EnGenius Cloud Access Points Integration mit Purple WiFi

Diese technische Referenz beschreibt Schritt für Schritt die Integration von EnGenius Cloud Access Points und ECS-Switches mit der Gäste-WiFi-Plattform von Purple. Sie umfasst die Weiterleitung zum Captive Portal für Gäste über eine externe Splash Page, die Walled Garden-Konfiguration, sicheres Mitarbeiter-WiFi mit IEEE 802.1X und mandantenfähige Netzwerkisolation mittels EnGenius MyPSK mit dynamischer VLAN-Zuweisung. IT-Installateure und Netzwerkarchitekten finden hier praxisnahe Konfigurationsabläufe, reale Fallstudien und ein Framework zur Fehlerbehebung für die Bereitstellung von Purple auf EnGenius-Hardware.

📖 9 Min. Lesezeit📝 2,239 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 10 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

PODCAST-SKRIPT: Integration von EnGenius Cloud Access Points mit Purple WiFi
Purple WiFi Intelligence Platform - Technische Informationsreihe
Dauer: Ca. 10 Minuten
Stimme: britisches Englisch, Tonfall eines Senior Consultants - selbstbewusst, locker, autoritär

[INTRO - 1 MINUTE]

Willkommen zur Purple Technische Informationsreihe. Heute befassen wir uns mit einem Thema, das bei Enterprise-Bereitstellungen regelmäßig auftritt: der Integration von EnGenius Cloud Access Points in die Guest-WiFi-Plattform von Purple.

Wenn Sie eine EnGenius-Infrastruktur betreiben – sei es mit Access Points der ECW-Serie in einem Hotel, einer Einzelhandelskette oder einem Bürogebäude mit mehreren Mietern – und Sie ein gebrandetes Captive Portal hinzufügen, First-Party-Besucherdaten erfassen und eine ordnungsgemäße Netzwerksegmentierung durchsetzen möchten, dann ist dieses Briefing genau das Richtige für Sie.

In den nächsten zehn Minuten möchte ich Sie durch die vier Kernbereiche der Konfiguration führen: Weiterleitung zum Guest Captive Portal, Einrichtung des Walled Garden, sicheres Mitarbeiter-WiFi mit 802.1X und Multi-Tenant-Isolierung mit EnGenius MyPSK mit dynamischer VLAN-Zuweisung. Am Ende werden Sie ein klares Bild davon haben, was genau in welcher Reihenfolge zu konfigurieren ist und wo die häufigsten Fallstricke liegen.

Legen wir los.

[TECHNISCHE DETAILS - 5 MINUTEN]

Beginnen wir mit dem Guest Captive Portal, dem am häufigsten gewählten Ausgangspunkt für jeden Standortbetreiber.

EnGenius Cloud unterstützt externe Splash Pages nativ. Das bedeutet, dass nicht authentifizierte Gäste auf das in der Cloud gehostete Portal von Purple weitergeleitet werden, anstatt eine einfache Anmeldeseite auf dem Access Point selbst zu hosten. Hier befinden sich das Branding, die Datenerfassung, das Einwilligungsmanagement und die Analysen.

Hier ist die Konfigurationsreihenfolge in EnGenius Cloud. Melden Sie sich in Ihrem EnGenius Cloud-Dashboard an und navigieren Sie zu „Configure“, dann zu „SSID“. Wählen Sie Ihre Guest-SSID aus. Legen Sie unter der Registerkarte „Wireless“ den Sicherheitstyp je nach Wunsch auf „Open“ oder „WPA2 PSK“ fest. „Open“ ist der Standard für die meisten Guest-WiFi-Bereitstellungen. Wechseln Sie dann auf die Registerkarte „Captive Portal“. Aktivieren Sie das Captive Portal und stellen Sie den „Authentication Type“ auf „Custom RADIUS“. Dies ist die entscheidende Einstellung. Sie weist den Access Point an, Authentifizierungsanfragen an einen externen RADIUS-Server weiterzuleiten, bei dem es sich in diesem Fall um den Cloud-RADIUS-Endpunkt von Purple handelt.

Geben Sie nun die RADIUS-Details von Purple ein. Die IP-Adresse des primären RADIUS-Servers finden Sie in Ihrem Purple-Dashboard unter „Hardware Configuration“. Der Authentifizierungs-Port ist UDP 1812. Der Accounting-Port ist UDP 1813. Geben Sie das Shared Secret ein. Purple generiert dieses für Sie, und es sollte mindestens 22 Zeichen lang sein, bestehend aus einer Mischung aus Groß- und Kleinschreibung, Zahlen und Sonderzeichen. Stellen Sie den NAS-Identifikator so ein, dass er mit Ihrem Standortnamen oder einem eindeutigen Identifikator übereinstimmt, den Sie in Purple definiert haben.
Wechseln Sie als Nächstes zur Registerkarte Splash Page. Wählen Sie External Splash Page URL und geben Sie die URL des Purple-Portals ein. Dies ist die URL, die Purple für Ihren spezifischen Standort bereitstellt. Wenn sich ein Gast mit der SSID verbindet und einen Browser öffnet, fängt der Access Point die Anfrage ab und leitet sie an diese URL weiter. Dabei werden Parameter wie die MAC-Adresse des Clients, die MAC-Adresse des APs und die ursprüngliche URL, die der Gast aufrufen wollte, übergeben.

Nun zum Walled Garden. Dies ist die Liste der Domains und IP-Adressen, die Gäste vor der Authentifizierung erreichen können. Ohne diese Liste kann das Purple-Portal selbst nicht geladen werden, da der Browser des Gasts die Server von Purple nicht erreichen kann. In der EnGenius Cloud befindet sich der Walled Garden unter Captive Portal, dann Advanced Settings und schließlich Walled Garden. Sie müssen die Domain des Purple-Portals, die CDN-Endpunkte von Purple und die Captive Portal Probe-Endpunkte der Betriebssysteme hinzufügen. Für Apple-Geräte ist das captive.apple.com. Für Android connectivitycheck.gstatic.com. Für Windows msftconnecttest.com. Wenn Sie einen dieser Endpunkte vergessen, wird den Gästen auf diesen Plattformen das Portal überhaupt nicht angezeigt.

Wenn Sie Social Login über Google oder Facebook anbieten, müssen Sie auch die OAuth-Endpunkte dieser Anbieter auf die Whitelist setzen. Google erfordert mindestens accounts.google.com, oauth2.googleapis.com und apis.google.com. Facebook benötigt www.facebook.com, graph.facebook.com und connect.facebook.net. Die Support-Dokumentation von Purple bietet eine aktuelle Walled Garden-Liste für jede Authentifizierungsmethode. Nutzen Sie diese als Referenz, da sich diese Domains ändern können.

Kommen wir nun zum sicheren Mitarbeiter-WiFi mittels 802.1X.

Dies ist eine separate SSID. Der Sicherheitstyp ist hier WPA2 Enterprise oder WPA3 Enterprise. Wählen Sie in der EnGenius Cloud unter der Registerkarte SSID Wireless die Option WPA2 Enterprise und dann Custom RADIUS. Geben Sie dieselben RADIUS-Server-Details ein: den RADIUS-Endpunkt von Purple, Port 1812 und das Shared Secret. Der Unterschied zur Gasteinrichtung besteht darin, dass es hier kein Captive Portal gibt. Die Geräte der Mitarbeiter authentifizieren sich geräuschlos über das IEEE 802.1X-Protokoll. Das Gerät legt dem RADIUS-Server ein Zertifikat oder einen Benutzernamen und ein Passwort vor, der diese überprüft und eine Access-Accept-Nachricht zusammen mit VLAN-Zuweisungsattributen zurückgibt.

Die RADIUS-Attribute, die die dynamische VLAN-Zuweisung steuern, sind Tunnel-Type (eingestellt auf VLAN), Tunnel-Medium-Type (eingestellt auf 802) und Tunnel-Private-Group-ID (eingestellt auf die VLAN-Nummer). Wenn Ihr Mitarbeiter-VLAN also VLAN 20 ist, gibt der RADIUS-Server Tunnel-Private-Group-ID mit dem Wert 20 zurück. Der EnGenius Access Point liest dieses Attribut und weist das authentifizierte Gerät automatisch VLAN 20 zu. Das bedeutet, dass Sie eine einzige SSID für mehrere Mitarbeiterrollen (Finanzen, Betrieb, IT, Auftragnehmer) nutzen können, wobei jeder basierend auf seiner Verzeichnisgruppenmitgliedschaft in einem anderen VLAN landet – und das ganz ohne manuelle VLAN-Konfiguration pro Gerät.

Für die EAP-Methode ist PEAP-MSCHAPv2 die am häufigsten gewählte Option für Umgebungen, die Active Directory oder Microsoft Entra ID verwenden. Sie erfordert ein serverseitiges Zertifikat auf dem RADIUS-Server und Benutzername-Passwort-Anmeldedaten auf dem Client. EAP-TLS ist sicherer. Es verwendet Zertifikate auf beiden Seiten. Allerdings erfordert es eine PKI-Infrastruktur und ein MDM-Deployment, um die Zertifikate auf die Geräte zu pushen. Für die meisten Betreiber von Veranstaltungsorten ist PEAP-MSCHAPv2 mit einer strikten Zertifikatsvalidierung, die über Gruppenrichtlinien oder MDM erzwungen wird, die praktischste Wahl.

Nun zum technisch interessantesten Teil: EnGenius MyPSK und Multi-Tenant-Isolierung.

MyPSK, auch als PPSK oder Private Pre-Shared Key bezeichnet, löst ein spezifisches Problem in Multi-Tenant-Umgebungen. In einer Mietwohnanlage (Build-to-Rent), einem Serviced Office oder einem Studentenwohnheim möchten Sie, dass jeder Mieter oder Bewohner sein eigenes, eindeutiges WiFi-Passwort hat. Sie möchten jedoch nicht für jeden Mieter eine eigene SSID erstellen. Das führt zu einer Überlastung der Funkfrequenzen und erhöht den Verwaltungsaufwand.

Mit MyPSK können Sie bis zu 500 eindeutige Pre-Shared Keys pro SSID erstellen. Jeder Schlüssel ist an ein bestimmtes VLAN gebunden. Wenn sich ein Bewohner mit seinem eindeutigen Schlüssel verbindet, weist der Access Point ihn automatisch seinem zugewiesenen VLAN zu. Der Datenverkehr von Mieter A berührt niemals das Netzwerksegment von Mieter B. Die Verschlüsselung erfolgt ebenfalls pro Benutzer. Jeder Schlüssel generiert einen eindeutigen Pairwise Master Key, sodass ein Mieter den Over-the-Air-Datenverkehr eines anderen Mieters nicht entschlüsseln kann, obwohl sie dieselbe SSID nutzen.

In EnGenius Cloud konfigurieren Sie MyPSK unter den SSID-Sicherheitseinstellungen. Wählen Sie WPA2 PSK oder WPA3 Personal und aktivieren Sie dann MyPSK. Sie können dann PSKs einzeln erstellen oder automatisch Batches von bis zu 50 Keys gleichzeitig generieren. Für jeden PSK weisen Sie eine VLAN-ID zu und legen optional ein Ablaufdatum fest. Wenn ein Mietvertrag endet oder ein Student seinen Abschluss macht, lassen Sie seinen PSK einfach ablaufen oder löschen ihn. Der Zugriff wird sofort widerrufen, ohne dass sich dies auf andere Mieter auswirkt.

Für die Purple-Integration in einer MyPSK-Umgebung können die für Gäste vorgesehenen Mieter weiterhin über ein Captive Portal in ihrem VLAN geleitet werden. Mitarbeiter und betriebliche Mieter umgehen das Portal vollständig. Die VLAN-Segmentierung stellt sicher, dass die Analysedaten von Purple dem jeweiligen Netzwerksegment korrekt zugeordnet werden.

[UMSETZUNGSEMPFEHLUNGEN UND FALLSTRICKE - 2 MINUTEN]

Lassen Sie mich Ihnen die Implementierungsreihenfolge empfehlen, die ich für ein sauberes erstes Deployment vorschlage.

Beginnen Sie mit Ihrer VLAN-Architektur, bevor Sie die WiFi-Konfiguration anpassen. Definieren Sie VLAN 10 für Gäste, VLAN 20 für Mitarbeiter, VLAN 30 für Mieter oder die Nummerierung, die zu Ihrem bestehenden Schema passt. Konfigurieren Sie diese VLANs zuerst auf Ihren ECS-Switchen mit den entsprechenden Trunk- und Access-Port-Zuweisungen. Die Access Points müssen getaggten Datenverkehr auf dem Uplink-Port für jedes VLAN empfangen, das Sie verwenden möchten.

Konfigurieren Sie dann die SSIDs in der EnGenius Cloud in dieser Reihenfolge: Zuerst die Gäste-SSID, da diese am einfachsten ist. Überprüfen Sie die Weiterleitung zum Captive Portal von Purple, bevor Sie fortfahren. Konfigurieren Sie anschließend die Mitarbeiter-SSID mit 802.1X. Testen Sie dies mit einem bekannten Gerät, bevor Sie das System für die gesamte Umgebung bereitstellen. Konfigurieren Sie dann MyPSK, falls Sie eine Mandantenisolierung benötigen.

Die Fallstricke. Erstens: Das Walled Garden. Dies ist die häufigste Ursache für fehlerhafte Captive Portal-Bereitstellungen. Wenn Gäste das Portal nicht erreichen können, überprüfen Sie zuerst das Walled Garden. Zweitens: Falsche Übereinstimmung beim gemeinsamen RADIUS-Schlüssel (Shared Secret). Das Shared Secret muss in der EnGenius Cloud-Konfiguration und der Purple RADIUS-Serverkonfiguration absolut identisch sein. Schon ein einziger abweichender Buchstabe führt dazu, dass jede Authentifizierung im Hintergrund fehlschlägt. Drittens: VLAN-Trunk-Konfiguration auf dem Switch. Wenn der ECS-Switch-Port, der mit dem Access Point verbunden ist, nicht als Trunk konfiguriert ist, der alle erforderlichen VLANs überträgt, schlägt die dynamische VLAN-Zuweisung fehl. Viertens: Zertifikatsvalidierung auf 802.1X-Clients. Wenn Mitarbeitergeräte nicht so konfiguriert sind, dass sie das RADIUS-Serverzertifikat validieren, sind sie anfällig für Diebstahl von Zugangsdaten über gefälschte Access Points. Setzen Sie dies über Gruppenrichtlinien für Windows und über MDM-Profile für alle anderen Geräte durch.

[SCHNELLE FRAGERUNDE - 1 MINUTE]

Ein paar Fragen, die mir bei EnGenius- und Purple-Bereitstellungen regelmäßig gestellt werden.

Kann ich anstelle des RADIUS von Purple den EnGenius Cloud RADIUS verwenden? Ja, für die interne Authentifizierung. Für Gäste-WiFi mit den Analysen und dem Portal von Purple müssen Sie jedoch auf den RADIUS-Endpunkt von Purple verweisen. Beide können auf unterschiedlichen SSIDs koexistieren.

Funktioniert MyPSK mit WPA3? Ja. EnGenius unterstützt WPA3 und den WPA2/WPA3-Mischmodus mit MyPSK. So erhalten WPA3-fähige Geräte eine SAE-Authentifizierung, während ältere Geräte auf WPA2 PSK zurückgreifen – und das alles mit demselben benutzerdefinierten Schlüssel.

Unterstützt Purple RADIUS Accounting für Sitzungsdaten? Ja. Aktivieren Sie den Accounting-Server in der RADIUS-Konfiguration der EnGenius Cloud und verweisen Sie auf den Accounting-Endpunkt von Purple auf UDP 1813. Dadurch fließen Sitzungsdauer und Datenvolumen in die Analysen von Purple ein.

[ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE - 1 MINUTE]

Zusammenfassend lässt sich sagen: Die Access Points der EnGenius Cloud lassen sich über vier Konfigurationsebenen nahtlos in die Gäste-WiFi-Plattform von Purple integrieren. Die Weiterleitung zum Gäste-Captive Portal nutzt benutzerdefiniertes RADIUS und eine externe Splash-Page-URL, die auf Purple verweist. Die Walled Garden-Whitelist stellt sicher, dass das Portal vor der Authentifizierung geladen wird. Das Mitarbeiter-WiFi nutzt WPA2 Enterprise mit 802.1X und dynamischer VLAN-Zuweisung über RADIUS-Attribute. Und die Mandantenisolierung nutzt EnGenius MyPSK, um eindeutige, an bestimmte VLANs gebundene Schlüssel pro Benutzer zuzuweisen, optional mit Ablaufdatum für zeitlich begrenzten Zugriff.

Purple ist an über 80.000 Standorten im Einsatz und hat allein im Jahr 2024 bereits 440 Millionen Logins verarbeitet. Die Plattform ist ISO 27001-zertifiziert, GDPR-konform und hardwareunabhängig. Genau deshalb funktioniert sie so reibungslos mit EnGenius sowie mit Cisco Meraki, HPE Aruba, Ruckus und dem Rest des Enterprise-Hardware-Ökosystems.

Wenn Sie für das Deployment bereit sind, beginnen Sie mit der Anleitung zur Konfiguration des Walled Gardens in der Support-Dokumentation von Purple und führen Sie anschließend die Einrichtung der SSID in der EnGenius Cloud durch. Die vollständige Schritt-für-Schritt-Anleitung finden Sie auf purple.ai. Vielen Dank für Ihre Aufmerksamkeit.

Wichtigste Erkenntnisse

✓EnGenius Cloud lässt sich über Custom RADIUS (UDP 1812/1813) und eine externe Splash-Page-URL, die in den SSID-Einstellungen des Captive Portal konfiguriert ist, in Purple integrieren.
✓Ein korrekt konfigurierter Walled Garden ist das wichtigste Element für Captive Portal-Bereitstellungen – er muss OS-Probe-Endpunkte, Purple-CDN-Domains und alle Social-Login-OAuth-Domains enthalten.
✓IEEE 802.1X mit WPA2/WPA3 Enterprise bietet eine sichere, passwortlose Mitarbeiterauthentifizierung mit dynamischer VLAN-Zuweisung über RADIUS Tunnel-Private-Group-ID-Attribute.
✓EnGenius MyPSK bietet Mandantenisolation auf einer einzigen SSID, indem einzelnen Benutzern eindeutige PSKs und VLANs zugewiesen werden. Es unterstützt bis zu 500 Schlüssel pro SSID mit optionalen Ablaufdaten.
✓Konfigurieren Sie die Trunk-Ports der ECS-Switches vor der Konfiguration der SSIDs – die dynamische VLAN-Zuweisung schlägt geräuschlos fehl, wenn der Switch das zugewiesene VLAN nicht übertragen kann.
✓PEAP-MSCHAPv2 ist nur mit einer strengen Serverzertifikatsvalidierung sicher, die über Group Policy oder MDM erzwungen wird – stellen Sie dies vor jedem 802.1X-Rollout bereit.
✓Purple verarbeitet jährlich 440 Millionen Logins an über 80.000 Standorten, ist ISO 27001-zertifiziert, GDPR-konform und hardwareunabhängig für Geräte von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet.

Executive Summary

Die Verwendung eines gemeinsam genutzten Pre-Shared Keys für Enterprise WiFi setzt Standorte erheblichen Sicherheitsrisiken aus und verhindert die Erfassung wertvoller First-Party-Daten. Dieser Leitfaden beschreibt detailliert die Integration von EnGenius Cloud Access Points mit der Guest WiFi -Plattform von Purple, um sichere, segmentierte und messbare drahtlose Netzwerke in den Bereichen Gastgewerbe , Einzelhandel und Multi-Tenant-Umgebungen bereitzustellen. Durch die Implementierung von IEEE 802.1X-Authentifizierung für Mitarbeiter, dynamische VLAN-Zuweisung über EnGenius MyPSK für Bewohner und Mieter sowie ein in der Cloud gehostetes Captive Portal für Gäste können IT-Teams strenge Zugriffskontrollen durchsetzen und gleichzeitig die drahtlose Infrastruktur in ein Business-Intelligence-Asset verwandeln.

Purple verarbeitet jährlich 440 Millionen Logins an über 80.000 Live-Standorten (interne Purple-Daten, 2024). Die Plattform ist ISO 27001-zertifiziert, GDPR- und CCPA-konform sowie hardwareunabhängig – was genau der Grund ist, warum sie sich neben Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist und Ubiquiti UniFi nahtlos in EnGenius integrieren lässt. Dieser Leitfaden behandelt die vier Konfigurationsebenen, die für die Bereitstellung von Purple auf EnGenius Cloud-Hardware erforderlich sind: Weiterleitung zum Guest Captive Portal, Einrichtung des Walled Gardens, sicheres Mitarbeiter-WiFi und Multi-Tenant-Isolierung mit EnGenius MyPSK.

Technische Detailanalyse

Architektur-Übersicht

Die Integration zwischen EnGenius Cloud und Purple basiert auf Standard-RADIUS-Protokollen und HTTP-Weiterleitung. Wenn sich ein Gast mit einem EnGenius ECW Access Point auf einer SSID mit aktiviertem Captive Portal verbindet, fängt der AP die erste HTTP-Anfrage ab und leitet den Browser auf die in der Cloud gehostete Splash-Page von Purple weiter. Diese Weiterleitung übergibt mehrere Parameter an das Portal – darunter client_mac, ap_mac und userurl –, die Purple verwendet, um die Sitzung zu verfolgen und eine Authentifizierungsentscheidung zurückzugeben.

Für Mitarbeiter und betriebliche Geräte wechselt die Architektur von der Captive Portal-Weiterleitung zur portbasierten Netzwerkzugriffskontrolle nach IEEE 802.1X. Der EnGenius Access Point fungiert als Authentifikator und leitet EAP-Nachrichten (Extensible Authentication Protocol) über den UDP-Port 1812 an den RADIUS-Server von Purple weiter. Nach erfolgreicher Authentifizierung gibt der RADIUS-Server eine Access-Accept-Nachricht zurück, die Attribute zur VLAN-Zuweisung enthält und den AP anweist, das Gerät im richtigen Netzwerksegment zu platzieren.

Ebene	SSID-Typ	Authentifizierungsmethode	VLAN-Zuweisung
Guest WiFi	Offen oder WPA2 PSK	Purple Captive Portal über Custom RADIUS	Statisch (z. B. VLAN 10)
Mitarbeiter-WiFi	WPA2/WPA3 Enterprise	802.1X (PEAP oder EAP-TLS)	Dynamisch über RADIUS-Attribute
Multi-Tenant	WPA2/WPA3 PSK mit MyPSK	Pro-Benutzer PSK	Pro-Key VLAN-Bindung

EnGenius Cloud-Plattform

EnGenius Cloud ist eine Cloud-verwaltete Netzwerkplattform, die die Access Points der ECW-Serie (einschließlich der WiFi 7-Modelle ECW220, ECW230 und ECW520) und die verwalteten Switches der ECS-Serie unterstützt. Die Plattform bietet ein zentrales Dashboard für das SSID-Management, die RADIUS-Konfiguration, VLAN-Tagging und die Einstellungen des Captive Portal über alle Geräte in einer Organisation hinweg. EnGenius Cloud unterstützt drei RADIUS-basierte Authentifizierungsarten für Captive Portal: EnGenius-Authentifizierung (unter Verwendung des integrierten Cloud RADIUS), Custom RADIUS (Verweis auf einen externen Server wie Purple) und Voucher-Service.

Für Unternehmensbereitstellungen ist Custom RADIUS die richtige Authentifizierungsart bei der Integration mit Purple. In diesem Modus wird der Access Point angewiesen, Authentifizierungsanfragen an den RADIUS-Endpunkt von Purple weiterzuleiten, wodurch das Captive Portal, die Analysen und die Datenerfassungsfunktionen von Purple aktiviert werden.

EnGenius MyPSK und Multi-Tenant-Isolierung

In Umgebungen wie Mietobjekten, Studentenwohnheimen, Serviced Offices oder Coworking-Spaces beeinträchtigt die Ausstrahlung einer separaten SSID für jeden Mieter die Hochfrequenzleistung. Jede zusätzliche SSID erzeugt Beacon-Frames, die Sendezeit verbrauchen und die für den Datenverkehr verfügbare Kapazität verringern. EnGenius MyPSK (auch als PPSK oder Private Pre-Shared Key bezeichnet) löst dieses Problem, indem bis zu 500 eindeutige PSKs auf einer einzigen SSID zugelassen werden.

Jeder Schlüssel ist an ein bestimmtes VLAN gebunden. Wenn sich ein Bewohner mit seinem eindeutigen Schlüssel verbindet, weist der Access Point ihn automatisch seinem zugewiesenen Netzwerksegment zu. Die Verschlüsselung erfolgt pro Benutzer: Jeder Schlüssel generiert einen eindeutigen Pairwise Master Key (PMK), sodass ein Mieter den Datenverkehr eines anderen Mieters über die Luft nicht entschlüsseln kann, obwohl sie dieselbe SSID nutzen. Dies ist ein grundlegender Sicherheitsvorteil gegenüber einem einzigen gemeinsamen PSK, bei dem jeder Benutzer, der das Passwort kennt, den gesamten Datenverkehr im Netzwerk entschlüsseln kann.

MyPSK-Schlüssel unterstützen Ablaufdaten, wodurch sie sich hervorragend für zeitlich begrenzte Zugriffsszenarien eignen: Der Schlüssel eines Studenten läuft am Ende des akademischen Jahres ab, der Schlüssel eines externen Dienstleisters endet mit dem Abschluss seines Auftrags, und der Schlüssel eines Konferenzteilnehmers erlischt um Mitternacht am letzten Veranstaltungstag.

Implementierungshandbuch

Schritt 1: Definieren Sie Ihre VLAN-Architektur

Definieren Sie vor der Konfiguration einer SSID die VLAN-Struktur auf Ihren ECS-Switches. Eine typische Bereitstellung verwendet drei VLANs:

VLAN-ID	Zweck	Zugriffsrichtlinie
VLAN 10	Gäste-WiFi	Nur Internet, isoliert vom Unternehmens-LAN
VLAN 20	Mitarbeiter-WiFi	Vollständiger Zugriff auf das Unternehmens-LAN
VLAN 30	Mieter-/Bewohner-WiFi	Isolierte Segmente pro Mieter

Konfigurieren Sie den ECS-Switch-Port, der mit jedem ECW Access Point verbunden ist, als Trunk-Port, der alle drei VLANs zulässt. Das native VLAN auf dem Trunk sollte das Management-VLAN sein. Wenn der Trunk nicht korrekt konfiguriert ist, schlägt die dynamische VLAN-Zuweisung geräuschlos fehl.

Schritt 2: Konfigurieren des Guest Captive Portal (EnGenius Captive Portal Setup)

Dies ist die primäre Konfiguration für die Bereitstellung der EnGenius-Splash-Page mit Purple.

Melden Sie sich in Ihrem EnGenius Cloud-Dashboard unter cloud.engenius.ai an.
Navigieren Sie zu Konfigurieren > SSID und wählen Sie Ihr Gäste-Netzwerk aus (z. B. „VenueGuest“).
Setzen Sie unter dem Reiter Wireless den Sicherheitstyp auf Open. Dies ist Standard für Gäste-WiFi; Gäste werden auf der Portal-Ebene identifiziert und authentifiziert, nicht auf der Zuordnungsebene.
Wechseln Sie zum Reiter Captive Portal und aktivieren Sie das Portal.
Setzen Sie den Authentifizierungstyp auf Custom RADIUS.
Geben Sie die Details des Purple RADIUS-Servers ein:

Feld	Wert
RADIUS-Server-IP	Im Purple-Dashboard unter Hardware-Konfiguration bereitgestellt
Authentifizierungs-Port	UDP 1812
Accounting-Port	UDP 1813
Shared Secret	Von Purple generierte Zeichenfolge mit mehr als 22 Zeichen
NAS-Identifier	Ihr Standortname oder Ihre Purple-Standort-ID

Wechseln Sie zum Reiter Splash Page.
Wählen Sie External Splash Page URL.
Geben Sie die Purple-Portal-URL für Ihren Standort ein (Format: https://portal.purple.ai/[venue-id]).
Klicken Sie auf Übernehmen.

Schritt 3: Konfigurieren des Walled Garden

Der Walled Garden (EnGenius Gäste-WiFi-Whitelist) muss so konfiguriert werden, dass vor der Authentifizierung Zugriff auf die Domains gewährt wird, die zum Laden des Portals erforderlich sind. Navigieren Sie zu Captive Portal > Erweiterte Einstellungen > Walled Garden und fügen Sie die folgenden Einträge hinzu:

Purple-Infrastruktur:

*.purple.ai
*.purpleportal.net

OS-Captive-Portal-Probes (erforderlich):

captive.apple.com (iOS und macOS)
connectivitycheck.gstatic.com (Android)
msftconnecttest.com (Windows)

Social Login (falls aktiviert):

Google: accounts.google.com, oauth2.googleapis.com, apis.google.com, *.gstatic.com
Facebook: www.facebook.com, graph.facebook.com, connect.facebook.net, *.fbcdn.net
Microsoft Entra ID: login.microsoftonline.com, login.live.com

Verwenden Sie immer Domainnamen anstelle von statischen IP-Adressen. Social-Login-Anbieter nutzen dynamische IP-Bereiche und Anycast-Routing; eine statische IP-Whitelist verliert mit der Zeit an Funktion, wenn sich CDN-Adressen ändern.

Schritt 4: Sicheres Mitarbeiter-WiFi konfigurieren (802.1X)

Das EnGenius RADIUS-Setup für Mitarbeiter-WiFi verwendet WPA2 Enterprise, um eine zertifikatsbasierte, passwortlose Authentifizierung zu ermöglichen.

Erstellen Sie eine neue SSID (z. B. „VenueStaff“).
Setzen Sie unter dem Reiter Wireless den Sicherheitstyp auf WPA2 Enterprise.
Wählen Sie Custom RADIUS und geben Sie die RADIUS-Server-IP, den Port 1812 und das Shared Secret ein.
Es ist kein Captive Portal erforderlich. Mitarbeitergeräte authentifizieren sich geräuschlos über 802.1X.
Konfigurieren Sie Ihren RADIUS-Server so, dass bei Access-Accept die folgenden Attribute zurückgegeben werden:

RADIUS Attribute	Wert
Tunnel-Type	13 (VLAN)
Tunnel-Medium-Type	6 (802)
Tunnel-Private-Group-ID	20 (oder Ihre Mitarbeiter-VLAN-ID)

Zur Auswahl der EAP-Methode: PEAP-MSCHAPv2 ist die praktischste Wahl für Umgebungen, die Microsoft Entra ID oder Active Directory nutzen. EAP-TLS bietet eine stärkere Sicherheit, da Passwörter vollständig entfallen, erfordert jedoch eine Public-Key-Infrastruktur und eine MDM-Lösung zur Bereitstellung von Client-Zertifikaten. Erzwingen Sie eine strenge Server-Zertifikatsvalidierung auf allen Client-Geräten über Gruppenrichtlinien (Windows) oder MDM-Profile (macOS, iOS, Android), um den Diebstahl von Anmeldedaten durch gefälschte Access Points zu verhindern.

Schritt 5: Konfigurieren Sie EnGenius MyPSK für die Multi-Tenant-Isolierung

EnGenius MyPSK-Einrichtung für eine Multi-Tenant-Umgebung:

Erstellen Sie eine neue SSID (z. B. „VenueResident“).
Setzen Sie unter der Registerkarte Wireless den Sicherheitstyp auf WPA2 PSK oder WPA3 Personal.
Aktivieren Sie MyPSK (Private PSK).
Klicken Sie auf Add PSK, um einzelne Schlüssel zu erstellen, oder nutzen Sie Auto-Generate, um Stapel von bis zu 50 Schlüsseln gleichzeitig zu generieren.
Weisen Sie jedem PSK eine VLAN ID zu und legen Sie optional ein Start Date und ein Expiration Date fest.
Verteilen Sie jeden eindeutigen PSK an den entsprechenden Mieter oder Bewohner.

Wenn der Mietvertrag eines Mieters endet, löschen Sie dessen PSK oder lassen Sie ihn ablaufen. Der Zugriff wird sofort widerrufen, ohne dass andere Mieter im Netzwerk beeinträchtigt werden.

Best Practices

Erzwingen Sie eine strenge Zertifikatsvalidierung auf 802.1X-Clients. PEAP-MSCHAPv2 ist nur dann sicher, wenn Clients so konfiguriert sind, dass sie das Zertifikat des RADIUS-Servers anhand einer vertrauenswürdigen Zertifizierungsstelle (CA) validieren. Ohne diese Validierung kann ein gefälschter Access Point ein betrügerisches Zertifikat präsentieren und Anmeldedaten abgreifen. Stellen Sie Validierungseinstellungen über Gruppenrichtlinienobjekte für Windows und MDM-Konfigurationsprofile für alle anderen Plattformen bereit. Dies ist für jede Bereitstellung in einer regulierten Umgebung unverzichtbar.

Nutzen Sie die dynamische DNS-Auflösung im Walled Garden. Google, Apple und Meta verwenden dynamische IP-Bereiche für ihre OAuth- und CDN-Endpunkte. Konfigurieren Sie Walled-Garden-Einträge als Domainnamen und stellen Sie sicher, dass Ihr EnGenius Cloud-Controller diese dynamisch auflöst. Eine statische IP-Whitelist führt zu Authentifizierungsfehlern, wenn CDN-IPs rotieren.

Segmentieren Sie IoT-Geräte mit MAC Authentication Bypass. Geräte ohne Benutzeroberfläche wie Drucker, Displays und IoT-Sensoren können sich nicht über 802.1X authentifizieren. Verwenden Sie MAC Authentication Bypass (MAB), um sie zu identifizieren und in ein eingeschränktes VLAN mit Firewall-Regeln zu verschieben, die laterale Bewegungen verhindern. MAB ist keine Sicherheitskontrolle – es ist ein Mechanismus zur Geräteidentifikation. Behandeln Sie über MAB authentifizierte Geräte als nicht vertrauenswürdig.

Implementieren Sie das RADIUS-Accounting. Aktivieren Sie den Accounting-Server in der RADIUS-Konfiguration von EnGenius Cloud und verweisen Sie auf den Accounting-Endpunkt von Purple auf UDP 1813. Dadurch werden Sitzungsdauer, Datenvolumen und Geräteinformationen in die WiFi Analytics -Plattform von Purple eingespeist. Dies liefert die Daten zur Auslastung des Veranstaltungsorts, die die Infrastrukturinvestition rechtfertigen. Überprüfen Sie den Walled Garden vierteljährlich. OAuth-Anbieter und CDNs ändern ihre Domainstrukturen. Apple hat seine Sign-In-Domains im Jahr 2023 zweimal aktualisiert. Planen Sie eine vierteljährliche Überprüfung des Walled Garden in Ihrem Betriebskalender ein. Weitere Informationen zu Sicherheitsaspekten bei Enterprise-WiFi finden Sie in unserem Enterprise WiFi-Sicherheitsleitfaden .

Fehlerbehebung und Risikominderung

Symptom: Captive Portal lädt nicht auf iOS-Geräten. Ursache: captive.apple.com befindet sich nicht im Walled Garden. iOS verwendet diesen Endpunkt, um das Vorhandensein eines Captive Portals zu erkennen und den Captive Network Assistant auszulösen. Ohne diesen meldet das Gerät "Keine Internetverbindung" und öffnet den Portal-Browser nie. Lösung: Fügen Sie captive.apple.com zum Walled Garden in der EnGenius Cloud unter Captive Portal > Erweiterte Einstellungen hinzu.

Symptom: Authentifizierung schlägt lautlos fehl - RADIUS liefert keine Antwort. Ursache: Diskrepanz beim Shared Secret zwischen der EnGenius Cloud- und der Purple RADIUS-Serverkonfiguration. Ein einziger abweichender Buchstabe führt dazu, dass jede Authentifizierungsanfrage verworfen wird. Lösung: Geben Sie das Shared Secret in beiden Systemen erneut ein. Nutzen Sie Copy-Paste aus einer einfachen Textquelle, um die Ersetzung durch unsichtbare Zeichen zu vermeiden.

Symptom: 802.1X-Client authentifiziert sich, erhält aber keine IP-Adresse. Ursache: Der Uplink-Port des ECS-Switches ist nicht als Trunk konfiguriert, oder das vom RADIUS-Server zurückgegebene VLAN ist auf dem Trunk nicht zugelassen. Lösung: Überprüfen Sie die Konfiguration des Switch-Ports. Der Port muss als Trunk konfiguriert sein, der alle in den RADIUS-Antworten referenzierten VLANs überträgt.

Symptom: MyPSK-Client verbindet sich, kann aber auf Geräte anderer Mandanten zugreifen. Ursache: Die Client-Isolierung ist auf der SSID nicht aktiviert, oder die VLAN-Konfiguration auf dem Switch isoliert die Segmente nicht ordnungsgemäß. Lösung: Aktivieren Sie die Client-Isolierung auf der SSID in der EnGenius Cloud. Stellen Sie sicher, dass für jedes VLAN die entsprechenden Inter-VLAN-Routing-Regeln auf dem vorgeschalteten Router oder der Firewall konfiguriert sind.

Symptom: Social-Login-Button lädt, aber die Authentifizierung schlägt fehl. Ursache: Eine oder mehrere Subdomains des OAuth-Anbieters fehlen im Walled Garden. Google und Meta verwenden mehrere Subdomains für ihre Authentifizierungs-Flows. Lösung: Erfassen Sie die Browser-Konsolenausgabe eines nicht authentifizierten Geräts, um festzustellen, welche Domain blockiert wird. Fügen Sie die fehlende Domain zum Walled Garden hinzu. Die aktuelle Liste finden Sie in der Dokumentation zur Walled Garden Domain Whitelist von Purple.

ROI und geschäftlicher Nutzen

Die Bereitstellung von Purple mit EnGenius Cloud verwandelt die drahtlose Infrastruktur von einer Kostenstelle in ein Daten-Asset. Betreiber von Veranstaltungsorten erfassen vollständig DSGVO-konforme demografische First-Party-Daten von Gästen über bewusste Opt-ins, was zielgerichtete Marketingkampagnen und messbares Engagement ermöglicht. Für IT-Teams entfällt durch den Wechsel zu 802.1X und MyPSK der betriebliche Aufwand für die Verwaltung gemeinsamer Passwörter, Support-Tickets im Zusammenhang mit Zugriffsproblemen werden reduziert und es entsteht eine detaillierte Transparenz über die Netzwerkauslastung. Für Betreiber im Gastgewerbe nutzt Premier Inn – ein namentlich bekannter Kunde von Purple – WiFi-Gästedaten, um das Engagement im Treueprogramm zu fördern und die Kommunikation nach dem Besuch zu personalisieren. Für den Einzelhandel liefert die Kombination aus Besucherstrom-Analysen der WiFi Analytics -Plattform von Purple und Verweildaten Erkenntnisse für das Merchandising, die die Infrastrukturinvestition unabhängig von den Sicherheitsvorteilen rechtfertigen.

In Multi-Tenant-Umgebungen macht MyPSK eine separate physische Netzwerkinfrastruktur pro Mieter überflüssig. Ein einzelner EnGenius ECW Access Point kann 500 isolierte Mieter auf einer einzigen SSID bedienen, was die Hardwarekosten senkt und die laufende Verwaltung vereinfacht. Zieht ein Mieter aus, wird sein PSK in Sekundenschnelle gelöscht – keine Passwortänderung erforderlich, keine Auswirkungen auf andere Bewohner.

Die Plattform von Purple ist hardwareunabhängig. Das bedeutet, dass dieselbe Konfiguration, dieselben Analysen und dieselbe Datenerfassungsschicht von Purple auf Hardware von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet funktionieren. Wenn Ihre Infrastruktur eine Mischung aus EnGenius und anderen Herstellern umfasst, bietet Purple eine zentrale Benutzeroberfläche für das Gäste-WiFi-Management über alle hinweg. Weitere Informationen zur Bereitstellung finden Sie in unserem DrayTek Vigor Integrationsleitfaden .

Schlüsseldefinitionen

Captive Portal

Eine Webseite, die die erste HTTP-Anfrage eines Benutzers nach dem Verbinden mit einem WiFi-Netzwerk abfängt und eine Authentifizierung oder die Zustimmung zu den Nutzungsbedingungen erfordert, bevor der Internetzugang gewährt wird.

Der primäre Mechanismus für das Onboarding von Gästen, die Datenerfassung und das GDPR-konforme Einwilligungsmanagement in Purple-Bereitstellungen. EnGenius Cloud unterstützt sowohl interne als auch externe Captive Portal-Seiten.

Walled Garden

Die explizite Whitelist von Domains und IP-Adressen, mit denen ein Client-Gerät kommunizieren kann, bevor es sich erfolgreich über das Captive Portal authentifiziert hat.

Erforderlich, damit Geräte die Purple-Portal-Server, OS-Probe-Endpunkte und Identity-Provider von Drittanbietern wie Google oder Microsoft Entra ID erreichen können, bevor die Authentifizierung abgeschlossen ist.

EnGenius MyPSK

Eine Funktion, die es Netzwerkadministratoren ermöglicht, mehrere eindeutige Pre-Shared Keys auf einer einzigen SSID zu erstellen, die jeweils für die Netzwerktrennung an ein bestimmtes VLAN gebunden sind.

Wird in Mandantenumgebungen verwendet, um sichere, isolierte Netzwerksegmente bereitzustellen, ohne mehrere SSIDs auszustrahlen. Unterstützt bis zu 500 eindeutige Schlüssel pro SSID mit optionalen Ablaufdaten.

Dynamische VLAN-Zuweisung

Der Prozess, bei dem ein RADIUS-Server einen Access Point anweist, ein authentifiziertes Gerät basierend auf der Zugehörigkeit zu einer Verzeichnisgruppe unter Verwendung des Attributs Tunnel-Private-Group-ID in ein bestimmtes VLAN zu verschieben.

Ermöglicht es einer einzelnen 802.1X SSID, den Datenverkehr für verschiedene Mitarbeiterrollen automatisch und sicher zu segmentieren, ohne manuelle VLAN-Konfiguration pro Gerät.

IEEE 802.1X

Ein IEEE-Standard für portbasierte Netzwerzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten, wobei EAP zur Übertragung von Anmeldedaten an einen RADIUS-Server verwendet wird.

Das Fundament der Enterprise-WiFi-Sicherheit für Mitarbeiternetzwerke, das anfällige gemeinsame Passwörter durch personalisierte Anmeldedaten- oder Zertifikatsvalidierung ersetzt.

RADIUS

Remote Authentication Dial-In User Service; ein Netzwerkprotokoll zur zentralen Verwaltung von Authentifizierung, Autorisierung und Accounting für den Netzwerkzugriff.

Das von EnGenius Access Points verwendete Protokoll zur Kommunikation mit den Authentifizierungsservern von Purple. Die Authentifizierung verwendet den UDP-Port 1812; das Accounting verwendet den UDP-Port 1813.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol mit Microsoft Challenge Handshake Authentication Protocol Version 2; eine 802.1X-Methode, die über ein serverseitiges Zertifikat einen TLS-Tunnel aufbaut, in dem Benutzername-Passwort-Anmeldedaten ausgetauscht werden.

Die gängigste 802.1X-Bereitstellungsmethode für Umgebungen, die Active Directory oder Microsoft Entra ID verwenden. Erfordert eine strikte Serverzertifikatsvalidierung auf den Clients, um den Diebstahl von Anmeldedaten zu verhindern.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; eine 802.1X-Authentifizierungsmethode, die digitale Zertifikate sowohl auf dem RADIUS-Server als auch auf jedem Client-Gerät erfordert und Passwörter vollständig überflüssig macht.

Die sicherste 802.1X-Methode, empfohlen für Hochsicherheitsumgebungen. Erfordert eine Public-Key-Infrastruktur und eine MDM-Lösung zur Bereitstellung von Client-Zertifikaten.

NAS-Identifier

Network Access Server Identifier; ein String-Attribut in RADIUS-Anfragen zur Identifizierung des Access Points oder Controllers, von dem die Authentifizierungsanfrage ausgeht.

In EnGenius Cloud so konfiguriert, dass er mit der Standort-ID in der Purple-Plattform übereinstimmt, um sicherzustellen, dass Analyse- und Sitzungsdaten dem richtigen Standort zugeordnet werden.

PMK

Pairwise Master Key; der kryptografische Schlüssel, der aus einem PSK und dem SSID-Namen abgeleitet wird und zur Verschlüsselung der drahtlosen Sitzung zwischen einem bestimmten Client und dem Access Point dient.

Bei MyPSK-Bereitstellungen generiert jeder eindeutige PSK einen eigenen PMK, wodurch verhindert wird, dass ein Mandant den Datenverkehr eines anderen entschlüsseln kann, selbst auf derselben SSID.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern möchte Gästen einen nahtlosen WiFi-Zugang, Hotelmitarbeitern einen sicheren Zugang und drei Einzelhandelskonzessionen in der Lobby isolierte Netzwerke bieten – alles über dieselben EnGenius ECW Access Points und ECS-Switches.

Richten Sie drei SSIDs auf derselben Hardware ein. SSID 1 (VenueGuest): Offene Sicherheit mit benutzerdefiniertem RADIUS, der auf den RADIUS-Endpunkt von Purple verweist. Externe Splash-Page-URL konfiguriert auf das Purple-Portal. Walled Garden befüllt mit OS-Probes, Purple-CDN-Domains und Google-OAuth-Endpunkten. Statische Zuweisung von VLAN 10. SSID 2 (VenueStaff): WPA2-Enterprise mit benutzerdefiniertem RADIUS. Kein Captive Portal. Der RADIUS-Server gibt die Tunnel-Private-Group-ID 20 für alle Mitarbeiter zurück, wobei Untergruppen (Finanzen, Betrieb, Wartung) jeweils den VLANs 21, 22 und 23 zugewiesen sind. SSID 3 (VenueRetail): WPA2-PSK mit aktiviertem MyPSK. Drei eindeutige PSKs erstellt, die jeweils an die VLANs 31, 32 und 33 gebunden sind. Die Ablaufdaten sind so konfiguriert, dass sie mit der jeweiligen Laufzeit des Mietvertrags der Konzession übereinstimmen. Der Uplink-Port des ECS-Switches ist als Trunk konfiguriert, der die VLANs 10, 20-23 und 31-33 überträgt.

Kommentar des Prüfers: Dieser Ansatz minimiert den SSID-Overhead auf drei Broadcasts, was Gleichkanalstörungen reduziert, während gleichzeitig eine strikte Layer-2-Isolation zwischen Gästen, Mitarbeitern und Drittmietern erzwungen wird. Die dynamische VLAN-Zuweisung für Mitarbeiter erübrigt eine manuelle Neukonfiguration bei Rollenwechseln. Die MyPSK-Ablaufdaten automatisieren den Entzug des Zugangs für die Einzelhandelskonzessionen ohne IT-Eingriff.

Ein Universitäts-Campus, der EnGenius Cloud einsetzt, meldet, dass Studenten, die sich über ihre Google Workspace-Konten im Purple-Gästeportal anmelden möchten, nach dem Klicken auf die Google-Anmeldeschaltfläche einen Browserfehler erhalten. Die Portalseite selbst lädt korrekt.

Das Laden der Portalseite bestätigt, dass die Purple-CDN-Domains korrekt freigegeben sind. Der Fehler beim Google-Anmeldeschritt weist darauf hin, dass eine oder mehrere Google-OAuth-Domains im Walled Garden fehlen. Navigieren Sie zu EnGenius Cloud > Captive Portal > Advanced Settings > Walled Garden und fügen Sie hinzu: accounts.google.com, oauth2.googleapis.com, apis.google.com und *.gstatic.com. Der Platzhalter *.gstatic.com ist erforderlich, da Google seine clientseitigen JavaScript-Bibliotheken über dieses CDN bereitstellt. Testen Sie nach der Aktualisierung des Walled Garden mit einem nicht authentifizierten Gerät und erfassen Sie die Browser-Konsolenausgabe, um sicherzustellen, dass keine weiteren Domains blockiert werden.

Kommentar des Prüfers: OAuth-Fehler beim Provider-Schritt (und nicht beim Laden des Portals selbst) werden fast immer durch unvollständige Walled Garden-Konfigurationen verursacht. Das Captive Portal fängt den HTTPS-Aufruf an den Identity Provider ab, sofern die Domain nicht explizit umgangen wird. Die Verwendung von Wildcard-Einträgen (*.gstatic.com) ist der pragmatische Ansatz für Provider, die mehrere CDN-Subdomains nutzen, sofern Ihre EnGenius Cloud-Version Wildcard-Walled-Garden-Einträge unterstützt.

Übungsfragen

Q1. Sie stellen ein Purple Captive Portal auf EnGenius ECW Access Points bereit. Android-Gäste berichten, dass ihre Geräte "Verbunden, kein Internet" anzeigen und das Portal nie erscheint. iOS-Gäste auf derselben SSID sehen das Portal korrekt. Was ist der wahrscheinlichste Konfigurationsfehler und wie beheben Sie ihn?

Hinweis: Android und iOS verwenden unterschiedliche Endpunkte für Captive Portal Probes.

Musterlösung anzeigen

Android verwendet connectivitycheck.gstatic.com als Endpunkt für seine Captive Portal Probe. iOS verwendet captive.apple.com. Wenn iOS-Gäste das Portal sehen, Android-Gäste jedoch nicht, fehlt connectivitycheck.gstatic.com im Walled Garden. Fügen Sie es im EnGenius Cloud unter Captive Portal > Advanced Settings > Walled Garden hinzu. Fügen Sie außerdem connectivitycheck.android.com und www.google.com hinzu, da Android je nach Geräteversion mehrere Probe-URLs verwendet.

Q2. Ein Veranstaltungsort konfiguriert 802.1X auf einer EnGenius SSID. Mitarbeitergeräte authentifizieren sich erfolgreich (die RADIUS-Serverprotokolle zeigen Access-Accept), aber die Geräte erhalten eine 169.x.x.x APIPA-Adresse anstelle einer Unternehmens-IP. Was ist die wahrscheinlichste Ursache?

Hinweis: Der RADIUS-Server akzeptiert die Authentifizierung, das Problem liegt also nachgelagert zur Authentifizierung.

Musterlösung anzeigen

Der RADIUS-Server gibt ein Tunnel-Private-Group-ID-Attribut zurück, das eine VLAN-ID spezifiziert. Der EnGenius Access Point versucht, den Datenverkehr des Clients mit diesem VLAN zu taggen, aber der Uplink-Port am ECS-Switch ist nicht als Trunk-Port konfiguriert, der dieses VLAN überträgt. Das Gerät wird in ein VLAN ohne erreichbaren DHCP-Server platziert. Lösung: Konfigurieren Sie den Uplink-Port des ECS-Switches als Trunk und lassen Sie die vom RADIUS-Server zurückgegebene VLAN-ID explizit zu.

Q3. Ein Build-to-Rent-Immobilienverwalter fragt, warum Sie EnGenius MyPSK empfehlen, anstatt eine separate SSID für jede der 80 Wohneinheiten zu erstellen. Liefern Sie eine technische Begründung.

Hinweis: Berücksichtigen Sie die Auswirkungen von SSID-Beacons auf die WiFi-Performance.

Musterlösung anzeigen

Jede SSID sendet in regelmäßigen Abständen (in der Regel alle 100 ms) Beacon-Frames. In einer dichten Umgebung würden 80 SSIDs einen ständigen Beacon-Overhead erzeugen, der erhebliche Sendezeit verbraucht, die für den eigentlichen Datenverkehr verfügbare Kapazität verringert und die Leistung für alle Benutzer beeinträchtigt. Die meisten Enterprise Access Points haben zudem ein praktisches Limit von 8–16 SSIDs pro Funkmodul. MyPSK bietet dieselbe Isolation (jeder Bewohner in einem eigenen VLAN mit einem eigenen Verschlüsselungsschlüssel) über eine einzige SSID, wodurch der Beacon-Overhead vollständig eliminiert wird. Der PMK pro Benutzer verhindert außerdem, dass Bewohner den Datenverkehr der anderen entschlüsseln können, was mit einem einzigen gemeinsam genutzten PSK nicht möglich ist.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.