Alcatel-Lucent Enterprise (ALE) OmniAccess-Integration mit Purple WiFi

Dieses Handbuch beschreibt die technische Integration zwischen Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar Access Points und Purple WiFi. Es behandelt die Captive Portal-Weiterleitung, RADIUS-Authentifizierung, Walled-Garden-Konfiguration, sicheres 802.1X-Mitarbeiter-WiFi sowie die Multi-Tenant-WiFi-Segmentierung mittels Private Pre-Shared Keys (PPSK) mit dynamischer VLAN-Steuerung. Damit erhalten IT-Manager und Netzwerkarchitekten eine vollständige, praxisnahe Referenz für die Bereitstellung identitätsbasierter Netzwerke auf ALE-Hardware.

📖 9 Min. Lesezeit📝 2,047 Wörter🔧 2 ausgearbeitete Beispiele❓ 4 Übungsfragen📚 10 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen beim technischen Briefing von Purple. Heute befassen wir uns mit der Alcatel-Lucent Enterprise OmniAccess Stellar-Integration mit Purple WiFi. Dieses Briefing richtet sich an IT-Manager, Netzwerkarchitekten und Betriebsleiter von Veranstaltungsorten, die sichere, skalierbare und intelligente drahtlose Netzwerke bereitstellen müssen.

Beginnen wir mit dem Kontext. Sie haben einen Veranstaltungsort. Vielleicht ein Hotel, eine Einzelhandelskette oder ein Stadion. Sie haben in ALE OmniAccess-Hardware investiert. Jetzt müssen Sie geschäftlichen Nutzen aus dieser Infrastruktur ziehen. Sie müssen First-Party-Daten erfassen, Ihre Benutzer sicher segmentieren und ein nahtloses Onboarding-Erlebnis bieten. Genau hier kommt das Cloud-Overlay von Purple ins Spiel.

Purple ist an mehr als 80.000 Live-Veranstaltungsorten weltweit im Einsatz und hat im Jahr 2024 über 440 Millionen Anmeldungen verarbeitet. Es ist hardwareunabhängig, was bedeutet, dass es auf Ihrer bestehenden ALE-Infrastruktur aufsetzt, ohne dass ein Hardwareaustausch erforderlich ist. Die gesamte Authentifizierungs- und Datenerfassungslogik befindet sich in der Purple-Cloud.

Der Kern dieser Integration basiert auf RADIUS. Wenn ein Gast Ihren Veranstaltungsort betritt und sich mit der offenen Gäste-WiFi-SSID verbindet, fängt der ALE AP seinen Webverkehr ab. Anstatt ihn direkt ins Internet zu lassen, leitet er seinen Browser auf ein von Purple gehostetes Captive Portal weiter. Dies ist Ihre Splash-Page. Hier präsentieren Sie Ihre Marke, erfassen E-Mail-Adressen oder bieten Social Logins über Facebook, LinkedIn oder Google an.

Sobald der Benutzer seine Daten übermittelt, authentifiziert der RADIUS-Server der Purple-Cloud ihn und sendet eine Access-Accept-Nachricht an den ALE AP zurück. Der AP hebt daraufhin die Firewall-Regeln auf und gewährt Internetzugang. Der gesamte Ablauf dauert weniger als drei Sekunden.

Kommen wir nun zum technischen Deep-Dive. Wie konfigurieren wir das eigentlich?

Zuerst müssen Sie die RADIUS-Server-Einstellungen in Ihrer OmniVista- oder Stellar-Verwaltungsoberfläche konfigurieren. Sie geben die Purple RADIUS-IP-Adressen ein, stellen den Authentifizierungs-Port auf 1812 und den Accounting-Port auf 1813 ein. Ganz wichtig: Stellen Sie sicher, dass das RADIUS-Accounting mit einem Intervall von 300 Sekunden aktiviert ist. Dadurch werden die Sitzungsdaten für Analysen und Compliance-Protokollierung an Purple zurückgemeldet.

Als Nächstes folgt der Walled Garden. Dies ist eine häufige Fehlerquelle bei Bereitstellungen. Bevor ein Benutzer authentifiziert ist, hat er keinen Internetzugang. Er muss jedoch das Purple-Portal erreichen, um sich anzumelden. Sie müssen die Purple-Domänen in Ihrer Pre-Authentication-Zugriffsliste auf die Whitelist setzen. Die Kern-Domänen sind region1.purpleportal.net, venuewifi.com und cloudfront.net. Wenn Sie die Anmeldung über Facebook oder LinkedIn nutzen, müssen Sie auch deren Domänen auf die Whitelist setzen. Wenn der Walled Garden fehlerhaft ist, wird das Captive Portal nicht geladen. Punkt.

Erstellen Sie für die SSID-Konfiguration ein neues drahtloses Netzwerk, stellen Sie die Sicherheitsstufe auf „Open“ und aktivieren Sie die Option „External Captive Portal“. Verweisen Sie mit der Weiterleitungs-URL auf Ihre spezifische Purple Splash-Page-URL, die Sie im Purple-Portal unter den Hardware-Einstellungen Ihres Veranstaltungsorts finden.

Gehen wir zu einem fortgeschritteneren Szenario über: Multi-Tenant-WiFi. Stellen Sie sich einen Coworking-Space oder ein Studentenwohnheim vor. Sie haben mehrere Mieter, die ihre eigenen sicheren, isolierten Netzwerke benötigen. Sie möchten nicht 20 verschiedene SSIDs ausstrahlen. Das zerstört Ihre HF-Leistung und führt zu einer schlechten Benutzererfahrung.

Die Lösung ist PPSK – Private Pre-Shared Keys – kombiniert mit dynamischer VLAN-Steuerung. Sie strahlen eine einzige sichere SSID aus. Aber jeder Mieter erhält eine eindeutige Passphrase. Wenn Mieter A seine Passphrase eingibt, sendet der ALE AP diese Anfrage an den Purple RADIUS-Server. Purple erkennt die Passphrase, authentifiziert den Benutzer und sendet eine Access-Accept-Nachricht zurück.

Aber hier ist der wichtige Teil. Diese Nachricht enthält spezifische RADIUS-Attribute. Attribut 64 für Tunnel-Type, eingestellt auf 13 für VLAN. Attribut 65 für Tunnel-Medium-Type, eingestellt auf 6 für Ethernet. Und Attribut 81, die Tunnel-Private-Group-ID, die die tatsächliche VLAN-ID enthält. Der ALE AP empfängt dies und leitet Mieter A direkt in das VLAN 30 weiter. Wenn sich Mieter B mit einer anderen Passphrase anmeldet, landet er im VLAN 40. Eine SSID, vollständige Layer-2-Isolierung. Das ist identitätsbasiertes Networking in der Praxis.

Sehen wir uns ein Praxisbeispiel an. Ein Hotel mit 200 Zimmern hat diese Architektur auf seinen vorhandenen ALE OmniAccess Stellar APs bereitgestellt. Es mussten Hotelgäste, das Back-of-House-Personal und ein Restaurant im Erdgeschoss als drei völlig separate Netzwerksegmente bedient werden. Anstatt drei SSIDs bereitzustellen, nutzten sie PPSK mit dynamischer VLAN-Steuerung. Das Ergebnis war eine einzige SSID, drei isolierte VLANs und eine erhebliche Reduzierung des Verwaltungsaufwands im Vergleich zu ihrem vorherigen Multi-SSID-Ansatz.

Lassen Sie uns nun über Implementierungsempfehlungen und Fallstricke sprechen.

Erstens: Behalten Sie ein hardwareunabhängiges Design bei. Erstellen Sie Ihre Richtlinien in Purple, nicht auf dem lokalen Controller. Auf diese Weise können Sie später Hardware-Anbieter skalieren oder austauschen, ohne Ihre Sicherheitsrichtlinien von Grund auf neu erstellen zu müssen.

Zweitens: Achten Sie auf die Firmware-Versionen. Stellen Sie sicher, dass auf Ihren ALE APs eine Firmware läuft, die die dynamische VLAN-Zuweisung über RADIUS explizit unterstützt. Ältere Stellar-Firmware-Versionen unterstützen das Attribut Tunnel-Private-Group-ID möglicherweise nicht vollständig. Überprüfen Sie vor der Bereitstellung die ALE-Release-Notes.

Drittens: DNS ist Ihr Freund und Ihr Feind. Wenn Ihr Captive Portal nicht angezeigt wird, überprüfen Sie zuerst Ihren DHCP-Bereich. Wenn der Client keinen gültigen DNS-Server zugewiesen bekommt, kann er die Portal-URL nicht auflösen, und der gesamte Prozess stoppt. Dies ist das mit Abstand häufigste Support-Problem bei Captive Portal-Bereitstellungen.

Viertens: Verwenden Sie für sicheres Mitarbeiter-WiFi mittels 802.1X in den meisten Umgebungen PEAP mit MSCHAPv2 oder EAP-TLS für zertifikatsbasierte Bereitstellungen. Der Purple RADIUS-Server unterstützt beides. Die Geräte der Mitarbeiter authentifizieren sich gegenüber Microsoft Entra ID oder Okta, und the RADIUS-Server gibt die entsprechende VLAN-Zuweisung für das Netzwerksegment der Mitarbeiter zurück.

Lassen Sie uns eine schnelle Fragerunde durchführen.

Frage: Kann ich diese Integration für die PCI DSS-Compliance in einer Einzelhandelsumgebung nutzen?

Antwort: Ja. Durch den Einsatz von dynamischer VLAN-Steuerung können Sie sicherstellen, dass Kassensysteme immer in einem isolierten VLAN platziert werden, das vollständig vom Gästedatenverkehr getrennt ist. Dies erfüllt die Anforderungen an die Netzwerksegmentierung gemäß PCI DSS 4.0.

Frage: Benötigt Purple eine Hardware-Appliance vor Ort?

Antwort: Nein. Purple ist ein Cloud-Overlay. Es kommuniziert direkt mit Ihrer vorhandenen ALE-Hardware über Standard-RADIUS über das Internet. Es muss keine Hardware installiert werden.

Frage: Was passiert, wenn die Purple-Cloud nicht erreichbar ist?

Antwort: Sie können eine Fallback-Richtlinie auf dem ALE AP konfigurieren. Für Gästenetzwerke können Sie als Fallback den offenen Zugang erlauben. Für Mitarbeiternetzwerke konfigurieren Sie ein „Deny-All“-Fallback, um die Sicherheit zu gewährleisten.

Frage: Kann ich Analysedaten aus der Integration erfassen?

Antwort: Ja. Jede authentifizierte Sitzung generiert ein Besucherprofil in der Purple-Plattform. Sie erhalten Verweildauer, Besuchshäufigkeit, Gerätetyp und demografische Daten aus dem Registrierungsformular. Dies fließt über die Purple-Bibliothek mit über 400 Konnektoren direkt in Ihr CRM ein.

Zusammenfassend die wichtigsten Erkenntnisse aus dem heutigen Briefing.

Erstens: Die ALE OmniAccess-Integration mit Purple nutzt Standard-RADIUS auf den Ports 1812 und 1813. Keine proprietären Protokolle erforderlich.

Zweitens: Der Walled Garden ist entscheidend. Wenn er fehlerhaft ist, wird das Captive Portal nicht geladen. Setzen Sie die Purple-Domänen vor allem anderen auf die Whitelist.

Drittens: PPSK mit dynamischer VLAN-Steuerung ist die richtige Architektur für Multi-Tenant-Umgebungen. Eine SSID, eindeutige Passphrasen, isolierte VLANs pro Mieter.

Viertens: Die RADIUS-Attribute 64, 65 und 81 sind die drei Attribute, die Sie für die dynamische VLAN-Zuweisung benötigen. Wenn eines davon fehlt, schlägt die Steuerung fehl.

Fünftens: Purple ist hardwareunabhängig. Ihre Richtlinien befinden sich in der Cloud, nicht auf dem Controller. Dies gibt Ihnen die Flexibilität, über verschiedene Hardware-Anbieter hinweg zu skalieren.

Ihr nächster Schritt besteht darin, sich in Ihr Purple-Portal einzuloggen, zu den Hardware-Einstellungen Ihres Veranstaltungsorts zu navigieren und Ihre spezifischen RADIUS-Anmeldedaten sowie die Splash-Page-URL abzurufen. Befolgen Sie dann die Konfigurationsschritte in diesem Handbuch, um Ihre ALE OmniAccess-Infrastruktur mit der Purple-Cloud zu verbinden.

Vielen Dank, dass Sie sich dieses technische Briefing von Purple angehört haben. Weitere Informationen finden Sie auf purple.ai.

Wichtigste Erkenntnisse

✓ALE OmniAccess Stellar APs lassen sich über Standard-RADIUS auf den Ports 1812 und 1813 in Purple integrieren – es sind keine proprietären Protokolle oder Vor-Ort-Appliances erforderlich.
✓Der Walled Garden ist die häufigste Fehlerquelle bei der Bereitstellung. Setzen Sie vor dem Go-Live alle Purple-Portal-Domänen und Domänen von Social-Login-Anbietern auf die Whitelist.
✓PPSK mit dynamischer VLAN-Steuerung ist die richtige Architektur für Multi-Tenant-Umgebungen. Eine SSID, eindeutige Passphrasen pro Mieter, isolierte VLANs über die RADIUS-Attribute 64, 65 und 81.
✓Alle drei RADIUS-Tunnelattribute müssen in der Access-Accept-Nachricht vorhanden sein. Wenn Attribut 81 (Tunnel-Private-Group-ID) fehlt, ignoriert der ALE AP die VLAN-Zuweisung.
✓Purple fungiert als Cloud-Overlay. Richtlinien befinden sich im Purple-Portal, nicht auf dem lokalen Controller, was Ihnen hardwareunabhängige Flexibilität bei der Skalierung oder dem Austausch der Infrastruktur bietet.
✓Stellen Sie das RADIUS-Accounting auf Intervalle von 300 Sekunden ein, um sicherzustellen, dass genaue Sitzungsdaten in die Analyseplattform von Purple einfließen.
✓Purple besitzt Zertifizierungen nach ISO 27001, GDPR, CCPA und Cyber Essentials und eignet sich daher für regulierte Umgebungen, einschließlich des Gesundheitswesens, des öffentlichen Sektors und von Einzelhandelsbereitstellungen im Rahmen von PCI DSS.

執行摘要

Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar 基地台與 Purple 的整合，是透過標準 RADIUS 協定及外部 Captive Portal 重新導向來完成。不需要任何專有的中介軟體。Purple 做為雲端覆蓋層運作，直接建置在您現有的 ALE 基礎架構之上，處理驗證、數據擷取以及工作階段原則，而不需要變更硬體。

本指南涵蓋三種佈署情境。第一，具備外部 Captive Portal 重新導向與 Walled Garden 設定的訪客 WiFi。第二，使用 802.1X（搭配 PEAP 或 EAP-TLS）的安全員工 WiFi。第三，使用個人預先共用金鑰 (PPSK) 與透過 RADIUS 屬性 64、65 和 81 進行動態 VLAN 導向的多租戶 WiFi。

Purple 為超過 80,000 個實體場域提供服務，並在 2024 年處理了超過 4.4 億次登入（Purple 內部數據，2024 年）。它擁有 ISO 27001、GDPR、CCPA 和 Cyber Essentials 等認證。該平台維持 99.999% 的正常運作時間，使其成為企業佈署中可靠的驗證後端。

如果您是在餐旅、零售、活動或公共部門環境中佈署 ALE OmniAccess 硬體的 IT 經理或網路架構師，本指南將為您提供從硬體到完全運作的「身分識別導向網路」的確切設定步驟。

技術架構與整合流程

Purple 與 ALE OmniAccess Stellar 的整合依賴兩種標準協定：用於驗證和帳務的 RADIUS，以及用於提供 Captive Portal 的 HTTP/HTTPS 重新導向。ALE AP 扮演網路存取伺服器 (NAS) 的角色，將驗證請求轉發至 Purple 雲端 RADIUS 伺服器，並執行 Access-Accept 回應中傳回的原則。

圖 1：訪客裝置、ALE OmniAccess Stellar AP 與 Purple 雲端 RADIUS 之間的驗證流程。

流程運作如下。訪客連線至開放的訪客 WiFi SSID。ALE AP 從預先驗證的 DHCP 位址池中分配一個暫時的 IP 位址，並攔截訪客的第一個 HTTP 或 HTTPS 請求。AP 將瀏覽器重新導向至 Purple Captive Portal URL，並將用戶端的 MAC 位址和 AP 的 NAS 識別碼做為 URL 參數傳遞。訪客透過 Purple 登入頁面進行驗證（使用電子郵件、社群登入或簡訊驗證）。Purple 的 RADIUS 伺服器驗證該工作階段，並向 ALE AP 傳回 Access-Accept 訊息。AP 隨即授予網際網路存取權限，並開始以設定的間隔向 Purple 發送 RADIUS 帳務更新。

對於使用 PPSK 和動態 VLAN 導向的進階部署，RADIUS Access-Accept 訊息還包含 VLAN 分配屬性。ALE AP 使用這些屬性將用戶端流量直接引入正確的 VLAN 區段，將其與同一實體基礎架構上的其他使用者隔離。

實作指南

第 1 部分：使用外部 Captive Portal 的 Guest WiFi

本節涵蓋用於外部重新導向至 Purple 的 Alcatel-Lucent Captive Portal 設定。這些步驟適用於透過 OmniVista Cirrus、OmniVista 2500 或 Stellar Express 網頁介面管理的 ALE OmniAccess Stellar AP。

步驟 1：取得 Purple RADIUS 憑證

登入您的 Purple 入口網站。導覽至 Management > Venues，選取您的場域，然後開啟 Hardware 區段。新增一個硬體項目，並選取 Alcatel-Lucent OmniAccess Stellar 作為硬體類型。Purple 會為您的場域產生一個唯一的 RADIUS 共用密鑰、驗證伺服器 IP 和 Captive Portal URL。請在繼續之前記錄這些值。

步驟 2：在 ALE AP 上設定 RADIUS 伺服器

在您的 ALE 管理介面中，導覽至驗證設定並新增一個 RADIUS 伺服器設定檔。

參數	值
伺服器 IP / 主機名稱	如 Purple 入口網站所提供
驗證連接埠	1812
帳務連接埠	1813
共用密鑰	如 Purple 入口網站所提供
RADIUS 帳務	已啟用
帳務間隔	300 秒

使用 Purple 入口網站中的備用 IP 啟用次要 RADIUS 伺服器。這可確保在主要伺服器暫時無法連線時進行容錯轉移。

步驟 3：設定 Walled Garden

Walled Garden 定義了裝置在完成驗證之前可以存取的網域。在預先驗證存取清單中設定以下項目：

核心 Purple 網域（強制性）：

網域	用途
region1.purpleportal.net	Purple Captive Portal
venuewifi.com	Purple 工作階段管理
cloudfront.net	用於入口網站資產的 CDN
openweathermap.org	天氣小工具（選用）
stripe.com	付費 WiFi 付款（若適用）

社群登入網域（依需求新增）：

提供者	網域
Facebook	facebook.com, fbcdn.net, connect.facebook.net
LinkedIn	linkedin.com, licdn.net
Google	accounts.google.com, googleapis.com

遺漏任何必要的網域將導致對應的登入方法無聲失敗。設定後請測試每種登入方法。

步驟 4：設定 Guest WiFi SSID

建立一個新的 WLAN 設定檔，並進行以下設定：

參數	值
安全層級	開放
Captive Portal	已啟用
Captive Portal 類型	外部
重新導向 URL	如 Purple 入口網站所提供
HTTPS 重新導向	已停用（除非已安裝 SSL 憑證）
閒置逾時	1800 秒（30 分鐘）
RADIUS 伺服器設定檔	Purple RADIUS 設定檔（於步驟 2 建立）
如果您需要 HTTPS 重新導向，請在 ALE AP 的 System > General > Certificate Management 中安裝有效的 SSL 憑證。請注意，Stellar AP 在此用途下不支援萬用字元憑證 (wildcard certificates)。

步驟 5：將 SSID 指派給 AP 群組

將 WLAN 設定檔套用至 OmniVista 中相關的 AP 群組。在測試 Captive Portal 流程之前，請確認 AP 正在廣播該 SSID 且用戶端可以進行關聯。

第 2 部分：使用 802.1X 保護員工 WiFi

針對員工 WiFi，請使用 WPA2-Enterprise 或 WPA3-Enterprise 搭配 802.1X 驗證。這可以免除共用密碼，並將存取權限與 Microsoft Entra ID、Okta 或 Google Workspace 中管理的個人使用者身分綁定。

步驟 1：設定 802.1X SSID

為員工建立一個獨立的 WLAN 設定檔。將安全類型設定為 WPA2-Enterprise 或 WPA3-Enterprise，並指派 Purple RADIUS 伺服器作為驗證後端。Purple 的 RADIUS 伺服器會透過 LDAP 或 SAML 將驗證請求代理傳送至您的身分識別提供者 (IdP)。

步驟 2：選擇 EAP 方法

對於大多數部署，請使用 PEAP 搭配 MSCHAPv2。這只需要伺服器端的憑證，且適用於標準的 Windows、macOS、iOS 和 Android 請求端 (supplicants)。對於安全性要求較高的環境，請使用 EAP-TLS 搭配透過您的 PKI 發行的用戶端憑證。

步驟 3：將員工指派到專屬 VLAN

設定 Purple RADIUS 伺服器，使其在 Access-Accept 回應中傳回 Tunnel-Private-Group-ID = 您的員工 VLAN ID。這能確保員工裝置進入公司網路區段，在 Layer 2 與訪客流量隔離開來。

第 3 部分：使用 PPSK 和動態 VLAN 導向的多租戶 WiFi

PPSK (Private Pre-Shared Key)——在某些廠商的文件中也稱為 iPSK (Identity PSK)——允許單一 SSID 為多個隔離的使用者群組提供服務。每個群組都會收到一個唯一的密碼組合。RADIUS 伺服器會將每個密碼組合對應到特定的 VLAN，從而提供每個租戶的網路隔離，而不會產生多個 SSID 的 RF 開銷。

圖 2：單一 ALE OmniAccess SSID 上的 PPSK 多租戶 VLAN 分割。

步驟 1：建立 PPSK SSID

建立一個新的 WLAN 設定檔，並將驗證類型設定為 WPA2-PSK 搭配 RADIUS 支援的 PSK 驗證。在 Stellar 韌體 4.0.8.16 及以上版本（適用於 AP1301 及更高型號）中，Express Mode 支援透過 RADIUS 進行動態 VLAN 指派。對於較舊的型號或較早的韌體，請使用 OmniVista 託管模式。

步驟 2：在 Purple 中定義租戶密碼

在 Purple 入口網站中，為每個租戶建立一個 PPSK 群組。為每個租戶指派一個唯一的密碼，並將每個密碼對應到相應的 VLAN ID。Purple 會將這些對應關係儲存在其 RADIUS 資料庫中。

步驟 3：設定用於 VLAN 導向的 RADIUS 屬性

請確保 Purple RADIUS 伺服器在每個 Access-Accept 回應中返回以下 IETF 標準屬性：

屬性編號	屬性名稱	值
64	Tunnel-Type	13 (VLAN)
65	Tunnel-Medium-Type	6 (IEEE 802 / Ethernet)
81	Tunnel-Private-Group-ID	VLAN ID (例如 "30")

這三個屬性都必須存在。如果遺漏任何一個，ALE AP 將會忽略 VLAN 分配，並將用戶端置於預設 VLAN 中。

步驟 4：驗證上行鏈路上的 VLAN 中繼 (Trunking)

請確保在 ALE AP 與分發交換器之間網路上行鏈路連接埠上標記了所有租戶 VLAN。AP 無法將流量引導至其上行鏈路中繼不允許的 VLAN。

最佳實踐

以下建議反映了企業級無線部署的標準實踐，並符合 IEEE 802.1X、PCI DSS 4.0 和 GDPR 要求。

在 Layer 2 將訪客 WiFi 與員工 WiFi 隔離。 絕不要將訪客流量與員工流量放在同一個 VLAN。使用 RADIUS 驅動的 VLAN 分配來自動執行此隔離，不論使用者連接到哪個 AP。

對所有 Captive Portal 重定向使用 HTTPS。 在 ALE AP 上安裝有效的 SSL 憑證以啟用 HTTPS 重定向。這可防止瀏覽器在 Splash Page 上顯示安全警告，從而降低流失率並符合 GDPR 對安全數據處理的要求。

將 RADIUS Accounting 間隔設定為 300 秒。 這可為 Purple 提供定期的工作階段更新，以確保數據分析的準確性。如果間隔長於 600 秒，當用戶端在沒有清除解除驗證的情況下斷開連接時，將面臨遺失工作階段數據的風險。

在正式上線前測試 Walled Garden。 將測試裝置連接到訪客 WiFi SSID，並嘗試訪問每個社群媒體登入提供商。如果登入失敗，說明 Walled Garden 中遺漏了對應的網域。

使用 PPSK 隔離 IoT 裝置。 在零售和餐旅環境中，數位看板、付款終端和環境感測器等 IoT 裝置應各自獲得對應到隔離 VLAN 的不重複 PPSK。這可防止受侵害的 IoT 裝置存取更廣泛的網路。

如需進一步閱讀企業 WiFi 安全標準和架構，請參閱我們的企業 WiFi 安全指南。

疑難排解與風險緩釋

下表涵蓋了 ALE OmniAccess 與 Purple 整合中最常見的故障模式。

故障現象	最可能的原因	解決方案
Captive Portal 未出現	Walled Garden 設定錯誤或遺失 DNS	驗證 Purple 網域已列入白名單；檢查 DHCP 範圍是否包含有效的 DNS 伺服器
RADIUS 驗證失敗	共用密鑰不匹配或防火牆阻擋 UDP 1812/1813	重新輸入來自 Purple 入口網站的共用密鑰；確認防火牆規則允許輸出 UDP 1812 和 1813
使用者進入錯誤的 VLAN	遺失 RADIUS 隧道屬性或 AP 韌體限制	確認已傳回所有三個 RADIUS 屬性 (64, 65, 81)；檢查 ALE 韌體版本是否支援動態 VLAN
社群登入按鈕失效	Walled Garden 中遺失社群提供者網域	將所需的社群提供者網域新增至預先驗證存取清單
HTTPS Captive Portal 顯示憑證警告	使用通配符憑證或未安裝憑證	透過系統 > 一般 > 憑證管理安裝特定網域的 SSL 憑證
Purple 分析中遺失工作階段資料	RADIUS Accounting 已停用或間隔太長	啟用 RADIUS Accounting；將間隔設定為 300 秒

若 RADIUS 問題持續存在，請在 ALE AP 上啟用偵錯記錄並擷取 RADIUS 交換。尋找 Access-Reject 訊息並檢查拒絕原因代碼。常見代碼包括 16 (驗證失敗) 與 18 (遺失屬性)。

ROI 與商業影響

在 ALE OmniAccess 硬體上部署 Purple，可將被動網路轉換為主動數據資產。每個通過驗證的工作階段都會產生訪客設定檔：電子郵件地址、造訪頻率、停留時間和裝置類型。此第一方數據會透過 Purple 擁有超過 400 個連接器的資料庫直接匯入您的 CRM。

Harrods 透過使用 Purple 的數據擷取來推動會員計劃註冊，使其 Guest WiFi 部署實現了 57 倍的行銷 ROI (Purple 案例研究，2023 年)。AGS Airports 藉由在旗下機場實施分級頻寬付費 WiFi，創造了 842% 的 ROI (Purple 案例研究，2022 年)。

對於旅宿業者而言，Captive Portal 是擷取顧客數據的首要接觸點。對於零售環境，它能實現顧客行為分析與精準促銷。對於交通樞紐，它能提供旅客流量數據與符合法規的工作階段記錄。

Purple 的 Guest WiFi 平台與 WiFi Analytics 工具為您提供衡量這些成效的報表基礎架構。從單一儀表板追蹤驗證率、工作階段持續時間、回訪客率以及選擇加入 (opt-in) 轉換率。

如需相關整合指引，請參閱 WatchGuard Firebox 整合指南，該指南涵蓋了在不同硬體平台上類似的 RADIUS 架構。

Schlüsseldefinitionen

PPSK (Private Pre-Shared Key)

Eine Sicherheitsmethode, bei der einzelnen Benutzern oder Geräten eindeutige Passphrasen für eine einzige SSID zugewiesen werden, anstatt ein gemeinsames globales Passwort zu nutzen. Der RADIUS-Server ordnet jede Passphrase einer bestimmten Richtlinie oder einem VLAN zu.

Wird in Multi-Tenant-WiFi verwendet, um den Datenverkehr zwischen Mietern, Bewohnern oder Event-Gruppen zu isolieren, ohne mehrere SSIDs bereitzustellen.

RADIUS (Remote Authentication Dial-In User Service)

Ein in RFC 2865 definiertes Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Abrechnung (AAA) für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden.

Das Kernprotokoll, das Purple zur Kommunikation mit ALE-Hardware verwendet. Der ALE AP sendet Access-Request-Nachrichten; Purple antwortet mit Access-Accept oder Access-Reject.

Dynamic VLAN steering

Der Prozess der Zuweisung eines verbundenen Geräts zu einem bestimmten VLAN basierend auf RADIUS-Attributen, die während der Authentifizierung zurückgegeben werden, anstatt eines statisch auf der SSID konfigurierten VLANs.

Unerlässlich für Multi-Tenant-Bereitstellungen, bei denen verschiedene Benutzergruppen auf derselben physischen AP-Infrastruktur isoliert werden müssen.

Walled Garden

Eine kontrollierte Umgebung, die den Internetzugang eines Geräts auf eine vordefinierte Auswahl von Domänen beschränkt, bevor die Authentifizierung abgeschlossen ist.

Erforderlich, damit Geräte das Purple Captive Portal und externe Identitätsanbieter erreichen können, bevor sich der Benutzer angemeldet hat.

Captive portal

Eine Webseite, die die Browsersitzung eines Benutzers abfängt und ihn auffordert, sich zu authentifizieren oder Bedingungen zu akzeptieren, bevor er vollen Netzwerkzugriff erhält.

Die primäre Benutzeroberfläche, auf der Besucher ihre Zustimmung geben und First-Party-Daten bereitstellen. Purple hostet diese Seite in der Cloud; der ALE AP führt die Weiterleitung durch.

Identity-Based Network

Eine Netzwerkarchitektur, bei der Zugriffsrichtlinien, VLAN-Zuweisungen und Bandbreitensteuerungen davon abhängen, wer der Benutzer ist, und nicht davon, wo oder wie er sich verbindet.

Das architektonische Ergebnis der Integration von ALE-Hardware mit dem Authentifizierungs-Overlay von Purple.

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die sich mit einem LAN oder WLAN verbinden. Er erfordert einen Supplicant auf dem Client-Gerät, einen Authenticator (den AP) und einen Authentifizierungsserver (RADIUS).

Der Standard, der für sichere Mitarbeiter-WiFi-Bereitstellungen verwendet wird. Erübrigt gemeinsame Passwörter und verknüpft den Zugriff mit individuellen Benutzeridentitäten.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Eine zertifikatsbasierte EAP-Methode, bei der sowohl der Client als auch der RADIUS-Server digitale Zertifikate zur gegenseitigen Authentifizierung vorlegen.

Die sicherste 802.1X-Methode. Erfordert eine PKI-Infrastruktur zur Ausstellung von Client-Zertifikaten, schließt jedoch den Diebstahl passwortbasierter Anmeldedaten vollständig aus.

PEAP (Protected Extensible Authentication Protocol)

Eine EAP-Methode, die den internen Authentifizierungsaustausch in einer TLS-Sitzung tunnelt und so die Anmeldedaten bei der Übertragung schützt. Wird häufig mit MSCHAPv2 als interner Methode verwendet.

Die am häufigsten verwendete 802.1X-Methode in Unternehmensumgebungen. Erfordert nur ein serverseitiges Zertifikat und funktioniert mit Standard-Betriebssystem-Supplicants.

NAS (Network Access Server)

In der RADIUS-Terminologie das Gerät, das die Zugriffskontrolle erzwingt – in diesem Fall der ALE OmniAccess Stellar AP. Der NAS leitet Authentifizierungsanfragen an den RADIUS-Server weiter und setzt die zurückgegebenen Richtlinien durch.

Der ALE AP fungiert bei der Purple-Integration als NAS. Seine IP-Adresse und sein Shared Secret müssen im Purple-Portal als vertrauenswürdiger NAS-Client registriert werden.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern im Zentrum von London nutzt auf dem gesamten Gelände ALE OmniAccess Stellar APs. Es müssen Hotelgäste, das Back-of-House-Personal und ein Restaurant im Erdgeschoss als drei völlig separate Netzwerksegmente bedient werden. Um die HF-Leistung zu schonen, soll die Ausstrahlung mehrerer SSIDs vermieden werden.

Stellen Sie eine einzelne sichere SSID mittels PPSK bereit. Konfigurieren Sie die ALE OmniAccess APs so, dass sie sich gegenüber dem Purple RADIUS-Server authentifizieren. Erstellen Sie im Purple-Portal drei PPSK-Gruppen: Hotelgäste (VLAN 10), Personal (VLAN 20) und Restaurant (VLAN 30). Der RADIUS-Server gibt je nach verwendeter Passphrase des Geräts Tunnel-Private-Group-ID = 10, 20 oder 30 zurück. Der ALE AP leitet jedes Gerät dynamisch in das richtige VLAN weiter. Hotelgäste erhalten ausschließlich Internetzugang. Das Personal erhält Zugriff auf das Hotelmanagementsystem. Das Restaurant erhält ein isoliertes Segment für seine EPOS-Terminals.

Kommentar des Prüfers: Dieser Ansatz macht drei SSIDs überflüssig und ersetzt sie durch eine einzige, was Gleichkanalstörungen und den Verwaltungsaufwand reduziert. Die wichtigste technische Voraussetzung ist, dass alle drei VLANs auf dem Uplink-Trunk zwischen dem AP und dem Verteilungsswitch getaggt sein müssen. Wenn ein VLAN auf dem Trunk fehlt, erhalten Geräte, die diese Passphrase verwenden, keine DHCP-Adresse.

Ein Konferenzzentrum veranstaltet 15 Firmen-Events gleichzeitig. Jeder Event-Organisator benötigt ein eigenes, isoliertes WiFi-Netzwerk für die Teilnehmer, aber der Veranstaltungsort verfügt nur über eine einzige ALE OmniAccess-Infrastruktur. Das IT-Team des Veranstaltungsorts muss Netzwerke zwischen den Events schnell bereitstellen und wieder abbauen können.

Nutzen Sie das PPSK-Management von Purple, um eventbezogene Passphrasen zu erstellen, die dedizierten Event-VLANs zugeordnet sind. Der Veranstaltungsort konfiguriert vorab 15 VLAN-Segmente auf der ALE-Infrastruktur. Für jedes Event erstellt das IT-Team einen neuen PPSK-Eintrag im Purple-Portal, weist ihn dem richtigen VLAN zu und stellt dem Event-Organisator die Passphrase zur Verfügung. Am Ende des Events widerrufen sie die Passphrase in Purple. Der ALE AP akzeptiert diese Passphrase sofort nicht mehr und isoliert das stillgelegte VLAN. Es ist keine Neukonfiguration des APs erforderlich.

Kommentar des Prüfers: Diese Architektur trennt den Bereitstellungs-Workflow von der Hardwarekonfiguration. Die ALE APs bleiben statisch; alle Änderungen erfolgen in der Purple-Cloud. Dies ist der praktische Vorteil eines Cloud-Overlays: Sie können Zugriffe hinzufügen, ändern oder widerrufen, ohne die physische Infrastruktur anzufassen. In Event-Umgebungen verkürzt dies die Bereitstellungszeit von Stunden auf Minuten.

Übungsfragen

Q1. Sie haben das Alcatel-Lucent Captive Portal auf einem ALE OmniAccess Stellar AP konfiguriert. Gäste verbinden sich mit der SSID und erhalten eine IP-Adresse, aber ihre Geräte zeigen „Keine Internetverbindung“ an und die Splash-Page wird nicht angezeigt. Was sind die zwei wahrscheinlichsten Ursachen und wie lösen Sie diese jeweils?

Hinweis: Bedenken Sie, was auf der DNS- und HTTP-Ebene geschehen muss, bevor die Captive Portal-Weiterleitung stattfinden kann.

Musterlösung anzeigen

Ursache 1: Der DHCP-Bereich enthält keinen gültigen DNS-Server. Ohne DNS kann der Client die Captive Portal-URL nicht auflösen, und der Erkennungsmechanismus für das Captive Portal des Betriebssystems schlägt fehl. Lösung: Fügen Sie dem DHCP-Bereich im Gäste-VLAN einen gültigen DNS-Server (z. B. 8.8.8.8) hinzu. Ursache 2: Der Walled Garden enthält die Purple-Portal-Domänen nicht. Ohne diese blockiert der AP die Weiterleitungsanfrage, bevor sie den Client erreicht. Lösung: Fügen Sie region1.purpleportal.net, venuewifi.com und cloudfront.net zur Pre-Authentication-Zugriffsliste hinzu.

Q2. Ihre Multi-Tenant-WiFi-Bereitstellung verwendet PPSK auf einer einzigen ALE OmniAccess SSID. Benutzer authentifizieren sich erfolgreich – das Purple-Portal zeigt erfolgreiche Anmeldungen an –, aber alle Benutzer erhalten IP-Adressen aus VLAN 1 anstelle ihrer zugewiesenen Mieter-VLANs. Was ist die wahrscheinlichste Ursache?

Hinweis: Überprüfen Sie die Kommunikation zwischen dem RADIUS-Server und dem AP sowie die Uplink-Konfiguration des APs.

Musterlösung anzeigen

Es gibt zwei wahrscheinliche Ursachen. Erstens gibt der Purple RADIUS-Server möglicherweise nicht alle drei erforderlichen RADIUS-Tunnelattribute (64, 65, 81) in der Access-Accept-Nachricht zurück. Überprüfen Sie, ob die Durchsetzungsrichtlinie Tunnel-Type = 13, Tunnel-Medium-Type = 6 und Tunnel-Private-Group-ID = die korrekte VLAN-ID enthält. Zweitens sind die Mieter-VLANs möglicherweise nicht auf dem Uplink-Trunk zwischen dem ALE AP und dem Verteilungsswitch getaggt. Wenn das VLAN auf dem Trunk nicht existiert, kann der AP den Datenverkehr nicht dorthin leiten, selbst wenn die RADIUS-Attribute korrekt sind.

Q3. Ein Veranstaltungsort verlangt, dass Gästesitzungen nach 60 Minuten automatisch beendet werden und dass Gäste, die innerhalb von 24 Stunden wiederkehren, erkannt werden und das Registrierungsformular überspringen. Wie sollte dies in der Purple- und ALE-Architektur konfiguriert werden?

Hinweis: Bedenken Sie, welches System die Sitzungsdauer steuert und welches System die Wiedererkennung wiederkehrender Besucher regelt.

Musterlösung anzeigen

Die Sitzungsbeendigung wird über das RADIUS-Attribut Session-Timeout gesteuert. Konfigurieren Sie den Purple RADIUS-Server so, dass er Session-Timeout = 3600 (Sekunden) in der Access-Accept-Nachricht mitsendet. Der ALE AP trennt die Verbindung des Clients nach 3600 Sekunden. Die Wiedererkennung wiederkehrender Besucher wird im Purple-Portal gesteuert. Aktivieren Sie die Einstellung „Gerät merken“ oder die MAC-basierte Re-Authentifizierung für Ihren Veranstaltungsort. Wenn sich ein wiederkehrender Besucher innerhalb des konfigurierten Zeitfensters verbindet, erkennt der RADIUS-Server von Purple seine MAC-Adresse und gibt ein Access-Accept zurück, ohne dass eine Interaktion mit der Splash-Page erforderlich ist, was eine nahtlose Wiederverbindung ermöglicht.

Q4. Sie stellen Mitarbeiter-WiFi mittels 802.1X auf ALE OmniAccess Stellar APs bereit. Ihre Organisation nutzt Microsoft Entra ID als Identitätsanbieter. Die Geräte der Mitarbeiter sind Windows 11-Laptops, die über Intune verwaltet werden. Welche EAP-Methode sollten Sie verwenden und welche Zertifikatsanforderungen gelten?

Hinweis: Berücksichtigen Sie das Gleichgewicht zwischen Sicherheit, Bereitstellungskomplexität und den Funktionen der vorhandenen Infrastruktur.

Musterlösung anzeigen

Verwenden Sie PEAP mit MSCHAPv2 als EAP-Methode. Dies erfordert nur ein serverseitiges Zertifikat auf dem Purple RADIUS-Server (bereits von Purple bereitgestellt) und nutzt die Entra ID-Anmeldedaten des Benutzers zur Authentifizierung. Es sind keine Client-Zertifikate erforderlich, was die Bereitstellung auf von Intune verwalteten Geräten vereinfacht. Konfigurieren Sie den Windows 11-Supplicant über ein Intune-Wi-Fi-Profil und geben Sie die SSID, die WPA2-Enterprise-Sicherheit, die PEAP-Methode und den Zertifikats-Fingerabdruck des Purple RADIUS-Servers für die Servervalidierung an. Wenn Ihre Sicherheitsrichtlinie eine zertifikatsbasierte gegenseitige Authentifizierung erfordert, aktualisieren Sie auf EAP-TLS und stellen Sie Client-Zertifikate über Intune SCEP-Profile bereit, was jedoch einen erheblichen PKI-Verwaltungsaufwand bedeutet.

Weiterlesen in dieser Reihe

Cisco WLC und Catalyst Integration mit Purple WiFi: Schritt-für-Schritt-Anleitung für den Gastzugang

Diese massgebliche Anleitung beschreibt die schrittweise Integration von Cisco Catalyst 9800 WLCs mit Purple WiFi. Sie deckt die externe Web-Authentifizierung für Gäste-Captive Portals, 802.1X EAP-TLS für sicheren Mitarbeiterzugang und Cisco iPSK für die dynamische VLAN-Segmentierung in Mandanten-Umgebungen ab.

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.