Zum Hauptinhalt springen
Deutsch

Aruba Central und Purple WiFi: Cloud-Managed Integration

Ein umfassender technischer Leitfaden für die Integration von Aruba Central mit der Cloud-basierten Guest-WiFi-Intelligence-Plattform von Purple. Dieser Leitfaden behandelt die Architektur, die schrittweise Konfiguration von externen Captive Portals und RADIUS sowie Multi-Site-Rollout-Strategien für IT-Teams in Unternehmen.

📖 7 Min. Lesezeit📝 1,633 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Aruba Central und Purple WiFi: Cloud-Managed Integration. Ein Briefing für IT-Entscheider. Willkommen. Wenn Sie Gast-WiFi an mehreren Standorten verwalten und Aruba Central nutzen, ist diese Episode direkt für Sie relevant. Ich werde Sie genau durch die Integration von Purple mit Aruba Central führen – die Architektur, die Konfigurationsschritte, die Multi-Site-Rollout-Muster und die Fallstricke, die Teams immer wieder einholen. Dies ist ein praktisches Briefing, kein Produkt-Pitch. Lassen Sie uns direkt einsteigen. Abschnitt eins: Kontext und warum das wichtig ist. Aruba Central ist die Cloud-Managed-Networking-Plattform von HPE. Sie ist die Control Plane für Zehntausende von Aruba Instant Access Points, die in Hotels, Einzelhandelsketten, Stadien, Konferenzzentren und Gebäuden des öffentlichen Sektors im Einsatz sind. Wenn Sie von On-Premises-Aruba-Controllern – den Mobility Controllern oder Mobility Conductors – zu Central gewechselt sind, haben Sie bereits den Übergang von der CLI-lastigen, standortspezifischen Konfiguration hin zu einer gruppenbasierten, aus der Cloud gesteuerten Richtlinienverwaltung erlebt. Dieser Wechsel verändert grundlegend die Art und Weise, wie Sie eine Gast-WiFi-Plattform wie Purple integrieren. Bei einem traditionellen On-Prem-Aruba-Controller würden Sie die Captive Portal-Weiterleitung und die RADIUS-Authentifizierung direkt auf dem Controller selbst konfigurieren. Der Controller war der Punkt zur Durchsetzung von Richtlinien und befand sich in Ihrem Rechenzentrum oder Serverraum. Bei Aruba Central erfolgt die Durchsetzung der Richtlinien immer noch am Access Point – aber die Konfiguration wird aus der Cloud übertragen. Das bedeutet, dass Ihre Integrations-Touchpoints andere sind. Sie arbeiten mit Gruppenvorlagen, SSID-Profilen und externen Captive Portal-Profilobjekten, die in der Konfigurationshierarchie von Central liegen und nicht auf einem Gerät im Rack. Purple steht über all dem als Cloud-gehostete Gast-WiFi-Intelligence-Plattform. Sie stellt das Captive Portal bereit – die Splash-Page, die Gäste sehen –, übernimmt die Authentifizierungslogik, erfasst First-Party-Daten mit Einwilligung und liefert Analysen an Ihre Marketing- und Betriebsteams zurück. Die Frage ist: Wie verbinden Sie diese beiden Cloud-Plattformen sauber und skalierbar über potenziell Hunderte von Standorten hinweg? Abschnitt zwei: Die technische Architektur. Lassen Sie mich den Datenfluss beschreiben, wenn sich ein Gast verbindet. Ein Gastgerät verbindet sich mit Ihrer Gast-SSID – nennen wir sie Hotel-Guest –, die von einem Aruba Instant AP ausgestrahlt wird. Der AP wurde über Aruba Central mit einem externen Captive Portal-Profil konfiguriert. Dieses Profil enthält zwei entscheidende Informationen: die Redirect-URL, die auf den Captive Portal-Server von Purple verweist, und die RADIUS-Server-Details, die auf den RADIUS-as-a-Service-Endpunkt von Purple verweisen. Wenn der Gast einen Browser öffnet, fängt der AP die HTTP-Anfrage ab und leitet sie auf die Splash-Page von Purple weiter. Der Gast authentifiziert sich – je nach Ihrer Purple-Konfiguration über Social Login, E-Mail, SMS oder ein benutzerdefiniertes Formular. Das Backend von Purple sendet dann eine RADIUS Access-Accept-Nachricht zurück an den AP, die dem Gast den Internetzugang gewährt und ihn von der Pre-Authentication-Rolle in die authentifizierte Gast-Rolle verschiebt. RADIUS-Accounting-Pakete fließen während der gesamten Sitzung, was Purple Einblick in die Sitzungsdauer und den Datenverbrauch gibt. Der Hauptunterschied zu On-Premise-Aruba besteht nun darin: In Aruba Central konfigurieren Sie das External Captive Portal-Profil einmal auf Gruppenebene, und es wird auf jeden AP in dieser Gruppe übertragen. Sie müssen die einzelnen APs nicht anfassen. Dies ist enorm leistungsstark für Multi-Site-Bereitstellungen, erfordert jedoch, dass Sie die Gruppenstruktur richtig aufsetzen, bevor Sie beginnen. Aruba Central organisiert Geräte in Gruppen, und innerhalb von Gruppen können Sie Standorte (Sites) haben. Eine Gruppe ist die Konfigurationseinheit – SSIDs, Funkprofile und Sicherheitsrichtlinien befinden sich alle auf Gruppenebene. Standorte sind die Einheit für Ort und Überwachung. Für eine Hotelkette ist eine sinnvolle Struktur eine Gruppe pro Immobilientyp – beispielsweise Full-Service-Hotels und Budget-Hotels – wobei jedes physische Hotel als separater Standort innerhalb der entsprechenden Gruppe eingerichtet wird. Die Konfiguration von Purple wird dann den Gruppen zugeordnet: ein External Captive Portal-Profil pro Gruppe, das auf denselben Purple RADIUS-Endpunkt verweist, aber potenziell mit unterschiedlichen Splash-Page-Themen pro Standort unter Verwendung der Anpassung auf Standortebene von Purple. Der Walled Garden ist ein kritisches Konfigurationselement, das Teams häufig falsch konfigurieren. Bevor sich ein Gast authentifiziert, lässt der AP nur DNS- und DHCP-Verkehr sowie alle Domains zu, die Sie explizit auf die Whitelist setzen. Damit Purple funktioniert, müssen Sie die Captive Portal-Domain von Purple, alle CDN-Domains, die Purple für Assets verwendet, und alle Domains von Social-Login-Anbietern auf die Whitelist setzen, wenn Sie die Social-Authentifizierung nutzen – Facebook, Google, Apple. Wenn Sie eine Domain vergessen, wird die Splash-Page nur teilweise geladen oder die Authentifizierung schlägt geräuschlos fehl. Die Support-Dokumentation von Purple enthält die aktuelle Walled-Garden-Liste, und es lohnt sich, diese Liste als lebendiges Dokument zu behandeln, das Sie immer dann überprüfen, wenn Purple seine Plattform aktualisiert. Abschnitt drei: Aruba Central API-Oberfläche für die Automatisierung. Wenn Sie die Bereitstellung für mehr als etwa zwanzig Standorte durchführen, wird die manuelle Konfiguration über die Central-Benutzeroberfläche zu einem Engpass. Aruba Central bietet eine umfassende REST-API – die Central-API –, mit der Sie die SSID-Erstellung, die Zuweisung von Captive Portal-Profilen und die Walled-Garden-Konfiguration automatisieren können. Die API ist über OAuth 2.0 authentifiziert, und Sie müssen API-Anmeldedaten im Central-Portal generieren. Die wichtigsten API-Endpunkte für eine Purple-Integration sind: der WLAN-Konfigurations-Endpunkt, mit dem Sie SSID-Profile erstellen und aktualisieren können; der Endpunkt für das externe Captive Portal-Profil, an dem Sie die Purple-Weiterleitungs-URL und die RADIUS-Server-Details definieren; und die Endpunkte für das Standort- und Gruppenmanagement, mit denen Sie Geräte programmgesteuert Standorten und Gruppen zuweisen können. Wenn Sie einen neuen Standort einrichten, können Sie ein Skript schreiben, das den Standort in Central erstellt, die APs dem Standort zuweist, die richtige Gruppenvorlage anwendet und das Purple-spezifische Captive Portal-Profil konfiguriert – und das alles, ohne die Benutzeroberfläche zu berühren. Purple stellt auch eine eigene API bereit, mit der Sie Standortdatensätze erstellen, Splash-Page-Designs konfigurieren und Analysedaten abrufen können. Eine ausgereifte Integration nutzt beide APIs zusammen: die API von Central zur Verwaltung der Netzwerkschicht und die API von Purple zur Verwaltung der Guest-Experience-Schicht. Dies ist das Muster, das große Einzelhandelsketten und Hotelgruppen verwenden, wenn sie Dutzende von neuen Standorten pro Quartal einrichten. Abschnitt vier: Schritt-für-Schritt-Konfiguration. Lassen Sie mich Sie durch die Konfigurationssequenz für einen einzelnen Standort führen, die Sie dann für eine Skalierung automatisieren würden. Navigieren Sie zunächst in Aruba Central zu Ihrer Zielgruppe und öffnen Sie die WLAN-Konfiguration. Erstellen Sie eine neue SSID – zum Beispiel „Venue-Guest“ – und setzen Sie die Sicherheitsstufe auf „Visitors“. Dies ist die Terminologie von Aruba für ein offenes oder über ein Captive Portal authentifiziertes Netzwerk. Zweitens: Stellen Sie unter der Registerkarte „Security“ den Typ der Splash Page auf „External Captive Portal“. Erstellen Sie ein neues Profil für das externe Captive Portal. Geben Sie ihm einen aussagekräftigen Namen – „Purple-Guest-Portal“ eignet sich gut. Stellen Sie den Authentifizierungstyp auf „RADIUS Authentication“. Geben Sie den Hostnamen des Captive Portal-Servers von Purple in das Feld „IP or Hostname“ ein. Geben Sie die Weiterleitungs-URL ein. Aktivieren Sie HTTPS. Stellen Sie das Verhalten bei einem Ausfall des Captive Portals auf „Deny Internet“, was die sicherere Standardeinstellung ist. Drittens: Konfigurieren Sie den RADIUS-Server. Gehen Sie in Central zu den Einstellungen des Authentifizierungsservers und fügen Sie den RADIUS-as-a-Service-Server von Purple hinzu. Sie benötigen die Server-IP oder den Hostnamen, das Shared Secret – das Sie in der Purple-Plattform generieren – und den Authentifizierungsport, der standardmäßig 1812 ist, mit Accounting auf 1813. Fügen Sie diesen Server als primären Server für Ihre Gäste-SSID hinzu. Viertens: Konfigurieren Sie den Walled Garden. Fügen Sie in den Zugriffsregeln der SSID die Purple Captive Portal-Domain und alle Social-Login-Domains zur Allowlist hinzu. Testen Sie dies sorgfältig – eine fehlende Domain ist die häufigste Ursache für Fehler bei der Splash Page. Fünftens: Speichern und übertragen Sie die Konfiguration. Central überträgt die Konfiguration auf alle APs in der Gruppe. Überprüfen Sie auf einem Testgerät, ob die Weiterleitung korrekt funktioniert und die Authentifizierung abgeschlossen wird. Abschnitt fünf: Muster für den Rollout an mehreren Standorten. Für eine Bereitstellung an fünfzig oder mehr Standorten benötigen Sie einen disziplinierten Ansatz. Das von mir empfohlene Muster lautet: Pilotieren, Vorlagen erstellen, Automatisieren, Validieren. Führen Sie ein Pilotprojekt an einem einzelnen Standort durch. Stellen Sie die Konfiguration exakt ein – Walled Garden vollständig, RADIUS funktioniert, Splash Page lädt sauber, Accounting läuft. Dokumentieren Sie jeden Parameterwert. Erstellen Sie dann diese Konfiguration in einer Central-Gruppenvorlage. Die Vorlage wird zu Ihrer Single Source of Truth. Nutzen Sie für den Rollout die Central API, um die Vorlage auf neue Gruppen zu übertragen, während Sie Standorte onboarden. Wenn Ihre Purple-Bereitstellung unterschiedliche Splash-Page-Designs pro Marke oder Region verwendet, parametrisieren Sie das Captive Portal-Profil – die Redirect-URL kann Query-Parameter enthalten, die Purple verwendet, um das richtige Design bereitzustellen. Das bedeutet, dass Sie einen einzigen RADIUS-Endpunkt, aber mehrere Splash-Page-Erlebnisse haben können, die alle zentral verwaltet werden. Validieren Sie jeden Standort nach dem Onboarding. Ein einfaches Validierungsskript, das ein Testgerät zuweist, auf die Weiterleitung prüft, authentifiziert und den Internetzugang verifiziert, fängt Konfigurationsabweichungen ab, bevor Gäste sie bemerken. Das Analytics-Dashboard von Purple zeigt Ihnen auch, ob Sitzungen aufgezeichnet werden – wenn ein Standort im Reporting von Purple dunkel bleibt, ist das Ihr Signal, dass auf der Netzwerkschicht etwas fehlerhaft ist. Abschnitt sechs: Fallstricke bei der Implementierung. Der Walled Garden ist die Fehlerquelle Nummer eins. Testen Sie mit einem Gerät, das keine zwischengespeicherten DNS- oder Portalsitzungen hat. Verwenden Sie ein neues Browserprofil oder den Inkognito-Modus. Der zweite Fallstrick ist eine Diskrepanz beim gemeinsamen RADIUS-Schlüssel (Shared Secret). Das in Central konfigurierte Secret muss exakt mit dem Secret in der Plattform von Purple übereinstimmen. Ein Unterschied von nur einem Zeichen führt zu unbemerkt fehlschlagenden Authentifizierungen – der AP erhält keine Antwort vom RADIUS-Server und lehnt den Gast entweder ab oder gewährt, falls Sie den Captive Portal-Fehlermodus auf „Internet zulassen“ eingestellt haben, Zugriff ohne Authentifizierung, was ein Compliance-Risiko darstellt. Der dritte Fallstrick ist eine VLAN-Fehlkonfiguration. Der Gast-Traffic sollte auf einem dedizierten VLAN liegen, isoliert von Ihrem Unternehmensnetzwerk. In Aruba Central wird dies in den VLAN-Einstellungen des SSID-Profils konfiguriert. Wenn Ihr Gast-VLAN auf dem Uplink-Switch-Port nicht korrekt getrunkt ist, fahren die APs zwar hoch, aber die Gäste erhalten keine DHCP-Adressen. Der vierte Fallstrick ist das Zertifikatsvertrauen bei der Captive Portal-Weiterleitung. Moderne Browser und Betriebssysteme setzen HTTPS immer strenger durch. Der Captive Portal-Server von Purple verwendet ein gültiges TLS-Zertifikat. Wenn Ihr Walled Garden jedoch die OCSP- oder CRL-Endpunkte blockiert, die der Client zur Validierung des Zertifikats verwendet, werden auf der Splash Page Zertifikatsfehler angezeigt. Fügen Sie diese Endpunkte Ihrem Walled Garden hinzu. Abschnitt sieben: Schnelle Fragen. Funktioniert Purple sowohl mit der AOS-10-Architektur von Aruba Central als auch mit AOS-8? Ja. Der externe Captive Portal-Mechanismus ist über beide Firmware-Streams hinweg konsistent. Der UI-Pfad unterscheidet sich geringfügig, aber die zugrunde liegenden Konfigurationsobjekte sind dieselben. Kann ich den RADIUS-as-a-Service von Purple nutzen, ohne eine eigene RADIUS-Infrastruktur zu betreiben? Ja, genau das ist der Punkt. Der RADIUS-as-a-Service von Purple ist ein in der Cloud gehosteter RADIUS-Server, auf den Sie Ihre Aruba APs ausrichten. Sie benötigen kein FreeRADIUS oder Cisco ISE vor Ort. Unterstützt diese Integration WPA3? Aruba Central unterstützt WPA3 auf kompatiblen APs, und Sie können den WPA3-Übergangsmodus auf Ihrer Gäste-SSID aktivieren. Der Captive Portal-Mechanismus von Purple ist unabhängig von der Verschlüsselungsebene – er arbeitet auf der Ebene der HTTP-Weiterleitung, nicht auf der Ebene der 802.11-Assoziierung. Sind die von Purple erfassten Daten GDPR-konform? Purple wurde mit der GDPR-Konformität als Kernanforderung entwickelt. Die Splash-Page bietet einen Einwilligungsmechanismus, und die Datenverarbeitung von Purple wird durch Ihre Datenverarbeitungsvereinbarung mit ihnen geregelt. Stellen Sie für Standorte in der EU sicher, dass Ihre Purple-Konfiguration die entsprechenden Einwilligungserklärungen enthält und dass Ihre DPA vor dem Go-Live vorliegt. Abschnitt acht: Zusammenfassung und nächste Schritte. Zusammenfassend lässt sich sagen: Aruba Central und Purple lassen sich über den External Captive Portal-Mechanismus integrieren, wobei die RADIUS-Authentifizierung über den Cloud-RADIUS-Dienst von Purple abgewickelt wird. Die Konfiguration erfolgt auf Gruppenebene in Central und wird auf alle APs in der Gruppe übertragen – was der wesentliche architektonische Unterschied zum On-Premises-Aruba ist. Verwenden Sie bei Multi-Site-Rollouts die Central-API, um die Bereitstellung zu automatisieren, und nutzen Sie die Konfiguration Ihres Pilotstandorts als Vorlage für alles Folgende. Ihre unmittelbaren nächsten Schritte: Bestätigen Sie erstens, dass Ihre Aruba Central-Gruppenstruktur Ihrer Purple-Standorthierarchie entspricht. Zweitens: Rufen Sie die aktuelle Walled-Garden-Domainliste und die RADIUS-Endpunktdetails von Purple über das Support-Portal von Purple ab. Drittens: Führen Sie ein Pilotprojekt an einem einzelnen Standort durch und validieren Sie den gesamten Authentifizierungsfluss, bevor Sie skalieren. Viertens: Erstellen Sie Ihre Automatisierungsskripte parallel mit der Central-API und der Purple-API. Wenn Sie Purple zum ersten Mal evaluieren, bieten Ihnen die Seiten für Gäste-WiFi und die Analyseplattform auf purple.ai ein klares Bild davon, was Sie über das Captive Portal hinaus erhalten – die Erfassung von First-Party-Daten, die Marketing-Automatisierung, die Besucherfrequenz-Analysen. Das ist der Business Case, mit dem dieses Projekt finanziert wird. Vielen Dank fürs Zuhören. Wenn Sie Fragen zu dieser Integration haben, kann das Solutions-Team von Purple Sie durch ein Proof-of-Concept führen, das auf Ihre spezifische Aruba Central-Umgebung zugeschnitten ist.

header_image.png

Executive Summary

Für IT-Teams in Unternehmen, die verteilte drahtlose Netzwerke verwalten, ändert die Migration von On-Premises-Controllern zu Cloud-managed Plattformen wie Aruba Central das Bereitstellungsmodell grundlegend. Während die Kernmechanismen von Captive Portals und RADIUS-Authentifizierung gleich bleiben, verschiebt sich das Konfigurationsparadigma von der gerätezentrierten zur gruppenbasierten Richtlinienverwaltung.

Dieser Leitfaden bietet eine umfassende technische Referenz für die Integration von Aruba Central mit der Cloud-basierten Guest-WiFi-Intelligence-Plattform von Purple. Wir behandeln die architektonischen Unterschiede zwischen On-Premises- und Cloud-managed Bereitstellungen, die schrittweise Konfiguration für externe Captive Portals und RADIUS-as-a-Service sowie Strategien zur Automatisierung von Multi-Site-Rollouts mithilfe der Aruba Central API. Unabhängig davon, ob Sie Guest WiFi in einem Dutzend regionaler Niederlassungen oder an einem globalen Standortnetz von Einzelhandelsgeschäften bereitstellen, bietet diese Referenz die praktischen Anleitungen, die für eine sichere, skalierbare und konforme Integration erforderlich sind.

Technischer Deep-Dive

Architektonischer Wandel: Vom Controller zur Cloud

In einer traditionellen Aruba-Bereitstellung fungieren Mobility Controller als Richtliniendurchsetzungspunkte. Captive Portal-Profile, Walled-Garden-Regeln und RADIUS-Serverdefinitionen werden direkt auf dem Controller konfiguriert. Wenn sich ein Gast mit einem AP verbindet, wird sein Datenverkehr über einen Tunnel zurück zum Controller geleitet, der die HTTP-Weiterleitung zum Captive Portal übernimmt und die RADIUS-Authentifizierung an den Backend-Server weiterleitet.

Aruba Central arbeitet mit einem verteilten Durchsetzungsmodell. Die Richtliniendurchsetzung erfolgt am Instant Access Point (IAP) Edge, während die Konfiguration aus der Cloud übertragen wird. Die Integrationspunkte verlagern sich von der lokalen Gerätekonfiguration hin zu Gruppenvorlagen, SSID-Profilen und externen Captive Portal-Objekten innerhalb der Konfigurationshierarchie von Central.

architecture_overview.png

Purple fungiert oberhalb dieser Netzwerkschicht als Cloud-basierte Intelligence-Plattform. Sie stellt die Captive Portal-Engine bereit, übernimmt die Authentifizierungslogik (einschließlich Social Login, SMS und formularbasierter Authentifizierung), erfasst First-Party-Daten und leitet Analysen über das WiFi Analytics -Dashboard an Ihre Marketing- und Betriebsteams weiter. Purple bietet außerdem RADIUS-as-a-Service, wodurch eine On-Premises-RADIUS-Infrastruktur wie FreeRADIUS oder Cisco ISE für die Gästeauthentifizierung überflüssig wird.

Der Authentifizierungsablauf

  1. Assoziierung: Ein Gästegerät verbindet sich mit der vom Aruba IAP ausgestrahlten Gäste-SSID.
  2. Pre-Authentication-Rolle: Der IAP weist dem Gast eine Pre-Authentication-Rolle zu. Diese Rolle erlaubt nur DNS, DHCP und Datenverkehr zu Domains, die explizit im Walled Garden freigegeben sind.
  3. HTTP-Intercept: Wenn der Gast einen Browser öffnet und versucht, auf eine HTTP-Seite zuzugreifen, fängt der IAP die Anfrage ab.
  4. Weiterleitung: Der IAP greift auf sein Profil für das External Captive Portal zu und leitet den Browser des Gasts an die Splash-Page-URL von Purple weiter, wobei Parameter wie die AP-MAC-Adresse und die Client-MAC-Adresse angehängt werden.
  5. Authentifizierung: Der Gast authentifiziert sich über die Purple-Splash-Page.
  6. RADIUS Access-Request: Das Backend von Purple sendet im Namen des Gasts einen RADIUS Access-Request an den IAP (oder Virtual Controller).
  7. RADIUS Access-Accept: Nach erfolgreicher Authentifizierung sendet Purple eine RADIUS Access-Accept-Nachricht zurück an den IAP.
  8. Authentifizierte Rolle: Der IAP verschiebt den Gast von der Pre-Authentication-Rolle in die authentifizierte Gastrolle und gewährt vollen Internetzugang.
  9. Accounting: Der IAP sendet während der gesamten Sitzung RADIUS Accounting-Start- und Interims-Update-Pakete an Purple, um Einblick in die Sitzungsdauer und den Datenverbrauch zu geben.

Implementierungsleitfaden

Dieser Abschnitt beschreibt Schritt für Schritt die Konfiguration, die für die Integration eines einzelnen Standorts in Aruba Central erforderlich ist. Bei Bereitstellungen an mehreren Standorten sollte diese Konfiguration in ein Group Template integriert werden.

Schritt 1: Erstellen der Gäste-SSID

  1. Navigieren Sie in der Aruba Central WebUI zum Kontext der Zielgruppe.
  2. Klicken Sie unter Manage auf Devices > Access Points und dann auf das Config-Symbol.
  3. Wählen Sie die Registerkarte WLANs und klicken Sie auf + Add SSID.
  4. Geben Sie einen Namen für die SSID ein (z. B. Venue-Guest).
  5. Stellen Sie auf der Registerkarte Security das Security Level auf Visitors ein.

Schritt 2: Konfigurieren des External Captive Portal-Profils

  1. Wählen Sie in den SSID-Sicherheitseinstellungen den Splash-Page-Typ als External Captive Portal aus.
  2. Klicken Sie auf das +-Symbol, um ein neues Captive Portal-Profil zu erstellen.
  3. Name: Geben Sie einen aussagekräftigen Namen ein (z. B. Purple-Portal).
  4. Authentication Type: Wählen Sie Radius Authentication.
  5. IP or Hostname: Geben Sie den Hostnamen des Captive Portal-Servers von Purple ein, der in Ihren Purple-Portaleinstellungen angegeben ist.
  6. URL: Geben Sie die von Purple bereitgestellte Weiterleitungs-URL ein.
  7. Use HTTPS: Aktivieren Sie diese Option, um eine sichere Kommunikation zu erzwingen.
  8. Captive Portal Failure: Wählen Sie Deny Internet, um sicherzustellen, dass Gäste die Authentifizierung nicht umgehen können, wenn das Portal nicht erreichbar ist.

Schritt 3: RADIUS-as-a-Service konfigurieren

  1. Suchen Sie in den SSID-Sicherheitseinstellungen das Feld Primary Server unter der Konfiguration für das External Captive Portal.
  2. Klicken Sie auf das +-Symbol, um einen neuen externen Authentifizierungsserver hinzuzufügen.
  3. IP Address: Geben Sie die IP-Adresse oder den Hostnamen des RADIUS-Servers von Purple ein.
  4. Shared Key: Geben Sie das in Ihrem Purple-Portal generierte RADIUS Shared Secret ein. Wichtig: Dieses muss exakt übereinstimmen.
  5. Auth Port: 1812
  6. Accounting Port: 1813
  7. Stellen Sie sicher, dass Accounting aktiviert und auf ein angemessenes Intervall (z. B. 5 Minuten) eingestellt ist, um eine genaue Sitzungsverfolgung im Purple-Dashboard zu gewährleisten.

Schritt 4: Walled Garden definieren

Der Walled Garden ist das wichtigste Konfigurationselement. Er definiert die Domains, auf die ein Gast zugreifen kann, bevor er sich authentifiziert hat. Wenn der Walled Garden unvollständig ist, wird die Splash Page nicht geladen oder die Social-Media-Authentifizierung schlägt fehl.

  1. Navigieren Sie in den SSID-Einstellungen zu den Access-Regeln.
  2. Fügen Sie Regeln hinzu, um den Datenverkehr zu den Captive Portal-Domains und CDN-Endpunkten von Purple zuzulassen.
  3. Wenn Sie Social Login (z. B. Facebook, Google, X) verwenden, müssen Sie die entsprechenden Domains für diese Identity Provider hinzufügen. Purple führt eine aktualisierte Liste der erforderlichen Walled Garden-Domains in seiner Support-Dokumentation.

Schritt 5: VLAN- und DHCP-Konfiguration

Stellen Sie sicher, dass die Gäste-SSID einem dedizierten VLAN zugewiesen ist, das von Ihrem Unternehmensnetzwerk isoliert ist.

  1. Wählen Sie auf der Registerkarte VLANs in der SSID-Konfiguration die Option External DHCP server assigned (wenn Sie Ihre eigene DHCP-Infrastruktur verwenden) oder Instant AP assigned (wenn der Virtual Controller DHCP und NAT für Gäste übernimmt).
  2. Geben Sie die korrekte VLAN-ID für das Gästenetzwerk an.

Best Practices für Multi-Site-Rollouts

Bei der Bereitstellung an Dutzenden oder Hunderten von Standorten – sei es im Einzelhandel , im Gastgewerbe oder im Gesundheitswesen – ist die manuelle Konfiguration fehleranfällig. Ein disziplinierter, automatisierter Ansatz ist erforderlich.

multisite_rollout.png

1. Gruppenstruktur und Hierarchie

Richten Sie Ihre Aruba Central-Gruppenstruktur an Ihrer Standort-Hierarchie aus. Ein gängiges Muster ist die Erstellung von Gruppen basierend auf dem Standorttyp oder der Marke (z. B. „Flagship Stores“ vs. „Pop-up-Standorte“). Das External Captive Portal-Profil wird auf Gruppenebene angewendet, was bedeutet, dass alle APs in dieser Gruppe dieselben Purple-Integrationseinstellungen erben.

2. Parametrisierte Weiterleitungen

Wenn verschiedene Standorte unterschiedliche Splash-Page-Designs erfordern, benötigen Sie nicht für jeden Standort separate Captive Portal-Profile. Purple ermöglicht Ihnen die Verwendung einer einzigen Weiterleitungs-URL, die dynamisch das richtige Design basierend auf der AP-MAC-Adresse oder einem benutzerdefinierten Parameter anzeigt, der vom Aruba AP an die URL angehängt wird.

3. API-gestützte Bereitstellung

Nutzen Sie die Aruba Central REST-API, um das Onboarding von Standorten zu automatisieren. Die Central-API ermöglicht es Ihnen, SSIDs programmgesteuert zu erstellen, Captive Portal-Profile zuzuweisen und Walled Garden-Listen zu aktualisieren. In Kombination mit der Purple-API können Sie einen Zero-Touch-Provisioning-Workflow erstellen:

  • Skript-Trigger: Ein neuer Standort wird zu Ihrer CMDB hinzugefügt.
  • Purple-API: Erstellt den Standort-Datensatz in Purple und generiert das RADIUS-Secret.
  • Central-API: Erstellt den Standort in Aruba Central, weist die APs zu, wendet das Gruppentemplate an und fügt das Purple-RADIUS-Secret ein.

4. SSID-Konsolidierung

Vermeiden Sie die Versuchung, mehrere Gäste-SSIDs für verschiedene Benutzertypen (z. B. „Gast“, „Auftragnehmer“, „Lieferant“) auszustrahlen. Wie in unserem Leitfaden zu Indoor Positioning System: UWB, BLE, & WiFi Guide ausführlich beschrieben, verschlechtern zu viele SSIDs die HF-Leistung, da sie wertvolle Sendezeit für Beacon-Frames verbrauchen. Strahlen Sie eine einzige SSID aus und nutzen Sie die Authentifizierungslogik von Purple, um basierend auf der Identität des Benutzers unterschiedliche Rollen oder Bandbreitenbegrenzungen zuzuweisen.

Fehlerbehebung & Risikominderung

Häufige Fehlermuster

  • Splash Page lädt nicht: Dies ist fast immer ein Problem mit dem Walled Garden. Das Gerät des Gastes versucht, eine Ressource (z. B. eine Schriftart, ein Bild oder eine CSS-Datei) von einer Domain zu laden, die vor der Authentifizierung nicht zugelassen ist. Verwenden Sie die Entwicklertools eines Browsers auf einem Testgerät, um blockierte Anfragen zu identifizieren.
  • Lautlose Authentifizierungsfehler: Wenn die Splash Page geladen wird, der Benutzer sich authentifiziert, aber kein Internetzugang gewährt wird, liegt das Problem in der Regel an einer Diskrepanz beim gemeinsamen RADIUS-Schlüssel (Shared Secret) oder an einer Firewall, die die UDP-Ports 1812/1813 zwischen dem AP und den RADIUS-Servern von Purple blockiert.
  • Zertifikatsfehler bei der Weiterleitung: Moderne Betriebssysteme erzwingen eine strenge HTTPS-Validierung. Wenn Ihr Walled Garden den Zugriff auf die Certificate Revocation List (CRL) oder die Online Certificate Status Protocol (OCSP)-Endpunkte blockiert, die vom Client-Gerät zur Validierung des TLS-Zertifikats von Purple verwendet werden, gibt der Browser eine Sicherheitswarnung aus. Stellen Sie sicher, dass diese Endpunkte auf der Whitelist stehen.

Risikominderung: Compliance und Datenschutz

Bei der Bereitstellung von Gäste-WiFi verarbeiten Sie personenbezogene Daten. Die Integration muss unter Berücksichtigung der Datenschutzbestimmungen konzipiert werden.

  • GDPR und CCPA: Stellen Sie sicher, dass Ihre Purple Splash Page klare Geschäftsbedingungen und explizite Einwilligungsmechanismen für die Datenerfassung enthält. Weitere Informationen zu den regulatorischen Auswirkungen finden Sie in unserem Briefing zum EU AI Act and Guest WiFi: What Marketers Need to Know .
  • PCI DSS: Der Datenverkehr von Gästen muss logisch von Zahlungsabwicklungsnetzwerken getrennt sein. Stellen Sie sicher, dass das der Gäste-SSID in Aruba Central zugewiesene VLAN kein Routing zu Ihrer Point-of-Sale-Infrastruktur (POS) durchführen kann.

ROI & geschäftliche Auswirkungen

Der Übergang zu einer Cloud-gesteuerten Integration zwischen Aruba Central und Purple liefert messbaren geschäftlichen Nutzen:

  • Reduzierte TCO: Der Verzicht auf On-Premises-Controller und lokale RADIUS-Server reduziert die Hardwarekosten und den Wartungsaufwand.
  • Operative Agilität: Gruppenbasiertes Richtlinienmanagement und API-gestützte Bereitstellung ermöglichen es IT-Teams, neue Standorte in Minuten statt in Tagen bereitzustellen.
  • Nutzenbringende Erkenntnisse: Durch die nahtlose Verbindung des Network Edge mit der Analyseplattform von Purple erhalten Standorte sofortige Transparenz über Besucherzahlen, Verweilzeiten und Kundendemografie. So wird eine Kostenstelle (Gäste-WiFi) in ein umsatzgenerierendes Asset verwandelt.

Hören Sie sich unseren Deep-Dive-Podcast an, um weitere Einblicke zu erhalten:

Schlüsseldefinitionen

External Captive Portal Profile

Ein Konfigurationsobjekt in Aruba Central, das die Weiterleitungs-URL und die Details des Authentifizierungsservers für eine Gast-WiFi-Plattform von Drittanbietern wie Purple definiert.

Dies ist der primäre Integrationspunkt, an dem IT-Teams ihr Aruba-Netzwerk mit den Cloud-Diensten von Purple verknüpfen.

Walled Garden

Eine Reihe von Zugriffsregeln, die den Datenverkehr zu bestimmten IP-Adressen oder Domänen zulassen, bevor sich ein Benutzer authentifiziert hat.

Unerlässlich, damit Gastgeräte die Purple-Splash-Page laden, auf Social-Login-Anbieter zugreifen und TLS-Zertifikate validieren können, bevor sie vollen Internetzugang erhalten.

RADIUS-as-a-Service

Ein von Purple bereitgestellter, in der Cloud gehosteter RADIUS-Server, der die Authentifizierung und das Accounting für Gast-WiFi-Sitzungen übernimmt.

Erspart IT-Teams in Unternehmen die Bereitstellung und Wartung einer lokalen RADIUS-Infrastruktur für den Gastzugang.

Pre-Authentication Role

Der anfängliche Status, der einem Gastgerät bei der Verbindung mit der SSID zugewiesen wird und den Zugriff auf DNS, DHCP und Walled Garden-Ziele beschränkt.

Gewährleistet die Sicherheit, indem verhindert wird, dass nicht authentifizierte Geräte auf das Internet oder das Unternehmensnetzwerk zugreifen.

Group Template

Eine hierarchische Konfigurationsstruktur in Aruba Central, mit der Richtlinien und SSID-Einstellungen einheitlich auf mehrere Access Points angewendet werden können.

Der grundlegende Mechanismus zur Erreichung skalierbarer, konsistenter Bereitstellungen an mehreren Standorten.

RADIUS Accounting

Der Prozess, bei dem der Access Point Sitzungsdaten (Startzeit, Dauer, übertragene Daten) an den RADIUS-Server sendet.

Entscheidend für Purple, um präzise Analysen zur Verweildauer und zum Bandbreitenverbrauch im WiFi-Analytics-Dashboard bereitzustellen.

OCSP/CRL Endpoints

Online Certificate Status Protocol- und Certificate Revocation List-Endpunkte, die von Browsern verwendet werden, um die Gültigkeit eines SSL/TLS-Zertifikats zu überprüfen.

Wenn diese Endpunkte durch den Walled Garden blockiert werden, zeigen moderne Geräte Sicherheitswarnungen anstelle der Purple-Splash-Page an.

OAuth 2.0

Das Branchenstandard-Protokoll für die Autorisierung, das zur Absicherung des Zugriffs auf die Aruba Central REST-API verwendet wird.

IT-Teams müssen OAuth-Anmeldedaten generieren, um die Bereitstellung neuer Standorte und Captive Portal-Profile zu skripten und zu automatisieren.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern migriert von On-Premises Aruba Mobility Controllern zu Aruba Central. Die bestehende Purple WiFi-Integration, die eine benutzerdefinierte Splash-Page und Social Login nutzt, soll auf 45 Access Points übertragen werden. Wie sollte das IT-Team bei der Konfiguration vorgehen?

Das IT-Team sollte zuerst eine dedizierte Gruppe in Aruba Central für das Hotel erstellen. Innerhalb dieser Gruppe konfigurieren sie eine neue Guest-SSID, deren Sicherheitsstufe auf "Visitors" eingestellt ist. Anschließend müssen sie ein Profil für ein externes Captive Portal erstellen, das auf die Redirect-URL von Purple verweist, und den RADIUS-as-a-Service-Endpunkt von Purple als primären Authentifizierungsserver konfigurieren. Da sie Social Login nutzen, ist es von entscheidender Bedeutung, dass das Team die Zugriffsregeln der SSID (den Walled Garden) so konfiguriert, dass der Datenverkehr zu den Domains von Purple, den CDN-Endpunkten und den spezifischen Domains der Social-Identity-Provider (z. B. Facebook, Google) vor der Authentifizierung explizit zugelassen wird. Schließlich werden die APs der Gruppe zugewiesen, wodurch sie die Konfiguration automatisch übernehmen.

Kommentar des Prüfers: Dieser Ansatz nutzt die gruppenbasierte Architektur von Aruba Central optimal aus. Durch die Anwendung der Konfiguration auf Gruppenebene anstelle von einzelnen APs ist die Bereitstellung skalierbar und konsistent. Die explizite Erwähnung der Konfiguration des Walled Garden für Social-Login-Domains zeigt ein tiefes Verständnis für die häufigste Fehlerquelle bei Cloud-basierten Captive Portal-Integrationen.

Eine Einzelhandelskette führt Purple WiFi in 150 Filialen ein, die über Aruba Central verwaltet werden. Sie wünschen sich ein anderes Splash-Page-Design für ihre Flagship-Stores im Vergleich zu ihren Standard-Filialen, möchten aber den Konfigurationsaufwand minimieren. Wie lässt sich dies realisieren?

Anstatt separate Aruba Central-Gruppen und separate Profile für externe Captive Portals für jeden Filialtyp zu erstellen, kann die Kette ein einziges Group Template und eine einzige Redirect-URL verwenden. Die Plattform von Purple ermöglicht es der Redirect-URL, dynamisch unterschiedliche Splash-Page-Designs basierend auf den vom Aruba AP angehängten Parametern (wie der AP-MAC-Adresse oder der Site-ID) bereitzustellen. Das IT-Team konfiguriert ein einziges Profil für ein externes Captive Portal in Central und verwaltet die Design-Zuordnung vollständig innerhalb der Purple-Plattform.

Kommentar des Prüfers: Diese Lösung demonstriert fortgeschrittene Kenntnisse der Integrationsmöglichkeiten. Die Verwendung von parametrisierten Weiterleitungen reduziert den Konfigurationsaufwand in Aruba Central und zentralisiert die Verwaltung der Guest Experience innerhalb von Purple, was den Best Practices für Enterprise-Skalierung entspricht.

Übungsfragen

Q1. Sie haben in Aruba Central ein Profil für ein externes Captive Portal konfiguriert, das auf Purple verweist. Gäste verbinden sich mit der SSID, aber ihre Browser zeigen anstelle der Splash-Page einen allgemeinen Fehler „Server nicht erreichbar“ an. Was ist die wahrscheinlichste Ursache?

Hinweis: Überlegen Sie, welcher Datenverkehr zulässig ist, bevor sich ein Gast erfolgreich authentifiziert.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist eine unvollständige oder fehlende Walled-Garden-Konfiguration. Vor der Authentifizierung verwirft der AP den gesamten Datenverkehr mit Ausnahme von DNS, DHCP und Datenverkehr zu Domains, die in den Zugriffsregeln explizit erlaubt sind. Sie müssen sicherstellen, dass die Captive Portal-Domains und CDN-Endpunkte von Purple auf der Whitelist stehen.

Q2. Ihr Unternehmen führt Purple WiFi in 50 Regionalbüros ein. Sie möchten sicherstellen, dass Gästen kein unauthentifizierter Internetzugang gewährt wird, falls der Purple RADIUS-Server vorübergehend nicht erreichbar ist. Welche Einstellung müssen Sie im Profil des externen Captive Portals konfigurieren?

Hinweis: Suchen Sie nach dem Konfigurationsparameter, der das Verhalten bestimmt, wenn der externe Server ausfällt.

Musterlösung anzeigen

Sie müssen das Verhalten bei „Captive Portal Failure“ auf „Deny Internet“ festlegen. Dieser Fail-Closed-Ansatz gewährleistet Sicherheit und Compliance, indem er unauthentifizierten Zugriff verhindert, falls der RADIUS-Server nicht erreicht werden kann.

Q3. Nach einer erfolgreichen Bereitstellung berichtet das Marketing-Team, dass das Analyse-Dashboard von Purple zwar Gast-Logins anzeigt, alle Sitzungen jedoch eine Dauer von 0 Minuten und 0 Byte genutzter Daten aufweisen. Welcher Schritt der Netzwerkkonfiguration wurde vergessen?

Hinweis: Überlegen Sie, wie Sitzungsdauer und Datennutzung vom AP an den Authentifizierungsserver übermittelt werden.

Musterlösung anzeigen

Wahrscheinlich wurde RADIUS Accounting nicht aktiviert oder der Accounting-Port (1813) wird von einer Firewall blockiert. Der AP verwendet RADIUS Accounting-Start-, Interim-Update- und Stop-Pakete, um Sitzungsmetriken an Purple zu melden. Ohne diese weiß Purple zwar, dass ein Login stattgefunden hat, hat aber keinen Einblick in die Sitzungsdetails.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Leitfaden lesen →

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Leitfaden lesen →

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.

Leitfaden lesen →