Zum Hauptinhalt springen
Deutsch

Arista Cognitive Wi-Fi Integration mit Purple WiFi

Diese technische Referenz beschreibt Schritt für Schritt die Integration von Arista Cognitive Wi-Fi (CV-CUE) mit der Captive Portal-Plattform von Purple für Unternehmensstandorte. Sie deckt die Konfiguration des Arista Captive Portals, das Design von Walled Garden ACLs, die Einrichtung von RADIUS-Servern, die sichere 802.1X-Authentifizierung für Mitarbeiter sowie die mandantenfähige Isolierung mittels Arista PPSK mit dynamischer VLAN-Steuerung ab – und bietet IT-Teams und Netzwerkarchitekten eine definitive Bereitstellungsvorlage.

📖 10 Min. Lesezeit📝 2,486 Wörter🔧 3 ausgearbeitete Beispiele3 Übungsfragen📚 10 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen zum Briefing. Heute analysieren wir die Integration von Arista Cognitive Wi-Fi mit der Purple-Plattform. Dies ist ein Briefing für Senior-Consultants, das sich direkt an Netzwerkarchitekten in Unternehmen und Cloud-Systemadministratoren richtet, die diese Implementierung auf Anhieb korrekt durchführen müssen. Lassen Sie uns den Rahmen abstecken. Arista Cognitive Wi-Fi, verwaltet über die CloudVision Cognitive Unified Edge-Plattform, ist eine cloud-verwaltete Wireless-Infrastruktur, die Enterprise-Grade-Netzwerkbereitstellungen für Gäste und Mitarbeiter unterstützt. Purple ist ein hardwareunabhängiges Cloud-Overlay, das das Captive Portal (Gästeportal), die Identitätserfassung, die RADIUS-Authentifizierung und die Analyse-Ebene bereitstellt. Wenn Sie beide kombinieren, erhalten Sie eine vollständige, konforme und kommerziell wertvolle Gäste-WiFi-Architektur. Gehen wir ins Detail. Das Erste, was man verstehen muss, ist der Onboarding-Flow des Captive Portals. Wenn sich ein Gästegerät mit der offenen Gäste-SSID auf einem Arista Access Point verbindet, platziert der AP dieses Gerät sofort in ein Pre-Authentication-VLAN. In diesem Zustand verfügt das Gerät über eine per DHCP zugewiesene IP-Adresse, aber sein DNS- und HTTP-Traffic ist stark eingeschränkt. Das Betriebssystem des Geräts, egal ob iOS, Android oder Windows, führt eine Captive Portal-Erkennung durch. iOS sendet eine HTTP-Anfrage an captive.apple.com. Android prüft connectivitycheck.gstatic.com. Der Arista AP fängt diese Anfrage ab und gibt einen 302-Redirect zurück, der das Gerät auf die URL der Purple-Splash-Page leitet. Hier passieren die meisten Fehler bei der Bereitstellung. Damit diese Weiterleitung funktioniert und die Splash-Page tatsächlich geladen wird, müssen Sie den Walled Garden in Arista CV-CUE korrekt konfigurieren. Der Walled Garden ist eine explizite Allow-List. Im Pre-Authentication-Zustand wird standardmäßig der gesamte Traffic blockiert. Sie müssen jede Domain auf die Whitelist setzen, die zum Laden des Portals erforderlich ist. Das bedeutet mindestens die zentralen Purple-Domains: region1.purpleportal.net, venuewifi.com und cloudfront.net. Wenn Sie ein Social-Login über Google Workspace anbieten, müssen Sie accounts.google.com und die zugehörigen CDN-Bereiche hinzufügen. Für Facebook benötigen Sie facebook.com, fbcdn.net und akamaihd.net. Wenn Sie auch nur eine einzige dieser Adressen vergessen, sieht der Gast einen leeren Bildschirm oder einen sich drehenden Login-Button. Die Nutzer brechen ab, und Sie verlieren die Möglichkeit zur Datenerfassung. Lassen Sie mich Sie durch die RADIUS-Konfiguration in CV-CUE führen. Navigieren Sie zu „Configure“, dann „Network Profiles“, dann „RADIUS“. Klicken Sie auf „Add RADIUS Server“. Geben Sie die IP-Adresse des primären RADIUS-Servers von Purple ein, setzen Sie den Authentication Port auf 1812, den Accounting Port auf 1813 und geben Sie das von Purple bereitgestellte Shared Secret ein. Wiederholen Sie dies für den sekundären Server. Diese Redundanz ist von entscheidender Bedeutung. Wenn der primäre Server nicht erreichbar ist, übernimmt der sekundäre, ohne den Gästezugang zu unterbrechen. Sobald die RADIUS-Profile gespeichert sind, gehen Sie zu „Configure“, dann „WiFi“, dann „SSID“ und klicken Sie auf „Add New SSID“. Benennen Sie Ihre SSID, setzen Sie den Typ auf „Guest“ und stellen Sie unter der Registerkarte „Security“ die Sicherheitsstufe auf „Open“ ein. Dies ist die korrekte Einstellung für eine Bereitstellung mit einem Captive Portal. Aktivieren Sie unter der Registerkarte „Captive Portal“ das Kontrollkästchen „Captive Portal“, wählen Sie im Drop-down-Menü „Cloud Hosted“ die Option „Third-Party Hosted“ aus und aktivieren Sie das Kontrollkästchen „With RADIUS Authentication“. Fügen Sie die URL der Purple Splash Page in das Feld „Splash Page URL“ ein. Diese hat typischerweise das Format https://region1.purpleportal.net/access/. Geben Sie das Shared Secret ein. Fügen Sie dann im Bereich „Websites that users can access before login“ Ihre Walled-Garden-Domains hinzu. Stellen Sie das Format für die „Called Station ID“ auf percent-m ein, wodurch die MAC-Adresse in dem von Purple erwarteten Format gesendet wird. Setzen Sie das „Accounting Interval“ auf 2 Minuten. Deaktivieren Sie das Kontrollkästchen „HTTPS Redirection“. Speichern Sie die SSID. Sie wird innerhalb weniger Minuten auf Ihre Arista APs übertragen. Sprechen wir nun darüber, was passiert, nachdem der Gast seine Daten im Purple-Portal übermittelt hat. Purple fungiert als RADIUS-Server. Er validiert die Identität, erfasst die Einwilligung und sendet eine RADIUS-Access-Accept-Nachricht zurück an den Arista AP. Aber hier ist der entscheidende Punkt: Diese Access-Accept-Nachricht enthält „Change of Authorization“-Attribute, wie sie in RFC 3576 definiert sind. Diese Attribute weisen den Arista AP an, diesen spezifischen Client dynamisch aus dem eingeschränkten Pre-Authentication-Status in das Post-Authentication-VLAN mit vollem Internetzugang zu überführen. Gleichzeitig sendet der AP eine RADIUS-Accounting-Start-Nachricht auf Port 1813 an Purple. Dies startet den Sitzungstimer und speist Daten zur Sitzungsdauer in das Purple-Analyse-Dashboard ein. Gehen wir nun zu dem fortgeschritteneren Anwendungsfall über: Multi-Tenant-WiFi unter Verwendung von Arista Private Pre-Shared Keys oder PPSK. Dies ist die Architektur, die Sie für Coworking Spaces, Einkaufszentren, Wohngebäude oder jede Umgebung benötigen, in der Sie mehrere unterschiedliche Benutzergruppen haben, die eine strikte Netzwerktrennung erfordern. Das Problem bei herkömmlichen Ansätzen besteht darin, dass das Ausstrahlen einer separaten SSID für jeden Mandanten einen enormen HF-Overhead verursacht. Jede SSID erfordert Beacon-Frames. In einer dichten Umgebung mit 20 Mandanten sind das 20 SSIDs, die Sendezeit verbrauchen. PPSK löst dies auf elegante Weise. Sie strahlen eine einzige SSID aus. Aber im Purple-Portal wird jedem Mandanten eine eindeutige Passphrase zugewiesen. Wenn sich ein Benutzer verbindet, authentifiziert der Arista AP diese Passphrase gegenüber dem Purple-RADIUS-Server. Purple sucht nach der Passphrase, identifiziert den zugehörigen Mandanten und gibt eine Access-Accept-Nachricht zurück. Ganz entscheidend ist jedoch, dass sie drei RADIUS-Attribute anhängt: „Tunnel-Type“ (gesetzt auf VLAN), „Tunnel-Medium-Type“ (gesetzt auf 802) und „Tunnel-Private-Group-ID“ (gesetzt auf die spezifische VLAN-ID des Mandanten). Der Arista AP liest diese Attribute und leitet den Client dynamisch in das richtige VLAN. Mandant A landet mit seiner Passphrase im VLAN 100. Mandant B landet im VLAN 200. Sie sind auf Layer 2 vollständig voneinander isoliert. Sie können die Geräte, Drucker oder Server des jeweils anderen nicht sehen. Dies ist identitätsbasiertes Networking in der Praxis. Die Identität des Passphrases bestimmt das Netzwerksegment. Es wird zentral über Purple verwaltet. Wenn also ein Mieter auszieht, widerrufen Sie dessen Passphrase im Purple-Portal, und der Zugriff wird sofort beendet. Auf der Arista-Infrastruktur sind keine Änderungen erforderlich. Kommen wir nun zum sicheren Mitarbeiter-WiFi unter Verwendung von IEEE 802.1X. Für Ihre Mitarbeiter-SSID sollten Sie keine gemeinsam genutzte Passphrase verwenden. Sie sollten 802.1X mit EAP (Extensible Authentication Protocol) nutzen. Erstellen Sie in CV-CUE eine neue Corporate-SSID. Wählen Sie unter der Registerkarte „Security“ die Option WPA2-Enterprise oder WPA3-Enterprise aus. Wählen Sie Ihr RADIUS-Profil aus, das auf Ihren Unternehmens-Identitätsanbieter wie Microsoft Entra ID oder Okta verweisen sollte. Wenn sich ein Mitarbeiter verbindet, übermittelt sein Gerät die Anmeldedaten an den Arista AP, der diese über EAP an den RADIUS-Server weiterleitet. Der Identitätsanbieter validiert die Anmeldedaten und gibt ein „Access-Accept“ zurück. Bei der zertifikatsbasierten Authentifizierung mittels EAP-TLS legt das Gerät anstelle von Benutzernamen und Passwort ein Client-Zertifikat vor, wodurch der Diebstahl von Anmeldedaten als Angriffsvektor vollständig eliminiert wird. Lassen Sie mich auf die Arista Cloud WIPS-Integration eingehen. Das Wireless Intrusion Prevention System von Arista arbeitet im Hintergrund und scannt nach Rogue Access Points und unbefugten Clients. Navigieren Sie in CV-CUE zu „Configure“, dann „WIPS“, dann „Automatic Intrusion Prevention“. Sie können die Verhindern-Stufe von „Degrade“ bis hin zu „Block“ konfigurieren. Für Enterprise-Bereitstellungen empfehlen wir die Stufe „Disrupt“ als Ausgangspunkt. Diese stört die unbefugte Kommunikation, ohne sie vollständig zu blockieren, was das Risiko von Fehlalarmen verringert. Sie sollten auch das VLAN-Monitoring unter „Configure“, dann „Device“, dann „Access Point“ konfigurieren, indem Sie die Registerkarte „Security“ auswählen. Aktivieren Sie das SSID VLAN Monitoring, damit APs ihre zugewiesenen VLANs aktiv auf unerlaubte Aktivitäten überwachen. Nun zu einigen Implementierungsfallen, die es zu vermeiden gilt. Erstens: Erschöpfung des DHCP-Pools. In Umgebungen mit hoher Fluktuation, wie Einzelhandelsgeschäften oder Stadien, verbinden sich Geräte kurz und entfernen sich dann wieder. Wenn Ihr Idle-Timeout zu hoch eingestellt ist, bleiben diese Sitzungen aktiv und blockieren IP-Adressen. Stellen Sie das Idle-Timeout in CV-CUE für den Einzelhandel auf 10 Minuten und für Veranstaltungsorte auf nur 5 Minuten ein. Dies gibt IPs aggressiv wieder frei und verhindert, dass der Pool erschöpft wird. Zweitens: MAC-Adressen-Randomisierung. Seit iOS 14 und Android 10 randomisieren Geräte standardmäßig ihre MAC-Adresse pro SSID. Dies hebelt jede Architektur aus, die auf MAC-Adressen zur Identifizierung wiederkehrender Gäste setzt. Die richtige Reaktion darauf ist, Ihr Identitätsmodell auf authentifizierte Anmeldedaten umzustellen – also die E-Mail-Adresse oder den Social-Login, die über das Purple-Portal erfasst werden. Für eine nahtlose Wiederverbindung ohne Portal ist der langfristige Migrationspfad Passpoint, auch bekannt als Hotspot 2.0, das auf zertifikatsbasierter Authentifizierung basiert und das Captive Portal überflüssig macht. Drittens: HTTPS-Weiterleitung. Stellen Sie bei der Konfiguration des Captive Portals in CV-CUE sicher, dass das Kontrollkästchen für die HTTPS-Weiterleitung deaktiviert ist. Purple verarbeitet die HTTPS-Sitzung unabhängig. Die Aktivierung der HTTPS-Weiterleitung auf Arista-Seite kann zu Zertifikatsfehlern führen, die das Laden des Portals verhindern. Lassen Sie uns eine schnelle Fragerunde zu häufigen Szenarien durchführen. Frage: Die Portalseite eines Gastes zeigt einen leeren Bildschirm. Wo suchen Sie zuerst? Antwort: Im Walled Garden. Eine fehlende Domain ist fast immer die Ursache. Überprüfen Sie, ob alle Purple-Domains und die relevanten Identity Provider CDN-Domains in CV-CUE auf der Whitelist stehen. Frage: PPSK-Benutzer landen alle im Standard-VLAN. Was ist falsch? Antwort: Der Purple RADIUS-Server gibt das Attribut „Tunnel-Private-Group-ID“ nicht zurück. Überprüfen Sie die RADIUS-Antwort in den CV-CUE-Fehlerbehebungsprotokollen und verifizieren Sie das VLAN-Mapping im Purple-Portal. Frage: Die RADIUS-Accounting-Daten in Purple zeigen Sitzungen von null Sekunden an. Was ist das Problem? Antwort: Der Accounting-Port ist wahrscheinlich falsch konfiguriert oder blockiert. Stellen Sie sicher, dass Port 1813 auf der Firewall zwischen den Arista APs und den Purple RADIUS-Servern geöffnet ist und dass das Accounting-Intervall in den SSID-Einstellungen auf 2 Minuten festgelegt ist. Zusammenfassend die wichtigsten Erkenntnisse aus diesem Briefing. Erstens: Der Walled Garden ist eine explizite Allow-List. Pflegen Sie diese als wiederkehrende betriebliche Aufgabe, nicht als einmalige Einrichtung. Zweitens: RADIUS Change of Authorization (CoA) ist der Mechanismus, der den Zugriff gewährt. Ohne diesen wird das Portal zwar abgeschlossen, der Gast bleibt jedoch blockiert. Drittens: Arista PPSK mit Purple RADIUS ermöglicht eine dynamische VLAN-Steuerung für die Multi-Tenant-Isolierung auf einer einzigen SSID, was den Beacon-Overhead eliminiert. Viertens: Aktivieren Sie auf Guest SSIDs immer die Client-Isolierung, um laterale Bewegungen zu verhindern. Fünftens: Die Randomisierung von MAC-Adressen erfordert den Übergang zu einer identitätsbasierten Authentifizierung für präzise Analysen. Sechstens: Eine ordnungsgemäße Integration erfüllt die GDPR-Einwilligungsanforderungen und erfasst First-Party-Daten, die den Marketing-ROI direkt steigern. Ihre nächsten Schritte: Rufen Sie die IP-Adressen der Purple RADIUS-Server und die Shared Secrets von der Hardware-Konfigurationsseite des Purple-Portals ab. Konfigurieren Sie die RADIUS-Profile in CV-CUE. Erstellen Sie Ihre Walled Garden-Domainliste. Stellen Sie Ihre Guest SSID bereit. Testen Sie den gesamten Authentifizierungsfluss auf einem Mobilgerät, bevor Sie ihn in der Produktionsumgebung bereitstellen. Und wenn Sie Multi-Tenant-Umgebungen bereitstellen, ordnen Sie Ihre Tenant-VLAN-IDs in Purple zu, bevor Sie die PPSK-Passphrasen konfigurieren. Damit ist dieses technische Briefing abgeschlossen. Vielen Dank für Ihre Aufmerksamkeit.

header_image.png

Management Summary

Die Bereitstellung eines Arista Captive Portal für den Gastzugang ist nicht nur eine reine Konnektivitätsaufgabe. Es ist eine kritische Schnittstelle zwischen Netzwerksicherheit, Einhaltung gesetzlicher Vorschriften und Datenstrategie. Für IT-Leiter, die verteilte Standorte verwalten, transformiert die Integration von Arista CloudVision Cognitive Unified Edge (CV-CUE) mit Purple unverwalteten Gast-Traffic in ein sicheres, segmentiertes und messbares Asset.

Diese Referenz bietet einen definitiven Entwurf für die Konfiguration von Arista Cognitive WiFi mit Purple. Wir beschreiben im Detail die genauen Mechanismen, die für die Bereitstellung von Splash-Pages von Drittanbietern, die Erstellung präziser Walled-Garden-Zugriffskontrolllisten und die Implementierung der RADIUS-Authentifizierung erforderlich sind. Darüber hinaus behandeln wir die fortgeschrittene Isolation von Multi-Tenant WiFi mittels Arista Private Pre-Shared Keys (PPSK) und dynamischer VLAN-Steuerung – eine Architektur, die das unkontrollierte Anwachsen von SSIDs in Coworking-Spaces, Einkaufszentren und Wohngebäuden eliminiert.

Purple ist an über 80.000 Live-Standorten im Einsatz und hat im Jahr 2024 440 Millionen Logins verarbeitet (interne Daten von Purple). Die Plattform ist ISO 27001-zertifiziert, GDPR- und CCPA-konform und verfügt über Cyber Essentials- sowie B Corp-Zertifizierungen. Dieser Leitfaden spiegelt praxiserprobte Konfigurationen wider, die in Bereitstellungen im Hotel- und Gastgewerbe, im Einzelhandel und im öffentlichen Sektor validiert wurden.

Technische Detailanalyse

Die Onboarding-Architektur des Arista Captive Portal

Der Onboarding-Fluss für Gäste bestimmt, wie Geräte vor und nach der Authentifizierung mit dem Arista Access Point (AP) interagieren. Wenn sich ein Gerät mit der offenen Gast-SSID verbindet, weist der Arista AP ihm ein Pre-Authentication-VLAN zu. In diesem Zustand beschränkt der AP den DNS- und HTTP-Traffic auf eine definierte Erlaubnisliste. Das Betriebssystem des Geräts erkennt das Captive Portal und versucht, einen bekannten Endpunkt zu erreichen – iOS sendet eine HTTP-Anfrage an captive.apple.com, Android an connectivitycheck.gstatic.com und Windows an www.msftconnecttest.com. Der Arista AP fängt diese Anfrage ab und leitet sie über einen HTTP 302 Redirect an die URL der Purple Splash-Page weiter.

{{asset:captive_portal_flow.png}}

Um sicherzustellen, dass dieser Ablauf fehlerfrei ausgeführt wird, muss der Arista CV-CUE-Controller so konfiguriert sein, dass er auf Purple als extern gehostetes Portal verweist. Dies erfordert die Definition der Purple RADIUS-Server (Authentifizierungs-Port 1812, Accounting-Port 1813) innerhalb der CV-CUE-Netzwerkprofile. Sobald der Gast seine Anmeldedaten übermittelt oder die Nutzungsbedingungen auf dem Purple-Portal akzeptiert, fungiert Purple als RADIUS-Server und sendet eine Access-Accept-Nachricht zurück an den Arista AP. Diese Nachricht enthält RADIUS Change of Authorization (CoA)-Attribute, die in RFC 3576 definiert sind, und weist den AP an, die Client-MAC-Adresse vom eingeschränkten Pre-Authentication-Zustand in den uneingeschränkten Internetzugang im Post-Authentication-VLAN zu überführen. architecture_overview.png

Walled Garden ACL-Design in CV-CUE

Der Walled Garden ist eine Whitelist von Domains und IP-Adressen, die nicht authentifizierte Geräte erreichen müssen, um die Splash-Page zu laden und die Authentifizierung abzuschließen. In Arista CV-CUE konfigurieren Sie dies unter den Captive Portal-Einstellungen als "Websites, auf die Benutzer vor dem Login zugreifen können".

Der Walled Garden ist eine explizite Freigabeliste. Sie müssen die Kern-Domains von Purple aufnehmen, um das Portal zu rendern. Wenn Sie Social-Login anbieten, müssen Sie auch die Domains der Identity Provider (IdP) auf die Whitelist setzen. Wenn diese Liste nicht gepflegt wird, können Gäste den Anmeldebildschirm des Authentifizierungsanbieters nicht laden, was zu einem sofortigen Abbruch führt.

Zone Zulässiger Traffic Implementierung
Vor-Authentifizierung DNS (eingeschränkt), DHCP, Portalserver, Endpunkte zur Erkennung des Captive Portals Gateway ACL - alles blockieren außer Whitelist
Walled Garden Purple-Portal-Domains, Social-Login-Anbieter, Zahlungsdienstleister FQDN-basierte ACL in CV-CUE
Nach-Authentifizierung Vollständiger Internetzugang unter Berücksichtigung von Inhaltsfiltern und Bandbreitenrichtlinien Benutzerbezogene ACL, angewendet über RADIUS CoA

Erforderliche Mindesteinträge im Walled Garden für Purple:

  • region1.purpleportal.net
  • venuewifi.com
  • cloudfront.net
  • openweathermap.org
  • stripe.com (falls kostenpflichtiger Zugang aktiviert ist)

Zusätzliche Einträge für Social-Login:

  • Facebook: facebook.com, fbcdn.net, akamaihd.net, connect.facebook.net
  • Google Workspace: accounts.google.com, googleapis.com
  • Twitter/X: twitter.com, twimg.com
  • LinkedIn: linkedin.com, licdn.net

Arista PPSK-Konfiguration für Multi-Tenant-Isolierung

Für Umgebungen wie Coworking Spaces, Wohngebäude oder Einkaufszentren ist der Standard 802.1X für unverwaltete Geräte oft zu komplex, während offene Netzwerke nicht die erforderliche Sicherheit bieten. Arista Private Pre-Shared Keys (PPSK) löst dies, indem mehrere eindeutige Passphrasen auf einer einzigen SSID zulässig sind, die jeweils einer bestimmten Netzwerkrichtlinie zugeordnet sind.

ppsk_vlan_diagram.png

In Verbindung mit Purple RADIUS ermöglicht Arista PPSK eine dynamische VLAN-Steuerung. Ein Bewohner oder Mieter verbindet sich mit der einheitlichen SSID unter Verwendung seines spezifischen PPSK. Der Arista AP authentifiziert den Schlüssel gegenüber dem Purple RADIUS-Server. Purple gibt das Standard-Access-Accept zurück, fügt jedoch drei RADIUS-Attribute hinzu, die die VLAN-Zuweisung steuern:

RADIUS-Attribut Wert Zweck
Tunnel-Type 13 (VLAN) Gibt den Tunneltyp an
Tunnel-Medium-Type 6 (802) Gibt den Medientyp an
Tunnel-Private-Group-ID z. B. "100" Die spezifische zuzuweisende VLAN-ID

Der Arista AP weist das Gerät dynamisch diesem VLAN zu. Dies sorgt für eine strikte Layer-2-Isolierung zwischen den Mandanten, ohne dass Dutzende separater SSIDs ausgestrahlt werden müssen, was die RF-Auslastung optimiert und gleichzeitig absolute Sicherheitsgrenzen wahrt.

Sicheres Mitarbeiter-WiFi mit IEEE 802.1X

Für Mitarbeiternetzwerke stellen gemeinsam genutzte Passphrasen ein Sicherheitsrisiko dar. IEEE 802.1X (definiert in IEEE Std 802.1X-2020) bietet eine portbasierte Netzwerkzugriffskontrolle unter Verwendung von benutzerbezogenen Anmeldedaten. In CV-CUE konfigurieren Sie eine Corporate SSID mit WPA2-Enterprise- oder WPA3-Enterprise-Sicherheit. Der AP fungiert als Authentifikator und leitet die Anmeldedaten über EAP (Extensible Authentication Protocol) an den RADIUS-Server weiter. Purple unterstützt EAP-PEAP für die Authentifizierung mit Benutzernamen/Passwort und EAP-TLS für die zertifikatsbasierte Authentifizierung.

Bei EAP-TLS-Bereitstellungen integrieren Sie Microsoft Entra ID, Okta oder Google Workspace als Zertifizierungsstelle. Wenn das Gerät eines Mitarbeiters ein gültiges Client-Zertifikat vorweist, validiert der RADIUS-Server dieses mit dem Verzeichnis und gibt ein Access-Accept zurück. Dadurch wird der Diebstahl von Anmeldedaten als Angriffsvektor vollständig eliminiert.

Arista Cloud WIPS-Integration

Das Wireless Intrusion Prevention System (WIPS) von Arista arbeitet kontinuierlich im Hintergrund und sucht nach Rogue Access Points, falsch konfigurierten APs und nicht autorisierten Clients. Navigieren Sie in CV-CUE zu Configure > WIPS > Automatic Intrusion Prevention, um die Sicherheitsstufe zu konfigurieren. Arista bietet vier Stufen an: Degrade, Interrupt, Disrupt und Block. Für Unternehmensumgebungen empfiehlt sich der Start mit Disrupt, wodurch die nicht autorisierte Kommunikation unterbrochen wird, ohne sie vollständig zu blockieren. Dies verringert das Risiko von Fehlalarmen während der Erstbereitstellung.

Aktivieren Sie das SSID-VLAN-Monitoring unter Configure > Device > Access Point > Security tab, um sicherzustellen, dass die APs ihre zugewiesenen VLANs aktiv auf verdächtige Aktivitäten überwachen. Modelle der Arista AP-3xx-Serie unterstützen die gleichzeitige Überwachung von bis zu 42 VLANs (Arista WIPS-Dokumentation, 2025).

Implementierungshandbuch

Phase 1: Netzwerksegmentierung und RADIUS-Einrichtung

  1. Melden Sie sich bei Arista CV-CUE an und navigieren Sie zu Configure > Network Profiles > RADIUS.
  2. Klicken Sie auf Add RADIUS Server.
  3. Geben Sie die Daten des primären Purple RADIUS-Servers ein: IP-Adresse, Authentifizierungs-Port (1812), Accounting-Port (1813) und das Shared Secret von der Hardware-Konfigurationsseite des Purple-Portals.
  4. Wiederholen Sie den Vorgang für den sekundären Purple RADIUS-Server, um Hochverfügbarkeit zu gewährleisten.
  5. Stellen Sie sicher, dass die UDP-Ports 1812 und 1813 auf Ihrer Firewall zwischen den Arista APs und den Purple RADIUS-Servern freigegeben sind.

Phase 2: Konfiguration der Guest-SSID und des Captive Portals

  1. Navigieren Sie zu Configure > WiFi > SSID und klicken Sie auf Add New SSID.
  2. Definieren Sie den SSID-Namen (z. B. Guest_WiFi) und stellen Sie den SSID-Typ auf Guest ein.
  3. Stellen Sie unter der Registerkarte Security die Sicherheitsstufe auf Open ein.
  4. Konfigurieren Sie unter der Registerkarte Network das Pre-Authentication-VLAN (z. B. VLAN 10) mit einem dedizierten DHCP-Bereich.
  5. Aktivieren Sie unter der Registerkarte Captive Portal das Kontrollkästchen für das Captive Portal.
  6. Wählen Sie Third-Party Hosted aus dem Dropdown-Menü „Cloud Hosted“.
  7. Aktivieren Sie With RADIUS Authentication und wählen Sie das Purple RADIUS-Profil aus.
  8. Geben Sie die Purple Splash Page-URL (z. B. https://region1.purpleportal.net/access/) und die Redirect-URL (z. B. https://region1.purpleportal.net/access/?res=success) ein.
  9. Stellen Sie das Format der Called Station ID auf %m ein (von Purple benötigtes MAC-Adressformat).
  10. Stellen Sie das Accounting Interval auf 2 Minuten ein.
  11. Deaktivieren Sie das Kontrollkästchen HTTPS Redirection.

Phase 3: Walled Garden-Bereitstellung

  1. Suchen Sie auf der Registerkarte „Captive Portal“ den Bereich Websites that users can access before login.
  2. Fügen Sie alle erforderlichen Purple-Domains und Identity Provider-Domains wie oben aufgeführt hinzu.
  3. Speichern Sie die SSID-Konfiguration und wenden Sie sie auf die Ziel-Arista-AP-Gruppen an.

Phase 4: PPSK-Multi-Tenant-Einrichtung

  1. Navigieren Sie im Purple-Portal zur Hardwarekonfiguration des Standorts und rufen Sie die PPSK-RADIUS-Einstellungen ab.
  2. Erstellen Sie in CV-CUE eine neue SSID mit WPA2-Personal-Sicherheit und aktivieren Sie den PPSK-Modus.
  3. Konfigurieren Sie die SSID so, dass sie sich gegenüber dem Purple RADIUS-Profil authentifiziert.
  4. Erstellen Sie im Purple-Portal für jeden Mandanten eine PPSK-Passphrase und weisen Sie diese der entsprechenden VLAN-ID zu.
  5. Stellen Sie sicher, dass die Switch-Ports, die mit den Arista-APs verbunden sind, so konfiguriert sind, dass sie die erforderlichen Mandanten-VLANs transportieren (Trunking).

Phase 5: Sicheres Mitarbeiter-WiFi (802.1X)

  1. Erstellen Sie eine neue Corporate-SSID in CV-CUE.
  2. Wählen Sie unter der Registerkarte „Security“ die Option WPA2-Enterprise oder WPA3-Enterprise.
  3. Wählen Sie das RADIUS-Profil aus, das auf Ihren Identity Provider (Microsoft Entra ID, Okta oder Google Workspace) verweist.
  4. Konfigurieren Sie den EAP-Typ: PEAP für Benutzername/Passwort, EAP-TLS für zertifikatsbasierte Authentifizierung.
  5. Weisen Sie die Mitarbeiter-SSID einem dedizierten VLAN (z. B. VLAN 20) zu, das vom Gäste-VLAN isoliert ist.

Best Practices

Walled Garden-Updates automatisieren. Identity Provider ändern häufig ihre CDN-Domains. Planen Sie eine vierteljährliche Überprüfung Ihrer Arista CV-CUE Walled Garden-Konfiguration im Abgleich mit den aktualisierten Domain-Listen von Purple. Ein einziger fehlender CDN-Eintrag führt dazu, dass das Social Login für alle Gäste fehlschlägt.

Sitzungs-Timer je nach Standorttyp optimieren. Konfigurieren Sie die Idle-Timeouts in Arista CV-CUE so, dass sie zum Datenverkehrsprofil Ihres Standorts passen. Im Einzelhandel empfiehlt sich ein Idle-Timeout von 10 Minuten, um IP-Adressen von Geräten freizugeben, die das Geschäft verlassen haben. Bei Hotel-Bereitstellungen sollten längere Timeouts (4–8 Stunden) verwendet werden, um zu verhindern, dass das Portal während des Aufenthalts eines Gastes erneut aufgerufen werden muss.

Client Isolation erzwingen. Aktivieren Sie immer die Client Isolation auf der Gäste-SSID in Arista CV-CUE. Dies verhindert die Kommunikation von Gästegeräten untereinander, minimiert das Risiko von Lateral Movement und erfüllt die Anforderungen der PCI DSS-Netzwerksegmentierung. Aktivieren Sie das RADIUS-Accounting. Stellen Sie sicher, dass das RADIUS-Accounting mit einem Intervall von 2 Minuten aktiviert ist. Dadurch erhält Purple präzise Metriken zur Sitzungsdauer und zum Datentransfer, die in das WiFi Analytics -Dashboard einfließen und eine genaue Analyse der Verweildauer der Besucher ermöglichen.

Segmentierung nach SSID-Typ, nicht nach AP. Weisen Sie Guest-, Staff- und Multi-Tenant-SSIDs denselben AP-Gruppen zu. Arista CV-CUE übernimmt das VLAN-Tagging pro SSID, sodass Sie keine separaten APs für jeden Benutzertyp benötigen. Dies vereinfacht Ihre Hardware-Bereitstellung bei gleichzeitiger Beibehaltung einer strengen logischen Trennung.

Für einen umfassenderen Überblick über die Sicherheitsarchitektur von Enterprise WiFi lesen Sie unseren Enterprise WiFi Security: A Complete Guide for 2026 .

Fallstudien

Fallstudie 1: Hotelkette mit 350 Zimmern

Eine Hotelkette der Mittelklasse mit 12 Standorten implementierte Arista Wi-Fi 6E APs an allen Standorten, die über eine einzige CV-CUE-Instanz verwaltet werden. Die Anforderung bestand darin, ein gebrandetes Guest WiFi mit E-Mail-Erfassung für das Marketing anzubieten, das vom Netzwerk des Property Management Systems (PMS) isoliert ist, und gleichzeitig 802.1X für die Geräte der Mitarbeiter zu unterstützen.

Das Team konfigurierte drei SSIDs pro Standort: eine Guest-SSID (VLAN 10), die auf Purple verweist, eine Staff-SSID (VLAN 20) mit 802.1X gegen Microsoft Entra ID und eine IoT-SSID (VLAN 30) für Gebäudemanagementgeräte. Das Purple-Portal erfasste beim Check-in die E-Mail-Adressen und die Einwilligung der Gäste. Innerhalb von 90 Tagen hatte die Kette verifizierte First-Party-Daten von 68 % der Gäste gesammelt (interne Purple-Daten), was zielgerichtete Kampagnen zur erneuten Kundenansprache ermöglichte. Das PMS-Netzwerk blieb vollständig isoliert, wodurch die PCI DSS-Anforderungen für die Segmentierung der Karteninhaber-Datenumgebung erfüllt wurden.

Fallstudie 2: Multi-Tenant-Coworking-Space

Ein Coworking-Betreiber, der acht Standorte verwaltet, musste 35 Mitgliedsunternehmen pro Standort isoliertes WiFi zur Verfügung stellen, ohne 35 SSIDs auszustrahlen. Die HF-Umgebung war bereits überlastet, und die Flut an SSIDs beeinträchtigte die Leistung für alle Mitglieder.

Die Lösung war eine einzige SSID pro Standort unter Verwendung von Arista PPSK mit Purple RADIUS. Jedes Mitgliedsunternehmen erhielt eine eindeutige PPSK-Passphrase. Purple ordnete jede Passphrase einem dedizierten VLAN zu (VLAN 100 bis VLAN 3500). Wenn sich ein Mitglied verband, leitete der Arista AP es basierend auf der von Purple RADIUS zurückgegebenen Tunnel-Private-Group-ID dynamisch in sein VLAN um. Das Ergebnis war eine Reduzierung von 35 SSIDs auf eine pro Standort, eine messbare Verbesserung der Airtime-Effizienz und eine vollständige Layer-2-Isolierung zwischen den Mitgliedsunternehmen. Nach Beendigung des Vertrags eines Mitglieds sperrte der Betreiber dessen Passphrase im Purple-Portal, wodurch der Zugriff innerhalb von Sekunden beendet wurde.

Fehlerbehebung und Risikominderung

Problem: die Splash-Page lädt nicht auf Apple-Geräten. iOS verwendet einen speziellen Mechanismus zur Erkennung von Captive Portals. Wenn die Splash-Page nicht automatisch geladen wird, überprüfen Sie, ob der Arista Walled Garden alle Purple-CDN-Domains enthält. Wenn der Walled Garden zu restriktiv ist, kann das iOS-Gerät die Portal-Ressourcen nicht laden und bricht die Verbindung ab.

Problem: Die Randomisierung von MAC-Adressen verhindert die Wiedererkennung wiederkehrender Gäste. Geräte ab iOS 14+ und Android 10+ randomisieren ihre MAC-Adresse pro SSID. Dies verhindert, dass Purple einen wiederkehrenden Gast ausschließlich anhand seiner MAC-Adresse erkennt. Verlassen Sie sich bei der langfristigen Nachverfolgung auf die authentifizierte Identität (E-Mail oder Social Login). Für eine nahtlose, sichere Wiederverbindung ohne Captive Portal sollten Sie auf Passpoint/Hotspot 2.0-Architekturen umsteigen.

Problem: Dynamische VLAN-Steuerung schlägt mit PPSK fehl. Wenn Mandanten das Standard-VLAN anstelle ihres spezifischen VLANs zugewiesen wird, überprüfen Sie die RADIUS-Antwort mithilfe der Fehlerbehebungstools von Arista CV-CUE. Stellen Sie sicher, dass Purple die korrekten Attribute Tunnel-Private-Group-ID, Tunnel-Type und Tunnel-Medium-Type zurückgibt und dass das angegebene VLAN auf dem Switch-Port existiert, der mit dem Arista AP verbunden ist.

Problem: Erschöpfung des DHCP-Pools im Gäste-VLAN. Reduzieren Sie das Timeout bei Inaktivität in Umgebungen mit hoher Frequenz auf 5-10 Minuten. Erhöhen Sie den DHCP-Bereich, wenn der Standort regelmäßig 80 % der Pool-Auslastung überschreitet. Erwägen Sie die Verwendung eines /22 oder größeren Subnetzes für hochfrequentierte Veranstaltungsorte wie Stadien oder Konferenzzentren.

Problem: RADIUS-Accounting-Daten zeigen Sitzungen von null Sekunden. Stellen Sie sicher, dass der UDP-Port 1813 auf der Firewall zwischen den Arista APs und den Purple RADIUS-Servern geöffnet ist. Bestätigen Sie, dass das Accounting-Intervall in den CV-CUE-SSID-Einstellungen auf 2 Minuten eingestellt ist.

Weitere Informationen zu Best Practices für drahtlose Displays und Protokolle in Unternehmensumgebungen finden Sie unter What Is Wireless Display: Protocols and Best Practices 2026 .

ROI und geschäftlicher Nutzen

Die Bereitstellung von Arista Cognitive Wi-Fi mit Purple verwandelt eine Netzwerk-Kostenstelle in einen messbaren geschäftlichen Nutzen. Durch die Durchsetzung eines konformen Captive Portals minimieren Sie das Risiko von GDPR-Bußgeldern, die bis zu 4 % des weltweiten Jahresumsatzes betragen können. Noch wichtiger ist, dass das Guest WiFi Portal verifizierte First-Party-Daten erfasst. Purple hat 29 Milliarden Datenpunkte in seinem gesamten Netzwerk gesammelt (interne Daten von Purple), was die Größenordnung dessen zeigt, was eine ordnungsgemäß bereitgestellte Guest WiFi Architektur generieren kann.

Für Retail -Standorte fließen diese Daten direkt in CRM-Systeme ein und ermöglichen zielgerichtete Marketingkampagnen basierend auf Besuchsbeurteilungen und Verweildauer. Für Betreiber im Hospitality -Bereich ermöglicht es die personalisierte erneute Ansprache von wiederkehrenden Gästen. Für Transport -Knotenpunkte liefert es präzise Passagierflussdaten, die als Grundlage für betriebliche Entscheidungen dienen. Für Einrichtungen im Healthcare -Sektor wird sichergestellt, dass Patienten und Besucher angemessenen Netzwerkzugang erhalten, während klinische Systeme vollständig isoliert bleiben.

Die Purple-Plattform läuft mit einer Betriebszeit von 99,999 % (interne Daten von Purple) und stellt so sicher, dass der Gastzugang nie durch Verfügbarkeitsprobleme der Plattform unterbrochen wird. In Kombination mit der Cloud-gesteuerten Infrastruktur von Arista erhalten Sie eine End-to-End-Architektur, die sich ohne architektonische Änderungen von einem einzelnen Standort auf über 80.000 Standorte skalieren lässt.

Weitere Informationen zur Integration finden Sie in unserem Leitfaden zur NETGEAR Insight and Enterprise Access Points Integration mit Purple WiFi . Für Standortbetreiber, die Umfragetools zur Ergänzung ihrer WiFi-Analysen evaluieren, empfiehlt sich der Artikel Design of a Survey: A Practical Guide for Venues .

Schlüsseldefinitionen

Arista CV-CUE

CloudVision Cognitive Unified Edge. Die zentrale Cloud-Management-Plattform zur Konfiguration, Überwachung und Verwaltung von Arista Wi-Fi-Access Points, Switches und Netzwerkprofilen einschließlich RADIUS- und SSID-Einstellungen.

IT-Teams nutzen CV-CUE, um SSIDs zu definieren, RADIUS-Server zu konfigurieren, Walled Garden-Regeln festzulegen und WIPS-Richtlinien für alle Arista APs über eine einzige Benutzeroberfläche zu verwalten.

Captive Portal

Eine Webseite, die nicht authentifizierten Netzwerkverkehr abfängt und eine Interaktion des Benutzers erfordert (Anmeldung, Akzeptieren von Bedingungen oder Zahlung), bevor der Internetzugang freigegeben wird. Implementiert auf der Ebene des Wireless-Controllers oder Gateways.

Die primäre Schnittstelle zur Erfassung von First-Party-Daten und zur Durchsetzung der GDPR-Einwilligung in Guest WiFi-Netzwerken. Bei Arista-Bereitstellungen wird die Captive Portal-Funktion an Purple als extern gehosteten Service delegiert.

Walled Garden

Eine eingeschränkte Netzwerkumgebung, die vor der Authentifizierung nur Zugriff auf eine bestimmte Whitelist von Domains oder IP-Adressen erlaubt. Implementiert als ACL auf dem Wireless-Controller.

Unerlässlich, damit Geräte die Purple-Splash-Page und Identity Provider erreichen können, bevor sie vollen Internetzugang haben. Muss aufgrund sich ändernder CDN-IP-Bereiche als wiederkehrende operative Aufgabe gepflegt werden.

PPSK (Private Pre-Shared Key)

Ein Sicherheitsmechanismus, der die Verwendung mehrerer eindeutiger Passphrasen auf einer einzigen SSID ermöglicht, wobei jede Passphrase über RADIUS-Authentifizierung einer anderen Netzwerkrichtlinie oder einem anderen VLAN zugeordnet wird.

Wird in Mandanten-Umgebungen verwendet, um sichere, isolierte Netzwerke bereitzustellen, ohne zahlreiche SSIDs auszustrahlen. Arista PPSK mit Purple RADIUS ermöglicht eine dynamische VLAN-Steuerung pro Passphrase.

Dynamic VLAN steering

Der Prozess der Zuweisung eines Client-Geräts zu einem bestimmten VLAN basierend auf RADIUS-Attributen (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID), die während der Authentifizierung zurückgegeben werden, anstelle einer statischen SSID-zu-VLAN-Zuordnung.

Entscheidend für Mandanten-WiFi, da eine einzige SSID mehrere isolierte Benutzergruppen bedienen kann. Erfordert, dass die mit den APs verbundenen Switch-Ports alle möglichen Mandanten-VLANs per Trunking übertragen.

RADIUS CoA (Change of Authorization)

Eine Erweiterung des RADIUS-Protokolls (RFC 3576), die es einem RADIUS-Server ermöglicht, die Autorisierungsattribute einer aktiven Sitzung dynamisch zu ändern, ohne eine erneute Authentifizierung zu erfordern.

Wird von Purple verwendet, um den Arista AP anzuweisen, sofort nach Abschluss der Portal-Anmeldung vollen Internetzugang zu gewähren, ohne dass sich das Gerät erneut mit der SSID verbinden muss.

IEEE 802.1X

Ein IEEE-Standard für portbasierte Netzwerzugangskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die sich mit einem LAN oder WLAN verbinden. Verwendet EAP (Extensible Authentication Protocol), um Zugangsdaten zwischen dem Client, dem Authentifikator und dem Authentifizierungsserver zu übertragen.

Der richtige Authentifizierungsstandard für Mitarbeiter-WiFi. Eliminiert gemeinsam genutzte Passphrasen und ermöglicht eine benutzerbezogene Verwaltung von Zugangsdaten, die in Unternehmens-Identity-Provider wie Microsoft Entra ID oder Okta integriert ist.

MAC address randomization

Eine Datenschutzfunktion in modernen Betriebssystemen (iOS 14+, Android 10+), bei der das Gerät für jedes verbundene Wi-Fi-Netzwerk eine zufällige MAC-Adresse generiert, anstatt die im Werk eingebrannte Hardware-MAC-Adresse zu verwenden.

Beeinträchtigt die Fähigkeit, wiederkehrende Gäste ausschließlich anhand von Hardware-Identifikatoren zu verfolgen. Erfordert einen Wechsel hin zu identitätsbasierter Authentifizierung (E-Mail, Social Login) für präzise Besucheranalysen und CRM-Integration.

Client Isolation

Eine drahtlose Netzwerkeinstellung, die verhindert, dass mit demselben AP verbundene Client-Geräte auf Layer 2 direkt miteinander kommunizieren, sodass der gesamte Datenverkehr über das Gateway erzwungen wird.

Eine obligatorische Sicherheitskonfiguration für Guest WiFi, um laterale Bewegungen und Angriffe von Gerät zu Gerät zu verhindern. Auch für die PCI-DSS-Compliance erforderlich, wenn Gastnetzwerke die physische Infrastruktur mit Zahlungssystemen teilen.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Ein zertifikatsbasiertes EAP-Verfahren, bei dem sowohl der Client als auch der Authentifizierungsserver X.509-Zertifikate zur gegenseitigen Authentifizierung vorlegen. Gilt als die sicherste EAP-Methode für Enterprise-WiFi.

Die empfohlene Authentifizierungsmethode für Mitarbeiter-WiFi in Sicherheitsbereichen mit hohen Anforderungen. Eliminiert passwortbasierten Diebstahl von Zugangsdaten, indem ein gültiges Client-Zertifikat erforderlich ist, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Ausgearbeitete Beispiele

Eine Einzelhandelskette mit 40 Filialen muss ein Gäste-WiFi an allen Standorten mit Arista APs bereitstellen. Gäste sollen sich über Google Workspace oder Facebook authentifizieren, und das Unternehmensnetzwerk muss vollständig vom Gästedatenverkehr isoliert bleiben. Zudem ist eine GDPR-konforme Einwilligungserfassung erforderlich.

Der Netzwerkarchitekt erstellt ein dediziertes Gäste-VLAN (VLAN 50) auf den Core-Switches und verbindet dieses per Trunk mit den Arista APs. In CV-CUE wird eine neue Gäste-SSID erstellt, dem VLAN 50 zugewiesen und die Client Isolation aktiviert. Das Captive Portal wird auf „Third-Party Hosted“ eingestellt und verweist auf Purple. Der Walled Garden wird so konfiguriert, dass er die Domains von Purple sowie accounts.google.com, facebook.com und die zugehörigen CDNs enthält. Die Purple RADIUS-Server werden für die Authentifizierung auf den Ports 1812 und 1813 konfiguriert. Das Purple Portal wird mit einem nicht vorausgewählten GDPR-Einwilligungs-Kontrollkästchen und leicht verständlichen Nutzungsbedingungen eingerichtet. Wenn sich ein Kunde verbindet, wird er auf VLAN 50 isoliert, authentifiziert sich über das Purple Portal mittels Google oder Facebook und erhält den Zugriff über RADIUS CoA. Die Einwilligung wird mit einem Zeitstempel und der Version der Nutzungsbedingungen in Purple protokolliert, was die Anforderungen von GDPR Artikel 7 erfüllt.

Kommentar des Prüfers: Dieser Ansatz gewährleistet eine absolute Layer-2-Isolierung zwischen dem Unternehmens- und dem Gästedatenverkehr. Indem der Einzelhändler für die Identitäts- und Einwilligungsebene auf Purple und für die Durchsetzungsebene auf Arista setzt, erreicht er Compliance und Sicherheit ohne komplexe On-Premise-Infrastruktur. Die entscheidende Maßnahme ist hierbei die VLAN-Segmentierung auf Switch-Ebene anstatt sich nur auf die AP-Firewall zu verlassen, was eine tiefgestaffelte Verteidigung (Defense in Depth) bietet.

Ein Coworking-Space benötigt Multi-Tenant-WiFi für 40 Mitgliedsunternehmen. Es soll eine einzige SSID ausgestrahlt werden, aber jedes Mitgliedsunternehmen muss aus Sicherheitsgründen in einem eigenen VLAN isoliert sein. Wenn der Vertrag eines Mitglieds endet, muss der Zugang sofort entzogen werden.

Der IT-Manager stellt Arista APs bereit und konfiguriert eine einzelne SSID mittels Arista PPSK. Die SSID ist so konfiguriert, dass sie sich gegen Purple RADIUS authentifiziert. Im Purple Portal wird jedem Mitgliedsunternehmen ein eindeutiger Passcode und eine spezifische VLAN-ID zugewiesen (VLAN 100 bis VLAN 4000). Wenn sich ein Benutzer von Unternehmen A mit seinem Passcode verbindet, fragt der Arista AP bei Purple RADIUS an. Purple gibt ein Access-Accept zurück, das Tunnel-Type (13), Tunnel-Medium-Type (6) und Tunnel-Private-Group-ID (100) enthält. Der AP leitet den Benutzer dynamisch an VLAN 100 weiter. Wenn der Vertrag eines Mitglieds endet, sperrt der Betreiber den Passcode im Purple Portal. Der nächste Verbindungsversuch eines Geräts mit diesem Passcode erhält ein RADIUS Access-Reject, wodurch der Zugriff sofort beendet wird.

Kommentar des Prüfers: Dies ist die optimale Architektur für Multi-Tenant-Umgebungen. Sie reduziert den SSID-Overhead von 40 SSIDs auf eine einzige pro Standort, was die Airtime-Effizienz und die Roaming-Leistung der Clients direkt verbessert. Die zentralisierte Sperrung über Purple RADIUS macht eine Änderung der Arista-Konfiguration beim Auszug eines Mieters überflüssig und senkt den Betriebsaufwand erheblich.

Ein Konferenzzentrum veranstaltet 10 Events pro Woche, jeweils mit einem anderen Organisator, der eine eigene gebrandete Splash Page und ein isoliertes Gästenetzwerk benötigt. Das IT-Team kann die Arista-Infrastruktur nicht für jedes Event neu konfigurieren.

Das Konferenzzentrum stellt eine dauerhafte Multi-Tenant-WiFi-Architektur mit Arista PPSK bereit. Jeder Event-Organisator wird im Purple Portal vorab mit einem eindeutigen PPSK-Passcode, einem dedizierten VLAN (z. B. VLAN 200 für Event A, VLAN 201 für Event B) und einer gebrandeten Splash-Page-Vorlage eingerichtet. Die Arista APs strahlen das ganze Jahr über eine einzige SSID aus. Der Event-Organisator verteilt seinen PPSK an die Teilnehmer. Die Teilnehmer verbinden sich, authentifizieren sich gegen Purple RADIUS, erhalten ihre VLAN-Zuweisung und sehen das gebrandete Portal des Organisators. Das IT-Team aktiviert und deaktiviert die Event-Passcodes im Purple Portal nach einem Zeitplan, ohne dass Änderungen an der Arista CV-CUE-Konfiguration erforderlich sind.

Kommentar des Prüfers: Diese Architektur trennt die betrieblichen Aufgabenbereiche sauber: Arista kümmert sich um die HF- und Durchsetzungsebene, Purple übernimmt die Identitäts- und Richtlinienebene. Das IT-Team des Konferenzzentrums verwaltet eine einzige, stabile Infrastrukturkonfiguration. Die event-spezifische Anpassung wird vollständig über das Purple Portal abgewickelt, was an die Event-Organisatoren oder das Betriebspersonal des Veranstaltungsortes delegiert werden kann, ohne dass dafür Netzwerk-Engineering-Kenntnisse erforderlich sind.

Übungsfragen

Q1. Ein Hotelgast verbindet sich mit der Gäste-WiFi-SSID, aber die Portal-Anmeldeseite zeigt auf seinem iPhone einen leeren Bildschirm oder einen Zeitüberschreitungsfehler an. Das Unternehmens-WiFi funktioniert einwandfrei. Der Arista AP ist online und die Purple RADIUS-Server sind erreichbar. Was ist das erste Konfigurationselement, das Sie in Arista CV-CUE überprüfen sollten, und nach welchen spezifischen Einträgen suchen Sie?

Hinweis: Überlegen Sie, welchen Netzwerkzugriff das Gerät vor Abschluss der Authentifizierung hat und was das Gerät benötigt, um die Portal-Seite zu laden.

Musterlösung anzeigen

Überprüfen Sie die Walled Garden-Konfiguration unter den Captive Portal-Einstellungen in CV-CUE. Der Walled Garden muss die Purple Portal-Domains explizit auf die Whitelist setzen: region1.purpleportal.net, venuewifi.com und cloudfront.net. Wenn diese fehlen, kann das Gerät die Portal-Inhalte nicht laden. Überprüfen Sie außerdem, ob die Endpunkte zur Erkennung von Captive Portalen (captive.apple.com für iOS) blockiert werden. Ein leerer Bildschirm weist in der Regel darauf hin, dass das Portal-HTML geladen wird, aber die JavaScript- oder CSS-Ressourcen von einem CDN blockiert werden.

Q2. Sie stellen Multi-Tenant-WiFi mit Arista PPSK für einen Coworking-Bereich mit 30 Mitgliedsunternehmen bereit. Benutzer berichten, dass sie sich mit der SSID verbinden können und eine IP-Adresse erhalten, aber alle im Standard-Management-VLAN (VLAN 1) anstelle ihrer zugewiesenen Mandanten-VLANs landen. Welche RADIUS-Attribute fehlen wahrscheinlich oder sind falsch konfiguriert, und wie überprüfen Sie dies?

Hinweis: Denken Sie daran, wie RADIUS dem AP anweist, ein bestimmtes Netzwerksegment zuzuweisen, und welche drei Attribute zusammenwirken, um dies zu erreichen.

Musterlösung anzeigen

Der Purple RADIUS-Server gibt wahrscheinlich die dynamischen VLAN-Attribute in der Access-Accept-Nachricht nicht zurück. Drei Attribute müssen vorhanden sein: Tunnel-Type (Wert 13, d. h. VLAN), Tunnel-Medium-Type (Wert 6, d. h. 802) und Tunnel-Private-Group-ID (die spezifische VLAN-ID als String, z. B. '100'). Verwenden Sie zur Überprüfung die Fehlerbehebungstools von Arista CV-CUE, um den RADIUS-Austausch für eine Testverbindung aufzuzeichnen. Überprüfen Sie das Access-Accept-Paket auf diese drei Attribute. Stellen Sie außerdem sicher, dass der Switch-Port, der den Arista AP verbindet, so konfiguriert ist, dass er alle erforderlichen Mandanten-VLANs per Trunk weiterleitet – wenn das VLAN nicht getrunkt ist, kann der AP den Client nicht darin platzieren, selbst wenn das RADIUS-Attribut korrekt ist.

Q3. Ein Einzelhandelsstandort mit täglich 200 Besuchern stellt fest, dass Purple Analytics eine hohe Anzahl sehr kurzer Sitzungen (unter 1 Minute) anzeigt und der DHCP-Bereich im Gäste-VLAN bereits am Vormittag ständig erschöpft ist, was neue Kunden am Verbinden hindert. Der DHCP-Bereich ist ein /24-Netz (254 nutzbare Adressen). Was sind die zwei wahrscheinlichsten Ursachen und welche spezifischen Konfigurationsänderungen nehmen Sie in Arista CV-CUE und auf dem DHCP-Server vor?

Hinweis: Überlegen Sie, wie das Netzwerk feststellt, wann ein Gerät den Standort verlassen hat, und wie sich moderne Geräte beim Scannen nach Netzwerken verhalten.

Musterlösung anzeigen

Die zwei wahrscheinlichsten Ursachen sind: Erstens ein zu langes Inaktivitäts-Timeout (Idle Timeout), wodurch Sitzungen für Geräte, die das Geschäft bereits verlassen haben, aktiv bleiben; und zweitens die MAC-Adressen-Randomisierung, die dazu führt, dass Geräte bei jedem Besuch als neue Clients erscheinen und zusätzliche IP-Leases verbrauchen. Um das Inaktivitäts-Timeout zu beheben, reduzieren Sie es in den CV-CUE-SSID-Sitzungseinstellungen auf 10 Minuten. Dadurch wird sichergestellt, dass inaktive Sitzungen gelöscht und IPs wieder freigegeben werden. Um der Bereichserschöpfung entgegenzuwirken, erweitern Sie den DHCP-Bereich auf ein /22-Netz (1022 nutzbare Adressen), um dem Volumen der durch Randomisierung generierten eindeutigen MAC-Adressen gerecht zu werden. Reduzieren Sie außerdem die DHCP-Lease-Zeit auf 30 Minuten, um die IP-Rückforderung von getrennten Geräten zu beschleunigen.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Leitfaden lesen →

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Leitfaden lesen →

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.

Leitfaden lesen →