Zum Hauptinhalt springen
Deutsch

Huawei AirEngine und CloudCampus Integration mit Purple WiFi

Diese Anleitung bietet Schritt-für-Schritt-Anweisungen für die Integration von Huawei AirEngine Access Points und iMaster NCE-Campus mit Purple WiFi. Sie deckt die Captive Portal-Konfiguration, die 802.1X-Mitarbeiterauthentifizierung und das dynamische PPSK-VLAN-Steering für Unternehmensnetzwerke ab.

📖 6 Min. Lesezeit📝 1,408 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen zur technischen Serie von Purple. Ich bin Ihr Moderator, und heute gehen wir durch eine der nuancierteren WiFi-Integrationen für Unternehmen, die wir in der Praxis sehen – Huawei AirEngine Access Points und den CloudCampus iMaster NCE-Campus-Controller, integriert mit Purple für Gäste-WiFi, Mitarbeiterauthentifizierung und mandantenfähige Netzwerksegmentierung. Wenn Sie ein Netzwerkarchitekt oder IT-Manager sind, der eine Huawei-Infrastruktur betreibt – sei es eine Hotelgruppe, eine Einzelhandelskette, ein Konferenzzentrum oder ein Campus im öffentlichen Sektor –, ist diese Episode genau das Richtige für Sie. Wir decken den gesamten Stack ab: Captive Portal-Umleitung, Pre-Authentication-ACLs, sicheres Mitarbeiter-WiFi mittels 802.1X und das Private Pre-Shared Key-Feature von Huawei für dynamisches VLAN-Steering über mehrere Mandanten hinweg. Legen wir los. Abschnitt eins: Kontext und Architektur. Das AirEngine-Portfolio von Huawei – das die Serien 5700, 6700, 8700 und 9700 umfasst – läuft auf WiFi 6 und WiFi 6E, wobei die High-End-Serie 9700 WiFi 7 unterstützt. Dies sind ernstzunehmende Enterprise Access Points. Die Verwaltungsebene ist iMaster NCE-Campus, der cloudbasierte Netzwerk-Controller von Huawei, der alles von der SSID-Bereitstellung und dem RADIUS-Relay bis hin zur Richtliniendurchsetzung und Syslog-Weiterleitung übernimmt. Purple setzt als Cloud-Overlay darauf auf. Wir sind an über 80.000 aktiven Standorten im Einsatz und haben allein im Jahr 2024 440 Millionen Logins verarbeitet. Wir sind hardwareunabhängig – das heißt, wir integrieren uns in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist und ja, auch Huawei AirEngine – unter Verwendung derselben RADIUS- und Captive Portal-Standards, die jeder Enterprise-Controller unterstützt. Das Integrationsmodell hier ist unkompliziert. iMaster NCE-Campus fungiert als RADIUS-Relay und leitet Authentifizierungsanfragen von den Access Points an die RADIUS-Server von Purple weiter. Purple übernimmt die Authentifizierungslogik – sei es eine Gäste-Splashpage, eine 802.1X-Anmeldedatenprüfung oder eine PPSK-Abfrage – und gibt die entsprechende RADIUS-Antwort zurück, einschließlich aller Attribute für die dynamische VLAN-Zuweisung. Abschnitt zwei: Gäste-WiFi und Captive Portal-Konfiguration. Beginnen wir mit der häufigsten Bereitstellung: Gäste-WiFi mit einem Purple Captive Portal. In iMaster NCE-Campus navigieren Sie zu Design, dann Network Design, dann Template Management. Sie erstellen eine RADIUS-Relay-Servervorlage. Die wichtigsten Parameter sind: Stellen Sie den Authentifizierungsdienst auf Portal-Authentifizierung ein, fügen Sie die RADIUS-Server-IP-Adressen von Purple auf UDP-Port 1812 für die Authentifizierung und 1813 für das Accounting hinzu, stellen Sie den NAS-Identifier auf Device MAC ein und konfigurieren Sie das Shared Secret. Purple stellt diese RADIUS-Anmeldedaten im Bildschirm für die Standortkonfiguration im Purple-Dashboard bereit. Als Nächstes erstellen Sie eine ACL – das ist Ihr Walled Garden. Bevor sich ein Gast authentifiziert, muss er die Splashpage von Purple und alle unterstützenden Domänen erreichen können. Ihre ACL-Regeln sollten DNS auf UDP 53 zulassen, HTTPS zur Portal-Domäne von Purple zulassen und alle von Ihnen aktivierten Social-Login-Anbieter zulassen – beispielsweise die Graph-API-Endpunkte von Facebook, wenn Sie Social Sign-On verwenden. Alles andere wird vor der Authentifizierung blockiert. Dann konfigurieren Sie die SSID. Stellen Sie den Netzwerktyp auf Open ein, wählen Sie Open plus Portal-Authentifizierung, stellen Sie den Authentifizierungstyp auf Relay-Authentifizierung durch Cloud-Plattform ein und wählen Sie RADIUS-Relay als Verbindungsmethode. Stellen Sie das Seiten-Push-Protokoll auf HTTPS ein. Fügen Sie in den Portal-Authentifizierungsparametern von Drittanbietern die Purple-Umleitungs-URL ein – dies ist die Splashpage-URL, die Sie aus dem Purple-Standort-Dashboard kopieren, wobei das Suffix so angepasst wird, dass es die Huawei-spezifischen Parameter enthält: ap-mac, uaddress, umac, ssid und redirect-url. Erstellen Sie abschließend eine URL-Vorlage in iMaster NCE-Campus, die diese Parameternamen den Werten zuordnet, die Huawei bei der Umleitung übergibt. Die Parameterzuordnung lautet: redirect-url zu redirect-url, loginurl zu login-url, device-mac zu ap-mac, user-ip zu uaddress, user-mac zu umac und ssid zu ssid. Sobald dies konfiguriert ist, ein Gast verbindet sich mit der SSID, erhält eine DHCP-Adresse, und sein HTTP-Traffic wird vom Controller abgefangen und auf die Purple Splashpage umgeleitet. Er authentifiziert sich – per E-Mail, Social Login oder SMS-Verifizierung – und der RADIUS-Server von Purple sendet ein Access-Accept zurück an iMaster NCE-Campus, was dem Gast vollen Internetzugriff gewährt. Aus Datensicht erfasst Purple an diesem Punkt First-Party-Einwilligungsdaten. Jede Anmeldung ist ein bewusstes Opt-in, das der GDPR und dem CCPA entspricht. Diese Daten fließen in die Analyseplattform von Purple ein und liefern Ihnen Informationen über Sitzungsdauer, Gerätetyp, Wiederholungsbesuchsraten und Verweildauer – und das alles ohne Tracking durch Drittanbieter. Abschnitt drei: Sicheres Mitarbeiter-WiFi mit 802.1X. Sprechen wir nun über das Mitarbeiter-WiFi. Dies erfordert eine völlig andere Sicherheitsstruktur. Sie möchten nicht, dass sich Mitarbeiter im selben Netzwerksegment wie Gäste befinden, und Sie möchten keine gemeinsam genutzten PSK-Passwörter, die das Unternehmen verlassen, wenn jemand kündigt. Die Antwort ist die 802.1X-Authentifizierung, definiert in IEEE 802.1X-2020, unter Verwendung von EAP-TLS oder EAP-PEAP. In iMaster NCE-Campus erstellen Sie eine separate SSID für Mitarbeiter – nennen wir sie CorpNet. Im Authentifizierungsprofil für diese SSID stellen Sie den Authentifizierungsmodus auf 802.1X ein, weisen auf den RADIUS-Server von Purple und stellen das Sicherheitsprofil auf WPA2-Enterprise oder WPA3-Enterprise mit AES-CCMP-Verschlüsselung ein. Purple fungiert auch hier als RADIUS-Server, validiert nun jedoch die Anmeldedaten gegenüber Ihrem Identitätsanbieter. Purple lässt sich nativ in Microsoft Entra ID, Okta und Google Workspace integrieren. Wenn sich ein Mitarbeiter mit CorpNet verbindet, sendet sein Gerät EAP-Anmeldedaten an den Access Point, der sie über RADIUS an Purple weiterleitet, wo sie mittels SCIM oder SAML mit Entra ID abgeglichen werden. Wenn die Anmeldedaten gültig sind, Purple gibt ein Access-Accept mit einem RADIUS-Attribut zurück, das das Mitarbeiter-VLAN spezifiziert – beispielsweise VLAN 20. iMaster NCE-Campus leitet den Client automatisch in dieses VLAN um. Die wichtigsten RADIUS-Attribute für die dynamische VLAN-Zuweisung sind: Tunnel-Type eingestellt auf VLAN oder den Wert 13, Tunnel-Medium-Type eingestellt auf 802 oder den Wert 6 und Tunnel-Private-Group-ID eingestellt auf die VLAN-ID. Diese drei Attribute zusammen teilen dem Huawei-Controller genau mit, welchem VLAN der authentifizierte Client zugewiesen werden soll. Speziell für EAP-TLS – den Goldstandard für die Mitarbeiterauthentifizierung – benötigen Sie Client-Zertifikate. Das SecurePass-Add-on von Purple übernimmt die Zertifikatsausstellung und das Lifecycle-Management, wobei es sich in Ihre bestehende PKI integriert oder als schlanke Zertifizierungsstelle fungiert. Dies eliminiert passwortbasierte Angriffe vollständig. Kein Passwort, kein Phishing-Vektor. Abschnitt vier: Mandantensegmentierung mit Huawei PPSK. Hier wird es richtig interessant. Wenn Sie einen gemischt genutzten Standort betreiben – ein Einkaufszentrum mit mehreren Einzelhandelsmietern, einen Co-Working-Space mit mehreren Mitgliedsunternehmen oder ein Konferenzzentrum, in dem parallele Veranstaltungen stattfinden –, benötigen Sie eine Netzwerktrennung zwischen den Mandanten, ohne für jeden eine eigene SSID bereitzustellen. Das PPSK-Feature von Huawei – Private Pre-Shared Key – löst dies. In anderen Hersteller-Ökosystemen wird es manchmal als iPSK bezeichnet. Das Konzept lautet: eine SSID, mehrere eindeutige Passwörter, wobei jedes Passwort einem bestimmten VLAN zugeordnet ist. Mandant A erhält das Passwort Alpha, das dem VLAN 30 zugeordnet ist. Mandant B erhält das Passwort Beta, das dem VLAN 40 zugeordnet ist. Beide Mandanten sehen dieselbe SSID, sind jedoch auf Layer 2 vollständig voneinander isoliert. In der Huawei-CLI konfigurieren Sie dies in der WLAN-Ansicht mit dem Befehl ppsk-user. Für jeden Mandanten führen Sie Folgendes aus: ppsk-user psk pass-phrase, gefolgt von der eindeutigen Passphrase, dann user-name, der Mandantenkennung, dann vlan, der VLAN-ID, und schließlich ssid, dem SSID-Namen. Sie können auch ein Ablaufdatum und eine maximale Geräteanzahl festlegen sowie eine Bindung an eine bestimmte MAC-Adresse vornehmen, wenn Sie eine strengere Kontrolle benötigen. In iMaster NCE-Campus kann die PPSK-Abfrage lokal auf dem Controller oder – bei großen Bereitstellungen – über RADIUS erfolgen. Wenn RADIUS-gestütztes PPSK verwendet wird, wird Purple zur maßgeblichen Quelle für die PPSK-zu-VLAN-Zuordnungen. Das Gerät eines Mandanten verbindet sich mit seiner eindeutigen Passphrase, der Controller sendet einen RADIUS Access-Request mit der Passphrase als Anmeldedaten an Purple, Purple schlägt die Zuordnung nach und gibt ein Access-Accept mit den drei VLAN-Tunnel-Attributen zurück. Der Controller leitet den Client in das richtige VLAN. Diese Architektur lässt sich auf Hunderte von Mandanten auf einer einzigen SSID skalieren. Dies bedeutet auch, dass Sie Mandanten-Anmeldedaten über das Purple-Dashboard bereitstellen, rotieren und widerrufen können, ohne die Controller-Konfiguration anfassen zu müssen. Abschnitt fünf: Implementierungsfehler und wie man sie vermeidet. Lassen Sie mich Ihnen die drei Fehlerquellen nennen, die ich bei Huawei- und Purple-Bereitstellungen am häufigsten sehe. Erstens: Der Walled Garden ist unvollständig. Gäste verbinden sich mit der SSID, werden zur Splashpage umgeleitet, aber die Seite lädt nicht, weil eine erforderliche Domäne – oft ein CDN-Endpunkt oder eine Social-Login-API – durch die Pre-Auth-ACL blockiert wird. Die Lösung besteht darin, den Splashpage-Fluss vor der Liveschaltung mit einem neuen Gerät zu testen, die durchgeführten DNS-Abfragen und HTTPS-Verbindungen zu erfassen und jede erforderliche Domäne zur ACL hinzuzufügen. Purple veröffentlicht eine Liste der erforderlichen Domänen in der Integrationsdokumentation. Zweitens: Keine Übereinstimmung beim gemeinsamen RADIUS-Geheimnis. Das in iMaster NCE-Campus gekonfigurierte Geheimnis muss exakt mit dem Geheimnis im Purple-Dashboard übereinstimmen. Ein einziger abweichender Buchstabe führt zu stillschweigenden Authentifizierungsfehlern – in den Controller-Protokollen wird Access-Reject ohne nützliche Fehlermeldung angezeigt. Kopieren Sie das Geheimnis immer per Copy-Paste, geben Sie es niemals manuell ein. Drittens: Fehlkonfiguration des VLAN-Trunks. Die dynamische VLAN-Zuweisung über RADIUS funktioniert nur, wenn das VLAN bereits auf dem Uplink-Port zwischen dem Access Point und dem Aggregation-Switch als Trunk eingerichtet ist. Wenn VLAN 20 nicht in der Trunk-Zulassungsliste (allow-pass) auf der Switch-Schnittstelle enthalten ist, erhalten authentifizierte Mitarbeiter-Clients einen DHCP-Timeout und die Authentifizierung scheint fehlzuschlagen. Überprüfen Sie Ihre Trunk-Konfigurationen, bevor Sie RADIUS-zugewiesene VLANs testen. Abschnitt sechs: Schnelle Fragen. Frage: Kann ich das integrierte RADIUS von Purple mit der lokalen iMaster NCE-Campus-Bereitstellung von Huawei verwenden, anstatt mit der Cloud-Version? Ja. Die RADIUS-Server von Purple sind in der Cloud gehostet und über das Internet erreichbar. Ihr lokaler iMaster NCE-Campus-Controller benötigt ausgehenden Zugriff über UDP 1812 und 1813 auf die RADIUS-IP-Bereiche von Purple. Purple veröffentlicht diese IP-Bereiche im Dashboard unter den Standorteinstellungen. Frage: Unterstützt Huawei PPSK WPA3-SAE? Ab der AirEngine-Firmware V600R025 wird WPA3-SAE-PPSK auf den Serien 6700 und 9700 unterstützt. Überprüfen Sie Ihre Firmware-Version, bevor Sie WPA3 auf PPSK-SSIDs aktivieren. Frage: Wie handhabt Purple die GDPR-Einwilligung für Gäste-WiFi auf Huawei-Hardware? Die Splashpage von Purple holt die Einwilligung zum Zeitpunkt der Authentifizierung ein. Der Einwilligungsdatensatz – einschließlich Zeitstempel, IP-Adresse und den spezifischen akzeptierten Bedingungen – wird auf der Plattform von Purple gespeichert und ist für Compliance-Audits exportierbar. Dies gilt unabhängig vom zugrunde liegenden Hardware-Hersteller. Abschnitt sieben: Zusammenfassung und nächste Schritte. Zusammenfassend: Huawei AirEngine und iMaster NCE-Campus lassen sich mit Purple über ein RADIUS-Relay für das Gäste-Captive Portal, 802.1X für das Mitarbeiter-WiFi und PPSK für die mandantenfähige VLAN-Segmentierung integrieren. Die Konfiguration erfolgt in iMaster NCE-Campus unter Design, Network Design, Template Management für die RADIUS- und ACL-Einrichtung sowie unter Provision, Device Configuration, Site Configuration für die SSID- und Authentifizierungsprofilbindung. Ihre nächsten Schritte: Rufen Sie die Purple-RADIUS-Anmeldedaten aus Ihrem Standort-Dashboard ab, konfigurieren Sie die RADIUS-Relay-Servervorlage in iMaster NCE-Campus, erstellen Sie Ihre Walled Garden ACL, richten Sie die Gäste-SSID mit Open plus Portal-Authentifizierung ein und testen Sie den gesamten Ablauf mit einem neuen Gerät, bevor Sie ihn für alle bereitstellen. Wenn Sie PPSK für die mandantenfähige Isolierung bereitstellen, planen Sie zuerst Ihr VLAN-Schema – stellen Sie sicher, dass jedes Mandanten-VLAN durchgängig als Trunk konfiguriert ist, bevor Sie einen einzigen PPSK-Benutzer einrichten. Die vollständige Schritt-für-Schritt-Konfigurationsanleitung, einschließlich CLI-Beispielen und Architekturdiagrammen, finden Sie in der schriftlichen Anleitung auf der Purple-Website. Vielen Dank fürs Zuhören.

header_image.png

Executive Summary

Unternehmensnetzwerke erfordern zuverlässige Hardware gepaart mit intelligentem Identitätsmanagement. Huawei AirEngine Access Points und der iMaster NCE-Campus-Controller bieten hochverdichtete Konnektivität, während Purple das Cloud-Overlay für Authentifizierung, Analysen und Richtliniendurchsetzung bereitstellt. Diese Anleitung beschreibt die Integrationsarchitektur, die für die Bereitstellung von Gäste-WiFi , sicherem Mitarbeiter-WiFi und mandantenfähigem WiFi über einen einzigen Huawei-Controller erforderlich ist.

Durch die Integration von Huawei CloudCampus mit Purple ersetzen Sie isolierte Authentifizierungssilos durch ein einheitliches identitätsbasiertes Netzwerk. Wir sind an über 80.000 aktiven Standorten im Einsatz und haben allein im Jahr 2024 440 Millionen Logins verarbeitet. Unsere hardwareunabhängige Plattform lässt sich nativ über Standard-RADIUS- und Captive Portal-Protokolle in Huawei integrieren. Diese Integration ermöglicht bewusste Opt-ins für Besucher, die 802.1X-Zertifikatsvalidierung für Mitarbeiter und ein dynamisches VLAN-Steering über Private Pre-Shared Keys (PPSK) für Mandanten.

Unabhängig davon, ob Sie ein Stadion, einen Universitätscampus oder eine Einzelhandelskette verwalten, bietet dieses Dokument die genauen Konfigurationsschritte, RADIUS-Attribute und Access Control Lists (ACLs), die erforderlich sind, um Ihren Wireless Edge zu sichern und First-Party-Daten in großem Umfang zu erfassen.

Hören Sie sich den Podcast zum technischen Briefing an:

Technischer Deep-Dive

Die Integration basiert auf Standardprotokollen: RADIUS (UDP 1812/1813) für Authentifizierung und Accounting sowie HTTPS (TCP 443) für die Captive Portal-Umleitung. iMaster NCE-Campus fungiert als Network Access Server (NAS) und RADIUS-Relay, das Anfragen von den AirEngine Access Points an die Cloud-RADIUS-Infrastruktur von Purple weiterleitet.

Architektur-Übersicht

architecture_overview.png

Purple unterstützt drei primäre Authentifizierungsmodelle auf Huawei-Hardware:

  1. Gäste-WiFi (Captive Portal): Nicht authentifizierter Traffic wird vom Huawei-Controller abgefangen und auf die Splashpage von Purple umgeleitet. Der Zugriff vor der Authentifizierung wird durch eine Walled Garden ACL eingeschränkt. Nach erfolgreicher Anmeldung sendet Purple ein RADIUS Access-Accept, das dem Client vollen Netzwerkzugriff gewährt.
  2. Mitarbeiter-WiFi (802.1X): Mitarbeiter authentifizieren sich mit ihren Unternehmensanmeldedaten über EAP-PEAP oder EAP-TLS. Purple validiert diese Anmeldedaten gegenüber Identitätsanbietern wie Microsoft Entra ID, Okta oder Google Workspace.
  3. Mandantenfähiges WiFi (PPSK): Mandanten verbinden sich über eine einzige gemeinsam genutzte SSID mit eindeutigen Passphrasen. Purple validiert die Passphrase und gibt spezifische RADIUS-Attribute zurück, um den Mandanten dynamisch in sein isoliertes VLAN zu leiten.

Walled Garden und Pre-Authentication-ACLs

Ein Captive Portal erfordert einen Walled Garden – eine Access Control List (ACL), die Traffic zu wichtigen Diensten zulässt, bevor sich der Benutzer authentifiziert. Wenn der Walled Garden unvollständig ist, kann die Splashpage nicht geladen werden, was zu einer schlechten Besucherfahrung führt.

Für Huawei iMaster NCE-Campus muss die Pre-Authentication-ACL Folgendes zulassen:

  • DNS-Auflösung (UDP 53)
  • Die Captive Portal-Domänen von Purple (*.purpleportal.net, *.purple.ai)
  • Content Delivery Networks (CDNs), die Splashpage-Elemente hosten
  • Domänen von Identitätsanbietern, wenn Social Login (Apple, Google, Facebook) aktiviert ist

Sämtlicher andere Traffic muss blockiert werden, bis Purple das RADIUS Access-Accept zurückgibt.

Dynamisches VLAN-Steering und RADIUS-Attribute

Zur Isolierung des Netzwerktraffics verwendet Purple eine dynamische VLAN-Zuweisung. Anstatt mehrere SSIDs auszustrahlen, strahlen Sie eine einzige SSID aus und weisen das VLAN dynamisch basierend auf der Identität des Benutzers zu.

Wenn Purple einen Benutzer authentifiziert (über 802.1X oder PPSK), gibt es ein Access-Accept-Paket zurück, das drei obligatorische IETF-Standard-RADIUS-Attribute enthält:

  • Tunnel-Type = VLAN (oder 13)
  • Tunnel-Medium-Type = 802 (oder 6)
  • Tunnel-Private-Group-ID = [VLAN-ID]

Der Huawei-Controller empfängt diese Attribute und weist den AirEngine Access Point an, den Traffic des Clients mit der angegebenen VLAN-ID zu taggen.

ppsk_vlan_segmentation.png

Implementierungsleitfaden

Dieser Abschnitt beschreibt die genauen Schritte zur Konfiguration von iMaster NCE-Campus für die Purple-Integration.

Schritt 1: Konfigurieren des RADIUS-Relay-Servers

Definieren Sie zunächst Purple als externen Authentifizierungsserver.

  1. Navigieren Sie in iMaster NCE-Campus zu Design > Network Design > Template Management.
  2. Wählen Sie RADIUS Server und klicken Sie auf Create.
  3. Stellen Sie den Authentication service auf Portal authentication ein.
  4. Geben Sie die primären und sekundären RADIUS-IP-Adressen von Purple ein (verfügbar in Ihrem Purple-Dashboard).
  5. Stellen Sie den Authentifizierungsport auf 1812 und den Accountingport auf 1813 ein.
  6. Geben Sie das von Purple bereitgestellte gemeinsame RADIUS-Geheimnis (Shared Secret) ein.
  7. Stellen Sie den NAS identifier auf Device MAC ein.

Schritt 2: Erstellen der Walled Garden ACL

Erstellen Sie die ACL, um Traffic vor der Authentifizierung zuzulassen.

  1. Navigieren Sie zu Design > Network Design > Template Management > ACL.
  2. Erstellen eine neue ACL namens Purple_Walled_Garden.
  3. Stellen Sie den ACL Type auf User ein.
  4. Fügen Sie Zulassungsregeln (permit) für DNS und die erforderlichen Domänen von Purple hinzu (z. B. *.purpleportal.net).
  5. Speichern Sie die ACL-Vorlage.

Schritt 3: Konfigurieren der Captive Portal-URL-Vorlage

Huawei erfordert eine URL-Vorlage, um Standard-Umleitungsparameter dem von Purple benötigten Format zuzuordnen.

  1. Navigieren Sie zu Design > Network Design > Template Management > URL Template.
  2. Erstellen Sie eine neue Vorlage namens Purple_URL_Template.
  3. Setzen Sie den Template Type auf Cloud platform-based relay authentication.
  4. Konfigurieren Sie das Parameter-Mapping genau wie folgt:
    • redirect-url wird zugeordnet zu redirect-url
    • loginurl wird zugeordnet zu login-url
    • device-mac wird zugeordnet zu ap-mac
    • user-ip wird zugeordnet zu uaddress
    • user-mac wird zugeordnet zu umac
    • ssid wird zugeordnet zu ssid

Schritt 4: Bereitstellung der Guest SSID

Binden Sie den RADIUS-Server, die ACL und die URL-Vorlage an die SSID.

  1. Navigieren Sie zu Provision > Device Configuration > Site Configuration.
  2. Wählen Sie AP und erstellen Sie eine neue SSID.
  3. Setzen Sie den Network Type auf Open.
  4. Wählen Sie Open+Portal authentication.
  5. Setzen Sie den Authentifizierungstyp auf Relay authentication by cloud platform.
  6. Setzen Sie den Interconnection-Modus auf RADIUS relay.
  7. Wählen Sie das zuvor erstellte Purple_URL_Template aus.
  8. Fügen Sie in das Feld für die Drittanbieter-Authentifizierungs-URL Ihre eindeutige Purple Splash-Page-URL ein.
  9. Wählen Sie die Purple RADIUS-Servervorlage aus.
  10. Wählen Sie die ACL Purple_Walled_Garden für die Standard-Zulassungsregel aus.
  11. Speichern und stellen Sie die Konfiguration auf den AirEngine Access Points bereit.

Best Practices

Um eine sichere und zuverlässige Bereitstellung zu gewährleisten, befolgen Sie diese herstellerneutralen Best Practices:

  • 802.1X für Mitarbeiter implementieren: Verwenden Sie niemals gemeinsam genutzte PSKs für Mitarbeiternetzwerke. Stellen Sie 802.1X mit EAP-TLS unter Verwendung des SecurePass-Add-ons von Purple bereit, um Client-Zertifikate auszustellen. Dies eliminiert passwortbasierte Phishing-Vektoren und entspricht den Anforderungen von ISO 27001.
  • SSIDs konsolidieren: Das Ausstrahlen von zu vielen SSIDs verringert die Airtime-Effizienz aufgrund des Overheads für Management-Frames. Nutzen Sie PPSK und dynamische VLAN-Steuerung, um mandantenfähige Netzwerke in einer einzigen SSID zu konsolidieren.
  • Trunk-Konfigurationen überprüfen: Die dynamische VLAN-Zuweisung schlägt geräuschlos fehl, wenn das zugewiesene VLAN auf dem Switch-Trunk-Port, der den Access Point verbindet, nicht zugelassen ist. Überprüfen Sie vor dem Testen der RADIUS-Steuerung immer die Switchport-Konfigurationen.
  • RADIUS-Latenz überwachen: Authentifizierungs-Timeouts resultieren häufig aus WAN-Latenzen. Stellen Sie sicher, dass Ihr iMaster NCE-Campus-Controller über einen Pfad mit geringer Latenz zur regionalen RADIUS-Infrastruktur von Purple verfügt.

Fehlerbehebung & Risikominderung

Bei der Integration von Cloud-RADIUS mit Enterprise-Controllern lassen sich Probleme in der Regel auf drei Bereiche eingrenzen: den Walled Garden, das gemeinsame RADIUS-Geheimnis (Shared Secret) oder das VLAN-Trunking.

Splash-Page lädt nicht

Symptom: Ein Gerät verbindet sich mit dem Guest WiFi, aber der Browser zeigt einen Timeout-Fehler anstelle der Purple Splash-Page an. Fehlerursache: Die Walled Garden ACL ist unvollständig und blockiert den Zugriff auf die Portal-Domains von Purple oder erforderliche CDNs. Behebung: Verbinden Sie ein Testgerät mit der SSID. Versuchen Sie, purpleportal.net anzupingen. Wenn der Ping fehlschlägt, überprüfen Sie die iMaster NCE-Campus ACL-Konfiguration und stellen Sie sicher, dass sie auf den Pre-Authentication-Status der SSID angewendet wird.

Lautlose Authentifizierungsfehler

Symptom: Ein Benutzer gibt gültige Anmeldedaten ein, aber die Verbindung bricht ohne Fehlermeldung ab. Fehlerursache: Keine Übereinstimmung beim gemeinsamen RADIUS-Geheimnis (Shared Secret) zwischen iMaster NCE-Campus und Purple. Behebung: Kopieren Sie das gemeinsame Geheimnis direkt aus dem Purple-Dashboard und fügen Sie es in die Huawei RADIUS-Servervorlage ein. Ein einzelnes nachfolgendes Leerzeichen zerstört den in RADIUS-Paketen verwendeten MD5-Hash.

DHCP-Timeout nach der Authentifizierung

Symptom: Ein Mitarbeiter authentifiziert sich erfolgreich über 802.1X, aber das Gerät erhält eine 169.254.x.x APIPA-Adresse anstelle einer gültigen IP-Adresse. Fehlerursache: Purple hat erfolgreich ein dynamisches VLAN über RADIUS zugewiesen, aber dieses VLAN wird nicht an den AirEngine Access Point weitergeleitet (Trunking). Behebung: Melden Sie sich am Access-Switch an und überprüfen Sie, ob der Befehl port trunk allow-pass vlan die Ziel-VLAN-ID auf der mit dem AP verbundenen Schnittstelle enthält.

ROI & geschäftliche Auswirkungen

Die Bereitstellung von Huawei AirEngine mit Purple verwandelt eine Standard-Netzwerkinfrastruktur in ein messbares Geschäftsgut.

Für Betreiber im Einzelhandel erfasst diese Integration First-Party-Daten von Käufern und ermöglicht so zielgerichtete Marketingkampagnen, die die Besucherfrequenz erhöhen und den durchschnittlichen Transaktionswert steigern. Das WiFi Analytics -Dashboard von Purple bietet Heatmaps und Verweildauer-Metriken, sodass Standortmanager die Ladenlayouts basierend auf dem tatsächlichen Besucherverhalten optimieren können.

In der Hotellerie eliminiert die automatisierte Authentifizierung über OpenRoaming oder Passpoint die Hürden manueller Logins und steigert so die Zufriedenheitswerte der Gäste. Für Gebäude mit mehreren Mietern reduziert die dynamische VLAN-Steuerung über PPSK den IT-Overhead, da nicht mehr für jeden neuen Mieter separate SSIDs manuell bereitgestellt und verwaltet werden müssen.

Durch die Vereinheitlichung von Gäste-Engagement, Mitarbeitersicherheit und Mieterisolierung auf einer einzigen Hardware-Plattform maximieren Unternehmen die Rendite ihrer Huawei CloudCampus-Investition.

Schlüsseldefinitionen

iMaster NCE-Campus

Huaweis cloudbasierte oder lokale Plattform zur Netzwerkautomatisierung und -verwaltung.

IT-Teams nutzen dies als zentralen Controller, um SSIDs zu konfigurieren, Richtlinien an AirEngine APs zu verteilen und das RADIUS-Relay zu Purple einzurichten.

PPSK (Private Pre-Shared Key)

Ein Sicherheitsfeature, das die Verwendung mehrerer eindeutiger Passwörter auf einer einzigen SSID ermöglicht, wobei jedes Passwort den Benutzer an eine bestimmte Netzwerkrichtlinie oder ein bestimmtes VLAN bindet.

Unerlässlich für mandantenfähige Umgebungen (wie Coworking-Spaces oder Fachmarktzentren), in denen Mandanten isolierte Netzwerke benötigen, ohne Dutzende von SSIDs auszustrahlen.

Dynamic VLAN Steering

Der Prozess der Zuweisung eines Geräts zu einem bestimmten virtuellen lokalen Netzwerk (VLAN) basierend auf seiner authentifizierten Identität und nicht auf der SSID, mit der es sich verbunden hat.

Wird von Purple verwendet, um sicherzustellen, dass ein Manager, ein Kassierer und ein Gast, die sich mit demselben physischen Access Point verbinden, in völlig separaten, sicheren Netzwerksegmenten platziert werden.

Walled Garden

Eine Access Control List (ACL), die auf nicht authentifizierte Benutzer angewendet wird und den Zugriff nur auf bestimmte IP-Adressen oder Domänen erlaubt, die für den Abschluss des Anmeldevorgangs erforderlich sind.

Wenn der Walled Garden falsch konfiguriert ist, sehen Gäste anstelle der Purple Splashpage einen leeren Bildschirm oder einen Timeout-Fehler.

RADIUS Relay

Eine Konfiguration, bei der der lokale Netzwerk-Controller Authentifizierungsanfragen von Access Points an einen externen RADIUS-Server weiterleitet.

Huawei iMaster NCE-Campus fungiert als Relay und leitet Anmeldedaten sicher vom Standort an die Cloud-Infrastruktur von Purple zur Validierung weiter.

802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Der Unternehmensstandard für Mitarbeiter-WiFi. Er ersetzt gemeinsam genutzte Passwörter durch individuelle Benutzeranmeldedaten oder digitale Zertifikate.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Eine 802.1X-Authentifizierungsmethode, die auf Client- und Serverzertifikaten anstelle von Passwörtern basiert.

Die sicherste verfügbare Authentifizierungsmethode. SecurePass von Purple stellt diese Zertifikate für Mitarbeitergeräte aus, um Phishing-Risiken zu eliminieren.

Captive Portal

Eine Webseite, die ein Benutzer eines öffentlich zugänglichen Netzwerks anzeigen und mit der er interagieren muss, bevor ihm der Zugriff gewährt wird.

Der primäre Mechanismus, den Purple verwendet, um First-Party-Daten und Einwilligungen von Besuchern vor Ort zu erfassen.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern muss sicheres, isoliertes WiFi für Gäste, Mitarbeiter und ein im Foyer betriebenes Café eines Drittanbieters bereitstellen und dabei nur zwei SSIDs verwenden, um Airtime zu sparen.

Stellen Sie eine SSID namens 'Hotel_Guest' bereit, die mit einer Open+Portal-Authentifizierungsrichtlinie konfiguriert ist, die auf das Captive Portal von Purple verweist. Stellen Sie eine zweite SSID namens 'Hotel_Secure' bereit, die mit WPA3-Enterprise und 802.1X-Authentifizierung konfiguriert ist. Mitarbeiter authentifizieren sich über EAP-TLS, und Purple gibt ein RADIUS-Attribut zurück, das sie dem VLAN 20 zuweist. Das Café nutzt PPSK auf derselben 'Hotel_Secure'-SSID; die Mitarbeiter geben eine eindeutige Passphrase ein, und Purple gibt ein RADIUS-Attribut zurück, das sie dem VLAN 30 zuweist.

Kommentar des Prüfers: Dieser Ansatz optimiert die HF-Leistung, indem er den SSID-Overhead begrenzt. Durch die Nutzung von Purple als zentrale RADIUS-Instanz erreicht das Hotel eine vollständige Layer-2-Isolierung zwischen Mitarbeitern und dem Drittanbieter, ohne zusätzliche Hardware oder komplexes controllerseitiges Routing bereitzustellen.

Eine große Einzelhandelskette migriert zu Huawei AirEngine und muss sicherstellen, dass ihre bestehende Purple Splashpage in allen Filialen korrekt geladen wird, ohne Sicherheitswarnungen auf modernen Smartphones auszulösen.

Konfigurieren Sie die iMaster NCE-Campus-URL-Vorlage so, dass die erforderlichen Parameter (ap-mac, uaddress, umac, ssid, redirect-url) präzise zugeordnet werden. Erstellen Sie eine umfassende Walled Garden ACL, die DNS- (UDP 53) und HTTPS-Traffic (TCP 443) zu den Domänen von Purple und allen erforderlichen Social-Login-APIs zulässt. Stellen Sie sicher, dass der Controller HTTP-Traffic abfängt und auf die HTTPS-Splashpage umleitet.

Kommentar des Prüfers: Moderne Betriebssysteme (iOS, Android) verwenden strenge Mechanismen zur Erkennung von Captive Portals. Wenn der Walled Garden erforderliche CDNs blockiert oder die Umleitung auf ungültigen SSL-Zertifikaten basiert, bricht das Betriebssystem die Verbindung ab. Eine präzise ACL-Konfiguration ist entscheidend für eine nahtlose Benutzererfahrung.

Übungsfragen

Q1. Sie haben die Gäste-SSID und die Walled Garden ACL auf dem iMaster NCE-Campus konfiguriert. Wenn Sie die Verbindung testen, erkennt Ihr Telefon das Captive Portal, aber der Bildschirm bleibt leer. Was ist die wahrscheinlichste Ursache?

Hinweis: Überlegen Sie, was das Gerät benötigt, um eine moderne, auf einer Cloud-Plattform gehostete Webseite zu laden.

Musterlösung anzeigen

Der Walled Garden ACL fehlen wahrscheinlich Zulassungsregeln für erforderliche Domänen. Insbesondere muss DNS (UDP 53) zulässig sein, ebenso wie der HTTPS-Zugriff auf die Portal-Domänen von Purple und alle Content Delivery Networks (CDNs), die die Seitenelemente hosten. Wenn Social Login aktiviert ist, müssen diese spezifischen API-Endpunkte ebenfalls vor der Authentifizierung zugelassen werden.

Q2. Ein Mandant, der Ihr PPSK-Netzwerk nutzt, beschwert sich, dass er das Internet nicht erreichen kann. Sie überprüfen die iMaster NCE-Campus-Protokolle und sehen, dass Purple ein RADIUS Access-Accept mit auf 40 gesetztem Tunnel-Private-Group-ID zurückgegeben hat. Das Client-Gerät hat jedoch eine IP-Adresse von 169.254.x.x. Was ist der Konfigurationsfehler?

Hinweis: Die Authentifizierung war erfolgreich, aber das Netzwerk-Routing am Edge ist fehlgeschlagen.

Musterlösung anzeigen

Der Switchport, der den Huawei AirEngine Access Point mit dem Netzwerk verbindet, ist nicht für das Trunking von VLAN 40 konfiguriert. Während Purple den Benutzer erfolgreich autorisiert hat und der Controller den AP angewiesen hat, den Traffic mit VLAN 40 zu taggen, hat der Upstream-Switch die Pakete verworfen, da das VLAN auf dem Trunk nicht zulässig ist. Sie müssen VLAN 40 zur Trunk-Zulassungsliste (allow-pass) auf dem Access-Switch hinzufügen.

Q3. Sie migrieren von einem Altsystem zu Huawei iMaster NCE-Campus. Sie konfigurieren die RADIUS-Servervorlage genau wie auf dem alten System, aber alle Authentifizierungsanfragen schlagen stillschweigend fehl. Was sollten Sie zuerst überprüfen?

Hinweis: Stille Fehler bei RADIUS weisen in der Regel auf eine kryptografische Nichtübereinstimmung hin.

Musterlösung anzeigen

Überprüfen Sie das gemeinsame RADIUS-Geheimnis (Shared Secret). Wenn das in iMaster NCE-Campus konfigurierte Geheimnis nicht exakt mit dem Geheimnis im Purple-Dashboard übereinstimmt, können die RADIUS-Pakete nicht entschlüsselt werden, was zu stillschweigenden Fehlern oder Access-Reject-Meldungen ohne eindeutige Fehlercodes führt. Stellen Sie sicher, dass beim Kopieren des Geheimnisses keine nachfolgenden Leerzeichen vorhanden sind.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Leitfaden lesen →

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Leitfaden lesen →

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.

Leitfaden lesen →