Zum Hauptinhalt springen
Deutsch

Captive Portal for Ruckus

Diese technische Referenzanleitung bietet ein maßgebliches Integrations-Playbook für die Bereitstellung externer Captive Portals auf CommScope Ruckus SmartZone- und Unleashed-Architekturen. Sie führt Netzwerktechniker Schritt für Schritt durch die Konfiguration von Gäste-WLANs, WISPr-Weiterleitungen, RADIUS-AAA-Servereinstellungen und Walled-Garden-Ausnahmen, um eine sichere, hochverdichtete Gäste-WiFi-Lösung bereitzustellen.

📖 14 Min. Lesezeit📝 3,327 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen bei der Purple Technical Briefing Series. Ich bin Ihr Moderator, und heute behandeln wir ein Thema, das bei fast jeder Enterprise-WiFi-Bereitstellung eine Rolle spielt: die Einrichtung eines Captive Portals auf Ruckus SmartZone- und Ruckus Unleashed-Controllern. Egal, ob Sie als MSP Gast-WiFi in einer Hotelkette bereitstellen, als IT-Leiter im Gastgewerbe ein neues Objekt ausstatten oder als Wireless Engineer die Purple-Plattform in eine Ruckus-Infrastruktur integrieren – diese Episode ist für Sie. Legen wir los. --- Zuerst einmal: Warum ist die Ruckus Captive Portal-Integration so wichtig? Ruckus, heute Teil von CommScope, ist weltweit eine der dominierenden Enterprise-WiFi-Plattformen. Insbesondere SmartZone ist der Controller der Wahl für High-Density-Umgebungen – Stadien, Kongresszentren, große Hotels und Einzelhandelsketten. Wenn Sie Gast-WiFi in dieser Größenordnung bereitstellen, benötigen Sie mehr als nur eine offene SSID. Sie benötigen einen strukturierten Authentifizierungs-Flow, eine GDPR-konforme Datenerfassung und die Möglichkeit, diese Gästedaten in Ihren Marketing-Stack zu übertragen. Genau hier kommt eine externe Captive Portal-Plattform wie Purple ins Spiel. Die Architektur basiert hier auf einem WISPr-basierten Hotspot-Flow. WISPr steht für Wireless Internet Service Provider Roaming – ein Branchenstandard, der definiert, wie ein Wireless-Controller unauthentifizierten HTTP-Traffic abfängt und an ein externes Portal weiterleitet. Der Gast verbindet sich mit Ihrer SSID, sein Gerät sendet eine HTTP-Anfrage, der SmartZone-Controller fängt diese ab und leitet sie per HTTP 302-Redirect an Ihre externe Portal-URL weiter. Der Gast authentifiziert sich – sei es über Social Login, E-Mail, SMS oder ein benutzerdefiniertes Formular – und das Portal kommuniziert anschließend über das Northbound Interface (NBI) zurück an den Controller, um den Zugriff freizugeben. Sauber, standardbasiert und bei korrekter Konfiguration äußerst zuverlässig. --- Kommen wir nun zur technischen Konfiguration. Ich werde zuerst SmartZone durchgehen und dann auf die Unterschiede bei Unleashed eingehen. Bei SmartZone – und das gilt sowohl für physische SZ300- als auch für virtuelle vSZ-Bereitstellungen – besteht die Konfiguration aus vier Hauptkomponenten: dem RADIUS-Authentifizierungsserver-Profil, dem RADIUS-Accounting-Server-Profil, dem Hotspot-WISPr-Portal-Profil und dem WLAN selbst. Beginnen Sie mit Ihren RADIUS-Servern. Navigieren Sie zu „Services and Profiles“, dann „Authentication“. Erstellen Sie ein neues AAA-Serverprofil. Setzen Sie das Service-Protokoll auf RADIUS. Die IP-Adresse Ihres primären Servers und das Shared Secret werden von Ihrem Portal-Anbieter bereitgestellt – im Fall von Purple sind diese in der Admin-Konsole des Purple-Portals dokumentiert. Port 1812 für die Authentifizierung. Konfigurieren Sie aus Redundanzgründen immer einen Backup-RADIUS-Server – ebenfalls Port 1812 auf dem sekundären Server. Machen Sie dann dasselbe für das Accounting unter „Services and Profiles“, „Accounting“ – Port 1813, gleiches Shared Secret. Als Nächstes das Hotspot WISPr-Profil. Gehen Sie zu „Services and Profiles“, „Hotspots and Portals“ und wählen Sie den Reiter „Hotspot WISPr“. Erstellen Sie ein neues Profil. Setzen Sie die „Login URL“ auf „External“ und geben Sie Ihre Portal-Weiterleitungs-URL ein – das ist die URL, an die Ihre Gäste vor der Authentifizierung weitergeleitet werden. Stellen Sie die „Start Page“ so ein, dass sie auf eine URL nach der Authentifizierung weiterleitet, in der Regel eine Erfolgsseite oder die Homepage Ihres Standorts. Nun zum Walled Garden. Hier stolpern viele Techniker. Der Walled Garden definiert, welche Domains und IP-Adressen ein Gast erreichen kann, bevor er sich authentifiziert hat. Sie müssen Ihre Portal-Domain, alle CDN- oder Asset-Domains, von denen Ihr Portal geladen wird, sowie standardmäßige Endpunkte zur Erkennung von Captive Portals des Betriebssystems aufnehmen. In SmartZone werden Wildcards im Format „Sternchen-Punkt“ unterstützt – also beispielsweise *.purple.ai. Dieser eine Eintrag deckt alle Subdomains ab. Sie müssen auch die Domains zur Erkennung von Captive Portals von Apple – captive.apple.com – und die Endpunkte zur Konnektivitätsprüfung von Google hinzufügen, um Fehlverhalten des CNA-Mini-Browsers auf iOS- und Android-Geräten zu verhindern. Ein kritischer Schritt, der leicht übersehen wird: Standardmäßig verschlüsselt SmartZone die MAC-Adresse und die IP-Adresse, die in der Weiterleitungs-URL an das externe Portal übergeben werden. Ihr Portal-Anbieter muss jedoch die tatsächliche Client-MAC-Adresse sehen, um ein MAC-basiertes Sitzungsmanagement durchzuführen. Sie müssen dies über das CLI deaktivieren. Verbinden Sie sich per SSH mit Ihrer SmartZone, wechseln Sie in den Konfigurationsmodus und führen Sie folgenden Befehl aus: no encrypt-mac-ip. Das ist alles – ein einziger Befehl, der jedoch ein absoluter Showstopper ist, wenn Sie ihn auslassen. Die Northbound Interface ist der andere Teil. Dies ist die API, die es Ihrer Portal-Plattform ermöglicht, mit der SmartZone zu kommunizieren, um nach der Authentifizierung den Zugriff zu gewähren oder zu verweigern. Aktivieren Sie diese unter „Administration“, „External Services“, „WISPr Northbound Interface“. Legen Sie einen Benutzernamen und ein Passwort fest und stellen Sie diese Anmeldedaten Ihrem Portal-Anbieter zur Verfügung. Die NBI läuft auf TCP-Port 9080 für HTTP und 9443 für HTTPS – stellen Sie sicher, dass Ihre Firewall eingehende Verbindungen aus dem IP-Bereich Ihrer Portal-Plattform zu diesen Ports zulässt. Erstellen Sie schließlich Ihr WLAN. Stellen Sie den „Authentication Type“ auf „Hotspot WISPr“, wählen Sie Ihr Portal-Profil aus und weisen Sie Ihre RADIUS-Authentifizierungs- und Accounting-Dienste zu. Setzen Sie die „NAS ID“ auf „User-defined“, falls Ihr Portal-Anbieter einen bestimmten Wert verlangt, stellen Sie die „Called Station ID“ auf „AP MAC“ ein und aktivieren Sie „Single Session ID“. Diese letzte Einstellung stellt sicher, dass die Sitzung eines Gastes an einen einzigen Controller-Sitzungsdatensatz gebunden ist, was für ein genaues Accounting wichtig ist. --- Nun zu Unleashed. Die Architektur unterscheidet sich grundlegend – Unleashed ist ein verteiltes, Controller-loses Modell, bei dem ein AP als Master fungiert. Die Konfiguration befindet sich unter „Admin and Services“, „Services“, „Hotspot Services“. Die Schritte sind im Großen und Ganzen ähnlich – erstellen Sie einen Hotspot-Service, konfigurieren Sie Ihre externe Portal-URL, richten Sie Ihren AAA-Authentifizierungsserver ein, fügen Sie Ihre Walled Garden-Einträge hinzu –, aber es gibt wesentliche Unterschiede. Erstens gibt es in Unleashed keine Anforderung für ein Northbound Interface. Das Portal-Kommunikationsmodell ist einfacher. Zweitens ist die MAC-Adressen-Verschlüsselung in Unleashed standardmäßig nicht aktiviert, sodass Sie den CLI-Befehl nicht benötigen. Drittens akzeptiert der Walled Garden von Unleashed Einträge auf Domain-Ebene anstelle der vollständigen Wildcard-Syntax – Sie würden also purple.ai anstelle von star-dot-purple.ai eingeben. Überprüfen Sie die Dokumentation Ihres Herstellers auf das genaue erforderliche Format. Unleashed skaliert auf etwa 50 Access Points und eignet sich daher für mittelgroße Hotels, Filialen im Einzelhandel und SMB-Bereitstellungen. Für alles, was darüber hinausgeht – Hotelgruppen mit mehreren Standorten, Stadien, große Einzelhandelsflächen –, ist SmartZone die richtige Plattform. --- Lassen Sie mich die zwei häufigsten Fehlerszenarien beschreiben, die mir in der Praxis begegnen. Das erste ist eine Fehlkonfiguration des Walled Garden. Wenn Ihre Portal-Seite nach der Weiterleitung nicht geladen wird, sollten Sie als Erstes prüfen, ob alle Domains, auf die Ihre Portal-Seite verweist, im Walled Garden eingetragen sind. Moderne Portal-Seiten laden Assets von mehreren CDN-Domains, Analyse-Skripten und Social-Login-SDKs. Wenn einer dieser Dienste vor der Authentifizierung blockiert wird, wird die Seite entweder gar nicht oder fehlerhaft geladen. Nutzen Sie die Entwicklertools Ihres Browsers auf einem Testgerät, das mit der Gäste-SSID verbunden ist, um zu identifizieren, welche Anfragen blockiert werden. Das zweite ist ein NBI-Konnektivitätsproblem. Wenn Gäste das Portal sehen und sich authentifizieren können, aber keinen Internetzugang erhalten, liegt die Ursache wahrscheinlich darin, dass die SmartZone den NBI-Callback von Ihrer Portal-Plattform nicht empfangen kann. Stellen Sie sicher, dass die Ports 9080 und 9443 für eingehende Verbindungen auf die Management-IP der SmartZone aus dem IP-Bereich Ihres Portal-Anbieters freigegeben sind. Überprüfen Sie außerdem, ob die von Ihnen konfigurierten NBI-Anmeldedaten mit den Daten übereinstimmen, die bei Ihrem Portal-Anbieter hinterlegt sind. Ein drittes erwähnenswertes Thema ist der Apple CNA (Captive Network Assistant). Wenn sich ein Gerät unter iOS mit einem Netzwerk verbindet, sendet es eine Anfrage an captive.apple.com. Wenn diese Anfrage eine andere Antwort als 200 erhält, öffnet iOS den Mini-Browser. Wenn sich captive.apple.com in Ihrem Walled Garden befindet, ist die Anfrage erfolgreich, iOS geht von einer bestehenden Internetverbindung aus und der CNA wird nicht angezeigt. Das klingt zunächst gut, bedeutet aber, dass Ihre Gäste das Portal nicht automatisch sehen. Sie müssen entscheiden: Möchten Sie, dass der CNA erscheint, oder sollen Gäste manuell einen Browser öffnen? Die meisten Hospitality-Bereitstellungen halten captive.apple.com außerhalb des Walled Garden, um den CNA auszulösen. --- Schnellfragerunde. Drei Fragen, die mir ständig gestellt werden. Benötige ich ein VLAN für mein Gäste-WLAN? Ja. Isolieren Sie den Datenverkehr von Gästen immer in einem dedizierten VLAN. Dies ist sowohl eine Sicherheitsanforderung als auch eine Vorgabe zur Einhaltung von PCI DSS, falls Ihr Standort Kartenzahlungen über dasselbe Netzwerk abwickelt. Kann ich Purple mit Ruckus Cloud anstelle von SmartZone verwenden? Ja, aber der Konfigurationspfad ist anders – er befindet sich unter WiFi-Netzwerke, Einstellungen für den Gästezugang. Die Prinzipien für die Konfiguration von Walled Garden und RADIUS sind dieselben. Unterstützt Purple SmartZone Multi-Zone-Bereitstellungen? Ja. Die Integration von Purple unterstützt Multi-Zone-SmartZone-Umgebungen, und Sie können Portal-Konfigurationen auf einzelne Zonen für verschiedene Standorte oder Etagen eingrenzen. --- Zusammenfassend lässt sich sagen: Die Ruckus SmartZone Captive Portal-Integration mit Purple ist ein ausgereiftes, gut dokumentiertes Bereitstellungsmuster, das eine zuverlässige Gäste-Authentifizierung in großem Maßstab bietet. Die wichtigsten Konfigurationspunkte sind: RADIUS auf den Ports 1812 und 1813 mit einem Backup-Server, das Hotspot-WISPr-Profil mit einer externen Login-URL, ein korrekt eingegrenzter Walled Garden mit Wildcard-Einträgen, der CLI-Befehl „no encrypt-mac-ip“ und das aktivierte Northbound Interface mit den korrekten Anmeldedaten. Wenn Sie diese fünf Punkte richtig umsetzen, haben Sie ein solides Fundament. Für Unleashed-Bereitstellungen gelten dieselben Prinzipien mit einem einfacheren Konfigurationsmodell und ohne NBI-Anforderung. Wenn Sie Purple auf Ruckus bereitstellen und Ihre Konfiguration vor dem Go-Live validieren möchten, kann Sie das technische Onboarding-Team von Purple durch eine Pre-Launch-Checkliste führen. Die Purple-Plattform bietet zudem Echtzeit-Analysen zu Portal-Ladezeiten, Authentifizierungs-Erfolgsraten und Sitzungsdaten – so erhalten Sie die nötige Transparenz, um Probleme zu erkennen, bevor Ihre Gäste es tun. Vielen Dank fürs Zuhören. In der nächsten Folge behandeln wir die 802.1X-Authentifizierung mit Cloud RADIUS – eine weitere Integration, die sich hervorragend mit Ruckus SmartZone für den geschäftlichen Gästezugang kombinieren lässt. Bis dahin.

📚 Teil unserer Kernserie: Multi-Tenant WiFi

header_image.png

कार्यकारी सारांश (Executive Summary)

एंटरप्राइझ स्थळांमध्ये हाय-परफॉर्मन्स गेस्ट वायरलेस नेटवर्क तैनात करण्यासाठी अखंड वापरकर्ता अनुभव आणि मजबूत तांत्रिक सुरक्षा यांच्यात अचूक संतुलन राखणे आवश्यक आहे. CommScope Ruckus आर्किटेक्चर वापरणाऱ्या संस्थांसाठी—ज्यामध्ये हाय-डेन्सिटी स्टेडियम आणि कन्व्हेन्शन सेंटर्सपासून ते विस्तीर्ण रिटेल इस्टेट आणि हॉस्पिटॅलिटी ग्रुप्सचा समावेश आहे—Captive Portal हा वापरकर्ता ऑनबोर्डिंग, अनुपालन अंमलबजावणी आणि फर्स्ट-पार्टी डेटा कॅप्चर करण्यासाठी प्राथमिक गेटवे म्हणून काम करतो.

हे मार्गदर्शक बाह्य Captive Portals ला Ruckus SmartZone आणि Ruckus Unleashed कंट्रोलर्ससह एकत्रित करण्यासाठी एक अधिकृत, टप्प्याटप्प्याने काम करणारी नियमावली प्रदान करते. उद्योग-मानक Wireless Internet Service Provider roaming (WISPr) प्रोटोकॉलचा वापर करून, नेटवर्क इंजिनिअर्स विश्वसनीय रिडायरेक्शन, सुरक्षित Remote Authentication Dial-In User Service (RADIUS) ऑथेंटिकेशन आणि तपशीलवार Walled Garden कॉन्फिगरेशन लागू करू शकतात.

जेव्हा हे Purple च्या Guest WiFi आणि WiFi Analytics प्लॅटफॉर्मसह जोडले जाते, तेव्हा हे एकत्रीकरण स्थळ चालकांना महत्त्वाचे अभ्यागत डेमोग्राफिक्स कॅप्चर करण्यास, आंतरराष्ट्रीय डेटा नियमांचे (जसे की GDPR आणि PCI DSS) पालन करण्यास आणि शक्तिशाली मार्केटिंग ऑटोमेशन अनलॉक करण्यास अनुमती देते. Hospitality आणि Transport हबमध्ये सेंट्रलाइज्ड व्हर्च्युअल स्मार्टझोन (vSZ) आर्किटेक्चर तैनात करणे असो, किंवा Retail वातावरणात डिस्ट्रिब्युटेड AP-आधारित Unleashed नेटवर्क असो, हा तांत्रिक संदर्भ एक लवचिक, हाय-थ्रूपुट डिप्लॉयमेंट सुनिश्चित करतो.

तांत्रिक सखोल विश्लेषण (Technical Deep-Dive)

अत्यंत स्केलेबल गेस्ट नेटवर्क तैनात करण्यासाठी, इंजिनिअर्सना Captive Portal फ्लो नियंत्रित करणाऱ्या मूलभूत कम्युनिकेशन मानकांना समजून घेणे आवश्यक आहे. Ruckus आर्किटेक्चर क्लायंट रिडायरेक्शन आणि ऑथेंटिकेशनची बोलणी करण्यासाठी WISPr 2.0 मानकांचा वापर करतात. WISPr हे परिभाषित करते की वायरलेस ॲक्सेस पॉइंट (AP) किंवा कंट्रोलर अनऑथेंटिकेटेड HTTP/HTTPS ट्रॅफिक कसे अडवतो आणि क्लायंट ब्राउझरला बाह्य पोर्टल वेब सर्व्हरवर कसे रिडायरेक्ट करतो.

WISPr ऑथेंटिकेशन फ्लो

बाह्य Captive Portal रिडायरेक्शन प्रक्रिया नेटवर्क व्यवहारांच्या कठोर अनुक्रमाचे अनुसरण करते. अपस्ट्रीम फायरवॉल पॉलिसींचे ट्रबलशूटिंग आणि कॉन्फिगरेशन करण्यासाठी हा फ्लो समजून घेणे आवश्यक आहे:

  1. असोसिएशन (Association): गेस्ट क्लायंट खुल्या, अनइन्क्रिप्टेड गेस्ट SSID शी जोडला जातो. AP DHCP द्वारे क्लायंटला IP ॲड्रेस नियुक्त करतो.
  2. HTTP प्रोब (HTTP Probe): इंटरनेट प्रवेशाची पडताळणी करण्यासाठी क्लायंट ऑपरेटिंग सिस्टम HTTP प्रोब सुरू करते (उदा. Apple चा Captive Network Assistant प्रोब captive.apple.com वर किंवा Android चा कनेक्टिव्हिटी चेक connectivitycheck.gstatic.com वर).
  3. HTTP 302 Redirect: Ruckus AP किंवा SmartZone कंट्रोलर या अनधिकृत HTTP विनंतीला अडवतो. तो HTTP 302 Redirect सह प्रतिसाद देतो, क्लायंटच्या ब्राउझरला बाह्य पोर्टल URL वर (उदा. Purple चे लॉगिन पृष्ठ) फॉरवर्ड करतो. या रीडायरेक्ट URL मध्ये महत्त्वाचे क्वेरी पॅरामीटर्स जोडले जातात, ज्यामध्ये क्लायंटचा MAC पत्ता (client_mac), IP पत्ता (client_ip), AP MAC पत्ता (ap_mac), आणि कंट्रोलरचा Northbound Interface IP (nbiIP) समाविष्ट असतो.
  4. Portal Rendering: क्लायंट ब्राउझर बाह्य पोर्टल पृष्ठ लोड करतो. पोर्टल डोमेन आणि त्याच्याशी संबंधित मालमत्तांवरील अनधिकृत ट्रॅफिकला कंट्रोलरच्या Walled Garden पॉलिसीद्वारे परवानगी दिली जाते.
  5. User Authentication: वापरकर्ता पोर्टलवर लॉगिन आवश्यकता पूर्ण करतो (उदा. सोशल साइन-ऑन, SMS नोंदणी, फॉर्म सबमिशन).
  6. RADIUS Access-Request: बाह्य पोर्टल प्लॅटफॉर्म, RADIUS क्लायंट म्हणून काम करत, कॉन्फिगर केलेल्या RADIUS Authentication Server कडे (जसे की Purple ची Cloud RADIUS इन्फ्रास्ट्रक्चर) Access-Request पाठवतो.
  7. RADIUS Access-Accept: RADIUS सर्व्हर क्रेडेंशियल्स सत्यापित करतो आणि Ruckus कंट्रोलरला सेशन पॅरामीटर्स (उदा. सेशन टाइमआउट, बँडविड्थ मर्यादा) असलेले Access-Accept पॅकेट परत करतो.
  8. NBI Callback: बाह्य पोर्टल WISPr क्रेडेंशियल्सचा वापर करून Ruckus कंट्रोलरच्या Northbound Interface (NBI) ला API कॉल करते, ज्यामुळे कंट्रोलरला क्लायंटचा MAC पत्ता अधिकृत करण्याची सूचना मिळते.
  9. Internet Access: कंट्रोलर क्लायंटची स्थिती "Authenticated" वर बदलतो, ज्यामुळे कॉन्फिगर केलेल्या सेशन पॉलिसींच्या अधीन राहून पूर्ण इंटरनेट प्रवेश मिळतो.

architecture_overview.png

मुख्य आर्किटेक्चर तुलना

ठिकाणाच्या प्रमाणावर अवलंबून, संस्था CommScope Ruckus SmartZone (एंटरप्राइझ-स्केल, कंट्रोलर-आधारित) किंवा Ruckus Unleashed (वितरित, कंट्रोलर-विरहित) आर्किटेक्चर तैनात करतात. दोन्ही WISPr-आधारित बाह्य Captive Portals ला सपोर्ट करत असले तरी, त्यांचे मूळ कॉन्फिगरेशन मार्ग आणि क्षमता लक्षणीयरीत्या भिन्न आहेत:

तांत्रिक वैशिष्ट्य Ruckus SmartZone (vSZ / SZ144 / SZ300) Ruckus Unleashed (वितरित AP)
कंट्रोलर आर्किटेक्चर १०,००० पर्यंत APs व्यवस्थापित करणारे केंद्रीकृत भौतिक किंवा आभासी उपकरण. ५० पर्यंत APs व्यवस्थापित करणारे वितरित मास्टर-मेंबर AP आर्किटेक्चर.
कॉन्फिगरेशन मार्ग Services > Hotspots & Portals > Hotspot (WISPr) Admin & Services > Services > Hotspot Services
API कॉलबॅक पद्धत TCP पोर्ट्स ९०८०/९४४३ द्वारे Northbound Interface (NBI). बाह्य API कॉलबॅकशिवाय थेट RADIUS/स्थानिक प्रमाणीकरण.
MAC पत्ता एन्क्रिप्शन डीफॉल्टनुसार सक्षम; CLI द्वारे अक्षम करणे आवश्यक आहे (no encrypt-mac-ip). डीफॉल्टनुसार अक्षम; MAC पत्ते प्लेन टेक्स्टमध्ये पाठवले जातात.
Walled Garden Wildcards पूर्ण वाईल्डकार्ड फॉरमॅटिंगला सपोर्ट करते (उदा., *.purple.ai). डोमेन-स्तरीय एंट्रीजला सपोर्ट करते (उदा., purple.ai).
RADIUS Proxy Support "Proxy (SZ Authenticator)" किंवा थेट AAA द्वारे सपोर्टेड. थेट AAA Server कॉन्फिगरेशनद्वारे सपोर्टेड.
Target Deployments स्टेडियम, मोठी हॉटेल्स, Transport हब्स, Healthcare कॅम्पसेस. मिड-मार्केट हॉटेल्स, Retail स्टोअर्स, Schools .

अंमलबजावणी मार्गदर्शिका (Implementation Guide)

ही टप्प्याटप्प्याने दिलेली अंमलबजावणी मार्गदर्शिका नेटवर्क इंजिनिअर्सना Ruckus SmartZone आणि Ruckus Unleashed कंट्रोलर्सवर बाह्य Captive Portal कॉन्फिगर करण्याची प्रक्रिया समजावून सांगते.

भाग A: Ruckus SmartZone कॉन्फिगरेशन

टप्पा १: RADIUS AAA Servers कॉन्फिगर करा

बाह्य डेटाबेसवर अतिथी युजर्सचे प्रमाणीकरण (authenticate) करण्यासाठी, तुम्ही प्रथम RADIUS Authentication आणि Accounting सर्व्हर्स परिभाषित केले पाहिजेत.

  1. Services & Profiles > Authentication वर जा आणि Proxy (SZ Authenticator) टॅब निवडा.
  2. तुमचा लक्ष्यित Zone निवडा आणि Create वर क्लिक करा.
  3. खालील पॅरामीटर्स कॉन्फिगर करा:
    • Name: Purple_RADIUS_Auth
    • Service Protocol: RADIUS
    • Primary Server IP: तुमच्या Purple Admin Console मध्ये दिलेला IP ॲड्रेस प्रविष्ट करा.
    • Port: 1812
    • Shared Secret: तुमचे Purple RADIUS Shared Secret प्रविष्ट करा.
    • Backup RADIUS: Enabled (हाय अ‍ॅव्हेलेबिलिटीसाठी दुय्यम IP, Port 1812 आणि तेच shared secret कॉन्फिगर करा).
  4. सेव्ह करण्यासाठी OK वर क्लिक करा.
  5. Services & Profiles > Accounting वर जा आणि Proxy (SZ Authenticator) टॅब अंतर्गत Create वर क्लिक करा.
  6. खालील पॅरामीटर्स कॉन्फिगर करा:
    • Name: Purple_RADIUS_Acct
    • Service Protocol: RADIUS Accounting
    • Primary Server IP: तुमच्या Purple Admin Console मध्ये दिलेला IP ॲड्रेस प्रविष्ट करा.
    • Port: 1813
    • Shared Secret: तुमचे Purple RADIUS Shared Secret प्रविष्ट करा.
    • Backup RADIUS: Enabled (दुय्यम IP, Port 1813 आणि तेच shared secret कॉन्फिगर करा).
  7. सेव्ह करण्यासाठी OK वर क्लिक करा.

टप्पा २: Hotspot WISPr Portal Profile कॉन्फिगर करा

Hotspot WISPr प्रोफाइल रिडायरेक्शन वर्तन आणि Walled Garden नियम परिभाषित करते.

  1. Services & Profiles > Hotspots & Portals > Hotspot (WISPr) वर जा.
  2. तुमचा लक्ष्यित Zone निवडा आणि Create वर क्लिक करा.
  3. General Options विभागात, खालील कॉन्फिगर करा:
    • Portal Name: Purple_WISPr_Portal
    • WISPr Smart Client Support: None
    • Login URL: External निवडा आणि Purple द्वारे प्रदान केलेले प्राथमिक रिडायरेक्ट URL प्रविष्ट करा (उदा., https://login.purple.ai/start).
    • Redirect MAC Format: AA:BB:CC:DD:EE:FF (हा फॉरमॅट Purple च्या डेटाबेस पार्सिंगसाठी अत्यंत महत्त्वाचा आहे).
  4. Start Page विभागात, खालील कॉन्फिगर करा:
    • Redirect to the following URL निवडा आणि प्रविष्ट करा: https://login.purple.ai/success.php
  5. Session Options विभागात, खालील कॉन्फिगर करा:
    • Session Timeout: 1440 मिनिटे (२४ तास, किंवा तुमच्या कॉर्पोरेट पॉलिसीनुसार ठेवा).
    • Grace Period: 60 मिनिटे (वापरकर्त्यांना पुन्हा-प्रमाणित न करता १ तासाच्या आत पुन्हा कनेक्ट होण्याची परवानगी देते).
  6. प्रोफाइल सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी ३: Walled Garden अपवाद परिभाषित करा

Walled Garden अप्रमाणित क्लायंटना DNS रिझॉल्व्ह करण्याची आणि स्प्लॅश पेज लोड करण्यासाठी व प्रमाणित करण्यासाठी आवश्यक असलेल्या विशिष्ट डोमेन्समधून मालमत्ता डाउनलोड करण्याची परवानगी देते.

  1. तुमच्या नवीन तयार केलेल्या Purple_WISPr_Portal प्रोफाइलमध्ये सुधारणा करा.
  2. खाली स्क्रोल करा आणि Walled Garden विभाग विस्तृत करण्यासाठी + चिन्हावर क्लिक करा.
  3. खालील अनिवार्य डोमेन्स जोडा. लक्षात ठेवा की Ruckus SmartZone ला *.domain.com या वाइल्डकार्ड फॉरमॅटची आवश्यकता असते:
    • *.purple.ai (मुख्य पोर्टल आणि रिडायरेक्शन डोमेन)
    • *.cloudfront.net (स्टाईलशीट आणि JavaScript मालमत्ता लोड करण्यासाठी CDN)
    • *.apple.com आणि captive.apple.com (Apple Captive Network Assistant वर्तन व्यवस्थापित करण्यासाठी)
    • *.googleapis.com आणि *.gstatic.com (Google API आणि मालमत्ता वितरणासाठी)
  4. तुम्ही सोशल लॉगिन सक्षम केल्यास कोणतेही सोशल मीडिया डोमेन्स जोडा (उदा. Facebook लॉगिनसाठी *.facebook.com, *.facebook.net).
  5. सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी ४: गेस्ट वायरलेस LAN (WLAN) कॉन्फिगर करा

आता, RADIUS सर्व्हर आणि Hotspot प्रोफाइल एका नवीन SSID शी बाइंड करा.

  1. Wireless LANs वर जा आणि तुमचे लक्ष्य Zone निवडा.
  2. नवीन WLAN तयार करण्यासाठी Create वर क्लिक करा.
  3. General Options कॉन्फिगर करा:
    • नाव: Guest_WiFi
    • SSID: !Free_Venue_WiFi
  4. Security Options कॉन्फिगर करा:
    • Authentication Type: Hotspot (WISPr)
    • Method: Open
    • Encryption Options: None
  5. Hotspot Portal विभाग विस्तृत करा:
    • Hotspot (WISPr) Portal: Purple_WISPr_Portal निवडा.
    • Authentication Service: Purple_RADIUS_Auth निवडा.
    • Accounting Service: Purple_RADIUS_Acct निवडा.
    • Send Interim Update: 5 मिनिटांवर सेट करा (रिअल-टाइम सेशन ट्रॅकिंगसाठी आवश्यक).
  6. RADIUS Options विस्तृत करा:
    • NAS ID: User-defined वर सेट करा आणि तुमचा Purple-नियुक्त ठिकाण (venue) ID प्रविष्ट करा.
    • Called Station ID: AP MAC निवडा.
    • Single Session ID: ON (APs मध्ये सेशन डुप्लिकेशन प्रतिबंधित करते).
  7. WLAN तैनात करण्यासाठी OK वर क्लिक करा.

पायरी ५: WISPr Northbound Interface (NBI) सक्षम करा

NBI मुळे Purple ला क्लायंटना अधिकृत करण्यासाठी SmartZone शी परत संवाद साधण्याची परवानगी मिळते.

  1. Administration > External Services > WISPr Northbound Interface वर जा.
  2. Enable Northbound Interface support या बॉक्सवर खूण करा.
  3. एक Username आणि Password परिभाषित करा (उदा. purple_nbi / SecureNbiPassword123!).
  4. हे क्रेडेंशियल्स Purple ॲडमिन कन्सोलमध्ये Integrations > Ruckus SmartZone अंतर्गत प्रविष्ट करा.

पायरी ६: MAC/IP एन्क्रिप्शन अक्षम करा (महत्त्वाची CLI पायरी)

डीफॉल्टनुसार, SmartZone रिडायरेक्ट URL मधील MAC पत्ते एन्क्रिप्ट करते. Purple ला क्लायंटचे MAC वाचता यावेत यासाठी तुम्ही हे अक्षम केले पाहिजे.

  1. तुमच्या SmartZone कंट्रोलर मॅनेजमेंट IP वर SSH सेशन उघडा.
  2. तुमच्या प्रशासक क्रेडेंशियल्ससह लॉग इन करा.
  3. खालील कमांड्स कार्यान्वित करा:
    ruckus> enable
ruckus# config
ruckus(config)# no encrypt-mac-ip
ruckus(config)# end
ruckus# write memory

भाग B: Ruckus Unleashed कॉन्फिगरेशन

कंट्रोलर-लेस Unleashed आर्किटेक्चर वापरणाऱ्या लहान ठिकाणांसाठी, मास्टर AP वेब इंटरफेसद्वारे Captive Portal कॉन्फिगर करा.

पायरी 1: AAA सर्व्हर्स परिभाषित करा

  1. Admin & Services > Services > AAA Servers वर जा.
  2. RADIUS ऑथेंटिकेशन सर्व्हर जोडण्यासाठी Create New वर क्लिक करा:
    • Name: Purple_Auth
    • Type: RADIUS
    • IP Address: Purple चा RADIUS IP प्रविष्ट करा.
    • Port: 1812
    • Shared Secret: तुमचा Purple RADIUS Shared Secret प्रविष्ट करा.
  3. OK वर क्लिक करा.
  4. RADIUS अकाउंटिंग सर्व्हर जोडण्यासाठी Create New वर क्लिक करा:
    • Name: Purple_Acct
    • Type: RADIUS Accounting
    • IP Address: Purple चा RADIUS IP प्रविष्ट करा.
    • Port: 1813
    • Shared Secret: तुमचा Purple RADIUS Shared Secret प्रविष्ट करा.
  5. OK वर क्लिक करा.

पायरी 2: Hotspot सेवा कॉन्फिगर करा

  1. Admin & Services > Services > Hotspot Services वर जा.
  2. Create New वर क्लिक करा.
  3. General टॅब अंतर्गत:
    • Name: Purple_Hotspot
    • Login URL: तुमची Purple रीडायरेक्ट URL प्रविष्ट करा.
    • Start Page: Redirect to the following URL निवडा आणि https://login.purple.ai/success.php प्रविष्ट करा.
  4. Authentication टॅब अंतर्गत:
    • Authentication Server: Purple_Auth निवडा.
    • Accounting Server: Purple_Acct निवडा.
    • Interim Update: 5 मिनिटांवर सेट करा.
  5. Walled Garden टॅब अंतर्गत:
    • डोमेन-स्तरीय नोंदी जोडा (उदा. purple.ai, cloudfront.net, gstatic.com). लक्षात ठेवा की Unleashed ला एस्टरिस्क वाईल्डकार्ड (*) उपसर्गाची आवश्यकता नसते; मानक डोमेन-स्तरीय मॅचिंग स्वयंचलितपणे लागू केले जाते.
  6. सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी 3: WLAN ला Hotspot सेवा लागू करा

  1. Wi-Fi Networks वर जा आणि Create वर क्लिक करा.
  2. Name आणि SSID तुमच्या गेस्ट नेटवर्कच्या नावावर सेट करा.
  3. Usage Type हे Hotspot Service वर सेट करा.
  4. सेवांच्या सूचीमधून Purple_Hotspot निवडा.
  5. सर्व Unleashed APs वर SSID प्रकाशित करण्यासाठी OK वर क्लिक करा.

comparison_chart.png

सर्वोत्तम पद्धती (Best Practices)

कमाल कार्यक्षमता, सुरक्षा आणि नियामक अनुपालन सुनिश्चित करण्यासाठी, नेटवर्क आर्किटेक्ट्सनी खालील उद्योग-मानक सर्वोत्तम पद्धती लागू केल्या पाहिजेत:

1. ग्रॅन्युलर गेस्ट VLAN सेगमेंटेशन

गेस्ट ट्रॅफिक कधीही नेटिव्ह किंवा मॅनेजमेंट VLAN वर मॅप करू नका. गेस्ट क्लायंट्सना नेहमी एका समर्पित, नॉन-राउटेबल VLAN (उदा. VLAN 100) वर वेगळे ठेवा. कॉर्पोरेट सबनेट्स, पॉइंट-ऑफ-सेल (POS) सिस्टीम्स आणि IoT इन्फ्रास्ट्रक्चरपर्यंत गेस्ट ट्रॅफिक पोहोचण्यापासून रोखण्यासाठी अपस्ट्रीम स्विच किंवा फायरवॉलवर कडक ॲक्सेस कंट्रोल लिस्ट्स (ACLs) लागू करा. हे सेगमेंटेशन PCI DSS अनुपालनासाठी एक मुख्य आवश्यकता आहे.

2. हाय-डेन्सिटी RF ऑप्टिमायझेशन

स्टेडियम, कॉन्फरन्स सेंटर्स आणि मोठ्या रिटेल हब सारख्या हाय-डेन्सिटी वातावरणात, RF ट्यूनिंग अत्यंत आवश्यक आहे. क्लायंट्सना जलद गतीवर जाण्यास भाग पाडण्यासाठी आणि एअरटाइममधील स्पर्धा कमी करण्यासाठी कमी लेगसी डेटा दर अक्षम करा (उदा. १२ Mbps पेक्षा कमी ८०२.११b दर अक्षम करा). ड्युअल-बँड क्लायंट डिव्हाइसेसना ५ GHz आणि ६ GHz स्पेक्ट्रमवर निर्देशित करण्यासाठी Band Steering सक्षम करा, जेणेकरून अत्यंत गर्दीचा २.४ GHz बँड लेगसी डिव्हाइसेससाठी सुरक्षित राहील.

३. डायनॅमिक Walled Garden व्यवस्थापन

तुमचा Walled Garden शक्य तितका मर्यादित ठेवा. अतिशय सवलत देणारे walled gardens (जसे की १७२.२१७.०.०/१६ सारखे मोठे IP सबनेट्स जोडणे) अनधिकृत वापरकर्त्यांना Captive Portal बायपास करण्याची आणि लॉग इन न करता बाह्य सेवांवर (जसे की Google Search किंवा YouTube) प्रवेश करण्याची परवानगी देऊ शकतात. तुमच्या walled garden डोमेन्सचे नियमितपणे ऑडिट करा, विशेषतः नवीन सोशल लॉगिन प्रदाते सक्षम केल्यानंतर.

४. सुरक्षित सत्र (Session) व्यवस्थापन

योग्य सत्र कालबाह्यता (उदा. १४४० मिनिटे / २४ तास) आणि वाढीव कालावधी (उदा. ६० मिनिटे) सेट करा. योग्यरित्या कॉन्फिगर केलेला वाढीव कालावधी वापरकर्त्यांना तात्पुरते WiFi कव्हरेज गमावल्यास (उदा. हॉटेलच्या लॉबीबाहेर पाऊल ठेवल्यास) पुन्हा लॉग इन करण्याची सक्ती न करता अखंडपणे कनेक्ट होण्याची परवानगी देऊन "पोर्टल थकवा" टाळतो.

५. नियामक अनुपालन आणि सुरक्षा

सार्वजनिक अतिथी WiFi तैनात केल्याने ठिकाणे कायदेशीर जोखमीच्या कक्षेत येतात. तुमचे Captive Portal एकत्रीकरण स्थानिक नियमांचे पालन करत असल्याची खात्री करा:

  • GDPR / CCPA: स्प्लॅश पेज स्पष्ट सेवा अटी आणि गोपनीयता धोरणे प्रदर्शित करत असल्याची खात्री करा, ज्यासाठी विपणन संप्रेषणांसाठी सक्रिय संमती आवश्यक आहे.
  • WPA3-Transition Mode: अतिथी नेटवर्क सामान्यतः खुले असले तरी, क्लायंट आणि AP मधील वायरलेस ट्रॅफिक एन्क्रिप्ट करण्यासाठी Opportunistic Wireless Encryption (OWE) सह WPA3-Transition मोड सक्षम करण्याचा विचार करा, जेणेकरून अतिथींचे पॅसिव्ह इव्हसड्रॉपिंग (गुप्तपणे ऐकणे) पासून संरक्षण होईल.
  • वेब सामग्री फिल्टरिंग: अतिथी VLAN वरील दुर्भावनापूर्ण डोमेन्स, प्रौढ सामग्री आणि बेकायदेशीर फाइल-शेअरिंग ट्रॅफिक ब्लॉक करण्यासाठी अपस्ट्रीम DNS सर्व्हर्स (जसे की Cisco Umbrella किंवा Cloudflare Families) कॉन्फिगर केले पाहिजेत.

ट्रबलशूटिंग आणि जोखीम कमी करणे

Ruckus हार्डवेअरवर बाह्य Captive Portals तैनात करताना, अभियंत्यांना सामान्यतः कॉन्फिगरेशन आणि नेटवर्क पाथ समस्यांच्या एका विशिष्ट संचाचा सामना करावा लागतो. उपयोजन अडथळे सोडवण्यासाठी या संरचित ट्रबलशूटिंग फ्रेमवर्कचा वापर करा.

सामान्य बिघाड मोड आणि निराकरण मार्ग

समस्या १: अतिथी डिव्हाइसेस Captive Portal पृष्ठावर रीडायरेक्ट होत नाहीत.

  • मूळ कारण A: DNS रिझोल्यूशन अयशस्वी. अनधिकृत क्लायंट रीडायरेक्शनपूर्वी DNS क्वेरी सोडवण्यास सक्षम असणे आवश्यक आहे. जर क्लायंट login.purple.ai सोडवू शकला नाही, तर रीडायरेक्ट अयशस्वी होईल.
    • निराकरण: अतिथी VLAN ला नियुक्त केलेली DHCP व्याप्ती वैध, सार्वजनिक DNS सर्व्हर्स (उदा. १.१.१.१ किंवा ८.८.८.८) प्रदान करत असल्याची पडताळणी करा. अपस्ट्रीम फायरवॉल अतिथी सबनेटमधून इंटरनेट प्री-ऑथेंटिकेशनसाठी UDP पोर्ट ५३ ट्रॅफिकला अनुमती देत असल्याची खात्री करा.
  • मूळ कारण B: फायरवॉल पोर्ट ९०८०/९४४३ ब्लॉक करत आहे. SmartZone ला स्प्लॅश पेज लोड करण्यासाठी विशिष्ट पोर्ट्स उघडे असणे आवश्यक आहे.
    • निराकरण: कोणत्याही स्थानिक फायरवॉलद्वारे TCP पोर्ट 9080 (HTTP) किंवा 9443 (HTTPS) ला परवानगी असल्याची खात्री करा.
  • मूळ कारण C: Walled Garden चे चुकीचे कॉन्फिगरेशन. रीडायरेक्ट URL स्वतःच ब्लॉक केली असू शकते.
    • निराकरण: Hotspot WISPr Walled Garden मध्ये *.purple.ai स्पष्टपणे परिभाषित केले असल्याची खात्री करा.

समस्या 2: अतिथी लॉगिन पेज पाहू शकतात आणि पूर्ण करू शकतात, परंतु "Connect" वर क्लिक केल्यानंतर इंटरनेटचा वापर करू शकत नाहीत.

  • मूळ कारण A: NBI कम्युनिकेशन अयशस्वी. बाह्य पोर्टल SmartZone कंट्रोलरला ऑथोरायझेशन API कॉल परत पाठवू शकत नाही.
    • निराकरण: SmartZone चा Northbound Interface (NBI) सक्षम असल्याची आणि Purple ॲडमिन कन्सोलमध्ये प्रविष्ट केलेली क्रेडेन्शियल्स कंट्रोलर कॉन्फिगरेशनशी जुळत असल्याची पडताळणी करा. तुमची एज फायरवॉल Purple च्या पब्लिक IP रेंजमधून SmartZone मॅनेजमेंट IP कडे येणाऱ्या इनबाउंड TCP पोर्ट 9080 (किंवा 9443) ट्रॅफिकला परवानगी देते याची खात्री करा.
  • मूळ कारण B: RADIUS ऑथेंटिकेशन अयशस्वी. कंट्रोलर RADIUS Access-Accept नाकारत आहे किंवा तो प्राप्त झालेला नाही.
    • निराकरण: SmartZone वरील Services & Profiles > Authentication वर जा, तुमचा RADIUS सर्व्हर निवडा आणि Test AAA वर क्लिक करा. कनेक्टिव्हिटीची पडताळणी करण्यासाठी चाचणी क्रेडेन्शियल्स प्रविष्ट करा. चाचणी अयशस्वी झाल्यास, RADIUS IP, पोर्ट 1812 आणि Shared Secret ची पडताळणी करा. तुमच्या एज फायरवॉलवर UDP पोर्ट 1812 आणि 1813 ला आउटबाउंड परवानगी असल्याची खात्री करा.

समस्या 3: Apple iOS डिव्हाइसेस Captive Network Assistant (CNA) मिनी-ब्राउझर स्वयंचलितपणे प्रदर्शित करत नाहीत.

  • मूळ कारण: Apple CNA बायपास सक्षम आहे किंवा Walled Garden खूप शिथिल आहे. जर Apple च्या चाचणी डोमेनला walled garden मध्ये परवानगी दिली असेल, तर iOS गृहीत धरते की त्याला थेट इंटरनेट ॲक्सेस आहे आणि ते CNA दाबून टाकते.
    • निराकरण: तुम्हाला CNA दिसण्यास भाग पाडायचे असल्यास तुमच्या walled garden मध्ये captive.apple.com पूर्णपणे बायपास केलेले नाही याची खात्री करा. याउलट, तुमचे धोरण CNA बायपास करण्याचे आणि वापरकर्त्यांना मानक ब्राउझर उघडण्यास भाग पाडण्याचे असल्यास, WLAN कॉन्फिगरेशनमध्ये Bypass CNA ON असल्याचे सुनिश्चित करा.

नेटवर्क पोर्ट आणि प्रोटोकॉल आवश्यकता

Ruckus कंट्रोलर, क्लायंट डिव्हाइसेस आणि बाह्य पोर्टल दरम्यान अखंड संवाद सुनिश्चित करण्यासाठी, तुमच्या नेटवर्क फायरवॉलवर खालील पोर्ट्सना परवानगी असल्याची पडताळणी करा:

स्त्रोत गंतव्य प्रोटोकॉल पोर्ट उद्देश
Guest Subnet Public DNS UDP 53 प्री-ऑथेंटिकेशन DNS रिझोल्यूशन.
Guest Subnet SmartZone Controller TCP 9080 / 9443 Captive Portal रीडायरेक्शन आणि WISPr वेब ऑथेंटिकेशन.
SmartZone Controller Purple RADIUS Servers UDP 1812 RADIUS ऑथेंटिकेशन ट्रॅफिक.
SmartZone Controller Purple RADIUS Servers UDP 1813 RADIUS अकाउंटिंग / सेशन ट्रॅकिंग.
Purple Portal Cloud SmartZone Controller TCP 9080 / 9443 इनबाउंड Northbound Interface (NBI) API कॉलबॅक.

ROI आणि व्यावसायिक प्रभाव

नेटवर्क इंजिनिअर्स पॅकेट फ्लो आणि पोर्ट कॉन्फिगरेशनवर लक्ष केंद्रित करत असताना, IT डायरेक्टर्स आणि CTOs नी एंटरप्राइझ गेस्ट WiFi मधील गुंतवणुकीचे समर्थन केले पाहिजे. Ruckus हाय-डेन्सिटी हार्डवेअरला Purple's WiFi Analytics प्लॅटफॉर्मसह एकत्रित केल्याने कॉस्ट-सेंटर नेटवर्कचे रूपांतर एका उच्च-मूल्य व्यवसाय मालमत्तेत होते, ज्यामुळे मोजता येण्याजोगा रिटर्न ऑन इन्व्हेस्टमेंट (ROI) मिळतो.

1. मोठ्या प्रमाणावर फर्स्ट-पार्टी डेटा कॅप्चर

Retail आणि Hospitality सारख्या उद्योगांमध्ये, ग्राहकांची डेमोग्राफिक्स समजून घेणे हा व्यवसाय वाढीचा मुख्य चालक आहे. एक मानक ओपन SSID कोणताही अभ्यागत डेटा कॅप्चर करत नाही. Purple चे Captive Portal लागू करून, ठिकाणे सरासरी २५% ते ४०% लॉगिन पूर्णता दर प्राप्त करतात. हे ऑपरेटर्सना कायदेशीररित्या सत्यापित ईमेल पत्ते, फोन नंबर आणि सोशल प्रोफाईल कॅप्चर करण्याची परवानगी देते.

2. हायपर-लोकलाइज्ड मार्केटिंग आणि एंगेजमेंट

Ruckus च्या अचूक लोकेशन सेवांना Purple च्या मार्केटिंग इंजिनसह जोडून, ठिकाणे प्रत्यक्ष उपस्थितीवर आधारित स्वयंचलित, रिअल-टाइम मोहिमा सुरू करू शकतात. उदाहरणार्थ, एखादा रिटेल ब्रँड १५ मिनिटांपेक्षा जास्त काळ विशिष्ट विभागात ब्राउझिंग करत असलेल्या पाहुण्याला लक्ष्यित SMS कूपन पाठवू शकतो, किंवा एखादे हॉटेल पाहुण्याने लॉबी WiFi शी कनेक्ट केल्यानंतर लगेचच स्पा सेवा बुक करण्यासाठी लिंकसह स्वागत ईमेल पाठवू शकते.

3. ऑपरेशनल कार्यक्षमता आणि ठिकाणाचे इनसाइट्स

Captive Portals ना लोकेशन ॲनालिटिक्ससह एकत्रित केल्याने शक्तिशाली ऑपरेशनल इंटेलिजन्स मिळतो. ठिकाणाचे डायरेक्टर्स खालील गोष्टींचे निरीक्षण करू शकतात:

  • फूटफॉल आणि ड्वेल टाइम: अभ्यागतांची अचूक संख्या, ते किती वेळ थांबतात आणि प्रत्यक्ष जागेतील त्यांचा मार्ग मोजा.
  • लॉयल्टी आणि रिटर्न रेट्स: मार्केटिंग मोहिमा आणि ऑपरेशनल बदलांच्या प्रभावाचे मूल्यांकन करण्यासाठी नवीन विरुद्ध परत येणारे अभ्यागत ओळखा.
  • कर्मचारी ऑप्टिमायझेशन: रिअल-टाइम अभ्यागत डेन्सिटी मॅपसह कर्मचाऱ्यांच्या पातळीची सांगड घाला, ज्यामुळे ऑफ-पीक अवर्समध्ये ओव्हरहेड कमी होतो आणि पीक अवर्समध्ये ग्राहक सेवा सुधारते.

बिझनेस इम्पॅक्ट मॅट्रिक्स

खालील तक्ता Ruckus आणि Purple एकात्मिक गेस्ट WiFi नेटवर्कच्या तैनातीनंतर मुख्य व्हर्टिकल्समधील सामान्य व्यावसायिक परिणाम दर्शवतो:

ठिकाण व्हर्टिकल प्राथमिक व्यावसायिक आव्हान Ruckus + Purple सोल्यूशन मोजता येणारा व्यावसायिक प्रभाव
Hospitality (हॉटेल्स, रिसॉर्ट्स) उच्च गेस्ट ऑनबोर्डिंग घर्षण; कमी थेट बुकिंग दर; कमी रिव्ह्यू प्रमाण. अखंड WISPr ऑनबोर्डिंग; TripAdvisor शी लिंक केलेले स्वयंचलित पोस्ट-स्टे ईमेल ट्रिगर्स. थेट बुकिंगमध्ये २०% वाढ; सकारात्मक ऑनलाइन रिव्ह्यू प्रमाणात ३५% वाढ.
Retail (मॉल्स, फ्लॅगशिप स्टोअर्स) प्रत्यक्ष अभ्यागतांच्या प्रवासाचा मागोवा घेण्यास असमर्थता; कमी लॉयल्टी प्रोग्राम नोंदणी. स्प्लॅश पेजद्वारे डेमोग्राफिक डेटा कॅप्चर करा; प्रत्यक्ष मार्ग आणि ड्वेल टाइमचा मागोवा घ्या. लॉयल्टी डेटाबेसमध्ये १५% वाढ; लक्ष्यित SMS द्वारे सरासरी बास्केट आकारात १०% वाढ.
वाहतूक (विमानतळ, रेल्वे स्थानके) प्रचंड गर्दी; क्लिष्ट बहु-भाषिक प्रवासी ऑनबोर्डिंग. हाय-डेन्सिटी Ruckus AP परफॉर्मन्स; फ्लाइट ट्रॅकिंगसह बहु-भाषिक Captive Portal. कनेक्शन-संबंधित सपोर्ट तिकिटांमध्ये ४०% घट; रिटेल कन्सेशन खर्चात २५% वाढ.
आरोग्य सेवा (रुग्णालये, दवाखाने) कडक सुरक्षा अनुपालन; अतिथी प्रवेशासाठी उच्च प्रशासकीय ओव्हरहेड. स्वतंत्र Guest VLAN; सुरक्षित सेल्फ-रजिस्ट्रेशन पोर्टल; NAC solutions सह एकत्रीकरण. HIPAA आणि PCI DSS चे १००% अनुपालन; आयटी हेल्पडेस्क तिकीट व्हॉल्यूममध्ये ३०% घट.

वायरलेस इंजिनिअरिंगमधील तांत्रिक उत्कृष्टतेला धोरणात्मक व्यावसायिक उद्दिष्टांशी जोडून, Ruckus आणि Purple चे एकत्रीकरण एक सुरक्षित, अनुपालन करणारे आणि अत्यंत फायदेशीर एंटरप्राइझ नेटवर्क इन्फ्रास्ट्रक्चर प्रदान करते.

संदर्भ

Schlüsseldefinitionen

WISPr (Wireless Internet Service Provider roaming)

Ein von der Wi-Fi Alliance entwickelter Protokollentwurf, der es Smart-Clients und Webbrowsern ermöglicht, sich automatisch an einem drahtlosen Hotspot mithilfe von standardisierten XML- oder HTTP-302-Weiterleitungen zu authentifizieren.

Wird als zentrales Weiterleitungsprotokoll in Ruckus-Controllern verwendet, um nicht authentifizierte Gastgeräte an externe Captive Portal-Plattformen weiterzuleiten.

Northbound Interface (NBI)

Eine vom Ruckus SmartZone-Controller bereitgestellte API, die es externen Webportalen ermöglicht, Autorisierungs-Callbacks zu senden, um den Controller anzuweisen, einer bestimmten Client-MAC-Adresse Internetzugang zu gewähren.

Muss auf TCP-Port 9080 (HTTP) oder 9443 (HTTPS) aktiviert werden, damit Purple Gastsitzungen nach erfolgreichem Login autorisieren kann.

Walled Garden

Eine Liste von IP-Adressen, Subnetzen oder Domainnamen, auf die nicht authentifizierte Gast-Clients vor der Authentifizierung zugreifen dürfen.

Muss mit der Domain des Portals, CDNs und den Endpunkten zur Erkennung von Captive Portals der Betriebssysteme konfiguriert werden, um sicherzustellen, dass die Splash-Page korrekt geladen wird.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das auf den UDP-Ports 1812 (Authentifizierung) und 1813 (Accounting) arbeitet und eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) für Benutzer bereitstellt.

Ruckus-Controller leiten Client-Sitzungsdaten an die RADIUS-Server von Purple weiter, um Anmeldedaten zu validieren und Sitzungsdauern zu verfolgen.

CNA (Captive Network Assistant)

Ein schlanker, eingeschränkter Browser, der in Betriebssysteme (wie Apple iOS/macOS und Android) integriert ist und automatisch startet, wenn ein offenes Netzwerk mit einem aktiven Captive Portal erkannt wird.

Kann in den WLAN-Einstellungen umgangen werden, wenn Techniker erzwingen möchten, dass Gäste manuell einen vollständigen Browser öffnen, um die Authentifizierung abzuschließen.

Interim Accounting Update

Eine periodische RADIUS-Nachricht, die vom Wireless-Controller an den RADIUS-Server gesendet wird, um den aktiven Sitzungsstatus, den Bandbreitenverbrauch und die Verbindungszeit zu aktualisieren.

Muss in der Ruckus-WLAN-Konfiguration auf 5 Minuten eingestellt werden, um sicherzustellen, dass das Dashboard von Purple genaue Echtzeit-Analysen anzeigt.

Client Isolation

Eine auf dem Wireless-Controller konfigurierte Sicherheitsfunktion, die verhindert, dass drahtlose Clients, die mit demselben AP oder SSID verbunden sind, direkt miteinander kommunizieren.

Unerlässlich für Gast-WiFi-Netzwerke, um Benutzer vor lokalem ARP-Spoofing, Man-in-the-Middle-Angriffen und unbefugtem Scannen von Geräten zu schützen.

WPA3-Transition Mode

Eine Sicherheitskonfiguration, die es älteren WPA2-kompatiblen Geräten und neueren WPA3-kompatiblen Geräten ermöglicht, sich gleichzeitig mit derselben SSID zu verbinden.

Kann in Gastnetzwerken mit Opportunistic Wireless Encryption (OWE) bereitgestellt werden, um eine Verschlüsselung über die Luft für offene SSIDs bereitzustellen, ohne dass ein Passwort erforderlich ist.

Ausgearbeitete Beispiele

Ein hochfrequentiertes Konferenzzentrum, das Ruckus SmartZone (vSZ) einsetzt, muss ein Gäste-WiFi-Netzwerk über das Captive Portal von Purple implementieren. Das Netzwerk muss bis zu 5.000 gleichzeitige Sitzungen verarbeiten, den Datenverkehr der Gäste von Unternehmens-Subnetzen isolieren und die Authentifizierung über Social Login unterstützen.

  1. Konfigurieren Sie ein dediziertes Gäste-VLAN 200 auf den Core-Switches und weisen Sie es der Ruckus AP Zone zu. Definieren Sie einen DHCP-Bereich mit öffentlichen DNS-Servern (z. B. 1.1.1.1, 8.8.8.8) und einer kurzen Lease-Zeit (2 Stunden), um eine hohe Fluktuation zu bewältigen.
  2. Navigieren Sie in SmartZone zu Services & Profiles > Authentication > Proxy (SZ Authenticator) und erstellen Sie primäre/Backup-RADIUS-Server, die auf die Cloud-RADIUS-IPs von Purple auf Port 1812 mit dem bereitgestellten Shared Secret verweisen.
  3. Erstellen Sie RADIUS-Accounting-Server, die auf die Accounting-IPs von Purple auf Port 1813 verweisen. Stellen Sie das Intervall für Zwischen-Updates (Interim Update) auf 5 Minuten ein, um aktive Sitzungen präzise zu verfolgen.
  4. Erstellen Sie ein Hotspot WISPr Portal Profile. Setzen Sie die Login-URL auf "External" mit der Purple-Weiterleitungs-URL. Fügen Sie Walled-Garden-Wildcard-Ausnahmen für ".purple.ai", ".cloudfront.net" und Social-Media-Domains (z. B. "*.facebook.com") hinzu.
  5. Erstellen Sie das Gäste-WLAN. Setzen Sie den Authentifizierungstyp auf Hotspot (WISPr), wählen Sie das neu erstellte Hotspot-Profil aus und binden Sie die RADIUS-Authentifizierungs- und Accounting-Dienste. Setzen Sie die Called Station ID auf "AP MAC" und aktivieren Sie "Single Session ID".
  6. Greifen Sie über SSH auf das SmartZone-CLI zu und führen Sie "no encrypt-mac-ip" aus, um unverschlüsselte MAC-Adressen an das Portal zu übergeben. Aktivieren Sie das WISPr Northbound Interface (NBI) auf dem Controller und geben Sie die Anmeldedaten in der Admin-Konsole des Purple-Portals ein, um NBI-Autorisierungs-Callbacks zu aktivieren.
Kommentar des Prüfers: Diese Architektur ist äußerst resilient und konform. Die Verwendung eines dedizierten VLAN 200 erfüllt die Anforderungen zur Segmentierung nach PCI DSS. Die kurze DHCP-Lease-Zeit von 2 Stunden verhindert eine Erschöpfung der IP-Adressen in Szenarien mit hoher Dichte. Die Aktivierung des RADIUS-Accountings mit einem 5-minütigen Zwischen-Update stellt sicher, dass der Veranstaltungsort über eine Echtzeit-Sitzungsverfolgung verfügt, wodurch Purple die Bandbreitennutzung genau überwachen kann. Das Deaktivieren der MAC-Adressverschlüsselung über die CLI ist ein kritischer Schritt; andernfalls würde das Portal gehashte MACs empfangen und Sitzungen nicht korrelieren können. Die NBI-Callback-Konfiguration ist die einzige sichere Methode, um Clients auf der Ruckus SmartZone zu autorisieren, ohne lokale Authentifizierungsschleifen zu erzeugen.

Ein mittelgroßes Boutique-Hotel mit 45 Zimmern möchte ein Gäste-WiFi mit einer externen Splash-Page unter Verwendung von Ruckus Unleashed APs bereitstellen. Benötigt wird ein schlankes, controllerloses Setup, das weder eine CLI-Verwaltung noch einen öffentlich zugänglichen NBI-API-Port erfordert.

  1. Melden Sie sich an der Web-Benutzeroberfläche des Master Unleashed AP an. Gehen Sie zu Admin & Services > Services > AAA Servers und erstellen Sie RADIUS-Authentifizierungs- (Port 1812) und Accounting- (Port 1813) Server-Einträge, die auf die Cloud-RADIUS-Infrastruktur von Purple verweisen.
  2. Navigieren Sie zu Admin & Services > Services > Hotspot Services und klicken Sie auf Create New. Benennen Sie den Dienst "Purple_Hotel_Hotspot".
  3. Setzen Sie unter der Registerkarte General die Login-URL auf die Weiterleitungs-URL des Purple-Portals. Stellen Sie die Start Page so ein, dass sie auf " https://login.purple.ai/success.php " weiterleitet.
  4. Wählen Sie unter der Registerkarte Authentication die neu erstellten RADIUS-Server aus. Stellen Sie das Intervall für das Zwischen-Accounting-Update auf 5 Minuten ein.
  5. Fügen Sie unter der Registerkarte Walled Garden die erforderlichen Domains als Einträge auf Domain-Ebene hinzu (z. B. "purple.ai", "cloudfront.net", "gstatic.com"). Beachten Sie, dass Unleashed das Asterisk-Wildcard-Präfix (*.domain.com) weder benötigt noch unterstützt.
  6. Gehen Sie zu Wi-Fi Networks, klicken Sie auf Create und legen Sie den SSID-Namen fest (z. B. "Hotel_Guest_WiFi"). Setzen Sie den Usage Type auf "Hotspot Service" und wählen Sie "Purple_Hotel_Hotspot" aus der Dropdown-Liste. Speichern Sie die Konfiguration, um die SSID automatisch über alle 45 Unleashed APs hinweg zu synchronisieren.
Kommentar des Prüfers: Für KMU- und Mid-Market-Bereitstellungen mit weniger als 50 APs bietet Ruckus Unleashed eine äußerst kosteneffiziente, verteilte Architektur. Da Unleashed standardmäßig keine MAC-Adressverschlüsselung anwendet, entfällt der bei der SmartZone erforderliche CLI-Schritt. Darüber hinaus benötigt Unleashed keinen Northbound Interface (NBI) Callback zur Autorisierung; stattdessen wird die Client-Autorisierung direkt über Standard-RADIUS-Transaktionen zwischen dem Master AP und dem RADIUS-Server ausgehandelt. Dies vereinfacht die Firewall-Konfiguration, da keine eingehenden Ports (wie 9080/9443) aus dem Internet zum Controller geöffnet werden müssen.

Übungsfragen

Q1. Ein Techniker hat eine Ruckus SmartZone Captive Portal-Integration konfiguriert. Wenn sich Benutzer mit dem Gäste-WiFi verbinden, werden sie zur Anmeldeseite weitergeleitet. Nach der Eingabe ihrer Anmeldedaten und dem Klicken auf „Verbinden“ werden sie jedoch sofort in einer Endlosschleife zurück zur Anmeldeseite geleitet. Was ist die wahrscheinlichste Ursache für dieses Problem und wie sollte es behoben werden?

Hinweis: Konzentrieren Sie sich auf die Kommunikation zwischen der Portal-Cloud und dem SmartZone-Controller, nachdem die Authentifizierung abgeschlossen ist.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist ein Fehler beim WISPr Northbound Interface (NBI)-Callback oder eine Diskrepanz bei der RADIUS-Authentifizierung. Wenn der Benutzer auf „Verbinden“ klickt, authentifiziert das Portal den Benutzer und versucht, einen NBI-Callback an den SmartZone-Controller auf TCP-Port 9080 oder 9443 zu senden, um die MAC-Adresse des Clients zu autorisieren. Wenn die Edge-Firewall diesen eingehenden Port blockiert oder die im Portal-Konsole eingegebenen NBI-Anmeldedaten nicht mit den Einstellungen des Controllers übereinstimmen, autorisiert der Controller den Client niemals. Wenn der Client folglich erneut versucht, auf das Internet zuzugreifen, fängt der Controller den Datenverkehr ab und leitet ihn zurück zum Portal. Zur Behebung: 1) Überprüfen Sie, ob der TCP-Port 9443 (oder 9080) auf der Edge-Firewall für eingehende Verbindungen vom IP-Bereich des Portals zur Management-IP der SmartZone geöffnet ist. 2) Überprüfen Sie die NBI-Konfiguration der SmartZone unter Administration > WISPr Northbound Interface und stellen Sie sicher, dass Benutzername und Passwort mit den in der Portal-Admin-Konsole konfigurierten Werten übereinstimmen. 3) Testen Sie die RADIUS-Konnektivität auf der SmartZone unter Services & Profiles > Authentication > Test AAA, um sicherzustellen, dass das Shared Secret korrekt ist.

Q2. Während der Bereitstellung eines Gäste-WiFi-Netzwerks auf einem Ruckus Unleashed-Cluster berichten mehrere Gäste, dass die Splash-Page mit fehlerhaften Bildern und fehlerhaftem Styling geladen wird und die Social-Login-Optionen nicht funktionieren. Andere Gäste auf verschiedenen Geräten können die Splash-Page überhaupt nicht laden. Was ist der wahrscheinlichste Konfigurationsfehler?

Hinweis: Analysieren Sie den Unterschied zwischen den Domains, die erfolgreich geladen werden, und denen, die vor der Authentifizierung fehlschlagen.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist ein falsch konfigurierter oder unvollständiger Walled Garden. Nicht authentifizierte Clients können auf keine Internetziele zugreifen, außer auf die explizit im Walled Garden definierten. Wenn die Splash-Page mit fehlerhaftem Styling und fehlerhaften Bildern geladen wird, bedeutet dies, dass der Browser daran gehindert wird, diese Assets von externen CDNs herunterzuladen. Wenn Social-Login-Optionen fehlschlagen, bedeutet dies, dass die Authentifizierungsendpunkte des Social-Media-Anbieters (z. B. Facebook- oder Google-OAuth-URLs) blockiert sind. Zur Behebung: 1) Überprüfen Sie die Walled Garden-Einträge in der Unleashed Hotspot Service-Konfiguration. 2) Stellen Sie sicher, dass alle vom Portal verwendeten CDN-Domains (wie „.cloudfront.net“) und Kern-Portal-Domains (wie „purple.ai“) hinzugefügt wurden. 3) Wenn Social-Login aktiviert ist, fügen Sie die spezifischen Domains des Social-Media-Anbieters hinzu (z. B. „.facebook.com“, „.facebook.net“, „.google.com“). 4) Beachten Sie, dass Unleashed Domain-Level-Matching verwendet, verwenden Sie also kein Asterisk-Wildcard-Präfix (verwenden Sie z. B. „purple.ai“ anstelle von „*.purple.ai“).

Q3. Ein Wireless-Techniker migriert ein Gäste-WiFi-Netzwerk von Ruckus Unleashed zu einem zentralisierten Virtual SmartZone (vSZ)-Controller. Er kopiert die Walled Garden-Liste genau so, wie sie in Unleashed konfiguriert war: „purple.ai“, „cloudfront.net“, „apple.com“. Nach der Migration können Clients im vSZ-Netzwerk die Splash-Page jedoch nicht laden. Welcher Syntaxunterschied hat diesen Fehler verursacht?

Hinweis: Überprüfen Sie die spezifischen Wildcard-Formatierungsregeln für Ruckus SmartZone im Vergleich zu Ruckus Unleashed.

Musterlösung anzeigen

Der Fehler wird durch einen Syntaxunterschied bei der Verarbeitung von Walled Garden-Einträgen durch die beiden Plattformen verursacht. Ruckus Unleashed wendet automatisches Domain-Level-Matching an, was bedeutet, dass die Eingabe von „purple.ai“ automatisch alle Subdomains (wie „login.purple.ai“ oder „assets.purple.ai“) abdeckt. Ruckus SmartZone wendet jedoch kein automatisches Subdomain-Matching an; es erfordert eine explizite Wildcard-Formatierung mit dem Asterisk-Präfix (z. B. „.purple.ai“). Wenn der Techniker „purple.ai“ in der SmartZone eingegeben hat, lässt der Controller den Datenverkehr nur zur Root-Domain zu und blockiert den Client beim Laden der eigentlichen Anmeldeseite unter „login.purple.ai“. Um dies zu beheben, muss der Techniker das Hotspot WISPr-Profil in der SmartZone bearbeiten und die Walled Garden-Einträge auf das korrekte Format aktualisieren: „.purple.ai“, „.cloudfront.net“ und „.apple.com“.

Weiterlesen in dieser Reihe

Cisco WLC und Catalyst Integration mit Purple WiFi: Schritt-für-Schritt-Anleitung für den Gastzugang

Diese massgebliche Anleitung beschreibt die schrittweise Integration von Cisco Catalyst 9800 WLCs mit Purple WiFi. Sie deckt die externe Web-Authentifizierung für Gäste-Captive Portals, 802.1X EAP-TLS für sicheren Mitarbeiterzugang und Cisco iPSK für die dynamische VLAN-Segmentierung in Mandanten-Umgebungen ab.

Leitfaden lesen →

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Leitfaden lesen →

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Leitfaden lesen →