Allied Telesis TQ Series AP und Guest WiFi: Captive Portal Einrichtung mit Purple

Sie sind ein erfahrener Netzwerkberater, der in einem privaten Briefing mit dem IT-Leiter eines Kunden spricht. Sprechen Sie in einem selbstbewussten, autoritären, konversationellen Tonfall. Gemessenes Tempo, klare Artikulation. Keine Füllwörter. Gelegentliche natürliche Pausen zur Betonung: Willkommen zu diesem technischen Briefing über die Integration von Allied Telesis TQ-Series Access Points mit Purple WiFi. Ich werde Sie durch das gesamte Bereitstellungsszenario führen, von der Umleitung des Captive Portal für Gäste bis hin zur mandantenfähigen PPSK-Isolierung. Am Ende dieses Beitrags werden Sie eine klare Implementierungs-Roadmap haben. [medium pause] Beginnen wir mit dem Kontext. Allied Telesis stellt die TQ-Series her, einschließlich der TQ5403 und TQ6702 GEN2 WiFi 6 Access Points. Dies sind Enterprise-Grade APs, auf denen die AlliedWare Plus Firmware läuft, und sie sind im Gastgewerbe, im Einzelhandel und im öffentlichen Sektor weit verbreitet. Purple ist eine hardwareunabhängige Cloud-Overlay-Plattform, die an 80.000 Standorten betrieben wird und im Jahr 2024 440 Millionen Logins verarbeitet hat. Die Integration zwischen diesen beiden Plattformen ist sauber, standardbasiert und einsatzbereit für die Produktion. [medium pause] Das Erste, was die meisten IT-Teams konfigurieren müssen, ist die Umleitung des Captive Portal für Gäste. Der Allied Telesis AP unterstützt drei Captive-Portal-Modi: Click-Through, RADIUS-Authentifizierung und externe Seitenumleitung. Für die Purple-Integration verwenden Sie den Modus für die externe Seitenumleitung. Und so funktioniert das in der Praxis. Sie melden sich an der Geräte-GUI des APs an, navigieren zu Wireless, wählen den entsprechenden VAP aus, gehen zu den erweiterten Einstellungen und dann auf die Registerkarte Sicherheit. Stellen Sie Captive Portal auf externe Seitenumleitung ein. In das Feld für die externe Seiten-URL geben Sie die Purple-Splash-Page-URL ein, die in Ihrem Purple-Dashboard bereitgestellt wird. Das ist die URL, auf die Ihre Gäste geleitet werden, wenn sie sich zum ersten Mal verbinden. [short pause] Der AP fängt nun das erste HTTP- oder HTTPS-Paket von jedem neuen Client ab und leitet diesen Traffic auf Ihre Purple-Splash-Page um. Der Gast authentifiziert sich über Purple, und der RADIUS-Server von Purple sendet ein Access-Accept zurück an den AP. Der AP gewährt dann den Netzwerkzugriff. [medium pause] Für die RADIUS-Konfiguration stellt Ihnen Purple eine RADIUS-Server-IP-Adresse, ein Shared Secret und den Authentifizierungs-Port zur Verfügung, der UDP 1812 ist. Accounting läuft über UDP 1813. Sie konfigurieren diese unter Network Services, dann RADIUS in der AP-GUI. Der NAS-Identifikator sollte auf die Management-IP des APs oder einen beschreibenden Hostnamen eingestellt werden. RADIUS-as-a-Service von Purple übernimmt das Authentifizierungs-Backend, sodass Sie keine eigene RADIUS-Infrastruktur betreiben müssen. [short pause]Eine Sache, die unbedingt richtig konfiguriert werden muss, ist der Walled Garden. Bevor ein Gast sich authentifiziert, blockiert der AP den gesamten Datenverkehr mit Ausnahme der auf der Whitelist stehenden Ziele. Sie müssen die Plattform-Domains von Purple zum Walled Garden hinzufügen, damit die Splash Page korrekt geladen wird. Setzen Sie mindestens die Purple Splash Page-Domain, alle von Purple genutzten CDN-Endpunkte für Assets sowie alle aktivierten Social-Login-Anbieter wie Google oder Facebook auf die Whitelist. Sie konfigurieren dies im selben VAP Advanced Settings-Bereich unter Walled Garden. [medium pause] Kommen wir nun zum Staff WiFi mittels 802.1X. Hier konfigurieren Sie WPA Enterprise auf einem separaten VAP. Wählen Sie in der AP-GUI im Dropdown-Menü "Security" die Option WPA Enterprise aus und verweisen Sie dann mit der RADIUS Authentication Group auf Ihren externen RADIUS-Server - in diesem Fall auf den SecurePass Service von Purple oder Ihren eigenen RADIUS-Server mit Microsoft Entra ID oder Okta-Anbindung. Die Geräte der Mitarbeiter authentifizieren sich über EAP-PEAP mit MSCHAPv2 oder EAP-TLS mit Zertifikaten für Umgebungen mit höheren Sicherheitsanforderungen. Der AP fungiert als 802.1X-Authenticator, leitet die Anmeldedaten an den RADIUS-Server weiter und setzt die Antwort durch. [short pause] Für die dynamische VLAN-Zuweisung im Mitarbeiternetzwerk aktivieren Sie Dynamic VLAN in den Advanced Security-Einstellungen des VAP. Wenn der RADIUS-Server ein Access-Accept zurückgibt, enthält dieses drei Standard-Attribute: Tunnel-Type auf VLAN gesetzt, Tunnel-Medium-Type auf IEEE 802 gesetzt und Tunnel-Private-Group-Id auf die VLAN-ID gesetzt. Der AP liest diese Attribute aus und weist das authentifizierte Gerät automatisch dem korrekten VLAN zu. Dies ist der in RFC 3580 definierte Mechanismus, der auf der gesamten Allied Telesis Hardware einheitlich funktioniert. [medium pause] Sprechen wir nun über die interessanteste Funktion für Multi-Tenant-Bereitstellungen: Allied Telesis PPSK oder Private Pre-Shared Key. Auf anderen Plattformen wird dies manchmal auch als iPSK bezeichnet. Das Konzept ist denkbar einfach. Sie haben eine einzige SSID, aber jeder Mandant oder jede Benutzergruppe erhält eine eindeutige Passphrase. Wenn sich ein Gerät verbindet, sendet der AP diese Passphrase als Passwort-Feld in einem RADIUS Access-Request an den RADIUS-Server. Der RADIUS-Server ordnet die Passphrase einem Benutzerdatensatz zu und gibt ein Access-Accept mit einem Tunnel-Private-Group-Id-Attribut zurück, welches das VLAN für diesen Mandanten angibt. [short pause] In einem gemischt genutzten Gebäude verbindet sich also Mandant A im Ladengeschäft mit seiner Passphrase und landet im VLAN 100. Das Restaurant im Erdgeschoss nutzt eine andere Passphrase und landet im VLAN 300. Das Gast-WiFi des Gebäudes nutzt eine dritte Passphrase und landet im VLAN 400, wo das Captive Portal von Purple aktiv ist. All dies läuft über eine einzige SSID. Keine SSID-Überlastung. Sauber, skalierbar und einfach zu verwalten. [medium pause] Auf der Seite von Purple konfigurieren Sie die PPSK-Benutzerdatensätze im Purple-Dashboard oder über die RADIUS-as-a-Service-Schnittstelle. Jeder Mandant erhält eine eindeutige Passphrase, die einer VLAN-ID zugeordnet ist. Der RADIUS-Server von Purple übernimmt den Abgleich und gibt die korrekte Tunnel-Private-Group-Id zurück. Wenn Sie den Zugriff eines Mandanten widerrufen müssen, löschen oder deaktivieren Sie dessen PPSK-Datensatz in Purple. Der AP setzt die Änderung beim nächsten Authentifizierungsversuch durch. [medium pause] Lassen Sie mich Ihnen zwei Praxisbeispiele nennen, bei denen dies eine Rolle spielt. Erstens: Ein Tagungshotel mit 250 Zimmern. Das Hotel betreibt drei Netzwerke: Gäste-WiFi mit einer Purple-Anmeldeseite und Social-Login, Mitarbeiter-WiFi über 802.1X, das via Microsoft Entra ID an das Active Directory angebunden ist, und ein Konferenz-Netzwerk für Veranstaltungen. Die Allied Telesis TQ6702 GEN2 APs verwalten alle drei Netzwerke auf separaten VAPs mit separaten VLANs. Purple verwaltet die Gäste-Anmeldeseite, erfasst First-Party-Daten für das CRM des Hotels und liefert Analysen zu Spitzennutzungszeiten. Das IT-Team des Hotels verwaltet das Mitarbeiternetzwerk über SecurePass von Purple, ohne einen separaten RADIUS-Server vor Ort betreiben zu müssen. [short pause] Zweites Szenario: Ein Fachmarktzentrum mit 12 unabhängigen Mandanten. Der Vermieter möchte jedem Mandanten WiFi-as-a-Service anbieten, ohne dass diese Zugriff auf den Datenverkehr der anderen haben. Sie installieren Allied Telesis APs auf dem gesamten Gelände mit einer einzigen SSID. Jeder Mandant erhält einen eindeutigen PPSK. Der RADIUS-Server von Purple ordnet jeden PPSK einem dedizierten VLAN zu. Der Vermieter kann einen neuen Mandanten in weniger als zehn Minuten einrichten, indem er einen neuen PPSK-Datensatz in Purple erstellt und die Passphrase an den Mandanten übergibt. Es ist keine Neukonfiguration der APs erforderlich. [medium pause] Nun zu einigen Fehlern, die Sie vermeiden sollten. Das häufigste Problem, das wir sehen, sind falsch konfigurierte Walled Gardens. Wenn Sie vergessen, einen Purple-CDN-Endpunkt auf die Whitelist zu setzen, lädt die Anmeldeseite auf bestimmten Geräten nur unvollständig oder bricht ab. Testen Sie das System vor der Inbetriebnahme mit einem neuen Gerät ohne DNS-Cache. Zweitens: Abweichende gemeinsame RADIUS-Geheimnisse. Das auf dem AP konfigurierte Geheimnis muss exakt mit dem Geheimnis in der RADIUS-Serverkonfiguration von Purple übereinstimmen. Ein einziger abweichender Buchstabe führt zu lautlosen Authentifizierungsfehlern. Verwenden Sie einen Passwort-Manager, um das Geheimnis zu generieren und zu speichern. Drittens: Dynamisches VLAN wird nicht aktiviert. Auf Allied Telesis APs ist Dynamic VLAN standardmäßig deaktiviert, selbst wenn WPA Enterprise aktiv ist. Sie müssen es in den erweiterten Sicherheitseinstellungen des VAPs explizit aktivieren. Wir sehen regelmäßig, dass dies vergessen wird. Viertens: Konflikt zwischen PPSK und MAC-Authentifizierung. Wenn Sie die MAC-Authentifizierung auf demselben VAP wie PPSK aktiviert haben, spielt die Reihenfolge der Authentifizierung eine Rolle. Überprüfen Sie die AP-Dokumentation für Ihre Firmware-Version, um zu bestätigen, welche Methode Vorrang hat. [medium pause] Schnelle Fragen, die ich häufig von IT-Teams erhalte: Kann ich den RADIUS-Server von Purple sowohl für das Gäste-Captive Portal als auch für das Mitarbeiter-802.1X in derselben Bereitstellung nutzen? Ja. Der RADIUS-as-a-Service von Purple unterstützt beide Authentifizierungsabläufe. Sie konfigurieren in Purple separate RADIUS-Gruppen oder -Richtlinien für jeden Anwendungsfall. Unterstützen Allied Telesis APs WPA3 mit einem Captive Portal? Der TQ6702 GEN2 mit Firmware 5.5.4-2.3 oder neuer unterstützt die WPA3-CCMP-Chiffre. Ein Captive Portal mit externer Weiterleitung läuft jedoch in der Regel auf einer offenen oder WPA2-Personal-SSID. Mitarbeiter-802.1X kann WPA3 Enterprise verwenden. Was passiert, wenn der Purple-RADIUS-Server nicht erreichbar ist? Der AP lehnt neue Authentifizierungsversuche ab. Bestehende Sitzungen werden fortgesetzt, bis das Zeitlimit überschritten ist. Sie sollten zur Redundanz einen sekundären RADIUS-Server in der RADIUS-Gruppe des APs konfigurieren. Die Plattform von Purple hält eine Betriebszeit von 99,999 %, aber eine tiefengestaffelte Verteidigung (Defence in Depth) ist bewährte Praxis. [medium pause] Zusammenfassend lässt sich sagen: Allied Telesis APs der TQ-Serie lassen sich über drei Hauptmechanismen in Purple integrieren: externe Captive Portal-Weiterleitung für Gäste-WiFi, WPA Enterprise mit RADIUS für Mitarbeiter-802.1X und PPSK mit dynamischem VLAN für die Mandantenisolierung. Die benötigten RADIUS-Attribute sind Tunnel-Type VLAN, Tunnel-Medium-Type IEEE 802 und Tunnel-Private-Group-Id, die die VLAN-ID überträgt. Purple stellt das RADIUS-as-a-Service-Backend, die Splash-Page-Plattform und die Analyse-Ebene bereit. [short pause] Ihre nächsten Schritte: Rufen Sie die Purple-RADIUS-Anmeldedaten von Ihrem Dashboard ab, konfigurieren Sie die externe Seitenweiterleitung auf Ihrem Gäste-VAP, fügen Sie die Walled-Garden-Einträge hinzu, aktivieren Sie dynamisches VLAN auf Ihrem Mitarbeiter-VAP und führen Sie eine Testauthentifizierung für jedes Netzwerksegment durch, bevor Sie live gehen. Wenn Sie PPSK für Mandantenfähigkeit bereitstellen, planen Sie Ihr VLAN-Nummerierungsschema im Voraus, da eine Änderung der VLAN-IDs nach der Inbetriebnahme von Mandanten eine Abstimmung erfordert. [medium pause] Das ist das Briefing. Die vollständige Schritt-für-Schritt-Konfigurationsreferenz, das Mermaid-Architekturdiagramm und die RADIUS-Attributtabelle finden Sie im schriftlichen Leitfaden. Vielen Dank für Ihre Zeit.