Ruckus Unleashed und Gast-WiFi: Captive Portal-Einrichtung mit Purple

Willkommen zum technischen Briefing von Purple. Ich bin Ihr Gastgeber, und heute behandeln wir ein Bereitstellungsmuster, das bei fast jedem großen Enterprise-WiFi-Projekt vorkommt - die Integration von CommScope Ruckus mit der Cloud-Plattform von Purple. Egal, ob Sie eine Hotelgruppe, ein Einzelhandelsunternehmen, ein Stadion oder ein Konferenzzentrum betreiben, diese Episode liefert Ihnen das Konfigurations-Playbook, das Sie benötigen. Lassen Sie uns zunächst die Ausgangslage betrachten. Ruckus - jetzt unter CommScope - ist eine der dominierenden Enterprise-WiFi-Plattformen weltweit. Insbesondere SmartZone ist der Controller der Wahl für Umgebungen mit hoher Dichte. Hotels wie Premier Inn, große Einzelhandelsketten, Stadien und Kongresszentren nutzen alle eine Ruckus-Infrastruktur. Wenn Sie Guest WiFi in dieser Größenordnung bereitstellen, benötigen Sie mehr als eine offene SSID. Sie benötigen eine strukturierte Authentifizierung, eine GDPR-konforme Datenerfassung und die Möglichkeit, diese Gästedaten in Ihren Marketing-Stack einzuspeisen. Genau hier kommt Purple ins Spiel. Purple ist in über 80.000 Live-Veranstaltungsorten im Einsatz, hat allein im Jahr 2024 440 Millionen Logins verarbeitet und besitzt Zertifizierungen nach ISO 27001, GDPR und Cyber Essentials. Die Ruckus-Integration ist eines unserer ausgereiftesten Bereitstellungsmuster. Nun hat Ruckus drei verschiedene Controller-Plattformen, die Sie verstehen müssen, bevor Sie einen Konfigurationsbildschirm anpassen. SmartZone - verfügbar als physische SZ300-Appliance oder als virtuelle vSZ - ist der Enterprise-Controller für große Bereitstellungen an mehreren Standorten. Er verwaltet Tausende von Access Points über mehrere Zonen hinweg, bietet Ihnen eine detaillierte Richtlinienkontrolle und unterstützt die gesamte Palette der Authentifizierungsmethoden, die wir heute behandeln werden. ZoneDirector ist der ältere On-Premises-Controller - immer noch weit verbreitet, insbesondere im Gastgewerbe - und unterstützt denselben WISPr-basierten Captive Portal-Ablauf, wenn auch mit einem etwas anderen Konfigurationspfad. Und Unleashed ist das controllerlose Modell, bei dem ein AP als Master für bis zu 128 andere fungiert. Es ist ideal für kleinere Bereitstellungen an einzelnen Standorten - unabhängige Hotels, Einzelhandelsfilialen, KMU-Büros. Gut. Gehen wir in die technischen Details. Ich werde drei verschiedene Anwendungsfälle behandeln: Guest WiFi mit Captive Portal-Weiterleitung, sicheres Mitarbeiter-WiFi über 802.1X und netzwerkübergreifende Isolierung für Mandanten mittels Ruckus Dynamic PSK. Beginnen wir mit dem Guest WiFi. Die Architektur hier ist ein WISPr-basierter Hotspot-Ablauf. WISPr - Wireless Internet Service Provider roaming - ist ein Industriestandard, der definiert, wie ein Wireless Controller nicht authentifizierten HTTP-Traffic abfängt und an ein externes Portal weiterleitet. Der Gast verbindet sich mit Ihrer SSID. Sein Gerät sendet eine HTTP-Anfrage. SmartZone fängt diese ab und sendet einen HTTP 302 Redirect an Ihre externe Portal-URL - in diesem Fall das Captive Portal von Purple. Der Gast authentifiziert sich - via Social Login, E-Mail, SMS oder über ein benutzerdefiniertes Formular - und das Portal kommuniziert anschließend über das Northbound Interface, oder NBI, mit dem Controller, um den Zugriff freizugeben. Auf dem SmartZone besteht die Konfiguration aus vier Hauptkomponenten. Zuerst das RADIUS-Authentifizierungsserverprofil. Navigieren Sie zu Services and Profiles, dann Authentication. Erstellen Sie ein neues AAA-Serverprofil. Stellen Sie das Service Protocol auf RADIUS ein. Die IP-Adresse Ihres primären Servers und das Shared Secret finden Sie in der Purple Admin-Konsole. Port 1812 für die Authentifizierung. Konfigurieren Sie immer einen Backup-RADIUS-Server für Ausfallsicherheit. Erstellen Sie dann den Accounting-Server unter Services and Profiles, Accounting - Port 1813, gleiches Shared Secret. Zweitens das Hotspot WISPr-Profil. Gehen Sie zu Services and Profiles, Hotspots and Portals und wählen Sie den Reiter Hotspot WISPr. Erstellen Sie ein neues Profil. Stellen Sie die Login-URL auf External ein und geben Sie Ihre Portal-Weiterleitungs-URL ein. Stellen Sie die Startseite so ein, dass sie auf Ihre URL nach der Authentifizierung weiterleitet - in der Regel eine Erfolgsseite oder die Homepage Ihres Standorts. Nun der Walled Garden. Hier stolpern Techniker am häufigsten. Der Walled Garden definiert, welche Domains und IP-Adressen ein Gast erreichen kann, bevor er sich authentifiziert hat. Sie müssen Ihre Portal-Domain, alle CDN- oder Asset-Domains, von denen Ihr Portal geladen wird, sowie Standard-Captive Portal-Erkennungsendpunkte des Betriebssystems einschließen. In SmartZone werden Wildcards im Format Asterisk-Punkt unterstützt - so deckt *.purple.ai alle Subdomains ab. Sie benötigen auch die Captive Portal-Erkennungsdomain von Apple - captive.apple.com - und die Konnektivitätsprüfungs-Endpunkte von Google, um zu verhindern, dass sich der CNA-Mini-Browser auf iOS- und Android-Geräten fehlerhaft verhält. Ein kritischer Schritt, den man leicht übersieht. Standardmäßig verschlüsselt SmartZone die MAC-Adresse und IP-Adresse, die es in der Weiterleitungs-URL an das externe Portal übergibt. Purple muss die tatsächliche Client-MAC-Adresse sehen, um das MAC-basierte Sitzungsmanagement durchzuführen. Sie müssen dies über das CLI deaktivieren. Melden Sie sich per SSH an Ihrem SmartZone an, wechseln Sie in den Konfigurationsmodus und führen Sie aus: no encrypt-mac-ip. Das ist nur ein einziger Befehl, aber er ist ein absoluter Blocker, wenn Sie ihn überspringen. Das Northbound Interface ist der andere wesentliche Teil. Dies ist die API, die es Purple ermöglicht, mit SmartZone zu kommunizieren, um nach der Authentifizierung den Zugriff zu gewähren oder zu verweigern. Aktivieren Sie es unter Administration, External Services, WISPr Northbound Interface. Legen Sie einen Benutzernamen und ein Passwort fest und hinterlegen Sie diese Zugangsdaten in Purple. Das NBI läuft auf TCP-Port 9080 für HTTP und 9443 für HTTPS - stellen Sie sicher, dass Ihre Firewall eingehende Verbindungen aus dem IP-Bereich von Purple an diese Ports zulässt. Erstellen Sie abschließend Ihr WLAN. Stellen Sie den Authentication Type auf Hotspot WISPr ein, wählen Sie Ihr Portalprofil aus und weisen Sie Ihre RADIUS-Authentifizierungs- und Accounting-Dienste zu. Stellen Sie die NAS-ID auf User-defined ein, falls Purple einen bestimmten Wert erfordert, stellen Sie die Called Station ID auf AP MAC ein und aktivieren Sie Single Session ID. Bei Unleashed ist die Architektur grundlegend anders - es handelt sich um ein verteiltes, controllerloses Modell. Die Konfiguration befindet sich unter Admin und Services, Services, Hotspot Services. Die Schritte sind im Großen und Ganzen ähnlich - erstellen Sie einen Hotspot-Service, konfigurieren Sie Ihre externe Portal-URL, richten Sie Ihren AAA-Authentifizierungsserver ein, fügen Sie Ihre Walled Garden-Einträge hinzu - aber es gibt zwei wesentliche Unterschiede. Bei Unleashed ist keine Northbound Interface-Schnittstelle erforderlich. Und die MAC-Adressen-Verschlüsselung ist standardmäßig nicht aktiviert, sodass Sie den CLI-Befehl nicht benötigen. Der Walled Garden von Unleashed akzeptiert zudem Einträge auf Domain-Ebene anstelle der vollständigen Wildcard-Syntax. Kommen wir nun zu Secure Staff WiFi mit 802.1X. Dies ist ein völlig anderes Authentifizierungsmodell. Anstelle eines Captive Portals authentifizieren sich die Geräte der Mitarbeiter direkt über das Extensible Authentication Protocol - EAP. Die am häufigsten verwendete Methode in Unternehmensumgebungen ist PEAP-MSCHAPv2, bei der der Benutzer seine Active Directory-Anmeldedaten eingibt, oder EAP-TLS, bei der das Gerät ein Zertifikat vorweist. Das SecurePass-Add-on von Purple lässt sich in Microsoft Entra ID, Okta und Google Workspace integrieren, um als RADIUS-Backend für diesen Ablauf zu fungieren. Erstellen Sie auf SmartZone ein neues WLAN und setzen Sie den Authentifizierungstyp auf 802.1X EAP. Verweisen Sie unter den AAA-Einstellungen auf Ihren RADIUS-Server - den SecurePass-Endpunkt von Purple. Der Hauptunterschied zum Guest-Flow besteht darin, dass Sie hier auch die dynamische VLAN-Zuweisung konfigurieren. Wenn der RADIUS-Server von Purple ein Access-Accept zurückgibt, enthält es drei IETF-Standardattribute: Tunnel-Type auf VLAN (Wert 13), Tunnel-Medium-Type auf IEEE-802 (Wert 6) und Tunnel-Private-Group-ID mit dem VLAN-ID-String - zum Beispiel zwanzig für das Staff-VLAN. SmartZone liest diese Attribute und taggt den Datenverkehr des Mitarbeiters dynamisch mit dem richtigen VLAN, unabhängig davon, mit welchem AP er verbunden ist. Dies ist ein dynamisches VLAN-Steering, und es ermöglicht es einer einzigen SSID, mehrere Benutzerrollen mit unterschiedlichen Netzwerkzugriffsrichtlinien zu bedienen. Aktivieren Sie AAA Override in den erweiterten WLAN-Einstellungen, um sicherzustellen, dass SmartZone die vom RADIUS zurückgegebenen VLAN-Attribute verarbeitet. Ohne dieses Häkchen funktioniert die dynamische Zuweisung nicht, selbst wenn der RADIUS-Server die korrekten Attribute sendet. Der dritte Anwendungsfall ist die Multi-Tenant-Isolierung mit Ruckus Dynamic PSK - oder DPSK. Dies ist eine proprietäre Technologie von Ruckus, die jedem Benutzer oder Mieter eine eindeutige WPA2-Passphrase zuweist, und das alles auf einer einzigen SSID. Im Gegensatz zu einem gemeinsam genutzten PSK, bei dem alle dasselbe Passwort verwenden, bedeutet DPSK, dass Mieter A einen eindeutigen 62-stelligen Schlüssel hat, Mieter B einen anderen und so weiter. Jeder Schlüssel ist an ein bestimmtes VLAN gebunden, sodass der Datenverkehr von Mieter A auf VLAN 101 und der von Mieter B auf VLAN 102 landet - vollständige Isolierung, kein Risiko durch gemeinsam genutzte Passwörter und sofortige Sperrung, ohne andere Mieter zu beeinträchtigen. Dies ist besonders leistungsstark in Co-Working-Spaces, Build-to-Rent-Wohngebäuden, Studentenwohnheimen und Einzelhandelsparks mit mehreren Mietern. Purple integriert sich über die SmartZone API mit Ruckus DPSK, um die Schlüsselbereitstellung zu automatisieren - wenn ein neuer Mieter in Purple angemeldet wird, wird ein DPSK generiert, an das richtige VLAN gebunden und automatisch an den Mieter zugestellt. Um DPSK auf SmartZone zu konfigurieren: Navigieren Sie zu WLANs, fügen Sie ein neues WLAN hinzu und setzen Sie unter Security die Methode auf Dynamic PSK. Stellen Sie die DPSK-Länge auf 62 Zeichen für maximale Entropie ein. Aktivieren Sie unter VLAN die Option Per-DPSK VLAN assignment. Verwenden Sie dann die SmartZone API oder die DPSK-Verwaltungsschnittstelle, um individuelle Schlüssel pro Mieter zu erstellen, die jeweils ihrer eigenen VLAN-ID zugeordnet sind. Auf Unleashed ist dieselbe Funktion unter WiFi Networks, Advanced Options, Dynamic PSK verfügbar. DPSK3 ist die WPA3-Variante, die eine stärkere SAE-basierte Verschlüsselung bietet. Wenn Ihre AP-Flotte WPA3 unterstützt - was alle aktuellen Ruckus APs der R-Serie tun - ist DPSK3 die bevorzugte Wahl für neue Implementierungen. Lassen Sie mich zwei reale Implementierungsszenarien durchgehen, die veranschaulichen, wie diese drei Anwendungsfälle zusammenwirken. Erstes Szenario: ein Hotel mit 250 Zimmern. Das Anwesen betreibt Ruckus SmartZone mit R750 Access Points im gesamten Gebäude. Sie benötigen drei Netzwerktypen: Gäste-WiFi für Hotelgäste, sicheres Mitarbeiter-WiFi für Front-of-House- und Back-of-House-Mitarbeiter sowie ein IoT-Netzwerk für intelligente Raumsteuerungen und Videoüberwachung. Das Gäste-WLAN nutzt den WISPr Captive Portal-Flow mit Purple. Gäste verbinden sich, werden zu einem gebrandeten Purple-Portal weitergeleitet, authentifizieren sich per E-Mail oder Social Login und landen im VLAN 10. Das Portal erfasst First-Party-Daten - E-Mail, Marketing-Einwilligung, Präferenzen für den Aufenthalt - die direkt in das CRM des Hotels einfließen. Das Analytics-Dashboard von Purple zeigt dem Hotel, welche Etagen die höchsten Verbindungsraten, Spitzennutzungszeiten und Raten an wiederkehrenden Besuchern aufweisen. Premier Inn hat dieses Modell in allen seinen britischen Hotels implementiert und konnte messbare Verbesserungen bei den Gästezufriedenheitswerten feststellen, die direkt mit dem WiFi-Erlebnis verknüpft sind. Das Mitarbeiter-WLAN nutzt 802.1X mit SecurePass von Purple. Die Mitarbeiter authentifizieren sich mit ihren Active Directory-Anmeldedaten über PEAP-MSCHAPv2. Mitarbeiter an der Rezeption landen im VLAN 20 mit Zugriff auf das Property-Management-System. Back-of-House-Mitarbeiter landen im VLAN 21 mit Zugriff ausschließlich auf HR- und Dienstplansysteme. Die VLAN-Zuweisung wird vollständig durch die von Purple zurückgegebenen RADIUS-Attribute gesteuert - es ist keine manuelle Portkonfiguration erforderlich. Wenn ein Mitarbeiter das Unternehmen verlässt, wird sein Konto in Microsoft Entra ID deaktiviert und der Zugriff wird sofort für alle Standorte gesperrt. Das IoT-WLAN verwendet einen statischen PSK, isoliert im VLAN 30, mit aktivierter Client-Isolierung. Intelligente Thermostate, Türschlösser und Videoüberwachungskameras befinden sich hier, vollständig getrennt vom Gäste- und Mitarbeiterverkehr. Zweites Szenario: ein Co-Working-Space mit 15 Mieterfirmen. Hier spielt DPSK seine Stärken voll aus. Der Betreiber nutzt Ruckus Unleashed auf drei Etagen. Jede Mieterfirma erhält ein eigenes DPSK, das an ihr eigenes VLAN gebunden ist. Die 20 Mitarbeiter von Mieter A nutzen alle dieselbe DPSK-A-Passphrase, diese ist jedoch für Mieter A eindeutig und verweist ausschließlich auf VLAN 101. Mieter B nutzt DPSK-B, das auf VLAN 102 verweist. Die Mieter sind auf der Netzwerkschicht vollständig voneinander isoliert. Verlässt ein Mieter das Gebäude, widerruft der Betreiber dessen DPSK in SmartZone - oder über die Benutzeroberfläche von Purple - und das war's. Kein anderer Mieter ist betroffen, keine SSID-Änderungen sind erforderlich, keine Passwortänderungen im gesamten Gebäude. Die mandantenfähige Verwaltungsschicht von Purple baut darauf auf und bietet dem Co-Working-Betreiber ein einziges Dashboard zur Verwaltung von Onboarding, Zugriffswiderruf und Nutzungsanalysen für alle 15 Mieter. Lassen Sie mich nun die häufigsten Fehlerquellen beschreiben und wie Sie diese vermeiden. Nummer eins: Fehlkonfiguration des Walled Garden. Wenn Ihre Portal-Seite nach der Weiterleitung nicht geladen wird, sollten Sie als Erstes prüfen, ob alle von Ihrer Portal-Seite referenzierten Domains im Walled Garden eingetragen sind. Moderne Portal-Seiten laden Assets von mehreren CDN-Domains, Analyse-Skripten und Social-Login-SDKs. Wenn einer dieser Dienste vor der Authentifizierung blockiert wird, wird die Seite entweder nicht geladen oder fehlerhaft dargestellt. Verwenden Sie die Entwicklertools Ihres Browsers auf einem Testgerät, das mit der Gäste-SSID verbunden ist, um festzustellen, welche Anfragen blockiert werden. Purple stellt eine dokumentierte Walled Garden-Liste für SmartZone und Unleashed bereit - nutzen Sie diese als Basis und fügen Sie alle standortspezifischen Domains hinzu. Nummer zwei: das NBI-Verbindungsproblem. Wenn Gäste das Portal sehen und sich authentifizieren können, aber keinen Internetzugang erhalten, liegt die Ursache wahrscheinlich darin, dass SmartZone den NBI-Callback von Purple nicht empfangen kann. Prüfen Sie, ob die Ports 9080 und 9443 für eingehende Verbindungen auf die Management-IP von SmartZone aus dem IP-Bereich von Purple freigegeben sind. Überprüfen Sie außerdem, ob die konfigurierten NBI-Zugangsdaten mit den bei Purple hinterlegten Daten übereinstimmen. Nummer drei: der fehlende Befehl "no encrypt-mac-ip". Dies ist der häufigste SmartZone-spezifische Fallstrick. Wenn Purple Weiterleitungsanfragen empfängt, die Sitzung jedoch keiner MAC-Adresse zuordnen kann, ist dies fast sicher die Ursache. Es handelt sich um eine einzeilige CLI-Fehlerbehebung, die jedoch leicht übersehen wird, da sie nicht in der GUI angezeigt wird. Nummer vier: AAA-Override für dynamisches VLAN nicht aktiviert. Wenn sich Mitarbeiter erfolgreich über 802.1X authentifizieren, aber alle im Standard-VLAN statt in ihrem rollenspezifischen VLAN landen, prüfen Sie, ob AAA-Override in den erweiterten WLAN-Einstellungen aktiviert ist. Dies ist der Schalter, der SmartZone anweist, die vom RADIUS-Server zurückgegebenen VLAN-Attribute zu berücksichtigen. Nummer fünf: DPSK VLAN wird nicht weitergegeben. Wenn sich DPSK-Benutzer authentifizieren, aber nicht im richtigen VLAN landen, überprüfen Sie, ob die Zuweisung pro DPSK VLAN in den WLAN-Einstellungen aktiviert ist und ob die mit Ihren APs verbundenen Switch-Ports als Trunk-Ports konfiguriert sind, die alle DPSK-VLANs übertragen. Wenn der Switch-Port ein Access-Port ist, wird das VLAN-Tagging entfernt. Nun zu drei schnellen Fragen, die mir bei jeder Ruckus-Purple-Bereitstellung gestellt werden. Muss ich ein dediziertes VLAN für Gast-WiFi verwenden? Ja, immer. Isolieren Sie den Gastdatenverkehr in einem dedizierten VLAN. Dies ist sowohl eine Sicherheitsanforderung als auch eine Überlegung zur PCI-DSS-Compliance, wenn Ihr Standort Kartenzahlungen über dasselbe Netzwerk abwickelt. Aktivieren Sie die Client-Isolierung auf dem Gast-WLAN, um zu verhindern, dass Gastgeräte untereinander kommunizieren. Kann ich Purple mit Ruckus One - der Cloud-gesteuerten Plattform - anstelle von SmartZone verwenden? Ja. Der Konfigurationspfad ist anders - er befindet sich unter WiFi-Netzwerke, Einstellungen für den Gastzugang im Ruckus One-Portal - aber die Prinzipien für Walled Garden und RADIUS-Konfiguration sind identisch. Unterstützt Purple SmartZone-Multi-Zone-Bereitstellungen? Ja. Die Integration von Purple unterstützt Multi-Zone-SmartZone-Umgebungen, und Sie können Portal-Konfigurationen auf einzelne Zonen für verschiedene Standorte oder Etagen innerhalb einer einzigen SmartZone-Instanz eingrenzen. Zusammenfassend lässt sich sagen: Die Integration von Ruckus und Purple deckt drei verschiedene Anwendungsfälle mit jeweils eigenen Konfigurationsmodellen ab. Gast-WiFi nutzt den WISPr Captive Portal-Flow - fünf wichtige Konfigurationspunkte: RADIUS auf den Ports 1812 und 1813 mit einem Backup-Server, das Hotspot-WISPr-Profil mit einer externen Login-URL, ein korrekt eingegrenzter Walled Garden mit Platzhalter-Einträgen, der CLI-Befehl "no encrypt-mac-ip" und das aktivierte Northbound Interface mit den korrekten Anmeldedaten. Sicheres Mitarbeiter-WiFi nutzt 802.1X EAP mit dynamischer VLAN-Steuerung über RADIUS-Attribute - der entscheidende Faktor ist hierbei der AAA-Override in den erweiterten WLAN-Einstellungen. Die Isolierung für mandantenfähige Umgebungen nutzt Ruckus DPSK - eindeutige Schlüssel pro Mandant, die jeweils an ein dediziertes VLAN gebunden sind, mit sofortigem Widerruf und ohne das Risiko gemeinsam genutzter Passwörter. Wenn Sie diese drei Muster richtig umsetzen, erhalten Sie eine Netzwerkarchitektur, die sich von einem unabhängigen Hotel mit 50 Zimmern auf Unleashed bis hin zu einem Stadion mit 5.000 Plätzen auf SmartZone skalieren lässt - mit derselben Purple-Plattform darüber, die einheitliche Analysen, GDPR-konforme Datenerfassung und zentrales Zugangsmanagement bietet. Wenn Sie eine Ruckus-Bereitstellung mit Purple planen, kann das technische Onboarding-Team Sie durch eine Checkliste vor dem Start führen und Ihre Konfiguration vor dem Go-Live validieren. Die Purple-Plattform bietet zudem Echtzeit-Analysen zu Portal-Ladezeiten, Authentifizierungserfolgsraten und Sitzungsdaten - so erhalten Sie die nötige Transparenz, um Probleme zu erkennen, bevor Ihre Gäste es tun. Vielen Dank fürs Zuhören. Bis zum nächsten Mal.