Podcast-Transkript ansehen
Willkommen zum Briefing. Heute analysieren wir die Integration von Arista Cognitive Wi-Fi mit der Purple-Plattform. Dies ist ein Briefing für Senior-Consultants, das sich direkt an Enterprise-Netzwerkarchitekten und Cloud-Systemadministratoren richtet, die diese Bereitstellung auf Anhieb fehlerfrei durchführen müssen.
Lassen Sie uns den Rahmen abstecken. Arista Cognitive Wi-Fi, verwaltet über die CloudVision Cognitive Unified Edge-Plattform, ist eine Cloud-gesteuerte Wireless-Infrastruktur, die Bereitstellungen von Gäste- und Mitarbeiter-Netzwerken auf Enterprise-Niveau unterstützt. Purple ist ein hardwareunabhängiges Cloud-Overlay, das das Gästeportal, die Identitätserfassung, RADIUS-Authentifizierung und die Analytics-Ebene bereitstellt. Wenn Sie beide kombinieren, erhalten Sie eine vollständige, datenschutzkonforme und kommerziell wertvolle Gäste-WiFi-Architektur. Gehen wir ins Detail.
Das Erste, was man verstehen muss, ist der Onboarding-Flow des Captive Portal. Wenn sich ein Gästegerät mit der offenen Gäste-SSID auf einem Arista Access Point verbindet, platziert der AP dieses Gerät sofort in ein Pre-Authentication-VLAN. In diesem Zustand hat das Gerät eine über DHCP zugewiesene IP-Adresse, aber sein DNS- und HTTP-Traffic ist stark eingeschränkt. Das Betriebssystem des Geräts, sei es iOS, Android oder Windows, führt eine Captive Portal-Erkennungsprüfung durch. iOS sendet eine HTTP-Anfrage an captive.apple.com. Android prüft connectivitycheck.gstatic.com. Der Arista AP fängt diese Anfrage ab und gibt einen 302-Redirect zurück, der das Gerät auf die URL der Purple-Splash-Page leitet.
An diesem Punkt scheitern die meisten Bereitstellungen. Damit dieser Redirect funktioniert und die Splash-Page tatsächlich gerendert wird, müssen Sie den Walled Garden in Arista CV-CUE korrekt konfigurieren. Der Walled Garden ist eine explizite Whitelist. Im Pre-Authentication-Zustand wird standardmäßig der gesamte Traffic blockiert. Sie müssen jede Domain auf die Whitelist setzen, die zum Laden des Portals erforderlich ist. Das bedeutet mindestens die Kern-Domains von Purple: region1.purpleportal.net, venuewifi.com und cloudfront.net. Wenn Sie Social Login über Google Workspace anbieten, müssen Sie accounts.google.com und die zugehörigen CDN-Bereiche hinzufügen. Für Facebook benötigen Sie facebook.com, fbcdn.net und akamaihd.net. Wenn Sie auch nur eine dieser Domains vergessen, sieht der Gast einen leeren Bildschirm oder einen sich drehenden Lade-Button. Er bricht ab, und Sie verlieren die Möglichkeit zur Datenerfassung.
Lassen Sie mich Sie durch die RADIUS-Konfiguration in CV-CUE führen. Navigieren Sie zu Configure, dann Network Profiles, dann RADIUS. Klicken Sie auf Add RADIUS Server. Geben Sie die IP-Adresse des primären RADIUS-Servers von Purple ein, setzen Sie den Authentication Port auf 1812, den Accounting Port auf 1813 und geben Sie den von Purple bereitgestellten Shared Secret ein. Wiederholen Sie dies für den sekundären Server. Diese Redundanz ist absolut kritisch. Wenn der primäre Server nicht erreichbar ist, übernimmt der sekundäre, ohne den Gästezugang zu unterbrechen.
Sobald die RADIUS-Profile gespeichert sind, gehen Sie zu Konfigurieren, dann WiFi, dann SSID, und klicken Sie auf Neue SSID hinzufügen. Benennen Sie Ihre SSID, setzen Sie den Typ auf Guest und stellen Sie unter der Registerkarte Sicherheit die Sicherheitsstufe auf Open ein. Dies ist die korrekte Einstellung für ein Captive Portal-Szenario. Aktivieren Sie unter der Registerkarte Captive Portal das Kontrollkästchen Captive Portal, wählen Sie Third-Party Hosted aus der Dropdown-Liste Cloud Hosted und aktivieren Sie das Kontrollkästchen Mit RADIUS-Authentifizierung. Fügen Sie die Purple Splash Page-URL in das Feld Splash Page-URL ein. Diese hat in der Regel das Format https://region1.purpleportal.net/access/. Geben Sie das Shared Secret ein. Fügen Sie dann im Bereich Websites, auf die Benutzer vor der Anmeldung zugreifen können, Ihre Walled Garden-Domains hinzu. Setzen Sie das Format der Called Station ID auf percent-m, wodurch die MAC-Adresse in dem von Purple erwarteten Format gesendet wird. Stellen Sie das Accounting-Intervall auf 2 Minuten ein. Deaktivieren Sie das Kontrollkästchen HTTPS-Weiterleitung. Speichern Sie die SSID. Sie wird innerhalb weniger Minuten auf Ihre Arista APs übertragen.
Sprechen wir nun darüber, was passiert, nachdem der Gast seine Daten im Purple-Portal eingegeben hat. Purple fungiert als RADIUS-Server. Es validiert die Identität, erfasst die Zustimmung und sendet eine RADIUS Access-Accept-Nachricht zurück an den Arista AP. Aber hier ist der entscheidende Punkt: Diese Access-Accept-Nachricht enthält Change of Authorisation-Attribute, die in RFC 3576 definiert sind. Diese Attribute weisen den Arista AP an, diesen spezifischen Client dynamisch vom eingeschränkten Vor-Authentifizierungsstatus in das Nach-Authentifizierungs-VLAN mit vollem Internetzugang zu überführen. Gleichzeitig sendet der AP eine RADIUS Accounting-Start-Nachricht an Purple auf Port 1813. Dies startet den Session-Timer und speist Daten zur Sitzungsdauer in das Analyse-Dashboard von Purple ein.
Kommen wir nun zu dem fortgeschritteneren Anwendungsfall: Multi-Tenant WiFi mit Arista Private Pre-Shared Keys, oder PPSK. Dies ist die Architektur, die Sie für Coworking-Spaces, Einkaufszentren, Wohngebäude oder jede Umgebung benötigen, in der Sie mehrere verschiedene Benutzergruppen haben, die eine strikte Netzwerktrennung erfordern.
Das Problem bei herkömmlichen Ansätzen besteht darin, dass das Ausstrahlen einer separaten SSID für jeden Mandanten zu einem enormen RF-Overhead führt. Jede SSID erfordert Beacon-Frames. In einer dichten Umgebung mit 20 Mandanten sind das 20 SSIDs, die Sendezeit verbrauchen. PPSK löst dies auf elegante Weise. Sie strahlen eine einzige SSID aus. Im Purple-Portal wird jedoch jedem Mandanten eine eindeutige Passphrase zugewiesen. Wenn sich ein Benutzer verbindet, authentifiziert der Arista AP diese Passphrase gegenüber dem Purple RADIUS-Server. Purple sucht nach der Passphrase, identifiziert den zugehörigen Mandanten und gibt eine Access-Accept-Nachricht zurück. Entscheidend ist jedoch, dass sie drei RADIUS-Attribute anhängt: Tunnel-Type, eingestellt auf VLAN; Tunnel-Medium-Type, eingestellt auf 802; und Tunnel-Private-Group-ID, eingestellt auf die spezifische VLAN-ID des Mandanten. Der Arista AP liest diese Attribute und leitet den Client dynamisch an das richtige VLAN weiter. Mandant A landet mit seiner Passphrase im VLAN 100. Mandant B landet im VLAN 200. Sie sind auf Layer 2 vollständig isoliert. Sie können die Geräte, Drucker oder Server des jeweils anderen nicht sehen.
Dies ist Identity-Based Networking in der Praxis. Die Identität der Passphrase bestimmt das Netzwerksegment. Es wird zentral über Purple verwaltet. Wenn also ein Mandant geht, widerrufen Sie seine Passphrase im Purple-Portal, und der Zugriff wird sofort beendet. Keine Änderungen an der Arista-Infrastruktur erforderlich.
Lassen Sie uns nun das sichere Mitarbeiter-WiFi mit IEEE 802.1X behandeln. Für Ihre Mitarbeiter-SSID sollten Sie keine gemeinsam genutzte Passphrase verwenden. Sie sollten 802.1X mit EAP, Extensible Authentication Protocol, verwenden. Erstellen Sie in CV-CUE eine neue Corporate-SSID. Wählen Sie auf der Registerkarte "Sicherheit" WPA2-Enterprise oder WPA3-Enterprise. Wählen Sie Ihr RADIUS-Profil aus, das auf Ihren Unternehmens-Identitätsanbieter verweisen sollte, wie z. B. Microsoft Entra ID oder Okta. Wenn sich ein Mitarbeiter verbindet, präsentiert sein Gerät dem Arista AP Anmeldedaten, die dieser über EAP an den RADIUS-Server weiterleitet. Der Identitätsanbieter validiert die Anmeldedaten und gibt ein Access-Accept zurück. Bei der zertifikatsbasierten Authentifizierung mit EAP-TLS präsentiert das Gerät ein Client-Zertifikat anstelle von Benutzername und Passwort, wodurch der Diebstahl von Anmeldedaten als Angriffsvektor vollständig eliminiert wird.
Lassen Sie mich auf die Arista Cloud WIPS-Integration eingehen. Das Wireless Intrusion Prevention System von Arista arbeitet im Hintergrund und sucht nach Rogue Access Points und nicht autorisierten Clients. Navigieren Sie in CV-CUE zu "Configure", dann "WIPS" und schließlich "Automatic Intrusion Prevention". Sie können die Präventionsstufe von "Degrade" bis "Block" konfigurieren. Für Enterprise-Bereitstellungen empfehlen wir die Stufe "Disrupt" als Ausgangspunkt. Diese unterbricht nicht autorisierte Kommunikation, ohne sie vollständig zu blockieren, was das Risiko von Fehlalarmen verringert. Sie sollten auch die VLAN-Überwachung unter "Configure", dann "Device", dann "Access Point" konfigurieren und die Registerkarte "Security" auswählen. Aktivieren Sie die SSID-VLAN-Überwachung, damit APs ihre zugewiesenen VLANs aktiv auf Rogue-Aktivitäten überwachen.
Nun zu einigen Implementierungsfehlern, die Sie vermeiden sollten. Erstens: Erschöpfung des DHCP-Pools. In Umgebungen mit hoher Fluktuation, wie Einzelhandelsgeschäften oder Stadien, verbinden sich Geräte kurz und entfernen sich wieder. Wenn Ihr Idle-Timeout zu hoch eingestellt ist, bleiben diese Sitzungen aktiv und belegen IP-Adressen. Stellen Sie das Idle-Timeout in CV-CUE auf 10 Minuten für den Einzelhandel und auf bis zu 5 Minuten für Veranstaltungsorte ein. Dies gibt IPs aggressiv wieder frei und verhindert, dass der Pool erschöpft wird.
Zweitens: MAC-Adress-Anonymisierung. Seit iOS 14 und Android 10 anonymisieren Geräte standardmäßig ihre MAC-Adresse pro SSID. Dies hebelt jede Architektur aus, die sich auf MAC-Adressen verlässt, um wiederkehrende Gäste zu identifizieren. Die richtige Antwort besteht darin, Ihr Identitätsmodell auf authentifizierte Anmeldedaten umzustellen, wie die E-Mail-Adresse oder das Social-Login, die über das Purple-Portal erfasst werden. Für eine nahtlose Wiederverbindung ohne Portal ist der langfristige Migrationspfad Passpoint, auch bekannt als Hotspot 2.0, das auf zertifikatsbasierter Authentifizierung basiert und das Captive Portal vollständig überflüssig macht.
Drittens: HTTPS-Weiterleitung. Stellen Sie bei der Konfiguration des Captive Portals in CV-CUE sicher, dass das Kontrollkästchen für die HTTPS-Weiterleitung deaktiviert ist. Purple verarbeitet die HTTPS-Sitzung unabhängig. Die Aktivierung der HTTPS-Weiterleitung auf Arista-Seite kann zu Zertifikatskonflikten führen, die das Laden des Portals verhindern.
Lassen Sie uns eine kurze Fragerunde zu häufigen Szenarien durchgehen.
Frage: Die Portal-Seite eines Gasts zeigt einen leeren Bildschirm. Wo suchen Sie zuerst? Antwort: Im Walled Garden. Ein fehlendes Domain-Eintrag ist fast immer die Ursache. Prüfen Sie, ob alle Purple-Domains und die relevanten CDN-Domains des Identity Providers in CV-CUE auf der Whitelist stehen.
Frage: Alle PPSK-Benutzer landen im Standard-VLAN. Was ist falsch? Antwort: Der Purple RADIUS-Server gibt das Attribut Tunnel-Private-Group-ID nicht zurück. Überprüfen Sie die RADIUS-Antwort in den CV-CUE-Fehlerbehebungsprotokollen und verifizieren Sie das VLAN-Mapping im Purple-Portal.
Frage: Die RADIUS-Accounting-Daten in Purple zeigen Sitzungen von null Sekunden an. Was ist das Problem? Antwort: Der Accounting-Port ist wahrscheinlich falsch konfiguriert oder blockiert. Stellen Sie sicher, dass Port 1813 auf der Firewall zwischen den Arista APs und den Purple RADIUS-Servern geöffnet ist und dass das Accounting-Intervall in den SSID-Einstellungen auf 2 Minuten festgelegt ist.
Zusammenfassend die wichtigsten Erkenntnisse dieses Briefings. Erstens: Der Walled Garden ist eine explizite Whitelist. Pflegen Sie diese als wiederkehrende betriebliche Aufgabe, nicht als einmalige Einrichtung. Zweitens: RADIUS Change of Authorization ist der Mechanismus, der den Zugriff gewährt. Ohne diesen wird das Portal zwar abgeschlossen, der Gast bleibt jedoch blockiert. Drittens: Arista PPSK mit Purple RADIUS ermöglicht eine dynamische VLAN-Steuerung für die Isolation von Mandanten auf einer einzigen SSID, was den Beacon-Overhead eliminiert. Viertens: Aktivieren Sie auf Guest SSIDs immer die Client-Isolation, um laterale Bewegungen zu verhindern. Fünftens: Die Randomisierung von MAC-Adressen erfordert einen Wechsel zur identitätsbasierten Authentifizierung für präzise Analysen. Sechstens: Eine ordnungsgemäße Integration erfüllt die GDPR-Einwilligungsanforderungen und erfasst First-Party-Daten, die den Marketing-ROI direkt steigern.
Ihre nächsten Schritte: Rufen Sie die IP-Adressen des Purple RADIUS-Servers und die Shared Secrets von der Hardware-Konfigurationsseite des Purple-Portals ab. Konfigurieren Sie die RADIUS-Profile in CV-CUE. Erstellen Sie Ihre Walled Garden-Domainliste. Stellen Sie Ihre Guest SSID bereit. Testen Sie den vollständigen Authentifizierungsfluss von einem Mobilgerät aus, bevor Sie ihn in der Produktionsumgebung bereitstellen. Und wenn Sie mandantenfähige Umgebungen bereitstellen, ordnen Sie Ihre Mandanten-VLAN-IDs in Purple zu, bevor Sie die PPSK-Passphrasen konfigurieren.
Damit ist dieses technische Briefing abgeschlossen. Vielen Dank fürs Zuhören.
