Aruba ClearPass और Purple WiFi: एकीकरण और परिनियोजन गाइड

यह गाइड HPE Aruba ClearPass Policy Manager को Purple WiFi प्लेटफ़ॉर्म के साथ एकीकृत करने के लिए एक संपूर्ण तकनीकी संदर्भ प्रदान करती है, जिसमें RADIUS प्रॉक्सी आर्किटेक्चर, Captive Portal कॉन्फ़िगरेशन और डायनेमिक VLAN रोल मैपिंग शामिल हैं। यह Aruba-भारी परिवेशों में IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए डिज़ाइन किया गया है जिन्हें अतिथि प्रमाणीकरण और एनालिटिक्स के लिए Purple को तैनात करते समय NAC के लिए ClearPass को बनाए रखने की आवश्यकता होती है। इस एकीकरण को लागू करने से एक महत्वपूर्ण वेंडर गैप बंद हो जाता है, जो Purple की बाजार-अग्रणी विज़िटर इंटेलिजेंस क्षमताओं के साथ एंटरप्राइज़-ग्रेड सुरक्षा और अनुपालन को सक्षम करता है।

📖 9 मिनट का पाठ📝 2,154 शब्द🔧 2 हल किए गए उदाहरण❓ 4 अभ्यास प्रश्न📚 9 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें

HPE Aruba ClearPass को Purple WiFi प्लेटफ़ॉर्म के साथ एकीकृत करने पर इस तकनीकी ब्रीफिंग में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम ClearPass Policy Manager के मजबूत नेटवर्क एक्सेस कंट्रोल को Purple के उद्योग-अग्रणी अतिथि WiFi और एनालिटिक्स क्षमताओं के साथ संयोजित करने के आर्किटेक्चर, परिनियोजन रणनीतियों और परिचालन लाभों में गहराई से गोता लगा रहे हैं。

बड़े पैमाने पर वेन्यू का प्रबंधन करने वाले IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTO के लिए — चाहे वह एक विशाल रिटेल चेन हो, एक उच्च-घनत्व वाला स्टेडियम हो, या एक जटिल स्वास्थ्य सेवा परिसर हो — सुरक्षित, खंडित और व्यावहारिक वायरलेस एक्सेस प्रदान करना सर्वोपरि है। ClearPass कॉर्पोरेट उपकरणों के लिए संदर्भ-जागरूक नीति प्रवर्तन और 802.1X प्रमाणीकरण में अभूतपूर्व है। हालाँकि, जब अतिथि ऑनबोर्डिंग, Captive Portal और विज़िटर डेटा से कार्रवाई योग्य मार्केटिंग एनालिटिक्स निकालने की बात आती है, तो Purple निर्विवाद नेता है。

आज हम जिस मुख्य प्रश्न का उत्तर दे रहे हैं वह यह है: आप NAC और डायनेमिक रोल-आधारित VLAN असाइनमेंट के लिए ClearPass को बनाए रखते हुए, Captive Portal के रूप में Purple का उपयोग करने के लिए ClearPass को कैसे कॉन्फ़िगर करते हैं? आइए इसमें शामिल हों。

सबसे पहले, आइए आर्किटेक्चर स्थापित करें। उच्च स्तर पर, एकीकरण मानक RADIUS प्रोटोकॉल और HTTP रीडायरेक्ट तंत्र पर निर्भर करता है। आपके Aruba मोबिलिटी कंट्रोलर या इंस्टेंट एक्सेस पॉइंट अतिथि SSID प्रसारित करते हैं। जब कोई अप्रमाणित डिवाइस कनेक्ट होता है, तो कंट्रोलर HTTP ट्रैफ़िक को इंटरसेप्ट करता है और उपयोगकर्ता के ब्राउज़र को Purple Captive Portal पर रीडायरेक्ट करता है। यह रीडायरेक्ट सही करने के लिए पहला महत्वपूर्ण हिस्सा है。

अब, उपयोगकर्ता Purple के माध्यम से प्रमाणित होता है। यह Facebook या Google के माध्यम से एक सोशल लॉगिन, एक कस्टम ईमेल और पासवर्ड फ़ॉर्म, या यहाँ तक कि OpenRoaming भी हो सकता है, जहाँ Purple कनेक्ट लाइसेंस के तहत एक निःशुल्क पहचान प्रदाता के रूप में कार्य करता है। एक बार जब Purple उपयोगकर्ता को मान्य कर देता है, तो यह कंट्रोलर को श्रृंखला के माध्यम से वापस एक RADIUS एक्सेस-एक्सेप्ट संदेश भेजता है, जो तब नेटवर्क एक्सेस प्रदान करता है。

लेकिन यहाँ ClearPass आवश्यक हो जाता है। Aruba कंट्रोलर के सीधे Purple के RADIUS सर्वर से बात करने के बजाय, आप बीच में RADIUS प्रॉक्सी के रूप में ClearPass डालते हैं। कंट्रोलर सभी RADIUS अनुरोध ClearPass को भेजता है। ClearPass अनुरोध का मूल्यांकन करता है और, यदि यह आपकी अतिथि सर्विस रूटिंग नीति से मेल खाता है, तो इसे Purple के क्लाउड RADIUS सर्वर पर अग्रेषित करता है। Purple प्रतिक्रिया देता है, और ClearPass उस प्रतिक्रिया को वापस कंट्रोलर को पास करता है, लेकिन महत्वपूर्ण रूप से, यह ऐसा करने से पहले अपनी स्वयं की नीति विशेषताओं को जोड़ सकता है。

यह प्रॉक्सी आर्किटेक्चर आपको दोनों दुनिया का सर्वश्रेष्ठ देता है। ClearPass आपके नेटवर्क पर कॉर्पोरेट और अतिथि दोनों, प्रत्येक प्रमाणीकरण ईवेंट का एक संपूर्ण ऑडिट लॉग बनाए रखता है। आपको सुरक्षा संचालन के लिए सिंगल पेन ऑफ़ ग्लास मिलता है। और Purple आपके मौजूदा NAC निवेश को बदले बिना उपयोगकर्ता-सामना करने वाले अनुभव और एनालिटिक्स को संभालता है。

आइए डायनेमिक VLAN असाइनमेंट के बारे में बात करते हैं, क्योंकि यहीं चीजें वास्तव में शक्तिशाली हो जाती हैं — और यदि वे सावधान नहीं हैं तो अधिकांश परिनियोजन परेशानी में पड़ जाते हैं。

ClearPass रोल्स और एन्फोर्समेंट प्रोफ़ाइल्स नामक अवधारणा का उपयोग करता है। जब कोई प्रमाणीकरण अनुरोध आता है, तो ClearPass संदर्भ का मूल्यांकन करता है: उपयोगकर्ता कौन है, वे किस डिवाइस पर हैं, क्या समय है, वे किस स्थान से कनेक्ट हो रहे हैं? इन कारकों के आधार पर, यह एक रोल असाइन करता है। एक मानक अतिथि के लिए, वह ROLE_GUEST हो सकता है। VIP के लिए, यह ROLE_VIP हो सकता है। ठेकेदार के लिए, ROLE_CONTRACTOR。

इस रोल को फिर एक एन्फोर्समेंट प्रोफ़ाइल में मैप किया जाता है, जो Aruba कंट्रोलर को वापस करने के लिए विशिष्ट RADIUS विशेषताओं को परिभाषित करता है। यहाँ सबसे महत्वपूर्ण विशेषता Aruba-User-Role वेंडर-स्पेसिफिक एट्रिब्यूट, या VSA है। यह कंट्रोलर को बताता है कि उपयोगकर्ता को वायरलेस पक्ष पर किस रोल में रखना है。

Aruba कंट्रोलर पर, प्रत्येक रोल एक विशिष्ट VLAN और फ़ायरवॉल नीतियों के एक सेट में मैप होता है। इसलिए ROLE_GUEST केवल इंटरनेट एक्सेस और 10 मेगाबिट प्रति सेकंड बैंडविड्थ सीमा के साथ VLAN 20 में मैप होता है। ROLE_VIP 50 मेगाबिट सीमा के साथ VLAN 40 में मैप होता है। ROLE_IOT VLAN 30 में मैप होता है, जो बिना इंटरनेट एक्सेस वाला पूरी तरह से पृथक सेगमेंट है, स्मार्ट उपकरणों के लिए केवल स्थानीय कनेक्टिविटी。

यह सेगमेंटेशन केवल अच्छा अभ्यास नहीं है — यह एक अनुपालन आवश्यकता है। PCI DSS के तहत, कार्डधारक डेटा को छूने वाले किसी भी नेटवर्क को अतिथि नेटवर्क से अलग किया जाना चाहिए। GDPR के तहत, आपको यह प्रदर्शित करने में सक्षम होना चाहिए कि अतिथि पोर्टल के माध्यम से एकत्र किए गए व्यक्तिगत डेटा को उचित रूप से संभाला जाता है और अतिथि ट्रैफ़िक आपके कॉर्पोरेट इंफ्रास्ट्रक्चर को पार नहीं कर सकता है。

अब, मैं आपको एक वास्तविक दुनिया के परिदृश्य के बारे में बताता हूँ। कई संपत्तियों में 500 कमरों वाली एक बड़ी होटल श्रृंखला। उनके पास हर साइट पर Aruba कंट्रोलर हैं, ClearPass केंद्रीय रूप से तैनात है, और वे अतिथि WiFi के लिए Purple को रोल आउट करना चाहते हैं。

परिनियोजन इस तरह दिखता है। प्रति साइट दो SSID: Hotel_Corp और Hotel_Guest। Hotel_Corp प्रमाणपत्रों के साथ 802.1X का उपयोग करता है, ClearPass के माध्यम से एक्टिव डायरेक्टरी के विरुद्ध प्रमाणित होता है। Hotel_Guest एक ओपन SSID है जो Purple Captive Portal को ट्रिगर करता है。

ClearPass में, वे दो सेवाएँ बनाते हैं। सेवा एक Hotel_Corp से मेल खाती है और 802.1X प्रमाणीकरण को स्थानीय रूप से संभालती है। सेवा दो Hotel_Guest से मेल खाती है और Purple पर अनुरोधों को प्रॉक्सी करने के लिए RADIUS रूटिंग नीति का उपयोग करती है। सेवा दो के लिए एन्फोर्समेंट नीति guest-authenticated का Aruba-User-Role लौटाती है, जो कंट्रोलर पर VLAN 20 में मैप होता है。

IoT उपकरणों — स्मार्ट टीवी, थर्मोस्टैट्स, डोर लॉक — के लिए वे MAC-आधारित प्रमाणीकरण के साथ तीसरे SSID, Hotel_IoT का उपयोग करते हैं। ClearPass अपने OUI का उपयोग करके डिवाइस को प्रोफ़ाइल करता है और ROLE_IOT असाइन करता है, इसे VLAN 30 में छोड़ देता है。

परिणाम? कर्मचारियों को पूर्ण कॉर्पोरेट एक्सेस मिलता है। मेहमानों को सोशल लॉगिन और मार्केटिंग ऑप्ट-इन के साथ एक ब्रांडेड, आकर्षक पोर्टल अनुभव मिलता है। IoT उपकरण अलग-थलग हैं। और IT टीम के पास ClearPass के एक्सेस ट्रैकर में तीनों उपयोगकर्ता प्रकारों में पूर्ण दृश्यता है。

अब आइए नुकसान के बारे में बात करते हैं, क्योंकि ऐसे कई हैं जो यदि आप तैयार नहीं हैं तो आपको पकड़ लेंगे。

नंबर एक: वॉल्ड गार्डन। यह Captive Portal विफलताओं का सबसे आम स्रोत है। किसी डिवाइस के प्रमाणित होने से पहले, Aruba कंट्रोलर केवल गंतव्यों की पूर्व-परिभाषित सूची — वॉल्ड गार्डन — तक ट्रैफ़िक की अनुमति देता है। यदि Purple का पोर्टल URL, इसके बैकएंड API एंडपॉइंट, और सोशल लॉगिन प्रदाता डोमेन उस सूची में नहीं हैं, तो पोर्टल बस लोड नहीं होगा। आपको इस सूची को सक्रिय रूप से बनाए रखने की आवश्यकता है। Facebook और Google जैसे सोशल लॉगिन प्रदाता नियमित रूप से अपनी IP रेंज और CDN डोमेन बदलते हैं। वॉल्ड गार्डन को एक जीवित कॉन्फ़िगरेशन के रूप में मानें。

नंबर दो: RADIUS टाइमआउट। अधिकांश Aruba कंट्रोलर पर डिफ़ॉल्ट RADIUS टाइमआउट तीन सेकंड है। प्रॉक्सी आर्किटेक्चर में, अनुरोध AP से कंट्रोलर, ClearPass, इंटरनेट के पार Purple के क्लाउड RADIUS और वापस यात्रा करता है। भीड़भाड़ वाले नेटवर्क पर, वह राउंड ट्रिप आसानी से तीन सेकंड से अधिक हो सकती है। अपना टाइमआउट कम से कम दस सेकंड तक बढ़ाएं और रिट्राई लॉजिक कॉन्फ़िगर करें。

नंबर तीन: साझा रहस्य बेमेल। यह मौन विफलताओं का कारण बनता है जिनका निदान करना कुख्यात रूप से कठिन है। Aruba कंट्रोलर और ClearPass के बीच साझा रहस्य बिल्कुल मेल खाना चाहिए। ClearPass और Purple के RADIUS सर्वर के बीच साझा रहस्य भी बिल्कुल मेल खाना चाहिए। एक वर्ण का अंतर अंतिम उपयोगकर्ता को बिना किसी सार्थक त्रुटि संदेश के प्रमाणीकरण विफल होने का कारण बनेगा। हमेशा इनकी दोबारा जांच करें。

नंबर चार: रोल नाम केस संवेदनशीलता। ClearPass द्वारा लौटाया गया Aruba-User-Role VSA बिल्कुल मेल खाना चाहिए — कैपिटलाइज़ेशन सहित — Aruba कंट्रोलर पर परिभाषित रोल नाम से। यदि ClearPass guest-authenticated लौटाता है लेकिन कंट्रोलर में Guest-Authenticated परिभाषित है, तो उपयोगकर्ता डिफ़ॉल्ट रोल पर वापस आ जाएगा, जो आमतौर पर बिना इंटरनेट एक्सेस वाला लॉगऑन रोल होता है。

नंबर पांच: RADIUS अकाउंटिंग। कई परिनियोजन प्रमाणीकरण प्रॉक्सीइंग को सही ढंग से कॉन्फ़िगर करते हैं लेकिन अकाउंटिंग को भी प्रॉक्सी करना भूल जाते हैं। Purple सत्र अवधि, डेटा उपयोग को ट्रैक करने और अपने एनालिटिक्स डैशबोर्ड को पॉप्युलेट करने के लिए RADIUS अकाउंटिंग डेटा का उपयोग करता है। यदि अकाउंटिंग Purple में प्रवाहित नहीं हो रही है, तो आपके एनालिटिक्स अधूरे होंगे。

आइए रैपिड-फ़ायर प्रश्न अनुभाग पर चलते हैं。

क्या मैं कर्मचारियों और मेहमानों दोनों के लिए एक ही SSID का उपयोग कर सकता हूँ? हाँ, आप कर सकते हैं। एक ही SSID पर 802.1X और MAC-Auth दोनों को संभालने के लिए ClearPass को कॉन्फ़िगर करें। ट्रैफ़िक प्रकार को अलग करने और तदनुसार रूट करने के लिए सर्विस रूल्स का उपयोग करें। इसे प्रबंधित करना अधिक जटिल है लेकिन SSID प्रसार को कम करता है。

क्या Purple चेंज ऑफ़ ऑथराइजेशन (CoA) का समर्थन करता है? हाँ। CoA कंट्रोलर को उपयोगकर्ता को फिर से कनेक्ट करने की आवश्यकता के बिना उपयोगकर्ता के सत्र को गतिशील रूप से अपडेट करने की अनुमति देता है। यह समय-सीमित एक्सेस या टियर अपग्रेड के लिए उपयोगी है。

क्या मैं पूर्ण मोबिलिटी कंट्रोलर के बजाय Aruba इंस्टेंट के साथ इस एकीकरण का उपयोग कर सकता हूँ? हाँ, Aruba इंस्टेंट बाहरी RADIUS सर्वर और Captive Portal रीडायरेक्ट का समर्थन करता है। कॉन्फ़िगरेशन थोड़ा अलग है लेकिन सिद्धांत समान हैं。

क्या यह एकीकरण WPA3 के साथ काम करता है? हाँ। व्यक्तिगत नेटवर्क के लिए WPA3-SAE और 802.1X के लिए WPA3-Enterprise दोनों समर्थित हैं। Captive Portal का उपयोग करने वाले अतिथि नेटवर्क के लिए, WPA3-SAE या ऑपर्चुनिस्टिक वायरलेस एन्क्रिप्शन के साथ एक ओपन SSID विशिष्ट विकल्प हैं。

आज की ब्रीफिंग को संक्षेप में प्रस्तुत करने के लिए। ClearPass और Purple एकीकरण एक RADIUS प्रॉक्सी आर्किटेक्चर है। ClearPass सभी नेटवर्क एक्सेस के लिए आपका केंद्रीय नीति निर्णय बिंदु बना हुआ है। Purple अतिथि-सामना करने वाले अनुभव और एनालिटिक्स को संभालता है। Aruba कंट्रोलर डायनेमिक VLAN असाइनमेंट के माध्यम से परिणामी नीतियों को लागू करता है। तीन सबसे महत्वपूर्ण कॉन्फ़िगरेशन तत्व वॉल्ड गार्डन, RADIUS टाइमआउट और रोल नाम स्थिरता हैं। उन्हें सही करें, और आपके पास एक मजबूत, अनुपालन और व्यावसायिक रूप से मूल्यवान अतिथि WiFi परिनियोजन है。

सुनने के लिए धन्यवाद। यदि आप इसे और एक्सप्लोर करना चाहते हैं, तो अपने विशिष्ट परिनियोजन के बारे में समाधान आर्किटेक्ट से बात करने के लिए purple.ai पर जाएँ।

मुख्य निष्कर्ष

✓एकीकरण एक RADIUS प्रॉक्सी आर्किटेक्चर का उपयोग करता है: Aruba कंट्रोलर सभी RADIUS अनुरोधों को ClearPass को भेजता है, जो कॉर्पोरेट 802.1X को स्थानीय रूप से संभालते हुए अतिथि प्रमाणीकरण को Purple के क्लाउड RADIUS सर्वर पर रूट करता है।
✓ClearPass सभी नेटवर्क एक्सेस के लिए केंद्रीय नीति निर्णय बिंदु बना हुआ है, जो एक एकीकृत ऑडिट ट्रेल बनाए रखता है जो PCI DSS और GDPR अनुपालन आवश्यकताओं को पूरा करता है।
✓डायनेमिक VLAN असाइनमेंट ClearPass रोल मैपिंग और Aruba-User-Role VSA के माध्यम से प्राप्त किया जाता है, जो एकल SSID पर मेहमानों, कर्मचारियों, IoT उपकरणों और VIP के सुरक्षित सेगमेंटेशन को सक्षम करता है।
✓वॉल्ड गार्डन परिचालन रूप से सबसे संवेदनशील कॉन्फ़िगरेशन तत्व है — इसमें Purple के पोर्टल डोमेन, सोशल लॉगिन प्रदाता एंडपॉइंट और OS-स्तरीय Captive Portal डिटेक्शन URL शामिल होने चाहिए।
✓Purple के क्लाउड इंफ्रास्ट्रक्चर में अतिरिक्त नेटवर्क हॉप को समायोजित करने के लिए Aruba कंट्रोलर पर RADIUS टाइमआउट को कम से कम 10 सेकंड तक बढ़ाएं।
✓प्रमाणीकरण के साथ-साथ RADIUS अकाउंटिंग को Purple पर प्रॉक्सी किया जाना चाहिए — इसके बिना, Purple के एनालिटिक्स डैशबोर्ड अधूरे सत्र डेटा दिखाएंगे।
✓यह एकीकरण Aruba-भारी उद्यमों के लिए एक महत्वपूर्ण वेंडर गैप को बंद करता है, जो मौजूदा ClearPass NAC निवेश को बदले बिना Purple के उन्नत अतिथि एनालिटिक्स और मार्केटिंग क्षमताओं को सक्षम करता है।

कार्यकारी सारांश

HPE Aruba इंफ्रास्ट्रक्चर में भारी निवेश करने वाले एंटरप्राइज़ परिवेशों के लिए, एक निर्बाध, डेटा-समृद्ध अतिथि WiFi अनुभव प्रदान करते हुए जटिल नेटवर्क एक्सेस नीतियों का प्रबंधन करना एक महत्वपूर्ण आर्किटेक्चरल चुनौती प्रस्तुत करता है। जबकि ClearPass Policy Manager कॉर्पोरेट उपकरणों के लिए नेटवर्क एक्सेस कंट्रोल (NAC) और IEEE 802.1X प्रमाणीकरण में उत्कृष्ट है, वेन्यू ऑपरेटरों को तेजी से Purple WiFi द्वारा प्रदान किए गए उन्नत Captive Portal, एनालिटिक्स और मार्केटिंग क्षमताओं की आवश्यकता होती है।

यह गाइड RADIUS प्रॉक्सी मॉडल का उपयोग करके Purple WiFi के साथ Aruba ClearPass को एकीकृत करने के लिए आर्किटेक्चर और परिनियोजन रणनीति का विवरण देती है। अतिथि प्रमाणीकरण अनुरोधों को Purple के RADIUS-as-a-Service पर प्रॉक्सी करने के लिए ClearPass को कॉन्फ़िगर करके, संगठन केंद्रीकृत सुरक्षा नीतियां बनाए रख सकते हैं, डायनेमिक रोल-आधारित VLAN असाइनमेंट लागू कर सकते हैं, और साथ ही Purple के मजबूत विज़िटर इनसाइट्स प्लेटफ़ॉर्म का लाभ उठा सकते हैं। यह एकीकरण Retail , Hospitality , Healthcare , और Transport हब में बड़े पैमाने पर परिनियोजन के लिए महत्वपूर्ण है जहां अनुपालन, सुरक्षा और ग्राहक जुड़ाव बिना किसी समझौते के एक साथ मौजूद होना चाहिए। इसका परिणाम एक ऐसा परिनियोजन है जहां ClearPass निर्णय लेता है, Purple संलग्न करता है, और Aruba लागू करता है।

तकनीकी डीप-डाइव

आर्किटेक्चर अवलोकन

एकीकरण RFC 2865 (RADIUS) और RFC 5176 (डायनेमिक ऑथराइजेशन एक्सटेंशन) द्वारा समर्थित एक मानक RADIUS प्रॉक्सी आर्किटेक्चर पर निर्भर करता है। Aruba मोबिलिटी कंट्रोलर या इंस्टेंट AP क्लस्टर को सभी SSID के लिए अपने प्राथमिक RADIUS सर्वर के रूप में ClearPass का उपयोग करने के लिए कॉन्फ़िगर किया गया है। ClearPass एक्टिव डायरेक्टरी या आंतरिक प्रमाणपत्र प्राधिकरण के विरुद्ध स्थानीय रूप से कॉर्पोरेट 802.1X प्रमाणीकरण को संभालता है, लेकिन अतिथि प्रमाणीकरण अनुरोधों को Purple के क्लाउड RADIUS सर्वर पर अग्रेषित करने के लिए RADIUS सर्विस रूटिंग नीति के साथ कॉन्फ़िगर किया गया है।

यह आर्किटेक्चर अतिथि अनुभव परत को पूरी तरह से Purple को सौंपते हुए केंद्रीय नीति निर्णय बिंदु के रूप में ClearPass में निवेश को संरक्षित करता है। प्रत्येक प्रमाणीकरण ईवेंट — कॉर्पोरेट या अतिथि — ClearPass के एक्सेस ट्रैकर में लॉग किया जाता है, जो एक एकीकृत ऑडिट ट्रेल प्रदान करता है जो PCI DSS v4.0 और GDPR अनुच्छेद 30 (प्रसंस्करण गतिविधियों के रिकॉर्ड) के तहत अनुपालन आवश्यकताओं को पूरा करता है।

प्रमाणीकरण प्रवाह: चरण दर चरण

प्रारंभिक परिनियोजन और बाद की समस्या निवारण दोनों के लिए घटनाओं के सटीक क्रम को समझना आवश्यक है। अतिथि डिवाइस के लिए प्रवाह इस प्रकार है।

चरण	कर्ता	क्रिया
1	अतिथि डिवाइस	ओपन अतिथि SSID के साथ जुड़ता है
2	Aruba कंट्रोलर	प्री-ऑथ IP असाइन करता है और डिवाइस को लॉगऑन रोल में रखता है
3	अतिथि डिवाइस	HTTP अनुरोध भेजता है (उदा., http://example.com )
4	Aruba कंट्रोलर	इंटरसेप्ट करता है और Purple पोर्टल URL पर HTTP 302 रीडायरेक्ट करता है
5	अतिथि डिवाइस	वॉल्ड गार्डन के माध्यम से Purple Captive Portal लोड करता है
6	अतिथि उपयोगकर्ता	प्रमाणित करता है (सोशल लॉगिन, फ़ॉर्म, या OpenRoaming)
7	Purple प्लेटफ़ॉर्म	Aruba कंट्रोलर को RADIUS एक्सेस-रिक्वेस्ट भेजता है
8	Aruba कंट्रोलर	RADIUS अनुरोध को ClearPass पर अग्रेषित करता है
9	ClearPass	अतिथि सर्विस रूल से मेल खाता है, Purple RADIUS को प्रॉक्सी करता है
10	Purple RADIUS	एक्सेस-एक्सेप्ट लौटाता है
11	ClearPass	Aruba VSA (यूज़र-रोल) जोड़ता है, एक्सेप्ट अग्रेषित करता है
12	Aruba कंट्रोलर	डिवाइस को पोस्ट-ऑथ रोल में ले जाता है, अतिथि VLAN असाइन करता है

Captive Portal डिटेक्शन मैकेनिज्म का व्यवहार — विशेष रूप से Apple का Captive Network Assistant (CNA), Android का कनेक्टिविटी चेक, और Microsoft NCSI — का सीधा असर इस बात पर पड़ता है कि पोर्टल सही ढंग से लोड होता है या नहीं। इन OS-स्तरीय व्यवहारों के विस्तृत विवरण के लिए, Apple CNA, Android Connectivity Check, Microsoft NCSI: How Captive Portal Detection Actually Works देखें।

डायनेमिक VLAN असाइनमेंट और ClearPass रोल मैपिंग

PCI DSS अनुपालन और सुदृढ़ सुरक्षा आर्किटेक्चर के लिए नेटवर्क सेगमेंटेशन एक गैर-परक्राम्य आवश्यकता है। ClearPass अपने रोल मैपिंग और एन्फोर्समेंट प्रोफ़ाइल फ्रेमवर्क के माध्यम से डायनेमिक VLAN असाइनमेंट सक्षम करता है।

जब ClearPass प्रमाणीकरण अनुरोध को प्रोसेस करता है, तो यह प्रासंगिक विशेषताओं — उपयोगकर्ता पहचान, डिवाइस प्रकार (DHCP फ़िंगरप्रिंटिंग या HTTP यूज़र-एजेंट के माध्यम से प्रोफ़ाइल किया गया), दिन का समय, और कनेक्शन स्थान — का मूल्यांकन करता है और एक रोल असाइन करता है। इस रोल को फिर एक एन्फोर्समेंट प्रोफ़ाइल में मैप किया जाता है जो Aruba कंट्रोलर को विशिष्ट RADIUS विशेषताएँ लौटाता है, जिसमें सबसे महत्वपूर्ण Aruba-User-Role वेंडर-स्पेसिफिक एट्रिब्यूट (VSA, वेंडर ID 14823, एट्रिब्यूट 1) है।

Aruba कंट्रोलर प्रत्येक यूज़र-रोल को एक VLAN और स्टेटफुल फ़ायरवॉल नीतियों के सेट में मैप करता है। एक बड़े वेन्यू के लिए एक प्रतिनिधि सेगमेंटेशन मॉडल नीचे दिखाया गया है।

उपयोगकर्ता प्रकार	ClearPass रोल	VLAN	बैंडविड्थ नीति	फ़ायरवॉल नीति
कॉर्पोरेट कर्मचारी	ROLE_CORP	10	100 Mbps	पूर्ण आंतरिक एक्सेस
मानक अतिथि	ROLE_GUEST	20	10 Mbps	केवल इंटरनेट
IoT डिवाइस	ROLE_IOT	30	5 Mbps	केवल स्थानीय, कोई इंटरनेट नहीं
VIP / प्रीमियम अतिथि	ROLE_VIP	40	50 Mbps	इंटरनेट + चुनिंदा सेवाएं
ठेकेदार	ROLE_CONTRACTOR	50	20 Mbps	सीमित आंतरिक एक्सेस

ClearPass में RADIUS प्रॉक्सी कॉन्फ़िगरेशन

ClearPass Policy Manager में RADIUS प्रॉक्सी कॉन्फ़िगरेशन के लिए तीन घटकों की आवश्यकता होती है: एक RADIUS प्रॉक्सी लक्ष्य (Purple के RADIUS सर्वर एंडपॉइंट को परिभाषित करना), एक सर्विस रूटिंग नीति (यह परिभाषित करना कि किन अनुरोधों को प्रॉक्सी करना है), और एक एन्फोर्समेंट प्रोफ़ाइल (वापसी पथ पर जोड़ने के लिए VSA को परिभाषित करना)।

प्रॉक्सी लक्ष्य को Administration > External Servers > RADIUS Servers के अंतर्गत कॉन्फ़िगर किया गया है। Purple के RADIUS IP पते (हार्डवेयर > RADIUS सेटिंग्स के अंतर्गत Purple पोर्टल से उपलब्ध), साझा रहस्य (shared secret), और प्रमाणीकरण पोर्ट (UDP 1812) और अकाउंटिंग पोर्ट (UDP 1813) जोड़ें।

सेवा को Configuration > Services के अंतर्गत कॉन्फ़िगर किया गया है। RADIUS प्रॉक्सी पर सेट प्रकार के साथ एक नई सेवा बनाएँ। सर्विस रूल्स के अंतर्गत, अतिथि ट्रैफ़िक की पहचान करने के लिए Called-Station-ID (SSID नाम) या NAS-Identifier से मेल खाने वाली शर्त जोड़ें। प्रमाणीकरण के अंतर्गत, ऊपर बनाए गए RADIUS प्रॉक्सी लक्ष्य का चयन करें।

महत्वपूर्ण रूप से, सुनिश्चित करें कि RADIUS अकाउंटिंग को भी Purple पर प्रॉक्सी किया गया है। Purple अपने WiFi Analytics प्लेटफ़ॉर्म में सत्र अवधि, डेटा खपत और रीयल-टाइम उपस्थिति डेटा को पॉप्युलेट करने के लिए अकाउंटिंग डेटा (Acct-Start, Acct-Interim-Update, Acct-Stop) का उपयोग करता है। अकाउंटिंग को छोड़ना एक सामान्य परिनियोजन त्रुटि है जिसके परिणामस्वरूप अधूरे एनालिटिक्स डैशबोर्ड होते हैं।

कार्यान्वयन गाइड

चरण 1: Aruba कंट्रोलर कॉन्फ़िगरेशन

चरण 1 — ClearPass को RADIUS सर्वर के रूप में परिभाषित करें। Configuration > Security > Authentication Servers पर नेविगेट करें। ClearPass के प्राथमिक और द्वितीयक IP पते जोड़ें। साझा रहस्य, प्रमाणीकरण पोर्ट (1812), और अकाउंटिंग पोर्ट (1813) सेट करें। Purple के क्लाउड इंफ्रास्ट्रक्चर में प्रॉक्सी हॉप को ध्यान में रखते हुए टाइमआउट को 10 सेकंड और रिट्राइज़ को 3 पर कॉन्फ़िगर करें।

चरण 2 — अतिथि SSID कॉन्फ़िगर करें। अतिथि एक्सेस के लिए एक नया SSID प्रोफ़ाइल बनाएँ। सुरक्षा मोड को Open या WPA3-SAE (GDPR अनुपालन के लिए अनुशंसित) पर सेट करें। AAA प्रोफ़ाइल के अंतर्गत, प्रारंभिक रोल को पूर्व-परिभाषित लॉगऑन रोल पर सेट करें जिसमें केवल वॉल्ड गार्डन एक्सेस हो।

चरण 3 — Captive Portal प्रोफ़ाइल कॉन्फ़िगर करें। Purple के स्प्लैश पेज URL को इंगित करने वाला एक Captive Portal प्रोफ़ाइल बनाएँ। यह URL Purple पोर्टल से Locations > [Your Venue] > Splash Page URL के अंतर्गत प्राप्त किया जाता है। प्रमाणीकरण के बाद मूल URL पर रीडायरेक्ट करने का विकल्प सक्षम करें।

चरण 4 — वॉल्ड गार्डन कॉन्फ़िगर करें। यह परिचालन रूप से सबसे संवेदनशील चरण है। वॉल्ड गार्डन में Purple के पोर्टल डोमेन, CDN एंडपॉइंट और सभी सोशल लॉगिन प्रदाता डोमेन शामिल होने चाहिए। कम से कम, शामिल करें:

*.purple.ai और *.purple-portal.com
*.facebook.com, *.fbcdn.net (Facebook लॉगिन के लिए)
*.google.com, *.googleapis.com (Google लॉगिन के लिए)
Apple का CNA चेक एंडपॉइंट: captive.apple.com
Microsoft NCSI: www.msftconnecttest.com

चरण 5 — पोस्ट-ऑथ रोल परिभाषित करें। वे रोल बनाएँ जिन्हें ClearPass प्रमाणीकरण के बाद असाइन करेगा (उदा., guest-authenticated)। प्रत्येक रोल एक VLAN और केवल-इंटरनेट एक्सेस की अनुमति देने वाली फ़ायरवॉल नीति से मैप होता है।

चरण 2: ClearPass Policy Manager कॉन्फ़िगरेशन

चरण 1 — Aruba कंट्रोलर को नेटवर्क डिवाइस के रूप में जोड़ें। Configuration > Network > Devices के अंतर्गत, प्रत्येक Aruba कंट्रोलर को उसके प्रबंधन IP, साझा रहस्य और वेंडर (Aruba Networks) के साथ जोड़ें।

चरण 2 — Purple को RADIUS प्रॉक्सी लक्ष्य के रूप में जोड़ें। Administration > External Servers > RADIUS Servers के अंतर्गत, Purple पोर्टल में दिए गए साझा रहस्य के साथ Purple के RADIUS एंडपॉइंट जोड़ें।

चरण 3 — अतिथि प्रमाणीकरण सेवा बनाएँ। Configuration > Services के अंतर्गत, एक नई सेवा बनाएँ। सेवा प्रकार को RADIUS प्रॉक्सी पर सेट करें। अतिथि SSID (उदा., Called-Station-SSID EQUALS GuestWiFi) से मेल खाने के लिए सर्विस रूल्स कॉन्फ़िगर करें। प्रमाणीकरण के अंतर्गत, Purple RADIUS प्रॉक्सी लक्ष्य का चयन करें।

चरण 4 — एन्फोर्समेंट प्रोफ़ाइल बनाएँ। Configuration > Enforcement > Profiles के अंतर्गत, एक RADIUS एन्फोर्समेंट प्रोफ़ाइल बनाएँ। guest-authenticated मान के साथ Aruba-User-Role विशेषता जोड़ें। यह Aruba कंट्रोलर को उपयोगकर्ता को पोस्ट-ऑथ अतिथि रोल में ले जाने का निर्देश देता है।

चरण 5 — अकाउंटिंग प्रॉक्सी कॉन्फ़िगर करें। सुनिश्चित करें कि सेवा को Purple के अकाउंटिंग सर्वर (UDP 1813) पर RADIUS अकाउंटिंग को प्रॉक्सी करने के लिए भी कॉन्फ़िगर किया गया है।

चरण 3: Purple प्लेटफ़ॉर्म कॉन्फ़िगरेशन

चरण 1 — हार्डवेयर पंजीकृत करें। Purple पोर्टल में, Locations > Hardware पर नेविगेट करें। Aruba कंट्रोलर का सार्वजनिक IP पता या NAS-Identifier जोड़ें। यह Purple को सही वेन्यू के साथ प्रमाणीकरण अनुरोधों को जोड़ने की अनुमति देता है।

चरण 2 — स्प्लैश पेज कॉन्फ़िगर करें। Purple के पोर्टल बिल्डर का उपयोग करके Captive Portal अनुभव डिज़ाइन करें। GDPR के अनुपालन में प्रमाणीकरण विधियों, नियम और शर्तों, और मार्केटिंग ऑप्ट-इन फ़ील्ड को कॉन्फ़िगर करें।

चरण 3 — RADIUS क्रेडेंशियल प्राप्त करें। Locations > [Venue] > RADIUS Settings के अंतर्गत, RADIUS सर्वर IP पते, साझा रहस्य और पोर्ट प्राप्त करें। ClearPass प्रॉक्सी लक्ष्य कॉन्फ़िगरेशन में इन मानों का उपयोग करें।

सर्वोत्तम प्रथाएँ

वॉल्ड गार्डन रखरखाव। वॉल्ड गार्डन को एक जीवित कॉन्फ़िगरेशन के रूप में मानें। सोशल लॉगिन प्रदाता नियमित रूप से अपने CDN डोमेन और IP रेंज को अपडेट करते हैं। एक त्रैमासिक समीक्षा प्रक्रिया स्थापित करें और प्रमुख प्रदाताओं से परिवर्तन सूचनाओं की सदस्यता लें।

RADIUS रिडंडेंसी। फ़ेलओवर के लिए ClearPass में Purple के दोनों RADIUS सर्वर IP कॉन्फ़िगर करें। इसी तरह, प्रमाणीकरण पथ में विफलता के एकल बिंदुओं को समाप्त करने के लिए सब्सक्राइबर/पब्लिशर क्लस्टर में ClearPass को तैनात करें।

अकाउंटिंग अखंडता। सत्यापित करें कि प्रत्येक सत्र के लिए Purple द्वारा RADIUS अकाउंटिंग स्टॉप रिकॉर्ड प्राप्त किए जा रहे हैं। अनाथ सत्र (स्टॉप के बिना स्टार्ट) नेटवर्क समस्या का संकेत देते हैं और एनालिटिक्स डेटा को तिरछा कर देंगे।

802.1X के लिए प्रमाणपत्र प्रबंधन। EAP-TLS या PEAP का उपयोग करने वाले कॉर्पोरेट SSID के लिए, सुनिश्चित करें कि सर्वर प्रमाणपत्र समाप्ति से बहुत पहले नवीनीकृत किए गए हैं। एक समाप्त प्रमाणपत्र एक साथ सभी कॉर्पोरेट उपकरणों को लॉक कर देगा — एक उच्च-प्रभाव वाली घटना।

IoT डिवाइस प्रोफ़ाइलिंग। OUI और DHCP फ़िंगरप्रिंट द्वारा IoT उपकरणों को स्वचालित रूप से वर्गीकृत करने के लिए ClearPass Device Insight या अंतर्निहित प्रोफ़ाइलिंग इंजन का लाभ उठाएं। यह मैन्युअल MAC पता प्रबंधन के बिना स्वचालित VLAN असाइनमेंट सक्षम करता है।

GDPR अनुपालन। Purple अतिथि प्रमाणीकरण के दौरान व्यक्तिगत डेटा (ईमेल, नाम, सामाजिक प्रोफ़ाइल) कैप्चर करता है। सुनिश्चित करें कि आपके Purple स्प्लैश पेज में एक अनुपालन गोपनीयता नोटिस शामिल है और Purple पोर्टल में डेटा प्रतिधारण नीतियां आपके संगठन के GDPR दायित्वों के साथ संरेखित हैं।

समस्या निवारण और जोखिम न्यूनीकरण

Captive Portal प्रदर्शित नहीं हो रहा है

लक्षण: क्लाइंट अतिथि SSID से कनेक्ट होता है लेकिन कोई पोर्टल दिखाई नहीं देता है; डिवाइस "Connected, no internet" दिखाता है।

निदान: यह सत्यापित करने के लिए कि पोर्टल URL के लिए DNS क्वेरी हल हो रही हैं और HTTP ट्रैफ़िक को इंटरसेप्ट किया जा रहा है, कंट्रोलर अपलिंक पर पैकेट कैप्चर का उपयोग करें। जांचें कि CNA/NCSI चेक एंडपॉइंट वॉल्ड गार्डन में हैं।

समाधान: वॉल्ड गार्डन में छूटे हुए डोमेन जोड़ें। सत्यापित करें कि Captive Portal प्रोफ़ाइल अतिथि SSID AAA प्रोफ़ाइल के साथ सही ढंग से जुड़ी हुई है।

मौन प्रमाणीकरण विफलताएं

लक्षण: उपयोगकर्ता पोर्टल फ़ॉर्म पूरा करता है, लेकिन नेटवर्क एक्सेस से इनकार कर दिया जाता है। ClearPass एक्सेस ट्रैकर एक एक्सेस-रिजेक्ट दिखाता है।

निदान: एक्सेस ट्रैकर प्रविष्टि खोलें और प्रमाणीकरण विफलता के कारण की जांच करें। सामान्य कारण RADIUS साझा रहस्य बेमेल, Purple RADIUS सर्वर अगम्य, या गलत सेवा से मेल खाने वाला गलत सर्विस रूल हैं।

समाधान: Aruba कंट्रोलर-से-ClearPass और ClearPass-से-Purple दोनों लेग्स पर साझा रहस्यों को सत्यापित करें। radtest का उपयोग करके ClearPass सर्वर से Purple RADIUS पहुंच का परीक्षण करें।

गलत VLAN असाइनमेंट

लक्षण: अतिथि सफलतापूर्वक प्रमाणित होता है लेकिन कॉर्पोरेट सबनेट (VLAN 10) में एक IP पता प्राप्त करता है।

समाधान: सत्यापित करें कि ClearPass एन्फोर्समेंट प्रोफ़ाइल में Aruba-User-Role मान Aruba कंट्रोलर पर परिभाषित रोल नाम से बिल्कुल मेल खाता है (केस सहित)। VSA भेजा जा रहा है, इसकी पुष्टि करने के लिए ClearPass एक्सेस ट्रैकर आउटपुट विशेषताओं की जांच करें।

RADIUS टाइमआउट त्रुटियां

लक्षण: प्रमाणीकरण रुक-रुक कर विफल रहता है, विशेष रूप से लोड के तहत। एक्सेस ट्रैकर टाइमआउट त्रुटियां दिखाता है।

समाधान: Aruba कंट्रोलर पर RADIUS सर्वर टाइमआउट को 10 सेकंड तक बढ़ाएं। सत्यापित करें कि UDP पोर्ट 1812 और 1813 खुले हैं और ClearPass और Purple के क्लाउड इंफ्रास्ट्रक्चर के बीच फ़ायरवॉल पर दर सीमित करने (rate limiting) के अधीन नहीं हैं।

ROI और व्यावसायिक प्रभाव

इस एकीकृत आर्किटेक्चर को तैनात करने से IT, सुरक्षा और वाणिज्यिक कार्यों में मापने योग्य रिटर्न मिलता है। सुरक्षा और अनुपालन के दृष्टिकोण से, ClearPass में सभी प्रमाणीकरण घटनाओं को केंद्रीकृत करने से एक एकीकृत ऑडिट ट्रेल मिलता है जो PCI DSS और GDPR अनुपालन रिपोर्टिंग को सरल बनाता है। डायनेमिक VLAN सेगमेंटेशन कॉर्पोरेट इंफ्रास्ट्रक्चर को पार करने वाले अतिथि ट्रैफ़िक के जोखिम को समाप्त करता है, जिससे हमले की सतह सीधे कम हो जाती है।

वाणिज्यिक दृष्टिकोण से, Purple का Guest WiFi प्लेटफ़ॉर्म अतिथि नेटवर्क को लागत केंद्र से प्रथम-पक्ष डेटा संपत्ति में बदल देता है। प्रत्येक प्रमाणित अतिथि सत्र ऑप्ट-इन मार्केटिंग डेटा — ईमेल पते, विज़िट आवृत्ति, ड्वेल टाइम और डिवाइस प्रकार — उत्पन्न करता है जो सीधे CRM और मार्केटिंग ऑटोमेशन प्लेटफ़ॉर्म में फ़ीड करता है। मौजूदा Aruba इंफ्रास्ट्रक्चर के साथ Purple को तैनात करने वाले वेन्यू लगातार ईमेल सूची वृद्धि, बार-बार विज़िट दरों और अभियान रूपांतरण में मापने योग्य सुधार की रिपोर्ट करते हैं।

एकीकरण मौजूदा ClearPass लाइसेंस या Aruba हार्डवेयर को बदलने की आवश्यकता को भी समाप्त करता है, जिससे यह मौजूदा इंफ्रास्ट्रक्चर निवेश के लिए कम जोखिम वाला, उच्च-रिटर्न वाला जोड़ बन जाता है। कई साइटों — एक रिटेल चेन, एक होटल समूह, या एक विश्वविद्यालय परिसर — का प्रबंधन करने वाले संगठनों के लिए, Purple का केंद्रीकृत प्रबंधन पोर्टल क्रॉस-साइट एनालिटिक्स प्रदान करता है जो ClearPass अकेले नहीं दे सकता।

उन परिवेशों के लिए जहां भौतिक विज़िटर व्यवहार को समझना नेटवर्क सुरक्षा जितना ही महत्वपूर्ण है — जैसे कि बड़े रिटेल फ़्लोर या ट्रांसपोर्ट हब — कनेक्टिविटी मेट्रिक्स के साथ स्थानिक बुद्धिमत्ता (spatial intelligence) प्रदान करने के लिए Purple के एनालिटिक्स स्वाभाविक रूप से Indoor Positioning System डेटा के साथ एकीकृत होते हैं।

मुख्य परिभाषाएं

RADIUS प्रॉक्सी

एक कॉन्फ़िगरेशन जहां एक RADIUS सर्वर (ClearPass) विशिष्ट मिलान मानदंडों, जैसे SSID नाम या NAS-Identifier के आधार पर प्रमाणीकरण अनुरोधों को दूसरे RADIUS सर्वर (Purple) पर अग्रेषित करता है।

तब उपयोग किया जाता है जब कोई संगठन अतिथि प्रमाणीकरण के लिए तृतीय-पक्ष क्लाउड सेवा का उपयोग करते हुए आंतरिक रूप से एकल NAC समाधान बनाए रखना चाहता है। प्रॉक्सी प्रमाणीकरण निर्णय को Purple को सौंपते हुए ClearPass में केंद्रीय ऑडिट लॉग को संरक्षित करता है।

चेंज ऑफ़ ऑथराइजेशन (CoA)

RFC 5176 में परिभाषित एक RADIUS एक्सटेंशन जो RADIUS सर्वर को क्लाइंट को डिस्कनेक्ट करने की आवश्यकता के बिना सक्रिय क्लाइंट कनेक्शन की सत्र प्राधिकरण विशेषताओं को गतिशील रूप से संशोधित करने की अनुमति देता है।

Captive Portal परिनियोजन के लिए महत्वपूर्ण। CoA Purple को Aruba कंट्रोलर को संकेत देने की अनुमति देता है कि जैसे ही उपयोगकर्ता पोर्टल फ़ॉर्म पूरा करता है, उपयोगकर्ता को पूर्व-प्रमाणीकरण लॉगऑन रोल से पोस्ट-प्रमाणीकरण अतिथि रोल में स्थानांतरित कर दे।

वॉल्ड गार्डन

Aruba कंट्रोलर पर एक पूर्व-प्रमाणीकरण एक्सेस कंट्रोल सूची जो अप्रमाणित उपकरणों को Captive Portal के कार्य करने के लिए आवश्यक विशिष्ट IP पतों और डोमेन तक पहुंचने की अनुमति देती है।

यदि डिवाइस पोर्टल URL, सोशल लॉगिन प्रदाता एंडपॉइंट, या OS-स्तरीय Captive Portal डिटेक्शन URL (Apple CNA, Microsoft NCSI) तक नहीं पहुंच सकता है, तो पोर्टल लोड होने में विफल हो जाएगा। यह Captive Portal परिनियोजन विफलताओं का सबसे आम स्रोत है।

वेंडर-स्पेसिफिक एट्रिब्यूट (VSA)

मालिकाना निर्देशों के साथ मानक RADIUS प्रोटोकॉल का विस्तार करने के लिए नेटवर्क उपकरण विक्रेताओं (Aruba के लिए वेंडर ID 14823) द्वारा परिभाषित कस्टम RADIUS विशेषताएँ।

Aruba-User-Role VSA (एट्रिब्यूट 1) वह प्राथमिक तंत्र है जिसके द्वारा ClearPass Aruba कंट्रोलर को निर्देश देता है कि प्रमाणित उपयोगकर्ता को कौन सा रोल असाइन करना है। मान कंट्रोलर पर परिभाषित रोल से बिल्कुल मेल खाना चाहिए।

डायनेमिक VLAN असाइनमेंट

किसी उपयोगकर्ता या डिवाइस को उनके भौतिक पोर्ट या कनेक्ट किए गए SSID के बजाय उनकी प्रमाणित पहचान या असाइन किए गए रोल के आधार पर एक विशिष्ट VLAN में रखने की प्रक्रिया।

वेन्यू ऑपरेटरों को एकल अतिथि SSID प्रसारित करने में सक्षम बनाता है, जबकि मानक मेहमानों, VIP मेहमानों, IoT उपकरणों और ठेकेदारों को अलग, पृथक नेटवर्क सेगमेंट में सुरक्षित रूप से विभाजित करता है — PCI DSS अनुपालन के लिए एक आवश्यकता।

एन्फोर्समेंट प्रोफ़ाइल

एक ClearPass कॉन्फ़िगरेशन ऑब्जेक्ट जो नेटवर्क डिवाइस को वापस करने के लिए विशिष्ट RADIUS विशेषताओं और मानों को परिभाषित करता है जब कोई डिवाइस प्रमाणीकरण सेवा से सफलतापूर्वक मेल खाता है।

यह वह जगह है जहां 'यदि अतिथि है, तो अतिथि रोल असाइन करें' के व्यावसायिक तर्क को Aruba कंट्रोलर को भेजे गए विशिष्ट RADIUS VSA में अनुवादित किया जाता है। गलत तरीके से कॉन्फ़िगर किया गया एन्फोर्समेंट प्रोफ़ाइल गलत VLAN असाइनमेंट का एक सामान्य कारण है।

Captive Network Assistant (CNA)

iOS, macOS, Android और Windows में निर्मित मिनी-ब्राउज़र जो ज्ञात एंडपॉइंट पर HTTP अनुरोध करके स्वचालित रूप से Captive Portal का पता लगाता है और उपयोगकर्ता को प्रमाणित करने के लिए प्रेरित करता है।

विशिष्ट डिवाइस प्रकारों पर पोर्टल डिस्प्ले समस्याओं के निवारण के लिए CNA व्यवहार को समझना आवश्यक है। CNA एंडपॉइंट (captive.apple.com, www.msftconnecttest.com) वॉल्ड गार्डन में होने चाहिए।

एक्सेस ट्रैकर

ClearPass Policy Manager के भीतर रीयल-टाइम डायग्नोस्टिक टूल जो अनुरोध विशेषताओं, मेल खाने वाली सेवा, लागू एन्फोर्समेंट प्रोफ़ाइल और परिणाम सहित प्रत्येक RADIUS प्रमाणीकरण और अकाउंटिंग ईवेंट को लॉग करता है।

प्रमाणीकरण विफलताओं या गलत रोल असाइनमेंट का निवारण करते समय परामर्श करने वाला पहला डायग्नोस्टिक टूल। यह ClearPass को क्या प्राप्त हुआ, उसने क्या निर्णय लिया, और उसने नेटवर्क डिवाइस को क्या लौटाया, इसका पूरा रिकॉर्ड प्रदान करता है।

RADIUS-as-a-Service (RaaS)

एक क्लाउड-वितरित RADIUS प्रमाणीकरण सेवा जहां RADIUS सर्वर इंफ्रास्ट्रक्चर को ऑन-प्रिमाइसेस के बजाय तृतीय-पक्ष प्रदाता द्वारा प्रबंधित और होस्ट किया जाता है।

Purple का RADIUS-as-a-Service वेन्यू के लिए अतिथि प्रमाणीकरण के लिए अपने स्वयं के RADIUS इंफ्रास्ट्रक्चर को तैनात करने और प्रबंधित करने की आवश्यकता को समाप्त करता है, जबकि इस गाइड में वर्णित प्रॉक्सी आर्किटेक्चर के माध्यम से ClearPass जैसे मौजूदा ऑन-प्रिमाइसेस NAC समाधानों के साथ एकीकृत होता है।

हल किए गए उदाहरण

Aruba कंट्रोलर और केंद्रीय रूप से तैनात ClearPass वाले 500 कमरों के होटल समूह को कर्मचारियों के लिए सुरक्षित 802.1X WiFi, मेहमानों के लिए एक ब्रांडेड Captive Portal, और IoT उपकरणों (स्मार्ट टीवी, थर्मोस्टैट्स, डोर लॉक) के लिए पृथक कनेक्टिविटी प्रदान करने की आवश्यकता है। उन्हें प्रमाणीकरण प्रवाह को कैसे आर्किटेक्ट करना चाहिए?

तीन SSID तैनात करें: Hotel_Corp (802.1X, WPA2-Enterprise), Hotel_Guest (Captive Portal रीडायरेक्ट के साथ ओपन SSID), और Hotel_IoT (MAC-आधारित प्रमाणीकरण के साथ ओपन SSID)। तीनों SSID RADIUS सर्वर के रूप में ClearPass को इंगित करते हैं। ClearPass में, तीन सेवाएँ बनाएँ: सेवा 1 Hotel_Corp से मेल खाती है और PEAP-MSCHAPv2 के माध्यम से एक्टिव डायरेक्टरी के विरुद्ध प्रमाणित करती है, ROLE_CORP (VLAN 10, पूर्ण आंतरिक एक्सेस) लौटाती है। सेवा 2 Hotel_Guest से मेल खाती है और Purple के RADIUS सर्वर पर अनुरोधों को प्रॉक्सी करने के लिए RADIUS रूटिंग नीति का उपयोग करती है; एन्फोर्समेंट प्रोफ़ाइल Aruba-User-Role = guest-authenticated (VLAN 20, केवल इंटरनेट, 10 Mbps) लौटाती है। सेवा 3 Hotel_IoT से मेल खाती है और OUI द्वारा उपकरणों को वर्गीकृत करने के लिए ClearPass डिवाइस प्रोफ़ाइलिंग का उपयोग करती है; एन्फोर्समेंट प्रोफ़ाइल ROLE_IOT (VLAN 30, केवल स्थानीय, कोई इंटरनेट नहीं) लौटाती है। Aruba कंट्रोलर पर वॉल्ड गार्डन में Purple के पोर्टल डोमेन, Facebook, Google और Apple का CNA एंडपॉइंट शामिल हैं।

परीक्षक की टिप्पणी: यह आर्किटेक्चर ClearPass को एकल नीति निर्णय बिंदु के रूप में बनाए रखते हुए तीन प्रमाणीकरण पथों को सही ढंग से अलग करता है। मुख्य डिज़ाइन निर्णय Aruba कंट्रोलर को सीधे Purple से बात करने के लिए कॉन्फ़िगर करने के बजाय अतिथि ट्रैफ़िक के लिए RADIUS प्रॉक्सी का उपयोग करना है — यह ClearPass में एकीकृत ऑडिट ट्रेल को संरक्षित करता है और संगठन को Aruba कॉन्फ़िगरेशन को बदले बिना भविष्य में अतिथि सत्रों में अतिरिक्त ClearPass नीतियां (उदा., दिन के समय के प्रतिबंध) लागू करने की अनुमति देता है।

एक रिटेल चेन 120 स्टोरों में Purple को रोल आउट कर रही है, जो सभी Aruba इंस्टेंट AP चला रहे हैं। अतिथि प्रमाणीकरण विलंबता (latency) अधिक है और पोर्टल ड्रॉप-ऑफ़ हो रहे हैं। प्रारंभिक जांच से पता चलता है कि RADIUS टाइमआउट डिफ़ॉल्ट 3 सेकंड पर सेट है।

सभी Aruba इंस्टेंट AP पर RADIUS सर्वर टाइमआउट को 10 सेकंड तक बढ़ाएं और 3 रिट्राइज़ कॉन्फ़िगर करें। फ़ेलओवर प्रदान करने के लिए इंस्टेंट AP कॉन्फ़िगरेशन में प्राथमिक और द्वितीयक सर्वर के रूप में Purple के दोनों RADIUS सर्वर IP तैनात करें। यह सुनिश्चित करने के लिए वॉल्ड गार्डन कॉन्फ़िगरेशन की समीक्षा करें कि सभी सोशल लॉगिन प्रदाता डोमेन शामिल हैं, क्योंकि अधूरे वॉल्ड गार्डन के कारण पोर्टल पृष्ठ धीरे-धीरे या आंशिक रूप से लोड होता है, जिससे कथित विलंबता बढ़ जाती है। यह सुनिश्चित करने के लिए इंस्टेंट AP पर RADIUS अकाउंटिंग सक्षम करें कि Purple को सत्र डेटा प्राप्त हो। अंत में, प्रमाणीकरण फ़ॉर्म प्रदर्शित होने से पहले लोड होने वाले बाहरी संसाधन कॉल (फ़ॉन्ट, चित्र) की संख्या को कम करने के लिए Purple पोर्टल डिज़ाइन की समीक्षा करें।

परीक्षक की टिप्पणी: 3-सेकंड का डिफ़ॉल्ट टाइमआउट प्रॉक्सी आर्किटेक्चर में रुक-रुक कर होने वाली विफलताओं का एक सामान्य स्रोत है। अनुरोध AP से Purple के क्लाउड और वापस यात्रा करता है, और भीड़भाड़ वाले या उच्च-विलंबता वाले WAN लिंक पर यह आसानी से 3 सेकंड से अधिक हो सकता है। टाइमआउट बढ़ाना तत्काल सुधार है, लेकिन मूल कारण की जांच में यह भी जांचना चाहिए कि क्या ClearPass-से-Purple नेटवर्क पथ इष्टतम है और क्या Purple के RADIUS सर्वर भौगोलिक रूप से ClearPass परिनियोजन के करीब हैं।

अभ्यास प्रश्न

Q1. आपके परिनियोजन के लिए मेहमानों को Facebook लॉगिन के माध्यम से प्रमाणित करने की आवश्यकता है। Purple पोर्टल लोड होता है, लेकिन जब उपयोगकर्ता Facebook बटन पर टैप करते हैं, तो पृष्ठ टाइम आउट हो जाता है और एक त्रुटि देता है। कॉर्पोरेट 802.1X प्रमाणीकरण सही ढंग से काम कर रहा है। इसका सबसे संभावित कारण क्या है और आप इसे कैसे हल करेंगे?

संकेत: विचार करें कि प्रमाणीकरण पूरा करने से पहले डिवाइस को क्या एक्सेस करने की अनुमति है। पोर्टल पृष्ठ लोड हो गया, इसलिए पोर्टल डोमेन वॉल्ड गार्डन में है — लेकिन उन संसाधनों के बारे में क्या जिन्हें पोर्टल को कॉल करने की आवश्यकता है?

मॉडल उत्तर देखें

Aruba कंट्रोलर पर वॉल्ड गार्डन कॉन्फ़िगरेशन में आवश्यक Facebook प्रमाणीकरण डोमेन और CDN एंडपॉइंट (*.facebook.com, *.fbcdn.net, *.facebook.net) गायब हैं। Facebook के OAuth सर्वर पर पूर्व-प्रमाणीकरण ट्रैफ़िक को कंट्रोलर की डिफ़ॉल्ट-अस्वीकार नीति द्वारा अवरुद्ध किया जा रहा है। समाधान: वॉल्ड गार्डन में छूटे हुए Facebook डोमेन जोड़ें। यह भी सत्यापित करें कि यदि Google लॉगिन भी पेश किया जाता है तो Google के डोमेन शामिल हैं। किसी भी अतिरिक्त अवरुद्ध डोमेन की पहचान करने के लिए परीक्षण डिवाइस से ब्राउज़र डेवलपर टूल नेटवर्क ट्रेस का उपयोग करें।

Q2. आप कॉर्पोरेट कर्मचारियों (802.1X) और मेहमानों (Purple के माध्यम से Captive Portal) दोनों के लिए एक ही SSID ('VenueWiFi') का उपयोग करना चाहते हैं। आप दो प्रमाणीकरण प्रकारों को सही ढंग से अलग करने और रूट करने के लिए ClearPass को कैसे कॉन्फ़िगर करेंगे?

संकेत: ClearPass सेवाएँ प्राथमिकता क्रम में मेल खाती हैं। विचार करें कि 802.1X और MAC-Auth अनुरोध RADIUS प्रोटोकॉल स्तर पर कैसे भिन्न होते हैं, और सर्विस रूल्स इस अंतर का कैसे फायदा उठा सकते हैं。

मॉडल उत्तर देखें

दो ClearPass सेवाएँ बनाएँ, दोनों SSID 'VenueWiFi' से मेल खाती हों। सेवा 1 (उच्च प्राथमिकता) RADIUS विशेषता 'Service-Type EQUALS Framed-User' या EAP विशेषताओं की उपस्थिति पर मेल खाने वाले सर्विस रूल का उपयोग करती है, जो 802.1X अनुरोधों की पहचान करती है। यह एक्टिव डायरेक्टरी के विरुद्ध प्रमाणित करती है और ROLE_CORP लौटाती है। सेवा 2 (निम्न प्राथमिकता) MAC-Auth अनुरोधों (Service-Type EQUALS Call-Check या Authenticate-Only) से मेल खाती है। यह अनुरोध को Purple पर प्रॉक्सी करने के लिए RADIUS रूटिंग नीति का उपयोग करती है। सेवा 2 के लिए एन्फोर्समेंट प्रोफ़ाइल प्री-ऑथ लॉगऑन रोल लौटाती है, जो Captive Portal को ट्रिगर करती है। जब Purple पोस्ट-प्रमाणीकरण RADIUS अनुरोध भेजता है, तो यह सेवा 2 द्वारा मेल खाता है और guest-authenticated रोल लौटाता है।

Q3. अतिथि प्रमाणीकरण सफल है — Purple डैशबोर्ड उपयोगकर्ता को सक्रिय दिखाता है और ClearPass एक्सेस ट्रैकर एक एक्सेस-एक्सेप्ट दिखाता है। हालाँकि, उपयोगकर्ता इंटरनेट का उपयोग नहीं कर सकता है और Aruba कंट्रोलर दिखाता है कि उपयोगकर्ता अभी भी 'लॉगऑन' रोल में है। दो सबसे संभावित कारण क्या हैं?

संकेत: प्रमाणीकरण सफल रहा और ClearPass ने एक एक्सेप्ट भेजा। इसलिए समस्या ClearPass द्वारा वापस भेजी गई चीज़ में है, या Aruba कंट्रोलर ने इसकी व्याख्या कैसे की, इसमें है।

मॉडल उत्तर देखें

कारण 1: ClearPass एन्फोर्समेंट प्रोफ़ाइल को Aruba-User-Role VSA वापस करने के लिए कॉन्फ़िगर नहीं किया गया है, या एक खाली मान लौटा रहा है। एन्फोर्समेंट प्रोफ़ाइल की जाँच करें और सत्यापित करें कि VSA स्पष्ट रूप से सेट है। कारण 2: ClearPass द्वारा लौटाया गया Aruba-User-Role मान Aruba कंट्रोलर पर परिभाषित रोल से बिल्कुल मेल नहीं खाता है (कैपिटलाइज़ेशन सहित)। उदाहरण के लिए, ClearPass 'guest-authenticated' लौटाता है लेकिन कंट्रोलर में 'Guest-Authenticated' परिभाषित है। समाधान: ClearPass एक्सेस ट्रैकर प्रविष्टि खोलें, आउटपुट एट्रिब्यूट्स अनुभाग का विस्तार करें, और Aruba-User-Role मान सत्यापित करें। फिर Configuration > Roles के अंतर्गत Aruba कंट्रोलर पर परिभाषित रोल नामों के विरुद्ध इस मान का क्रॉस-रेफरेंस करें।

Q4. एक स्टेडियम वेन्यू टियर अतिथि WiFi की पेशकश करना चाहता है: 5 Mbps और अनिवार्य पोर्टल प्रमाणीकरण के साथ एक निःशुल्क टियर, और पूर्व-पंजीकृत टिकट धारकों के लिए 50 Mbps के साथ एक प्रीमियम टियर। दोनों टियर एक ही SSID का उपयोग करते हैं। आप ClearPass और Purple का उपयोग करके इसे कैसे आर्किटेक्ट करेंगे?

संकेत: इस बारे में सोचें कि प्रमाणीकरण के बाद ClearPass दो उपयोगकर्ता प्रकारों के बीच कैसे अंतर कर सकता है, और इस अंतर को सक्षम करने के लिए Purple कैसे ClearPass को पहचान जानकारी पास कर सकता है।

मॉडल उत्तर देखें

यह दर्शाने के लिए कि उपयोगकर्ता एक पंजीकृत टिकट धारक है, एक उपयोगकर्ता विशेषता (उदा., एक कस्टम RADIUS विशेषता या क्लास विशेषता) पास करने के लिए Purple को कॉन्फ़िगर करें। ClearPass में, एक रोल मैपिंग नीति बनाएँ जो इस विशेषता की जाँच करती है: यदि मौजूद और मान्य है, तो ROLE_VIP असाइन करें; अन्यथा ROLE_GUEST असाइन करें। दो एन्फोर्समेंट प्रोफ़ाइल बनाएँ: ROLE_GUEST Aruba-User-Role = guest-standard (VLAN 20, 5 Mbps बैंडविड्थ अनुबंध) लौटाता है; ROLE_VIP Aruba-User-Role = guest-premium (VLAN 40, 50 Mbps) लौटाता है। Aruba कंट्रोलर पर, उपयुक्त VLAN और बैंडविड्थ अनुबंधों के साथ दोनों रोल परिभाषित करें। यह दृष्टिकोण उपयोगकर्ता पहचान के आधार पर विभेदित सेवा स्तर प्रदान करते हुए एकल SSID और एकल Purple पोर्टल का उपयोग करता है।

इस श्रृंखला में आगे पढ़ें

Purple WiFi के साथ Grandstream GWN एक्सेस पॉइंट्स का एकीकरण

यह आधिकारिक तकनीकी संदर्भ मार्गदर्शिका विस्तार से बताती है कि Grandstream GWN एक्सेस पॉइंट्स को Purple के Guest WiFi और एनालिटिक्स प्लेटफॉर्म के साथ कैसे एकीकृत किया जाए। इसमें Grandstream कैप्टिव पोर्टल कॉन्फ़िगरेशन, RADIUS AAA सेटिंग्स, वॉल्ड गार्डन सेटअप, डायनेमिक VLAN स्टीयरिंग के साथ सुरक्षित स्टाफ 802.1X प्रमाणीकरण, और मल्टी-टेनेंट PPSK सेगमेंटेशन शामिल हैं - जो बड़े पैमाने पर गेस्ट और स्टाफ WiFi तैनात करने वाले MSPs और आईटी टीमों के लिए व्यावहारिक, चरण-दर-चरण मार्गदर्शन प्रदान करता है।

Cisco WLC और Catalyst एकीकरण: चरण-दर-चरण अतिथि एक्सेस गाइड

यह गाइड Cisco WLC और Catalyst 9800 वायरलेस के Purple के साथ चरण-दर-चरण एकीकरण का विवरण देती है, जिसमें Central Web Authentication के माध्यम से Guest WiFi कैप्टिव पोर्टल रीडायरेक्शन, 802.1X EAP-TLS का उपयोग करके सुरक्षित स्टाफ WiFi, और डायनेमिक VLAN असाइनमेंट के साथ Cisco Identity Pre-Shared Keys (iPSK) का उपयोग करके मल्टी-टेनेंट सेगमेंटेशन शामिल है। यह हॉस्पिटैलिटी, रिटेल और बड़े सार्वजनिक स्थानों में Cisco इन्फ्रास्ट्रक्चर को लागू करने वाले एंटरप्राइज नेटवर्क आर्किटेक्ट्स और IT सुरक्षा निदेशकों के लिए लिखा गया है।

Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर इंटीग्रेशन

यह गाइड Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर को तैनात करने के लिए संपूर्ण इंटीग्रेशन प्लेबुक प्रदान करती है। इसमें CoovaChilli कैप्टिव पोर्टल कॉन्फ़िगरेशन, iptables वॉल्ड गार्डन प्रबंधन, hostapd के साथ 802.1X सुरक्षित स्टाफ WiFi, और डायनेमिक VLAN असाइनमेंट के साथ मल्टी-टेनेंट PPSK सेगमेंटेशन शामिल है - जो IT टीमों को किसी भी OpenWrt-सक्षम हार्डवेयर पर पहचान-आधारित नेटवर्क (Identity-Based Network) बनाने के लिए आवश्यक सटीक कॉन्फ़िगरेशन चरण प्रदान करता है।