Zum Hauptinhalt springen
Deutsch

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

📖 5 Min. Lesezeit📝 1,177 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen zum technischen Briefing von Purple. Ich bin Ihr Gastgeber, und heute befassen wir uns mit einem Bereitstellungsmuster, das bei fast jedem größeren Enterprise-WiFi-Projekt auftritt – der Integration von CommScope Ruckus mit der Cloud-Plattform von Purple. Unabhängig davon, ob Sie eine Hotelgruppe, ein Einzelhandelsnetz, ein Stadion oder ein Konferenzzentrum betreiben, liefert Ihnen diese Episode den Konfigurationsleitfaden, den Sie benötigen. Lassen Sie uns zunächst die Ausgangslage betrachten. Ruckus – jetzt unter CommScope – ist weltweit eine der dominierenden Enterprise-WiFi-Plattformen. Insbesondere SmartZone ist der Controller der Wahl für Umgebungen mit hoher Dichte. Hotels wie Premier Inn, große Einzelhandelsketten, Stadien und Kongresszentren nutzen alle eine Ruckus-Infrastruktur. Wenn Sie Guest WiFi in dieser Größenordnung bereitstellen, benötigen Sie mehr als eine offene SSID. Sie benötigen eine strukturierte Authentifizierung, eine GDPR-konforme Datenerfassung und die Möglichkeit, diese Gästedaten in Ihren Marketing-Stack einzuspeisen. Genau hier kommt Purple ins Spiel. Purple ist an über 80.000 Live-Standorten im Einsatz, hat allein im Jahr 2024 440 Millionen Logins verarbeitet und ist nach ISO 27001, GDPR und Cyber Essentials zertifiziert. Die Ruckus-Integration ist eines unserer ausgereiftesten Bereitstellungsmuster. Nun gibt es bei Ruckus drei verschiedene Controller-Plattformen, die Sie verstehen müssen, bevor Sie einen Konfigurationsbildschirm berühren. SmartZone – verfügbar als physische SZ300-Appliance oder als virtuelle vSZ – ist der Enterprise-Controller für große, standortübergreifende Bereitstellungen. Er verwaltet Tausende von Access Points über mehrere Zonen hinweg, bietet Ihnen eine umfassende Richtlinienkontrolle und unterstützt die gesamte Palette der Authentifizierungsmethoden, die wir heute behandeln werden. ZoneDirector ist der ältere On-Premises-Controller – der immer noch weit verbreitet ist, insbesondere im Gastgewerbe – und er unterstützt denselben WISPr-basierten Captive Portal-Ablauf, wenn auch mit einem etwas anderen Konfigurationspfad. Und Unleashed ist das controllerlose Modell, bei dem ein AP als Master für bis zu 128 andere fungiert. Es ist ideal für kleinere Bereitstellungen an einzelnen Standorten – unabhängige Hotels, Einzelhandelsfilialen, KMU-Büros. Gut. Gehen wir ins technische Detail. Ich werde drei verschiedene Anwendungsfälle behandeln: Guest WiFi mit Captive Portal-Weiterleitung, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mit Ruckus Dynamic PSK. Beginnen wir mit dem Guest WiFi. Die Architektur hier ist ein WISPr-basierter Hotspot-Ablauf. WISPr – Wireless Internet Service Provider roaming – ist ein Industriestandard, der definiert, wie ein Wireless-Controller nicht authentifizierten HTTP-Datenverkehr abfängt und an ein externes Portal weiterleitet. Der Gast verbindet sich mit Ihrer SSID. Sein Gerät sendet eine HTTP-Anfrage. SmartZone fängt diese ab und gibt eine HTTP-302-Weiterleitung an Ihre externe Portal-URL aus – in diesem Fall an das Captive Portal von Purple. Der Gast authentifiziert sich – per Social Login, E-Mail, SMS oder über ein benutzerdefiniertes Formular – und das Portal kommuniziert anschließend über das Northbound Interface (NBI) mit dem Controller, um den Zugang freizugeben. Auf der SmartZone besteht die Konfiguration aus vier Hauptkomponenten. Erstens das RADIUS-Authentifizierungsserver-Profil. Navigieren Sie zu „Services and Profiles“, dann zu „Authentication“. Erstellen Sie ein neues AAA-Serverprofil. Stellen Sie das Service-Protokoll auf RADIUS ein. Die IP-Adresse Ihres primären Servers und das Shared Secret werden in der Purple-Administrationskonsole bereitgestellt. Port 1812 für die Authentifizierung. Konfigurieren Sie aus Redundanzgründen immer einen Backup-RADIUS-Server. Erstellen Sie dann den Accounting-Server unter „Services and Profiles“, „Accounting“ – Port 1813, gleiches Shared Secret. Zweitens das Hotspot-WISPr-Profil. Gehen Sie zu „Services and Profiles“, „Hotspots and Portals“ und wählen Sie die Registerkarte „Hotspot WISPr“. Erstellen Sie ein neues Profil. Stellen Sie die Login-URL auf „External“ ein und geben Sie Ihre Portal-Weiterleitungs-URL ein. Stellen Sie die Startseite so ein, dass sie zu Ihrer URL nach der Authentifizierung weiterleitet – normalerweise eine Erfolgsseite oder die Homepage Ihres Standorts. Nun zum Walled Garden. Dies ist der Punkt, an dem Techniker am häufigsten stolpern. Der Walled Garden definiert, welche Domains und IP-Adressen ein Gast erreichen kann, bevor er sich authentifiziert hat. Sie müssen Ihre Portal-Domain, alle CDN- oder Asset-Domains, von denen Ihr Portal geladen wird, und standardmäßige OS-Captive-Portal-Erkennungsendpunkte aufnehmen. In SmartZone werden Platzhalter im Format „Asterisk-Punkt“ unterstützt – „*.purple.ai“ deckt also alle Subdomains ab. Sie benötigen außerdem Apples Domain zur Erkennung von Captive Portals – captive.apple.com – und die Verbindungstest-Endpunkte von Google, um zu verhindern, dass sich der CNA-Mini-Browser auf iOS- und Android-Geräten fehlerhaft verhält. Ein kritischer Schritt, der leicht übersehen wird: Standardmäßig verschlüsselt SmartZone die MAC-Adresse und die IP-Adresse, die in der Weiterleitungs-URL an das externe Portal übergeben werden. Purple muss jedoch die tatsächliche Client-MAC-Adresse sehen, um eine MAC-basierte Sitzungsverwaltung durchzuführen. Sie müssen dies über die CLI deaktivieren. Verbinden Sie sich per SSH mit Ihrer SmartZone, wechseln Sie in den Konfigurationsmodus und führen Sie folgenden Befehl aus: „no encrypt-mac-ip“. Das ist nur ein einziger Befehl, aber er ist ein absoluter Showstopper, wenn Sie ihn auslassen. Das Northbound Interface ist der andere wesentliche Bestandteil. Dies ist die API, die es Purple ermöglicht, mit der SmartZone zu kommunizieren, um den Zugang nach der Authentifizierung zu gewähren oder zu verweigern. Aktivieren Sie es unter „Administration“, „External Services“, „WISPr Northbound Interface“. Legen Sie einen Benutzernamen und ein Passwort fest und hinterlegen Sie diese Anmeldedaten in Purple. Das NBI läuft auf TCP-Port 9080 für HTTP und 9443 für HTTPS – stellen Sie sicher, dass Ihre Firewall eingehende Verbindungen aus dem IP-Bereich von Purple auf diesen Ports zulässt. Erstellen Sie schließlich Ihr WLAN. Stellen Sie den Authentifizierungstyp auf „Hotspot WISPr“ ein, wählen Sie Ihr Portalprofil aus und weisen Sie Ihre RADIUS-Authentifizierungs- und Accounting-Dienste zu. Stellen Sie die NAS-ID auf „User-defined“ ein, falls Purple einen bestimmten Wert erfordert, setzen Sie die Called Station ID auf „AP MAC“ und aktivieren Sie „Single Session ID“. Bei Unleashed ist die Architektur grundlegend anders – es handelt sich um ein verteiltes, controllerloses Modell. Die Konfiguration befindet sich unter „Admin and Services“, „Services“, „Hotspot Services“. Die Schritte sind im Großen und Ganzen ähnlich – erstellen Sie einen Hotspot-Dienst, konfigurieren Sie Ihre externe Portal-URL, richten Sie Ihren AAA-Authentifizierungsserver ein, fügen Sie Ihre Walled-Garden-Einträge hinzu –, aber es gibt zwei Hauptunterschiede. Bei Unleashed ist kein Northbound Interface erforderlich. Und die MAC-Adressen-Verschlüsselung wird standardmäßig nicht angewendet, sodass Sie den CLI-Befehl nicht benötigen. Der Walled Garden von Unleashed akzeptiert zudem Einträge auf Domainebene anstelle der vollständigen Platzhaltersyntax. Kommen wir nun zum sicheren Mitarbeiter-WiFi über 802.1X. Dies ist ein völlig anderes Authentifizierungsmodell. Anstelle eines Captive Portals authentifizieren sich Mitarbeitergeräte direkt über das Extensible Authentication Protocol – EAP. Die am häufigsten verwendete Methode in Unternehmensumgebungen ist PEAP-MSCHAPv2, bei der der Benutzer seine Active Directory-Anmeldedaten eingibt, oder EAP-TLS, bei dem das Gerät ein Zertifikat vorweist. Das SecurePass-Add-on von Purple lässt sich in Microsoft Entra ID, Okta und Google Workspace integrieren, um als RADIUS-Backend für diesen Ablauf zu fungieren. Erstellen Sie auf der SmartZone ein neues WLAN und stellen Sie den Authentifizierungstyp auf „802.1X EAP“ ein. Verweisen Sie unter den AAA-Einstellungen auf Ihren RADIUS-Server – den SecurePass-Endpunkt von Purple. Der Hauptunterschied zum Gäste-Ablauf besteht darin, dass Sie hier auch die dynamische VLAN-Zuweisung konfigurieren. Wenn der RADIUS-Server von Purple ein „Access-Accept“ zurückgibt, enthält es drei IETF-Standardattribute: „Tunnel-Type“ gesetzt auf „VLAN“ (Wert 13), „Tunnel-Medium-Type“ gesetzt auf „IEEE-802“ (Wert 6) und „Tunnel-Private-Group-ID“ mit der VLAN-ID-Zeichenfolge – zum Beispiel „20“ für das Mitarbeiter-VLAN. SmartZone liest diese Attribute und versieht den Datenverkehr des Mitarbeiters dynamisch mit dem korrekten VLAN-Tag, unabhängig davon, mit welchem AP er verbunden ist. Dies ist die dynamische VLAN-Steuerung, die es ermöglicht, dass eine einzige SSID mehrere Benutzerrollen mit unterschiedlichen Netzwerkzugriffsrichtlinien bedient. Aktivieren Sie „AAA Override“ in den erweiterten WLAN-Einstellungen, um sicherzustellen, dass SmartZone die vom RADIUS-Server zurückgegebenen VLAN-Attribute verarbeitet. Ohne dieses Kontrollkästchen funktioniert die dynamische Zuweisung nicht, selbst wenn der RADIUS-Server die korrekten Attribute sendet. Der dritte Anwendungsfall ist die mandantenfähige Isolierung mithilfe von Ruckus Dynamic PSK – oder DPSK. Dies ist eine Ruckus-proprietäre Technologie, die jedem Benutzer oder Mieter eine eindeutige WPA2-Passphrase zuweist, und das alles auf einer einzigen SSID. Im Gegensatz zu einem gemeinsam genutzten PSK, bei dem alle dasselbe Passwort verwenden, bedeutet DPSK, dass Mieter A einen eindeutigen 62-stelligen Schlüssel hat, Mieter B einen anderen und so weiter. Jeder Schlüssel ist an ein bestimmtes VLAN gebunden, sodass der Datenverkehr von Mieter A im VLAN 101 und der von Mieter B im VLAN 102 landet – vollständige Isolierung, kein Risiko durch gemeinsam genutzte Passwörter und sofortiger Entzug des Zugangs, ohne andere Mieter zu beeinträchtigen. Dies ist besonders vorteilhaft in Co-Working-Spaces, Mietwohnungsgebäuden, Studentenwohnheimen und mandantenfähigen Fachmarktzentren. Purple lässt sich über die SmartZone-API in Ruckus DPSK integrate, um die Schlüsselbereitstellung zu automatisieren: Wenn ein neuer Mieter in Purple angelegt wird, wird automatisch ein DPSK generiert, an das richtige VLAN gebunden und dem Mieter zugestellt. Um DPSK auf der SmartZone zu konfigurieren: Navigieren Sie zu „WLANs“, fügen Sie ein neues WLAN hinzu und stellen Sie unter „Security“ die Methode auf „Dynamic PSK“ ein. Stellen Sie die DPSK-Länge für maximale Entropie auf 62 Zeichen ein. Aktivieren Sie unter „VLAN“ die Option „Per-DPSK VLAN assignment“. Verwenden Sie dann die SmartZone-API oder die DPSK-Verwaltungsoberfläche, um individuelle Schlüssel pro Mieter zu erstellen, die jeweils der eigenen VLAN-ID zugeordnet sind. Auf Unleashed ist dieselbe Funktion unter „WiFi Networks“, „Advanced Options“, „Dynamic PSK“ verfügbar. DPSK3 ist die WPA3-Variante, die eine stärkere SAE-basierte Verschlüsselung bietet. Wenn Ihre AP-Flotte WPA3 unterstützt – was alle aktuellen Ruckus-APs der R-Serie tun –, ist DPSK3 die bevorzugte Wahl für neue Bereitstellungen. Lassen Sie mich zwei reale Implementierungsszenarien durchgehen, die zeigen, wie diese drei Anwendungsfälle zusammenwirken. Erstes Szenario: ein Hotel mit 250 Zimmern. Das Hotel betreibt Ruckus SmartZone mit R750 Access Points im gesamten Gebäude. Sie benötigen drei Netzwerktypen: Guest WiFi für Hotelgäste, sicheres Mitarbeiter-WiFi für Rezeptions- und Back-Office-Mitarbeiter sowie ein IoT-Netzwerk für intelligente Raumsteuerungen und Videoüberwachung. Das Gäste-WLAN verwendet den WISPr-basierten Captive Portal-Ablauf mit Purple. Gäste verbinden sich, werden zu einem gebrandeten Purple-Portal weitergeleitet, authentifizieren sich per E-Mail oder Social Login und landen im VLAN 10. Das Portal erfasst First-Party-Daten – E-Mail, Marketing-Einwilligung, Aufenthaltspräferenzen –, die direkt in das CRM des Hotels einfließen. Das Analyse-Dashboard von Purple zeigt dem Hotel, welche Etagen die höchsten Verbindungsraten, Spitzennutzungszeiten und Wiederholungsbesucherzahlen aufweisen. Premier Inn hat dieses Modell in allen seinen britischen Hotels eingeführt und konnte messbare Verbesserungen bei den Gästezufriedenheitswerten verzeichnen, die direkt mit dem WiFi-Erlebnis zusammenhängen. Das Mitarbeiter-WLAN verwendet 802.1X mit SecurePass von Purple. Mitarbeiter authentifizieren sich mit ihren Active Directory-Anmeldedaten über PEAP-MSCHAPv2. Rezeptionsmitarbeiter landen im VLAN 20 mit Zugriff auf das Hotelmanagementsystem. Back-Office-Mitarbeiter landen im VLAN 21 mit Zugriff ausschließlich auf HR- und Dienstplansysteme. Die VLAN-Zuweisung wird vollständig durch die von Purple zurückgegebenen RADIUS-Attribute gesteuert – es ist keine manuelle Portkonfiguration erforderlich. Wenn ein Mitarbeiter das Unternehmen verlässt, wird sein Konto in Microsoft Entra ID deaktiviert und der Zugriff wird sofort für alle Standorte gesperrt. Das IoT-WLAN verwendet einen statischen PSK, der auf VLAN 30 isoliert ist, wobei die Client-Isolierung aktiviert ist. Intelligente Thermostate, Türschlösser und Überwachungskameras befinden sich hier, völlig getrennt vom Datenverkehr der Gäste und Mitarbeiter. Zweites Szenario: ein Co-Working-Space mit 15 Mieterunternehmen. Hier spielt DPSK seine Stärken voll aus. Der Betreiber nutzt Ruckus Unleashed auf drei Etagen. Jedes Mieterunternehmen erhält eine eindeutige DPSK, die an sein eigenes VLAN gebunden ist. Die 20 Mitarbeiter von Mieter A verwenden alle dieselbe DPSK-A-Passphrase, aber diese Passphrase ist für Mieter A eindeutig und wird nur dem VLAN 101 zugeordnet. Mieter B verwendet DPSK-B, das dem VLAN 102 zugeordnet ist. Die Mieter sind auf der Netzwerkschicht vollständig voneinander isoliert. Wenn ein Mieter auszieht, entzieht der Betreiber seine DPSK in der SmartZone – oder über die Verwaltungsoberfläche von Purple – und das war's. Kein anderer Mieter ist betroffen, es sind keine SSID-Änderungen erforderlich und es müssen keine Passwörter im gesamten Gebäude zurückgesetzt werden. Die mandantenfähige Verwaltungsebene von Purple setzt darauf auf und bietet dem Co-Working-Betreiber ein einziges Dashboard zur Verwaltung von Onboarding, Zugriffsentzug und Nutzungsanalysen für alle 15 Mieter. Lassen Sie mich nun die häufigsten Fehlerquellen behandeln und zeigen, wie man sie vermeidet. Erstens: Falsche Konfiguration des Walled Garden. Wenn Ihre Portalseite nach der Weiterleitung nicht geladen wird, sollten Sie als Erstes prüfen, ob alle Domains, auf die Ihre Portalseite verweist, im Walled Garden eingetragen sind. Moderne Portalseiten laden Ressourcen von mehreren CDN-Domains, Analyseskripten und Social-Login-SDKs. Wenn eine davon vor der Authentifizierung blockiert wird, wird die Seite entweder gar nicht oder fehlerhaft geladen. Verwenden Sie die Entwicklertools Ihres Browsers auf einem Testgerät, das mit der Gäste-SSID verbunden ist, um festzustellen, welche Anfragen blockiert werden. Purple stellt eine dokumentierte Walled-Garden-Liste für SmartZone und Unleashed zur Verfügung – nutzen Sie diese als Basis und fügen Sie alle standortspezifischen Domains hinzu. Zweitens: Verbindungsprobleme mit dem NBI. Wenn Gäste das Portal sehen und sich authentifizieren können, aber nie Internetzugang erhalten, liegt die Ursache wahrscheinlich darin, dass SmartZone den NBI-Callback von Purple nicht empfangen kann. Überprüfen Sie, ob die Ports 9080 und 9443 für eingehende Verbindungen auf der Management-IP der SmartZone aus dem IP-Bereich von Purple geöffnet sind. Stellen Sie außerdem sicher, dass die von Ihnen konfigurierten NBI-Anmeldedaten mit den bei Purple hinterlegten Daten übereinstimmen. Drittens: Der fehlende Befehl „no encrypt-mac-ip“. Dies ist der häufigste SmartZone-spezifische Fehler. Wenn Purple Weiterleitungsanfragen empfängt, die Sitzung jedoch keiner MAC-Adresse zuordnen kann, ist dies fast sicher die Ursache. Es handelt sich um eine einzeilige CLI-Korrektur, die jedoch leicht übersehen wird, da sie in der GUI nicht angezeigt wird. Viertens: AAA Override für dynamisches VLAN nicht aktiviert. Wenn sich Mitarbeiter erfolgreich über 802.1X authentifizieren, aber alle im selben Standard-VLAN statt in ihrem rollenspezifischen VLAN landen, überprüfen Sie, ob „AAA Override“ in den erweiterten WLAN-Einstellungen aktiviert ist. Dies ist der Schalter, der SmartZone anweist, die vom RADIUS-Server zurückgegebenen VLAN-Attribute zu berücksichtigen. Fünftens: DPSK-VLAN wird nicht übertragen. Wenn sich DPSK-Benutzer authentifizieren, aber nicht im richtigen VLAN landen, stellen Sie sicher, dass die Option „Per-DPSK VLAN assignment“ in den WLAN-Einstellungen aktiviert ist und dass die mit Ihren APs verbundenen Switch-Ports als Trunk-Ports konfiguriert sind, die alle DPSK-VLANs übertragen. Wenn der Switch-Port als Access-Port konfiguriert ist, wird das VLAN-Tagging entfernt. Nun drei schnelle Fragen, die mir bei jeder Ruckus-Purple-Bereitstellung gestellt werden. Benötige ich ein dediziertes VLAN für Guest WiFi? Ja, immer. Isolieren Sie den Gästedatenverkehr in einem dedizierten VLAN. Dies ist sowohl eine Sicherheitsanforderung als auch eine PCI-DSS-Compliance-Überlegung, wenn Ihr Standort Kartenzahlungen über dasselbe Netzwerk abwickelt. Aktivieren Sie die Client-Isolierung im Gäste-WLAN, um zu verhindern, dass Gäste-Geräte untereinander kommunizieren. Kann ich Purple mit Ruckus One – der Cloud-verwalteten Plattform – anstelle von SmartZone verwenden? Ja. Der Konfigurationspfad ist anders – er befindet sich unter „WiFi Networks“, „Guest Access settings“ im Ruckus One-Portal –, aber die Prinzipien für den Walled Garden und die RADIUS-Konfiguration sind identisch. Unterstützt Purple SmartZone-Bereitstellungen mit mehreren Zonen? Ja. Die Integration von Purple unterstützt SmartZone-Umgebungen mit mehreren Zonen, und Sie können Portalkonfigurationen auf einzelne Zonen für verschiedene Standorte oder Etagen innerhalb einer einzigen SmartZone-Instanz beschränken. Zusammenfassend lässt sich sagen: Die Integration von Ruckus und Purple deckt drei verschiedene Anwendungsfälle ab, jeder mit seinem eigenen Konfigurationsmodell. Guest WiFi verwendet den WISPr-basierten Captive Portal-Ablauf – fünf wichtige Konfigurationspunkte: RADIUS auf den Ports 1812 und 1813 mit einem Backup-Server, das Hotspot-WISPr-Profil mit einer externen Login-URL, ein korrekt dimensionierter Walled Garden mit Platzhaltereinträgen, der CLI-Befehl „no encrypt-mac-ip“ und das aktivierte Northbound Interface mit den korrekten Anmeldedaten. Sicheres Mitarbeiter-WiFi verwendet 802.1X EAP mit dynamischer VLAN-Steuerung über RADIUS-Attribute – die entscheidende Voraussetzung ist „AAA Override“ in den erweiterten WLAN-Einstellungen. Mandantenfähige Isolierung verwendet Ruckus DPSK – eindeutige Schlüssel pro Mieter, die jeweils an ein dediziertes VLAN gebunden sind, mit sofortigem Entzug des Zugangs und ohne das Risiko gemeinsam genutzter Passwörter. Wenn Sie diese drei Muster richtig umsetzen, verfügen Sie über eine Netzwerkinteressengemeinschaft, die sich von einem unabhängigen Hotel mit 50 Zimmern auf Unleashed bis hin zu einem Stadion mit 5.000 Sitzplätzen auf SmartZone skalieren lässt, wobei dieselbe Purple-Plattform über allem steht und einheitliche Analysen, eine GDPR-konforme Datenerfassung und eine zentrale Zugangsverwaltung bietet. Wenn Sie eine Ruckus-Bereitstellung mit Purple planen, kann Sie das technische Onboarding-Team durch eine Pre-Launch-Checkliste führen und Ihre Konfiguration vor der Liveschaltung validieren. Die Purple-Plattform bietet zudem Echtzeit-Analysen zu Portalladezeiten, Authentifizierungserfolgsraten und Sitzungsdaten – so erhalten Sie die nötige Transparenz, um Probleme zu erkennen, bevor Ihre Gäste es tun. Vielen Dank fürs Zuhören. Bis zum nächsten Mal.

header_image.png

Executive Summary

Die Bereitstellung eines leistungsstarken drahtlosen Netzwerks in Unternehmensstandorten erfordert ein ausgewogenes Verhältnis zwischen nahtloser Benutzererfahrung und robuster technischer Sicherheit. Für Organisationen, die CommScope Ruckus-Architekturen betreiben – von Stadien und Kongresszentren mit hoher Dichte bis hin zu weitläufigen Einzelhandelsflächen und Hotelgruppen –, dient das Netzwerk als primäres Gateway für die digitale Interaktion. Dieses Handbuch bietet einen definitiven technischen Leitfaden für die Integration von Ruckus SmartZone-, ZoneDirector- und Unleashed-Controllern mit der Purple-Cloud-Plattform. Wir beschreiben die genauen Konfigurationsschritte, die für die Bereitstellung von Guest WiFi über eine WISPr Captive Portal-Weiterleitung, sichere Mitarbeiternetzwerke über eine dynamische 802.1X-VLAN-Steuerung und eine mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic Pre-Shared Keys (DPSK) erforderlich sind. Durch die Befolgung dieser herstellerneutralen Best Practices können IT-Teams die Netzwerksegmentierung automatisieren, die Einhaltung von Standards wie PCI DSS sicherstellen und First-Party-Daten sicher erfassen.

Technische Vertiefung

Die Integration zwischen CommScope Ruckus-Hardware und Purple basiert auf Industriestandard-Authentifizierungsprotokollen und sicherer API-Kommunikation. Die Architektur unterstützt drei verschiedene Bereitstellungsmodelle, die jeweils eine bestimmte Benutzergruppe am Standort bedienen.

Guest WiFi-Architektur (WISPr)

Für öffentliche Zugangsnetzwerke im Einzelhandel und im Gastgewerbe nutzt Ruckus das Protokoll Wireless Internet Service Provider roaming (WISPr). Wenn sich ein Gast mit einer offenen SSID verbindet, fängt der Ruckus-Controller seine erste HTTP-Anfrage ab und gibt eine HTTP-302-Weiterleitung an das externe Captive Portal von Purple aus. Der Gast authentifiziert sich über ein bewusstes Opt-in-Verfahren – wie E-Mail oder einen Social-Identity-Anbieter. Nach erfolgreicher Authentifizierung kommuniziert Purple über das Northbound Interface (NBI) mit dem Ruckus-Controller, um die MAC-Adresse zu autorisieren und den Internetzugang freizugeben.

architecture_overview.png

Sicheres Mitarbeiter-WiFi (802.1X und dynamische VLANs)

Mitarbeitergeräte erfordern einen grundlegend anderen Ansatz. Anstatt auf Captive Portals zu setzen, verwenden Unternehmensumgebungen die 802.1X-Authentifizierung. Geräte authentifizieren sich direkt an der RADIUS-Infrastruktur von Purple unter Verwendung der Protokolle EAP-TLS (zertifikatsbasiert) oder PEAP-MSCHAPv2 (anmeldedatenbasiert).

Die entscheidende Komponente hierbei ist die dynamische VLAN-Steuerung. Wenn der RADIUS-Server von Purple eine Access-Accept-Nachricht zurückgibt, enthält diese drei spezifische IETF-Standardattribute:

  • Tunnel-Type (Attribut 64): Auf VLAN gesetzt (Wert 13)
  • Tunnel-Medium-Type (Attribut 65): Auf IEEE-802 gesetzt (Wert 6)
  • Tunnel-Private-Group-ID (Attribut 81): Enthält die VLAN-ID-Zeichenfolge (z. B. „20“ für Mitarbeiter)

Der Ruckus SmartZone-Controller liest diese Attribute und versieht den Datenverkehr des Benutzers dynamisch mit Tags, sodass er unabhängig vom physischen Access Point, mit dem er verbunden ist, dem richtigen isolierten Netzwerksegment zugewiesen wird.

Mandantenfähige Isolierung (Ruckus DPSK)

In Umgebungen wie Co-Working-Spaces, Studentenwohnheimen und Mehrfamilienhäusern (MDUs) führt das Ausstrahlen von Dutzenden von SSIDs zu schweren Kanalinterferenzen. Ruckus Dynamic Pre-Shared Key (DPSK) löst dieses Problem, indem jedem Mieter auf einer einzigen gemeinsam genutzten SSID eine eindeutige WPA2/WPA3-Passphrase zugewiesen wird.

Jede DPSK ist an ein bestimmtes VLAN gebunden. Wenn sich ein Bewohner verbindet, verwendet der Controller seinen eindeutigen Schlüssel, um das Gerät zu authentifizieren und es seinem privaten VLAN zuzuordnen. Purple automatisiert diesen Prozess über eine API-Integration, indem Schlüssel beim Ein- und Auszug von Mietern generiert und widerrufen werden, wodurch die mit herkömmlichen gemeinsam genutzten Passwörtern verbundenen Sicherheitsrisiken eliminiert werden.

dpsk_configuration_guide.png

Implementierungsleitfaden

Dieser Abschnitt beschreibt die spezifischen Konfigurationsschritte, die für die Integration von Purple mit einem Ruckus SmartZone-Controller erforderlich sind. Die Schritte für Unleashed sind im Wesentlichen ähnlich, lassen jedoch die Anforderung für das Northbound Interface weg.

1. RADIUS-AAA-Server konfigurieren

  1. Navigieren Sie zu Services & Profiles > Authentication.
  2. Erstellen Sie ein neues AAA-Serverprofil, wobei das Service-Protokoll auf RADIUS eingestellt ist.
  3. Geben Sie die primäre Server-IP und das Shared Secret ein, die in Ihrer Purple-Administrationskonsole bereitgestellt wurden.
  4. Stellen Sie den Authentifizierungsport auf 1812 ein.
  5. Wiederholen Sie diesen Vorgang unter Services & Profiles > Accounting und stellen Sie den Port auf 1813 ein.

2. Hotspot-WISPr-Profil konfigurieren

  1. Navigieren Sie zu Services & Profiles > Hotspots & Portals > Hotspot (WISPr).
  2. Erstellen Sie ein neues Profil und stellen Sie die Login-URL auf External ein.
  3. Geben Sie Ihre Purple Captive Portal-Weiterleitungs-URL ein.
  4. Definieren Sie Ihren Walled Garden. Dies ist entscheidend. Sie müssen den Zugriff auf die Domains von Purple vor der Authentifizierung zulassen. SmartZone unterstützt Platzhalter (z. B. *.purple.ai). Sie müssen auch captive.apple.com aufnehmen, um das Verhalten des iOS Captive Network Assistant (CNA) zu steuern.

3. MAC-Adressen-Verschlüsselung deaktivieren (Kritischer Schritt)

Standardmäßig verschlüsselt SmartZone die in der Weiterleitungs-URL übergebenen MAC- und IP-Adressen. Purple benötigt die unverschlüsselte MAC-Adresse für die Sitzungsverwaltung. Sie müssen dies über die CLI deaktivieren:

enable
config
no encrypt-mac-ip
exit

4. Northbound Interface (NBI) aktivieren

  1. Navigieren Sie zu Administration > External Services > WISPr Northbound Interface.
  2. Aktivieren Sie den Dienst und konfigurieren Sie einen Benutzernamen und ein Passwort.
  3. Stellen Sie Purple diese Anmeldedaten zur Verfügung. Stellen Sie sicher, dass Ihre die Firewall eingehenden TCP-Datenverkehr auf den Ports 9080 (HTTP) und 9443 (HTTPS) aus den IP-Bereichen von Purple zulässt.

5. WLAN erstellen

  1. Erstellen Sie ein neues WLAN und legen Sie den Authentifizierungstyp auf Hotspot (WISPr) fest.
  2. Wählen Sie das zuvor konfigurierte Hotspot-Profil und die AAA-Server aus.
  3. Aktivieren Sie für 802.1X-Mitarbeiternetzwerke AAA Override in den erweiterten Einstellungen, um sicherzustellen, dass dynamische VLAN-Attribute verarbeitet werden.

Best Practices

Um eine robuste und sichere Bereitstellung zu gewährleisten, halten Sie sich an diese branchenüblichen Empfehlungen:

  • Gast-Traffic isolieren: Legen Sie das Gast-WiFi immer in ein dediziertes VLAN und aktivieren Sie die Client-Isolierung. Dies ist eine zwingende Voraussetzung für die PCI-DSS-Konformität, wenn an Ihrem Standort Zahlungen über dieselbe physische Infrastruktur verarbeitet werden.
  • VLAN-IDs standardisieren: Wenn Sie dynamisches VLAN-Steering über mehrere Standorte hinweg bereitstellen, stellen Sie sicher, dass Ihr VLAN-Nummerierungsschema global identisch ist (z. B. ist VLAN 20 immer für Mitarbeiter). Eine inkonsistente Benennung führt zu Authentifizierungsfehlern.
  • RADIUS-Fallback implementieren: Konfigurieren Sie ein kritisches VLAN oder einen Fallback-Mechanismus auf Ihren Controllern. Wenn der primäre RADIUS-Server nicht erreichbar ist, sollten Geräte in ein eingeschränktes, reines Internet-VLAN verschoben werden, um die grundlegende Konnektivität aufrechtzuerhalten.
  • DPSK3 für neue Bereitstellungen verwenden: Wenn Ihre Ruckus-Hardware WPA3 unterstützt, stellen Sie DPSK3 anstelle des veralteten DPSK bereit, um von der SAE-basierten Verschlüsselung zu profitieren.

Fehlerbehebung & Risikominderung

Bei der Integration externer Captive Portals und RADIUS-Dienste stoßen Techniker häufig auf die folgenden Fehlerszenarien:

  • Portal lädt nicht: Dies ist fast immer auf eine Fehlkonfiguration des Walled Gardens zurückzuführen. Moderne Portale laden Ressourcen von mehreren CDNs und Identitätsanbietern. Verwenden Sie die Entwicklertools des Browsers, um blockierte Anfragen zu identifizieren, und fügen Sie die erforderlichen Domänen zu Ihrem SmartZone Walled Garden hinzu.
  • Authentifizierung erfolgreich, aber kein Internetzugang: Dies weist auf einen Fehler der Northbound-Schnittstelle (NBI) hin. SmartZone empfängt den Autorisierungs-Callback von Purple nicht. Überprüfen Sie Ihre NBI-Anmeldedaten und kontrollieren Sie die Firewall-Protokolle auf verworfenen Datenverkehr auf den TCP-Ports 9080/9443.
  • Dynamische VLAN-Zuweisung schlägt fehl: Wenn sich 802.1X-Benutzer erfolgreich authentifizieren, aber im Standard-VLAN landen, überprüfen Sie, ob AAA Override in den WLAN-Einstellungen aktiviert ist. Ohne diese Einstellung ignoriert SmartZone das von Purple zurückgegebene Attribut Tunnel-Private-Group-ID.

ROI & geschäftliche Auswirkungen

Die Integration der Ruckus-Infrastruktur mit Purple verwandelt ein Standard-Drahtlosnetzwerk in ein messbares Geschäftsgut.

Für Einzelhandels- und Gastronomiebetriebe erfasst das Captive Portal verifizierte First-Party-Daten, was das Wachstum von Treueprogrammen fördert und zielgerichtete Marketingkampagnen ermöglicht. Eine große britische Hotelkette verzeichnete nach der Einführung von Ruckus und Purple eine Steigerung der Gästezufriedenheit um 40 %.

Für den IT-Betrieb reduzieren dynamisches VLAN-Steering und DPSK-Automatisierung den manuellen Konfigurationsaufwand drastisch. Anstatt statische Switch-Ports zu verwalten oder gemeinsame Passwörter beim Auszug eines Mieters zurückzusetzen, wird die Zugriffskontrolle zentralisiert und automatisiert. Dies mindert Sicherheitsrisiken und reduziert Support-Tickets.

Schlüsseldefinitionen

WISPr

Wireless Internet Service Provider roaming. Ein Industriestandard-Protokoll, das von Wireless-Controllern verwendet wird, um HTTP-Datenverkehr abzufangen und Benutzer zu einem externen Captive Portal weiterzuleiten.

Dies ist die grundlegende Architektur für alle öffentlichen Guest WiFi-Bereitstellungen auf Ruckus-Hardware.

Northbound Interface (NBI)

Eine API auf dem Ruckus SmartZone-Controller, die es externen Plattformen ermöglicht, Autorisierungsbefehle zu senden.

Erforderlich für Purple, um einem Benutzer nach erfolgreichem Login im Captive Portal Internetzugang zu gewähren.

Walled Garden

Eine Whitelist von Domains und IP-Adressen, auf die ein Gerät zugreifen darf, bevor es sich im Netzwerk authentifiziert.

Unerlässlich, damit die Captive Portal-Seite, die zugehörigen Bilder und Social-Login-Anbieter für nicht authentifizierte Gäste geladen werden können.

Dynamic PSK (DPSK)

Eine Ruckus-proprietäre Technologie, die einzelnen Benutzern oder Gruppen auf einer einzigen gemeinsam genutzten SSID eine eindeutige WPA2/WPA3-Passphrase zuweist.

Wird häufig in mandantenfähigen Umgebungen (MDUs, Co-Working-Spaces) verwendet, um eine sichere Netzwerkisolierung ohne SSID-Überlastung zu gewährleisten.

Dynamic VLAN Steering

Der Prozess der automatischen Zuweisung eines Geräts zu einem bestimmten Netzwerksegment (VLAN) basierend auf RADIUS-Attributen, die während der 802.1X-Authentifizierung zurückgegeben werden.

Ermöglicht es IT-Teams, eine einzige 'Staff'-SSID zu verwenden und gleichzeitig den Datenverkehr von HR, Finanzen und Rezeption auf der Netzwerkschicht sicher zu trennen.

AAA Override

Eine Konfigurationseinstellung auf Wireless-Controllern, die den Access Point zwingt, die vom RADIUS-Server zurückgegebenen Richtlinien (wie VLAN-IDs) anzuwenden.

Muss auf Ruckus-WLANs aktiviert sein, damit die dynamische VLAN-Steuerung korrekt funktioniert.

Client Isolation

Eine Sicherheitsfunktion, die verhindert, dass Geräte, die mit demselben drahtlosen Netzwerk verbunden sind, direkt miteinander kommunizieren.

Eine obligatorische Sicherheitsmaßnahme für öffentliche Guest WiFi-Netzwerke, um Peer-to-Peer-Angriffe zu verhindern und die Compliance zu gewährleisten.

Captive Network Assistant (CNA)

Der in mobile Betriebssysteme (wie iOS und Android) integrierte Mini-Browser, der automatisch geöffnet wird, wenn ein Captive Portal erkannt wird.

Techniker müssen das CNA-Verhalten über den Walled Garden verwalten, um mobilen Benutzern ein reibungsloses Login-Erlebnis zu bieten.

Ausgearbeitete Beispiele

Ein Hotel mit 250 Zimmern muss drei verschiedene Netzwerke auf seiner Ruckus SmartZone-Infrastruktur bereitstellen: ein öffentliches Gästenetzwerk, ein sicheres Mitarbeiternetzwerk mit Zugriff auf das Hotelmanagementsystem und ein isoliertes IoT-Netzwerk für intelligente Thermostate.

Das IT-Team konfiguriert drei WLANs. Das WLAN 'Guest-WiFi' verwendet eine Hotspot-Authentifizierung (WISPr), die zum Captive Portal von Purple weiterleitet, und leitet Benutzer bei aktivierter Client-Isolierung in das VLAN 10 um. Das WLAN 'Staff-Secure' verwendet die 802.1X EAP-Authentifizierung gegenüber Purple SecurePass; der RADIUS-Server gibt Tunnel-Private-Group-ID = 20 zurück, wodurch Mitarbeiter dynamisch in das interne VLAN gesteuert werden. Das WLAN 'IoT-Devices' verwendet einen statischen WPA2 PSK, der an VLAN 30 gebunden ist und über Firewall-Regeln so eingeschränkt ist, dass er nur mit dem Thermostat-Steuerungsserver kommuniziert.

Kommentar des Prüfers: Diese Architektur wendet das Prinzip der minimalen Rechtevergabe korrekt an. Durch die Nutzung der dynamischen VLAN-Steuerung für Mitarbeiter vermeidet das Hotel die Ausstrahlung mehrerer abteilungsspezifischer SSIDs, was die Kanalauslastung verringert und gleichzeitig die für die PCI-DSS-Compliance erforderliche strikte Netzwerksegmentierung aufrechterhält.

Ein Co-Working-Space-Betreiber verwaltet ein Gebäude mit 15 verschiedenen Mieterunternehmen. Er muss für jedes Unternehmen einen sicheren, isolierten drahtlosen Zugang bereitstellen, ohne 15 separate SSIDs auszustrahlen.

Der Betreiber stellt Ruckus Unleashed bereit und konfiguriert ein einzelnes 'Tenant-WiFi'-WLAN mit Dynamic PSK (DPSK)-Sicherheit. Innerhalb des Controllers aktiviert er die Per-DPSK-VLAN-Zuweisung. Jedes der 15 Mieterunternehmen erhält eine eindeutige 62-stellige Passphrase. Wenn sich die Mitarbeiter von Mieter A mit ihrem spezifischen Schlüssel verbinden, weist der Controller ihren Datenverkehr automatisch dem VLAN 101 zu. Die Mitarbeiter von Mieter B verwenden einen anderen Schlüssel und landen im VLAN 102.

Kommentar des Prüfers: Dies ist der optimale Anwendungsfall für Ruckus DPSK. Es bietet eine Isolierung auf Unternehmensebene auf der Netzwerkschicht, während die HF-Umgebung durch die Ausstrahlung von nur einer SSID sauber gehalten wird. Zudem wird das Sicherheitsrisiko eines gemeinsam genutzten Passworts eliminiert, da der Entzug des Zugangs für Mieter A das Löschen eines einzelnen Schlüssels erfordert, ohne die anderen 14 Unternehmen zu beeinträchtigen.

Übungsfragen

Q1. Sie haben ein Guest WiFi-Netzwerk auf einem Ruckus SmartZone-Controller konfiguriert, der mit Purple integriert ist. Beim Verbinden eines Testgeräts wird die Captive Portal-Seite von Purple angezeigt, aber das Logobild fehlt und die Schaltfläche 'Mit Facebook anmelden' funktioniert nicht. Was ist die wahrscheinlichste Ursache?

Hinweis: Überlegen Sie, welchen Netzwerkzugriff das Gerät hat, bevor es sich erfolgreich authentifiziert.

Musterlösung anzeigen

Der Walled Garden ist falsch konfiguriert. Die Domains, die das Logobild hosten (z. B. ein CDN), und die Facebook-Authentifizierungsserver wurden nicht zur Walled Garden-Whitelist hinzugefügt, sodass der SmartZone-Controller diese Anfragen vor der Authentifizierung blockiert.

Q2. Ein Netzwerkingenieur stellt 802.1X für den Mitarbeiterzugang bereit. Der Purple RADIUS-Server gibt das Attribut `Tunnel-Private-Group-ID` für VLAN 20 korrekt zurück. Wenn sich Mitarbeiter jedoch verbinden, werden sie dem dem WLAN zugewiesenen Standard-VLAN zugeordnet. Wie lösen Sie dieses Problem?

Hinweis: Der Controller erhält die RADIUS-Anweisungen, ignoriert sie jedoch.

Musterlösung anzeigen

Sie müssen 'AAA Override' in den erweiterten Einstellungen des WLANs auf dem SmartZone-Controller aktivieren. Ohne diese Einstellung wendet der Controller die vom RADIUS-Server zurückgegebenen dynamischen VLAN-Attribute nicht an.

Q3. Ein Co-Working-Space möchte sicheres WiFi für 10 verschiedene Unternehmen bereitstellen. Derzeit werden 10 separate SSIDs ausgestrahlt, was zu schweren Kanalinterferenzen führt. Sie können 802.1X nicht verwenden, da viele Geräte gemeinsam genutzte Drucker oder Smart-TVs sind. Welche Ruckus-Architektur wird empfohlen?

Hinweis: Suchen Sie nach einer Lösung, die eindeutige Verschlüsselungsschlüssel bereitstellt, ohne dass Unternehmenszertifikate oder Anmeldedaten erforderlich sind.

Musterlösung anzeigen

Implementieren Sie Ruckus Dynamic PSK (DPSK) auf einer einzigen SSID. Vergeben Sie eine eindeutige DPSK an jedes Mieterunternehmen und konfigurieren Sie den Controller so, dass er jede DPSK an ein bestimmtes VLAN bindet. Dies eliminiert die SSID-Überlastung, bietet Netzwerkisolierung und unterstützt gerätelose Systeme wie Drucker.

Weiterlesen in dieser Reihe

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

Diese Anleitung beschreibt die schrittweise Integration von Cisco WLC und Catalyst 9800 Wireless mit Purple. Sie umfasst die Weiterleitung zum Guest WiFi Captive Portal über Central Web Authentication, sicheres Mitarbeiter-WiFi mittels 802.1X EAP-TLS sowie Multi-Tenant-Segmentierung über Cisco Identity Pre-Shared Keys (iPSK) mit dynamischer VLAN-Zuweisung. Sie richtet sich an Netzwerkarchitekten in Unternehmen und IT-Sicherheitsverantwortliche, die Cisco-Infrastrukturen im Gastgewerbe, im Einzelhandel und in großen öffentlichen Veranstaltungsorten bereitstellen.

Leitfaden lesen →

OpenWrt Custom Firmware Integration with Purple WiFi

Dieses Handbuch bietet das vollständige Integrations-Playbook für die Bereitstellung von OpenWrt Custom Firmware mit Purple WiFi. Es deckt die Konfiguration des CoovaChilli Captive Portal, die Verwaltung des iptables Walled Garden, sicheres Mitarbeiter-WiFi über 802.1X mit hostapd sowie die mandantenfähige PPSK-Segmentierung mit dynamischer VLAN-Zuweisung ab. Damit erhalten IT-Teams die genauen Konfigurationsschritte, die für den Aufbau eines identitätsbasierten Netzwerks auf jeder OpenWrt-fähigen Hardware erforderlich sind.

Leitfaden lesen →

Huawei AirEngine und CloudCampus Integration mit Purple WiFi

Diese Anleitung bietet Schritt-für-Schritt-Anweisungen für die Integration von Huawei AirEngine Access Points und iMaster NCE-Campus mit Purple WiFi. Sie deckt die Captive Portal-Konfiguration, die 802.1X-Mitarbeiterauthentifizierung und das dynamische PPSK-VLAN-Steering für Unternehmensnetzwerke ab.

Leitfaden lesen →