Zyxel Nebula et WiFi invités : configuration du Captive Portal avec Purple

Bienvenue dans la série de briefs techniques de Purple. Je suis votre hôte et, aujourd'hui, nous abordons un scénario de déploiement crucial pour les responsables informatiques et les architectes réseau : l'intégration de Zyxel Nebula Cloud et des pare-feu USG Flex avec Purple WiFi. Si vous déployez un WiFi invité dans une chaîne d'hôtels, un parc de magasins ou un environnement multi-locataires, cet épisode est pour vous. Passons directement à l'architecture. Tout d'abord, pourquoi cette intégration ? Zyxel fournit un matériel robuste et Nebula propose une gestion cloud centralisée. Mais lorsque vous déployez du WiFi à grande échelle - par exemple, sur 50 succursales de vente au détail ou dans un hôtel de 200 chambres - vous avez besoin de plus qu'une simple connectivité de base. Vous avez besoin d'un flux d'authentification structuré, d'une capture de données conforme et d'une segmentation réseau dynamique. C'est là que Purple intervient. Nous nous intégrons à Zyxel via RADIUS et une redirection de Captive Portal externe pour fournir des réseaux basés sur l'identité. Passons en revue la configuration principale sur Zyxel Nebula. Le processus commence par les paramètres de votre SSID. Vous accédez à Site-wide, Configure, Access points, puis SSID advanced settings. Ici, vous activez l'URL du Captive Portal externe. Vous saisirez l'URL de redirection Purple spécifique fournie dans votre portail Purple. Mais la redirection seule ne suffit pas ; vous devez configurer le Walled Garden. Le Walled Garden définit les domaines qu'un appareil invité peut atteindre avant l'authentification. C'est un piège classique. Vous devez ajouter à la liste blanche les domaines du portail Purple, tous les CDN de ressources et les points de terminaison standard de détection de Captive Portal des systèmes d'exploitation. Dans Nebula, vous ajoutez ces domaines ligne par ligne. Si vous oubliez un domaine, la page de connexion ne s'affichera pas correctement et vos invités seront bloqués. Ensuite, nous configurons le serveur RADIUS. Dans les paramètres SSID advanced settings, vous sélectionnez WPA2-Enterprise avec My RADIUS server, ou vous configurez l'authentification basée sur l'adresse MAC selon votre flux. Vous saisissez l'adresse IP du serveur RADIUS de Purple, définissez le port d'authentification sur 1812, le port de comptabilisation sur 1813 et saisissez le secret partagé. Configurez toujours le serveur RADIUS de secours pour garantir une haute disponibilité. À présent, abordons un scénario plus avancé : la segmentation multi-locataire à l'aide des clés pré-partagées privées Zyxel, ou PPSK. Dans des environnements tels que les logements étudiants ou les espaces de coworking, vous souhaitez un seul SSID, mais vous devez isoler le trafic par locataire. Le PPSK de Zyxel vous permet d'attribuer un mot de passe WiFi unique à chaque utilisateur. Lorsqu'ils se connectent, le contrôleur Nebula les affecte dynamiquement à un VLAN spécifique en fonction de ce mot de passe. Vous configurez cela sous Cloud Authentication en sélectionnant DPPSK et en attribuant l'ID de VLAN correspondant. Cela réduit la surcharge de SSID et améliore considérablement la sécurité. Qu'en est-il du pare-feu USG Flex ? Si vous exécutez la passerelle sur site, vous devez vous assurer que vos règles de pare-feu et vos politiques de zone s'alignent sur vos segments sans fil. Vous créez généralement des zones dédiées pour le trafic Guest, Staff et Multi-Tenant. La zone Guest doit uniquement disposer d'un accès internet sortant, avec des règles strictes bloquant l'accès aux zones LAN ou DMZ. Passons aux recommandations de mise en œuvre et aux pièges courants. Le problème le plus fréquent que nous rencontrons est une mauvaise configuration du walled garden. Si un invité se connecte et voit une page blanche, vérifiez votre liste blanche. Utilisez les outils de développement du navigateur pour identifier les requêtes CDN bloquées. Le deuxième problème concerne les expirations de délai RADIUS. Assurez-vous que vos pare-feu en amont autorisent les ports UDP 1812 et 1813 en sortie vers la plateforme cloud Purple. Place à une session rapide de questions-réponses. Question un : Ai-je besoin d'un VLAN dédié pour le WiFi Guest ? Réponse : Oui. Isolez toujours le trafic invité sur un VLAN dédié. Cela est obligatoire pour la conformité PCI-DSS si votre établissement traite des paiements sur la même infrastructure physique. Question deux : Puis-je utiliser Purple avec des AP autonomes Zyxel sans Nebula ? Réponse : Oui, mais la gestion des paramètres RADIUS et de portail par AP est inefficace. Nous recommandons vivement d'utiliser Nebula Control Centre pour une gestion centralisée. Question trois : Comment Purple gère-t-il la randomisation des adresses MAC ? Réponse : Purple s'appuie sur l'adresse MAC fournie par le contrôleur Zyxel via la comptabilité RADIUS. Bien que les appareils randomisent les MAC par réseau, ils conservent la même MAC pour votre SSID spécifique, ce qui permet la persistance de la session pendant leur visite. En résumé : L'intégration de Zyxel Nebula avec Purple nécessite une configuration précise de l'URL du Captive Portal externe, un Walled Garden complet et des paramètres RADIUS exacts. Pour les sites multi-locataires, exploitez le Zyxel PPSK pour un routage VLAN dynamique. Maîtrisez ces éléments et vous offrirez une expérience WiFi sécurisée et évolutive qui capture de précieuses données de première partie. Si vous planifiez un déploiement, consultez le guide technique complet pour obtenir des instructions étape par étape et des schémas d'architecture. Merci pour votre écoute, et à bientôt pour le prochain briefing technique.