Alcatel-Lucent Enterprise (ALE) OmniAccess-Integration mit Purple WiFi

Dieses Handbuch beschreibt die technische Integration zwischen Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar Access Points und Purple WiFi. Es behandelt die Captive Portal-Weiterleitung, RADIUS-Authentifizierung, Walled-Garden-Konfiguration, sicheres 802.1X-Mitarbeiter-WiFi sowie die Multi-Tenant-WiFi-Segmentierung mittels Private Pre-Shared Keys (PPSK) mit dynamischer VLAN-Steuerung. Damit erhalten IT-Manager und Netzwerkarchitekten eine vollständige, praxisnahe Referenz für die Bereitstellung identitätsbasierter Netzwerke auf ALE-Hardware.

📖 9 Min. Lesezeit📝 2,047 Wörter🔧 2 ausgearbeitete Beispiele❓ 4 Übungsfragen📚 10 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen beim technischen Briefing von Purple. Heute befassen wir uns mit der Alcatel-Lucent Enterprise OmniAccess Stellar-Integration mit Purple WiFi. Dieses Briefing richtet sich an IT-Manager, Netzwerkarchitekten und Betriebsleiter von Veranstaltungsorten, die sichere, skalierbare und intelligente drahtlose Netzwerke bereitstellen müssen.

Beginnen wir mit dem Kontext. Sie haben einen Veranstaltungsort. Vielleicht ein Hotel, eine Einzelhandelskette oder ein Stadion. Sie haben in ALE OmniAccess-Hardware investiert. Jetzt müssen Sie geschäftlichen Nutzen aus dieser Infrastruktur ziehen. Sie müssen First-Party-Daten erfassen, Ihre Benutzer sicher segmentieren und ein nahtloses Onboarding-Erlebnis bieten. Genau hier kommt das Cloud-Overlay von Purple ins Spiel.

Purple ist an mehr als 80.000 Live-Veranstaltungsorten weltweit im Einsatz und hat im Jahr 2024 über 440 Millionen Anmeldungen verarbeitet. Es ist hardwareunabhängig, was bedeutet, dass es auf Ihrer bestehenden ALE-Infrastruktur aufsetzt, ohne dass ein Hardwareaustausch erforderlich ist. Die gesamte Authentifizierungs- und Datenerfassungslogik befindet sich in der Purple-Cloud.

Der Kern dieser Integration basiert auf RADIUS. Wenn ein Gast Ihren Veranstaltungsort betritt und sich mit der offenen Gäste-WiFi-SSID verbindet, fängt der ALE AP seinen Webverkehr ab. Anstatt ihn direkt ins Internet zu lassen, leitet er seinen Browser auf ein von Purple gehostetes Captive Portal weiter. Dies ist Ihre Splash-Page. Hier präsentieren Sie Ihre Marke, erfassen E-Mail-Adressen oder bieten Social Logins über Facebook, LinkedIn oder Google an.

Sobald der Benutzer seine Daten übermittelt, authentifiziert der RADIUS-Server der Purple-Cloud ihn und sendet eine Access-Accept-Nachricht an den ALE AP zurück. Der AP hebt daraufhin die Firewall-Regeln auf und gewährt Internetzugang. Der gesamte Ablauf dauert weniger als drei Sekunden.

Kommen wir nun zum technischen Deep-Dive. Wie konfigurieren wir das eigentlich?

Zuerst müssen Sie die RADIUS-Server-Einstellungen in Ihrer OmniVista- oder Stellar-Verwaltungsoberfläche konfigurieren. Sie geben die Purple RADIUS-IP-Adressen ein, stellen den Authentifizierungs-Port auf 1812 und den Accounting-Port auf 1813 ein. Ganz wichtig: Stellen Sie sicher, dass das RADIUS-Accounting mit einem Intervall von 300 Sekunden aktiviert ist. Dadurch werden die Sitzungsdaten für Analysen und Compliance-Protokollierung an Purple zurückgemeldet.

Als Nächstes folgt der Walled Garden. Dies ist eine häufige Fehlerquelle bei Bereitstellungen. Bevor ein Benutzer authentifiziert ist, hat er keinen Internetzugang. Er muss jedoch das Purple-Portal erreichen, um sich anzumelden. Sie müssen die Purple-Domänen in Ihrer Pre-Authentication-Zugriffsliste auf die Whitelist setzen. Die Kern-Domänen sind region1.purpleportal.net, venuewifi.com und cloudfront.net. Wenn Sie die Anmeldung über Facebook oder LinkedIn nutzen, müssen Sie auch deren Domänen auf die Whitelist setzen. Wenn der Walled Garden fehlerhaft ist, wird das Captive Portal nicht geladen. Punkt.

Erstellen Sie für die SSID-Konfiguration ein neues drahtloses Netzwerk, stellen Sie die Sicherheitsstufe auf „Open“ und aktivieren Sie die Option „External Captive Portal“. Verweisen Sie mit der Weiterleitungs-URL auf Ihre spezifische Purple Splash-Page-URL, die Sie im Purple-Portal unter den Hardware-Einstellungen Ihres Veranstaltungsorts finden.

Gehen wir zu einem fortgeschritteneren Szenario über: Multi-Tenant-WiFi. Stellen Sie sich einen Coworking-Space oder ein Studentenwohnheim vor. Sie haben mehrere Mieter, die ihre eigenen sicheren, isolierten Netzwerke benötigen. Sie möchten nicht 20 verschiedene SSIDs ausstrahlen. Das zerstört Ihre HF-Leistung und führt zu einer schlechten Benutzererfahrung.

Die Lösung ist PPSK – Private Pre-Shared Keys – kombiniert mit dynamischer VLAN-Steuerung. Sie strahlen eine einzige sichere SSID aus. Aber jeder Mieter erhält eine eindeutige Passphrase. Wenn Mieter A seine Passphrase eingibt, sendet der ALE AP diese Anfrage an den Purple RADIUS-Server. Purple erkennt die Passphrase, authentifiziert den Benutzer und sendet eine Access-Accept-Nachricht zurück.

Aber hier ist der wichtige Teil. Diese Nachricht enthält spezifische RADIUS-Attribute. Attribut 64 für Tunnel-Type, eingestellt auf 13 für VLAN. Attribut 65 für Tunnel-Medium-Type, eingestellt auf 6 für Ethernet. Und Attribut 81, die Tunnel-Private-Group-ID, die die tatsächliche VLAN-ID enthält. Der ALE AP empfängt dies und leitet Mieter A direkt in das VLAN 30 weiter. Wenn sich Mieter B mit einer anderen Passphrase anmeldet, landet er im VLAN 40. Eine SSID, vollständige Layer-2-Isolierung. Das ist identitätsbasiertes Networking in der Praxis.

Sehen wir uns ein Praxisbeispiel an. Ein Hotel mit 200 Zimmern hat diese Architektur auf seinen vorhandenen ALE OmniAccess Stellar APs bereitgestellt. Es mussten Hotelgäste, das Back-of-House-Personal und ein Restaurant im Erdgeschoss als drei völlig separate Netzwerksegmente bedient werden. Anstatt drei SSIDs bereitzustellen, nutzten sie PPSK mit dynamischer VLAN-Steuerung. Das Ergebnis war eine einzige SSID, drei isolierte VLANs und eine erhebliche Reduzierung des Verwaltungsaufwands im Vergleich zu ihrem vorherigen Multi-SSID-Ansatz.

Lassen Sie uns nun über Implementierungsempfehlungen und Fallstricke sprechen.

Erstens: Behalten Sie ein hardwareunabhängiges Design bei. Erstellen Sie Ihre Richtlinien in Purple, nicht auf dem lokalen Controller. Auf diese Weise können Sie später Hardware-Anbieter skalieren oder austauschen, ohne Ihre Sicherheitsrichtlinien von Grund auf neu erstellen zu müssen.

Zweitens: Achten Sie auf die Firmware-Versionen. Stellen Sie sicher, dass auf Ihren ALE APs eine Firmware läuft, die die dynamische VLAN-Zuweisung über RADIUS explizit unterstützt. Ältere Stellar-Firmware-Versionen unterstützen das Attribut Tunnel-Private-Group-ID möglicherweise nicht vollständig. Überprüfen Sie vor der Bereitstellung die ALE-Release-Notes.

Drittens: DNS ist Ihr Freund und Ihr Feind. Wenn Ihr Captive Portal nicht angezeigt wird, überprüfen Sie zuerst Ihren DHCP-Bereich. Wenn der Client keinen gültigen DNS-Server zugewiesen bekommt, kann er die Portal-URL nicht auflösen, und der gesamte Prozess stoppt. Dies ist das mit Abstand häufigste Support-Problem bei Captive Portal-Bereitstellungen.

Viertens: Verwenden Sie für sicheres Mitarbeiter-WiFi mittels 802.1X in den meisten Umgebungen PEAP mit MSCHAPv2 oder EAP-TLS für zertifikatsbasierte Bereitstellungen. Der Purple RADIUS-Server unterstützt beides. Die Geräte der Mitarbeiter authentifizieren sich gegenüber Microsoft Entra ID oder Okta, und the RADIUS-Server gibt die entsprechende VLAN-Zuweisung für das Netzwerksegment der Mitarbeiter zurück.

Lassen Sie uns eine schnelle Fragerunde durchführen.

Frage: Kann ich diese Integration für die PCI DSS-Compliance in einer Einzelhandelsumgebung nutzen?

Antwort: Ja. Durch den Einsatz von dynamischer VLAN-Steuerung können Sie sicherstellen, dass Kassensysteme immer in einem isolierten VLAN platziert werden, das vollständig vom Gästedatenverkehr getrennt ist. Dies erfüllt die Anforderungen an die Netzwerksegmentierung gemäß PCI DSS 4.0.

Frage: Benötigt Purple eine Hardware-Appliance vor Ort?

Antwort: Nein. Purple ist ein Cloud-Overlay. Es kommuniziert direkt mit Ihrer vorhandenen ALE-Hardware über Standard-RADIUS über das Internet. Es muss keine Hardware installiert werden.

Frage: Was passiert, wenn die Purple-Cloud nicht erreichbar ist?

Antwort: Sie können eine Fallback-Richtlinie auf dem ALE AP konfigurieren. Für Gästenetzwerke können Sie als Fallback den offenen Zugang erlauben. Für Mitarbeiternetzwerke konfigurieren Sie ein „Deny-All“-Fallback, um die Sicherheit zu gewährleisten.

Frage: Kann ich Analysedaten aus der Integration erfassen?

Antwort: Ja. Jede authentifizierte Sitzung generiert ein Besucherprofil in der Purple-Plattform. Sie erhalten Verweildauer, Besuchshäufigkeit, Gerätetyp und demografische Daten aus dem Registrierungsformular. Dies fließt über die Purple-Bibliothek mit über 400 Konnektoren direkt in Ihr CRM ein.

Zusammenfassend die wichtigsten Erkenntnisse aus dem heutigen Briefing.

Erstens: Die ALE OmniAccess-Integration mit Purple nutzt Standard-RADIUS auf den Ports 1812 und 1813. Keine proprietären Protokolle erforderlich.

Zweitens: Der Walled Garden ist entscheidend. Wenn er fehlerhaft ist, wird das Captive Portal nicht geladen. Setzen Sie die Purple-Domänen vor allem anderen auf die Whitelist.

Drittens: PPSK mit dynamischer VLAN-Steuerung ist die richtige Architektur für Multi-Tenant-Umgebungen. Eine SSID, eindeutige Passphrasen, isolierte VLANs pro Mieter.

Viertens: Die RADIUS-Attribute 64, 65 und 81 sind die drei Attribute, die Sie für die dynamische VLAN-Zuweisung benötigen. Wenn eines davon fehlt, schlägt die Steuerung fehl.

Fünftens: Purple ist hardwareunabhängig. Ihre Richtlinien befinden sich in der Cloud, nicht auf dem Controller. Dies gibt Ihnen die Flexibilität, über verschiedene Hardware-Anbieter hinweg zu skalieren.

Ihr nächster Schritt besteht darin, sich in Ihr Purple-Portal einzuloggen, zu den Hardware-Einstellungen Ihres Veranstaltungsorts zu navigieren und Ihre spezifischen RADIUS-Anmeldedaten sowie die Splash-Page-URL abzurufen. Befolgen Sie dann die Konfigurationsschritte in diesem Handbuch, um Ihre ALE OmniAccess-Infrastruktur mit der Purple-Cloud zu verbinden.

Vielen Dank, dass Sie sich dieses technische Briefing von Purple angehört haben. Weitere Informationen finden Sie auf purple.ai.

Wichtigste Erkenntnisse

✓ALE OmniAccess Stellar APs lassen sich über Standard-RADIUS auf den Ports 1812 und 1813 in Purple integrieren – es sind keine proprietären Protokolle oder Vor-Ort-Appliances erforderlich.
✓Der Walled Garden ist die häufigste Fehlerquelle bei der Bereitstellung. Setzen Sie vor dem Go-Live alle Purple-Portal-Domänen und Domänen von Social-Login-Anbietern auf die Whitelist.
✓PPSK mit dynamischer VLAN-Steuerung ist die richtige Architektur für Multi-Tenant-Umgebungen. Eine SSID, eindeutige Passphrasen pro Mieter, isolierte VLANs über die RADIUS-Attribute 64, 65 und 81.
✓Alle drei RADIUS-Tunnelattribute müssen in der Access-Accept-Nachricht vorhanden sein. Wenn Attribut 81 (Tunnel-Private-Group-ID) fehlt, ignoriert der ALE AP die VLAN-Zuweisung.
✓Purple fungiert als Cloud-Overlay. Richtlinien befinden sich im Purple-Portal, nicht auf dem lokalen Controller, was Ihnen hardwareunabhängige Flexibilität bei der Skalierung oder dem Austausch der Infrastruktur bietet.
✓Stellen Sie das RADIUS-Accounting auf Intervalle von 300 Sekunden ein, um sicherzustellen, dass genaue Sitzungsdaten in die Analyseplattform von Purple einfließen.
✓Purple besitzt Zertifizierungen nach ISO 27001, GDPR, CCPA und Cyber Essentials und eignet sich daher für regulierte Umgebungen, einschließlich des Gesundheitswesens, des öffentlichen Sektors und von Einzelhandelsbereitstellungen im Rahmen von PCI DSS.

Management-Zusammenfassung

Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar Access Points lassen sich über Standard-RADIUS-Protokolle und externe Captive Portal-Weiterleitung in Purple integrieren. Es ist keine proprietäre Middleware erforderlich. Purple fungiert als Cloud-Overlay, das auf Ihrer bestehenden ALE-Infrastruktur aufsetzt und die Authentifizierung, Datenerfassung und Sitzungsrichtlinien übernimmt, ohne dass Hardwareänderungen erforderlich sind.

Dieses Handbuch deckt drei Bereitstellungsszenarien ab. Erstens: Gäste-WiFi mit externer Captive Portal-Weiterleitung und Walled-Garden-Konfiguration. Zweitens: sicheres Mitarbeiter-WiFi mittels 802.1X mit PEAP oder EAP-TLS. Drittens: Multi-Tenant-WiFi unter Verwendung von Private Pre-Shared Keys (PPSK) und dynamischer VLAN-Steuerung über die RADIUS-Attribute 64, 65 und 81.

Purple bedient mehr als 80.000 Live-Veranstaltungsorte und verarbeitete im Jahr 2024 über 440 Millionen Anmeldungen (interne Purple-Daten, 2024). Es besitzt Zertifizierungen nach ISO 27001, GDPR, CCPA und Cyber Essentials. Die Plattform arbeitet mit einer Verfügbarkeit von 99,999 % und ist damit ein zuverlässiges Authentifizierungs-Backend für Unternehmensbereitstellungen.

Wenn Sie als IT-Manager oder Netzwerkarchitekt ALE OmniAccess-Hardware im Gastgewerbe, im Einzelhandel, bei Veranstaltungen oder im öffentlichen Sektor bereitstellen, bietet Ihnen dieses Handbuch die genauen Konfigurationsschritte, um von der Hardware zu einem voll funktionsfähigen identitätsbasierten Netzwerk zu gelangen.

Technische Architektur und Integrationsablauf

Die Integration von Purple mit ALE OmniAccess Stellar basiert auf zwei Standardprotokollen: RADIUS für Authentifizierung und Accounting sowie HTTP/HTTPS-Weiterleitung für die Bereitstellung des Captive Portals. Der ALE AP fungiert als Network Access Server (NAS), der Authentifizierungsanfragen an den Purple-Cloud-RADIUS-Server weiterleitet und die in der Access-Accept-Antwort zurückgegebenen Richtlinien durchsetzt.

Abbildung 1: Authentifizierungsablauf zwischen Gastgerät, ALE OmniAccess Stellar AP und Purple-Cloud-RADIUS.

Der Ablauf gestaltet sich wie folgt: Ein Besucher verbindet sich mit der offenen Gäste-WiFi-SSID. Der ALE AP weist eine temporäre IP-Adresse aus dem Pre-Authentication-DHCP-Pool zu und fängt die erste HTTP- oder HTTPS-Anfrage des Besuchers ab. Der AP leitet den Browser an die URL des Purple Captive Portals weiter und übergibt dabei die MAC-Adresse des Clients und die NAS-Kennung des APs als URL-Parameter. Der Besucher authentifiziert sich über die Purple Splash-Page – per E-Mail, Social Login oder SMS-Verifizierung. Der RADIUS-Server von Purple validiert die Sitzung und sendet eine Access-Accept-Nachricht an den ALE AP zurück. Der AP gewährt Internetzugang und beginnt mit dem Senden von RADIUS-Accounting-Updates an Purple im konfigurierten Intervall.

Bei erweiterten Bereitstellungen mit PPSK und dynamischer VLAN-Steuerung enthält die RADIUS-Access-Accept-Nachricht auch Attribute für die VLAN-Zuweisung. Der ALE AP nutzt diese, um den Client-Datenverkehr direkt in das richtige VLAN-Segment zu leiten und ihn so von anderen Benutzern auf derselben physischen Infrastruktur zu isolieren.

Implementierungshandbuch

Teil 1: Gäste-WiFi mit externem Captive Portal

Dieser Abschnitt behandelt die Konfiguration des Alcatel-Lucent Captive Portals für die externe Weiterleitung zu Purple. Diese Schritte gelten für ALE OmniAccess Stellar APs, die über OmniVista Cirrus, OmniVista 2500 oder die Webschnittstelle von Stellar Express verwaltet werden.

Schritt 1: Purple RADIUS-Anmeldedaten abrufen

Melden Sie sich in Ihrem Purple-Portal an. Navigieren Sie zu Management > Venues, wählen Sie Ihren Veranstaltungsort aus und öffnen Sie den Bereich Hardware. Fügen Sie einen neuen Hardware-Eintrag hinzu und wählen Sie Alcatel-Lucent OmniAccess Stellar als Hardwaretyp aus. Purple generiert ein eindeutiges RADIUS Shared Secret, eine IP-Adresse für den Authentifizierungsserver und eine Captive Portal-URL für Ihren Veranstaltungsort. Notieren Sie sich diese Werte, bevor Sie fortfahren.

Schritt 2: RADIUS-Server auf dem ALE AP konfigurieren

Navigieren Sie in Ihrer ALE-Verwaltungsoberfläche zu den Authentifizierungseinstellungen und fügen Sie ein neues RADIUS-Serverprofil hinzu.

Parameter	Wert
Server IP / Hostname	Wie im Purple-Portal bereitgestellt
Authentication Port	1812
Accounting Port	1813
Shared Secret	Wie im Purple-Portal bereitgestellt
RADIUS Accounting	Aktiviert
Accounting Interval	300 Sekunden

Aktivieren Sie einen sekundären RADIUS-Server unter Verwendung der Backup-IP aus dem Purple-Portal. Dies stellt ein Failover sicher, falls der primäre Server vorübergehend nicht erreichbar ist.

Schritt 3: Walled Garden konfigurieren

Der Walled Garden definiert die Domänen, die ein Gerät vor Abschluss der Authentifizierung erreichen kann. Konfigurieren Sie die folgenden Einträge in der Pre-Authentication-Zugriffsliste:

Kern-Domänen von Purple (erforderlich):

Domain	Zweck
region1.purpleportal.net	Purple Captive Portal
venuewifi.com	Purple-Sitzungsverwaltung
cloudfront.net	CDN für Portal-Assets
openweathermap.org	Wetter-Widget (optional)
stripe.com	Kostenpflichtige WiFi-Zahlungen (falls zutreffend)

Social-Login-Domänen (nach Bedarf hinzufügen):

Anbieter	Domains
Facebook	facebook.com, fbcdn.net, connect.facebook.net
LinkedIn	linkedin.com, licdn.net
Google	accounts.google.com, googleapis.com

Das Weglassen einer erforderlichen Domäne führt dazu, dass die entsprechende Anmeldemethode geräuschlos fehlschlägt. Testen Sie jede Anmeldemethode nach der Konfiguration.

Schritt 4: Gäste-WiFi-SSID konfigurieren

Erstellen Sie ein neues WLAN-Profil mit den folgenden Einstellungen:

Parameter	Wert
Security Level	Open
Captive Portal	Aktiviert
Captive Portal Type	Extern
Redirect URL	Wie im Purple-Portal bereitgestellt
HTTPS Redirect	Deaktiviert (außer es ist ein SSL-Zertifikat installiert)
Inactivity Timeout	1800 Sekunden (30 Minuten)
RADIUS Server Profile	Purple-RADIUS-Profil (in Schritt 2 erstellt)

Wenn Sie eine HTTPS-Weiterleitung benötigen, installieren Sie ein gültiges SSL-Zertifikat im ALE AP unter System > General > Certificate Management. Beachten Sie, dass Wildcard-Zertifikate nicht untetützt vom Stellar AP für diesen Zweck.

Schritt 5: SSID einer AP-Gruppe zuweisen

Wenden Sie das WLAN-Profil auf die entsprechende AP-Gruppe in OmniVista an. Stellen Sie sicher, dass die APs die SSID ausstrahlen und dass sich Clients verbinden können, bevor Sie den Captive Portal-Ablauf testen.

Teil 2: Mitarbeiter-WiFi mit 802.1X sichern

Verwenden Sie für das Mitarbeiter-WiFi WPA2-Enterprise oder WPA3-Enterprise mit 802.1X-Authentifizierung. Dies eliminiert gemeinsam genutzte Passwörter und verknüpft den Zugriff mit individuellen Benutzeridentitäten, die in Microsoft Entra ID, Okta oder Google Workspace verwaltet werden.

Schritt 1: 802.1X-SSID konfigurieren

Erstellen Sie ein separates WLAN-Profil für Mitarbeiter. Stellen Sie den Sicherheitstyp auf WPA2-Enterprise oder WPA3-Enterprise ein und weisen Sie den Purple RADIUS-Server als Authentifizierungs-Backend zu. Der RADIUS-Server von Purple leitet Authentifizierungsanfragen über LDAP oder SAML an Ihren Identity Provider weiter.

Schritt 2: EAP-Methode auswählen

Verwenden Sie für die meisten Bereitstellungen PEAP mit MSCHAPv2. Dies erfordert nur ein serverseitiges Zertifikat und funktioniert mit Standard-Supplicants für Windows, macOS, iOS und Android. Verwenden Sie für Umgebungen mit höheren Sicherheitsanforderungen EAP-TLS mit Client-Zertifikaten, die über Ihre PKI ausgestellt wurden.

Schritt 3: Mitarbeiter einem dedizierten VLAN zuweisen

Konfigurieren Sie den Purple RADIUS-Server so, dass er Tunnel-Private-Group-ID = Ihre Mitarbeiter-VLAN-ID in der Access-Accept-Antwort zurückgibt. Dies stellt sicher, dass Mitarbeitergeräte im Unternehmensnetzwerksegment landen, getrennt vom Gastdatenverkehr auf Layer 2.

Teil 3: Multi-Tenant-WiFi mit PPSK und dynamischer VLAN-Steuerung

PPSK (Private Pre-Shared Key) – in einigen Herstellerdokumentationen auch als iPSK (Identity PSK) bezeichnet – ermöglicht es einer einzigen SSID, mehrere isolierte Benutzergruppen zu bedienen. Jede Gruppe erhält ein eindeutiges Passwort. Der RADIUS-Server ordnet jedes Passwort einem bestimmten VLAN zu und sorgt so für eine netzwerkseitige Isolierung pro Mandant, ohne den RF-Overhead mehrerer SSIDs.

Abbildung 2: PPSK-Multi-Tenant-VLAN-Segmentierung auf einer einzelnen ALE OmniAccess-SSID.

Schritt 1: PPSK-SSID erstellen

Erstellen Sie ein neues WLAN-Profil und stellen Sie den Authentifizierungstyp auf WPA2-PSK mit RADIUS-gestützter PSK-Validierung ein. In der Stellar-Firmware 4.0.8.16 und höher (für die Modelle AP1301 und höher) wird die dynamische VLAN-Zuweisung über RADIUS im Express-Modus unterstützt. Verwenden Sie für ältere Modelle oder frühere Firmware-Versionen den von OmniVista verwalteten Modus.

Schritt 2: Mandanten-Passwörter in Purple definieren

Erstellen Sie im Purple-Portal eine PPSK-Gruppe für jeden Mandanten. Weisen Sie jedem Mandanten ein eindeutiges Passwort zu und ordnen Sie jedes Passwort der entsprechenden VLAN-ID zu. Purple speichert diese Zuordnungen in seiner RADIUS-Datenbank.

Schritt 3: RADIUS-Attribute für die VLAN-Steuerung konfigurieren

Stellen Sie sicher, dass der Purple RADIUS-Server in jeder Access-Accept-Antwort die folgenden IETF-Standardattribute zurückgibt:

Attributnummer	Attributname	Wert
64	Tunnel-Type	13 (VLAN)
65	Tunnel-Medium-Type	6 (IEEE 802 / Ethernet)
81	Tunnel-Private-Group-ID	VLAN ID (z. B. "30")

Alle drei Attribute müssen vorhanden sein. Wenn eines davon fehlt, ignoriert der ALE AP die VLAN-Zuweisung und leitet den Client in das Standard-VLAN weiter.

Schritt 4: VLAN-Trunking auf dem Uplink überprüfen

Stellen Sie sicher, dass alle Mandanten-VLANs auf dem Uplink-Port zwischen dem ALE AP und dem Distribution-Switch getaggt sind. Ein AP kann keinen Datenverkehr an ein VLAN weiterleiten, das auf seinem Uplink-Trunk nicht zugelassen ist.

Best Practices

Die folgenden Empfehlungen entsprechen der gängigen Praxis für drahtlose Unternehmensnetzwerke und stehen im Einklang mit den Anforderungen von IEEE 802.1X, PCI DSS 4.0 und der GDPR.

Trennen Sie das Gast-WiFi vom Mitarbeiter-WiFi auf Layer 2. Leiten Sie Gast- und Mitarbeiterdatenverkehr niemals über dasselbe VLAN. Verwenden Sie eine RADIUS-gesteuerte VLAN-Zuweisung, um diese Trennung automatisch zu erzwingen, unabhängig davon, mit welchem AP sich der Benutzer verbindet.

Verwenden Sie HTTPS für alle Captive Portal-Weiterleitungen. Installieren Sie ein gültiges SSL-Zertifikat auf dem ALE AP, um die HTTPS-Weiterleitung zu aktivieren. Dies verhindert, dass Browser Sicherheitswarnungen auf der Splash-Page anzeigen, was die Absprungraten senkt und den GDPR-Anforderungen für eine sichere Datenverarbeitung entspricht.

Stellen das RADIUS-Accounting-Intervall auf 300 Sekunden ein. Dies versorgt Purple mit regelmäßigen Sitzungsaktualisierungen für eine präzise Analyse. Bei einem Intervall von mehr als 600 Sekunden besteht das Risiko, dass Sitzungsdaten verloren gehen, wenn sich ein Client ohne saubere De-Authentifizierung trennt.

Testen Sie den Walled Garden vor der Liveschaltung. Verbinden Sie ein Testgerät mit der Gast-WiFi-SSID und versuchen Sie, auf die einzelnen Social-Login-Anbieter zuzugreifen. Wenn ein Login fehlschlägt, fehlt die entsprechende Domain im Walled Garden.

Segmentieren Sie IoT-Geräte mithilfe von PPSK. In Einzelhandels- und Gastronomieumgebungen sollten IoT-Geräte wie digitale Beschilderungen, Zahlungsterminals und Umgebungssensoren jeweils einen eindeutigen PPSK erhalten, der einem isolierten VLAN zugeordnet ist. Dies verhindert, dass ein kompromittiertes IoT-Gerät auf das gesamte Netzwerk zugreift.

Weitere Informationen zu Sicherheitsstandards und -architekturen für Unternehmens-WiFi finden Sie in unserem Leitfaden zur WiFi-Sicherheit in Unternehmen .

Fehlerbehebung und Risikominderung

Die folgende Tabelle beschreibt die häufigsten Fehlerursachen bei Integrationen von ALE OmniAccess und Purple.

Symptom	Wahrscheinlichste Ursache	Lösung
Captive Portal wird nicht angezeigt	Fehlkonfiguration des Walled Garden oder fehlendes DNS	Überprüfen Sie, ob die Purple-Domains auf der Whitelist stehen; stellen Sie sicher, dass der DHCP-Bereich einen gültigen DNS-Server enthält
RADIUS-Authentifizierung schlägt fehl	Abweichung beim Shared Secret oder Firewall blockiert UDP 1812/1813	Geben Sie das Shared Secret aus dem Purple-Portal erneut ein; bestätigen Sie, dass die Firewall-Regeln ausgehenden Datenverkehr über UDP 1812 und 1813 zulassen
Benutzer landen im falschen VLAN	Fehlende RADIUS-Tunnel-Attribute oder Einschränkung der AP-Firmware	Bestätigen Sie, dass alle drei RADIUS-Attribute (64, 65, 81) zurückgegeben werden; überprüfen Sie, ob die ALE-Firmware-Version dynamisches VLAN unterstützt
Social-Login-Button funktioniert nicht	Domain des Social-Media-Anbieters fehlt im Walled Garden	Fügen Sie die erforderlichen Domains des Social-Media-Anbieters hzur Pre-Authentication Access List
HTTPS Captive Portal zeigt Zertifikatswarnung	Wildcard-Zertifikat verwendet oder kein Zertifikat installiert	Installieren Sie ein domänenspezifisches SSL-Zertifikat über System > Allgemein > Zertifikatsverwaltung
Sitzungsdaten fehlen in Purple Analytics	RADIUS-Accounting deaktiviert oder Intervall zu lang	RADIUS-Accounting aktivieren; Intervall auf 300 Sekunden einstellen

Aktivieren Sie bei anhaltenden RADIUS-Problemen das Debug-Logging auf dem ALE AP und erfassen Sie den RADIUS-Austausch. Suchen Sie nach Access-Reject-Meldungen und überprüfen Sie den Code für den Ablehnungsgrund. Zu den häufigen Codes gehören 16 (Authentifizierungsfehler) und 18 (fehlendes Attribut).

ROI und geschäftliche Auswirkungen

Die Bereitstellung von Purple auf ALE OmniAccess-Hardware verwandelt ein passives Netzwerk in ein aktives Daten-Asset. Jede authentifizierte Sitzung generiert ein Besucherprofil: E-Mail-Adresse, Besuchshäufigkeit, Verweildauer und Gerätetyp. Diese First-Party-Daten fließen über die Bibliothek von Purple mit über 400 Konnektoren direkt in Ihr CRM.

Harrods erzielte einen 57-fachen Marketing-ROI mit seiner Guest WiFi-Bereitstellung, indem die Datenerfassung von Purple genutzt wurde, um Anmeldungen für das Treueprogramm zu fördern (Purple Fallstudie, 2023). AGS Airports generierte einen ROI von 842 % durch die Implementierung von kostenpflichtigem WiFi auf ihrem gesamten Gelände (Purple Fallstudie, 2022).

Für Betreiber im Gastgewerbe ist das Captive Portal der primäre Touchpoint für die Erfassung von Gästedaten. In Einzelhandelsumgebungen ermöglicht es Analysen des Käuferverhaltens und zielgerichtete Werbeaktionen. Für Verkehrsknotenpunkte liefert es Passagierflussdaten und konformitätsbereite Sitzungsprotokollierung.

Die Guest WiFi -Plattform und die WiFi Analytics -Tools von Purple bieten Ihnen die Berichtsstruktur, um diese Ergebnisse zu messen. Verfolgen Sie Authentifizierungsraten, Sitzungsdauern, die Rate wiederkehrender Besucher und die Opt-in-Conversion über ein einziges Dashboard.

Weitere Anleitungen zur Integration finden Sie im WatchGuard Firebox-Integrationshandbuch , das eine ähnliche RADIUS-basierte Architektur auf einer anderen Hardwareplattform beschreibt.

Schlüsseldefinitionen

PPSK (Private Pre-Shared Key)

Eine Sicherheitsmethode, bei der einzelnen Benutzern oder Geräten eindeutige Passphrasen für eine einzige SSID zugewiesen werden, anstatt ein gemeinsames globales Passwort zu nutzen. Der RADIUS-Server ordnet jede Passphrase einer bestimmten Richtlinie oder einem VLAN zu.

Wird in Multi-Tenant-WiFi verwendet, um den Datenverkehr zwischen Mietern, Bewohnern oder Event-Gruppen zu isolieren, ohne mehrere SSIDs bereitzustellen.

RADIUS (Remote Authentication Dial-In User Service)

Ein in RFC 2865 definiertes Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Abrechnung (AAA) für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden.

Das Kernprotokoll, das Purple zur Kommunikation mit ALE-Hardware verwendet. Der ALE AP sendet Access-Request-Nachrichten; Purple antwortet mit Access-Accept oder Access-Reject.

Dynamic VLAN steering

Der Prozess der Zuweisung eines verbundenen Geräts zu einem bestimmten VLAN basierend auf RADIUS-Attributen, die während der Authentifizierung zurückgegeben werden, anstatt eines statisch auf der SSID konfigurierten VLANs.

Unerlässlich für Multi-Tenant-Bereitstellungen, bei denen verschiedene Benutzergruppen auf derselben physischen AP-Infrastruktur isoliert werden müssen.

Walled Garden

Eine kontrollierte Umgebung, die den Internetzugang eines Geräts auf eine vordefinierte Auswahl von Domänen beschränkt, bevor die Authentifizierung abgeschlossen ist.

Erforderlich, damit Geräte das Purple Captive Portal und externe Identitätsanbieter erreichen können, bevor sich der Benutzer angemeldet hat.

Captive portal

Eine Webseite, die die Browsersitzung eines Benutzers abfängt und ihn auffordert, sich zu authentifizieren oder Bedingungen zu akzeptieren, bevor er vollen Netzwerkzugriff erhält.

Die primäre Benutzeroberfläche, auf der Besucher ihre Zustimmung geben und First-Party-Daten bereitstellen. Purple hostet diese Seite in der Cloud; der ALE AP führt die Weiterleitung durch.

Identity-Based Network

Eine Netzwerkarchitektur, bei der Zugriffsrichtlinien, VLAN-Zuweisungen und Bandbreitensteuerungen davon abhängen, wer der Benutzer ist, und nicht davon, wo oder wie er sich verbindet.

Das architektonische Ergebnis der Integration von ALE-Hardware mit dem Authentifizierungs-Overlay von Purple.

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die sich mit einem LAN oder WLAN verbinden. Er erfordert einen Supplicant auf dem Client-Gerät, einen Authenticator (den AP) und einen Authentifizierungsserver (RADIUS).

Der Standard, der für sichere Mitarbeiter-WiFi-Bereitstellungen verwendet wird. Erübrigt gemeinsame Passwörter und verknüpft den Zugriff mit individuellen Benutzeridentitäten.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Eine zertifikatsbasierte EAP-Methode, bei der sowohl der Client als auch der RADIUS-Server digitale Zertifikate zur gegenseitigen Authentifizierung vorlegen.

Die sicherste 802.1X-Methode. Erfordert eine PKI-Infrastruktur zur Ausstellung von Client-Zertifikaten, schließt jedoch den Diebstahl passwortbasierter Anmeldedaten vollständig aus.

PEAP (Protected Extensible Authentication Protocol)

Eine EAP-Methode, die den internen Authentifizierungsaustausch in einer TLS-Sitzung tunnelt und so die Anmeldedaten bei der Übertragung schützt. Wird häufig mit MSCHAPv2 als interner Methode verwendet.

Die am häufigsten verwendete 802.1X-Methode in Unternehmensumgebungen. Erfordert nur ein serverseitiges Zertifikat und funktioniert mit Standard-Betriebssystem-Supplicants.

NAS (Network Access Server)

In der RADIUS-Terminologie das Gerät, das die Zugriffskontrolle erzwingt – in diesem Fall der ALE OmniAccess Stellar AP. Der NAS leitet Authentifizierungsanfragen an den RADIUS-Server weiter und setzt die zurückgegebenen Richtlinien durch.

Der ALE AP fungiert bei der Purple-Integration als NAS. Seine IP-Adresse und sein Shared Secret müssen im Purple-Portal als vertrauenswürdiger NAS-Client registriert werden.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern im Zentrum von London nutzt auf dem gesamten Gelände ALE OmniAccess Stellar APs. Es müssen Hotelgäste, das Back-of-House-Personal und ein Restaurant im Erdgeschoss als drei völlig separate Netzwerksegmente bedient werden. Um die HF-Leistung zu schonen, soll die Ausstrahlung mehrerer SSIDs vermieden werden.

Stellen Sie eine einzelne sichere SSID mittels PPSK bereit. Konfigurieren Sie die ALE OmniAccess APs so, dass sie sich gegenüber dem Purple RADIUS-Server authentifizieren. Erstellen Sie im Purple-Portal drei PPSK-Gruppen: Hotelgäste (VLAN 10), Personal (VLAN 20) und Restaurant (VLAN 30). Der RADIUS-Server gibt je nach verwendeter Passphrase des Geräts Tunnel-Private-Group-ID = 10, 20 oder 30 zurück. Der ALE AP leitet jedes Gerät dynamisch in das richtige VLAN weiter. Hotelgäste erhalten ausschließlich Internetzugang. Das Personal erhält Zugriff auf das Hotelmanagementsystem. Das Restaurant erhält ein isoliertes Segment für seine EPOS-Terminals.

Kommentar des Prüfers: Dieser Ansatz macht drei SSIDs überflüssig und ersetzt sie durch eine einzige, was Gleichkanalstörungen und den Verwaltungsaufwand reduziert. Die wichtigste technische Voraussetzung ist, dass alle drei VLANs auf dem Uplink-Trunk zwischen dem AP und dem Verteilungsswitch getaggt sein müssen. Wenn ein VLAN auf dem Trunk fehlt, erhalten Geräte, die diese Passphrase verwenden, keine DHCP-Adresse.

Ein Konferenzzentrum veranstaltet 15 Firmen-Events gleichzeitig. Jeder Event-Organisator benötigt ein eigenes, isoliertes WiFi-Netzwerk für die Teilnehmer, aber der Veranstaltungsort verfügt nur über eine einzige ALE OmniAccess-Infrastruktur. Das IT-Team des Veranstaltungsorts muss Netzwerke zwischen den Events schnell bereitstellen und wieder abbauen können.

Nutzen Sie das PPSK-Management von Purple, um eventbezogene Passphrasen zu erstellen, die dedizierten Event-VLANs zugeordnet sind. Der Veranstaltungsort konfiguriert vorab 15 VLAN-Segmente auf der ALE-Infrastruktur. Für jedes Event erstellt das IT-Team einen neuen PPSK-Eintrag im Purple-Portal, weist ihn dem richtigen VLAN zu und stellt dem Event-Organisator die Passphrase zur Verfügung. Am Ende des Events widerrufen sie die Passphrase in Purple. Der ALE AP akzeptiert diese Passphrase sofort nicht mehr und isoliert das stillgelegte VLAN. Es ist keine Neukonfiguration des APs erforderlich.

Kommentar des Prüfers: Diese Architektur trennt den Bereitstellungs-Workflow von der Hardwarekonfiguration. Die ALE APs bleiben statisch; alle Änderungen erfolgen in der Purple-Cloud. Dies ist der praktische Vorteil eines Cloud-Overlays: Sie können Zugriffe hinzufügen, ändern oder widerrufen, ohne die physische Infrastruktur anzufassen. In Event-Umgebungen verkürzt dies die Bereitstellungszeit von Stunden auf Minuten.

Übungsfragen

Q1. Sie haben das Alcatel-Lucent Captive Portal auf einem ALE OmniAccess Stellar AP konfiguriert. Gäste verbinden sich mit der SSID und erhalten eine IP-Adresse, aber ihre Geräte zeigen „Keine Internetverbindung“ an und die Splash-Page wird nicht angezeigt. Was sind die zwei wahrscheinlichsten Ursachen und wie lösen Sie diese jeweils?

Hinweis: Bedenken Sie, was auf der DNS- und HTTP-Ebene geschehen muss, bevor die Captive Portal-Weiterleitung stattfinden kann.

Musterlösung anzeigen

Ursache 1: Der DHCP-Bereich enthält keinen gültigen DNS-Server. Ohne DNS kann der Client die Captive Portal-URL nicht auflösen, und der Erkennungsmechanismus für das Captive Portal des Betriebssystems schlägt fehl. Lösung: Fügen Sie dem DHCP-Bereich im Gäste-VLAN einen gültigen DNS-Server (z. B. 8.8.8.8) hinzu. Ursache 2: Der Walled Garden enthält die Purple-Portal-Domänen nicht. Ohne diese blockiert der AP die Weiterleitungsanfrage, bevor sie den Client erreicht. Lösung: Fügen Sie region1.purpleportal.net, venuewifi.com und cloudfront.net zur Pre-Authentication-Zugriffsliste hinzu.

Q2. Ihre Multi-Tenant-WiFi-Bereitstellung verwendet PPSK auf einer einzigen ALE OmniAccess SSID. Benutzer authentifizieren sich erfolgreich – das Purple-Portal zeigt erfolgreiche Anmeldungen an –, aber alle Benutzer erhalten IP-Adressen aus VLAN 1 anstelle ihrer zugewiesenen Mieter-VLANs. Was ist die wahrscheinlichste Ursache?

Hinweis: Überprüfen Sie die Kommunikation zwischen dem RADIUS-Server und dem AP sowie die Uplink-Konfiguration des APs.

Musterlösung anzeigen

Es gibt zwei wahrscheinliche Ursachen. Erstens gibt der Purple RADIUS-Server möglicherweise nicht alle drei erforderlichen RADIUS-Tunnelattribute (64, 65, 81) in der Access-Accept-Nachricht zurück. Überprüfen Sie, ob die Durchsetzungsrichtlinie Tunnel-Type = 13, Tunnel-Medium-Type = 6 und Tunnel-Private-Group-ID = die korrekte VLAN-ID enthält. Zweitens sind die Mieter-VLANs möglicherweise nicht auf dem Uplink-Trunk zwischen dem ALE AP und dem Verteilungsswitch getaggt. Wenn das VLAN auf dem Trunk nicht existiert, kann der AP den Datenverkehr nicht dorthin leiten, selbst wenn die RADIUS-Attribute korrekt sind.

Q3. Ein Veranstaltungsort verlangt, dass Gästesitzungen nach 60 Minuten automatisch beendet werden und dass Gäste, die innerhalb von 24 Stunden wiederkehren, erkannt werden und das Registrierungsformular überspringen. Wie sollte dies in der Purple- und ALE-Architektur konfiguriert werden?

Hinweis: Bedenken Sie, welches System die Sitzungsdauer steuert und welches System die Wiedererkennung wiederkehrender Besucher regelt.

Musterlösung anzeigen

Die Sitzungsbeendigung wird über das RADIUS-Attribut Session-Timeout gesteuert. Konfigurieren Sie den Purple RADIUS-Server so, dass er Session-Timeout = 3600 (Sekunden) in der Access-Accept-Nachricht mitsendet. Der ALE AP trennt die Verbindung des Clients nach 3600 Sekunden. Die Wiedererkennung wiederkehrender Besucher wird im Purple-Portal gesteuert. Aktivieren Sie die Einstellung „Gerät merken“ oder die MAC-basierte Re-Authentifizierung für Ihren Veranstaltungsort. Wenn sich ein wiederkehrender Besucher innerhalb des konfigurierten Zeitfensters verbindet, erkennt der RADIUS-Server von Purple seine MAC-Adresse und gibt ein Access-Accept zurück, ohne dass eine Interaktion mit der Splash-Page erforderlich ist, was eine nahtlose Wiederverbindung ermöglicht.

Q4. Sie stellen Mitarbeiter-WiFi mittels 802.1X auf ALE OmniAccess Stellar APs bereit. Ihre Organisation nutzt Microsoft Entra ID als Identitätsanbieter. Die Geräte der Mitarbeiter sind Windows 11-Laptops, die über Intune verwaltet werden. Welche EAP-Methode sollten Sie verwenden und welche Zertifikatsanforderungen gelten?

Hinweis: Berücksichtigen Sie das Gleichgewicht zwischen Sicherheit, Bereitstellungskomplexität und den Funktionen der vorhandenen Infrastruktur.

Musterlösung anzeigen

Verwenden Sie PEAP mit MSCHAPv2 als EAP-Methode. Dies erfordert nur ein serverseitiges Zertifikat auf dem Purple RADIUS-Server (bereits von Purple bereitgestellt) und nutzt die Entra ID-Anmeldedaten des Benutzers zur Authentifizierung. Es sind keine Client-Zertifikate erforderlich, was die Bereitstellung auf von Intune verwalteten Geräten vereinfacht. Konfigurieren Sie den Windows 11-Supplicant über ein Intune-Wi-Fi-Profil und geben Sie die SSID, die WPA2-Enterprise-Sicherheit, die PEAP-Methode und den Zertifikats-Fingerabdruck des Purple RADIUS-Servers für die Servervalidierung an. Wenn Ihre Sicherheitsrichtlinie eine zertifikatsbasierte gegenseitige Authentifizierung erfordert, aktualisieren Sie auf EAP-TLS und stellen Sie Client-Zertifikate über Intune SCEP-Profile bereit, was jedoch einen erheblichen PKI-Verwaltungsaufwand bedeutet.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

Diese Anleitung beschreibt die schrittweise Integration von Cisco WLC und Catalyst 9800 Wireless mit Purple. Sie umfasst die Weiterleitung zum Guest WiFi Captive Portal über Central Web Authentication, sicheres Mitarbeiter-WiFi mittels 802.1X EAP-TLS sowie Multi-Tenant-Segmentierung über Cisco Identity Pre-Shared Keys (iPSK) mit dynamischer VLAN-Zuweisung. Sie richtet sich an Netzwerkarchitekten in Unternehmen und IT-Sicherheitsverantwortliche, die Cisco-Infrastrukturen im Gastgewerbe, im Einzelhandel und in großen öffentlichen Veranstaltungsorten bereitstellen.

OpenWrt Custom Firmware Integration with Purple WiFi

Dieses Handbuch bietet das vollständige Integrations-Playbook für die Bereitstellung von OpenWrt Custom Firmware mit Purple WiFi. Es deckt die Konfiguration des CoovaChilli Captive Portal, die Verwaltung des iptables Walled Garden, sicheres Mitarbeiter-WiFi über 802.1X mit hostapd sowie die mandantenfähige PPSK-Segmentierung mit dynamischer VLAN-Zuweisung ab. Damit erhalten IT-Teams die genauen Konfigurationsschritte, die für den Aufbau eines identitätsbasierten Netzwerks auf jeder OpenWrt-fähigen Hardware erforderlich sind.