Zum Hauptinhalt springen
Deutsch

Integration von NETGEAR Insight und Enterprise Access Points mit Purple WiFi

Dieser Leitfaden bietet IT-Managern eine definitive technische Roadmap für die Integration von NETGEAR Insight und WAX Enterprise Access Points mit Purple WiFi. Er deckt wesentliche Konfigurationen ab, darunter Guest Captive Portals, 802.1X-Mitarbeiternetzwerke und Multi-Tenant-Segmentierung mittels PPSK und dynamischer VLAN-Zuweisung.

📖 6 Min. Lesezeit📝 1,295 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen beim Technical Briefing von Purple. Heute behandeln wir ein Thema, das in unseren Gesprächen mit IT-Managern und Netzwerkarchitekten in der Hotellerie, im Einzelhandel und an Multi-Tenant-Standorten ständig zur Sprache kommt: die Integration von NETGEAR Insight und Access Points der WAX-Serie mit Purple WiFi. Wenn Sie ein Hotel, ein Fachmarktzentrum, ein Konferenzzentrum oder eine gemischt genutzte Immobilie betreiben, ist dieses Briefing direkt für Ihre nächste Bereitstellungsentscheidung relevant. Betrachten wir zunächst die Ausgangslage. Die WAX-Serie von NETGEAR – WAX610, WAX620 und WAX630 – sind WiFi 6 Access Points, die über die Insight-Cloud-Plattform verwaltet werden. Sie unterstützen bis zu acht separate SSIDs pro Funkmodul, WPA3-Verschlüsselung und einen Durchsatz von bis zu sechs Gigabit beim WAX630. Sie sind PoE-betrieben, für die Deckenmontage geeignet und werden über eine zentrale Benutzeroberfläche im Insight Cloud Portal verwaltet. Für einen IT-Installateur oder KMU-Netzwerkadministrator ist dies eine äußerst leistungsfähige Plattform zu einem Preis, der deutlich unter dem Niveau von Cisco Meraki oder HPE Aruba liegt. Purple ist ein hardwareunabhängiges Cloud-Overlay. Wir setzen auf Ihrer bestehenden Infrastruktur auf und fügen die Ebene für das Gasterlebnis, die Datenerfassung und die Analysen hinzu. Wir haben im Jahr 2024 440 Millionen Logins an 80.000 aktiven Standorten verarbeitet. Die Integration mit NETGEAR Insight ist sauber und gut dokumentiert und deckt vier verschiedene Anwendungsfälle ab, die wir heute durchgehen werden. Kommen wir nun zum technischen Deep-Dive. Die vier Anwendungsfälle sind: Guest WiFi mit einem Purple Captive Portal, sicheres Mitarbeiter-WiFi mittels 802.1X, Multi-Tenant-Segmentierung über die PPSK-Funktion von NETGEAR und dynamische VLAN-Zuweisung via RADIUS für Identity-Based Networks. Anwendungsfall eins: Guest WiFi mit einem Purple Captive Portal. Dies ist der häufigste Ausgangspunkt. Sie erstellen eine dedizierte Guest SSID in NETGEAR Insight und konfigurieren sie als offenes Netzwerk. Die wichtigste Konfiguration befindet sich im Bereich Captive Portal der SSID-Einstellungen. Sie wählen 'External Captive Portal' und fügen die von Purple bereitgestellte Splash-Page-URL ein. Als Nächstes konfigurieren Sie den Authentifizierungstyp. Für die meisten Purple-Bereitstellungen wählen Sie die RADIUS-Authentifizierung. Purple stellt Ihnen eine primäre RADIUS-Server-IP-Adresse, Port 1812 für die Authentifizierung und Port 1813 für das Accounting sowie ein Shared Secret zur Verfügung. Diese tragen Sie in die Konfiguration des externen Captive Portals in NETGEAR Insight ein. Sie legen außerdem einen NAS-Identifier fest – eine Zeichenfolge, die diesen spezifischen Access Point oder Standort gegenüber dem RADIUS-Server identifiziert. Verwenden Sie einen aussagekräftigen Namen, z. B. Ihren Standortnamen und den Standortcode. Der Walled Garden ist der Punkt, an dem die meisten Installateure scheitern. Bevor sich ein Gast authentifiziert, muss sein Gerät in der Lage sein, die Purple Splash-Page, die Authentifizierungsserver und alle von Ihnen aktivierten Social-Login-Anbieter zu erreichen. NETGEAR Insight verfügt über einen dedizierten Walled-Garden-Bereich in der Konfiguration des externen Captive Portals, in dem Sie diese URLs hinzufügen. Die Support-Dokumentation von Purple enthält die genaue Liste der freizugebenden Domains. Wenn Sie hier einen Fehler machen, sehen die Gäste anstelle Ihres gebrandeten Portals eine leere Seite. Nach der Konfiguration sieht der Ablauf wie folgt aus: Ein Gast verbindet sich mit der Hotel-Guest-SSID. Der Access Point fängt seine erste HTTP-Anfrage ab und leitet ihn auf die Purple Splash-Page weiter. Der Gast sieht Ihr gebrandetes Portal, akzeptiert die Bedingungen und gibt optional seine E-Mail-Adresse an oder meldet sich über soziale Medien an. Der RADIUS-Server von Purple sendet eine Access-Accept-Nachricht an den Access Point zurück, und dem Gast wird Internetzugang gewährt. Purple erfasst die Einwilligungsdaten, protokolliert die Sitzung und diese Daten fließen in Ihr Purple-Analyse-Dashboard. Anwendungsfall zwei: Sicheres Mitarbeiter-WiFi mittels 802.1X. Hier verabschieden Sie sich vollständig von gemeinsam genutzten Passwörtern. Für Mitarbeiternetzwerke ist ein Pre-Shared Key ein Sicherheitsrisiko – wenn ein Mitarbeiter das Unternehmen verlässt, müssen Sie das Passwort für alle ändern. 802.1X, definiert im IEEE-802.1X-Standard, gibt jedem Benutzer individuelle Anmeldedaten. Wenn sie das Unternehmen verlassen, deaktivieren Sie ihr Konto in Ihrem Verzeichnis, und ihr Zugriff wird sofort entzogen. In NETGEAR Insight konfigurieren Sie eine separate Staff SSID mit WPA2 Enterprise- oder WPA3 Enterprise-Sicherheit. Dies weist den Access Point an, die 802.1X-Authentifizierung anstelle eines Pre-Shared Keys zu verwenden. Anschließend konfigurieren Sie die RADIUS-Server-Einstellungen auf Netzwerkstandort-Ebene. Gehen Sie zu den Netzwerkstandort-Einstellungen, wählen Sie RADIUS, aktivieren Sie die 802.1X-Zugriffsauthentifizierung und geben Sie die IP, den Port und das Shared Secret Ihres RADIUS-Servers ein. Das Standard-Reauthentifizierungsintervall beträgt 3.600 Sekunden – eine Stunde –, was für die meisten Standorte ein sinnvoller Ausgangspunkt ist. Die am häufigsten verwendete EAP-Methode in KMU-Bereitstellungen ist PEAP-MSCHAPv2, die ein serverseitiges Zertifikat verwendet, um einen verschlüsselten Tunnel zu erstellen, in dem sich der Benutzer mit seinem Active Directory-Benutzernamen und -Passwort authentifiziert. EAP-TLS ist sicherer – es verwendet Zertifikate auf beiden Seiten –, erfordert jedoch eine PKI-Infrastruktur und MDM, um Zertifikate auf die Geräte zu übertragen. Ein kritischer Punkt: Erzwingen Sie die Zertifikatsvalidierung auf jedem Client-Gerät. Konfigurieren Sie Ihre Windows-Geräte über Gruppenrichtlinienobjekte und Ihre Mobilgeräte über MDM-Profile so, dass sie das Zertifikat des RADIUS-Servers validieren. Wenn Sie diesen Schritt überspringen, sind die Geräte anfällig für Rogue-Access-Point-Angriffe, bei denen ein Angreifer ein gefälschtes Zertifikat präsentiert und Anmeldedaten abfängt. Anwendungsfall drei: NETGEAR PPSK für Multi-Tenant-Standorte. Private Pre-Shared Key löst ein spezifisches Problem in Fachmarktzentren, gemischt genutzten Immobilien und Co-Working-Spaces. Sie haben mehrere Mieter, die sich dieselbe physische WiFi-Infrastruktur teilen. Sie möchten nicht für jeden Mieter separate SSIDs betreiben – das führt zu Hochfrequenz-Überlastung und erhöht die Verwaltungskomplexität. Sie können aber auch nicht allen dasselbe Passwort geben, da Mieter A sonst den Datenverkehr von Mieter B einsehen könnte. PPSK löst dies elegant. Sie erstellen eine einzige SSID und generieren in NETGEAR Insight unter Wireless, Einstellungen, Erweitert, Multi-PSK-Einstellungen mehrere Pre-Shared Keys. Jeder Schlüssel ist einem bestimmten VLAN zugeordnet. Mieter A erhält ein eindeutiges 16-stelliges Passwort, das VLAN 30 zugewiesen ist. Mieter B erhält ein anderes Passwort, das VLAN 40 zugewiesen ist. Das Standort-Management-Team erhält ein drittes Passwort, das VLAN 20 zugewiesen ist, welches Zugriff auf die Verwaltungssysteme hat. Wenn sich die Geräte von Mieter A mit ihrem Passwort verbinden, weist der Access Point sie automatisch VLAN 30 zu. Sie können keinen Datenverkehr auf VLAN 40 oder VLAN 20 sehen. Aus Sicht des Mieters haben sie einfach ein WiFi-Passwort. Aus Ihrer Sicht als Netzwerkadministrator haben Sie eine vollständige Isolation des Datenverkehrs zwischen den Mietern ohne zusätzliche Hardware. Es gibt zwei wichtige Einschränkungen, die Sie kennen sollten. Erstens erfordert PPSK in NETGEAR Insight eine WPA2 Personal- oder WPA2 Personal Mixed-Verschlüsselung. Es funktioniert nicht im 6-GHz-Band. Zweitens kann PPSK nicht mit einem Captive Portal auf derselben SSID kombiniert werden. Wenn Sie beides benötigen, brauchen Sie zwei separate SSIDs – was kein Problem ist, da die Access Points der WAX-Serie bis zu acht unterstützen. Anwendungsfall vier: Dynamische VLAN-Zuweisung via RADIUS. Dies ist die anspruchsvollste Konfiguration und die Grundlage für die Identity-Based Networks-Funktion von Purple. Anstatt ein VLAN statisch einem Passwort oder einer SSID zuzuweisen, lassen Sie den RADIUS-Server entscheiden, welches VLAN basierend auf der Identität des sich authentifizierenden Benutzers zugewiesen wird. Der Mechanismus verwendet drei Standard-RADIUS-Attribute: Tunnel-Type, das für VLAN auf den Wert 13 gesetzt werden muss; Tunnel-Medium-Type, das für IEEE 802 auf den Wert 6 gesetzt werden muss; und Tunnel-Private-Group-ID, das die VLAN-ID als Zeichenfolge enthält. Wenn sich ein Benutzer erfolgreich authentifiziert, gibt der RADIUS-Server diese drei Attribute in der Access-Accept-Nachricht zurück. Der Access Point liest sie aus und stuft den Client in das angegebene VLAN ein. In der Praxis bedeutet dies, dass Sie eine einzige WPA2 Enterprise SSID haben können, bei der sich ein Hotelmanager authentifiziert und in VLAN 20 mit Zugriff auf die Hotelmanagementsysteme landet, ein Mitarbeiter an der Rezeption sich authentifiziert und in VLAN 21 mit Zugriff nur auf das Check-in-System landet und ein externer Dienstleister sich authentifiziert und in VLAN 50 mit reinem Internetzugang landet. Alles über dieselbe SSID, alles automatisch vom RADIUS-Server basierend auf der Active Directory-Gruppenmitgliedschaft erzwungen. Lassen Sie uns nun über Implementierungsempfehlungen und Fallstricke sprechen. Der erste Fallstrick ist der Walled Garden. Jede externe Captive Portal-Bereitstellung scheitert mindestens einmal am Walled Garden. Das Symptom ist, dass sich Gäste mit der SSID verbinden, aber einen Browserfehler anstelle der Splash-Page sehen. Die Lösung ist methodisch: Öffnen Sie die Support-Dokumentation von Purple, kopieren Sie jede Domain in der Walled-Garden-Liste und fügen Sie sie in den Walled-Garden-Bereich von NETGEAR Insight ein. Testen Sie mit einem Gerät, das keine zwischengespeicherten Anmeldedaten besitzt. Der zweite Fallstrick ist die RADIUS-Erreichbarkeit. Der NETGEAR Access Point muss Ihren RADIUS-Server erreichen können. RADIUS verwendet den UDP-Port 1812 für die Authentifizierung und den UDP-Port 1813 für das Accounting. Öffnen Sie diese Ports von der Management-IP des Access Points zur IP des RADIUS-Servers. Testen Sie dies mit einem RADIUS-Testtool, bevor Sie live gehen. Der dritte Fallstrick ist der Konflikt zwischen PPSK und Captive Portal. NETGEAR Insight erlaubt PPSK und Captive Portal nicht auf derselben SSID. Wenn Sie beides benötigen, erstellen Sie zwei SSIDs. Benennen Sie diese eindeutig – eine für die PPSK-Mieter und eine für die Captive Portal-Gäste. Der vierte Fallstrick ist die Zertifikatsvalidierung auf 802.1X-Clients. Jedes Windows-Gerät benötigt ein Gruppenrichtlinienobjekt, das die vertrauenswürdige Zertifizierungsstelle und den erwarteten RADIUS-Servernamen angibt. Jedes Mobilgerät benötigt ein MDM-Profil mit denselben Einstellungen. Ohne dies könnte sich ein Benutzer unwissentlich an einem Rogue-Access-Point authentifizieren und seine Active Directory-Anmeldedaten preisgeben. Kommen wir nun zu einer schnellen Fragerunde. Frage eins: Kann ich Purple mit NETGEAR Insight ohne einen RADIUS-Server verwenden? Ja, für Guest Captive Portal-Bereitstellungen können Sie den Web-Authentifizierungsmodus von Purple anstelle von RADIUS verwenden. Der Access Point leitet über HTTP auf die Splash-Page weiter, und Purple übernimmt die Authentifizierung über eine Websitzung. RADIUS bietet Ihnen mehr Kontrolle und bessere Accounting-Daten, ist aber für einfache Guest Portal-Bereitstellungen nicht zwingend erforderlich. Frage zwei: Wie viele PPSK-Schlüssel kann ich in NETGEAR Insight erstellen? NETGEAR Insight unterstützt bis zu 64 PPSK-Schlüssel pro SSID auf Access Points der WAX-Serie. Für die meisten Multi-Tenant-Standorte ist dies mehr als ausreichend. Wenn Sie mehr als 64 Mieter haben, müssen Sie stattdessen auf eine RADIUS-basierte dynamische VLAN-Lösung umsteigen. Frage drei: Unterstützt NETGEAR Insight WPA3 Enterprise für 802.1X? Ja, Access Points der WAX-Serie unterstützen WPA3 Enterprise. Für die meisten KMU-Bereitstellungen ist WPA2 Enterprise ausreichend und bietet eine breitere Kompatibilität mit Client-Geräten. WPA3 Enterprise ist für Umgebungen in Betracht zu ziehen, die mit sensiblen Daten umgehen, wie z. B. im Gesundheitswesen oder bei Finanzdienstleistungen. Frage vier: Was passiert, wenn der Purple RADIUS-Server nicht erreichbar ist? NETGEAR Insight unterstützt eine Failsafe-Option in der Konfiguration des externen Captive Portals. Wenn Sie Failsafe aktivieren, erhalten Gäste für kurze Zeit Internetzugang, selbst wenn die Captive Portal-Server nicht erreichbar sind. Purple hält eine Betriebszeit von 99,999 % in unserer gesamten Infrastruktur aufrecht, aber die Aktivierung von Failsafe ist eine gute Praxis für jede Produktivbereitstellung. Zusammenfassend die wichtigsten Erkenntnisse aus dem heutigen Briefing: Access Points der NETGEAR WAX-Serie lassen sich über den Mechanismus des externen Captive Portals in NETGEAR Insight mit Purple integrieren. Sie konfigurieren die Splash-Page-URL, die RADIUS-Server-Anmeldedaten und die Walled-Garden-Domains im Insight Cloud Portal. Verwenden Sie für Mitarbeiternetzwerke WPA2 Enterprise mit 802.1X und erzwingen Sie die Zertifikatsvalidierung auf jedem Client-Gerät. Für Multi-Tenant-Standorte bietet Ihnen die PPSK-Funktion von NETGEAR eine VLAN-Isolation pro Mieter über eine einzige SSID mit bis zu 64 eindeutigen Schlüsseln. Für die anspruchsvollsten Bereitstellungen bietet Ihnen die dynamische VLAN-Zuweisung über RADIUS-Attribute eine identitätsgesteuerte Netzwerksegmentierung, die sich daran anpasst, wer sich verbindet, und nicht nur, von wo aus die Verbindung hergestellt wird. Wenn Sie eine NETGEAR-Bereitstellung mit Purple planen, besteht der nächste Schritt darin, Ihre Purple RADIUS-Anmeldedaten und die Walled-Garden-Domainliste beim Support-Team von Purple anzufordern und die Captive Portal-Weiterleitung auf einer Staging-SSID zu testen, bevor Sie sie in der Produktion einführen. Die Konfiguration dauert weniger als 30 Minuten, sobald Sie diese Anmeldedaten vorliegen haben. Vielen Dank, dass Sie sich das Technical Briefing von Purple angehört haben. Den vollständigen schriftlichen Leitfaden, einschließlich detaillierter Schritt-für-Schritt-Konfigurationsdetails und Praxisbeispielen, finden Sie auf purple.ai.

header_image.png

Executive Summary

Relying on pre-shared keys for enterprise WiFi access is a significant security liability. A single compromised credential exposes the entire network, and revoking access requires changing the password for every device. This guide provides IT managers and network architects with a definitive roadmap for integrating NETGEAR Insight and WAX series enterprise access points with Purple.

We detail four core deployment architectures: Guest WiFi with a captive portal, Secure Staff WiFi using 802.1X, Multi-Tenant segmentation via NETGEAR Private Pre-Shared Keys (PPSK), and Identity-Based Networks using dynamic VLAN assignment. Whether you operate Hospitality venues, Retail spaces, or public-sector environments, these configurations eliminate shared passwords, enforce strict network segmentation, and capture actionable WiFi Analytics .

Listen to our technical briefing podcast below for a comprehensive overview of the architecture and common deployment pitfalls.

Technical Deep-Dive

NETGEAR WAX series access points (WAX610, WAX620, WAX630) are cloud-managed WiFi 6 devices designed for high-density environments. Managed via the NETGEAR Insight portal, they support up to eight separate SSIDs per radio, WPA3 encryption, and multi-gigabit throughput. Purple acts as a hardware-agnostic cloud overlay, integrating with NETGEAR Insight to deliver enterprise-grade access control and data capture.

1. Guest WiFi with Captive Portal

For public-facing environments, you must deploy an External Captive Portal. This configuration intercepts guest HTTP requests and redirects them to a Purple-hosted splash page.

Architecture:

  1. Access Point: NETGEAR WAX access point broadcasts an open or WPA2 Personal Guest SSID.
  2. Walled Garden: NETGEAR Insight permits pre-authentication traffic to Purple's servers and social login providers.
  3. Authentication: Purple handles the user session via RADIUS or HTTP web authentication.

When a guest connects, they are presented with a branded portal. Upon accepting the terms and providing details, Purple's RADIUS server returns an Access-Accept message, granting internet access. This approach guarantees compliance with data privacy regulations like GDPR while capturing valuable first-party data.

2. Secure Staff WiFi (802.1X)

Pre-shared keys are unacceptable for staff networks. You must implement IEEE 802.1X authentication. In this model, every user has an individual credential. When an employee departs, you disable their directory account, and their access is revoked instantly.

In NETGEAR Insight, you configure a Staff SSID with WPA2 Enterprise or WPA3 Enterprise security. The access point acts as the authenticator, relaying Extensible Authentication Protocol (EAP) messages to the RADIUS server. The RADIUS server validates the credentials against your directory (e.g., Microsoft Entra ID or Okta) and returns the authorisation decision.

3. Multi-Tenant Segmentation (PPSK)

Mixed-use developments and retail parks face a specific challenge: multiple tenants sharing physical WiFi infrastructure. Deploying separate SSIDs for each tenant creates radio frequency congestion. Providing a single shared password compromises security.

NETGEAR Private Pre-Shared Key (PPSK) solves this. You broadcast a single SSID. In NETGEAR Insight, you generate unique passwords for each tenant. Crucially, each password maps to a specific VLAN.

ppsk_vlan_infographic.png

When a device connects using the retail unit's password, the access point places it on the isolated retail VLAN. When venue management connects using their password, they land on the management VLAN. You achieve complete traffic isolation with zero additional hardware. Note that PPSK requires WPA2 Personal and cannot be combined with a captive portal on the same SSID.

4. Dynamic VLAN Assignment via RADIUS

For sophisticated Identity-Based Networks, you must use dynamic VLAN assignment. Instead of statically assigning a VLAN to an SSID or a password, the RADIUS server dictates the VLAN based on the user's directory profile.

The RADIUS server returns three standard attributes in the Access-Accept message:

  • [64] Tunnel-Type = 13 (VLAN)
  • [65] Tunnel-Medium-Type = 6 (802)
  • [81] Tunnel-Private-Group-ID = [VLAN ID]

A single WPA2 Enterprise SSID can serve the entire organisation. A hotel manager authenticates and lands on VLAN 20. A front desk agent lands on VLAN 21. A contractor lands on VLAN 50. The network adapts to the identity of the user. For a broader look at securing your environment, review our Enterprise WiFi Security: A Complete Guide for 2026 .

architecture_overview.png

Implementation Guide

Follow these steps to deploy NETGEAR Insight with Purple Guest WiFi .

Step 1: Configure the Guest SSID

  1. Log in to the NETGEAR Insight Cloud Portal.
  2. Select your network location and navigate to Wireless > Settings.
  3. Create a new SSID (e.g., "Venue Guest WiFi").
  4. Select Captive Portal and choose External Captive Portal.

Step 2: Configure the Captive Portal

  1. In the Splash Page URL field, enter the URL provided by Purple.
  2. Select the Radius radio button.
  3. Enter the Primary Authentication Server IP, port (1812), and shared secret provided by Purple.
  4. Enter the Primary Accounting Server IP, port (1813), and shared secret.
  5. Set a descriptive NAS-Identifier (e.g., "London-Retail-01").

Step 3: Configure the Walled Garden

This is the most critical step. If the walled garden is incorrect, guests will see a blank screen.

  1. Scroll to the Walled Garden section in the Captive Portal settings.
  2. Add every domain provided in Purple's integration documentation. This includes Purple's CDN domains, authentication servers, and any enabled social login providers (e.g., Facebook, Google).
  3. Click Save.

Step 4: Verify RADIUS Reachability

Ensure your firewall permits UDP ports 1812 and 1813 outbound from the access point management IP addresses to the Purple RADIUS servers.

Best Practices

  • Enforce Certificate Validation: For 802.1X deployments, you must enforce strict certificate validation on all client devices via Group Policy Objects (GPO) or Mobile Device Management (MDM). If clients do not validate the RADIUS server certificate, they are vulnerable to rogue access point attacks.
  • Isolate Management Traffic: Always place access point management IP addresses on a dedicated management VLAN, isolated from guest and staff traffic.
  • Enable Failsafe: In the NETGEAR Insight Captive Portal settings, enable the FailSafe option. If the RADIUS servers become unreachable, guests are granted temporary internet access, preventing a total WiFi outage.
  • Separate SSIDs for PPSK: Because NETGEAR Insight does not support PPSK and Captive Portal on the same SSID, you must create dedicated SSIDs (e.g., "Venue-Guest" and "Venue-Tenant").

Troubleshooting & Risk Mitigation

Symptom: Guests connect to the SSID but the splash page does not load.

  • Cause: Incomplete Walled Garden configuration.
  • Resolution: Verify that all Purple domains and social login domains are entered correctly in the NETGEAR Insight Walled Garden settings. Test with a device that has no cached credentials.

Symptom: Staff devices fail to authenticate via 802.1X.

  • Cause: RADIUS timeout or incorrect shared secret.
  • Resolution: Verify that UDP ports 1812 and 1813 are open outbound. Confirm the shared secret matches exactly between the NETGEAR Insight portal and the RADIUS server. Check the RADIUS server logs for Access-Reject messages.

Symptom: PPSK clients are placed on the wrong VLAN.

  • Cause: Incorrect VLAN mapping or missing VLAN configuration on the switch.
  • Resolution: Ensure the VLAN is created in NETGEAR Insight under Wired settings. Verify the Multi PSK Settings map the correct password to the correct VLAN ID. Ensure the switch port connecting the access point is configured as a trunk port allowing the target VLAN.

ROI & Business Impact

Deploying NETGEAR Insight with Purple transforms your wireless infrastructure from a cost centre into a revenue-generating asset. By implementing Identity-Based Networks and captive portals, you achieve:

  • Reduced IT Overhead: PPSK and 802.1X eliminate the need to manually manage shared passwords or dispatch engineers for routine access changes.
  • Actionable Analytics: Capture demographic data, dwell times, and return rates to optimise venue operations and tenant mix.
  • Marketing ROI: Build a high-intent, GDPR-compliant CRM database. Venues typically see a significant reduction in customer acquisition costs when leveraging first-party data collected via WiFi.
  • Enhanced Security: Dynamic VLAN assignment isolates IoT devices, point-of-sale systems, and guest traffic, significantly reducing the attack surface and ensuring PCI DSS compliance.

Schlüsseldefinitionen

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle (Network Access Control), der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung mit einem LAN oder WLAN herstellen möchten.

Unerlässlich für die Unternehmenssicherheit; ersetzt gemeinsam genutzte Passwörter durch individuelle Benutzeranmeldedaten.

Captive Portal

Eine Webseite, die ein Benutzer eines öffentlichen Netzwerks anzeigen und mit der er interagieren muss, bevor ihm Zugriff gewährt wird.

Wird von Purple verwendet, um First-Party-Daten zu erfassen und die Zustimmung zu den Nutzungsbedingungen sicherzustellen.

PPSK (Private Pre-Shared Key)

Eine Funktion, die mehrere eindeutige Passwörter auf einer einzigen SSID ermöglicht, wobei jedes Passwort den Benutzer einem bestimmten VLAN zuweist.

Ideal für Gebäude mit mehreren Mietern oder zur Isolierung von IoT-Geräten, ohne mehrere SSIDs erstellen zu müssen.

RADIUS

Remote Authentication Dial-In User Service; ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) bereitstellt.

Der zentrale Server, der Anmeldedaten validiert und dem NETGEAR AP mitteilt, ob der Zugriff gewährt werden soll.

Walled Garden

Eine eingeschränkte Umgebung, die den Zugriff des Benutzers auf Webinhalte und -dienste vor der vollständigen Authentifizierung kontrolliert.

Muss in NETGEAR Insight konfiguriert werden, damit Geräte die Purple Splash-Page und Social-Login-Anbieter erreichen können.

Dynamic VLAN Assignment

Der Prozess, bei dem ein RADIUS-Server einen Access Point anweist, einen authentifizierten Benutzer basierend auf seiner Identität in ein bestimmtes VLAN einzustufen.

Ermöglicht Identity-Based Networks, sodass eine einzige SSID mehrere Abteilungen sicher bedienen kann.

NAS-Identifier

Network Access Server Identifier; eine Zeichenfolge zur Identifizierung der Quelle einer RADIUS-Zugriffsanfrage.

In NETGEAR Insight konfiguriert, damit Purple weiß, von welchem Standort oder Access Point aus sich der Benutzer verbindet.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; eine Authentifizierungsmethode, die digitale Zertifikate sowohl auf dem Client als auch auf dem Server erfordert.

Die sicherste 802.1X-Methode, die Passwörter vollständig überflüssig macht, jedoch MDM zur Bereitstellung von Zertifikaten erfordert.

Ausgearbeitete Beispiele

Ein Fachmarktzentrum mit 40 Einheiten muss sicheres, isoliertes WiFi für die Point-of-Sale-Systeme jedes Mieters sowie ein gebrandetes öffentliches WiFi-Netzwerk für Kunden bereitstellen. Es wurden NETGEAR WAX630 Access Points installiert. Wie sollte das Netzwerk konfiguriert werden?

Erstellen Sie zwei SSIDs in NETGEAR Insight. SSID 1: 'RetailPark-Guest'. Konfigurieren Sie diese mit einem externen Captive Portal, das auf die Splash-Page von Purple verweist, mit RADIUS-Authentifizierung und einem umfassenden Walled Garden. Weisen Sie diese VLAN 10 zu (nur Internet). SSID 2: 'RetailPark-Tenants'. Konfigurieren Sie diese mit WPA2 Personal und aktivieren Sie Multi PSK (PPSK). Erstellen Sie 40 eindeutige Passwörter. Weisen Sie das Passwort von Mieter A VLAN 101 zu, Mieter B VLAN 102 usw. Stellen Sie sicher, dass der Core-Switch alle VLANs zu den Access Points weiterleitet (Trunking).

Kommentar des Prüfers: Dieser Ansatz bietet eine perfekte Balance zwischen Sicherheit und Benutzerfreundlichkeit. Durch die Trennung der SSIDs umgehen wir die NETGEAR-Einschränkung, dass PPSK und Captive Portals nicht gemischt werden können. Die PPSK-Konfiguration gewährleistet eine vollständige Isolation zwischen den Mietern für die PCI-Compliance, während das Purple-Portal Kundendaten erfasst.

Eine Unternehmenszentrale möchte von einem gemeinsam genutzten WPA2-Passwort wegkommen. Die Mitarbeiter sollen sich mit ihren Microsoft Entra ID-Anmeldedaten authentifizieren, und das Finanzteam soll VLAN 50 sowie das Marketingteam VLAN 60 zugewiesen werden.

Stellen Sie eine einzelne SSID 'Corporate-Secure' bereit, die für WPA2 Enterprise konfiguriert ist. Verweisen Sie in den NETGEAR Insight RADIUS-Einstellungen auf einen mit Entra ID integrierten RADIUS-Server. Konfigurieren Sie den RADIUS-Server so, dass er basierend auf der Verzeichnisgruppenmitgliedschaft des Benutzers Standard-Tunnelattribute (Tunnel-Type=13, Tunnel-Medium-Type=6, Tunnel-Private-Group-ID=50 oder 60) zurückgibt. Erzwingen Sie die Zertifikatsvalidierung auf allen Firmen-Laptops via MDM.

Kommentar des Prüfers: Dies demonstriert echtes Identity-Based Networking. Der Access Point weist das VLAN basierend auf der RADIUS-Antwort dynamisch zu. Entscheidend ist, dass die Erzwingung der Zertifikatsvalidierung Rogue-AP-Angriffe verhindert, was für die Unternehmenssicherheit unerlässlich ist.

Übungsfragen

Q1. Sie haben ein Purple Captive Portal auf einem NETGEAR WAX620 bereitgestellt. Gäste können sich mit dem WiFi verbinden, aber ihre Browser zeigen anstelle der Splash-Page den Fehler 'Ziel nicht erreichbar' an. Was ist der wahrscheinlichste Konfigurationsfehler?

Hinweis: Bedenken Sie, was geschehen muss, bevor der Gast vollständig authentifiziert ist, um externe Server zu erreichen.

Musterlösung anzeigen

Der Walled Garden ist falsch konfiguriert oder unvollständig. Der NETGEAR Access Point blockiert den anfänglichen Datenverkehr zu den Servern von Purple. Sie müssen sicherstellen, dass alle erforderlichen Purple-CDN-Domains, Authentifizierungs-URLs und Social-Login-Domains zur Walled-Garden-Liste im Insight-Portal hinzugefügt wurden.

Q2. Ein Standort benötigt sowohl ein Guest Captive Portal als auch sicheres, isoliertes WiFi für 10 verschiedene Einzelhandelsmieter. Sie möchten HF-Interferenzen minimieren. Wie konfigurieren Sie die NETGEAR Access Points?

Hinweis: NETGEAR Insight weist spezifische Einschränkungen hinsichtlich der Kombination von Captive Portals und PPSK auf.

Musterlösung anzeigen

Sie müssen genau zwei SSIDs erstellen. NETGEAR unterstützt PPSK und Captive Portal nicht auf derselben SSID. Erstellen Sie 'Venue-Guest' mit einem externen Captive Portal, das auf Purple verweist. Erstellen Sie 'Venue-Retail' mit WPA2 Personal und konfigurieren Sie Multi PSK (PPSK) mit 10 eindeutigen Passwörtern, die jeweils einem anderen VLAN zugewiesen sind.

Q3. Welche drei RADIUS-Attribute muss der Server bei der Konfiguration der dynamischen VLAN-Zuweisung für Mitarbeiter mittels 802.1X in der Access-Accept-Nachricht zurückgeben?

Hinweis: Denken Sie an die Standardattribute nach RFC 2868 für die Tunnelkonfiguration.

Musterlösung anzeigen

Der RADIUS-Server muss Folgendes zurückgeben: [64] Tunnel-Type = 13 (VLAN), [65] Tunnel-Medium-Type = 6 (802) und [81] Tunnel-Private-Group-ID = [Die spezifische VLAN-ID-Zeichenfolge].

Weiterlesen in dieser Reihe

Cisco WLC und Catalyst Integration mit Purple WiFi: Schritt-für-Schritt-Anleitung für den Gastzugang

Diese massgebliche Anleitung beschreibt die schrittweise Integration von Cisco Catalyst 9800 WLCs mit Purple WiFi. Sie deckt die externe Web-Authentifizierung für Gäste-Captive Portals, 802.1X EAP-TLS für sicheren Mitarbeiterzugang und Cisco iPSK für die dynamische VLAN-Segmentierung in Mandanten-Umgebungen ab.

Leitfaden lesen →

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Leitfaden lesen →

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Leitfaden lesen →