Cisco WLC und Catalyst Integration mit Purple WiFi: Schritt-für-Schritt-Anleitung für den Gastzugang

Diese massgebliche Anleitung beschreibt die schrittweise Integration von Cisco Catalyst 9800 WLCs mit Purple WiFi. Sie deckt die externe Web-Authentifizierung für Gäste-Captive Portals, 802.1X EAP-TLS für sicheren Mitarbeiterzugang und Cisco iPSK für die dynamische VLAN-Segmentierung in Mandanten-Umgebungen ab.

📖 6 Min. Lesezeit📝 1,300 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen bei den technischen Briefings von Purple. Heute befassen wir uns mit einem Thema, das fast jedem Netzwerkarchitekten im Gastgewerbe, im Einzelhandel oder in großen Veranstaltungsorten begegnet: der Integration von Cisco Wireless LAN Controllern und Catalyst Wireless-Infrastruktur mit der Guest WiFi Plattform von Purple. Wenn Sie Controller der Cisco Catalyst 9800 Serie oder die ältere AireOS-Plattform betreiben und ein rechtskonformes, segmentiertes und analysegestütztes Gastnetzwerk bereitstellen müssen, ist dieses Briefing genau das Richtige für Sie. [medium pause]

Beginnen wir mit dem Kontext. Purple ist weltweit in mehr als 80.000 Live-Veranstaltungsorten im Einsatz, und Cisco ist der dominierende Anbieter von Wireless-Infrastruktur in Enterprise-Umgebungen. Das Zusammenspiel dieser beiden Plattformen ist nicht kompliziert, erfordert aber die richtigen architektonischen Entscheidungen im Vorfeld. Treffen Sie die falschen Entscheidungen, verbringen Sie Wochen mit der Fehlerbehebung bei Redirect-Schleifen, VLAN-Konflikten und RADIUS-Timeouts. Machen Sie es richtig, und Sie erhalten ein Netzwerk, das Gäste, Mitarbeiter und IoT-Geräte automatisch segmentiert, First-Party-Daten datenschutzkonform erfasst und ohne manuelles Eingreifen über Hunderte von Standorten hinweg skaliert. [medium pause]

Gehen wir also ins Detail der Architektur. [short pause]

Wenn sich ein Gast in einer Cisco-Umgebung mit Ihrem WiFi verbindet, müssen drei Dinge geschehen, bevor er das Internet erreicht. Erstens muss der Cisco Catalyst 9800 WLC diese erste HTTP-Anfrage abfangen und den Client zum Captive Portal von Purple umleiten. Zweitens muss das Portal von Purple den Benutzer authentifizieren - sei es über Social Login, E-Mail, SMS oder das einfache Akzeptieren der Nutzungsbedingungen. Drittens muss der RADIUS-Server von Purple dem WLC zurückmelden, dass der Benutzer autorisiert ist, und ihn optional einem bestimmten VLAN zuweisen. [medium pause]

Der Mechanismus, der Schritt eins abwickelt, wird als External Web Authentication oder EWA bezeichnet. Auf dem Catalyst 9800 konfigurieren Sie eine Webauthentifizierungs-Parameter-Map, die auf die URL der Splash Page von Purple verweist. Der WLC fängt den gesamten HTTP-Verkehr von nicht authentifizierten Clients ab und leitet sie per 302-Redirect an diese URL weiter. Sie müssen außerdem eine Pre-Authentication-ACL konfigurieren oder die URL-Filterfunktion des 9800 nutzen, um die IP-Adressen des Purple-Portals auf die Whitelist zu setzen, damit die Clients die Splash Page noch vor der Authentifizierung erreichen können. Purple stellt zwei IP-Adressen für sein Portal zur Verfügung, und Sie müssen beide in Ihrer Pre-Auth-ACL freigeben. [medium pause]

Hier ist die Konfigurationsreihenfolge für den Catalyst 9800. Erstellen Sie zuerst die Parameter-Map. Konfigurieren Sie dann Ihren URL-Filter, um die Domain von Purple vor der Authentifizierung zuzulassen. Wenden Sie dies auf Ihr WLAN-Richtlinienprofil an, setzen Sie die Layer-2-Sicherheit auf Keine, aktivieren Sie die Web-Richtlinie auf Layer-3 und verweisen Sie auf Ihre Parameter-Map. [medium pause]

Nun zum Thema RADIUS. Purple fungiert in dieser Architektur als RADIUS-Server. Sie konfigurieren den WLC so, dass er auf den RADIUS-Endpunkt von Purple verweist, den Sie im Purple-Dashboard unter den Netzwerkeinstellungen Ihres Standorts finden. Das Shared Secret wird pro Standort generiert. Navigieren Sie auf dem Catalyst 9800 zu Configuration, Security, AAA, Servers, und fügen Sie den RADIUS-Server von Purple mit der korrekten IP und dem Shared Secret hinzu. Erstellen Sie dann eine Servergruppe, eine Authentifizierungsmethodenliste und wenden Sie diese auf Ihr WLAN an. [medium pause]

Ein wichtiger Punkt, der oft übersehen wird: Auf dem 9800 müssen Sie auch die virtuelle IP-Adresse in der globalen Web-Auth-Parametermap konfigurieren. Verwenden Sie 192.0.2.1 als virtuelle IPv4-Adresse. Wenn Sie diesen Schritt überspringen, werden Clients manchmal an das interne Portal statt an das Portal von Purple weitergeleitet, und Sie verbringen einen frustrierenden Nachmittag mit der Fehlersuche. [medium pause]

Kommen wir nun zum Staff WiFi mit 802.1X. [short pause]

Für Mitarbeiternetzwerke empfiehlt sich eine zertifikatsbasierte Authentifizierung über EAP-TLS, oder zumindest PEAP mit MSCHAPv2 für Umgebungen, in denen eine Bereitstellung von Zertifikaten nicht machbar ist. Erstellen Sie auf dem Catalyst 9800 ein separates WLAN für Mitarbeiter, stellen Sie die Layer-2-Sicherheit auf WPA2 Enterprise ein und leiten Sie die Authentifizierung an Ihren RADIUS-Server weiter. Wenn Sie Microsoft Entra ID oder Okta als Identity Provider nutzen, fungiert das SecurePass-Add-on von Purple als RADIUS-Proxy und übersetzt die 802.1X-Authentifizierungsanfragen in Abfragen beim Identity Provider. Das bedeutet, dass Sie keinen separaten On-Premises RADIUS-Server für die Mitarbeiterauthentifizierung benötigen. Purple übernimmt die EAP-Terminierung und leitet die Identitätsprüfung an Ihren Identity Provider weiter. [medium pause]

Speziell für EAP-TLS müssen Sie Client-Zertifikate auf den Mitarbeitergeräten verteilen, entweder über Microsoft Intune, Jamf oder eine ähnliche MDM-Plattform. Die Zertifikatskette muss vom RADIUS-Server von Purple als vertrauenswürdig eingestuft werden, was bedeutet, dass Sie Ihr Root-CA-Zertifikat im Purple-Dashboard hochladen müssen. Sobald dies eingerichtet ist, authentifizieren sich die Mitarbeitergeräte geräuschlos - keine Passwortabfragen, keine Splash-Pages. Der Benutzer stellt eine Verbindung her, das Zertifikat wird validiert, und er befindet sich innerhalb von Sekunden im Mitarbeiter-VLAN. [medium pause]

Nun zu dem Teil, den die meisten Architekten besonders interessant finden: Cisco Identity PSK, oder iPSK. [short pause]

iPSK löst ein spezifisches Problem, das in Multi-Tenant-Umgebungen ständig auftritt. Stellen Sie sich ein Hotel mit 300 Zimmern, ein Einzelhandelsnetz mit 50 Filialen oder ein Mietwohnungsgebäude mit 200 Apartments vor. Sie möchten eine einzige SSID nutzen, müssen aber jeden Mieter, jedes Zimmer oder jede Gerätegruppe auf einem eigenen VLAN isolieren. Die traditionelle Lösung bestand darin, eine separate SSID pro Mieter zu erstellen, was jedoch nicht skalierbar ist und zu einer Überlastung der Funkfrequenzen führt. iPSK bietet Ihnen eine einzige SSID, bei der jeder Client oder jede Client-Gruppe einen eindeutigen Pre-Shared Key hat und der RADIUS-Server diesen Schlüssel einem bestimmten VLAN zuordnet. [medium pause]
Und so funktioniert es technisch. Wenn sich ein Client mit der SSID verbindet, sendet der Catalyst 9800 WLC einen RADIUS Access-Request an den RADIUS-Server von Purple, einschließlich der MAC-Adresse des Clients. Der RADIUS-Server von Purple sucht diese MAC-Adresse in seiner iPSK-Datenbank, findet den zugehörigen PSK und die VLAN-Zuweisung und gibt ein RADIUS Access-Accept zurück, das das Cisco AV-Pair mit dem PSK und die IETF-Tunnelattribute für die VLAN-Zuweisung enthält. Der WLC verwendet den zurückgegebenen PSK, um den WPA2-Vier-Wege-Handshake abzuschließen, und weist den Client dann dem zugewiesenen VLAN zu. [medium pause]

Die drei RADIUS-Attribute, die Sie für die dynamische VLAN-Zuweisung benötigen, sind: IETF-Attribut 64, Tunnel-Type, eingestellt auf VLAN mit einem Wert von 13. IETF-Attribut 65, Tunnel-Medium-Type, eingestellt auf 802 mit einem Wert von 6. Und IETF-Attribut 81, Tunnel-Private-Group-ID, eingestellt auf die VLAN-ID als String. Diese drei Attribute, die zusammen im RADIUS Access-Accept gesendet werden, teilen dem WLC genau mit, welches VLAN zugewiesen werden soll. Das VLAN muss bereits auf dem WLC als dynamische Schnittstelle existieren, und der Uplink-Switch-Port muss als Trunk konfiguriert sein, der alle relevanten VLANs überträgt. [medium pause]

Aktivieren Sie auf der WLC-Seite die MAC-Filterung auf dem iPSK WLAN, aktivieren Sie AAA Override und stellen Sie die Layer-2-Sicherheit auf WPA2-PSK ein. Der globale PSK, den Sie auf dem WLAN konfigurieren, fungiert nur als Fallback. Der von RADIUS zurückgegebene PSK hat Vorrang für jeden Client, dessen MAC-Adresse in der iPSK-Datenbank von Purple registriert ist. Für nicht registrierte Geräte können Sie entweder den Zugriff verweigern oder auf den globalen PSK zurückgreifen, je nach Ihrer Richtlinie. [medium pause]

Lassen Sie mich Ihnen zwei Praxisbeispiele geben, um dies konkret zu machen. [short pause]

Erstes Szenario: ein Hotel mit 200 Zimmern. Das Hotel möchte Gäste im VLAN 10 mit reinem Internetzugang, Mitarbeiter im VLAN 20 mit Zugriff auf das Hotelmanagementsystem und IoT-Geräte, Türschlösser, Thermostate und CCTV im VLAN 30 ohne Internetzugang. Sie nutzen Cisco Catalyst 9800 Controller mit Access Points der Cisco 9100-Serie. [medium pause]

Die Architektur: drei Richtlinienprofile auf dem WLC, eines pro VLAN. Eine einzige SSID für Gäste, die eine externe Web-Authentifizierung nutzen, die auf Purple verweist. Eine separate SSID für Mitarbeiter, die WPA2 Enterprise mit EAP-TLS nutzen, authentifiziert über Purple SecurePass gegen Microsoft Entra ID. Und iPSK für IoT-Geräte, wobei die MAC-Adresse jedes Geräts im Portal von Purple registriert und dem VLAN 30 zugewiesen ist. Das Hotelmanagementsystem stellt neue IoT-Geräte über die API von Purple bereit. Wenn also ein neues Türschloss installiert wird, wird seine MAC-Adresse automatisch registriert und dem richtigen VLAN zugewiesen. Keine manuelle RADIUS-Konfiguration erforderlich. [medium pause]

Zweites Szenario: eine Einzelhandelskette mit 80 Filialen. Jede Filiale verfügt über ein Gäste-WiFi-Netzwerk, ein Mitarbeiternetzwerk und ein Netzwerk für Zahlungsterminals. Die Einhaltung von PCI-DSS erfordert eine vollständige Isolierung des Zahlungsterminal-Netzwerks vom Gästenetzwerk. Der Einzelhändler setzt an jedem Standort Cisco Catalyst 9800-L-Controller ein, die zentral über das Cisco Catalyst Centre verwaltet werden. [medium pause]
Purple wird als Cloud-Overlay bereitgestellt. Der WLC jedes Standorts wird mit den RADIUS-Server-Details von Purple konfiguriert. Die Gast-Authentifizierung nutzt eine gebrandete Splash-Page mit E-Mail-Erfassung, die First-Party-Daten in die Analyseplattform von Purple einspeist. Die Authentifizierung der Mitarbeiter nutzt PEAP gegen das Active Directory über Purple SecurePass. Zahlungsterminals verwenden iPSK mit einem dedizierten VLAN, und die Pre-Auth-ACL blockiert explizit jeglichen Datenverkehr zwischen dem Zahlungs-VLAN und dem Gäste-VLAN, was die PCI-DSS-Anforderung 1.3 für Netzwerksegmentierung erfüllt. [medium pause]

Lassen Sie uns nun über die Fallstricke sprechen. [short pause]

Der häufigste Fehlerzustand ist die Umleitungsschleife. Dies geschieht, wenn die Pre-Auth-ACL die Portal-IP-Adressen von Purple nicht korrekt auf die Whitelist setzt. Der WLC leitet den Client dann an das Portal von Purple weiter, aber der Client kann das Portal nicht erreichen, weil die ACL es blockiert - was dazu führt, dass der WLC erneut und unendlich oft umleitet. Lösung: Überprüfen Sie, ob Ihr URL-Filter oder Ihre Pre-Auth-ACL beide Portal-IP-Adressen von Purple enthält, und bestätigen Sie, dass die DNS-Auflösung vor der Authentifizierung zulässig ist. [medium pause]

Das zweite häufige Problem ist eine VLAN-Fehlabstimmung. Der RADIUS-Server gibt eine VLAN-ID zurück, die nicht als dynamische Schnittstelle auf dem WLC existiert. Der WLC platziert den Client dann im nativen VLAN, bei dem es sich in der Regel um das Management-VLAN handelt. Dies ist ein Sicherheitsrisiko. Lösung: Überprüfen Sie vor der Bereitstellung Ihre dynamischen WLC-Schnittstellen im Vergleich zu den in den RADIUS-Richtlinien von Purple konfigurierten VLAN-IDs. Diese müssen exakt übereinstimmen. [medium pause]

Dritter Fallstrick: Zertifikatsvertrauensfehler bei EAP-TLS-Bereitstellungen. Wenn die Zertifikatskette des Clients vom RADIUS-Server von Purple nicht als vertrauenswürdig eingestuft wird, schlägt die Authentifizierung aus Sicht des Benutzers geräuschlos fehl. Er kann sich einfach nicht verbinden. Lösung: Laden Sie Ihre Root-CA und alle Intermediate-CA-Zertifikate in die SecurePass-Konfiguration von Purple hoch, bevor Sie Client-Zertifikate bereitstellen. Testen Sie mit einem einzelnen Gerät, bevor Sie das Rollout auf die gesamte Flotte durchführen. [medium pause]

Schnellfeuer-Fragen. [short pause]

Kann ich Purple mit Cisco Meraki anstelle von WLC verwenden? Ja. Cisco Meraki verfügt über einen eigenen Integrationsmechanismus für Captive Portals, den Purple nativ unterstützt. Die RADIUS-Konfiguration ist ähnlich, verwendet jedoch das Dashboard von Meraki anstelle der WLC-Befehlszeile. [short pause]

Unterstützt Purple WPA3 auf Cisco? Ja. WPA3-SAE wird auf Cisco Catalyst 9800 mit IOS-XE 17.3 und neuer unterstützt. Die RADIUS-Integration von Purple funktioniert mit WPA3 identisch. [short pause]

Wie lautet die Empfehlung für das RADIUS-Timeout? Stellen Sie das Timeout Ihres primären RADIUS-Servers auf drei Sekunden mit zwei Wiederholungsversuchen ein. Konfigurieren Sie einen sekundären RADIUS-Server für das Failover. Purple stellt redundante RADIUS-Endpunkte für Enterprise-Kunden bereit. [short pause]

Kann ich Cisco ISE neben Purple verwenden? Ja. Einige Organisationen nutzen ISE für die Zustandsbewertung und das Geräte-Profiling, während sie Purple für das Gästeportal und die Analysen verwenden. Die beiden RADIUS-Server werden auf separaten WLANs konfiguriert. [medium pause]

Zusammenfassend lässt sich sagen. [short pause]

Die drahtlose Infrastruktur von Cisco WLC und Catalyst lässt sich nahtlos in Purple integrieren. Dabei wird External Web Authentication für die Umleitung zum Captive Portal für Gäste, 802.1X EAP-TLS oder PEAP für die Mitarbeiterauthentifizierung über Purple SecurePass und Cisco iPSK mit dynamischer VLAN-Zuweisung für die Mandanten- und IoT-Segmentierung verwendet. Die drei RADIUS-VLAN-Attribute Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-ID sind der Mechanismus, der die dynamische Segmentierung steuert. Richten Sie Ihre Pre-Auth-ACLs korrekt ein, gleichen Sie Ihre VLAN-IDs zwischen RADIUS und WLC ab und testen Sie die Zertifikatsvertrauensketten vor der Bereitstellung in der gesamten Flotte. [medium pause]

Purple ist an über 80.000 Standorten im Einsatz und hat im Jahr 2024 bereits 440 Millionen Logins verarbeitet. Die Cisco-Integration ist weltweit eine unserer am häufigsten implementierten Konfigurationen. Wenn Sie loslegen möchten, führt Sie das Purple-Dashboard Schritt für Schritt durch die RADIUS-Konfiguration für jeden Standort, und unser Integrationsteam steht Ihnen für Enterprise-Bereitstellungen zur Verfügung. [medium pause]

Das war's für dieses Briefing. Vielen Dank fürs Zuhören.

Wichtigste Erkenntnisse

✓Verwenden Sie External Web Authentication (EWA) auf Catalyst 9800 WLCs, um nicht authentifizierten Gastdatenverkehr auf das gebrandete Captive Portal von Purple umzuleiten.
✓Stellen Sie sicher, dass Pre-Authentication-ACLs oder URL-Filter den Zugriff auf die IP-Adressen des Portals von Purple explizit zulassen, um Weiterleitungsschleifen zu vermeiden.
✓Implementieren Sie Purple SecurePass als Cloud-RADIUS-Proxy, um Mitarbeiter über 802.1X EAP-TLS oder PEAP direkt gegen Entra ID oder Okta zu authentifizieren.
✓Nutzen Sie Cisco Identity PSK (iPSK), um IoT-Geräte und Multi-Tenant-Benutzer über eine einzige SSID sicher in spezifische VLANs zu segmentieren.
✓Aktivieren Sie immer "AAA Override" auf dem WLC und stellen Sie sicher, dass dynamische Interfaces lokal existieren, um eine RADIUS-gesteuerte dynamische VLAN-Zuweisung zu ermöglichen.
✓Konfigurieren Sie sekundäre RADIUS-Server mit einem Timeout von 3 Sekunden und 2 Wiederholungsversuchen, um eine hohe Verfügbarkeit für die Authentifizierung zu gewährleisten.

Management-Zusammenfassung

Die Bereitstellung eines sicheren, konformen und skalierbaren Drahtlosnetzwerks in Unternehmensumgebungen erfordert eine enge Integration zwischen Infrastruktur und Identitätsanbietern. Dieser Leitfaden beschreibt die architektonischen Entscheidungen und Konfigurationsschritte, die für die Integration von Cisco Catalyst 9800 Wireless LAN Controllern (WLC) in die Cloud-Plattform von Purple erforderlich sind.

Für den Gastzugang untersuchen wir die externe Web-Authentifizierung (EWA) für die Weiterleitung zum Captive Portal, um die Erfassung von Erstanbieterdaten und Guest WiFi -Analysen zu ermöglichen. Für den Mitarbeiterzugang beschreiben wir die 802.1X EAP-TLS- und PEAP-Authentifizierung unter Verwendung von Purple SecurePass als RADIUS-Proxy für Microsoft Entra ID oder Okta. Für IoT- und Mandanten-Umgebungen skizzieren wir die Cisco Identity PSK (iPSK)-Konfiguration, die eine dynamische VLAN-Zuweisung und Netzwerksegmentierung auf einer einzigen SSID ermöglicht, ohne auf komplexe Zertifikatsbereitstellungen angewiesen zu sein.

Purple wird in weltweit über 80.000 aktiven Standorten betrieben und verarbeitete im Jahr 2024 440 Millionen Logins. Diese Integration hat sich in hochfrequentierten Umgebungen in den Bereichen Hospitality , Retail und Transport bewährt, in denen Betriebszeit, Compliance und ein nahtloses Benutzererlebnis unverzichtbar sind.

Technischer Deep-Dive: Architektur und Authentifizierungsabläufe

1. Guest WiFi: External Web Authentication (EWA)

Um ein gebrandetes Captive Portal bereitzustellen und Benutzerdaten für WiFi Analytics zu erfassen, muss der Cisco Catalyst 9800 WLC nicht authentifizierten HTTP-Traffic abfangen und auf die von Purple in der Cloud gehostete Splash Page umleiten. Dieser Mechanismus wird als External Web Authentication (EWA) bezeichnet.

Der Prozess folgt einem bestimmten Ablauf:

Der Client verbindet sich mit der offenen oder Opportunistic Wireless Encryption (OWE) SSID.
Der WLC versetzt den Client in den Zustand Webauth_reqd und wendet eine Pre-Authentication Access Control List (ACL) an.
Der WLC fängt die HTTP-Anfrage des Clients ab und sendet einen 302-Redirect an die Splash-Page-URL von Purple, wobei Parameter wie die AP-MAC-Adresse, die Client-MAC-Adresse und die WLAN-SSID angehängt werden.
Der Client schließt den Authentifizierungsprozess auf dem Purple-Portal ab (z. B. Social Login, E-Mail-Erfassung oder Zustimmung zu den Nutzungsbedingungen).
Der RADIUS-Server von Purple sendet eine Access-Accept-Nachricht an den WLC.
Der WLC versetzt den Client in den Zustand Run und gewährt Internetzugang basierend auf der Post-Authentication-Richtlinie.

2. Staff WiFi: 802.1X EAP-TLS und PEAP

Für firmeneigene Geräte bietet WPA2/WPA3 Enterprise mit 802.1X das stärkste Sicherheitsniveau. Anstatt einen lokalen RADIUS-Server wie Cisco ISE bereitzustellen, fungiert Purple SecurePass als Cloud-RADIUS-Proxy. Es beendet den EAP-Tunnel und leitet die Identitätsprüfung an Ihren Identity Provider (IdP) weiter, wie z. B. Microsoft Entra ID oder Google Workspace.

EAP-TLS: Empfohlen für verwaltete Unternehmensgeräte. Erfordert die Bereitstellung von Client-Zertifikaten über ein MDM (z. B. Microsoft Intune). Die Authentifizierung erfolgt im Hintergrund und ist hochsicher.
PEAP-MSCHAPv2: Empfohlen für BYOD-Umgebungen, in denen eine Zertifikatsbereitstellung unpraktisch ist. Benutzer authentifizieren sich mit ihren Unternehmens-Anmeldedaten.

3. IoT und Multi-Tenant: Cisco Identity PSK (iPSK)

In Umgebungen wie Build-to-Rent-Immobilien (BTR), Studentenwohnheimen oder Einzelhandelsgeschäften mit zahlreichen IoT-Geräten ist die Bereitstellung von 802.1X oft unmöglich, da die Geräte keine Supplicant-Unterstützung bieten. Das Erstellen einer eigenen SSID für jeden Mieter oder Gerätetyp führt zu einer Überlastung des Frequenzspektrums.

Cisco iPSK löst dieses Problem, indem es mehrere eindeutige Pre-Shared Keys (PSKs) auf einer einzigen SSID ermöglicht. Wenn sich ein Gerät verbindet, sendet der WLC seine MAC-Adresse an den RADIUS-Server von Purple. Purple gibt den spezifischen PSK für dieses Gerät zusammen mit Attributen für die dynamische VLAN-Zuweisung zurück und segmentiert so den Datenverkehr direkt am Switch-Port.

Implementierungsleitfaden

Konfiguration der Captive Portal Weiterleitung für Gäste

Um die externe Web-Authentifizierung auf dem Catalyst 9800 WLC zu konfigurieren, müssen Sie eine Parameter-Map und einen URL-Filter definieren, um den Datenverkehr vor der Authentifizierung zum Portal von Purple zuzulassen [1].

Schritt 1: Erstellen der Web-Authentifizierungs-Parameter-Map

Konfigurieren Sie den WLC so, dass Clients zum Purple Portal weitergeleitet werden, wobei die erforderlichen Variablen übergeben werden. Sie müssen die virtuelle IPv4-Adresse (normalerweise 192.0.2.1) global konfigurieren.

parameter-map type webauth PURPLE-GUEST
  type consent
  timeout init-state sec 600
  redirect for-login https://portal.purple.ai
  redirect append ap-mac tag ap_mac
  redirect append wlan-ssid tag wlan
  redirect append client-mac tag client_mac
  redirect portal ipv4 
  logout-window-disabled
  success-window-disabled

Schritt 2: Konfigurieren des URL-Filters vor der Authentifizierung

Clients müssen das Portal von Purple erreichen können, bevor sie authentifiziert werden. Der 9800 WLC verwendet URL-Filter, um basierend auf DNS-Snooping dynamisch Ausnahmen in der Intercept-ACL zuzulassen.

urlfilter list PURPLE-PREAUTH
  action permit
  url portal.purple.ai

Wenden Sie diesen URL-Filter auf Ihr WLAN-Richtlinienprofil unter den ACL-Einstellungen vor der Authentifizierung an.

Konfiguration der dynamischen VLAN-Zuweisung für iPSK

Um Benutzer oder Geräte dynamisch in bestimmte VLANs einzuteilen, muss der Purple RADIUS-Server drei spezifische IETF-Attribute in der Access-Accept-Antwort senden [2].

IETF 64 (Tunnel-Type): Auf VLAN festgelegt (Wert 13).
IETF 65 (Tunnel-Medium-Type): Auf 802 festgelegt (Wert 6).
IETF 81 (Tunnel-Private-Group-ID): Auf die VLAN-ID als String festgelegt (z. B. "10").

Stellen Sie auf dem Catalyst 9800 WLC sicher, dass die folgenden Einstellungen für das iPSK WLAN konfiguriert sind:

MAC-Filterung ist aktiviert.
AAA Override ist aktiviert (entscheidend für die Annahme der RADIUS-VLAN-Zuweisung).
Layer 2 Security ist auf WPA2-PSK eingestellt (der konfigurierte PSK fungiert als Fallback).

Best Practices

VLAN-Verifizierung: Die vom RADIUS-Server in Tunnel-Private-Group-ID zurückgegebene VLAN-ID MUSS als dynamische Schnittstelle auf dem WLC existieren. Ist dies nicht der Fall, verschiebt der WLC den Client in das native VLAN, was ein erhebliches Sicherheitsrisiko darstellt.
Zertifikats-Vertrauensketten: Laden Sie bei EAP-TLS-Bereitstellungen Ihre Root-CA- und alle Intermediate-CA-Zertifikate in das Purple SecurePass-Dashboard hoch, bevor Sie Client-Zertifikate ausrollen. Wenn der RADIUS-Server die Kette nicht validieren kann, schlägt die Authentifizierung geräuschlos fehl.
Redundantes RADIUS: Konfigurieren Sie immer sekundäre RADIUS-Server. Stellen Sie den primären Timeout auf 3 Sekunden mit 2 Wiederholungsversuchen ein, um ein schnelles Failover zu gewährleisten, ohne den Benutzer zu frustrieren.
WPA3-Einführung: Verwenden Sie WPA3-SAE für iPSK-Netzwerke, sofern dies von den Client-Geräten unterstützt wird. Implementieren Sie für offene Gastnetzwerke WPA3-OWE (Opportunistic Wireless Encryption), um den Datenverkehr ohne Passworteingabe zu verschlüsseln.

Fehlerbehebung & Risikominderung

Fehlermodus	Symptom	Ursache	Behebung
Redirect-Schleife	Das Client-Gerät lädt die Captive Portal-Seite ständig neu, ohne sie vollständig anzuzeigen.	Die Pre-Authentication-ACL oder der URL-Filter lässt den Zugriff auf die Portal-IP-Adressen von Purple nicht zu. Der WLC leitet den Client weiter, der Client versucht, die Seite zu laden, der WLC blockiert dies und leitet erneut weiter.	Überprüfen Sie, ob der URL-Filter `PURPLE-PREAUTH` auf das Policy-Profil angewendet wird und die Portal-Domain korrekt geschrieben ist. Stellen Sie sicher, dass DNS-Verkehr vor der Authentifizierung zugelassen ist.
iPSK-Fallback-Fehler	Ein nicht registriertes IoT-Gerät verbindet sich mit dem Netzwerk, erhält jedoch die falsche IP-Adresse.	Die MAC-Adresse des Geräts ist nicht in der RADIUS-Datenbank von Purple vorhanden. Der WLC fällt auf den auf dem WLAN konfigurierten globalen PSK zurück und weist das Standard-VLAN zu.	Überprüfen Sie die MAC-Adresse im Purple-Dashboard. Stellen Sie sicher, dass das dem WLAN-Policy-Profil zugewiesene Standard-VLAN ein eingeschränktes Quarantänenetzwerk ist und nicht das Unternehmens-LAN.
RADIUS-Timeout	Clients haben lange Verzögerungen beim Verbindungsaufbau; WLC-Protokolle zeigen an, dass der RADIUS-Server nicht erreichbar ist.	Firewalls zwischen dem WLC und den Cloud-RADIUS-Endpunkten von Purple blockieren die UDP-Ports 1812 (Authentifizierung) oder 1813 (Accounting).	Überprüfen Sie, ob die ausgehenden Firewall-Regeln UDP 1812/1813 von der WLC-Management-Schnittstelle zu den veröffentlichten RADIUS-IP-Adressen von Purple zulassen.

ROI & geschäftlicher Nutzen

Die Implementierung einer einheitlichen Architektur mit Cisco und Purple liefert messbaren Geschäftswert über drei Säulen hinweg:

Betriebliche Effizienz: Der Ersatz der manuellen VLAN-Bereitstellung und mehrerer SSIDs durch iPSK reduziert das IT-Ticketvolumen. Die Automatisierung des IoT-Onboardings über die API spart pro Standort Stunden an Technikerzeit.
Compliance und Sicherheit: Die dynamische VLAN-Zuweisung stellt die PCI DSS-Compliance in Einzelhandelsumgebungen sicher, indem sie Zahlungsterminals strikt vom Gäste-Traffic isoliert (Anforderung 1.3). EAP-TLS eliminiert das Risiko gemeinsam genutzter Mitarbeiterpasswörter.
Umsatzgenerierung: Die Integration von Captive Portal verwandelt eine Kostenstelle (Gast-WiFi) in ein Marketing-Asset. Das Erfassen von bewussten Opt-ins baut eine First-Party-Datenbank auf, die Kundenbindungskampagnen und wiederholte Besuche fördert.

Referenzen

[1] Cisco Systems, "Configure Spaces Captive Portal with Catalyst 9800 WLC," Mai 2025. [2] Cisco Systems, "Configure a RADIUS Server and WLC for Dynamic VLAN Assignment," September 2012.

Schlüsseldefinitionen

Externe Web-Authentifizierung (EWA)

Ein Mechanismus, bei dem der Cisco WLC nicht authentifizierten HTTP-Verkehr abfängt und den Client zur Authentifizierung an ein extern gehostetes Captive Portal (wie Purple) weiterleitet.

Wird verwendet, um gebrandete Splash Pages bereitzustellen und First-Party-Daten zu erfassen, ohne auf den begrenzten internen Webserver des WLC angewiesen zu sein.

Identity PSK (iPSK)

Eine Cisco-Funktion, mit der mehrere eindeutige Pre-Shared Keys auf einer einzigen SSID verwendet werden können, wobei jeder Schlüssel über RADIUS einer bestimmten Client-MAC-Adresse und einem VLAN zugeordnet wird.

Unerlässlich für die Absicherung von IoT-Geräten und Mandanten-Umgebungen, in denen 802.1X nicht unterstützt wird, wodurch der Bedarf an mehreren SSIDs verringert wird.

AAA Override

Eine WLAN-Einstellung auf dem Cisco WLC, die den Controller zwingt, vom RADIUS-Server zurückgegebene Richtlinienparameter (wie VLAN-IDs oder ACLs) zu akzeptieren und die lokale WLAN-Konfiguration zu überschreiben.

Muss aktiviert sein, damit die dynamische VLAN-Zuweisung und iPSK korrekt funktionieren.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Eine hochsichere 802.1X-Authentifizierungsmethode, die auf einem gegenseitigen Zertifikatsaustausch anstelle von Passwörtern basiert.

Der Goldstandard für die WiFi-Sicherheit von Mitarbeitern, der ein MDM erfordert, um Client-Zertifikate auf Unternehmensgeräten bereitzustellen.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol. Eine 802.1X-Methode, die den Authentifizierungsprozess innerhalb eines TLS-Tunnels verschlüsselt, sodass sich Benutzer sicher mit Benutzername und Passwort authentifizieren können.

Wird für BYOD-Mitarbeiternetzwerke verwendet, bei denen die Bereitstellung von Client-Zertifikaten nicht machbar ist.

Pre-Authentication ACL

Eine Access Control List, die auf einen Wireless-Client angewendet wird, bevor er sich authentifiziert hat, und die genau festlegt, welche Netzwerkressourcen er erreichen kann.

Entscheidend für Captive Portals; sie muss DNS und den Zugriff auf die IP-Adressen der Purple Splash Page erlauben, während der gesamte andere Datenverkehr blockiert wird.

Dynamische Schnittstelle

Eine auf dem WLC erstellte logische Schnittstelle, die einer bestimmten VLAN-ID und einem physischen Port zugeordnet ist.

Wenn RADIUS eine VLAN-ID für die dynamische Zuweisung zurückgibt, muss dieses VLAN bereits als dynamische Schnittstelle auf dem WLC existieren, andernfalls wird der Client in das native VLAN verschoben.

WPA3-SAE

Simultaneous Authentication of Equals. Der moderne Ersatz für WPA2-PSK, der Forward Secrecy und Schutz vor Offline-Wörterbuchangriffen bietet.

Unterstützt von Cisco Catalyst 9800 und Purple RADIUS zur Absicherung moderner IoT- und Gastnetzwerke.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern muss den Netzwerkverkehr für Gäste, Mitarbeiter und IoT-Geräte (Türschlösser, Thermostate) über einen einzigen Cisco Catalyst 9800 WLC segmentieren, ohne mehrere SSIDs zu erstellen, die zu RF-Überlastung führen.

Richten Sie eine einzelne SSID unter Verwendung von Cisco iPSK ein. Registrieren Sie die MAC-Adresse jedes IoT-Geräts im Dashboard von Purple und weisen Sie jedes dem VLAN 30 zu. Konfigurieren Sie das WLC WLAN mit MAC-Filterung, AAA Override und WPA2-PSK. Wenn sich ein Türschloss verbindet, gibt der RADIUS-Server von Purple den eindeutigen PSK sowie die IETF-Attribute 64, 65 und 81 zurück, um das Gerät dynamisch in das VLAN 30 zu leiten. Gäste nutzen eine separate offene SSID mit externer Web-Authentifizierung, die auf das Captive Portal von Purple verweist.

Kommentar des Prüfers: Dieser Ansatz minimiert den SSID-Overhead bei gleichzeitiger Beibehaltung einer strikten Layer-2-Isolierung. Die Verwendung von iPSK für bildschirmlos arbeitende IoT-Geräte vermeidet die Komplexität der Bereitstellung von 802.1X-Zertifikaten auf Endgeräten, die diese nicht unterstützen.

Eine Einzelhandelskette mit 80 Filialen muss den Datenverkehr von Zahlungsterminals vom Gäste-WiFi-Verkehr trennen, um die PCI-DSS-Konformität zu wahren, die zentral über das Cisco Catalyst Centre verwaltet wird.

Konfigurieren Sie die Gäste-SSID mit einer Pre-Authentication ACL, die Datenverkehr, der für das Subnetz der Zahlungsterminals (VLAN 40) bestimmt ist, explizit verwirft. Verwenden Sie iPSK, um Zahlungsterminals zu authentifizieren, und weisen Sie sie über den RADIUS-Server von Purple dynamisch dem VLAN 40 zu. Der Gästeverkehr wird über das Captive Portal von Purple authentifiziert und dem VLAN 10 zugewiesen.

Kommentar des Prüfers: Dieses Design erfüllt die PCI-DSS-Anforderung 1.3 durch die Durchsetzung der Netzwerksegmentierung. Die Zentralisierung der RADIUS-Richtlinie in Purple gewährleistet eine konsistente VLAN-Zuweisung in allen 80 Filialen ohne manuelle Switchport-Konfiguration.

Übungsfragen

Q1. Sie stellen ein Captive Portal auf einem Catalyst 9800 WLC bereit. Clients verbinden sich mit der SSID, aber ihre Browser laden die URL der Splash Page kontinuierlich neu, ohne den Inhalt jemals anzuzeigen. Was ist die wahrscheinlichste architektonische Ursache?

Hinweis: Berücksichtigen Sie den Status des Clients, bevor die Authentifizierung abgeschlossen ist, und welcher Datenverkehr zulässig ist.

Musterlösung anzeigen

Die Pre-Authentication-ACL oder der URL-Filter ist falsch konfiguriert. Sie blockiert den Zugriff auf die IP-Adressen des Portals von Purple. Der WLC fängt den Datenverkehr ab und leitet ihn zum Portal weiter, aber der Client kann das Portal nicht erreichen, um es zu laden, was eine Endlosschleife bei der Weiterleitung auslöst. Sie müssen die IP-Adressen von Purple explizit zulassen oder einen URL-Filter für die Portal-Domain verwenden.

Q2. Ein IoT-Gerät authentifiziert sich erfolgreich über iPSK, und der RADIUS-Server von Purple gibt ein Access-Accept mit den IETF-Attributen 64, 65 und 81 zurück, die VLAN 50 spezifizieren. Das Gerät wird jedoch im VLAN 10 (dem Management-VLAN) platziert. Warum ist das passiert?

Hinweis: Denken Sie an die Voraussetzungen, die auf dem WLC selbst erforderlich sind, um ein per RADIUS zugewiesenes VLAN zu akzeptieren und anzuwenden.

Musterlösung anzeigen

Entweder ist "AAA Override" in den erweiterten WLAN-Einstellungen deaktiviert, was dazu führt, dass der WLC die RADIUS-Attribute ignoriert, ODER VLAN 50 existiert nicht als konfiguriertes dynamisches Interface auf dem WLC. Wenn das zugewiesene VLAN lokal nicht existiert, fällt der WLC auf das native/Management-VLAN zurück.

Q3. Ein Standort möchte 802.1X für das Mitarbeiter-WiFi unter Verwendung von Microsoft Entra ID bereitstellen. Sie verfügen über keinen lokalen RADIUS-Server wie Cisco ISE. Wie kann dies über die Purple-Plattform realisiert werden?

Hinweis: Überlegen Sie, wie Purple den EAP-Tunnel und die Identitätsprüfung handhabt.

Musterlösung anzeigen

Konfigurieren Sie den WLC so, dass er Purple SecurePass als RADIUS-Server verwendet. Purple fungiert als Cloud-RADIUS-Proxy, beendet den EAP-TLS- oder PEAP-Tunnel vom WLC und leitet die Identitätsabfrage über API/SAML sicher an Microsoft Entra ID weiter. Es ist kein lokaler RADIUS-Server erforderlich.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.