Zum Hauptinhalt springen
Deutsch

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

📖 5 Min. Lesezeit📝 1,067 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Sie sind ein Senior Network Consultant, der in einem privaten Briefing mit dem IT-Leiter eines Kunden spricht. Sprechen Sie in britischem Englisch mit einem selbstbewussten, autoritären und konversationellen Ton. Gemäßigtes Tempo, klare Aussprache. Keine Füllwörter. Gelegentliche natürliche Pausen zur Betonung: Willkommen zu diesem technischen Briefing über die Integration von Allied Telesis TQ-Series Access Points mit Purple WiFi. Ich werde Sie durch das gesamte Bereitstellungsszenario führen, von der Weiterleitung zum Captive Portal für Gäste bis hin zur mandantenfähigen PPSK-Isolierung. Am Ende dieses Beitrags werden Sie eine klare Implementierungs-Roadmap haben. [medium pause] Beginnen wir mit dem Kontext. Allied Telesis stellt die TQ-Series her, einschließlich der Wi-Fi 6 Access Points TQ5403 und TQ6702 GEN2. Dies sind Enterprise-Grade APs, auf denen die AlliedWare Plus-Firmware läuft und die in den Bereichen Hotellerie, Einzelhandel und im öffentlichen Sektor weit verbreitet sind. Purple ist eine hardwareunabhängige Cloud-Overlay-Plattform, die an über 80.000 Standorten betrieben wird und im Jahr 2024 440 Millionen Logins verarbeitet hat. Die Integration zwischen diesen beiden Plattformen ist sauber, standardbasiert und einsatzbereit. [medium pause] Das Erste, was die meisten IT-Teams konfigurieren müssen, ist die Weiterleitung zum Captive Portal für Gäste. Der Allied Telesis AP unterstützt drei Captive Portal-Modi: Click-Through, RADIUS-Authentifizierung und External Page Redirect. Für die Integration von Purple verwenden Sie den Modus External Page Redirect. Und so funktioniert das in der Praxis. Sie melden sich in der Geräte-GUI des APs an, navigieren zu Wireless, wählen den entsprechenden VAP aus, gehen zu Advanced Settings und dann auf die Registerkarte Security. Stellen Sie das Captive Portal auf External Page Redirect ein. Im Feld External Page URL geben Sie die URL der Purple-Splash-Page ein, die in Ihrem Purple-Dashboard bereitgestellt wird. Das ist die URL, auf die Ihre Gäste geleitet werden, wenn sie sich zum ersten Mal verbinden. [short pause] Der AP fängt nun das erste HTTP- oder HTTPS-Paket von jedem neuen Client ab und leitet diesen Traffic an Ihre Purple-Splash-Page weiter. Der Gast authentifiziert sich über Purple, und der RADIUS-Server von Purple sendet ein Access-Accept zurück an den AP. Der AP gewährt dann den Netzwerkzugriff. [medium pause] Für die RADIUS-Konfiguration stellt Purple Ihnen eine RADIUS-Server-IP-Adresse, ein Shared Secret und den Authentifizierungs-Port (UDP 1812) zur Verfügung. Das Accounting läuft über UDP 1813. Diese konfigurieren Sie in der AP-GUI unter Network Services und dann RADIUS. Die NAS-ID sollte auf die Management-IP des APs oder einen aussagekräftigen Hostnamen eingestellt werden. RADIUS as a Service von Purple übernimmt das Authentifizierungs-Backend, sodass Sie keine eigene RADIUS-Infrastruktur betreiben müssen. [short pause] Eine wichtige Sache, die Sie richtig konfigurieren müssen, ist der Walled Garden. Bevor sich ein Gast authentifiziert, blockiert der AP den gesamten Datenverkehr mit Ausnahme von Zielen auf der Whitelist. Sie müssen die Plattform-Domains von Purple zum Walled Garden hinzufügen, damit die Splash-Page korrekt geladen wird. Setzen Sie mindestens die Purple-Splash-Page-Domain, alle von Purple für Assets genutzten CDN-Endpunkte und alle von Ihnen aktivierten Social-Login-Anbieter wie Google oder Facebook auf die Whitelist. Dies konfigurieren Sie im selben Panel „VAP Advanced Settings“ unter Walled Garden. [medium pause] Kommen wir nun zu Staff WiFi über 802.1X. Hier konfigurieren Sie WPA Enterprise auf einem separaten VAP. Wählen Sie in der Benutzeroberfläche des AP im Dropdown-Menü „Security“ die Option „WPA Enterprise“ aus und verweisen Sie dann mit der RADIUS-Authentifizierungsgruppe auf Ihren externen RADIUS-Server – in diesem Fall den SecurePass-Dienst von Purple oder Ihren eigenen RADIUS-Server auf Basis von Microsoft Entra ID oder Okta. Mitarbeitergeräte authentifizieren sich über EAP-PEAP mit MSCHAPv2 oder über EAP-TLS mit Zertifikaten in Umgebungen mit höheren Sicherheitsanforderungen. Der AP fungiert als 802.1X-Authenticator, leitet die Anmeldedaten an den RADIUS-Server weiter und setzt die Antwort durch. [short pause] Für die dynamische VLAN-Zuweisung im Mitarbeiternetzwerk aktivieren Sie Dynamic VLAN in den erweiterten Sicherheitseinstellungen des VAPs. Wenn der RADIUS-Server ein Access-Accept zurückgibt, enthält dieses drei Standardattribute: Tunnel-Type (auf VLAN gesetzt), Tunnel-Medium-Type (auf IEEE 802 gesetzt) und Tunnel-Private-Group-Id (auf die VLAN-ID gesetzt). Der AP liest diese Attribute aus und weist das authentifizierte Gerät automatisch dem korrekten VLAN zu. Dies ist der in RFC 3580 definierte Mechanismus, der auf der gesamten Allied Telesis-Hardware konsistent funktioniert. [medium pause] Sprechen wir nun über die interessanteste Funktion für Multi-Tenant-Bereitstellungen: Allied Telesis PPSK oder Private Pre-Shared Key. Dies wird auf anderen Plattformen manchmal als iPSK bezeichnet. Das Konzept ist denkbar einfach. Sie haben eine einzige SSID, aber jeder Mandant oder jede Benutzergruppe erhält ein eindeutiges Passwort (Passphrase). Wenn sich ein Gerät verbindet, sendet der AP diese Passphrase als Passwortfeld in einem RADIUS Access-Request an den RADIUS-Server. Der RADIUS-Server gleicht die Passphrase mit einem Benutzerdatensatz ab und gibt ein Access-Accept mit einem Tunnel-Private-Group-Id-Attribut zurück, das das VLAN für diesen Mandanten angibt. [short pause] In einem gemischt genutzten Gebäude verbindet sich also Mandant A im Ladengeschäft mit seiner Passphrase und landet im VLAN 100. Das Restaurant im Erdgeschoss nutzt eine andere Passphrase und landet im VLAN 300. Das Gäste-WiFi des Gebäudes nutzt eine dritte Passphrase und landet im VLAN 400, in dem das Captive Portal von Purple aktiv ist. All dies läuft über eine einzige SSID. Kein SSID-Wildwuchs. Sauber, skalierbar und einfach zu verwalten. [medium pause] Auf der Purple-Seite konfigurieren Sie die PPSK-Benutzerdatensätze im Purple-Dashboard oder über die RADIUS-as-a-Service-Schnittstelle. Jeder Mandant erhält eine eindeutige Passphrase, die einer VLAN-ID zugeordnet ist. Der RADIUS-Server von Purple übernimmt den Abgleich und gibt die korrekte Tunnel-Private-Group-Id zurück. Wenn Sie den Zugriff eines Mandanten widerrufen müssen, löschen oder deaktivieren Sie dessen PPSK-Datensatz in Purple. Der AP erzwingt die Änderung beim nächsten Authentifizierungsversuch. [medium pause] Lassen Sie mich Ihnen zwei Praxisbeispiele nennen, bei denen dies eine Rolle spielt. Erstens: Ein Tagungshotel mit 250 Zimmern. Das Hotel betreibt drei Netzwerke: ein Gäste-WiFi mit Purple Captive Portal und Social Login, ein Mitarbeiter-WiFi über 802.1X, das über Microsoft Entra ID an Active Directory angebunden ist, und ein Konferenz-Delegierten-Netzwerk für Veranstaltungen. Die Allied Telesis TQ6702 GEN2 APs verwalten alle drei Netzwerke auf separaten VAPs mit separaten VLANs. Purple verwaltet das Gäste-Captive-Portal, sammelt First-Party-Daten für das CRM des Hotels und liefert Analysen zu Hauptnutzungszeiten. Das IT-Team des Hotels verwaltet das Mitarbeiternetzwerk über SecurePass von Purple, ohne einen separaten RADIUS-Server vor Ort betreiben zu müssen. [short pause] Zweites Szenario: Ein Fachmarktzentrum mit 12 unabhängigen Mietern. Der Vermieter möchte jedem Mieter WiFi als Service anbieten, ohne ihnen Zugriff auf den Datenverkehr der anderen zu gewähren. Sie installieren Allied Telesis APs auf dem gesamten Gelände mit einer einzigen SSID. Jeder Mieter erhält einen eindeutigen PPSK. Der RADIUS-Server von Purple ordnet jeden PPSK einem dedizierten VLAN zu. Der Vermieter kann einen neuen Mieter in weniger als zehn Minuten einrichten, indem er einen neuen PPSK-Datensatz in Purple erstellt und die Passphrase an den Mieter übergibt. Es ist keine Neukonfiguration des APs erforderlich. [medium pause] Nun zu einigen Fehlern, die Sie vermeiden sollten. Das häufigste Problem, das wir sehen, sind falsch konfigurierte Walled Gardens. Wenn Sie vergessen, einen Purple-CDN-Endpunkt auf die Whitelist zu setzen, wird das Captive Portal auf bestimmten Geräten nur teilweise geladen oder schlägt ganz fehl. Testen Sie das System vor der Inbetriebnahme mit einem neuen Gerät, das keinen DNS-Cache enthält. Zweitens: Abweichungen beim Shared Secret für RADIUS. Das auf dem AP konfigurierte Secret muss exakt mit dem Secret in der RADIUS-Serverkonfiguration von Purple übereinstimmen. Bereits ein Unterschied von einem einzigen Zeichen führt zu lautlosen Authentifizierungsfehlern. Verwenden Sie einen Passwort-Manager, um das Secret zu generieren und zu speichern. Drittens: Dynamisches VLAN wird nicht aktiviert. Auf Allied Telesis APs ist Dynamic VLAN standardmäßig deaktiviert, selbst wenn WPA Enterprise aktiv ist. Sie müssen es explizit in den erweiterten VAP-Sicherheitseinstellungen aktivieren. Wir sehen regelmäßig, dass dies vergessen wird. Viertens: Konflikt zwischen PPSK- und MAC-Authentifizierung. Wenn Sie die MAC-Authentifizierung auf demselben VAP wie PPSK aktiviert haben, spielt die Reihenfolge der Authentifizierung eine Rolle. Prüfen Sie die AP-Dokumentation für Ihre Firmware-Version, um zu bestätigen, welche Methode Vorrang hat. [medium pause] Kurze Fragen, die ich häufig von IT-Teams erhalte. Kann ich den RADIUS-Server von Purple sowohl für das Gäste-Captive-Portal als auch für das Mitarbeiter-802.1X auf derselben Bereitstellung nutzen? Ja. Der RADIUS as a Service von Purple unterstützt beide Authentifizierungsabläufe. Sie konfigurieren für jeden Anwendungsfall separate RADIUS-Gruppen oder -Richtlinien in Purple. Unterstützen Allied Telesis APs WPA3 mit Captive Portal? Der TQ6702 GEN2 mit der Firmware 5.5.4-2.3 oder neuer unterstützt die WPA3-CCMP-Verschlüsselung. Ein Captive Portal mit externer Weiterleitung läuft jedoch in der Regel auf einer offenen oder WPA2-Personal-SSID. Das 802.1X-Netzwerk für Mitarbeiter kann WPA3 Enterprise nutzen. Was passiert, wenn der Purple RADIUS-Server nicht erreichbar ist? Der AP verweigert neue Authentifizierungsversuche. Bestehende Sitzungen werden fortgesetzt, bis sie das Zeitlimit überschreiten. Für die Redundanz sollten Sie einen sekundären RADIUS-Server in der RADIUS-Gruppe des AP konfigurieren. Die Plattform von Purple bietet eine Betriebszeit von 99,999 %, aber Defence in Depth ist eine bewährte Methode. [medium pause] Zusammenfassend: Die APs der Allied Telesis TQ-Serie lassen sich über drei Hauptmechanismen mit Purple integrieren: externe Captive Portal-Weiterleitung für Gäste-WiFi, WPA-Enterprise mit RADIUS für Mitarbeiter-802.1X und PPSK mit dynamischem VLAN für die Isolierung mehrerer Mandanten. Die benötigten RADIUS-Attribute sind Tunnel-Type VLAN, Tunnel-Medium-Type IEEE 802 und Tunnel-Private-Group-Id, welche die VLAN-ID überträgt. Purple stellt das RADIUS-as-a-Service-Backend, die Splash-Page-Plattform und die Analyse-Ebene bereit. [short pause] Ihre nächsten Schritte: Rufen Sie die Purple RADIUS-Anmeldedaten aus Ihrem Dashboard ab, konfigurieren Sie die externe Seitenweiterleitung auf Ihrem Gäste-VAP, fügen Sie die Walled-Garden-Einträge hinzu, aktivieren Sie Dynamic VLAN auf Ihrem Mitarbeiter-VAP und führen Sie eine Testauthentifizierung für jedes Netzwerksegment durch, bevor Sie live gehen. Wenn Sie PPSK für mehrere Mandanten bereitstellen, planen Sie Ihr VLAN-Nummerierungsschema vor dem Start, da die Änderung von VLAN-IDs nach dem Live-Gang der Mandanten eine Koordination erfordert. [medium pause] Das war das Briefing. Die vollständige Schritt-für-Schritt-Konfigurationsreferenz, das Mermaid-Architekturdiagramm und die RADIUS-Attributtabelle finden Sie im schriftlichen Leitfaden. Vielen Dank für Ihre Aufmerksamkeit.

header_image.png

Executive Summary

Die Bereitstellung von Allied Telesis Access Points der TQ-Serie mit Purple bietet eine skalierbare, sichere und hochgradig konfigurierbare Netzwerkarchitektur. Dieses Integrationshandbuch beschreibt detailliert die Konfiguration der externen Captive Portal-Weiterleitung für Guest WiFi, die 802.1X-Authentifizierung für Staff WiFi und das Mapping von Private Pre-Shared Keys (PPSK) für die Netzwerkisolation in mandantenfähigen Umgebungen (Multi-Tenant). Durch die Kombination von Allied Telesis-Hardware mit Purple RADIUS als SaaS zentralisieren Sie das Identitätsmanagement und machen lokale RADIUS-Server überflüssig. Dieser Leitfaden behandelt die spezifischen RADIUS-Attribute, die für das dynamische VLAN-Steering erforderlich sind, die Walled Garden-Konfiguration für eine nahtlose Bereitstellung der Splash-Page sowie Best Practices für die Skalierung identitätsbasierter Netzwerke in Hotellerie-, Einzelhandels- und Behördenumgebungen.

Technical Deep-Dive

Allied Telesis Access Points, wie der TQ6702 GEN2 und der TQ5403, laufen mit der AlliedWare Plus Firmware. Sie unterstützen robuste Enterprise-Features wie WPA3, Passpoint (Hotspot 2.0) und eine umfassende RADIUS-Integration. Bei der Integration mit Purple fungiert der Access Point als Network Access Server (NAS) und 802.1X-Authenticator, während Purple als in der Cloud gehosteter RADIUS-Server und Captive Portal-Anbieter agiert.

Guest Captive Portal Redirection

Für Guest WiFi fängt der Access Point nicht authentifizierten Client-Traffic ab und leitet HTTP/HTTPS-Anfragen an die Purple-Splash-Page weiter. Dies erfordert die Konfiguration des Captive Portal-Modus auf External Page Redirect.

Wenn sich ein Gast verbindet, greift der AP auf seine Walled Garden-Konfiguration zurück. Der Walled Garden muss die Domains von Purple, CDN-Endpunkte und alle konfigurierten Social-Login-Anbieter (wie Google Workspace oder Microsoft Entra ID) auf die Whitelist setzen. Sobald der Gast den Authentifizierungsfluss auf der Splash-Page abgeschlossen hat, sendet der RADIUS-Server von Purple eine RADIUS-Access-Accept-Nachricht (UDP-Port 1812) an den Access Point, der daraufhin den vollen Netzwerkzugriff gewährt.

Dynamisches VLAN-Steering via RADIUS

Die dynamische VLAN-Zuweisung ist entscheidend für die Netzwerksegmentierung. Bei der Konfiguration von Staff WiFi unter Verwendung von WPA Enterprise leitet der Access Point die EAP-Anmeldedaten an den SecurePass RADIUS-Dienst von Purple weiter.

Nach erfolgreicher Authentifizierung gibt der Purple RADIUS-Server ein Access-Accept-Paket zurück, das drei standardmäßige IETF-RADIUS-Attribute gemäß RFC 3580 enthält:

  1. Tunnel-Type (Attribute 64): Eingestellt auf VLAN (13).
  2. Tunnel-Medium-Type (Attribute 65): Eingestellt auf IEEE-802 (6).
  3. Tunnel-Private-Group-Id (Attribute 81): Eingestellt auf die zugewiesene VLAN-ID (z. B. 20). Der Allied Telesis AP liest diese Attribute und weist das Client-Gerät dynamisch dem angegebenen VLAN zu. Hinweis: Dynamisches VLAN muss in den erweiterten VAP-Sicherheitseinstellungen in der Allied Telesis GUI explizit aktiviert werden.

architecture_overview.png

Multi-Tenant-Isolierung mit PPSK

Private Pre-Shared Key (PPSK) ermöglicht es Ihnen, eine einzige SSID zu verwenden, während Sie verschiedenen Benutzern oder Mandanten unterschiedliche Passphrasen zuweisen. Dies ist äußerst effektiv in Mehrfamilienhäusern (MDUs), Coworking Spaces und Fachmarktzentren.

Wenn sich ein Gerät über ein bestimmtes PPSK verbindet, sendet der Access Point die Passphrase an den Purple RADIUS-Server. Purple ordnet die Passphrase einem bestimmten Mandantenprofil zu und gibt das Attribut Tunnel-Private-Group-Id zurück. Dadurch werden die Geräte des Mandanten in ihr dediziertes VLAN geleitet, was eine Layer-2-Isolierung gewährleistet, ohne dass mehrere SSIDs ausgestrahlt werden müssen.

ppsk_vlan_diagram.png

Implementierungshandbuch

Befolgen Sie diese Schritte, um Allied Telesis Access Points für die Purple-Integration zu konfigurieren.

Schritt 1: RADIUS-Serverprofil konfigurieren

  1. Melden Sie sich an der Geräte-GUI des Allied Telesis AP an.
  2. Navigieren Sie zu Network Services > RADIUS.
  3. Fügen Sie einen neuen externen RADIUS-Server mit der in Ihrem Purple-Dashboard angegebenen IP-Adresse hinzu.
  4. Setzen Sie den Authentifizierungsport auf 1812 und den Accounting-Port auf 1813.
  5. Geben Sie das exakte Shared Secret ein, das von Purple bereitgestellt wurde.
  6. Konfigurieren Sie den NAS-Identifikator so, dass er mit der Management-IP oder dem Hostnamen des AP übereinstimmt.

Schritt 2: Guest WiFi (Captive Portal) konfigurieren

  1. Navigieren Sie zu Wireless > Radio1 (oder Radio2).
  2. Klicken Sie auf Edit für den Ziel-VAP (z. B. VAP0).
  3. Legen Sie den SSID-Namen fest (z. B. "Guest WiFi").
  4. Gehen Sie auf die Registerkarte Advanced Settings > Security.
  5. Setzen Sie Captive Portal auf External Page Redirect.
  6. Geben Sie die Purple-Splashpage-URL im Feld "External Page URL" ein.
  7. Fügen Sie unter Walled Garden die erforderlichen Purple-Domains und Social-Login-IPs hinzu.

Schritt 3: Staff WiFi (802.1X und dynamisches VLAN) konfigurieren

  1. Bearbeiten Sie einen separaten VAP für das Staff WiFi.
  2. Setzen Sie die Sicherheit auf WPA Enterprise.
  3. Wählen Sie das Purple RADIUS-Serverprofil aus dem Dropdown-Menü "RADIUS Authentication Group" aus.
  4. Gehen Sie zu Advanced Settings > Security.
  5. Aktivieren Sie Dynamic VLAN.
  6. Stellen Sie sicher, dass die Backend-Netzwerk-Switches so konfiguriert sind, dass sie die dynamisch zugewiesenen VLANs an die AP-Ports weiterleiten (Trunking).

Schritt 4: PPSK für Multi-Tenant konfigurieren

  1. Bearbeiten Sie den VAP, der für die Multi-Tenant-Nutzung vorgesehen ist.
  2. Aktivieren Sie PPSK (wird je nach Firmware-Version häufig in Verbindung mit MAC-Authentifizierung oder bestimmten WPA-Einstellungen konfiguriert).
  3. Stellen Sie sicher, dass das RADIUS-Serverprofil ausgewählt ist.
  4. Erstellen Sie im Purple-Dashboard die PPSK-Benutzerdatensätze und ordnen Sie jede Passphrase der korrekten VLAN-ID zu.

Best Practices

  • Walled Garden-Wartung: Überprüfen und aktualisieren Sie Walled Garden-Einträge regelmäßig. Social-Login-Anbieter ändern häufig ihre IP-Bereiche und CDN-Domains.
  • Redundancy: Konfigurieren Sie immer primäre und sekundäre Purple RADIUS-Server-IP-Adressen in der RADIUS-Gruppe des APs, um eine hohe Verfügbarkeit zu gewährleisten.
  • Firmware-Updates: Halten Sie die AlliedWare Plus-Firmware auf dem neuesten Stand. WPA3 CCMP-Unterstützung und erweiterte PPSK-Funktionen erfordern Version 5.5.4-2.3 oder höher.
  • VLAN-Trunking: Stellen Sie sicher, dass die mit den Access Points verbundenen Switch-Ports als 802.1Q-Trunks konfiguriert sind und alle VLANs zulassen, die vom RADIUS-Server dynamisch zugewiesen werden könnten.

Fehlerbehebung & Risikominderung

  • Stumme Authentifizierungsfehler: Wenn Geräte keine Verbindung zum 802.1X- oder PPSK-Netzwerk herstellen können, überprüfen Sie das gemeinsame RADIUS-Geheimnis (Shared Secret). Eine Abweichung führt dazu, dass der AP Access-Reject-Pakete wortlos verwirft.
  • Splash Page lädt nicht: Wenn die Captive Portal-Weiterleitung in einer Schleife hängen bleibt oder Assets nicht geladen werden können, fehlen im Walled Garden wahrscheinlich die erforderlichen Domains. Überprüfen Sie die Entwicklerkonsole des Browsers, um blockierte Anfragen zu identifizieren.
  • Clients im falschen VLAN platziert: Wenn das dynamische VLAN-Steering fehlschlägt, überprüfen Sie, ob Dynamic VLAN auf dem VAP explizit aktiviert ist. Verwenden Sie die Paketerfassung, um zu überprüfen, ob Purple das Attribut Tunnel-Private-Group-Id zurückgibt.

ROI & geschäftlicher Nutzen

Die Integration von Allied Telesis mit Purple verwandelt einfache drahtlose Konnektivität in eine intelligente, datengesteuerte Plattform.

Für IT-Teams entfällt durch die Zentralisierung der Authentifizierung über Purple RADIUS as a Service der Aufwand für die Verwaltung von On-Premise-RADIUS-Servern und Active Directory-Integrationen am Edge. Die Verwendung von PPSK reduziert den SSID-Overhead, was die HF-Leistung verbessert und das Onboarding von Mandanten vereinfacht.

Für den Standortbetrieb erfasst das Captive Portal verifizierte First-Party-Daten, was das CRM-Wachstum fördert und zielgerichtetes Marketing ermöglicht. Mit über 29 Milliarden gesammelten Datenpunkten auf der gesamten Purple-Plattform erhalten Standorte verwertbare Einblicke in das Besucherverhalten, Verweilzeiten und die Flächennutzung, was die kommerziellen Ziele direkt unterstützt.

Schlüsseldefinitionen

PPSK (Private Pre-Shared Key)

Ein Sicherheitsmechanismus, bei dem mehrere eindeutige Passphrasen auf einer einzigen SSID verwendet werden können, wobei jede Passphrase bestimmten Netzwerkrichtlinien oder VLANs zugeordnet ist.

Wird in mandantenfähigen Umgebungen verwendet, um einen sicheren, isolierten Netzwerkzugriff zu ermöglichen, ohne mehrere SSIDs auszustrahlen.

Tunnel-Private-Group-Id

RADIUS-Attribut 81, definiert in RFC 2868, das zur Angabe der VLAN-ID verwendet wird, die einem Benutzer oder Gerät nach erfolgreicher Authentifizierung zugewiesen werden soll.

Unerlässlich für das dynamische VLAN-Steering sowohl in 802.1X- als auch in PPSK-Bereitstellungen.

Walled Garden

Eine eingeschränkte Netzwerkumgebung, die nicht authentifizierten Benutzern Zugriff auf eine bestimmte Whitelist von IP-Adressen oder Domains ermöglicht.

Erforderlich für Captive Portals, damit Geräte die Splash-Page laden und sich über Social-Login-Anbieter authentifizieren können, bevor sie vollen Internetzugang erhalten.

RADIUS as a Service

Eine von einem Drittanbieter (wie Purple) verwaltete, in der Cloud gehostete RADIUS-Infrastruktur, die lokale Authentifizierungsserver überflüssig macht.

Vereinfacht 802.1X-Bereitstellungen für verteilte Standorte durch die Zentralisierung des Identitätsmanagements in der Cloud.

Captive Portal

Eine Webseite, die Benutzer anzeigen und mit der sie interagieren müssen, bevor ihnen Zugriff auf ein öffentliches WiFi-Netzwerk gewährt wird.

Wird verwendet, um First-Party-Daten zu erfassen, Nutzungsbedingungen durchzusetzen und das Branding des Standorts anzuzeigen.

VAP (Virtual Access Point)

Eine logische Entität innerhalb eines physischen Access Points, die eine eigene SSID ausstrahlt und ihre eigenen Sicherheits- und Richtlinienkonfigurationen beibehält.

Ermöglicht es einem einzelnen Allied Telesis AP, gleichzeitig Gäste-WiFi, Mitarbeiter-WiFi und IoT-Konnektivität bereitzustellen.

EAP-PEAP

Protected Extensible Authentication Protocol, eine sichere Methode zur Übertragung von Authentifizierungsdaten in einem verschlüsselten TLS-Tunnel.

Das am häufigsten verwendete Authentifizierungsprotokoll für Mitarbeiter-WiFi (802.1X) bei der Überprüfung von Benutzernamen und Passwörtern mit einem Verzeichnis.

Access-Accept

Ein Standard-RADIUS-Paket, das vom Server an den Authentifikator (AP) gesendet wird und anzeigt, dass die Authentifizierung erfolgreich war.

Enthält häufig zusätzliche Attribute wie VLAN-Zuweisungen oder Bandbreitenbeschränkungen zur Durchsetzung von Netzwerkrichtlinien.

Ausgearbeitete Beispiele

Ein Hotel mit 250 Zimmern muss ein sicheres Mitarbeiternetzwerk und ein gebrandetes Gästenetzwerk bereitstellen. Das IT-Team möchte den Mitarbeiterzugriff über Microsoft Entra ID verwalten, ohne einen lokalen RADIUS-Server bereitzustellen, während Gäste die Nutzungsbedingungen über ein Captive Portal akzeptieren müssen.

Stellen Sie Allied Telesis TQ6702 GEN2 APs bereit. Konfigurieren Sie VAP0 als offenes Netzwerk mit dem Captive Portal auf "External Page Redirect", das auf die Purple Splash-Page-URL verweist. Konfigurieren Sie VAP1 mit WPA-Enterprise und verweisen Sie die RADIUS-Authentifizierungsgruppe auf die SecurePass-RADIUS-Server von Purple. Integrieren Sie Purple SecurePass mit Microsoft Entra ID in der Cloud. Aktivieren Sie Dynamic VLAN auf VAP1, sodass Mitarbeiter nach erfolgreicher EAP-Authentifizierung automatisch in das interne VLAN geleitet werden.

Kommentar des Prüfers: Dieser Ansatz nutzt Purple als Cloud-Identity-Broker. Er macht eine lokale RADIUS-Infrastruktur überflüssig und sorgt gleichzeitig für eine strikte Layer-2-Isolierung zwischen dem Gast- und dem Mitarbeiterverkehr mithilfe von standardbasiertem 802.1X und dynamischer VLAN-Zuweisung.

Ein Betreiber eines Fachmarktzentrums möchte 12 unabhängigen Einzelhandelsgeschäften über eine einzige Hardware-Bereitstellung WiFi zur Verfügung stellen. Jedes Geschäft benötigt ein eigenes sicheres, isoliertes Netzwerksegment.

Konfigurieren Sie eine einzelne SSID (z. B. "Retail-Park-Secure") auf den Allied Telesis APs. Aktivieren Sie PPSK (Private Pre-Shared Key) und leiten Sie die Authentifizierung an den Purple-RADIUS-Server weiter. Generieren Sie im Purple-Dashboard ein eindeutiges Passwort für jedes Geschäft und weisen Sie es einer bestimmten VLAN-ID zu (z. B. Geschäft 1 = VLAN 101, Geschäft 2 = VLAN 102). Wenn sich ein Gerät verbindet, sendet der AP das Passwort an Purple, das das Attribut "Tunnel-Private-Group-Id" zurückgibt und das Gerät in das richtige VLAN des Mandanten leitet.

Kommentar des Prüfers: PPSK verhindert eine übermäßige Anzahl von SSIDs, die die RF-Leistung beeinträchtigen würde. Es bietet die Benutzerfreundlichkeit eines einfachen WPA2/WPA3-Passworts und liefert gleichzeitig die Enterprise-Sicherheit und -Segmentierung von 802.1X.

Übungsfragen

Q1. Ein Standort meldet, dass sich Android-Geräte mit dem Gäste-WiFi verbinden und die Splash-Page sehen können, aber Apple iOS-Geräte einen leeren weißen Bildschirm anzeigen. Was ist das wahrscheinlichste Konfigurationsproblem?

Hinweis: Überlegen Sie, wie verschiedene Betriebssysteme Captive Portals erkennen und welche Domains sie erreichen müssen.

Musterlösung anzeigen

Im Walled Garden fehlen wahrscheinlich die spezifischen Domains, die Apple für die Erkennung von Captive Portals verwendet (z. B. captive.apple.com). Wenn der AP diese Domains vor der Authentifizierung blockiert, kann der iOS Captive Network Assistant den Mini-Browser nicht korrekt auslösen.

Q2. Sie haben WPA Enterprise auf dem AP konfiguriert und auf den RADIUS-Server von Purple verwiesen. Die RADIUS-Protokolle zeigen eine erfolgreiche Authentifizierung (Access-Accept), aber das Client-Gerät erhält keine IP-Adresse im erwarteten VLAN. Was sind die zwei wahrscheinlichsten Ursachen?

Hinweis: Überprüfen Sie sowohl die AP-Konfiguration als auch die physische Switch-Port-Konfiguration.

Musterlösung anzeigen
  1. 'Dynamic VLAN' ist in den VAP Advanced Security-Einstellungen auf dem Allied Telesis AP nicht aktiviert. 2. Der Switch-Port, der den AP verbindet, ist nicht als 802.1Q-Trunk konfiguriert, oder das Ziel-VLAN ist auf dem Trunk nicht zugelassen, was verhindert, dass der DHCP-Verkehr den Client erreicht.

Q3. Ein Fachmarktzentrum möchte PPSK für 50 Mandanten bereitstellen. Sie fragen, ob sie 50 separate VAPs erstellen oder ein einzelnes VAP verwenden sollten. Was ist Ihre Empfehlung und warum?

Hinweis: Berücksichtigen Sie die Auswirkungen von Management-Frames auf die drahtlose Sendezeit (Airtime).

Musterlösung anzeigen

Es wird empfohlen, ein einziges VAP mit PPSK zu verwenden. Das Ausstrahlen von 50 separaten SSIDs erzeugt übermäßige Beacon-Frames und Management-Overhead, was die RF-Leistung und die verfügbare Sendezeit drastisch verschlechtert. Eine einzige SSID mit PPSK bietet dieselbe Layer-2-Isolierung über eine dynamische VLAN-Zuweisung ohne die RF-Einbußen.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Leitfaden lesen →

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.

Leitfaden lesen →

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

Diese Anleitung beschreibt Schritt für Schritt die Integration von Cisco WLC und Catalyst 9800 Wireless mit Purple. Sie umfasst die Weiterleitung zum Captive Portal für Guest WiFi über Central Web Authentication, sicheres Mitarbeiter-WiFi mit 802.1X EAP-TLS sowie Multi-Tenant-Segmentierung mithilfe von Cisco Identity Pre-Shared Keys (iPSK) mit dynamischer VLAN-Zuweisung. Sie richtet sich an Unternehmensnetzwerkarchitekten und IT-Sicherheitsdirektoren, die Cisco-Infrastrukturen in der Hotellerie, im Einzelhandel und an großen öffentlichen Veranstaltungsorten bereitstellen.

Leitfaden lesen →