Huawei iMaster NCE (CloudCampus) und Gäste-WiFi: Captive Portal Einrichtung mit Purple

Willkommen zur technischen Serie von Purple. Ich bin Ihr Host und heute gehen wir durch eine der differenzierteren Enterprise WiFi Integrationen, die wir in der Praxis sehen - Huawei AirEngine Access Points und den CloudCampus iMaster NCE-Campus Controller, integriert mit Purple für Gäste WiFi, Mitarbeiter-Authentifizierung und mandantenfähige Netzwerksegmentierung. Wenn Sie Netzwerkarchitekt oder IT-Manager sind und eine Huawei-Infrastruktur betreiben - sei es eine Hotelgruppe, eine Einzelhandelskette, ein Konferenzzentrum oder ein Campus im öffentlichen Sektor - ist diese Episode genau das Richtige für Sie. Wir decken den gesamten Stack ab: Captive Portal Umleitung, Pre-Authentication ACLs, sicheres Mitarbeiter WiFi über 802.1X und Huaweis Private Pre-Shared Key Funktion für dynamische VLAN Steuerung über mehrere Mandanten hinweg. Legen wir los. Abschnitt eins: Kontext und Architektur. Das AirEngine Portfolio von Huawei - das die Serien 5700, 6700, 8700 und 9700 umfasst - läuft auf WiFi 6 und WiFi 6E, wobei die High-End-Serie 9700 WiFi 7 unterstützt. Dies sind ernstzunehmende Enterprise Access Points. Die Management-Ebene ist iMaster NCE-Campus, der Cloud-basierte Netzwerk-Controller von Huawei, der alles von der SSID Bereitstellung und dem RADIUS Relay bis hin zur Richtliniendurchsetzung und dem Syslog-Forwarding übernimmt. Purple fungiert darüber als Cloud-Overlay. Wir sind an über 80.000 Live-Standorten im Einsatz und haben allein im Jahr 2024 über 440 Millionen Logins verarbeitet. Wir sind hardwareunabhängig - das heißt, wir lassen uns mit Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist und natürlich Huawei AirEngine integrieren - unter Verwendung derselben RADIUS und Captive Portal Standards, die jeder Enterprise Controller unterstützt. Das Integrationsmodell ist hier denkbar einfach. iMaster NCE-Campus fungiert als RADIUS Relay und leitet Authentifizierungsanfragen von den Access Points an die RADIUS Server von Purple weiter. Purple übernimmt die Authentifizierungslogik - sei es eine Gäste-Splash-Page, eine 802.1X Anmeldedaten-Prüfung oder ein PPSK Lookup - und gibt die entsprechende RADIUS Antwort zurück, einschließlich aller Attribute für die dynamische VLAN Zuweisung. Abschnitt zwei: Gäste WiFi und Captive Portal Konfiguration. Beginnen wir mit dem am häufigsten genutzten Szenario: Gäste WiFi mit einem Purple Captive Portal. In iMaster NCE-Campus navigieren Sie zu Design, dann Network Design, dann Template Management. Sie erstellen eine RADIUS Relay Server Vorlage. Die wichtigsten Parameter sind: Stellen Sie den Authentifizierungsdienst auf Portal-Authentifizierung ein, fügen Sie die RADIUS Server-IP-Adressen von Purple auf UDP-Port 1812 für die Authentifizierung und 1813 für das Accounting hinzu, setzen Sie den NAS-Identifikator auf Device MAC und konfigurieren Sie das Shared Secret. Purple stellt diese RADIUS Anmeldedaten auf dem Bildschirm für die Standortkonfiguration im Purple Dashboard bereit. Als Nächstes erstellen Sie eine ACL - dies ist Ihr Walled Garden. Bevor sich ein Gast authentifiziert, muss er die Splash Page von Purple und alle unterstützenden Domains erreichen können. Ihre ACL-Regeln sollten DNS über UDP 53 zulassen, HTTPS zur Portal-Domain von Purple erlauben und alle von Ihnen aktivierten Social-Login-Anbieter zulassen - zum Beispiel die Graph-API-Endpunkte von Facebook, wenn Sie Social Sign-On verwenden. Alles andere wird vor der Authentifizierung blockiert. Dann konfigurieren Sie die SSID. Stellen Sie den Netzwerktyp auf Open ein, wählen Sie Open plus Portal-Authentifizierung, legen Sie den Authentifizierungstyp auf Relay-Authentifizierung durch die Cloud-Plattform fest und wählen Sie RADIUS-Relay als Verbindungsmodus. Stellen Sie das Page-Push-Protokoll auf HTTPS ein. Fügen Sie in den Portal-Authentifizierungsparametern von Drittanbietern die Purple-Redirect-URL ein - dies ist die URL der Splash Page, die Sie aus dem Purple-Venue-Dashboard kopieren, wobei das Suffix so angepasst wird, dass es die Huawei-spezifischen Parameter enthält: ap-mac, uaddress, umac, ssid und redirect-url. Erstellen Sie schließlich eine URL-Vorlage in iMaster NCE-Campus, die diese Parameternamen den Werten zuordnet, die Huawei bei der Weiterleitung übergibt. Die Parameterzuordnung lautet: redirect-url zu redirect-url, loginurl zu login-url, device-mac zu ap-mac, user-ip zu uaddress, user-mac zu umac und ssid zu ssid. Sobald dies konfiguriert ist, verbindet sich ein Gast mit der SSID, erhält eine DHCP-Adresse und sein HTTP-Traffic wird vom Controller abgefangen und zur Purple-Splash-Page weitergeleitet. Er authentifiziert sich - per E-Mail, Social Login oder SMS-Verifizierung - und der RADIUS-Server von Purple sendet ein Access-Accept zurück an iMaster NCE-Campus, was dem Gast vollen Internetzugang gewährt. Aus Datensicht erfasst Purple an dieser Stelle First-Party-Einwilligungsdaten. Jede Anmeldung ist ein bewusster Opt-in, konform mit GDPR und CCPA. Diese Daten speisen die Analyseplattform von Purple und liefern Ihnen Sitzungsdauer, Gerätetyp, Wiederholungsbesuchsraten und Verweilzeit - ganz ohne Drittanbieter-Tracking. Abschnitt drei: Sicheres Mitarbeiter-WiFi mit 802.1X. Sprechen wir nun über Mitarbeiter-WiFi. Dies erfordert eine völlig andere Sicherheitsstruktur. Sie möchten nicht, dass Mitarbeiter im selben Netzwerksegment wie Gäste sind, und Sie möchten keine gemeinsam genutzten PSK-Passwörter, die das Unternehmen verlassen, wenn jemand kündigt. Die Lösung ist die 802.1X-Authentifizierung, definiert in IEEE 802.1X-2020, unter Verwendung von EAP-TLS oder EAP-PEAP. In iMaster NCE-Campus erstellen Sie eine separate SSID für Mitarbeiter - nennen wir sie CorpNet. Im Authentifizierungsprofil für diese SSID stellen Sie den Authentifizierungsmodus auf 802.1X ein, verweisen auf den RADIUS-Server von Purple und setzen das Sicherheitsprofil auf WPA2-Enterprise oder WPA3-Enterprise mit AES-CCMP-Verschlüsselung.Purple fungiert auch hier als RADIUS-Server, aber jetzt werden die Anmeldedaten mit Ihrem Identity Provider abgeglichen. Purple lässt sich nativ in Microsoft Entra ID, Okta und Google Workspace integrieren. Wenn sich ein Mitarbeiter mit CorpNet verbindet, sendet sein Gerät EAP-Anmeldedaten an den Access Point, der diese über RADIUS an Purple weiterleitet. Purple validiert sie dann über SCIM oder SAML mit Entra ID. Sind die Anmeldedaten gültig, gibt Purple ein Access-Accept mit einem RADIUS-Attribut zurück, das das VLAN des Personals angibt - zum Beispiel VLAN 20. iMaster NCE-Campus steuert den Client automatisch in dieses VLAN. Die wichtigsten RADIUS-Attribute für die dynamische VLAN-Zuweisung sind: Tunnel-Type (auf VLAN oder den Wert 13 gesetzt), Tunnel-Medium-Type (auf 802 oder den Wert 6 gesetzt) und Tunnel-Private-Group-ID (auf die VLAN-ID gesetzt). Diese drei Attribute zusammen teilen dem Huawei-Controller genau mit, welchem VLAN der authentifizierte Client zugewiesen werden soll. Speziell für EAP-TLS - den Goldstandard für die Mitarbeiter-Authentifizierung - werden Client-Zertifikate benötigt. Das SecurePass-Add-on von Purple übernimmt die Zertifikatsausstellung und das Lifecycle-Management, indem es sich in Ihre bestehende PKI integriert oder als schlanke Zertifizierungsstelle fungiert. Dadurch werden passwortbasierte Angriffe vollständig eliminiert. Kein Passwort bedeutet kein Phishing-Vektor. Abschnitt vier: Multi-Tenant-Segmentierung mit Huawei PPSK. Hier wird es besonders interessant. Wenn Sie einen Standort mit gemischter Nutzung betreiben - ein Einkaufszentrum mit mehreren Einzelhandelsmietern, einen Co-Working-Space mit mehreren Mitgliedsunternehmen oder ein Konferenzzentrum, in dem parallele Veranstaltungen stattfinden - benötigen Sie eine Netzwerkisolation zwischen den Mietern, ohne für jeden eine eigene SSID bereitzustellen. Das PPSK-Feature (Private Pre-Shared Key) von Huawei löst dieses Problem. In anderen Hersteller-Ökosystemen wird dies manchmal als iPSK bezeichnet. Das Konzept dahinter ist: eine SSID, mehrere eindeutige Passwörter, wobei jedes Passwort einem bestimmten VLAN zugeordnet ist. Mieter A erhält das Passwort Alpha, das auf VLAN 30 verweist. Mieter B erhält das Passwort Beta, das auf VLAN 40 verweist. Beide Mieter sehen dieselbe SSID, sind aber auf Layer 2 vollständig voneinander isoliert. In der Huawei-CLI konfigurieren Sie dies in der WLAN-Ansicht mit dem Befehl ppsk-user. Für jeden Mieter führen Sie Folgendes aus: ppsk-user psk pass-phrase, gefolgt von der eindeutigen Passphrase, dann user-name, dem Mieter-Identifikator, dann vlan, der VLAN-ID, und schließlich ssid, dem SSID-Namen. Sie können auch ein Ablaufdatum sowie eine maximale Geräteanzahl festlegen und eine Bindung an eine bestimmte MAC-Adresse einrichten, wenn Sie eine strengere Kontrolle benötigen. In iMaster NCE-Campus kann die PPSK-Abfrage lokal auf dem Controller oder - bei großen Implementierungen - über RADIUS erfolgen. Wenn ein RADIUS-gestütztes PPSK verwendet wird, fungiert Purple als autoritative Quelle für die Zuordnungen von PPSK zu VLAN. Das Gerät eines Mieters verbindet sich mit seiner eindeutigen Passphrase, der Controller sendet einen RADIUS Access-Request an Purple mit der Passphrase als Anmeldedaten, Purple schlägt die Zuordnung nach und gibt ein Access-Accept mit den drei VLAN-Tunnel-Attributen zurück. Der Controller steuert den Client in das richtige VLAN. Diese Architektur lässt sich auf Hunderte von Mandanten auf einer einzigen SSID skalieren. Das bedeutet auch, dass Sie die Anmeldedaten für Mandanten über das Purple-Dashboard bereitstellen, rotieren und widerrufen können, ohne die Controller-Konfiguration anzupassen. Abschnitt fünf: Implementierungsfehler und wie man sie vermeidet. Hier sind die drei Fehlerszenarien, die ich bei Huawei- und Purple-Bereitstellungen am häufigsten sehe. Erstens: Der Walled Garden ist unvollständig. Gäste verbinden sich mit der SSID, werden zur Splash Page weitergeleitet, aber die Seite lädt nicht, weil eine erforderliche Domain - oft ein CDN-Endpunkt oder eine Social-Login-API - durch die Pre-Auth-ACL blockiert wird. Die Lösung besteht darin, den Ablauf der Splash Page vor dem Go-live auf einem neuen Gerät zu testen, die DNS-Anfragen und HTTPS-Verbindungen zu erfassen und jede erforderliche Domain zur ACL hinzuzufügen. Purple veröffentlicht eine Liste der erforderlichen Domains in der Integrationsdokumentation. Zweitens: Keine Übereinstimmung des gemeinsamen RADIUS-Schlüssels. Der in iMaster NCE-Campus konfigurierte Schlüssel muss exakt mit dem Schlüssel im Purple-Dashboard übereinstimmen. Ein Unterschied von nur einem Zeichen führt zu unbemerkt fehlschlagenden Authentifizierungen - in den Controller-Protokollen wird Access-Reject ohne nützliche Fehlermeldung angezeigt. Kopieren Sie den Schlüssel immer mit Copy-Paste, anstatt ihn manuell einzutippen. Drittens: VLAN-Trunk-Fehlkonfiguration. Die dynamische VLAN-Zuweisung über RADIUS funktioniert nur, wenn das VLAN bereits auf dem Uplink-Port zwischen dem Access Point und dem Aggregation-Switch getrunkt ist. Wenn VLAN 20 nicht in der Trunk-Erlaubnisliste auf der Switch-Schnittstelle enthalten ist, erhalten authentifizierte Mitarbeiter-Clients ein DHCP-Timeout, was wie eine fehlgeschlagene Authentifizierung aussieht. Überprüfen Sie Ihre Trunk-Konfigurationen, bevor Sie RADIUS-zugewiesene VLANs testen. Abschnitt sechs: Schnelle Fragen und Antworten. Frage: Kann ich den integrierten RADIUS von Purple mit der On-Premises-Bereitstellung von iMaster NCE-Campus von Huawei nutzen, anstatt mit der Cloud-Version? Ja. Die RADIUS-Server von Purple sind in der Cloud gehostet und über das Internet erreichbar. Ihr On-Premises-Controller iMaster NCE-Campus benötigt ausgehende UDP-Ports 1812 und 1813 zu den RADIUS-IP-Bereichen von Purple. Purple veröffentlicht diese IP-Bereiche im Dashboard unter den Standorteinstellungen. Frage: Unterstützt Huawei PPSK WPA3-SAE? Ab der AirEngine-Firmware V600R025 wird WPA3-SAE-PPSK auf den Serien 6700 und 9700 unterstützt. Überprüfen Sie Ihre Firmware-Version, bevor Sie WPA3 auf PPSK-SSIDs aktivieren. Frage: Wie handhabt Purple die GDPR-Einwilligung für Gast-WiFi auf Huawei-Hardware? Die Splash Page von Purple holt die Einwilligung direkt bei der Authentifizierung ein. Der Datensatz der Einwilligung - einschließlich Zeitstempel, IP-Adresse und der spezifischen akzeptierten Bedingungen - wird auf der Plattform von Purple gespeichert und kann für Compliance-Audits exportiert werden. Dies gilt unabhängig vom jeweiligen Hardware-Hersteller. Abschnitt sieben: Zusammenfassung und nächste Schritte. Zusammenfassend: Huawei AirEngine und iMaster NCE-Campus lassen sich über RADIUS-Relay für das Captive Portal für Gäste, 802.1X für das Mitarbeiter-WiFi und PPSK für die VLAN-Segmentierung bei mehreren Mandanten in Purple integrieren. Die Konfiguration erfolgt in iMaster NCE-Campus unter Design, Network Design, Template Management für das RADIUS- und ACL-Setup, sowie unter Provision, Device Configuration, Site Configuration für die Bindung von SSID und Authentifizierungsprofil. Ihre nächsten Schritte: Rufen Sie die Purple RADIUS-Anmeldedaten aus Ihrem Venue-Dashboard ab, konfigurieren Sie die Vorlage für den RADIUS-Relay-Server in iMaster NCE-Campus, erstellen Sie Ihre Walled Garden ACL, richten Sie die Gäste-SSID mit Open- plus Portal-Authentifizierung ein und testen Sie die Verbindung durchgängig mit einem neuen Gerät, bevor Sie das System live schalten. Wenn Sie PPSK für die Mandantentrennung bereitstellen, planen Sie zuerst Ihr VLAN-Schema - stellen Sie sicher, dass jedes Mandanten-VLAN durchgängig als Trunk konfiguriert ist, bevor Sie einen einzelnen PPSK-Benutzer einrichten. Die vollständige Schritt-für-Schritt-Konfigurationsanleitung inklusive CLI-Beispielen und Architekturdiagrammen finden Sie im schriftlichen Leitfaden auf der Purple-Website. Vielen Dank fürs Zuhören.