Intégration de Zyxel Nebula Cloud et USG avec Purple WiFi

Résumé exécutif

Zyxel Nebula Cloud et les pare-feu USG Flex sont déployés au sein de milliers de sites d'entreprises, des chaînes hôtelières aux parcs de commerces de détail. En intégrant ce matériel avec Purple, vous ajoutez une couche d'authentification des invités conforme et collectrice de données qui transforme un réseau sans fil standard en un actif de données propriétaires (first-party). Ce guide couvre quatre scénarios de déploiement : la redirection vers un Captive Portal invité via une page d'accueil externe, l'authentification et l'accounting basés sur RADIUS, un WiFi personnel sécurisé utilisant IEEE 802.1X, et la segmentation réseau multi-locataires utilisant les clés pré-partagées personnelles dynamiques de Zyxel (DPPSK). Purple fonctionne sur plus de 80 000 sites actifs et a traité 440 millions de connexions en 2024 (données internes Purple). Il détient les certifications ISO 27001, GDPR, CCPA et Cyber Essentials. L'architecture d'intégration décrite ici est indépendante du matériel au niveau de la plateforme, mais les chemins et paramètres de configuration spécifiques de ce guide s'appliquent au Zyxel Nebula Control Center (NCC) et aux pare-feu USG Flex exécutant le micrologiciel actuel.

Pour une vision plus large de l'architecture de sécurité WiFi en entreprise, consultez notre Sécurité WiFi d'entreprise : un guide complet pour 2026 .

Analyse technique approfondie

Architecture d'intégration

L'intégration de Zyxel et Purple repose sur trois protocoles standards fonctionnant en séquence : la redirection HTTP (détection du Captive Portal), l'authentification RADIUS (UDP 1812) et l'accounting RADIUS (UDP 1813). Lorsqu'un appareil invité se connecte au SSID Guest WiFi, le point d'accès Zyxel intercepte la première requête HTTP et émet une redirection HTTP 302 vers l'URL du Captive Portal externe de Purple. L'invité s'authentifie sur la page d'accueil de Purple - via e-mail, connexion sociale ou SMS - et Purple renvoie un message RADIUS Access-Accept au contrôleur Zyxel. Le contrôleur accorde l'accès à Internet et commence à envoyer des paquets RADIUS Accounting Start pour enregistrer les données de session.

Le pare-feu Zyxel USG Flex se situe entre les segments sans fil et le WAN. Il applique des politiques de sécurité basées sur des zones qui isolent les VLAN Guest, Staff et Multi-Tenant les uns des autres et du LAN de l'entreprise. Le Nebula Control Center gère de manière centralisée les points d'accès et les configurations SSID via HTTPS sur le port 443 vers le cloud Nebula.

Paramètres RADIUS

Le tableau suivant récapitule les paramètres de configuration RADIUS dont vous aurez besoin à partir de votre console d'administration Purple.

Configurez toujours les serveurs RADIUS principal et secondaire. Un point de terminaison RADIUS unique constitue un point de défaillance unique qui bloquera les visiteurs si le serveur est inaccessible.

Configuration du Walled Garden

Le Walled Garden (également appelé liste blanche) définit les domaines et les plages d'adresses IP qu'un appareil peut atteindre avant de terminer l'authentification. Dans Zyxel Nebula, vous configurez cela sous Site-wide > Configure > Access points > Captive portal customisation > Captive portal advance setting.

Vous devez inclure les catégories d'entrées suivantes :

• Le domaine du portail Purple et tous les sous-domaines (utilisez le format générique : *.purple.ai)
• Les domaines CDN desservant les ressources CSS, JavaScript et image du portail
• Les domaines des fournisseurs de connexion sociale si vous activez la connexion via Facebook, Google ou Microsoft
• Détection du Captive Portal Apple : captive.apple.com
• Test de connectivité Google : connectivitycheck.gstatic.com
• Microsoft NCSI : www.msftconnecttest.com

L'absence de l'une de ces entrées empêchera le rendu de la page d'accueil sur certains types d'appareils. Les appareils iOS en particulier afficheront un mini-navigateur vide si le point de terminaison Apple CNA n'est pas géré correctement.

Sécuriser le WiFi du personnel à l'aide d'IEEE 802.1X

Pour les réseaux du personnel, vous ne devez pas utiliser de PSK partagé. La norme IEEE 802.1X (définie dans la norme IEEE 802.1X-2020) fournit un contrôle d'accès réseau basé sur les ports à l'aide d'identifiants individuels par utilisateur. Dans Nebula, vous configurez cela en définissant la sécurité du SSID sur WPA2-Enterprise et en orientant l'authentification soit vers le serveur d'authentification Cloud Nebula (NCAS), soit vers un serveur RADIUS externe tel que Microsoft Entra ID ou Okta via un proxy RADIUS.

Pour les déploiements WPA3-Enterprise, le chemin de configuration est identique mais vous sélectionnez WPA3 dans les options de sécurité. Le WPA3 impose les trames de gestion protégées (PMF) et utilise l'authentification simultanée d'égaux (SAE) pour une meilleure résistance aux attaques par dictionnaire hors ligne.

PPSK et attribution dynamique de VLAN pour les sites multi-locataires

Le DPPSK (Dynamic Personal Pre-Shared Key) de Zyxel permet à un seul SSID de desservir plusieurs segments de réseau isolés. Chaque utilisateur ou appareil reçoit un mot de passe unique. Lors de leur authentification, le contrôleur Nebula associe ce mot de passe à un ID VLAN défini dans la base de données DPPSK. C'est l'approche idéale pour les espaces de coworking, les résidences étudiantes, les logements locatifs privés (BTR) et les immeubles collectifs (MDU) où l'isolation des locataires est requise sans diffuser des dizaines de SSID. DPPSK nécessite la licence Nebula Pro Pack et la version de micrologiciel 6.00 ou ultérieure pour les points d'accès. Vous configurez la base de données DPPSK sous Configuration > Authentification Cloud > DPPSK dans le Nebula Control Center. Chaque entrée inclut la phrase de passe, une date d'expiration facultative, une adresse e-mail pour la distribution et l'ID du VLAN cible.

Le nombre maximum d'entrées DPPSK autorisées simultanément est de 2 048. Pour les déploiements de plus de 2 048 utilisateurs simultanés, vous devrez gérer soigneusement les dates d'expiration pour vous assurer que les identifiants actifs restent dans cette limite.

Guide de mise en œuvre

Étape 1 : Préparer l'infrastructure réseau

Avant d'intervenir sur le Nebula Control Center, configurez vos VLANs sur le pare-feu USG Flex et les commutateurs en aval.

1. Créez un VLAN Invités (exemple : VLAN 10) avec un sous-réseau dédié (exemple : 192.168.10.0/24). Configurez un serveur DHCP sur cette interface.
2. Créez un VLAN Personnel (exemple : VLAN 20) avec un sous-réseau dédié (exemple : 192.168.20.0/24).
3. Pour les déploiements multi-locataires, créez des VLANs supplémentaires par locataire (exemple : VLAN 30, 40, 50).
4. Sur l'USG Flex, créez une Zone Invités mappée sur le VLAN 10. Créez une règle de sécurité autorisant le trafic de la Zone Invités vers la zone WAN. Créez une règle de refus global bloquant le trafic de la Zone Invités vers la zone LAN.
5. Assurez-vous que les ports des commutateurs connectant les points d'accès Zyxel sont configurés comme des trunks 802.1Q acheminant tous les tags VLAN requis.

Étape 2 : Configurer le SSID invité dans le Nebula Control Center

1. Connectez-vous au Nebula Control Center à l'adresse ncc.nebula.zyxel.com.
2. Accédez à À l'échelle du site > Configuration > Points d'accès > Paramètres SSID.
3. Activez le SSID invité et basculez en Mode avancé.
4. Activez Réseau invités pour activer l'isolation des clients de niveau 2. Cela empêche les appareils invités de communiquer directement entre eux sur le même SSID.
5. Enregistrez.

Étape 3 : Configurer le Captive Portal externe

1. Accédez à À l'échelle du site > Configuration > Points d'accès > Paramètres avancés SSID.
2. Sélectionnez votre SSID invité dans le menu déroulant.
3. Sous Méthode de connexion, sélectionnez Cliquer pour continuer pour la redirection initiale, ou sélectionnez Mon serveur RADIUS si vous utilisez l'authentification MAC basée sur RADIUS de Purple.
4. Accédez à À l'échelle du site > Configuration > Points d'accès > Personnalisation du portail captif.
5. Sous URL du portail captif externe, saisissez l'URL de redirection Purple fournie par votre console d'administration Purple. Le format est https://[votre-domaine-purple]/[id-site].
6. Sous Paramètres avancés du portail captif, saisissez tous les domaines requis pour le Walled Garden.
7. Définissez la Règle stricte sur Bloquer tout accès jusqu'à la connexion pour empêcher les invités de contourner le portail.
8. Définissez le Temps de réauthentification pour qu'il corresponde à la politique de session de votre établissement (généralement 24 heures pour l'hôtellerie, 30 jours pour les programmes de fidélité du commerce de détail).
9. Enregistrez.

Étape 4 : Configurer RADIUS dans Nebula

1. Dans les Paramètres avancés SSID, sous Accès réseau, sélectionnez Mon serveur RADIUS.
2. Saisissez l'IP du serveur RADIUS principal fournie par votre console d'administration Purple.
3. Définissez le Authentication port sur 1812.
4. Saisissez le Shared secret.
5. Répétez l'opération pour le serveur RADIUS secondaire.
6. Activez le RADIUS accounting et définissez le port d'accounting sur 1813.
7. Enregistrez.

Étape 5 : Configurer le DPPSK pour la segmentation multi-locataire

1. Accédez à Configure > Access points > SSID advanced settings.
2. Sélectionnez le SSID multi-locataire et définissez Network access sur Dynamic personal PSK.
3. Accédez à Configure > Cloud authentication > DPPSK.
4. Cliquez sur Add et sélectionnez Batch create DPPSK.
5. Définissez le nombre d'identifiants, la date d'expiration et le VLAN ID cible pour chaque groupe de locataires.
6. Saisissez l'adresse e-mail pour recevoir le lot d'identifiants.
7. Enregistrez et distribuez les identifiants aux locataires.

Étape 6 : Valider le déploiement

1. Connectez un appareil de test au SSID du WiFi Invité.
2. Confirmez que l'appareil est redirigé vers la splash page de Purple.
3. Terminez l'authentification et confirmez que l'accès Internet est accordé.
4. Dans la console d'administration de Purple, vérifiez que la session apparaît dans le tableau de bord des analyses.
5. Dans Nebula, accédez à Access point > Monitor > Clients pour confirmer que le client est associé et affecté au bon VLAN.
6. Testez le DPPSK en vous connectant avec un identifiant de locataire et en confirmant l'affectation correcte du VLAN.

Bonnes pratiques

Segmentez chaque type de trafic. Les trafics Invité, Personnel et IoT doivent chacun occuper un VLAN dédié. Cela n'est pas facultatif si votre établissement traite des paiements par carte sur la même infrastructure physique - la norme PCI DSS v4.0 exige une segmentation réseau entre les environnements de données des titulaires de carte et les réseaux invités.

Utilisez la redondance RADIUS. Configurez les adresses IP RADIUS principale et secondaire de Purple dans Nebula. Une panne d'un seul serveur RADIUS empêchera toute authentification des invités jusqu'à sa résolution.

Auditez régulièrement le Walled Garden. Les fournisseurs de portails mettent à jour les configurations de leur CDN. Un domaine qui fonctionnait lors du déploiement peut ne plus fonctionner six mois plus tard si le fournisseur migre ses ressources vers un nouveau CDN. Planifiez un examen trimestriel des entrées de votre Walled Garden.

Activez le RADIUS accounting. Sans accounting, Purple ne peut pas suivre la durée des sessions, l'utilisation des données, ni appliquer de limites d'accès basées sur le temps. Les données d'accounting alimentent également le tableau de bord WiFi Analytics .

Appliquez le WPA3 lorsque le matériel le prend en charge. Les points d'accès Zyxel commercialisés à partir de 2021 prennent en charge le WPA3. Pour le WiFi du personnel, le WPA3-Enterprise avec le mode de sécurité 192 bits est conforme aux recommandations du NIST SP 800-187 pour la sécurité sans fil en entreprise.

Testez le comportement du CNA avant la mise en service. Sur iOS, le mini-navigateur Captive Network Assistant (CNA) offre des fonctionnalités limitées par rapport à un navigateur complet. Testez votre Captive Portal Purple dans l'environnement CNA - en particulier les flux de connexion sociale et le JavaScript personnalisé - avant de le déployer auprès des invités. Pour les déploiements dans le secteur de l' hôtellerie , consultez également nos conseils sur la segmentation des réseaux invités et administratifs. Pour les environnements de commerce de détail , la même approche PPSK s'applique pour isoler les systèmes de point de vente du WiFi des clients.

Dépannage et atténuation des risques

Échec du chargement de la page de capture (splash page)

Symptôme : L'invité se connecte au SSID mais voit une page blanche ou une erreur de navigateur dans le CNA.

Cause : Un ou plusieurs domaines requis par la page de capture ne figurent pas dans le Walled Garden.

Résolution : Connectez un appareil de test au SSID Invité. Ouvrez un navigateur (pas le CNA) et accédez à n'importe quelle URL HTTP. Une fois redirigé vers le Captive Portal, ouvrez les outils de développement du navigateur et inspectez l'onglet Réseau. Identifiez les requêtes renvoyant des erreurs 403 ou de connexion refusée. Ajoutez ces domaines au Walled Garden de Nebula.

Les invités s'authentifient mais n'obtiennent pas d'accès Internet

Symptôme : L'invité remplit le formulaire du Captive Portal et voit une page de réussite, mais la navigation sur Internet échoue.

Cause : Le contrôleur Zyxel ne reçoit pas l'Access-Accept RADIUS de Purple, ou le pare-feu USG Flex bloque la réponse RADIUS.

Résolution : Vérifiez que les ports UDP sortants 1812 et 1813 sont autorisés depuis l'IP de gestion de l'AP Zyxel vers l'IP du serveur RADIUS de Purple. Vérifiez les journaux de politique de sécurité de l'USG Flex pour détecter tout trafic bloqué.

Données de comptabilité RADIUS manquantes sur le tableau de bord Purple

Symptôme : Les sessions apparaissent dans Nebula mais le tableau de bord analytique de Purple ne montre aucune donnée de durée de session.

Cause : La comptabilité RADIUS (RADIUS Accounting) n'est pas activée dans la configuration SSID de Nebula, ou le port UDP 1813 est bloqué.

Résolution : Confirmez que la comptabilité RADIUS est activée dans les paramètres avancés du SSID. Vérifiez que le port de comptabilité est défini sur 1813 et que le secret partagé correspond à la configuration de Purple.

Utilisateurs DPPSK attribués au mauvais VLAN

Symptôme : Un utilisateur se connecte avec sa PPSK mais est placé sur le mauvais segment de réseau.

Cause : L'ID de VLAN dans l'entrée de la base de données DPPSK ne correspond pas au VLAN configuré sur le trunk du commutateur ou l'interface de l'USG Flex.

Résolution : Comparez l'ID de VLAN de la base de données DPPSK de Nebula avec la configuration VLAN du commutateur amont et de l'USG Flex. Assurez-vous que le port du commutateur de l'AP est un trunk acheminant tous les VLAN des utilisateurs.

ROI et impact commercial

L'intégration de l'infrastructure Zyxel avec Purple transforme un réseau sans fil constituant un centre de coûts en un actif de données générateur de revenus. Pour un hôtel de 200 chambres, la capture des adresses e-mail des clients et de leur consentement marketing lors de la connexion au WiFi permet de constituer une base de données CRM qui alimente des campagnes de réservation directe, réduisant ainsi la dépendance aux commissions des OTA. Pour une chaîne de magasins, la plateforme Guest WiFi de Purple fournit des analyses de fréquentation, des données sur le temps de visite et des taux de visites répétées qui orientent les décisions de personnel et de merchandising. Pour les opérateurs multi-locataires - développements BTR, logements étudiants, espaces de coworking - le déploiement de Zyxel DPPSK avec Purple élimine la charge opérationnelle liée à la gestion de SSIDs et d'identifiants distincts par locataire. Un SSID unique avec attribution dynamique de VLAN réduit les interférences RF, simplifie l'onboarding et s'adapte à des centaines de résidents sans infrastructure supplémentaire.

L'SLA de disponibilité de 99,999 % de Purple garantit que la couche d'authentification ne devienne pas un goulot d'étranglement pour l'accès invité. Avec 29 milliards de points de données collectés sur l'ensemble de la plateforme (données internes Purple), les analyses fournies via la console d'administration Purple offrent aux opérateurs de sites des informations exploitables qui justifient l'investissement d'intégration dès le premier trimestre de déploiement.

Pour les environnements de santé et de transport où le WiFi visiteur est un service réglementé, la collecte de données conforme au GDPR et la gestion des consentements intégrées au Captive Portal de Purple éliminent le risque de non-conformité associé aux réseaux ouverts non gérés.

Voir aussi : Intégration d'Arista Cognitive Wi-Fi avec Purple WiFi pour un modèle d'intégration comparable sur une plateforme matérielle différente.