Alcatel-Lucent Enterprise (ALE) OmniAccess का Purple WiFi के साथ एकीकरण
यह गाइड Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar एक्सेस पॉइंट्स और Purple WiFi के बीच तकनीकी एकीकरण का विवरण देती है। यह कैप्टिव पोर्टल रीडायरेक्शन, RADIUS प्रमाणीकरण, Walled Garden कॉन्फ़िगरेशन, सुरक्षित 802.1X Staff WiFi, और डायनेमिक VLAN स्टीयरिंग के साथ Private Pre-Shared Keys (PPSK) का उपयोग करके Multi-Tenant WiFi सेगमेंटेशन को कवर करती है - जो IT मैनेजरों और नेटवर्क आर्किटेक्ट्स को ALE हार्डवेयर पर Identity-Based Networks को तैनात करने के लिए एक संपूर्ण, व्यावहारिक संदर्भ प्रदान करती है।
इस गाइड को सुनें
पॉडकास्ट ट्रांसक्रिप्ट देखें
कार्यकारी सारांश
Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar एक्सेस पॉइंट्स मानक RADIUS प्रोटोकॉल और बाहरी कैप्टिव पोर्टल रीडायरेक्शन का उपयोग करके Purple के साथ एकीकृत होते हैं। इसके लिए किसी मालिकाना मिडलवेयर की आवश्यकता नहीं होती है। Purple एक क्लाउड ओवरले के रूप में काम करता है, जो आपके मौजूदा ALE इन्फ्रास्ट्रक्चर के ऊपर काम करता है और हार्डवेयर में बदलाव की आवश्यकता के बिना प्रमाणीकरण, डेटा कैप्चर और सेशन पॉलिसी को संभालता है।
यह गाइड तीन परिनियोजन परिदृश्यों को कवर करती है। पहला, बाहरी कैप्टिव पोर्टल रीडायरेक्शन और Walled Garden कॉन्फ़िगरेशन के साथ Guest WiFi। दूसरा, PEAP या EAP-TLS के साथ 802.1X का उपयोग करके सुरक्षित Staff WiFi। तीसरा, PPSK और RADIUS Attributes 64, 65, और 81 के माध्यम से डायनेमिक VLAN स्टीयरिंग का उपयोग करके Multi-Tenant WiFi।
Purple 80,000 से अधिक लाइव स्थानों को सेवा प्रदान करता है और इसने 2024 में 44 करोड़ से अधिक लॉगिन प्रोसेस किए हैं (Purple आंतरिक डेटा, 2024)। यह ISO 27001, GDPR, CCPA, और Cyber Essentials प्रमाणपत्र रखता है। यह प्लेटफॉर्म 99.999% अपटाइम पर काम करता है, जो इसे एंटरप्राइज परिनियोजन के लिए एक विश्वसनीय प्रमाणीकरण बैकएंड बनाता है।
यदि आप हॉस्पिटैलिटी, रिटेल, इवेंट्स या सार्वजनिक क्षेत्र के वातावरण में ALE OmniAccess हार्डवेयर तैनात करने वाले एक IT मैनेजर या नेटवर्क आर्किटेक्ट हैं, तो यह गाइड आपको हार्डवेयर से पूरी तरह से चालू Identity-Based Network तक जाने के लिए सटीक कॉन्फ़िगरेशन चरण प्रदान करती है।
तकनीकी आर्किटेक्चर और एकीकरण प्रवाह
ALE OmniAccess Stellar के साथ Purple एकीकरण दो मानक प्रोटोकॉल पर निर्भर करता: प्रमाणीकरण और अकाउंटिंग के लिए RADIUS, और कैप्टिव पोर्टल डिलीवरी के लिए HTTP/HTTPS रीडायरेक्ट। ALE AP नेटवर्क एक्सेस सर्वर (NAS) के रूप में कार्य करता है, जो प्रमाणीकरण अनुरोधों को Purple क्लाउड RADIUS सर्वर पर अग्रेषित करता है और Access-Accept प्रतिक्रिया में लौटाई गई नीतियों को लागू करता है।
चित्र 1: गेस्ट डिवाइस, ALE OmniAccess Stellar AP, और Purple क्लाउड RADIUS के बीच प्रमाणीकरण प्रवाह।
यह प्रवाह इस प्रकार काम करता है। एक विज़िटर ओपन Guest WiFi SSID से कनेक्ट होता है। ALE AP प्री-ऑथेंटिकेशन DHCP पूल से एक अस्थायी IP एड्रेस असाइन करता है और विज़िटर के पहले HTTP या HTTPS अनुरोध को इंटरसेप्ट करता है। AP ब्राउज़र को Purple कैप्टिव पोर्टल URL पर रीडायरेक्ट करता है, जिसमें क्लाइंट का MAC एड्रेस और AP का NAS आइडेंटिफायर URL पैरामीटर के रूप में पास किया जाता है। विज़िटर Purple स्प्लैश पेज के माध्यम से प्रमाणित होता है - ईमेल, सोशल लॉगिन या SMS सत्यापन का उपयोग करके। Purple का RADIUS सर्वर सेशन को मान्य करता है और ALE AP को एक Access-Accept संदेश लौटाता है। AP इंटरनेट एक्सेस प्रदान करता है और कॉन्फ़िगर किए गए अंतराल पर Purple को RADIUS Accounting अपडेट भेजना शुरू करता है।
PPSK और डायनेमिक VLAN स्टीयरिंग का उपयोग करने वाले उन्नत परिनियोजन के लिए, RADIUS Access-Accept संदेश में VLAN असाइनमेंट एट्रिब्यूट भी शामिल होते हैं। ALE AP इनका उपयोग क्लाइंट ट्रैफ़िक को सीधे सही VLAN सेगमेंट पर भेजने के लिए करता है, जिससे उन्हें उसी भौतिक इन्फ्रास्ट्रक्चर पर अन्य उपयोगकर्ताओं से अलग किया जा सके।
कार्यान्वयन गाइड
भाग 1: बाहरी कैप्टिव पोर्टल के साथ Guest WiFi
यह अनुभाग Purple पर बाहरी रीडायरेक्शन के लिए Alcatel-Lucent कैप्टिव पोर्टल कॉन्फ़िगरेशन को कवर करता है। ये चरण OmniVista Cirrus, OmniVista 2500, या Stellar Express वेब इंटरफ़ेस के माध्यम से प्रबंधित ALE OmniAccess Stellar APs पर लागू होते हैं।
चरण 1: Purple RADIUS क्रेडेंशियल प्राप्त करें
अपने Purple पोर्टल में लॉग इन करें। Management > Venues पर जाएं, अपना स्थान चुनें, और Hardware अनुभाग खोलें। एक नई हार्डवेयर प्रविष्टि जोड़ें और हार्डवेयर प्रकार के रूप में Alcatel-Lucent OmniAccess Stellar चुनें। Purple आपके स्थान के लिए एक अद्वितीय RADIUS साझा रहस्य, प्रमाणीकरण सर्वर IP और कैप्टिव पोर्टल URL उत्पन्न करता है। आगे बढ़ने से पहले इन मानों को नोट कर लें।
चरण 2: ALE AP पर RADIUS सर्वर कॉन्फ़िगर करें
अपने ALE प्रबंधन इंटरफ़ेस में, प्रमाणीकरण सेटिंग्स पर जाएं और एक नया RADIUS सर्वर प्रोफ़ाइल जोड़ें।
| पैरामीटर | मान |
|---|---|
| सर्वर IP / होस्टनाम | जैसा कि Purple पोर्टल में प्रदान किया गया है |
| प्रमाणीकरण पोर्ट | 1812 |
| अकाउंटिंग पोर्ट | 1813 |
| साझा रहस्य | जैसा कि Purple पोर्टल में प्रदान किया गया है |
| RADIUS Accounting | सक्षम |
| अकाउंटिंग अंतराल | 300 सेकंड |
Purple पोर्टल से बैकअप IP का उपयोग करके एक सेकेंडरी RADIUS सर्वर सक्षम करें। यह प्राथमिक सर्वर के अस्थायी रूप से अनुपलब्ध होने पर फ़ेलओवर सुनिश्चित करता है।
चरण 3: Walled Garden कॉन्फ़िगर करें
Walled Garden उन डोमेन को परिभाषित करता है जिन तक प्रमाणीकरण पूरा होने से पहले कोई डिवाइस पहुँच सकता है। प्री-ऑथेंटिकेशन एक्सेस सूची में निम्नलिखित प्रविष्टियों को कॉन्फ़िगर करें:
मुख्य Purple डोमेन (अनिवार्य):
| डोमेन | उद्देश्य |
|---|---|
| region1.purpleportal.net | Purple कैप्टिव पोर्टल |
| venuewifi.com | Purple सेशन प्रबंधन |
| cloudfront.net | पोर्टल संपत्तियों के लिए CDN |
| openweathermap.org | मौसम विजेट (वैकल्पिक) |
| stripe.com | पेड WiFi भुगतान (यदि लागू हो) |
सोशल लॉगिन डोमेन (आवश्यकतानुसार जोड़ें):
| प्रदाता | डोमेन |
|---|---|
| facebook.com, fbcdn.net, connect.facebook.net | |
| linkedin.com, licdn.net | |
| accounts.google.com, googleapis.com |
किसी भी आवश्यक डोमेन को छोड़ने से संबंधित लॉगिन विधि बिना किसी चेतावनी के विफल हो जाएगी। कॉन्फ़िगरेशन के बाद प्रत्येक लॉगिन विधि का परीक्षण करें।
चरण 4: Guest WiFi SSID कॉन्फ़िगर करें
निम्नलिखित सेटिंग्स के साथ एक नया WLAN प्रोफ़ाइल बनाएं:
| पैरामीटर | मान |
|---|---|
| सुरक्षा स्तर | ओपन |
| कैप्टिव पोर्टल | सक्षम |
| कैप्टिव पोर्टल प्रकार | बाहरी |
| रीडायरेक्ट URL | जैसा कि Purple पोर्टल में प्रदान किया गया है |
| HTTPS रीडायरेक्ट | अक्षम (जब तक कि SSL प्रमाणपत्र स्थापित न हो) |
| निष्क्रियता टाइमआउट | 1800 सेकंड (30 मिनट) |
| RADIUS सर्वर प्रोफ़ाइल | Purple RADIUS प्रोफ़ाइल (चरण 2 में बनाई गई) |
यदि आपको HTTPS रीडायरेक्ट की आवश्यकता है, तो System > General > Certificate Management के तहत ALE AP में एक वैध SSL प्रमाणपत्र स्थापित करें। ध्यान दें कि इस उद्देश्य के लिए Stellar AP द्वारा वाइल्डकार्ड प्रमाणपत्र समर्थित नहीं हैं।
चरण 5: SSID को एक AP समूह में असाइन करें
OmniVista में प्रासंगिक AP समूह पर WLAN प्रोफ़ाइल लागू करें। सत्यापित करें कि APs SSID प्रसारित कर रहे हैं और कैप्टिव पोर्टल प्रवाह का परीक्षण करने से पहले क्लाइंट संबद्ध हो सकते हैं।
भाग 2: 802.1X का उपयोग करके सुरक्षित Staff WiFi
Staff WiFi के लिए, 802.1X प्रमाणीकरण के साथ WPA2-Enterprise या WPA3-Enterprise का उपयोग करें। यह साझा पासवर्ड की आवश्यकता को समाप्त करता है और Microsoft Entra ID, Okta, या Google Workspace में प्रबंधित व्यक्तिगत उपयोगकर्ता पहचानों से एक्सेस को जोड़ता है।
चरण 1: 802.1X SSID कॉन्फ़िगर करें
स्टाफ के लिए एक अलग WLAN प्रोफ़ाइल बनाएं। सुरक्षा प्रकार को WPA2-Enterprise या WPA3-Enterprise पर सेट करें और Purple RADIUS सर्वर को प्रमाणीकरण बैकएंड के रूप में असाइन करें। Purple का RADIUS सर्वर LDAP या SAML के माध्यम से आपके पहचान प्रदाता को प्रमाणीकरण अनुरोधों को प्रॉक्सी करता है।
चरण 2: EAP विधि चुनें
अधिकांश परिनियोजनों के लिए, PEAP with MSCHAPv2 का उपयोग करें। इसके लिए केवल एक सर्वर-साइड प्रमाणपत्र की आवश्यकता होती है और यह मानक Windows, macOS, iOS, और Android सप्लीकेंट्स के साथ काम करता है। उच्च-सुरक्षा वाले वातावरण के लिए, अपने PKI के माध्यम से जारी क्लाइंट प्रमाणपत्रों के साथ EAP-TLS का उपयोग करें।
चरण 3: स्टाफ को एक समर्पित VLAN असाइन करें
Access-Accept प्रतिक्रिया में Tunnel-Private-Group-ID = आपका स्टाफ VLAN ID वापस करने के लिए Purple RADIUS सर्वर को कॉन्फ़िगर करें। यह सुनिश्चित करता है कि स्टाफ डिवाइस कॉर्पोरेट नेटवर्क सेगमेंट पर आएं, जो लेयर 2 पर गेस्ट ट्रैफ़िक से अलग हो।
भाग 3: PPSK और डायनेमिक VLAN स्टीयरिंग का उपयोग करके Multi-Tenant WiFi
PPSK (Private Pre-Shared Key) - जिसे कुछ विक्रेता दस्तावेज़ों में iPSK (Identity PSK) भी कहा जाता है - एक ही SSID को कई अलग-अलग उपयोगकर्ता समूहों की सेवा करने की अनुमति देता है। प्रत्येक समूह को एक अद्वितीय पासफ़्रेज़ प्राप्त होता है। RADIUS सर्वर प्रत्येक पासफ़्रेज़ को एक विशिष्ट VLAN से मैप करता है, जिससे कई SSIDs के RF ओवरहेड के बिना प्रति-किरायेदार नेटवर्क अलगाव मिलता है।
चित्र 2: एकल ALE OmniAccess SSID पर PPSK मल्टी-किरायेदार VLAN सेगमेंटेशन।
चरण 1: PPSK SSID बनाएं
एक नया WLAN प्रोफ़ाइल बनाएं और प्रमाणीकरण प्रकार को RADIUS-समर्थित PSK सत्यापन के साथ WPA2-PSK पर सेट करें। Stellar फ़र्मवेयर 4.0.8.16 और उससे ऊपर (AP1301 और उच्चतर मॉडल के लिए), Express Mode में RADIUS के माध्यम से डायनेमिक VLAN असाइनमेंट समर्थित है। पुराने मॉडल या पुराने फ़र्मवेयर के लिए, OmniVista-प्रबंधित मोड का उपयोग करें।
चरण 2: Purple में किरायेदार पासफ़्रेज़ परिभाषित करें
Purple पोर्टल में, प्रत्येक किरायेदार के लिए एक PPSK समूह बनाएं। प्रति किरायेदार एक अद्वितीय पासफ़्रेज़ असाइन करें और प्रत्येक पासफ़्रेज़ को संबंधित VLAN ID से मैप करें। Purple इन मैपिंग को अपने RADIUS डेटाबेस में संग्रहीत करता है।
चरण 3: VLAN स्टीयरिंग के लिए RADIUS एट्रिब्यूट कॉन्फ़िगर करें
सुनिश्चित करें कि Purple RADIUS सर्वर प्रत्येक Access-Accept प्रतिक्रिया में निम्नलिखित IETF मानक एट्रिब्यूट लौटाता है:
| एट्रिब्यूट नंबर | एट्रिब्यूट का नाम | मान |
|---|---|---|
| 64 | Tunnel-Type | 13 (VLAN) |
| 65 | Tunnel-Medium-Type | 6 (IEEE 802 / Ethernet) |
| 81 | Tunnel-Private-Group-ID | VLAN ID (जैसे, "30") |
तीनों एट्रिब्यूट मौजूद होने चाहिए। यदि कोई एक भी गायब है, तो ALE AP VLAN असाइनमेंट को अनदेखा कर देता है और क्लाइंट को डिफ़ॉल्ट VLAN पर रख देता है।
चरण 4: अपलिंक पर VLAN ट्रंकिंग सत्यापित करें
सुनिश्चित करें कि सभी किरायेदार VLANs को ALE AP और वितरण स्विच के बीच अपलिंक पोर्ट पर टैग किया गया है। एक AP उस VLAN पर ट्रैफ़िक को स्टीयर नहीं कर सकता जो उसके अपलिंक ट्रंक पर अनुमत नहीं है।
सर्वोत्तम प्रथाएं
निम्नलिखित सिफारिशें एंटरप्राइज वायरलेस परिनियोजन के लिए मानक अभ्यास को दर्शाती हैं और IEEE 802.1X, PCI DSS 4.0, और GDPR आवश्यकताओं के अनुरूप हैं।
लेयर 2 पर Guest WiFi को Staff WiFi से अलग करें। गेस्ट और स्टाफ ट्रैफ़िक को कभी भी एक ही VLAN पर न रखें। उपयोगकर्ता किस AP से कनेक्ट होता है, इसकी परवाह किए बिना इस अलगाव को स्वचालित रूप से लागू करने के लिए RADIUS-संचालित VLAN असाइनमेंट का उपयोग करें।
सभी कैप्टिव पोर्टल रीडायरेक्शन के लिए HTTPS का उपयोग करें। HTTPS रीडायरेक्ट को सक्षम करने के लिए ALE AP पर एक वैध SSL प्रमाणपत्र स्थापित करें। यह ब्राउज़र को स्प्लैश पेज पर सुरक्षा चेतावनियाँ प्रदर्शित करने से रोकता है, जिससे परित्याग दर कम होती है और सुरक्षित डेटा हैंडलिंग के लिए GDPR आवश्यकताओं के अनुरूप होता है।
RADIUS Accounting अंतराल को 300 सेकंड पर सेट करें। यह एनालिटिक्स सटीकता के लिए Purple को नियमित सेशन अपडेट प्रदान करता है। 600 सेकंड से अधिक का अंतराल होने पर यदि कोई क्लाइंट बिना क्लीन डी-ऑथेंटिकेशन के डिस्कनेक्ट हो जाता है, तो सेशन डेटा खोने का जोखिम रहता है।
गो-लाइव से पहले Walled Garden का परीक्षण करें। एक परीक्षण डिवाइस को Guest WiFi SSID से कनेक्ट करें और प्रत्येक सोशल लॉगिन प्रदाता तक पहुँचने का प्रयास करें। यदि लॉगिन विफल हो जाता है, तो संबंधित डोमेन Walled Garden से गायब है।
PPSK का उपयोग करके IoT उपकरणों को विभाजित करें। रिटेल और हॉस्पिटैलिटी वातावरण में, डिजिटल साइनेज, भुगतान टर्मिनल और पर्यावरणीय सेंसर जैसे IoT उपकरणों में से प्रत्येक को एक अलग VLAN से मैप किया गया एक अद्वितीय PPSK प्राप्त होना चाहिए। यह एक समझौता किए गए IoT डिवाइस को व्यापक नेटवर्क तक पहुँचने से रोकता है।
एंटरप्राइज WiFi सुरक्षा मानकों और आर्किटेक्चर पर अधिक पढ़ने के लिए, हमारी एंटरप्राइज WiFi सुरक्षा गाइड देखें।
समस्या निवारण और जोखिम शमन
निम्नलिखित तालिका ALE OmniAccess और Purple एकीकरण में सबसे आम विफलता मोड को कवर करती है।
| लक्षण | सबसे संभावित कारण | समाधान |
|---|---|---|
| कैप्टिव पोर्टल दिखाई नहीं देता है | Walled Garden गलत कॉन्फ़िगरेशन या गायब DNS | सत्यापित करें कि Purple डोमेन श्वेतसूची में हैं; जांचें कि DHCP स्कोप में एक वैध DNS सर्वर शामिल है |
| RADIUS प्रमाणीकरण विफल रहता है | साझा रहस्य बेमेल या फ़ायरवॉल UDP 1812/1813 को ब्लॉक कर रहा है | Purple पोर्टल से साझा रहस्य को फिर से दर्ज करें; पुष्टि करें कि फ़ायरवॉल नियम आउटबाउंड UDP 1812 और 1813 की अनुमति देते हैं |
| उपयोगकर्ता गलत VLAN पर पहुँचते हैं | गायब RADIUS टनल एट्रिब्यूट या AP फ़र्मवेयर सीमा | पुष्टि करें कि तीनों RADIUS एट्रिब्यूट (64, 65, 81) लौटाए गए हैं; जांचें कि ALE फ़र्मवेयर संस्करण डायनेमिक VLAN का समर्थन करता है |
| सोशल लॉगिन बटन विफल रहता है | सोशल प्रदाता डोमेन Walled Garden से गायब है | प्री-ऑथेंटिकेशन एक्सेस सूची में आवश्यक सोशल प्रदाता डोमेन जोड़ें |
| HTTPS कैप्टिव पोर्टल प्रमाणपत्र चेतावनी दिखाता है | वाइल्डकार्ड प्रमाणपत्र का उपयोग किया गया है या कोई प्रमाणपत्र स्थापित नहीं है | System > General > Certificate Management के माध्यम से एक डोमेन-विशिष्ट SSL प्रमाणपत्र स्थापित करें |
| Purple एनालिटिक्स में सेशन डेटा गायब है | RADIUS Accounting अक्षम है या अंतराल बहुत लंबा है | RADIUS Accounting सक्षम करें; अंतराल को 300 सेकंड पर सेट करें |
लगातार RADIUS समस्याओं के लिए, ALE AP पर डिबग लॉगिंग सक्षम करें और RADIUS एक्सचेंज को कैप्चर करें। Access-Reject संदेशों को देखें और अस्वीकृति का कारण कोड जांचें। सामान्य कोड में 16 (प्रमाणीकरण विफलता) और 18 (गायब एट्रिब्यूट) शामिल हैं।
ROI और व्यावसायिक प्रभाव
ALE OmniAccess हार्डवेयर पर Purple को तैनात करना एक निष्क्रिय नेटवर्क को एक सक्रिय डेटा संपत्ति में बदल देता है। प्रत्येक प्रमाणित सेशन एक विज़िटर प्रोफ़ाइल उत्पन्न करता है: ईमेल पता, विज़िट की आवृत्ति, ठहरने का समय, और डिवाइस का प्रकार। यह फर्स्ट-पार्टी डेटा Purple के 400 से अधिक कनेक्टर्स की लाइब्रेरी के माध्यम से सीधे आपके CRM में फीड होता है।
Harrods ने लॉयल्टी प्रोग्राम साइन-अप को बढ़ावा देने के लिए Purple के डेटा कैप्चर का उपयोग करके अपने Guest WiFi परिनियोजन से 57 गुना मार्केटिंग ROI प्राप्त किया (Purple केस स्टडी, 2023)। AGS Airports ने अपनी पूरी संपत्ति में टियर बैंडविड्थ Paid WiFi लागू करके 842% ROI उत्पन्न किया (Purple केस स्टडी, 2022)।
हॉस्पिटैलिटी ऑपरेटरों के लिए, कैप्टिव पोर्टल गेस्ट डेटा कैप्चर के लिए प्राथमिक टचपॉइंट है। रिटेल वातावरण के लिए, यह खरीदार के व्यवहार के विश्लेषण और लक्षित प्रचारों को सक्षम बनाता है। परिवहन केंद्रों के लिए, यह यात्री प्रवाह डेटा और अनुपालन-तैयार सेशन लॉगिंग प्रदान करता है।
Purple का Guest WiFi प्लेटफॉर्म और WiFi Analytics टूल आपको इन परिणामों को मापने के लिए रिपोर्टिंग इन्फ्रास्ट्रक्चर प्रदान करते हैं। एक ही डैशबोर्ड से प्रमाणीकरण दर, सेशन की अवधि, बार-बार आने वाले विज़िटर की दर और ऑप्ट-इन रूपांतरण को ट्रैक करें।
संबंधित एकीकरण मार्गदर्शन के लिए, WatchGuard Firebox integration guide देखें, जो एक अलग हार्डवेयर प्लेटफॉर्म पर इसी तरह के RADIUS-आधारित आर्किटेक्चर को कवर करता है।
मुख्य परिभाषाएं
PPSK (Private Pre-Shared Key)
एक सुरक्षा विधि जहां व्यक्तिगत उपयोगकर्ताओं या उपकरणों को एक वैश्विक पासवर्ड साझा करने के बजाय एक ही SSID के लिए अद्वितीय पासफ़्रेज़ जारी किए जाते हैं। RADIUS सर्वर प्रत्येक पासफ़्रेज़ को एक विशिष्ट नीति या VLAN से मैप करता है।
मल्टी-किरायेदार WiFi में कई SSIDs को तैनात किए बिना किरायेदारों, निवासियों या इवेंट समूहों के बीच ट्रैफ़िक को अलग करने के लिए उपयोग किया जाता है।
RADIUS (Remote Authentication Dial-In User Service)
RFC 2865 में परिभाषित एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा से जुड़ने वाले उपयोगकर्ताओं के लिए केंद्रीकृत प्रमाणीकरण, प्राधिकरण और अकाउंटिंग (AAA) प्रबंधन प्रदान करता है।
मुख्य प्रोटोकॉल जिसका उपयोग Purple, ALE हार्डवेयर के साथ संवाद करने के लिए करता है। ALE AP, Access-Request संदेश भेजता है; Purple, Access-Accept या Access-Reject के साथ प्रतिक्रिया करता है।
Dynamic VLAN steering
SSID पर कॉन्फ़िगर किए गए स्थिर VLAN के बजाय प्रमाणीकरण के दौरान लौटाए गए RADIUS एट्रिब्यूट के आधार पर एक कनेक्टेड डिवाइस को एक विशिष्ट VLAN में असाइन करने की प्रक्रिया।
मल्टी-किरायेदार परिनियोजनों के लिए आवश्यक जहां विभिन्न उपयोगकर्ता समूहों को एक ही भौतिक AP इन्फ्रास्ट्रक्चर पर अलग किया जाना चाहिए।
Walled Garden
एक नियंत्रित वातावरण जो प्रमाणीकरण पूरा होने से पहले किसी डिवाइस की इंटरनेट पहुंच को डोमेन के पूर्वनिर्धारित सेट तक सीमित करता है।
उपयोगकर्ता के लॉग इन करने से पहले उपकरणों को Purple कैप्टिव पोर्टल और बाहरी पहचान प्रदाताओं तक पहुँचने की अनुमति देने के लिए आवश्यक।
Captive portal
एक वेब पेज जो उपयोगकर्ता के ब्राउज़र सेशन को इंटरसेप्ट करता है और पूर्ण नेटवर्क पहुंच प्राप्त करने से पहले उन्हें प्रमाणित करने या शर्तों को स्वीकार करने की आवश्यकता होती है।
प्राथमिक इंटरफ़ेस जहाँ विज़िटर सहमति और फर्स्ट-पार्टी डेटा प्रदान करते हैं। Purple इस पेज को क्लाउड में होस्ट करता है; ALE AP रीडायरेक्ट करता है।
Identity-Based Network
एक नेटवर्क आर्किटेक्चर जहां एक्सेस नीतियां, VLAN असाइनमेंट और बैंडविड्थ नियंत्रण इस बात से निर्धारित होते हैं कि उपयोगकर्ता कौन है, न कि वे कहां या कैसे कनेक्ट होते हैं।
ALE हार्डवेयर को Purple के प्रमाणीकरण ओवरले के साथ एकीकृत करने का आर्किटेक्चरल परिणाम।
802.1X
पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने वाले उपकरणों के लिए एक प्रमाणीकरण तंत्र प्रदान करता है। इसके लिए क्लाइंट डिवाइस पर एक सप्लीकेंट, एक ऑथेंटिकेटर (AP), और एक प्रमाणीकरण सर्वर (RADIUS) की आवश्यकता होती है।
सुरक्षित Staff WiFi परिनियोजन के लिए उपयोग किया जाने वाला मानक। साझा पासवर्ड को समाप्त करता है और व्यक्तिगत उपयोगकर्ता पहचानों से पहुंच को जोड़ता है।
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
एक प्रमाणपत्र-आधारित EAP विधि जहां क्लाइंट और RADIUS सर्वर दोनों पारस्परिक प्रमाणीकरण के लिए डिजिटल प्रमाणपत्र प्रस्तुत करते हैं।
सबसे सुरक्षित 802.1X विधि। क्लाइंट प्रमाणपत्र जारी करने के लिए एक PKI इन्फ्रास्ट्रक्चर की आवश्यकता होती है, लेकिन पासवर्ड-आधारित क्रेडेंशियल चोरी को पूरी तरह से समाप्त कर देती है।
PEAP (Protected Extensible Authentication Protocol)
एक EAP विधि जो आंतरिक प्रमाणीकरण एक्सचेंज को TLS सेशन के भीतर टनल करती है, जिससे पारगमन में क्रेडेंशियल सुरक्षित रहते हैं। आमतौर पर आंतरिक विधि के रूप में MSCHAPv2 के साथ उपयोग किया जाता है।
एंटरप्राइज परिनियोजन में सबसे आम 802.1X विधि। केवल एक सर्वर-साइड प्रमाणपत्र की आवश्यकता होती है और यह मानक OS सप्लीकेंट्स के साथ काम करता है।
NAS (Network Access Server)
RADIUS शब्दावली में, वह डिवाइस जो एक्सेस कंट्रोल लागू करता है - इस मामले में, ALE OmniAccess Stellar AP। NAS प्रमाणीकरण अनुरोधों को RADIUS सर्वर पर अग्रेषित करता है और लौटाई गई नीतियों को लागू करता है।
ALE AP, Purple एकीकरण में NAS के रूप में कार्य करता है। इसका IP एड्रेस और साझा रहस्य एक विश्वसनीय NAS क्लाइंट के रूप में Purple पोर्टल में पंजीकृत होना चाहिए।
हल किए गए उदाहरण
मध्य लंदन में एक 200 कमरों वाला होटल पूरी संपत्ति में ALE OmniAccess Stellar APs का उपयोग करता है। उन्हें होटल के मेहमानों, बैक-ऑफ-हाउस स्टाफ और ग्राउंड-फ्लोर रेस्तरां को तीन पूरी तरह से अलग नेटवर्क सेगमेंट के रूप में सेवा देने की आवश्यकता है। वे RF प्रदर्शन को बनाए रखने के लिए कई SSIDs प्रसारित करने से बचना चाहते हैं।
PPSK का उपयोग करके एक एकल सुरक्षित SSID तैनात करें। Purple RADIUS सर्वर के खिलाफ प्रमाणित करने के लिए ALE OmniAccess APs को कॉन्फ़िगर करें। Purple पोर्टल में, तीन PPSK समूह बनाएं: होटल गेस्ट (VLAN 10), स्टाफ (VLAN 20), और रेस्तरां (VLAN 30)। डिवाइस किस पासफ़्रेज़ का उपयोग करता है, इसके आधार पर RADIUS सर्वर Tunnel-Private-Group-ID = 10, 20, या 30 लौटाता है। ALE AP गतिशील रूप से प्रत्येक डिवाइस को सही VLAN पर स्टीयर करता है। होटल के मेहमानों को केवल इंटरनेट एक्सेस प्राप्त होता है। स्टाफ को संपत्ति प्रबंधन प्रणाली तक पहुंच प्राप्त होती है। रेस्तरां को उनके EPOS टर्मिनलों के लिए एक अलग सेगमेंट प्राप्त होता है।
एक सम्मेलन केंद्र एक साथ 15 कॉर्पोरेट कार्यक्रमों की मेजबानी करता है। प्रत्येक कार्यक्रम आयोजक को उपस्थित लोगों के लिए अपने स्वयं के अलग WiFi नेटवर्क की आवश्यकता होती है, लेकिन स्थान पर केवल एक ही ALE OmniAccess इन्फ्रास्ट्रक्चर है। स्थान की IT टीम को कार्यक्रमों के बीच नेटवर्क को जल्दी से चालू और बंद करने की आवश्यकता है।
समर्पित इवेंट VLANs से मैप किए गए प्रति-इवेंट पासफ़्रेज़ बनाने के लिए Purple के PPSK प्रबंधन का उपयोग करें। स्थान ALE इन्फ्रास्ट्रक्चर पर 15 VLAN सेगमेंट को पहले से कॉन्फ़िगर करता है। प्रत्येक इवेंट के लिए, IT टीम Purple पोर्टल में एक नई PPSK प्रविष्टि बनाती है, इसे सही VLAN में असाइन करती है, और इवेंट आयोजक को पासफ़्रेज़ प्रदान करती है। इवेंट के अंत में, वे Purple में पासफ़्रेज़ को रद्द कर देते हैं। ALE AP तुरंत उस पासफ़्रेज़ को स्वीकार करना बंद कर देता है, जिससे बंद किए गए VLAN को अलग कर दिया जाता है। किसी AP पुनर्रचना की आवश्यकता नहीं होती है।
अभ्यास प्रश्न
Q1. आपने ALE OmniAccess Stellar AP पर Alcatel-Lucent कैप्टिव पोर्टल कॉन्फ़िगर किया है। मेहमान SSID से कनेक्ट होते हैं और एक IP एड्रेस प्राप्त करते हैं, लेकिन उनके डिवाइस 'No Internet Connection' दिखाते हैं और स्प्लैश पेज दिखाई नहीं देता है। दो सबसे संभावित कारण क्या हैं, और आप प्रत्येक को कैसे हल करते हैं?
संकेत: विचार करें कि कैप्टिव पोर्टल रीडायरेक्ट होने से पहले DNS और HTTP लेयर पर क्या होना चाहिए।
मॉडल उत्तर देखें
कारण 1: DHCP स्कोप में एक वैध DNS सर्वर शामिल नहीं है। DNS के बिना, क्लाइंट कैप्टिव पोर्टल URL को रिज़ॉल्व नहीं कर सकता है और OS कैप्टिव पोर्टल डिटेक्शन मैकेनिज्म विफल हो जाता है। समाधान: गेस्ट VLAN पर DHCP स्कोप में एक वैध DNS सर्वर (जैसे, 8.8.8.8) जोड़ें। कारण 2: Walled Garden में Purple पोर्टल डोमेन शामिल नहीं हैं। इनके बिना, AP रीडायरेक्ट अनुरोध को क्लाइंट तक पहुँचने से पहले ही ब्लॉक कर देता है। समाधान: प्री-ऑथेंटिकेशन एक्सेस सूची में region1.purpleportal.net, venuewifi.com, और cloudfront.net जोड़ें।
Q2. आपका Multi-Tenant WiFi परिनियोजन एकल ALE OmniAccess SSID पर PPSK का उपयोग करता है। उपयोगकर्ता सफलतापूर्वक प्रमाणित होते हैं - Purple पोर्टल सफल लॉगिन दिखाता है - लेकिन सभी उपयोगकर्ताओं को उनके असाइन किए गए किरायेदार VLANs के बजाय VLAN 1 से IP एड्रेस प्राप्त होते हैं। सबसे संभावित कारण क्या है?
संकेत: RADIUS सर्वर और AP के बीच संचार, और AP के अपलिंक कॉन्फ़िगरेशन की जांच करें।
मॉडल उत्तर देखें
इसके दो संभावित कारण हैं। पहला, हो सकता है कि Purple RADIUS सर्वर Access-Accept संदेश में सभी तीन आवश्यक RADIUS टनल एट्रिब्यूट (64, 65, 81) वापस नहीं कर रहा हो। सत्यापित करें कि प्रवर्तन नीति में Tunnel-Type = 13, Tunnel-Medium-Type = 6, and Tunnel-Private-Group-ID = सही VLAN ID शामिल है। दूसरा, हो सकता है कि किरायेदार VLANs को ALE AP और वितरण स्विच के बीच अपलिंक ट्रंक पर टैग नहीं किया गया हो। यदि VLAN ट्रंक पर मौजूद नहीं है, तो AP ट्रैफ़िक को उस पर स्टीयर नहीं कर सकता है, भले ही RADIUS एट्रिब्यूट सही हों।
Q3. एक स्थान के लिए आवश्यक है कि गेस्ट सेशन 60 मिनट के बाद स्वचालित रूप से समाप्त हो जाएं, और जो मेहमान 24 घंटे के भीतर वापस आते हैं उन्हें पहचान लिया जाए और वे पंजीकरण फॉर्म को बायपास कर सकें। इसे Purple और ALE आर्किटेक्चर में कैसे कॉन्फ़िगर किया जाना चाहिए?
संकेत: विचार करें कि कौन सा सिस्टम सेशन लाइफटाइम को नियंत्रित करता है और कौन सा सिस्टम लौटने वाले विज़िटर की पहचान को नियंत्रित करता है।
मॉडल उत्तर देखें
सेशन की समाप्ति को RADIUS Session-Timeout एट्रिब्यूट के माध्यम से नियंत्रित किया जाता है। Access-Accept संदेश में Session-Timeout = 3600 (सेकंड) शामिल करने के लिए Purple RADIUS सर्वर को कॉन्फ़िगर करें। ALE AP 3600 सेकंड के बाद क्लाइंट को डिस्कनेक्ट कर देगा। लौटने वाले विज़िटर की पहचान को Purple पोर्टल में नियंत्रित किया जाता है। अपने स्थान के लिए 'डिवाइस याद रखें' या MAC-आधारित री-ऑथेंटिकेशन सेटिंग सक्षम करें। जब कोई लौटने वाला विज़िटर कॉन्फ़िगर की गई विंडो के भीतर कनेक्ट होता है, तो Purple का RADIUS सर्वर उनके MAC एड्रेस को पहचान लेता है और स्प्लैश पेज इंटरैक्शन की आवश्यकता के बिना एक Access-Accept लौटाता है, जिससे एक सहज रीकनेक्शन अनुभव मिलता है।
Q4. आप ALE OmniAccess Stellar APs पर 802.1X का उपयोग करके Staff WiFi तैनात कर रहे हैं। आपका संगठन पहचान प्रदाता के रूप में Microsoft Entra ID का उपयोग करता है। स्टाफ डिवाइस Intune के माध्यम से प्रबंधित Windows 11 लैपटॉप हैं। आपको किस EAP विधि का उपयोग करना चाहिए, और कौन सी प्रमाणपत्र आवश्यकताएं लागू होती हैं?
संकेत: सुरक्षा, परिनियोजन जटिलता और मौजूदा इन्फ्रास्ट्रक्चर की क्षमताओं के बीच संतुलन पर विचार करें।
मॉडल उत्तर देखें
EAP विधि के रूप में MSCHAPv2 के साथ PEAP का उपयोग करें। इसके लिए केवल Purple RADIUS सर्वर पर एक सर्वर-साइड प्रमाणपत्र की आवश्यकता होती है (जो पहले से ही Purple द्वारा प्रदान किया गया है) और प्रमाणीकरण के लिए उपयोगकर्ता के Entra ID क्रेडेंशियल का लाभ उठाता है। किसी क्लाइंट प्रमाणपत्र की आवश्यकता नहीं होती है, जो Intune-प्रबंधित उपकरणों पर परिनियोजन को सरल बनाता है। Intune Wi-Fi प्रोफ़ाइल के माध्यम से Windows 11 सप्लीकेंट को कॉन्फ़िगर करें, जिसमें SSID, WPA2-Enterprise सुरक्षा, PEAP विधि और सर्वर सत्यापन के लिए Purple RADIUS सर्वर प्रमाणपत्र थंबप्रिंट निर्दिष्ट करें। यदि आपकी सुरक्षा नीति प्रमाणपत्र-आधारित पारस्परिक प्रमाणीकरण की मांग करती है, तो EAP-TLS पर अपग्रेड करें और Intune SCEP प्रोफ़ाइल के माध्यम से क्लाइंट प्रमाणपत्र तैनात करें, लेकिन यह महत्वपूर्ण PKI प्रबंधन ओवरहेड जोड़ता है।
इस श्रृंखला में आगे पढ़ें
Purple WiFi के साथ Grandstream GWN Access Points का एकीकरण
यह आधिकारिक तकनीकी संदर्भ गाइड विस्तार से बताती है कि Grandstream GWN access points को Purple के Guest WiFi और एनालिटिक्स प्लेटफॉर्म के साथ कैसे एकीकृत किया जाए। यह Grandstream कैप्टिव पोर्टल कॉन्फ़िगरेशन, RADIUS AAA सेटिंग्स, walled garden सेटअप, डायनेमिक VLAN स्टीयरिंग के साथ सुरक्षित स्टाफ 802.1X प्रमाणीकरण, और मल्टी-टेनेंट PPSK विभाजन को कवर करता है - जो बड़े पैमाने पर अतिथि और स्टाफ WiFi तैनात करने वाले MSPs और आईटी टीमों के लिए व्यावहारिक, चरण-दर-चरण मार्गदर्शन प्रदान करता है।
Cisco WLC और Catalyst एकीकरण Purple WiFi के साथ: चरण-दर-चरण अतिथि एक्सेस गाइड
यह गाइड Purple के साथ Cisco WLC और Catalyst 9800 Wireless के चरण-दर-चरण एकीकरण का विवरण देती है, जिसमें Central Web Authentication के माध्यम से Guest WiFi कैप्टिव पोर्टल रीडायरेक्शन, 802.1X EAP-TLS का उपयोग करके सुरक्षित Staff WiFi, और डायनेमिक VLAN असाइनमेंट के साथ Cisco Identity Pre-Shared Keys (iPSK) का उपयोग करके मल्टी-टेनेंट सेगमेंटेशन शामिल है। यह उन एंटरप्राइज नेटवर्क आर्किटेक्ट्स और IT सुरक्षा निदेशकों के लिए लिखी गई है जो हॉस्पिटैलिटी, रिटेल और बड़े सार्वजनिक वेन्यू में Cisco इन्फ्रास्ट्रक्चर को डिप्लॉय कर रहे हैं।
Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर एकीकरण
यह गाइड Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर को तैनात करने के लिए संपूर्ण एकीकरण प्लेबुक प्रदान करती है। इसमें CoovaChilli कैप्टिव पोर्टल कॉन्फ़िगरेशन, iptables वॉल्ड गार्डन प्रबंधन, hostapd के साथ 802.1X सुरक्षित स्टाफ WiFi, और डायनेमिक VLAN असाइनमेंट के साथ मल्टी-टेनेंट PPSK सेगमेंटेशन शामिल है - जो IT टीमों को किसी भी OpenWrt-सक्षम हार्डवेयर पर पहचान-आधारित नेटवर्क बनाने के लिए आवश्यक सटीक कॉन्फ़िगरेशन चरण प्रदान करता है।