NETGEAR Enterprise AP और guest WiFi: Purple के साथ captive portal सेटअप

Purple के टेक्निकल ब्रीफिंग में आपका स्वागत है। आज हम एक ऐसे विषय पर चर्चा कर रहे हैं जो हॉस्पिटैलिटी, रिटेल और मल्टी-टेनेंट वेन्यू में IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के साथ हमारी बातचीत में लगातार सामने आता है: NETGEAR Insight और WAX सीरीज एक्सेस पॉइंट्स को Purple WiFi के साथ कैसे एकीकृत किया जाए। यदि आप एक होटल, एक रिटेल पार्क, एक कॉन्फ्रेंस सेंटर, या एक मिक्स्ड-यूज़ डेवलपमेंट चला रहे हैं, तो यह ब्रीफिंग सीधे आपके अगले परिनियोजन निर्णय के लिए प्रासंगिक है। आइए स्थिति को समझें। NETGEAR की WAX सीरीज - WAX610, WAX620, और WAX630 - WiFi 6 एक्सेस पॉइंट्स हैं जिन्हें Insight क्लाउड प्लेटफॉर्म के माध्यम से प्रबंधित किया जाता है। ये प्रति रेडियो आठ अलग SSIDs, WPA3 एन्क्रिप्शन, और WAX630 पर छह गीगाबिट्स तक थ्रूपुट का समर्थन करते हैं। ये PoE-संचालित हैं, सीलिंग-माउंटेबल हैं, और Insight क्लाउड पोर्टल के माध्यम से सिंगल पेन ऑफ ग्लास से प्रबंधित होते हैं। एक IT इंस्टॉलर या SMB नेटवर्क एडमिनिस्ट्रेटर के लिए, यह Cisco Meraki या HPE Aruba स्तर से काफी कम कीमत पर वास्तव में एक सक्षम प्लेटफॉर्म है। Purple एक हार्डवेयर-एग्नोस्टिक क्लाउड ओवरले है। हम आपके मौजूदा इंफ्रास्ट्रक्चर के शीर्ष पर काम करते हैं और हम गेस्ट एक्सपीरियंस लेयर, डेटा कैप्चर लेयर और एनालिटिक्स लेयर को जोड़ते हैं। हमने 2024 में 80,000 लाइव वेन्यू में 440 मिलियन लॉगिन प्रोसेस किए हैं। NETGEAR Insight के साथ एकीकरण बिल्कुल साफ और अच्छी तरह से प्रलेखित है, और यह चार अलग-अलग उपयोग के मामलों को कवर करता है जिन पर हम आज चर्चा करेंगे। अब आइए तकनीकी विवरण में गहराई से जाएं। ये चार उपयोग के मामले हैं: Purple Captive Portal के साथ गेस्ट WiFi, 802.1X का उपयोग करके सुरक्षित स्टाफ WiFi, NETGEAR के PPSK फीचर का उपयोग करके मल्टी-टेनेंट सेगमेंटेशन, और आइडेंटिटी-बेस्ड नेटवर्क्स के लिए RADIUS के माध्यम से डायनेमिक VLAN असाइनमेंट। उपयोग का पहला मामला: Purple Captive Portal के साथ गेस्ट WiFi। यह सबसे आम शुरुआती बिंदु है। आप NETGEAR Insight में एक समर्पित गेस्ट SSID बनाते हैं और इसे एक ओपन नेटवर्क के रूप में कॉन्फ़िगर करते हैं। मुख्य कॉन्फ़िगरेशन SSID सेटिंग्स के Captive Portal सेक्शन में होता है। आप External Captive Portal का चयन करते हैं, और Purple द्वारा प्रदान किए गए Splash Page URL को पेस्ट करते हैं। इसके बाद, आप ऑथेंटिकेशन प्रकार को कॉन्फ़िगर करते हैं। अधिकांश Purple परिनियोजनों के लिए, आप RADIUS ऑथेंटिकेशन का चयन करेंगे। Purple आपको एक प्राइमरी RADIUS सर्वर IP एड्रेस, ऑथेंटिकेशन के लिए पोर्ट 1812 और अकाउंटिंग के लिए पोर्ट 1813, और एक शेयर्ड सीक्रेट प्रदान करता है। आप उन्हें NETGEAR Insight External Captive Portal कॉन्फ़िगरेशन में पेस्ट करते हैं। आप एक NAS Identifier भी सेट करते हैं - यह एक स्ट्रिंग है जो RADIUS सर्वर को इस विशिष्ट एक्सेस पॉइंट या स्थान की पहचान कराती है। किसी सार्थक चीज़ का उपयोग करें, जैसे कि आपके वेन्यू का नाम और लोकेशन कोड।वॉल्ड गार्डन वह हिस्सा है जो अधिकांश इंस्टॉलरों को भ्रमित करता है। इससे पहले कि कोई अतिथि प्रमाणित हो, उनके डिवाइस को Purple स्प्लैश पेज, प्रमाणीकरण सर्वर और आपके द्वारा सक्षम किए गए किसी भी सोशल लॉगिन प्रदाताओं तक पहुँचने में सक्षम होना चाहिए। NETGEAR Insight के External Captive Portal कॉन्फ़िगरेशन में एक समर्पित वॉल्ड गार्डन अनुभाग है जहाँ आप इन URL को जोड़ते हैं। Purple के सपोर्ट दस्तावेज़ ब्लॉक करने योग्य डोमेन (whitelist) की सटीक सूची प्रदान करते हैं। इसे गलत करने पर अतिथियों को आपके ब्रांडेड पोर्टल के बजाय एक खाली पेज दिखाई देगा। एक बार कॉन्फ़िगर होने के बाद, फ्लो इस तरह काम करता है: एक अतिथि Hotel Guest SSID से कनेक्ट होता है। एक्सेस पॉइंट उनके पहले HTTP अनुरोध को रोकता है और उन्हें Purple स्प्लैश पेज पर रीडायरेक्ट करता है। अतिथि को आपका ब्रांडेड पोर्टल दिखाई देता है, वे शर्तों को स्वीकार करते हैं, और वैकल्पिक रूप से अपना ईमेल पता प्रदान करते हैं या सोशल मीडिया के माध्यम से लॉग इन करते हैं। Purple का RADIUS सर्वर एक्सेस पॉइंट को Access-Accept संदेश भेजता है, और अतिथि को इंटरनेट एक्सेस प्रदान कर दी जाती है। Purple सहमति डेटा को कैप्चर करता है, सेशन को लॉग करता है, और वह डेटा आपके Purple एनालिटिक्स डैशबोर्ड में प्रवाहित होता है। उपयोग का मामला दो: 802.1X का उपयोग करके सुरक्षित स्टाफ WiFi। यह वह जगह है जहाँ आप साझा पासवर्ड से पूरी तरह दूर हो जाते हैं। स्टाफ नेटवर्क के लिए, एक प्री-शेयर्ड की (pre-shared key) एक दायित्व है - जब कोई कर्मचारी नौकरी छोड़ता है, तो आपको सभी के लिए पासवर्ड बदलना पड़ता है। IEEE 802.1X मानक में परिभाषित 802.1X प्रत्येक उपयोगकर्ता को एक व्यक्तिगत क्रेडेंशियल प्रदान करता है। जब वे जाते हैं, तो आप अपनी निर्देशिका में उनके खाते को अक्षम कर देते हैं और उनकी पहुँच तुरंत रद्द कर दी जाती है। NETGEAR Insight में, आप WPA2 Enterprise सुरक्षा के साथ एक अलग स्टाफ SSID कॉन्फ़िगर करते हैं। यह एक्सेस पॉइंट को प्री-शेयर्ड की के बजाय 802.1X प्रमाणीकरण का उपयोग करने का निर्देश देता है। फिर आप नेटवर्क स्थान स्तर पर RADIUS सर्वर सेटिंग्स कॉन्फ़िगर करते हैं। नेटवर्क स्थान सेटिंग्स पर जाएं, RADIUS चुनें, 802.1X Access Authentication सक्षम करें, और अपना RADIUS सर्वर IP, पोर्ट और शेयर्ड सीक्रेट दर्ज करें। डिफ़ॉल्ट री-ऑथेंटिकेशन अंतराल 3,600 सेकंड - एक घंटा - है, जो अधिकांश स्थानों के लिए एक उचित शुरुआती बिंदु है। SMB डिप्लॉयमेंट में सबसे आम EAP तरीका PEAP-MSCHAPv2 है, जो एक एन्क्रिप्टेड टनल बनाने के लिए सर्वर-साइड सर्टिफिकेट का उपयोग करता है जिसके अंदर उपयोगकर्ता अपने Active Directory यूजरनेम और पासवर्ड से प्रमाणित होते हैं। EAP-TLS अधिक सुरक्षित है - यह दोनों पक्षों पर सर्टिफिकेट का उपयोग करता है - लेकिन इसके लिए उपकरणों पर सर्टिफिकेट पुश करने के लिए PKI इन्फ्रास्ट्रक्चर और MDM की आवश्यकता होती है। एक महत्वपूर्ण बिंदु: प्रत्येक क्लाइंट डिवाइस पर सर्टिफिकेट सत्यापन लागू करें। अपने Windows उपकरणों को Group Policy Objects के माध्यम से और अपने मोबाइल उपकरणों को MDM प्रोफाइल के माध्यम से RADIUS सर्वर के सर्टिफिकेट को सत्यापित करने के लिए कॉन्फ़िगर करें। यदि आप इस चरण को छोड़ देते हैं, तो उपकरण दुष्ट एक्सेस पॉइंट हमलों के प्रति संवेदनशील हो जाते हैं जहाँ एक हमलावर नकली सर्टिफिकेट प्रस्तुत करता है और क्रेडेंशियल कैप्चर कर लेता है।उपयोग का मामला तीन: बहु-किराएदार (multi-tenant) परिसरों के लिए NETGEAR PPSK। Private Pre-Shared Key रिटेल पार्कों, मिश्रित-उपयोग वाली संपत्तियों और को-वर्किंग स्पेस में एक विशिष्ट समस्या का समाधान करता है। आपके पास एक ही भौतिक WiFi इन्फ्रास्ट्रक्चर को साझा करने वाले कई किराएदार हैं। आप प्रत्येक किराएदार के लिए अलग SSIDs नहीं चलाना चाहते - इससे रेडियो फ्रीक्वेंसी कंजेशन और प्रबंधन जटिलता पैदा होती है। लेकिन आप सभी को एक ही पासवर्ड भी नहीं दे सकते, क्योंकि तब किराएदार A, किराएदार B के ट्रैफ़िक को देख सकता है। PPSK इसे शानदार ढंग से हल करता है। आप एक एकल SSID बनाते हैं और NETGEAR Insight में Wireless, Settings, Advanced, Multi PSK Settings के अंतर्गत कई प्री-शेयर्ड कीज़ (pre-shared keys) बनाते हैं। प्रत्येक की (key) एक विशिष्ट VLAN से जुड़ी होती है। किराएदार A को एक विशिष्ट 16-अक्षर का पासवर्ड मिलता है जो VLAN 30 से मैप होता है। किराएदार B को एक अलग पासवर्ड मिलता है जो VLAN 40 से मैप होता है। परिसर प्रबंधन टीम को एक तीसरा पासवर्ड मिलता है जो VLAN 20 से मैप होता है, जिसके पास प्रबंधन प्रणालियों तक पहुंच होती है। जब किराएदार A के डिवाइस उनके पासवर्ड का उपयोग करके कनेक्ट होते हैं, तो एक्सेस पॉइंट स्वचालित रूप से उन्हें VLAN 30 पर रख देता है। वे VLAN 40 या VLAN 20 पर कोई ट्रैफ़िक नहीं देख सकते हैं। एक किराएदार के दृष्टिकोण से, उनके पास केवल एक WiFi पासवर्ड होता है। नेटवर्क व्यवस्थापक के रूप में आपके दृष्टिकोण से, आपके पास बिना किसी अतिरिक्त हार्डवेयर के किराएदारों के बीच पूर्ण ट्रैफ़िक अलगाव होता है। जानने के लिए दो महत्वपूर्ण सीमाएँ हैं। पहला, NETGEAR Insight में PPSK के लिए WPA2 Personal या WPA2 Personal Mixed एन्क्रिप्शन की आवश्यकता होती है। यह 6 GHz बैंड पर काम नहीं करता है। दूसरा, PPSK को एक ही SSID पर Captive Portal के साथ नहीं जोड़ा जा सकता है। यदि आपको दोनों की आवश्यकता है, तो आपको दो अलग-अलग SSIDs की आवश्यकता होगी - जो कि ठीक है, क्योंकि WAX सीरीज़ एक्सेस पॉइंट आठ तक का समर्थन करते हैं। उपयोग का मामला चार: RADIUS के माध्यम से डायनेमिक VLAN असाइनमेंट। यह सबसे परिष्कृत कॉन्फ़िगरेशन है और यही Purple की पहचान-आधारित नेटवर्क (Identity-Based Networks) क्षमता को आधार प्रदान करता है। पासवर्ड या SSID के लिए मैन्युअल रूप से VLAN असाइन करने के बजाय, आप RADIUS सर्वर को यह तय करने देते हैं कि प्रमाणित करने वाले व्यक्ति के आधार पर कौन सा VLAN असाइन किया जाए। यह प्रक्रिया तीन मानक RADIUS एट्रिब्यूट का उपयोग करती है: Tunnel-Type, जिसे VLAN के लिए वैल्यू 13 पर सेट किया जाना चाहिए; Tunnel-Medium-Type, जिसे IEEE 802 के लिए वैल्यू 6 पर सेट किया जाना चाहिए; और Tunnel-Private-Group-ID, जो एक स्ट्रिंग के रूप में VLAN ID ले जाता है। जब कोई उपयोगकर्ता सफलतापूर्वक प्रमाणित हो जाता है, तो RADIUS सर्वर Access-Accept संदेश में इन तीन एट्रिब्यूट्स को लौटाता है। एक्सेस पॉइंट उन्हें पढ़ता है और क्लाइंट को निर्दिष्ट VLAN पर रख देता है। व्यवहार में, इसका मतलब है कि आपके पास एक एकल WPA2 Enterprise SSID हो सकता है जहाँ एक होटल प्रबंधक प्रमाणित होता है और प्रॉपर्टी मैनेजमेंट सिस्टम तक पहुँच के साथ VLAN 20 पर जाता है, एक फ्रंट डेस्क एजेंट प्रमाणित होता है और केवल चेक-इन सिस्टम तक पहुँच के साथ VLAN 21 पर जाता है, और एक ठेकेदार प्रमाणित होता है और केवल-इंटरनेट पहुँच के साथ VLAN 50 पर जाता है। सब कुछ एक ही SSID से, सब कुछ Active Directory समूह सदस्यता के आधार पर RADIUS सर्वर द्वारा स्वचालित रूप से लागू किया जाता है।अब, आइए कार्यान्वयन संबंधी अनुशंसाओं और नुकसानों (pitfalls) के बारे में बात करते हैं। पहला नुकसान walled garden है। प्रत्येक बाहरी Captive Portal परिनियोजन कम से कम एक बार walled garden में विफल होता है। इसका लक्षण यह है कि मेहमान SSID से जुड़ते हैं लेकिन स्प्लैश पेज के बजाय ब्राउज़र त्रुटि देखते हैं। इसका समाधान व्यवस्थित है: Purple सहायता दस्तावेज़ खोलें, walled garden सूची में प्रत्येक डोमेन को कॉपी करें, और उन्हें NETGEAR Insight के Walled Garden अनुभाग में पेस्ट करें। ऐसे डिवाइस के साथ परीक्षण करें जिसमें कोई क्रेडेंशियल कैश्ड न हो। दूसरा नुकसान RADIUS पहुंच योग्यता (reachability) है। NETGEAR एक्सेस पॉइंट को आपके RADIUS सर्वर तक पहुंचने की आवश्यकता है। RADIUS प्रमाणीकरण के लिए UDP पोर्ट 1812 और अकाउंटिंग के लिए UDP पोर्ट 1813 का उपयोग करता है। एक्सेस पॉइंट प्रबंधन IP से RADIUS सर्वर IP तक उन पोर्ट्स को खोलें। लाइव होने से पहले एक RADIUS परीक्षण टूल के साथ परीक्षण करें। तीसरा नुकसान PPSK और Captive Portal का टकराव है। NETGEAR Insight एक ही SSID पर PPSK और Captive Portal की अनुमति नहीं देता है। यदि आपको दोनों की आवश्यकता है, तो दो SSID बनाएं। उनका स्पष्ट रूप से नाम रखें - एक PPSK किरायेदारों के लिए और एक Captive Portal मेहमानों के लिए। चौथा नुकसान 802.1X क्लाइंट्स पर प्रमाणपत्र सत्यापन (certificate validation) है। प्रत्येक Windows डिवाइस को एक ग्रुप पॉलिसी ऑब्जेक्ट की आवश्यकता होती है जो विश्वसनीय प्रमाणपत्र प्राधिकरण (Certificate Authority) और अपेक्षित RADIUS सर्वर नाम निर्दिष्ट करता है। प्रत्येक मोबाइल डिवाइस को समान सेटिंग्स वाले एक MDM प्रोफ़ाइल की आवश्यकता होती है। इसके बिना, कोई उपयोगकर्ता अनजाने में किसी कपटपूर्ण एक्सेस पॉइंट पर प्रमाणित हो सकता है और अपने Active Directory क्रेडेंशियल सौंप सकता है। अब एक त्वरित सवाल और जवाब सत्र के लिए। प्रश्न एक: क्या मैं RADIUS सर्वर के बिना NETGEAR Insight के साथ Purple का उपयोग कर सकता हूँ? हाँ, अतिथि Captive Portal परिनियोजन के लिए, आप RADIUS के बजाय Purple के वेब प्रमाणीकरण मोड का उपयोग कर सकते हैं। एक्सेस पॉइंट HTTP के माध्यम से स्प्लैश पेज पर रीडायरेक्ट करता है, और Purple वेब सत्र के माध्यम से प्रमाणीकरण को संभालता है। RADIUS आपको अधिक नियंत्रण और बेहतर अकाउंटिंग डेटा देता है, लेकिन बुनियादी अतिथि पोर्टल परिनियोजन के लिए यह अनिवार्य नहीं है। प्रश्न दो: मैं NETGEAR Insight में कितनी PPSK कुंजियाँ बना सकता हूँ? NETGEAR Insight WAX सीरीज़ के एक्सेस पॉइंट्स पर प्रति SSID 64 PPSK कुंजियों तक का समर्थन करता है। अधिकांश बहु-किरायेदार (multi-tenant) स्थानों के लिए, यह पर्याप्त से अधिक है। यदि आपके पास 64 से अधिक किरायेदार हैं, तो आपको इसके बजाय RADIUS-आधारित डायनेमिक VLAN समाधान पर जाना होगा। प्रश्न तीन: क्या NETGEAR Insight 802.1X के लिए WPA3 Enterprise का समर्थन करता है? हाँ, WAX सीरीज़ के एक्सेस पॉइंट WPA3 Enterprise का समर्थन करते हैं। अधिकांश SMB परिनियोजनों के लिए, WPA2 Enterprise पर्याप्त है और इसमें व्यापक क्लाइंट डिवाइस अनुकूलता है। संवेदनशील डेटा को संभालने वाले वातावरण, जैसे कि स्वास्थ्य सेवा या वित्तीय सेवाओं के लिए WPA3 Enterprise पर विचार करना उचित है।प्रश्न चार: यदि Purple RADIUS सर्वर अनुपलब्ध हो तो क्या होता है? NETGEAR Insight, External Captive Portal कॉन्फ़िगरेशन में एक failsafe विकल्प का समर्थन करता है। यदि आप failsafe सक्षम करते हैं, तो captive portal सर्वर के अनुपलब्ध होने पर भी मेहमानों को थोड़े समय के लिए इंटरनेट एक्सेस प्रदान किया जाता है। Purple हमारे पूरे इन्फ्रास्ट्रक्चर में 99.999% अपटाइम बनाए रखता है, लेकिन किसी भी प्रोडक्शन डिप्लॉयमेंट के लिए failsafe सक्षम करना एक अच्छा अभ्यास है। आज की ब्रीफिंग के मुख्य निष्कर्षों को संक्षेप में प्रस्तुत करने के लिए: NETGEAR WAX सीरीज़ एक्सेस पॉइंट NETGEAR Insight में External Captive Portal तंत्र के माध्यम से Purple के साथ एकीकृत होते हैं। आप Insight Cloud Portal में स्प्लैश पेज URL, RADIUS सर्वर क्रेडेंशियल और walled garden डोमेन कॉन्फ़िगर करते हैं। स्टाफ नेटवर्क के लिए, 802.1X के साथ WPA2 Enterprise का उपयोग करें और प्रत्येक क्लाइंट डिवाइस पर प्रमाणपत्र सत्यापन लागू करें। मल्टी-टेनेंट स्थानों के लिए, NETGEAR की PPSK सुविधा आपको 64 अद्वितीय कुंजियों के साथ एकल SSID से प्रति-टेनेंट VLAN आइसोलेशन प्रदान करती है। सबसे परिष्कृत डिप्लॉयमेंट के लिए, RADIUS एट्रिब्यूट के माध्यम से डायनेमिक VLAN असाइनमेंट आपको पहचान-संचालित नेटवर्क सेगमेंटेशन प्रदान करता है जो इस बात के अनुकूल होता है कि कौन कनेक्ट हो रहा है, न कि केवल इस बात पर कि वे कहाँ से कनेक्ट हो रहे हैं। यदि आप Purple के साथ NETGEAR डिप्लॉयमेंट की योजना बना रहे हैं, तो अगला कदम Purple की सहायता टीम से अपने Purple RADIUS क्रेडेंशियल और walled garden डोमेन सूची का अनुरोध करना है, और प्रोडक्शन में रोल आउट करने से पहले एक स्टेजिंग SSID पर captive portal रीडायरेक्ट का परीक्षण करना है। एक बार जब आपके पास वे क्रेडेंशियल आ जाते हैं, तो कॉन्फ़िगरेशन में 30 मिनट से भी कम समय लगता है। Purple की टेक्निकल ब्रीफिंग सुनने के लिए धन्यवाद। चरण-दर-चरण कॉन्फ़िगरेशन विवरण और व्यावहारिक उदाहरणों सहित संपूर्ण लिखित गाइड के लिए, purple.ai पर जाएं।