IndexLayout.skipToMainContent
Deutsch
Preise

So konfigurieren Sie WPA2-Enterprise auf gängigen Access Point Plattformen (Cisco, Aruba, Ubiquiti)

Dieser technische Leitfaden bietet erfahrenen IT-Profis und Netzwerkarchitekten eine definitive, herstellerspezifische Anleitung zur Bereitstellung von WPA2-Enterprise auf Cisco-, Aruba- und Ubiquiti-Plattformen. Er beschreibt die Architektur, die RADIUS-Integration, Compliance-Anforderungen und reale Bereitstellungsszenarien in Unternehmens- und Veranstaltungsnetzwerken.

📖 6 GuidesSlugPage.minRead📝 1,309 GuidesSlugPage.words🔧 2 GuidesSlugPage.workedExamples3 GuidesSlugPage.practiceQuestions📚 8 GuidesSlugPage.keyDefinitions

GuidesSlugPage.podcastTitle

GuidesSlugPage.podcastTranscript
How to Configure WPA2-Enterprise on Common Access Point Platforms — Cisco, Aruba, and Ubiquiti A Purple WiFi Intelligence Briefing [INTRO — approximately 1 minute] Welcome to the Purple WiFi Intelligence Series. I'm your host, and today we're cutting straight to the point on one of the most frequently requested topics from our enterprise clients: how to configure WPA2-Enterprise across the three most widely deployed access point platforms — Cisco, Aruba, and Ubiquiti. Whether you're the IT director at a 500-room hotel group, the network architect for a national retail chain, or the CTO of a conference centre operator, this briefing is for you. We're not going to cover theory for its own sake. We're going to walk through what you need to know to make a deployment decision, execute it correctly, and avoid the pitfalls that trip up even experienced teams. Let's get into it. [TECHNICAL DEEP-DIVE — approximately 5 minutes] First, a quick level-set on what WPA2-Enterprise actually is, because there's still a surprising amount of confusion in the market between WPA2-Personal and WPA2-Enterprise — and the distinction matters enormously for compliance and risk posture. WPA2-Personal — the version most people are familiar with — uses a single pre-shared key. Everyone on the network uses the same password. That's fine for a home network. It is categorically not acceptable for a business environment where you need per-user authentication, audit trails, and the ability to revoke access instantly. WPA2-Enterprise, defined under IEEE 802.1X, replaces that shared key with an individual authentication exchange. Each user or device presents its own credentials — whether that's a username and password, a digital certificate, or a token — and those credentials are validated by a RADIUS server before network access is granted. The access point itself never sees the credentials. It acts purely as an authenticator, passing the EAP — Extensible Authentication Protocol — exchange between the client and the RADIUS server. This is a fundamentally more secure architecture, and it's the baseline requirement for PCI DSS compliance in any environment that handles payment card data, as well as being strongly recommended under GDPR for organisations processing personal data over wireless networks. Now, let's talk about the three platforms. Starting with Cisco. Cisco's enterprise WiFi portfolio — primarily the Catalyst and Meraki lines — is the incumbent choice for large-scale deployments. Cisco DNA Center provides centralised policy management, and the Meraki dashboard offers cloud-managed simplicity for distributed estates. To configure WPA2-Enterprise on a Cisco Catalyst access point, you'll work through the WLC — Wireless LAN Controller — or DNA Center. The key steps are: define your RADIUS server under Security, then AAA, then RADIUS Authentication Servers; create a new WLAN profile; set the security policy to WPA2 with 802.1X as the key management method; and bind the RADIUS server to that WLAN. One critical point on Cisco: ensure you're configuring RADIUS accounting as well as authentication. Accounting gives you the per-session audit trail that compliance frameworks require. On Meraki, the process is even more straightforward — navigate to Wireless, then SSIDs, select your target SSID, set security to WPA2-Enterprise with my RADIUS server, and enter your RADIUS server IP, port — typically 1812 for authentication and 1813 for accounting — and shared secret. Meraki also supports RADIUS testing directly from the dashboard, which is invaluable during commissioning. Moving to Aruba. Aruba Networks, now part of HPE, is the dominant choice in hospitality and higher education. Aruba Central provides cloud management, and ArubaOS is the underlying platform. On Aruba, WPA2-Enterprise configuration lives within the SSID profile. You'll define an AAA profile that references your RADIUS server, then attach that AAA profile to your virtual AP profile. Aruba's ClearPass Policy Manager is worth a specific mention here — it's Aruba's own RADIUS and policy engine, and it adds significant capability around device profiling, role-based access control, and guest onboarding. If you're running a mixed environment with staff, contractors, and guests all connecting to the same infrastructure, ClearPass gives you the policy granularity to segment them appropriately. For a hotel deploying WPA2-Enterprise on staff and back-of-house networks while running a separate guest WiFi solution through a platform like Purple, Aruba's SSID segmentation combined with ClearPass for staff authentication is a very clean architecture. Now Ubiquiti. Ubiquiti's UniFi platform has gained significant traction in the SMB and mid-market space — and increasingly in boutique hospitality and retail — because of its competitive price point and genuinely capable management interface. UniFi Network Controller is where you'll do the heavy lifting. To configure WPA2-Enterprise on UniFi, navigate to Settings, then WiFi, create or edit your SSID, set security to WPA2 Enterprise, and configure your RADIUS profile — again, IP address, authentication port 1812, accounting port 1813, and shared secret. One important consideration with Ubiquiti: it does not ship with a built-in RADIUS server in the same way that some enterprise platforms do. You'll need an external RADIUS server — whether that's Windows Server NPS, FreeRADIUS, or a cloud RADIUS service. This is not a limitation per se, but it's a dependency that needs to be planned for. For smaller deployments, the UniFi Network Application does include a basic RADIUS server, but for production environments I'd always recommend a dedicated RADIUS instance. Across all three platforms, the EAP method selection deserves attention. PEAP with MSCHAPv2 is the most widely deployed method because it works with Active Directory credentials without requiring client-side certificates. EAP-TLS is more secure — it uses mutual certificate authentication — but it requires a PKI infrastructure and certificate deployment to every client device, which adds operational overhead. For most enterprise deployments, PEAP-MSCHAPv2 with a properly configured RADIUS server and certificate validation on the client side is the right balance of security and operational manageability. [IMPLEMENTATION RECOMMENDATIONS AND PITFALLS — approximately 2 minutes] Now let me give you the three most common failure modes I see in WPA2-Enterprise deployments, and how to avoid them. Number one: RADIUS server availability. Your RADIUS server is now in the critical path for every wireless authentication. If it goes down, nobody can connect. This means you need RADIUS redundancy — at minimum a primary and secondary RADIUS server configured on every access point. Most platforms support this natively. On Cisco, you can configure RADIUS server groups with failover. On Aruba, the AAA profile supports multiple RADIUS servers with configurable retry and timeout values. On Ubiquiti, you can specify a secondary RADIUS server in the RADIUS profile. Do not skip this step. Number two: certificate validation. A shockingly high proportion of deployments I review have client devices configured to accept any RADIUS server certificate. This completely undermines the security model — it opens you up to evil twin attacks where a rogue access point impersonates your network and harvests credentials. Configure your RADIUS server certificate from a trusted CA, and configure your client supplicants to validate that certificate. On Windows, this is done through Group Policy. On iOS and Android, it's handled through MDM profiles. This is non-negotiable for any environment handling sensitive data. Number three: VLAN assignment. WPA2-Enterprise enables dynamic VLAN assignment — the RADIUS server can return a VLAN attribute in the Access-Accept message, placing each authenticated user into the appropriate network segment based on their identity or role. This is one of the most powerful features of the 802.1X architecture, and it's frequently left unconfigured. If you're running a venue with staff, management, and IoT devices all on the same physical infrastructure, dynamic VLAN assignment is how you enforce network segmentation without managing multiple SSIDs. On the Purple integration side: if you're deploying WPA2-Enterprise for your staff and operational networks, and running Purple's guest WiFi platform for visitor connectivity, these two systems coexist cleanly. Purple handles the guest authentication, data capture, and analytics layer — including the WiFi analytics and footfall intelligence that venue operators use for operational decisions — while your WPA2-Enterprise infrastructure secures the corporate network. The key is clean SSID and VLAN separation at the access point level, which all three platforms support. [RAPID-FIRE Q&A — approximately 1 minute] Let me run through a few questions that come up regularly. Can I run WPA2-Enterprise and a guest network on the same access points? Yes, absolutely. All three platforms support multiple SSIDs per radio, each with independent security policies. Your corporate SSID runs WPA2-Enterprise; your guest SSID can run through Purple's captive portal with appropriate isolation. Do I need to replace my existing access points to deploy WPA2-Enterprise? Almost certainly not. WPA2-Enterprise has been supported on enterprise-grade access points for well over a decade. If your hardware is less than eight years old and running current firmware, it will support 802.1X. What's the difference between WPA2-Enterprise and WPA3-Enterprise? WPA3-Enterprise adds 192-bit security mode using Suite B cryptography, which is relevant for government and defence environments. For most commercial deployments, WPA2-Enterprise with strong EAP methods remains the standard. WPA3 transition is worth planning for new deployments, but it's not an urgent migration for most organisations. Is cloud RADIUS a viable option? Yes, and increasingly so. Services like Cisco ISE in the cloud, Aruba ClearPass as a service, or third-party options like JumpCloud and Foxpass provide RADIUS as a managed service, which removes the infrastructure overhead. For distributed estates — think a retail chain with 200 locations — cloud RADIUS can significantly reduce operational complexity. [SUMMARY AND NEXT STEPS — approximately 1 minute] To wrap up: WPA2-Enterprise is the non-negotiable baseline for any enterprise wireless deployment. The configuration process across Cisco, Aruba, and Ubiquiti follows the same fundamental pattern — define your RADIUS server, create your SSID with 802.1X key management, select your EAP method, and test before you go live. The differences are in the management interfaces and the ecosystem tools around each platform. The three things to get right: RADIUS redundancy, certificate validation on clients, and dynamic VLAN assignment. Get those three right and you have a solid, compliant, auditable wireless security posture. For your next steps: if you're evaluating platforms, use the vendor comparison framework in the accompanying guide. If you're ready to deploy, the step-by-step configuration walkthroughs for each platform are in the implementation section. And if you're thinking about how guest WiFi fits alongside your enterprise network, the Purple platform documentation covers the integration architecture in detail. Thanks for listening. I'll see you in the next briefing.

Zusammenfassung

Die Bereitstellung von WPA2-Enterprise ist kein optionales Sicherheits-Upgrade mehr; sie ist die grundlegende Basis für jedes drahtlose Unternehmensnetzwerk. Für IT-Manager und Netzwerkarchitekten, die in den Bereichen Gastgewerbe, Einzelhandel und öffentlicher Sektor tätig sind, wird der Übergang von Pre-Shared Keys zur 802.1X-Authentifizierung durch strenge Compliance-Vorschriften, einschließlich PCI DSS und GDPR, vorangetrieben. Dieser technische Leitfaden bietet umsetzbare, plattformspezifische Konfigurationsschritte für die drei führenden Access Point-Anbieter: Cisco, Aruba und Ubiquiti.

Durch den Übergang zu WPA2-Enterprise eliminieren Unternehmen die Risiken, die mit gemeinsam genutzten Anmeldeinformationen verbunden sind, erhalten detaillierte Audit-Trails pro Sitzung und ermöglichen eine dynamische Netzwerksegmentierung. Bei korrekter Implementierung sichert diese Architektur nicht nur den Unternehmensperimeter, sondern integriert sich auch nahtlos in Besuchernetzwerke, die von einer umfassenden Guest WiFi -Plattform verwaltet werden. Die folgenden Abschnitte beschreiben die technische Architektur, die Bereitstellungsschritte und die Strategien zur Risikominderung, die für einen erfolgreichen Rollout erforderlich sind.

header_image.png

Technischer Überblick

WPA2-Enterprise basiert auf dem IEEE 802.1X-Standard, um eine portbasierte Netzwerkzugriffskontrolle zu ermöglichen. Im Gegensatz zu WPA2-Personal, das einen statischen Pre-Shared Key (PSK) verwendet, erfordert WPA2-Enterprise, dass sich jeder Supplicant (Client-Gerät) einzeln gegenüber einem externen Authentifizierungsserver (typischerweise einem RADIUS-Server) authentifiziert, bevor der Netzwerkzugriff gewährt wird.

Die Architektur besteht aus drei Hauptkomponenten:

  1. Der Supplicant: Das Client-Gerät, das versucht, sich mit dem Netzwerk zu verbinden.
  2. Der Authentifikator: Der Enterprise Access Point oder Wireless LAN Controller (z.B. Cisco WLC, Aruba Mobility Controller), der den Authentifizierungsprozess ermöglicht.
  3. Der Authentifizierungsserver: Der Backend-RADIUS-Server (z.B. Cisco ISE, Aruba ClearPass, Windows NPS), der Anmeldeinformationen gegen einen Verzeichnisdienst wie Active Directory oder LDAP validiert.

Der EAP-Austauschprozess

Der Authentifizierungsprozess nutzt das Extensible Authentication Protocol (EAP), das über LAN (EAPOL) gekapselt ist. Der Authentifikator fungiert in der Anfangsphase rein als Pass-Through-Proxy. Sobald der RADIUS-Server die Anmeldeinformationen validiert hat, sendet er eine Access-Accept-Nachricht an den Authentifikator zurück, der dann die notwendigen Verschlüsselungsschlüssel ableitet, um die drahtlose Sitzung zu sichern.

Die Wahl der EAP-Methode ist entscheidend. PEAP-MSCHAPv2 ist die am weitesten verbreitete Methode, da sie die Authentifizierung von Legacy Active Directory-Passwörtern unterstützt und gleichzeitig den Austausch innerhalb eines durch das Serverzertifikat etablierten TLS-Tunnels sichert. Für maximale Sicherheit wird jedoch EAP-TLS empfohlen. EAP-TLS erfordert eine gegenseitige Zertifikatsauthentifizierung – sowohl der Server als auch der Client müssen gültige Zertifikate vorlegen –, was den Diebstahl von Anmeldeinformationen mindert, aber eine robuste Public Key Infrastructure (PKI) oder Mobile Device Management (MDM)-Lösung für die Zertifikatsverteilung erfordert.

architecture_overview.png

Implementierungsleitfaden

Die grundlegenden Prinzipien der Konfiguration von WPA2-Enterprise sind herstellerübergreifend konsistent, aber die Ausführung variiert je nach Verwaltungsoberfläche und Ökosystem.

vendor_comparison_chart.png

Cisco (Catalyst und Meraki)

Cisco-Umgebungen skalieren typischerweise von Campus-Bereitstellungen bis hin zu verteilten Unternehmensnetzwerken.

Cisco Catalyst (WLC/DNA Center):

  1. RADIUS-Server definieren: Navigieren Sie zur Registerkarte „Security“, wählen Sie „AAA“ und konfigurieren Sie die primären und sekundären RADIUS-Authentifizierungs- und Accounting-Server. Stellen Sie sicher, dass das Shared Secret mit der RADIUS-Serverkonfiguration übereinstimmt.
  2. WLAN-Profil erstellen: Erstellen Sie unter der Registerkarte „WLANs“ ein neues Profil.
  3. Sicherheitsrichtlinien konfigurieren: Setzen Sie die Layer 2-Sicherheit auf WPA+WPA2 und aktivieren Sie 802.1X als Authentication Key Management (AKM)-Methode.
  4. AAA-Server binden: Ordnen Sie die zuvor definierten RADIUS-Server dem WLAN-Profil zu. Aktivieren Sie 'AAA Override', wenn eine dynamische VLAN-Zuweisung erforderlich ist.

Cisco Meraki:

  1. SSID-Konfiguration: Navigieren Sie im Meraki Dashboard zu Wireless > SSIDs und wählen Sie das Zielnetzwerk aus.
  2. Zugriffskontrolle: Setzen Sie die Assoziierungsanforderung auf 'WPA2-Enterprise mit meinem RADIUS-Server'.
  3. RADIUS-Einstellungen: Geben Sie die IP-Adressen, den Authentifizierungsport (typischerweise 1812), den Accounting-Port (1813) und die Shared Secrets für Ihre RADIUS-Infrastruktur ein. Das Meraki-Dashboard enthält ein integriertes Testtool zur Überprüfung der RADIUS-Konnektivität vor der Bereitstellung.

Aruba Networks

Aruba ist die dominante Plattform im Gastgewerbe und in der Hochschulbildung und nutzt ihren ClearPass Policy Manager intensiv für erweiterte Zugriffskontrolle.

  1. AAA-Profil definieren: Erstellen Sie in Aruba Central oder der Mobility Controller UI ein neues AAA-Profil. Dieses Profil legt fest, wie die Authentifizierung gehandhabt wird.
  2. RADIUS-Servergruppe konfigurieren: Fügen Sie Ihre RADIUS-Server einer Servergruppe hinzu und legen Sie Failover-Regeln und Timeout-Werte fest. Verknüpfen Sie diese Gruppe mit dem AAA-Profil.
  3. Virtuelle AP-Konfiguration: Erstellen oder ändern Sie ein Virtual AP (SSID)-Profil. Setzen Sie den Sicherheitstyp auf WPA2-Enterprise.
  4. Profile anhängen: Binden Sie das AAA-Profil an das Virtual AP-Profil. Wenn Sie ClearPass verwenden, stellen Sie sicher, dass der RADIUS CoA (Change of Authorization)-Port (3799) durch alle dazwischenliegenden Firewalls zugelassen wird, um eine dynamische Richtliniendurchsetzung zu ermöglichen.

Ubiquiti (UniFi)

Ubiquiti bietet eine kostengünstige Lösung für Einzelhandel - und KMU-Umgebungen über den UniFi Network Controller.

  1. RADIUS-Profil Erstellung: Navigieren Sie zu Einstellungen > Profile > RADIUS. Erstellen Sie ein neues Profil mit der IP-Adresse, den Ports (1812/1813) und dem Shared Secret Ihres externen RADIUS-Servers.
  2. SSID Konfiguration: Gehen Sie zu Einstellungen > WiFi und erstellen Sie ein neues drahtloses Netzwerk.
  3. Sicherheitseinstellungen: Wählen Sie 'WPA2 Enterprise' als Sicherheitsprotokoll und weisen Sie das neu erstellte RADIUS-Profil zu.
  4. Hinweis zur RADIUS-Infrastruktur: Im Gegensatz zu Enterprise-Controllern, die möglicherweise lokal überlebensfähige RADIUS-Dienste anbieten, ist UniFi stark auf externe Server (z.B. FreeRADIUS, Windows NPS) angewiesen. Stellen Sie eine zuverlässige Konnektivität zwischen den UniFi APs und dem RADIUS-Backend sicher.

Best Practices

Um eine robuste und sichere Bereitstellung zu gewährleisten, müssen Netzwerkarchitekten mehrere kritische Best Practices befolgen:

  1. Zertifikatsvalidierung erzwingen: Client-Geräte müssen explizit so konfiguriert werden, dass sie das Zertifikat des RADIUS-Servers gegen eine vertrauenswürdige Zertifizierungsstelle (CA) validieren. Andernfalls wird das Netzwerk 'Evil Twin'-Angriffen ausgesetzt, bei denen bösartige Access Points Benutzeranmeldeinformationen abgreifen.
  2. RADIUS-Redundanz implementieren: Der RADIUS-Server ist ein kritischer Pfad für den Netzwerkzugriff. Konfigurieren Sie immer primäre und sekundäre RADIUS-Server. In verteilten Umgebungen sollten Sie Cloud-basierte RADIUS-Lösungen für hohe Verfügbarkeit in Betracht ziehen.
  3. Dynamische VLAN-Zuweisung nutzen: Verwenden Sie RADIUS-Attribute (z.B. Tunnel-Pvt-Group-ID), um Benutzern basierend auf ihrer Active Directory-Gruppenmitgliedschaft dynamisch bestimmte VLANs zuzuweisen. Dies erzwingt die Netzwerksegmentierung, ohne mehrere SSIDs auszustrahlen.
  4. RADIUS Accounting aktivieren: Konfigurieren Sie nicht nur die Authentifizierung. RADIUS Accounting (Port 1813) ist obligatorisch für die Erstellung der Audit-Trails, die für Compliance-Frameworks erforderlich sind.
  5. Den Netzwerkrand schützen: Erfahren Sie mehr über die Sicherung Ihrer Infrastruktur in unserem Leitfaden zum Thema Schützen Sie Ihr Netzwerk mit starkem DNS und Sicherheit .

Fehlerbehebung & Risikominderung

Auch bei sorgfältiger Planung können bei Bereitstellungen Probleme auftreten. Häufige Fehlerursachen sind:

  • Fehlende Übereinstimmung des Shared Secret: Ein einfacher Tippfehler im RADIUS Shared Secret führt zu stillen Authentifizierungsfehlern. Überprüfen Sie die Secrets sowohl auf dem Authentifikator als auch auf dem RADIUS-Server.
  • Zeit-Synchronisationsfehler: Die Zertifikatsvalidierung erfordert eine genaue Zeitmessung. Stellen Sie sicher, dass alle APs, Controller und RADIUS-Server über eine zuverlässige NTP-Quelle synchronisiert sind.
  • Firewall blockiert RADIUS-Traffic: Stellen Sie sicher, dass die UDP-Ports 1812 (Authentifizierung) und 1813 (Accounting) zwischen den APs/Controllern und dem RADIUS-Server geöffnet sind. Bei Verwendung von CoA stellen Sie sicher, dass UDP 3799 geöffnet ist.
  • Fehlkonfiguration des Client-Supplicanten: Das häufigste Problem ist, dass das Client-Gerät nicht so konfiguriert ist, dass es der CA vertraut, die das Zertifikat des RADIUS-Servers ausgestellt hat. Verwenden Sie MDM oder Gruppenrichtlinien, um die korrekten drahtlosen Profile auf Unternehmensgeräte zu übertragen.

Für ein umfassenderes Verständnis der Authentifizierungsprotokolle lesen Sie So konfigurieren Sie die 802.1X WiFi-Authentifizierung: Eine Schritt-für-Schritt-Anleitung .

ROI & Geschäftsauswirkungen

Der Übergang zu WPA2-Enterprise bietet einen erheblichen Geschäftswert, der über reine Sicherheitsverbesserungen hinausgeht.

  • Risikominderung: Die Eliminierung gemeinsamer Passwörter reduziert die Angriffsfläche und das Risiko einer Datenpanne drastisch, was schwerwiegende finanzielle und rufschädigende Strafen nach sich ziehen kann.
  • Operative Effizienz: Die Integration der WiFi-Authentifizierung mit bestehenden Identitätsanbietern (wie Active Directory) automatisiert das Onboarding und Offboarding von Mitarbeitern. Wenn ein Mitarbeiter das Unternehmen verlässt, entzieht die Deaktivierung seines AD-Kontos sofort seinen WiFi-Zugang.
  • Compliance-Ermöglichung: Granulare Audit-Trails und die Authentifizierung pro Benutzer sind Voraussetzungen für die Einhaltung von PCI DSS und ISO 27001.
  • Vereinheitlichte Infrastruktur: Durch die Verwendung dynamischer VLAN-Zuweisung können Standorte Unternehmens-, Back-of-House- und IoT-Traffic sicher über dieselbe physische Hardware leiten, die für den Gastzugang verwendet wird. Das Gastnetzwerk kann dann mit einer dedizierten WiFi Analytics -Lösung monetarisiert und analysiert werden, wodurch der Return on Hardware Investment maximiert wird. Stellen Sie sicher, dass Sie die notwendige Bandbreite haben, indem Sie verstehen, Was ist eine Standleitung? Dediziertes Business Internet .

GuidesSlugPage.keyDefinitionsTitle

WPA2-Enterprise

A security protocol for wireless networks that uses IEEE 802.1X to provide per-user authentication via an external server, rather than a single shared password.

The mandatory standard for securing corporate and operational WiFi networks in enterprise environments.

802.1X

An IEEE standard for port-based network access control that provides an authentication mechanism to devices wishing to attach to a LAN or WLAN.

The underlying framework that makes WPA2-Enterprise work.

RADIUS

Remote Authentication Dial-In User Service; a networking protocol that provides centralized Authentication, Authorization, and Accounting (AAA) management.

The server component that validates user credentials against a database like Active Directory.

Supplicant

The software client on a device (laptop, smartphone) that communicates with the authenticator to request network access.

The endpoint that must be configured with the correct EAP settings and certificate trust.

Authenticator

The network device (Access Point or Switch) that facilitates the authentication process by passing messages between the supplicant and the authentication server.

The Cisco, Aruba, or Ubiquiti hardware managed by the IT team.

EAP (Extensible Authentication Protocol)

An authentication framework frequently used in wireless networks and point-to-point connections, supporting multiple authentication methods.

The protocol used to encapsulate the credential exchange.

PEAP-MSCHAPv2

An EAP method that encapsulates the MSCHAPv2 password exchange within a secure TLS tunnel established by the server's certificate.

The most common deployment method as it balances security with the convenience of using standard AD passwords.

Dynamic VLAN Assignment

The process where a RADIUS server instructs the access point to place an authenticated user onto a specific VLAN based on their identity or group membership.

Crucial for network segmentation, allowing different user types to share the same physical APs securely.

GuidesSlugPage.workedExamplesTitle

A 200-room hotel needs to deploy secure WiFi for its back-of-house staff (housekeeping, management) using existing Aruba access points, while keeping the staff traffic strictly separated from the guest network.

The IT team configures a single 'Hotel_Staff' SSID using WPA2-Enterprise. They integrate Aruba ClearPass with the hotel's Active Directory. In ClearPass, they configure enforcement policies: if a user is in the 'Management' AD group, ClearPass returns a RADIUS attribute assigning them to VLAN 10 (Management Network). If the user is in the 'Housekeeping' group, they are assigned to VLAN 20 (Operations Network). The APs are configured to enforce these dynamic VLAN assignments.

GuidesSlugPage.examinerCommentary This approach demonstrates the power of dynamic VLAN assignment. It avoids the RF interference and management overhead of broadcasting multiple SSIDs ('Hotel_Management', 'Hotel_Housekeeping') while ensuring strict network segmentation and leveraging existing directory identities.

A national retail chain with 50 locations uses Cisco Meraki. They need to secure their point-of-sale (POS) terminals over WiFi to meet PCI DSS compliance, replacing their old WPA2-Personal setup.

The network architect deploys a cloud-hosted RADIUS service to avoid deploying local servers at each store. In the Meraki dashboard, they configure the 'Retail_POS' SSID for WPA2-Enterprise and point it to the cloud RADIUS IPs. They generate unique client certificates for each POS terminal via their MDM platform and configure the RADIUS server to require EAP-TLS. The Meraki APs are configured to send both RADIUS Authentication and Accounting data to the cloud service.

GuidesSlugPage.examinerCommentary This scenario highlights the transition to EAP-TLS for high-security environments. By using certificates instead of passwords, the POS terminals authenticate silently and securely. The inclusion of RADIUS Accounting ensures the chain meets PCI DSS requirements for access auditing.

GuidesSlugPage.practiceQuestionsTitle

Q1. Your organisation is deploying WPA2-Enterprise using Ubiquiti UniFi access points. During testing, clients can connect successfully, but the compliance team notes that there are no logs of user session durations or data usage in the central logging system. What is the most likely configuration omission?

GuidesSlugPage.hintPrefixAuthentication grants access, but another process tracks usage.

GuidesSlugPage.viewModelAnswer

The RADIUS Accounting port (1813) has not been configured or is being blocked by a firewall. While Authentication (port 1812) is working, Accounting must be explicitly enabled to generate session audit trails.

Q2. A user reports they cannot connect to the corporate WPA2-Enterprise network. You check the Cisco WLC logs and see the AP is passing the EAP-Request, but the RADIUS server logs show an 'Access-Reject' due to 'Unknown CA'. What needs to be fixed?

GuidesSlugPage.hintPrefixThink about the trust relationship established during the TLS tunnel setup.

GuidesSlugPage.viewModelAnswer

The client device's supplicant is not configured to trust the Certificate Authority (CA) that issued the RADIUS server's certificate. The client is terminating the connection to prevent a potential Evil Twin attack. The CA certificate must be pushed to the client device.

Q3. You are designing a network for a stadium. You need to support corporate staff, ticketing terminals, and guest WiFi. How should you architect the SSIDs to minimize RF interference while maintaining security?

GuidesSlugPage.hintPrefixAvoid broadcasting an SSID for every single use case.

GuidesSlugPage.viewModelAnswer

Deploy a maximum of two SSIDs. One SSID for Guests using a captive portal (like Purple). A second SSID for all corporate operations using WPA2-Enterprise. Use Dynamic VLAN Assignment via the RADIUS server to segment the corporate staff onto one VLAN and the ticketing terminals onto another based on their authentication credentials.

Über uns
Karriere
B Corp Bericht
Tarife
Gast-WiFi Funktionen
Gast-WiFi Preise
Professional Services
Demo buchen
Passwordless WiFi
RADIUS-as-a-Service
WPA-Enterprise
Captive Portal Software
Multi-Tenant WiFi
Staff WiFi
Solutions
WiFi for Marketing Teams
WiFi for IT & Network Teams
WiFi for Small Business
WiFi Marketing & Analytics
Passwordless Onboarding
Industries
WiFi for Hospitality
WiFi for Hotels
WiFi for Retail
WiFi for Healthcare
WiFi for Higher Education
WiFi for Stadiums
WiFi for Restaurants
WiFi for Corporate Offices
Browse all industries
Richtlinien
Rechtliches
Datenschutzrichtlinie
Nutzungsbedingungen
Meine Daten
Cookie-Richtlinie
Standard-SLA
Resources
WiFi blog
WiFi guides
WiFi glossary
Case studies
All resources
ROI-Rechner
Preisrechner
Access Point Calculator
Guest WiFi Feature Checklist
WiFi Tools
Purple Support
WhatsApp
© 2026 Purple. Alle Rechte vorbehalten.
Cookie-Einstellungen verwalten