Zum Hauptinhalt springen
Deutsch

Step-by-Step Guide: Configuring Ruijie Wireless Controllers for Guest WiFi Captive Portals

Diese Anleitung bietet eine vollständige technische Anleitung zur Konfiguration von Ruijie Wireless-Controllern und Gateways für die Bereitstellung von Guest WiFi Captive Portals der Enterprise-Klasse. Sie deckt die VLAN-Segmentierung, die externe RADIUS-Authentifizierung über das WISPr-Protokoll, die Walled-Garden-Konfiguration und die nahtlose Integration in die Identity-Based Networks-Plattform von Purple ab, um First-Party-Daten zu erfassen und messbaren geschäftlichen Nutzen in den Bereichen Hotellerie, Einzelhandel und im öffentlichen Sektor zu erzielen.

📖 8 Min. Lesezeit📝 1,834 Wörter🔧 2 ausgearbeitete Beispiele4 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Welcome to the Purple technical briefing series. Today we are covering one of the most frequently searched topics in enterprise wireless: how to configure Ruijie wireless controllers for secure guest WiFi captive portals. I am your host, and this is a ten-minute briefing designed for IT managers, network architects, and venue operations directors who need to get this right, first time. Let us start with context. If you manage IT for a hotel, a retail chain, a conference centre, or a large public venue, guest WiFi is no longer just an amenity. It is a fundamental operational requirement. Guests expect it. Regulators require you to handle their data responsibly. And your marketing team wants the first-party data it generates. The challenge is deploying it securely across a distributed estate, at scale, without creating a compliance headache. Ruijie Networks is one of the world's largest enterprise networking vendors, with a significant installed base across hospitality, retail, and public sector environments. Their RG-WS series wireless controllers and RG-EG series gateways are capable platforms for enterprise guest WiFi, but the captive portal configuration requires precise execution. Get it wrong, and you end up with either a security gap or a portal that simply does not work. Now let us get into the technical architecture. The absolute foundation of any secure guest network is traffic isolation. You cannot have guest devices sitting on the same network segment as your payment terminals, your staff laptops, or your back-office servers. The mechanism for this is VLAN segmentation. In a Ruijie environment, you create a dedicated guest VLAN on your core switch, assign it a separate IP subnet, and trunk it through to your access points. A typical deployment might use VLAN ten for corporate, VLAN twenty for voice, VLAN thirty for guest, and VLAN ninety-nine for management. This is non-negotiable. If you skip this step, you have convenient WiFi, not secure WiFi. Once the network is correctly segmented, we move to authentication. A shared pre-shared key is not enterprise security. It offers no accountability, no individual session tracking, and no way to revoke access for a single user without changing the password for everyone. Instead, we use an external captive portal with RADIUS authentication. Here is how the flow works. A guest connects to the open SSID broadcast by the Ruijie access point. The Ruijie gateway intercepts their HTTP traffic and issues a redirect to an external splash page - in this case hosted by Purple. The guest sees a branded login page. They authenticate, perhaps via email registration, social login, or a one-click accept. Purple's servers process that authentication and send a RADIUS Accept message back to the Ruijie controller. The controller then grants the device internet access. This entire flow uses the WISPr protocol, which is the standard framework for external captive portal authentication in enterprise wireless. The business value here is significant. Every authentication event captures a consent record. Purple's platform stores that data in a GDPR and CCPA-compliant manner, builds a first-party marketing database, and feeds analytics back to your team. Harrods used this approach to promote their loyalty programme and achieved a fifty-seven times return on investment. c2c Rail achieved a hundred and twenty-one percent return on investment and saved seventy-six thousand pounds in operational costs. That is the commercial case for doing this properly. Now let us walk through the specific configuration steps in the Ruijie Cloud or local controller interface. Step one: create the guest SSID. Log in to Ruijie Cloud or your local controller. Navigate to Device Config, select Wi-Fi under Wireless, and create a new SSID. Name it something clear, like Free Guest WiFi. Set the security mode to Open, and assign it to your guest VLAN. Step two: define the captive portal policy. Navigate to Auth and Account, then select Captive Portal under Authentication. Create a new policy. Set the Policy Mode to External. Set the Authentication Device to your Ruijie gateway or access point. Select the guest SSID. In the Portal Server URL field, enter your Purple splash page URL. Enter the Purple RADIUS server IP addresses. Step three: configure the Walled Garden, which Ruijie calls the Allowlist. This is the most commonly misconfigured element in any captive portal deployment. The Walled Garden defines what traffic can pass before the user authenticates. If you do not explicitly allow the Purple domains, the splash page will not load. If you offer Facebook or Google login but do not allow their OAuth domains, the authentication will hang at the social login button. Add all required Purple infrastructure domains, and all social provider domains you intend to support. Step four: configure RADIUS. Add the primary and secondary Purple RADIUS server IP addresses. Enter the shared secret from your Purple dashboard. Ensure RADIUS accounting is enabled on port 1813. This allows Purple to track session duration and data usage accurately, which feeds directly into your analytics reports. Step five: apply QoS policies. Unrestricted guest access can saturate your internet link. Set hard bandwidth limits per user on the Ruijie gateway - typically five to ten megabits down and two to five up for a standard hospitality deployment. This protects the experience for all guests and prevents a single device from degrading the network. Now let us cover the critical implementation pitfalls. The first is the Walled Garden. I cannot overstate how often this is the root cause of a failed deployment. Test your portal from a clean device with no cached credentials. If the page does not load, check your allowlist first. The second pitfall is the Portal Escape setting. This Ruijie feature automatically releases user traffic if the access point and portal server become unreachable. It sounds helpful, but it means unauthenticated users get internet access during an outage. In an enterprise environment where consent capture is a legal requirement, you want this disabled to enforce strict authentication at all times. The third pitfall is firmware versions. Some captive portal features - particularly around bandwidth controls and dynamic VLAN assignment - require specific firmware versions on the Ruijie gateway. Check the Ruijie release notes before you deploy, and ensure your devices are running a supported firmware version. Now for rapid-fire questions. Should I handle the captive portal on the access point or the gateway? In a Ruijie enterprise deployment, handle it at the gateway. The RG-EG series gateways are designed to manage the external portal interception and enforce QoS policies. Access points focus on RF performance and SSID broadcast. Can I run multiple captive portals on different SSIDs? Yes. Ruijie supports multiple captive portal policies mapped to different SSIDs. You might have a standard guest portal on one SSID and a paid premium portal on another, each with different bandwidth limits and authentication methods. How do I handle a multi-site deployment? Use Ruijie Cloud to manage configuration centrally. You can push portal policies across all sites simultaneously, ensuring consistency and eliminating per-site configuration drift. To summarise the key takeaways. Segment your traffic with VLANs before you do anything else. Use external RADIUS authentication to capture compliant, first-party data. Configure your Walled Garden meticulously and test it from a clean device. Make a deliberate decision on Portal Escape based on your compliance requirements. Apply QoS to protect the user experience. And integrate your Ruijie infrastructure with Purple's Identity-Based Networks to turn a basic connection into a secure, data-driven, revenue-generating asset. Purple operates across more than eighty thousand live venues, has processed four hundred and forty million logins in 2024, and holds ISO 27001, GDPR, CCPA, and Cyber Essentials certifications. We are hardware-agnostic, which means your Ruijie investment is fully compatible with our cloud overlay platform. Thank you for listening. If you want to explore how Purple integrates with your Ruijie estate, visit purple dot ai slash guest dash wifi. Deploy securely, and we will see you in the next briefing.

header_image.png

Executive Summary

Die Bereitstellung von Guest WiFi in einem verteilten Unternehmen erfordert mehr als eine offene SSID. Für IT-Manager und Netzwerkarchitekten besteht die Herausforderung darin, einen nahtlosen Zugriff mit strenger Sicherheit, GDPR-Compliance und Anforderungen an die Datenerfassung in Einklang zu bringen. Diese Anleitung beschreibt die genauen Konfigurationsschritte für die Bereitstellung eines sicheren, skalierbaren Captive Portals mit Ruijie Wireless-Controllern und Gateways – und zeigt, wie die Integration dieser Infrastruktur in die Guest WiFi -Plattform von Purple eine einfache drahtlose Verbindung in ein rechtskonformes, umsatzgenerierendes Asset verwandelt.

Wir behandeln die technischen Voraussetzungen, VLAN-Segmentierungsstrategien, die externe RADIUS-Authentifizierung über das WISPr-Protokoll, die Walled-Garden-Konfiguration und die spezifischen QoS-Einstellungen, die für eine produktionsreife Bereitstellung erforderlich sind. Egal, ob Sie ein Hotel mit 200 Zimmern, eine Einzelhandelskette mit 50 Standorten oder ein Stadion mit 40.000 Besuchern verwalten – diese Anleitung bietet die maßgebliche Vorlage für eine sichere Einrichtung eines Ruijie Captive Portals. Purple ist an über 80.000 Live-Standorten im Einsatz und hat im Jahr 2024 440 Millionen Logins verarbeitet (interne Daten von Purple). Die hier beschriebenen Integrationsmuster haben sich also in der Praxis bewährt.

architecture_overview.png

Technische Architektur und Voraussetzungen

Bevor Sie Ihren Ruijie-Controller modifizieren, müssen Sie die richtige Netzwerkarchitektur einrichten. Ein sicheres Gastnetzwerk erfordert eine vollständige Isolierung vom Unternehmensdatenverkehr auf Layer 2 – der Switch-Ebene.

Netzwerksegmentierung

Die Grundlage für ein sicheres Guest WiFi ist die VLAN-Isolierung. Sie müssen ein dediziertes Gast-VLAN auf Ihrem Ruijie-Gateway oder Core-Switch erstellen. Dadurch wird sichergestellt, dass sich der Gastdatenverkehr niemals mit internen Systemen, Zahlungsterminals oder Mitarbeitergeräten überschneidet. Ein standardmäßiges Enterprise-VLAN-Schema für eine Ruijie-Bereitstellung sieht wie folgt aus:

VLAN-ID Zweck Hinweise
10 Corporate Mitarbeitergeräte, interne Server
20 Voice VoIP-Telefone
30 Guest Captive Portal, nur Internet
40 IoT Drucker, Smart-TVs, Sensoren
99 Management Controller, Switch-Verwaltung

Weitere Informationen darüber, warum Consumer-Lösungen hier scheitern, finden Sie unter Warum Consumer-WiFi-Geräte nicht in Ihr Gastnetzwerk gehören .

Erforderliche Komponenten

Um diese Bereitstellung abzuschließen, benötigen Sie:

  • Ein Ruijie Cloud-Konto oder einen lokalen Wireless-Controller der Ruijie RG-WS-Serie (z. B. RG-WS6008 oder RG-WS7110).
  • Ein Gateway der Ruijie RG-EG-Serie – erforderlich für die externe Portal-Authentifizierung über WISPr.
  • Access Points der Ruijie RG-AP-Serie (z. B. RG-AP820-I, RG-AP850-AR).
  • Eine Purple Connect-, Capture- oder Engage-Lizenz.
  • Ausgehenden UDP-Zugriff auf den Ports 1812 (RADIUS-Authentifizierung) und 1813 (RADIUS-Accounting) vom Gateway zu den Servern von Purple.

Übersicht über die Authentifizierungsprotokolle

Ruijie unterstützt verschiedene Authentifizierungsmethoden. Enterprise-Bereitstellungen sollten die externe RADIUS-Authentifizierung verwenden. Dieser Ansatz nutzt das WISPr-Protokoll (Wireless Internet Service Provider roaming), um nicht authentifizierte Benutzer sicher auf die Splash-Page von Purple umzuleiten, ihre Anmeldedaten zu verarbeiten und eine RADIUS-Accept- oder Reject-Nachricht an den Ruijie-Controller zurückzusenden.

comparison_chart.png

Die obige Tabelle fasst die fünf auf Ruijie-Plattformen verfügbaren Authentifizierungsmethoden zusammen. E-Mail-Registrierung und Social Login sind die am häufigsten gewählten Optionen für die Hotellerie und den Einzelhandel, da sie strukturierte, GDPR-konforme First-Party-Daten erfassen. Voucher-Codes eignen sich für Konferenzräume und kostenpflichtige Zugangsstufen. RADIUS mit 802.1X ist für Mitarbeiternetzwerke reserviert, in denen eine verzeichnisgestützte Identität erforderlich ist.

Schritt-für-Schritt-Anleitung zur Implementierung

Befolgen Sie diese Schritte in der Ruijie Cloud oder auf der lokalen Controller-Benutzeroberfläche. Die unten aufgeführten UI-Pfade beziehen sich auf die neue Benutzeroberfläche der Ruijie Cloud (nach 2024) und die Ruijie JaCS-Plattform.

Schritt 1: Konfigurieren Sie die Gast-SSID

Richten Sie das drahtlose Broadcast-Netzwerk ein.

  1. Melden Sie sich bei der Ruijie Cloud oder der Web-Benutzeroberfläche des lokalen Controllers an.
  2. Navigieren Sie zu Device Config und wählen Sie Wi-Fi im Bereich „Wireless“.
  3. Klicken Sie auf +, um eine neue SSID zu erstellen, oder bearbeiten Sie eine vorhandene.
  4. Legen Sie den SSID Name fest (z. B. „Free Guest WiFi“).
  5. Stellen Sie den Security Mode auf Open ein – kein Pre-Shared Key.
  6. Weisen Sie die SSID Ihrem dedizierten Gast-VLAN zu (z. B. VLAN 30).
  7. Speichern Sie die SSID-Konfiguration.

Schritt 2: Definieren Sie die Captive Portal-Richtlinie

Weisen Sie den Controller an, den Gastdatenverkehr abzufangen und an Purple weiterzuleiten.

  1. Navigieren Sie zu Auth & Account und wählen Sie Captive Portal unter „Authentication“.
  2. Erstellen Sie eine neue Richtlinie. Legen Sie einen aussagekräftigen Policy Name fest (z. B. „Purple-Guest-Portal“).
  3. Stellen Sie den Policy Mode auf External ein.
  4. Stellen Sie das Authentication Device auf Ihr Ruijie-Gateway (RG-EG-Serie) oder Ihren Access Point ein.
  5. Wählen Sie die in Schritt 1 erstellte Gast-SSID aus.
  6. Geben Sie im Feld Portal Server URL Ihre spezifische Purple Splash-Page-URL ein (verfügbar in Ihrem Purple-Dashboard unter „Hardware Configuration“).
  7. Geben Sie die IP-Adressen des Purple RADIUS-Servers in die dafür vorgesehenen Felder ein.
  8. Stellen Sie die Dauer für Seamless Online so ein, dass sie Ihrer Richtlinie für das Sitzungs-Timeout entspricht (z. B. 24 Stunden für die Hotellerie, eine Stunde für den Einzelhandel).
  9. Entscheiden Sie sich für ein Verhalten bei Portal Escape – siehe Abschnitt „Best Practices“ unten.

Schritt 3: Konfigurieren Sie den Walled Garden (Allowlist)

Ein Captive Portal fängt den gesamten Datenverkehr ab, bis sich der Benutzer authentifiziert. Bestimmter Datenverkehr muss die Vorauthentifizierung passieren, damit die Login-Seite geladen werden kann, um eineund Social Logins zu verarbeiten. Dies ist das am häufigsten falsch konfigurierte Element in jeder Captive Portal-Bereitstellung.

  1. Navigieren Sie zu Auth & Account und wählen Sie Allowlist.
  2. Fügen Sie alle erforderlichen Purple-Infrastruktur-Domains hinzu. Ihr Purple-Dashboard bietet die genaue Liste für Ihre Region.
  3. Wenn Sie Social Login anbieten, fügen Sie die OAuth-Domains für jeden Anbieter hinzu:
    • Für Microsoft Entra ID: *.microsoft.com, *.microsoftonline.com, login.live.com
    • Für Google Workspace: *.google.com, accounts.google.com
    • Für Okta: Ihre spezifische Okta-Tenant-Domain
  4. Fügen Sie die Domains von Zahlungsanbietern hinzu, wenn Sie kostenpflichtige WiFi-Tarife anbieten.
  5. Speichern Sie die Allowlist und wenden Sie sie an.

Schritt 4: RADIUS-Authentifizierung konfigurieren

Konfigurieren Sie den sicheren Kommunikationskanal zwischen Ruijie und Purple.

  1. Navigieren Sie zu den RADIUS-Server-Einstellungen in Ihrem Ruijie-Controller oder -Gateway.
  2. Fügen Sie die IP-Adresse des primären Purple-RADIUS-Servers und Port 1812 für die Authentifizierung hinzu.
  3. Fügen Sie die IP-Adresse des sekundären Purple-RADIUS-Servers als Failover hinzu.
  4. Geben Sie das Shared Secret aus Ihrem Purple-Dashboard ein. Dieses muss exakt übereinstimmen.
  5. Fügen Sie den Accounting-Server auf Port 1813 hinzu und aktivieren Sie das RADIUS-Accounting. Dies erfasst die Sitzungsdauer und den Datenverbrauch und fließt direkt in die Berichte von Purples WiFi Analytics ein.
  6. Legen Sie den NAS Identifier auf eine aussagekräftige Zeichenfolge fest (z. B. den Namen Ihres Standorts), um den Datenverkehr in den Analysen von Purple zu unterscheiden.

Schritt 5: QoS-Richtlinien anwenden

Unbeschränkter Gastzugang kann Ihre Internetverbindung in Spitzenzeiten überlasten.

  1. Navigieren Sie zum Bereich für QoS oder Bandbreitenmanagement Ihres Ruijie-Gateways.
  2. Legen Sie Download-Limits pro Benutzer fest (z. B. 10 Mbps für Hotelgäste, 5 Mbps für Kunden im Einzelhandel).
  3. Legen Sie Upload-Limits pro Benutzer fest (z. B. 2–5 Mbps).
  4. Deaktivieren Sie Client Escape, um sicherzustellen, dass nicht authentifizierte Benutzer nicht auf das Netzwerk zugreifen können, wenn der Portal-Server vorübergehend nicht erreichbar ist.
  5. Speichern Sie die Konfiguration und übertragen Sie sie auf alle relevanten Geräte.

Schritt 6: Bereitstellung testen

Testen Sie immer von einem sauberen Gerät ohne zwischengespeicherte Anmeldedaten.

  1. Verbinden Sie ein mobiles Gerät mit der Gäste-SSID.
  2. Öffnen Sie einen Browser und rufen Sie eine Nicht-HTTPS-URL auf (z. B. http://example.com). Das Portal sollte Sie weiterleiten.
  3. Überprüfen Sie, ob die Purple-Splash-Page korrekt geladen wird.
  4. Schließen Sie den Authentifizierungs-Flow ab.
  5. Bestätigen Sie, dass nach der Authentifizierung der Internetzugang gewährt wird.
  6. Überprüfen Sie das Purple-Dashboard, um zu bestätigen, dass die Sitzung in Ihren Analysen angezeigt wird.

Best Practices für die Bereitstellung in Unternehmen

Sicherheit und Compliance

Verlassen Sie sich beim Gastzugang niemals auf einen gemeinsamen PSK. Gemeinsam genutzte Passwörter bieten keine Nachvollziehbarkeit und können nicht für einen einzelnen Benutzer widerrufen werden. Durch die Verwendung des Captive Portals von Purple mit einer individuellen Authentifizierung erzwingen Sie die ausdrückliche Zustimmung zur Datenverarbeitung und erfüllen damit die Anforderungen von GDPR Artikel 7. Purple verfügt über Zertifizierungen nach ISO 27001, GDPR, CCPA und Cyber Essentials, wodurch sichergestellt ist, dass der Datenerfassungsmechanismus selbst prüfbar ist.

Für einen tieferen Einblick in die Sicherheitsarchitektur lesen Sie unseren Leitfaden Enterprise WiFi Security: A Complete Guide for 2026 und What Is Secure WiFi: Essential Guide for Business 2026 .

Portal Escape: Eine bewusste Entscheidung

Die Portal Escape-Funktion von Ruijie gibt den Benutzerdatenverkehr automatisch frei, wenn der AP und der Portal-Server nicht mehr erreichbar sind. In der Hotellerie können Sie sich dafür entscheiden, diese Funktion zu aktivieren – ein Gast, der während eines kurzen Serverausfalls vom WiFi ausgesperrt wird, sorgt für Beschwerden. In einer Einzelhandels- oder Gesundheitsumgebung sollten Sie sie eventuell deaktivieren – ein nicht authentifizierter Zugriff stellt ein Compliance- und Sicherheitsrisiko dar. Dokumentieren Sie Ihre Entscheidung und die Begründung in Ihrem Netzwerk-Runbook.

Konsistenz über mehrere Standorte hinweg

Verwenden Sie die Ruijie Cloud, um die Konfiguration für alle Standorte zentral zu verwalten. Übertragen Sie Portal-Richtlinien gleichzeitig, um Konfigurationsabweichungen zwischen den Standorten zu vermeiden – die häufigste Ursache für uneinheitliche Gästeerlebnisse in verteilten Infrastrukturen. Das Cloud-Overlay von Purple funktioniert nach demselben Prinzip: ein Dashboard, alle Standorte.

Firmware-Management

Einige Captive Portal-Funktionen von Ruijie – insbesondere die Bandbreitensteuerung und die dynamische VLAN-Zuweisung – erfordern bestimmte Firmware-Versionen auf dem Gateway. In den Release Notes von Ruijie sind diese Abhängigkeiten dokumentiert. Stellen Sie sicher, dass auf Ihren RG-EG-Gateways die Firmware RGOS11.9(6)B17T1 oder höher ausgeführt wird, um die volle QoS-Unterstützung bei Cloud-verwalteten Bereitstellungen zu gewährleisten.

Fehlerbehebung und Risikominderung

Portalseite lädt nicht

Wenn das Captive Portal beim Verbinden eines Geräts nicht angezeigt wird, überprüfen Sie zuerst Ihre Walled-Garden-Einstellungen. Das Gerät muss vor der Authentifizierung DNS auflösen und die Purple-Portal-URL erreichen können. Stellen Sie sicher, dass Ihre Ruijie-Allowlist alle erforderlichen Domains enthält und dass Ihr DNS-Server vom Gäste-VLAN aus erreichbar ist.

Authentifizierungs-Timeouts

Wenn Benutzer das Portal sehen, sich aber nicht anmelden können, liegt das Problem in der Regel an der RADIUS-Konfiguration. Überprüfen Sie die IP-Adressen des RADIUS-Servers, die Ports (1812 für die Authentifizierung, 1813 für das Accounting) und das Shared Secret. Stellen Sie sicher, dass Ihre Firewall ausgehenden UDP-Datenverkehr auf diesen Ports von der Management-IP des Ruijie-Gateways zulässt.

Social Login hängt

Wenn Benutzer auf eine Schaltfläche für Social Login klicken und nichts passiert, wird die OAuth-Weiterleitung blockiert. Fügen Sie die erforderlichen Domains der Social-Media-Anbieter zu Ihrer Ruijie-Allowlist hinzu. Testen Sie dies, indem Sie vorübergehend den gesamten Datenverkehr vor der Authentifizierung zulassen, um zu bestätigen, dass das Portal funktioniert, und schränken Sie die Allowlist dann schrittweise ein.

Fehler bei der dynamischen VLAN-Zuweisung

Wenn Sie RADIUS verwenden, um Benutzer dynamisch VLANs zuzuweisen, stellen Sie sicher, dass die RADIUS-Antwort die korrekten VLAN-Attribute enthält (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID). Die Gateways RG-EG310GH-E und ähnliche von Ruijie unterstützen die dynamische VLAN-Zuweisung, aber diese Funktion erfordert eine explizite Konfiguration sowohl auf dem RADIUS-Server als auch auf dem Gateway.

ROI und geschäftliche Auswirkungen

Die Bereitstellung eines sicheren Captive Portals verwandelt das Gäste-WiFi von einem Kostenfaktor in ein strategisches Asset. Die WiFi Analytics -Plattform von Purple, integrieriert mit Ihrer Ruijie-Infrastruktur, erfasst First-Party-Daten, baut Kontaktlisten mit hoher Kaufabsicht auf und liefert direkt umsetzbare Erkenntnisse über das Besucherverhalten an all Ihren Standorten.

Harrods nutzte das Guest WiFi von Purple, um sein Treueprogramm zu bewerben, und erzielte dabei eine marktführende Opt-in-Rate sowie einen 57-fachen ROI (Purple-Kundendaten). c2c Rail nutzte Purple, um Direktbuchungen zu fördern, erzielte eine Rendite von 121 % und sparte 76.000 £ an Betriebskosten ein (Purple-Kundendaten). Pizza Express implementierte Purple in über 470 Restaurants, um detailliertere Kundenprofile zu erstellen.

Für Betreiber im Bereich Gastgewerbe fließen die beim Login erfassten Daten – E-Mail, Demografie, Besuchshäufigkeit – direkt in CRM-Systeme und Treueprogramme ein. Für Einzelhandelsumgebungen identifizieren Analysen von wiederkehrenden Besuchen Ihre wertvollsten Kunden. Für Verkehrsknotenpunkte optimieren Passagierflussdaten die Personalbesetzung und die Planung von Gewerbeflächen.

Purple lässt sich in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet – sowie Ruijie – integrieren. Dies macht es zu einem hardwareunabhängigen Cloud-Overlay, das mit Ihrer bestehenden Infrastruktur funktioniert, anstatt diese zu ersetzen.

Ähnliche Leitfäden: Integration von Grandstream GWN Access Points mit Purple WiFi

Schlüsseldefinitionen

Captive portal

A web page that a user of a public access network must view and interact with before internet access is granted. It intercepts all HTTP traffic and redirects the user's browser to the portal page.

The core mechanism for enforcing authentication on guest WiFi networks. Used in hotels, retail, stadiums, and public-sector venues to control access and capture consent.

Walled garden

A pre-authentication allowlist that permits specific domains and IP addresses to bypass captive portal interception. Traffic to these destinations is allowed before the user authenticates.

Essential for allowing devices to load the splash page, reach social login providers, and process payment flows before the user is fully authenticated. Misconfiguration here is the leading cause of captive portal failures.

RADIUS

Remote Authentication Dial-In User Service. A networking protocol that provides centralised Authentication, Authorisation, and Accounting management for users connecting to a network service.

The secure protocol Ruijie controllers use to communicate with Purple's servers. Authentication requests go to port 1812 (UDP); accounting records go to port 1813 (UDP).

WISPr

Wireless Internet Service Provider roaming. A protocol specification that defines how a captive portal redirects unauthenticated users to a login page and how the access controller receives the authentication result.

The specific protocol framework used by Ruijie and Purple to handle the external captive portal redirection and authentication flow. Required for external portal mode on Ruijie gateways.

VLAN isolation

The practice of separating network traffic into distinct virtual local area networks at the switch level, preventing devices on different VLANs from communicating directly.

Non-negotiable for guest networks. Ensures guest devices cannot communicate with corporate servers, staff laptops, or payment terminals, even if they are connected to the same physical infrastructure.

Portal Escape

A Ruijie feature that automatically releases user traffic if the access point and portal server become unreachable, allowing unauthenticated internet access during an outage.

A deliberate trade-off between availability and security. Hospitality operators may enable it to prevent guest complaints during outages. Healthcare and retail operators typically disable it to enforce strict authentication at all times.

SSID

Service Set Identifier. The public name of a wireless network that devices display in their available networks list.

The network name guests select on their devices, which triggers the captive portal redirection. Each SSID in a Ruijie deployment is mapped to a specific VLAN and authentication policy.

QoS

Quality of Service. A set of technologies that manage data traffic to reduce packet loss, latency, and jitter, and to ensure predictable performance for specific traffic types.

Used in guest networks to cap per-user bandwidth, preventing a single device from saturating the internet link and degrading the experience for all other connected users.

802.1X

An IEEE standard for port-based network access control, providing an authentication mechanism for devices connecting to a LAN or WLAN.

Used for staff networks requiring directory-backed identity (e.g., via Microsoft Entra ID or Okta). Not typically used for guest networks, where a captive portal with RADIUS is the appropriate pattern.

Ausgearbeitete Beispiele

A 250-room hotel uses Ruijie RG-AP820-I access points and an RG-EG310GH-E gateway. They require guests to authenticate via email to build a marketing database. Management is concerned about guests bypassing the portal and about peak-hour bandwidth saturation during conference events.

The IT team creates a dedicated guest VLAN (VLAN 40) on the core switch and trunks it to the Ruijie gateway and APs. In Ruijie Cloud, they create an open SSID mapped to VLAN 40. They configure an External Captive Portal policy pointing to the Purple splash page URL, with the Portal Server URL and RADIUS credentials from the Purple dashboard. Crucially, they configure the Walled Garden to allow traffic only to Purple's domains and disable the Portal Escape feature on the Ruijie gateway, preventing unauthenticated access during any portal outage. They apply a QoS policy limiting each client to 10 Mbps down and 3 Mbps up. For conference events, they create a separate SSID on VLAN 50 with a voucher-based portal and tighter bandwidth limits of 5 Mbps per device.

Kommentar des Prüfers: This approach correctly isolates guest traffic at Layer 2, enforces external RADIUS authentication for GDPR-compliant data capture, and applies bandwidth controls proportionate to the use case. Disabling Portal Escape is a deliberate security decision that prevents unauthenticated access during network disruptions. The separate conference SSID with voucher authentication is a practical pattern for venues that host both transient guests and event attendees with different access requirements.

A retail chain with 50 locations uses Ruijie WS6008 controllers. They implement social login (Facebook and Google Workspace) for shoppers accessing WiFi, but the portal page hangs when users click the social login buttons. The issue affects all 50 sites simultaneously.

The IT manager identifies that the Allowlist (Walled Garden) configuration on the Ruijie controllers is missing the OAuth domains required by Facebook and Google. While the Purple portal URL was correctly allowed, the social provider domains needed for the OAuth handshake were blocked by the captive portal interception. The team adds the required wildcard domains - specifically *.facebook.com, *.fbcdn.net, accounts.google.com, and *.googleapis.com - to the Ruijie Allowlist. They push the updated configuration to all 50 sites simultaneously via Ruijie Cloud, resolving the issue across the entire estate in a single operation.

Kommentar des Prüfers: Walled garden misconfiguration is the most common cause of social login failure in captive portal deployments. The captive portal must explicitly permit pre-authentication traffic to the identity providers' OAuth domains, otherwise the redirect process cannot complete. The use of Ruijie Cloud for centralised configuration push is the correct approach for a multi-site estate - manual per-site configuration at 50 locations would be error-prone and time-consuming.

Übungsfragen

Q1. You have configured an external captive portal on a Ruijie RG-EG gateway. Guests connect to the SSID, but their devices report 'No Internet Connection' and the portal page never loads. What is the most likely configuration error and how do you resolve it?

Hinweis: Consider what network operations must succeed before the user can even see the login page.

Musterlösung anzeigen

The walled garden (Allowlist) is misconfigured. The Ruijie gateway is blocking DNS resolution or HTTP traffic required to reach the external Purple splash page URL. Before authentication, the device must be able to resolve the portal domain and make an HTTP connection to it. Add the specific Purple domains to the pre-authentication allowlist in the Ruijie Auth & Account section. Also verify that the guest VLAN has a valid DNS server assigned via DHCP.

Q2. A stadium IT director wants to deploy Ruijie APs for fan WiFi during events. They want to collect marketing data but are concerned that RADIUS authentication will cause delays when 10,000 fans connect simultaneously during the first 30 minutes of doors opening. How should they design the authentication flow to balance data capture with user experience?

Hinweis: Consider the trade-off between data richness and authentication friction at scale.

Musterlösung anzeigen

They should use Purple's One-Click Login for returning fans who have previously authenticated, which bypasses the form fill and reduces RADIUS load. For new fans, a minimal email capture form is preferable to social login, which requires additional OAuth round-trips. The Ruijie gateway must be sized to handle concurrent RADIUS requests - for 10,000 simultaneous connections, a high-capacity RG-EG series gateway is required. Enabling Seamless Online with a 30-day session duration means returning fans connect automatically at subsequent events. QoS limits should be strict (5 Mbps per device) to prevent early arrivals from saturating the link before the main crowd arrives.

Q3. During a security audit, a penetration tester accesses the corporate file server while connected to the 'Guest WiFi' SSID broadcast by a Ruijie AP. The guest network uses a correctly configured captive portal. How do you resolve this critical vulnerability?

Hinweis: Authentication and network segmentation are separate concerns. One does not imply the other.

Musterlösung anzeigen

The captive portal is working correctly, but VLAN isolation is missing or misconfigured. The guest SSID is dropping authenticated users onto the corporate VLAN or native VLAN, which has routing access to internal servers. You need to: (1) create a dedicated guest VLAN (e.g., VLAN 50) on the core switch; (2) assign the Guest SSID to VLAN 50 in the Ruijie controller; (3) configure the switch ports connecting the APs as 802.1Q trunks permitting VLAN 50; (4) configure the Ruijie gateway to block routing between VLAN 50 and all corporate subnets, permitting only internet-bound traffic from the guest VLAN. Authentication and network segmentation are independent controls - both must be correctly configured.

Q4. Your Ruijie deployment has Portal Escape enabled. During a planned maintenance window on the Purple RADIUS servers, you notice that guests are accessing the internet without authenticating. Is this expected behaviour, and what are the compliance implications?

Hinweis: Consider the purpose of Portal Escape and your GDPR obligations.

Musterlösung anzeigen

Yes, this is the expected behaviour of Portal Escape. When the portal server is unreachable, Ruijie automatically releases traffic to maintain connectivity. However, this creates a compliance gap: users are accessing the internet without providing consent for data processing, which may violate GDPR requirements if your terms of service or data capture are tied to the authentication event. For venues where consent capture is a legal or commercial requirement, Portal Escape should be disabled. Schedule RADIUS server maintenance during periods of minimal guest activity, and communicate the maintenance window to venue management. Consider implementing a secondary Purple RADIUS server as a failover to eliminate the scenario entirely.

Weiterlesen in dieser Reihe

Einrichtung eines Captive Portals auf Starlink: Ein Leitfaden für abgelegene und maritime Standorte

Dieser Leitfaden beschreibt detailliert, wie Sie die native Starlink-Hardware umgehen und ein Cloud-gesteuertes Captive Portal mithilfe von Enterprise-Routing-Geräten integrieren. Sie erfahren, wie Sie die CGNAT-Einschränkung überwinden, eine VLAN-Segmentierung erzwingen, Bandbreitenbeschränkungen von Satelliten verwalten und die Einhaltung gesetzlicher Vorschriften sicherstellen.

Leitfaden lesen →

Hotel Guest WiFi Management: Integrating PMS, Portals, and Brand Standards

Dieser technische Leitfaden beschreibt detailliert die Architektur von Hotel-WiFi-Netzwerken der Enterprise-Klasse, mit Schwerpunkt auf VLAN-Segmentierung, PMS-Integration für automatisiertes Sitzungsmanagement und Captive Portal-Optimierung für eine GDPR-konforme Datenerfassung.

Leitfaden lesen →

Captive Portal Best Practices: Designing for High Conversion and Compliance

Dieser technische Leitfaden bietet IT-Managern, Netzwerkarchitekten und Betriebsleitern von Veranstaltungsorten eine vollständige Blaupause für die Bereitstellung von Captive Portals, die Netzwerksicherheit mit hoher User-Conversion in Einklang bringen. Er deckt die gesamte Architektur ab – von der VLAN-Segmentierung und RADIUS-Authentifizierung bis hin zu GDPR-konformem Consent-Design und der Auswahl von Authentifizierungsmethoden. Basierend auf der operativen Erfahrung von Purple in über 80.000 Standorten und 440 Millionen Logins im Jahr 2024 basiert jede Empfehlung auf realen Bereitstellungsdaten.

Leitfaden lesen →