HPE Aruba Instant und Gäste-WiFi: Captive Portal Einrichtung mit Purple

Willkommen zu diesem technischen Briefing über die Integration von HPE Aruba ClearPass in die Purple WiFi Plattform. Ich bin Ihr Gastgeber, und heute tauchen wir tief in die Architektur, die Bereitstellungsstrategien und die betrieblichen Vorteile der Kombination der robusten Netzwerkzugriffskontrolle des ClearPass Policy Managers mit den branchenführenden Guest-WiFi- und Analysefunktionen von Purple ein. Für IT-Manager, Netzwerkarchitekten und CTOs, die Großprojekte verwalten – sei es eine weitläufige Einzelhandelskette, ein Stadion mit hoher Dichte oder ein komplexer Gesundheitscampus – ist die Bereitstellung eines sicheren, segmentierten und aufschlussreichen drahtlosen Zugangs von größter Bedeutung. ClearPass ist phänomenal bei der kontextsensitiven Richtliniendurchsetzung und der 802.1X-Authentifizierung für Unternehmensgeräte. Wenn es jedoch um das Onboarding von Gästen, Captive Portals und die Gewinnung aussagekräftiger Marketinganalysen aus Besucherdaten geht, ist Purple der unbestrittene Marktführer. Die Kernfrage, die wir heute beantworten, lautet: Wie konfigurieren Sie ClearPass so, dass Purple als Captive Portal verwendet wird, während ClearPass für NAC und die dynamische rollenbasierte VLAN-Zuweisung beibehalten wird? Lassen Sie uns direkt einsteigen. Zuerst wollen wir die Architektur etablieren. Auf hoher Ebene basiert die Integration auf Standard-RADIUS-Protokollen und HTTP-Redirect-Mechanismen. Ihre Aruba Mobility Controller oder Instant Access Points senden die Gäste-SSID aus. Wenn sich ein nicht authentifiziertes Gerät verbindet, fängt der Controller den HTTP-Verkehr ab und leitet den Browser des Benutzers an das Purple Captive Portal weiter. Diese Weiterleitung ist der erste kritische Schritt, den es richtig einzurichten gilt. Nun authentifiziert sich der Benutzer über Purple. Dies kann ein Social Login über Facebook oder Google sein, ein benutzerdefiniertes Formular mit E-Mail und Passwort oder sogar OpenRoaming, wobei Purple unter der Connect-Lizenz als kostenloser Identitätsanbieter fungiert. Sobald Purple den Benutzer validiert hat, sendet es eine RADIUS-Access-Accept-Nachricht zurück über die Kette an den Controller, der dann den Netzwerkzugriff gewährt. Aber genau hier wird ClearPass unverzichtbar. Anstatt dass der Aruba Controller direkt mit den RADIUS-Servern von Purple kommuniziert, schalten Sie ClearPass als RADIUS-Proxy dazwischen. Der Controller sendet alle RADIUS-Anfragen an ClearPass. ClearPass wertet die Anfrage aus und leitet sie, wenn sie Ihrer Routing-Richtlinie für den Gästeservice entspricht, an die Cloud-RADIUS-Server von Purple weiter. Purple antwortet, und ClearPass leitet diese Antwort an den Controller zurück - kann jedoch vor dem Senden entscheidende eigene Richtlinienattribute anhängen. Diese Proxy-Architektur bietet Ihnen das Beste aus beiden Welten. ClearPass führt ein vollständiges Audit-Protokoll jedes Authentifizierungsereignisses in Ihrem Netzwerk, sowohl für Unternehmen als auch für Gäste. Sie erhalten eine einzige Benutzeroberfläche für den Sicherheitsbetrieb. Und Purple kümmert sich um die Benutzeroberfläche und die Analysen, ohne dass Sie Ihre bestehende NAC-Investition ersetzen müssen. Lassen Sie uns über die dynamische VLAN-Zuweisung sprechen, denn hier wird es richtig leistungsstark - und hier treten bei den meisten Bereitstellungen Probleme auf, wenn man nicht vorsichtig ist. ClearPass nutzt ein Konzept namens Rollen und Durchsetzungsrichtlinien. Wenn eine Authentifizierungsanfrage eingeht, bewertet ClearPass den Kontext: Wer ist der Benutzer, welches Gerät wird verwendet, wie spät ist es und von welchem Standort aus erfolgt die Verbindung. Basierend auf diesen Faktoren wird eine Rolle zugewiesen. Für einen Standard-Gast könnte das ROLE_GUEST sein. Für einen VIP ROLE_VIP. Für einen externen Dienstleister ROLE_CONTRACTOR. Diese Rolle wird dann einer Durchsetzungsrichtlinie zugeordnet, die die spezifischen RADIUS-Attribute definiert, die an den Aruba-Controller zurückgegeben werden sollen. Das wichtigste Attribut hierbei ist das herstellerspezifische Attribut Aruba-User-Role Vendor-Specific Attribute, kurz VSA. Dieses teilt dem Controller genau mit, in welche Rolle der Benutzer auf der kabellosen Seite eingeordnet werden soll. Auf dem Aruba-Controller wird jede Rolle einem bestimmten VLAN und einer Reihe von Firewall-Richtlinien zugeordnet. So wird ROLE_GUEST dem VLAN 20 mit reinem Internetzugang und einer Bandbreitenbegrenzung von 10 Megabit pro Sekunde zugeordnet. ROLE_VIP wird dem VLAN 40 mit einem Limit von 50 Megabit zugeordnet. ROLE_IOT wird dem VLAN 30 zugeordnet - einem vollständig isolierten Segment ohne Internetzugang, das nur lokale Konnektivität für intelligente Geräte bietet. Diese Segmentierung ist nicht nur Best Practice - sie ist eine Compliance-Anforderung. Unter PCI-DSS muss jedes Netzwerk, das mit Karteninhaberdaten in Berührung kommt, von Gastnetzwerken isoliert sein. Unter GDPR müssen Sie nachweisen können, dass über das Gastportal erfasste personenbezogene Daten angemessen verarbeitet werden und dass der Gast-Traffic nicht Ihre Unternehmensinfrastruktur durchqueren kann. Lassen Sie mich nun ein Praxisbeispiel beschreiben: Eine große Hotelkette mit 500 Zimmern an mehreren Standorten. Sie haben an jedem Standort Aruba-Controller im Einsatz, ClearPass zentral bereitgestellt und möchten Purple für das Gast-WiFi einführen. Die Bereitstellung sieht wie folgt aus. Zwei SSIDs pro Standort: Hotel_Corp und Hotel_Guest. Hotel_Corp nutzt 802.1X mit Zertifikaten, die über ClearPass gegen das Active Directory authentifiziert werden. Hotel_Guest ist eine offene SSID, die das Captive Portal von Purple auslöst. In ClearPass werden zwei Dienste erstellt. Dienst Eins entspricht Hotel_Corp und wickelt die 802.1X-Authentifizierung lokal ab. Dienst Zwei entspricht Hotel_Guest und nutzt eine RADIUS-Routing-Richtlinie, um Anfragen per Proxy an Purple weiterzuleiten. Die Durchsetzungsrichtlinie für Dienst Zwei gibt die Aruba-User-Role "guest-authenticated" zurück, die auf dem Controller dem VLAN 20 zugeordnet ist. Für IoT-Geräte - wie Smart-TVs, Thermostate oder Türschlösser - wird eine dritte SSID namens Hotel_IoT mit MAC-basierter Authentifizierung verwendet. ClearPass profiliert das Gerät anhand seiner OUI, weist ROLE_IOT zu und verschiebt es in VLAN 30. Das Ergebnis? Mitarbeiter erhalten vollen Unternehmenszugriff. Gäste erhalten ein gebrandetes, ansprechendes Portal-Erlebnis mit Social Login und Marketing-Opt-ins. IoT-Geräte sind isoliert. Und das IT-Team hat im Access Tracker von ClearPass die vollständige Sichtbarkeit über alle drei Benutzertypen hinweg. Sprechen wir nun über die Fallstricke, denn es gibt einige, die Sie unvorbereitet treffen können. Nummer eins: der Walled Garden. Dies ist die häufigste Ursache für Fehler beim Captive Portal. Bevor ein Gerät authentifiziert ist, lässt der Aruba-Controller nur Datenverkehr zu einer vordefinierten Liste von Zielen zu - dem Walled Garden. Wenn die Portal-URL von Purple, die zugehörigen Backend-API-Endpunkte und die Domains der Social-Login-Anbieter nicht in dieser Liste enthalten sind, wird das Portal schlichtweg nicht geladen. Sie müssen diese Liste proaktiv pflegen. Social-Login-Anbieter wie Facebook und Google ändern regelmäßig ihre IP-Bereiche und CDN-Domains. Betrachten Sie den Walled Garden als eine dynamische Konfiguration. Nummer zwei: RADIUS-Timeouts. Der standardmäßige RADIUS-Timeout auf den meisten Aruba-Controllern beträgt drei Sekunden. In einer Proxy-Architektur wandert die Anfrage vom AP zum Controller, zu ClearPass, über das Internet zum Cloud-RADIUS von Purple und wieder zurück. In einem ausgelasteten Netzwerk kann diese Laufzeit drei Sekunden leicht überschreiten. Erhöhen Sie Ihr Timeout auf mindestens zehn Sekunden und konfigurieren Sie eine Retry-Logik. Nummer drei: Abweichende Shared Secrets. Dies führt zu lautlosen Fehlern, die bekanntermaßen schwer zu diagnostizieren sind. Das Shared Secret zwischen dem Aruba-Controller und ClearPass muss exakt übereinstimmen. Auch das Shared Secret zwischen ClearPass und den RADIUS-Servern von Purple muss exakt übereinstimmen. Ein einziger abweichender Buchstabe führt dazu, dass die Authentifizierung ohne verständliche Fehlermeldung für den Endnutzer fehlschlägt. Überprüfen Sie diese Einstellungen immer doppelt. Nummer vier: Groß- und Kleinschreibung bei Rollennamen. Das von ClearPass zurückgegebene Aruba-User-Role VSA muss exakt - einschließlich der Groß- und Kleinschreibung - mit dem auf dem Aruba-Controller definierten Rollennamen übereinstimmen. Wenn ClearPass guest-authenticated zurückgibt, auf dem Controller jedoch Guest-Authenticated definiert ist, fällt der Nutzer auf die Standardrolle zurück, was in der Regel die Logon-Rolle ohne Internetzugang ist. Nummer fünf: RADIUS-Accounting. Bei vielen Bereitstellungen wird das Proxying für die Authentifizierung korrekt konfiguriert, aber das Accounting-Proxying wird vergessen. Purple nutzt RADIUS-Accounting-Daten, um die Sitzungsdauer und den Datenverbrauch zu erfassen und um die Analytics-Dashboards zu füllen. Wenn die Accounting-Daten nicht an Purple übertragen werden, sind Ihre Analysen unvollständig. Kommen wir nun zu den schnellen Fragen und Antworten. Kann ich eine einzige SSID sowohl für Mitarbeiter als auch für Gäste nutzen? Ja, das ist möglich. Konfigurieren Sie ClearPass so, dass sowohl 802.1X als auch MAC-Auth auf derselben SSID verarbeitet werden. Nutzen Sie Service-Regeln, um den Datenverkehrstyp zu unterscheiden und entsprechend weiterzuleiten. Die Verwaltung ist zwar komplexer, verringert jedoch die Anzahl der SSIDs. Unterstützt Purple Change of Authorisation? Ja. CoA ermöglicht es dem Controller, die Sitzung eines Nutzers dynamisch zu aktualisieren, ohne dass dieser sich neu verbinden muss. Dies ist nützlich für zeitlich begrenzten Zugang oder Tarif-Upgrades. Kann ich diese Integration mit Aruba Instant anstelle eines vollwertigen Mobility Controllers nutzen? Ja, Aruba Instant unterstützt externe RADIUS-Server und Weiterleitungen für Captive Portals. Die Konfiguration unterscheidet sich geringfügig, aber die Prinzipien sind identisch. Funktioniert diese Integration mit WPA3? Ja. WPA3-SAE für persönliche Netzwerke und WPA3-Enterprise für 802.1X werden beide unterstützt. Für Gästenetzwerke, die Captive Portals nutzen, sind WPA3-SAE oder eine offene SSID mit Opportunistic Wireless Encryption die typische Wahl. Zusammenfassung des heutigen Briefings: Die Integration von ClearPass und Purple basiert auf einer RADIUS-Proxy-Architektur. ClearPass bleibt Ihre zentrale Instanz für Richtlinienentscheidungen für sämtliche Netzwerkzugriffe. Purple übernimmt die Benutzeroberfläche für Gäste und die Analysen. Der Aruba-Controller setzt die resultierenden Richtlinien durch dynamische VLAN-Zuweisung durch. Die drei kritischsten Konfigurationselemente sind der Walled Garden, RADIUS-Timeouts und die Konsistenz der Rollennamen. Wenn Sie diese Punkte richtig konfigurieren, erhalten Sie eine robuste, konforme und kommerziell wertvolle Bereitstellung von Gäste-WiFi. Vielen Dank fürs Zuhören. Wenn Sie dies vertiefen möchten, besuchen Sie purple.ai, um mit einem Solutions Architect über Ihre spezifische Bereitstellung zu sprechen.