Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

Executive summary

Drahtlose Unternehmensnetzwerke müssen verschiedene Benutzergruppen gleichzeitig bedienen: Gäste, die einen reibungslosen Internetzugang benötigen, Mitarbeiter, die sicheren Zugriff auf Unternehmensressourcen erfordern, und Headless- oder Mandantengeräte, die voneinander isoliert werden müssen. Sich bei einer dieser Gruppen auf einen einzigen, gemeinsam genutzten Pre-Shared Key zu verlassen, stellt ein Sicherheitsrisiko dar. Ein einziges kompromittiertes Anmeldedatum gefährdet das gesamte Segment, und der Entzug des Zugriffs erfordert die Änderung eines globalen Passworts, was jedes Gerät im Netzwerk beeinträchtigt.

Diese Anleitung beschreibt die Integration von Cisco Wireless LAN Controllern (WLC) und Hardware der Catalyst 9800-Serie mit dem Cloud-Overlay von Purple. Wir bieten die Schritt-für-Schritt-Konfiguration für drei verschiedene Authentifizierungsebenen: ein offenes Guest WiFi -Netzwerk mit Captive Portal-Weiterleitung powered by Purple, ein sicheres Mitarbeiter-WiFi-Netzwerk mit 802.1X EAP-TLS-Zertifikatsauthentifizierung und eine Multi-Tenant-WiFi-Umgebung mit Cisco Identity Pre-Shared Keys (iPSK) und dynamischer VLAN-Zuweisung. Durch die Bereitstellung dieser Architektur isolieren Sie Unternehmensressourcen vom Besucherverkehr, automatisieren die identitätsbasierte Zugriffskontrolle und erfassen First-Party-Daten über die WiFi Analytics -Plattform von Purple. Purple ist an über 80.000 Live-Standorten im Einsatz und verzeichnete im Jahr 2024 440 Millionen Logins (interne Daten von Purple), was es zu einem bewährten Cloud-Overlay für Cisco-Infrastrukturen im großen Stil macht.

Technischer Deep-Dive: Die dreistufige Architektur

Eine moderne drahtlose Bereitstellung in Unternehmen auf Cisco-Hardware muss unterschiedliche Benutzerprofile mit verschiedenen Sicherheits- und Zugriffsanforderungen bedienen. Die Integration zwischen Cisco WLC und Purple ermöglicht einen einheitlichen Hardware-Footprint, um diese Profile über verschiedene Authentifizierungsmechanismen zu bedienen – alles verwaltet über einen einzigen Catalyst 9800 Controller.

Stufe 1: Guest WiFi – Central Web Authentication (CWA)

Für Besucher im Gastgewerbe und im Einzelhandel ist das Ziel ein reibungsloses Onboarding in Kombination mit einer datenschutzkonformen Datenerfassung. Dies wird durch eine offene SSID in Verbindung mit Central Web Authentication (CWA) erreicht. Wenn sich ein Gast verbindet, wendet der Cisco WLC eine Pre-Authentication Access Control List (ACL) an – den Walled Garden. Diese ACL blockiert den allgemeinen Internetverkehr, während sie den Datenverkehr zu den Captive Portal-Domains von Purple, DNS und Social-Login-Endpunkten zulässt.

Wenn der Gast versucht, im Web zu surfen, fängt der WLC die HTTP-Anfrage ab und leitet sie auf die Splash-Page von Purple weiter. Der Gast authentifiziert sich über die gewählte Methode (Social Login, E-Mail-Registrierung oder Gutscheincode). Purple fungiert dann als RADIUS-Server und sendet eine RADIUS Change of Authorization (CoA)-Nachricht zurück an den WLC. Die CoA weist den WLC an, den Client vom Pre-Authentication-Status in einen Post-Authentication-Status in einem isolierten Gast-VLAN zu verschieben und so den Internetzugang freizugeben. Jeder Login wird in der Analyseplattform von Purple erfasst, wodurch First-Party-Daten in Übereinstimmung mit der GDPR und dem CCPA erfasst werden.

Stufe 2: Mitarbeiter-WiFi – 802.1X EAP-TLS

Unternehmensgeräte erfordern das höchste Sicherheitsniveau. IEEE 802.1X definiert die portbasierte Netzwerkzugriffskontrolle (PNAC). In Kombination mit EAP-TLS (Extensible Authentication Protocol – Transport Layer Security) bietet dies eine zertifikatsbasierte Authentifizierung, die Passwörter vollständig überflüssig macht. Digitale Zertifikate werden über Mobile Device Management (MDM) – Microsoft Intune, Jamf oder gleichwertige Systeme – auf den Unternehmensgeräten bereitgestellt. Der Cisco WLC fungiert als Authentifikator und leitet EAP-Nachrichten zwischen dem Supplicant (Gerät) und dem RADIUS-Server weiter. Der RADIUS-Server validiert das Zertifikat und gibt ein Access-Accept mit optionalen VLAN-Zuweisungsattributen zurück.

Da die Authentifizierung auf Zertifikaten statt auf Passwörtern basiert, gibt es keine Anmeldedaten, die gestohlen werden könnten. Wenn ein Gerät verloren geht oder ein Mitarbeiter das Unternehmen verlässt, widerrufen Sie das Zertifikat. Der Zugriff wird sofort beendet, ohne andere Benutzer zu beeinträchtigen. Für eine umfassende Behandlung von Sicherheitsstandards in Unternehmen, einschließlich WPA3 und Zero Trust, lesen Sie unseren Leitfaden Enterprise WiFi Security: A Complete Guide for 2026 .

Stufe 3: Multi-Tenant-WiFi – Cisco iPSK und dynamische VLAN-Zuweisung

In Umgebungen wie Studentenwohnheimen, Coworking-Spaces oder Einkaufszentren benötigen Sie private, segmentierte Netzwerke für verschiedene Mandanten, ohne Dutzende von SSIDs auszustrahlen. Cisco Identity PSK (iPSK) löst dies. Alle Mandanten verbinden sich mit einer einzigen SSID. Der WLC sendet für jedes sich verbindende Gerät eine MAC-Authentifizierungsanfrage an den RADIUS-Server. Der RADIUS-Server gibt den spezifischen PSK für diesen Mandanten als cisco-av-pair-Attribut zurück, zusammen mit Standard-IETF-RADIUS-Attributen, um den Client dynamisch dem richtigen VLAN zuzuweisen.

Die drei IETF-RADIUS-Attribute, die die dynamische VLAN-Zuweisung steuern, sind:

Die Tunnel-Private-Group-ID wird als String codiert, wie in RFC 2868 definiert. Die VLAN-ID muss auf dem WLC vorhanden sein, damit die Zuweisung erfolgreich ist.

Implementierungsleitfaden: Cisco Catalyst 9800 WLC-Konfiguration

Die folgenden Schritte beschreiben die Konfiguration für einen Cisco Catalyst 9800 WLC unter IOS-XE zur Integration mit Purple für die Guest WiFi-Weiterleitung. Für ältere AireOS WLC-Bereitstellungen sind die entsprechenden Einstellungen im Support-Portal von Purple verfügbar.

Schritt 1: RADIUS-Authentifizierung und -Accounting konfigurieren

Sie müssen den WLC auf die RADIUS-Server von Purple verweisen, um die Gast-Authentifizierung und das Session-Accounting abzuwickeln.

1. Navigieren Sie zu Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add.
2. Geben Sie die IP-Adresse des primären Purple RADIUS-Servers ein, setzen Sie auth-port auf 1812, acct-port auf 1813 und geben Sie das Shared Secret aus dem Purple-Portal ein.
3. Aktivieren Sie Support for CoA – dies ist für die Weiterleitung zum Captive Portal zwingend erforderlich.
4. Wiederholen Sie den Vorgang für den sekundären Purple RADIUS-Server.
5. Navigieren Sie zu RADIUS > Server Groups > + Add und erstellen Sie eine Gruppe, die beide Server enthält.
6. Navigieren Sie zu AAA Method List > Authorization > + Add, setzen Sie Type auf network und verweisen Sie auf die RADIUS-Servergruppe.
7. Navigieren Sie zu AAA Method List > Accounting > + Add, setzen Sie Type auf identity und verweisen Sie auf dieselbe Gruppe.

Die entsprechenden CLI-Befehle auf IOS-XE lauten:

radius server Purple-Primary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
radius server Purple-Secondary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
aaa group server radius Purple-RADIUS-Group
 server name Purple-Primary
 server name Purple-Secondary
!
aaa authorization network Purple-Authz group Purple-RADIUS-Group
aaa accounting identity Purple-Acct start-stop group Purple-RADIUS-Group

Schritt 2: Pre-Authentication-ACL (Walled Garden) definieren

Die Pre-Authentication-ACL lässt Datenverkehr zur Splash-Page von Purple und zu wichtigen Diensten zu, bevor sich der Benutzer authentifiziert. Dies ist der Walled Garden.

1. Navigieren Sie zu Configuration > Security > ACL > + Add.
2. Erstellen Sie eine IPv4 Extended ACL mit dem Namen Purple_Guest_Walled_Garden.
3. Fügen Sie Regeln hinzu, um Datenverkehr zur WLC-Management-IP und den RADIUS-Server-IPs zu blockieren (deny).
4. Fügen Sie Regeln hinzu, um DNS (UDP-Port 53) zu Ihren DNS-Servern zuzulassen (permit).
5. Fügen Sie Regeln hinzu, um Datenverkehr zu den Walled-Garden-IP-Bereichen und -Domains von Purple zuzulassen (permit) (die aktuelle Liste erhalten Sie im Purple-Supportportal für Ihren spezifischen Hardwaretyp).
6. Fügen Sie eine abschließende permit ip any any-Regel hinzu – der WLC leitet den zugelassenen Datenverkehr zur Portalverarbeitung an die CPU weiter.

Schritt 3: Gast-WLAN konfigurieren

1. Navigieren Sie zu Configuration > Tags & Profiles > WLANs > + Add.
2. Erstellen Sie ein WLAN mit dem Namen Guest-WiFi und Ihrer gewählten SSID.
3. Setzen Sie unter Security > Layer 2 die Sicherheit auf None (Open).
4. Aktivieren Sie unter Security > Layer 3 die Option Web Policy und setzen Sie den Web-Auth-Typ auf External.
5. Geben Sie Ihre Purple-Zugriffs-URL in das Redirect-Feld ein.
6. Wenden Sie die ACL Purple_Guest_Walled_Garden an.
7. Weisen Sie unter Security > AAA Servers die Purple RADIUS-Server sowohl der Authentifizierung als auch dem Accounting zu.

Schritt 4: Policy-Profil konfigurieren

1. Navigieren Sie zu Configuration > Tags & Profiles > Policy > + Add.
2. Weisen Sie unter Access Policies das VLAN 20 (oder Ihr vorgesehenes Gast-VLAN) zu.
3. Aktivieren Sie unter Advanced die Optionen Allow AAA Override und NAC State.
4. Weisen Sie die Purple-Accounting-Methodenliste zu.

Die CLI-Entsprechung:

wireless profile policy Guest-Policy
 aaa-override
 nac
 vlan 20
 accounting-list Purple-Acct
 no shutdown
!
wireless tag policy Guest-Policy-Tag
 wlan Guest-WiFi policy Guest-Policy

Schritt 5: iPSK für Multi-Tenant- oder IoT-Bereitstellungen konfigurieren

Bei iPSK unterscheidet sich die WLAN-Konfiguration von der Gast-Einrichtung. Das WLAN verwendet WPA2-PSK mit aktiviertem MAC-Filtering, und im Policy-Profil ist AAA Override aktiv, um den client-spezifischen PSK und das VLAN vom RADIUS-Server zu akzeptieren.

wlan Tenant-WiFi 2 Tenant-WiFi
 mac-filtering Purple-Authz
 security wpa psk set-key ascii 0 DefaultKey123
 no security wpa akm dot1x
 security wpa akm psk
 peer-blocking allow-private-group
 no shutdown
!
wireless profile policy Tenant-Policy
 aaa-override
 accounting-list Purple-Acct
 vlan 30
 no shutdown

Der RADIUS-Server (konfiguriert in Purple oder Ihrer RADIUS-Plattform) gibt die folgenden Attribute pro Mandantengruppe zurück:

cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID = 

Best Practices

Die Einhaltung etablierter Standards gewährleistet Stabilität, Sicherheit und Compliance bei Ihrer Bereitstellung.

Erzwingen Sie eine strenge Zertifikatsvalidierung. Konfigurieren Sie bei der Bereitstellung von 802.1X die Client-Geräte über MDM so, dass sie der Zertifizierungsstelle Ihres RADIUS-Servers explizit vertrauen, und geben Sie den erwarteten Servernamen an. Wenn dies nicht erzwungen wird, sind Clients anfällig für Rogue-Access-Point-Angriffe, bei denen ein Angreifer ein gefälschtes Zertifikat vorlegt, um Anmeldedaten abzufangen. Dies ist eine zwingende Voraussetzung, keine Empfehlung.

Isolieren Sie den Gast-Datenverkehr auf der Netzwerkschicht. Gast-WiFi muss auf einem dedizierten VLAN enden, das durch eine Firewall von allen Unternehmensressourcen getrennt ist. PCI DSS 4.0 erfordert, dass Karteninhaber-Datenumgebungen von öffentlichen Netzwerken isoliert sind. Ein Gast in VLAN 20 darf keine Route zum Unternehmensnetzwerk in VLAN 10 haben.

Verwenden Sie iPSK für IoT-Geräte, nicht MAC Authentication Bypass. MAC-Adressen werden im Klartext übertragen und können leicht gefälscht werden. iPSK bietet kryptografische Sicherheit für Headless-Geräte. Weitere Informationen darüber, wie Display- und IoT-Geräte mit drahtlosen Protokollen interagieren, finden Sie unter What Is Wireless Display: Protocols & Best Practices 2026 .

Definieren Sie klare Nutzungsbedingungen. Ihr Captive Portal muss eine Nutzungsvereinbarung anzeigen, bevor der Zugriff gewährt wird. Dies ist eine GDPR-Anforderung für die Datenerfassung und eine rechtliche Notwendigkeit für Netzwerknutzungsrichtlinien. Für interne Mitarbeiternetzwerke lesen Sie Staff WiFi Terms and Conditions: Legal and Compliance Essentials .

Richten Sie eine RADIUS-Redundanz ein. Konfigurieren Sie immer einen primären und einen sekundären RADIUS-Server. Purple stellt zu diesem Zweck zwei Server-IP-Adressen zur Verfügung. Der Ausfall eines einzelnen RADIUS-Servers verhindert alle Gast-Anmeldungen.

Fehlerbehebung und Risikominderung

Selbst bei sorgfältiger Konfiguration kann die Integratisobald Probleme auftreten. Beheben Sie die häufigsten Fehlermuster systematisch, bevor Sie eskalieren.

Problem: Gäste verbinden sich, aber die Splash-Page wird nicht angezeigt.

Dies ist das häufigste Problem. Die Pre-Authentication-ACL blockiert DNS. Ohne DNS kann der Client die ursprüngliche HTTP-Anfrage nicht auflösen, und das Betriebssystem löst den Captive Portal-Mini-Browser nicht aus. Stellen Sie sicher, dass UDP-Port 53 in der Walled-Garden-ACL für Ihre DNS-Server freigegeben ist. Führen Sie auf dem WLC show wireless client summary aus, um zu bestätigen, dass sich der Client im Zustand Webauth Pending und nicht in Run befindet.

Problem: iPSK-Clients können sich nicht verbinden oder landen im falschen VLAN.

Das in Tunnel-Private-Group-ID angegebene VLAN existiert nicht auf dem WLC, oder die cisco-av-pair-Attribute sind fehlerhaft formatiert. Führen Sie debug radius all auf dem WLC aus, um die rohe RADIUS-Antwort zu analysieren. Stellen Sie sicher, dass die VLAN-ID unter Configuration > Layer 2 > VLAN > VLAN List angelegt ist.

Problem: Die Authentifizierung von 802.1X-Mitarbeiter-Clients schlägt sporadisch fehl.

Dies ist in der Regel auf ein Timeout des RADIUS-Servers oder ein Problem mit dem Zertifikatsvertrauen auf dem Client zurückzuführen. Überprüfen Sie die Protokolle des RADIUS-Servers auf Access-Reject-Meldungen. Stellen Sie auf Windows-Clients sicher, dass das WiFi-Profil so konfiguriert ist, dass es das Serverzertifikat validiert und die korrekte vertrauenswürdige CA angibt.

Problem: CoA von Purple wird vom WLC nicht verarbeitet.

Das gemeinsame CoA-Geheimnis (Shared Secret) muss mit dem auf dem WLC konfigurierten gemeinsamen RADIUS-Geheimnis übereinstimmen. Ab IOS-XE 17.4 wird der CoA-Schlüssel separat vom Shared Secret konfiguriert. Stellen Sie sicher, dass beide mit den Werten im Purple-Portal übereinstimmen.

ROI und geschäftliche Auswirkungen

Der Übergang von einfachen PSK-Netzwerken zu einer strukturierten, identitätsbasierten Architektur mit Purple liefert messbare Geschäftsergebnisse in den Branchen Gastgewerbe , Einzelhandel , Gesundheitswesen und Transportwesen .

Erstens eliminiert diese Architektur die Betriebskosten für die Verwaltung gemeinsam genutzter Passwörter. Wenn Mitarbeiter das Unternehmen verlassen, widerrufen Sie einfach deren Zertifikat. Sie müssen kein globales Passwort ändern und jedes Gerät im Bestand aktualisieren. Zweitens verwandelt die Integration mit dem Captive Portal von Purple eine IT-Kostenstelle in einen Umsatztreiber. Die Plattform von Purple erfasst bei jeder Anmeldung datenschutzkonforme First-Party-Daten und ermöglicht so automatisierte Marketingkampagnen und Besucheranalysen. Mit 29 Milliarden gesammelten Datenpunkten im gesamten Purple-Netzwerk (interne Daten von Purple) bietet die Plattform umsetzbare Einblicke in das Besucherverhalten, die Verweildauer und die Rückkehrquoten.

Für Standortbetreiber, die Umfragen zur Kundenzufriedenheit durchführen, lässt sich die Purple-Plattform direkt in Forschungs-Workflows integrieren. Unter Design of a Survey: A Practical Guide for Venues finden Sie Anleitungen zur Strukturierung effektiver Standortumfragen, die über das Captive Portal bereitgestellt werden.

Durch die Integration der Enterprise-Hardware von Cisco mit dem Cloud-Overlay von Purple erhalten Sie ein sicheres, skalierbares Netzwerk, das aktiv zu den kommerziellen Zielen des Standorts beiträgt. Purple ist ISO 27001-zertifiziert, GDPR- und CCPA-konform, Cyber Essentials-zertifiziert und B Corp-zertifiziert – und erfüllt damit die Compliance-Anforderungen von Enterprise-Beschaffungsteams.