Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

Diese Anleitung beschreibt Schritt für Schritt die Integration von Cisco WLC und Catalyst 9800 Wireless mit Purple. Sie umfasst die Weiterleitung zum Captive Portal für Guest WiFi über Central Web Authentication, sicheres Mitarbeiter-WiFi mit 802.1X EAP-TLS sowie Multi-Tenant-Segmentierung mithilfe von Cisco Identity Pre-Shared Keys (iPSK) mit dynamischer VLAN-Zuweisung. Sie richtet sich an Unternehmensnetzwerkarchitekten und IT-Sicherheitsdirektoren, die Cisco-Infrastrukturen in der Hotellerie, im Einzelhandel und an großen öffentlichen Veranstaltungsorten bereitstellen.

📖 9 Min. Lesezeit📝 2,116 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen beim Purple Technical Briefing. Ich bin Ihr Gastgeber, und heute behandeln wir ein definitives Bereitstellungsszenario für Enterprise-Netzwerkarchitekten: die Integration von Cisco Wireless LAN Controllern und Catalyst 9800-Hardware in die Purple WiFi-Plattform. Wenn Sie die IT für eine Hotelkette, ein Einzelhandelsnetzwerk oder einen großen Veranstaltungsort verwalten, wissen Sie, dass der Verlass auf einfache Pre-Shared Keys ein inakzeptables Sicherheitsrisiko darstellt. Heute skizzieren wir die Schritt-für-Schritt-Architektur zur Segmentierung Ihres Netzwerks, zur Absicherung Ihrer Mitarbeiter und zur Umwandlung Ihres Gäste-WiFi in ein datengesteuertes Asset.

Legen wir den Kontext fest. Eine Enterprise-Wireless-Umgebung muss drei verschiedene Profile verarbeiten: Gäste, Mitarbeiter und Headless- oder Mandantengeräte. Sie können sie nicht gleich behandeln, und Sie können nicht zwanzig verschiedene SSIDs ausstrahlen, um ihnen gerecht zu werden. Die Lösung ist ein einheitlicher Hardware-Footprint, der verschiedene Authentifizierungsmechanismen auf einem einzigen Cisco Catalyst 9800 Wireless LAN Controller nutzt.

Tauchen wir nun in die technische Architektur ein. Die erste Ebene ist das Gäste-WiFi. Das Ziel hierbei ist ein reibungsloser Zugriff kombiniert mit Datenerfassung. Dies erreichen wir über eine offene SSID und Central Web Authentication (CWA). Wenn sich ein Gast verbindet, wendet der Cisco WLC eine Pre-Authentication Access Control List an. Dies ist Ihr Walled Garden. Er blockiert den allgemeinen Internetzugang, lässt aber Datenverkehr zu den Domains von Purple und wichtigen Diensten zu. Wenn der Gast versucht zu surfen, fängt der WLC die HTTP-Anfrage ab und leitet ihn auf die Purple Captive Portal-Splashpage weiter. Sobald sie sich authentifizieren – etwa über ein Registrierungsformular, einen Social Login oder einen Einmalcode – fungiert Purple als RADIUS-Server. Es sendet eine Change of Authorization-Nachricht, bekannt als CoA, an den WLC. Dadurch wird der Client in ein isoliertes Gäste-VLAN verschoben und erhält Internetzugang. Der gesamte Ablauf ist automatisiert und jede Anmeldung wird in der Analyseplattform von Purple erfasst.

Die zweite Ebene ist das Mitarbeiter-WiFi. Für Unternehmensgeräte schreiben wir die 802.1X-Authentifizierung vor. Genauer gesagt EAP-TLS, was für Extensible Authentication Protocol Transport Layer Security steht. Diese Methode verwendet digitale Zertifikate, die über Ihre Mobile Device Management-Plattform – sei es Microsoft Intune, Jamf oder eine andere Lösung – auf den Unternehmensgeräten installiert werden. Der WLC fungiert als Authentifikator und leitet EAP-Nachrichten an den RADIUS-Server weiter. Da wir Zertifikate verwenden, gibt es keine Passwörter, die gestohlen werden können. Wenn ein Gerät verloren geht oder ein Mitarbeiter das Unternehmen verlässt, widerrufen Sie das Zertifikat. Der Zugriff wird sofort gesperrt, ohne dass ein globales Passwort geändert oder andere Benutzer beeinträchtigt werden müssen. EAP-TLS ist der Goldstandard für Enterprise-Sicherheit.

Die dritte Stufe ist Multi-Tenant- oder IoT-WiFi. Denken Sie an Mieter in Einkaufszentren, Mitglieder von Coworking Spaces oder Smart-Building-Sensoren, die 802.1X nicht unterstützen. Hierfür setzen wir Cisco Identity PSK, oder iPSK, ein. Alle verbinden sich mit derselben SSID, aber der RADIUS-Server weist jedem Mieter basierend auf seiner MAC-Adresse ein eindeutiges Passwort und ein eindeutiges VLAN zu. Wenn sich das Gerät eines Mieters verbindet, sendet der WLC eine MAC-Authentifizierungsanfrage an den RADIUS-Server. Der Server gibt den spezifischen PSK für diesen Mieter als Cisco AV-Pair-Attribut zurück, zusammen mit drei Standard-IETF-RADIUS-Attributen, um den Client dynamisch dem richtigen VLAN zuzuweisen. Diese Attribute sind: Tunnel-Type, eingestellt auf VLAN; Tunnel-Medium-Type, eingestellt auf 802; und Tunnel-Private-Group-ID, eingestellt auf die Ziel-VLAN-ID. Der WLC verarbeitet diese Attribute und platziert das Gerät im richtigen isolierten Netzwerksegment. iPSK bietet Segmentierung auf Enterprise-Niveau bei gleichzeitig konsumentenfreundlicher Einfachheit.

Lassen Sie uns nun über Empfehlungen zur Implementierung und die Fallstricke sprechen, die wir in Produktionsumgebungen am häufigsten beobachten.

Der häufigste Fehlerpunkt bei Guest-Bereitstellungen ist die Walled-Garden-ACL. Wenn sich Gäste verbinden, aber die Splash-Page nicht erscheint, überprüfen Sie zuerst Ihre DNS-Konfiguration. Wenn Ihre Pre-Authentication-ACL den UDP-Port 53 blockiert, kann der Client keine Domänennamen auflösen. Das Betriebssystem löst den Captive Portal-Minibrowser nicht aus, und der Gast sieht die Fehlermeldung „Kein Internet“. Lassen Sie DNS-Traffic in Ihrer Walled-Garden-ACL immer explizit zu. Dies ist das mit Abstand häufigste Support-Problem, auf das wir stoßen.

Der zweite Fallstrick betrifft Mitarbeiter-Bereitstellungen. Wenn Sie sich für die Bereitstellung von PEAP-MSCHAPv2 anstelle von EAP-TLS entscheiden, weil Sie noch keine MDM-Lösung zur Verteilung von Zertifikaten haben, müssen Sie Ihre Client-Geräte so konfigurieren, dass sie das Zertifikat des RADIUS-Servers explizit validieren. Dies bedeutet, dass Sie die genaue zu vertrauende Zertifizierungsstelle und den erwarteten Servernamen im WiFi-Profil angeben. Wenn Sie dies dem Endbenutzer zur manuellen Konfiguration überlassen, kann ein Angreifer einen Rogue Access Point einrichten, ein gefälschtes Zertifikat vorlegen und Unternehmens-Anmeldedaten abgreifen. Dies ist kein theoretischer Angriff. Es handelt sich um eine gut dokumentierte, reale Bedrohung. Erzwingen Sie die Zertifikatsvalidierung über Gruppenrichtlinien für Windows-Geräte und über MDM-Profile für macOS und mobile Geräte.

Der dritte Fallstrick liegt bei iPSK-Bereitstellungen. Wenn sich ein Client verbindet, aber das falsche VLAN zugewiesen bekommt oder die Verbindung ganz fehlschlägt, ist die wahrscheinlichste Ursache, dass die im Attribut Tunnel-Private-Group-ID angegebene Ziel-VLAN-ID auf dem WLC nicht existiert. Das VLAN muss auf dem Controller erstellt und aktiv sein, bevor der RADIUS-Server Clients dorthin steuern kann. Verwenden Sie den Befehl „debug radius“ auf dem WLC, um zu überprüfen, ob die Attribute vom RADIUS-Server korrekt empfangen werden.

Lassen Sie uns nun eine schnelle Fragerunde zu den Fragen durchführen, die wir am häufigsten hören.

Frage eins: Kann ich anstelle von iPSK auch MAC Authentication Bypass für IoT-Geräte verwenden?

Das ist zwar möglich, aber nicht empfehlenswert. MAC-Adressen werden im Klartext übertragen und lassen sich spielend leicht fälschen (Spoofing). MAC Authentication Bypass bietet lediglich eine Geräteidentifikation, keine echte Sicherheit. iPSK bietet echte kryptografische Sicherheit für Headless-Geräte. Wenn das Gerät irgendeine Form von PSK unterstützt, sollten Sie iPSK verwenden.

Frage zwei: Unterstützt Purple Cisco Catalyst 9800 IOS-XE-Controller?

Ja. Purple unterstützt moderne Catalyst 9800 IOS-XE-Controller sowie ältere AireOS WLCs in vollem Umfang. Die RADIUS- und Change of Authorization-Integration ist für beide Plattformen vollständig validiert.

Frage drei: Wie handhabe ich die Redundanz von RADIUS-Servern?

Konfigurieren Sie in Ihren WLC-AAA-Methodenlisten immer sowohl einen primären als auch einen sekundären RADIUS-Server. Der WLC führt automatisch ein Failover auf den sekundären Server durch, wenn der primäre nicht innerhalb des konfigurierten Timeouts antwortet. Purple stellt genau für diesen Zweck zwei RADIUS-Server-IP-Adressen bereit. Richten Sie in einer Produktionsumgebung niemals nur einen einzelnen RADIUS-Server ein.

Frage vier: Welche RADIUS-Portnummern verwendet Purple?

Purple verwendet UDP-Port 1812 für die Authentifizierung und UDP-Port 1813 für das Accounting. Dies sind die von der IANA registrierten Standardports für RADIUS, wie in RFC 2865 und RFC 2866 definiert.

Zusammenfassend die wichtigsten Erkenntnisse des heutigen Briefings: Überprüfen Sie Ihre aktuelle Wireless-Architektur. Wenn Sie gemeinsame Passwörter für Mitarbeiter verwenden, planen Sie eine Migration auf 802.1X. Wenn Sie mehrere SSIDs für verschiedene Mandanten ausstrahlen, konsolidieren Sie diese mithilfe von Cisco iPSK. Wenn Ihr Gäste-WiFi lediglich ein offenes Netzwerk ohne Datenerfassung ist, integrieren Sie es mit Purple, um First-Party-Daten zu erfassen, den Marketing-ROI (Return on Investment) zu steigern und die Einhaltung der GDPR- und PCI-DSS-Anforderungen zu gewährleisten.

Durch die Kombination der Enterprise-Infrastruktur von Cisco mit dem Cloud-Overlay von Purple bieten Sie an Ihrem Standort eine sichere, segmentierte und intelligente Konnektivität. Purple ist an mehr als 80.000 Live-Standorten im Einsatz und verzeichnete im Jahr 2024 rund 440 Millionen Logins. Die Plattform ist hardwareunabhängig, ISO 27001-zertifiziert und für den Unternehmenseinsatz (Enterprise Scale) konzipiert.

Ihr nächster Schritt ist klar. Lesen Sie die vollständige Schritt-für-Schritt-Konfigurationsanleitung auf der Purple-Website, rufen Sie Ihre RADIUS-Server-Anmeldedaten im Purple-Portal ab und beginnen Sie noch heute mit der Integration in Ihren Cisco WLC. Detaillierte Konfigurationsanleitungen und hardwarespezifische Dokumentationen finden Sie im Purple-Supportportal unter support dot purple dot ai.

Vielen Dank, dass Sie dieses Purple Technical Briefing verfolgt haben. Bis zum nächsten Mal – bleiben Sie sicher.

Wichtigste Erkenntnisse

✓Ersetzen Sie unsichere, gemeinsam genutzte Pre-Shared Keys durch eine dreistufige Architektur: Guest WiFi über Captive Portal, Mitarbeiter-WiFi über 802.1X EAP-TLS und Mandanten-/IoT-WiFi über Cisco iPSK.
✓Integrieren Sie Cisco WLC mit Purple mithilfe von Central Web Authentication (CWA) und RADIUS CoA, um das Guest-Onboarding zu automatisieren und First-Party-Daten im großen Stil zu erfassen.
✓Konfigurieren Sie präzise Pre-Authentication ACLs (Walled Garden) auf dem WLC, die DNS (UDP 53) immer zulassen, da andernfalls die Weiterleitung zum Captive Portal fehlschlägt.
✓Stellen Sie EAP-TLS für das Mitarbeiter-WiFi bereit, um Passwörter vollständig zu eliminieren und sich auf über MDM verteilte digitale Zertifikate zu verlassen, um ein Höchstmaß an Sicherheit zu gewährleisten.
✓Verwenden Sie Cisco iPSK mit dynamischer VLAN-Zuweisung (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID), um Mandanten- und IoT-Umgebungen über eine einzige SSID zu segmentieren.
✓Erzwingen Sie bei der Verwendung von PEAP-MSCHAPv2 immer die Validierung des RADIUS-Serverzertifikats auf Client-Geräten, um den Diebstahl von Anmeldedaten über betrügerische Access Points zu verhindern.
✓Purple ist an über 80.000 Standorten im Einsatz, nach ISO 27001 und GDPR zertifiziert und bietet eine redundante RADIUS-Infrastruktur – konfigurieren Sie sowohl primäre als auch sekundäre Server auf dem WLC.

Executive Summary

Drahtlose Netzwerke in Unternehmen müssen verschiedene Benutzergruppen gleichzeitig bedienen: Gäste, die einen reibungslosen Internetzugang benötigen, Mitarbeiter, die sicheren Zugriff auf Unternehmensressourcen erfordern, und Headless- oder Mandantengeräte, die voneinander isoliert sein müssen. Die Verwendung eines einzigen gemeinsam genutzten Pre-Shared Key für eine dieser Gruppen stellt ein Sicherheitsrisiko dar. Ein einziger kompromittierter Anmeldeschnittstelle gefährdet das gesamte Segment, und das Entziehen des Zugriffs erfordert die Änderung eines globalen Passworts, was jedes Gerät im Netzwerk beeinträchtigt.

Dieser Leitfaden beschreibt die Integration von Cisco Wireless LAN Controllern (WLC) und Catalyst 9800-Hardware mit dem Cloud-Overlay von Purple. Wir bieten eine Schritt-für-Schritt-Konfiguration für drei verschiedene Authentifizierungsstufen: ein offenes Guest WiFi -Netzwerk mit Captive Portal-Weiterleitung powered by Purple, ein sicheres Mitarbeiter-WiFi-Netzwerk mit 802.1X EAP-TLS-Zertifikatsauthentifizierung und eine Multi-Tenant-WiFi-Umgebung mit Cisco Identity Pre-Shared Keys (iPSK) mit dynamischer VLAN-Zuweisung. Durch den Einsatz dieser Architektur isolieren Sie den Datenverkehr von Unternehmensressourcen und Besuchern, automatisieren die identitätsbasierte Zugriffskontrolle und erfassen First-Party-Daten über die WiFi Analytics -Plattform von Purple. Purple ist an über 80.000 Live-Standorten im Einsatz und verzeichnete im Jahr 2024 440 Millionen Logins (interne Daten von Purple), was es zu einem bewährten Cloud-Overlay für Cisco-Infrastrukturen im großen Stil macht.

Technische Detailanalyse: Die Drei-Stufen-Architektur

Eine moderne drahtlose Unternehmensbereitstellung auf Cisco-Hardware muss auf unterschiedliche Benutzerprofile mit abweichenden Sicherheits- und Zugriffsanforderungen eingehen. Die Integration von Cisco WLC und Purple ermöglicht es, mit einer einheitlichen Hardware-Infrastruktur diese Profile über verschiedene Authentifizierungsmechanismen zu bedienen – alle verwaltet von einem einzigen Catalyst 9800 Controller.

Stufe 1: Guest WiFi - Central Web Authentication (CWA)

Für Besucher in den Bereichen Hospitality und Retail ist das Ziel eine reibungslose Registrierung kombiniert mit konformer Datenerfassung. Dies wird durch eine offene SSID in Verbindung mit Central Web Authentication (CWA) erreicht. Wenn sich ein Gast verbindet, wendet der Cisco WLC eine Pre-Authentication Access Control List (ACL) an – den Walled Garden. Diese ACL blockiert den allgemeinen Internetverkehr, während sie den Datenverkehr zu den Captive Portal-Domains von Purple, DNS und Social-Login-Endpunkten zulässt.

Wenn der Gast versucht, im Internet zu surfen, fängt der WLC die HTTP-Anfrage ab und leitet sie auf die Purple Splash Page um. Der Gast authentifiziert sich über die von ihm gewählte Methode (Social Login, E-Mail-Registrierung oder Gutscheincode). Purple fungiert dann als RADIUS-Server und sendet eine RADIUS Change of Authorization (CoA)-Nachricht zurück an den WLC. Die CoA weist den WLC an, den Client von der Vor-Authentifizierungsphase in eine Nach-Authentifizierungsphase in einem isolierten Gast-VLAN zu verschieben, wodurch der Internetzugang gewährt wird. Jede Anmeldung wird in der Analyseplattform von Purple aufgezeichnet und erfasst Erstanbieterdaten in Übereinstimmung mit der GDPR und dem CCPA.

Tier 2: Staff WiFi - 802.1X EAP-TLS

Unternehmensgeräte erfordern ein Höchstmaß an Sicherheit. IEEE 802.1X definiert die portbasierte Netzwerkzugriffskontrolle (PNAC) und bietet in Kombination mit EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) eine zertifikatsbasierte Authentifizierung, die Passwörter vollständig überflüssig macht. Digitale Zertifikate werden über ein Mobile Device Management (MDM) – wie Microsoft Intune, Jamf oder ähnliche – auf den Unternehmensgeräten bereitgestellt. Der Cisco WLC fungiert als Authenticator und leitet EAP-Nachrichten zwischen dem Supplicant (Gerät) und dem RADIUS-Server weiter. Der RADIUS-Server validiert das Zertifikat und gibt ein Access-Accept mit optionalen Attributen für die VLAN-Zuweisung zurück.

Da die Authentifizierung auf Zertifikaten und nicht auf Passwörtern basiert, gibt es keine Anmeldedaten, die gestohlen werden können. Wenn ein Gerät verloren geht oder ein Mitarbeiter das Unternehmen verlässt, widerrufen Sie einfach das Zertifikat. Der Zugriff wird sofort beendet, ohne dass andere Benutzer beeinträchtigt werden. Für eine umfassende Darstellung von Sicherheitsstandards für Unternehmen, einschließlich WPA3 und Zero Trust, lesen Sie unseren Leitfaden über Enterprise WiFi Security: A Complete Guide for 2026 .

Tier 3: Multi-Tenant WiFi - Cisco iPSK und dynamische VLAN-Zuweisung

In Umgebungen wie Studentenwohnheimen, Coworking Spaces oder Einkaufszentren benötigen Sie private, segmentierte Netzwerke für verschiedene Mieter, ohne Dutzende von SSIDs auszustrahlen. Cisco Identity PSK (iPSK) löst dieses Problem. Alle Mieter verbinden sich mit einer einzigen SSID. Der WLC sendet für jedes sich verbindende Gerät eine MAC-Authentifizierungsanfrage an den RADIUS-Server. Der RADIUS-Server gibt den spezifischen PSK für diesen Mieter als cisco-av-pair-Attribut zurück, zusammen mit standardmäßigen IETF-RADIUS-Attributen, um den Client dynamisch dem richtigen VLAN zuzuweisen.

Die drei IETF-RADIUS-Attribute, die die dynamische VLAN-Zuweisung steuern, sind:

RADIUS-Attribut	ID	Wert
Tunnel-Type	64	VLAN
Tunnel-Medium-Type	65	802
Tunnel-Private-Group-ID	81	Ziel-VLAN-ID (z. B. 31)

Die Tunnel-Private-Group-ID wird als String codiert, wie in RFC 2868 definiert. Die VLAN-ID muss auf dem WLC existieren, damit die Zuweisung erfolgreich ist.

Implementierungsleitfaden: Cisco Catalyst 9800 WLC Konfiguration

Die folgenden Schritte beschreiben die Konfiguration eines Cisco Catalyst 9800 WLC mit IOS-XE zur Integration mit Purple für die Weiterleitung von Guest WiFi. Für ältere AireOS WLC-Bereitstellungen sind die entsprechenden Einstellungen im Purple-Supportportal verfügbar.

Schritt 1: RADIUS-Authentifizierung und -Accounting konfigurieren

Sie müssen den WLC auf die RADIUS-Server von Purple verweisen, um die Gast-Authentifizierung und das Sitzungs-Accounting abzuwickeln.

Navigieren Sie zu Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add.
Geben Sie die IP-Adresse des primären Purple RADIUS-Servers ein, setzen Sie den auth-port auf 1812, den acct-port auf 1813 und geben Sie das Shared Secret aus dem Purple-Portal ein.
Aktivieren Sie Support for CoA – dies ist für die Weiterleitung zum Captive Portal zwingend erforderlich.
Wiederholen Sie den Vorgang für den sekundären Purple RADIUS-Server.
Navigieren Sie zu RADIUS > Server Groups > + Add und erstellen Sie eine Gruppe, die beide Server enthält.
Navigieren Sie zu AAA Method List > Authorization > + Add, setzen Sie den Typ auf network und verweisen Sie auf die RADIUS-Servergruppe.
Navigieren Sie zu AAA Method List > Accounting > + Add, setzen Sie den Typ auf identity und verweisen Sie auf dieselbe Gruppe.

Die entsprechenden CLI-Befehle unter IOS-XE lauten:

radius server Purple-Primary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
radius server Purple-Secondary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
aaa group server radius Purple-RADIUS-Group
 server name Purple-Primary
 server name Purple-Secondary
!
aaa authorization network Purple-Authz group Purple-RADIUS-Group
aaa accounting identity Purple-Acct start-stop group Purple-RADIUS-Group

Schritt 2: Pre-Authentication ACL (Walled Garden) definieren

Die Pre-Authentication ACL erlaubt den Datenverkehr zur Splash Page von Purple und zu wichtigen Diensten, bevor sich der Benutzer authentifiziert. Dies ist der Walled Garden.

Navigieren Sie zu Configuration > Security > ACL > + Add.
Erstellen Sie eine IPv4 Extended ACL mit dem Namen Purple_Guest_Walled_Garden.
Fügen Sie Regeln hinzu, um den Datenverkehr zur Management-IP des WLC und zu den IP-Adressen der RADIUS-Server zu verweigern (deny).
Fügen Sie Regeln hinzu, um DNS (UDP-Port 53) zu Ihren DNS-Servern zuzulassen (permit).
Fügen Sie Regeln hinzu, um den Datenverkehr zu den Walled Garden IP-Bereichen und Domains von Purple zuzulassen (permit) (die aktuelle Liste für Ihren spezifischen Hardwaretyp erhalten Sie im Purple-Supportportal).
Fügen Sie eine abschließende permit ip any any Regel hinzu – der WLC leitet den erlaubten Datenverkehr zur Verarbeitung des Portals an die CPU weiter.

Schritt 3: Gast-WLAN konfigurieren

Navigieren Sie zu Configuration > Tags & Profiles > WLANs > + Add.
Erstellen Sie ein WLAN namens Guest-WiFi mit Ihrer gewählten SSID.
Setzen Sie unter Security > Layer 2 die Sicherheit auf None (Open).
Aktivieren Sie unter Security > Layer 3 die Option Web Policy und setzen Sie den Web-Auth-Typ auf External.
Geben Sie Ihre Purple-Zugriffs-URL in das Redirect-Feld ein.
Wenden Sie die ACL Purple_Guest_Walled_Garden an.
Weisen Sie unter Security > AAA Servers die Purple RADIUS-Server sowohl der Authentifizierung als auch dem Accounting zu.### Schritt 4: Richtlinienprofil konfigurieren
Navigieren Sie zu Configuration > Tags & Profiles > Policy > + Add.
Weisen Sie unter Access Policies das VLAN 20 (oder Ihr designiertes Gast-VLAN) zu.
Aktivieren Sie unter Advanced die Optionen Allow AAA Override und NAC State.
Weisen Sie die Purple-Accounting-Methodenliste zu.

Das CLI-Äquivalent:

wireless profile policy Guest-Policy
 aaa-override
 nac
 vlan 20
 accounting-list Purple-Acct
 no shutdown
!
wireless tag policy Guest-Policy-Tag
 wlan Guest-WiFi policy Guest-Policy

Schritt 5: iPSK für Multi-Tenant- oder IoT-Bereitstellungen konfigurieren

Für iPSK unterscheidet sich die WLAN-Konfiguration von der Gast-Einrichtung. Das WLAN verwendet WPA2-PSK mit aktivierter MAC-Filterung, und das Richtlinienprofil verfügt über ein aktives AAA-Override, um den client-spezifischen PSK und das VLAN vom RADIUS-Server zu akzeptieren.

wlan Tenant-WiFi 2 Tenant-WiFi
 mac-filtering Purple-Authz
 security wpa psk set-key ascii 0 DefaultKey123
 no security wpa akm dot1x
 security wpa akm psk
 peer-blocking allow-private-group
 no shutdown
!
wireless profile policy Tenant-Policy
 aaa-override
 accounting-list Purple-Acct
 vlan 30
 no shutdown

Der RADIUS-Server (konfiguriert in Purple oder Ihrer RADIUS-Plattform) gibt die folgenden Attribute pro Mandantengruppe zurück:

cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID =

Best Practices

Die Einhaltung etablierter Standards gewährleistet Stabilität, Sicherheit und Compliance in Ihrer gesamten Bereitstellung.

Erzwingen Sie eine strenge Zertifikatsvalidierung. Konfigurieren Sie bei der Bereitstellung von 802.1X Client-Geräte über MDM so, dass sie der Zertifizierungsstelle Ihres RADIUS-Servers explizit vertrauen, und geben Sie den erwarteten Servernamen an. Wird dies nicht erzwungen, sind Clients anfällig für Angriffe durch gefälschte Access Points (Rogue Access Points), bei denen ein Angreifer ein gefälschtes Zertifikat vorlegt, um Anmeldedaten abzufangen. Dies ist eine zwingende Anforderung, keine Empfehlung.

Isolieren Sie den Gast-Datenverkehr auf der Netzwerkschicht. Gast-WiFi muss in einem dedizierten VLAN enden, das durch eine Firewall von allen Unternehmensressourcen getrennt ist. PCI DSS 4.0 erfordert, dass Karteninhaber-Datenumgebungen von öffentlichen Netzwerken isoliert sind. Ein Gast in VLAN 20 darf keine Route zum Unternehmensnetzwerk in VLAN 10 haben.

Verwenden Sie iPSK für IoT-Geräte, nicht MAC Authentication Bypass. MAC-Adressen werden im Klartext übertragen und sind leicht zu fälschen. iPSK bietet kryptografische Sicherheit für kopflose (headless) Geräte. Weitere Informationen dazu, wie Displays und IoT-Geräte mit drahtlosen Protokollen interagieren, finden Sie unter What Is Wireless Display: Protocols & Best Practices 2026 .

Definieren Sie klare Nutzungsbedingungen. Ihr Captive Portal muss eine Vereinbarung zu den Nutzungsbedingungen anzeigen, bevor der Zugriff gewährt wird. Dies ist eine GDPR-Anforderung für die Datenerfassung und eine rechtliche Notwendigkeit für Netzwerknutzungsrichtlinien. Für interne Mitarbeiternetzwerke lesen Sie Staff WiFi Terms and Conditions: Legal and Compliance Essentials .Implementieren Sie eine RADIUS-Redundanz. Konfigurieren Sie immer einen primären und einen sekundären RADIUS-Server. Purple stellt zu diesem Zweck zwei Server-IP-Adressen bereit. Der Ausfall eines einzelnen RADIUS-Servers verhindert alle Gäste-Logins.

Fehlerbehebung und Risikominderung

Selbst bei sorgfältiger Konfiguration treten Integrationsprobleme auf. Gehen Sie die häufigsten Fehlerursachen systematisch an, bevor Sie eskalieren.

Problem: Gäste stellen eine Verbindung her, aber die Splash Page wird nicht angezeigt.

Dies ist das häufigste Problem. Die Pre-Authentication-ACL blockiert DNS. Ohne DNS kann der Client die ursprüngliche HTTP-Anfrage nicht auflösen und das Betriebssystem löst den Captive Portal-Minibrowser nicht aus. Stellen Sie sicher, dass der UDP-Port 53 zu Ihren DNS-Servern in der Walled-Garden-ACL freigegeben ist. Führen Sie auf dem WLC show wireless client summary aus, um zu bestätigen, dass sich der Client im Status Webauth Pending und nicht im Status Run befindet.

Problem: iPSK-Clients können keine Verbindung herstellen oder landen im falschen VLAN.

Das in Tunnel-Private-Group-ID angegebene VLAN existiert nicht auf dem WLC, oder die cisco-av-pair-Attribute sind fehlerhaft. Führen Sie auf dem WLC debug radius all aus, um die rohe RADIUS-Antwort zu prüfen. Stellen Sie sicher, dass die VLAN-ID unter Konfiguration > Layer 2 > VLAN > VLAN-Liste angelegt ist.

Problem: 802.1X-Mitarbeiter-Clients schlagen sporadisch bei der Authentifizierung fehl.

Dies liegt in der Regel an einem RADIUS-Server-Timeout oder einem Zertifikats-Vertrauensproblem auf dem Client. Überprüfen Sie die RADIUS-Serverprotokolle auf Access-Reject-Meldungen. Stellen Sie auf Windows-Clients sicher, dass das WiFi-Profil so konfiguriert ist, dass es das Serverzertifikat validiert und die korrekte vertrauenswürdige CA angibt.

Problem: CoA von Purple wird vom WLC nicht verarbeitet.

Das gemeinsame CoA-Geheimnis (Shared Secret) muss mit dem auf dem WLC konfigurierten gemeinsamen RADIUS-Geheimnis übereinstimmen. Bei IOS-XE 17.4 und höher wird der CoA-Schlüssel separat vom Shared Secret konfiguriert. Stellen Sie sicher, dass beide mit den Werten im Purple-Portal übereinstimmen.

ROI und geschäftlicher Nutzen

Der Übergang von einfachen PSK-Netzwerken zu einer strukturierten, identitätsbasierten Architektur mit Purple liefert messbare Geschäftsergebnisse in den Branchen Hotellerie , Einzelhandel , Gesundheitswesen und Transportwesen .

Erstens eliminiert die Architektur die Betriebskosten für die Verwaltung gemeinsam genutzter Passwörter. Wenn Mitarbeiter das Unternehmen verlassen, widerrufen Sie deren Zertifikat. Sie müssen nicht ein globales Passwort ändern und jedes Gerät im gesamten Bestand aktualisieren. Zweitens verwandelt die Integration mit dem Captive Portal von Purple ein IT-Kostenzentrum in einen Umsatztreiber. Die Plattform von Purple erfasst bei jeder Anmeldung DSGVO-konforme First-Party-Daten und ermöglicht so automatisierte Marketingkampagnen und Besucheranalysen. Mit 29 Milliarden erfassten Datenpunkten im gesamten Purple-Netzwerk (interne Daten von Purple) bietet die Plattform umsetzbare Einblicke in das Besucherverhalten, die Verweildauer und die Wiederkehrraten.

Für Betreiber von Veranstaltungsorten, die Umfragen zur Zufriedenheit der Besucher durchführen, lässt sich die Purple-Plattform direkt in Forschungs-Workflows integrieren. Siehe Design of a Survey: A Practical Guide for Venues für eine Anleitung zur Strukturierung effektiver Standort-Umfragen, die über das Captive Portal bereitgestellt werden.

Durch die Integration der Enterprise-Hardware von Cisco mit dem Cloud-Overlay von Purple erhalten Sie ein sicheres, skalierbares Netzwerk, das aktiv zu den geschäftlichen Zielen des Veranstaltungsorts beiträgt. Purple ist ISO 27001-zertifiziert, GDPR- und CCPA-konform, Cyber Essentials-zertifiziert und als B Corp zertifiziert – und erfüllt damit die Compliance-Anforderungen von Einkaufsteams in Unternehmen.

Schlüsseldefinitionen

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Abrechnung (AAA) für den Netzwerkzugriff bereitstellt. Definiert in RFC 2865 und RFC 2866.

IT-Teams konfigurieren den Cisco WLC so, dass er Client-Anmeldedaten an den RADIUS-Server weiterleitet, der diese mit einem Verzeichnis abgleicht und eine Access-Accept- oder Access-Reject-Antwort zusammen mit Richtlinienattributen zurückgibt.

Captive Portal

Eine Webseite, die ein Benutzer eines öffentlich zugänglichen Netzwerks anzeigen und mit der er interagieren muss, bevor der Internetzugang gewährt wird. Implementiert über HTTP-Redirection durch das Netzwerkzugriffsgerät.

Wird in Guest-WiFi-Bereitstellungen verwendet, um Besucherdaten zu erfassen, Nutzungsbedingungen zu präsentieren oder Marken-Inhalte anzuzeigen, bevor der Internetzugang freigegeben wird. Purple stellt die gehostete Captive Portal-Infrastruktur bereit.

iPSK (Identity Pre-Shared Key)

Eine Cisco-Funktion, mit der verschiedenen Benutzern oder Gerätegruppen auf derselben SSID eindeutige Pre-Shared Keys zugewiesen werden können, wobei der PSK pro Client von einem RADIUS-Server bereitgestellt wird.

Unerlässlich für IoT-Geräte oder Multi-Tenant-Umgebungen, in denen 802.1X nicht machbar ist, aber eine Netzwerksegmentierung erforderlich ist. Macht die Ausstrahlung mehrerer SSIDs überflüssig.

IEEE 802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle (PNAC). Er bietet einen Authentifizierungsmechanismus, der jeglichen Datenverkehr von einem Gerät blockiert, bis der RADIUS-Server die Autorisierung bestätigt hat.

Das Fundament des Mitarbeiter-WiFi in Unternehmen, das sicherstellt, dass nur autorisierte Firmengeräte mit gültigen Anmeldedaten oder Zertifikaten auf interne Ressourcen zugreifen können.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Eine zertifikatsbasierte Authentifizierungsmethode, die digitale Zertifikate sowohl auf dem RADIUS-Server als auch auf dem Client-Gerät erfordert und Passwörter vollständig überflüssig macht.

Die sicherste Methode zur Authentifizierung von Unternehmensgeräten. Zertifikate werden über MDM bereitgestellt. Der Zugriff wird durch Ungültigmachen des Zertifikats entzogen, nicht durch Ändern eines gemeinsam genutzten Passworts.

Walled garden

Eine begrenzte Netzwerkumgebung, die den Zugriff des Benutzers auf Webinhalte kontrolliert, bevor er sich vollständig authentifiziert hat. Implementiert als Pre-Authentication-ACL auf dem WLC.

Auf dem Cisco WLC konfiguriert, um den Zugriff auf die Purple-Splash-Page, DNS und Social-Login-Anbieter zu ermöglichen, bevor dem Gast der vollständige Internetzugang gewährt wird.

Dynamische VLAN-Zuweisung

Der Prozess der automatischen Platzierung eines verbundenen Geräts in einem bestimmten virtuellen LAN basierend auf RADIUS-Autorisierungsattributen, die zum Zeitpunkt der Authentifizierung zurückgegeben werden.

Stellt sicher, dass Mitarbeiter, Gäste und IoT-Geräte bei der Verbindung automatisch auf isolierte Netzwerksegmente verteilt werden, ohne dass eine manuelle Konfiguration pro Gerät erforderlich ist.

Change of Authorization (CoA)

Eine RADIUS-Erweiterung (RFC 5176), die es dem RADIUS-Server ermöglicht, die Sitzungsautorisierungsattribute eines bereits verbundenen Clients dynamisch zu ändern.

Erforderlich für Captive Portals. Sobald sich der Gast auf der Purple-Splash-Page authentifiziert, sendet Purple eine CoA-Nachricht an den WLC, um den Client aus dem Pre-Authentication-Walled-Garden-Status in den vollständigen Internetzugang zu überführen.

Central Web Authentication (CWA)

Eine Cisco-Authentifizierungsmethode, bei der der RADIUS-Server (und nicht der WLC) das Web-Authentifizierungsportal hostet oder dorthin weiterleitet, was cloud-gehostete Captive Portal-Lösungen ermöglicht.

Wird verwendet, um den Cisco WLC in das cloud-gehostete Captive Portal von Purple zu integrieren, sodass Purple das Authentifizierungserlebnis der Gäste und die Datenerfassung verwalten kann.

Ausgearbeitete Beispiele

Ein großes Einkaufszentrum muss 50 Einzelhandelsmietern ein sicheres, privates WiFi über einen einzigen Cisco Catalyst 9800 WLC und eine einzige Broadcast-SSID zur Verfügung stellen. Jeder Mieter muss von den Geräten aller anderen Mieter isoliert sein. Wie lässt sich dies erreichen, ohne 50 separate SSIDs auszustrahlen?

Das IT-Team implementiert Cisco iPSK. Es konfiguriert eine einzelne SSID mit dem Namen "Mall-Tenant-WiFi" mit aktiviertem WPA2-PSK und MAC-Filterung. Im RADIUS-Server erstellen sie 50 Endpunkt-Identitätsgruppen, eine pro Mieter. Jeder Gruppe wird ein eindeutiger PSK über das Attribut cisco-av-pair psk= und eine eindeutige VLAN-ID über das Attribut "IETF Tunnel-Private-Group-ID" zugewiesen. Wenn sich das Point-of-Sale-Gerät eines Einzelhandelsmieters mit seinem spezifischen Passwort verbindet, sendet der WLC eine MAC-Authentifizierungsanfrage an den RADIUS-Server. Der Server gleicht die MAC-Adresse mit der Gruppe des Mieters ab und gibt den PSK sowie die VLAN-Zuweisung zurück. Der WLC verarbeitet die Attribute, validiert den PSK und platziert das Gerät im isolierten VLAN des Mieters. Die Einstellung peer-blocking allow-private-group stellt sicher, dass Geräte, die denselben PSK nutzen, miteinander kommunizieren können, während Geräte mit unterschiedlichen PSKs von der mieterübergreifenden Kommunikation ausgeschlossen sind.

Kommentar des Prüfers: Dieser Ansatz lässt sich effizient skalieren. Die Ausstrahlung von 50 separaten SSIDs würde in einer dichten Umgebung zu schweren Co-Channel-Interferenzen führen und die Leistung für jeden Benutzer beeinträchtigen. Jede zusätzliche SSID verbraucht Sendezeit durch Management-Frames. iPSK bietet die Sicherheit und Segmentierung von 50 separaten Netzwerken bei der HF-Effizienz von einem. Der Nachteil ist, dass der RADIUS-Server zu einer kritischen Abhängigkeit wird – stellen Sie sicher, dass er hochverfügbar ist.

Ein Premier Inn Hotel mit 300 Zimmern migriert von lokalen WLC-Gastkonten zum Cloud Captive Portal von Purple. Nach dem Anwenden der Konfiguration berichten Gäste, dass sie sich mit der WiFi SSID verbinden, eine IP-Adresse erhalten, ihre Geräte jedoch "Kein Internet" anzeigen und die Splash-Page nie erscheint. Wie sieht der Diagnoseprozess aus?

Schritt 1: Überprüfen Sie den Client-Status auf dem WLC mit show wireless client detail <mac-address>. Der Client sollte sich im Status "Webauth Pending" befinden. Wenn er "Run" anzeigt, ist die Pre-Authentication-ACL nicht korrekt angewendet. Schritt 2: Überprüfen Sie die Pre-Authentication-ACL. Die häufigste Ursache für dieses Symptom ist, dass die ACL DNS (UDP-Port 53) blockiert. Ohne DNS kann der Client keine Domäne auflösen, und der Captive Portal-Erkennungsmechanismus des Betriebssystems schlägt geräuschlos fehl. Fügen Sie eine explizite Erlaubnisregel für UDP-Port 53 zu den DNS-Server-IPs des Veranstaltungsorts hinzu. Schritt 3: Verifizieren Sie, dass die Walled-Garden-Domains von Purple in der ACL zulässig sind. Der Client muss die URL der Purple Splash-Page vor der Authentifizierung erreichen können. Schritt 4: Bestätigen Sie, dass die virtuelle IP-Adresse des WLC von der Standardadresse 1.1.1.1 auf eine nicht routingfähige Adresse wie 192.0.2.1 geändert wurde, da die Standardadresse mit legitimem Internetverkehr kollidieren kann.

Kommentar des Prüfers: Das Symptom "Kein Internet" ohne Weiterleitung ist fast immer ein DNS- oder Walled-Garden-ACL-Problem. Moderne Betriebssysteme (iOS, Android, Windows, macOS) nutzen die Captive Portal-Erkennung, indem sie HTTP-Anfragen an bekannte URLs senden. Wenn DNS fehlschlägt, können diese Anfragen nicht durchgeführt werden, und das Betriebssystem löst den Captive Portal-Browser nie aus. Lassen Sie DNS in der Pre-Authentication-ACL immer zu – dies ist der mit Abstand häufigste Implementierungsfehler, den wir sehen.

Übungsfragen

Q1. Sie stellen Mitarbeiter-WiFi an 40 Einzelhandelsstandorten mit Cisco Catalyst 9800 WLCs bereit. Sie möchten 802.1X verwenden, aber das Unternehmen verfügt noch nicht über eine MDM-Lösung zur Verteilung von Zertifikaten auf die Smartphones der Mitarbeiter. Was ist der sicherste praktikable Ansatz, und welche Risikominderung müssen Sie implementieren?

Hinweis: Berücksichtigen Sie das Gleichgewicht zwischen der Sicherheit der Anmeldedaten und der Machbarkeit der Bereitstellung, wenn Zertifikate noch keine Option sind. Konzentrieren Sie sich auf das spezifische Risiko, das sich aus der alternativen Methode ergibt.

Musterlösung anzeigen

Implementieren Sie PEAP-MSCHAPv2 als Übergangsmaßnahme. Es ist zwar nicht so sicher wie EAP-TLS, bietet aber eine verschlüsselte Kennwortauthentifizierung innerhalb eines TLS-Tunnels. Die entscheidende Risikominderung besteht darin, die Serverzertifikatsvalidierung auf jedem Client-Gerät zu erzwingen. Stellen Sie für Windows-Laptops ein Gruppenrichtlinienobjekt bereit, das die genaue vertrauenswürdige Zertifizierungsstelle und den erwarteten RADIUS-Servernamen im WiFi-Profil angibt. Verteilen Sie für iOS- und Android-Geräte ein WiFi-Konfigurationsprofil per E-Mail oder über ein einfaches, MDM-freies Tool, das die Zertifikatsvalidierung erzwingt. Ohne dies kann ein Angreifer einen betrügerischen Access Point mit einem gefälschten Zertifikat bereitstellen und Anmeldedaten abfangen. Planen Sie die Migration zu EAP-TLS, sobald MDM verfügbar ist.

Q2. Der IT-Leiter eines Stadions muss Medien-Broadcaster, Ticket-Terminals und HVAC-IoT-Sensoren in separate, isolierte Netzwerke segmentieren. Die IoT-Sensoren unterstützen kein 802.1X. Alle drei Gruppen müssen WiFi nutzen. Wie sollte der WLC konfiguriert werden?

Hinweis: Suchen Sie nach einer Lösung, die eindeutige Anmeldedaten und eine VLAN-Zuweisung pro Gerätegruppe bietet, ohne dass Enterprise-Supplicants auf Headless-Geräten erforderlich sind.

Musterlösung anzeigen

Implementieren Sie Cisco iPSK mit einer einzigen SSID für den Stadionbetrieb. Erstellen Sie drei Endpoint-Identitätsgruppen im RADIUS-Server: Broadcasters, Ticketing und HVAC. Weisen Sie jeder Gruppe einen eindeutigen PSK über cisco-av-pair und eine eindeutige VLAN-ID über Tunnel-Private-Group-ID zu. Konfigurieren Sie das WLC-WLAN mit WPA2-PSK, aktiviertem MAC-Filtering und aktivem AAA-Override. Broadcaster erhalten PSK-A und VLAN 31, Ticketing erhält PSK-B und VLAN 32 und HVAC-Sensoren erhalten PSK-C und VLAN 33. Stellen Sie das Peer-Blocking auf allow-private-group ein, damit Geräte innerhalb derselben Gruppe kommunizieren können (z. B. Ticket-Terminals mit ihrem Server), während die gruppenübergreifende Kommunikation blockiert wird. Dies vermeidet MAC Authentication Bypass, was leicht manipuliert werden könnte.

Q3. Während einer Guest WiFi-Bereitstellung in einem Konferenzzentrum verbinden sich Clients mit der SSID und erhalten eine IP-Adresse, aber die Weiterleitung zum Captive Portal erfolgt nie. Die Walled Garden ACL lässt Datenverkehr zu allen Purple-IP-Bereichen zu. Was ist das wahrscheinlichste fehlende Konfigurationselement und wie überprüfen Sie es?

Hinweis: Denken Sie an die Protokolle, die erforderlich sind, bevor ein Client-Gerät eine HTTP-Anfrage senden kann.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist, dass die Pre-Authentication ACL den DNS-Verkehr (UDP-Port 53) blockiert. Bevor ein Client-Gerät die HTTP-Anfrage senden kann, die der WLC abfängt, um die Weiterleitung auszulösen, muss es den Domänennamen über DNS auflösen. Moderne Mechanismen zur Erkennung von Captive Portals in Betriebssystemen (Apples captive.apple.com, Microsofts www.msftconnecttest.com , Googles connectivitycheck.gstatic.com) erfordern alle eine DNS-Auflösung. Zur Überprüfung: Führen Sie „show wireless client detail “ auf dem WLC aus und bestätigen Sie, dass sich der Client im Status „Webauth Pending“ befindet. Überprüfen Sie dann die ACL-Hit-Counter, um festzustellen, ob DNS-Verkehr blockiert wird. Beheben Sie dies, indem Sie in der Walled Garden ACL eine explizite Freigaberegel für UDP-Port 53 zu den IP-Adressen der DNS-Server des Veranstaltungsorts hinzufügen.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.