Cisco Catalyst WLC und Gäste-WiFi: Captive Portal-Einrichtung mit Purple

Willkommen bei der technischen Briefing-Reihe von Purple. Heute befassen wir uns mit einem Thema, das fast jedem Enterprise-Netzwerkarchitekten im Gastgewerbe, im Einzelhandel oder in großen Veranstaltungsorten begegnet: der Integration von Cisco Wireless LAN Controllern und Catalyst Wireless-Infrastruktur mit der Guest WiFi-Plattform von Purple. Wenn Sie Controller der Cisco Catalyst 9800-Serie oder die ältere AireOS-Plattform betreiben und ein konformes, segmentiertes und analysebasiertes Gastnetzwerk bereitstellen müssen, ist dies das richtige Briefing für Sie. [medium pause] Beginnen wir mit dem Kontext. Purple ist weltweit in mehr als 80.000 Live-Veranstaltungsorten im Einsatz, und Cisco ist der dominierende Anbieter von Wireless-Infrastruktur in Enterprise-Umgebungen. Die saubere Zusammenarbeit dieser beiden Plattformen ist nicht kompliziert, erfordert jedoch, dass Sie im Vorfeld die richtigen Architekturentscheidungen treffen. Wenn Sie hier Fehler machen, verbringen Sie Wochen mit der Fehlersuche bei Redirect-Schleifen, VLAN-Fehlanpassungen und RADIUS-Timeouts. Machen Sie es richtig, und Sie erhalten ein Netzwerk, das Gäste, Mitarbeiter und IoT-Geräte automatisch segmentiert, First-Party-Daten konform erfasst und ohne manuellen Aufwand über Hunderte von Standorten hinweg skaliert. [medium pause] Kommen wir nun zur Architektur. [short pause] Wenn sich ein Gast bei einer Cisco-Bereitstellung mit Ihrem WiFi-Netzwerk verbindet, müssen drei Dinge geschehen, bevor er das Internet erreicht. Erstens muss der Cisco Catalyst 9800 WLC diese erste HTTP-Anfrage abfangen und den Client auf das Captive Portal von Purple umleiten. Zweitens muss das Portal von Purple den Benutzer authentifizieren - sei es über Social Login, E-Mail, SMS oder eine einfache Zustimmung zu den Nutzungsbedingungen. Drittens muss der RADIUS-Server von Purple an den WLC zurückmelden, dass der Benutzer autorisiert ist, und ihm optional ein bestimmtes VLAN zuweisen. [medium pause] Der Mechanismus, der Schritt eins abwickelt, wird als External Web Authentication oder EWA bezeichnet. Auf dem Catalyst 9800 konfigurieren Sie eine Webauthentifizierungs-Parametermap, die auf die URL der Splashpage von Purple verweist. Der WLC fängt den gesamten HTTP-Verkehr von nicht authentifizierten Clients ab und gibt einen 302-Redirect auf diese URL aus. Sie müssen außerdem eine Pre-Authentication-ACL konfigurieren oder die URL-Filterfunktion des 9800 verwenden, um die IP-Adressen des Portals von Purple auf die Whitelist zu setzen, damit die Clients die Splashpage tatsächlich erreichen können, bevor sie autorisiert sind. Purple stellt zwei IP-Adressen für sein Portal bereit, und Sie müssen beide in Ihrer Pre-Auth-ACL zulassen. [medium pause] Hier ist die Konfigurationsreihenfolge für den Catalyst 9800. Erstellen Sie zuerst die Parametermap. Konfigurieren Sie dann Ihren URL-Filter, um die Domain von Purple vor der Authentifizierung zuzulassen. Wenden Sie dies auf Ihr WLAN-Richtlinienprofil an, setzen Sie die Layer-2-Sicherheit auf None, aktivieren Sie die Web-Richtlinie auf Layer 3 und weisen Sie sie Ihrer Parametermap zu. [medium pause] Nun zu RADIUS. Purple agiert in dieser Architektur als der RADIUS-Server. Sie konfigurieren den WLC so, dass er auf den RADIUS-Endpunkt von Purple verweist, den Sie im Purple-Dashboard unter den Netzwerkeinstellungen Ihres Standorts finden. Das Shared Secret wird pro Standort generiert. Navigieren Sie auf dem Catalyst 9800 zu Configuration, Security, AAA, Servers, und fügen Sie den RADIUS-Server von Purple mit der korrekten IP und dem Shared Secret hinzu. Erstellen Sie dann eine Servergruppe, eine Authentifizierungsmethodenliste und wenden Sie diese auf Ihr WLAN an. [medium pause] Eine Sache, die oft übersehen wird: Auf dem 9800 müssen Sie auch die virtuelle IP-Adresse in der globalen Web-Auth-Parametermap konfigurieren. Verwenden Sie 192.0.2.1 als virtuelle IPv4-Adresse. Wenn Sie diesen Schritt überspringen, werden Clients manchmal an das interne Portal statt an das Portal von Purple weitergeleitet, und Sie verbringen einen frustrierenden Nachmittag mit der Fehlersuche. [medium pause] Gehen wir nun über zu Mitarbeiter-WiFi mit 802.1X. [short pause] Für Mitarbeiternetzwerke empfiehlt sich eine zertifikatsbasierte Authentifizierung mit EAP-TLS, oder zumindest PEAP mit MSCHAPv2 für Umgebungen, in denen eine Zertifikatsverteilung nicht machbar ist. Erstellen Sie auf dem Catalyst 9800 ein separates WLAN für Mitarbeiter, stellen Sie die Layer-2-Sicherheit auf WPA2 Enterprise ein und verweisen Sie bei der Authentifizierung auf Ihren RADIUS-Server. Wenn Sie Microsoft Entra ID oder Okta als Identitätsanbieter nutzen, fungiert das SecurePass-Add-on von Purple als RADIUS-Proxy, der 802.1X-Authentifizierungsanfragen in Abfragen beim Identitätsanbieter übersetzt. Das bedeutet, dass Sie keinen separaten On-Premises-RADIUS-Server für die Mitarbeiterauthentifizierung benötigen. Purple übernimmt die EAP-Terminierung und leitet die Identitätsprüfung an Ihren Identitätsanbieter weiter. [medium pause] Speziell für EAP-TLS müssen Sie Client-Zertifikate auf den Mitarbeitergeräten verteilen, entweder über Microsoft Intune, Jamf oder eine ähnliche MDM-Plattform. Die Zertifikatskette muss vom RADIUS-Server von Purple als vertrauenswürdig eingestuft werden, was das Hochladen Ihres Root-CA-Zertifikats im Purple-Dashboard erfordert. Sobald dies eingerichtet ist, authentifizieren sich die Geräte der Mitarbeiter im Hintergrund - ohne Kennwortabfragen und ohne Splash Pages. Der Benutzer verbindet sich, das Zertifikat wird validiert, und er befindet sich innerhalb von Sekunden im Mitarbeiter-VLAN. [medium pause] Nun zu dem Teil, den die meisten Architekten wirklich interessant finden: Cisco Identity PSK, oder iPSK. [short pause] iPSK löst ein spezifisches Problem, das in Multi-Tenant-Umgebungen ständig auftritt. Stellen Sie sich ein Hotel mit 300 Zimmern, ein Einzelhandelsnetz mit 50 Filialen oder ein Mietwohnungsgebäude mit 200 Wohnungen vor. Sie möchten eine einzige SSID, aber Sie müssen jeden Mieter, jedes Zimmer oder jede Gerätegruppe auf einem eigenen VLAN isolieren. Die traditionelle Lösung bestand darin, eine separate SSID pro Mieter zu erstellen, was nicht skalierbar ist und zu einer Überlastung der Funkfrequenzen führt. iPSK bietet Ihnen eine einzige SSID, bei der jeder Client oder jede Clientgruppe einen eindeutigen Pre-Shared Key hat, und der RADIUS-Server weist diesen Schlüssel einem bestimmten VLAN zu. [medium pause] Und so funktioniert es technisch: Wenn sich ein Client mit der SSID verbindet, sendet der Catalyst 9800 WLC einen RADIUS-Access-Request an den RADIUS-Server von Purple, der die MAC-Adresse des Clients enthält. Der RADIUS-Server von Purple sucht diese MAC-Adresse in seiner iPSK-Datenbank, findet den zugehörigen PSK und die VLAN-Zuweisung und gibt ein RADIUS-Access-Accept zurück, das das Cisco-AV-Pair mit dem PSK und die IETF-Tunnelattribute für die VLAN-Zuweisung enthält. Der WLC verwendet den zurückgegebenen PSK, um den WPA2-Vierwege-Handshake abzuschließen, und weist den Client dann dem zugewiesenen VLAN zu. [medium pause] Die drei RADIUS-Attribute, die Sie für die dynamische VLAN-Zuweisung benötigen, sind: IETF-Attribut 64 (Tunnel-Type) mit dem Wert VLAN (Wert 13), IETF-Attribut 65 (Tunnel-Medium-Type) mit dem Wert 802 (Wert 6) und IETF-Attribut 81 (Tunnel-Private-Group-ID), eingestellt auf die VLAN-ID als String. Diese drei Attribute, die zusammen im RADIUS-Access-Accept gesendet werden, teilen dem WLC genau mit, welches VLAN zugewiesen werden soll. Das VLAN muss bereits auf dem WLC als dynamische Schnittstelle vorhanden sein, und der Uplink-Switch-Port muss als Trunk konfiguriert sein, der alle relevanten VLANs überträgt. [medium pause] Aktivieren Sie auf der WLC-Seite die MAC-Filterung auf dem iPSK WLAN, aktivieren Sie AAA Override und stellen Sie die Layer-2-Sicherheit auf WPA2-PSK ein. Der globale PSK, den Sie auf dem WLAN konfigurieren, fungiert nur als Fallback. Der von RADIUS zurückgegebene PSK hat Vorrang für jeden Client, dessen MAC-Adresse in der iPSK-Datenbank von Purple registriert ist. Bei nicht registrierten Geräten können Sie je nach Ihren Richtlinien entweder den Zugriff verweigern oder auf den globalen PSK zurückgreifen. [medium pause] Lassen Sie mich Ihnen zwei Praxisbeispiele geben, um dies zu verdeutlichen. [short pause] Erstes Szenario: ein Hotel mit 200 Zimmern. Das Hotel möchte Gäste im VLAN 10 nur mit Internetzugang, Mitarbeiter im VLAN 20 mit Zugriff auf das Hotelmanagementsystem und IoT-Geräte (Türschlösser, Thermostate, Überwachungskameras) im VLAN 30 ohne Internetzugang. Sie nutzen Cisco Catalyst 9800 Controller mit Access Points der Serie Cisco 9100. [medium pause] Die Architektur: drei Richtlinienprofile auf dem WLC, eines pro VLAN. Eine einzige SSID für Gäste, die eine externe Web-Authentifizierung nutzen, die auf Purple verweist. Eine separate SSID für Mitarbeiter, die WPA2 Enterprise mit EAP-TLS nutzen, authentifiziert über Purple SecurePass gegen Microsoft Entra ID. Und iPSK für IoT-Geräte, wobei die MAC-Adresse jedes Geräts im Portal von Purple registriert und dem VLAN 30 zugewiesen ist. Das Hotelmanagementsystem stellt neue IoT-Geräte über die API von Purple bereit. Wenn also ein neues Türschloss installiert wird, wird seine MAC-Adresse automatisch registriert und dem richtigen VLAN zugewiesen. Keine manuelle RADIUS-Konfiguration erforderlich. [medium pause] Zweites Szenario: eine Einzelhandelskette mit 80 Filialen. Jede Filiale verfügt über ein Gäste-WiFi-Netzwerk, ein Mitarbeiternetzwerk und ein Netzwerk für Zahlungsterminals. Die Einhaltung von PCI-DSS erfordert eine vollständige Trennung des Zahlungsterminal-Netzwerks vom Gästenetzwerk. Der Einzelhändler setzt an jedem Standort Cisco Catalyst 9800-L Controller ein, die zentral über das Cisco Catalyst Centre verwaltet werden. [medium pause] Purple wird als Cloud-Overlay bereitgestellt. Der WLC jeder Filiale wird mit den RADIUS-Server-Details von Purple konfiguriert. Die Gast-Authentifizierung nutzt eine gebrandete Splash-Page mit E-Mail-Erfassung, wodurch First-Party-Daten direkt in die Analytics-Plattform von Purple fließen. Die Authentifizierung des Personals erfolgt über PEAP gegen das Active Directory mittels Purple SecurePass. Zahlungsterminals nutzen iPSK mit einem dedizierten VLAN, und die Pre-Auth-ACL blockiert explizit jeglichen Datenverkehr zwischen dem Zahlungs-VLAN und dem Gäste-VLAN, was die PCI-DSS-Anforderung 1.3 zur Netzsegmentierung erfüllt. [medium pause] Sprechen wir nun über die typischen Fallstricke. [short pause] Das häufigste Fehlerszenario ist die Weiterleitungsschleife. Dies geschieht, wenn die Pre-Auth-ACL die Portal-IP-Adressen von Purple nicht korrekt auf die Whitelist setzt. Der WLC leitet den Client dann an das Portal von Purple weiter, aber der Client kann das Portal nicht erreichen, weil die ACL es blockiert, sodass der WLC erneut weiterleitet - und das unendlich oft. Lösung: Überprüfen Sie, ob Ihr URL-Filter oder Ihre Pre-Auth-ACL beide Portal-IP-Adressen von Purple enthält, und stellen Sie sicher, dass die DNS-Auflösung vor der Authentifizierung zulässig ist. [medium pause] Das zweite häufige Problem ist ein VLAN-Mismatch. Der RADIUS-Server gibt eine VLAN-ID zurück, die nicht als dynamische Schnittstelle auf dem WLC existiert. Der WLC verschiebt den Client dann in das native VLAN, bei dem es sich in der Regel um das Management-VLAN handelt. Dies stellt ein Sicherheitsrisiko dar. Lösung: Überprüfen Sie vor der Bereitstellung Ihre dynamischen WLC-Schnittstellen im Vergleich zu den VLAN-IDs, die in den RADIUS-Richtlinien von Purple konfiguriert sind. Diese müssen exakt übereinstimmen. [medium pause] Dritter Fallstrick: Zertifikatsvertrauensfehler bei EAP-TLS-Bereitstellungen. Wenn der Zertifikatspfad des Clients vom RADIUS-Server von Purple nicht als vertrauenswürdig eingestuft wird, schlägt die Authentifizierung aus Nutzersicht geräuschlos fehl. Sie können sich einfach nicht verbinden. Lösung: Laden Sie Ihre Root-CA- und alle Intermediate-CA-Zertifikate in die SecurePass-Konfiguration von Purple hoch, bevor Sie Client-Zertifikate verteilen. Testen Sie dies mit einem einzelnen Gerät, bevor Sie es für die gesamte Flotte ausrollen. [medium pause] Schnellfragerunde. [short pause] Kann ich Purple mit Cisco Meraki anstelle eines WLC verwenden? Ja. Cisco Meraki verfügt über einen eigenen Integrationsmechanismus für Captive Portale, den Purple nativ unterstützt. Die RADIUS-Konfiguration ist ähnlich, verwendet jedoch das Meraki-Dashboard anstelle der WLC-Befehlszeile. [short pause] Unterstützt Purple WPA3 auf Cisco? Ja. WPA3-SAE wird auf Cisco Catalyst 9800 mit IOS-XE 17.3 und neuer unterstützt. Die RADIUS-Integration von Purple funktioniert mit WPA3 identisch. [short pause] Wie lautet die Empfehlung für das RADIUS-Timeout? Stellen Sie das Timeout Ihres primären RADIUS-Servers auf drei Sekunden mit zwei Wiederholungsversuchen ein. Konfigurieren Sie einen sekundären RADIUS-Server für das Failover. Purple stellt redundante RADIUS-Endpunkte für Enterprise-Kunden bereit. [short pause] Kann ich Cisco ISE parallel zu Purple verwenden? Ja. Einige Unternehmen nutzen ISE für die Sicherheitsbewertung und das Device Profiling, während sie Purple für das Gästeportal und Analytics einsetzen. Die beiden RADIUS-Server werden auf separaten WLANs konfiguriert. [medium pause] Zusammenfassend lässt sich sagen. [short pause] Die drahtlose Infrastruktur von Cisco WLC und Catalyst lässt sich nahtlos in Purple integrieren. Dabei wird External Web Authentication für die Weiterleitung zum Captive Portal für Gäste, 802.1X EAP-TLS oder PEAP für die Mitarbeiter-Authentifizierung über Purple SecurePass und Cisco iPSK mit dynamischer VLAN-Zuweisung für die Segmentierung von Multi-Tenant- und IoT-Umgebungen genutzt. Die drei RADIUS-VLAN-Attribute Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-ID sind der Mechanismus, der die dynamische Segmentierung steuert. Stellen Sie Ihre Pre-Auth-ACLs richtig ein, gleichen Sie Ihre VLAN-IDs zwischen RADIUS und WLC ab und testen Sie die Vertrauensketten der Zertifikate vor dem Rollout in der gesamten Flotte. [medium pause] Purple ist an mehr als 80.000 Standorten im Einsatz und hat im Jahr 2024 bereits 440 Millionen Logins verarbeitet. Die Cisco-Integration gehört weltweit zu unseren am häufigsten eingesetzten Konfigurationen. Wenn Sie starten möchten, führt Sie das Purple-Dashboard Schritt für Schritt durch die RADIUS-Konfiguration pro Standort, und unser Integrationsteam steht Ihnen für Enterprise-Bereitstellungen zur Verfügung. [medium pause] Das war es für dieses Briefing. Vielen Dank fürs Zuhören.