Allied Telesis TQ Series AP और गेस्ट WiFi: Purple के साथ captive portal सेटअप

आप एक निजी ब्रीफिंग में किसी क्लाइंट के IT डायरेक्टर से बात कर रहे एक सीनियर नेटवर्क कंसल्टेंट हैं। ब्रिटिश इंग्लिश के अंदाज़ में आत्मविश्वास, अधिकार और बातचीत के लहजे में बोलें। नपी-तुली गति, स्पष्ट उच्चारण। कोई भी फालतू शब्द नहीं। ज़ोर देने के लिए बीच-बीच में स्वाभाविक ठहराव: Allied Telesis TQ-Series एक्सेस पॉइंट्स को Purple WiFi के साथ इंटीग्रेट करने की इस टेक्निकल ब्रीफिंग में आपका स्वागत है। मैं आपको गेस्ट Captive Portal रीडायरेक्शन से लेकर मल्टी-टेनेंट PPSK आइसोलेशन तक, पूरे डिप्लॉयमेंट की जानकारी दूंगा। इसके अंत तक, आपके पास एक स्पष्ट इम्प्लीमेंटेशन रोडमैप होगा। [medium pause] आइए संदर्भ से शुरुआत करें। Allied Telesis TQ-Series का निर्माण करता है, जिसमें TQ5403 और TQ6702 GEN2 Wi-Fi 6 एक्सेस पॉइंट्स शामिल हैं। ये AlliedWare Plus फ़र्मवेयर पर चलने वाले एंटरप्राइज़-ग्रेड APs हैं, और इन्हें हॉस्पिटैलिटी, रिटेल और पब्लिक सेक्टर के वातावरण में व्यापक रूप से डिप्लॉय किया गया है। Purple एक हार्डवेयर-अज्ञेयवादी क्लाउड ओवरले प्लेटफ़ॉर्म है जो 80,000 से अधिक वेन्यू में काम कर रहा है और जिसने 2024 में 440 मिलियन लॉगिन को संभाला है। इन दोनों प्लेटफ़ॉर्म के बीच का इंटीग्रेशन बेहद साफ, मानकों पर आधारित और प्रोडक्शन के लिए तैयार है। [medium pause] अब, सबसे पहली चीज़ जिसे अधिकांश IT टीमों को कॉन्फ़िगर करने की आवश्यकता होती है, वह है गेस्ट Captive Portal रीडायरेक्शन। Allied Telesis AP तीन Captive Portal मोड का समर्थन करता है: क्लिक-थ्रू, RADIUS ऑथेंटिकेशन और एक्सटर्नल पेज रीडायरेक्ट। Purple इंटीग्रेशन के लिए, आप एक्सटर्नल पेज रीडायरेक्ट मोड का उपयोग करेंगे। आइए देखें कि यह व्यावहारिक रूप से कैसे काम करता है। आप AP के डिवाइस GUI में लॉग इन करते हैं, Wireless पर जाते हैं, संबंधित VAP चुनते हैं, Advanced Settings पर जाते हैं, फिर Security टैब पर जाते हैं। Captive Portal को External Page Redirect पर सेट करें। External Page URL फ़ील्ड में, आप अपने Purple डैशबोर्ड में दिए गए Purple स्प्लैश पेज का URL दर्ज करते हैं। यह वही URL है जिस पर आपके मेहमान पहली बार कनेक्ट होने पर पहुंचेंगे। [short pause] अब, AP प्रत्येक नए क्लाइंट से पहले HTTP या HTTPS पैकेट को इंटरसेप्ट करता है और उस ट्रैफ़िक को आपके Purple स्प्लैश पेज पर रीडायरेक्ट करता है। गेस्ट Purple के माध्यम से ऑथेंटिकेट करता है, और Purple का RADIUS सर्वर AP को वापस Access-Accept भेजता है। इसके बाद AP नेटवर्क एक्सेस प्रदान करता है। [medium pause] RADIUS कॉन्फ़िगरेशन के लिए, Purple आपको एक RADIUS सर्वर IP एड्रेस, एक शेयर्ड सीक्रेट और ऑथेंटिकेशन पोर्ट प्रदान करता है, जो कि UDP 1812 है। एकाउंटिंग UDP 1813 पर चलती है। आप इन्हें AP GUI में Network Services, फिर RADIUS के तहत कॉन्फ़िगर करते हैं। NAS आइडेंटिफायर को AP के मैनेजमेंट IP या किसी वर्णनात्मक होस्टनेम पर सेट किया जाना चाहिए। Purple का RADIUS-as-a-Service ऑथेंटिकेशन बैकएंड को संभालता है, इसलिए आपको अपना स्वयं का RADIUS इन्फ्रास्ट्रक्चर चलाने की आवश्यकता नहीं है। [short pause]एक चीज़ जिसे सही करना ज़रूरी है वह है Walled Garden। मेहमान के प्रमाणित होने से पहले, AP व्हाइटलिस्ट किए गए गंतव्यों को छोड़कर अन्य सभी ट्रैफ़िक को ब्लॉक कर देता है। आपको Walled Garden में Purple के प्लेटफ़ॉर्म डोमेन जोड़ने की आवश्यकता है ताकि स्प्लैश पेज सही ढंग से लोड हो सके। न्यूनतम रूप से, Purple स्प्लैश पेज डोमेन, एसेट के लिए Purple द्वारा उपयोग किए जाने वाले किसी भी CDN एंडपॉइंट और आपके द्वारा सक्षम किए गए किसी भी सोशल लॉगिन प्रदाता, जैसे Google या Facebook को व्हाइटलिस्ट करें। आप इसे Walled Garden के अंतर्गत उसी VAP एडवांस्ड सेटिंग्स पैनल में कॉन्फ़िगर करते हैं। [medium pause] आइए 802.1X का उपयोग करके स्टाफ WiFi पर आगे बढ़ें। यह वह जगह है जहाँ आप एक अलग VAP पर WPA Enterprise कॉन्फ़िगर करते हैं। AP GUI में, सुरक्षा ड्रॉपडाउन से WPA Enterprise चुनें, फिर RADIUS प्रमाणीकरण समूह को अपने बाहरी RADIUS सर्वर पर इंगित करें, जो इस मामले में Purple की SecurePass सेवा या आपका अपना Microsoft Entra ID या Okta-समर्थित RADIUS है। स्टाफ डिवाइस MSCHAPv2 के साथ EAP-PEAP, या उच्च सुरक्षा वातावरण के लिए प्रमाणपत्रों के साथ EAP-TLS का उपयोग करके प्रमाणित होते हैं। AP 802.1X प्रमाणक के रूप में कार्य करता है, क्रेडेंशियल्स को RADIUS सर्वर पर अग्रेषित करता है और प्रतिक्रिया को लागू करता है। [short pause] स्टाफ़ नेटवर्क पर डायनेमिक VLAN असाइनमेंट के लिए, आप VAP की उन्नत सुरक्षा सेटिंग्स में डायनेमिक VLAN सक्षम करते हैं। जब RADIUS सर्वर Access-Accept लौटाता है, तो इसमें तीन मानक विशेषताएँ शामिल होती हैं: Tunnel-Type को VLAN पर सेट किया गया है, Tunnel-Medium-Type को IEEE 802 पर सेट किया गया है, और Tunnel-Private-Group-Id को VLAN ID पर सेट किया गया है। AP इन विशेषताओं को पढ़ता है और प्रमाणित डिवाइस को स्वचालित रूप से सही VLAN पर रखता है। यह RFC 3580 में परिभाषित तंत्र है और यह Allied Telesis हार्डवेयर पर लगातार काम करता है। [medium pause] अब आइए मल्टी-टेनेंट डिप्लॉयमेंट के लिए सबसे दिलचस्प क्षमता के बारे में बात करते हैं: Allied Telesis PPSK, या Private Pre-Shared Key। इसे अन्य प्लेटफ़ॉर्म पर कभी-कभी iPSK भी कहा जाता है। अवधारणा सीधी है। आपके पास एक ही SSID है, लेकिन प्रत्येक टेनेंट या उपयोगकर्ता समूह को एक अद्वितीय पासफ़्रेज़ मिलता है। जब कोई डिवाइस कनेक्ट होता है, तो AP उस पासफ़्रेज़ को RADIUS Access-Request में पासवर्ड फ़ील्ड के रूप में RADIUS सर्वर पर भेजता है। RADIUS सर्वर पासफ़्रेज़ को एक उपयोगकर्ता रिकॉर्ड से मिलाता है, और उस टेनेंट के लिए VLAN निर्दिष्ट करने वाले Tunnel-Private-Group-Id विशेषता के साथ Access-Accept लौटाता है। [short pause] तो एक मिश्रित उपयोग वाली इमारत में, रिटेल यूनिट में टेनेंट A अपने पासफ़्रेज़ के साथ कनेक्ट होता है और VLAN 100 पर पहुँचता है। ग्राउंड फ़्लोर पर मौजूद रेस्तरां एक अलग पासफ़्रेज़ का उपयोग करता है और VLAN 300 पर पहुँचता है। बिल्डिंग का गेस्ट WiFi तीसरे पासफ़्रेज़ का उपयोग करता है और VLAN 400 पर पहुँचता है जहाँ Purple का Captive Portal सक्रिय है। यह सब एक ही SSID पर चलता है। कोई SSID प्रसार नहीं। साफ, स्केलेबल और प्रबंधित करने में आसान। [medium pause] Purple की तरफ, आप Purple डैशबोर्ड में या RADIUS-as-a-Service इंटरफेस के माध्यम से PPSK उपयोगकर्ता रिकॉर्ड कॉन्फ़िगर करते हैं। प्रत्येक टेनेंट को एक VLAN ID से मैप किया गया एक विशिष्ट पासफ़्रेज़ मिलता है। Purple का RADIUS सर्वर मिलान को संभालता है और सही Tunnel-Private-Group-Id वापस करता है। जब आपको किसी टेनेंट का एक्सेस निरस्त करने की आवश्यकता होती है, तो आप Purple में उनके PPSK रिकॉर्ड को हटा देते हैं या अक्षम कर देते हैं। AP अगले प्रमाणीकरण प्रयास पर परिवर्तन को लागू करता है। [medium pause] आइए मैं आपको दो वास्तविक दुनिया के परिदृश्य देता हूँ जहाँ यह महत्वपूर्ण है। पहला, एक 250 कमरों वाला कॉन्फ्रेंस होटल। होटल तीन नेटवर्क चलाता है: Purple स्पैश पेज और सोशल लॉगिन के साथ गेस्ट WiFi, Microsoft Entra ID के माध्यम से एक्टिव डायरेक्टरी से जुड़ा 802.1X पर स्टाफ WiFi, और इवेंट्स के लिए एक कॉन्फ्रेंस डेलीगेट नेटवर्क। Allied Telesis TQ6702 GEN2 APs अलग VLANs के साथ अलग VAPs पर तीनों को संभालते हैं। Purple गेस्ट स्पैश पेज को प्रबंधित करता है, होटल के CRM के लिए फर्स्ट-पार्टी डेटा एकत्र करता है, और पीक उपयोग अवधि पर एनालिटिक्स प्रदान करता है। होटल की IT टीम ऑन-साइट एक अलग RADIUS सर्वर को बनाए रखे बिना Purple के SecurePass के माध्यम से स्टाफ नेटवर्क का प्रबंधन करती है। [short pause] दूसरा परिदृश्य: 12 स्वतंत्र टेनेंट्स वाला एक रिटेल पार्क। लैंडलॉर्ड प्रत्येक टेनेंट को एक-दूसरे के ट्रैफिक तक पहुंच दिए बिना सेवा के रूप में WiFi देना चाहता है। वे पूरे साइट पर एक ही SSID के साथ Allied Telesis APs तैनात करते हैं। प्रत्येक टेनेंट को एक अद्वितीय PPSK प्राप्त होता है। Purple का RADIUS सर्वर प्रत्येक PPSK को एक समर्पित VLAN से मैप करता है। लैंडलॉर्ड Purple में एक नया PPSK रिकॉर्ड बनाकर और टेनेंट को पासफ़्रेज़ सौंपकर दस मिनट से कम समय में एक नए टेनेंट को शामिल कर सकता है। किसी AP रीकॉन्फ़िगरेशन की आवश्यकता नहीं है। [medium pause] अब, बचने के लिए कुछ गलतियाँ। सबसे आम समस्या जो हम देखते हैं वह है गलत तरीके से कॉन्फ़िगर की गई वॉल्ड गार्डन। यदि आप Purple CDN एंडपॉइंट को श्वेतसूची में डालना भूल जाते हैं, तो स्पैश पेज आंशिक रूप से लोड होगा या कुछ डिवाइसों पर विफल हो जाएगा। लाइव होने से पहले एक नए डिवाइस के साथ परीक्षण करें जिसमें कोई कैश्ड DNS न हो। दूसरा, RADIUS शेयर्ड सीक्रेट बेमेल होना। AP पर कॉन्फ़िगर किया गया सीक्रेट Purple के RADIUS सर्वर कॉन्फ़िगरेशन में सीक्रेट से बिल्कुल मेल खाना चाहिए। एक सिंगल कैरेक्टर का अंतर साइलेंट ऑथेंटिकेशन विफलताओं का कारण बनता है। सीक्रेट उत्पन्न करने और संग्रहीत करने के लिए पासवर्ड मैनेजर का उपयोग करें। तीसरा, डायनेमिक VLAN का सक्षम न होना। Allied Telesis APs पर, डायनेमिक VLAN डिफ़ॉल्ट रूप से अक्षम होता है, भले ही WPA Enterprise सक्रिय हो। आपको इसे VAP एडवांस्ड सिक्योरिटी सेटिंग्स में स्पष्ट रूप से सक्षम करना होगा। हम इसे नियमित रूप से छूटते हुए देखते हैं। चौथा, PPSK और MAC प्रमाणीकरण संघर्ष। यदि आपके पास उसी VAP पर MAC प्रमाणीकरण सक्षम है जिस पर PPSK है, तो प्रमाणीकरण क्रम मायने रखता है। यह पुष्टि करने के लिए कि किस विधि को प्राथमिकता मिलती है, अपने फ़र्मवेयर संस्करण के लिए AP दस्तावेज़ देखें। [medium pause] IT टीमों से मुझे मिलने वाले त्वरित प्रश्न। क्या मैं एक ही परिनियोजन पर गेस्ट Captive Portal और स्टाफ 802.1X दोनों के लिए Purple के RADIUS सर्वर का उपयोग कर सकता हूँ? हाँ। Purple का RADIUS-as-a-Service दोनों प्रमाणीकरण प्रवाहों का समर्थन करता है। आप प्रत्येक उपयोग के मामले के लिए Purple में अलग RADIUS समूह या नीतियां कॉन्फ़िगर करते हैं।क्या Allied Telesis APs captive portal के साथ WPA3 का समर्थन करते हैं? 5.5.4-2.3 या बाद के फर्मवेयर पर चलने वाला TQ6702 GEN2, WPA3 CCMP साइफर का समर्थन करता है। हालांकि, बाहरी रीडायरेक्ट वाला captive portal आमतौर पर एक ओपन या WPA2 Personal SSID पर चलता है। स्टाफ 802.1X, WPA3 Enterprise का उपयोग कर सकता है। यदि Purple RADIUS सर्वर अनुपलब्ध हो तो क्या होगा? AP नए ऑथेंटिकेशन प्रयासों को अस्वीकार कर देगा। मौजूदा सेशन समाप्त होने तक जारी रहेंगे। रिडंडेंसी के लिए आपको AP के RADIUS ग्रुप में एक सेकेंडरी RADIUS सर्वर कॉन्फ़िगर करना चाहिए। Purple का प्लेटफॉर्म 99.999% अपटाइम बनाए रखता है, लेकिन डिफेंस-इन-डेप्थ एक अच्छा अभ्यास है। [medium pause] संक्षेप में कहें तो। Allied Telesis TQ-Series APs तीन मुख्य तंत्रों के माध्यम से Purple के साथ एकीकृत होते हैं: गेस्ट WiFi के लिए बाहरी captive portal रीडायरेक्ट, स्टाफ 802.1X के लिए RADIUS के साथ WPA Enterprise, और मल्टी-टेनेंट आइसोलेशन के लिए डायनेमिक VLAN के साथ PPSK। जिन RADIUS एट्रिब्यूट्स की आपको आवश्यकता है वे हैं Tunnel-Type VLAN, Tunnel-Medium-Type IEEE 802, और VLAN ID ले जाने वाला Tunnel-Private-Group-Id। Purple, RADIUS-as-a-Service बैकएंड, स्प्लैश पेज प्लेटफॉर्म और एनालिटिक्स लेयर प्रदान करता है। [short pause] आपके अगले कदम: अपने डैशबोर्ड से Purple RADIUS क्रेडेंशियल प्राप्त करें, अपने गेस्ट VAP पर बाहरी पेज रीडायरेक्ट कॉन्फ़िगर करें, वॉल्ड गार्डन प्रविष्टियां जोड़ें, अपने स्टाफ VAP पर डायनेमिक VLAN सक्षम करें, और लाइव जाने से पहले प्रत्येक नेटवर्क सेगमेंट के लिए एक टेस्ट ऑथेंटिकेशन चलाएं। यदि आप मल्टी-टेनेंट के लिए PPSK तैनात कर रहे हैं, तो शुरू करने से पहले अपनी VLAN नंबरिंग योजना तैयार कर लें, क्योंकि टेनेंट्स के लाइव होने के बाद VLAN IDs को बदलने के लिए समन्वय की आवश्यकता होती है। [medium pause] यह ब्रीफिंग थी। पूर्ण चरण-दर-चरण कॉन्फ़िगरेशन संदर्भ, Mermaid आर्किटेक्चर आरेख और RADIUS एट्रिब्यूट तालिका के लिए, लिखित गाइड देखें। आपके समय के लिए धन्यवाद।