Zum Hauptinhalt springen
Deutsch

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

📖 5 Min. Lesezeit📝 1,067 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Sie sind ein Senior Network Consultant, der in einem privaten Briefing mit dem IT-Leiter eines Kunden spricht. Sprechen Sie in britischem Englisch mit einem selbstbewussten, autoritären und konversationellen Ton. Gemäßigtes Tempo, klare Aussprache. Keine Füllwörter. Gelegentliche natürliche Pausen zur Betonung: Willkommen zu diesem technischen Briefing über die Integration von Allied Telesis TQ-Series Access Points mit Purple WiFi. Ich werde Sie durch das gesamte Bereitstellungsszenario führen, von der Weiterleitung zum Captive Portal für Gäste bis hin zur mandantenfähigen PPSK-Isolierung. Am Ende dieses Beitrags werden Sie eine klare Implementierungs-Roadmap haben. [medium pause] Beginnen wir mit dem Kontext. Allied Telesis stellt die TQ-Series her, einschließlich der Wi-Fi 6 Access Points TQ5403 und TQ6702 GEN2. Dies sind Enterprise-Grade APs, auf denen die AlliedWare Plus-Firmware läuft und die in den Bereichen Hotellerie, Einzelhandel und im öffentlichen Sektor weit verbreitet sind. Purple ist eine hardwareunabhängige Cloud-Overlay-Plattform, die an über 80.000 Standorten betrieben wird und im Jahr 2024 440 Millionen Logins verarbeitet hat. Die Integration zwischen diesen beiden Plattformen ist sauber, standardbasiert und einsatzbereit. [medium pause] Das Erste, was die meisten IT-Teams konfigurieren müssen, ist die Weiterleitung zum Captive Portal für Gäste. Der Allied Telesis AP unterstützt drei Captive Portal-Modi: Click-Through, RADIUS-Authentifizierung und External Page Redirect. Für die Integration von Purple verwenden Sie den Modus External Page Redirect. Und so funktioniert das in der Praxis. Sie melden sich in der Geräte-GUI des APs an, navigieren zu Wireless, wählen den entsprechenden VAP aus, gehen zu Advanced Settings und dann auf die Registerkarte Security. Stellen Sie das Captive Portal auf External Page Redirect ein. Im Feld External Page URL geben Sie die URL der Purple-Splash-Page ein, die in Ihrem Purple-Dashboard bereitgestellt wird. Das ist die URL, auf die Ihre Gäste geleitet werden, wenn sie sich zum ersten Mal verbinden. [short pause] Der AP fängt nun das erste HTTP- oder HTTPS-Paket von jedem neuen Client ab und leitet diesen Traffic an Ihre Purple-Splash-Page weiter. Der Gast authentifiziert sich über Purple, und der RADIUS-Server von Purple sendet ein Access-Accept zurück an den AP. Der AP gewährt dann den Netzwerkzugriff. [medium pause] Für die RADIUS-Konfiguration stellt Purple Ihnen eine RADIUS-Server-IP-Adresse, ein Shared Secret und den Authentifizierungs-Port (UDP 1812) zur Verfügung. Das Accounting läuft über UDP 1813. Diese konfigurieren Sie in der AP-GUI unter Network Services und dann RADIUS. Die NAS-ID sollte auf die Management-IP des APs oder einen aussagekräftigen Hostnamen eingestellt werden. RADIUS as a Service von Purple übernimmt das Authentifizierungs-Backend, sodass Sie keine eigene RADIUS-Infrastruktur betreiben müssen. [short pause] Eine wichtige Sache, die Sie richtig konfigurieren müssen, ist der Walled Garden. Bevor sich ein Gast authentifiziert, blockiert der AP den gesamten Datenverkehr mit Ausnahme von Zielen auf der Whitelist. Sie müssen die Plattform-Domains von Purple zum Walled Garden hinzufügen, damit die Splash-Page korrekt geladen wird. Setzen Sie mindestens die Purple-Splash-Page-Domain, alle von Purple für Assets genutzten CDN-Endpunkte und alle von Ihnen aktivierten Social-Login-Anbieter wie Google oder Facebook auf die Whitelist. Dies konfigurieren Sie im selben Panel „VAP Advanced Settings“ unter Walled Garden. [medium pause] Kommen wir nun zu Staff WiFi über 802.1X. Hier konfigurieren Sie WPA Enterprise auf einem separaten VAP. Wählen Sie in der Benutzeroberfläche des AP im Dropdown-Menü „Security“ die Option „WPA Enterprise“ aus und verweisen Sie dann mit der RADIUS-Authentifizierungsgruppe auf Ihren externen RADIUS-Server – in diesem Fall den SecurePass-Dienst von Purple oder Ihren eigenen RADIUS-Server auf Basis von Microsoft Entra ID oder Okta. Mitarbeitergeräte authentifizieren sich über EAP-PEAP mit MSCHAPv2 oder über EAP-TLS mit Zertifikaten in Umgebungen mit höheren Sicherheitsanforderungen. Der AP fungiert als 802.1X-Authenticator, leitet die Anmeldedaten an den RADIUS-Server weiter und setzt die Antwort durch. [short pause] Für die dynamische VLAN-Zuweisung im Mitarbeiternetzwerk aktivieren Sie Dynamic VLAN in den erweiterten Sicherheitseinstellungen des VAPs. Wenn der RADIUS-Server ein Access-Accept zurückgibt, enthält dieses drei Standardattribute: Tunnel-Type (auf VLAN gesetzt), Tunnel-Medium-Type (auf IEEE 802 gesetzt) und Tunnel-Private-Group-Id (auf die VLAN-ID gesetzt). Der AP liest diese Attribute aus und weist das authentifizierte Gerät automatisch dem korrekten VLAN zu. Dies ist der in RFC 3580 definierte Mechanismus, der auf der gesamten Allied Telesis-Hardware konsistent funktioniert. [medium pause] Sprechen wir nun über die interessanteste Funktion für Multi-Tenant-Bereitstellungen: Allied Telesis PPSK oder Private Pre-Shared Key. Dies wird auf anderen Plattformen manchmal als iPSK bezeichnet. Das Konzept ist denkbar einfach. Sie haben eine einzige SSID, aber jeder Mandant oder jede Benutzergruppe erhält ein eindeutiges Passwort (Passphrase). Wenn sich ein Gerät verbindet, sendet der AP diese Passphrase als Passwortfeld in einem RADIUS Access-Request an den RADIUS-Server. Der RADIUS-Server gleicht die Passphrase mit einem Benutzerdatensatz ab und gibt ein Access-Accept mit einem Tunnel-Private-Group-Id-Attribut zurück, das das VLAN für diesen Mandanten angibt. [short pause] In einem gemischt genutzten Gebäude verbindet sich also Mandant A im Ladengeschäft mit seiner Passphrase und landet im VLAN 100. Das Restaurant im Erdgeschoss nutzt eine andere Passphrase und landet im VLAN 300. Das Gäste-WiFi des Gebäudes nutzt eine dritte Passphrase und landet im VLAN 400, in dem das Captive Portal von Purple aktiv ist. All dies läuft über eine einzige SSID. Kein SSID-Wildwuchs. Sauber, skalierbar und einfach zu verwalten. [medium pause] Auf der Purple-Seite konfigurieren Sie die PPSK-Benutzerdatensätze im Purple-Dashboard oder über die RADIUS-as-a-Service-Schnittstelle. Jeder Mandant erhält eine eindeutige Passphrase, die einer VLAN-ID zugeordnet ist. Der RADIUS-Server von Purple übernimmt den Abgleich und gibt die korrekte Tunnel-Private-Group-Id zurück. Wenn Sie den Zugriff eines Mandanten widerrufen müssen, löschen oder deaktivieren Sie dessen PPSK-Datensatz in Purple. Der AP erzwingt die Änderung beim nächsten Authentifizierungsversuch. [medium pause] Lassen Sie mich Ihnen zwei Praxisbeispiele nennen, bei denen dies eine Rolle spielt. Erstens: Ein Tagungshotel mit 250 Zimmern. Das Hotel betreibt drei Netzwerke: ein Gäste-WiFi mit Purple Captive Portal und Social Login, ein Mitarbeiter-WiFi über 802.1X, das über Microsoft Entra ID an Active Directory angebunden ist, und ein Konferenz-Delegierten-Netzwerk für Veranstaltungen. Die Allied Telesis TQ6702 GEN2 APs verwalten alle drei Netzwerke auf separaten VAPs mit separaten VLANs. Purple verwaltet das Gäste-Captive-Portal, sammelt First-Party-Daten für das CRM des Hotels und liefert Analysen zu Hauptnutzungszeiten. Das IT-Team des Hotels verwaltet das Mitarbeiternetzwerk über SecurePass von Purple, ohne einen separaten RADIUS-Server vor Ort betreiben zu müssen. [short pause] Zweites Szenario: Ein Fachmarktzentrum mit 12 unabhängigen Mietern. Der Vermieter möchte jedem Mieter WiFi als Service anbieten, ohne ihnen Zugriff auf den Datenverkehr der anderen zu gewähren. Sie installieren Allied Telesis APs auf dem gesamten Gelände mit einer einzigen SSID. Jeder Mieter erhält einen eindeutigen PPSK. Der RADIUS-Server von Purple ordnet jeden PPSK einem dedizierten VLAN zu. Der Vermieter kann einen neuen Mieter in weniger als zehn Minuten einrichten, indem er einen neuen PPSK-Datensatz in Purple erstellt und die Passphrase an den Mieter übergibt. Es ist keine Neukonfiguration des APs erforderlich. [medium pause] Nun zu einigen Fehlern, die Sie vermeiden sollten. Das häufigste Problem, das wir sehen, sind falsch konfigurierte Walled Gardens. Wenn Sie vergessen, einen Purple-CDN-Endpunkt auf die Whitelist zu setzen, wird das Captive Portal auf bestimmten Geräten nur teilweise geladen oder schlägt ganz fehl. Testen Sie das System vor der Inbetriebnahme mit einem neuen Gerät, das keinen DNS-Cache enthält. Zweitens: Abweichungen beim Shared Secret für RADIUS. Das auf dem AP konfigurierte Secret muss exakt mit dem Secret in der RADIUS-Serverkonfiguration von Purple übereinstimmen. Bereits ein Unterschied von einem einzigen Zeichen führt zu lautlosen Authentifizierungsfehlern. Verwenden Sie einen Passwort-Manager, um das Secret zu generieren und zu speichern. Drittens: Dynamisches VLAN wird nicht aktiviert. Auf Allied Telesis APs ist Dynamic VLAN standardmäßig deaktiviert, selbst wenn WPA Enterprise aktiv ist. Sie müssen es explizit in den erweiterten VAP-Sicherheitseinstellungen aktivieren. Wir sehen regelmäßig, dass dies vergessen wird. Viertens: Konflikt zwischen PPSK- und MAC-Authentifizierung. Wenn Sie die MAC-Authentifizierung auf demselben VAP wie PPSK aktiviert haben, spielt die Reihenfolge der Authentifizierung eine Rolle. Prüfen Sie die AP-Dokumentation für Ihre Firmware-Version, um zu bestätigen, welche Methode Vorrang hat. [medium pause] Kurze Fragen, die ich häufig von IT-Teams erhalte. Kann ich den RADIUS-Server von Purple sowohl für das Gäste-Captive-Portal als auch für das Mitarbeiter-802.1X auf derselben Bereitstellung nutzen? Ja. Der RADIUS as a Service von Purple unterstützt beide Authentifizierungsabläufe. Sie konfigurieren für jeden Anwendungsfall separate RADIUS-Gruppen oder -Richtlinien in Purple. Unterstützen Allied Telesis APs WPA3 mit Captive Portal? Der TQ6702 GEN2 mit der Firmware 5.5.4-2.3 oder neuer unterstützt die WPA3-CCMP-Verschlüsselung. Ein Captive Portal mit externer Weiterleitung läuft jedoch in der Regel auf einer offenen oder WPA2-Personal-SSID. Das 802.1X-Netzwerk für Mitarbeiter kann WPA3 Enterprise nutzen. Was passiert, wenn der Purple RADIUS-Server nicht erreichbar ist? Der AP verweigert neue Authentifizierungsversuche. Bestehende Sitzungen werden fortgesetzt, bis sie das Zeitlimit überschreiten. Für die Redundanz sollten Sie einen sekundären RADIUS-Server in der RADIUS-Gruppe des AP konfigurieren. Die Plattform von Purple bietet eine Betriebszeit von 99,999 %, aber Defence in Depth ist eine bewährte Methode. [medium pause] Zusammenfassend: Die APs der Allied Telesis TQ-Serie lassen sich über drei Hauptmechanismen mit Purple integrieren: externe Captive Portal-Weiterleitung für Gäste-WiFi, WPA-Enterprise mit RADIUS für Mitarbeiter-802.1X und PPSK mit dynamischem VLAN für die Isolierung mehrerer Mandanten. Die benötigten RADIUS-Attribute sind Tunnel-Type VLAN, Tunnel-Medium-Type IEEE 802 und Tunnel-Private-Group-Id, welche die VLAN-ID überträgt. Purple stellt das RADIUS-as-a-Service-Backend, die Splash-Page-Plattform und die Analyse-Ebene bereit. [short pause] Ihre nächsten Schritte: Rufen Sie die Purple RADIUS-Anmeldedaten aus Ihrem Dashboard ab, konfigurieren Sie die externe Seitenweiterleitung auf Ihrem Gäste-VAP, fügen Sie die Walled-Garden-Einträge hinzu, aktivieren Sie Dynamic VLAN auf Ihrem Mitarbeiter-VAP und führen Sie eine Testauthentifizierung für jedes Netzwerksegment durch, bevor Sie live gehen. Wenn Sie PPSK für mehrere Mandanten bereitstellen, planen Sie Ihr VLAN-Nummerierungsschema vor dem Start, da die Änderung von VLAN-IDs nach dem Live-Gang der Mandanten eine Koordination erfordert. [medium pause] Das war das Briefing. Die vollständige Schritt-für-Schritt-Konfigurationsreferenz, das Mermaid-Architekturdiagramm und die RADIUS-Attributtabelle finden Sie im schriftlichen Leitfaden. Vielen Dank für Ihre Aufmerksamkeit.

header_image.png

執行摘要

將 Allied Telesis TQ 系列無線基地台與 Purple 搭配部署,可提供具備高擴充性、安全且高度可配置的網路架構。本整合手冊詳細說明了訪客 WiFi 的外部 Captive Portal 重新導向配置、員工 WiFi 的 802.1X 驗證,以及多租戶網路隔離的私有預共用金鑰 (PPSK) 對應。透過將 Allied Telesis 硬體與 Purple 的 RADIUS 即服務(RADIUS as a Service)結合,您可以集中管理身分識別,而無需在本地部署 RADIUS 伺服器。本指南涵蓋了動態 VLAN 導向所需的特定 RADIUS 屬性、實現無縫登入頁面投遞的 Walled Garden 配置,以及在旅宿、零售和公共部門環境中擴展身分導向網路的最佳實作指南。

技術深入剖析

Allied Telesis 無線基地台(例如 TQ6702 GEN2 與 TQ5403)搭載 AlliedWare Plus 韌體。它們支援強大的企業功能,包括 WPA3、Passpoint (Hotspot 2.0) 以及完整的 RADIUS 整合。與 Purple 整合時,無線基地台充當網路存取伺服器 (NAS) 和 802.1X 驗證器,而 Purple 則作為雲端託管的 RADIUS 伺服器與 Captive Portal 提供者。

訪客 Captive Portal 重新導向

針對訪客 WiFi,無線基地台會攔截未經驗證的用戶端流量,並將 HTTP/HTTPS 請求重新導向至 Purple 登入頁面。這需要將 Captive Portal 模式配置為 External Page Redirect

當訪客連線時,無線基地台會參考其 Walled Garden 配置。Walled Garden 必須將 Purple 的網域、CDN 端點以及任何配置的社群登入提供者(例如 Google Workspace 或 Microsoft Entra ID)加入白名單。訪客在登入頁面上完成驗證流程後,Purple 的 RADIUS 伺服器會向無線基地台傳送 RADIUS Access-Accept 訊息(UDP 連接埠 1812),隨後無線基地台將授予完整的網路存取權限。

透過 RADIUS 進行動態 VLAN 導向

動態 VLAN 分配對於網路分割至關重要。使用 WPA 企業版配置員工 WiFi 時,無線基地台會將 EAP 認證資料轉發至 Purple 的 SecurePass RADIUS 服務。

驗證成功後,Purple RADIUS 伺服器會傳回一個 Access-Accept 封包,其中包含 RFC 3580 中定義的三個標準 IETF RADIUS 屬性:

  1. Tunnel-Type (Attribute 64):設定為 VLAN (13)。
  2. Tunnel-Medium-Type (Attribute 65):設定為 IEEE-802 (6)。
  3. Tunnel-Private-Group-Id (Attribute 81):設定為分配的 VLAN ID(例如 20)。

Allied Telesis AP 會讀取這些屬性,並動態將用戶端裝置分配到指定的 VLAN。**注意:**必須在 Allied Telesis GUI 內的 VAP 進階安全設定中,明確啟用動態 VLAN。

architecture_overview.png

使用 PPSK 的多租戶隔離

個人預共用金鑰 (PPSK) 允許您使用單一 SSID,同時為不同的使用者或租戶分配不同的密碼。這在多住戶單元 (MDU)、共享工作空間和零售園區中非常有效。

當裝置使用特定的 PPSK 進行關聯時,存取點會將密碼傳送到 Purple RADIUS 伺服器。Purple 會將該密碼對應到特定的租戶設定檔,並傳回 Tunnel-Private-Group-Id 屬性。這會將租戶的裝置引導至其專屬的 VLAN,在不廣播多個 SSID 的情況下確保 Layer 2 隔離。

ppsk_vlan_diagram.png

實作指南

請依照以下步驟設定 Allied Telesis 存取點以進行 Purple 整合。

步驟 1:設定 RADIUS 伺服器設定檔

  1. 登入 Allied Telesis AP 裝置 GUI。
  2. 導覽至 Network Services > RADIUS
  3. 使用 Purple 儀表板中提供的 IP 地址新增一個外部 RADIUS 伺服器。
  4. 將驗證連接埠設定為 1812,計費連接埠設定為 1813
  5. 輸入 Purple 提供的確切共用金鑰 (Shared Secret)。
  6. 設定 NAS 識別碼 (NAS Identifier) 以符合 AP 的管理 IP 或主機名稱。
  7. 將帳戶模式設定為 Start-Interim-Stop,並設定 10 分鐘的臨時更新間隔。

步驟 2:設定訪客 WiFi (Captive Portal)

  1. 導覽至 Wireless > Radio1 (或 Radio2)。
  2. 針對目標 VAP (例如 VAP0) 點擊 Edit
  3. 設定 SSID 名稱 (例如 "Guest WiFi")。
  4. 前往 Advanced Settings > Security 頁籤。
  5. 將 Captive Portal 設定為 External Page Redirect
  6. 在 External Page URL 欄位中輸入 Purple 的展示頁面 (splash page) URL。
  7. 在 Walled Garden 下,新增所需的 Purple 網域和社群登入 IP。

步驟 3:設定員工 WiFi (802.1X 和動態 VLAN)

  1. 編輯用於員工 WiFi 的獨立 VAP。
  2. 將安全性設定為 WPA Enterprise
  3. 從 RADIUS Authentication Group 下拉式選單中選擇 Purple RADIUS 伺服器設定檔。
  4. 前往 Advanced Settings > Security
  5. 啟用 Dynamic VLAN
  6. 確保後端網路交換器已設定為將動態分配的 VLAN 幹線 (trunk) 傳輸至 AP 連接埠。

步驟 4:為多租戶設定 PPSK

  1. 編輯預計用於多租戶的 VAP。
  2. 啟用 PPSK (通常與 MAC 驗證或特定的 WPA 設定結合使用,具體取決於韌體版本)。
  3. 確保已選取 RADIUS 伺服器設定檔。
  4. 在 Purple 儀表板中,建立 PPSK 使用者記錄,並將每個密碼對應到正確的 VLAN ID。## 最佳做法
  • Walled Garden 維護:定期審查並更新 Walled Garden 條目。社群登入提供商經常變更其 IP 範圍和 CDN 網域。
  • 備援:務必在 AP 的 RADIUS 群組中設定主要和次要 Purple RADIUS 伺服器 IP 位址,以確保高可用性。
  • 韌體更新:保持 AlliedWare Plus 韌體更新。WPA3 CCMP 支援和進階 PPSK 功能需要 5.5.4-2.3 或更新版本。
  • VLAN Trunking:驗證連接至存取點 (AP) 的交換器連接埠是否已設定為 802.1Q trunk,並允許所有可能由 RADIUS 伺服器動態分配的 VLAN。

疑難排解與風險緩釋

  • 無聲驗證失敗:如果裝置無法連線至 802.1X 或 PPSK 網路,請驗證 RADIUS 共用金鑰。不相符會導致 AP 無聲丟棄 Access-Reject 封包。
  • 歡迎頁面無法載入:如果 Captive Portal 重新導向陷入迴圈或無法載入資源,很可能是 Walled Garden 缺少必要的網域。請檢查瀏覽器的開發者主控台以識別被封鎖的要求。
  • 用戶端被分配到錯誤的 VLAN:如果動態 VLAN 引導失敗,請檢查 VAP 上是否已明確啟用動態 VLAN。使用封包擷取來驗證 Purple 是否有傳回 Tunnel-Private-Group-Id 屬性。

ROI 與商業影響

將 Allied Telesis 與 Purple 整合,可將基礎無線連線轉換為智慧型、數據驅動的平台。

對於 IT 團隊而言,透過 Purple RADIUS 服務進行集中驗證,可消除在邊緣端管理本地 RADIUS 伺服器和 Active Directory 整合的日常開銷。使用 PPSK 可減少 SSID 開銷,從而提高 RF 效能並簡化租戶上架流程。

對於場地營運而言,Captive Portal 可收集經驗證的第一方數據,進而推動 CRM 成長並實現精準行銷。憑藉在 Purple 平台上收集的超過 290 億個數據點,場地業者可獲得有關訪客行為、停留時間和空間利用率的具體分析,直接支援商業目標。

Schlüsseldefinitionen

PPSK (Private Pre-Shared Key)

Ein Sicherheitsmechanismus, bei dem mehrere eindeutige Passphrasen auf einer einzigen SSID verwendet werden können, wobei jede Passphrase bestimmten Netzwerkrichtlinien oder VLANs zugeordnet ist.

Wird in mandantenfähigen Umgebungen verwendet, um einen sicheren, isolierten Netzwerkzugriff zu ermöglichen, ohne mehrere SSIDs auszustrahlen.

Tunnel-Private-Group-Id

RADIUS-Attribut 81, definiert in RFC 2868, das zur Angabe der VLAN-ID verwendet wird, die einem Benutzer oder Gerät nach erfolgreicher Authentifizierung zugewiesen werden soll.

Unerlässlich für das dynamische VLAN-Steering sowohl in 802.1X- als auch in PPSK-Bereitstellungen.

Walled Garden

Eine eingeschränkte Netzwerkumgebung, die nicht authentifizierten Benutzern Zugriff auf eine bestimmte Whitelist von IP-Adressen oder Domains ermöglicht.

Erforderlich für Captive Portals, damit Geräte die Splash-Page laden und sich über Social-Login-Anbieter authentifizieren können, bevor sie vollen Internetzugang erhalten.

RADIUS as a Service

Eine von einem Drittanbieter (wie Purple) verwaltete, in der Cloud gehostete RADIUS-Infrastruktur, die lokale Authentifizierungsserver überflüssig macht.

Vereinfacht 802.1X-Bereitstellungen für verteilte Standorte durch die Zentralisierung des Identitätsmanagements in der Cloud.

Captive Portal

Eine Webseite, die Benutzer anzeigen und mit der sie interagieren müssen, bevor ihnen Zugriff auf ein öffentliches WiFi-Netzwerk gewährt wird.

Wird verwendet, um First-Party-Daten zu erfassen, Nutzungsbedingungen durchzusetzen und das Branding des Standorts anzuzeigen.

VAP (Virtual Access Point)

Eine logische Entität innerhalb eines physischen Access Points, die eine eigene SSID ausstrahlt und ihre eigenen Sicherheits- und Richtlinienkonfigurationen beibehält.

Ermöglicht es einem einzelnen Allied Telesis AP, gleichzeitig Gäste-WiFi, Mitarbeiter-WiFi und IoT-Konnektivität bereitzustellen.

EAP-PEAP

Protected Extensible Authentication Protocol, eine sichere Methode zur Übertragung von Authentifizierungsdaten in einem verschlüsselten TLS-Tunnel.

Das am häufigsten verwendete Authentifizierungsprotokoll für Mitarbeiter-WiFi (802.1X) bei der Überprüfung von Benutzernamen und Passwörtern mit einem Verzeichnis.

Access-Accept

Ein Standard-RADIUS-Paket, das vom Server an den Authentifikator (AP) gesendet wird und anzeigt, dass die Authentifizierung erfolgreich war.

Enthält häufig zusätzliche Attribute wie VLAN-Zuweisungen oder Bandbreitenbeschränkungen zur Durchsetzung von Netzwerkrichtlinien.

Ausgearbeitete Beispiele

Ein Hotel mit 250 Zimmern muss ein sicheres Mitarbeiternetzwerk und ein gebrandetes Gästenetzwerk bereitstellen. Das IT-Team möchte den Mitarbeiterzugriff über Microsoft Entra ID verwalten, ohne einen lokalen RADIUS-Server bereitzustellen, während Gäste die Nutzungsbedingungen über ein Captive Portal akzeptieren müssen.

Stellen Sie Allied Telesis TQ6702 GEN2 APs bereit. Konfigurieren Sie VAP0 als offenes Netzwerk mit dem Captive Portal auf "External Page Redirect", das auf die Purple Splash-Page-URL verweist. Konfigurieren Sie VAP1 mit WPA-Enterprise und verweisen Sie die RADIUS-Authentifizierungsgruppe auf die SecurePass-RADIUS-Server von Purple. Integrieren Sie Purple SecurePass mit Microsoft Entra ID in der Cloud. Aktivieren Sie Dynamic VLAN auf VAP1, sodass Mitarbeiter nach erfolgreicher EAP-Authentifizierung automatisch in das interne VLAN geleitet werden.

Kommentar des Prüfers: Dieser Ansatz nutzt Purple als Cloud-Identity-Broker. Er macht eine lokale RADIUS-Infrastruktur überflüssig und sorgt gleichzeitig für eine strikte Layer-2-Isolierung zwischen dem Gast- und dem Mitarbeiterverkehr mithilfe von standardbasiertem 802.1X und dynamischer VLAN-Zuweisung.

Ein Betreiber eines Fachmarktzentrums möchte 12 unabhängigen Einzelhandelsgeschäften über eine einzige Hardware-Bereitstellung WiFi zur Verfügung stellen. Jedes Geschäft benötigt ein eigenes sicheres, isoliertes Netzwerksegment.

Konfigurieren Sie eine einzelne SSID (z. B. "Retail-Park-Secure") auf den Allied Telesis APs. Aktivieren Sie PPSK (Private Pre-Shared Key) und leiten Sie die Authentifizierung an den Purple-RADIUS-Server weiter. Generieren Sie im Purple-Dashboard ein eindeutiges Passwort für jedes Geschäft und weisen Sie es einer bestimmten VLAN-ID zu (z. B. Geschäft 1 = VLAN 101, Geschäft 2 = VLAN 102). Wenn sich ein Gerät verbindet, sendet der AP das Passwort an Purple, das das Attribut "Tunnel-Private-Group-Id" zurückgibt und das Gerät in das richtige VLAN des Mandanten leitet.

Kommentar des Prüfers: PPSK verhindert eine übermäßige Anzahl von SSIDs, die die RF-Leistung beeinträchtigen würde. Es bietet die Benutzerfreundlichkeit eines einfachen WPA2/WPA3-Passworts und liefert gleichzeitig die Enterprise-Sicherheit und -Segmentierung von 802.1X.

Übungsfragen

Q1. Ein Standort meldet, dass sich Android-Geräte mit dem Gäste-WiFi verbinden und die Splash-Page sehen können, aber Apple iOS-Geräte einen leeren weißen Bildschirm anzeigen. Was ist das wahrscheinlichste Konfigurationsproblem?

Hinweis: Überlegen Sie, wie verschiedene Betriebssysteme Captive Portals erkennen und welche Domains sie erreichen müssen.

Musterlösung anzeigen

Im Walled Garden fehlen wahrscheinlich die spezifischen Domains, die Apple für die Erkennung von Captive Portals verwendet (z. B. captive.apple.com). Wenn der AP diese Domains vor der Authentifizierung blockiert, kann der iOS Captive Network Assistant den Mini-Browser nicht korrekt auslösen.

Q2. Sie haben WPA Enterprise auf dem AP konfiguriert und auf den RADIUS-Server von Purple verwiesen. Die RADIUS-Protokolle zeigen eine erfolgreiche Authentifizierung (Access-Accept), aber das Client-Gerät erhält keine IP-Adresse im erwarteten VLAN. Was sind die zwei wahrscheinlichsten Ursachen?

Hinweis: Überprüfen Sie sowohl die AP-Konfiguration als auch die physische Switch-Port-Konfiguration.

Musterlösung anzeigen
  1. 'Dynamic VLAN' ist in den VAP Advanced Security-Einstellungen auf dem Allied Telesis AP nicht aktiviert. 2. Der Switch-Port, der den AP verbindet, ist nicht als 802.1Q-Trunk konfiguriert, oder das Ziel-VLAN ist auf dem Trunk nicht zugelassen, was verhindert, dass der DHCP-Verkehr den Client erreicht.

Q3. Ein Fachmarktzentrum möchte PPSK für 50 Mandanten bereitstellen. Sie fragen, ob sie 50 separate VAPs erstellen oder ein einzelnes VAP verwenden sollten. Was ist Ihre Empfehlung und warum?

Hinweis: Berücksichtigen Sie die Auswirkungen von Management-Frames auf die drahtlose Sendezeit (Airtime).

Musterlösung anzeigen

Es wird empfohlen, ein einziges VAP mit PPSK zu verwenden. Das Ausstrahlen von 50 separaten SSIDs erzeugt übermäßige Beacon-Frames und Management-Overhead, was die RF-Leistung und die verfügbare Sendezeit drastisch verschlechtert. Eine einzige SSID mit PPSK bietet dieselbe Layer-2-Isolierung über eine dynamische VLAN-Zuweisung ohne die RF-Einbußen.

Weiterlesen in dieser Reihe

Cisco WLC und Catalyst Integration mit Purple WiFi: Schritt-für-Schritt-Anleitung für den Gastzugang

Diese massgebliche Anleitung beschreibt die schrittweise Integration von Cisco Catalyst 9800 WLCs mit Purple WiFi. Sie deckt die externe Web-Authentifizierung für Gäste-Captive Portals, 802.1X EAP-TLS für sicheren Mitarbeiterzugang und Cisco iPSK für die dynamische VLAN-Segmentierung in Mandanten-Umgebungen ab.

Leitfaden lesen →

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Leitfaden lesen →

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.

Leitfaden lesen →