EnGenius Cloud Access Points Integration mit Purple WiFi

Diese technische Referenz beschreibt Schritt für Schritt die Integration von EnGenius Cloud Access Points und ECS-Switches mit der Gäste-WiFi-Plattform von Purple. Sie umfasst die Weiterleitung zum Captive Portal für Gäste über eine externe Splash Page, die Walled Garden-Konfiguration, sicheres Mitarbeiter-WiFi mit IEEE 802.1X und mandantenfähige Netzwerkisolation mittels EnGenius MyPSK mit dynamischer VLAN-Zuweisung. IT-Installateure und Netzwerkarchitekten finden hier praxisnahe Konfigurationsabläufe, reale Fallstudien und ein Framework zur Fehlerbehebung für die Bereitstellung von Purple auf EnGenius-Hardware.

📖 9 Min. Lesezeit📝 2,239 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 10 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

PODCAST-SKRIPT: Integration von EnGenius Cloud Access Points mit Purple WiFi
Purple WiFi Intelligence Platform - Technische Informationsreihe
Dauer: Ca. 10 Minuten
Stimme: britisches Englisch, Tonfall eines Senior Consultants - selbstbewusst, locker, autoritär

[INTRO - 1 MINUTE]

Willkommen zur Purple Technische Informationsreihe. Heute befassen wir uns mit einem Thema, das bei Enterprise-Bereitstellungen regelmäßig auftritt: der Integration von EnGenius Cloud Access Points in die Guest-WiFi-Plattform von Purple.

Wenn Sie eine EnGenius-Infrastruktur betreiben – sei es mit Access Points der ECW-Serie in einem Hotel, einer Einzelhandelskette oder einem Bürogebäude mit mehreren Mietern – und Sie ein gebrandetes Captive Portal hinzufügen, First-Party-Besucherdaten erfassen und eine ordnungsgemäße Netzwerksegmentierung durchsetzen möchten, dann ist dieses Briefing genau das Richtige für Sie.

In den nächsten zehn Minuten möchte ich Sie durch die vier Kernbereiche der Konfiguration führen: Weiterleitung zum Guest Captive Portal, Einrichtung des Walled Garden, sicheres Mitarbeiter-WiFi mit 802.1X und Multi-Tenant-Isolierung mit EnGenius MyPSK mit dynamischer VLAN-Zuweisung. Am Ende werden Sie ein klares Bild davon haben, was genau in welcher Reihenfolge zu konfigurieren ist und wo die häufigsten Fallstricke liegen.

Legen wir los.

[TECHNISCHE DETAILS - 5 MINUTEN]

Beginnen wir mit dem Guest Captive Portal, dem am häufigsten gewählten Ausgangspunkt für jeden Standortbetreiber.

EnGenius Cloud unterstützt externe Splash Pages nativ. Das bedeutet, dass nicht authentifizierte Gäste auf das in der Cloud gehostete Portal von Purple weitergeleitet werden, anstatt eine einfache Anmeldeseite auf dem Access Point selbst zu hosten. Hier befinden sich das Branding, die Datenerfassung, das Einwilligungsmanagement und die Analysen.

Hier ist die Konfigurationsreihenfolge in EnGenius Cloud. Melden Sie sich in Ihrem EnGenius Cloud-Dashboard an und navigieren Sie zu „Configure“, dann zu „SSID“. Wählen Sie Ihre Guest-SSID aus. Legen Sie unter der Registerkarte „Wireless“ den Sicherheitstyp je nach Wunsch auf „Open“ oder „WPA2 PSK“ fest. „Open“ ist der Standard für die meisten Guest-WiFi-Bereitstellungen. Wechseln Sie dann auf die Registerkarte „Captive Portal“. Aktivieren Sie das Captive Portal und stellen Sie den „Authentication Type“ auf „Custom RADIUS“. Dies ist die entscheidende Einstellung. Sie weist den Access Point an, Authentifizierungsanfragen an einen externen RADIUS-Server weiterzuleiten, bei dem es sich in diesem Fall um den Cloud-RADIUS-Endpunkt von Purple handelt.

Geben Sie nun die RADIUS-Details von Purple ein. Die IP-Adresse des primären RADIUS-Servers finden Sie in Ihrem Purple-Dashboard unter „Hardware Configuration“. Der Authentifizierungs-Port ist UDP 1812. Der Accounting-Port ist UDP 1813. Geben Sie das Shared Secret ein. Purple generiert dieses für Sie, und es sollte mindestens 22 Zeichen lang sein, bestehend aus einer Mischung aus Groß- und Kleinschreibung, Zahlen und Sonderzeichen. Stellen Sie den NAS-Identifikator so ein, dass er mit Ihrem Standortnamen oder einem eindeutigen Identifikator übereinstimmt, den Sie in Purple definiert haben.
Wechseln Sie als Nächstes zur Registerkarte Splash Page. Wählen Sie External Splash Page URL und geben Sie die URL des Purple-Portals ein. Dies ist die URL, die Purple für Ihren spezifischen Standort bereitstellt. Wenn sich ein Gast mit der SSID verbindet und einen Browser öffnet, fängt der Access Point die Anfrage ab und leitet sie an diese URL weiter. Dabei werden Parameter wie die MAC-Adresse des Clients, die MAC-Adresse des APs und die ursprüngliche URL, die der Gast aufrufen wollte, übergeben.

Nun zum Walled Garden. Dies ist die Liste der Domains und IP-Adressen, die Gäste vor der Authentifizierung erreichen können. Ohne diese Liste kann das Purple-Portal selbst nicht geladen werden, da der Browser des Gasts die Server von Purple nicht erreichen kann. In der EnGenius Cloud befindet sich der Walled Garden unter Captive Portal, dann Advanced Settings und schließlich Walled Garden. Sie müssen die Domain des Purple-Portals, die CDN-Endpunkte von Purple und die Captive Portal Probe-Endpunkte der Betriebssysteme hinzufügen. Für Apple-Geräte ist das captive.apple.com. Für Android connectivitycheck.gstatic.com. Für Windows msftconnecttest.com. Wenn Sie einen dieser Endpunkte vergessen, wird den Gästen auf diesen Plattformen das Portal überhaupt nicht angezeigt.

Wenn Sie Social Login über Google oder Facebook anbieten, müssen Sie auch die OAuth-Endpunkte dieser Anbieter auf die Whitelist setzen. Google erfordert mindestens accounts.google.com, oauth2.googleapis.com und apis.google.com. Facebook benötigt www.facebook.com, graph.facebook.com und connect.facebook.net. Die Support-Dokumentation von Purple bietet eine aktuelle Walled Garden-Liste für jede Authentifizierungsmethode. Nutzen Sie diese als Referenz, da sich diese Domains ändern können.

Kommen wir nun zum sicheren Mitarbeiter-WiFi mittels 802.1X.

Dies ist eine separate SSID. Der Sicherheitstyp ist hier WPA2 Enterprise oder WPA3 Enterprise. Wählen Sie in der EnGenius Cloud unter der Registerkarte SSID Wireless die Option WPA2 Enterprise und dann Custom RADIUS. Geben Sie dieselben RADIUS-Server-Details ein: den RADIUS-Endpunkt von Purple, Port 1812 und das Shared Secret. Der Unterschied zur Gasteinrichtung besteht darin, dass es hier kein Captive Portal gibt. Die Geräte der Mitarbeiter authentifizieren sich geräuschlos über das IEEE 802.1X-Protokoll. Das Gerät legt dem RADIUS-Server ein Zertifikat oder einen Benutzernamen und ein Passwort vor, der diese überprüft und eine Access-Accept-Nachricht zusammen mit VLAN-Zuweisungsattributen zurückgibt.

Die RADIUS-Attribute, die die dynamische VLAN-Zuweisung steuern, sind Tunnel-Type (eingestellt auf VLAN), Tunnel-Medium-Type (eingestellt auf 802) und Tunnel-Private-Group-ID (eingestellt auf die VLAN-Nummer). Wenn Ihr Mitarbeiter-VLAN also VLAN 20 ist, gibt der RADIUS-Server Tunnel-Private-Group-ID mit dem Wert 20 zurück. Der EnGenius Access Point liest dieses Attribut und weist das authentifizierte Gerät automatisch VLAN 20 zu. Das bedeutet, dass Sie eine einzige SSID für mehrere Mitarbeiterrollen (Finanzen, Betrieb, IT, Auftragnehmer) nutzen können, wobei jeder basierend auf seiner Verzeichnisgruppenmitgliedschaft in einem anderen VLAN landet – und das ganz ohne manuelle VLAN-Konfiguration pro Gerät.

Für die EAP-Methode ist PEAP-MSCHAPv2 die am häufigsten gewählte Option für Umgebungen, die Active Directory oder Microsoft Entra ID verwenden. Sie erfordert ein serverseitiges Zertifikat auf dem RADIUS-Server und Benutzername-Passwort-Anmeldedaten auf dem Client. EAP-TLS ist sicherer. Es verwendet Zertifikate auf beiden Seiten. Allerdings erfordert es eine PKI-Infrastruktur und ein MDM-Deployment, um die Zertifikate auf die Geräte zu pushen. Für die meisten Betreiber von Veranstaltungsorten ist PEAP-MSCHAPv2 mit einer strikten Zertifikatsvalidierung, die über Gruppenrichtlinien oder MDM erzwungen wird, die praktischste Wahl.

Nun zum technisch interessantesten Teil: EnGenius MyPSK und Multi-Tenant-Isolierung.

MyPSK, auch als PPSK oder Private Pre-Shared Key bezeichnet, löst ein spezifisches Problem in Multi-Tenant-Umgebungen. In einer Mietwohnanlage (Build-to-Rent), einem Serviced Office oder einem Studentenwohnheim möchten Sie, dass jeder Mieter oder Bewohner sein eigenes, eindeutiges WiFi-Passwort hat. Sie möchten jedoch nicht für jeden Mieter eine eigene SSID erstellen. Das führt zu einer Überlastung der Funkfrequenzen und erhöht den Verwaltungsaufwand.

Mit MyPSK können Sie bis zu 500 eindeutige Pre-Shared Keys pro SSID erstellen. Jeder Schlüssel ist an ein bestimmtes VLAN gebunden. Wenn sich ein Bewohner mit seinem eindeutigen Schlüssel verbindet, weist der Access Point ihn automatisch seinem zugewiesenen VLAN zu. Der Datenverkehr von Mieter A berührt niemals das Netzwerksegment von Mieter B. Die Verschlüsselung erfolgt ebenfalls pro Benutzer. Jeder Schlüssel generiert einen eindeutigen Pairwise Master Key, sodass ein Mieter den Over-the-Air-Datenverkehr eines anderen Mieters nicht entschlüsseln kann, obwohl sie dieselbe SSID nutzen.

In EnGenius Cloud konfigurieren Sie MyPSK unter den SSID-Sicherheitseinstellungen. Wählen Sie WPA2 PSK oder WPA3 Personal und aktivieren Sie dann MyPSK. Sie können dann PSKs einzeln erstellen oder automatisch Batches von bis zu 50 Keys gleichzeitig generieren. Für jeden PSK weisen Sie eine VLAN-ID zu und legen optional ein Ablaufdatum fest. Wenn ein Mietvertrag endet oder ein Student seinen Abschluss macht, lassen Sie seinen PSK einfach ablaufen oder löschen ihn. Der Zugriff wird sofort widerrufen, ohne dass sich dies auf andere Mieter auswirkt.

Für die Purple-Integration in einer MyPSK-Umgebung können die für Gäste vorgesehenen Mieter weiterhin über ein Captive Portal in ihrem VLAN geleitet werden. Mitarbeiter und betriebliche Mieter umgehen das Portal vollständig. Die VLAN-Segmentierung stellt sicher, dass die Analysedaten von Purple dem jeweiligen Netzwerksegment korrekt zugeordnet werden.

[UMSETZUNGSEMPFEHLUNGEN UND FALLSTRICKE - 2 MINUTEN]

Lassen Sie mich Ihnen die Implementierungsreihenfolge empfehlen, die ich für ein sauberes erstes Deployment vorschlage.

Beginnen Sie mit Ihrer VLAN-Architektur, bevor Sie die WiFi-Konfiguration anpassen. Definieren Sie VLAN 10 für Gäste, VLAN 20 für Mitarbeiter, VLAN 30 für Mieter oder die Nummerierung, die zu Ihrem bestehenden Schema passt. Konfigurieren Sie diese VLANs zuerst auf Ihren ECS-Switchen mit den entsprechenden Trunk- und Access-Port-Zuweisungen. Die Access Points müssen getaggten Datenverkehr auf dem Uplink-Port für jedes VLAN empfangen, das Sie verwenden möchten.

Konfigurieren Sie dann die SSIDs in der EnGenius Cloud in dieser Reihenfolge: Zuerst die Gäste-SSID, da diese am einfachsten ist. Überprüfen Sie die Weiterleitung zum Captive Portal von Purple, bevor Sie fortfahren. Konfigurieren Sie anschließend die Mitarbeiter-SSID mit 802.1X. Testen Sie dies mit einem bekannten Gerät, bevor Sie das System für die gesamte Umgebung bereitstellen. Konfigurieren Sie dann MyPSK, falls Sie eine Mandantenisolierung benötigen.

Die Fallstricke. Erstens: Das Walled Garden. Dies ist die häufigste Ursache für fehlerhafte Captive Portal-Bereitstellungen. Wenn Gäste das Portal nicht erreichen können, überprüfen Sie zuerst das Walled Garden. Zweitens: Falsche Übereinstimmung beim gemeinsamen RADIUS-Schlüssel (Shared Secret). Das Shared Secret muss in der EnGenius Cloud-Konfiguration und der Purple RADIUS-Serverkonfiguration absolut identisch sein. Schon ein einziger abweichender Buchstabe führt dazu, dass jede Authentifizierung im Hintergrund fehlschlägt. Drittens: VLAN-Trunk-Konfiguration auf dem Switch. Wenn der ECS-Switch-Port, der mit dem Access Point verbunden ist, nicht als Trunk konfiguriert ist, der alle erforderlichen VLANs überträgt, schlägt die dynamische VLAN-Zuweisung fehl. Viertens: Zertifikatsvalidierung auf 802.1X-Clients. Wenn Mitarbeitergeräte nicht so konfiguriert sind, dass sie das RADIUS-Serverzertifikat validieren, sind sie anfällig für Diebstahl von Zugangsdaten über gefälschte Access Points. Setzen Sie dies über Gruppenrichtlinien für Windows und über MDM-Profile für alle anderen Geräte durch.

[SCHNELLE FRAGERUNDE - 1 MINUTE]

Ein paar Fragen, die mir bei EnGenius- und Purple-Bereitstellungen regelmäßig gestellt werden.

Kann ich anstelle des RADIUS von Purple den EnGenius Cloud RADIUS verwenden? Ja, für die interne Authentifizierung. Für Gäste-WiFi mit den Analysen und dem Portal von Purple müssen Sie jedoch auf den RADIUS-Endpunkt von Purple verweisen. Beide können auf unterschiedlichen SSIDs koexistieren.

Funktioniert MyPSK mit WPA3? Ja. EnGenius unterstützt WPA3 und den WPA2/WPA3-Mischmodus mit MyPSK. So erhalten WPA3-fähige Geräte eine SAE-Authentifizierung, während ältere Geräte auf WPA2 PSK zurückgreifen – und das alles mit demselben benutzerdefinierten Schlüssel.

Unterstützt Purple RADIUS Accounting für Sitzungsdaten? Ja. Aktivieren Sie den Accounting-Server in der RADIUS-Konfiguration der EnGenius Cloud und verweisen Sie auf den Accounting-Endpunkt von Purple auf UDP 1813. Dadurch fließen Sitzungsdauer und Datenvolumen in die Analysen von Purple ein.

[ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE - 1 MINUTE]

Zusammenfassend lässt sich sagen: Die Access Points der EnGenius Cloud lassen sich über vier Konfigurationsebenen nahtlos in die Gäste-WiFi-Plattform von Purple integrieren. Die Weiterleitung zum Gäste-Captive Portal nutzt benutzerdefiniertes RADIUS und eine externe Splash-Page-URL, die auf Purple verweist. Die Walled Garden-Whitelist stellt sicher, dass das Portal vor der Authentifizierung geladen wird. Das Mitarbeiter-WiFi nutzt WPA2 Enterprise mit 802.1X und dynamischer VLAN-Zuweisung über RADIUS-Attribute. Und die Mandantenisolierung nutzt EnGenius MyPSK, um eindeutige, an bestimmte VLANs gebundene Schlüssel pro Benutzer zuzuweisen, optional mit Ablaufdatum für zeitlich begrenzten Zugriff.

Purple ist an über 80.000 Standorten im Einsatz und hat allein im Jahr 2024 bereits 440 Millionen Logins verarbeitet. Die Plattform ist ISO 27001-zertifiziert, GDPR-konform und hardwareunabhängig. Genau deshalb funktioniert sie so reibungslos mit EnGenius sowie mit Cisco Meraki, HPE Aruba, Ruckus und dem Rest des Enterprise-Hardware-Ökosystems.

Wenn Sie für das Deployment bereit sind, beginnen Sie mit der Anleitung zur Konfiguration des Walled Gardens in der Support-Dokumentation von Purple und führen Sie anschließend die Einrichtung der SSID in der EnGenius Cloud durch. Die vollständige Schritt-für-Schritt-Anleitung finden Sie auf purple.ai. Vielen Dank für Ihre Aufmerksamkeit.

Wichtigste Erkenntnisse

✓EnGenius Cloud lässt sich über Custom RADIUS (UDP 1812/1813) und eine externe Splash-Page-URL, die in den SSID-Einstellungen des Captive Portal konfiguriert ist, in Purple integrieren.
✓Ein korrekt konfigurierter Walled Garden ist das wichtigste Element für Captive Portal-Bereitstellungen – er muss OS-Probe-Endpunkte, Purple-CDN-Domains und alle Social-Login-OAuth-Domains enthalten.
✓IEEE 802.1X mit WPA2/WPA3 Enterprise bietet eine sichere, passwortlose Mitarbeiterauthentifizierung mit dynamischer VLAN-Zuweisung über RADIUS Tunnel-Private-Group-ID-Attribute.
✓EnGenius MyPSK bietet Mandantenisolation auf einer einzigen SSID, indem einzelnen Benutzern eindeutige PSKs und VLANs zugewiesen werden. Es unterstützt bis zu 500 Schlüssel pro SSID mit optionalen Ablaufdaten.
✓Konfigurieren Sie die Trunk-Ports der ECS-Switches vor der Konfiguration der SSIDs – die dynamische VLAN-Zuweisung schlägt geräuschlos fehl, wenn der Switch das zugewiesene VLAN nicht übertragen kann.
✓PEAP-MSCHAPv2 ist nur mit einer strengen Serverzertifikatsvalidierung sicher, die über Group Policy oder MDM erzwungen wird – stellen Sie dies vor jedem 802.1X-Rollout bereit.
✓Purple verarbeitet jährlich 440 Millionen Logins an über 80.000 Standorten, ist ISO 27001-zertifiziert, GDPR-konform und hardwareunabhängig für Geräte von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet.

執行摘要

企業 WiFi 若依賴共用的預先共用金鑰，會使場域面臨重大的安全性風險，且無法收集有價值的首方數據。本指南詳細說明 EnGenius Cloud Access Points 與 Purple 的 Guest WiFi 平台的整合，旨在為旅宿餐飲、零售及多租戶環境提供安全、隔離且可衡量的無線網路。透過為員工實施 IEEE 802.1X 驗證、透過 EnGenius MyPSK 為住戶與租戶進行動態 VLAN 分配，以及為訪客提供雲端託管的 Captive Portal，IT 團隊可以執行嚴格的存取控制，同時將無線基礎設施轉化為商業智慧資產。

Purple 每年在 80,000 多個實體場域處理 4.4 億次登入（Purple 內部數據，2024 年）。該平台已通過 ISO 27001 認證、符合 GDPR 與 CCPA 規範，且不受硬體品牌限制，這也正是它能與 EnGenius 以及 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 和 Ubiquiti UniFi 完美整合的原因。本指南涵蓋在 EnGenius Cloud 硬體上部署 Purple 所需的四個配置層：訪客 Captive Portal 重導向、Walled Garden 設定、安全員工 WiFi，以及使用 EnGenius MyPSK 的多租戶隔離。

技術深度解析

架構概述

EnGenius Cloud 與 Purple 之間的整合依賴於標準 RADIUS 協定與 HTTP 重導向。當訪客在啟用 Captive Portal 的 SSID 上連線至 EnGenius ECW 存取點（AP）時，AP 會攔截第一個 HTTP 請求，並將瀏覽器重導向至 Purple 的雲端託管歡迎頁面。此重導向會向該入口網站傳遞多個參數（包括 client_mac、ap_mac 與 userurl），Purple 會使用這些參數來追蹤工作階段並回傳驗證決策。

針對員工與營運設備，其架構則從 Captive Portal 重導向轉變為基於 IEEE 802.1X 連接埠的網路存取控制。EnGenius 存取點作為驗證器，透過 UDP 連接埠 1812 將可延伸驗證協定（EAP）訊息轉發至 Purple 的 RADIUS 伺服器。驗證成功後，RADIUS 伺服器會傳回包含 VLAN 分配屬性的 Access-Accept 訊息，指示 AP 將該裝置放置在正確的網路區段中。

層級	SSID 類型	驗證方法	VLAN 分配
Guest WiFi	Open 或 WPA2 PSK	透過自訂 RADIUS 的 Purple Captive Portal	靜態（例如 VLAN 10）
Staff WiFi	WPA2/WPA3 Enterprise	802.1X (PEAP 或 EAP-TLS)	透過 RADIUS 屬性動態分配
多租戶	搭配 MyPSK 的 WPA2/WPA3 PSK	每使用者 PSK	每金鑰 VLAN 綁定

EnGenius Cloud 平台

EnGenius Cloud 是一個雲端管理的網路平台，支援 ECW 系列無線基地台（包括 ECW220、ECW230 和 ECW520 WiFi 7 機型）以及 ECS 系列管理型交換器。此平台為組織內所有裝置提供了一個集中式儀表板，用於管理 SSID、RADIUS 設定、VLAN 標記以及 Captive Portal 設定。EnGenius Cloud 支援三種基於 RADIUS 的 Captive Portal 認證類型：EnGenius Authentication（使用內建的 Cloud RADIUS）、Custom RADIUS（指向外部伺服器，例如 Purple）以及憑證服務（Voucher Service）。

對於企業級部署，與 Purple 進行整合時，正確的認證類型為 Custom RADIUS。此模式會指示無線基地台將認證請求代理傳送至 Purple 的 RADIUS 端點，從而啟用 Purple 的入口網站、分析和數據擷取功能。

EnGenius MyPSK 與多租戶隔離

在建案出租住宅、學生宿舍、服務式辦公室或共享工作空間等環境中，為每個租戶廣播獨立的 SSID 會降低無線射頻效能。每增加一個 SSID 都會產生信標訊框（beacon frames），消耗空中傳輸時間並減少可用於數據流量的容量。EnGenius MyPSK（亦稱為 PPSK 或個人預共用金鑰）透過在單一 SSID 上允許高達 500 個不重複的 PSK 來解決此問題。

每個金鑰都綁定至特定的 VLAN。當住戶使用其專屬金鑰連線時，無線基地台會自動將其置於指定的網路區段中。加密是針對每位使用者的：每個金鑰都會產生一個不重複的成對主金鑰（PMK），因此即使租戶共用相同的 SSID，其中一個租戶也無法解密另一個租戶的空中傳輸流量。相較於單一共用 PSK（任何知道密碼的使用者都可以解密網路上所有流量），這是一個根本上的安全性優勢。

MyPSK 金鑰支援到期日設定，非常適合有時間限制的存取情境：學生的金鑰在學年結束時過期、承包商的金鑰在其約期結束時過期，而會議出席者的金鑰則在活動最後一天的午夜過期。

實作指南

步驟 1：定義您的 VLAN 架構

在設定任何 SSID 之前，請先在您的 ECS 交換器上定義 VLAN 結構。典型的部署會使用三個 VLAN：

VLAN ID	用途	存取原則
VLAN 10	訪客 WiFi	僅限網際網路，與企業區域網路隔離
VLAN 20	員工 WiFi	完整企業區域網路存取權限
VLAN 30	租戶/住戶 WiFi	獨立的每租戶區段

步驟 2：配置訪客 Captive Portal（EnGenius Captive Portal 設定）

這是部署帶有 Purple 的 EnGenius Splash Page 的主要配置。

登入您的 EnGenius Cloud 控制面板： cloud.engenius.ai 。
導覽至 Configure > SSID 並選擇您的訪客網路（例如 "VenueGuest"）。
在 Wireless 索引標籤下，將安全性類型（Security Type）設定為 Open。這是訪客 WiFi 的標準設定；訪客是在 Portal 層進行識別與驗證，而非在關聯層。
切換至 Captive Portal 索引標籤並啟用 Portal。
將驗證類型（Authentication Type）設定為 Custom RADIUS。
輸入 Purple RADIUS 伺服器詳細資訊：

欄位	值
RADIUS 伺服器 IP	於 Purple 控制面板的硬體配置（Hardware Configuration）中提供
驗證連接埠 (Authentication Port)	UDP 1812
計費連接埠 (Accounting Port)	UDP 1813
共用金鑰 (Shared Secret)	由 Purple 產生的 22 個以上字元的字串
NAS 識別碼 (NAS Identifier)	您的場地名稱或 Purple 場地 ID

切換至 Splash Page 索引標籤。
選擇 External Splash Page URL。
輸入您場地的 Purple Portal URL（格式：https://portal.purple.ai/[venue-id]）。
按一下 Apply。

步驟 3：配置 Walled Garden

必須配置 Walled Garden（EnGenius 訪客 WiFi 白名單），以允許在驗證前存取載入 Portal 所需的網域。導覽至 Captive Portal > Advanced Settings > Walled Garden 並新增以下項目：

Purple 基礎架構：

*.purple.ai
*.purpleportal.net

作業系統 Captive Portal 探測（強制性）：

captive.apple.com (iOS 和 macOS)
connectivitycheck.gstatic.com (Android)
msftconnecttest.com (Windows)

社群登入（若啟用）：

Google: accounts.google.com, oauth2.googleapis.com, apis.google.com, *.gstatic.com
Facebook: www.facebook.com, graph.facebook.com, connect.facebook.net, *.fbcdn.net
Microsoft Entra ID: login.microsoftonline.com, login.live.com

請務必使用網域名稱而非靜態 IP 位址。社群登入供應商使用動態 IP 範圍和任播（Anycast）路由；隨著 CDN 位址的變更，靜態 IP 白名單效能將會逐漸下降。

步驟 4：配置安全員工 WiFi (802.1X)

用於員工 WiFi 的 EnGenius RADIUS 設定採用 WPA2 Enterprise，以提供憑證型、無密碼的驗證。

建立新的 SSID（例如 "VenueStaff"）。
在 Wireless 索引標籤下，將安全性類型設定為 WPA2 Enterprise。
選擇 Custom RADIUS 並輸入 RADIUS 伺服器 IP、連接埠 1812 以及共用金鑰。
不需要 Captive Portal。員工裝置會透過 802.1X 自動在背景完成驗證。
配置您的 RADIUS 伺服器，使其在 Access-Accept 上傳回以下屬性：

RADIUS 屬性	值
Tunnel-Type	13 (VLAN)
Tunnel-Medium-Type	6 (802)
Tunnel-Private-Group-ID	20 (或您的員工 VLAN ID)

關於 EAP 方法的選擇：對於使用 Microsoft Entra ID 或 Active Directory 的環境，PEAP-MSCHAPv2 是最實用的選擇。EAP-TLS 透過完全消除密碼來提供更強的安全性，但需要公開金鑰基礎建設（PKI）和 MDM 解決方案來部署用戶端憑證。請務必透過群組原則（Windows）或 MDM 設定檔（macOS、iOS、Android），在所有用戶端裝置上強制執行嚴格的伺服器憑證驗證，以防止惡意存取點竊取憑證。

步驟 5：配置 EnGenius MyPSK 以實現多租戶隔離

適用於多租戶環境的 EnGenius MyPSK 設定：

建立一個新的 SSID（例如 "VenueResident"）。
在 Wireless 索引標籤下，將安全類型設定為 WPA2 PSK 或 WPA3 Personal。
啟用 MyPSK（Private PSK）。
按一下 Add PSK 建立個別的金鑰，或使用 Auto-Generate 一次批次產生最多 50 個金鑰。
為每個 PSK 分配一個 VLAN ID，並可選擇設定 Start Date（開始日期）和 Expiration Date（過期日期）。
將每個唯一的 PSK 分發給對應的租戶或住戶。

當租戶的租約結束時，刪除或使其 PSK 過期。存取權限會立即被撤銷，且不會影響網路上的任何其他租戶。

最佳實踐

在 802.1X 用戶端上強制執行嚴格的憑證驗證。 只有當用戶端設定為針對信任的 CA 驗證 RADIUS 伺服器的憑證時，PEAP-MSCHAPv2 才是安全的。如果沒有此設定，惡意存取點可能會呈現欺詐性憑證並竊取認證資訊。請透過 Windows 的群組原則物件（GPO）以及所有其他平台的 MDM 組態設定檔來部署驗證設定。對於任何受法規監管環境中的部署，這是不可妥協的要求。

在 Walled Garden 中使用動態 DNS 解析。 Google、Apple 和 Meta 的 OAuth 和 CDN 端點使用的是動態 IP 範圍。請將 Walled Garden 條目配置為網域名稱，並確保您的 EnGenius Cloud 控制器能對其進行動態解析。隨著 CDN IP 的更替，靜態 IP 白名單將會導致驗證失敗。

使用 MAC 驗證繞過（MAB）隔離 IoT 裝置。 印表機、顯示器和 IoT 感測器等無介面裝置無法透過 802.1X 進行驗證。請使用 MAC 驗證繞過（MAB）來識別它們，並將其放入受限制的 VLAN 中，同時配合防火牆規則以防止橫向移動。MAB並非一種安全控制手段，而是一種裝置識別機制。請將經 MAB 驗證的裝置視為不受信任的裝置。

實作 RADIUS 計費。 在 EnGenius Cloud 的 RADIUS 配置中啟用計費伺服器，將其指向 Purple 在 UDP 1813 上的計費端點。這會將工作階段持續時間、數據量和裝置資訊傳送到 Purple 的 WiFi Analytics 平台，提供證明基礎建設投資價值的場地使用率數據。

每季審查 Walled Garden。 OAuth 提供商與 CDN 會變更其網域結構。Apple 在 2023 年曾兩次更新其登入網域。請將 Walled Garden 的每季審查納入您的營運行事曆。如需企業 WiFi 安全實務的進一步指引，請參閱我們的企業 WiFi 安全指南。

疑難排解與風險緩釋

症狀：Captive Portal 無法在 iOS 裝置上載入。 原因：captive.apple.com 未加入 Walled Garden。iOS 使用此端點來偵測 Captive Portal 的存在並觸發 Captive Network Assistant。若缺少此端點，裝置會報告「無網際網路連線」，且永遠不會開啟 Portal 瀏覽器。解決方法：在 EnGenius Cloud 的「Captive Portal > 進階設定」中，將 captive.apple.com 新增至 Walled Garden。

症狀：驗證無聲無息地失敗 - RADIUS 沒有傳回回應。 原因：EnGenius Cloud 與 Purple RADIUS 伺服器設定之間的共用金鑰（Shared Secret）不一致。單一字元的差異就會導致所有驗證請求被捨棄。解決方法：在兩個系統中重新輸入共用金鑰。請從純文字來源複製貼上，以避免隱形字元的置換。

症狀：802.1X 用戶端已驗證，但未收到 IP 地址。 原因：ECS 交換器上行鏈路連接埠未設定為 Trunk 埠，或者 RADIUS 伺服器傳回的 VLAN 在該 Trunk 上不被允許。解決方法：驗證交換器連接埠設定。該連接埠必須是 Trunk 埠，且承載 RADIUS 回應中所參照的所有 VLAN。

症狀：MyPSK 用戶端已連線，但可以接觸到其他租戶的裝置。 原因：SSID 上未啟用用戶端隔離（Client Isolation），或者交換器上的 VLAN 設定未能正確隔離各個區段。解決方法：在 EnGenius Cloud 的 SSID 中啟用用戶端隔離。驗證上游路由器或防火牆上，每個 VLAN 是否都設定了適當的跨 VLAN 路由規則。

症狀：社群媒體登入按鈕有載入，但驗證失敗。 原因：Walled Garden 中遺漏了一個或多個 OAuth 提供商的子網域。Google 與 Meta 在其驗證流程中使用了多個子網域。解決方法：從未驗證的裝置上擷取瀏覽器主控台（Console）輸出，以識別哪個網域被封鎖。將遺漏的網域新增至 Walled Garden。請參閱 Purple 的 Walled Garden 網域白名單文件以取得最新列表。

投資報酬率（ROI）與業務影響

將 Purple 與 EnGenius Cloud 協同部署，能將無線基礎設施從成本中心轉變為數據資產。場地營運商可透過訪客自願同意的選擇，收集完全合規的第一方人口統計數據，進而實現精準的行銷活動與可衡量的參與度。對於 IT 團隊而言，轉向 802.1X 與 MyPSK 消除了管理共用密碼的營運開銷，減少了與存取問題相關的支援工單，並提供了網路使用狀況的精細可視性。

對於旅宿業營運商而言，Premier Inn（Purple 的知名客戶）利用顧客 WiFi 數據來提高忠誠度計劃的參與度，並個性化發送訪問後的溝通訊息。對於零售環境，結合來自 Purple 的 WiFi Analytics 平台的客流量分析與停留時間數據，可提供商品陳列洞察，獨立於安全效益之外，證明了基礎設施投資的合理性。

在多租戶環境中，MyPSK 消除了解決每個租戶需要獨立實體網路基礎設施的需求。單台 EnGenius ECW 基地台即可在單一 SSID 上為 500 個隔離的租戶提供服務，從而降低硬體成本並簡化日常管理。當租戶搬離時，其 PSK 會在幾秒鐘內被刪除，無需更改密碼，也不會對其他住戶造成影響。

Purple 的平台與硬體無關，這意味著相同的 Purple 設定、分析和數據擷取層可在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 硬體上運行。如果您的資產中混合了 EnGenius 和其他廠商，Purple 可為所有設備提供單一管理介面來進行顧客 WiFi 管理。如需相關部署指南，請參閱我們的 DrayTek Vigor 整合指南。

Schlüsseldefinitionen

Captive Portal

Eine Webseite, die die erste HTTP-Anfrage eines Benutzers nach dem Verbinden mit einem WiFi-Netzwerk abfängt und eine Authentifizierung oder die Zustimmung zu den Nutzungsbedingungen erfordert, bevor der Internetzugang gewährt wird.

Der primäre Mechanismus für das Onboarding von Gästen, die Datenerfassung und das GDPR-konforme Einwilligungsmanagement in Purple-Bereitstellungen. EnGenius Cloud unterstützt sowohl interne als auch externe Captive Portal-Seiten.

Walled Garden

Die explizite Whitelist von Domains und IP-Adressen, mit denen ein Client-Gerät kommunizieren kann, bevor es sich erfolgreich über das Captive Portal authentifiziert hat.

Erforderlich, damit Geräte die Purple-Portal-Server, OS-Probe-Endpunkte und Identity-Provider von Drittanbietern wie Google oder Microsoft Entra ID erreichen können, bevor die Authentifizierung abgeschlossen ist.

EnGenius MyPSK

Eine Funktion, die es Netzwerkadministratoren ermöglicht, mehrere eindeutige Pre-Shared Keys auf einer einzigen SSID zu erstellen, die jeweils für die Netzwerktrennung an ein bestimmtes VLAN gebunden sind.

Wird in Mandantenumgebungen verwendet, um sichere, isolierte Netzwerksegmente bereitzustellen, ohne mehrere SSIDs auszustrahlen. Unterstützt bis zu 500 eindeutige Schlüssel pro SSID mit optionalen Ablaufdaten.

Dynamische VLAN-Zuweisung

Der Prozess, bei dem ein RADIUS-Server einen Access Point anweist, ein authentifiziertes Gerät basierend auf der Zugehörigkeit zu einer Verzeichnisgruppe unter Verwendung des Attributs Tunnel-Private-Group-ID in ein bestimmtes VLAN zu verschieben.

Ermöglicht es einer einzelnen 802.1X SSID, den Datenverkehr für verschiedene Mitarbeiterrollen automatisch und sicher zu segmentieren, ohne manuelle VLAN-Konfiguration pro Gerät.

IEEE 802.1X

Ein IEEE-Standard für portbasierte Netzwerzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten, wobei EAP zur Übertragung von Anmeldedaten an einen RADIUS-Server verwendet wird.

Das Fundament der Enterprise-WiFi-Sicherheit für Mitarbeiternetzwerke, das anfällige gemeinsame Passwörter durch personalisierte Anmeldedaten- oder Zertifikatsvalidierung ersetzt.

RADIUS

Remote Authentication Dial-In User Service; ein Netzwerkprotokoll zur zentralen Verwaltung von Authentifizierung, Autorisierung und Accounting für den Netzwerkzugriff.

Das von EnGenius Access Points verwendete Protokoll zur Kommunikation mit den Authentifizierungsservern von Purple. Die Authentifizierung verwendet den UDP-Port 1812; das Accounting verwendet den UDP-Port 1813.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol mit Microsoft Challenge Handshake Authentication Protocol Version 2; eine 802.1X-Methode, die über ein serverseitiges Zertifikat einen TLS-Tunnel aufbaut, in dem Benutzername-Passwort-Anmeldedaten ausgetauscht werden.

Die gängigste 802.1X-Bereitstellungsmethode für Umgebungen, die Active Directory oder Microsoft Entra ID verwenden. Erfordert eine strikte Serverzertifikatsvalidierung auf den Clients, um den Diebstahl von Anmeldedaten zu verhindern.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; eine 802.1X-Authentifizierungsmethode, die digitale Zertifikate sowohl auf dem RADIUS-Server als auch auf jedem Client-Gerät erfordert und Passwörter vollständig überflüssig macht.

Die sicherste 802.1X-Methode, empfohlen für Hochsicherheitsumgebungen. Erfordert eine Public-Key-Infrastruktur und eine MDM-Lösung zur Bereitstellung von Client-Zertifikaten.

NAS-Identifier

Network Access Server Identifier; ein String-Attribut in RADIUS-Anfragen zur Identifizierung des Access Points oder Controllers, von dem die Authentifizierungsanfrage ausgeht.

In EnGenius Cloud so konfiguriert, dass er mit der Standort-ID in der Purple-Plattform übereinstimmt, um sicherzustellen, dass Analyse- und Sitzungsdaten dem richtigen Standort zugeordnet werden.

PMK

Pairwise Master Key; der kryptografische Schlüssel, der aus einem PSK und dem SSID-Namen abgeleitet wird und zur Verschlüsselung der drahtlosen Sitzung zwischen einem bestimmten Client und dem Access Point dient.

Bei MyPSK-Bereitstellungen generiert jeder eindeutige PSK einen eigenen PMK, wodurch verhindert wird, dass ein Mandant den Datenverkehr eines anderen entschlüsseln kann, selbst auf derselben SSID.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern möchte Gästen einen nahtlosen WiFi-Zugang, Hotelmitarbeitern einen sicheren Zugang und drei Einzelhandelskonzessionen in der Lobby isolierte Netzwerke bieten – alles über dieselben EnGenius ECW Access Points und ECS-Switches.

Richten Sie drei SSIDs auf derselben Hardware ein. SSID 1 (VenueGuest): Offene Sicherheit mit benutzerdefiniertem RADIUS, der auf den RADIUS-Endpunkt von Purple verweist. Externe Splash-Page-URL konfiguriert auf das Purple-Portal. Walled Garden befüllt mit OS-Probes, Purple-CDN-Domains und Google-OAuth-Endpunkten. Statische Zuweisung von VLAN 10. SSID 2 (VenueStaff): WPA2-Enterprise mit benutzerdefiniertem RADIUS. Kein Captive Portal. Der RADIUS-Server gibt die Tunnel-Private-Group-ID 20 für alle Mitarbeiter zurück, wobei Untergruppen (Finanzen, Betrieb, Wartung) jeweils den VLANs 21, 22 und 23 zugewiesen sind. SSID 3 (VenueRetail): WPA2-PSK mit aktiviertem MyPSK. Drei eindeutige PSKs erstellt, die jeweils an die VLANs 31, 32 und 33 gebunden sind. Die Ablaufdaten sind so konfiguriert, dass sie mit der jeweiligen Laufzeit des Mietvertrags der Konzession übereinstimmen. Der Uplink-Port des ECS-Switches ist als Trunk konfiguriert, der die VLANs 10, 20-23 und 31-33 überträgt.

Kommentar des Prüfers: Dieser Ansatz minimiert den SSID-Overhead auf drei Broadcasts, was Gleichkanalstörungen reduziert, während gleichzeitig eine strikte Layer-2-Isolation zwischen Gästen, Mitarbeitern und Drittmietern erzwungen wird. Die dynamische VLAN-Zuweisung für Mitarbeiter erübrigt eine manuelle Neukonfiguration bei Rollenwechseln. Die MyPSK-Ablaufdaten automatisieren den Entzug des Zugangs für die Einzelhandelskonzessionen ohne IT-Eingriff.

Ein Universitäts-Campus, der EnGenius Cloud einsetzt, meldet, dass Studenten, die sich über ihre Google Workspace-Konten im Purple-Gästeportal anmelden möchten, nach dem Klicken auf die Google-Anmeldeschaltfläche einen Browserfehler erhalten. Die Portalseite selbst lädt korrekt.

Das Laden der Portalseite bestätigt, dass die Purple-CDN-Domains korrekt freigegeben sind. Der Fehler beim Google-Anmeldeschritt weist darauf hin, dass eine oder mehrere Google-OAuth-Domains im Walled Garden fehlen. Navigieren Sie zu EnGenius Cloud > Captive Portal > Advanced Settings > Walled Garden und fügen Sie hinzu: accounts.google.com, oauth2.googleapis.com, apis.google.com und *.gstatic.com. Der Platzhalter *.gstatic.com ist erforderlich, da Google seine clientseitigen JavaScript-Bibliotheken über dieses CDN bereitstellt. Testen Sie nach der Aktualisierung des Walled Garden mit einem nicht authentifizierten Gerät und erfassen Sie die Browser-Konsolenausgabe, um sicherzustellen, dass keine weiteren Domains blockiert werden.

Kommentar des Prüfers: OAuth-Fehler beim Provider-Schritt (und nicht beim Laden des Portals selbst) werden fast immer durch unvollständige Walled Garden-Konfigurationen verursacht. Das Captive Portal fängt den HTTPS-Aufruf an den Identity Provider ab, sofern die Domain nicht explizit umgangen wird. Die Verwendung von Wildcard-Einträgen (*.gstatic.com) ist der pragmatische Ansatz für Provider, die mehrere CDN-Subdomains nutzen, sofern Ihre EnGenius Cloud-Version Wildcard-Walled-Garden-Einträge unterstützt.

Übungsfragen

Q1. Sie stellen ein Purple Captive Portal auf EnGenius ECW Access Points bereit. Android-Gäste berichten, dass ihre Geräte "Verbunden, kein Internet" anzeigen und das Portal nie erscheint. iOS-Gäste auf derselben SSID sehen das Portal korrekt. Was ist der wahrscheinlichste Konfigurationsfehler und wie beheben Sie ihn?

Hinweis: Android und iOS verwenden unterschiedliche Endpunkte für Captive Portal Probes.

Musterlösung anzeigen

Android verwendet connectivitycheck.gstatic.com als Endpunkt für seine Captive Portal Probe. iOS verwendet captive.apple.com. Wenn iOS-Gäste das Portal sehen, Android-Gäste jedoch nicht, fehlt connectivitycheck.gstatic.com im Walled Garden. Fügen Sie es im EnGenius Cloud unter Captive Portal > Advanced Settings > Walled Garden hinzu. Fügen Sie außerdem connectivitycheck.android.com und www.google.com hinzu, da Android je nach Geräteversion mehrere Probe-URLs verwendet.

Q2. Ein Veranstaltungsort konfiguriert 802.1X auf einer EnGenius SSID. Mitarbeitergeräte authentifizieren sich erfolgreich (die RADIUS-Serverprotokolle zeigen Access-Accept), aber die Geräte erhalten eine 169.x.x.x APIPA-Adresse anstelle einer Unternehmens-IP. Was ist die wahrscheinlichste Ursache?

Hinweis: Der RADIUS-Server akzeptiert die Authentifizierung, das Problem liegt also nachgelagert zur Authentifizierung.

Musterlösung anzeigen

Der RADIUS-Server gibt ein Tunnel-Private-Group-ID-Attribut zurück, das eine VLAN-ID spezifiziert. Der EnGenius Access Point versucht, den Datenverkehr des Clients mit diesem VLAN zu taggen, aber der Uplink-Port am ECS-Switch ist nicht als Trunk-Port konfiguriert, der dieses VLAN überträgt. Das Gerät wird in ein VLAN ohne erreichbaren DHCP-Server platziert. Lösung: Konfigurieren Sie den Uplink-Port des ECS-Switches als Trunk und lassen Sie die vom RADIUS-Server zurückgegebene VLAN-ID explizit zu.

Q3. Ein Build-to-Rent-Immobilienverwalter fragt, warum Sie EnGenius MyPSK empfehlen, anstatt eine separate SSID für jede der 80 Wohneinheiten zu erstellen. Liefern Sie eine technische Begründung.

Hinweis: Berücksichtigen Sie die Auswirkungen von SSID-Beacons auf die WiFi-Performance.

Musterlösung anzeigen

Jede SSID sendet in regelmäßigen Abständen (in der Regel alle 100 ms) Beacon-Frames. In einer dichten Umgebung würden 80 SSIDs einen ständigen Beacon-Overhead erzeugen, der erhebliche Sendezeit verbraucht, die für den eigentlichen Datenverkehr verfügbare Kapazität verringert und die Leistung für alle Benutzer beeinträchtigt. Die meisten Enterprise Access Points haben zudem ein praktisches Limit von 8–16 SSIDs pro Funkmodul. MyPSK bietet dieselbe Isolation (jeder Bewohner in einem eigenen VLAN mit einem eigenen Verschlüsselungsschlüssel) über eine einzige SSID, wodurch der Beacon-Overhead vollständig eliminiert wird. Der PMK pro Benutzer verhindert außerdem, dass Bewohner den Datenverkehr der anderen entschlüsseln können, was mit einem einzigen gemeinsam genutzten PSK nicht möglich ist.

Weiterlesen in dieser Reihe

Cisco WLC und Catalyst Integration mit Purple WiFi: Schritt-für-Schritt-Anleitung für den Gastzugang

Diese massgebliche Anleitung beschreibt die schrittweise Integration von Cisco Catalyst 9800 WLCs mit Purple WiFi. Sie deckt die externe Web-Authentifizierung für Gäste-Captive Portals, 802.1X EAP-TLS für sicheren Mitarbeiterzugang und Cisco iPSK für die dynamische VLAN-Segmentierung in Mandanten-Umgebungen ab.

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.