Cisco Meraki und Gäste-WiFi: Captive Portal-Einrichtung mit Purple

Cisco Meraki Integration mit Purple WiFi - Ein Briefing für Senior Consultants Laufzeit: ca. 10 Minuten EINFÜHRUNG UND KONTEXT (ca. 1 Minute) Herzlich willkommen. Wenn Sie für ein Cisco Meraki Deployment verantwortlich sind und entscheiden müssen, ob Purple WiFi die richtige Guest Intelligence-Ebene ist, die darauf aufgesetzt werden soll, dann ist dieses Briefing genau das Richtige für Sie. Ich werde Ihnen genau erklären, wie die Integration funktioniert, was Sie konfigurieren müssen, wo die häufigsten Fallstricke liegen und welchen Return Sie realistischerweise erwarten können. Lassen Sie mich die Ausgangslage beschreiben. Cisco Meraki ist mit erheblichem Abstand die am weitesten verbreitete Cloud-verwaltete Wireless-Infrastruktur im Bereich Enterprise Hospitality, Einzelhandel und im öffentlichen Sektor. Sie ist zuverlässig, skalierbar und ihr Cloud-Dashboard ist wirklich hervorragend. Aber das ist der Punkt - die nativen Guest WiFi-Funktionen von Meraki sind funktional, nicht strategisch. Sie können einen Gast online bringen, aber Sie können keine aussagekräftigen First-Party-Daten erfassen, Sie können darauf keinen Marketing-Funnel aufbauen und Sie können Ihrem Vorstand definitiv keinen ROI nachweisen. Genau diese Lücke schließt Purple. TECHNISCHER DEEP-DIVE (ca. 5 Minuten) Lassen Sie uns über die Architektur sprechen. Die Integration von Purple und Meraki funktioniert über zwei verschiedene technische Ebenen, und das Verständnis beider Ebenen ist unerlässlich, bevor Sie auch nur eine einzige Konfigurationseinstellung anpassen. Die erste Ebene ist die Meraki Dashboard API - das ist die Provisionierungsebene. Purple nutzt die REST API von Meraki, um Ihre gesamte Access Point-Flotte in einem einzigen Batch-Vorgang in das Purple Portal zu importieren. Sie authentifizieren sich mit Ihrem Meraki API-Schlüssel, den Sie im Bereich "Organisation" des Meraki Dashboards unter API und Webhooks generieren. Sobald Purple diesen Schlüssel hat, kann es jeden Access Point, jedes Netzwerk und jede SSID-Konfiguration direkt aus Ihrer Meraki Cloud abrufen. Für einen Bestand von beispielsweise dreihundert Access Points in einer Hotelgruppe reduziert dies eine manuelle Konfiguration, die sonst mehrere Tage dauern würde, auf weniger als eine Stunde. Das ist eine erhebliche betriebliche Einsparung. Die zweite Ebene ist die Authentifizierungs- und Captive Portal-Ebene - hier findet das eigentliche Gästeerlebnis statt. Purple fungiert als externer Splash-Page-Anbieter und nutzt die Captive Portal API von Meraki. Wenn sich ein Gast mit Ihrer Gäste-SSID verbindet, fängt Meraki den HTTP-Traffic ab und leitet ihn auf die von Purple gehostete Splash-Page weiter - Ihr gebrandetes Captive Portal. Der Gast authentifiziert sich über die von Ihnen konfigurierte Methode: Social Login, E-Mail-Formular, SMS-Verifizierung oder eine Kombination davon. Purple kommuniziert dann über RADIUS - Remote Authentication Dial-In User Service - zurück an Meraki, wobei Port 1812 für die Authentifizierung und Port 1813 für das Accounting verwendet wird. Sobald RADIUS die Authentifizierung bestätigt, gewährt Meraki dem Gast vollen Netzwerkzugriff. Lassen Sie mich nun die spezifische Konfiguration des Meraki Dashboards durchgehen, denn hier kommt es auf die Details an. Navigieren Sie im Meraki-Dashboard zu Wireless und dann zu Access Control. Wählen Sie Ihre Gäste-SSID aus dem Dropdown-Menü aus. Stellen Sie die Sicherheit auf Open - ja, offen, da die Authentifizierung über die RADIUS- und Captive Portal-Ebene abgewickelt wird und nicht auf der 802.11-Assoziierungsebene. Stellen Sie den Typ der Splash-Page auf Sign-on with my RADIUS server. Dies ist die entscheidende Auswahl - sie weist Meraki an, einen externen RADIUS-Server für die Authentifizierung zu verwenden und nicht die eigenen integrierten Optionen. Stellen Sie unter Advanced Splash Settings die Stärke des Captive Portals auf Block all access until sign-on is complete. Aktivieren Sie den Walled Garden - dies ist die Liste der Domains, die Gäste vor der Authentifizierung erreichen können. Sie muss die Plattform-Domains von Purple enthalten, damit die Splash-Page selbst geladen werden kann. Purple stellt in seiner Support-Dokumentation eine gepflegte Whitelist dieser Domains zur Verfügung. Für die RADIUS-Serverkonfiguration müssen Sie zwei Server hinzufügen - Purple stellt primäre und sekundäre Endpunkte für Redundanz bereit. Der Authentifizierungsport ist 1812, und Sie verwenden das in Ihrem Purple Portal bereitgestellte RADIUS-Secret. Fügen Sie entsprechende Einträge für das RADIUS-Accounting auf Port 1813 hinzu. Stellen Sie das Accounting-Zwischenintervall auf vier Minuten ein - dies ist wichtig für eine genaue Sitzungsverfolgung und Analysen. Stellen Sie den Server-Timeout auf fünf Sekunden mit einer Wiederholungsrate von drei ein. Konfigurieren Sie unter Advanced RADIUS Settings die Called-Station-ID und NAS-ID so, dass sie die AP-MAC-Adresse verwenden. Dies ist entscheidend für die Standortanalysen von Purple - ohne diese Daten kann Purple Sitzungen nicht genau bestimmten Access Points zuordnen und somit keine aussagekräftigen Analysen auf Etagenebene erstellen. Navigieren Sie anschließend zu Wireless, Splash Page. Geben Sie die von Ihrem Purple Portal bereitgestellte benutzerdefinierte Splash-URL ein - dies ist die URL Ihres gebrandeten Captive Portals. Konfigurieren Sie die Redirect-URL nach der Authentifizierung - in der Regel die Website Ihres Standorts oder eine bestimmte Landingpage. Es gibt noch eine zweite Komponente, die es wert ist, im Detail besprochen zu werden: PurpleConnex, die SecurePass-Lösung von Purple. Dadurch wird eine zweite SSID erstellt - typischerweise mit dem Namen PurpleConnex -, die als WPA2-Enterprise-Netzwerk unter Verwendung der RadSec-RADIUS-Server von Purple konfiguriert ist. RadSec ist RADIUS über TLS, was einen verschlüsselten Transport des Authentifizierungsverkehrs ermöglicht. Diese SSID in Kombination mit der Hotspot 2.0-Konfiguration - auch bekannt als Passpoint, der Standard IEEE 802.11u - ermöglicht es wiederkehrenden Gästen, sich automatisch wieder zu verbinden, ohne das Captive Portal erneut zu sehen. Ihr Gerät erkennt das Passpoint-Profil und verbindet sich nahtlos. Dies ist besonders wertvoll in Umgebungen, in denen Sie die Reibung einer wiederholten Authentifizierung vermeiden möchten, wie z. B. in einem Hotel, in dem ein Gast drei Nächte lang bleibt, oder bei einem Mitglied eines Einzelhandels-Treueprogramms, das wöchentlich vorbeikommt. Die Hotspot 2.0-Konfiguration in Meraki erfordert, dass Sie den Operatornamen auf PURPLE Doppelpunkt GB festlegen, die Domainliste auf securewifi.purple.ai konfigurieren und die Roaming Consortium OIs hinzufügen, die Purple angibt. Der NAI Realm ist mit EAP-TTLS und PAP-Authentifizierungsmethode konfiguriert. Dies ist alles im Support-Portal von Purple dokumentiert und ist unkompliziert, sobald man versteht, was die einzelnen Felder tun. IMPLEMENTIERUNGSEMPFEHLUNGEN UND STOLPERSTEINE (ca. 2 Minuten) Lassen Sie mich Ihnen die drei häufigsten Fehlerbilder nennen, die ich bei Meraki- und Purple-Bereitstellungen sehe, und wie Sie diese vermeiden können. Erstens: Fehlkonfiguration des Walled Gardens. Wenn Ihre Walled Garden-Liste unvollständig ist, sehen Gäste eine fehlerhafte Splash Page - das CSS wird nicht geladen, Bilder werden nicht gerendert und die Authentifizierung schlägt im Hintergrund fehl. Purple pflegt eine aktuelle Allowlist der erforderlichen Domains. Behandeln Sie diese Liste als ein lebendiges Dokument und überprüfen Sie sie, wann immer Purple ein Plattform-Update veröffentlicht. Ich empfehle, die Captive Portal-Erfahrung vor dem Go-live von einem Gästegerät in einem separaten Netzwerksegment aus zu testen. Zweitens: RADIUS-Timeout-Einstellungen. Der standardmäßige Meraki RADIUS-Timeout ist für Cloud-gehostete RADIUS-Server oft zu niedrig eingestellt. Fünf Sekunden mit drei Versuchen ist die richtige Konfiguration. Wenn Sie die Standardeinstellung von zwei Sekunden beibehalten, kommt es bei Spitzenlasten zu sporadischen Authentifizierungsfehlern - genau der schlechteste Zeitpunkt für eine Verschlechterung der Benutzererfahrung Ihrer Gäste. Drittens: Fehlkonfiguration von NAS-ID und Called-Station-ID. Das ist der Punkt, der Ingenieuren am häufigsten zum Verhängnis wird. Wenn Sie diese Felder falsch konfigurieren - oder sie auf den Standardwerten belassen - kann die Analyse-Engine von Purple die Sitzungen nicht den spezifischen Access Points zuordnen. Sie erhalten dann aggregierte Daten, aber keine detaillierten Daten auf Raumebene. Der Wert muss auf die AP-MAC-Adresse festgelegt werden, nicht auf den SSID-Namen oder eine andere Option. In Bezug auf Compliance: Die Datenerfassung von Purple ist von Grund auf GDPR- und CCPA-konform. Das Captive Portal bietet einen Einwilligungsmechanismus, der die Anforderungen beider Vorschriften erfüllt. Wenn Sie in einer PCI-DSS-Scope-Umgebung arbeiten - beispielsweise in einem Hotel mit einem Zahlungsterminal im selben Netzwerksegment - stellen Sie sicher, dass sich Ihre Gäste-SSID auf einem separaten VLAN mit entsprechenden Firewall-Regeln befindet. Der NAT-Modus von Meraki für die Client-IP-Zuweisung, welcher die empfohlene Einstellung ist, bietet ein gewisses Maß an Isolierung, aber Ihre Netzwerksegmentierungsarchitektur muss von Ihrem Sicherheitsteam unabhängig überprüft werden. SCHNELLE FRAGERUNDE (ca. 1 Minute) Frage: Kann Purple sowohl in Meraki MX Security Appliances als auch in Wireless APs integriert werden? Antwort: Ja. Der Konfigurationsprozess ist im Wesentlichen identisch - die MX unterstützt dieselbe Splash Page- und RADIUS-Konfiguration wie die Wireless APs. Der Support-Artikel deckt AP-, MX- und Z1-Teleworker-Gateway-Konfigurationen ab. Frage: Wie lange dauert eine vollständige Bereitstellung für eine Hotelgruppe mit 50 Standorten? Antwort: Mit der automatisierten Bereitstellung über die Meraki API ist der Import der Access Points ein einziger Vorgang pro Organisation. Die SSID- und RADIUS-Konfiguration kann über Netzwerke hinweg als Vorlage erstellt werden. Eine Bereitstellung an 50 Standorten sollte mit einem kompetenten Netzwerkingenieur in zwei bis drei Tagen Konfigurationsarbeit zuzüglich Testzeit realisierbar sein. Frage: Unterstützt Purple die neueren WiFi 6- und WiFi 6E-Access-Points von Meraki? Antwort: Ja. Die Integration erfolgt auf der Anwendungsschicht - RADIUS und HTTP-Redirect -, ist also unabhängig von der Hardware-Generation. Purple funktioniert mit jedem Meraki AP, der die beschriebene Splash-Page und RADIUS-Konfiguration unterstützt. ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE (ca. 1 Minute) Zusammenfassend lässt sich sagen: Die Integration von Cisco Meraki und Purple WiFi ist eine ausgereifte, gut dokumentierte Lösung, die die hervorragende Cloud-gesteuerte Infrastruktur von Meraki mit der Guest Intelligence und den Datenerfassungsfunktionen von Purple kombiniert. Die Integration nutzt zwei primäre Mechanismen - die Meraki Dashboard API für die automatisierte Bereitstellung und die Captive Portal API mit RADIUS-Authentifizierung für die Gäste-Erlebnisschicht. Die drei wichtigsten Punkte für den Erfolg sind: Ihre Walled-Garden-Konfiguration, Ihre RADIUS-Timeout- und Wiederholungseinstellungen und Ihre NAS-ID-Konfiguration für präzise Standortanalysen. Der Business Case ist überzeugend. McDonald's Belgien, Walmart Kanada und Harrods sind bereits aktive Live-Bereitstellungen von Purple und Cisco. AGS Airports erzielte einen Return on Investment von 842 Prozent. Harrods verwandelte 600.000 WiFi-Anmeldungen in einen 57-fachen Return on Investment. Wenn Sie bereit für den nächsten Schritt sind, erstellen Sie Ihren Meraki API-Schlüssel, melden Sie sich im Purple-Portal an und nutzen Sie den Hardware-Import-Assistenten, um Ihren Access-Point-Bestand zu importieren. Von dort aus kann Ihr Purple-Account-Team Sie in einer einzigen Sitzung durch die SSID- und RADIUS-Konfiguration führen. Vielen Dank für Ihre Zeit.