CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Willkommen zum technischen Briefing von Purple. Ich bin Ihr Gastgeber, und heute befassen wir uns mit einem Bereitstellungsmuster, das bei fast jedem größeren Enterprise-WiFi-Projekt auftritt – der Integration von CommScope Ruckus mit der Cloud-Plattform von Purple. Unabhängig davon, ob Sie eine Hotelgruppe, ein Einzelhandelsnetz, ein Stadion oder ein Konferenzzentrum betreiben, liefert Ihnen diese Episode den Konfigurationsleitfaden, den Sie benötigen. Lassen Sie uns zunächst die Ausgangslage betrachten. Ruckus – jetzt unter CommScope – ist weltweit eine der dominierenden Enterprise-WiFi-Plattformen. Insbesondere SmartZone ist der Controller der Wahl für Umgebungen mit hoher Dichte. Hotels wie Premier Inn, große Einzelhandelsketten, Stadien und Kongresszentren nutzen alle eine Ruckus-Infrastruktur. Wenn Sie Guest WiFi in dieser Größenordnung bereitstellen, benötigen Sie mehr als eine offene SSID. Sie benötigen eine strukturierte Authentifizierung, eine GDPR-konforme Datenerfassung und die Möglichkeit, diese Gästedaten in Ihren Marketing-Stack einzuspeisen. Genau hier kommt Purple ins Spiel. Purple ist an über 80.000 Live-Standorten im Einsatz, hat allein im Jahr 2024 440 Millionen Logins verarbeitet und ist nach ISO 27001, GDPR und Cyber Essentials zertifiziert. Die Ruckus-Integration ist eines unserer ausgereiftesten Bereitstellungsmuster. Nun gibt es bei Ruckus drei verschiedene Controller-Plattformen, die Sie verstehen müssen, bevor Sie einen Konfigurationsbildschirm berühren. SmartZone – verfügbar als physische SZ300-Appliance oder als virtuelle vSZ – ist der Enterprise-Controller für große, standortübergreifende Bereitstellungen. Er verwaltet Tausende von Access Points über mehrere Zonen hinweg, bietet Ihnen eine umfassende Richtlinienkontrolle und unterstützt die gesamte Palette der Authentifizierungsmethoden, die wir heute behandeln werden. ZoneDirector ist der ältere On-Premises-Controller – der immer noch weit verbreitet ist, insbesondere im Gastgewerbe – und er unterstützt denselben WISPr-basierten Captive Portal-Ablauf, wenn auch mit einem etwas anderen Konfigurationspfad. Und Unleashed ist das controllerlose Modell, bei dem ein AP als Master für bis zu 128 andere fungiert. Es ist ideal für kleinere Bereitstellungen an einzelnen Standorten – unabhängige Hotels, Einzelhandelsfilialen, KMU-Büros. Gut. Gehen wir ins technische Detail. Ich werde drei verschiedene Anwendungsfälle behandeln: Guest WiFi mit Captive Portal-Weiterleitung, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mit Ruckus Dynamic PSK. Beginnen wir mit dem Guest WiFi. Die Architektur hier ist ein WISPr-basierter Hotspot-Ablauf. WISPr – Wireless Internet Service Provider roaming – ist ein Industriestandard, der definiert, wie ein Wireless-Controller nicht authentifizierten HTTP-Datenverkehr abfängt und an ein externes Portal weiterleitet. Der Gast verbindet sich mit Ihrer SSID. Sein Gerät sendet eine HTTP-Anfrage. SmartZone fängt diese ab und gibt eine HTTP-302-Weiterleitung an Ihre externe Portal-URL aus – in diesem Fall an das Captive Portal von Purple. Der Gast authentifiziert sich – per Social Login, E-Mail, SMS oder über ein benutzerdefiniertes Formular – und das Portal kommuniziert anschließend über das Northbound Interface (NBI) mit dem Controller, um den Zugang freizugeben. Auf der SmartZone besteht die Konfiguration aus vier Hauptkomponenten. Erstens das RADIUS-Authentifizierungsserver-Profil. Navigieren Sie zu „Services and Profiles“, dann zu „Authentication“. Erstellen Sie ein neues AAA-Serverprofil. Stellen Sie das Service-Protokoll auf RADIUS ein. Die IP-Adresse Ihres primären Servers und das Shared Secret werden in der Purple-Administrationskonsole bereitgestellt. Port 1812 für die Authentifizierung. Konfigurieren Sie aus Redundanzgründen immer einen Backup-RADIUS-Server. Erstellen Sie dann den Accounting-Server unter „Services and Profiles“, „Accounting“ – Port 1813, gleiches Shared Secret. Zweitens das Hotspot-WISPr-Profil. Gehen Sie zu „Services and Profiles“, „Hotspots and Portals“ und wählen Sie die Registerkarte „Hotspot WISPr“. Erstellen Sie ein neues Profil. Stellen Sie die Login-URL auf „External“ ein und geben Sie Ihre Portal-Weiterleitungs-URL ein. Stellen Sie die Startseite so ein, dass sie zu Ihrer URL nach der Authentifizierung weiterleitet – normalerweise eine Erfolgsseite oder die Homepage Ihres Standorts. Nun zum Walled Garden. Dies ist der Punkt, an dem Techniker am häufigsten stolpern. Der Walled Garden definiert, welche Domains und IP-Adressen ein Gast erreichen kann, bevor er sich authentifiziert hat. Sie müssen Ihre Portal-Domain, alle CDN- oder Asset-Domains, von denen Ihr Portal geladen wird, und standardmäßige OS-Captive-Portal-Erkennungsendpunkte aufnehmen. In SmartZone werden Platzhalter im Format „Asterisk-Punkt“ unterstützt – „*.purple.ai“ deckt also alle Subdomains ab. Sie benötigen außerdem Apples Domain zur Erkennung von Captive Portals – captive.apple.com – und die Verbindungstest-Endpunkte von Google, um zu verhindern, dass sich der CNA-Mini-Browser auf iOS- und Android-Geräten fehlerhaft verhält. Ein kritischer Schritt, der leicht übersehen wird: Standardmäßig verschlüsselt SmartZone die MAC-Adresse und die IP-Adresse, die in der Weiterleitungs-URL an das externe Portal übergeben werden. Purple muss jedoch die tatsächliche Client-MAC-Adresse sehen, um eine MAC-basierte Sitzungsverwaltung durchzuführen. Sie müssen dies über die CLI deaktivieren. Verbinden Sie sich per SSH mit Ihrer SmartZone, wechseln Sie in den Konfigurationsmodus und führen Sie folgenden Befehl aus: „no encrypt-mac-ip“. Das ist nur ein einziger Befehl, aber er ist ein absoluter Showstopper, wenn Sie ihn auslassen. Das Northbound Interface ist der andere wesentliche Bestandteil. Dies ist die API, die es Purple ermöglicht, mit der SmartZone zu kommunizieren, um den Zugang nach der Authentifizierung zu gewähren oder zu verweigern. Aktivieren Sie es unter „Administration“, „External Services“, „WISPr Northbound Interface“. Legen Sie einen Benutzernamen und ein Passwort fest und hinterlegen Sie diese Anmeldedaten in Purple. Das NBI läuft auf TCP-Port 9080 für HTTP und 9443 für HTTPS – stellen Sie sicher, dass Ihre Firewall eingehende Verbindungen aus dem IP-Bereich von Purple auf diesen Ports zulässt. Erstellen Sie schließlich Ihr WLAN. Stellen Sie den Authentifizierungstyp auf „Hotspot WISPr“ ein, wählen Sie Ihr Portalprofil aus und weisen Sie Ihre RADIUS-Authentifizierungs- und Accounting-Dienste zu. Stellen Sie die NAS-ID auf „User-defined“ ein, falls Purple einen bestimmten Wert erfordert, setzen Sie die Called Station ID auf „AP MAC“ und aktivieren Sie „Single Session ID“. Bei Unleashed ist die Architektur grundlegend anders – es handelt sich um ein verteiltes, controllerloses Modell. Die Konfiguration befindet sich unter „Admin and Services“, „Services“, „Hotspot Services“. Die Schritte sind im Großen und Ganzen ähnlich – erstellen Sie einen Hotspot-Dienst, konfigurieren Sie Ihre externe Portal-URL, richten Sie Ihren AAA-Authentifizierungsserver ein, fügen Sie Ihre Walled-Garden-Einträge hinzu –, aber es gibt zwei Hauptunterschiede. Bei Unleashed ist kein Northbound Interface erforderlich. Und die MAC-Adressen-Verschlüsselung wird standardmäßig nicht angewendet, sodass Sie den CLI-Befehl nicht benötigen. Der Walled Garden von Unleashed akzeptiert zudem Einträge auf Domainebene anstelle der vollständigen Platzhaltersyntax. Kommen wir nun zum sicheren Mitarbeiter-WiFi über 802.1X. Dies ist ein völlig anderes Authentifizierungsmodell. Anstelle eines Captive Portals authentifizieren sich Mitarbeitergeräte direkt über das Extensible Authentication Protocol – EAP. Die am häufigsten verwendete Methode in Unternehmensumgebungen ist PEAP-MSCHAPv2, bei der der Benutzer seine Active Directory-Anmeldedaten eingibt, oder EAP-TLS, bei dem das Gerät ein Zertifikat vorweist. Das SecurePass-Add-on von Purple lässt sich in Microsoft Entra ID, Okta und Google Workspace integrieren, um als RADIUS-Backend für diesen Ablauf zu fungieren. Erstellen Sie auf der SmartZone ein neues WLAN und stellen Sie den Authentifizierungstyp auf „802.1X EAP“ ein. Verweisen Sie unter den AAA-Einstellungen auf Ihren RADIUS-Server – den SecurePass-Endpunkt von Purple. Der Hauptunterschied zum Gäste-Ablauf besteht darin, dass Sie hier auch die dynamische VLAN-Zuweisung konfigurieren. Wenn der RADIUS-Server von Purple ein „Access-Accept“ zurückgibt, enthält es drei IETF-Standardattribute: „Tunnel-Type“ gesetzt auf „VLAN“ (Wert 13), „Tunnel-Medium-Type“ gesetzt auf „IEEE-802“ (Wert 6) und „Tunnel-Private-Group-ID“ mit der VLAN-ID-Zeichenfolge – zum Beispiel „20“ für das Mitarbeiter-VLAN. SmartZone liest diese Attribute und versieht den Datenverkehr des Mitarbeiters dynamisch mit dem korrekten VLAN-Tag, unabhängig davon, mit welchem AP er verbunden ist. Dies ist die dynamische VLAN-Steuerung, die es ermöglicht, dass eine einzige SSID mehrere Benutzerrollen mit unterschiedlichen Netzwerkzugriffsrichtlinien bedient. Aktivieren Sie „AAA Override“ in den erweiterten WLAN-Einstellungen, um sicherzustellen, dass SmartZone die vom RADIUS-Server zurückgegebenen VLAN-Attribute verarbeitet. Ohne dieses Kontrollkästchen funktioniert die dynamische Zuweisung nicht, selbst wenn der RADIUS-Server die korrekten Attribute sendet. Der dritte Anwendungsfall ist die mandantenfähige Isolierung mithilfe von Ruckus Dynamic PSK – oder DPSK. Dies ist eine Ruckus-proprietäre Technologie, die jedem Benutzer oder Mieter eine eindeutige WPA2-Passphrase zuweist, und das alles auf einer einzigen SSID. Im Gegensatz zu einem gemeinsam genutzten PSK, bei dem alle dasselbe Passwort verwenden, bedeutet DPSK, dass Mieter A einen eindeutigen 62-stelligen Schlüssel hat, Mieter B einen anderen und so weiter. Jeder Schlüssel ist an ein bestimmtes VLAN gebunden, sodass der Datenverkehr von Mieter A im VLAN 101 und der von Mieter B im VLAN 102 landet – vollständige Isolierung, kein Risiko durch gemeinsam genutzte Passwörter und sofortiger Entzug des Zugangs, ohne andere Mieter zu beeinträchtigen. Dies ist besonders vorteilhaft in Co-Working-Spaces, Mietwohnungsgebäuden, Studentenwohnheimen und mandantenfähigen Fachmarktzentren. Purple lässt sich über die SmartZone-API in Ruckus DPSK integrate, um die Schlüsselbereitstellung zu automatisieren: Wenn ein neuer Mieter in Purple angelegt wird, wird automatisch ein DPSK generiert, an das richtige VLAN gebunden und dem Mieter zugestellt. Um DPSK auf der SmartZone zu konfigurieren: Navigieren Sie zu „WLANs“, fügen Sie ein neues WLAN hinzu und stellen Sie unter „Security“ die Methode auf „Dynamic PSK“ ein. Stellen Sie die DPSK-Länge für maximale Entropie auf 62 Zeichen ein. Aktivieren Sie unter „VLAN“ die Option „Per-DPSK VLAN assignment“. Verwenden Sie dann die SmartZone-API oder die DPSK-Verwaltungsoberfläche, um individuelle Schlüssel pro Mieter zu erstellen, die jeweils der eigenen VLAN-ID zugeordnet sind. Auf Unleashed ist dieselbe Funktion unter „WiFi Networks“, „Advanced Options“, „Dynamic PSK“ verfügbar. DPSK3 ist die WPA3-Variante, die eine stärkere SAE-basierte Verschlüsselung bietet. Wenn Ihre AP-Flotte WPA3 unterstützt – was alle aktuellen Ruckus-APs der R-Serie tun –, ist DPSK3 die bevorzugte Wahl für neue Bereitstellungen. Lassen Sie mich zwei reale Implementierungsszenarien durchgehen, die zeigen, wie diese drei Anwendungsfälle zusammenwirken. Erstes Szenario: ein Hotel mit 250 Zimmern. Das Hotel betreibt Ruckus SmartZone mit R750 Access Points im gesamten Gebäude. Sie benötigen drei Netzwerktypen: Guest WiFi für Hotelgäste, sicheres Mitarbeiter-WiFi für Rezeptions- und Back-Office-Mitarbeiter sowie ein IoT-Netzwerk für intelligente Raumsteuerungen und Videoüberwachung. Das Gäste-WLAN verwendet den WISPr-basierten Captive Portal-Ablauf mit Purple. Gäste verbinden sich, werden zu einem gebrandeten Purple-Portal weitergeleitet, authentifizieren sich per E-Mail oder Social Login und landen im VLAN 10. Das Portal erfasst First-Party-Daten – E-Mail, Marketing-Einwilligung, Aufenthaltspräferenzen –, die direkt in das CRM des Hotels einfließen. Das Analyse-Dashboard von Purple zeigt dem Hotel, welche Etagen die höchsten Verbindungsraten, Spitzennutzungszeiten und Wiederholungsbesucherzahlen aufweisen. Premier Inn hat dieses Modell in allen seinen britischen Hotels eingeführt und konnte messbare Verbesserungen bei den Gästezufriedenheitswerten verzeichnen, die direkt mit dem WiFi-Erlebnis zusammenhängen. Das Mitarbeiter-WLAN verwendet 802.1X mit SecurePass von Purple. Mitarbeiter authentifizieren sich mit ihren Active Directory-Anmeldedaten über PEAP-MSCHAPv2. Rezeptionsmitarbeiter landen im VLAN 20 mit Zugriff auf das Hotelmanagementsystem. Back-Office-Mitarbeiter landen im VLAN 21 mit Zugriff ausschließlich auf HR- und Dienstplansysteme. Die VLAN-Zuweisung wird vollständig durch die von Purple zurückgegebenen RADIUS-Attribute gesteuert – es ist keine manuelle Portkonfiguration erforderlich. Wenn ein Mitarbeiter das Unternehmen verlässt, wird sein Konto in Microsoft Entra ID deaktiviert und der Zugriff wird sofort für alle Standorte gesperrt. Das IoT-WLAN verwendet einen statischen PSK, der auf VLAN 30 isoliert ist, wobei die Client-Isolierung aktiviert ist. Intelligente Thermostate, Türschlösser und Überwachungskameras befinden sich hier, völlig getrennt vom Datenverkehr der Gäste und Mitarbeiter. Zweites Szenario: ein Co-Working-Space mit 15 Mieterunternehmen. Hier spielt DPSK seine Stärken voll aus. Der Betreiber nutzt Ruckus Unleashed auf drei Etagen. Jedes Mieterunternehmen erhält eine eindeutige DPSK, die an sein eigenes VLAN gebunden ist. Die 20 Mitarbeiter von Mieter A verwenden alle dieselbe DPSK-A-Passphrase, aber diese Passphrase ist für Mieter A eindeutig und wird nur dem VLAN 101 zugeordnet. Mieter B verwendet DPSK-B, das dem VLAN 102 zugeordnet ist. Die Mieter sind auf der Netzwerkschicht vollständig voneinander isoliert. Wenn ein Mieter auszieht, entzieht der Betreiber seine DPSK in der SmartZone – oder über die Verwaltungsoberfläche von Purple – und das war's. Kein anderer Mieter ist betroffen, es sind keine SSID-Änderungen erforderlich und es müssen keine Passwörter im gesamten Gebäude zurückgesetzt werden. Die mandantenfähige Verwaltungsebene von Purple setzt darauf auf und bietet dem Co-Working-Betreiber ein einziges Dashboard zur Verwaltung von Onboarding, Zugriffsentzug und Nutzungsanalysen für alle 15 Mieter. Lassen Sie mich nun die häufigsten Fehlerquellen behandeln und zeigen, wie man sie vermeidet. Erstens: Falsche Konfiguration des Walled Garden. Wenn Ihre Portalseite nach der Weiterleitung nicht geladen wird, sollten Sie als Erstes prüfen, ob alle Domains, auf die Ihre Portalseite verweist, im Walled Garden eingetragen sind. Moderne Portalseiten laden Ressourcen von mehreren CDN-Domains, Analyseskripten und Social-Login-SDKs. Wenn eine davon vor der Authentifizierung blockiert wird, wird die Seite entweder gar nicht oder fehlerhaft geladen. Verwenden Sie die Entwicklertools Ihres Browsers auf einem Testgerät, das mit der Gäste-SSID verbunden ist, um festzustellen, welche Anfragen blockiert werden. Purple stellt eine dokumentierte Walled-Garden-Liste für SmartZone und Unleashed zur Verfügung – nutzen Sie diese als Basis und fügen Sie alle standortspezifischen Domains hinzu. Zweitens: Verbindungsprobleme mit dem NBI. Wenn Gäste das Portal sehen und sich authentifizieren können, aber nie Internetzugang erhalten, liegt die Ursache wahrscheinlich darin, dass SmartZone den NBI-Callback von Purple nicht empfangen kann. Überprüfen Sie, ob die Ports 9080 und 9443 für eingehende Verbindungen auf der Management-IP der SmartZone aus dem IP-Bereich von Purple geöffnet sind. Stellen Sie außerdem sicher, dass die von Ihnen konfigurierten NBI-Anmeldedaten mit den bei Purple hinterlegten Daten übereinstimmen. Drittens: Der fehlende Befehl „no encrypt-mac-ip“. Dies ist der häufigste SmartZone-spezifische Fehler. Wenn Purple Weiterleitungsanfragen empfängt, die Sitzung jedoch keiner MAC-Adresse zuordnen kann, ist dies fast sicher die Ursache. Es handelt sich um eine einzeilige CLI-Korrektur, die jedoch leicht übersehen wird, da sie in der GUI nicht angezeigt wird. Viertens: AAA Override für dynamisches VLAN nicht aktiviert. Wenn sich Mitarbeiter erfolgreich über 802.1X authentifizieren, aber alle im selben Standard-VLAN statt in ihrem rollenspezifischen VLAN landen, überprüfen Sie, ob „AAA Override“ in den erweiterten WLAN-Einstellungen aktiviert ist. Dies ist der Schalter, der SmartZone anweist, die vom RADIUS-Server zurückgegebenen VLAN-Attribute zu berücksichtigen. Fünftens: DPSK-VLAN wird nicht übertragen. Wenn sich DPSK-Benutzer authentifizieren, aber nicht im richtigen VLAN landen, stellen Sie sicher, dass die Option „Per-DPSK VLAN assignment“ in den WLAN-Einstellungen aktiviert ist und dass die mit Ihren APs verbundenen Switch-Ports als Trunk-Ports konfiguriert sind, die alle DPSK-VLANs übertragen. Wenn der Switch-Port als Access-Port konfiguriert ist, wird das VLAN-Tagging entfernt. Nun drei schnelle Fragen, die mir bei jeder Ruckus-Purple-Bereitstellung gestellt werden. Benötige ich ein dediziertes VLAN für Guest WiFi? Ja, immer. Isolieren Sie den Gästedatenverkehr in einem dedizierten VLAN. Dies ist sowohl eine Sicherheitsanforderung als auch eine PCI-DSS-Compliance-Überlegung, wenn Ihr Standort Kartenzahlungen über dasselbe Netzwerk abwickelt. Aktivieren Sie die Client-Isolierung im Gäste-WLAN, um zu verhindern, dass Gäste-Geräte untereinander kommunizieren. Kann ich Purple mit Ruckus One – der Cloud-verwalteten Plattform – anstelle von SmartZone verwenden? Ja. Der Konfigurationspfad ist anders – er befindet sich unter „WiFi Networks“, „Guest Access settings“ im Ruckus One-Portal –, aber die Prinzipien für den Walled Garden und die RADIUS-Konfiguration sind identisch. Unterstützt Purple SmartZone-Bereitstellungen mit mehreren Zonen? Ja. Die Integration von Purple unterstützt SmartZone-Umgebungen mit mehreren Zonen, und Sie können Portalkonfigurationen auf einzelne Zonen für verschiedene Standorte oder Etagen innerhalb einer einzigen SmartZone-Instanz beschränken. Zusammenfassend lässt sich sagen: Die Integration von Ruckus und Purple deckt drei verschiedene Anwendungsfälle ab, jeder mit seinem eigenen Konfigurationsmodell. Guest WiFi verwendet den WISPr-basierten Captive Portal-Ablauf – fünf wichtige Konfigurationspunkte: RADIUS auf den Ports 1812 und 1813 mit einem Backup-Server, das Hotspot-WISPr-Profil mit einer externen Login-URL, ein korrekt dimensionierter Walled Garden mit Platzhaltereinträgen, der CLI-Befehl „no encrypt-mac-ip“ und das aktivierte Northbound Interface mit den korrekten Anmeldedaten. Sicheres Mitarbeiter-WiFi verwendet 802.1X EAP mit dynamischer VLAN-Steuerung über RADIUS-Attribute – die entscheidende Voraussetzung ist „AAA Override“ in den erweiterten WLAN-Einstellungen. Mandantenfähige Isolierung verwendet Ruckus DPSK – eindeutige Schlüssel pro Mieter, die jeweils an ein dediziertes VLAN gebunden sind, mit sofortigem Entzug des Zugangs und ohne das Risiko gemeinsam genutzter Passwörter. Wenn Sie diese drei Muster richtig umsetzen, verfügen Sie über eine Netzwerkinteressengemeinschaft, die sich von einem unabhängigen Hotel mit 50 Zimmern auf Unleashed bis hin zu einem Stadion mit 5.000 Sitzplätzen auf SmartZone skalieren lässt, wobei dieselbe Purple-Plattform über allem steht und einheitliche Analysen, eine GDPR-konforme Datenerfassung und eine zentrale Zugangsverwaltung bietet. Wenn Sie eine Ruckus-Bereitstellung mit Purple planen, kann Sie das technische Onboarding-Team durch eine Pre-Launch-Checkliste führen und Ihre Konfiguration vor der Liveschaltung validieren. Die Purple-Plattform bietet zudem Echtzeit-Analysen zu Portalladezeiten, Authentifizierungserfolgsraten und Sitzungsdaten – so erhalten Sie die nötige Transparenz, um Probleme zu erkennen, bevor Ihre Gäste es tun. Vielen Dank fürs Zuhören. Bis zum nächsten Mal.