Zum Hauptinhalt springen
Deutsch

Captive Portal for Aruba

Ein maßgebliches technisches Referenzhandbuch für die Konfiguration von Aruba Instant (IAP) und Aruba Central verwalteten Access Points zur Weiterleitung von Gastbenutzern auf das hochkonvertierende, sichere externe Captive Portal von Purple. Dieses Handbuch umfasst die schrittweise Einrichtung der Gäste-SSID, die Weiterleitung zum externen Captive Portal, die Parameter für Authentifizierung und Accounting auf dem RADIUS-Server, Walled-Garden-Ausnahmelisten und die WISPr-Unterstützung.

📖 11 Min. Lesezeit📝 2,686 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
CAPTIVE PORTAL FÜR ARUBA: INTEGRATION VON PURPLE FÜR ENTERPRISE-GÄSTE-WIFI Ein technisches Briefing von Purple — ca. 10 Minuten [EINFÜHRUNG & KONTEXT — ca. 1 Minute] Willkommen bei den technischen Briefings von Purple. Ich bin Ihr Moderator, und heute befassen wir uns mit einem Thema, das in fast jedem Gespräch über WLAN-Bereitstellungen in Unternehmen zur Sprache kommt: wie man ein Captive Portal auf einer Aruba-Infrastruktur konfiguriert und insbesondere, wie man dieses Portal mit der intelligenten Gäste-WiFi-Plattform von Purple verbindet. Wenn Sie Aruba Instant APs betreiben oder eine Flotte von Access Points über Aruba Central verwalten, ist diese Folge genau das Richtige für Sie. Wir werden schnell zur Sache kommen — dies ist ein Briefing für Praktiker, kein Vortrag —, daher setze ich voraus, dass Sie sich mit WLAN-Konfigurationsoberflächen auskennen und die Grundlagen der RADIUS-Authentifizierung verstehen. Das Kernproblem, das wir lösen, ist folgendes: Das integrierte Gäste-Portal von Aruba ist zwar funktional, aber limitiert. Es bietet nicht die Erfassung von Marketingdaten, die GDPR-konformen Einwilligungsprozesse oder die Echtzeitanalysen, die Unternehmen an ihren Standorten benötigen. Die Ersetzung durch das externe Captive Portal von Purple ist die richtige architektonische Entscheidung, und heute zeige ich Ihnen genau, wie das geht. [TECHNISCHER DEEP-DIVE — ca. 5 Minuten] Beginnen wir mit der Architektur. Wenn sich ein Gast mit Ihrer Aruba-SSID verbindet und einen Browser öffnet, fängt der AP diese HTTP-Anfrage auf TCP-Port 80 ab und leitet sie an die externe Portal-URL weiter — in diesem Fall an die in der Cloud gehostete Splash-Page von Purple. Der Gast authentifiziert sich über das Portal von Purple, das dann einen RADIUS Access-Request an die RADIUS-Server von Purple auf UDP-Port 1812 sendet. Bei Erfolg gibt der RADIUS-Server eine Access-Accept-Nachricht zurück, und der AP gewährt dem Client vollen Internetzugang. Accounting-Protokolle werden während der gesamten Sitzung über den UDP-Port 1813 gesendet. Das ist der grundlegende Ablauf. Gehen wir nun zur Konfiguration über. Es gibt zwei Verwaltungsebenen, mit denen Sie arbeiten können: Aruba Instant, das On-Premises-Modell mit virtuellem Controller unter ArubaOS 8.x, und Aruba Central, die Cloud-Management-Plattform von HPE. Die Konfigurationsschritte sind vom Konzept her ähnlich, unterscheiden sich jedoch darin, wo Sie die Einstellungen finden. Beginnen wir mit Aruba Instant unter ArubaOS 8. Zuerst konfigurieren Sie Ihren RADIUS-Server. Navigieren Sie zu "Security", dann zu "Authentication Server" und klicken Sie auf "New". Sie benötigen vier Informationen von der Plattform von Purple: die IP-Adresse des primären Servers, den Authentifizierungsport — in der Regel 1812 —, den Accounting-Port — in der Regel 1813 — und das Shared Secret. Purple stellt diese in Ihrem Dashboard zur Standortkonfiguration bereit. Fügen Sie einen sekundären Server für die Redundanz hinzu; Purple betreibt eine über mehrere Regionen verteilte RADIUS-Infrastruktur, sodass Ihnen ein geografisch passendes Backup zur Verfügung steht. Erstellen Sie als Nächstes das Profil für das externe Captive Portal. Gehen Sie zu „Security“, dann zu „Captive Portal“, klicken Sie auf „New“ und setzen Sie den „Type“ auf „External“. Geben Sie die URL der Splash-Page aus Ihrer Purple-Standortkonfiguration ein – dies ist ein von Purple gehosteter HTTPS-Endpunkt. Setzen Sie den Port auf 443, aktivieren Sie „Use HTTPS“ und setzen Sie vor allem das Feld „WISPr“ auf „Enabled“. WISPr (Wireless Internet Service Provider roaming) ist das Protokoll, das es Geräten ermöglicht, das Captive Portal automatisch zu erkennen und korrekt anzuzeigen, insbesondere auf iOS- und Android-Geräten, die eine Erkennung des Captive Portals im Hintergrund verwenden. Ohne aktiviertes WISPr wird das Portal auf einigen Geräten nicht automatisch gestartet. Nun zur Gäste-SSID. Erstellen Sie ein neues WLAN, setzen Sie „Primary Usage“ auf „Guest“ und auf der Registerkarte „Security“ den „Splash Page Type“ auf „External – RADIUS Server“. Weisen Sie das soeben erstellte Captive Portal-Profil und den RADIUS-Server zu. Stellen Sie das „Reauth Interval“ auf einen sinnvollen Wert ein – 1440 Minuten (was 24 Stunden entspricht) ist eine gängige Wahl für das Gastgewerbe. Aktivieren Sie die MAC-Authentifizierung, wenn wiederkehrende Gäste das Portal bei nachfolgenden Besuchen innerhalb dieses Zeitfensters umgehen sollen. Für Aruba Central auf AOS-8 ist der Ablauf im Wesentlichen derselbe, der Zugriff erfolgt jedoch über den WLAN-Assistenten unter „Devices“, „Config“, „WLANs“. Setzen Sie das „Security Level“ auf „Visitors“, den „Type“ auf „External Captive Portal“ und erstellen Sie ein neues Captive Portal-Profil mit der Purple-Splash-URL. Fügen Sie Ihre primären und sekundären RADIUS-Server hinzu, aktivieren Sie das Accounting und legen Sie ein Accounting-Intervall von fünf Minuten fest. Dieses Intervall ist wichtig – es stellt sicher, dass die Analytics-Plattform von Purple regelmäßige Sitzungsaktualisierungen für genaue Berichte zur Verweildauer und Interaktion erhält. Unter AOS-10, der Cloud-First-Architektur, gibt es einen wichtigen Unterschied: Der Walled Garden wird nicht mehr auf der Registerkarte „WLAN Security“ konfiguriert. Stattdessen konfigurieren Sie ihn über „Access Rules“. Sie erstellen eine Pre-Authentication-Rolle – nennen Sie sie „Guest Logon“ – und fügen Freigaberegeln für jede Domain in der Walled-Garden-Whitelist hinzu. Anschließend weisen Sie diese Rolle als „Pre-Authentication Role“ auf der SSID zu. Apropos Walled Garden – hier treten bei den meisten Bereitstellungen Fehler auf. Der Walled Garden ist die Liste der Domains, auf die nicht authentifizierte Gäste zugreifen können, bevor sie den Portal-Ablauf abgeschlossen haben. Ohne diese Einträge wird das Portal selbst nicht geladen, da das Gerät des Gasts das Purple-CDN nicht erreichen kann, um die Splash-Page-Ressourcen herunterzuladen. Die obligatorischen Purple-Einträge sind: star dot purple dot ai, star dot cloudfront dot net und star dot venuewifi dot com. Wenn Sie Social Login verwenden – Google, Facebook, Apple, Microsoft –, müssen Sie die relevanten OAuth-Domains für den jeweiligen Anbieter hinzufügen. Google erfordert star dot google dot com, star dot googleapis dot com und star dot gstatic dot com. Facebook erfordert star dot facebook dot com, star dot fbcdn dot net und connect dot facebook dot net. Apple Sign-In benötigt star dot apple dot com und appleid dot apple dot com. Microsoft Entra ID erfordert star dot microsoft dot com und star dot microsoftonline dot com. Ein wichtiger Punkt vorab: Bei Aruba können Sie im Captive Portal-Profil das automatische URL-Whitelisting aktivieren. Diese Funktion setzt URLs, auf die die Portalseite verweist, dynamisch auf die Whitelist. Das ist als Fallback nützlich, aber ich empfehle, den Walled Garden in der Produktionsumgebung explizit zu konfigurieren, anstatt sich auf das automatische Whitelisting zu verlassen – das ist berechenbarer und einfacher zu überprüfen. Lassen Sie uns speziell über RADIUS-Parameter sprechen. Die wichtigsten Attribute, die Purple verwendet, sind: NAS-IP-Address zur Identifizierung Ihres APs oder Controllers; Called-Station-Id, die die BSSID und SSID im Format MAC-Adresse:SSID-Name überträgt – Purple nutzt dies, um Sitzungen bestimmten Standorten und Access Points zuzuordnen; und Calling-Station-Id, also die Client-MAC-Adresse. Auf der Accounting-Seite liefert Acct-Session-Id die eindeutige Sitzungs-ID, und Acct-Status-Type überträgt Start-, Interim-Update- und Stop-Ereignisse. Stellen Sie sicher, dass Ihre Aruba-Konfiguration alle drei Accounting-Ereignistypen sendet – manche Bereitstellungen senden nur Start und Stop, was dazu führt, dass den Analysen von Purple die zwischenzeitlichen Sitzungsdaten fehlen, die für genaue Berechnungen der Verweildauer erforderlich sind. [IMPLEMENTIERUNGSEMPFEHLUNGEN & PHÄNOMENE — ca. 2 Minuten] Ich möchte Ihnen einige praktische Empfehlungen geben, die ich jedem Kunden bei dieser Bereitstellung ans Herz lege. Erstens: Testen Sie vor dem Live-Gang immer mit einem dedizierten Testgerät. Verbinden Sie sich mit der Gäste-SSID, öffnen Sie im Browser eine HTTP-URL – nicht HTTPS – und überprüfen Sie, ob die Weiterleitung ausgelöst wird. Wenn Sie direkt HTTPS aufrufen, funktioniert die Weiterleitung nicht, da der AP den verschlüsselten Datenverkehr nicht abfangen kann. Das ist die Support-Anfrage Nummer eins bei uns. Zweitens: Firewall-Regeln. Ihr AP-Management-VLAN oder -Controller benötigt ausgehenden UDP-Zugriff auf die RADIUS-Server-IPs von Purple über die Ports 1812 und 1813. Wenn Sie eine Stateful Firewall zwischen Ihren APs und dem Internet haben, stellen Sie sicher, dass diese diese UDP-Flüsse zulässt. RADIUS ist verbindungslos, daher benötigen einige Firewalls explizite Regeln, anstatt sich auf die Stateful Inspection zu verlassen. Drittens: Zertifikatsvertrauen. Wenn Sie die URL der Splash Page als HTTPS konfigurieren, muss der AP dem Zertifikat vertrauen, das vom Portalserver von Purple präsentiert wird. In Aruba Central müssen Sie möglicherweise ein vertrauenswürdiges CA-Zertifikat in die globalen Einstellungen importieren, bevor die Portalweiterleitung über HTTPS korrekt funktioniert. Purple verwendet Zertifikate einer allgemein vertrauenswürdigen CA, aber es lohnt sich, dies in Ihrer Umgebung zu überprüfen. Viertens: VLAN-Segmentierung. Ihre Gäste-SSID sollte sich in einem dedizierten VLAN befinden, das von Ihrem Unternehmensnetzwerk isoliert ist. Dies ist sowohl eine Sicherheitsanforderung – PCI DSS 3.2.1 fordert eine Netzsegmentierung für Karteninhaber-Datenumgebungen – als auch eine praktische Notwendigkeit für die Funktionalität des Captive Portals. Das Gäste-VLAN sollte Internetzugang haben, aber keine Route zu internen Ressourcen. Fünftens: die WISPr-Einstellung. Ich habe dies bereits erwähnt, aber es ist wichtig genug, um es zu wiederholen. Aktivieren Sie WISPr. Ohne diese Einstellung erkennen insbesondere iOS-Geräte das Captive Portal nicht automatisch, und Gäste erleben eine verwirrende Situation, in der sie anscheinend verbunden sind, aber keinen Internetzugang haben. [BLITZFRAGEN — ca. 1 Minute] Lassen Sie mich die am häufigsten gestellten Fragen durchgehen. Kann ich Aruba Instant On — das Produkt für kleine Unternehmen — mit Purple nutzen? Ja, mit einigen Einschränkungen. Instant On unterstützt externe Captive Portals, aber die Konfigurationsoberfläche ist eingeschränkter als beim vollwertigen Aruba Central. Purple bietet eine spezielle Instant On Integrationsanleitung. Unterstützt Purple RadSec für verschlüsseltes RADIUS? Ja. Purple unterstützt RADIUS über TLS — RadSec — für Bereitstellungen, bei denen der RADIUS-Datenverkehr über ungesicherte Netzwerke läuft. Dies wird immer wichtiger für Cloud-verwaltete Implementierungen, bei denen der RADIUS-Austausch über das öffentliche Internet erfolgt. Was passiert, wenn das Purple-Portal nicht erreichbar ist? Sie können die Einstellung für den Ausfall des Captive Portal so konfigurieren, dass entweder der Internetzugang verweigert wird (Deny Internet — die sichere Standardeinstellung) oder der Internetzugang erlaubt wird (Allow Internet), was einen Fallback-Modus für offenen Zugang bietet. Für die meisten Unternehmensstandorte ist „Deny Internet“ die richtige Wahl. Kann ich mehrere SSIDs mit unterschiedlichen Purple-Standorten auf derselben Aruba-Infrastruktur betreiben? Absolut. Jede SSID erhält ihr eigenes Captive Portal-Profil, das auf eine andere Purple-Standort-URL verweist. Das RADIUS-Attribut „Called-Station-Id“ überträgt den SSID-Namen, den Purple verwendet, um die Sitzung an die richtige Standortkonfiguration weiterzuleiten. [ZUSAMMENFASSUNG & NÄCHSTE SCHRITTE — ca. 1 Minute] Lassen Sie mich das zusammenfassen. Die Bereitstellung von Purple als externes Captive Portal auf einer Aruba-Infrastruktur ist ein bewährter Integrationspfad. Die wichtigsten Schritte sind: Konfigurieren Sie Ihre RADIUS-Server mit den Anmeldedaten von Purple, erstellen Sie ein externes Captive Portal-Profil, das auf Ihre Purple-Splash-URL mit aktiviertem WISPr verweist, erstellen Sie Ihre Gäste-SSID mit dem Splash-Typ „External RADIUS Server“ und konfigurieren Sie Ihren Walled Garden mit den Purple-Core-Domains sowie den Domains aller Social-Login-Anbieter, die Sie aktivieren. Der zu merkende Unterschied bei AOS-10 besteht darin, dass die Walled-Garden-Konfiguration in die Access Rules verschoben wird und nicht mehr im Reiter WLAN-Sicherheit zu finden ist. Aus geschäftlicher Sicht bietet Ihnen der Ersatz des einfachen lokalen Portals von Aruba durch Purple eine GDPR-konforme Datenerfassung, Echtzeit-Standortanalysen, demografische Berichte und Marketing-Automatisierung — und das alles über dieselbe WiFi-Infrastruktur, die Sie bereits besitzen. Für Ihre nächsten Schritte: Rufen Sie Ihre Purple-Standort-RADIUS-Anmeldedaten aus dem Purple-Dashboard ab, gehen Sie die Konfigurations-Checkliste im begleitenden schriftlichen Leitfaden durch und testen Sie die Einrichtung mit einem dedizierten Gerät, bevor Sie sie produktiv schalten. Wenn Sie an mehreren Standorten bereitstellen, können Sie über die Multi-Site-Management-Konsole von Purple die Captive Portal-Konfigurationen, das Branding und die Analysen für Ihren gesamten Bestand über eine einzige Benutzeroberfläche verwalten. Vielen Dank fürs Zuhören. Der vollständige schriftliche Leitfaden, die Konfigurationstabellen und die Walled-Garden-Referenzlisten sind auf purple.ai verfügbar. Bis zum nächsten Mal. [ENDE DES SKRIPTS]

📚 Part of our core series: Multi-Tenant WiFi

header_image.png

Management-Summary

Für Wireless-Enterprise-Engineers, Netzwerkarchitekten und Betriebsleiter von Veranstaltungsorten geht es bei der Bereitstellung einer robusten WLAN-Infrastruktur für Gäste längst nicht mehr nur um die Bereitstellung eines einfachen Internetzugangs. Moderne Veranstaltungsorte benötigen eine Lösung, die ein ausgewogenes Verhältnis zwischen strenger Netzwerksicherheit, gesetzlicher Compliance und einer konversionsstarken Customer Experience für Gäste bietet. Während die nativen Captive Portal-Funktionen von HPE Aruba äußerst zuverlässig sind, fehlen ihnen die anspruchsvolle Erfassung von Marketingdaten, die globale Skalierbarkeit für mehrere Standorte sowie die Echtzeit-Standort- und Demografie-Analysen, die von Enterprise-Veranstaltungsorten im Gastgewerbe, im Einzelhandel und im öffentlichen Sektor benötigt werden.

Durch die direkte Integration von Purple in Aruba Instant (IAP) oder über Aruba Central verwaltete Access Points können Unternehmen einfache lokale Splash-Pages durch ein sicheres, hochgradig skalierbares, globales Gästeportal ersetzen. Diese Integration nutzt Standard-Netzwerkprotokolle, einschließlich Remote Authentication Dial-In User Service (RADIUS) und Wireless Internet Service Provider Roaming (WISPr), um ein nahtloses, sicheres und markenkonformes Onboarding zu ermöglichen. Dieser technische Leitfaden enthält die genauen Konfigurationsparameter, Architekturdiagramme und Troubleshooting-Workflows, die für eine erfolgreiche Bereitstellung von Purple auf der Aruba-Infrastruktur erforderlich sind.

Technische Vertiefung

Die Integration von Purple in die Aruba-WLAN-Infrastruktur basiert auf einer standardmäßigen externen Captive Portal-Weiterleitung und einem RADIUS-Authentifizierungs-Flow. Diese Architektur stellt sicher, dass die Benutzerauthentifizierung und die Datenverkehrserfassung sicher in der Cloud verarbeitet werden, während lokale Access Points die Zugriffskontrolle und Quality of Service (QoS)-Richtlinien durchsetzen.

Der Captive Portal-Weiterleitungs-Flow

Wenn sich ein nicht authentifizierter Client mit der Gäste-SSID (Service Set Identifier) verbindet, fängt der Aruba Access Point die erste HTTP-Anfrage des Clients ab (normalerweise TCP-Port 80) und führt eine HTTP 302-Weiterleitung auf die in der Cloud gehostete Splash-Page von Purple durch.

+--------------+             +-----------------+             +------------------+             +------------------+
|  Gast-Gerät  |             |  Aruba AP / AP  |             |  Purple Captive  |             |  Purple RADIUS   |
|   (Client)   |             |  (Central/IAP)  |             |  Portal (Cloud)  |             |  Server (Cloud)  |
+--------------+             +-----------------+             +------------------+             +------------------+
       |                              |                               |                                |
       |-- 1. Verbindet sich mit SSID >|                               |                                |
       |                              |                               |                                |
       |-- 2. HTTP Request (TCP 80) ->|                               |                                |
       |                              |-- 3. HTTP 302 Redirect ------>|                                |
       |<-- 4. Präsentiert Splash Page -------------------------------|                                |
       |                              |                               |                                |
       |-- 5. Sendet Anmeldeformular -------------------------------->|                                |
       |                              |                               |-- 6. RADIUS Access-Request --->|
       |                              |<-- 7. RADIUS Access-Accept ------------------------------------|
       |                              |      (mit Session-Timeout)    |                                |
       |<-- 8. Internetzugriff gewährt ------|                               |                                |
       |                              |                               |                                |
       |                              |-- 9. RADIUS Accounting Start --------------------------------->|
       |                              |-- 10. RADIUS Accounting Interim (alle 5 Min.) ---------------->|

architecture_overview.png

RADIUS-Authentifizierungs- und Accounting-Parameter

Sobald der Gast seine Anmeldedaten übermittelt oder ein Social Login auf der Purple Splash Page durchführt, kommuniziert das Purple-Portal-Backend mit dem lokalen Aruba Access Point oder Controller, um die RADIUS-Authentifizierung zu initiieren. Der Aruba AP fungiert als Network Access Server (NAS) und sendet einen RADIUS-Access-Request an die Cloud-RADIUS-Server von Purple auf UDP-Port 1812.

Um eine genaue Sitzungsverfolgung, Richtliniendurchsetzung und Berichterstattung zu gewährleisten, müssen die folgenden RADIUS-Attribute ausgetauscht werden:

Attributname Attribut-ID Beschreibung Praktischer Kontext
NAS-IP-Address 4 Die Management-IP-Adresse des virtuellen Aruba-Controllers oder APs. Identifiziert die physische Hardware, von der die Authentifizierungsanfrage ausgeht.
Calling-Station-Id 31 Die MAC-Adresse des Client-Geräts (normalerweise im Format XX-XX-XX-XX-XX-XX). Wird von Purple verwendet, um eindeutige Geräte zu verfolgen und das MAC-Caching für wiederkehrende Gäste zu erzwingen.
Called-Station-Id 30 Die MAC-Adresse des AP-Funkmoduls (BSSID) kombiniert mit dem SSID-Namen (im Format MAC:SSID). Essenziell für Purple, um den genauen physischen Standort und die spezifische SSID zu identifizieren, mit der sich der Benutzer verbindet.
Acct-Session-Id 44 Eine eindeutige Kennung, die vom AP für jede Client-Sitzung generiert wird. Verknüpft Authentifizierungsereignisse mit nachfolgenden Accounting-Start-, Interim- und Stop-Einträgen.
Acct-Status-Type 40 Gibt den Typ des Accounting-Datensatzes an: Start (1), Stop (2) oder Interim-Update (3). Ermöglicht die Echtzeit-Verfolgung aktiver Sitzungen und präzise Berechnungen der Verweildauer.
Acct-Interim-Interval 85 Bestimmt die Häufigkeit (in Sekunden), mit der der AP zwischenzeitliche Accounting-Updates sendet. Muss auf 300 Sekunden (5 Minuten) eingestellt werden, um sicherzustellen, dass das Purple Analytics-Dashboard genaue Echtzeitdaten anzeigt.

Die Walled Garden (Ausnahmeliste) Architektur

Bevor ein Benutzer authentifiziert wird, schränkt der Aruba AP den gesamten Datenverkehr ein, mit Ausnahme von Zielen, die explizit im Walled Garden (oder der Ausnahmeliste) definiert sind. Da das Captive Portal von Purple in der Cloud gehostet wird und für die soziale Authentifizierung auf externe Identitätsanbieter (wie Google, Facebook und Apple) angewiesen ist, muss der AP nicht authentifizierten Clients erlauben, DNS aufzulösen und mit diesen externen Domänen zu kommunizieren.

Wenn eine erforderliche Domäne im Walled Garden weggelassen wird, wird dem Gast eine leere Seite, fehlerhaftes CSS, fehlende Bilder oder ein vollständiges Timeout während des Anmeldevorgangs angezeigt.

walled_garden_infographic.png

Implementierungshandbuch

Die Bereitstellung von Purple auf einer drahtlosen Aruba-Infrastruktur kann über Aruba Instant (IAP) mit ArubaOS 8.x (On-Premises-Modus für virtuelle Controller) oder Aruba Central (Cloud-verwaltetes AOS-8 oder AOS-10) erfolgen.

Aruba Instant (IAP) Konfiguration (ArubaOS 8.x)

Schritt 1: RADIUS-Server konfigurieren

  1. Melden Sie sich an der Weboberfläche des virtuellen Controllers des Aruba Instant AP an.
  2. Navigieren Sie zu Security > Authentication Server und klicken Sie auf New.
  3. Konfigurieren Sie den Primary RADIUS Server mit den folgenden Parametern:
    • Name: Purple_Primary
    • IP Address: 34.94.146.135
    • Auth Port: 1812
    • Acct Port: 1813
    • Shared Key: [Wird in Ihrem Purple Venue Dashboard bereitgestellt]
  4. Klicken Sie auf OK, um zu speichern.
  5. Klicken Sie erneut auf New, um den Secondary RADIUS Server zu konfigurieren:
    • Name: Purple_Secondary
    • IP Address: 34.94.183.201
    • Auth Port: 1812
    • Acct Port: 1813
    • Shared Key: [Wird in Ihrem Purple Venue Dashboard bereitgestellt]
  6. Klicken Sie auf OK, um zu speichern.

Schritt 2: Captive Portal Profil erstellen

  1. Navigieren Sie zu Security > Captive Portal und klicken Sie auf New.
  2. Konfigurieren Sie das Profil mit den folgenden Einstellungen:
    • Name: Purple_Portal
    • Type: External
    • IP or Hostname: portal.venuewifi.com
    • URL: /
    • Port: 443
    • Use HTTPS: Enabled
    • Redirect URL: https://portal.venuewifi.com
    • WISPr: Enabled (Entscheidend für die automatische Auslösung des Portals auf iOS und Android Geräten)
  3. Klicken Sie auf OK, um zu speichern.

Schritt 3: Walled Garden Whitelist konfigurieren

  1. Wählen Sie im Menü Security > Captive Portal Ihr neu erstelltes Purple_Portal-Profil aus.
  2. Klicken Sie im Bereich Walled Garden auf den Link, um die Whitelist-Konfiguration zu öffnen.
  3. Fügen Sie die folgenden Purple-Kerndomänen hinzu:
    • *.purple.ai
    • *.cloudfront.net
    • *.venuewifi.com
  4. Wenn die Anmeldung über soziale Netzwerke aktiviert ist, fügen Sie die entsprechenden Domänen hinzu (z. B. *.google.com, *.facebook.com, *.apple.com).
  5. Klicken Sie auf Save.

Schritt 4: Erstellen und Konfigurieren der Gäste-SSID

  1. Navigieren Sie zu Network > New, um den WLAN-Assistenten zu starten.
  2. Auf der Registerkarte WLAN Settings:
    • Name (SSID): Guest-WiFi
    • Primary Usage: Guest
    • Klicken Sie auf Next.
  3. Konfigurieren Sie auf der Registerkarte VLAN die IP- und VLAN-Zuweisung gemäß Ihrer Netzwerkarchitektur (normalerweise Client IP assignment: Network Assigned in einem dedizierten Gäste-VLAN). Klicken Sie auf Next.
  4. Auf der Registerkarte Security:
    • Splash Page Type: External
    • Captive Portal Profile: Wählen Sie Purple_Portal
    • Auth Server 1: Wählen Sie Purple_Primary
    • Auth Server 2: Wählen Sie Purple_Secondary
    • Reauth Interval: 1440 (24 Stunden oder gemäß den Richtlinien des Standorts)
    • Accounting: Enabled
    • Accounting Interval: 5 Minuten
  5. Klicken Sie auf Next, um zur Registerkarte Access zu gelangen. Stellen Sie sicher, dass die Standard-Gästeregel DHCP- und DNS-Pre-Authentication zulässt, und klicken Sie dann auf Finish.

Aruba Central Konfiguration (AOS-8 und AOS-10)

Aruba Central AOS-8

  1. Navigieren Sie zu Devices unter dem Abschnitt Manage Ihrer Gruppe in Aruba Central.
  2. Klicken Sie oben rechts auf Config (Zahnrad-Symbol), wechseln Sie zur Registerkarte WLANs und klicken Sie auf + Add SSID.
  3. Geben Sie in Schritt 1: General den SSID-Namen ein (z. B. Guest-WiFi) und klicken Sie auf Next.
  4. Konfigurieren Sie in Schritt 2: VLANs Ihre Gäste-VLAN-Zuordnung und klicken Sie auf Next.
  5. In Schritt 3: Security:
    • Setzen Sie das Security Level auf Visitors.
    • Setzen Sie den Type auf External Captive Portal.
    • Stellen Sie sicher, dass Key Management auf Open eingestellt ist (verwenden Sie kein Enhanced Open/OWE für Standard-Gästeportale, da dies zu Client-Kompatibilitätsproblemen führen kann).
    • Klicken Sie auf das +-Symbol neben Captive Portal Profile, um ein neues Profil hinzuzufügen:
      • Name: Purple_Central_Portal
      • IP or Hostname: portal.venuewifi.com
      • URL: /
      • Port: 443
      • Redirect URL: https://portal.venuewifi.com
      • Use HTTPS: True
      • Captive Portal Failure: Deny Internet (Empfohlen zur Einhaltung von Sicherheitsrichtlinien)
    • Klicken Sie auf Save.
    • Klicken Sie auf das +-Symbol neben Primary Server und Secondary Server, um die Purple RADIUS-Server mit den IPs 34.94.146.135 bzw. 34.94.183.201 und den Ports 1812 (Auth) und 1813 (Acct) hinzuzufügen.
    • Erweitern Sie die Advanced Settings, scrollen Sie zu Accounting, wählen Sie Use authentication servers und stellen Sie das Accounting Interval auf 5 Minuten ein.
  6. Scrollen Sie nach unten zum Bereich Walled Garden, klicken Sie auf + Add und geben Sie die erforderlichen Purple- und Social-Login-Domänen ein.
  7. Klicken Sie auf Save Settings.

Aruba Central AOS-10

In AOS-10 verschiebt sich die Walled-Garden-Konfiguration von der Registerkarte „WLAN Security“ zu Access Rules.

  1. Befolgen Sie dieselben SSID- und RADIUS-Konfigurationsschritte wie oben für AOS-8.
  2. Navigieren Sie im SSID-Assistenten zur Registerkarte Access.
  3. Klicken Sie auf + Add Role und erstellen Sie eine Pre-Authentication-Rolle mit dem Namen Purple_Pre_Auth.
  4. Konfigurieren Sie im Regel-Editor für diese Rolle explizite Allow-Regeln für DNS, DHCP und die erforderlichen Walled-Garden-Domains (z. B. *.purple.ai, *.venuewifi.com).
  5. Scrollen Sie nach unten zu Assign Pre-Authentication Role, aktivieren Sie die Option und wählen Sie Purple_Pre_Auth aus dem Dropdown-Menü.
  6. Die Post-Authorization-Rolle (die normalerweise mit dem SSID-Namen übereinstimmt) sollte weiterhin mit Allow any to all destinations oder Ihren spezifischen Unternehmenszugriffsrichtlinien konfiguriert bleiben.
  7. Klicken Sie auf Save Settings.

Best Practices

Um maximale Leistung, Sicherheit und Compliance zu gewährleisten, müssen Netzwerkarchitekten die folgenden Branchenstandards und herstellerneutralen Best Practices bei der Bereitstellung von Captive Portals auf Aruba und Purple einhalten.

1. Sicheres Zertifikatsmanagement

Aruba-Access-Points müssen während des Umleitungsflusses zum Captive Portal ein gültiges, vertrauenswürdiges SSL/TLS-Zertifikat vorweisen.

  • Selbstsignierte Zertifikate vermeiden: Wenn der AP ein selbstsigniertes Zertifikat vorweist, zeigen moderne Browser eine gut sichtbare Warnung „Ihre Verbindung ist nicht privat“ an, was das Vertrauen der Gäste stark beeinträchtigt und die Konversionsraten senkt.
  • Ein vertrauenswürdiges CA-Zertifikat bereitstellen: Laden Sie ein Wildcard-Zertifikat von einer weltweit anerkannten Zertifizierungsstelle (CA) in Ihre globalen Aruba Central-Einstellungen oder virtuellen Instant-Controller hoch. Stellen Sie sicher, dass die Zwischen- und Stammzertifikate in einer einzigen Datei kombiniert werden, um die Vertrauenskette zu vervollständigen.

2. Netzwerksegmentierung und Compliance

Der Gastdatenverkehr muss vollständig vom Unternehmens- und Verwaltungsdatenverkehr getrennt gehalten werden, um Sicherheitsrisiken zu minimieren und die Einhaltung von Branchenstandards zu gewährleisten.

  • VLAN-Isolierung: Weisen Sie die Gäste-SSID einem dedizierten, nicht routingfähigen VLAN zu. Verwenden Sie Access Control Lists (ACLs) auf dem vorgeschalteten Core-Switch oder der Firewall, um jegliches Routing zwischen dem Gäste-VLAN und internen Unternehmenssubnetzen zu verhindern.
  • PCI-DSS-Compliance: Wenn an Ihrem Standort Kartenzahlungen verarbeitet werden (z. B. am Point-of-Sale im Einzelhandel), ist die Netzwerksegmentierung eine zwingende Anforderung gemäß PCI DSS Requirement 1.2 [3]. Gäste-WiFi muss physisch oder logisch von der Karteninhaber-Datenumgebung (CDE) isoliert sein.
  • GDPR und Datenschutz: Stellen Sie sicher, dass das Purple-Portal so konfiguriert ist, dass explizite, nicht vorab ausgewählte Kontrollkästchen für die Zustimmung zum Marketing-Opt-in angezeigt werden, um die strengen Anforderungen der GDPR [4] zu erfüllen.

3. Optimierung von WISPr und der Captive-Portal-Erkennung

Moderne mobile Betriebssysteme verwenden aktive Abfragen, um Captive Portals sofort nach der Zuordnung zu erkennen.

  • WISPr aktivieren: Stellen Sie immer sicher, dass die WISPr-Unterstützung in Ihrem Aruba Captive Portal-Profil aktiviert ist. Dieses Protokoll übergibt Metadaten im XML-Format an das Betriebssystem des Clients, sodass iOS (Captive Network Assistant) und Android (Captive Portal Login) den Anmeldebildschirm nahtlos in einem speziellen Browserfenster öffnen können.
  • Probleme mit „Enhanced Open“ (OWE) vermeiden: Obwohl Opportunistic Wireless Encryption (OWE) Verschlüsselung in offenen Netzwerken bietet, unterstützen viele ältere Client-Geräte diese Technologie nicht. Verwenden Sie für öffentliche Gäste-Netzwerke die standardmäßige Open-Schlüsselverwaltung, um eine maximale Gerätekompatibilität zu gewährleisten.

Fehlerbehebung & Risikominderung

Selbst bei sorgfältiger Planung kann es bei der Bereitstellung von Captive Portals zu typischen Fehlern kommen. Die folgende Fehlerbehebungsmatrix bietet WLAN-Technikern sofortige, praktische Schritte zur Problemlösung.

Captive Portal Fehlerbehebungsmatrix

Symptom Wahrscheinliche Ursache Diagnoseschritte Praktische Lösung
Gast stellt Verbindung her, aber die Splash Page lädt nicht (Timeout/Leere Seite). Fehlende oder unvollständige Walled Garden-Konfiguration. Versuchen Sie, portal.venuewifi.com von einem kabelgebundenen Gerät im selben VLAN aus anzupingen. Prüfen Sie, ob das Gerät versucht, externe Ressourcen (z. B. Social-Login-Skripte) zu laden, die blockiert sind. Fügen Sie *.purple.ai, *.venuewifi.com und *.cloudfront.net explizit zum Aruba Walled Garden hinzu. Stellen Sie sicher, dass die DNS-Auflösung in der Pre-Auth-Rolle zulässig ist.
Gast wird weitergeleitet, aber der Browser zeigt eine SSL/TLS-Zertifikatswarnung an. Der Aruba AP präsentiert ein nicht vertrauenswürdiges oder selbstsigniertes Zertifikat für die lokale Weiterleitungsseite. Überprüfen Sie die Details des Browserzertifikats, um zu sehen, welches Zertifikat präsentiert wird. Laden Sie ein gültiges, vertrauenswürdiges SSL-Zertifikat, das von einer öffentlichen CA signiert wurde, auf den virtuellen Aruba-Controller oder in die globalen Einstellungen von Central hoch.
Gast füllt das Anmeldeformular aus, erhält aber keinen Internetzugang (Weiterleitungsschleife). RADIUS-Kommunikationsfehler zwischen dem Aruba AP und den Purple-Servern. Überprüfen Sie die Protokolle des virtuellen Aruba-Controllers auf RADIUS-Timeouts oder Access-Rejects. Führen Sie show auth-survivability aus oder überprüfen Sie die Firewall-Protokolle. Stellen Sie sicher, dass die ausgehenden UDP-Ports 1812 (Auth) und 1813 (Acct) auf Ihrer Perimeter-Firewall geöffnet sind. Vergewissern Sie sich, dass das gemeinsame RADIUS-Geheimnis (Shared Secret) auf Purple und Aruba exakt übereinstimmt.
Das Captive Portal öffnet sich nicht automatisch auf iOS- oder Android-Geräten. WISPr ist deaktiviert, oder der AP blockiert die Erkennungs-URLs des Betriebssystems für das Captive Portal. Prüfen Sie, ob das Gerät ohne Anmeldung auf das Internet zugreifen kann oder ob es mit der Meldung „Kein Internet“ und ohne Pop-up verbunden bleibt. Aktivieren Sie WISPr im Aruba Captive Portal-Profil. Stellen Sie sicher, dass Erkennungs-URLs für Captive Portals (z. B. captive.apple.com, connectivitycheck.gstatic.com) nicht durch benutzerdefinierte Pre-Auth-ACLs blockiert werden.
Echtzeit-Verweildauer-Analysen sind in Purple ungenau oder fehlen. RADIUS-Accounting ist deaktiviert oder das Accounting-Intervall ist zu hoch eingestellt. Überprüfen Sie die AP-Konfiguration, um zu sehen, ob Accounting aktiviert ist, und kontrollieren Sie das Intervall. Aktivieren Sie RADIUS Accounting auf der Aruba SSID. Stellen Sie das Accounting-Intervall auf genau 5 Minuten (300 Sekunden) ein, um regelmäßige Sitzungsaktualisierungen zu gewährleisten.

ROI & Business-Auswirkungen

Der Übergang von einem einfachen, lokalen Captive Portal zu einer WiFi-Intelligence-Plattform der Enterprise-Klasse wie Purple liefert messbare Geschäftsergebnisse in den Bereichen Betrieb, Marketing und Netzwerkmanagement.

Betriebliche Effizienz und Skalierbarkeit

Die Verwaltung einzelner lokaler Captive Portals über Hunderte von Einzelhandelsgeschäften, Hotels oder öffentlichen Veranstaltungsorten hinweg ist ein administrativer Engpass. Purple bietet eine zentralisierte, cloudbasierte Konsole, mit der IT-Teams Captive Portal-Konfigurationen mit einem einzigen Klick global bereitstellen, aktualisieren und prüfen können. Dies reduziert Konfigurationsabweichungen, sorgt für ein konsistentes Branding und senkt den administrativen Aufwand um bis zu 60 %.

Datenmonetarisierung und Marketing-ROI

Für Branchen wie den Einzelhandel und das Gastgewerbe ist das Gäste-WiFi ein leistungsstarker Kanal zur Kundengewinnung und -bindung. Purple ersetzt anonyme Verbindungen durch detaillierte demografische Profile.

  • Direkte Integration: Purple lässt sich in CRM- und Marketing-Automatisierungsplattformen integrieren, um kontextsensitive Kampagnen in Echtzeit auszulösen. Beispielsweise kann ein Einzelhandelsgeschäft eine personalisierte Rabatt-SMS auslösen, sobald sich ein Treueprogramm-Kunde mit dem Gäste-WiFi verbindet.
  • Messbare Besucheranalysen: Durch die Analyse von RADIUS-Accounting-Daten und BSSID-Zuordnungen bietet Purple hochpräzise Berichte zu Verweildauer, Wiederkehrrate und Pfadanalysen. Diese Daten ermöglichen es Betriebsleitern vor Ort, den Personalbestand zu optimieren, die Effektivität von Schaufensterdekorationen zu bewerten und den direkten ROI von Marketingkampagnen zu messen.

Kosten-Nutzen-Analyse: Natives Aruba vs. Purple-Integration

Feature / Metrik Natives lokales Aruba-Portal Integration von Aruba + Purple Business-Auswirkung
Zentralisiertes Multi-Standort-Management Begrenzt. Erfordert individuelle Konfiguration pro virtuellem Controller oder komplexe Central-Gruppen-Zuordnung. Vollständig zentralisiert. Verwalten Sie Tausende von Standorten und SSIDs über ein einziges Cloud-Dashboard. Reduziert den IT-Aufwand und eliminiert Konfigurationsabweichungen in verteilten Infrastrukturen.
Datenerfassung & Compliance Einfache Formularerfassung. Keine integrierten Workflows zur Validierung der GDPR/CCPA-Einwilligung. Enterprise-Klasse. Automatisiertes, rechtskonformes Einwilligungs-Tracking mit Echtzeit-API-Synchronisierung mit CRMs. Minimiert rechtliche Risiken und stellt die Einhaltung globaler Datenschutzvorschriften sicher [4].
Social-Media-Authentifizierung Erfordert maßgeschneiderte externe Webentwicklung und manuelle API-Wartung. Direkte Out-of-the-box-Unterstützung für Google, Facebook, Apple, Microsoft, LinkedIn und SMS. Steigert die Conversion-Raten um bis zu 40 % durch reibungslose Anmeldeoptionen.
Analysen & Berichte Einfache Sitzungsprotokolle (IP, MAC, Verbindungszeit). Keine Erfassung von demografischen Daten oder Nutzerverhalten. Umfangreiche Analysen: Alter, Geschlecht, Verweildauer, Wiederkehrraten, Heatmaps und standortübergreifendes Roaming. Steigert den Marketing-ROI und liefert verwertbare Business Intelligence für den Betrieb.

Schlüsseldefinitionen

Captive Portal

Eine Webseite, die neu verbundenen Nutzern eines Wi-Fi-Netzwerks angezeigt wird, bevor ihnen ein breiterer Zugriff auf Netzwerkressourcen gewährt wird.

Wird verwendet, um Gästedaten zu erfassen, Nutzungsbedingungen durchzusetzen und gebrandete Marketinginhalte zu präsentieren.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Kontoführung (AAA) für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden und diesen nutzen.

Purple fungiert als externer RADIUS-Server, der Gäste authentifiziert und deren Sitzungsdauer erfasst.

WISPr (Wireless Internet Service Provider roaming)

Ein Protokollentwurf, der es unabhängigen Anbietern von drahtlosen Internetdiensten ermöglicht, Nutzern das Roaming in den Netzwerken der jeweils anderen über ein gemeinsames Login-Portal zu erlauben.

Die Aktivierung von WISPr auf Aruba-APs ermöglicht es modernen Smartphones, das Captive Portal automatisch zu erkennen und die Splash-Page in einem systemeigenen Fenster anzuzeigen.

Walled Garden

Eine eingeschränkte Auswahl an Websites oder Domains, auf die ein nicht authentifizierter Benutzer zugreifen darf, bevor er den Login-Prozess des Captive Portals abschließt.

Entscheidend dafür, dass Gäste vor der Authentifizierung die Assets der Splash-Page (CSS, JS, Bilder) laden und auf Social-Login-Anbieter (Google, Facebook) zugreifen können.

BSSID (Basic Service Set Identifier)

Die MAC-Adresse der Funkschnittstelle des Wireless Access Points für eine bestimmte SSID.

Wird im RADIUS-Attribut „Called-Station-Id“ gesendet, sodass Purple den physischen Standort des Benutzers einem bestimmten AP zuordnen kann.

NAS-IP-Address

Die IP-Adresse des Network Access Servers (des Aruba-APs oder -Controllers), von dem die RADIUS-Anfrage ausgeht.

Wird in RADIUS-Paketen verwendet, um zu identifizieren, welche physische Hardware eine Authentifizierung anfordert.

RadSec

Ein Protokoll, das RADIUS-Transaktionen mithilfe von Transport Layer Security (TLS) über TCP sichert.

Wird verwendet, um den RADIUS-Authentifizierungs- und Accounting-Datenverkehr zu verschlüsseln, wenn er nicht vertrauenswürdige öffentliche Netzwerke zwischen dem lokalen AP und der Cloud von Purple durchquert.

Enhanced Open (OWE)

Eine Erweiterung von Wi-Fi Certified Easy Connect, die eine Verschlüsselung von drahtlosen Übertragungen in offenen Netzwerken ermöglicht, ohne dass ein Passwort erforderlich ist.

Kann Kompatibilitätsprobleme mit älteren Gästegeräten verursachen; für öffentliche Captive Portals wird die Standard-Sicherheitseinstellung „Open“ empfohlen.

Ausgearbeitete Beispiele

Ein Wireless-Engineer eines Großunternehmens stellt Gäste-WiFi in einer nationalen Einzelhandelskette mit 150 Filialen bereit. Jede Filiale verfügt über 3-5 Aruba Instant APs, die über Aruba Central verwaltet werden. Das Marketing-Team benötigt ein gebrandetes Captive Portal mit Facebook- und Google-Social-Login-Optionen, und das Compliance-Team fordert, dass der Datenverkehr von Gästen vollständig vom Point-of-Sale (PoS)-Netzwerk der Filiale isoliert sein muss. Wie sollte dies entworfen und konfiguriert werden?

  1. Netzwerksegmentierung: Ordnen Sie die Gäste-SSID auf den Aruba APs dem VLAN 100 zu. Konfigurieren Sie die lokalen Switch-Ports als Trunk-Ports und lassen Sie VLAN 100 zu. Konfigurieren Sie auf der Gateway-Firewall der Filiale VLAN 100 mit einem DHCP-Bereich und einer Outbound-Only-NAT-Richtlinie. Wenden Sie eine ACL auf der Firewall an, um den gesamten Datenverkehr von VLAN 100 zum PoS-VLAN (VLAN 10) zu blockieren.
  2. RADIUS- & Portal-Konfiguration in Aruba Central: Erstellen Sie eine neue SSID namens „Store-Guest“ im VLAN 100. Setzen Sie die Sicherheit auf „Visitors“ und die Splash Page auf „External Captive Portal“. Fügen Sie den primären RADIUS-Server von Purple (34.94.146.135) und den sekundären Server (34.94.183.201) mit den Ports 1812/1813 hinzu. Aktivieren Sie RADIUS Accounting mit einem Intervall von 5 Minuten.
  3. Walled Garden: Konfigurieren Sie den Walled Garden in Aruba Central, um Folgendes aufzunehmen: *.purple.ai, *.venuewifi.com, *.cloudfront.net (für Purple Core) und die Social-Login-Domains: *.google.com, *.googleapis.com, *.gstatic.com (für Google) sowie *.facebook.com, *.fbcdn.net, connect.facebook.net (für Facebook).
  4. Testen: Verbinden Sie ein Testgerät mit „Store-Guest“, überprüfen Sie, ob DHCP eine IP-Adresse im VLAN 100 zuweist, bestätigen Sie, dass der Browser über HTTPS zum Purple-Portal weiterleitet, schließen Sie das Facebook-Login ab und stellen Sie sicher, dass der Internetzugang gewährt wird, während interne PoS-Ressourcen absolut unerreichbar bleiben.
Kommentar des Prüfers: Dieser Ansatz ist äußerst effektiv, da er sowohl Sicherheitsaspekte als auch die User Experience berücksichtigt. Die Verwendung der VLAN-Isolierung am physischen Switch und an der Gateway-Firewall gewährleistet eine robuste PCI-DSS-Compliance, wodurch verhindert wird, dass Gäste-Geräte jemals das CDE erreichen. Die explizite Definition der Social-Login-Domains im Walled Garden ist von entscheidender Bedeutung; die ausschließliche Verwendung von „Automatic URL Whitelisting“ kann mitunter zu periodischen Fehlern führen, wenn der Social-Media-Anbieter seine CDN-Subdomains dynamisch ändert. Das Setzen des RADIUS-Accounting-Intervalls auf 5 Minuten stellt sicher, dass das Marketing-Team hochauflösende Dwell-Time-Analysen erhält, ohne die AP-CPU zu überlasten.

Ein Stadion mit 50.000 Sitzplätzen betreibt Aruba Central auf AOS-10 mit High-Density AP-555 Access Points. Während der Spitzenzeiten einer Veranstaltung versuchen Tausende von Nutzern gleichzeitig, eine Verbindung zum Gäste-WiFi herzustellen. Der IT-Leiter ist besorgt über die Leistungsauswirkungen der Captive Portal-Weiterleitungen auf den virtuellen Controller und möchte sicherstellen, dass der Authentifizierungsprozess so schnell und stabil wie möglich ist. Welche erweiterten Konfigurationen sollten angewendet werden?

  1. Pre-Authentication-Rolle (AOS-10): Konfigurieren Sie in AOS-10 eine dedizierte Pre-Authentication-Rolle namens „Stadium-Pre-Auth“. Wenden Sie eine ACL an, die DHCP (UDP 67-68), DNS (UDP 53) und ausgehenden Datenverkehr zu den Purple Walled-Garden-Domains zulässt. Weisen Sie diese Rolle als „Pre-Authentication Role“ in den SSID-Einstellungen zu. Dadurch wird die Paketfilterung vom zentralen Controller auf die einzelnen APs verlagert, was die Last verteilt.
  2. RADIUS-Lastverteilung: Aktivieren Sie in Aruba Central das RADIUS-Load-Balancing über die primären und sekundären Purple RADIUS-Server. Dadurch wird die Authentifizierungslast in Spitzenzeiten gleichmäßig verteilt.
  3. Server Offload: Aktivieren Sie „Server Offload“ in den Einstellungen des Captive Portal-Profils. Dies verhindert, dass Nicht-Browser-Client-Anwendungen (wie Hintergrund-Apps auf Mobilgeräten, System-Updates oder IoT-Geräte) wiederholt zum externen Captive Portal umgeleitet werden, wodurch AP-CPU-Zyklen und WAN-Bandbreite geschont werden.
  4. Captive Portal Failure Policy: Stellen Sie „Captive Portal Failure“ auf „Deny Internet“. Während „Allow Internet“ kundenfreundlich erscheint, könnte es während eines extremen Netzwerkereignisses zu unkontrolliertem, offenem Zugang führen, der Sicherheitskontrollen umgeht und DHCP-Pools erschöpft.
Kommentar des Prüfers: High-Density-Umgebungen wie Stadien erfordern ein verteiltes Verarbeitungsmodell. Die Konfiguration des Walled Garden über Access Rules in AOS-10 stellt sicher, dass die Zugriffskontrolllisten lokal im hardwarebeschleunigten Datenpfad des APs kompiliert und ausgeführt werden, anstatt zu einem Gateway getunnelt zu werden. Die Aktivierung von Server Offload ist ein Industriestandard für Stadion-Deployments; sie mildert den „Captive-Portal-Sturm“, der durch Hintergrund-Apps auf Tausenden von gesperrten Mobiltelefonen verursacht wird, die gleichzeitig versuchen, ihre jeweiligen Cloud-Server zu erreichen.

Übungsfragen

Q1. Ein Netzwerktechniker konfiguriert eine neue Gäste-SSID auf einem Aruba Instant AP-Cluster. Beim Testen verbinden sie sich mit der SSID, sehen jedoch anstelle der gebrandeten Purple Splash-Page eine Browser-Timeout-Fehlermeldung. Was ist die wahrscheinlichste Ursache für dieses Problem und welche Schritte zur Fehlerbehebung sollten unternommen werden?

Hinweis: Denken Sie daran, was erforderlich ist, damit das Client-Gerät die in der Cloud gehostete Splash-Page vor der Authentifizierung erreichen kann.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist eine fehlende oder unvollständige Walled-Garden-Konfiguration oder ein DNS-Auflösungsproblem. Vor der Authentifizierung blockiert der AP den gesamten Datenverkehr mit Ausnahme der Whitelist-Domains. Wenn die Purple-Domains (*.purple.ai, *.venuewifi.com, *.cloudfront.net) nicht im Walled Garden eingetragen sind, kann der Client die Splash-Page nicht laden. Schritte zur Fehlerbehebung: 1. Überprüfen Sie, ob das Client-Gerät eine gültige IP-Adresse und einen DNS-Server über DHCP erhalten hat. 2. Versuchen Sie, 'portal.venuewifi.com' von einem kabelgebundenen Gerät im selben VLAN aufzulösen, um zu bestätigen, dass DNS funktioniert. 3. Überprüfen Sie die Aruba AP-Konfiguration, um sicherzustellen, dass die Walled-Garden-Whitelist aktiv ist und alle erforderlichen Purple-Domains enthält. 4. Stellen Sie sicher, dass die Pre-Authentication-Rolle DNS-Datenverkehr (UDP-Port 53) zum DNS-Server zulässt.

Q2. Während der Einführung von Purple Gäste-WiFi in einem großen Kongresszentrum meldet das IT-Team, dass sich die Geräte der Gäste erfolgreich verbinden, sie jedoch alle 15 Minuten aufgefordert werden, sich erneut anzumelden. Das gewünschte Verhalten ist, dass Gäste 24 Stunden lang angemeldet bleiben. Welche Konfigurationsparameter von Aruba und Purple sollten überprüft werden, um dies zu beheben?

Hinweis: Suchen Sie nach Parametern, die die Sitzungsdauer und die Intervalle für die erneute Authentifizierung steuern.

Musterlösung anzeigen

Dieses Problem wird durch eine Diskrepanz bei den Einstellungen für das Sitzungs-Timeout oder das Re-Authentifizierungsintervall verursacht. Zur Behebung: 1. Überprüfen Sie das 'Reauth Interval' auf der Registerkarte 'Aruba SSID Security'; es sollte auf 1440 Minuten (24 Stunden) statt auf 15 Minuten eingestellt sein. 2. Überprüfen Sie das Attribut 'Session Timeout', das vom Purple RADIUS-Server in der Access-Accept-Nachricht zurückgegeben wird. Wenn Purple mit einer kurzen Sitzungsdauer konfiguriert ist, erzwingt dies eine erneute Authentifizierung. 3. Stellen Sie sicher, dass die MAC-Authentifizierung auf der Aruba SSID aktiviert ist. Dies ermöglicht es dem AP, wiederkehrende Gäste automatisch über ihre MAC-Adresse mit der Datenbank von Purple abzugleichen, ohne sie während des 24-Stunden-Fensters erneut zur Splash-Page aufzufordern.

Q3. Eine Organisation des öffentlichen Sektors stellt mit Aruba Central auf AOS-10 Gäste-WiFi in mehreren Bibliotheken bereit. Die Sicherheitsrichtlinie schreibt vor, dass der gesamte Gästedatenverkehr über die Luft verschlüsselt werden muss, die Bibliotheksleiter wünschen sich jedoch ein nahtloses, reibungsloses Login-Erlebnis. Wie kann der Wireless-Architekt beide Anforderungen mit Aruba und Purple erfüllen?

Hinweis: Berücksichtigen Sie die Unterschiede zwischen Open, OWE (Enhanced Open) und WPA2/WPA3-Enterprise und wie diese mit Captive Portals interagieren.

Musterlösung anzeigen

Um sowohl eine Verschlüsselung über die Luft als auch ein nahtloses Captive Portal-Erlebnis zu erreichen, sollte der Architekt 'Enhanced Open' (Opportunistic Wireless Encryption - OWE) mit einem Übergangsmodus bereitstellen, falls Kompatibilität mit älteren Geräten erforderlich ist. Enhanced Open verschlüsselt die drahtlose Verbindung zwischen dem Client und dem AP, ohne dass ein vorab freigegebener Schlüssel erforderlich ist, und schützt Gäste vor passivem Abhören. 1. Konfigurieren Sie die Gäste-SSID in Aruba Central mit der Sicherheitsstufe 'Visitors' und dem Schlüsselmanagement 'Enhanced Open'. 2. Aktivieren Sie den 'OWE Transition Mode' und verknüpfen Sie ihn mit einer standardmäßigen Open-Gäste-SSID, um ältere Geräte zu unterstützen, die WPA3 OWE nicht unterstützen. 3. Konfigurieren Sie das External Captive Portal-Profil wie gewohnt so, dass es auf Purple verweist. Diese Kombination stellt sicher, dass moderne Geräte automatisch einen verschlüsselten drahtlosen Transport erhalten, während sie zur Datenerfassung und Einhaltung von Vorschriften dennoch zur Purple Splash-Page umgeleitet werden.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Leitfaden lesen →

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Leitfaden lesen →

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.

Leitfaden lesen →