Guest WiFi für Flughäfen: Roaming, Transit und Durchsatz

Dieser technische Leitfaden bietet IT-Leitern und Netzwerkarchitekten praxisnahe Strategien für das Design und die Bereitstellung von leistungsstarkem Flughafen-Guest-WiFi. Er behandelt das nahtlose Roaming zwischen den Terminals, die Durchsatzbereitstellung nach Zonen, die sichere Segmentierung für Konzessionsnehmer und die Implementierung von Passpoint (Hotspot 2.0) für reibungslose Konnektivität. Indem das drahtlose Netzwerk als strategisches Asset behandelt wird, können Flughafenbetreiber die Passagierzufriedenheit steigern, die Einhaltung von Vorschriften gewährleisten und messbare Non-Aviation-Umsätze generieren.

📖 11 Min. Lesezeit📝 2,562 Wörter🔧 2 ausgearbeitete Beispiele❓ 4 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen zu diesem Executive Briefing über Netzwerkdesign. Ich bin Ihr Gastgeber, und heute befassen wir uns eingehend mit einer kritischen Infrastruktur-Herausforderung: Guest WiFi für Flughäfen. Konkret werden wir uns mit den Themen Roaming, Transit und Durchsatz beschäftigen.

Wenn Sie IT-Leiter oder Netzwerkarchitekt an einem großen Verkehrsknotenpunkt sind, wissen Sie, dass Flughafen-WiFi im Vergleich zu Standard-Unternehmensbereitstellungen eine völlig andere Dimension darstellt. Wir sprechen hier von Millionen von transienten Nutzern, stark variierenden Verweilzeiten und der Notwendigkeit, ein komplexes Ökosystem von Stakeholdern zu unterstützen – von Passagieren und Fluglinienpersonal bis hin zu Einzelhandelsmietern. Es geht nicht mehr nur darum, einen Internetzugang bereitzustellen, sondern darum, eine nahtlose Passagier-Journey zu ermöglichen und non-aeronautische Einnahmen zu steigern.

Beginnen wir mit dem technischen Deep-Dive und konzentrieren uns zunächst auf Roaming und nahtlose Wiederverbindung. Stellen Sie sich einen Passagier vor, der am Flughafen ankommt. Er verbindet sich in der Check-in-Halle, geht durch die Sicherheitskontrolle, läuft einen langen Concourse entlang und setzt sich schließlich an sein Gate. In einem schlecht konzipierten Netzwerk ist er gezwungen, sich an jeder Grenze neu zu authentifizieren. Das ist inakzeptabel.

Die Lösung hier ist eine Kombination aus Passpoint – auch bekannt als Hotspot 2.0 – und IEEE 802.11r. Passpoint ist der entscheidende Faktor. Es ermöglicht Geräten, das Netzwerk ohne Benutzereingriff automatisch zu erkennen und sich zu authentifizieren. Es nutzt Anmeldedaten, die von einem Mobilfunkbetreiber oder einem Identitätsanbieter – wie Purple – bereitgestellt werden. Dies bietet Ihnen dieses mobilfunkähnliche, reibungslose Roaming-Erlebnis auf der gesamten Flughafenfläche.

Wenn Sie nun Passpoint mit 802.11r – Fast BSS Transition – kombinieren, berechnen und verteilen Sie die kryptografischen Schlüssel vorab unter den Access Points. Dies reduziert die Handoff-Zeit auf Millisekunden. Wenn also ein Passagier während der Fahrt mit der Terminal-Transitbahn ein VoIP-Telefonat führt, bricht die Verbindung nicht ab. Darüber hinaus ermöglicht die Implementierung einer profilbasierten Authentifizierung, bei der das Gerät eines Nutzers mit seinem Profil verknüpft ist, eine automatische Wiederverbindung bei nachfolgenden Besuchen. Dies ist ein riesiger Vorteil für Vielflieger und passt perfekt zur Rolle von Purple als kostenloser Identitätsanbieter unter der Connect-Lizenz.

Als Nächstes lassen Sie uns über die Durchsatzbereitstellung nach Zonen sprechen. Ein Flughafen ist kein homogener Raum. Sie können nicht einfach das Terminal mit Access Points pflastern und das Thema abhaken. Sie müssen für Dichte und Verweilzeit planen.

Nehmen wir die Gate-Wartebereiche. Dies sind Zonen mit hoher Dichte und langer Verweilzeit. Die Passagiere sitzen dort eine Stunde lang, streamen Videos oder laden Inhalte vor ihrem Flug herunter. Sie müssen mindestens 150 Megabit pro Sekunde pro Gate bereitstellen. Dies erfordert hochdichte Wi-Fi 6- oder 6E-Bereitstellungen, oft unter Verwendung von Richtantennen, um Gleichkanalstörungen zu minimieren.

Vergleichen Sie das mit den Laufwegen im Concourse. Dies sind Transitzonen. Die Verweilzeit ist gering. Die Passagiere gehen nur durch und überprüfen vielleicht Benachrichtigungen. Eine Bereitstellung von 50 Megabit pro Sekunde pro 100 Meter ist hier in der Regel ausreichend.

Dann gibt es die Einzelhandelskonzessionsbereiche. Diese erfordern einen segmentierten Zugriff für Point-of-Sale-Systeme und Kundenbindung. Und die Check-in-Hallen, in denen es zu stoßartigem Datenverkehr kommt, wenn große Gruppen gleichzeitig eintreffen. Ihre Architektur muss diese unterschiedlichen Anforderungen dynamisch bewältigen.

Apropos Einzelhandelskonzessionen, lassen Sie uns über Netzwerksegmentierung sprechen. Flughäfen sind Vermieter. Sie haben Dutzende, vielleicht Hunderte von Einzelhandels- und Gastronomie-Mietern. Die Bereitstellung eines sicheren, segmentierten Netzwerkzugriffs für diese Mieter ist eine betriebliche Notwendigkeit.

Dies erreichen Sie durch separate Virtual Local Area Networks — VLANs —, die den Datenverkehr der Mieter vom Gast- und Kernbetrieb des Flughafens isolieren. Für Einzelhandelsmieter ist die PCI-DSS-Konformität obligatorisch. Dies bedeutet robuste Firewall-Regeln, Intrusion-Prevention-Systeme und regelmäßige Schwachstellenscans. Eine zentrale Verwaltung über einen Cloud-Controller ist hier unerlässlich, sodass Ihr IT-Team Sicherheitsrichtlinien durchsetzen kann, während die Mieter die benötigte Konnektivität erhalten.

Kommen wir nun zu den Empfehlungen für die Implementierung und den häufigsten Fehlern. Der größte Fehler besteht darin, die physische Umgebung nicht zu berücksichtigen. Flughäfen haben viel Metall, Glas und hohe Decken. Eine prädiktive Standortvermessung reicht nicht aus; Sie benötigen eine aktive RF-Planung vor Ort.

Ein weiterer Fehler ist ein schlecht gestaltetes Captive Portal. Wenn Ihr Portal schwerfällig ist, langsam lädt oder nicht gut mit Apples Captive Network Assistant harmoniert, wird Ihre Absprungrate in die Höhe schnellen. Halten Sie es schlank und nutzen Sie es strategisch, um First-Party-Daten für Ihr CRM zu erfassen. Hier glänzen Plattformen wie Purple's WiFi Analytics, die ein Kostenzentrum durch zielgerichtete Werbung und die Monetarisierung von Retail Media in eine Einnahmequelle verwandeln.

Lassen Sie uns eine kurze, schnelle Fragerunde basierend auf häufigen Kundenfragen durchführen.

Frage eins: Können Einzelhandelsmieter nicht einfach das Gast-WiFi für ihre Point-of-Sale-Systeme nutzen, um Geld zu sparen?
Antwort: Auf keinen Fall. Das verstößt gegen PCI DSS und birgt massive Sicherheitsrisiken. Sie benötigen ein dediziertes, segmentiertes VLAN.

Frage zwei: Wie lösen wir eine schlechte Leistung in den Gate-Bereichen?
Antwort: Meistens handelt es sich um Gleichkanalstörungen. Sie müssen sich von Rundstrahlantennen verabschieden und Richtantennen verwenden, um spezifische Mikrozellen zu erstellen und Signalüberschneidungen zu begrenzen.

Frage drei: Was ist der schnellste Erfolg, um die Passagierzufriedenheit mit dem WiFi zu verbessern?
Antwort: Implementieren Sie eine profilbasierte Authentifizierung, damit sich wiederkehrende Passagiere automatisch verbinden. Kombinieren Sie dies mit einem schlanken, für Mobilgeräte optimierten Captive Portal für Erstbenutzer, und Sie werden feststellen, dass die Absprungraten erheblich sinken.
Zusammenfassend lässt sich sagen: Nahtloses Roaming ist unverzichtbar – nutzen Sie Passpoint und 802.11r. Stellen Sie Ihren Durchsatz dynamisch basierend auf Zonendichte und Verweildauer bereit. Setzen Sie eine strikte Netzwerksegmentierung für Ihre Konzessionsmieter durch. Implementieren Sie Wi-Fi 6 oder 6E, um die hohe Dichte zu bewältigen. Und schließlich: Betrachten Sie Ihr WiFi-Netzwerk als strategisches Asset. Durch die Erfassung von First-Party-Daten und die Nutzung von Standortanalysen können Sie die betriebliche Effizienz steigern und erhebliche non-aeronautische Einnahmen erschließen.

Für Ihre nächsten Schritte empfehle ich, mit einer umfassenden RF-Standortvermessung zu beginnen, Ihre aktuelle Authentifizierungsarchitektur mit dem Passpoint-Standard abzugleichen und eine Plattform wie Purple zu evaluieren, um das Onboarding von Gästen, Analysen und Compliance in einer einzigen Lösung zu verwalten.

Vielen Dank fürs Zuhören. Wenn Sie die Infrastruktur Ihres Veranstaltungsortes aufrüsten möchten, empfehle ich Ihnen dringend, den vollständigen technischen Leitfaden zu diesem Briefing zu lesen. Bis zum nächsten Mal.

Wichtigste Erkenntnisse

✓Nahtloses Roaming ist die Mindesterwartung: Implementieren Sie Passpoint (Hotspot 2.0) und IEEE 802.11r, um eine erneute Authentifizierung beim Wechsel der Passagiere zwischen Terminals und Zonen zu verhindern.
✓Stellen Sie den Durchsatz dynamisch nach Zone bereit: Gate-Wartebereiche erfordern 150 Mbps pro Gate; Verbindungsgänge benötigen nur 50 Mbps pro 100 m. Planen Sie für Dichte und Verweildauer, nicht für die reine Quadratmeterzahl.
✓Eine strikte VLAN-Segmentierung ist unverzichtbar: Einzelhandelsmieter müssen vom Gast- und Betriebsdatenverkehr isoliert werden, wobei PCI-DSS-Kontrollen auf alle POS-Netzwerksegmente anzuwenden sind.
✓Wi-Fi 6 (802.11ax) ist der Mindeststandard für neue Flughafen-Deployments; Wi-Fi 6E sollte die Zielspezifikation für Zonen mit hoher Dichte sein.
✓Passpoint ermöglicht drei strategische Funktionen: Einnahmen durch Carrier Offload, nahtlose erneute Authentifizierung für Vielflieger und die Teilnahme an globalen OpenRoaming-Föderationen.
✓Betrachten Sie das WiFi-Netzwerk als Umsatzplattform: Standortanalysen, Monetarisierung von Einzelhandelsmedien und die Erfassung von First-Party-Daten können messbare non-aeronautische Einnahmen generieren.
✓Die Einhaltung von GDPR und PCI DSS muss von Anfang an eingeplant werden – nicht erst nachträglich. Binden Sie Ihren Datenschutzbeauftragten und Ihr Sicherheitsteam bereits in der Architekturphase ein.

Executive Summary

Das Design von Flughafen-Gast-WiFi unterscheidet sich kategorisch von einer standardmäßigen Enterprise-Bereitstellung. Mit jährlich zweistelligen Millionenbeträgen an transienten Nutzern, variierenden Verweilzeiten in den einzelnen Zonen und der Notwendigkeit, eine komplexe Umgebung mit mehreren Stakeholdern – Passagiere, Airline-Personal, Einzelhandelskonzessionäre und Betriebssysteme – zu unterstützen, muss die Netzwerkarchitektur robust, skalierbar und streng segmentiert sein. Dieser Leitfaden beschreibt die technischen Anforderungen für die Bereitstellung von Flughafen-Gast-WiFi in großem Maßstab, mit Schwerpunkt auf Roaming-Mechanismen, Transit-Überlegungen und Durchsatzbereitstellung nach Zonen. Wir untersuchen, wie moderne Standards wie Passpoint (Hotspot 2.0), IEEE 802.11r und WPA3 das Nutzererlebnis optimieren und gleichzeitig die für die PCI DSS- und GDPR-Compliance erforderliche Sicherheitsstruktur bieten können. Durch die Implementierung dieser Strategien können IT-Leiter ihre drahtlose Infrastruktur von einem reinen Kostenfaktor in eine strategische Plattform verwandeln, die die Passagierzufriedenheit steigert, die betriebliche Effizienz unterstützt und die Non-Aviation-Umsätze durch WiFi Analytics ankurbelt.

Technische Vertiefung

Der Problemraum Flughafen-WiFi

Flughafen-WiFi bewegt sich im Spannungsfeld dreier konkurrierender Anforderungen: High-Density-Performance, nahtlose Mobilität und Multi-Tenant-Sicherheit. Ein großes internationales Drehkreuz kann in Spitzenzeiten 50.000 bis 100.000 gleichzeitige Geräte verzeichnen, die sich auf Check-in-Hallen, Sicherheitskontrollen, Einzelhandelsbereiche, Lounges und Gate-Wartebereiche verteilen – alle mit grundlegend unterschiedlichen Traffic-Profilen und Verweilzeit-Charakteristiken. Das Netzwerk muss all dies bewältigen und gleichzeitig eine strikte logische Trennung zwischen dem Gast-Traffic, den Betriebssystemen der Airlines, den POS-Netzwerken der Einzelhändler und den Gebäudemanagementsystemen aufrechterhalten.

Das am häufigsten anzutreffende Fehlerszenario in älteren Flughafen-Installationen ist eine flache, SSID-basierte Architektur, die eher auf Abdeckung als auf Kapazität ausgelegt war. Als das Passagieraufkommen wuchs und die Anzahl der Geräte pro Person stieg – der durchschnittliche Reisende trägt heute 3,5 vernetzte Geräte bei sich –, wurden diese Netzwerke überlastet, und der Re-Authentifizierungszyklus des Captive Portal wurde zu einer ständigen Quelle für Passagierbeschwerden.

Roaming und nahtlose Wiederverbindung

Nahtloses Roaming ist die entscheidende technische Herausforderung bei Flughafen-WiFi. Ein Passagier, der in der Check-in-Halle ankommt, die Sicherheitskontrolle passiert, eine Einzelhandelsmeile durchquert und mit einer Flughafenbahn zu einem Satellitenterminal fährt, erwartet, dass seine Verbindung durchgehend bestehen bleibt. In einer schlecht konzipierten Netzwerkarchitektur löst jede Zonengrenze einen vollständigen Re-Authentifizierungszyklus aus, was aktive Sitzungen unterbricht und das Nutzererlebnis beeinträchtigt.

Die Lösungsarchitektur basiert auf zwei komplementären Standards, die Hand in Hand arbeiten.Passpoint (Hotspot 2.0 / IEEE 802.11u) ermöglicht es Geräten, das Netzwerk automatisch zu erkennen und sich mit Anmeldedaten zu authentifizieren, die von einem Mobilfunknetzbetreiber (MNO) oder einem Drittanbieter-Identitätsanbieter bereitgestellt werden. Anstatt eine Liste von SSIDs anzuzeigen und eine manuelle Auswahl zu erfordern, fragen Passpoint-fähige Geräte den Generic Advertisement Service (GAS) und den Interworking Service des Netzwerks ab, um festzustellen, ob ein vertrauenswürdiger Berechtigungsnachweis vorhanden ist. Wenn dies der Fall ist, authentifiziert sich das Gerät geräuschlos über 802.1X/EAP und umgeht das Captive Portal vollständig. Dies ist der Mechanismus, der OpenRoaming zugrunde liegt – der globalen Roaming-Föderation, die es Passagieren ermöglicht, sich nahtlos mit den Anmeldedaten teilnehmender Anbieter zu verbinden. Purple fungiert als kostenloser Identitätsanbieter für OpenRoaming unter der Connect-Lizenz, sodass Flughäfen dieses Erlebnis anbieten können, ohne dass Passagiere eine bestimmte MNO-Beziehung benötigen.

IEEE 802.11r (Fast BSS Transition) löst das Problem der Handoff-Latenz. In einer Standard-802.11-Bereitstellung erfordert der Wechsel zwischen Access Points einen vollständigen Vier-Wege-EAPOL-Handshake, was eine Latenz von 50–200 ms verursacht – genug, um einen VoIP-Anruf abzubrechen oder einen Videostream zu unterbrechen. 802.11r verteilt den Pairwise Master Key (PMK) über die Mobility Domain vorab an benachbarte APs, wodurch die Handoff-Zeit auf unter 50 ms reduziert wird. In Kombination mit 802.11k (Nachbarberichte) und 802.11v (BSS-Übergangsmanagement) wird das Client-Gerät proaktiv zum optimalen AP geführt, bevor sich die Verbindung verschlechtert, anstatt reaktiv, nachdem sie bereits abgebrochen ist.

Für Flughäfen, die Transitbahnen oder Peoplemover zwischen den Terminals betreiben, muss sich die Roaming-Domäne über den gesamten Campus erstrecken. Dies erfordert eine zentralisierte WLAN-Controller-Architektur – entweder vor Ort oder Cloud-managed –, die eine einzige Mobility Domain über alle Terminals hinweg aufrechterhält und eine konsistente Richtlinie durchsetzt, unabhängig davon, mit welchem AP das Gerät verbunden ist.

Durchsatzbereitstellung nach Zone

Flughafenumgebungen sind nicht homogen, und die Durchsatzbereitstellung muss die unterschiedlichen Nutzungsprofile der einzelnen Zonen widerspiegeln. Ein Pauschalansatz führt unweigerlich zu einer Überdimensionierung in Bereichen mit geringem Bedarf und einer gravierenden Unterdimensionierung in den wichtigsten Zonen.

Zone	Spitzen-Durchsatzanforderung	Primärer Traffic-Typ	Empfohlene AP-Dichte
Gate-Wartebereich	150 Mbit/s pro Gate	Videostreaming, große Downloads	1 AP pro 30 m²
Terminal-Laufweg	50 Mbit/s pro 100 m	Hintergrundsynchronisierung, Messaging	1 AP pro 100 m²
Einzelhandels- & Konzessionszone	30 Mbit/s pro Einheit + POS	POS-Transaktionen, Kundenbindung	1 AP pro 50 m²
Executive Lounge	200 Mbit/s dediziert	Videokonferenzen, Enterprise-Apps	1 AP pro 20 m²
Gepäckausgabe	40 Mbit/s	Messaging, Flugbenachrichtigungen	1 AP pro 80 m²
Check-in Hall	80 Mbps (bursty)	Initial onboarding, messaging	1 AP per 60m²

Gate-Wartebereiche sind die anspruchsvollste Zone. Passagiere halten sich dort in der Regel 45–90 Minuten auf und weisen den höchsten Bandbreitenverbrauch pro Gerät auf. Der Einsatz von 802.11ax (Wi-Fi 6) APs mit Richtantennen – so ausgerichtet, dass sie den Sitzbereich und nicht das angrenzende Gate abdecken – ist unerlässlich, um Gleichkanalstörungen in diesen dichten Umgebungen zu bewältigen. Die OFDMA-Funktion (Orthogonal Frequency Division Multiple Access) von Wi-Fi 6 ermöglicht es einem einzelnen AP, gleichzeitig mehrere Clients auf verschiedenen Unterkanälen zu bedienen, was die Spektraleffizienz im Vergleich zu 802.11ac drastisch verbessert.

Für Flughäfen, die Infrastruktur-Upgrades planen, bietet Wi-Fi 6E – das das 6-GHz-Band hinzufügt – eine erhebliche Kapazitätssteigerung in den am stärksten überlasteten Bereichen. Das 6-GHz-Band ist derzeit nicht durch Altgeräte belastet, was bedeutet, dass alle in diesem Band betriebenen Clients Wi-Fi 6E-fähig sind und die größeren Kanalbreiten (bis zu 160 MHz) voll ausnutzen können.

Netzwerksegmentierung und Architektur für Konzessionsnehmer

Die Multi-Tenant-Struktur eines Flughafens führt zu komplexen Anforderungen an die Netzwerksegmentierung. Die Architektur muss gleichzeitig Folgendes unterstützen:

Öffentliches Gast-WiFi für Passagiere, mit Captive Portal-Onboarding und GDPR-konformer Datenerfassung
Betriebliche Netzwerke der Fluggesellschaften für Check-in-Systeme, Lesegeräte an den Boarding-Gates und Geräte der Bodencrew
Netzwerke für Einzelhandelskonzessionäre mit PCI-DSS-konformer POS-Isolierung
Betriebliche Netzwerke der Flughafenbehörde für Sicherheit, Gebäudemanagement und Personal
IoT- und Gebäudesysteme für Videoüberwachung, Umgebungssensoren und Wegeleitsysteme

Jede dieser Verkehrsklassen muss über dedizierte VLANs logisch isoliert werden, wobei das Inter-VLAN-Routing streng durch Firewall-Richtlinien kontrolliert wird. Für das Gast-WiFi-VLAN sollte die Client-Isolierung aktiviert sein, um eine direkte Kommunikation von Gerät zu Gerät zu verhindern und die Angriffsfläche zu verringern.

Für Einzelhandelskonzessionäre ist die empfohlene Architektur die dynamische VLAN-Zuweisung über 802.1X/RADIUS. Die Geräte jedes Mandanten authentifizieren sich gegenüber einem zentralen RADIUS-Server, der basierend auf den Anmeldedaten des Geräts die entsprechende VLAN-Zuweisung zurückgibt. Dies ermöglicht es dem IT-Team des Flughafens, den gesamten Netzwerkzugriff der Mandanten über eine einzige Steuerungsebene zu verwalten, ohne dass pro Mandant eine eigene SSID eingerichtet werden muss – was die HF-Leistung durch den Verbrauch von Sendezeit für Beacon-Frames beeinträchtigen würde.

Die Einhaltung der PCI DSS-Richtlinien für POS-Netzwerke von Mietern erfordert die Implementierung folgender Kontrollen: eine durch Penetrationstests verifizierte Netzwerksegmentierung, Wireless Intrusion Prevention Systems (WIPS) zur Erkennung und Eindämmung nicht autorisierter APs, verschlüsselte Übertragung von Karteninhaberdaten (mindestens TLS 1.2) sowie vierteljährliche Schwachstellenscans des Netzwerksegments. Der zentrale WLAN-Controller stellt die WIPS-Funktion bereit und klassifiziert sowie isoliert nicht autorisierte Geräte automatisch ohne manuelles Eingreifen.

Die Rolle von Passpoint im Flughafen-Kontext

Passpoint verdient besondere Aufmerksamkeit, da sein Wertversprechen im Flughafen-Kontext über den einfachen Komfort bei der Erstanmeldung hinausgeht. Für einen Flughafenbetreiber ermöglicht Passpoint drei strategisch wichtige Funktionen.

Erstens ermöglicht es Carrier-Offload-Partnerschaften. Mobilfunknetzbetreiber (MNOs) bezahlen Flughäfen dafür, Mobilfunkdatenverkehr über Passpoint auf das WiFi-Netzwerk auszulagern, was eine direkte Einnahmequelle aus der Infrastrukturinvestition schafft. Dies ist besonders wertvoll in Bereichen mit schlechter Mobilfunkabdeckung, wie z. B. unterirdischen Terminals oder stark abgeschirmten Gebäuden.

Zweitens ermöglicht es eine nahtlose erneute Authentifizierung für wiederkehrende Passagiere. Ein Vielflieger, der sich bei seinem letzten Besuch verbunden und ein Passpoint-Profil akzeptiert hat, verbindet sich bei jedem nachfolgenden Besuch automatisch, ohne dass eine Interaktion mit dem Captive Portal erforderlich ist. Dies verbessert das Erlebnis für die wertvollsten Passagiere des Flughafens drastisch.

Drittens bietet es eine standardbasierte Grundlage für die Identitätsföderation. Da Flughäfen an globalen OpenRoaming-Netzwerken teilnehmen, können sich Passagiere, die von Partner-Veranstaltungsorten – Hotels, Konferenzzentren, anderen Flughäfen – ankommen, automatisch mit ihren vorhandenen Zugangsdaten verbinden. Dies ist die Richtung, in die sich die Branche bewegt, und Flughäfen, die Passpoint heute bereitstellen, positionieren sich für diese Zukunft.

Implementierungsleitfaden

Die Bereitstellung eines robusten Flughafen-WiFi-Netzwerks erfordert einen phasenweisen Ansatz, der die technischen Anforderungen mit den betrieblichen Einschränkungen einer Live-Flughafenumgebung in Einklang bringt. Ausfallzeiten sind keine Option; alle Infrastrukturarbeiten müssen um die Betriebspläne herum geplant werden.

Phase 1 – Bewertung und Planung (Wochen 1–6)

Führen Sie eine umfassende HF-Standortvermessung (RF Site Survey) durch, die sowohl prädiktive Modellierung (Ekahau, AirMagnet) als auch aktive Messungen umfasst. Die prädiktive Vermessung ermittelt die optimale AP-Platzierung auf der Grundlage von Architekturzeichnungen; die aktive Vermessung validiert das Modell unter realen Bedingungen. Achten Sie besonders auf Bereiche mit hohem Metallanteil (Stahlkonstruktionen, durch Fenster sichtbare Flugzeuge) und große Glastrennwände, die komplexe Mehrwegeumgebungen (Multipath) erzeugen. Überprüfen Sie gleichzeitig die vorhandene kabelgebundene Infrastruktur, um Switches zu identifizieren, die ein Upgrade auf Multi-Gigabit-Ethernet und PoE++ erfordern, um Hochleistungs-APs zu unterstützen.

Phase 2 – Upgrade der Kerninfrastruktur (Wochen 7–16)

Rüsten Sie das kabelgebundene Backbone auf, um den erwarteten drahtlosen Datenverkehr zu bewältigen. Dies umfasst die Bereitstellung von Multi-Gigabit-Ethernet (2,5 oder 5 Gbps) an AP-Standorten in Zonen mit hoher Dichte, die Sicherstellung, dass die Core-Switching-Infrastruktur den aggregierten drahtlosen Durchsatz verarbeiten kann, und die Bereitstellung eines zentralisierten WLAN-Controllers mit ausreichender Kapazität für den gesamten AP-Bestand. Für große Flughäfen mit mehreren Terminals vereinfacht eine Cloud-verwaltete Architektur das Management und bietet die für eine hohe Verfügbarkeit erforderliche geografische Redundanz.

Phase 3 — Wireless-Bereitstellung und Segmentierung (Wochen 17–28)

Stellen Sie Wi-Fi 6/6E APs gemäß dem RF-Plan bereit und konfigurieren Sie OFDMA, MU-MIMO und BSS Colouring, um die Spektrumseffizienz zu maximieren. Implementieren Sie die VLAN-Segmentierungsarchitektur, konfigurieren Sie RADIUS für die dynamische VLAN-Zuweisung und richten Sie Firewall-Richtlinien ein, um Zugriffssteuerungen zwischen den VLANs durchzusetzen. Aktivieren Sie WIPS auf dem WLAN-Controller und konfigurieren Sie Richtlinien zur Eindämmung von Rogue APs.

Phase 4 — Integration von Authentifizierung und Analytics (Wochen 29–36)

Stellen Sie das Captive Portal bereit und integrieren Sie es in eine Guest WiFi -Management-Plattform. Konfigurieren Sie Passpoint-Profile und integrieren Sie diese gegebenenfalls in OpenRoaming. Implementieren Sie die Analytics-Plattform, um mit der Erfassung von Verweildauerdaten, Zonenbelegungsmetriken und Gerätezahlen zu beginnen. Stellen Sie die GDPR-Konformität sicher, indem Sie das Einwilligungsmanagement, Datenaufbewahrungsrichtlinien und die Möglichkeit zur Bearbeitung von Auskunftsersuchen betroffener Personen implementieren.

Best Practices

Nutzen Sie Wi-Fi 6/6E als Baseline-Standard. Die High-Density-Funktionen von 802.11ax sind bei einer modernen Flughafen-Bereitstellung unverzichtbar. OFDMA, MU-MIMO und Target Wake Time (TWT) bieten zusammen eine spürbare Leistungssteigerung unter Last im Vergleich zu 802.11ac. Für neue Bereitstellungen sollte Wi-Fi 6E die Standardspezifikation sein, mit Wi-Fi 6 als akzeptablem Mindeststandard für AP-Aktualisierungsprogramme.

Implementieren Sie WPA3 in allen Netzwerksegmenten. WPA3-Enterprise (unter Verwendung des 192-Bit-Modus für betriebliche Netzwerke) und WPA3-Personal (unter Verwendung von SAE) bieten eine deutlich stärkere Sicherheit als WPA2. Für Gastnetzwerke, bei denen keine Authentifizierung erforderlich ist, bietet Enhanced Open (OWE) eine unauthentifizierte Datenverschlüsselung, die Passagiere vor passivem Abhören in offenen Netzwerken schützt – eine sinnvolle Sicherheitsverbesserung ohne Auswirkungen auf die Benutzererfahrung.

Planen Sie für den Ausfall. In einer Live-Flughafenumgebung dürfen AP-Ausfälle keine Funklöcher verursachen. Stellen Sie APs mit ausreichender Überlappung (15–20 %) bereit, sodass der WLAN-Controller die Sendeleistung benachbarter APs automatisch erhöhen kann, um ein ausgefallenes Gerät zu kompensieren. Stellen Sie sicher, dass der WLAN-Controller selbst in einer Hochverfügbarkeitskonfiguration mit automatischem Failover bereitgestellt wird. Nutzen Sie SD-WAN für Multi-Terminal-Umgebungen. Für Flughäfen mit mehreren Terminals oder verteilten Einrichtungen, die über WAN-Verbindungen angebunden sind, bietet SD-WAN anwendungsorientiertes Traffic-Routing, verbesserte Resilienz und eine zentralisierte Durchsetzung von Sicherheitsrichtlinien. Siehe The Core SD WAN Benefits for Modern Businesses für eine detaillierte Analyse der betrieblichen Vorteile.

Betrachten Sie Analytics als Kernleistung. Die Daten, die durch ein gut ausgestattetes Flughafen-WiFi-Netzwerk generiert werden – Verweilzeiten, Zonenbelegung, Wiederholungsbesuchsraten, Gerätedemografie –, haben einen erheblichen betrieblichen und kommerziellen Wert. Integrieren Sie WiFi Analytics vom ersten Tag an und etablieren Sie klare interne Prozesse, um diese Daten für den Terminalbetrieb, Verhandlungen mit Einzelhandelsmietern und Marketinginitiativen zu nutzen.

Fehlerbehebung & Risikominderung

Gleichkanalstörungen (Co-Channel Interference - CCI). Die häufigste Ursache für schlechte Leistung in High-Density-Umgebungen. Reduzieren Sie diese durch sorgfältige Kanalplanung (Verwendung von überschneidungsfreien Kanälen im 2,4-GHz-Band und Nutzung der größeren Kanalverfügbarkeit in 5 GHz und 6 GHz), Dynamic Radio Management (DRM/RRM) auf dem WLAN-Controller und Richtantennen in Großraumbereichen. Widerstehen Sie der Versuchung, die Sendeleistung zu maximieren; eine geringere Leistung bei höherer AP-Dichte übertrifft in Flughafenumgebungen fast immer eine hohe Leistung bei geringer Dichte.

Abbruchraten beim Captive Portal. Ein schlecht gestaltetes Captive Portal stellt ein erhebliches betriebliches Risiko dar. Zu den wichtigsten Fehlerquellen gehören: Seiten, die zu schwer sind, um in überlasteten Netzwerken geladen zu werden, Inkompatibilität mit Apples Captive Network Assistant (CNA) oder der Android-Netzwerkanmeldefunktion sowie übermäßig komplexe Registrierungsformulare. Steuern Sie dem entgegen, indem Sie die Portalseite unter 200 KB halten, Tests mit dem CNA und den Android-Äquivalenten durchführen und die Anzahl der Pflichtfelder minimieren. Implementieren Sie eine profilbasierte Authentifizierung, damit wiederkehrende Nutzer das Portal vollständig umgehen.

Rogue Access Points. Unbefugte APs, die von Mietern, Passagieren oder böswilligen Akteuren eingerichtet werden, sind eine dauerhafte Bedrohung. Sie können das legitime Netzwerk durch HF-Interferenzen stören und ein Sicherheitsrisiko durch das Abfangen von Zugangsdaten darstellen. WIPS – implementiert als Funktion des zentralen WLAN-Controllers – bietet eine kontinuierliche Überwachung und automatische Eindämmung von Rogue-Geräten. Stellen Sie sicher, dass die WIPS-Richtlinien so konfiguriert sind, dass sie Rogue APs eindämmen und nicht nur erkennen.

GDPR und Einhaltung des Datenschutzes. Die Erfassung von Passagierdaten über das Captive Portal begründet Verpflichtungen gemäß GDPR (und entsprechenden Gesetzen in anderen Ländern). Stellen Sie sicher, dass die Datenschutzerklärung klar und zugänglich ist, die Einwilligung granular und freiwillig erfolgt, Daten sicher und nur für den angegebenen Zweck gespeichert werden und Mechanismen vorhanden sind, mit denen Passagiere ihre Betroffenenrechte wahrnehmen können. Binden Sie Ihren Datenschutzbeauftragten (DPO) bereits in der Planungsphase ein, nicht erst nach der Bereitstellung.

ROI & geschäftliche Auswirkungen

The business case for enterprise-grade airport WiFi extends well beyond passenger satisfaction. A well-instrumented deployment delivers measurable returns across multiple dimensions.

Passenger Experience and ASQ Scores. Airport Service Quality (ASQ) surveys consistently identify WiFi quality as a top-five driver of passenger satisfaction. Airports that invest in seamless, high-performance connectivity see measurable improvements in their ASQ rankings, which directly influence airline route decisions and terminal concession contract negotiations.

Non-Aeronautical Revenue. The WiFi network provides a platform for retail media monetisation — delivering targeted, location-aware advertising to passengers based on their position in the terminal and their dwell time. With retail media networks generating significant revenue for venue operators across Retail and Hospitality sectors, airports are increasingly recognising the commercial potential of their WiFi infrastructure.

Carrier Offload Revenue. Passpoint-enabled carrier offload agreements with MNOs create a direct revenue stream from the infrastructure investment. The economics vary by market, but in high-traffic airports, carrier offload agreements can contribute meaningfully to the total cost of ownership equation.

Operational Efficiency. Location analytics derived from the WiFi network enable data-driven optimisation of terminal operations: staffing levels at security checkpoints, queue management at check-in, and retail tenant placement decisions. These operational improvements have a direct impact on the airport's cost base and revenue per passenger.

Data Asset Value. The first-party data captured through the Captive Portal — with appropriate consent — builds a CRM database of verified passenger profiles. This asset has significant value for direct marketing, loyalty programme integration, and commercial partnerships with airlines and retail tenants. For airports in the Transport sector, this data capability is increasingly a competitive differentiator.

Schlüsseldefinitionen

Passpoint (Hotspot 2.0 / IEEE 802.11u)

Ein Zertifizierungsprogramm der Wi-Fi Alliance, das es Geräten ermöglicht, Wi-Fi-Netzwerke mithilfe vorab bereitgestellter Anmeldedaten automatisch zu erkennen und sich zu authentifizieren, ohne dass eine Benutzerinteraktion mit einem Captive Portal erforderlich ist. Die Authentifizierung erfolgt über 802.1X/EAP und bietet Sicherheit auf Enterprise-Niveau.

Unerlässlich für ein nahtloses, mobilfunkähnliches Roaming-Erlebnis auf großen Flughafenflächen und zur Ermöglichung von Carrier-Offload-Partnerschaften mit MNOs.

IEEE 802.11r (Fast BSS Transition)

Eine Ergänzung des Standards IEEE 802.11, die die Latenzzeit bei Access-Point-Wechseln verringert, indem kryptografische Schlüssel (PMK) vorab an benachbarte APs innerhalb einer Mobilitätsdomäne verteilt werden, wodurch die Übergabezeit von über 200 ms auf unter 50 ms reduziert wird.

Kritisch für die Aufrechterhaltung von VoIP-Anrufen und aktiven Anwendungssitzungen, wenn sich Passagiere zwischen APs oder Terminals bewegen, insbesondere in Transitzügen.

OpenRoaming

Eine globale Wi-Fi-Roaming-Föderation, die von der Wireless Broadband Alliance (WBA) betrieben wird und eine automatische, sichere Verbindung über teilnehmende Veranstaltungsorte und Netzwerke hinweg unter Verwendung von Passpoint-Anmeldedaten ermöglicht. Zu den Teilnehmern gehören MNOs, Identitätsanbieter und Betreiber von Veranstaltungsorten.

Ermöglicht es Passagieren, sich an teilnehmenden Flughäfen automatisch mit den Anmeldedaten ihres Heimnetzwerks oder Identitätsanbieters zu verbinden, ohne dass eine manuelle Interaktion erforderlich ist.

OFDMA (Orthogonal Frequency Division Multiple Access)

Eine Multi-User-Version von OFDM, die einen Wi-Fi-Kanal in kleinere Unterkanäle (Resource Units) unterteilt, sodass ein einzelner AP gleichzeitig mehrere Clients auf verschiedenen Unterkanälen innerhalb einer einzigen Übertragung bedienen kann.

Ein wichtiges Wi-Fi 6-Feature, das die Spektrumeffizienz in Umgebungen mit hoher Dichte, wie z. B. Gate-Wartebereichen, in denen viele Clients gleichzeitig aktiv sind, erheblich verbessert.

Dynamic VLAN Assignment

Ein Netzwerkzugriffskontrollmechanismus, bei dem das VLAN, dem ein Gerät zugewiesen wird, zum Zeitpunkt der Authentifizierung dynamisch von einem RADIUS-Server basierend auf den Anmeldedaten des Geräts bestimmt wird, anstatt statisch auf dem Switch-Port oder der SSID konfiguriert zu sein.

Der empfohlene Ansatz für die Verwaltung des Netzwerkzugriffs von Konzessionsmietern, der eine zentralisierte Richtliniensteuerung ohne eine unkontrollierte Zunahme von SSIDs pro Mieter ermöglicht.

WIPS (Wireless Intrusion Prevention System)

Eine Netzwerksicherheitskomponente, die das Funkspektrum kontinuierlich auf unbefugte Access Points und Client-Geräte überwacht und automatisch Gegenmaßnahmen (Eindämmung) ergreifen kann, um deren Betrieb zu verhindern.

Zwingend erforderlich für die PCI-DSS-Compliance in Umgebungen mit POS-Systemen von Einzelhandelsmietern und unerlässlich für die Aufrechterhaltung der allgemeinen Netzwerksicherheit an einem öffentlichen Veranstaltungsort.

BSS Colouring (IEEE 802.11ax)

Ein in Wi-Fi 6 eingeführter Mechanismus, der jedem Basic Service Set (BSS) eine Farbkennung zuweist. Dies ermöglicht es APs, zwischen überlappenden Übertragungen aus dem eigenen Netzwerk und denen aus benachbarten Netzwerken zu unterscheiden, was unnötige Backoff-Zeiten reduziert und die spektrale Wiederverwendung verbessert.

Besonders wertvoll in dichten Flughafen-Infrastrukturen, in denen mehrere APs in enger Nachbarschaft betrieben werden, da es den gesamten Netzdurchsatz verbessert.

Dwell Time

Die Dauer, die ein Passagier in einer bestimmten Zone des Flughafens verbringt, gemessen vom Eintritt bis zum Austritt. Die Dwell Time variiert je nach Zone erheblich: typischerweise 45–90 Minuten an den Gates, unter 5 Minuten auf den Verbindungswegen im Terminal.

Die primäre Eingangsvariable für Entscheidungen zur Durchsatzbereitstellung. Zonen mit hoher Dwell Time erfordern eine höhere Bandbreitenzuweisung pro Gerät und eine robustere AP-Dichte.

Enhanced Open (OWE / Opportunistic Wireless Encryption)

Ein Sicherheitsprotokoll der Wi-Fi Alliance, das eine Datenverschlüsselung für offene (nicht authentifizierte) Wi-Fi-Netzwerke bietet, ohne dass ein Passwort oder eine Benutzerinteraktion erforderlich ist. Jede Client-Sitzung verwendet einen eindeutigen Verschlüsselungsschlüssel.

Der empfohlene Sicherheitsstandard für öffentliche Gast-WiFi-Netzwerke, der Passagiere vor passivem Abhören schützt, ohne den Verbindungsprozess zu verkomplizieren.

Ausgearbeitete Beispiele

Ein großer internationaler Flughafen mit drei Terminals, die durch eine automatische Kabinenbahn verbunden sind, verzeichnet erhebliche Beschwerden von Passagieren. Nutzer berichten, dass ihre WiFi-Verbindung jedes Mal abbricht, wenn sie in den Transit-Zug zwischen den Terminals einsteigen, was sie zwingt, sich bei der Ankunft erneut über das Captive Portal zu authentifizieren. Das bestehende Netzwerk nutzt eine veraltete Controller-basierte Architektur mit WLAN-Controllern pro Terminal und ohne controllerübergreifende Roaming-Domain.

Die Ursache ist das Fehlen einer einheitlichen Roaming-Domain über alle drei Terminals hinweg. Die Behebung erfordert: (1) Migration zu einem einzigen zentralisierten WLAN-Controller – entweder vor Ort oder Cloud-managed –, der alle APs über alle drei Terminals hinweg innerhalb einer einzigen Mobility-Domain verwaltet. (2) Aktivierung von IEEE 802.11r (Fast BSS Transition) auf allen APs, um sicherzustellen, dass der PMK an alle APs innerhalb der Mobility-Domain verteilt wird, sodass Handoffs in unter 50 ms abgeschlossen sind. (3) Bereitstellung von Passpoint-Profilen, um die erneute Authentifizierung über das Captive Portal für wiederkehrende Nutzer zu eliminieren. (4) Sicherstellung einer kontinuierlichen AP-Abdeckung entlang der Transit-Zugstrecke mit überlappenden Funkzellen (15–20 %), um die Signalverfügbarkeit während der gesamten Fahrt zu garantieren. (5) Aktivierung von 802.11k und 802.11v, um Client-Geräte proaktiv zum optimalen AP zu leiten, während sie sich bewegen, anstatt zu warten, bis sich die Verbindung verschlechtert, bevor ein Handoff eingeleitet wird.

Kommentar des Prüfers: Dieses Szenario veranschaulicht den häufigsten Architekturfehler bei Flughafen-Installationen mit mehreren Terminals: Jedes Terminal wird als unabhängiges Netzwerk betrachtet und nicht als Zone innerhalb eines einzigen Campus-Netzwerks. Die Lösung ist unkompliziert, erfordert jedoch eine Controller-Migration, die in einer Live-Flughafenumgebung sorgfältig geplant werden muss. Die entscheidende Erkenntnis ist, dass 802.11r allein ohne eine einheitliche Mobility-Domain unzureichend ist – der PMK-Verteilungsmechanismus funktioniert nur, wenn alle APs vom selben Controller oder Controller-Cluster verwaltet werden.

Ein Flughafenbetreiber plant eine größere Erweiterung der Einzelhandelskonzessionen und fügt einem neu errichteten Flugsteig 40 neue Gastronomie- und Einzelhandelsflächen hinzu. Jeder Mieter benötigt WiFi für Cloud-basierte POS-Systeme, Mitarbeitergeräte und digitale Beschilderung für Kunden. Das IT-Team des Flughafens möchte die bestehende drahtlose Infrastruktur nutzen, die für das Passagier-Gast-WiFi bereitgestellt wird, anstatt ein separates Netzwerk für Mieter aufzubauen.

Der Ansatz der gemeinsamen Infrastruktur ist machbar und kosteneffizient, sofern die Segmentierungsarchitektur korrekt implementiert wird. Das empfohlene Design nutzt die dynamische VLAN-Zuweisung über 802.1X/RADIUS: (1) Jedem Mieter wird ein eindeutiger Satz von Anmeldedaten im RADIUS-Server zugewiesen. Wenn sich ein Mietergerät authentifiziert, gibt der RADIUS-Server ein VLAN-Zuweisungsattribut zurück, das das Gerät im dedizierten VLAN des Mieters platziert. (2) Jedes Mieter-VLAN ist über Firewall-ACLs vom Gast-WiFi-VLAN und dem operativen Flughafennetzwerk isoliert. Der Internetzugang wird über einen gemeinsamen Uplink bereitgestellt, aber das Inter-VLAN-Routing ist blockiert. (3) Für die PCI-DSS-Konformität werden die Mieter-VLANs als Cardholder Data Environment (CDE) definiert. Firewall-Regeln beschränken den ein- und ausgehenden Datenverkehr auf das für den POS-Betrieb erforderliche Minimum. WIPS ist aktiviert, um unbefugte APs innerhalb der Mieterzonen zu erkennen und einzudämmen. (4) Eine dedizierte SSID für Mietergeräte wird mit WPA3-Enterprise konfiguriert, um sicherzustellen, dass der gesamte Datenverkehr verschlüsselt ist. Die SSID wird ausgeblendet, um zu verhindern, dass Passagiergeräte versuchen, sich zu verbinden. (5) Das IT-Team des Flughafens behält die zentrale Verwaltung aller Mieter-Netzwerkzugänge und kann den Zugriff für einzelne Mieter ohne physischen Eingriff widerrufen oder ändern.

Kommentar des Prüfers: Dieses Szenario verdeutlicht die betrieblichen und kommerziellen Vorteile eines gemeinsamen Infrastrukturmodells für Konzessionsmieter. Die kritische Designentscheidung ist die Nutzung der dynamischen VLAN-Zuweisung anstelle von SSIDs pro Mieter – der letztgenannte Ansatz würde die Bereitstellung von bis zu 40 zusätzlichen SSIDs erfordern, die jeweils Sendezeit mit Beacon-Frames verbrauchen und die HF-Leistung für alle Nutzer verschlechtern würden. Der RADIUS-basierte Ansatz lässt sich ohne HF-Beeinträchtigung auf eine beliebige Anzahl von Mietern skalieren. Die PCI-DSS-Abgrenzung ist ebenfalls wichtig: Durch die korrekte Definition der CDE-Grenze begrenzt der Flughafen den Umfang seiner Compliance-Verpflichtungen auf die Mieter-VLANs und nicht auf das gesamte Netzwerk.

Übungsfragen

Q1. Der IT-Leiter eines Flughafens prüft Beschwerden über eine schlechte WiFi-Leistung in der internationalen Abflughalle. In der Halle sind 12 Access Points auf einer Fläche von 1.200 m² installiert, die alle 802.11ac mit Rundstrahlantennen und maximaler Sendeleistung nutzen. Die Spitzenbelegung liegt bei 400 Passagieren. Was ist die wahrscheinlichste Ursache für die Leistungsprobleme und welche Maßnahmen zur Behebung würden Sie empfehlen?

Hinweis: Berücksichtigen Sie das Verhältnis zwischen Sendeleistung, Zellgröße und Gleichkanalstörungen (Co-Channel Interference) in einer Umgebung mit hoher Dichte.

Musterlösung anzeigen

Die wahrscheinlichste Ursache sind Gleichkanalstörungen (Co-Channel Interference, CCI), die durch die Kombination aus hoher Sendeleistung und Rundstrahlantennen verursacht werden. Bei maximaler Leistung reicht die Zelle jedes APs weit über ihren vorgesehenen Abdeckungsbereich hinaus, was zu erheblichen Überschneidungen mit benachbarten APs auf demselben Kanal führt. Dies zwingt die Geräte, die Übertragung zu verzögern, was den effektiven Durchsatz verringert. Die Behebungsmaßnahmen sind: (1) Reduzieren der Sendeleistung an allen APs, um engere, klarer definierte Zellen zu schaffen. (2) Ersetzen der Rundstrahlantennen durch Richtantennen, die auf die Sitzbereiche ausgerichtet sind. (3) Aktivieren des Dynamic Radio Management (RRM) auf dem WLAN-Controller, um die Kanal- und Leistungszuweisungen automatisch zu optimieren. (4) Upgrade der APs auf Wi-Fi 6 (802.11ax), um OFDMA und BSS Coloring zu nutzen, was die Leistung unter Bedingungen mit hoher Dichte erheblich verbessert. (5) Erwägen einer Erhöhung der AP-Dichte (Hinzufügen von 4–6 zusätzlichen APs), anstatt die Leistung der vorhandenen APs zu erhöhen.

Q2. Ein Einzelhandelsmieter am Flughafen hat die Erlaubnis beantragt, einen eigenen drahtlosen Access Point in seinem Geschäft zu installieren, und begründet dies mit dem schlechten Signal der Flughafeninfrastruktur. Wie sollte das IT-Team reagieren und was ist die richtige technische Lösung?

Hinweis: Berücksichtigen Sie sowohl die Sicherheitsauswirkungen als auch die HF-Auswirkungen einer nicht autorisierten AP-Bereitstellung.

Musterlösung anzeigen

Das IT-Team muss den Antrag auf Bereitstellung eines nicht autorisierten APs ablehnen. Ein nicht verwalteter AP birgt zwei kritische Risiken: (1) Sicherheitsrisiko – der AP würde nicht den Sicherheitsrichtlinien des Flughafens, der WIPS-Überwachung oder den PCI-DSS-Kontrollen unterliegen, was einen potenziellen Angriffsvektor darstellt. (2) HF-Interferenz – ein nicht verwalteter AP, der auf einem unkoordinierten Kanal betreibt wird, würde das verwaltete Netzwerk stören und die Leistung für alle Benutzer in der Umgebung beeinträchtigen. Die richtige Lösung besteht darin, die Ursache für das schlechte Signal im Geschäft des Mieters zu untersuchen. Dies erfordert möglicherweise eine gezielte HF-Messung, um Abdeckungslücken oder Interferenzquellen zu identifizieren. Die Behebung sollte die Bereitstellung eines zusätzlichen verwalteten APs – oder die Neupositionierung eines vorhandenen – umfassen, um eine angemessene Abdeckung in der Zone des Mieters zu gewährleisten, wobei die Geräte des Mieters über eine dynamische VLAN-Zuweisung ihrem dedizierten VLAN zugewiesen werden.

Q3. Ein Flughafen plant die erstmalige Einführung von Passpoint. Der IT-Leiter möchte verstehen, welche Infrastrukturänderungen erforderlich sind und wie das Passagiererlebnis sowohl für Erstbesucher als auch für wiederkehrende Besucher aussehen wird.

Hinweis: Denken Sie an den gesamten Weg sowohl für einen neuen als auch für einen wiederkehrenden Passagier und an die Infrastrukturkomponenten, die zur Unterstützung der beiden erforderlich sind.

Musterlösung anzeigen

Die Infrastrukturvoraussetzungen für die Passpoint-Bereitstellung umfassen: (1) WLAN-Controller und APs, die 802.11u (GAS/ANQP) und 802.1X/EAP unterstützen. (2) Einen RADIUS-Server, der für die EAP-Authentifizierung für Passpoint-Anmeldedaten konfiguriert ist. (3) Eine Identitätsanbieter-Beziehung – entweder mit einem Mobilfunknetzbetreiber (MNO) für Carrier-Anmeldedaten oder mit einer Plattform wie Purple für OpenRoaming. (4) Die Fähigkeit zur Bereitstellung von Passpoint-Profilen, die normalerweise über das Captive Portal oder ein MDM-System bereitgestellt wird. Für einen Erstbesucher: Er verbindet sich mit der offenen Gäste-SSID, wird zum Captive Portal weitergeleitet, registriert sich und akzeptiert die Bedingungen, woraufhin ein Passpoint-Profil auf seinem Gerät eingerichtet wird. Er erlebt das Portal nur einmal. Für einen wiederkehrenden Besucher: Sein Gerät erkennt das Passpoint-Netzwerk über 802.11u-GAS-Abfragen, authentifiziert sich geräuschlos über 802.1X/EAP unter Verwendung des gespeicherten Profils und verbindet sich ohne jegliche Portal-Interaktion. Für einen Besucher mit MNO-Anmeldedaten in einem OpenRoaming-fähigen Netzwerk: Sein Gerät verbindet sich beim ersten Besuch automatisch, ganz ohne Portal-Interaktion.

Q4. Ein Flughafenbetreiber verhandelt über einen neuen Fünfjahresvertrag für die WiFi-Infrastruktur. Der Anbieter schlägt ein pauschales Lizenzmodell pro AP vor, unabhängig vom Zonentyp. Welchen Gegenvorschlag sollte der IT-Leiter machen und welche Daten sollte er zur Untermauerung heranziehen?

Hinweis: Berücksichtigen Sie die erheblichen Unterschiede bei den Anforderungen an die AP-Leistungsfähigkeit und die Verwaltungskomplexität in den verschiedenen Flughafenzonen.

Musterlösung anzeigen

Der IT-Leiter sollte ein gestuftes Lizenzmodell vorschlagen, das die unterschiedlichen Anforderungen an die Leistungsfähigkeit und den Verwaltungsaufwand von APs in verschiedenen Zonen widerspiegelt. Zonen mit hoher Dichte (Gates, Lounges) erfordern Wi-Fi 6/6E APs mit erweiterten Funktionen (OFDMA, MU-MIMO, WIPS), höherem Verwaltungsaufwand und häufigeren Kapazitätsprüfungen – diese sollten einen höheren Preis pro AP verlangen. Transitbereiche mit geringer Dichte (Flure, Gepäckausgabe) können durch APs mit geringeren Spezifikationen und einfacheren Verwaltungsanforderungen bedient werden. Die unterstützenden Daten sollten Folgendes umfassen: die Ergebnisse der HF-Standortmessung, die den Dichteunterschied zwischen den Zonen zeigen, das Durchsatz-Bereitstellungsmodell, das die Leistungslücke zwischen den Zonentypen demonstriert, und eine Gesamtbetriebskostenanalyse (TCO), die zeigt, dass ein Pauschalmodell entweder zu viel für APs mit geringer Dichte bezahlt oder Zonen mit hoher Dichte unterversorgt. Der Leiter sollte auch SLA-Bedingungen aushandeln, die nach der Kritikalität der Zone differenzieren – Gate-Zonen sollten ein höheres Verfügbarkeits-SLA haben als Flurbereiche.

Weiterlesen in dieser Reihe

Hotel Guest WiFi Management: Integration von PMS, Portalen und Markenstandards

Dieser technische Leitfaden beschreibt detailliert die Architektur von WiFi-Netzwerken der Enterprise-Klasse für Hotels, mit Schwerpunkt auf VLAN-Segmentierung, PMS-Integration für automatisiertes Sitzungsmanagement und Captive Portal-Optimierung für die GDPR-konforme Datenerfassung.

How to Set Up Guest WiFi: A Secure Enterprise Configuration Guide

Dieser maßgebliche Leitfaden bietet IT-Leitern und Netzwerkarchitekten eine definitive Vorlage für die Bereitstellung von sicherem Enterprise-Guest-WiFi. Er behandelt die wesentliche Architektur, die WPA3-Migration, VLAN-Segmentierung und die Integration von Captive Portals, um interne Systeme zu schützen und gleichzeitig DSGVO-konforme First-Party-Daten zu erfassen.

Verwalten der Bandbreite für Staff WiFi: Shaping, QoS und Verkehrsreduzierung

Dieser Leitfaden beschreibt praktische Methoden zur Verwaltung der Bandbreite für Staff WiFi in großen Unternehmen. Er behandelt Traffic Shaping, QoS-Implementierung und wie der Einsatz von Purple Shield die Netzwerklast reduziert, ohne dass Infrastruktur-Upgrades erforderlich sind.