Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.

📖 9 Min. Lesezeit📝 2,079 Wörter🔧 2 ausgearbeitete Beispiele❓ 4 Übungsfragen📚 10 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen zur Purple Technical Briefing Series. Ich bin Ihr Gastgeber, und heute befassen wir uns mit einem Bereitstellungsmuster, das in den Bereichen Gastgewerbe, Einzelhandel und Multi-Tenant-Liegenschaften immer häufiger anzutreffen ist: der Integration von Grandstream GWN Access Points mit der Guest-WiFi-Plattform von Purple.

Wenn Sie ein MSP, ein internes IT-Team oder ein Netzwerkarchitekt sind, der mit einer Grandstream GWN-Bereitstellung betraut wurde und nun ein gebrandetes Captive Portal mit Analysen integrieren soll, ist diese Episode genau das Richtige für Sie. Wir decken den gesamten Stack ab: Weiterleitung der Guest-Splash-Page, Walled-Garden-Konfiguration, sicheres Mitarbeiter-WiFi mittels 802.1X und Multi-Tenant-Segmentierung über die Private Pre-Shared Key-Funktion von Grandstream. Legen wir los.

---

Zunächst ein wenig Kontext. Die GWN-Serie von Grandstream ist eine solide Access-Point-Reihe für den Mittelstand. Für Innenbereiche gibt es die Modelle GWN7600 und GWN7630, für Wi-Fi 6-Umgebungen die Modelle GWN7660 und GWN7664 sowie den GWN7610 als Deckenmontage-Option für Bereiche mit höherer Dichte. Die Verwaltung erfolgt entweder über den GWN Manager, einen On-Premise-Controller, den Sie auf einem Linux- oder Windows-Server installieren, oder über GWN dot Cloud, die Cloud-basierte Management-Plattform von Grandstream, die jetzt unter dem Namen GDMS Networking läuft.

Die gute Nachricht für MSPs ist, dass beide Management-Plattformen die Konfiguration von Captive Portals nativ unterstützen. Sie können die Portal-Richtlinie erstellen, die Splash-Page anpassen und sie vollständig innerhalb von GWN Manager oder GWN dot Cloud einer SSID zuweisen. Bei Enterprise-Bereitstellungen, die eine GDPR-konforme Datenerfassung, Marketing-Automatisierung und Echtzeit-Analysen erfordern, werden Sie dieses native Portal jedoch durch eine externe Plattform ersetzen. Genau hier kommt Purple ins Spiel.

Purple fungiert als Cloud-Overlay. Es setzt auf Ihrer Hardware auf und stellt das Captive Portal, die RADIUS-Authentifizierungsebene, die Analyse-Engine und die Marketing-Tools bereit. Purple unterstützt 80.000 Live-Standorte und hat allein im Jahr 2024 440 Millionen Logins verarbeitet. Die Plattform ist also im großen Maßstab bestens bewährt. Die Integration mit Grandstream GWN folgt demselben standardbasierten Ansatz, den Purple auch bei Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist und Ubiquiti UniFi einsetzt.

---

Kommen wir zur technischen Architektur. Der Guest-WiFi-Ablauf auf Grandstream GWN mit Purple funktioniert wie folgt.

Ein Gast verbindet sich mit Ihrer Guest-SSID. Sein Gerät sendet eine HTTP-Anfrage an eine beliebige Website. Der GWN Access Point fängt diese Anfrage ab und gibt einen HTTP 302-Redirect an die Portal-URL von Purple aus. Der Gast landet auf Ihrer von Purple gehosteten, gebrandeten Splash-Page. Er authentifiziert sich, sei es per E-Mail, Social Login, SMS-Verifizierung oder über ein benutzerdefiniertes Formular. Die Plattform von Purple validiert diese Authentifizierung, erfasst die Einwilligung und die Daten gemäß GDPR und sendet anschließend ein RADIUS Access-Accept an den GWN Access Point zurück. Der AP gewährt den Internetzugang. Der gesamte Ablauf dauert von der Verbindung bis zum Internetzugang etwa drei bis fünf Sekunden.

Die wichtigsten Konfigurationskomponenten auf der Grandstream-Seite sind: die Captive Portal-Richtlinie, die Splash-Page-Einstellungen, der Walled Garden und die SSID-Zuordnung. Lassen Sie uns die einzelnen Schritte durchgehen.

---

Schritt eins: Konfigurieren Sie die Captive Portal-Richtlinie im GWN Manager oder in GWN.Cloud.

Navigieren Sie zu Captive Portal, dann Policy List, und erstellen Sie eine neue Richtlinie. Vergeben Sie einen aussagekräftigen Namen, wie beispielsweise „Purple-Guest-Portal“. Setzen Sie den Authentication Type auf RADIUS Server. Sie sehen dann Felder für RADIUS Server Address, RADIUS Server Port und RADIUS Server Secret. Geben Sie die RADIUS-Server-IP-Adresse von Purple und den Port 1812 für die Authentifizierung ein. Ihr Shared Secret finden Sie in der Admin-Konsole des Purple-Portals im Bereich für die Hardwarekonfiguration des Standorts. Setzen Sie die RADIUS Authentication Method auf PAP, da der Captive Portal-Flow von Purple dieses Verfahren nutzt.

Unter Landing Page wählen Sie Redirect to External Page und geben Sie Ihre Purple-Portal-Weiterleitungs-URL ein. Dies ist die URL, an die Gäste weitergeleitet werden, wenn sie sich zum ersten Mal verbinden. Auch diese finden Sie in Ihrer Purple-Admin-Konsole.

Stellen Sie die Expiration-Zeit so ein, dass sie der Sitzungsrichtlinie Ihres Standorts entspricht. Für ein Hotel sind 24 Stunden typisch. Für ein Konferenzzentrum können Sie diese auf die Dauer der Veranstaltung einstellen. Für eine Einzelhandelsumgebung sind zwei bis vier Stunden üblich.

Aktivieren Sie den Failsafe Mode. Das ist wichtig. Wenn der GWN-Access-Point den RADIUS-Server von Purple nicht erreichen kann, gewährt der Failsafe Mode dennoch Internetzugang, anstatt alle Gäste zu blockieren. Bei den meisten Implementierungen im Hotel- und Gastgewerbe sowie im Einzelhandel sollte ein kurzer RADIUS-Ausfall nicht dazu führen, dass alle Gäste die Verbindung verlieren.

---

Schritt zwei: Konfigurieren Sie den Walled Garden.

Der Walled Garden ist die Liste der Domains und IP-Adressen, auf die Gäste zugreifen können, bevor sie sich über das Portal authentifiziert haben. Wenn Sie hier einen Fehler machen, sehen Gäste eine leere Seite oder ein fehlerhaftes Portal und machen das WiFi dafür verantwortlich.

Im GWN Manager wird der Walled Garden unter der Captive Portal-Richtlinie als Pre-Authentication Rules konfiguriert. Fügen Sie die folgenden Domains als Erlaubnisregeln hinzu: die Purple-Portal-Domain (portal.purple.ai), alle CDN-Domains, von denen die Splash-Page von Purple Ressourcen lädt (einschließlich cloudfront.net mit einem Platzhalter-Eintrag), Apples Endpunkt zur Erkennung von Captive Portals (captive.apple.com) und Googles Endpunkt für die Verbindungselement-Prüfung (connectivitycheck.gstatic.com).

Das Support-Portal von Purple verfügt über einen dynamischen Walled-Garden-Generator unter support.purple.ai. Wählen Sie Grandstream aus der Hardwareliste aus, bestimmen Sie Ihre Authentifizierungsmethoden, und das Tool generiert genau die Domainliste, die Sie benötigen. Verwenden Sie diese Liste. Versuchen Sie nicht, sie manuell von Grund auf neu zu erstellen.

Eine Entscheidung müssen Sie treffen: Nehmen Sie captive.apple.com in den Walled Garden auf oder nicht? Wenn Sie die Adresse aufnehmen, zeigen iOS-Geräte den Captive Network Assistant Mini-Browser nicht automatisch an. Gäste müssen dann manuell einen Browser öffnen, um das Portal zu erreichen. Wenn Sie sie ausschließen, öffnet iOS den Mini-Browser automatisch, sobald sich das Gerät verbindet. Für die meisten Umgebungen im Gastgewerbe ist es wünschenswert, dass der Mini-Browser erscheint. Lassen Sie captive.apple.com daher aus dem Walled Garden draußen.

---

Schritt drei: SSID konfigurieren.

Navigieren Sie im GWN Manager zu SSID und bearbeiten Sie Ihre Gäste-SSID. Aktivieren Sie das Captive Portal und wählen Sie die soeben erstellte Richtlinie aus. Stellen Sie die SSID auf WPA2-Personal mit einem einfachen, offenen Passwort ein oder konfigurieren Sie sie als offene SSID, falls Ihr Standort diesen Ansatz bevorzugt. Die Sicherheit in diesem Ablauf resultiert aus der Portal-Authentifizierung, nicht aus dem WiFi-Passwort.

Aktivieren Sie die Client-Isolierung. Dies verhindert, dass Gäste die Geräte der anderen im Netzwerk sehen. Dies ist eine grundlegende Sicherheitsanforderung und ein Aspekt der PCI DSS, falls Ihr Standort Kartenzahlungen über dieselbe Infrastruktur abwickelt.

Weisen Sie die SSID Ihrem Gäste-VLAN zu. VLAN 10 ist eine gängige Konvention für den Datenverkehr von Gästen. Stellen Sie sicher, dass Ihr Upstream-Switch und -Router so konfiguriert sind, dass sie dieses VLAN mit entsprechenden Firewall-Regeln ins Internet leiten.

---

Sprechen wir nun über das Mitarbeiter-WiFi mit 802.1X.

IEEE 802.1X ist der Standard für die portbasierte Netzwerkzugriffskontrolle. Für das Mitarbeiter-WiFi ersetzt es den gemeinsamen Pre-Shared Key durch benutzerspezifische Anmeldedaten, die mit einem Identitätsanbieter abgeglichen werden. Wenn sich ein Mitarbeiter verbindet, fungiert der GWN Access Point als Authentifikator, sein Gerät als Supplikant und der RADIUS-Server von Purple als Authentifizierungsserver.

Erstellen Sie im GWN Manager eine separate SSID für Mitarbeiter. Stellen Sie den Sicherheitsmodus auf WPA2-Enterprise ein, wodurch 802.1X aktiviert wird. Konfigurieren Sie die RADIUS-Servereinstellungen mit der RADIUS-IP von Purple, Port 1812 und Ihrem Shared Secret. Aktivieren Sie das RADIUS-Accounting auf Port 1813, damit Sie ein vollständiges Audit-Protokoll erhalten, wer sich wann und wie lange verbunden hat. Dieses Audit-Protokoll ist das, was Sie für die GDPR-Compliance und für die Reaktion auf Sicherheitsvorfälle benötigen.

Für die EAP-Methode haben Sie zwei Hauptoptionen. EAP-TLS verwendet digitale Zertifikate sowohl auf dem Server als auch auf dem Client-Gerät. Dies ist die sicherste Option, erfordert jedoch eine Mobile-Device-Management-Plattform, um Zertifikate auf die Geräte der Mitarbeiter zu übertragen. Wenn Sie Microsoft Intune oder Jamf nutzen, ist EAP-TLS die richtige Wahl.

PEAP (Protected EAP) verwendet einen Benutzernamen und ein Passwort in einem verschlüsselten TLS-Tunnel. Die Bereitstellung ist einfacher, insbesondere für BYOD-Umgebungen, aber Sie müssen sicherstellen, dass die Mitarbeiter geschult sind, Zertifikatswarnungen nicht einfach zu akzeptieren. Ein manipulierter Access Point kann PEAP-Anmeldedaten abgreifen, wenn Benutzer Zertifikatsfehler einfach wegklicken.
Aktivieren Sie die dynamische VLAN-Zuweisung in den SSID-Einstellungen. Wenn diese Option aktiviert ist, kann der RADIUS-Server eine VLAN-ID im Access-Accept-Paket zurückgeben, und der GWN AP ordnet das verbundene Gerät diesem VLAN zu. Das bedeutet, dass Sie eine einzige Mitarbeiter-SSID haben können, aber IT-Mitarbeiter automatisch in das VLAN 20 segmentiert werden, das Management in das VLAN 21 und Point-of-Sale-Geräte in das VLAN 40 – alles basierend auf der Identität des Benutzers im Verzeichnis von Purple.

Die RADIUS-Attribute für dynamisches VLAN sind: Tunnel-Type auf VLAN gesetzt (Attributwert 13), Tunnel-Medium-Type auf IEEE-802 gesetzt (Attributwert 6) und Tunnel-Private-Group-ID auf die VLAN-Nummer als Zeichenfolge gesetzt. Diese drei Attribute im Access-Accept-Paket sind alles, was der GWN AP benötigt, um das Gerät an das richtige VLAN weiterzuleiten.

---

Nun zu der Funktion, die für mandantenfähige Objekte besonders relevant ist: Grandstream Private Pre-Shared Keys oder PPSK.

PPSK ist ein Mechanismus, der es einer einzigen SSID ermöglicht, mehrere eindeutige Passwörter zu unterstützen, die jeweils einem anderen VLAN oder einer anderen Netzwerkrichtlinie zugeordnet sind. Denken Sie an ein Mietshaus, einen Co-Working-Space oder ein Bürogebäude mit Service. Sie möchten, dass eine SSID für alle sichtbar ist, aber jeder Mieter erhält sein eigenes Passwort, das ihn in sein eigenes isoliertes Netzwerksegment einordnet.

Im GWN Manager wird PPSK unter den SSID-Einstellungen konfiguriert. Stellen Sie den Sicherheitsmodus auf WPA2-Personal ein und aktivieren Sie dann PPSK. Sie können dann einzelne PSK-Einträge erstellen, jeweils mit einem eindeutigen Passwort und einer zugehörigen VLAN-ID. Wenn sich ein Gerät mit dem Passwort von Mieter A verbindet, ordnet der AP es dem VLAN 31 zu. Wenn ein Gerät das Passwort von Mieter B verwendet, landet es im VLAN 32. Die Mieter teilen sich dieselbe SSID, sind aber auf der Netzwerkesuchebene vollständig voneinander isoliert.

Für größere Bereitstellungen unterstützt Grandstream auch PPSK mit RADIUS-Backend. In diesem Modus sendet der AP den PSK als RADIUS-Attribut an den Authentifizierungsserver, der ihn validiert und die entsprechende VLAN-Zuweisung zurückgibt. Hier lässt sich die Funktion Identity-Based Networks von Purple direkt integrieren. Purple kann die PPSK-Datenbank verwalten, Schlüssel mit seinem Verzeichnis abgleichen und dynamische VLAN-Zuweisungen zurückgeben, wodurch Sie hunderte von Mieter-Anmeldedaten von einer einzigen Plattform aus zentral verwalten können.

Das für die PPSK-Validierung verwendete RADIUS-Attribut ist in der Regel das Tunnel-Password-Attribut oder ein herstellerspezifisches Attribut, je nach Firmware-Version. Überprüfen Sie die Versionshinweise von Grandstream für Ihre spezifische Firmware, da sich die Attributzuordnung im Laufe der Versionen des GWN Managers weiterentwickelt hat.

---

Lassen Sie mich die zwei häufigsten Fehlermuster beschreiben, die ich bei Grandstream-Bereitstellungen mit externen Portalen sehe.

Das erste Problem ist, dass die Weiterleitung nicht funktioniert. Ein Gast verbindet sich mit der SSID, öffnet einen Browser und erhält anstelle der Portal-Seite die Fehlermeldung "Website ist nicht erreichbar". Die wahrscheinlichste Ursache ist eine Fehlkonfiguration des Walled Garden. Die Portal-Seite selbst wird vor der Authentifizierung blockiert. Öffnen Sie die Entwicklertools Ihres Browsers auf einem Testgerät, das mit der Gäste-SSID verbunden ist, prüfen Sie die Registerkarte „Netzwerk“ und identifizieren Sie, welche Anfragen fehlschlagen. Fügen Sie diese Domänen zu Ihren Pre-Authentication-Regeln hinzu.

Der zweite Fehlermodus ist ein RADIUS-Timeout. Der AP sendet einen Access-Request an den RADIUS-Server von Purple und erhält keine Antwort. Dies bedeutet in der Regel, dass eine Firewall den ausgehenden UDP-Port 1812 vom Management-VLAN des APs zum RADIUS-IP-Bereich von Purple blockiert. Überprüfen Sie Ihre Firewall-Regeln. Die RADIUS-IP-Adressen von Purple sind in der Purple-Administrationskonsole unter den Standorteinstellungen dokumentiert. Stellen Sie sicher, dass sowohl die primäre als auch die sekundäre RADIUS-IP zugelassen sind.

Ein dritter erwähnenswerter Punkt: Das dynamische VLAN funktioniert nicht. Mitarbeiter verbinden sich und landen im falschen VLAN. Die häufigste Ursache ist, dass „Dynamisches VLAN aktivieren“ in den SSID-Einstellungen im GWN-Manager nicht aktiviert ist. Dies ist ein einzelnes Kontrollkästchen, das leicht übersehen werden kann. Die zweite Ursache ist ein unpassendes Shared Secret. Wenn das Shared Secret auf dem AP nicht mit dem in Purple konfigurierten übereinstimmt, verwirft der AP die RADIUS-Antwort stillschweigend und fällt auf das Standard-VLAN zurück.

---

Lassen Sie mich Ihnen zwei Praxisbeispiele geben, um dies zu verdeutlichen.

Szenario eins: ein Hotel mit 120 Zimmern. Das Hotel nutzt GWN7660 Access Points, die über GWN.Cloud verwaltet werden. Sie benötigen ein gebrandetes Gäste-Portal für Gäste, ein sicheres Mitarbeiternetzwerk für Rezeption und Housekeeping sowie ein separates Management-VLAN für das Property Management System.

Die Konfiguration verwendet drei SSIDs: Gäste-WiFi auf VLAN 10 mit der Purple Captive Portal-Richtlinie; Mitarbeiter-WiFi auf VLAN 20 mit WPA2-Enterprise und PEAP-Authentifizierung gegen den RADIUS von Purple; und eine versteckte Management-SSID auf VLAN 30 für PMS-Terminals. Die dynamische VLAN-Zuweisung auf der Mitarbeiter-SSID sorgt dafür, dass Geräte des Housekeepings im VLAN 21 mit eingeschränktem Internetzugang landen, während Geräte der Rezeption im VLAN 20 mit vollem Zugriff landen. Das Analytics-Dashboard von Purple zeigt dem Hotelbetreiber tägliche Gästezahlen, Sitzungsdauern und Opt-in-Raten für das Marketing, sodass das Marketingteam die erforderlichen Daten für gezielte Kampagnen erhält.

Szenario zwei: Ein Build-to-Rent-Apartmentkomplex mit 40 Wohneinheiten. Der Betreiber nutzt GWN7630 Access Points mit GWN Manager on-premise. Jedes Apartment benötigt sein eigenes isoliertes Netzwerk. Der Betreiber nutzt PPSK mit RADIUS-Backend. Purple verwaltet 40 eindeutige Mieter-Anmeldedaten, die jeweils einem dedizierten VLAN zugeordnet sind. Die Bewohner verbinden sich über das Passwort ihrer Wohneinheit mit der einzigen SSID „BuildingConnect“. Das Captive Portal von Purple übernimmt den ersten Onboarding-Flow, erfasst die Zustimmung der Bewohner und liefert dem Betreiber Belegungsanalysen sowie Interaktionsdaten. Zieht ein Bewohner aus, widerruft der Betreiber dessen PPSK-Anmeldedaten in der Admin-Konsole von Purple, und der Zugang wird sofort gesperrt. Das SSID-Passwort muss nicht geändert und die APs müssen nicht neu konfiguriert werden.

---

Schnellfragerunde. Drei Fragen, die mir bei Grandstream-Bereitstellungen ständig gestellt werden.

Frage eins: Kann ich GWN dot Cloud anstelle von GWN Manager für die Purple-Integration nutzen? Ja. Die Konfiguration des Captive Portals in GWN dot Cloud ist funktional identisch mit der im GWN Manager. Die Menüpfade sind dieselben. Die RADIUS- und Walled-Garden-Einstellungen befinden sich an den gleichen Stellen. GWN dot Cloud ist die bessere Wahl für MSPs, die mehrere Standorte verwalten, da Sie eine einzige zentrale Benutzeroberfläche für alle Bereitstellungen erhalten.

Frage zwei: Unterstützt Purple die nativen Analysen von Grandstream neben den eigenen? Purple ersetzt die nativen Analysen des Captive Portals durch eigene, detailliertere Datensätze. Sie erhalten Sitzungszahlen, Verweildauern, Opt-In-Raten, demografische Daten aus Formularfeldern und eine Integration mit Marketing-Plattformen. Die nativen GWN-Analysen für RF-Leistung, AP-Zustand und Client-Zahlen bleiben im GWN Manager oder in GWN dot Cloud neben den Portal-Analysen von Purple weiterhin verfügbar.

Frage drei: Welche Firmware-Version benötige ich auf den GWN APs für PPSK mit RADIUS? PPSK mit RADIUS-Backend erfordert die GWN-Firmware 1.0.19 oder höher auf der GWN76xx-Serie. Prüfen Sie vor der Bereitstellung die Versionshinweise von Grandstream. Die Verwendung einer veralteten Firmware ist die häufigste Ursache für unerwartetes Verhalten bei PPSK-Bereitstellungen.

---

Fazit. Die Integration von Grandstream GWN Access Points mit Purple ist ein unkomplizierter Prozess, wenn Sie die richtige Reihenfolge einhalten. Konfigurieren Sie zuerst die Einstellungen Ihres RADIUS-Servers in der Richtlinie des Captive Portals. Erstellen Sie Ihren Walled Garden mit dem Domain-Generator-Tool von Purple. Verknüpfen Sie die Richtlinie mit Ihrer Gäste-SSID und aktivieren Sie die Client-Isolierung. Aktivieren Sie für das Mitarbeiter-WiFi WPA2-Enterprise mit dynamischer VLAN-Zuweisung. Verwenden Sie für Immobilien mit mehreren Mietern PPSK mit RADIUS-Backend und verwalten Sie die Anmeldedaten zentral über Purple.

Die fünf Punkte, auf die es ankommt: RADIUS auf UDP 1812 mit einem übereinstimmenden Shared Secret; der Walled Garden, der alle Portal-Asset-Domains abdeckt; aktivierte Client-Isolierung auf der Gäste-SSID; aktiviertes dynamisches VLAN in den SSID-Einstellungen; und eine PPSK-Firmware in Version 1.0.19 oder höher.Wenn Sie diese fünf Punkte richtig umsetzen, haben Sie eine solide, skalierbare Bereitstellung, die Ihrem Standort jahrelang gute Dienste leisten wird. Das Onboarding-Team von Purple kann Ihre Konfiguration vor dem Go-live validieren, und die Betriebszeit der Plattform von 99,999 % bedeutet, dass Sie Hotelgästen um zwei Uhr morgens keine Portal-Ausfälle erklären müssen.

Vielen Dank fürs Zuhören. Weitere technische Anleitungen zu WiFi-Integrationen für Unternehmen finden Sie auf purple dot ai. In der nächsten Folge behandeln wir die dynamische VLAN-Zuweisung mit Microsoft Entra ID und der SecurePass-Funktion von Purple. Bis dahin.

Wichtigste Erkenntnisse

✓Grandstream GWN Access Points integrieren sich mit Purple über RADIUS (UDP 1812/1813) und HTTP-302-Weiterleitung, um sichere, gebrandete Captive Portals für Gäste-WiFi bereitzustellen.
✓Der Walled Garden (Pre-Authentication Rules) muss alle Purple Portal-Domains und CDN-Assets enthalten; verwenden Sie das dynamische Generator-Tool von Purple unter support.purple.ai, anstatt die Liste manuell zu erstellen.
✓Kopieren Sie das gemeinsame RADIUS-Geheimnis (Shared Secret) immer direkt aus der Purple-Admin-Konsole und fügen Sie es ein – eine Abweichung von nur einem Zeichen führt zu unbemerktem Paketverlust, der sich als Timeout und nicht als Authentifizierungsfehler darstellt.
✓Aktivieren Sie dynamisches VLAN in den SSID-Einstellungen, damit der RADIUS-Server von Purple authentifizierte Mitarbeiter mithilfe der Attribute Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-ID in das richtige Netzwerksegment steuern kann.
✓Grandstream PPSK mit RADIUS-Backend ermöglicht Multi-Tenant-Isolierung über eine einzige SSID; erfordert GWN-Firmware 1.0.19 oder höher und ein zentralisiertes Anmeldedaten-Management durch Purple.
✓Aktivieren Sie auf Gäste-SSIDs immer die Client-Isolierung (Client Isolation), um laterale Bewegungen zwischen Geräten zu verhindern und die PCI-DSS-Anforderungen für Standorte zu erfüllen, die Kartenzahlungen verarbeiten.
✓Die Verfügbarkeit von Purple von 99,999 % sowie die Zertifizierungen nach ISO 27001, GDPR, CCPA und Cyber Essentials machen es zu einer datenschutzkonformen Wahl für Enterprise- und Behörden-Deployments auf Grandstream-Hardware.

執行摘要

在企業級場域部署高效能無線網路，需要在無縫的使用者體驗與強大的技術安全之間取得平衡。對於使用 Grandstream GWN 架構的組織（涵蓋飯店、零售業到多租戶物業）而言，Grandstream Captive Portal 是使用者互動與存取控制的主要閘道。本指南提供逐步操作手冊，協助您將 Grandstream GWN 存取點與 Purple 的 Guest WiFi 和 WiFi Analytics 平台進行整合。

透過從基本的預共用金鑰升級為基於 RADIUS 的驗證與身分識別網路（Identity-Based Networks），您可以為訪客、員工和租戶提供安全且區隔的存取權限。本指南涵蓋關鍵的設定元件：RADIUS AAA 設定、HTTP 302 重新導向、圍牆花園（walled garden）例外規則、動態 VLAN 導向，以及 Private Pre-Shared Key (PPSK) 多租戶隔離。Purple 在全球超過 80,000 個實體場域運作，並在 2024 年處理了 4.4 億次登入（Purple 內部數據），證實該平台具備成熟的大規模運作能力。

技術深度解析

整合架構

Grandstream GWN 硬體與 Purple 之間的整合仰賴業界標準的 RADIUS 和 HTTP 重新導向協定。當使用者連線至訪客 SSID 時，GWN 存取點會攔截其初始 HTTP 請求，並向 Purple 託管的 Captive Portal URL 發送 HTTP 302 重新導向。使用者透過電子郵件、社群媒體登入、簡訊或自訂表單完成驗證後，Purple 會驗證該工作階段，並透過 UDP 連接埠 1812 將 RADIUS Access-Accept 封包傳回存取點，進而授予網路存取權限。RADIUS Accounting 則在 UDP 連接埠 1813 上執行，為 GDPR 和 PCI DSS 合規性提供完整的工作階段稽核軌跡。

Grandstream GWN 存取點可透過兩種平台之一進行管理。GWN Manager 是安裝在 Linux 或 Windows 伺服器上的地端控制器，適用於單一場域部署以及有數據主權需求的組織。GDMS Networking（前身為 GWN.Cloud）是 Grandstream 的雲端託管管理平台，深受需要從單一介面管理多個場域的 MSP 喜愛。這兩個平台提供完全相同的 Captive Portal 和 SSID 設定選項。

針對員工和租戶網路，架構則轉向 IEEE 802.1X 和 PPSK。在 802.1X 部署中，存取點充當驗證器，在連線裝置與 Purple 的 RADIUS 伺服器之間代理可延伸驗證協定（EAP）訊息。Purple 會比對其目錄驗證憑證，並可傳回廠商特定屬性（VSA）以動態將裝置導向至特定的 VLAN。這就是實務中的身分識別網路：單一 SSID、多個網路區段，完全由使用者身分決定。

針對多租戶環境，Grandstream 的 PPSK 功能允許單一 SSID 支援多個不重複的密碼。與 RADIUS 後端整合時，存取點會將輸入的 PSK 傳送至 Purple 進行驗證，從而實現集中式憑證管理和動態網路區隔，而無需廣播數十個 SSID。搭配 RADIUS 後端的 PPSK 功能需要在 GWN76xx 系列上使用 GWN 韌體版本 1.0.19 或更高版本。

用於動態 VLAN 導向的 RADIUS 屬性

動態 VLAN 指派是由 Access-Accept 封包中傳回的三個標準 IETF RADIUS 屬性所控制。這些屬性必須在 Purple 的 RADIUS 使用者設定檔中針對每個角色或租戶進行設定：

屬性	值	說明
Tunnel-Type (64)	13 (VLAN)	將通道類型指定為 VLAN
Tunnel-Medium-Type (65)	6 (IEEE-802)	將介質指定為 IEEE 802
Tunnel-Private-Group-ID (81)	例如 "20"	目標 VLAN ID（字串格式）

Access-Accept 回應中必須同時存在這三個屬性。若缺少任何一個，GWN 存取點將忽略 VLAN 導向指令，並將裝置置於預設 VLAN 中。

實作指南

步驟 1：設定 Captive Portal 策略

無論您使用 GWN Manager 還是 GDMS Networking，請導覽至 Captive Portal > Policy List 並建立新策略。下表彙整了 Purple 整合所需的設定：

欄位	值	備註
Policy Name	Purple-Guest-Portal	使用具描述性的名稱
Authentication Type	RADIUS Server	啟用 RADIUS 驗證流程
RADIUS Server Address	[來自 Purple 管理主控台]	主要 RADIUS IP
RADIUS Server Port	1812	標準 RADIUS 驗證連接埠
RADIUS Server Secret	[來自 Purple 管理主控台]	完整複製並貼上
RADIUS Auth Method	PAP	Purple Captive Portal 所需
Landing Page	Redirect to External Page	啟用外部入口網站重新導向
Redirect URL	[來自 Purple 管理主控台]	您專屬的入口網站 URL
Expiration	24h（飯店）/ 4h（零售）	配合您的工作階段策略
Failsafe Mode	Enabled	若無法連線至 RADIUS 則授予存取權限

啟用 Failsafe Mode。如果 GWN 存取點無法連線至 Purple 的 RADIUS 伺服器，容錯安全模式將授予網際網路存取權限，而非阻擋所有訪客。對於飯店和零售業部署，短暫的 RADIUS 中斷應不應導致所有訪客失去連線。

步驟 2：設定 Walled Garden

Walled Garden 定義了裝置在進行驗證前可以存取的網域。未設定完整的 Walled Garden 是導致 Portal 頁面載入失敗最常見的原因。在 GWN Manager 中，Walled Garden 是在 Captive Portal 策略下的 Pre-Authentication Rules 中進行設定。

您至少必須包含：Purple Portal 網域 (portal.purple.ai)、CDN 資源網域 (*.cloudfront.net) 以及 Google 的連線檢查端點 (connectivitycheck.gstatic.com)。若要使用社群媒體登入，請新增相關社群平台的網域。

針對 captive.apple.com 的處理是刻意設計的。排除它可以讓裝置連線時自動觸發 iOS Captive Network Assistant (CNA) 迷你瀏覽器。如果您希望訪客手動開啟瀏覽器，則將其納入。對於大多數旅宿業部署，將其排除能提供更好的訪客體驗。

請使用位於 support.purple.ai 的 Purple 動態 Walled Garden 產生器。從硬體清單中選擇 Grandstream，選擇您的驗證方式，該工具就會產生您所需的確切網域清單。請勿手動建立此清單。

步驟 3：將 Captive Portal 與訪客 SSID 關聯

導覽至 SSID 設定並編輯您的訪客網路。啟用 Captive Portal 功能並選擇您建立的策略。將 SSID 指派給您指定的訪客 VLAN（通常慣用 VLAN 10）。啟用 Client Isolation（用戶端隔離）以防止訪客裝置互相通訊 — 這是任何處理刷卡交易的場所的基本安全要求，也是 PCI DSS 的考量因素。

步驟 4：使用 802.1X 設定安全的員工 WiFi

為員工建立一個獨立的 SSID。將安全模式設定為 WPA2-Enterprise 以啟用 IEEE 802.1X。將 RADIUS 伺服器設定指向 Port 1812 上的 Purple，並在 Port 1813 上啟用 RADIUS Accounting。此記帳數據提供了 GDPR 合規性和安全性事件回應所需的稽核軌跡。

針對 EAP 方法，請根據您的裝置管理能力進行選擇。EAP-TLS 使用雙向憑證驗證 — 這是最安全的選項，能完全消除憑證被盜的風險，但需要行動裝置管理平台（Microsoft Intune 或 Jamf）將憑證推送到裝置。PEAP 在加密的 TLS 通道內使用使用者名稱和密碼，對於 BYOD 環境較易部署，但需要對員工進行憑證警告相關的培訓。

在 SSID 設定中啟用 Dynamic VLAN。Purple 的 RADIUS 伺服器將回傳三個通道屬性，以將每個通過驗證的裝置引導至其指定的 VLAN。IT 員工進入 VLAN 20，管理階層進入 VLAN 21，POS 終端機進入 VLAN 40 — 全部來自同一個 SSID，完全由身分驅動。

如需有關員工網路策略的進一步指引，請參閱員工 WiFi 條款與細則：法律與合規要點。

步驟 5：設定多租戶 PPSK

針對多租戶環境，建立一個使用 WPA2-Personal 安全性的 SSID 並啟用 PPSK。若要使用 Purple 作為 PPSK 驗證的 RADIUS 後端，請在 SSID 的 PPSK 區段中設定 RADIUS 伺服器設定。Purple 會管理 PSK 資料庫、驗證每個金鑰並回傳適當的 VLAN 指派。

每個租戶都會收到一個專屬密碼。當他們連線時，AP 會將 PSK 傳送給 Purple，Purple 則回傳正確的 VLAN ID。租戶 A 進入 VLAN 31，租戶 B 進入 VLAN 32。他們共用相同的 SSID，但在網路層完全隔離。當租戶搬離時，直接在 Purple 的管理主控台中撤銷其憑證。存取權限會立即終止，無需重新設定 AP。

如需深入瞭解企業級 WiFi 安全架構，請參閱企業級 WiFi 安全性：2026 年完整指南。

最佳實踐

務必設定 RADIUS Accounting。 在訪客和員工 SSID 的 Port 1813 上啟用記帳。記帳數據能為 Purple 的分析儀表板提供工作階段持續時間和造訪頻率，並提供 GDPR 要求的稽核軌跡。若沒有記帳，您只有驗證記錄，而沒有工作階段記錄。

複製並貼上共用金鑰。 RADIUS 共用金鑰不相符會導致無線基地台靜默丟棄封包。AP 會判定為逾時，而非驗證失敗。這是新部署中最常見的設定錯誤。請直接從 Purple 管理主控台複製金鑰。

使用 Purple 的 Walled Garden 產生器。 現代 Portal 頁面會從多個 CDN 網域、社群媒體登入 SDK 和分析指令碼載入資源。手動建立 Walled Garden 並不可靠。support.purple.ai 上的產生器會根據您的驗證方式納入所有必要的網域。

在無線基地台端隔離訪客流量。 用戶端隔離（Client Isolation）是任何訪客 SSID 不可妥協的基本要求。它能防止訪客裝置之間的橫向移動，且對於在相同網路基礎架構上處理刷卡交易的場所而言，是 PCI DSS 的合規要求。

在部署結合 RADIUS 的 PPSK 之前驗證韌體。 結合 RADIUS 後端的 PPSK 需要 GWN 韌體 1.0.19 或更高版本。執行過時的韌體是 PPSK 部署中出現非預期行為最常見的原因。請在部署前檢查韌體版本，而非部署後。

對於零售業部署，請確保您的訪客 SSID VLAN 與任何付款網路區段設有防火牆隔離。對於醫療保健環境，請確保患者或訪客 WiFi 與臨床系統隔離。對於交通運輸樞紐，請考慮與平均停留時間相符的工作階段過期策略。

疑難排解與風險緩釋

症狀：Splash Page 無法載入，回傳「無法連線至網站」錯誤。 Walled Garden 封鎖了 Portal 頁面的資源。請連線測試裝置，開啟瀏覽器開發者工具，檢查網路（Network）分頁，並找出被封鎖的要求。新增將失敗的網域新增至 Captive Portal 策略中的預先驗證規則（Pre-Authentication Rules）。

症狀：訪客已通過驗證，但存取點（AP）逾時並拒絕網際網路存取。 可能是防火牆阻擋了從 AP 的管理 VLAN 到 Purple 的 RADIUS IP 範圍的外網 UDP 1812 流量，或者是共享金鑰（shared secret）不相符。請先檢查防火牆規則。接著確認雙方的共享金鑰完全一致。

症狀：員工裝置進入了預設 VLAN，而非其獲分配的 VLAN。 SSID 設定中的「啟用動態 VLAN（Enable Dynamic VLAN）」核取方塊未勾選。這是一個很容易被忽略的單一核取方塊。第二個原因則是共享金鑰不相符，導致 AP 默默忽略了 RADIUS 回應。

症狀：iOS 裝置未顯示 Captive Portal 迷你瀏覽器。 captive.apple.com 網域被包含在圍牆花園（walled garden）中。iOS 裝置在連線時會探測此網域。如果收到 200 回應，它會判定網際網路已可存取，因而不會觸發 CNA。請將其從圍牆花園中移除，以恢復自動 CNA 行為。

症狀：PPSK 租戶進入了錯誤的 VLAN。 請確認 GWN 韌體版本為 1.0.19 或更高版本。確認 PPSK RADIUS 後端已啟用且共享金鑰相符。檢查 Purple 的 PSK RADIUS 使用者設定檔是否傳回正確的 Tunnel-Private-Group-ID 屬性。

投資報酬率（ROI）與業務影響

將 Grandstream GWN 硬體與 Purple 整合，能將 WiFi 從沉沒成本轉化為可衡量的企業資產。透過將一般開放式網路替換為經身分驗證的 Captive Portal，場域得以收集第一方數據並推動會員計畫成長。Purple 已在其網路中收集了 290 億個數據點（Purple 內部數據），為營運商提供了衡量自身表現的基準。

在旅宿業環境中，Purple 的分析功能可讓訪客造訪頻率、停留時間和同意訂閱率（opt-in rates）一目了然。使用 Purple Engage 方案的飯店營運商可以針對回訪訪客進行細分，以開展精準行銷活動，進而提高直接訂房率並減少對 OTA（線上旅行社）的依賴。在零售業環境中，來自 WiFi 數據的人流量分析能讓店長將客流模式與銷售業績進行關聯分析。

802.1X 和 PPSK 的實施透過自動化網路存取控制，降低了 IT 服務台的維運開銷。免除共享密碼消除了定期更換密碼的營運成本，也降低了憑證共享的安全風險。對於多租戶營運商而言，PPSK 搭配 Purple 的集中式管理，意味著啟用新租戶只需幾分鐘，而非數小時。

Purple 的 99.999% 可用性（Purple 內部數據）以及 ISO 27001、GDPR、CCPA 和 Cyber Essentials 認證，意味著該平台符合最嚴苛的企業與公共部門營運商的合規要求。如需完整了解訪客 WiFi 分析功能，請參閱 WiFi Analytics 。

Schlüsseldefinitionen

Captive Portal

Eine Webseite, die nicht authentifizierten HTTP-Traffic von einem verbundenen Gerät abfängt und den Benutzer zwingt, zu interagieren oder sich zu authentifizieren, bevor er Internetzugang erhält. Das Grandstream Captive Portal nutzt HTTP 302-Weiterleitungen, um Benutzer zu einer externen Portal-URL zu leiten.

Der primäre Mechanismus zur Erfassung von Gästedaten, zur Akzeptanz von Nutzungsbedingungen und zur Zugriffskontrolle an öffentlichen Standorten.

RADIUS

Remote Authentication Dial-In User Service; ein Netzwerkprotokoll, das über UDP läuft und eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) bietet. Die Authentifizierung erfolgt über Port 1812, das Accounting über Port 1813.

Die Backend-Engine, die Anmeldedaten sowohl für Captive Portals als auch für 802.1X-Unternehmensnetzwerke validiert. Purple betreibt RADIUS-Server, mit denen GWN Access Points direkt kommunizieren.

Walled Garden

Eine vordefinierte Liste von IP-Adressen und Domains, auf die ein Gerät zugreifen kann, bevor der Authentifizierungsprozess am Captive Portal abgeschlossen ist. Konfiguriert als Pre-Authentication-Regeln im GWN Manager.

Unerlässlich, damit Geräte die Elemente der Portalseite, CDN-Ressourcen, Social-Login-Endpunkte und die Sonden zur Erkennung von Captive Portals der Betriebssysteme laden können.

IEEE 802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen. Verwendet EAP zum Austausch von Anmeldedaten zwischen dem Gerät (Supplicant) und dem RADIUS-Server (Authentifizierungsserver) über den Access Point (Authenticator).

Ersetzt gemeinsam genutzte Passwörter durch benutzerbezogene Anmeldedaten für den sicheren Zugriff von Mitarbeitern und Unternehmen auf das WiFi. Erforderlich für GDPR- und PCI-DSS-konforme Mitarbeiternetzwerke.

PPSK

Private Pre-Shared Key; eine Funktion, die es einer einzelnen SSID ermöglicht, mehrere eindeutige Passwörter zu unterstützen, die jeweils an bestimmte Netzwerkrichtlinien oder VLANs gebunden sind. Grandstream GWN unterstützt PPSK mit lokalem Speicher oder RADIUS-Backend-Validierung.

Wird in Mandanten-Umgebungen wie Wohnungen, Coworking-Spaces und Serviced Offices eingesetzt, um Benutzer zu isolieren, ohne mehrere SSIDs auszustrahlen.

Dynamische VLAN-Zuweisung

Der Prozess, bei dem ein RADIUS-Server drei spezifische Attribute im Access-Accept-Paket zurückgibt (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID), um ein authentifiziertes Gerät in ein bestimmtes VLAN zu steuern. Muss in den GWN SSID-Einstellungen explizit aktiviert werden.

Ermöglicht IT-Teams die Konsolidierung von SSIDs bei gleichzeitiger Beibehaltung einer strengen Netzwerksegmentierung für verschiedene Benutzergruppen, Abteilungen oder Mandanten.

Client-Isolierung

Eine drahtlose Sicherheitsfunktion, die verhindert, dass Geräte, die mit demselben Access Point verbunden sind, auf Layer 2 direkt miteinander kommunizieren.

Eine obligatorische Konfiguration für Gästenetzwerke, um Benutzer vor Peer-to-Peer-Angriffen zu schützen und die PCI-DSS-Anforderungen für Standorte mit Kreditkartenabwicklung zu erfüllen.

EAP-PEAP

Protected Extensible Authentication Protocol; eine 802.1X-EAP-Methode, die den Authentifizierungsaustausch in einem verschlüsselten TLS-Tunnel unter Verwendung von Benutzernamen und Passwort kapselt. Der äußere TLS-Tunnel schützt die inneren Anmeldedaten vor dem Abfangen.

Häufig verwendet für BYOD-Mitarbeiternetzwerke, bei denen die Bereitstellung von Client-Zertifikaten (EAP-TLS) betrieblich nicht machbar ist. Erfordert eine Schulung der Mitarbeiter zur Zertifikatsvalidierung, um Angriffe durch Rogue APs zu verhindern.

Failsafe-Modus

Eine Einstellung des GWN Captive Portals, die verbindenden Geräten Internetzugang gewährt, wenn der Access Point den konfigurierten RADIUS-Server nicht erreichen kann. Verhindert, dass ein RADIUS-Ausfall den gesamten Gastzugang blockiert.

Empfohlen für Installationen im Hotel- und Gastgewerbe sowie im Einzelhandel, bei denen die Konnektivität für Gäste geschäftskritisch ist und eine kurze RADIUS-Unterbrechung nicht zu einem vollständigen Serviceausfall führen darf.

GWN Manager

Die On-Premise-Management-Plattform von Grandstream für Access Points der GWN-Serie auf Enterprise-Niveau. Installiert auf einem lokalen Linux- oder Windows-Server bietet sie die vollständige Konfiguration von Captive Portal, SSID, RADIUS und PPSK.

Bevorzugt für Einzelstandorte und Organisationen mit Anforderungen an die Datensouveränität. GDMS Networking ist das cloudbasierte Äquivalent für MSP-Bereitstellungen an mehreren Standorten.

Ausgearbeitete Beispiele

Ein Hotel mit 120 Zimmern möchte ein gebrandetes Portal für Gäste, ein sicheres Mitarbeiternetzwerk mit VLAN-Segmentierung auf Abteilungsebene für Reinigungskraft und Rezeption sowie ein separates Management-VLAN für das Property-Management-System bereitstellen. Das Hotel verwendet Grandstream GWN7660 Access Points, die über GDMS Networking verwaltet werden.

Konfigurieren Sie drei SSIDs in GDMS Networking. Erstellen Sie zuerst 'Guest WiFi' zugewiesen zu VLAN 10. Erstellen Sie eine Captive Portal-Richtlinie mit dem Authentifizierungstyp 'RADIUS-Server', die auf die RADIUS-IP von Purple auf Port 1812 mit dem Shared Secret aus der Purple-Admin-Konsole verweist. Setzen Sie die Landing Page auf 'Redirect to External Page' mit der Purple-Portal-URL. Aktivieren Sie den Failsafe-Modus und die Client-Isolierung. Erstellen Sie zweitens 'Staff WiFi' mit WPA2-Enterprise (802.1X)-Sicherheit. Konfigurieren Sie RADIUS auf Port 1812 und Accounting auf Port 1813. Aktivieren Sie Dynamic VLAN. Richten Sie im Verzeichnis von Purple die Konten der Reinigungskräfte so ein, dass sie Tunnel-Private-Group-ID = 21 zurückgeben, und die Konten der Rezeption so, dass sie VLAN 20 zurückgeben. Erstellen Sie drittens eine ausgeblendete 'Management'-SSID auf VLAN 30 mit WPA2-Personal für PMS-Terminals. Erstellen Sie den Walled Garden mit dem Generator-Tool von Purple und schließen Sie captive.apple.com aus, um den iOS CNA auszulösen.

Kommentar des Prüfers: Diese Architektur segmentiert effektiv drei verschiedene Benutzergruppen und minimiert gleichzeitig den SSID-Overhead. Die Verwendung der dynamischen VLAN-Steuerung für Mitarbeiter macht die Ausstrahlung separater SSIDs für jede Abteilung überflüssig, was HF-Interferenzen reduziert und die Wireless-Umgebung vereinfacht. Das Analytics-Dashboard von Purple liefert dem Hotelbetreiber tägliche Gästezahlen, Sitzungsdauern und Marketing-Opt-In-Raten, wodurch das Marketingteam ohne zusätzliche Infrastruktur verwertbare Daten erhält.

Ein Wohnblock mit 40 Mieteinheiten benötigt einen isolierten Netzwerkzugriff für jeden Mieter, mit der Möglichkeit, den Zugriff bei Auszug eines Mieters sofort zu entziehen. Der Betreiber nutzt GWN7630 Access Points mit lokalem GWN Manager und möchte die Anzahl der sichtbaren SSIDs im Gebäude minimieren.

Stellen Sie eine einzige SSID mit dem Namen 'BuildingConnect' und WPA2-Personal-Sicherheit bereit und aktivieren Sie PPSK mit RADIUS-Backend. Stellen Sie sicher, dass die GWN-Firmware-Version 1.0.19 oder höher ist. Konfigurieren Sie die RADIUS-Servereinstellungen im PPSK-Bereich so, dass sie auf Purple verweisen. Erstellen Sie in der Admin-Konsole von Purple 40 eindeutige PSK-Anmeldedaten, die jeweils einem VLAN zugeordnet sind (z. B. VLAN 101 für Einheit 101, VLAN 102 für Einheit 102). Wenn sich ein Bewohner mit dem Passwort seiner Einheit verbindet, sendet der GWN AP den PSK an Purple. Purple validiert diesen und gibt Tunnel-Private-Group-ID = 101 zurück. Der Bewohner landet in seinem isolierten VLAN. Wenn ein Bewohner auszieht, entziehen Sie die Anmeldedaten in der Purple-Admin-Konsole. Der Zugriff wird sofort beendet, ohne dass eine AP-Rekonfiguration erforderlich ist.

Kommentar des Prüfers: PPSK mit einem RADIUS-Backend ist die optimale Lösung für Multi-Tenant-Umgebungen. Es bietet den Bewohnern die Einfachheit eines Standard-WiFi-Passworts und liefert gleichzeitig eine Isolierung auf Enterprise-Niveau. Dank der zentralisierten Verwaltung der Anmeldedaten in Purple kann der Betreiber auf Hunderte von Einheiten skalieren, ohne einzelne SSID-Konfigurationen verwalten zu müssen. Die Möglichkeit des sofortigen Entzugs ist ein erheblicher betrieblicher Vorteil gegenüber herkömmlichen PSK-Bereitstellungen, bei denen die Änderung eines gemeinsamen Passworts alle verbundenen Bewohner stören würde.

Übungsfragen

Q1. Sie haben die Captive Portal-Richtlinie im GWN Manager mit der korrekten Purple RADIUS-IP und dem Shared Secret konfiguriert, aber Gäste melden einen Fehler 'Seite kann nicht erreicht werden', wenn sich ihr Browser nach dem Verbinden mit der SSID öffnet. Was ist die wahrscheinlichste Ursache und wie diagnostizieren Sie diese?

Hinweis: Überlegen Sie, was steuert, auf welche Domains ein Gerät zugreifen kann, bevor es sich über das Portal authentifiziert hat.

Musterlösung anzeigen

Der Walled Garden (Pre-Authentication Rules) ist unvollständig oder fehlerhaft konfiguriert. Der Access Point blockiert das Gerät beim Erreichen der Purple-Portal-Domain oder der CDN-Ressourcen, die die Portal-Seite lädt. Zur Diagnose: Verbinden Sie ein Testgerät mit der Gäste-SSID, öffnen Sie die Entwicklertools des Browsers, wechseln Sie zur Registerkarte Netzwerk und versuchen Sie, die Portal-URL zu laden. Identifizieren Sie, welche Anfragen Verbindungsfehler zurückgeben. Fügen Sie diese Domains den Pre-Authentication Rules hinzu. Verwenden Sie den Walled Garden Generator von Purple unter support.purple.ai, um die vollständige Domainliste für Grandstream-Hardware zu erstellen.

Q2. Ihr Hotel möchte, dass iOS-Gäste automatisch den Captive Portal-Mini-Browser sehen, sobald sie sich mit dem Gäste-WiFi verbinden, ohne manuell einen Browser öffnen zu müssen. Wie konfigurieren Sie den Walled Garden, um dies zu erreichen?

Hinweis: Überlegen Sie, wie iOS beim ersten Verbinden feststellt, ob ein Netzwerk über einen Internetzugang verfügt.

Musterlösung anzeigen

Sie müssen captive.apple.com aus dem Walled Garden ausschließen. Wenn sich ein iOS-Gerät mit einem Netzwerk verbindet, prüft es captive.apple.com. Wenn die Prüfung eine '200 OK'-Antwort erhält (was bedeutet, dass die Domain erreichbar ist), nimmt iOS an, dass das Netzwerk über einen Internetzugang verfügt, und löst den Captive Network Assistant (CNA) Mini-Browser nicht aus. Wenn die Prüfung blockiert oder umgeleitet wird, erkennt iOS das Netzwerk als Captive Portal und öffnet automatisch den CNA. Indem Sie captive.apple.com außerhalb des Walled Garden halten, wird die Prüfung abgefangen und umgeleitet, was den CNA automatisch auslöst.

Q3. Ein Mitarbeiter verbindet sich mit seinen Anmeldedaten mit der 802.1X-SSID. Die Authentifizierungsprotokolle von Purple zeigen eine erfolgreiche Access-Accept-Antwort mit den korrekten VLAN 20-Attributen. Der Mitarbeiter wird jedoch dem VLAN 1 (Standard) zugewiesen. Welche Einstellung im GWN Manager muss überprüft werden?

Hinweis: Der RADIUS-Server autorisiert den Benutzer korrekt und gibt die VLAN-Attribute zurück. Das Problem liegt auf der Seite des Access Points.

Musterlösung anzeigen

Das Kontrollkästchen 'Enable Dynamic VLAN' in den SSID-Einstellungen im GWN Manager ist nicht aktiviert. Selbst wenn Purple die korrekten Attribute für Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-ID im Access-Accept-Paket zurückgibt, ignoriert der GWN Access Point diese, es sei denn, Dynamic VLAN ist explizit aktiviert. Navigieren Sie zur SSID-Konfiguration, suchen Sie die Einstellung für Dynamic VLAN, aktivieren Sie diese und speichern Sie. Der Mitarbeiter sollte dann bei der nächsten Verbindung dem korrekten VLAN zugewiesen werden.

Q4. Ein Build-to-Rent-Betreiber möchte PPSK mit Purple als RADIUS-Backend auf seinen Grandstream GWN7630 Access Points mit der Firmware-Version 1.0.17 bereitstellen. Ein Mieter meldet, dass er sich mit der SSID verbinden kann, aber dem falschen VLAN zugewiesen wird. Was sollten Sie zuerst prüfen?

Hinweis: Hier gibt es zwei potenzielle Ursachen: Eine betrifft die Firmware-Version, die andere die Konfiguration.

Musterlösung anzeigen

Als Erstes sollte die Firmware-Version überprüft werden. PPSK mit RADIUS-Backend erfordert auf der GWN76xx-Serie die GWN-Firmware 1.0.19 oder höher. Die Firmware 1.0.17 unterstützt die RADIUS-gestützte PPSK-VLAN-Zuweisung möglicherweise nicht korrekt. Aktualisieren Sie die Firmware auf 1.0.19 oder höher, bevor Sie mit der weiteren Fehlerbehebung fortfahren. Wenn die Firmware korrekt ist, stellen Sie sicher, dass das PPSK-RADIUS-Backend in den SSID-Einstellungen aktiviert ist, das Shared Secret mit der Konfiguration von Purple übereinstimmt und das RADIUS-Benutzerprofil von Purple für den spezifischen PSK das korrekte Attribut Tunnel-Private-Group-ID zurückgibt.

Weiterlesen in dieser Reihe

Cisco WLC und Catalyst Integration mit Purple WiFi: Schritt-für-Schritt-Anleitung für den Gastzugang

Diese massgebliche Anleitung beschreibt die schrittweise Integration von Cisco Catalyst 9800 WLCs mit Purple WiFi. Sie deckt die externe Web-Authentifizierung für Gäste-Captive Portals, 802.1X EAP-TLS für sicheren Mitarbeiterzugang und Cisco iPSK für die dynamische VLAN-Segmentierung in Mandanten-Umgebungen ab.

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.