcher les appareils des invités de communiquer entre eux. Puis-je utiliser Purple avec Ruckus One - la plateforme gérée dans le cloud - à la place de SmartZone ? Oui. Le chemin de configuration est différent - il se trouve sous Réseaux WiFi, Paramètres d'accès invité dans le portail Ruckus One - mais les principes de configuration du walled garden et de RADIUS sont identiques. Est-ce que Purple prend en charge les déploiements multi-zones SmartZone ? Oui. L'intégration de Purple gère les environnements SmartZone multi-zones, et vous pouvez cibler les configurations de portail sur des zones individuelles pour différents sites ou étages au sein d'une seule instance SmartZone. Pour conclure. L'intégration de Ruckus et Purple couvre trois cas d'usage distincts, chacun ayant son propre modèle de configuration. Le WiFi invités utilise le flux de Captive Portal WISPr - cinq points de configuration clés : RADIUS sur les ports 1812 et 1813 avec un serveur de secours, le profil Hotspot WISPr avec une URL de connexion externe, un walled garden correctement ciblé utilisant des entrées génériques, la commande CLI no encrypt-mac-ip, et l'interface Northbound activée avec les bons identifiants. Le WiFi sécurisé pour le personnel utilise l'EAP 802.1X avec un routage VLAN dynamique via les attributs RADIUS - l'élément d'activation essentiel étant le AAA Override dans les paramètres avancés du WLAN. L'isolation multi-locataire utilise Ruckus DPSK - des clés uniques par locataire, chacune liée à un VLAN dédié, avec révocation instantanée et aucun risque de mot de passe partagé. Maîtrisez ces trois schémas et vous obtiendrez une architecture réseau évolutive, allant d'un hôtel indépendant de 50 chambres sur Unleashed à un stade de 5 000 places sur SmartZone, avec la même plateforme Purple orchestrant le tout pour fournir des analyses unifiées, une capture de données conforme au GDPR et une gestion centralisée des accès. Si vous planifiez un déploiement Ruckus avec Purple, l'équipe d'intégration technique peut vous guider à travers une liste de contrôle d'avant-lancement et valider votre configuration avant la mise en service. La plateforme Purple fournit également des analyses en temps réel sur les temps de chargement du portail, les taux de réussite d'authentification et les données de session - vous offrant la visibilité nécessaire pour détecter les problèmes avant vos invités. Merci pour votre écoute. À la prochaine.