Schritt-für-Schritt-Anleitung: Konfiguration von Ruijie Wireless Controllern für Gäste-WiFi Captive Portals
Diese Anleitung bietet eine vollständige technische Anleitung zur Konfiguration von Ruijie Wireless Controllern und Gateways für die Bereitstellung von Gäste-WiFi Captive Portals auf Enterprise-Niveau. Sie deckt VLAN-Segmentierung, externe RADIUS-Authentifizierung über das WISPr-Protokoll, Walled-Garden-Konfiguration und die nahtlose Integration mit der Identity-Based Networks-Plattform von Purple ab, um First-Party-Daten zu erfassen und messbaren geschäftlichen Nutzen im Gastgewerbe, im Einzelhandel und im öffentlichen Sektor zu erzielen.
Diesen Leitfaden anhören
Podcast-Transkript ansehen
- Executive Summary
- Technische Architektur und Voraussetzungen
- Netzwerksegmentierung
- Erforderliche Komponenten
- Übersicht über die Authentifizierungsprotokolle
- Schritt-für-Schritt-Anleitung
- Schritt 1: Gäste-SSID konfigurieren
- Schritt 2: Captive Portal-Richtlinie definieren
- Schritt 3: Walled Garden (Allowlist) konfigurieren
- Schritt 4: RADIUS-Authentifizierung konfigurieren
- Schritt 5: QoS-Richtlinien anwenden
- Schritt 6: Bereitstellung testen
- Best Practices für Enterprise-Bereitstellungen
- Sicherheit und Compliance
- Portal Escape: Eine bewusste Entscheidung
- Konsistenz über mehrere Standorte hinweg
- Firmware-Management
- Fehlerbehebung und Risikominderung
- Portalseite lädt nicht
- Authentifizierungs-Timeout
- Social-Media-Login hängt
- Dynamische VLAN-Zuweisung schlägt fehl
- ROI und geschäftliche Auswirkungen

Executive Summary
Die Bereitstellung von Gäste-WiFi in verteilten Unternehmen bedeutet mehr als nur das Bereitstellen einer offenen SSID. Für IT-Manager und Netzwerkarchitekten besteht die Herausforderung darin, einen nahtlosen Zugang mit strenger Sicherheit, GDPR-Konformität und Anforderungen an die Datenerfassung in Einklang zu bringen. Diese Anleitung beschreibt die genauen Konfigurationsschritte für die Bereitstellung eines sicheren, skalierbaren Captive Portals mit Ruijie Wireless Controllern und Gateways. Sie zeigt, wie die Integration dieser Infrastruktur mit der Gäste-WiFi -Plattform von Purple eine einfache drahtlose Verbindung in ein konformes und umsatzgenerierendes Asset verwandelt.
Wir behandeln technische Voraussetzungen, VLAN-Isolationsstrategien, externe RADIUS-Authentifizierung über das WISPr-Protokoll, Walled-Garden-Konfigurationen sowie spezifische QoS-Einstellungen für produktive Implementierungen. Ob Sie ein Hotel mit 200 Zimmern, eine Einzelhandelskette mit 50 Filialen oder ein Stadion mit 40.000 Plätzen verwalten: Diese Anleitung bietet eine verlässliche Vorlage für die sichere Einrichtung eines Ruijie Captive Portals. Purple ist weltweit an über 80.000 aktiven Standorten im Einsatz und hat im Jahr 2024 440 Millionen Logins verarbeitet (interne Daten von Purple). Die hier beschriebenen Integrationsmuster haben sich somit im großen Maßstab bewährt.

Technische Architektur und Voraussetzungen
Bevor Sie Ihren Ruijie-Controller konfigurieren, sollten Sie die richtige Netzwerkarchitektur aufbauen. Ein sicheres Gästenetzwerk erfordert eine vollständige Isolierung vom Unternehmensdatenverkehr auf Layer 2 (Switch-Ebene).
Netzwerksegmentierung
Das Fundament für sicheres Gäste-WiFi ist die VLAN-Isolierung. Sie müssen ein dediziertes Gäste-VLAN auf Ihrem Ruijie-Gateway oder Core-Switch einrichten. Dies stellt sicher, dass der Datenverkehr von Gästen niemals mit internen Systemen, Zahlungsterminals oder Mitarbeitergeräten in Berührung kommt. Ein typisches Enterprise-VLAN-Schema für Ruijie-Bereitstellungen sieht wie folgt aus:
| VLAN-ID | Verwendung | Anmerkungen |
|---|---|---|
| 10 | Unternehmen | Mitarbeitergeräte, interne Server |
| 20 | Voice | VoIP-Telefone |
| 30 | Gäste | Captive Portal, nur Internet |
| 40 | IoT | Drucker, Smart-TVs, Sensoren |
| 99 | Management | Controller, Switch-Verwaltung |
Weitere Informationen darüber, warum verbraucherorientierte Ansätze hier scheitern, finden Sie in unserem Artikel Warum Consumer-WiFi-Geräte nicht für Ihr Gästenetzwerk geeignet sind .
Erforderliche Komponenten
Für diese Bereitstellung benötigen Sie:
- Ein Ruijie Cloud-Konto oder einen lokalen Ruijie RG-WS Wireless Controller (z. B. RG-WS6008 oder RG-WS7110).
- Ein Ruijie RG-EG Gateway – erforderlich für die externe Portal-Authentifizierung über WISPr.
- Ruijie RG-AP Access Points (z. B. RG-AP820-I, RG-AP850-AR).
- Eine Lizenz für Purple Connect, Capture oder Engage.
- Ausgehenden UDP-Zugriff für die Ports 1812 (RADIUS-Authentifizierung) und 1813 (RADIUS-Accounting) vom Gateway zu den Purple-Servern.
Übersicht über die Authentifizierungsprotokolle
Ruijie unterstützt verschiedene Authentifizierungsmethoden. Für Implementierungen auf Enterprise-Ebene sollte die externe RADIUS-Authentifizierung verwendet werden. Diese Methode nutzt das WISPr-Protokoll (Wireless Internet Service Provider roaming), um nicht authentifizierte Benutzer sicher auf die Splash Page (Anmeldeseite) von Purple weiterzuleiten, ihre Anmeldedaten zu verarbeiten und eine RADIUS-Accept- oder RADIUS-Reject-Nachricht an den Ruijie-Controller zurückzusenden.

Die obige Tabelle fasst die fünf von der Ruijie-Plattform angebotenen Authentifizierungsmethoden zusammen. E-Mail-Registrierung und Social-Media-Logins sind im Hotel- und Einzelhandelsbereich am beliebtesten, da sie strukturierte, GDPR-konforme First-Party-Daten erfassen. Voucher-Codes eignen sich für Konferenzräume und kostenpflichtige Tarife. RADIUS mit 802.1X ist für Mitarbeiter-Netzwerke reserviert, die eine verzeichnisgestützte Authentifizierung erfordern.
Schritt-für-Schritt-Anleitung
Führen Sie die folgenden Schritte in der Ruijie Cloud oder auf der lokalen Controller-Oberfläche aus. Die folgenden UI-Pfade gelten für die neue Ruijie Cloud-Oberfläche (nach 2024) und die Ruijie JaCS-Plattform.
Schritt 1: Gäste-SSID konfigurieren
Richten Sie das drahtlose Netzwerk ein.
- Melden Sie sich in der Ruijie Cloud oder auf der Weboberfläche des lokalen Controllers an.
- Navigieren Sie zu Device Config und wählen Sie unter „Wireless“ die Option Wi-Fi.
- Klicken Sie auf +, um eine neue SSID zu erstellen, oder bearbeiten Sie eine bestehende SSID.
- Legen Sie den SSID Name fest (z. B. „Free Guest WiFi“).
- Stellen Sie den Security Mode auf Open (kein Pre-Shared Key).
- Weisen Sie die SSID Ihrem dedizierten Gäste-VLAN zu (z. B. VLAN 30).
- Speichern Sie die SSID-Konfiguration.
Schritt 2: Captive Portal-Richtlinie definieren
Weisen Sie den Controller an, den Datenverkehr von Gästen abzufangen und an Purple weiterzuleiten.
- Navigieren Sie zu Auth & Account und wählen Sie unter „Authentication“ die Option Captive Portal.
- Erstellen Sie eine neue Richtlinie. Vergeben Sie einen aussagekräftigen Policy Name (z. B. „Purple-Guest-Portal“).
- Stellen Sie den Policy Mode auf External.
- Stellen Sie das Authentication Device auf Ihr Ruijie-Gateway (RG-EG-Serie) oder Ihre Access Points ein.
- Wählen Sie die in Schritt 1 erstellte Gäste-SSID aus.
- Geben Sie im Feld Portal Server URL Ihre spezifische Purple Splash Page-URL ein (zu finden im Purple-Dashboard unter „Hardware-Konfiguration“).
- Geben Sie die IP-Adressen der Purple RADIUS-Server in die entsprechenden Felder ein.
- Stellen Sie die Dauer für Seamless Online so ein, dass sie Ihrer Richtlinie für das Sitzungs-Timeout entspricht (z. B. 24 Stunden für das Gastgewerbe, 1 Stunde für den Einzelhandel).
- Legen Sie das Verhalten für Portal Escape fest – siehe Abschnitt „Best Practices“ unten.
Schritt 3: Walled Garden (Allowlist) konfigurieren
Das Captive Portal fängt den gesamten Datenverkehr ab, bis sich der Benutzer authentifiziert hat. Bestimmter Datenverkehr muss in der Pre-Authentifizierungsphase zugelassen werden, damit die Anmeldeseite geladen und Social-Media-Logins verarbeitet werden können. Dies ist der am häufigsten fehlerhaft konfigurierte Teil einer Captive Portal-Bereitstellung.
- Navigieren Sie zu Auth & Account und wählen Sie Allowlist.
- Fügen Sie alle erforderlichen Domains der Purple-Infrastruktur hinzu. Ihr Purple-Dashboard enthält eine spezifische Liste für Ihre Region.
- Wenn Sie Social-Media-Logins anbieten, fügen Sie die OAuth-Domains der jeweiligen Anbieter hinzu:
- Für Microsoft Entra ID:
*.microsoft.com,*.microsoftonline.com,login.live.com - Für Google Workspace:
*.google.com,accounts.google.com - Für Okta: Ihre spezifische Okta-Tenant-Domain
- Für Microsoft Entra ID:
- Wenn Sie kostenpflichtige WiFi-Tarife anbieten, fügen Sie die Domains der Zahlungsanbieter hinzu.
- Speichern Sie die Allowlist und wenden Sie sie an.
Schritt 4: RADIUS-Authentifizierung konfigurieren
Richten Sie den sicheren Kommunikationskanal zwischen Ruijie und Purple ein.
- Navigieren Sie zu den RADIUS-Servereinstellungen in Ihrem Ruijie-Controller oder -Gateway.
- Fügen Sie die IP-Adresse des primären Purple RADIUS-Servers und Port 1812 für die Authentifizierung hinzu.
- Fügen Sie die IP-Adresse des sekundären Purple RADIUS-Servers als Failover hinzu.
- Geben Sie den Shared Secret (gemeinsamen Schlüssel) aus Ihrem Purple-Dashboard ein. Dieser muss exakt übereinstimmen.
- Fügen den Accounting-Server auf Port 1813 hinzu und aktivieren Sie das RADIUS-Accounting. Dies erfasst die Sitzungsdauer und den Datenverbrauch und leitet diese Daten direkt an die WiFi Analytics -Berichte von Purple weiter.
- Stellen Sie den NAS Identifier auf eine eindeutige Zeichenfolge ein (z. B. den Namen Ihres Standorts), um den Datenverkehr in den Analysen von Purple zu unterscheiden.
Schritt 5: QoS-Richtlinien anwenden
Zu Spitzenzeiten kann unbegrenzter Gästezugang Ihre Internetleitung überlasten.
- Navigieren Sie zum Bereich QoS oder Bandbreitenmanagement Ihres Ruijie-Gateways.
- Legen Sie Download-Limits pro Benutzer fest (z. B. 10 Mbps für Hotelgäste, 5 Mbps für Einzelhandelskunden).
- Legen Sie Upload-Limits pro Benutzer fest (z. B. 2–5 Mbps).
- Deaktivieren Sie Client Escape, um sicherzustellen, dass nicht authentifizierte Benutzer keinen Netzwerkzugriff erhalten, wenn der Portal-Server vorübergehend nicht erreichbar ist.
- Speichern Sie die Konfiguration und übertragen Sie sie auf alle relevanten Geräte.
Schritt 6: Bereitstellung testen
Testen Sie unbedingt mit einem sauberen Gerät ohne zwischengespeicherte Anmeldedaten.
- Verbinden Sie ein Mobilgerät mit der Gäste-SSID.
- Öffnen Sie einen Browser und navigieren Sie zu einer Nicht-HTTPS-URL (z. B.
http://example.com). Die Portalseite sollte umgeleitet werden. - Überprüfen Sie, ob die Purple Splash Page korrekt geladen wird.
- Schließen Sie den Authentifizierungsprozess ab.
- Bestätigen Sie, dass nach der Authentifizierung der Internetzugang freigegeben wurde.
- Überprüfen Sie das Purple-Dashboard, um sicherzustellen, dass die Sitzung in Ihren Analysedaten angezeigt wird.
Best Practices für Enterprise-Bereitstellungen
Sicherheit und Compliance
Verlassen Sie sich beim Gästezugang niemals auf gemeinsam genutzte PSKs. Gemeinsame Passwörter bieten keine Nachvollziehbarkeit und können nicht für einzelne Benutzer widerrufen werden. Durch die Verwendung des Captive Portals von Purple mit individueller Authentifizierung können Sie die ausdrückliche Zustimmung der Benutzer zur Datenverarbeitung einholen und so die Anforderungen von Artikel 7 der GDPR erfüllen. Purple ist nach ISO 27001, GDPR, CCPA und Cyber Essentials zertifiziert, was sicherstellt, dass der Datenerfassungsmechanismus selbst auditierbar ist.
Für einen tieferen Einblick in Sicherheitsarchitekturen lesen Sie unseren Enterprise-WiFi-Sicherheit: Der vollständige Leitfaden für 2026 und Was ist sicheres WiFi: Der unverzichtbare Leitfaden für Unternehmen im Jahr 2026 .
Portal Escape: Eine bewusste Entscheidung
Die Portal Escape-Funktion von Ruijie gibt den Benutzerdatenverkehr automatisch frei, wenn die Verbindung zwischen AP und Portal-Server unterbrochen ist. In einer Hotelumgebung entscheiden Sie sich möglicherweise dafür, diese Funktion zu aktivieren – da ein vorübergehender Ausfall des Servers, der Gäste am Verbinden hindert, zu Beschwerden führen kann. In einer Einzelhandels- oder Gesundheitsumgebung sollten Sie sie jedoch deaktivieren, da ein nicht authentifizierter Zugriff ein Compliance- und Sicherheitsrisiko darstellt. Dokumentieren Sie Ihre Entscheidung und die Gründe dafür in Ihrem Netzwerkhandbuch.
Konsistenz über mehrere Standorte hinweg
Nutzen Sie die Ruijie Cloud für ein zentrales Konfigurationsmanagement über alle Standorte hinweg. Übertragen Sie Portal-Richtlinien gleichzeitig, um Konfigurationsabweichungen zwischen den Standorten zu vermeiden – dies ist die häufigste Ursache für eine inkonsistente Gästeerfahrung in verteilten Umgebungen. Das Cloud-Overlay-Netzwerk von Purple funktioniert nach demselben Prinzip: Ein einziges Dashboard verwaltet alle Standorte.
Firmware-Management
Bestimmte Captive Portal-Funktionen von Ruijie (insbesondere Bandbreitensteuerung und dynamische VLAN-Zuweisung) erfordern eine bestimmte Firmware-Version auf dem Gateway. Diese Abhängigkeiten sind in den Release Notes von Ruijie dokumentiert. Stellen Sie sicher, dass Ihr RG-EG Gateway mit der Firmware-Version RGOS11.9(6)B17T1 oder höher läuft, um vollen QoS-Support in Cloud-verwalteten Bereitstellungen zu erhalten.
Fehlerbehebung und Risikominderung
Portalseite lädt nicht
Wenn das Captive Portal beim Verbinden eines Geräts nicht angezeigt wird, überprüfen Sie zuerst Ihre Walled-Garden-Einstellungen. Das Gerät muss in der Lage sein, DNS aufzulösen und die Purple Portal-URL aufzurufen, bevor es sich authentifiziert. Überprüfen Sie, ob Ihre Ruijie-Allowlist alle erforderlichen Domains enthält und ob Ihr DNS-Server vom Gäste-VLAN aus erreichbar ist.
Authentifizierungs-Timeout
Wenn Benutzer das Portal sehen, sich aber nicht anmelden können, liegt das Problem meist an der RADIUS-Konfiguration. Überprüfen Sie die IP-Adressen der RADIUS-Server, die Ports (1812 für Authentifizierung, 1813 für Accounting) und den Shared Secret. Stellen Sie sicher, dass Ihre Firewall ein- und ausgehenden UDP-Datenverkehr für diese Ports von der Management-IP des Ruijie-Gateways zulässt.
Social-Media-Login hängt
Wenn Benutzer auf eine Social-Media-Anmeldeschaltfläche klicken und nichts passiert, ist die OAuth-Weiterleitung blockiert. Fügen Sie die erforderlichen Domains der Social-Media-Anbieter zu Ihrer Ruijie-Allowlist hinzu. Sie können dies testen, indem Sie vorübergehend den gesamten Datenverkehr vor der Authentifizierung zulassen, um zu prüfen, ob das Portal funktioniert, und die Allowlist dann schrittweise einschränken.
Dynamische VLAN-Zuweisung schlägt fehl
Wenn Sie RADIUS verwenden, um Benutzer dynamisch VLANs zuzuweisen, stellen Sie sicher, dass die RADIUS-Antwort die richtigen VLAN-Attribute enthält (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID). Das RG-EG310GH-E und ähnliche Gateways von Ruijie unterstützen die dynamische VLAN-Zuweisung, diese Funktion erfordert jedoch eine explizite Konfiguration sowohl auf dem RADIUS-Server als auch auf dem Gateway.
ROI und geschäftliche Auswirkungen
Die Bereitstellung eines sicheren Captive Portals verwandelt das Gäste-WiFi von einer Kostenstelle in ein strategisches Asset. Die WiFi Analytics -Plattform von Purple lässt sich in Ihre Ruijie-Infrastruktur integrieren, um First-Party-Daten zu erfassen, hochqualifizierte Kontaktlisten aufzubauen und verwertbare Erkenntnisse über das Besucherverhalten an Ihren Standorten zu liefern.
Harrods nutzt das Gäste-WiFi von Purple, um sein Treueprogramm zu bewerben, und erzielte eine branchenführende Opt-in-Rate sowie einen 57-fachen ROI (Kundendaten von Purple). c2c Rail nutzte Purple, um Direktbuchungen zu fördern, was zu einem ROI von 121 % und Einsparungen bei den Betriebskosten in Höhe von 76.000 £ führte (Kundendaten von Purple). Pizza Express hat Purple in über 470 Restaurants implementiert, um detailliertere Kundenprofile zu erstellen.
Für Betreiber im Gastgewerbe können die beim Login erfassten Daten (E-Mail, Demografie, Besuchshäufigkeit) direkt in CRM-Systeme und Treueprogramme eingespeist werden. Im Einzelhandel lassen sich durch Wiederholungsbesuchsanalysen die wertvollsten Kunden identifizieren. Für Verkehrsknotenpunkte können Passagierflussdaten die Personalplanung und die Gestaltung von Gewerbeflächen optimieren.
Purple lässt sich in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks, Fortinet und Ruijie integrieren. Dies macht es zu einem hardwareunabhängigen Cloud-Overlay, das mit Ihren vorhandenen Geräten funktioniert, ohne dass diese ausgetauscht werden müssen.
Verwandte Anleitungen: Integration von Grandstream GWN Access Points mit Purple WiFi
Schlüsseldefinitionen
Captive Portal
Eine Webseite, die ein Benutzer eines öffentlichen Netzwerks anzeigen und mit der er interagieren muss, bevor ihm Internetzugang gewährt wird. Sie fängt den gesamten HTTP-Datenverkehr ab und leitet den Browser des Benutzers auf die Portalseite um.
Der Kernmechanismus zur Durchsetzung der Authentifizierung in Gäste-WiFi-Netzwerken. Wird in Hotels, im Einzelhandel, in Stadien und an Standorten des öffentlichen Sektors eingesetzt, um den Zugriff zu kontrollieren und Einwilligungen einzuholen.
Walled Garden
Eine Allowlist vor der Authentifizierung, die es bestimmten Domains und IP-Adressen ermöglicht, das Abfangen durch das Captive Portal zu umgehen. Datenverkehr zu diesen Zielen ist zulässig, bevor sich der Benutzer authentifiziert.
Unerlässlich, damit Geräte die Splash Page laden, Social-Login-Anbieter erreichen und Zahlungsabläufe verarbeiten können, bevor der Benutzer vollständig authentifiziert ist. Eine Fehlkonfiguration an dieser Stelle ist die Hauptursache für Fehler beim Captive Portal.
RADIUS
Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden.
Das sichere Protokoll, das Ruijie-Controller zur Kommunikation mit den Servern von Purple verwenden. Authentifizierungsanfragen gehen an Port 1812 (UDP); Accounting-Einträge gehen an Port 1813 (UDP).
WISPr
Wireless Internet Service Provider roaming. Eine Protokollspezifikation, die definiert, wie ein Captive Portal nicht authentifizierte Benutzer auf eine Anmeldeseite umleitet und wie der Access Controller das Authentifizierungsergebnis empfängt.
Das spezifische Protokoll-Framework, das von Ruijie und Purple verwendet wird, um die externe Captive Portal-Umleitung und den Authentifizierungsfluss abzuwickeln. Erforderlich für den externen Portal-Modus auf Ruijie-Gateways.
VLAN-Isolierung
Die Praxis, den Netzwerkdatenverkehr auf Switch-Ebene in verschiedene virtuelle lokale Netzwerke (VLANs) zu trennen, um zu verhindern, dass Geräte in unterschiedlichen VLANs direkt miteinander kommunizieren.
Unverzichtbar für Gästenetzwerke. Stellt sicher, dass Gäste-Geräte nicht mit Unternehmensservern, Laptops von Mitarbeitern oder Zahlungsterminals kommunizieren können, selbst wenn sie mit derselben physischen Infrastruktur verbunden sind.
Portal Escape
Eine Ruijie-Funktion, die den Benutzerdatenverkehr automatisch freigibt, wenn der Access Point und der Portal-Server nicht mehr erreichbar sind, wodurch während eines Ausfalls ein unauthentifizierter Internetzugang ermöglicht wird.
Ein bewusster Kompromiss zwischen Verfügbarkeit und Sicherheit. Betreiber im Gastgewerbe aktivieren diese Funktion möglicherweise, um Beschwerden von Gästen bei Ausfällen zu vermeiden. Betreiber im Gesundheitswesen und im Einzelhandel deaktivieren sie in der Regel, um jederzeit eine strikte Authentifizierung durchzusetzen.
SSID
Service Set Identifier. Der öffentliche Name eines drahtlosen Netzwerks, den Geräte in ihrer Liste der verfügbaren Netzwerke anzeigen.
Der Netzwerkname, den Gäste auf ihren Geräten auswählen und der die Umleitung zum Captive Portal auslöst. Jede SSID in einer Ruijie-Bereitstellung ist einem bestimmten VLAN und einer Authentifizierungsrichtlinie zugeordnet.
QoS
Quality of Service. Eine Reihe von Technologien zur Verwaltung des Datenverkehrs, um Paketverlust, Latenz und Jitter zu reduzieren und eine vorhersehbare Leistung für bestimmte Arten von Datenverkehr sicherzustellen.
Wird in Gästenetzwerken verwendet, um die Bandbreite pro Benutzer zu begrenzen. Dies verhindert, dass ein einzelnes Gerät die Internetverbindung überlastet und die Erfahrung für alle anderen verbundenen Benutzer beeinträchtigt.
802.1X
Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die sich mit einem LAN oder WLAN verbinden.
Wird für Mitarbeiternetzwerke verwendet, die eine verzeichnisgestützte Identität erfordern (z. B. über Microsoft Entra ID oder Okta). Wird in der Regel nicht für Gästenetzwerke verwendet, bei denen ein Captive Portal mit RADIUS das geeignete Muster ist.
Ausgearbeitete Beispiele
Ein Hotel mit 250 Zimmern nutzt Ruijie RG-AP820-I Access Points und ein RG-EG310GH-E Gateway. Es wird verlangt, dass sich Gäste per E-Mail authentifizieren, um eine Marketing-Datenbank aufzubauen. Das Management ist besorgt, dass Gäste das Portal umgehen könnten, und befürchtet eine Bandbreitenüberlastung zu Spitzenzeiten während Konferenzveranstaltungen.
Das IT-Team erstellt ein dediziertes Gäste-VLAN (VLAN 40) auf dem Core-Switch und leitet dieses per Trunk an das Ruijie-Gateway und die APs weiter. In der Ruijie Cloud erstellen sie eine offene SSID, die VLAN 40 zugewiesen ist. Sie konfigurieren eine externe Captive Portal-Richtlinie, die auf die URL der Purple Splash Page verweist, unter Verwendung der Portal-Server-URL und der RADIUS-Anmeldedaten aus dem Purple-Dashboard. Entscheidend ist, dass sie den Walled Garden so konfigurieren, dass Datenverkehr nur zu den Domains von Purple zugelassen wird, und die Portal Escape-Funktion auf dem Ruijie-Gateway deaktivieren, um unauthentifizierten Zugriff bei einem Portalausfall zu verhindern. Sie wenden eine QoS-Richtlinie an, die jeden Client auf 10 Mbps Download und 3 Mbps Upload beschränkt. Für Konferenzveranstaltungen erstellen sie eine separate SSID auf VLAN 50 mit einem Voucher-basierten Portal und strengeren Bandbreitenbegrenzungen von 5 Mbps pro Gerät.
Eine Einzelhandelskette mit 50 Standorten nutzt Ruijie WS6008 Controller. Sie implementiert Social-Login (Facebook und Google Workspace) für Kunden, die auf das WiFi zugreifen, aber die Portalseite hängt, wenn Benutzer auf die Social-Login-Schaltflächen klicken. Das Problem betrifft alle 50 Standorte gleichzeitig.
Der IT-Manager stellt fest, dass in der Allowlist-Konfiguration (Walled Garden) auf den Ruijie-Controllern die von Facebook und Google benötigten OAuth-Domains fehlen. Während die Purple Portal-URL korrekt freigegeben war, wurden die für den OAuth-Handshake erforderlichen Domains der Social-Media-Anbieter durch das Abfangen des Captive Portals blockiert. Das Team fügt die erforderlichen Wildcard-Domains – insbesondere *.facebook.com, *.fbcdn.net, accounts.google.com und *.googleapis.com – zur Ruijie-Allowlist hinzu. Sie übertragen die aktualisierte Konfiguration über die Ruijie Cloud gleichzeitig an alle 50 Standorte und beheben das Problem so für den gesamten Bestand in einem einzigen Arbeitsschritt.
Übungsfragen
Q1. Sie haben ein externes Captive Portal auf einem Ruijie RG-EG Gateway konfiguriert. Gäste verbinden sich mit der SSID, aber ihre Geräte melden „Keine Internetverbindung“ und die Portalseite lädt nie. Was ist der wahrscheinlichste Konfigurationsfehler und wie beheben Sie ihn?
Hinweis: Überlegen Sie, welche Netzwerkoperationen erfolgreich sein müssen, bevor der Benutzer überhaupt die Anmeldeseite sehen kann.
Musterlösung anzeigen
Der Walled Garden (Allowlist) ist fehlerhaft konfiguriert. Das Ruijie-Gateway blockiert die DNS-Auflösung oder den HTTP-Datenverkehr, der zum Erreichen der externen Purple Splash Page-URL erforderlich ist. Vor der Authentifizierung muss das Gerät in der Lage sein, die Portal-Domain aufzulösen und eine HTTP-Verbindung zu ihr herzustellen. Fügen Sie die spezifischen Purple-Domains zur Pre-Authentifizierungs-Allowlist im Ruijie-Bereich „Auth & Account“ hinzu. Überprüfen Sie außerdem, ob dem Gäste-VLAN über DHCP ein gültiger DNS-Server zugewiesen wurde.
Q2. Der IT-Leiter eines Stadions möchte Ruijie APs für das Fan-WiFi während Veranstaltungen bereitstellen. Er möchte Marketingdaten erfassen, ist jedoch besorgt, dass die RADIUS-Authentifizierung zu Verzögerungen führt, wenn sich in den ersten 30 Minuten nach Einlass 10.000 Fans gleichzeitig verbinden. Wie sollte er den Authentifizierungsfluss gestalten, um Datenerfassung und Benutzererfahrung in Einklang zu bringen?
Hinweis: Berücksichtigen Sie den Kompromiss zwischen Datenreichtum und Authentifizierungsaufwand im großen Maßstab.
Musterlösung anzeigen
Er sollte den One-Click-Login von Purple für wiederkehrende Fans nutzen, die sich bereits zuvor authentifiziert haben. Dies umgeht das Ausfüllen von Formularen und reduziert die RADIUS-Last. Für neue Fans ist ein minimales E-Mail-Erfassungsformular dem Social-Login vorzuziehen, da letzteres zusätzliche OAuth-Roundtrips erfordert. Das Ruijie-Gateway muss so dimensioniert sein, dass es gleichzeitige RADIUS-Anfragen verarbeiten kann – für 10.000 gleichzeitige Verbindungen ist ein leistungsstarkes Gateway der RG-EG-Serie erforderlich. Durch die Aktivierung von Seamless Online mit einer Sitzungsdauer von 30 Tagen verbinden sich wiederkehrende Fans bei nachfolgenden Veranstaltungen automatisch. Die QoS-Limits sollten streng sein (5 Mbps pro Gerät), um zu verhindern, dass früh eintreffende Besucher die Leitung überlasten, bevor die breite Masse eintrifft.
Q3. Während eines Sicherheitsaudits greift ein Penetrationstester auf den Dateiserver des Unternehmens zu, während er mit der von einem Ruijie AP ausgestrahlten SSID „Guest WiFi“ verbunden ist. Das Gästenetzwerk verwendet ein korrekt konfigures Captive Portal. Wie beheben Sie diese kritische Schwachstelle?
Hinweis: Authentifizierung und Netzwerksegmentierung sind zwei verschiedene Dinge. Das eine impliziert nicht das andere.
Musterlösung anzeigen
Das Captive Portal funktioniert korrekt, aber die VLAN-Isolierung fehlt oder ist fehlerhaft konfiguriert. Die Gäste-SSID leitet authentifizierte Benutzer in das Unternehmens-VLAN oder das native VLAN weiter, das Routing-Zugriff auf interne Server hat. Sie müssen: (1) ein dediziertes Gäste-VLAN (z. B. VLAN 50) auf dem Core-Switch erstellen; (2) die Gäste-SSID im Ruijie-Controller dem VLAN 50 zuweisen; (3) die Switch-Ports, die die APs verbinden, als 802.1Q-Trunks konfigurieren, die VLAN 50 zulassen; (4) das Ruijie-Gateway so konfigurieren, dass das Routing zwischen VLAN 50 und allen Unternehmens-Subnetzen blockiert wird, sodass nur Internet-Datenverkehr aus dem Gäste-VLAN zugelassen wird. Authentifizierung und Netzwerksegmentierung sind unabhängige Kontrollmechanismen – beide müssen korrekt konfiguriert sein.
Q4. Bei Ihrer Ruijie-Bereitstellung ist Portal Escape aktiviert. Während eines geplanten Wartungsfensters auf den Purple RADIUS-Servern stellen Sie fest, dass Gäste ohne Authentifizierung auf das Internet zugreifen. Ist dies das erwartete Verhalten und welche Auswirkungen hat dies auf die Compliance?
Hinweis: Berücksichtigen Sie den Zweck von Portal Escape und Ihre GDPR-Verpflichtungen.
Musterlösung anzeigen
Ja, dies ist das erwartete Verhalten von Portal Escape. Wenn der Portal-Server nicht erreichbar ist, gibt Ruijie den Datenverkehr automatisch frei, um die Konnektivität aufrechtzuerhalten. Dies führt jedoch zu einer Compliance-Lücke: Benutzer greifen auf das Internet zu, ohne ihre Einwilligung zur Datenverarbeitung gegeben zu haben. Dies kann gegen GDPR-Anforderungen verstoßen, wenn Ihre Nutzungsbedingungen oder die Datenerfassung an das Authentifizierungsereignis gebunden sind. Für Standorte, an denen die Erfassung der Einwilligung eine rechtliche oder kommerzielle Anforderung ist, sollte Portal Escape deaktiviert werden. Planen Sie Wartungsarbeiten am RADIUS-Server in Zeiten minimaler Gästeaktivität und teilen Sie das Wartungsfenster dem Standortmanagement mit. Erwägen Sie die Implementierung eines sekundären Purple RADIUS-Servers als Failover, um dieses Szenario vollständig auszuschließen.
Weiterlesen in dieser Reihe
Captive Portal für Ruijie: Einrichtung mit Purple Gäste-WiFi
Wie das Cloud-Gäste-WiFi von Purple über Web-Authentifizierung und RADIUS auf Ruijie RG Series Access Points aufsetzt, konfiguriert über die Befehlszeile, und wo Sie die genauen Einrichtungsschritte finden.
B2B Captive Portals gestalten: Erfassung von registrierten Namen und Unternehmensdaten
Dieser Leitfaden bietet IT-Managern und Betreibern von Veranstaltungsorten ein herstellerneutrales technisches Framework für das Design von B2B Captive Portals. Er beschreibt im Detail, wie Registrierungsfelder strukturiert werden sollten, um registrierte Namen und Unternehmensdaten zu erfassen, um hohe Ausfüllraten zu gewährleisten, während gleichzeitig die GDPR-Konformität gewahrt und Account-Level-Intelligence aufgebaut wird.
Captive Portal Architektur: Sicherheit, Umleitung und Best Practices
Ein definitives technisches Referenzdokument zur Captive Portal-Architektur in Unternehmen. Dieser Leitfaden beleuchtet Netzwerkisolierung, DNS-Umleitung, RADIUS-Authentifizierung und Sicherheitskonformität für IT-Entscheider, die sichere, datenreiche Gäste-WiFi-Netzwerke bereitstellen.