Zum Hauptinhalt springen
Deutsch

SonicWall TZ and SonicWave Integration with Purple WiFi

Diese technische Referenz beschreibt die Integration von SonicWall TZ Firewalls und SonicWave APs mit der Purple WiFi Plattform. Sie bietet konkrete Konfigurationsschritte für die Weiterleitung zum Captive Portal, Walled-Garden-Ausnahmen, 802.1X-Authentifizierung und dynamische VLAN-Steuerung mittels Private Pre-Shared Keys (PPSK).

📖 6 Min. Lesezeit📝 1,263 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
SONICWALL TZ- UND SONICWAVE-INTEGRATION MIT PURPLE WIFI Purple WiFi Intelligence Platform - Technical Briefing Series Dauer: Ca. 10 Minuten Stimme: Britisches Englisch, Tonfall eines Senior Consultants - selbstbewusst, gesprächig, autoritär --- SEGMENT 1: EINFÜHRUNG UND KONTEXT (ca. 1 Minute) Willkommen zur Purple Technical Briefing Series. Heute behandeln wir eine der technisch anspruchsvolleren Integrationen im Bereich Enterprise-WiFi: SonicWall TZ-Firewalls und SonicWave Access Points, bereitgestellt zusammen mit Purple für die Gäste-Authentifizierung, die Zugriffskontrolle für Mitarbeiter und die Netzwerkisolierung für Mandanten. Wenn Sie ein IT-Sicherheitsingenieur oder ein MSP sind, der Standorte verwaltet – Hotels, Einzelhandelsketten, Konferenzzentren oder gemischt genutzte Immobilien –, dann ist dieses Briefing genau das Richtige für Sie. Wir werden zügig durch die Architektur, die Konfigurationsschritte und die Fallstricke gehen, bei denen Implementierungen schiefgehen können. SonicWall ist eine starke Wahl im KMU- und Mid-Market-Bereich. Die Firewalls der TZ-Serie sind weit verbreitet, und SonicWave APs lassen sich nativ über SonicOS und den Wireless Network Manager integrieren. Wenn Sie Purple hinzufügen, erhalten Sie eine Cloud-gesteuerte Gäste-WiFi-Ebene mit gebrandeten Splash Pages, RADIUS-basierter Authentifizierung und First-Party-Datenerfassung – und das alles, ohne Ihre bestehende SonicWall-Infrastruktur ersetzen zu müssen. Lassen Sie uns direkt in die Architektur einsteigen. --- SEGMENT 2: TECHNISCHER DEEP-DIVE (ca. 5 Minuten) Hierbei sind vier verschiedene Anwendungsfälle zu berücksichtigen, von denen jeder einen anderen Konfigurationspfad hat: Gäste-WiFi mit Captive Portal-Weiterleitung, Walled Garden-Ausnahmen, sicheres Mitarbeiter-WiFi über 802.1X und Mandantenisolierung mittels SonicWall Private Pre-Shared Keys – PPSK – mit dynamischer VLAN-Steuerung. Beginnen wir mit dem Gäste-WiFi und dem SonicWall Captive Portal. SonicOS verwendet einen Mechanismus namens Lightweight Hotspot Messaging – LHM –, um externe Captive Portal-Weiterleitungen zu verarbeiten. Wenn sich ein Gast mit Ihrer Gäste-SSID verbindet und einen Browser öffnet, fängt die SonicWall diese HTTP-Anfrage ab und leitet sie an die Splash-Page-URL von Purple weiter. Der Gast authentifiziert sich auf der Purple-Plattform – via Social Login, E-Mail oder Click-Through – und Purple sendet eine LHM-Autorisierung über den TCP-Port 4043 zurück an die SonicWall. Die SonicWall gibt daraufhin den Internetzugang für die MAC-Adresse dieses Geräts frei. Die Konfiguration in SonicOS 7.x sieht wie folgt aus: Navigieren Sie zuerst zu „Object“, dann zu „Match Objects“ und schließlich zu „Zones“. Bearbeiten Sie die Zone, die Ihrem Gäste-WiFi zugewiesen ist – in der Regel ein WLAN oder eine benutzerdefinierte Zone. Aktivieren Sie unter „Guest Services“ sowohl „Enable Guest Services“ als auch „External Guest Authentication“. Gehen Sie dann zu „Configure“, „Guest Services“, „General“. Stellen Sie das „Client Redirect Protocol“ auf HTTP ein. Geben Sie den Portal-Hostnamen von Purple als Webserver-Adresse ein – das ist portal.purple.ai. Legen Sie den Weiterleitungspfad auf die spezifische Splash-Page-URL Ihres Standorts fest, die Purple im Dashboard des Standorts bereitstellt. Der Port ist 4043. Richten Sie auf der Registerkarte "Auth Pages" die Login-URL auf die externe Portal-URL von Purple ein. Richten Sie die Logout-URL ein, wenn Sie die Beendigung von Sitzungen verwalten möchten. Aktivieren Sie auf der Registerkarte "Advanced" die Option "Allow unauthenticated users to access HTTPS sites" nur dann, wenn Sie HTTPS-first-Geräte unterstützen müssen – beachten Sie jedoch, dass dies die Durchsetzung der Weiterleitung abschwächt. Nach dem Speichern erstellt SonicOS automatisch eine NAT-Richtlinie und eine WAN-zu-WAN-Zugriffsregel, die TCP 4043 zulässt. Löschen Sie diese automatisch generierten Regeln nicht. Sie sind erforderlich, damit der LHM-Handshake abgeschlossen werden kann. Nun zur Konfiguration des Walled Garden. Bevor sich ein Gast authentifiziert, muss sein Gerät bestimmte Domains erreichen können, damit die Splash-Page funktioniert. Die Plattform von Purple hängt von eigenen CDN- und API-Endpunkten ab. Die Captive Portal-Erkennungssonden des Betriebssystems – captive.apple.com für iOS-Geräte, connectivitycheck.gstatic.com für Android und msftconnecttest.com für Windows – müssen alle auf die Whitelist gesetzt werden. Wenn Sie Social Login anbieten, fügen Sie accounts.google.com, oauth2.googleapis.com, apis.google.com und gstatic.com für Google hinzu. Fügen Sie www.facebook.com, graph.facebook.com, connect.facebook.net und die CDN-Domain fbcdn.net hinzu, wenn Sie Facebook-Login anbieten. Fügen Sie diese in SonicOS als FQDN-Adressobjekte unter "Object", "Match Objects", "Addresses" hinzu. Erstellen Sie dann Zugriffsregeln in der Gastzone, die es nicht authentifizierten Geräten ermöglichen, diese FQDNs zu erreichen. Verwenden Sie die dynamische DNS-Auflösung – SonicOS löst FQDN-Objekte in regelmäßigen Abständen auf – anstelle von statischen IP-Einträgen, die sich bei Änderungen der CDN-IP-Bereiche verschieben. Weiter geht es mit sicherem Mitarbeiter-WiFi mit 802.1X. Hier arbeiten SonicWave APs und der RADIUS-Server von Purple zusammen. Der SonicWave AP fungiert als Authentifikator im 802.1X-Austausch. Der Supplikant ist das Mitarbeitergerät. Der RADIUS-Server von Purple ist der Authentifizierungsserver. Die von Ihnen gewählte EAP-Methode hängt von Ihrem Identitätsanbieter ab. Wenn Sie Microsoft Entra ID oder Okta verwenden, ist PEAP-MSCHAPv2 die gängigste Wahl, da es mit Benutzernamen und Passwörtern funktioniert. Wenn Sie Gerätezertifikate bereitgestellt haben – was der empfohlene Ansatz für verwaltete Geräte ist –, verwenden Sie EAP-TLS. Navigieren Sie im Wireless Network Manager zu "Policies", "Policy Hierarchy", wählen Sie Ihre AP-Richtlinie aus und klicken Sie auf die Registerkarte "802.1X". Geben Sie die IP-Adresse des RADIUS-Servers von Purple ein – diese finden Sie in Ihrem Purple-Venue-Dashboard im Bereich für RADIUS-Einstellungen. Das Shared Secret wird von Purple generiert und muss auf beiden Seiten exakt übereinstimmen. Stellen Sie den Authentifizierungsport auf 1812 und den Accounting-Port auf 1813 ein. Wählen Sie für die EAP-Einstellungen die Methode aus, die der Konfiguration Ihres Identitätsanbieters entspricht. Erstellen Sie auf der Purple-Seite eine RADIUS-Richtlinie für die Mitarbeiter-Authentifizierung. Ordnen Sie die Mitarbeiter-SSID einem bestimmten VLAN zu – zum Beispiel VLAN 200 für Mitarbeiter. Der RADIUS-Server von Purple gibt die VLAN-Zuweisung über drei Standardattribute zurück: Tunnel-Type auf VLAN gesetzt, Tunnel-Medium-Type auf 802 gesetzt und Tunnel-Private-Group-ID auf die VLAN-ID als String gesetzt – also "200" für VLAN 200. Die SonicWall-Firewall und der SonicWave AP berücksichtigen diese Attribute und weisen das authentifizierte Mitarbeitergerät automatisch dem richtigen VLAN zu. Nun zum architektonisch interessantesten Anwendungsfall: PPSK und Multi-Tenant-Isolierung. Private Pre-Shared Keys ermöglichen es Ihnen, eine einzige SSID zu betreiben und jedem Mandanten, Bewohner oder jeder Benutzergruppe eine eindeutige Passphrase zuzuweisen. Wenn sich ein Gerät mit einem bestimmten PPSK verbindet, sendet der SonicWave AP diesen Schlüssel zur Validierung an den RADIUS-Server von Purple. Purple schlägt den Schlüssel nach, identifiziert den zugehörigen Mandanten oder die Benutzergruppe und gibt die entsprechende VLAN-Zuweisung über das Attribut Tunnel-Private-Group-ID zurück. Die SonicWall leitet dieses Gerät dann in das richtige VLAN – vollständig isoliert von anderen Mandanten auf derselben SSID. Das ist identitätsbasiertes Networking in der Praxis. Sie verwalten nicht SSIDs pro Mandant. Sie verwalten Identitäten pro Mandant. In einem gemischt genutzten Objekt mit zehn Einzelhandelsgeschäften wird eine einzige SSID im gesamten Gebäude ausgestrahlt. Jeder Mandant erhält seinen eigenen PPSK. Jeder PPSK wird einem dedizierten VLAN und Subnetz zugeordnet. Die Geräte von Mandant A sehen niemals den Datenverkehr von Mandant B, obwohl sie dieselben physischen Access Points nutzen. Die PPSK-Konfiguration in SonicOS erfordert den RADIUS-basierten PPSK-Modus auf der SSID. Bearbeiten Sie im Wireless Network Manager die SSID, stellen Sie den Sicherheitsmodus auf WPA2-Enterprise mit PPSK ein und verweisen Sie mit dem RADIUS-Server auf Purple. Purple verwaltet die PPSK-zu-VLAN-Zuordnungstabelle zentral. Wenn Sie einen neuen Mandanten hinzufügen, erstellen Sie einen neuen PPSK in Purple, weisen ihm ein VLAN zu, und die Änderung wird auf alle SonicWave APs an diesem Standort übertragen, ohne dass die Firewall-Konfiguration angepasst werden muss. --- SEGMENT 3: IMPLEMENTATION RECOMMENDATIONS AND PITFALLS (approximately 2 minutes) Lassen Sie mich Ihnen die drei Dinge nennen, die bei SonicWall- und Purple-Bereitstellungen am häufigsten schiefgehen. Erstens: der LHM-Port. TCP 4043 muss vom WAN zur WAN-Schnittstelle der SonicWall geöffnet sein. Wenn Ihr ISP oder Ihre vorgeschaltete Firewall diesen Port blockiert, wird der LHM-Autorisierungs-Handshake nie abgeschlossen, und Gäste bleiben nach der Authentifizierung auf der Splash-Page hängen. Sie sehen eine erfolgreiche Anmeldung auf der Purple-Seite, aber die SonicWall erhält nie das Autorisierungssignal. Testen Sie dies vor der Inbetriebnahme mit einem Telnet- oder Curl-Check auf Port 4043 von einer externen IP-Adresse aus. Zweitens: das Timing der FQDN-Objektauflösung. SonicOS löst FQDN-Adressobjekte beim Booten und danach in einem konfigurierbaren Intervall auf. Wenn Sie eine neue Walled-Garden-Domain hinzufügen und die Auflösung noch nicht aktualisiert wurde, können nicht authentifizierte Geräte diese nicht erreichen. Erzwingen Sie nach dem Hinzufügen neuer FQDN-Objekte eine manuelle Aktualisierung oder stellen Sie das DNS-Aktualisierungsintervall in Umgebungen mit hohem Datenverkehr auf 60 Sekunden ein. Drittens: Konfiguration der VLAN-Subschnittstellen. Die dynamische VLAN-Zuweisung via RADIUS funktioniert nur, wenn die Ziel-VLANs vor der ersten Geräte-Authentifizierung als Subschnittstellen auf der SonicWall existieren. Wenn eine RADIUS-Antwort die Tunnel-Private-Group-ID 110 zurückgibt, aber das VLAN 110 nicht als Subschnittstelle auf der SonicWall existiert, wird das Gerät entweder getrennt oder fällt auf das Standard-VLAN zurück. Erstellen und testen Sie alle VLAN-Subschnittstellen, bevor Sie die RADIUS-VLAN-Zuweisung aktivieren. Für MSPs, die mehrere Standorte verwalten, ermöglicht das Cloud-Dashboard von Purple die zentrale Verwaltung von RADIUS-Richtlinien, PPSK-Tabellen und Splash-Page-Konfigurationen. Sie können Konfigurationsänderungen von einer einzigen Benutzeroberfläche aus an alle Standorte übertragen. Das ist der betriebliche Vorteil eines Cloud-Overlay-Ansatzes – die SonicWall-Hardware bleibt vor Ort, und Purple übernimmt die Identitäts- und Richtlinienebene darüber. --- SEGMENT 4: SCHNELLE FRAGEN & ANTWORTEN (ca. 1 Minute) Einige Fragen, die regelmäßig auftauchen. "Kann ich SonicWave APs im Standalone-Modus mit Purple verwenden?" Ja, aber Sie verlieren einige Funktionen. Im Standalone-Modus verwalten SonicWave APs ihre RADIUS-Konfiguration lokal. Sie können sie weiterhin auf den RADIUS-Server von Purple für 802.1X ausrichten. Für PPSK mit dynamischer VLAN-Zuweisung benötigen Sie jedoch die SonicWall TZ als RADIUS-Proxy oder den Wireless Network Manager, der die AP-Richtlinie zentral verwaltet. "Unterstützt Purple WPA3 auf SonicWave?" Die WPA3-Unterstützung auf SonicWave hängt von der Firmware-Version und dem AP-Modell ab. APs der SonicWave 600-Serie unterstützen WPA3. Für Captive Portal-Anwendungsfälle ist WPA3 mit Opportunistic Wireless Encryption mit dem LHM-Redirect-Flow von Purple kompatibel. Testen Sie dies jedoch auf Ihrer spezifischen Firmware-Version, bevor Sie es im großen Stil bereitstellen. "Wie handhabt Purple die GDPR für Gästedaten, die über die Splash-Page erfasst werden?" Purple ist ISO 27001-zertifiziert, GDPR-konform und Cyber Essentials-zertifiziert. Die Einwilligung wird auf der Splash-Page mit konfigurierbaren Opt-in-Kontrollkästchen erfasst. Purple speichert First-Party-Daten gemäß Ihrer Datenaufbewahrungsrichtlinie. Gäste können über das Self-Service-Portal von Purple auf ihre Daten zugreifen und diese löschen. "Welche RADIUS-Attribute gibt Purple für die dynamische VLAN-Zuweisung zurück?" Drei Attribute: Tunnel-Type mit dem Wert VLAN, Tunnel-Medium-Type mit dem Wert 802 und Tunnel-Private-Group-ID mit der VLAN-ID als String. Dies sind die Standard-RFC 2868-Attribute, die von SonicOS und SonicWave unterstützt werden. --- SEGMENT 5: ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE (ca. 1 Minute) Zusammenfassend lässt sich sagen: SonicWall TZ Firewalls und SonicWave APs lassen sich über zwei primäre Mechanismen mit Purple integrieren: LHM für die Weiterleitung zum Captive Portal für Gäste und RADIUS für die 802.1X-Mitarbeiterauthentifizierung sowie die PPSK-basierte Mandantenisolierung. Die wichtigsten Konfigurationsschritte sind: Aktivieren Sie die externe Gäste-Authentifizierung in der Gäste-Zone, konfigurieren Sie die Purple-Portal-URL auf Port 4043, erstellen Sie Ihre Walled-Garden-FQDN-Objekte, konfigurieren Sie RADIUS in der SonicWave-AP-Richtlinie im Wireless Network Manager und erstellen Sie Ihre VLAN-Subschnittstellen auf der SonicWall, bevor Sie die dynamische VLAN-Zuweisung aktivieren. Für Multi-Tenant-Bereitstellungen ist PPSK mit RADIUS-basiertem VLAN-Steering die zu verwendende Architektur. Eine SSID, ein Satz von APs, vollständige Mandantenisolierung durch identitätsbasierte VLAN-Zuweisung. Wenn Sie eine Bereitstellung planen oder eine bestehende überprüfen, kann das technische Team von Purple standortspezifische RADIUS-Konfigurationsdateien und Walled-Garden-Domain-Listen bereitstellen. Die Purple-Plattform unterstützt 80.000 Live-Standorte und hat im Jahr 2024 bereits 440 Millionen Logins verarbeitet – die heute vorgestellten Integrationsmuster haben sich im großen Maßstab bewährt. Vielen Dank fürs Zuhören. Der vollständige schriftliche Leitfaden mit Schritt-für-Schritt-Konfigurationstabellen und Mermaid-Architekturdiagrammen ist auf der Purple-Website verfügbar. --- ENDE DES SKRIPTS

header_image.png

执行摘要

将 SonicWall 网络基础设施与 Purple 的云覆盖层集成,可提供企业级访问控制以及先进的第一方数据捕获。本指南涵盖了四个不同用例的技术实现:具有 Captive Portal 重定向的访客 WiFi、Walled Garden 例外情况、使用 802.1X 的安全员工 WiFi,以及使用具有动态 VLAN 引导的 SonicWall 私有预共享密钥 (PPSK) 的多租户隔离。

我们每年在超过 80,000 个活跃场所处理 4.4 亿次登录。下面详述的架构已在酒店、零售和公共部门环境中得到大规模验证。它允许您保留现有的 SonicWall 硬件,同时将身份管理、Splash 页面托管和 RADIUS 身份验证卸载到 Purple 云。

技术深挖

该集成依赖于两种主要机制:用于 Captive Portal 重定向的轻量级热点消息传递 (LHM),以及用于 802.1X 和 PPSK 身份验证的 RADIUS。

通过 LHM 进行 Captive Portal 重定向

SonicOS 使用 LHM 处理外部 captive portal 重定向。当未通过身份验证的访客设备尝试访问互联网时,SonicWall TZ 防火墙会拦截 HTTP 请求,并将客户端重定向到 Purple 托管的 splash 页面。访客完成身份验证流程(例如,社交登录、表单填写)。然后,Purple 通过 TCP 端口 4043 向 SonicWall 发送回 LHM 授权数据包。收到此数据包后,SonicWall 将更新其内部访问控制列表,允许该设备的 MAC 地址访问互联网。

architecture_overview.png

Walled Garden 架构

在身份验证之前,访客设备将保留在受限区域中。Walled Garden 是允许设备访问以渲染 splash 页面并完成登录过程的特定完全限定域名 (FQDN) 集合。这包括 Purple 的 CDN (cdn.purple.ai)、身份验证 API (api.purple.ai) 以及 Google Workspace、Microsoft Entra ID 和 Meta 等第三方身份提供商所需的域名。

SonicOS 使用 FQDN 地址对象实现 walled garden。防火墙对这些对象执行动态 DNS 解析,并自动更新允许的 IP 范围。这至关重要,因为身份提供商和 CDN 使用动态 IP 分配;静态 IP 白名单将不可避免地失效。

安全员工 WiFi 和 802.1X

对于员工网络,SonicWave AP 充当 802.1X 认证器,将请求代理至 Purple 的 RADIUS 服务器。我们建议对使用证书的托管设备使用 EAP-TLS,或针对 Microsoft Entra ID 等目录使用 PEAP-MSCHAPv2 进行用户名/密码认证。认证成功后,Purple 会返回标准的 RADIUS 属性(Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID),以将设备动态分配给正确的员工 VLAN。

使用 PPSK 的多租户隔离

基于身份的网络(Identity-Based Networks)消除了对复杂多 SSID 部署的需求。使用 SonicWall PPSK,单个 SSID(例如“Multi-Tenant-WiFi”)可在整个场馆内广播。每个租户都会收到一个唯一的密码。当设备使用特定的 PPSK 进行关联时,SonicWave AP 会向 Purple 的 RADIUS 服务器验证该密钥。Purple 识别该租户并返回关联的 VLAN ID。然后,SonicWall 将流量引导至隔离的租户 VLAN 中。

ppsk_vlan_diagram.png

实施指南

1. 配置 SonicWall Captive Portal (LHM)

要在运行 SonicOS 7.x 的 SonicWall TZ 系列上配置外部 Captive Portal:

  1. 导航至 Object > Match Objects > Zones。编辑分配给您的访客网络的区域(例如 WLAN)。
  2. Guest Services 选项卡下,启用 Enable Guest ServicesExternal Guest Authentication
  3. 导航至 Configure > Guest Services > General
  4. Client Redirect Protocol 设置为 HTTP
  5. Web Server 地址设置为 portal.purple.ai
  6. Port 设置为 4043
  7. Auth Pages 选项卡下,将 Login URL 设置为 Purple 场馆控制面板中提供的特定展示页面 URL。
  8. 保存配置。SonicOS 将自动生成 NAT 策略和 WAN 到 WAN 的访问规则以允许 TCP 端口 4043。请勿修改这些自动生成的规则。

2. 构建 Walled Garden

为所需的域名创建 FQDN 地址对象,并将它们添加到地址组中。将此组应用于访客区域中的允许规则。

所需的 Purple 域名:

  • *.purple.ai
  • *.purpleportal.net

操作系统 Captive Portal 探测:

  • captive.apple.com (iOS/macOS)
  • connectivitycheck.gstatic.com (Android)
  • msftconnecttest.com (Windows)

常见的社交登录域名 (Google):

  • accounts.google.com
  • oauth2.googleapis.com
  • apis.google.com
  • *.gstatic.com

3. 为 SonicWave AP 配置 RADIUS

要通过 Wireless Network Manager 将 SonicWave AP 与 Purple RADIUS 集成:

  1. 导航至 Policies > Policy Hierarchy 并选择您的 AP 策略。
  2. 选择 802.1X 选项卡。
  3. 输入 Purple RADIUS 服务器 IP 地址(可在您的 Purple 控制面板中找到)。
  4. 输入由 Purple 生成的共享密钥。
  5. Authentication Port 设置为 1812,将 Accounting Port 设置为 1813
  6. 根据您的身份提供商选择合适的 EAP 方法。

4. 配置动态 VLAN 引导

在启用动态分配之前,确保目标 VLAN 作为子接口存在于 SonicWall TZ 防火墙上。

在 Purple 控制面板中,将用户组或 PPSK 映射到目标 VLAN ID。Purple 在成功验证后将返回以下属性:

  • Tunnel-Type = VLAN (13)
  • Tunnel-Medium-Type = 802 (6)
  • Tunnel-Private-Group-ID = [VLAN ID](例如,"110")

最佳实践

  • 测试 LHM 端口可见性:必须能够从互联网访问 SonicWall WAN 接口的 TCP 端口 4043。在上线前使用外部端口扫描器对此进行测试。如果 ISP 阻止了此端口,授权数据包将丢失,访客将一直受阻于展示页面。
  • 预先配置 VLAN 子接口:如果在验证事件发生之前未在 SonicWall 上配置目标 VLAN 子接口,动态 VLAN 引导将静默失败。设备将退回到默认的未标记 VLAN。
  • 强制基于 Web 的 OAuth:确保您的展示页面配置强制执行基于 Web 的 OAuth 流程。深层链接到原生社交媒体应用(例如 Facebook iOS 应用)通常会中断 Captive Portal 流程,因为原生应用流量会被 Walled Garden 阻止。
  • 优化 DNS 刷新间隔:SonicOS 会定期解析 FQDN 对象。在体育场或交通枢纽等高周转环境中,请将 Walled Garden 对象的 DNS 刷新间隔设置为 60 秒,以确保准确跟踪 CDN IP 更改。

故障排除与风险缓解

现象:访客完成了展示页面登录,但无法访问互联网。 原因:TCP 4043 上的 LHM 授权数据包未到达 SonicWall。 解决方法:验证自动生成的 WAN 到 WAN 访问规则是否存在。检查上游 ISP 路由器是否有端口阻止。确保 SonicWall WAN IP 在 Purple 控制面板中正确注册。

现象:展示页面加载失败,或社交登录按钮返回 CORS 错误。 原因:Walled Garden 配置不完整。 解决方法:在未验证状态下连接测试设备。使用浏览器开发者工具(Network 选项卡)识别被阻止的 HTTPS 请求。在 SonicOS 中将失败的域名添加为 FQDN 地址对象。

现象:员工设备通过 802.1X 进行身份验证,但从默认 VLAN 而不是分配的 VLAN 获取 IP 地址。 原因:SonicWall 上不存在目标 VLAN 子接口,或者 RADIUS 属性格式错误。 解决方法:验证 VLAN 子接口是否处于活动状态。检查 Purple RADIUS 日志以确认 Tunnel-Private-Group-ID 是否作为与 VLAN ID 匹配的字符串值发送。

ROI 与业务影响

将 SonicWall 基础设施与 Purple 一起部署,可将标准的网络成本中心转变为可衡量的业务资产。

对于拥有200个网点的零售连锁店,从通用的预共享密钥过渡到品牌化的 Captive Portal,通常会在六个月内使已知客户画像增加40%。这些第一方数据可直接集成至CRM系统,从而推动精准营销活动并增加回头客流量。

在联合办公空间或学生公寓等多租户环境中,支持动态VLAN引导的PPSK消除了为每个租户管理专用硬件的运营开销。您只需部署一个物理网络,并根据身份进行逻辑划分。这在降低高达60%硬件资本支出的同时,还能保持严格符合ISO 27001标准的网络隔离。

Schlüsseldefinitionen

Lightweight Hotspot Messaging (LHM)

Ein von SonicWall verwendetes Protokoll zur Kommunikation mit externen Captive Portals. Es wickelt den Redirect- und Autorisierungs-Handshake ab.

Erforderlich für die Integration von SonicOS mit Cloud-verwalteten Gäste-WiFi-Plattformen wie Purple.

Walled Garden

Eine bestimmte Auswahl an Domains oder IP-Adressen, auf die nicht authentifizierte Geräte zugreifen dürfen.

Entscheidend dafür, dass Gastgeräte die Splash-Page laden, auf CDNs zugreifen und Social-Login-OAuth-Flows abschließen können, bevor sie vollen Internetzugang erhalten.

Private Pre-Shared Key (PPSK)

Eine Sicherheitsmethode, bei der mehrere eindeutige Passphrasen auf einer einzigen SSID gültig sind, wobei jede Passphrase an einen bestimmten Benutzer oder eine Richtlinie gebunden ist.

Wird in mandantenfähigen Umgebungen verwendet, um den Datenverkehr zu isolieren, ohne mehrere SSIDs auszustrahlen.

Captive Network Assistant (CNA)

Der integrierte OS-Mechanismus (unter iOS, Android, Windows), der ein Captive Portal erkennt und automatisch ein eingeschränktes Browserfenster zur Authentifizierung öffnet.

Wenn die OS-Probe-Domains (z. B. captive.apple.com) nicht im Walled Garden enthalten sind, wird der CNA nicht ausgelöst und Gäste denken, das WiFi sei defekt.

Dynamic VLAN Steering

Der Prozess der Zuweisung eines Geräts zu einem bestimmten VLAN basierend auf seiner Identität oder seinen Anmeldedaten und nicht auf der SSID, mit der es verbunden ist.

Wird von Purple RADIUS verwaltet, das das Attribut Tunnel-Private-Group-ID an die SonicWall zurückgibt.

FQDN Address Object

Ein Firewall-Objekt, das auf einem Fully Qualified Domain Name und nicht auf einer statischen IP-Adresse basiert.

SonicOS löst diese Objekte dynamisch auf, was sie für robuste Walled-Garden-Konfigurationen unerlässlich macht.

Identity-Based Network

Eine Netzwerkarchitektur, bei der Zugriffsrichtlinien und Segmentierung basierend auf dem authentifizierten Benutzer oder Gerät angewendet werden, anstatt auf physischen Ports oder SSIDs.

Erreicht durch die Kombination von Purple RADIUS mit SonicWall PPSK und 802.1X.

Tunnel-Private-Group-ID

Das standardmäßige RFC 2868 RADIUS-Attribut, das zur Angabe der VLAN-ID für ein verbindendes Gerät verwendet wird.

Muss von Purple als String-Wert (z. B. '100') zurückgegeben werden, um die SonicWall anzuweisen, das Gerät zu steuern.

Ausgearbeitete Beispiele

Ein Hotel mit 150 Zimmern (Premier Inn) möchte kostenloses Guest WiFi über eine Splash-Page sowie ein sicheres Staff-WiFi-Netzwerk für Geräte des Housekeepings bereitstellen. Vor Ort sind eine SonicWall TZ570 und 40 SonicWave APs im Einsatz. Wie sollte dieser Datenverkehr segmentiert werden?

Richten Sie zwei SSIDs ein. SSID 1: "Guest-WiFi", zugewiesen zu VLAN 100. Konfigurieren Sie die SonicWall WLAN-Zone für externe Gäste-Authentifizierung (External Guest Authentication) mit Verweis auf portal.purple.ai über TCP 4043. Konfigurieren Sie die Walled-Garden-FQDNs für Purple und Social Logins. SSID 2: "Staff-WiFi", zugewiesen zu VLAN 200 mittels 802.1X. Verweisen Sie die SonicWave AP-Richtlinie auf den RADIUS-Server von Purple. Konfigurieren Sie Purple so, dass Housekeeping-Geräte über MAC-Address-Bypass (MAB) oder PEAP-MSCHAPv2 authentifiziert werden und die Tunnel-Private-Group-ID "200" zurückgegeben wird.

Kommentar des Prüfers: Dieser Ansatz trennt den nicht vertrauenswürdigen Gäste-Datenverkehr strikt von den operativen Systemen. Die Nutzung von Purple sowohl für das Captive Portal als auch für die RADIUS-Authentifizierung zentralisiert das Identitätsmanagement. MAB eignet sich hervorragend für bildschirmlos arbeitende Geräte (wie Reinigungswagen), während 802.1X die Smartphones der Mitarbeiter absichert.

Ein Coworking-Space verwaltet 15 verschiedene Unternehmen, die sich ein Großraumbüro teilen. Sie möchten für jedes Unternehmen sichere, isolierte Netzwerke bereitstellen, ohne 15 verschiedene SSIDs über ihre SonicWave APs auszustrahlen.

Richten Sie eine einzige SSID namens "Workspace-Secure" unter Verwendung von WPA2-Enterprise mit PPSK ein. Erstellen Sie 15 VLAN-Sub-Interfaces auf der SonicWall TZ Firewall (z. B. VLANs 101-115). Generieren Sie im Purple-Dashboard für jedes Unternehmen einen eindeutigen PPSK und weisen Sie diesen der jeweiligen VLAN-ID zu. Wenn sich ein Benutzer mit dem PPSK seines Unternehmens verbindet, gibt der Purple RADIUS-Server die entsprechende Tunnel-Private-Group-ID zurück, und die SonicWall leitet das Gerät in das isolierte VLAN weiter.

Kommentar des Prüfers: Dieses identitätsbasierte Netzwerkdesign (Identity-Based Network) lässt sich sauber skalieren. Das Ausstrahlen von 15 SSIDs würde zu einem enormen Overhead bei den Management-Frames führen und die WiFi-Leistung beeinträchtigen. PPSK bietet die Sicherheit individueller Zugangsdaten und die Isolation dedizierter VLANs ohne die HF-Einbußen mehrerer SSIDs.

Übungsfragen

Q1. Sie haben die SonicWall-Gastzone für die externe Gastauthentifizierung konfiguriert und den Webserver auf portal.purple.ai eingestellt. Gäste werden zur Splash-Page weitergeleitet und können sich erfolgreich anmelden, erhalten aber nie Internetzugang. Was ist die wahrscheinlichste Ursache?

Hinweis: Denken Sie daran, wie Purple der SonicWall mitteilt, dass die Authentifizierung erfolgreich war.

Musterlösung anzeigen

Das LHM-Autorisierungspaket wird blockiert. Der TCP-Port 4043 muss auf der SonicWall-WAN-Schnittstelle geöffnet sein, um das Erfolgssignal von Purple zu empfangen. Überprüfen Sie vorgeschaltete Firewalls oder ISP-Konfigurationen auf Port-Blockierungen.

Q2. Ein Veranstaltungsort möchte einen Facebook-Login auf seiner Splash-Page anbieten. Sie fügen www.facebook.com zur FQDN-Adressgruppe des Walled Gardens hinzu. Gäste berichten, dass die Facebook-Login-Seite geladen wird, aber das Design fehlerhaft ist und der Login-Button nicht funktioniert.

Hinweis: Moderne Webanwendungen laden Assets von mehreren Domains.

Musterlösung anzeigen

Der Walled Garden ist unvollständig. Sie müssen auch die Domains auf die Whitelist setzen, die die CSS-, JavaScript- und API-Aufrufe von Facebook bereitstellen, insbesondere graph.facebook.com, connect.facebook.net und die CDN-Domain (z. B. *.fbcdn.net).

Q3. Sie stellen PPSK für ein Büro mit mehreren Mietern bereit. Sie konfigurieren die SSID für WPA2-Enterprise mit PPSK und verweisen den RADIUS-Server auf Purple. Sie erstellen einen PPSK in Purple, der dem VLAN 50 zugeordnet ist. Wenn sich ein Benutzer mit diesem PPSK verbindet, erhält er stattdessen eine IP-Adresse aus dem VLAN 10. Warum?

Hinweis: Die SonicWall muss wissen, wohin sie den Datenverkehr senden soll, bevor die RADIUS-Anfrage abgeschlossen ist.

Musterlösung anzeigen

VLAN 50 wurde nicht als Sub-Schnittstelle auf der SonicWall TZ-Firewall erstellt. Die dynamische VLAN-Steuerung erfordert, dass das Ziel-VLAN zuvor auf der Firewall vorhanden ist; ist dies nicht der Fall, fällt das Gerät auf das standardmäßige ungetaggte VLAN zurück (in diesem Fall VLAN 10).

Weiterlesen in dieser Reihe

Cisco WLC und Catalyst Integration mit Purple WiFi: Schritt-für-Schritt-Anleitung für den Gastzugang

Diese massgebliche Anleitung beschreibt die schrittweise Integration von Cisco Catalyst 9800 WLCs mit Purple WiFi. Sie deckt die externe Web-Authentifizierung für Gäste-Captive Portals, 802.1X EAP-TLS für sicheren Mitarbeiterzugang und Cisco iPSK für die dynamische VLAN-Segmentierung in Mandanten-Umgebungen ab.

Leitfaden lesen →

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Leitfaden lesen →

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Leitfaden lesen →