Cambium Networks cnPilot und cnMaestro Integration mit Purple WiFi

Dieser maßgebliche Leitfaden beschreibt die Integration von Cambium Networks cnPilot Access Points und dem cnMaestro Cloud-Controller mit der Purple WiFi Intelligence-Plattform. Er behandelt die Architektur, die Konfiguration des Captive Portal, die Walled-Garden-Anforderungen, 802.1X Staff WiFi und die dynamische VLAN-Segmentierung unter Verwendung von Cambium ePSK für Multi-Tenant-Umgebungen.

📖 5 Min. Lesezeit📝 1,178 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Cambium Networks cnPilot und cnMaestro Integration mit Purple WiFi. Ein Consultant-Briefing.

Willkommen. Wenn Sie eine Cambium Networks-Umgebung betreiben und beauftragt wurden, ein Gäste-WiFi-Erlebnis bereitzustellen, das Daten erfasst, das Marketing ankurbelt und datenschutzkonform bleibt – dann ist dieses Briefing genau das Richtige für Sie.

Ich werde Sie Schritt für Schritt durch das Zusammenspiel von Cambium cnPilot Access Points, dem cnMaestro Cloud-Controller und Purple WiFi führen. Wir behandeln die Architektur, den RADIUS-Authentifizierungsfluss, die Walled-Garden-Konfiguration, sicheres Mitarbeiter-WiFi über 802.1X sowie die mandantenfähige Segmentierung mithilfe der ePSK-Funktion von Cambium mit dynamischer VLAN-Zuweisung.

Egal, ob Sie ein Hotelportfolio, ein Filialnetz im Einzelhandel, ein Konferenzzentrum oder einen Campus im öffentlichen Sektor verwalten – die Prinzipien sind dieselben. Lassen Sie uns direkt einsteigen.

Zuerst eine kurze Orientierung zu den beiden Plattformen.

Cambium Networks stellt die cnPilot-Reihe von Enterprise-WiFi-Access-Points her – die Modelle e410, e425H, e430H und e505 für den Innen- und Außenbereich. Diese APs werden zentral über cnMaestro verwaltet, der Cloud-Management-Plattform von Cambium. cnMaestro bietet Ihnen zentrale Transparenz, Konfigurationsmanagement und Firmware-Updates für Ihre gesamte AP-Infrastruktur – egal, ob es sich um eine Handvoll Geräte an einem einzelnen Standort oder um Tausende von APs in einem nationalen Netzwerk handelt.

Purple WiFi ist eine Enterprise-Plattform für Gäste-WiFi-Intelligence. Sie übernimmt das Captive Portal – die gebrandete Splash-Page, die Ihre Gäste beim Verbinden sehen – und fungiert zudem als RADIUS-Authentifizierungsserver, Engine zur Datenerfassung und Marketing-Automatisierungsplattform. Purple ist an über 80.000 Live-Standorten im Einsatz und hat allein im Jahr 2024 über 440 Millionen Logins verarbeitet. Die Kombination aus Cambium cnMaestro und Purple bietet Ihnen einen produktionsreifen Gäste-WiFi-Stack, der sowohl technisch robust als auch kommerziell wertvoll ist.

Lassen Sie uns nun über die Integrationsarchitektur sprechen.

Der Kernmechanismus ist eine Captive Portal-Weiterleitung in Kombination mit einer RADIUS-Authentifizierung. Und so läuft der Prozess in der Praxis ab:

Ein Gastgerät verbindet sich mit Ihrer Gäste-SSID. Diese SSID ist in cnMaestro als offenes Netzwerk konfiguriert – ohne Pre-Shared Key für Gäste. Der Cambium AP fängt die erste HTTP-Anfrage des Geräts ab und leitet sie an die Captive Portal-URL von Purple weiter. Diese Weiterleitung wird in cnMaestro unter den Einstellungen für den „Guest Access“ des WLANs konfiguriert, wo Sie die „External Page URL“ auf den Portal-Endpunkt Ihres Purple-Standorts festlegen.

Der Gast interagiert dann mit dem Purple-Portal. Die Authentifizierung kann über Social Login, E-Mail, SMS-Verifizierung oder ein benutzerdefiniertes Formular erfolgen. Sobald der Authentifizierungsfluss abgeschlossen ist, sendet das Backend von Purple eine RADIUS-Access-Accept-Nachricht über den UDP-Port 1812 zurück an den Cambium AP. Der AP verschiebt das Gerät daraufhin vom Status vor der Authentifizierung in den vollständigen Netzwerkzugriff.

Ich zeige Ihnen nun die genauen Konfigurationsschritte in cnMaestro.

Navigieren Sie zu Configuration, dann WiFi Profiles, dann WLANs. Erstellen Sie ein neues WLAN für Ihr Gästenetzwerk. Legen Sie den SSID-Namen fest – beispielsweise "Hotel Guest WiFi" – und stellen Sie die Sicherheit auf Open. Aktivieren Sie unter Guest Access die Option External Hotspot. Dies ist die entscheidende Einstellung, die cnMaestro anweist, nicht authentifizierte Clients an ein externes Portal weiterzuleiten.

Setzen Sie die External Page URL auf die URL Ihres Purple-Veranstaltungsort-Portals. Aktivieren Sie die RADIUS-Authentifizierung und geben Sie die IP-Adresse des RADIUS-Servers von Purple sowie das Shared Secret ein, und setzen Sie den Authentifizierungs-Port auf UDP 1812. Aktivieren Sie das RADIUS-Accounting auf UDP 1813 – dies ist für das ordnungsgemäße Funktionieren der Analysen von Purple von entscheidender Bedeutung. Ohne Accounting-Datensätze kann Purple keine Sitzungsdaten, Verweildauer-Metriken oder Besuchshäufigkeits-Analysen erstellen.

Nun zum Walled Garden. Dies ist die Liste der Domains und IP-Adressen, die von Gastgeräten vor der Authentifizierung erreicht werden können. Sie müssen die Portal-Domain von Purple und alle CDN-Endpunkte, die zur Bereitstellung von Portal-Assets verwendet werden, auf die Whitelist setzen. Zudem müssen Sie alle Domains von Authentifizierungsanbietern auf die Whitelist setzen – wenn Sie Social Login über Google oder Facebook nutzen, müssen deren OAuth-Domains im Walled Garden hinterlegt sein. Ein falsch konfigurierter Walled Garden ist die häufigste Ursache für Fehler beim Captive Portal. Das Gastgerät muss in der Lage sein, DNS aufzulösen und das Purple-Portal über HTTPS zu erreichen, bevor es sich authentifizieren kann.

In cnMaestro wird der Walled Garden unter den External Hotspot-Einstellungen konfiguriert. Fügen Sie Einträge für die Portal-Domain von Purple, alle Social-Login-Anbieter-Domains und alle Payment-Gateway-Domains hinzu, falls Sie kostenpflichtige WiFi-Tarife anbieten.

Sprechen wir nun über sicheres Mitarbeiter-WiFi mittels IEEE 802.1X.

Für Mitarbeiternetzwerke möchten Sie kein Captive Portal. Sie benötigen eine zertifikats- oder anmeldedatenbasierte Authentifizierung, die geräuschlos auf Geräteebene abläuft. Erstellen Sie in cnMaestro ein separates WLAN für Mitarbeiter. Stellen Sie die Sicherheit auf WPA2-Enterprise ein. Konfigurieren Sie die RADIUS-Server-Details – auch hier die RADIUS-Server-IP von Purple auf UDP 1812. Mitarbeitergeräte authentifizieren sich über EAP-PEAP mit Benutzername und Passwort oder über EAP-TLS mit Gerätezertifikaten für ein Höchstmaß an Sicherheit.

Purple lässt sich mit Microsoft Entra ID, Okta und Google Workspace als Identity Provider integrieren. Das bedeutet, dass sich Ihre Mitarbeiter mit ihren bestehenden Unternehmens-Anmeldedaten am WiFi authentifizieren können – es muss kein separates WiFi-Passwort verwaltet werden. Purple validiert die Anmeldedaten gegenüber Ihrem Identity Provider und sendet ein Access-Accept an den Cambium AP zurück. Die dynamische VLAN-Zuweisung platziert das authentifizierte Mitarbeitergerät dann im richtigen Mitarbeiter-VLAN und isoliert es so vom Gästeverkehr.

Nun zur mandantenfähigen Segmentierung mittels Cambium ePSK.

ePSK – Enhanced Pre-Shared Key – ist die Implementierung von Cambium für das, was in der Branche als PPSK oder iPSK bezeichnet wird. Das Konzept ist denkbar einfach: Anstelle eines einzigen gemeinsamen Passworts für eine gesamte SSID erhält jeder Benutzer oder Mieter seine eigene, eindeutige Passphrase. Alle verbinden sich mit derselben SSID, aber jeder eindeutige Schlüssel wird einem bestimmten VLAN zugeordnet. So erhalten Sie eine Netzwerktrennung, ohne die Komplexität, die der Betrieb mehrerer SSIDs mit sich bringt.

cnMaestro unterstützt bis zu 2.000 ePSK-Einträge pro WLAN. Jedem ePSK kann eine bestimmte VLAN-ID, ein Übertragungslimit (Rate Limit) und ein Ablaufdatum zugewiesen werden. Dies macht es ideal für Multi-Tenant-Umgebungen – wie z. B. ein Konferenzzentrum, in dem jeder Aussteller sein eigenes, isoliertes Netzwerksegment erhält, oder ein Mietwohngebäude, in dem jeder Bewohner sein eigenes privates Bereichsnetzwerk bekommt.

Um ePSK in cnMaestro zu konfigurieren, navigieren Sie zu Configuration, WiFi Profiles, WLANs. Erstellen Sie ein neues WLAN. Stellen Sie die Sicherheit auf WPA2 Pre-Shared Key ein. Aktivieren Sie die ePSK-Option. Sie können dann einzelne ePSK-Einträge manuell hinzufügen oder die cnMaestro API verwenden, um sie programmatisch bereitzustellen – was der empfohlene Ansatz für Großprojekte ist.

Legen Sie für jeden ePSK-Eintrag die Passphrase, die zugewiesene VLAN-ID und optional das Übertragungslimit sowie das Ablaufdatum fest. Wenn sich ein Gerät mit dieser Passphrase verbindet, weist der Cambium AP es automatisch dem zugewiesenen VLAN zu. Für den ePSK-Fluss selbst ist kein RADIUS erforderlich – die VLAN-Zuweisung wird vom AP basierend auf der verwendeten Passphrase lokal verarbeitet.

Purple lässt sich in dieses Modell integrieren, indem es den ePSK-Lebenszyklus über die cnMaestro API verwaltet. Purple kann neue ePSK-Einträge bereitstellen, wenn ein neuer Mieter aufgenommen wird, die VLAN-Zuweisung aktualisieren, Ablaufdaten festlegen und den Zugriff widerrufen, wenn ein Mieter auszieht. Dies eliminiert den manuellen Aufwand für die Verwaltung von Hunderten oder Tausenden von einzelnen Schlüsseln.

Kommen wir nun zu den potenziellen Fehlerquellen und wie man sie vermeidet.

Die häufigste Fehlerquelle ist der Walled Garden. Wenn Ihre Walled-Garden-Einträge unvollständig sind, wird die Weiterleitung zum Captive Portal nie abgeschlossen. Gäste sehen eine Verbindungszeitüberschreitung anstelle einer Anmeldeseite. Testen Sie immer mit einem neuen Gerät – nicht mit einem, das zuvor bereits verbunden war – und überprüfen Sie, ob das Purple-Portal vor der Authentifizierung geladen wird. Stellen Sie sicher, dass die DNS-Auflösung für die Domain des Purple-Portals bereits im Pre-Authentication-Status funktioniert.

Zweitens: Abweichende Shared Secrets bei RADIUS. Bei großen Bereitstellungen mit mehreren Standorten kann es leicht passieren, dass ein Shared Secret in cnMaestro anders konfiguriert ist als das, was Purple hinterlegt hat. Überprüfen Sie vor dem Live-Gang immer das Shared Secret auf beiden Seiten. Verwenden Sie ein starkes, zufällig generiertes Secret – mit mindestens 32 Zeichen – und speichern Sie es in einem Secrets Manager, nicht in einer Tabellenkalkulation.

Drittens: RADIUS-Accounting. Lassen Sie diesen Schritt nicht aus. Purple nutzt die Accounting-Datensätze, um Sitzungsanalysen zu erstellen – Verweildauer, Besuchshäufigkeit, Gerätetyp. Konfigurieren Sie das RADIUS-Accounting auf UDP 1813 in cnMaestro. Ohne diesen Schritt geht der analytische Wert verloren, den Purple bietet. Es ist ein Konfigurationsschritt von nur fünf Minuten.

Viertens: VLAN-Trunking. Damit die dynamische VLAN-Zuweisung funktioniert, müssen die VLANs auf den Switch-Ports, die mit Ihren Cambium APs verbunden sind, getrunkt sein. Wenn VLAN 100 für Gäste auf dem Trunk nicht zulässig ist, erhalten authentifizierte Gäste keine IP-Adresse und haben scheinbar keinen Internetzugang, selbst nach erfolgreicher Authentifizierung. Überprüfen Sie Ihre Switch-Trunk-Konfiguration vor dem Testen.

Fünftens: ePSK-VLAN-Bereichskonflikte. Stellen Sie sicher, dass Ihr ePSK-VLAN-Bereich nicht mit bestehenden VLANs in Ihrem Netzwerk kollidiert – insbesondere nicht mit Management-VLANs oder Infrastruktur-VLANs. Dokumentieren Sie Ihre VLAN-Zuweisung, bevor Sie beginnen.

Sechstens: Firmware-Version. Stellen Sie sicher, dass auf Ihren cnPilot APs die Firmware-Version 6.0 oder höher ausgeführt wird, um die volle Unterstützung für externe Hotspots und die ePSK-Funktionalität zu gewährleisten. Ältere Firmware-Versionen weisen bekannte Probleme beim Redirect-Verhalten des Captive Portals auf.

Nun zu einigen schnellen Fragen.

Kann ich Purple mit Cambium ohne RADIUS verwenden – also nur mit einer einfachen Weiterleitung? Ja, aber Sie verlieren die dynamische VLAN-Zuweisung und die Sitzungs-Accounting-Daten. Für alles, was über eine einfache Splash-Page hinausgeht, wird RADIUS dringend empfohlen.

Unterstützt Purple WPA3 auf Cambium APs? Ja. Die portalbasierte Authentifizierung von Purple ist mit WPA3-SAE auf der SSID kompatibel. Der RADIUS-Fluss ist unabhängig vom Wireless-Sicherheitsprotokoll.

Kann ich Purple über mehrere Cambium-Standorte hinweg von einem einzigen Purple-Konto aus betreiben? Absolut. Die Multi-Venue-Architektur von Purple ist genau dafür ausgelegt. Jeder Standort wird einem Veranstaltungsort (Venue) in Purple zugeordnet, und die Netzwerkrichtlinien von cnMaestro lassen sich nahtlos über ein nationales Portfolio hinweg skalieren.

Wie viele ePSK-Einträge kann cnMaestro unterstützen? Bis zu 2.000 pro WLAN. Für Bereitstellungen, die mehr erfordern, nutzen Sie einen RADIUS-basierten Ansatz für das Schlüsselmanagement.

Zusammenfassend lässt sich sagen: Die Integration von Cambium cnMaestro und Purple WiFi ist eine bewährte Architektur, die Gäste-WiFi mit Datenerfassung, RADIUS-Authentifizierung, dynamischer VLAN-Segmentierung und umfassenden Analysen bietet – alles zentral verwaltet über die Cloud-Konsole von cnMaestro.

Die wichtigsten Schritte zur Liveschaltung: Konfigurieren Sie Ihr Gäste-WLAN in cnMaestro mit aktiviertem externen Hotspot und der eingestellten Purple-Portal-URL, fügen Sie die RADIUS-Server-Details von Purple für Authentifizierung und Accounting hinzu, konfigurieren Sie Ihre Walled-Garden-Einträge, überprüfen Sie das VLAN-Trunking auf Ihren Switches und testen Sie das Ganze vor dem Go-Live mit einem neuen Gerät.

Für mandantenfähige Bereitstellungen konfigurieren Sie ePSK auf einem dedizierten WLAN, weisen Sie VLAN-IDs pro Mandant zu und nutzen Sie die cnMaestro API für das Lifecycle-Management im großen Stil.

Der ROI-Case ist eindeutig. Die Analyseplattform von Purple verwandelt Ihr Gäste-WiFi von einer Kostenstelle in ein First-Party-Daten-Asset. Harrods erzielte mit der Einführung des Purple Gäste-WiFi einen 57-fachen Marketing-ROI. AGS Airports generierte einen ROI von 842 %. In Kombination mit der Enterprise-Infrastruktur von Cambium erhalten Sie eine Lösung, die sich ohne architektonische Änderungen von einem einzelnen Standort bis hin zu einem nationalen Portfolio skalieren lässt.

Für Ihre nächsten Schritte: Fordern Sie die Details zum RADIUS-Server von Purple bei Ihrem Purple Account Manager an, rufen Sie die cnMaestro WLAN-Konfiguration für Ihre Gäste-SSID auf und gehen Sie die Konfigurations-Checkliste durch. Die meisten Bereitstellungen an einzelnen Standorten gehen innerhalb eines Tages live.

Vielen Dank fürs Zuhören. Wenn Sie tiefer in das Design von Captive Portals, VLAN-Segmentierungsstrategien oder das ePSK-Lebenszyklusmanagement einsteigen möchten, sind die Dokumentation und das Support-Team von Purple der richtige nächste Ansprechpartner.

Wichtigste Erkenntnisse

✓Integrieren Sie Cambium cnPilot APs mit Purple WiFi unter Verwendung von Standard-HTTP-Redirection und RADIUS-Protokollen.
✓Konfigurieren Sie die Captive Portal-Weiterleitung in cnMaestro unter den WLAN Guest Access-Einstellungen.
✓Stellen Sie sicher, dass der Walled Garden die Domains von Purple und alle erforderlichen Identity Provider-Endpunkte enthält.
✓Aktivieren Sie RADIUS Accounting auf UDP 1813, um die Analyse-Dashboards von Purple mit Sitzungsdaten zu füllen.
✓Sichern Sie Personalnetzwerke mittels 802.1X-Authentifizierung, um den WiFi-Zugang mit Unternehmensidentitäten zu verknüpfen.
✓Nutzen Sie Cambium ePSK für Multi-Tenant-Umgebungen, um den Datenverkehr auf einer einzigen SSID sicher zu segmentieren.
✓Automatisieren Sie das ePSK-Lebenszyklusmanagement durch die Integration von Purple mit der cnMaestro API.

Executive Summary

Für Unternehmen, die ihre Infrastruktur auf Cambium Networks standardisieren, erfordert die Bereitstellung einer professionellen WiFi-Gästelösung eine enge Integration zwischen der drahtlosen Zugriffsschicht und der Identitätsmanagement-Plattform. Dieser Leitfaden bietet ein definitives Konzept für die Integration von Cambium cnPilot Access Points und dem cnMaestro Cloud-Controller mit Purple WiFi. Durch die Kombination der skalierbaren Hardware von Cambium mit dem Captive Portal, der RADIUS-Authentifizierung und den Analysefunktionen von Purple können IT-Teams ihre drahtlosen Netzwerke von einem Kostenfaktor in ein strategisches Asset verwandeln. Die hier beschriebene Architektur unterstützt alles von einfachem Gastzugang bis hin zu komplexer Multi-Tenant-Segmentierung mittels Cambium Private Pre-Shared Keys (PPSK) und bietet sichere, konforme und datenreiche Konnektivität in Hotellerie, Einzelhandel und öffentlichen Bereichen.

Technische Vertiefung

Die Integration zwischen Cambium Networks und Purple basiert auf Standard-HTTP-Weiterleitungen und RADIUS-Protokollen. Dieser herstellerneutrale Ansatz gewährleistet robuste Sicherheit, plattformübergreifende Kompatibilität und zentrales Management über cnMaestro.

Integrationsarchitektur

Der Kernmechanismus umfasst eine vom Cambium AP verwaltete Captive Portal-Weiterleitung in Kombination mit einer von Purple verwalteten RADIUS-Authentifizierung.

Wenn sich ein Gastgerät mit einer offenen Guest SSID verbindet, fängt der Cambium AP die ursprüngliche HTTP-Anfrage ab. Anstatt den Datenverkehr ins Internet zu leiten, leitet der AP das Gerät an die gehostete Captive Portal-URL von Purple weiter. Der Gast schließt den Authentifizierungsprozess auf der Purple-Begrüßungsseite ab, die Social Login, E-Mail-Registrierung und benutzerdefinierte Datenerfassungsformulare unterstützt.

Nach erfolgreicher Authentifizierung sendet das Backend von Purple eine RADIUS-Access-Accept-Nachricht an den Cambium AP auf UDP-Port 1812. Diese Nachricht signalisiert dem AP, das Client-Gerät aus dem Pre-Authentication-Walled-Garden-Status in den vollständigen Netzwerkzugriff zu überführen. Gleichzeitig sendet der AP RADIUS-Accounting-Daten an Purple auf UDP-Port 1813, wodurch die Analyse-Dashboards von Purple mit Informationen zu Sitzungsdauer, Datennutzung und Gerätetyp gefüllt werden.

Walled Garden-Anforderungen

Der Walled Garden ist eine kritische Komponente des Captive Portal-Ablaufs. Er definiert die spezifischen IP-Adressen und Domains, die ein nicht authentifiziertes Gerät erreichen kann. Wenn der Walled Garden falsch konfiguriert ist, kann das Gerät das Purple-Portal nicht laden, was zu einem Verbindungs-Timeout führt.

Damit die Integration funktioniert, muss der Walled Garden die Portal-Domains von Purple, alle Content Delivery Network (CDN)-Endpunkte, die Portal-Assets hosten, sowie die Domains aller unterstützten Identitätsanbieter (wie Facebook, Google oder Microsoft Entra ID) enthalten.

Mandantenfähige Segmentierung mit Cambium ePSK

Cambiums Implementierung von Private Pre-Shared Keys, vermarktet als ePSK, ermöglicht es Netzwerkarchitekten, den Datenverkehr sicher zu segmentieren, ohne mehrere SSIDs auszustrahlen.

Mit ePSK unterstützt eine einzige SSID bis zu 2.000 eindeutige Passphrasen. Jede Passphrase ist einem bestimmten VLAN zugeordnet. Wenn sich ein Benutzer mit seinem eindeutigen Schlüssel verbindet, leitet der Cambium AP seinen Datenverkehr automatisch an das zugewiesene VLAN weiter. Diese Funktion ist für mandantenfähige Umgebungen wie Coworking Spaces oder Wohngebäude, in denen jeder Mandant ein isoliertes Netzwerksegment benötigt, von unschätzbarem Wert. Purple lässt sich in diese Architektur integrieren, indem es den ePSK-Lebenszyklus über die cnMaestro API verwaltet und die Bereitstellung, VLAN-Zuweisung und den Entzug von Mandanten-Anmeldedaten automatisiert.

Implementierungsleitfaden

Die Bereitstellung der Cambium- und Purple-Integration erfordert eine präzise Konfiguration innerhalb der cnMaestro-Cloud-Konsole. Befolgen Sie diese Schritte, um den grundlegenden Guest WiFi-Dienst einzurichten.

1. Konfigurieren des Guest WLAN

Navigieren Sie in cnMaestro zum Menü Configuration, wählen Sie WiFi Profiles und öffnen Sie die Registerkarte WLANs. Erstellen Sie ein neues WLAN-Profil.

Name / SSID: Definieren Sie den Namen des Gastnetzwerks (z. B. "Venue Guest WiFi").
Security: Auf Open setzen.
Client Isolation: Auf Enable setzen, um zu verhindern, dass Gastgeräte im lokalen Subnetz miteinander kommunizieren.

2. Aktivieren des externen Hotspots

Suchen Sie in der WLAN-Konfiguration den Bereich Guest Access.

Enable Guest Access: Aktivieren Sie dieses Kontrollkästchen.
Portal Type: Wählen Sie External Hotspot.
External Page URL: Geben Sie die spezifische Captive Portal-URL ein, die Sie von Ihrem Purple Account Manager erhalten haben.

3. Konfigurieren von RADIUS-Authentifizierung und -Accounting

Konfigurieren Sie im selben Bereich "Guest Access" die RADIUS-Parameter.

Authentication Server: Geben Sie die IP-Adresse des primären RADIUS-Servers von Purple ein.
Authentication Port: 1812
Accounting Server: Geben Sie die IP-Adresse des primären RADIUS-Servers von Purple ein.
Accounting Port: 1813
Shared Secret: Geben Sie das von Purple bereitgestellte, komplexe Shared Secret ein. Stellen Sie sicher, dass dieses auf beiden Plattformen exakt übereinstimmt.

4. Definieren des Walled Garden

Tragen Sie unter den Einstellungen für den External Hotspot die Walled Garden-Liste ein. Sie müssen die Kern-Domains von Purple sowie die spezifischen Domains hinzufügen, die für Ihre gewählten Authentifizierungsmethoden (z. B. Social-Login-Anbieter) erforderlich sind.

5. Konfigurieren von 802.1X für Staff WiFi

Um den Zugriff für Mitarbeiter zu sichern, erstellen Sie ein separates WLAN-Profil in cnMaestro.

Sicherheit: Auf WPA2-Enterprise einstellen.
RADIUS-Server: Auf die RADIUS-Server-IP von Purple auf Port 1812 verweisen.

Mitarbeiter authentifizieren sich mit ihren Unternehmensdaten über Microsoft Entra ID oder Google Workspace, was von Purple validiert wird. Purple gibt dann ein RADIUS-Attribut Tunnel-Private-Group-ID zurück, das den Cambium AP anweist, das Mitarbeitergerät in das sichere Unternehmens-VLAN zu verschieben.

Best Practices

VLAN-Trunking: Stellen Sie sicher, dass alle erforderlichen VLANs (Gast, Mitarbeiter, Management) auf den Switch-Ports, die mit den Cambium APs verbunden sind, getrunkt sind. Wenn das VLAN im Trunk fehlt, können authentifizierte Clients keine IP-Adresse über DHCP beziehen.
Konsistente Firmware: Standardisieren Sie Ihre AP-Flotte auf die cnPilot-Firmware-Version 6.0 oder höher. Diese Version bietet die stabilste Unterstützung für die externe Hotspot-Weiterleitung und ePSK-Funktionalität.
Accounting ist obligatorisch: Deaktivieren Sie niemals das RADIUS-Accounting. Purple verlässt sich vollständig auf den UDP 1813-Accounting-Stream, um Verweildauer-Metriken, Besuchsfrequenzdaten und Compliance-Protokolle zu erstellen.
Lokale PSKs für Mitarbeiter vermeiden: Ersetzen Sie veraltete gemeinsame Passwörter durch eine 802.1X-Authentifizierung für Mitarbeiternetzwerke. Dieser Ansatz entspricht den ISO 27001-Anforderungen, da der Netzwerkzugriff an individuelle, überprüfbare Identitäten gebunden wird.

Fehlerbehebung & Risikominderung

Wenn Integrationsprobleme auftreten, zeigen sich diese in der Regel während der ersten Weiterleitung zum Captive Portal oder in der RADIUS-Authentifizierungsphase.

Portal lädt nicht: Dies ist fast immer ein Walled-Garden-Problem. Wenn sich ein Gastgerät mit der SSID verbindet, aber ein Verbindungs-Timeout anstelle der Splash-Page erhält, blockiert der AP den Zugriff auf die Purple-Portal-Domain. Überprüfen Sie Ihre Walled-Garden-Einträge in cnMaestro und stellen Sie sicher, dass die DNS-Auflösung vor der Authentifizierung zulässig ist.
Authentifizierung schlägt fehl (Fehler: Ungültige Anmeldedaten): Überprüfen Sie das gemeinsame RADIUS-Geheimnis (Shared Secret). Eine Diskrepanz zwischen cnMaestro und Purple führt dazu, dass der RADIUS-Server die Authentifizierungsanfragen stillschweigend verwirft.
Gerät authentifiziert sich, hat aber keinen Internetzugang: Dies deutet auf einen Fehler bei der dynamischen VLAN-Zuweisung oder dem DHCP-Prozess hin. Stellen Sie sicher, dass Purple die korrekte VLAN-ID in der RADIUS-Antwort zurückgibt, und überprüfen Sie, ob die Trunking-Konfiguration des Switch-Ports dieses VLAN zulässt.

ROI & geschäftlicher Nutzen

Der Einsatz von Purple WiFi auf einer Cambium Networks-Infrastruktur verwandelt ein Standard-Netzwerk-Utility in ein messbares Geschäftsgut. Durch die Erfassung von First-Party-Daten am Point of Authentication können Standorte umfassende Besucherprofile erstellen und zielgerichtete Marketingkampagnen steuern. So implementierte beispielsweise Harrods Purple Guest WiFi und erzielte einen 57-fachen Marketing-ROI, indem die erfassten Daten in ihr Treueprogramm integriert wurden. In ähnlicher Weise generierten die AGS Airports einen ROI von 842 % durch die Nutzung von gestaffelter Bandbreite und gezielter Passagieransprache. Durch die Standardisierung auf Cambium cnMaestro und Purple können IT-Leiter eine sichere, konforme Konnektivität bereitstellen und gleichzeitig der Marketingorganisation die Daten liefern, die zur Umsatzsteigerung erforderlich sind.

Schlüsseldefinitionen

Captive Portal

Eine personalisierte Anmeldeseite, auf der sich Benutzer authentifizieren oder Bedingungen akzeptieren müssen, bevor sie Zugriff auf ein öffentliches oder geschäftliches WiFi-Netzwerk erhalten.

Wird bei Guest-WiFi-Bereitstellungen verwendet, um First-Party-Daten zu erfassen, Richtlinien für die angemessene Nutzung durchzusetzen und das Branding des Standorts zu präsentieren, bevor der Internetzugang gewährt wird.

RADIUS

Remote Authentication Dial-In User Service; ein Netzwerkprotokoll, das eine zentralisierte Verwaltung von Authentifizierung, Autorisierung und Abrechnung (AAA) bereitstellt.

Das Protokoll, das Cambium APs zur Kommunikation mit Purple verwenden, um Benutzeranmeldedaten zu überprüfen und Sitzungsdaten zu melden.

Walled Garden

Eine begrenzte Umgebung, die den Benutzerzugriff auf Webinhalte und -dienste vor der Authentifizierung kontrolliert.

In cnMaestro erforderlich, damit Gastgeräte die Purple-Splash-Page und die Domänen der Identitätsanbieter (wie Facebook oder Google) erreichen können, bevor sie vollen Internetzugang haben.

ePSK

Enhanced Pre-Shared Key; die Implementierung privater Pre-Shared Keys von Cambium, die eindeutige Passphrasen für einzelne Benutzer auf einer einzigen SSID ermöglicht.

Wird verwendet, um sichere, isolierte Netzwerksegmente für mandantenfähige Umgebungen bereitzustellen, ohne zahlreiche SSIDs auszustrahlen.

Dynamic VLAN Assignment

Der Prozess der Zuweisung eines authentifizierten Geräts zu einem bestimmten Virtual Local Area Network basierend auf RADIUS-Attributen anstelle des physischen Ports oder der SSID.

Ermöglicht der IT die Nutzung einer einzigen SSID bei gleichzeitiger sicherer Trennung des Gastdatenverkehrs vom Mitarbeiter- oder Verwaltungsdatenverkehr.

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Der Standard, der für sicheres Mitarbeiter-WiFi verwendet wird und gemeinsam genutzte Passwörter durch individuelle Unternehmensanmeldedaten ersetzt, die von einem Identitätsanbieter validiert werden.

cnMaestro

Die cloudbasierte oder lokale Managementplattform von Cambium Networks zur zentralen Steuerung von drahtlosen und kabelgebundenen Netzwerkinfrastrukturen.

Die Benutzeroberfläche, auf der Netzwerkarchitekten die für die Purple-Integration erforderlichen WLAN-Profile, RADIUS-Einstellungen und Walled Gardens konfigurieren.

First-Party Data

Informationen, die ein Unternehmen direkt von seinen Kunden sammelt und die sich vollständig in seinem Besitz befinden.

Das primäre Geschäftsergebnis einer Purple Guest-WiFi-Bereitstellung, das zur Steuerung von Marketingkampagnen und zum Verständnis des Besucherverhaltens verwendet wird.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern muss sicheres WiFi für Gäste, Mitarbeiter und ein Konferenzzentrum bereitstellen. Gäste benötigen ein gebrandetes Captive Portal, Mitarbeiter benötigen sicheren Zugriff auf interne Systeme und das Konferenzzentrum benötigt isolierte Netzwerke für verschiedene Veranstalter. Wie sollte der Netzwerkarchitekt die Cambium cnMaestro-Umgebung konfigurieren, um dies mit Purple zu unterstützen?

Der Architekt sollte drei verschiedene WLAN-Profile in cnMaestro einrichten.

Gäste-WLAN: Konfiguriert als offenes Netzwerk mit aktiviertem "External Hotspot". Die Weiterleitungs-URL verweist auf das Purple Captive Portal. RADIUS-Authentifizierung (UDP 1812) und Accounting (UDP 1813) verweisen auf die Server von Purple. Der Walled Garden enthält die Domains von Purple.
Mitarbeiter-WLAN: Konfiguriert als WPA2-Enterprise (802.1X). RADIUS verweist auf Purple, das in das Microsoft Entra ID des Hotels integriert ist. Mitarbeiter authentifizieren sich mit ihren Unternehmensdaten, und Purple weist sie dem Mitarbeiter-VLAN zu.
Konferenz-WLAN: Konfiguriert mit WPA2 Pre-Shared Key und aktiviertem Cambium ePSK. Purple stellt über die cnMaestro API eindeutige ePSK-Passphrasen für jeden Veranstalter bereit und weist jeden Schlüssel einem isolierten VLAN zu (z. B. VLAN 301, 302).

Kommentar des Prüfers: Dieser Ansatz ordnet die technischen Funktionen von Cambium und Purple den geschäftlichen Anforderungen korrekt zu. Er isoliert den Datenverkehr sicher durch dynamische VLAN-Zuweisung und ePSK, wodurch die Spektrum-Degradierung vermieden wird, die durch das Ausstrahlen mehrerer SSIDs für jeden Konferenz-Mandanten entsteht.

Eine Einzelhandelskette hat Cambium e410 APs bereitgestellt und das Purple Captive Portal konfiguriert. Käufer berichten jedoch, dass die Splash-Page auf ihren Smartphones nie erscheint; stattdessen zeigt der Browser ein Verbindungs-Timeout an. Was ist die Ursache und wie wird sie behoben?

Die Ursache ist eine unvollständige Walled-Garden-Konfiguration in cnMaestro. Der Cambium AP blockiert den HTTP/HTTPS-Verkehr, der zum Laden des Purple-Portals erforderlich ist, bevor der Benutzer authentifiziert ist.

Um dies zu beheben, muss sich der Netzwerkingenieur bei cnMaestro anmelden, zum Gäste-WLAN-Profil navigieren und die Walled-Garden-Liste des External Hotspot aktualisieren. Er muss die spezifischen Portal-Domains von Purple und alle zugehörigen CDN-Endpunkte hinzufügen. Nach der Anwendung können nicht authentifizierte Geräte das Portal erreichen und den Login-Prozess abschließen.

Kommentar des Prüfers: Fehlkonfigurationen des Walled Garden sind die häufigste Ursache für Fehler beim Captive Portal. Diese Lösung identifiziert die Einschränkungen im Pre-Authentication-Status korrekt und bietet den genauen Konfigurationspfad in cnMaestro, um das Problem zu beheben.

Übungsfragen

Q1. Sie stellen Purple Guest WiFi in 50 Einzelhandelsgeschäften mit Cambium e505 APs bereit. Benutzer können sich mit der SSID verbinden und sehen die Splash-Page, aber nach dem Login haben sie keinen Internetzugang. Sie überprüfen, dass Purple die Access-Accept-Nachricht sendet. Was ist das wahrscheinlichste Infrastrukturproblem?

Hinweis: Überlegen Sie, was auf der Switch-Ebene passiert, wenn ein Gerät nach der Authentifizierung versucht, eine IP-Adresse zu beziehen.

Musterlösung anzeigen

Das wahrscheinlichste Problem ist ein fehlendes VLAN-Trunking auf den Switch-Ports, die mit den Cambium APs verbunden sind. Während der AP das Gerät autorisiert, kann das Gerät den DHCP-Server nicht erreichen, um eine IP-Adresse zu beziehen, wenn das zugewiesene Guest-VLAN auf dem Switch-Trunk nicht zugelassen ist, was zu keinem Internetzugang führt.

Q2. Ein Universitätscampus möchte eine einzige SSID für alle Studenten in den Wohnheimen nutzen, verlangt jedoch, dass die Geräte jedes Studenten in ihr eigenes privates Netzwerksegment isoliert werden, um das Streamen auf ihren spezifischen Smart-TV zu ermöglichen. Wie implementieren Sie dies mit Cambium und Purple?

Hinweis: Sehen Sie sich die Implementierung von privaten Pre-Shared Keys bei Cambium an.

Musterlösung anzeigen

Implementieren Sie Cambium ePSK (Enhanced Pre-Shared Key) auf dem Wohnheim-WLAN. Purple verwaltet den ePSK-Lebenszyklus über die cnMaestro API und generiert eine eindeutige Passphrase für jeden Studenten. Wenn ein Student seine Geräte mit seinem spezifischen Schlüssel verbindet, weist der Cambium AP sie einem eindeutigen VLAN zu, wodurch ein isoliertes privates Netzwerk entsteht.

Q3. Während einer Pilotbereitstellung zeigt das Analyse-Dashboard von Purple null Verweilzeit oder Datennutzungsmetriken für den Cambium-Teststandort an, obwohl sich die Benutzer erfolgreich authentifizieren und im Internet surfen. Welcher Konfigurationsschritt wurde in cnMaestro vergessen?

Hinweis: Analysen erfordern Sitzungsdaten, die über einen bestimmten UDP-Port in der AAA-Konfiguration verarbeitet werden.

Musterlösung anzeigen

Das RADIUS Accounting wurde nicht konfiguriert. Der Netzwerkingenieur muss das RADIUS Accounting im cnMaestro Guest WLAN-Profil aktivieren und auf den RADIUS-Server von Purple auf UDP-Port 1813 verweisen. Ohne dies verarbeitet Purple nur die Authentifizierung und erhält keine Sitzungslebenszyklusdaten.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.