Alcatel-Lucent OmniAccess Stellar und Gäste-WiFi: Captive Portal-Einrichtung mit Purple

Willkommen beim technischen Briefing von Purple. Heute befassen wir uns mit der Integration von Alcatel-Lucent Enterprise OmniAccess Stellar mit Purple WiFi. Dieses Briefing richtet sich an IT-Manager, Netzwerkarchitekten und Betreiber von Veranstaltungsorten, die sichere, skalierbare und intelligente drahtlose Netzwerke bereitstellen müssen. Beginnen wir mit dem Kontext. Sie haben einen Veranstaltungsort. Vielleicht ein Hotel, eine Einzelhandelskette oder ein Stadion. Sie haben in Hardware von ALE OmniAccess investiert. Jetzt müssen Sie geschäftlichen Nutzen aus dieser Infrastruktur ziehen. Sie müssen First-Party-Daten erfassen, Ihre Benutzer sicher segmentieren und ein nahtloses Onboarding-Erlebnis bieten. Genau hier kommt das Cloud-Overlay von Purple ins Spiel. Purple ist an mehr als 80.000 Live-Veranstaltungsorten weltweit im Einsatz und hat im Jahr 2024 über 440 Millionen Logins verarbeitet. Es ist hardwareunabhängig, was bedeutet, dass es auf Ihrer bestehenden ALE-Infrastruktur aufsetzt, ohne dass Hardware ausgetauscht werden muss. Die gesamte Authentifizierungs- und Datenerfassungslogik befindet sich in der Purple Cloud. Der Kern dieser Integration basiert auf RADIUS. Wenn ein Gast Ihren Veranstaltungsort betritt und sich mit der offenen Guest WiFi SSID verbindet, fängt der ALE AP seinen Webverkehr ab. Anstatt ihn direkt ins Internet zu lassen, leitet er seinen Browser auf ein von Purple gehostetes Captive Portal weiter. Das ist Ihre Splash-Page. Hier präsentieren Sie Ihre Marke, erfassen E-Mail-Adressen oder bieten Social Logins über Facebook, LinkedIn oder Google an. Sobald der Benutzer seine Daten übermittelt, authentifiziert der Purple Cloud-RADIUS-Server ihn und sendet eine Access-Accept-Nachricht zurück an den ALE AP. Der AP hebt daraufhin die Firewall-Regeln auf und gewährt Internetzugang. Der gesamte Vorgang dauert weniger als drei Sekunden. Kommen wir nun zu den technischen Details. Wie konfigurieren wir das konkret? Zuerst müssen Sie die RADIUS-Server-Einstellungen in Ihrer OmniVista- oder Stellar-Verwaltungsoberfläche konfigurieren. Sie geben die Purple RADIUS-IP-Adressen ein, stellen den Authentifizierungs-Port auf 1812 und den Accounting-Port auf 1813 ein. Achten Sie unbedingt darauf, dass RADIUS Accounting mit einem Intervall von 300 Sekunden aktiviert ist. Dadurch werden die Sitzungsdaten für Analysen und Compliance-Protokollierung an Purple zurückgemeldet. Als Nächstes folgt der Walled Garden. Hier treten bei vielen Bereitstellungen Probleme auf. Bevor ein Benutzer authentifiziert ist, hat er keinen Internetzugang. Er muss jedoch das Purple-Portal erreichen, um sich anzumelden. Sie müssen die Purple-Domains in Ihrer Pre-Authentication-Zugriffsliste auf die Whitelist setzen. Die Kern-Domains sind region1.purpleportal.net, venuewifi.com und cloudfront.net. Wenn Sie den Login über Facebook oder LinkedIn nutzen, müssen Sie auch deren Domains auf die Whitelist setzen. Wenn der Walled Garden nicht korrekt konfiguriert ist, lädt das Captive Portal nicht. Punkt. Erstellen Sie für die SSID-Konfiguration ein neues drahtloses Netzwerk, stellen Sie die Sicherheitsstufe auf „Open“ ein und aktivieren Sie die Option „External Captive Portal“. Verweisen Sie mit der Redirect-URL auf die spezifische URL Ihrer Purple Splash-Page, die Sie im Purple-Portal unter den Hardware-Einstellungen Ihres Veranstaltungsorts finden. Gehen wir über zu einem fortgeschritteneren Szenario: Multi-Tenant WiFi. Stellen Sie sich einen Coworking-Space oder eine Studentenunterkunft vor. Sie haben mehrere Mieter, die ihre eigenen sicheren, isolierten Netzwerke benötigen. Sie möchten nicht 20 verschiedene SSIDs ausstrahlen. Das zerstört Ihre RF-Leistung und führt zu einer schlechten Benutzererfahrung. Die Lösung ist PPSK - Private Pre-Shared Keys - kombiniert mit dynamischer VLAN-Steuerung. Sie strahlen eine einzige sichere SSID aus. Aber jeder Mieter erhält ein einzigartiges Passwort. Wenn Mieter A sein Passwort eingibt, sendet der ALE AP diese Anfrage an den Purple RADIUS-Server. Purple erkennt das Passwort, authentifiziert den Benutzer und sendet eine Access-Accept-Nachricht zurück. Aber hier ist der wichtige Teil. Diese Nachricht enthält spezifische RADIUS-Attribute. Attribut 64 für Tunnel-Type, gesetzt auf 13 für VLAN. Attribut 65 für Tunnel-Medium-Type, gesetzt auf 6 für Ethernet. Und Attribut 81, die Tunnel-Private-Group-ID, die die eigentliche VLAN-ID enthält. Der ALE AP empfängt dies und leitet Mieter A direkt an VLAN 30 weiter. Wenn sich Mieter B mit einem anderen Passwort anmeldet, landet er auf VLAN 40. Eine SSID, vollständige Layer-2-Isolierung. Das ist Identity-Based Networking in der Praxis. Sehen wir uns ein Praxisbeispiel an. Ein Hotel mit 200 Zimmern hat diese Architektur auf seinen bestehenden ALE OmniAccess Stellar APs implementiert. Sie mussten Hotelgäste, Back-of-House-Mitarbeiter und ein Restaurant im Erdgeschoss als drei völlig separate Netzwerksegmente bedienen. Anstatt drei SSIDs bereitzustellen, nutzten sie PPSK mit dynamischer VLAN-Steuerung. Das Ergebnis war eine einzige SSID, drei isolierte VLANs und eine erhebliche Reduzierung des Verwaltungsaufwands im Vergleich zu ihrem vorherigen Multi-SSID-Ansatz. Lassen Sie uns nun über Empfehlungen und Fallstricke bei der Implementierung sprechen. Erstens: Behalten Sie ein hardwareunabhängiges Design bei. Erstellen Sie Ihre Richtlinien in Purple, nicht auf dem lokalen Controller. Dies ermöglicht es Ihnen, später zu skalieren oder Hardware-Anbieter zu wechseln, ohne Ihre Sicherheitsrichtlinien von Grund auf neu erstellen zu müssen. Zweitens: Achten Sie auf die Firmware-Versionen. Stellen Sie sicher, dass auf Ihren ALE APs eine Firmware läuft, die die dynamische VLAN-Zuweisung über RADIUS explizit unterstützt. Ältere Stellar-Firmware-Versionen unterstützen das Attribut Tunnel-Private-Group-ID möglicherweise nicht vollständig. Prüfen Sie vor der Bereitstellung die ALE-Release-Notes. Drittens: DNS ist Ihr Freund und Ihr Feind. Wenn Ihr Captive Portal nicht angezeigt wird, überprüfen Sie zuerst Ihren DHCP-Bereich. Wenn der Client keinen gültigen DNS-Server zugewiesen bekommt, kann er die Portal-URL nicht auflösen, und der gesamte Prozess stoppt. Dies ist das mit Abstand häufigste Support-Problem bei der Bereitstellung von Captive Portals. Viertens: Verwenden Sie für sicheres Mitarbeiter-WiFi mit 802.1X in den meisten Umgebungen PEAP mit MSCHAPv2 oder EAP-TLS für zertifikatsbasierte Bereitstellungen. Der Purple RADIUS-Server unterstützt beide. Mitarbeitergeräte authentifizieren sich gegenüber Microsoft Entra ID oder Okta, und der RADIUS-Server gibt die entsprechende VLAN-Zuweisung für das Mitarbeiternetzwerksegment zurück. Lassen Sie uns eine schnelle Fragerunde starten. Frage: Kann ich diese Integration für die PCI-DSS-Compliance in einer Einzelhandelsumgebung nutzen? Antwort: Ja. Durch den Einsatz von dynamischem VLAN-Steering können Sie sicherstellen, dass Point-of-Sale-Geräte immer in einem isolierten VLAN platziert werden, das vollständig vom Gast-Traffic getrennt ist. Dies erfüllt die Anforderungen an die Netzwerksegmentierung gemäß PCI-DSS 4.0. Frage: Benötigt Purple eine Hardware-Appliance vor Ort? Antwort: Nein. Purple ist ein Cloud-Overlay. Es kommuniziert direkt mit Ihrer vorhandenen ALE-Hardware über Standard-RADIUS über das Internet. Es muss keine zusätzliche Hardware installiert werden. Frage: Was passiert, wenn die Purple Cloud nicht erreichbar ist? Antwort: Sie können eine Fallback-Richtlinie auf dem ALE AP konfigurieren. Für Gastnetzwerke können Sie als Fallback den offenen Zugriff erlauben. Für Mitarbeiternetzwerke konfigurieren Sie ein Deny-All-Fallback, um die Sicherheit aufrechtzuerhalten. Frage: Kann ich Analysedaten aus der Integration erfassen? Antwort: Ja. Jede authentifizierte Sitzung erstellt ein Besucherprofil in der Purple-Plattform. Sie erhalten Verweildauer, Besuchshäufigkeit, Gerätetyp und demografische Daten aus dem Registrierungsformular. Diese fließen über die Purple-Bibliothek mit über 400 Konnektoren direkt in Ihr CRM. Zusammenfassung der wichtigsten Erkenntnisse aus dem heutigen Briefing. Erstens: Die ALE OmniAccess-Integration mit Purple verwendet Standard-RADIUS auf den Ports 1812 und 1813. Keine proprietären Protokolle erforderlich. Zweitens: Der Walled Garden ist entscheidend. Wenn Sie hier einen Fehler machen, wird das Captive Portal nicht geladen. Setzen Sie die Purple-Domains vor allem anderen auf die Whitelist. Drittens: PPSK mit dynamischem VLAN-Steering ist die richtige Architektur für mandantenfähige Umgebungen. Eine SSID, eindeutige Passphrasen, isolierte VLANs pro Mandant. Viertens: Die RADIUS-Attribute 64, 65 und 81 sind die drei Attribute, die Sie für die dynamische VLAN-Zuweisung benötigen. Wenn auch nur eines davon fehlt, schlägt das Steering fehl. Fünftens: Purple ist hardwareunabhängig. Ihre Richtlinien befinden sich in der Cloud, nicht auf dem Controller. Dies gibt Ihnen die Flexibilität, über verschiedene Hardwareanbieter hinweg zu skalieren. Ihr nächster Schritt besteht darin, sich in Ihr Purple-Portal einzuloggen, zu den Hardware-Einstellungen Ihres Standorts zu navigieren und Ihre spezifischen RADIUS-Anmeldedaten sowie die Splash-Page-URL abzurufen. Befolgen Sie dann die Konfigurationsschritte in dieser Anleitung, um Ihre ALE OmniAccess-Infrastruktur mit der Purple Cloud zu verbinden. Vielen Dank, dass Sie sich dieses technische Briefing von Purple angehört haben. Weitere Informationen finden Sie unter purple.ai.