Zum Hauptinhalt springen
Deutsch

Captive Portal for Ruckus

Diese technische Referenzanleitung bietet ein maßgebliches Integrations-Playbook für die Bereitstellung externer Captive Portals auf CommScope Ruckus SmartZone- und Unleashed-Architekturen. Sie führt Netzwerktechniker Schritt für Schritt durch die Konfiguration von Gäste-WLANs, WISPr-Weiterleitungen, RADIUS-AAA-Servereinstellungen und Walled-Garden-Ausnahmen, um eine sichere, hochverdichtete Gäste-WiFi-Lösung bereitzustellen.

📖 14 Min. Lesezeit📝 3,327 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen bei der Purple Technical Briefing Series. Ich bin Ihr Moderator, und heute behandeln wir ein Thema, das bei fast jeder Enterprise-WiFi-Bereitstellung eine Rolle spielt: die Einrichtung eines Captive Portals auf Ruckus SmartZone- und Ruckus Unleashed-Controllern. Egal, ob Sie als MSP Gast-WiFi in einer Hotelkette bereitstellen, als IT-Leiter im Gastgewerbe ein neues Objekt ausstatten oder als Wireless Engineer die Purple-Plattform in eine Ruckus-Infrastruktur integrieren – diese Episode ist für Sie. Legen wir los. --- Zuerst einmal: Warum ist die Ruckus Captive Portal-Integration so wichtig? Ruckus, heute Teil von CommScope, ist weltweit eine der dominierenden Enterprise-WiFi-Plattformen. Insbesondere SmartZone ist der Controller der Wahl für High-Density-Umgebungen – Stadien, Kongresszentren, große Hotels und Einzelhandelsketten. Wenn Sie Gast-WiFi in dieser Größenordnung bereitstellen, benötigen Sie mehr als nur eine offene SSID. Sie benötigen einen strukturierten Authentifizierungs-Flow, eine GDPR-konforme Datenerfassung und die Möglichkeit, diese Gästedaten in Ihren Marketing-Stack zu übertragen. Genau hier kommt eine externe Captive Portal-Plattform wie Purple ins Spiel. Die Architektur basiert hier auf einem WISPr-basierten Hotspot-Flow. WISPr steht für Wireless Internet Service Provider Roaming – ein Branchenstandard, der definiert, wie ein Wireless-Controller unauthentifizierten HTTP-Traffic abfängt und an ein externes Portal weiterleitet. Der Gast verbindet sich mit Ihrer SSID, sein Gerät sendet eine HTTP-Anfrage, der SmartZone-Controller fängt diese ab und leitet sie per HTTP 302-Redirect an Ihre externe Portal-URL weiter. Der Gast authentifiziert sich – sei es über Social Login, E-Mail, SMS oder ein benutzerdefiniertes Formular – und das Portal kommuniziert anschließend über das Northbound Interface (NBI) zurück an den Controller, um den Zugriff freizugeben. Sauber, standardbasiert und bei korrekter Konfiguration äußerst zuverlässig. --- Kommen wir nun zur technischen Konfiguration. Ich werde zuerst SmartZone durchgehen und dann auf die Unterschiede bei Unleashed eingehen. Bei SmartZone – und das gilt sowohl für physische SZ300- als auch für virtuelle vSZ-Bereitstellungen – besteht die Konfiguration aus vier Hauptkomponenten: dem RADIUS-Authentifizierungsserver-Profil, dem RADIUS-Accounting-Server-Profil, dem Hotspot-WISPr-Portal-Profil und dem WLAN selbst. Beginnen Sie mit Ihren RADIUS-Servern. Navigieren Sie zu „Services and Profiles“, dann „Authentication“. Erstellen Sie ein neues AAA-Serverprofil. Setzen Sie das Service-Protokoll auf RADIUS. Die IP-Adresse Ihres primären Servers und das Shared Secret werden von Ihrem Portal-Anbieter bereitgestellt – im Fall von Purple sind diese in der Admin-Konsole des Purple-Portals dokumentiert. Port 1812 für die Authentifizierung. Konfigurieren Sie aus Redundanzgründen immer einen Backup-RADIUS-Server – ebenfalls Port 1812 auf dem sekundären Server. Machen Sie dann dasselbe für das Accounting unter „Services and Profiles“, „Accounting“ – Port 1813, gleiches Shared Secret. Als Nächstes das Hotspot WISPr-Profil. Gehen Sie zu „Services and Profiles“, „Hotspots and Portals“ und wählen Sie den Reiter „Hotspot WISPr“. Erstellen Sie ein neues Profil. Setzen Sie die „Login URL“ auf „External“ und geben Sie Ihre Portal-Weiterleitungs-URL ein – das ist die URL, an die Ihre Gäste vor der Authentifizierung weitergeleitet werden. Stellen Sie die „Start Page“ so ein, dass sie auf eine URL nach der Authentifizierung weiterleitet, in der Regel eine Erfolgsseite oder die Homepage Ihres Standorts. Nun zum Walled Garden. Hier stolpern viele Techniker. Der Walled Garden definiert, welche Domains und IP-Adressen ein Gast erreichen kann, bevor er sich authentifiziert hat. Sie müssen Ihre Portal-Domain, alle CDN- oder Asset-Domains, von denen Ihr Portal geladen wird, sowie standardmäßige Endpunkte zur Erkennung von Captive Portals des Betriebssystems aufnehmen. In SmartZone werden Wildcards im Format „Sternchen-Punkt“ unterstützt – also beispielsweise *.purple.ai. Dieser eine Eintrag deckt alle Subdomains ab. Sie müssen auch die Domains zur Erkennung von Captive Portals von Apple – captive.apple.com – und die Endpunkte zur Konnektivitätsprüfung von Google hinzufügen, um Fehlverhalten des CNA-Mini-Browsers auf iOS- und Android-Geräten zu verhindern. Ein kritischer Schritt, der leicht übersehen wird: Standardmäßig verschlüsselt SmartZone die MAC-Adresse und die IP-Adresse, die in der Weiterleitungs-URL an das externe Portal übergeben werden. Ihr Portal-Anbieter muss jedoch die tatsächliche Client-MAC-Adresse sehen, um ein MAC-basiertes Sitzungsmanagement durchzuführen. Sie müssen dies über das CLI deaktivieren. Verbinden Sie sich per SSH mit Ihrer SmartZone, wechseln Sie in den Konfigurationsmodus und führen Sie folgenden Befehl aus: no encrypt-mac-ip. Das ist alles – ein einziger Befehl, der jedoch ein absoluter Showstopper ist, wenn Sie ihn auslassen. Die Northbound Interface ist der andere Teil. Dies ist die API, die es Ihrer Portal-Plattform ermöglicht, mit der SmartZone zu kommunizieren, um nach der Authentifizierung den Zugriff zu gewähren oder zu verweigern. Aktivieren Sie diese unter „Administration“, „External Services“, „WISPr Northbound Interface“. Legen Sie einen Benutzernamen und ein Passwort fest und stellen Sie diese Anmeldedaten Ihrem Portal-Anbieter zur Verfügung. Die NBI läuft auf TCP-Port 9080 für HTTP und 9443 für HTTPS – stellen Sie sicher, dass Ihre Firewall eingehende Verbindungen aus dem IP-Bereich Ihrer Portal-Plattform zu diesen Ports zulässt. Erstellen Sie schließlich Ihr WLAN. Stellen Sie den „Authentication Type“ auf „Hotspot WISPr“, wählen Sie Ihr Portal-Profil aus und weisen Sie Ihre RADIUS-Authentifizierungs- und Accounting-Dienste zu. Setzen Sie die „NAS ID“ auf „User-defined“, falls Ihr Portal-Anbieter einen bestimmten Wert verlangt, stellen Sie die „Called Station ID“ auf „AP MAC“ ein und aktivieren Sie „Single Session ID“. Diese letzte Einstellung stellt sicher, dass die Sitzung eines Gastes an einen einzigen Controller-Sitzungsdatensatz gebunden ist, was für ein genaues Accounting wichtig ist. --- Nun zu Unleashed. Die Architektur unterscheidet sich grundlegend – Unleashed ist ein verteiltes, Controller-loses Modell, bei dem ein AP als Master fungiert. Die Konfiguration befindet sich unter „Admin and Services“, „Services“, „Hotspot Services“. Die Schritte sind im Großen und Ganzen ähnlich – erstellen Sie einen Hotspot-Service, konfigurieren Sie Ihre externe Portal-URL, richten Sie Ihren AAA-Authentifizierungsserver ein, fügen Sie Ihre Walled Garden-Einträge hinzu –, aber es gibt wesentliche Unterschiede. Erstens gibt es in Unleashed keine Anforderung für ein Northbound Interface. Das Portal-Kommunikationsmodell ist einfacher. Zweitens ist die MAC-Adressen-Verschlüsselung in Unleashed standardmäßig nicht aktiviert, sodass Sie den CLI-Befehl nicht benötigen. Drittens akzeptiert der Walled Garden von Unleashed Einträge auf Domain-Ebene anstelle der vollständigen Wildcard-Syntax – Sie würden also purple.ai anstelle von star-dot-purple.ai eingeben. Überprüfen Sie die Dokumentation Ihres Herstellers auf das genaue erforderliche Format. Unleashed skaliert auf etwa 50 Access Points und eignet sich daher für mittelgroße Hotels, Filialen im Einzelhandel und SMB-Bereitstellungen. Für alles, was darüber hinausgeht – Hotelgruppen mit mehreren Standorten, Stadien, große Einzelhandelsflächen –, ist SmartZone die richtige Plattform. --- Lassen Sie mich die zwei häufigsten Fehlerszenarien beschreiben, die mir in der Praxis begegnen. Das erste ist eine Fehlkonfiguration des Walled Garden. Wenn Ihre Portal-Seite nach der Weiterleitung nicht geladen wird, sollten Sie als Erstes prüfen, ob alle Domains, auf die Ihre Portal-Seite verweist, im Walled Garden eingetragen sind. Moderne Portal-Seiten laden Assets von mehreren CDN-Domains, Analyse-Skripten und Social-Login-SDKs. Wenn einer dieser Dienste vor der Authentifizierung blockiert wird, wird die Seite entweder gar nicht oder fehlerhaft geladen. Nutzen Sie die Entwicklertools Ihres Browsers auf einem Testgerät, das mit der Gäste-SSID verbunden ist, um zu identifizieren, welche Anfragen blockiert werden. Das zweite ist ein NBI-Konnektivitätsproblem. Wenn Gäste das Portal sehen und sich authentifizieren können, aber keinen Internetzugang erhalten, liegt die Ursache wahrscheinlich darin, dass die SmartZone den NBI-Callback von Ihrer Portal-Plattform nicht empfangen kann. Stellen Sie sicher, dass die Ports 9080 und 9443 für eingehende Verbindungen auf die Management-IP der SmartZone aus dem IP-Bereich Ihres Portal-Anbieters freigegeben sind. Überprüfen Sie außerdem, ob die von Ihnen konfigurierten NBI-Anmeldedaten mit den Daten übereinstimmen, die bei Ihrem Portal-Anbieter hinterlegt sind. Ein drittes erwähnenswertes Thema ist der Apple CNA (Captive Network Assistant). Wenn sich ein Gerät unter iOS mit einem Netzwerk verbindet, sendet es eine Anfrage an captive.apple.com. Wenn diese Anfrage eine andere Antwort als 200 erhält, öffnet iOS den Mini-Browser. Wenn sich captive.apple.com in Ihrem Walled Garden befindet, ist die Anfrage erfolgreich, iOS geht von einer bestehenden Internetverbindung aus und der CNA wird nicht angezeigt. Das klingt zunächst gut, bedeutet aber, dass Ihre Gäste das Portal nicht automatisch sehen. Sie müssen entscheiden: Möchten Sie, dass der CNA erscheint, oder sollen Gäste manuell einen Browser öffnen? Die meisten Hospitality-Bereitstellungen halten captive.apple.com außerhalb des Walled Garden, um den CNA auszulösen. --- Schnellfragerunde. Drei Fragen, die mir ständig gestellt werden. Benötige ich ein VLAN für mein Gäste-WLAN? Ja. Isolieren Sie den Datenverkehr von Gästen immer in einem dedizierten VLAN. Dies ist sowohl eine Sicherheitsanforderung als auch eine Vorgabe zur Einhaltung von PCI DSS, falls Ihr Standort Kartenzahlungen über dasselbe Netzwerk abwickelt. Kann ich Purple mit Ruckus Cloud anstelle von SmartZone verwenden? Ja, aber der Konfigurationspfad ist anders – er befindet sich unter WiFi-Netzwerke, Einstellungen für den Gästezugang. Die Prinzipien für die Konfiguration von Walled Garden und RADIUS sind dieselben. Unterstützt Purple SmartZone Multi-Zone-Bereitstellungen? Ja. Die Integration von Purple unterstützt Multi-Zone-SmartZone-Umgebungen, und Sie können Portal-Konfigurationen auf einzelne Zonen für verschiedene Standorte oder Etagen eingrenzen. --- Zusammenfassend lässt sich sagen: Die Ruckus SmartZone Captive Portal-Integration mit Purple ist ein ausgereiftes, gut dokumentiertes Bereitstellungsmuster, das eine zuverlässige Gäste-Authentifizierung in großem Maßstab bietet. Die wichtigsten Konfigurationspunkte sind: RADIUS auf den Ports 1812 und 1813 mit einem Backup-Server, das Hotspot-WISPr-Profil mit einer externen Login-URL, ein korrekt eingegrenzter Walled Garden mit Wildcard-Einträgen, der CLI-Befehl „no encrypt-mac-ip“ und das aktivierte Northbound Interface mit den korrekten Anmeldedaten. Wenn Sie diese fünf Punkte richtig umsetzen, haben Sie ein solides Fundament. Für Unleashed-Bereitstellungen gelten dieselben Prinzipien mit einem einfacheren Konfigurationsmodell und ohne NBI-Anforderung. Wenn Sie Purple auf Ruckus bereitstellen und Ihre Konfiguration vor dem Go-Live validieren möchten, kann Sie das technische Onboarding-Team von Purple durch eine Pre-Launch-Checkliste führen. Die Purple-Plattform bietet zudem Echtzeit-Analysen zu Portal-Ladezeiten, Authentifizierungs-Erfolgsraten und Sitzungsdaten – so erhalten Sie die nötige Transparenz, um Probleme zu erkennen, bevor Ihre Gäste es tun. Vielen Dank fürs Zuhören. In der nächsten Folge behandeln wir die 802.1X-Authentifizierung mit Cloud RADIUS – eine weitere Integration, die sich hervorragend mit Ruckus SmartZone für den geschäftlichen Gästezugang kombinieren lässt. Bis dahin.

📚 Part of our core series: Multi-Tenant WiFi

header_image.png

Executive Summary

Die Bereitstellung eines leistungsstarken Gast-Wireless-Netzwerks in Unternehmensumgebungen erfordert ein ausgewogenes Verhältnis zwischen nahtloser Benutzererfahrung und robuster technischer Sicherheit. Für Unternehmen, die CommScope Ruckus-Architekturen nutzen – von hochfrequentierten Stadien und Kongresszentren bis hin zu weitläufigen Einzelhandelsflächen und Hotelgruppen –, dient das Captive Portal als primäres Gateway für das Onboarding von Benutzern, die Durchsetzung von Compliance-Richtlinien und die Erfassung von First-Party-Daten.

Dieser Leitfaden bietet ein maßgebliches, schrittweises Playbook für die Integration externer Captive Portals in Ruckus SmartZone- und Ruckus Unleashed-Controller. Durch die Nutzung von branchenüblichen WISPr-Protokollen (Wireless Internet Service Provider roaming) können Netzwerktechniker eine zuverlässige Weiterleitung, eine sichere RADIUS-Authentifizierung (Remote Authentication Dial-In User Service) und granulare Walled-Garden-Konfigurationen implementieren.

In Kombination mit der Purple Guest WiFi - und WiFi Analytics -Plattform ermöglicht diese Integration den Betreibern von Veranstaltungsorten, wichtige demografische Daten der Besucher zu erfassen, internationale Datenvorschriften (wie GDPR und PCI DSS) einzuhalten und leistungsstarke Marketing-Automatisierungen freizuschalten. Unabhängig davon, ob Sie zentrale Virtual SmartZone (vSZ)-Architekturen in Hospitality - und Transport -Hubs oder verteilte AP-basierte Unleashed-Netzwerke in Retail -Umgebungen bereitstellen, gewährleistet diese technische Referenz eine belastbare Bereitstellung mit hohem Durchsatz.

Technische Vertiefung

Um ein hochgradig skalierbares Gastnetzwerk bereitzustellen, müssen Techniker die zugrunde liegenden Kommunikationsstandards verstehen, die den Ablauf des Captive Portals steuern. Ruckus-Architekturen nutzen den WISPr 2.0-Standard, um die Client-Weiterleitung und -Authentifizierung auszuhandeln. WISPr definiert, wie ein Wireless Access Point (AP) oder Controller nicht authentifizierten HTTP/HTTPS-Verkehr abfängt und den Client-Browser auf einen externen Portal-Webserver umleitet.

Der WISPr-Authentifizierungsablauf

Der Weiterleitungsprozess für das externe Captive Portal folgt einer strengen Abfolge von Netzwerktransaktionen. Das Verständnis dieses Ablaufs ist für die Fehlerbehebung und die Konfiguration von Upstream-Firewall-Richtlinien von entscheidender Bedeutung:

  1. Assoziierung: Der Gast-Client verbindet sich mit der offenen, unverschlüsselten Guest SSID. Der AP weist dem Client über DHCP eine IP-Adresse zu.
  2. HTTP-Probe: Das Betriebssystem des Clients startet einen HTTP-Probe (z. B. den Captive Network Assistant-Probe von Apple an captive.apple.com oder die Konnektivitätsprüfung von Android an connectivitycheck.gstatic.com), um den Internetzugang zu überprüfen.
  3. HTTP 302 Redirect: Der Ruckus AP oder SmartZone-Controller fängt diese nicht authentifizierte HTTP-Anfrage ab. Er antwortet mit einem HTTP 302 Redirect und leitet den Browser des Clients an die externe Portal-URL (z. B. die Login-Seite von Purple) weiter. An diese Redirect-URL werden kritische Abfrageparameter angehängt, darunter die MAC-Adresse des Clients (client_mac), die IP-Adresse (client_ip), die AP-MAC-Adresse (ap_mac) und die Northbound Interface IP des Controllers (nbiIP).
  4. Portal-Rendering: Der Client-Browser lädt die externe Portal-Seite. Nicht authentifizierter Datenverkehr zur Portal-Domain und den zugehörigen Assets wird durch die Walled Garden-Richtlinie des Controllers zugelassen.
  5. Benutzerauthentifizierung: Der Benutzer schließt die Login-Anforderungen (z. B. Social Sign-On, SMS-Registrierung, Formularübermittlung) auf dem Portal ab.
  6. RADIUS Access-Request: Die externe Portal-Plattform, die als RADIUS-Client fungiert, sendet einen Access-Request an den konfigurierten RADIUS-Authentifizierungsserver (wie die Cloud RADIUS-Infrastruktur von Purple).
  7. RADIUS Access-Accept: Der RADIUS-Server validiert die Anmeldedaten und gibt ein Access-Accept-Paket mit Sitzungsparametern (z. B. Sitzungs-Timeout, Bandbreitenbegrenzungen) an den Ruckus-Controller zurück.
  8. NBI-Callback: Das externe Portal führt einen API-Aufruf an das Northbound Interface (NBI) des Ruckus-Controllers unter Verwendung von WISPr-Anmeldedaten durch und weist den Controller an, die MAC-Adresse des Clients zu autorisieren.
  9. Internetzugang: Der Controller versetzt den Client in den Status "Authentifiziert" und ermöglicht so den vollständigen Internetzugang gemäß den konfigurierten Sitzungsrichtlinien.

architecture_overview.png

Vergleich der Kernarchitekturen

Je nach Größe des Standorts setzen Unternehmen entweder CommScope Ruckus SmartZone (unternehmensweit, Controller-basiert) oder Ruckus Unleashed (verteilt, Controller-los) Architekturen ein. Obwohl beide WISPr-basierte externe Captive Portals unterstützen, unterscheiden sich ihre zugrunde liegenden Konfigurationspfade und Funktionen erheblich:

Technisches Feature Ruckus SmartZone (vSZ / SZ144 / SZ300) Ruckus Unleashed (Verteilter AP)
Controller-Architektur Zentralisierte physische oder virtuelle Appliance, die bis zu 10.000 APs verwaltet. Verteilte Master-Member-AP-Architektur, die bis zu 50 APs verwaltet.
Konfigurationspfad Services > Hotspots & Portals > Hotspot (WISPr) Admin & Services > Services > Hotspot Services
API-Callback-Methode Northbound Interface (NBI) über TCP-Ports 9080/9443. Direkte RADIUS-/Lokale Authentifizierung ohne externe API-Callbacks.
MAC-Adressen-Verschlüsselung Standardmäßig aktiviert; muss über die CLI deaktiviert werden (no encrypt-mac-ip). Standardmäßig deaktiviert; MAC-Adressen werden im Klartext übertragen.
Walled Garden Wildcards Unterstützt vollständige Wildcard-Formatierung (z. B. *.purple.ai). Unterstützt Einträge auf Domain-Ebene (z. B. purple.ai).
RADIUS-Proxy-Unterstützung Unterstützt über „Proxy (SZ Authenticator)“ oder direktes AAA. Unterstützt über direkte AAA-Server-Konfiguration.
Ziel-Deployments Stadien, große Hotels, Transport -Knotenpunkte, Healthcare -Campusse. Hotels im mittleren Marktsegment, Retail -Geschäfte, Schulen .

Implementierungsleitfaden

Dieser schrittweise Implementierungsleitfaden führt Netzwerktechniker durch die Konfiguration eines externen Captive Portal auf Ruckus SmartZone- und Ruckus Unleashed-Controllern.

Teil A: Ruckus SmartZone-Konfiguration

Schritt 1: RADIUS-AAA-Server konfigurieren

Um Gastbenutzer mit einer externen Datenbank zu authentifizieren, müssen Sie zuerst die RADIUS-Authentifizierungs- und Accounting-Server definieren.

  1. Navigieren Sie zu Services & Profiles > Authentication und wählen Sie die Registerkarte Proxy (SZ Authenticator).
  2. Wählen Sie Ihre Ziel-Zone aus und klicken Sie auf Create.
  3. Konfigurieren Sie die folgenden Parameter:
    • Name: Purple_RADIUS_Auth
    • Service Protocol: RADIUS
    • Primary Server IP: Geben Sie die in Ihrer Purple-Admin-Konsole bereitgestellte IP-Adresse ein.
    • Port: 1812
    • Shared Secret: Geben Sie Ihr Purple RADIUS Shared Secret ein.
    • Backup RADIUS: Enabled (Konfigurieren Sie die sekundäre IP, Port 1812 und dasselbe Shared Secret für hohe Verfügbarkeit).
  4. Klicken Sie auf OK, um zu speichern.
  5. Navigieren Sie zu Services & Profiles > Accounting und klicken Sie unter der Registerkarte Proxy (SZ Authenticator) auf Create.
  6. Konfigurieren Sie die folgenden Parameter:
    • Name: Purple_RADIUS_Acct
    • Service Protocol: RADIUS Accounting
    • Primary Server IP: Geben Sie die in Ihrer Purple-Admin-Konsole bereitgestellte IP-Adresse ein.
    • Port: 1813
    • Shared Secret: Geben Sie Ihr Purple RADIUS Shared Secret ein.
    • Backup RADIUS: Enabled (Konfigurieren Sie die sekundäre IP, Port 1813 und dasselbe Shared Secret).
  7. Klicken Sie auf OK, um zu speichern.

Schritt 2: Hotspot WISPr-Portal-Profil konfigurieren

Das Hotspot WISPr-Profil definiert das Weiterleitungsverhalten und die Walled Garden-Regeln.

  1. Navigieren Sie zu Services & Profiles > Hotspots & Portals > Hotspot (WISPr).
  2. Wählen Sie Ihre Ziel-Zone aus und klicken Sie auf Create.
  3. Konfigurieren Sie im Bereich General Options Folgendes:
    • Portal Name: Purple_WISPr_Portal
    • WISPr Smart Client Support: None
    • Login URL: Wählen Sie External und geben Sie die von Purple bereitgestellte primäre Weiterleitungs-URL ein (z. B. https://login.purple.ai/start).
    • Redirect MAC Format: AA:BB:CC:DD:EE:FF (Dieses Format ist für das Datenbank-Parsing von Purple entscheidend).
  4. Konfigurieren Sie im Bereich Start Page Folgendes:
    • Wählen Sie Redirect to the following URL und geben Sie ein: https://login.purple.ai/success.php
  5. Konfigurieren Sie im Bereich Session Options Folgendes:
    • Session Timeout: 1440 Minuten (24 Stunden, oder entsprechend Ihrer Unternehmensrichtlinie).
    • Grace Period: 60 Minuten (ermöglicht es Benutzern, sich innerhalb von 1 Stunde ohne erneute Authentifizierung wieder zu verbinden).
  6. Klicken Sie auf OK, um das Profil zu speichern.

Schritt 3: Walled Garden Ausnahmen definieren

Der Walled Garden ermöglicht es nicht authentifizierten Clients, DNS aufzulösen und Assets von bestimmten Domains herunterzuladen, die zum Laden der Splash Page und zur Authentifizierung erforderlich sind.

  1. Bearbeiten Sie Ihr neu erstelltes Purple_WISPr_Portal-Profil.
  2. Scrollen Sie nach unten und klicken Sie auf das +-Zeichen, um den Bereich Walled Garden zu erweitern.
  3. Fügen Sie die folgenden obligatorischen Domains hinzu. Beachten Sie, dass Ruckus SmartZone das Wildcard-Format *.domain.com erfordert:
    • *.purple.ai (Kern-Portal und Weiterleitungs-Domain)
    • *.cloudfront.net (CDN zum Laden von Stylesheet- und JavaScript-Assets)
    • *.apple.com und captive.apple.com (Zur Steuerung des Verhaltens des Apple Captive Network Assistant)
    • *.googleapis.com und *.gstatic.com (Für Google API und Asset-Bereitstellung)
  4. Fügen Sie alle Social-Media-Domains hinzu, wenn Sie Social Login aktivieren (z. B. *.facebook.com, *.facebook.net für den Facebook-Login).
  5. Klicken Sie auf OK, um zu speichern.

Schritt 4: Konfigurieren des Guest Wireless LAN (WLAN)

Binden Sie nun die RADIUS-Server und das Hotspot-Profil an eine neue SSID.

  1. Navigieren Sie zu Wireless LANs und wählen Sie Ihre Ziel-Zone aus.
  2. Klicken Sie auf Create, um ein neues WLAN zu erstellen.
  3. Konfigurieren Sie die General Options:
    • Name: Guest_WiFi
    • SSID: !Free_Venue_WiFi
  4. Konfigurieren Sie die Security Options:
    • Authentication Type: Hotspot (WISPr)
    • Method: Open
    • Encryption Options: None
  5. Erweitern Sie den Bereich Hotspot Portal:
    • Hotspot (WISPr) Portal: Wählen Sie Purple_WISPr_Portal.
    • Authentication Service: Wählen Sie Purple_RADIUS_Auth.
    • Accounting Service: Wählen Sie Purple_RADIUS_Acct.
    • Send Interim Update: Stellen Sie 5 Minuten ein (unerlässlich für die Echtzeit-Sitzungsverfolgung).
  6. Erweitern Sie die RADIUS Options:
    • NAS ID: Stellen Sie auf User-defined ein und geben Sie Ihre von Purple zugewiesene Venue-ID ein.
    • Called Station ID: Wählen Sie AP MAC.
    • Single Session ID: ON (Verhindert Sitzungsduplizierung über APs hinweg).
  7. Klicken Sie auf OK, um das WLAN bereitzustellen.

Schritt 5: WISPr Northbound Interface (NBI) aktivieren

Das NBI ermöglicht es Purple, mit der SmartZone zu kommunizieren, um Clients zu autorisieren.

  1. Navigieren Sie zu Administration > External Services > WISPr Northbound Interface.
  2. Aktivieren Sie das Kontrollkästchen Enable Northbound Interface support.
  3. Definieren Sie einen Username und ein Password (z. B. purple_nbi / SecureNbiPassword123!).
  4. Geben Sie diese Anmeldedaten in der Purple Admin-Konsole unter Integrations > Ruckus SmartZone ein.

Schritt 6: MAC/IP-Verschlüsselung deaktivieren (KRITISCHER CLI-SCHRITT)

Standardmäßig verschlüsselt SmartZone MAC-Adressen in der Redirect-URL. Sie müssen dies deaktivieren, damit Purple die Client-MACs lesen kann.

  1. Öffnen Sie eine SSH-Sitzung zur Management-IP Ihres SmartZone-Controllers.
  2. Melden Sie sich mit Ihren Administrator-Anmeldedaten an.
  3. Führen Sie die folgenden Befehle aus:
    ruckus> enable
ruckus# config
ruckus(config)# no encrypt-mac-ip
ruckus(config)# end
ruckus# write memory

Teil B: Ruckus Unleashed Konfiguration

Für kleinere Standorte, die eine controllerlose Unleashed-Architektur nutzen, konfigurieren Sie das Captive Portal über die Weboberfläche des Master-AP.

Schritt 1: AAA-Server definieren

  1. Navigieren Sie zu Admin & Services > Services > AAA Servers.
  2. Klicken Sie auf Create New, um den RADIUS-Authentifizierungsserver hinzuzufügen:
    • Name: Purple_Auth
    • Type: RADIUS
    • IP Address: Geben Sie die RADIUS-IP von Purple ein.
    • Port: 1812
    • Shared Secret: Geben Sie Ihr Purple RADIUS Shared Secret ein.
  3. Klicken Sie auf OK.
  4. Klicken Sie auf Create New, um den RADIUS-Accounting-Server hinzuzufügen:
    • Name: Purple_Acct
    • Type: RADIUS Accounting
    • IP Address: Geben Sie die RADIUS-IP von Purple ein.
    • Port: 1813
    • Shared Secret: Geben Sie Ihr Purple RADIUS Shared Secret ein.
  5. Klicken Sie auf OK.

Schritt 2: Hotspot-Dienst konfigurieren

  1. Navigieren Sie zu Admin & Services > Services > Hotspot Services.
  2. Klicken Sie auf Create New.
  3. Unter der Registerkarte General:
    • Name: Purple_Hotspot
    • Login URL: Geben Sie Ihre Purple-Weiterleitungs-URL ein.
    • Start Page: Wählen Sie Redirect to the following URL und geben Sie https://login.purple.ai/success.php ein.
  4. Unter der Registerkarte Authentication:
    • Authentication Server: Wählen Sie Purple_Auth.
    • Accounting Server: Wählen Sie Purple_Acct.
    • Interim Update: Stellen Sie 5 Minuten ein.
  5. Unter der Registerkarte Walled Garden:
    • Fügen Sie Einträge auf Domain-Ebene hinzu (z. B. purple.ai, cloudfront.net, gstatic.com). Beachten Sie, dass Unleashed kein Asterisk-Wildcard-Präfix erfordert; der Standard-Abgleich auf Domain-Ebene wird automatisch angewendet.
  6. Klicken Sie auf OK zum Speichern.

Schritt 3: Hotspot-Dienst dem WLAN zuweisen

  1. Navigieren Sie zu Wi-Fi Networks und klicken Sie auf Create.
  2. Setzen Sie Name und SSID auf den Namen Ihres Gastnetzwerks.
  3. Setzen Sie Usage Type auf Hotspot Service.
  4. Wählen Sie Purple_Hotspot aus der Liste der Dienste aus.
  5. Klicken Sie auf OK, um die SSID auf allen Unleashed-APs bereitzustellen.

comparison_chart.png

Best Practices

Um maximale Leistung, Sicherheit und die Einhaltung gesetzlicher Vorschriften zu gewährleisten, sollten Netzwerkarchitekten die folgenden branchenüblichen Best Practices implementieren:

1. Granulare Gast-VLAN-Segmentierung

Leiten Sie Gast-Traffic niemals an das native oder das Management-VLAN weiter. Isolieren Sie Gast-Clients immer in einem dedizierten, nicht routingfähigen VLAN (z. B. VLAN 100). Implementieren Sie strenge Zugriffskontrolllisten (ACLs) auf dem vorgeschalteten Switch oder der Firewall, um zu verhindern, dass Gast-Traffic Unternehmens-Subnetze, Point-of-Sale-Systeme (POS) und die IoT-Infrastruktur erreicht. Diese Segmentierung ist eine Kernanforderung für die PCI DSS-Konformität.

2. RF-Optimierung für hohe Dichte

In Umgebungen mit hoher Dichte wie Stadien, Konferenzzentren und großen Einkaufszentren ist das RF-Tuning von entscheidender Bedeutung. Deaktivieren Sie niedrigere Legacy-Datenraten (z. B. Deaktivierung von 802.11b-Raten unter 12 Mbps), um Clients auf schnellere Raten zu zwingen und so die Airtime-Konkurrenz zu verringern. Aktivieren Sie Band Steering, um Dual-Band-Client-Geräte auf das 5-GHz- und 6-GHz-Spektrum zu leiten und das stark überlastete 2,4-GHz-Band für ältere Geräte freizuhalten.

3. Dynamisches Walled Garden Management

Halten Sie Ihren Walled Garden so schlank wie möglich. Zu freizügige Walled Gardens (wie das Hinzufügen großer IP-Subnetze wie 172.217.0.0/16) können es nicht authentifizierten Benutzern ermöglichen, das Captive Portal zu umgehen und auf externe Dienste (wie Google-Suche oder YouTube) zuzugreifen, ohne sich anzumelden. Überprüfen Sie Ihre Walled Garden-Domains regelmäßig, insbesondere nach der Aktivierung neuer Social-Login-Anbieter.

4. Sicheres Session-Management

Legen Sie angemessene Sitzungs-Timeouts (z. B. 1440 Minuten / 24 Stunden) und Kulanzzeiten (Grace Periods, z. B. 60 Minuten) fest. Eine gut konfigurierte Kulanzzeit verhindert "Portal-Müdigkeit", indem sie Benutzern, die vorübergehend die WiFi-Abdeckung verlieren (z. B. beim Verlassen einer Hotellobby), eine nahtlose Wiederverbindung ermöglicht, ohne dass sie sich erneut authentifizieren müssen.

5. Einhaltung gesetzlicher Vorschriften und Sicherheit

Die Bereitstellung von öffentlichem Gäste-WiFi setzt Veranstaltungsorte rechtlichen Risiken aus. Stellen Sie sicher, dass Ihre Captive Portal-Integration den lokalen Vorschriften entspricht:

  • GDPR / CCPA: Stellen Sie sicher, dass die Splash-Page klare Nutzungsbedingungen und Datenschutzrichtlinien anzeigt, die eine aktive Einwilligung (Opt-In) für Marketingkommunikation erfordern.
  • WPA3-Transition-Modus: Obwohl Gästenetzwerke in der Regel offen sind, sollten Sie die Aktivierung des WPA3-Transition-Modus mit Opportunistic Wireless Encryption (OWE) in Betracht ziehen, um den drahtlosen Datenverkehr zwischen dem Client und dem AP zu verschlüsseln, ohne dass ein Pre-Shared Key erforderlich ist. Dies schützt Gäste vor passivem Abhören.
  • Web-Content-Filterung: Upstream-DNS-Server (wie Cisco Umbrella oder Cloudflare Families) sollten so konfiguriert werden, dass sie schädliche Domains, jugendgefährdende Inhalte und illegalen Filesharing-Verkehr im Gäste-VLAN blockieren.

Fehlerbehebung & Risikominderung

Bei der Bereitstellung externer Captive Portals auf Ruckus-Hardware stoßen Techniker häufig auf eine vorhersehbare Reihe von Konfigurations- und Netzwerkpfadproblemen. Nutzen Sie dieses strukturierte Framework zur Fehlerbehebung, um Engpässe bei der Bereitstellung zu lösen.

Häufige Fehlermuster und Lösungswege

Problem 1: Gäste-Geräte werden nicht auf die Captive Portal-Seite weitergeleitet.

  • Fehlerursache A: DNS-Auflösungsfehler. Nicht authentifizierte Clients müssen in der Lage sein, DNS-Anfragen vor der Weiterleitung aufzulösen. Wenn der Client login.purple.ai nicht auflösen kann, schlägt die Weiterleitung fehl.
    • Lösung: Überprüfen Sie, ob der dem Gäste-VLAN zugewiesene DHCP-Bereich gültige, öffentliche DNS-Server (z. B. 1.1.1.1 oder 8.8.8.8) bereitstellt. Stellen Sie sicher, dass die Upstream-Firewall den Datenverkehr über UDP-Port 53 vom Gäste-Subnetz zum Internet vor der Authentifizierung zulässt.
  • Fehlerursache B: Firewall blockiert Port 9080/9443. SmartZone erfordert die Freigabe bestimmter Ports, um die Splash-Page zu laden.
    • Lösung: Stellen Sie sicher, dass der TCP-Port 9080 (HTTP) oder 9443 (HTTPS) in allen lokalen Firewalls freigegeben ist.
  • Fehlerursache C: Fehlkonfiguration des Walled Garden. Die Weiterleitungs-URL selbst ist möglicherweise blockiert.
    • Lösung: Stellen Sie sicher, dass *.purple.ai explizit im Hotspot WISPr Walled Garden definiert ist.

Problem 2: Gäste können die Anmeldeseite sehen und ausfüllen, haben aber nach dem Klicken auf „Verbinden“ keinen Internetzugang.

  • Fehlerursache A: NBI-Kommunikationsfehler. Das externe Portal kann den Autorisierungs-API-Aufruf nicht an den SmartZone-Controller zurücksenden.
    • Lösung: Überprüfen Sie, ob das Northbound Interface (NBI) der SmartZone aktiviert ist und ob die in der Purple Admin-Konsole eingegebenen Anmeldedaten mit der Controller-Konfiguration übereinstimmen. Stellen Sie sicher, dass Ihre Edge-Firewall eingehenden Datenverkehr auf TCP-Port 9080 (oder 9443) aus dem öffentlichen IP-Bereich von Purple an die SmartZone-Management-IP zulässt.
  • Fehlerursache B: RADIUS-Authentifizierungsfehler. Der Controller lehnt das RADIUS Access-Accept ab oder hat es nicht empfangen.
    • Lösung: Navigieren Sie auf der SmartZone zu Services & Profiles > Authentication, wählen Sie Ihren RADIUS-Server aus und klicken Sie auf Test AAA. Geben Sie Test-Anmeldedaten ein, um die Verbindung zu überprüfen. Wenn der Test fehlschlägt, überprüfen Sie die RADIUS-IP, Port 1812 und das Shared Secret. Stellen Sie sicher, dass die UDP-Ports 1812 und 1813 auf Ihrer Edge-Firewall für ausgehenden Datenverkehr freigegeben sind.

Problem 3: Apple iOS-Geräte zeigen den Captive Network Assistant (CNA) Mini-Browser nicht automatisch an.

  • Fehlerursache: Apple CNA Bypass aktiviert oder Walled Garden zu tolerant. Wenn die Test-Domain von Apple im Walled Garden freigegeben ist, geht iOS davon aus, dass ein direkter Internetzugang besteht, und unterdrückt den CNA.
    • Lösung: Stellen Sie sicher, dass captive.apple.com in Ihrem Walled Garden NICHT vollständig umgangen wird, wenn Sie die Anzeige des CNA erzwingen möchten. Wenn Ihre Richtlinie hingegen darin besteht, den CNA zu umgehen und Benutzer dazu zu bringen, einen Standardbrowser zu öffnen, stellen Sie sicher, dass Bypass CNA in der WLAN-Konfiguration auf ON (Aktiviert) gesetzt ist.

Anforderungen an Netzwerkports und Protokolle

Um eine nahtlose Kommunikation zwischen dem Ruckus-Controller, den Client-Geräten und dem äußeren Portal zu gewährleisten, stellen Sie sicher, dass die folgenden Ports auf Ihren Netzwerk-Firewalls freigegeben sind:

Quelle Ziel Protokoll Port Zweck
Gast-Subnetz Öffentliches DNS UDP 53 DNS-Auflösung vor der Authentifizierung.
Gast-Subnetz SmartZone-Controller TCP 9080 / 9443 Captive Portal-Weiterleitung und WISPr-Web-Authentifizierung.
SmartZone-Controller Purple RADIUS-Server UDP 1812 RADIUS-Authentifizierungsdatenverkehr.
SmartZone-Controller Purple RADIUS-Server UDP 1813 RADIUS-Accounting / Sitzungsverfolgung.
Purple Portal Cloud SmartZone-Controller TCP 9080 / 9443 Eingehende Northbound Interface (NBI) API-Callbacks.

ROI & geschäftlicher Nutzen

Während Netzwerktechniker sich auf Paketflüsse und Portkonfigurationen konzentrieren, müssen IT-Leiter und CTOs die Investition in Enterprise-Gast-WiFi rechtfertigen. Die Integration von Ruckus High-Density-Hardware mit der Purple-Plattform für WiFi-Analytics verwandelt ein kostenintensives Netzwerk in ein wertvolles Unternehmens-Asset, das einen messbaren Return on Investment (ROI) liefert.

1. First-Party-Datenerfassung in großem Stil

In Branchen wie dem Einzelhandel und dem Gastgewerbe ist das Verständnis der Kundendemografie ein Haupttreiber für das Geschäftswachstum. Eine standardmäßige offene SSID erfasst keinerlei Besucherdaten. Durch die Implementierung des Captive Portals von Purple erreichen Veranstaltungsorte durchschnittliche Login-Abschlussraten von 25 % bis 40 %. Dies ermöglicht es Betreibern, verifizierte E-Mail-Adressen, Telefonnummern und Social-Media-Profile rechtskonform zu erfassen.

2. Hyperlokales Marketing und Kundenbindung

Durch die Verknüpfung der präzisen Ortungsdienste von Ruckus mit der Marketing-Engine von Purple können Veranstaltungsorte automatisierte Echtzeit-Kampagnen basierend auf der physischen Präsenz auslösen. Beispielsweise kann eine Einzelhandelsmarke einen gezielten SMS-Coupon an einen Gast senden, der sich seit mehr als 15 Minuten in einer bestimmten Abteilung aufhält, oder ein Hotel kann eine Willkommens-E-Mail mit einem Link zur Buchung von Wellness-Services senden, unmittelbar nachdem sich der Gast mit dem Lobby-WiFi verbunden hat.

3. Operative Effizienz und Erkenntnisse über den Veranstaltungsort

Die Integration von Captive Portals mit Standortanalysen liefert wertvolle operative Erkenntnisse. Betreiber von Veranstaltungsorten können Folgendes überwachen:

  • Besucherzahlen und Verweildauer: Messen Sie die genaue Anzahl der Besucher, wie lange sie bleiben und wie sie sich durch den physischen Raum bewegen.
  • Kundenbindung und Rückkehrraten: Identifizieren Sie neue im Vergleich zu wiederkehrenden Besuchern, um die Wirkung von Marketingkampagnen und operativen Änderungen zu bewerten.
  • Personaloptimierung: Passen Sie den Personaleinsatz an Echtzeit-Besucherdichtekarten an, um die Betriebskosten in Nebenzeiten zu senken und den Kundenservice in Spitzenzeiten zu verbessern.

Business Impact Matrix

Die folgende Tabelle zeigt typische Geschäftsergebnisse in wichtigen Branchen nach der Bereitstellung eines integrierten Gast-WiFi-Netzwerks von Ruckus und Purple:

Branche Primäre geschäftliche Herausforderung Ruckus + Purple Lösung Messbarer geschäftlicher Nutzen
Gastgewerbe (Hotels, Resorts) Hohe Hürden bei der Gäste-Anmeldung; niedrige Direktbuchungsraten; geringes Bewertungsvolumen. Nahtlose WISPr-Anmeldung; automatisierte E-Mail-Trigger nach dem Aufenthalt, verknüpft mit TripAdvisor. 20 % Steigerung bei Direktbuchungen; 35 % Steigerung des Volumens positiver Online-Bewertungen.
Einzelhandel (Einkaufszentren, Flagship-Stores) Unfähigkeit, physische Besucherwege zu verfolgen; geringe Anmelderaten für Treueprogramme. Erfassung demografischer Daten über die Splash-Page; Verfolgung physischer Laufwege und Verweildauern. 15 % Wachstum der Loyalty-Datenbank; 10 % Steigerung des durchschnittlichen Warenkorbwerts durch gezielte SMS.
Transport (Flughäfen, Bahnhöfe) Hohe Auslastung; komplexes, mehrsprachiges Onboarding von Passagieren. Leistungsstarke Ruckus APs für hohe Dichte; mehrsprachiges Captive Portal mit Flugverfolgung. 40 % Reduzierung von Support-Tickets im Zusammenhang mit Verbindungen; 25 % Steigerung der Ausgaben im Einzelhandel.
Gesundheitswesen (Krankenhäuser, Kliniken) Strikte Einhaltung von Sicherheitsvorschriften; hoher administrativer Aufwand für Gastzugänge. Isoliertes Gast-VLAN; sicheres Selbstregistrierungsportal; Integration mit NAC-Lösungen . 100 % Konformität mit HIPAA und PCI DSS; 30 % Reduzierung des IT-Helpdesk-Ticketvolumens.

Durch die Abstimmung technischer Spitzenleistungen im Bereich Wireless Engineering mit strategischen Geschäftszielen liefert die Integration von Ruckus und Purple eine sichere, konforme und hochprofitable Netzwerkinfrastruktur für Unternehmen.

Referenzen

Schlüsseldefinitionen

WISPr (Wireless Internet Service Provider roaming)

Ein von der Wi-Fi Alliance entwickelter Protokollentwurf, der es Smart-Clients und Webbrowsern ermöglicht, sich automatisch an einem drahtlosen Hotspot mithilfe von standardisierten XML- oder HTTP-302-Weiterleitungen zu authentifizieren.

Wird als zentrales Weiterleitungsprotokoll in Ruckus-Controllern verwendet, um nicht authentifizierte Gastgeräte an externe Captive Portal-Plattformen weiterzuleiten.

Northbound Interface (NBI)

Eine vom Ruckus SmartZone-Controller bereitgestellte API, die es externen Webportalen ermöglicht, Autorisierungs-Callbacks zu senden, um den Controller anzuweisen, einer bestimmten Client-MAC-Adresse Internetzugang zu gewähren.

Muss auf TCP-Port 9080 (HTTP) oder 9443 (HTTPS) aktiviert werden, damit Purple Gastsitzungen nach erfolgreichem Login autorisieren kann.

Walled Garden

Eine Liste von IP-Adressen, Subnetzen oder Domainnamen, auf die nicht authentifizierte Gast-Clients vor der Authentifizierung zugreifen dürfen.

Muss mit der Domain des Portals, CDNs und den Endpunkten zur Erkennung von Captive Portals der Betriebssysteme konfiguriert werden, um sicherzustellen, dass die Splash-Page korrekt geladen wird.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das auf den UDP-Ports 1812 (Authentifizierung) und 1813 (Accounting) arbeitet und eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) für Benutzer bereitstellt.

Ruckus-Controller leiten Client-Sitzungsdaten an die RADIUS-Server von Purple weiter, um Anmeldedaten zu validieren und Sitzungsdauern zu verfolgen.

CNA (Captive Network Assistant)

Ein schlanker, eingeschränkter Browser, der in Betriebssysteme (wie Apple iOS/macOS und Android) integriert ist und automatisch startet, wenn ein offenes Netzwerk mit einem aktiven Captive Portal erkannt wird.

Kann in den WLAN-Einstellungen umgangen werden, wenn Techniker erzwingen möchten, dass Gäste manuell einen vollständigen Browser öffnen, um die Authentifizierung abzuschließen.

Interim Accounting Update

Eine periodische RADIUS-Nachricht, die vom Wireless-Controller an den RADIUS-Server gesendet wird, um den aktiven Sitzungsstatus, den Bandbreitenverbrauch und die Verbindungszeit zu aktualisieren.

Muss in der Ruckus-WLAN-Konfiguration auf 5 Minuten eingestellt werden, um sicherzustellen, dass das Dashboard von Purple genaue Echtzeit-Analysen anzeigt.

Client Isolation

Eine auf dem Wireless-Controller konfigurierte Sicherheitsfunktion, die verhindert, dass drahtlose Clients, die mit demselben AP oder SSID verbunden sind, direkt miteinander kommunizieren.

Unerlässlich für Gast-WiFi-Netzwerke, um Benutzer vor lokalem ARP-Spoofing, Man-in-the-Middle-Angriffen und unbefugtem Scannen von Geräten zu schützen.

WPA3-Transition Mode

Eine Sicherheitskonfiguration, die es älteren WPA2-kompatiblen Geräten und neueren WPA3-kompatiblen Geräten ermöglicht, sich gleichzeitig mit derselben SSID zu verbinden.

Kann in Gastnetzwerken mit Opportunistic Wireless Encryption (OWE) bereitgestellt werden, um eine Verschlüsselung über die Luft für offene SSIDs bereitzustellen, ohne dass ein Passwort erforderlich ist.

Ausgearbeitete Beispiele

Ein hochfrequentiertes Konferenzzentrum, das Ruckus SmartZone (vSZ) einsetzt, muss ein Gäste-WiFi-Netzwerk über das Captive Portal von Purple implementieren. Das Netzwerk muss bis zu 5.000 gleichzeitige Sitzungen verarbeiten, den Datenverkehr der Gäste von Unternehmens-Subnetzen isolieren und die Authentifizierung über Social Login unterstützen.

  1. Konfigurieren Sie ein dediziertes Gäste-VLAN 200 auf den Core-Switches und weisen Sie es der Ruckus AP Zone zu. Definieren Sie einen DHCP-Bereich mit öffentlichen DNS-Servern (z. B. 1.1.1.1, 8.8.8.8) und einer kurzen Lease-Zeit (2 Stunden), um eine hohe Fluktuation zu bewältigen.
  2. Navigieren Sie in SmartZone zu Services & Profiles > Authentication > Proxy (SZ Authenticator) und erstellen Sie primäre/Backup-RADIUS-Server, die auf die Cloud-RADIUS-IPs von Purple auf Port 1812 mit dem bereitgestellten Shared Secret verweisen.
  3. Erstellen Sie RADIUS-Accounting-Server, die auf die Accounting-IPs von Purple auf Port 1813 verweisen. Stellen Sie das Intervall für Zwischen-Updates (Interim Update) auf 5 Minuten ein, um aktive Sitzungen präzise zu verfolgen.
  4. Erstellen Sie ein Hotspot WISPr Portal Profile. Setzen Sie die Login-URL auf "External" mit der Purple-Weiterleitungs-URL. Fügen Sie Walled-Garden-Wildcard-Ausnahmen für ".purple.ai", ".cloudfront.net" und Social-Media-Domains (z. B. "*.facebook.com") hinzu.
  5. Erstellen Sie das Gäste-WLAN. Setzen Sie den Authentifizierungstyp auf Hotspot (WISPr), wählen Sie das neu erstellte Hotspot-Profil aus und binden Sie die RADIUS-Authentifizierungs- und Accounting-Dienste. Setzen Sie die Called Station ID auf "AP MAC" und aktivieren Sie "Single Session ID".
  6. Greifen Sie über SSH auf das SmartZone-CLI zu und führen Sie "no encrypt-mac-ip" aus, um unverschlüsselte MAC-Adressen an das Portal zu übergeben. Aktivieren Sie das WISPr Northbound Interface (NBI) auf dem Controller und geben Sie die Anmeldedaten in der Admin-Konsole des Purple-Portals ein, um NBI-Autorisierungs-Callbacks zu aktivieren.
Kommentar des Prüfers: Diese Architektur ist äußerst resilient und konform. Die Verwendung eines dedizierten VLAN 200 erfüllt die Anforderungen zur Segmentierung nach PCI DSS. Die kurze DHCP-Lease-Zeit von 2 Stunden verhindert eine Erschöpfung der IP-Adressen in Szenarien mit hoher Dichte. Die Aktivierung des RADIUS-Accountings mit einem 5-minütigen Zwischen-Update stellt sicher, dass der Veranstaltungsort über eine Echtzeit-Sitzungsverfolgung verfügt, wodurch Purple die Bandbreitennutzung genau überwachen kann. Das Deaktivieren der MAC-Adressverschlüsselung über die CLI ist ein kritischer Schritt; andernfalls würde das Portal gehashte MACs empfangen und Sitzungen nicht korrelieren können. Die NBI-Callback-Konfiguration ist die einzige sichere Methode, um Clients auf der Ruckus SmartZone zu autorisieren, ohne lokale Authentifizierungsschleifen zu erzeugen.

Ein mittelgroßes Boutique-Hotel mit 45 Zimmern möchte ein Gäste-WiFi mit einer externen Splash-Page unter Verwendung von Ruckus Unleashed APs bereitstellen. Benötigt wird ein schlankes, controllerloses Setup, das weder eine CLI-Verwaltung noch einen öffentlich zugänglichen NBI-API-Port erfordert.

  1. Melden Sie sich an der Web-Benutzeroberfläche des Master Unleashed AP an. Gehen Sie zu Admin & Services > Services > AAA Servers und erstellen Sie RADIUS-Authentifizierungs- (Port 1812) und Accounting- (Port 1813) Server-Einträge, die auf die Cloud-RADIUS-Infrastruktur von Purple verweisen.
  2. Navigieren Sie zu Admin & Services > Services > Hotspot Services und klicken Sie auf Create New. Benennen Sie den Dienst "Purple_Hotel_Hotspot".
  3. Setzen Sie unter der Registerkarte General die Login-URL auf die Weiterleitungs-URL des Purple-Portals. Stellen Sie die Start Page so ein, dass sie auf " https://login.purple.ai/success.php " weiterleitet.
  4. Wählen Sie unter der Registerkarte Authentication die neu erstellten RADIUS-Server aus. Stellen Sie das Intervall für das Zwischen-Accounting-Update auf 5 Minuten ein.
  5. Fügen Sie unter der Registerkarte Walled Garden die erforderlichen Domains als Einträge auf Domain-Ebene hinzu (z. B. "purple.ai", "cloudfront.net", "gstatic.com"). Beachten Sie, dass Unleashed das Asterisk-Wildcard-Präfix (*.domain.com) weder benötigt noch unterstützt.
  6. Gehen Sie zu Wi-Fi Networks, klicken Sie auf Create und legen Sie den SSID-Namen fest (z. B. "Hotel_Guest_WiFi"). Setzen Sie den Usage Type auf "Hotspot Service" und wählen Sie "Purple_Hotel_Hotspot" aus der Dropdown-Liste. Speichern Sie die Konfiguration, um die SSID automatisch über alle 45 Unleashed APs hinweg zu synchronisieren.
Kommentar des Prüfers: Für KMU- und Mid-Market-Bereitstellungen mit weniger als 50 APs bietet Ruckus Unleashed eine äußerst kosteneffiziente, verteilte Architektur. Da Unleashed standardmäßig keine MAC-Adressverschlüsselung anwendet, entfällt der bei der SmartZone erforderliche CLI-Schritt. Darüber hinaus benötigt Unleashed keinen Northbound Interface (NBI) Callback zur Autorisierung; stattdessen wird die Client-Autorisierung direkt über Standard-RADIUS-Transaktionen zwischen dem Master AP und dem RADIUS-Server ausgehandelt. Dies vereinfacht die Firewall-Konfiguration, da keine eingehenden Ports (wie 9080/9443) aus dem Internet zum Controller geöffnet werden müssen.

Übungsfragen

Q1. Ein Techniker hat eine Ruckus SmartZone Captive Portal-Integration konfiguriert. Wenn sich Benutzer mit dem Gäste-WiFi verbinden, werden sie zur Anmeldeseite weitergeleitet. Nach der Eingabe ihrer Anmeldedaten und dem Klicken auf „Verbinden“ werden sie jedoch sofort in einer Endlosschleife zurück zur Anmeldeseite geleitet. Was ist die wahrscheinlichste Ursache für dieses Problem und wie sollte es behoben werden?

Hinweis: Konzentrieren Sie sich auf die Kommunikation zwischen der Portal-Cloud und dem SmartZone-Controller, nachdem die Authentifizierung abgeschlossen ist.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist ein Fehler beim WISPr Northbound Interface (NBI)-Callback oder eine Diskrepanz bei der RADIUS-Authentifizierung. Wenn der Benutzer auf „Verbinden“ klickt, authentifiziert das Portal den Benutzer und versucht, einen NBI-Callback an den SmartZone-Controller auf TCP-Port 9080 oder 9443 zu senden, um die MAC-Adresse des Clients zu autorisieren. Wenn die Edge-Firewall diesen eingehenden Port blockiert oder die im Portal-Konsole eingegebenen NBI-Anmeldedaten nicht mit den Einstellungen des Controllers übereinstimmen, autorisiert der Controller den Client niemals. Wenn der Client folglich erneut versucht, auf das Internet zuzugreifen, fängt der Controller den Datenverkehr ab und leitet ihn zurück zum Portal. Zur Behebung: 1) Überprüfen Sie, ob der TCP-Port 9443 (oder 9080) auf der Edge-Firewall für eingehende Verbindungen vom IP-Bereich des Portals zur Management-IP der SmartZone geöffnet ist. 2) Überprüfen Sie die NBI-Konfiguration der SmartZone unter Administration > WISPr Northbound Interface und stellen Sie sicher, dass Benutzername und Passwort mit den in der Portal-Admin-Konsole konfigurierten Werten übereinstimmen. 3) Testen Sie die RADIUS-Konnektivität auf der SmartZone unter Services & Profiles > Authentication > Test AAA, um sicherzustellen, dass das Shared Secret korrekt ist.

Q2. Während der Bereitstellung eines Gäste-WiFi-Netzwerks auf einem Ruckus Unleashed-Cluster berichten mehrere Gäste, dass die Splash-Page mit fehlerhaften Bildern und fehlerhaftem Styling geladen wird und die Social-Login-Optionen nicht funktionieren. Andere Gäste auf verschiedenen Geräten können die Splash-Page überhaupt nicht laden. Was ist der wahrscheinlichste Konfigurationsfehler?

Hinweis: Analysieren Sie den Unterschied zwischen den Domains, die erfolgreich geladen werden, und denen, die vor der Authentifizierung fehlschlagen.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist ein falsch konfigurierter oder unvollständiger Walled Garden. Nicht authentifizierte Clients können auf keine Internetziele zugreifen, außer auf die explizit im Walled Garden definierten. Wenn die Splash-Page mit fehlerhaftem Styling und fehlerhaften Bildern geladen wird, bedeutet dies, dass der Browser daran gehindert wird, diese Assets von externen CDNs herunterzuladen. Wenn Social-Login-Optionen fehlschlagen, bedeutet dies, dass die Authentifizierungsendpunkte des Social-Media-Anbieters (z. B. Facebook- oder Google-OAuth-URLs) blockiert sind. Zur Behebung: 1) Überprüfen Sie die Walled Garden-Einträge in der Unleashed Hotspot Service-Konfiguration. 2) Stellen Sie sicher, dass alle vom Portal verwendeten CDN-Domains (wie „.cloudfront.net“) und Kern-Portal-Domains (wie „purple.ai“) hinzugefügt wurden. 3) Wenn Social-Login aktiviert ist, fügen Sie die spezifischen Domains des Social-Media-Anbieters hinzu (z. B. „.facebook.com“, „.facebook.net“, „.google.com“). 4) Beachten Sie, dass Unleashed Domain-Level-Matching verwendet, verwenden Sie also kein Asterisk-Wildcard-Präfix (verwenden Sie z. B. „purple.ai“ anstelle von „*.purple.ai“).

Q3. Ein Wireless-Techniker migriert ein Gäste-WiFi-Netzwerk von Ruckus Unleashed zu einem zentralisierten Virtual SmartZone (vSZ)-Controller. Er kopiert die Walled Garden-Liste genau so, wie sie in Unleashed konfiguriert war: „purple.ai“, „cloudfront.net“, „apple.com“. Nach der Migration können Clients im vSZ-Netzwerk die Splash-Page jedoch nicht laden. Welcher Syntaxunterschied hat diesen Fehler verursacht?

Hinweis: Überprüfen Sie die spezifischen Wildcard-Formatierungsregeln für Ruckus SmartZone im Vergleich zu Ruckus Unleashed.

Musterlösung anzeigen

Der Fehler wird durch einen Syntaxunterschied bei der Verarbeitung von Walled Garden-Einträgen durch die beiden Plattformen verursacht. Ruckus Unleashed wendet automatisches Domain-Level-Matching an, was bedeutet, dass die Eingabe von „purple.ai“ automatisch alle Subdomains (wie „login.purple.ai“ oder „assets.purple.ai“) abdeckt. Ruckus SmartZone wendet jedoch kein automatisches Subdomain-Matching an; es erfordert eine explizite Wildcard-Formatierung mit dem Asterisk-Präfix (z. B. „.purple.ai“). Wenn der Techniker „purple.ai“ in der SmartZone eingegeben hat, lässt der Controller den Datenverkehr nur zur Root-Domain zu und blockiert den Client beim Laden der eigentlichen Anmeldeseite unter „login.purple.ai“. Um dies zu beheben, muss der Techniker das Hotspot WISPr-Profil in der SmartZone bearbeiten und die Walled Garden-Einträge auf das korrekte Format aktualisieren: „.purple.ai“, „.cloudfront.net“ und „.apple.com“.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Leitfaden lesen →

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Leitfaden lesen →

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.

Leitfaden lesen →