पॉडकास्ट ट्रांसक्रिप्ट देखें
ब्रीफिंग में आपका स्वागत है। आज, हम Purple प्लेटफॉर्म के साथ Arista Cognitive Wi-Fi के एकीकरण का विश्लेषण कर रहे हैं। यह एक सीनियर कंसलटेंट ब्रीफिंग है, जिसका सीधा उद्देश्य एंटरप्राइज नेटवर्क आर्किटेक्ट्स और क्लाउड सिस्टम एडमिनिस्ट्रेटर्स को गाइड करना है, जिन्हें इसे पहली बार में ही सही तरीके से डिप्लॉय करना है।
आइए स्थिति को समझें। Arista Cognitive Wi-Fi, जिसे CloudVision Cognitive Unified Edge प्लेटफॉर्म के माध्यम से मैनेज किया जाता है, एक क्लाउड-मैनेज्ड वायरलेस इंफ्रास्ट्रक्चर है जो एंटरप्राइज-ग्रेड गेस्ट और स्टाफ नेटवर्क डिप्लॉयमेंट का समर्थन करता है। Purple एक हार्डवेयर-एग्नॉस्टिक क्लाउड ओवरले है जो गेस्ट पोर्टल, आइडेंटिटी कैप्चर, RADIUS ऑथेंटिकेशन और एनालिटिक्स लेयर प्रदान करता है। जब आप इन दोनों को मिलाते हैं, तो आपको एक पूर्ण, अनुपालन-योग्य और व्यावसायिक रूप से मूल्यवान गेस्ट WiFi आर्किटेक्चर मिलता है। आइए इसके काम करने के तरीके को समझें।
सबसे पहले समझने वाली बात है Captive Portal ऑनबोर्डिंग फ्लो। जब कोई गेस्ट डिवाइस Arista एक्सेस पॉइंट पर ओपन गेस्ट SSID से जुड़ता है, तो AP तुरंत उस डिवाइस को प्री-ऑथेंटिकेशन VLAN में डाल देता है। इस स्थिति में, डिवाइस के पास एक DHCP-असाइन किया गया IP एड्रेस होता है, लेकिन उसका DNS और HTTP ट्रैफ़िक काफी सीमित होता है। डिवाइस ऑपरेटिंग सिस्टम, चाहे वह iOS, Android, या Windows हो, Captive Portal डिटेक्शन प्रोब चलाता है। iOS captive.apple.com पर एक HTTP अनुरोध भेजता है। Android connectivitycheck.gstatic.com को प्रोब करता है। Arista AP इस अनुरोध को इंटरसेप्ट करता है और एक 302 रीडायरेक्ट वापस करता है, जो डिवाइस को Purple स्प्लैश पेज URL पर भेज देता है।
अब, यही वह जगह है जहाँ अधिकांश डिप्लॉयमेंट में गलती होती है। उस रीडायरेक्ट के काम करने और स्प्लैश पेज को वास्तव में रेंडर करने के लिए, आपको Arista CV-CUE में Walled Garden को सही ढंग से कॉन्फ़िगर करना होगा। Walled Garden एक स्पष्ट अनुमति-सूची (allow-list) है। प्री-ऑथेंटिकेशन स्थिति में, डिफ़ॉल्ट रूप से सभी ट्रैफ़िक को ड्रॉप कर दिया जाता है। पोर्टल लोड करने के लिए आवश्यक हर डोमेन को आपको व्हाइटलिस्ट करना होगा। कम से कम, इसका मतलब मुख्य Purple डोमेन हैं: region1.purpleportal.net, venuewifi.com, और cloudfront.net। यदि आप Google Workspace के माध्यम से सोशल लॉगिन की पेशकश कर रहे हैं, तो आपको accounts.google.com और उससे जुड़ी CDN रेंज को जोड़ना होगा। Facebook के लिए, आपको facebook.com, fbcdn.net, और akamaihd.net की आवश्यकता होगी। इनमें से किसी को भी छोड़ दें, और गेस्ट को एक खाली स्क्रीन या घूमता हुआ लॉगिन बटन दिखाई देगा। वे चले जाएंगे, और आप डेटा कैप्चर करने का अवसर खो देंगे।
आइए मैं आपको CV-CUE में RADIUS कॉन्फ़िगरेशन के बारे में बताता हूँ। Configure पर जाएँ, फिर Network Profiles पर, फिर RADIUS पर। Add RADIUS Server पर क्लिक करें। Purple का प्राइमरी RADIUS सर्वर IP एड्रेस दर्ज करें, Authentication Port को 1812 पर, Accounting Port को 1813 पर सेट करें, और Purple द्वारा प्रदान किया गया शेयर्ड सीक्रेट दर्ज करें। सेकेंडरी सर्वर के लिए भी यही प्रक्रिया दोहराएं। यह रिडंडेंसी महत्वपूर्ण है। यदि प्राइमरी सर्वर अनुपलब्ध है, तो सेकेंडरी सर्वर बिना गेस्ट एक्सेस को बाधित किए काम संभाल लेता है।एक बार RADIUS प्रोफाइल सहेजने के बाद, Configure, फिर WiFi, फिर SSID पर जाएं और Add New SSID पर क्लिक करें। अपने SSID को नाम दें, प्रकार को Guest पर सेट करें, और Security टैब के तहत, सुरक्षा स्तर को Open पर सेट करें। Captive Portal परिनियोजन के लिए यह सही है। Captive Portal टैब के तहत, Captive Portal चेकबॉक्स को सक्षम करें, Cloud Hosted ड्रॉप-डाउन से Third-Party Hosted चुनें, और With RADIUS Authentication बॉक्स को चेक करें। Purple Splash Page URL को Splash Page URL फ़ील्ड में पेस्ट करें। यह आमतौर पर https://region1.purpleportal.net/access/ प्रारूप में होता है। साझा गुप्त (shared secret) दर्ज करें। फिर, Websites that users can access before login अनुभाग में, अपने Walled Garden डोमेन जोड़ें। Called Station ID प्रारूप को percent-m पर सेट करें, जो MAC पते को उस प्रारूप में भेजता है जिसकी Purple अपेक्षा करता है। Accounting Interval को 2 मिनट पर सेट करें। HTTPS Redirection चेकबॉक्स को साफ़ करें। SSID को सहेजें। यह कुछ ही मिनटों में आपके Arista APs पर लागू हो जाएगा।
अब आइए बात करते हैं कि मेहमान द्वारा Purple पोर्टल पर अपना विवरण सबमिट करने के बाद क्या होता है। Purple, RADIUS सर्वर के रूप में कार्य करता है। यह पहचान को मान्य करता है, सहमति प्राप्त करता है, और Arista AP को वापस एक RADIUS Access-Accept संदेश भेजता है। लेकिन यहाँ महत्वपूर्ण बात यह है: उस Access-Accept संदेश में RFC 3576 में परिभाषित Change of Authorisation विशेषताएँ (attributes) होती हैं। ये विशेषताएँ Arista AP को उस विशिष्ट क्लाइंट को प्रतिबंधित पूर्व-प्रमाणीकरण (pre-authentication) स्थिति से पूर्ण इंटरनेट एक्सेस वाले पोस्ट-प्रमाणीकरण (post-authentication) VLAN में गतिशील रूप से स्थानांतरित करने का निर्देश देती हैं। इसके साथ ही, AP पोर्ट 1813 पर Purple को एक RADIUS Accounting-Start संदेश भेजता है। इससे सत्र टाइमर शुरू होता है और सत्र अवधि का डेटा Purple एनालिटिक्स डैशबोर्ड में फीड होता है।
आइए अधिक उन्नत उपयोग के मामले पर चलें: Arista Private Pre-Shared Keys, या PPSK का उपयोग करके मल्टी-टेनेंट WiFi। यह वह आर्किटेक्चर है जिसे आप को-वर्किंग स्पेस, रिटेल मॉल, आवासीय भवनों, या किसी भी ऐसे वातावरण के लिए चाहते हैं जहाँ आपके पास कई अलग-अलग उपयोगकर्ता समूह हैं जिन्हें सख्त नेटवर्क अलगाव (network isolation) की आवश्यकता होती है।
पारंपरिक दृष्टिकोणों के साथ समस्या यह है कि प्रत्येक टेनेंट के लिए एक अलग SSID प्रसारित करने से भारी RF ओवरहेड पैदा होता है। प्रत्येक SSID को बीकन फ़्रेम की आवश्यकता होती है। 20 टेनेंट्स वाले सघन वातावरण में, इसका मतलब है कि 20 SSID एयरटाइम का उपभोग कर रहे हैं। PPSK इसे सुरुचिपूर्ण ढंग से हल करता है। आप एक एकल SSID प्रसारित करते हैं। लेकिन Purple पोर्टल में, प्रत्येक टेनेंट को एक अद्वितीय पासफ़्रेज़ सौंपा जाता है। जब कोई उपयोगकर्ता कनेक्ट होता है, तो Arista AP Purple RADIUS सर्वर के विरुद्ध उस पासफ़्रेज़ को प्रमाणित करता है। Purple पासफ़्रेज़ को ढूंढता है, संबद्ध टेनेंट की पहचान करता है, और एक Access-Accept संदेश लौटाता है। लेकिन महत्वपूर्ण रूप से, यह तीन RADIUS विशेषताओं को जोड़ता है: Tunnel-Type, जिसे VLAN पर सेट किया गया है; Tunnel-Medium-Type, जिसे 802 पर सेट किया गया है; और Tunnel-Private-Group-ID, जिसे टेनेंट की विशिष्ट VLAN ID पर सेट किया गया है। Arista AP इन विशेषताओं को पढ़ता है और क्लाइंट को गतिशील रूप से सही VLAN पर ले जाता है। टेनेंट A, अपने पासफ़्रेज़ का उपयोग करके, VLAN 100 पर जाता है। टेनेंट B, VLAN 200 पर जाता है। वे Layer 2 पर पूरी तरह से अलग हैं। वे एक-दूसरे के डिवाइस, प्रिंटर या सर्वर नहीं देख सकते।यह व्यावहारिक रूप से Identity-Based Networking है। पासफ़्रेज़ की पहचान नेटवर्क सेगमेंट को निर्धारित करती है। इसे Purple के माध्यम से केंद्रीय रूप से प्रबंधित किया जाता है, इसलिए जब कोई किरायेदार छोड़ता है, तो आप Purple पोर्टल में उनके पासफ़्रेज़ को रद्द कर देते हैं, और एक्सेस तुरंत समाप्त हो जाता है। Arista इंफ्रास्ट्रक्चर पर किसी बदलाव की आवश्यकता नहीं है।
अब, आइए IEEE 802.1X का उपयोग करके सुरक्षित स्टाफ WiFi को कवर करें। अपने स्टाफ SSID के लिए, आपको साझा पासफ़्रेज़ का उपयोग नहीं करना चाहिए। आपको EAP, एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल के साथ 802.1X का उपयोग करना चाहिए। CV-CUE में, एक नया कॉर्पोरेट SSID बनाएं। सुरक्षा टैब के अंतर्गत, WPA2-Enterprise या WPA3-Enterprise चुनें। अपना RADIUS प्रोफ़ाइल चुनें, जो आपके कॉर्पोरेट पहचान प्रदाता, जैसे Microsoft Entra ID या Okta की ओर इशारा करना चाहिए। जब कोई स्टाफ सदस्य कनेक्ट होता है, तो उनका डिवाइस Arista AP को क्रेडेंशियल प्रस्तुत करता है, जो उन्हें EAP के माध्यम से RADIUS सर्वर पर भेज देता है। पहचान प्रदाता क्रेडेंशियल को मान्य करता है और Access-Accept लौटाता है। EAP-TLS का उपयोग करके प्रमाणपत्र-आधारित प्रमाणीकरण के लिए, डिवाइस उपयोगकर्ता नाम और पासवर्ड के बजाय क्लाइंट प्रमाणपत्र प्रस्तुत करता है, जिससे क्रेडेंशियल चोरी का खतरा पूरी तरह से समाप्त हो जाता है।
आइए मैं Arista Cloud WIPS एकीकरण को संबोधित करूं। Arista का वायरलेस घुसपैठ रोकथाम सिस्टम बैकग्राउंड में काम करता है, जो अनधिकृत क्लाइंट्स और अनधिकृत एक्सेस पॉइंट्स को स्कैन करता है। CV-CUE में, Configure, फिर WIPS, फिर Automatic Intrusion Prevention पर जाएं। आप रोकथाम स्तर को Degrade से लेकर Block तक कॉन्फ़िगर कर सकते हैं। एंटरप्राइज परिनियोजन के लिए, हम शुरुआती बिंदु के रूप में Disrupt स्तर की अनुशंसा करते हैं, जो पूरी तरह से ब्लॉक किए बिना अनधिकृत संचार को बाधित करता है, जिससे गलत सकारात्मक जोखिम कम हो जाता है। आपको Configure, फिर Device, फिर Access Point के अंतर्गत, Security टैब का चयन करके VLAN मॉनिटरिंग को भी कॉन्फ़िगर करना चाहिए। SSID VLAN मॉनिटरिंग सक्षम करें ताकि APs अनधिकृत गतिविधि के लिए अपने निर्दिष्ट VLANs की सक्रिय रूप से निगरानी करें।
अब, कुछ कार्यान्वयन संबंधी गलतियों से बचना चाहिए। पहला, DHCP पूल की समाप्ति। रिटेल स्टोर या स्टेडियम जैसे उच्च-आवागमन वाले वातावरण में, डिवाइस थोड़ी देर के लिए कनेक्ट होते हैं और चले जाते हैं। यदि आपका आइडल टाइमआउट बहुत अधिक सेट है, तो वे सत्र सक्रिय रहते हैं, जिससे IP पते अवरुद्ध रहते हैं। रिटेल के लिए CV-CUE में आइडल टाइमआउट को 10 मिनट और इवेंट वेन्यू के लिए 5 मिनट तक सेट करें। यह आक्रामक रूप से IPs को पुनः प्राप्त करता है और पूल को समाप्त होने से रोकता है।
दूसरा, MAC एड्रेस रैंडमाइजेशन। iOS 14 और Android 10 से, डिवाइस डिफ़ॉल्ट रूप से प्रति SSID अपने MAC एड्रेस को रैंडमाइज करते हैं। यह उस किसी भी आर्किटेक्चर को तोड़ देता है जो लौटने वाले मेहमानों की पहचान करने के लिए MAC एड्रेस पर निर्भर करता है। सही समाधान अपने पहचान मॉडल को प्रमाणित क्रेडेंशियल्स - Purple पोर्टल के माध्यम से कैप्चर किए गए ईमेल पते या सोशल लॉगिन पर स्थानांतरित करना है। बिना किसी पोर्टल के निर्बाध रूप से पुनः कनेक्ट करने के लिए, दीर्घकालिक माइग्रेशन पथ Passpoint है, जिसे Hotspot 2.0 भी कहा जाता है, जो प्रमाणपत्र-आधारित प्रमाणीकरण का उपयोग करता है और Captive Portal को पूरी तरह से समाप्त कर देता है।तीसरा, HTTPS रीडायरेक्शन। CV-CUE में Captive Portal को कॉन्फ़िगर करते समय, सुनिश्चित करें कि HTTPS Redirection चेकबॉक्स अनचेक हो। Purple HTTPS सेशन को स्वतंत्र रूप से संभालता है। Arista की ओर से HTTPS रीडायरेक्शन को सक्षम करने से सर्टिफिकेट मिसमैच त्रुटियां हो सकती हैं जो पोर्टल को लोड होने से रोकती हैं।
आइए सामान्य परिदृश्यों पर तुरंत सवाल-जवाब करें।
प्रश्न: किसी अतिथि का पोर्टल पेज खाली स्क्रीन दिखाता है। आप सबसे पहले कहाँ देखते हैं? उत्तर: Walled Garden। एक गायब डोमेन लगभग हमेशा इसका कारण होता है। जांचें कि CV-CUE में सभी Purple डोमेन और संबंधित पहचान प्रदाता CDN डोमेन व्हाइटलिस्टेड हैं या नहीं।
प्रश्न: PPSK उपयोगकर्ता सभी डिफ़ॉल्ट VLAN पर जा रहे हैं। क्या गलत है? उत्तर: Purple RADIUS सर्वर Tunnel-Private-Group-ID एट्रिब्यूट वापस नहीं कर रहा है। CV-CUE समस्या निवारण लॉग में RADIUS रिस्पॉन्स की जाँच करें और Purple पोर्टल में VLAN मैपिंग सत्यापित करें।
प्रश्न: Purple में RADIUS एकाउंटिंग डेटा शून्य सेकंड का सेशन दिखा रहा है। समस्या क्या है? उत्तर: एकाउंटिंग पोर्ट संभवतः गलत तरीके से कॉन्फ़िगर किया गया है या ब्लॉक है। सत्यापित करें कि Arista APs और Purple RADIUS सर्वरों के बीच फ़ायरवॉल पर पोर्ट 1813 खुला है, और SSID सेटिंग्स में एकाउंटिंग इंटरवल 2 मिनट पर सेट है।
इस ब्रीफिंग के मुख्य निष्कर्षों को संक्षेप में प्रस्तुत करने के लिए। एक: Walled Garden एक स्पष्ट अनुमति-सूची है। इसे एक बार के सेटअप के रूप में नहीं, बल्कि एक बार-बार होने वाले परिचालन कार्य के रूप में बनाए रखें। दो: RADIUS Change of Authorization वह तंत्र है जो पहुंच प्रदान करता है। इसके बिना, पोर्टल पूरा हो जाता है लेकिन अतिथि ब्लॉक ही रहता है। तीन: Purple RADIUS के साथ Arista PPSK एकल SSID पर मल्टी-टेनेंट अलगाव के लिए डायनामिक VLAN स्टीयरिंग को सक्षम बनाता है, जिससे बीकन ओवरहेड समाप्त हो जाता है। चार: लेटरल मूवमेंट को रोकने के लिए अतिथि SSIDs पर हमेशा क्लाइंट आइसोलेशन सक्षम करें। पांच: सटीक एनालिटिक्स के लिए MAC एड्रेस रैंडमाइजेशन के लिए पहचान-आधारित प्रमाणीकरण में बदलाव की आवश्यकता होती है। छह: उचित एकीकरण GDPR सहमति आवश्यकताओं को पूरा करता है और फर्स्ट-पार्टी डेटा कैप्चर करता है जो सीधे मार्केटिंग ROI को संचालित करता है।
आपके अगले कदम: Purple पोर्टल हार्डवेयर कॉन्फ़िगरेशन पेज से Purple RADIUS सर्वर IP एड्रेस और शेयर्ड सीक्रेट प्राप्त करें। CV-CUE में RADIUS प्रोफाइल कॉन्फ़िगर करें। अपनी Walled Garden डोमेन सूची बनाएं। अपना अतिथि SSID तैनात करें। प्रोडक्शन में रोल आउट करने से पहले एक मोबाइल डिवाइस से पूरे प्रमाणीकरण प्रवाह का परीक्षण करें। और यदि आप मल्टी-टेनेंट वातावरण तैनात कर रहे हैं, तो PPSK पासफ़्रेज़ को कॉन्फ़िगर करने से पहले Purple में अपने टेनेंट VLAN IDs को मैप करें।
यह इस तकनीकी ब्रीफिंग को समाप्त करता है। सुनने के लिए धन्यवाद।
