Zum Hauptinhalt springen
Deutsch

Zyxel Nebula Cloud and USG Integration with Purple WiFi

Dieses technische Referenzhandbuch beschreibt die End-to-End-Integration von Zyxel Nebula Cloud und USG Flex Firewalls mit der Purple WiFi-Plattform. Es bietet Schritt-für-Schritt-Konfigurationsanweisungen für die Weiterleitung zum Guest Captive Portal, RADIUS-Authentifizierung, Walled-Garden-Einrichtung, sicheres Staff WiFi über 802.1X sowie mandantenfähige Netzwerksegmentierung mittels Zyxel Private Pre-Shared Keys (PPSK) mit dynamischer VLAN-Zuweisung. IT-Manager, MSPs und Netzwerkarchitekten, die WiFi in der Hotellerie, im Einzelhandel und an mandantenfähigen Standorten bereitstellen, finden hier praxisnahe Anleitungen, die auf Branchenstandards wie PCI DSS, IEEE 802.1X und GDPR basieren.

📖 9 Min. Lesezeit📝 2,234 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Welcome to the Purple Technical Briefing Series. I am your host, and today we are covering a crucial deployment scenario for IT managers and network architects: integrating Zyxel Nebula Cloud and USG Flex Firewalls with Purple WiFi. If you are deploying guest WiFi across a hotel chain, a retail estate, or a multi-tenant environment, this episode is for you. Let us get straight into the architecture. First, why this integration? Zyxel provides robust hardware, and Nebula offers centralised cloud management. But when you deploy WiFi at scale - say, across 50 retail branches or a 200-room hotel - you need more than basic connectivity. You need a structured authentication flow, compliant data capture, and dynamic network segmentation. That is where Purple comes in. We integrate with Zyxel via RADIUS and external captive portal redirection to deliver Identity-Based Networks. Let us walk through the core configuration on Zyxel Nebula. The process starts with your SSID settings. You navigate to Site-wide, Configure, Access points, and then SSID advanced settings. Here, you enable the external captive portal URL. You will input the specific Purple redirect URL provided in your Purple portal. But redirection alone is not enough; you must configure the Walled Garden. The Walled Garden defines which domains a guest device can reach before authentication. This is a common pitfall. You must whitelist the Purple portal domains, any asset CDNs, and the standard OS captive portal detection endpoints. In Nebula, you add these domains line by line. If you miss a domain, the splash page will fail to load properly, and your guests will be stuck. Next, we configure the RADIUS server. In the SSID advanced settings, you select WPA2-Enterprise with My RADIUS server, or configure MAC-based authentication depending on your flow. You enter the Purple RADIUS IP address, set the authentication port to 1812, the accounting port to 1813, and input the shared secret. Always configure the backup RADIUS server to ensure high availability. Now, let us discuss a more advanced scenario: Multi-Tenant segmentation using Zyxel Private Pre-Shared Keys, or PPSK. In environments like student accommodation or coworking spaces, you want a single SSID, but you need to isolate traffic per tenant. Zyxel PPSK allows you to issue a unique WiFi password to each user. When they connect, the Nebula controller dynamically assigns them to a specific VLAN based on that password. You configure this under Cloud Authentication by selecting DPPSK and assigning the corresponding VLAN ID. It reduces SSID overhead and significantly improves security. What about the USG Flex firewall? If you are running the gateway on-premise, you must ensure your firewall rules and zone policies align with your wireless segments. You typically create dedicated zones for Guest, Staff, and Multi-Tenant traffic. The Guest zone must only have outbound internet access, with strict rules blocking access to the LAN or DMZ zones. Let us move to implementation recommendations and common pitfalls. The most frequent issue we see is walled garden misconfiguration. If a guest connects and sees a blank page, check your whitelist. Use browser developer tools to identify blocked CDN requests. The second issue is RADIUS timeouts. Ensure your upstream firewalls allow UDP ports 1812 and 1813 outbound to the Purple cloud platform. Time for a rapid-fire Q and A. Question one: Do I need a dedicated VLAN for Guest WiFi? Answer: Yes. Always isolate guest traffic on a dedicated VLAN. This is mandatory for PCI DSS compliance if your venue processes payments on the same physical infrastructure. Question two: Can I use Purple with Zyxel standalone APs without Nebula? Answer: Yes, but managing the RADIUS and portal settings per AP is inefficient. We strongly recommend using Nebula Control Center for centralised management. Question three: How does Purple handle MAC address randomisation? Answer: Purple relies on the MAC address provided by the Zyxel controller via RADIUS accounting. While devices randomise MACs per network, they keep the same MAC for your specific SSID, allowing session persistence during their visit. To summarise: Integrating Zyxel Nebula with Purple requires precise configuration of the external captive portal URL, a comprehensive Walled Garden, and accurate RADIUS settings. For multi-tenant venues, leverage Zyxel PPSK for dynamic VLAN steering. Get these elements right, and you deliver a secure, scalable WiFi experience that captures valuable first-party data. If you are planning a deployment, review the full technical guide for step-by-step instructions and architecture diagrams. Thank you for listening, and we will see you on the next technical briefing.

header_image.png

Management-Summary

Zyxel Nebula Cloud und USG Flex Firewalls sind an Tausenden von Unternehmensstandorten im Einsatz, von Hotelketten bis hin zu Einzelhandelsflächen. Wenn Sie diese Hardware mit Purple integrieren, fügen Sie eine konforme, datenerfassende Gast-Authentifizierungsebene hinzu, die ein standardmäßiges drahtloses Netzwerk in ein First-Party-Daten-Asset verwandelt. Dieses Handbuch deckt vier Bereitstellungsszenarien ab: Weiterleitung zum Guest Captive Portal über eine externe Splash-Page, RADIUS-basierte Authentifizierung und Accounting, sicheres Staff WiFi über IEEE 802.1X sowie mandantenfähige Netzwerksegmentierung mittels Zyxel Dynamic Personal Pre-Shared Keys (DPPSK). Purple ist an über 80.000 Live-Standorten im Einsatz und verarbeitete im Jahr 2024 440 Millionen Logins (interne Daten von Purple). Es verfügt über Zertifizierungen nach ISO 27001, GDPR, CCPA und Cyber Essentials. Die hier beschriebene Integrationsarchitektur ist auf Plattformebene hardwareunabhängig, aber die spezifischen Konfigurationspfade und -parameter in diesem Handbuch gelten für das Zyxel Nebula Control Center (NCC) und USG Flex Firewalls mit aktueller Firmware.

Für einen umfassenderen Überblick über die Sicherheitsarchitektur von Unternehmens-WiFi lesen Sie unseren Leitfaden Enterprise WiFi Security: Ein vollständiger Leitfaden für 2026 .

Technische Detailanalyse

Integrationsarchitektur

Die Integration von Zyxel und Purple basiert auf drei Standardprotokollen, die nacheinander ablaufen: HTTP-Redirect (Captive Portal-Erkennung), RADIUS-Authentifizierung (UDP 1812) und RADIUS-Accounting (UDP 1813). Wenn sich ein Gastgerät mit der Guest WiFi SSID verbindet, fängt der Zyxel Access Point die erste HTTP-Anfrage ab und leitet sie per HTTP 302 an die externe Captive Portal-URL von Purple weiter. Der Gast authentifiziert sich auf der Purple Splash-Page – per E-Mail, Social Login oder SMS – und Purple sendet eine RADIUS Access-Accept-Nachricht zurück an den Zyxel-Controller. Der Controller gewährt Internetzugang und beginnt mit dem Senden von RADIUS Accounting Start-Paketen, um die Sitzungsdaten aufzuzeichnen.

architecture_overview.png

Die Zyxel USG Flex Firewall befindet sich zwischen den Wireless-Segmenten und dem WAN. Sie erzwingt zonenbasierte Sicherheitsrichtlinien, die Guest-, Staff- und mandantenfähige VLANs voneinander und vom Unternehmens-LAN isolieren. Das Nebula Control Center verwaltet die Access Points und SSID-Konfigurationen zentral über HTTPS auf Port 443 zur Nebula-Cloud.

RADIUS-Parameter

Die folgende Tabelle fasst die RADIUS-Konfigurationsparameter zusammen, die Sie aus Ihrer Purple-Administrationskonsole benötigen.

Parameter Wert
Primäre RADIUS-IP In der Purple-Administrationskonsole bereitgestellt
Sekundäre RADIUS-IP In der Purple-Administrationskonsole bereitgestellt
Authentifizierungsport UDP 1812
Accountingport UDP 1813
Shared Secret In der Purple-Administrationskonsole bereitgestellt
NAS-Identifikator Auf AP-MAC-Adresse oder Standortname festgelegt
Called Station ID AP-MAC-Adresse

Konfigurieren Sie immer sowohl den primären als auch den sekundären RADIUS-Server. Ein einzelner RADIUS-Endpunkt stellt einen Single Point of Failure dar, der Gäste ausschließt, wenn der Server nicht erreichbar ist.

Walled-Garden-Konfiguration

Der Walled Garden (auch Whitelist genannt) definiert die Domänen und IP-Bereiche, die ein Gerät vor Abschluss der Authentifizierung erreichen kann. In Zyxel Nebula konfigurieren Sie dies unter Site-wide > Configure > Access points > Captive portal customisation > Captive portal advance setting.

Sie müssen die folgenden Kategorien von Einträgen einschließen:

  • Die Purple-Portal-Domain und alle Subdomains (Wildcard-Format verwenden: *.purple.ai)
  • CDN-Domains, die CSS-, JavaScript- und Bild-Assets des Portals bereitstellen
  • Domains von Social-Login-Anbietern, wenn Sie die Anmeldung über Facebook, Google, oder Microsoft aktivieren
  • Apple Captive Portal-Erkennung: captive.apple.com
  • Google-Verbindungstest: connectivitycheck.gstatic.com
  • Microsoft NCSI: www.msftconnecttest.com

Wenn einer dieser Einträge fehlt, kann die Splash-Page auf bestimmten Gerätetypen nicht gerendert werden. Insbesondere iOS-Geräte zeigen einen leeren Mini-Browser an, wenn der Apple CNA-Endpunkt nicht korrekt verarbeitet wird.

Sicheres Staff WiFi über IEEE 802.1X

Für Mitarbeiternetzwerke sollten Sie keinen gemeinsam genutzten PSK verwenden. IEEE 802.1X (definiert im Standard IEEE 802.1X-2020) bietet eine portbasierte Netzwerkzugriffskontrolle mit individuellen Anmeldedaten pro Benutzer. In Nebula konfigurieren Sie dies, indem Sie die SSID-Sicherheit auf WPA2-Enterprise einstellen und die Authentifizierung entweder auf den Nebula Cloud Authentication Server (NCAS) oder über einen RADIUS-Proxy auf einen externen RADIUS-Server wie Microsoft Entra ID oder Okta verweisen.

Bei WPA3-Enterprise-Bereitstellungen ist der Konfigurationspfad identisch, Sie wählen jedoch WPA3 in den Sicherheitsoptionen aus. WPA3 schreibt Protected Management Frames (PMF) vor und verwendet Simultaneous Authentication of Equals (SAE) für eine verbesserte Widerstandsfähigkeit gegen Offline-Wörterbuchangriffe.

PPSK und dynamische VLAN-Zuweisung für mandantenfähige Standorte

ppsk_vlan_diagram.png

Zyxel DPPSK (Dynamic Personal Pre-Shared Key) ermöglicht es einer einzigen SSID, mehrere isolierte Netzwerksegmente zu bedienen. Jeder Benutzer oder jedes Gerät erhält eine eindeutige Passphrase. Bei der Authentifizierung ordnet der Nebula-Controller diese Passphrase einer in der DPPSK-Datenbank definierten VLAN-ID zu.

Dies ist der richtige Ansatz für Coworking Spaces, Studentenwohnheime, Build-to-Rent-Entwicklungen (BTR) und Mehrfamilienhäuser (MDUs), bei denen eine Mandantentrennung erforderlich ist, ohne Dutzende von SSIDs auszustrahlen.

DPPSK erfordert die Nebula Pro Pack-Lizenz und eine Access-Point-Firmware-Version 6.00 oder neuer. Sie konfigurieren die DPPSK-Datenbank unter Configure > Cloud authentication > DPPSK im Nebula Control Center. Jeder Eintrag enthält die Passphrase, ein optionales Ablaufdatum, eine E-Mail-Ad" Adresse für die Zustellung und die Ziel-VLAN-ID.

Die maximale Anzahl gleichzeitig autorisierter DPPSK-Einträge beträgt 2.048. Bei Bereitstellungen mit mehr als 2.048 gleichzeitigen Benutzern müssen Sie die Ablaufdaten sorgfältig verwalten, um sicherzustellen, dass die aktiven Anmeldedaten innerhalb dieses Limits bleiben.

Implementierungsleitfaden

Schritt 1: Netzwerkinfrastruktur vorbereiten

Bevor Sie Änderungen im Nebula Control Center vornehmen, konfigurieren Sie Ihre VLANs auf der USG Flex Firewall und den nachgelagerten Switches.

  1. Erstellen Sie ein Gast-VLAN (Beispiel: VLAN 10) mit einem dedizierten Subnetz (Beispiel: 192.168.10.0/24). Konfigurieren Sie einen DHCP-Server auf dieser Schnittstelle.
  2. Erstellen Sie ein Mitarbeiter-VLAN (Beispiel: VLAN 20) mit einem dedizierten Subnetz (Beispiel: 192.168.20.0/24).
  3. Erstellen Sie bei Multi-Tenant-Bereitstellungen zusätzliche VLANs pro Mandant (Beispiel: VLAN 30, 40, 50).
  4. Erstellen Sie auf der USG Flex eine Gast-Zone, die dem VLAN 10 zugewiesen ist. Erstellen Sie eine Sicherheitsrichtlinie, die den Datenverkehr von der Gast-Zone zur WAN-Zone zulässt. Erstellen Sie eine "Deny-All"-Richtlinie, die den Datenverkehr von der Gast-Zone zur LAN-Zone blockiert.
  5. Stellen Sie sicher, dass die Switch-Ports, die Zyxel APs verbinden, als 802.1Q-Trunks konfiguriert sind, die alle erforderlichen VLAN-Tags übertragen.

Schritt 2: Gast-SSID im Nebula Control Center konfigurieren

  1. Melden Sie sich im Nebula Control Center unter ncc.nebula.zyxel.com an.
  2. Navigieren Sie zu Site-wide > Configure > Access points > SSID settings.
  3. Aktivieren Sie die Gast-SSID und schalten Sie den Advanced mode ein.
  4. Aktivieren Sie Guest network, um die Layer-2-Client-Isolierung zu aktivieren. Dies verhindert, dass Gastgeräte direkt über dieselbe SSID miteinander kommunizieren.
  5. Speichern.

Schritt 3: Externes Captive Portal konfigurieren

  1. Navigieren Sie zu Site-wide > Configure > Access points > SSID advanced settings.
  2. Wählen Sie Ihre Gast-SSID aus dem Dropdown-Menü aus.
  3. Wählen Sie unter Sign-in method die Option Click-to-continue für die erste Weiterleitung oder My RADIUS server, wenn Sie die RADIUS-basierte MAC-Authentifizierung von Purple verwenden.
  4. Navigieren Sie zu Site-wide > Configure > Access points > Captive portal customisation.
  5. Geben Sie unter External captive portal URL die Purple-Weiterleitungs-URL aus Ihrer Purple-Administrationskonsole ein. Das Format ist https://[ihre-purple-domain]/[venue-id].
  6. Geben Sie unter Captive portal advance setting alle erforderlichen Walled-Garden-Domains ein.
  7. Stellen Sie Strict policy auf Block all access until sign-on, um zu verhindern, dass Gäste das Portal umgehen.
  8. Stellen Sie die Reauth time so ein, dass sie der Sitzungsrichtlinie Ihres Standorts entspricht (normalerweise 24 Stunden für das Gastgewerbe, 30 Tage für Kundenbindungsprogramme im Einzelhandel).
  9. Speichern.

Schritt 4: RADIUS in Nebula konfigurieren

  1. Wählen Sie in den SSID advanced settings unter Network access die Option My RADIUS server.
  2. Geben Sie die Primary RADIUS server IP aus Ihrer Purple-Administrationskonsole ein.
  3. Stellen Sie den Authentication port auf 1812 ein.
  4. Geben Sie das Shared secret ein.
  5. Wiederholen Sie dies für den sekundären RADIUS-Server.
  6. Aktivieren Sie RADIUS accounting und stellen Sie den Accounting-Port auf 1813 ein.
  7. Speichern.

Schritt 5: DPPSK für Multi-Tenant-Segmentierung konfigurieren

  1. Navigieren Sie zu Configure > Access points > SSID advanced settings.
  2. Wählen Sie die Multi-Tenant-SSID aus und stellen Sie Network access auf Dynamic personal PSK ein.
  3. Navigieren Sie zu Configure > Cloud authentication > DPPSK.
  4. Klicken Sie auf Add und wählen Sie Batch create DPPSK.
  5. Legen Sie die Anzahl der Anmeldedaten, das Ablaufdatum und die Ziel-VLAN ID für jede Mandantengruppe fest.
  6. Geben Sie die E-Mail-Adresse ein, an die der Batch mit den Anmeldedaten gesendet werden soll.
  7. Speichern Sie und verteilen Sie die Anmeldedaten an die Mandanten.

Schritt 6: Bereitstellung validieren

  1. Verbinden Sie ein Testgerät mit der Gast-WiFi-SSID.
  2. Bestätigen Sie, dass das Gerät zur Purple-Splash-Page weitergeleitet wird.
  3. Schließen Sie die Authentifizierung ab und bestätigen Sie, dass der Internetzugang gewährt wird.
  4. Überprüfen Sie in der Purple-Administrationskonsole, ob die Sitzung im Analyse-Dashboard angezeigt wird.
  5. Navigieren Sie in Nebula zu Access point > Monitor > Clients, um zu bestätigen, dass der Client zugeordnet und dem richtigen VLAN zugewiesen ist.
  6. Testen Sie DPPSK, indem Sie sich mit den Anmeldedaten eines Mandanten verbinden und die korrekte VLAN-Zuweisung bestätigen.

Best Practices

Segmentieren Sie jede Art von Datenverkehr. Gast-, Mitarbeiter- und IoT-Datenverkehr müssen jeweils in einem dedizierten VLAN liegen. Dies ist nicht optional, wenn an Ihrem Standort Kartenzahlungen über dieselbe physische Infrastruktur abgewickelt werden – PCI DSS v4.0 erfordert eine Netzwerksegmentierung zwischen Karteninhaber-Datenumgebungen und Gastnetzwerken.

Nutzen Sie RADIUS-Redundanz. Konfigurieren Sie sowohl die primäre als auch die sekundäre Purple-RADIUS-IP in Nebula. Der Ausfall eines einzelnen RADIUS-Servers verhindert die gesamte Gast-Authentifizierung, bis das Problem behoben ist.

Überprüfen Sie den Walled Garden regelmäßig. Portal-Anbieter aktualisieren ihre CDN-Konfigurationen. Eine Domain, die bei der Bereitstellung funktionierte, kann sechs Monate später fehlerhaft sein, wenn der Anbieter Ressourcen auf ein neues CDN migriert. Planen Sie eine vierteljährliche Überprüfung Ihrer Walled-Garden-Einträge ein.

Aktivieren Sie RADIUS-Accounting. Ohne Accounting kann Purple weder die Sitzungsdauer noch die Datennutzung verfolgen oder zeitbasierte Zugriffsbeschränkungen durchsetzen. Accounting-Daten speisen auch das WiFi Analytics -Dashboard.

Wenden Sie WPA3 an, wo die Hardware dies unterstützt. Zyxel Access Points, die ab 2021 auf den Markt kamen, unterstützen WPA3. Für das Mitarbeiter-WiFi entspricht WPA3-Enterprise mit 192-Bit-Sicherheitsmodus den Empfehlungen von NIST SP 800-187 für drahtlose Sicherheit in Unternehmen.

Testen Sie das CNA-Verhalten vor dem Go-Live. Unter iOS bietet der Mini-Browser des Captive Network Assistant (CNA) im Vergleich zu einem vollwertigen Browser nur eingeschränkte Funktionen. Testen Sie Ihre Purple-Splash-Page in der CNA-Umgebung – insbesondere Social-Login-Flows und benutzerdefiniertes JavaScript –, bevor Sie sie für Gäste bereitstellen.

Für Bereitstellungen im Gastgewerbe beachten Sie bitte auch unsere Richtlinien zur Segmentierung von Gast- und Back-of-House-Netzwerken. Für Umgebungen im Einzelhandel gilt derselbe PPSK-Ansatz zur Isolierung von Point-of-Sale-Systemen vom Kunden-WiFi.

Fehlerbehebung & Risikominderung

Splash-Page wird nicht geladen

Symptom: Der Gast verbindet sich mit der SSID, sieht aber eine leere Seite oder einen Browserfehler im CNA.

Ursache: Eine oder mehrere für die Splash-Page erforderliche Domains befinden sich nicht im Walled Garden.

Lösung: Verbinden Sie ein Testgerät mit der Guest SSID. Öffnen Sie einen Browser (nicht den CNA) und rufen Sie eine beliebige HTTP-URL auf. Wenn Sie zum Portal weitergeleitet werden, öffnen Sie die Entwicklertools des Browsers und überprüfen Sie die Registerkarte „Netzwerk“ (Network). Identifizieren Sie alle Anfragen, die 403- oder "Connection-Refused"-Fehler zurückgeben. Fügen Sie diese Domänen zum Nebula Walled Garden hinzu.

Gäste authentifizieren sich, erhalten aber keinen Internetzugang

Symptom: Der Gast füllt das Portal-Formular aus und sieht eine Erfolgsseite, aber das Surfen im Internet schlägt fehl.

Ursache: Der Zyxel-Controller empfängt das RADIUS Access-Accept nicht von Purple, oder die USG Flex-Firewall blockiert die RADIUS-Antwort.

Lösung: Stellen Sie sicher, dass die ausgehenden UDP-Ports 1812 und 1813 von der Management-IP des Zyxel-APs zur IP des Purple RADIUS-Servers zugelassen sind. Überprüfen Sie die Sicherheitsrichtlinien-Protokolle der USG Flex auf blockierten Datenverkehr.

RADIUS-Accounting-Daten fehlen im Purple-Dashboard

Symptom: Sitzungen werden in Nebula angezeigt, aber das Purple-Analytics-Dashboard zeigt keine Daten zur Sitzungsdauer.

Ursache: RADIUS-Accounting ist in der Nebula-SSID-Konfiguration nicht aktiviert, oder der UDP-Port 1813 ist blockiert.

Lösung: Bestätigen Sie, dass RADIUS-Accounting in den erweiterten SSID-Einstellungen aktiviert ist. Überprüfen Sie, ob der Accounting-Port auf 1813 eingestellt ist und das Shared Secret mit der Purple-Konfiguration übereinstimmt.

DPPSK-Benutzer dem falschen VLAN zugewiesen

Symptom: Ein Mandant verbindet sich mit seinem PPSK, wird aber dem falschen Netzwerksegment zugewiesen.

Ursache: Die VLAN-ID im DPPSK-Datenbankeintrag stimmt nicht mit dem auf dem Switch-Trunk oder der USG Flex-Schnittstelle konfigurierten VLAN überein.

Lösung: Gleichen Sie die VLAN-ID in der Nebula-DPPSK-Datenbank mit der VLAN-Konfiguration auf dem vorgeschalteten Switch und der USG Flex ab. Stellen Sie sicher, dass der AP-Switch-Port ein Trunk ist, der alle Mandanten-VLANs überträgt.

ROI & geschäftliche Auswirkungen

Die Integration der Zyxel-Infrastruktur mit Purple verwandelt ein drahtloses Netzwerk, das bisher ein Kostenfaktor war, in ein umsatzgenerierendes Daten-Asset. Für ein Hotel mit 200 Zimmern baut die Erfassung von Gast-E-Mail-Adressen und Marketing-Einwilligungen beim WiFi-Login eine CRM-Datenbank auf, die Direktbuchungskampagnen vorantreibt und die Abhängigkeit von OTA-Provisionen verringert. Für eine Einzelhandelskette bietet die Guest WiFi -Plattform von Purple Analysen zur Besucherfrequenz, Verweildauer und Wiederholungsbesuchsraten, die als Entscheidungshilfe für Personalplanung und Merchandising dienen.

Für Betreiber von Multi-Tenant-Objekten – wie BTR-Entwicklungen (Build-to-Rent), Studentenwohnheime, Coworking-Spaces – entfällt durch den Einsatz von Zyxel DPPSK mit Purple der betriebliche Aufwand für die Verwaltung separater SSIDs und Anmeldedaten pro Mandant. Eine einzige SSID mit dynamischer VLAN-Zuweisung reduziert Funkinterferenzen, vereinfacht das Onboarding und lässt sich ohne zusätzliche Infrastruktur auf Hunderte von Bewohnern skalieren.

Das SLA von Purple mit einer Betriebszeit von 99,999 % stellt sicher, dass die Authentifizierungsebene nicht zu einem Engpass für den Gastzugang wird. Mit 29 Milliarden auf der Plattform gesammelten Datenpunkten (interne Daten von Purple) bieten die über die Purple-Admin-Konsole bereitgestellten Analysen den Betreibern von Veranstaltungsorten verwertbare Erkenntnisse, die die Integrationsinvestition bereits im ersten Quartal nach der Bereitstellung rechtfertigen.

Für Umgebungen im Gesundheitswesen und Transportwesen , in denen das Besucher-WiFi ein regulierter Dienst ist, eliminiert die in das Captive Portal von Purple integrierte, GDPR-konforme Datenerfassung und Einwilligungsverwaltung das Compliance-Risiko, das mit ungesicherten offenen Netzwerken verbunden ist.

Siehe auch: Arista Cognitive Wi-Fi Integration mit Purple WiFi für ein vergleichbares Integrationsmuster auf einer anderen Hardwareplattform."

Schlüsseldefinitionen

Captive portal

A web page that intercepts unauthenticated HTTP traffic from a connected device and requires the user to interact or authenticate before internet access is granted.

The primary mechanism Purple uses to capture guest data and enforce terms of service on Zyxel Guest WiFi networks.

Walled Garden

A list of IP addresses and domain names that a device can access before completing captive portal authentication.

Configured in Nebula under Captive portal advance setting. Must include all Purple portal domains, CDN endpoints, and OS connectivity check URLs.

RADIUS

Remote Authentication Dial-In User Service. A networking protocol providing centralised Authentication, Authorisation, and Accounting (AAA) management for network access.

Purple acts as the RADIUS server. Zyxel APs send authentication requests on UDP 1812 and accounting data on UDP 1813.

DPPSK

Dynamic Personal Pre-Shared Key. A Zyxel Nebula feature that issues unique WiFi passphrases on a single SSID, mapping each passphrase to a specific VLAN.

Used in multi-tenant venues to isolate resident or tenant traffic without broadcasting multiple SSIDs. Requires Nebula Pro Pack.

VLAN

Virtual Local Area Network. A logical network segment that isolates traffic at Layer 2, regardless of the physical switch or AP infrastructure.

Mandatory for separating Guest, Staff, and Multi-Tenant traffic. Required for PCI DSS compliance in venues that process card payments.

IEEE 802.1X

An IEEE standard for port-based network access control that uses the Extensible Authentication Protocol (EAP) to authenticate individual users or devices before granting network access.

Used for Staff WiFi in Nebula by selecting WPA2-Enterprise or WPA3-Enterprise with either the Nebula Cloud Authentication Server or an external RADIUS server.

CNA

Captive Network Assistant. The pseudo-browser that iOS and macOS devices automatically open when they detect a captive portal on a WiFi network.

Has limited JavaScript and cookie support compared to a full browser. Purple splash pages must be tested in the CNA environment before deployment.

Identity-Based Networks

A network architecture where access policies, VLAN assignments, and bandwidth limits are dynamically applied based on the authenticated identity of the user or device.

The outcome of combining Zyxel DPPSK with Purple's RADIUS platform. Each user gets the right network segment automatically at connection time.

NCC

Nebula Control Center. Zyxel's cloud-based network management platform for centrally configuring and monitoring Zyxel access points, switches, and firewalls.

All SSID, captive portal, RADIUS, and DPPSK configurations described in this guide are performed within NCC.

Ausgearbeitete Beispiele

A 200-room hotel is deploying Zyxel Nebula access points and a USG Flex 500 firewall. They need guest WiFi with a branded splash page, a separate staff network with individual credentials, and an IoT network for smart TVs and thermostats - all without broadcasting more than three SSIDs.

The IT team configures three SSIDs. The first is 'Hotel-Guest', an open SSID with the Purple external captive portal URL configured in Nebula. Guests are redirected to a branded Purple splash page where they submit their email and accept marketing consent. RADIUS authentication and accounting point to the Purple cloud platform on ports 1812 and 1813. The second SSID is 'Hotel-Staff', configured with WPA2-Enterprise and the Nebula Cloud Authentication Server. Each staff member has a unique username and password in the NCAS database, mapped to VLAN 20. The third SSID is 'Hotel-IoT', configured with DPPSK. Each smart TV and thermostat receives a unique passphrase mapped to VLAN 30. The USG Flex enforces zone policies: Guest (VLAN 10) can only reach the WAN. Staff (VLAN 20) can reach the WAN and internal management systems. IoT (VLAN 30) is restricted to specific local services only.

Kommentar des Prüfers: This architecture achieves full segmentation with minimal SSID overhead. Using DPPSK for IoT devices provides device-level isolation without requiring 802.1X supplicants, which headless devices cannot support. The Purple integration on the guest SSID captures first-party data at scale while the staff SSID maintains enterprise-grade security via individual 802.1X credentials.

A coworking space operator manages 12 tenants across three floors. Each tenant needs isolated internet access and must not be able to reach other tenants' devices. The operator wants to issue WiFi credentials at move-in and revoke them at move-out, without changing the SSID or reconfiguring the APs.

The operator deploys a single 'CoWork-Connect' SSID with DPPSK enabled in Nebula. At move-in, they log in to the Nebula Control Center, navigate to Configure > Cloud authentication > DPPSK, and create a new credential for the tenant with the target VLAN ID matching that tenant's network segment. They set an expiry date matching the lease end date and email the credential to the tenant. At move-out, they delete the DPPSK entry. The credential immediately becomes invalid and the tenant's devices can no longer associate. Layer 2 isolation is enabled on the SSID to prevent cross-tenant communication even within the same VLAN.

Kommentar des Prüfers: DPPSK provides a clean lifecycle management model for multi-tenant environments. The expiry date feature automates offboarding without requiring manual AP reconfiguration. The 2,048 concurrent credential limit is well within the capacity of a 12-tenant coworking space. For larger deployments, operators should plan credential rotation schedules to stay within this limit.

Übungsfragen

Q1. You have configured the Purple captive portal URL in Zyxel Nebula and enabled the external portal. Guests connect to the SSID but report that the splash page takes over 30 seconds to load and appears visually broken - missing images and layout. What is the most likely cause and how do you resolve it?

Hinweis: Consider what controls access to external resources before a guest has authenticated.

Musterlösung anzeigen

The Walled Garden configuration is incomplete. The Purple splash page loads CSS, JavaScript, and image assets from CDN domains. If these domains are not whitelisted in the Nebula Captive portal advance setting, the AP blocks those requests before authentication is complete. Resolution: connect a test device to the Guest SSID, open a browser (not the CNA mini-browser), navigate to any HTTP URL to trigger the redirect, then open developer tools and inspect the Network tab. Identify any requests returning 403 or connection errors. Add those domains to the Nebula Walled Garden and retest.

Q2. A venue operator wants to provide isolated networks for 15 different retail tenants in a shopping centre. Their initial plan is to broadcast 15 separate SSIDs from their Zyxel APs. Why is this approach problematic, and what should they deploy instead?

Hinweis: Think about RF airtime and the Zyxel feature designed specifically for this use case.

Musterlösung anzeigen

Broadcasting 15 SSIDs generates 15 sets of beacon frames per access point per second. In a dense retail environment with multiple APs, this beacon overhead consumes significant airtime and degrades throughput for all connected devices. The correct approach is to broadcast a single SSID and enable Zyxel DPPSK. Each tenant receives a unique passphrase mapped to their dedicated VLAN ID. When a tenant device connects, the Nebula controller dynamically assigns it to the correct VLAN. This achieves full traffic isolation with a single SSID and minimal RF overhead.

Q3. After deploying the Zyxel and Purple integration, guests can authenticate successfully and browse the internet. However, the Purple analytics dashboard shows zero session duration data and the time-based access limit feature is not working. What is missing from the configuration?

Hinweis: Authentication and session tracking use different ports and protocols.

Musterlösung anzeigen

RADIUS Accounting is either not enabled in the Nebula SSID configuration or UDP port 1813 is blocked by the upstream firewall. Authentication (UDP 1812) is succeeding, which is why guests can connect. But without Accounting packets (Start, Interim-Update, Stop), Purple cannot track session duration, enforce time limits, or populate the analytics dashboard. Resolution: confirm RADIUS accounting is enabled in SSID advanced settings with the accounting port set to 1813 and the correct shared secret. Then verify the upstream firewall permits outbound UDP 1813 from the Zyxel AP management IP to the Purple RADIUS server IP.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Leitfaden lesen →

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

Diese Anleitung beschreibt die schrittweise Integration von Cisco WLC und Catalyst 9800 Wireless mit Purple. Sie umfasst die Weiterleitung zum Guest WiFi Captive Portal über Central Web Authentication, sicheres Mitarbeiter-WiFi mittels 802.1X EAP-TLS sowie Multi-Tenant-Segmentierung über Cisco Identity Pre-Shared Keys (iPSK) mit dynamischer VLAN-Zuweisung. Sie richtet sich an Netzwerkarchitekten in Unternehmen und IT-Sicherheitsverantwortliche, die Cisco-Infrastrukturen im Gastgewerbe, im Einzelhandel und in großen öffentlichen Veranstaltungsorten bereitstellen.

Leitfaden lesen →

OpenWrt Custom Firmware Integration with Purple WiFi

Dieses Handbuch bietet das vollständige Integrations-Playbook für die Bereitstellung von OpenWrt Custom Firmware mit Purple WiFi. Es deckt die Konfiguration des CoovaChilli Captive Portal, die Verwaltung des iptables Walled Garden, sicheres Mitarbeiter-WiFi über 802.1X mit hostapd sowie die mandantenfähige PPSK-Segmentierung mit dynamischer VLAN-Zuweisung ab. Damit erhalten IT-Teams die genauen Konfigurationsschritte, die für den Aufbau eines identitätsbasierten Netzwerks auf jeder OpenWrt-fähigen Hardware erforderlich sind.

Leitfaden lesen →