Captive Portal für HPE Aruba: Einrichtung mit Purple Gäste-WiFi

CAPTIVE PORTAL FOR ARUBA: INTEGRATING PURPLE FOR ENTERPRISE GUEST WIFI Eine technische Einführung von Purple - ca. 10 Minuten [EINFÜHRUNG & KONTEXT - ca. 1 Minute] Willkommen zur technischen Einführungsserie von Purple. Ich bin Ihr Gastgeber, und heute befassen wir uns mit einem Thema, das in fast jedem Gespräch über WLAN-Implementierungen in Unternehmen zur Sprache kommt: wie man ein Captive Portal auf Aruba-Infrastrukturen konfiguriert, und insbesondere, wie man dieses Portal mit der Guest-WiFi-Intelligence-Plattform von Purple verbindet. Wenn Sie Aruba Instant APs betreiben oder eine Flotte von Access Points über Aruba Central verwalten, ist diese Folge genau das Richtige für Sie. Wir werden zügig vorgehen - dies ist ein Leitfaden für Praktiker, keine Vorlesung -, daher setze ich voraus, dass Sie sich mit WLAN-Konfigurationsbildschirmen auskennen und die Grundlagen der RADIUS-Authentifizierung verstehen. Das Kernproblem, das wir lösen, ist folgendes: Das integrierte Gästeportal von Aruba ist zwar funktional, aber limitiert. Es bietet nicht die Erfassung von Marketingdaten, die GDPR-konformen Einwilligungsprozesse oder die Echtzeit-Analysen, die Unternehmen benötigen. Der Ersatz durch das externe Captive Portal von Purple ist die richtige architektonische Entscheidung, und heute zeige ich Ihnen genau, wie Sie das umsetzen. [TECHNISCHE TIEFENANALYSE - ca. 5 Minuten] Beginnen wir mit der Architektur. Wenn sich ein Gast mit Ihrer Aruba SSID verbindet und einen Browser öffnet, fängt der AP diese HTTP-Anfrage auf TCP-Port 80 ab und leitet sie an die externe Portal-URL weiter - in diesem Fall die in der Cloud gehostete Splash Page von Purple. Der Gast authentifiziert sich über das Portal von Purple, das dann einen RADIUS Access-Request an die RADIUS-Server von Purple auf UDP-Port 1812 sendet. Bei Erfolg gibt der RADIUS-Server eine Access-Accept-Nachricht zurück, und der AP gewährt dem Client vollen Internetzugang. Accounting-Datensätze werden während der gesamten Sitzung über den UDP-Port 1813 gesendet. Das ist der grundlegende Ablauf. Kommen wir nun zur Konfiguration. Es gibt zwei Verwaltungsebenen, mit denen Sie arbeiten könnten: Aruba Instant, das lokale virtuelle Controller-Modell mit ArubaOS 8.x, und Aruba Central, die Cloud-Management-Plattform von HPE. Die Konfigurationsschritte sind vom Konzept her ähnlich, unterscheiden sich jedoch darin, wo Sie die Einstellungen finden. Beginnen wir mit Aruba Instant auf ArubaOS 8. Zuerst konfigurieren Sie Ihren RADIUS-Server. Navigieren Sie zu Security, dann Authentication Server, und klicken Sie auf New. Sie benötigen vier Informationen von der Purple-Plattform: die primäre Server-IP-Adresse, den Authentifizierungsport - normalerweise 1812 -, den Accounting-Port - normalerweise 1813 - und das Shared Secret. Purple stellt diese in Ihrem Standort-Konfigurations-Dashboard bereit. Fügen Sie einen sekundären Server für Redundanz hinzu; Purple betreibt eine über mehrere Regionen verteilte RADIUS-Infrastruktur, sodass Sie ein geografisch passendes Backup haben. Erstellen Sie als Nächstes das External Captive Portal Profil. Gehen Sie zu Security, dann Captive Portal, klicken Sie auf New und setzen Sie den Type auf External. Geben Sie die URL der Splash Page aus Ihrer Purple Venue-Konfiguration ein - dies ist ein von Purple gehosteter HTTPS-Endpunkt. Stellen Sie den Port auf 443 ein, aktivieren Sie Use HTTPS und setzen Sie das WISPr-Feld unbedingt auf Enabled. WISPr - das steht für Wireless Internet Service Provider Roaming - ist das Protokoll, das es Geräten ermöglicht, das Captive Portal automatisch zu erkennen und korrekt anzuzeigen, insbesondere auf iOS und Android Geräten, die eine Hintergrund-Erkennung für Captive Portals nutzen. Ohne aktiviertes WISPr wird das Portal auf einigen Geräten nicht automatisch aufgerufen. Nun zur Guest SSID. Erstellen Sie ein neues WLAN, setzen Sie Primary Usage auf Guest und stellen Sie auf der Registerkarte Security den Splash Page Type auf External - RADIUS Server ein. Weisen Sie das soeben erstellte Captive Portal Profil und den RADIUS Server zu. Stellen Sie das Reauth Interval auf einen sinnvollen Wert ein - 1440 Minuten, was 24 Stunden entspricht, ist eine gängige Wahl für das Gastgewerbe. Aktivieren Sie die MAC-Authentifizierung, wenn wiederkehrende Gäste das Portal bei nachfolgenden Besuchen innerhalb dieses Zeitfensters überspringen sollen. Für Aruba Central auf AOS-8 ist der Ablauf im Wesentlichen derselbe, der Zugriff erfolgt jedoch über den WLAN-Assistenten unter Devices, Config, WLANs. Setzen Sie Security Level auf Visitors, Type auf External Captive Portal und erstellen Sie ein neues Captive Portal Profil mit der Purple Splash-URL. Fügen Sie Ihre primären und sekundären RADIUS Server hinzu, aktivieren Sie das Accounting und stellen Sie ein Accounting-Intervall von fünf Minuten ein. Dieses Intervall ist wichtig - es stellt sicher, dass die Analytics-Plattform von Purple regelmäßige Sitzungs-Updates für eine genaue Berichterstattung über Verweildauer und Interaktion erhält. Unter AOS-10, der Cloud-First-Architektur, gibt es einen wichtigen Unterschied: Der Walled Garden wird nicht mehr in der Registerkarte WLAN Security konfiguriert. Stattdessen konfigurieren Sie ihn über Access Rules. Sie erstellen eine Pre-Authentication-Rolle - nennen Sie diese Guest Logon - und fügen Erlaubnisregeln für jede Domain in der Walled Garden Whitelist hinzu. Anschließend weisen Sie diese Rolle als Pre-Authentication Role auf der SSID zu. Apropos Walled Garden - hier laufen die meisten Bereitstellungen schief. Der Walled Garden ist die Liste der Domains, die nicht authentifizierte Gäste erreichen können, bevor sie den Portal-Ablauf abgeschlossen haben. Ohne diese Einträge wird das Portal selbst nicht geladen, da das Gerät des Gasts das Purple CDN nicht erreichen kann, um die Elemente der Splash Page herunterzuladen. Die obligatorischen Purple Einträge sind: star dot purple dot ai, star dot cloudfront dot net und star dot venuewifi dot com. Wenn Sie Social Login - Google, Facebook, Apple, Microsoft - nutzen, müssen Sie die relevanten OAuth-Domains für jeden Anbieter hinzufügen. Google erfordert star dot google dot com, star dot googleapis dot com und star dot gstatic dot com. Facebook erfordert star dot facebook dot com, star dot fbcdn dot net und connect dot facebook dot net. Apple Sign-In benötigt star dot apple dot com und appleid dot apple dot com. Microsoft Entra ID erfordert star dot microsoft dot com und star dot microsoftonline dot com. Ein wichtiger Punkt vorab: Bei Aruba können Sie im Captive Portal-Profil das automatische URL-Whitelisting aktivieren. Diese Funktion setzt URLs, auf die die Portalseite verweist, dynamisch auf die Whitelist. Das ist als Fallback nützlich, aber ich empfehle, den Walled Garden explizit zu konfigurieren, anstatt sich in der Produktion auf das automatische Whitelisting zu verlassen - es ist berechenbarer und einfacher zu prüfen. Lassen Sie uns speziell über die RADIUS-Parameter sprechen. Die wichtigsten Attribute, die Purple verwendet, sind: NAS-IP-Address, die Ihren AP oder Controller identifiziert; Called-Station-Id, die die BSSID und SSID im Format MAC-Adresse:SSID-Name überträgt - Purple nutzt dies, um Sitzungen bestimmten Standorten und Access Points zuzuordnen; und Calling-Station-Id, also die Client-MAC-Adresse. Auf der Accounting-Seite liefert Acct-Session-Id die eindeutige Sitzungs-ID, und Acct-Status-Type überträgt Start-, Interim-Update- und Stop-Ereignisse. Stellen Sie sicher, dass Ihre Aruba-Konfiguration alle drei Accounting-Ereignistypen sendet - manche Implementierungen senden nur Start und Stop, was dazu führt, dass die Analysen von Purple die für eine genaue Berechnung der Verweildauer erforderlichen Zwischendaten verpassen. [IMPLEMENTIERUNGSEMPFEHLUNGEN & FALLSTRICKE - ca. 2 Minuten] Lassen Sie mich Ihnen die praktischen Empfehlungen geben, die ich jedem Kunden bei der Bereitstellung an die Hand gebe. Erstens: Testen Sie vor dem Live-Gang immer mit einem dedizierten Testgerät. Verbinden Sie sich mit der Gäste-SSID, öffnen Sie im Browser eine HTTP-URL - nicht HTTPS - und überprüfen Sie, ob die Weiterleitung funktioniert. Wenn Sie direkt eine HTTPS-URL aufrufen, funktioniert die Weiterleitung nicht, da der AP den verschlüsselten Datenverkehr nicht abfangen kann. Das ist der Support-Anruf Nummer eins bei uns. Zweitens: Firewall-Regeln. Das Management-VLAN Ihres APs oder Ihr Controller benötigt ausgehenden UDP-Zugriff auf die RADIUS-Server-IPs von Purple über die Ports 1812 und 1813. Wenn Sie eine Stateful Firewall zwischen Ihren APs und dem Internet haben, stellen Sie sicher, dass sie diese UDP-Datenströme zulässt. RADIUS ist verbindungslos, daher benötigen einige Firewalls explizite Regeln, anstatt sich auf die Stateful Inspection zu verlassen. Drittens: Zertifikatsvertrauen. Wenn Sie die URL der Splash Page als HTTPS konfigurieren, muss der AP dem vom Portalserver von Purple präsentierten Zertifikat vertrauen. In Aruba Central müssen Sie möglicherweise ein vertrauenswürdiges CA-Zertifikat in die globalen Einstellungen importieren, bevor die Portal-Weiterleitung über HTTPS korrekt funktioniert. Purple verwendet Zertifikate einer allgemein vertrauenswürdigen CA, aber es lohnt sich, dies in Ihrer Umgebung zu überprüfen. Viertens: VLAN-Segmentierung. Ihre Gäste-SSID sollte sich in einem dedizierten VLAN befinden, das von Ihrem Unternehmensnetzwerk isoliert ist. Dies ist sowohl eine Sicherheitsanforderung - PCI-DSS verlangt eine Netzwerksegmentierung für Karteninhaber-Datenumgebungen - als auch eine praktische Notwendigkeit für die Funktionalität des Captive Portals. Das Gäste-VLAN sollte Internetzugang haben, aber keine Route zu internen Ressourcen. Fünftens: die WISPr-Einstellung. Ich habe dies bereits erwähnt, aber es ist wichtig genug, um es zu wiederholen. Aktivieren Sie WISPr. Ohne diese Option erkennen insbesondere iOS-Geräte das Captive Portal nicht automatisch, und Gäste machen eine verwirrende Erfahrung, bei der sie zwar verbunden zu sein scheinen, aber keinen Internetzugang haben. [BLITZ-FRAGEN & ANTWORTEN - ca. 1 Minute] Lassen Sie uns die am häufigsten gestellten Fragen durchgehen. Kann ich Aruba Instant On - das Produkt für kleine Unternehmen - mit Purple nutzen? Ja, mit einigen Einschränkungen. Instant On unterstützt externe Captive Portale, aber die Konfigurationsoberfläche ist eingeschränkter als das vollständige Aruba Central. Purple bietet eine spezielle Instant On Integrationsanleitung. Unterstützt Purple RadSec für verschlüsseltes RADIUS? Ja. Purple unterstützt RADIUS over TLS - RadSec - für Bereitstellungen, bei denen der RADIUS-Datenverkehr über nicht vertrauenswürdige Netzwerke läuft. Dies wird immer relevanter für Cloud-verwaltete Bereitstellungen, bei denen der RADIUS-Austausch über das öffentliche Internet erfolgt. Was passiert, wenn das Purple Portal nicht erreichbar ist? Sie können die Einstellung für den Ausfall des Captive Portal so konfigurieren, dass entweder der Internetzugang gesperrt wird (Deny Internet - die sichere Standardeinstellung) oder der Internetzugang erlaubt wird (Allow Internet), was einen Fallback-Modus für offenen Zugang bietet. Für die meisten Unternehmensstandorte ist Deny Internet die richtige Wahl. Kann ich mehrere SSIDs mit unterschiedlichen Purple Standorten auf derselben Aruba Infrastruktur betreiben? Absolut. Jede SSID erhält ihr eigenes Captive Portal Profil, das auf eine andere Purple Standort-URL verweist. Das RADIUS-Attribut Called-Station-Id überträgt den SSID-Namen, den Purple verwendet, um die Sitzung an die richtige Standortkonfiguration weiterzuleiten. [ZUSAMMENFASSUNG & NÄCHSTE SCHRITTE - ca. 1 Minute] Lassen Sie uns das zusammenfassen. Die Bereitstellung von Purple als externes Captive Portal auf einer Aruba Infrastruktur ist ein bewährter Integrationspfad. Die wichtigsten Schritte sind: Konfigurieren Sie Ihre RADIUS-Server mit den Zugangsdaten von Purple, erstellen Sie ein externes Captive Portal Profil, das auf Ihre Purple Splash-URL verweist, wobei WISPr aktiviert ist, erstellen Sie Ihre Gäste-SSID mit dem Splash-Typ "External RADIUS Server" und konfigurieren Sie Ihren Walled Garden mit den Purple Core-Domains sowie den Domains aller von Ihnen aktivierten Social-Login-Anbieter. Der wichtige Unterschied bei AOS-10 ist, dass die Walled Garden Konfiguration in die Access Rules verschoben wird und nicht mehr im Reiter WLAN Security zu finden ist. Aus geschäftlicher Sicht bietet Ihnen der Ersatz des einfachen lokalen Aruba Portals durch Purple eine GDPR-konforme Datenerfassung, Echtzeit-Standortanalysen, demografische Berichte und Marketing-Automatisierung - und das alles über dieselbe WiFi Infrastruktur, die Sie bereits besitzen. Für Ihre nächsten Schritte: Rufen Sie Ihre Purple Standort-RADIUS-Zugangsdaten aus dem Purple Dashboard ab, gehen Sie die Konfigurations-Checkliste in der begleitenden schriftlichen Anleitung durch und testen Sie die Konfiguration mit einem dedizierten Gerät, bevor Sie sie in der Produktionsumgebung bereitstellen. Wenn Sie die Lösung an mehreren Standorten bereitstellen, können Sie mit der Multi-Site-Management-Konsole von Purple die Konfigurationen der Captive Portale, das Branding und die Analysen für Ihren gesamten Bestand über eine einzige Benutzeroberfläche verwalten. Vielen Dank fürs Zuhören. Die vollständige schriftliche Anleitung, Konfigurationstabellen und Walled Garden Referenzlisten finden Sie unter purple.ai. Bis zum nächsten Mal. [ENDE DES SKRIPTS]