मुख्य सामग्री पर जाएं
हिन्दी

Aruba ClearPass बनाम Purple WiFi: सुविधाओं और सह-तैनाती (Co-deployment) की तुलना

Aruba ClearPass और Purple WiFi के सह-तैनाती आर्किटेक्चर का विवरण देने वाली एक व्यापक तकनीकी मार्गदर्शिका। इसमें RADIUS प्रॉक्सी कॉन्फ़िगरेशन, डायनेमिक VLAN असाइनमेंट, और एंटरप्राइज़ NAC के साथ सुरक्षित, एनालिटिक्स-संचालित गेस्ट नेटवर्क प्रदान करने के लिए सर्वोत्तम अभ्यास शामिल हैं।

📖 6 मिनट का पाठ📝 1,499 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
ब्रिटिश अंग्रेजी में एक आत्मविश्वासी, आधिकारिक और संवादात्मक लहजे में बात करें। आप एक वरिष्ठ नेटवर्क सलाहकार हैं जो एक क्लाइंट को जानकारी दे रहे हैं। नपी-तुली गति, स्पष्ट उच्चारण, पेशेवर लेकिन कठोर नहीं। जोर देने के लिए बीच-बीच में स्वाभाविक ठहराव लें: Purple के इस तकनीकी ब्रीफिंग में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम उस प्रश्न पर चर्चा कर रहे हैं जो हमारे द्वारा काम किए जाने वाले लगभग हर एंटरप्राइज़ वायरलेस प्रोजेक्ट में सामने आता है: जब आपके पास पहले से ही Aruba ClearPass तैनात है, तो Purple WiFi कहाँ फिट बैठता है, और दोनों सिस्टम एक साथ मिलकर कैसे काम करते हैं? [medium pause] यह कोई सैद्धांतिक चर्चा नहीं है। यदि आप एक आईटी मैनेजर, एक नेटवर्क आर्किटेक्ट, या एक होटल ग्रुप, रिटेल चेन, या स्टेडियम ऑपरेटर में सुरक्षा इंजीनियर हैं, तो यह एक ऐसा निर्णय है जो आपको इसी तिमाही में लेना पड़ सकता है। तो चलिए इसके बारे में विस्तार से जानते हैं। [medium pause] परिचय और संदर्भ। [short pause] सबसे पहले, आइए स्पष्ट करें कि प्रत्येक प्लेटफ़ॉर्म वास्तव में किस काम के लिए डिज़ाइन किया गया है। Aruba ClearPass पॉलिसी मैनेजर एक नेटवर्क एक्सेस कंट्रोल प्लेटफ़ॉर्म है। इसका काम डिवाइस और उपयोगकर्ताओं को प्रमाणित करना, एंडपॉइंट पोस्चर का आकलन करना और आपके पूरे नेटवर्क में एक्सेस पॉलिसी लागू करना है। यह 802.1X को संभालता है, जो पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए IEEE मानक है, जिसमें प्रमाणपत्रों के साथ EAP-TLS और उपयोगकर्ता नाम और पासवर्ड के साथ PEAP जैसे EAP तरीकों का उपयोग किया जाता है। यह Microsoft Entra ID, Okta और अन्य पहचान प्रदाताओं (Identity Providers) के साथ एकीकृत होता है। यह डिवाइसों का विश्लेषण करता है, जाँचता है कि वे आपकी सुरक्षा नीति के अनुकूल हैं या नहीं, और उन्हें सही नेटवर्क रोल सौंपता है। कॉर्पोरेट डिवाइसों के लिए, ClearPass बेहतरीन है। इसे ठीक इसी यूज़ केस के लिए बनाया गया था। [medium pause] Purple WiFi पूरी तरह से एक अलग चीज़ है। Purple एक क्लाउड-आधारित गेस्ट WiFi इंटेलिजेंस प्लेटफ़ॉर्म है। इसका काम एक ब्रांडेड Captive Portal के माध्यम से विजिटर्स को प्रमाणित करना, GDPR-अनुरूप सहमति प्रवाह (consent flows) के साथ फ़र्स्ट-पार्टी डेटा कैप्चर करना और उस डेटा को आपके मार्केटिंग और एनालिटिक्स स्टैक में फीड करना है। Purple दुनिया भर में 80,000 से अधिक वेन्यू में काम करता है और अकेले 2024 में 440 मिलियन लॉगिन प्रोसेस कर चुका है। यह CRM और मार्केटिंग ऑटोमेशन प्लेटफ़ॉर्म सहित 400 से अधिक कनेक्टर्स के साथ एकीकृत होता है। गेस्ट नेटवर्क के लिए, Purple विशेषज्ञ है। [medium pause] अधिकांश संगठनों के सामने समस्या यह आती है कि वे दोनों काम करने के लिए एक ही प्लेटफ़ॉर्म का उपयोग करने का प्रयास करते हैं। या तो वे ClearPass को अपना गेस्ट पोर्टल चलाने के लिए कहते हैं, जो यह कर तो सकता है लेकिन उतने बेहतर ढंग से नहीं, या वे अपने मौजूदा NAC निवेश के साथ यह सोचे बिना Purple को तैनात कर देते हैं कि यह कैसे काम करेगा। सही उत्तर एक सह-तैनाती (co-deployment) आर्किटेक्चर है जहाँ प्रत्येक प्लेटफ़ॉर्म वह काम करता है जो वह सबसे अच्छा करता है। [medium pause] तकनीकी गहन विश्लेषण (Technical deep-dive)। [short pause] आइए मैं आपको आर्किटेक्चर समझाता हूँ। एक सह-तैनाती में, आपका Aruba मोबिलिटी कंट्रोलर या Aruba इंस्टेंट एक्सेस पॉइंट कई SSIDs ब्रॉडकास्ट करते हैं। आमतौर पर तीन: एक कॉर्पोरेट डिवाइसों के लिए, एक गेस्ट के लिए, और एक IoT के लिए। इस SSID डिज़ाइन पैटर्न के बारे में अधिक जानने के लिए, Purple ने 'थ्री SSIDs टू रूल देम ऑल' (Three SSIDs to rule them all) नाम से एक विस्तृत गाइड प्रकाशित किया है, जिसे मैं इस ब्रीफिंग के साथ पढ़ने की सलाह दूँगा। [medium pause] कॉरपोरेट SSID EAP-TLS के साथ 802.1X का उपयोग करता है। डिवाइस ClearPass Onboard के माध्यम से प्रोविज़न किए गए सर्टिफिकेट का उपयोग करके प्रमाणित होते हैं, जो ClearPass का इन-बिल्ट सर्टिफिकेट एनरोलमेंट और डिवाइस प्रोविजनिंग मॉड्यूल है। ClearPass डिवाइस पॉस्चर की जांच करता है, सर्टिफिकेट को सत्यापित करता है, Active Directory या Microsoft Entra ID से क्वेरी करता है, और डिवाइस को उपयुक्त VLAN में असाइन करता है। आमतौर पर कॉरपोरेट के लिए VLAN 10। यह पूरा फ्लो ClearPass के भीतर ही रहता है। Purple इसमें शामिल नहीं है। [medium pause] गेस्ट SSID वह जगह है जहां इंटीग्रेशन होता है। जब कोई विज़िटर गेस्ट SSID से कनेक्ट होता है, तो Aruba कंट्रोलर उनके HTTP ट्रैफ़िक को इंटरसेप्ट करता है और उनके ब्राउज़र को Purple के Captive Portal पर रीडायरेक्ट करता है। विज़िटर Purple के माध्यम से प्रमाणित होता है, शायद Google के माध्यम से सोशल लॉगिन, एक कस्टम ईमेल फ़ॉर्म, या OpenRoaming का उपयोग करके, जहां Purple Connect लाइसेंस के तहत एक फ्री आइडेंटिटी प्रोवाइडर के रूप में कार्य करता है। एक बार जब Purple विज़िटर को वैलिडेट कर लेता है, तो यह कंट्रोलर को वापस एक RADIUS Access-Accept संदेश भेजता है, जो इंटरनेट एक्सेस प्रदान करता है। [medium pause] अब, मुख्य आर्किटेक्चरल निर्णय यह है कि क्या आप कंट्रोलर और Purple के बीच RADIUS प्रॉक्सी के रूप में ClearPass को इन्सर्ट करते हैं, या कंट्रोलर सीधे Purple के RADIUS सर्वर से बात करता है। अधिकांश एंटरप्राइज डेप्लॉयमेंट के लिए, प्रॉक्सी मॉडल सही विकल्प है। यहाँ जानिए क्यों। [medium pause] RADIUS प्रॉक्सी के रूप में ClearPass के साथ, आपके नेटवर्क पर प्रत्येक ऑथेंटिकेशन इवेंट, कॉरपोरेट और गेस्ट दोनों, ClearPass के माध्यम से प्रवाहित होता है। आपको एक सिंगल ऑडिट ट्रेल मिलती है। आपकी सिक्योरिटी ऑपरेशन्स टीम को सब कुछ एक ही जगह पर दिखाई देता है। ClearPass कंट्रोलर को रिस्पॉन्स वापस करने से पहले अपनी खुद की पॉलिसी एट्रिब्यूट्स जोड़ सकता है, जिससे रोल के आधार पर डायनेमिक VLAN असाइनमेंट सक्षम होता है। और आप गेस्ट सेशन पर अतिरिक्त पॉलिसियां लागू करने की क्षमता बनाए रखते हैं, जैसे कि बैंडविड्थ सीमाएं या समय-आधारित एक्सेस प्रतिबंध। एक आत्मविश्वासी, आधिकारिक और संवादात्मक टोन के साथ ब्रिटिश इंग्लिश में बोलें। आप एक क्लाइंट को ब्रीफिंग देने वाले एक सीनियर नेटवर्क कंसलटेंट हैं। नपा-तुला पेस, स्पष्ट डिक्शन, पेशेवर लेकिन रूखा नहीं: ClearPass में प्रॉक्सी कॉन्फ़िगरेशन सीधा और सरल है। आप एक RADIUS Routing Policy बनाते हैं जो NAS आइडेंटिफायर या कॉल्ड स्टेशन ID द्वारा गेस्ट SSID से मेल खाती है। उस पॉलिसी से मेल खाने वाले रिक्वेस्ट को Purple के क्लाउड RADIUS सर्वर पर फॉरवर्ड कर दिया जाता है। Purple प्रतिक्रिया देता है, ClearPass Aruba-User-Role वेंडर-विशिष्ट एट्रिब्यूट जोड़ता है, और कंट्रोलर गेस्ट को केवल इंटरनेट एक्सेस के साथ VLAN 20 में रखता है। [medium pause] IoT डिवाइस के लिए, तीसरा SSID MAC ऑथेंटिकेशन बाईपास का उपयोग करता है। ClearPass डिवाइस को उसके OUI (MAC एड्रेस के पहले छह कैरेक्टर जो निर्माता की पहचान करते हैं) का उपयोग करके प्रोफाइल करता है, और इसे ROLE_IOT में असाइन करता है, जो VLAN 30 पर मैप होता है। इस VLAN के पास कोई इंटरनेट एक्सेस नहीं है, केवल लोकल कनेक्टिविटी है। आपके स्मार्ट TV, थर्मोस्टेट और डोर लॉक कॉरपोरेट और गेस्ट दोनों ट्रैफ़िक से पूरी तरह से अलग रहते हैं। [medium pause] आइए अनुपालन (compliance) के बारे में बात करते हैं, क्योंकि यहीं पर यह आर्किटेक्चर अपनी उपयोगिता साबित करता है। PCI DSS के तहत, कार्डधारक के डेटा को छूने वाले किसी भी नेटवर्क सेगमेंट को गेस्ट नेटवर्क से अलग किया जाना चाहिए। इस आर्किटेक्चर में VLAN सेगमेंटेशन उस आवश्यकता को पूरा करता है। GDPR के तहत, Purple का captive portal जागरूक-विकल्प (conscious-choice) ऑप्ट-इन के साथ सहमति एकत्र करने का काम संभालता है, जिसका अर्थ है कि विज़िटर डिफ़ॉल्ट रूप से अपना डेटा एकत्र किए जाने के बजाय सक्रिय रूप से उसे साझा करना चुनते हैं। Purple ISO 27001 प्रमाणित है, GDPR अनुपालन करता है, और इसके पास Cyber Essentials सर्टिफिकेशन है। ClearPass वह ऑडिट ट्रेल प्रदान करता है जिसकी आपकी सुरक्षा टीम को अनुपालन रिपोर्टिंग के लिए आवश्यकता होती है। [medium pause] कार्यान्वयन (Implementation) सिफारिशें और कमियां। [short pause] आइए मैं आपको पांच ऐसी चीजें बताता हूं जो इस डिप्लॉयमेंट में सबसे अधिक गलत होती हैं, और उनसे कैसे बचा जाए। [medium pause] नंबर एक: walled garden। विज़िटर द्वारा प्रमाणित (authenticate) करने से पहले, Aruba कंट्रोलर केवल डेस्टिनेशन की एक पूर्व-निर्धारित सूची में ट्रैफ़िक की अनुमति देता है। यदि Purple के पोर्टल डोमेन, इसके CDN एंडपॉइंट और सोशल लॉगिन प्रदाता डोमेन उस सूची में नहीं हैं, तो पोर्टल लोड नहीं होगा। आपको star dot purple dot ai, star dot cloudfront dot net, और आप जिन भी सोशल लॉगिन प्रदाताओं को सक्षम कर रहे हैं उनके लिए OAuth डोमेन शामिल करने की आवश्यकता है। Google, Facebook, Apple और Microsoft Entra ID सभी के अपने डोमेन सेट हैं। walled garden को एक सक्रिय कॉन्फ़िगरेशन के रूप में मानें, क्योंकि सोशल लॉगिन प्रदाता समय-समय पर अपने CDN डोमेन बदलते रहते हैं। [medium pause] नंबर दो: RADIUS टाइमआउट। अधिकांश Aruba कंट्रोलर पर डिफ़ॉल्ट RADIUS टाइमआउट तीन सेकंड होता है। एक प्रॉक्सी आर्किटेक्चर में, अनुरोध एक्सेस पॉइंट से कंट्रोलर, फिर ClearPass, इंटरनेट के माध्यम से Purple के क्लाउड RADIUS और फिर वापस यात्रा करता है। एक व्यस्त (congested) नेटवर्क पर, इस राउंड ट्रिप में तीन सेकंड से अधिक का समय लग सकता है। अपने टाइमआउट को कम से कम दस सेकंड पर सेट करें और कम से कम दो रीट्राय के साथ रीट्राय लॉजिक को कॉन्फ़िगर करें। [medium pause] नंबर तीन: shared secret मिसमैच। Aruba कंट्रोलर और ClearPass के बीच का shared secret बिल्कुल मेल खाना चाहिए। ClearPass और Purple के RADIUS सर्वर के बीच का shared secret भी बिल्कुल मेल खाना चाहिए। एक भी कैरेक्टर का अंतर विज़िटर को बिना किसी सार्थक त्रुटि संदेश (error message) के मूक प्रमाणीकरण विफलता (silent authentication failure) का कारण बनता है। हमेशा इन्हें कैरेक्टर दर कैरेक्टर सत्यापित करें। [medium pause] नंबर चार: रोल नाम केस संवेदनशीलता (case sensitivity)। ClearPass द्वारा लौटाया गया Aruba-User-Role एट्रिब्यूट Aruba कंट्रोलर पर परिभाषित रोल नाम से बिल्कुल मेल खाना चाहिए, जिसमें कैपिटलाइजेशन भी शामिल है। यदि ClearPass guest-authenticated लौटाता है लेकिन कंट्रोलर पर Guest-Authenticated परिभाषित है, तो विज़िटर बिना इंटरनेट एक्सेस वाले डिफ़ॉल्ट लॉगऑन रोल पर वापस आ जाता है। [medium pause] नंबर पांच: RADIUS accounting। कई परिनियोजन (deployments) ऑथेंटिकेशन प्रॉक्सीइंग को सही ढंग से कॉन्फ़िगर करते हैं लेकिन एकाउंटिंग को भी प्रॉक्सी करना भूल जाते हैं। Purple सत्र की अवधि (session duration), डेटा उपयोग को ट्रैक करने और अपने एनालिटिक्स डैशबोर्ड को पॉप्युलेट करने के लिए RADIUS accounting डेटा का उपयोग करता है। यदि एकाउंटिंग Purple में प्रवाहित नहीं हो रही है, तो आपके फुटफॉल एनालिटिक्स और ड्वेल टाइम (dwell time) रिपोर्ट अपूर्ण रहेंगे। [medium pause] रैपिड-फायर प्रश्न। [short pause] क्या मैं इसे पूर्ण Mobility Controller के बजाय Aruba Instant पर चला सकता हूँ? हाँ। Aruba Instant बाहरी RADIUS सर्वर और Captive Portal रीडायरेक्ट का समर्थन करता है। कॉन्फ़िगरेशन थोड़ा भिन्न होता है लेकिन सिद्धांत समान हैं। [medium pause] क्या Purple Change of Authorisation का समर्थन करता है? हाँ। CoA कंट्रोलर को किसी विज़िटर के सत्र को बिना दोबारा कनेक्ट किए गतिशील रूप से अपडेट करने की अनुमति देता है। यह समय-सीमित एक्सेस या टियर अपग्रेड के लिए उपयोगी है। [medium pause] क्या यह WPA3 के साथ काम करता है? हाँ। व्यक्तिगत नेटवर्क के लिए WPA3-SAE और 802.1X के लिए WPA3-Enterprise दोनों समर्थित हैं। Captive Portals का उपयोग करने वाले गेस्ट नेटवर्क के लिए, WPA3-SAE या Opportunistic Wireless Encryption के साथ एक ओपन SSID सामान्य विकल्प हैं। [medium pause] क्या मैं कर्मचारियों और मेहमानों दोनों के लिए एकल SSID का उपयोग कर सकता हूँ? आप कर सकते हैं, लेकिन यह जटिलता बढ़ाता है। ClearPass एक ही SSID पर 802.1X और MAC ऑथेंटिकेशन दोनों को संभालता है, ट्रैफ़िक प्रकारों में अंतर करने और तदनुसार रूट करने के लिए सर्विस रूल्स का उपयोग करता है। अधिकांश स्थानों के लिए, अलग SSID अधिक स्पष्ट विकल्प हैं। [medium pause] सारांश और अगले कदम। [short pause] ClearPass और Purple पूरक हैं, प्रतिस्पर्धी नहीं। ClearPass कॉर्पोरेट उपकरणों के लिए आपका पॉलिसी इंजन है: 802.1X, एंडपॉइंट पोस्चर, सर्टिफिकेट मैनेजमेंट और एकीकृत ऑडिट ट्रेल। Purple आपका गेस्ट इंटेलिजेंस प्लेटफॉर्म है: ब्रांडेड Captive Portal, GDPR-अनुरूप डेटा कैप्चर, फुटफॉल एनालिटिक्स और मार्केटिंग ऑटोमेशन। [medium pause] सह-परिनियोजन आर्किटेक्चर ClearPass को RADIUS प्रॉक्सी के रूप में उपयोग करता है। सभी ऑथेंटिकेशन अनुरोध ClearPass के माध्यम से प्रवाहित होते हैं। गेस्ट अनुरोधों को Purple के क्लाउड RADIUS पर रूट किया जाता है। कॉर्पोरेट अनुरोधों को ClearPass द्वारा स्थानीय रूप से संभाला जाता है। Aruba कंट्रोलर डायनेमिक VLAN असाइनमेंट के माध्यम से परिणामी नीतियों को लागू करता है। [medium pause] तीन कॉन्फ़िगरेशन तत्व जिन्हें आपको सही करना होगा वे हैं: वॉल्ड गार्डन, RADIUS टाइमआउट, और रोल नेम कंसिस्टेंसी। इन्हें सही करें, और आपके पास एक अनुपालन (compliant), व्यावसायिक रूप से मूल्यवान गेस्ट WiFi परिनियोजन होगा जो आपकी कॉर्पोरेट सुरक्षा स्थिति से समझौता नहीं करता है। [medium pause] आपके अगले कदमों के लिए: Purple डैशबोर्ड से अपने Purple वेन्यू RADIUS क्रेडेंशियल प्राप्त करें, साथ में दी गई लिखित गाइड में वॉल्ड गार्डन संदर्भ सूची की समीक्षा करें, और प्रोडक्शन में रोल आउट करने से पहले एक समर्पित परीक्षण डिवाइस के साथ पूर्ण ऑथेंटिकेशन फ्लो का परीक्षण करें। यदि आप इसे कई साइटों पर तैनात कर रहे हैं, तो Purple का मल्टी-साइट मैनेजमेंट कंसोल आपको एकल इंटरफ़ेस से आपके संपूर्ण एस्टेट में Captive Portal कॉन्फ़िगरेशन, ब्रांडिंग और एनालिटिक्स को प्रबंधित करने की अनुमति देता है। [medium pause] सुनने के लिए धन्यवाद। अपने विशिष्ट डिप्लॉयमेंट के बारे में सॉल्यूशंस आर्किटेक्ट से बात करने के लिए purple dot ai पर जाएं।

header_image.png

कार्यकारी सारांश

HPE Aruba इन्फ्रास्ट्रक्चरमध्ये मोठ्या प्रमाणावर गुंतवणूक केलेल्या एंटरप्राइझ वातावरणासाठी, अखंड, डेटा-समृद्ध अतिथी WiFi अनुभव प्रदान करताना जटिल नेटवर्क प्रवेश धोरणे व्यवस्थापित करणे एक महत्त्वपूर्ण आर्किटेक्चरल आव्हान सादर करते. Aruba ClearPass पॉलिसी व्यवस्थापक कॉर्पोरेट उपकरणांसाठी नेटवर्क ऍक्सेस कंट्रोल (NAC) आणि 802.1X सुरक्षिततेमध्ये उत्कृष्ट असला तरी, त्याच्या अंगभूत Captive Portal मध्ये आधुनिक ठिकाणांसाठी आवश्यक असलेल्या प्रगत विपणन ऑटोमेशन आणि विश्लेषणेचा अभाव आहे. हे मार्गदर्शक ClearPass सोबत Purple WiFi कसे समाकलित करावे हे तपशीलवार सांगते, ज्यामुळे प्रत्येक प्लॅटफॉर्मला त्यांच्या मुख्य सामर्थ्यावर लक्ष केंद्रित करणे शक्य होते.

ClearPass ला RADIUS प्रॉक्सी म्हणून उपयोजित करून, आपण कॉर्पोरेट आणि IoT उपकरणांसाठी युनिफाइड सुरक्षा ऑडिट ट्रेल आणि डायनॅमिक VLAN असाइनमेंट राखता, तर अतिथी ऑनबोर्डिंग अनुभव Purple कडे सोपवता. हा दृष्टिकोन GDPR-सुसंगत फर्स्ट-पार्टी डेटा कॅप्चर, तपशीलवार फूटफॉल विश्लेषणे आणि ४०० हून अधिक विपणन कनेक्टर्ससह एकत्रीकरण सक्षम करतो—तुमच्या विद्यमान Aruba NAC गुंतवणुकीला न बदलता. हा दस्तऐवज या सह-उपयोजनासाठी तांत्रिक ब्ल्यूप्रिंट प्रदान करतो, ज्यामध्ये आर्किटेक्चर, कॉन्फिगरेशन त्रुटी आणि सर्वोत्तम पद्धतींचा समावेश आहे.

तांत्रिक सखोल विश्लेषण

Aruba ClearPass आणि Purple WiFi चे एकत्रीकरण मानक RADIUS प्रोटोकॉल आणि HTTP रीडायरेक्ट मेकॅनिझमवर अवलंबून आहे, जे RADIUS प्रॉक्सी आर्किटेक्चरभोवती संरचित आहे. हे डिझाइन हे सुनिश्चित करते की ClearPass सर्व नेटवर्क प्रवेशासाठी केंद्रीय धोरण निर्णय बिंदू राहील, तर Purple अतिथी-अनुकूल Captive Portal आणि डेटा संकलन व्यवस्थापित करते.

मुख्य आर्किटेक्चर

मानक सह-उपयोजनामध्ये, तुमचे Aruba मोबिलिटी कंट्रोलर्स किंवा Aruba इन्स्टंट ऍक्सेस पॉइंट्स एकाधिक SSIDs ब्रॉडकास्ट करतात. एक सामान्य डिझाइन पॅटर्न, जसे की Three SSIDs to rule them all: the WiFi design for guest, staff and IoT मध्ये वर्णन केले आहे, तीन समर्पित नेटवर्क वापरतो:

  1. Corporate SSID: EAP-TLS सह 802.1X वापरते. ClearPass Onboard द्वारे तरतूद केलेल्या प्रमाणपत्रांचा वापर करून उपकरणे प्रमाणीकृत होतात. ClearPass उपकरणाच्या स्थितीचे मूल्यांकन करते, Microsoft Entra ID किंवा Active Directory कडे चौकशी करते आणि उपकरणाला कॉर्पोरेट VLAN (उदा. VLAN 10) मध्ये नियुक्त करते. या फ्लोमध्ये Purple समाविष्ट नाही.
  2. IoT SSID: MAC ऑथेंटिकेशन बायपास (MAB) वापरते. ClearPass उपकरणाच्या ऑर्गनायझेशनली युनिक आयडेंटिफायर (OUI) चा वापर करून त्याचे प्रोफाइल तयार करते आणि त्याला इंटरनेट प्रवेश नसलेल्या एका वेगळ्या IoT VLAN (उदा. VLAN 30) मध्ये नियुक्त करते.
  3. Guest SSID: हे एक ओपन किंवा अपॉर्चुनिस्टिक वायरलेस एन्क्रिप्शन (OWE) नेटवर्क आहे जे Purple Captive Portal ट्रिगर करते. architecture_overview.png

RADIUS Proxy फ्लो

जेव्हा एखादा अभ्यागत (visitor) गेस्ट SSID शी कनेक्ट होतो आणि ब्राउझर उघडतो, तेव्हा Aruba कंट्रोलर HTTP ट्रॅफिक अडवतो आणि सेशन Purple Captive Portal URL कडे रिडायरेक्ट करतो. अभ्यागत सोशल लॉगिन, कस्टम फॉर्म किंवा OpenRoaming (जिथे Purple, Connect प्लॅन अंतर्गत मोफत आयडेंटिटी प्रोव्हाइडर म्हणून काम करते) चा वापर करून Purple द्वारे ऑथेंटिकेट करतो.

एकदा Purple ने अभ्यागताला प्रमाणित (validate) केले की, ते RADIUS Access-Accept संदेश पाठवते. तथापि, Aruba कंट्रोलर थेट Purple च्या क्लाउड RADIUS सर्व्हरशी संपर्क साधण्याऐवजी, ClearPass ला RADIUS proxy म्हणून समाविष्ट केले जाते:

  1. Aruba कंट्रोलर सर्व RADIUS विनंत्या (requests) ClearPass कडे पाठवतो.
  2. ClearPass त्याच्या सेवा नियमांच्या (Service Rules) विरुद्ध विनंतीचे मूल्यमापन करते. जर विनंती गेस्ट SSID शी जुळत असेल (Called-Station-Id किंवा NAS आयडेंटिफायरद्वारे ओळखली जाणारी), तर RADIUS Routing Policy ही विनंती Purple च्या RADIUS सर्व्हरकडे फॉरवर्ड करते.
  3. Purple एक Access-Accept संदेशासह प्रतिसाद देते.
  4. ClearPass ला हा प्रतिसाद मिळतो आणि तो स्वतःची Enforcement Policy लागू करतो, कंट्रोलरकडे अंतिम प्रतिसाद फॉरवर्ड करण्यापूर्वी विशिष्ट Vendor-Specific Attributes (VSAs) जोडतो.

डायनॅमिक रोल-आधारित VLAN असाइनमेंट

या आर्किटेक्चरमधील सर्वात महत्त्वाची VSA म्हणजे Aruba-User-Role आहे. जेव्हा ClearPass, Access-Accept संदेश कंट्रोलरकडे फॉरवर्ड करते, तेव्हा वायरलेस नेटवर्कवर अभ्यागताने कोणती नेमकी भूमिका घ्यावी हे स्पष्ट करण्यासाठी ते या ॲट्रिब्यूटचा समावेश करते.

उदाहरणार्थ, ClearPass Aruba-User-Role = guest-authenticated परत करू शकते. Aruba कंट्रोलरवर, हा रोल VLAN 20 शी मॅप केला जातो, जो इंटरनेट प्रवेशाची परवानगी देणाऱ्या परंतु अंतर्गत कॉर्पोरेट सबनेटसाठी राउटिंग ब्लॉक करणाऱ्या फायरवॉल पॉलिसीसह कॉन्फिगर केलेला असतो. PCI DSS [1] सारख्या मानकांचे पालन करण्यासाठी हे सेगमेंटेशन आवश्यक आहे.

comparison_chart.png

अंमलबजावणी मार्गदर्शिका (Implementation Guide)

हे आर्किटेक्चर तैनात करण्यासाठी Aruba इन्फ्रास्ट्रक्चर आणि ClearPass दोन्हीवर अचूक कॉन्फिगरेशन आवश्यक आहे. हे इंटिग्रेशन स्थापित करण्यासाठी खालील विक्रेता-तटस्थ (vendor-neutral) पायऱ्यांचे अनुसरण करा.

पायरी १: ClearPass मध्ये Purple RADIUS सर्व्हर कॉन्फिगर करा

ClearPass मधील Configuration > Network > Devices वर जा आणि Purple चे प्राथमिक आणि दुय्यम RADIUS सर्व्हर नेटवर्क डिव्हाइस म्हणून जोडा. तुम्हाला तुमच्या Purple व्हेन्यू कॉन्फिगरेशन डॅशबोर्डमध्ये दिलेले IP ॲड्रेस आणि शेअर केलेला सिक्रेट कोड (shared secret) आवश्यक असेल.

पायरी २: RADIUS Routing Policy तयार करा

ClearPass मध्ये एक नवीन RADIUS Routing Policy तयार करा. ही पॉलिसी कोणत्या परिस्थितींमध्ये विनंत्या (requests) Purple कडे प्रॉक्सी केल्या जातील हे निश्चित करेल. पायरी १ मध्ये तुम्ही कॉन्फिगर केलेल्या Purple RADIUS सर्व्हरवर प्राथमिक आणि बॅकअप डेस्टिनेशन सेट करा.

पायरी ३: गेस्ट सर्व्हिस व्याख्यात करा

गेस्ट ऑथेंटिकेशनसाठी ClearPass मध्ये एक नवीन सर्व्हिस (Service) तयार करा.

  • Type: RADIUS Enforcement (Generic)
  • सर्व्हिस नियम: तुमच्या गेस्ट SSID नाव असलेल्या Radius:IETF:Called-Station-Id शी जुळवा.
  • राउटिंग पॉलिसी: पायरी २ मध्ये तयार केलेली पॉलिसी निवडा.
  • एंफोर्समेंट पॉलिसी: अरुबा कंट्रोलरवरील तुमच्या गेस्ट रोलशी संबंधित असलेल्या व्हॅल्यूसह Aruba-User-Role VSA परत करण्यासाठी पॉलिसी कॉन्फिगर करा.

पायरी ४: कंट्रोलरवर वॉल्ड गार्डन कॉन्फिगर करा

वॉल्ड गार्डन ही अशा डोमेन्सची सूची आहे जिथपर्यंत एखादे डिव्हाइस ऑथेंटिकेशनपूर्वी पोहोचू शकते. हे अरुबा कंट्रोलरवर (किंवा ArubaOS 10 मधील ॲक्सेस नियमांद्वारे) कॉन्फिगर केले जाते. आपण Purple च्या मुख्य डोमेन्सचा समावेश करणे आवश्यक आहे:

  • *.purple.ai
  • *.cloudfront.net
  • *.venuewifi.com

जर तुम्ही सोशल लॉगिन सक्षम करत असाल, तर तुम्ही प्रत्येक प्रदात्यासाठी OAuth डोमेन्स देखील जोडले पाहिजेत (उदा. *.facebook.com, *.google.com, *.microsoftonline.com).

पायरी ५: RADIUS अकाऊंटिंग कॉन्फिगर करा

RADIUS अकाऊंटिंग देखील ClearPass द्वारे Purple कडे प्रॉक्सी केले जात असल्याची खात्री करा. Purple हे सेशनचा कालावधी ट्रॅक करण्यासाठी आणि त्याचे WiFi Analytics डॅशबोर्ड भरण्यासाठी अकाऊंटिंग डेटा (Acct-Start, Acct-Interim-Update, Acct-Stop) वापरते. अरुबा कंट्रोलरवर अकाऊंटिंग अंतराल ५ मिनिटांवर सेट करा.

सर्वोत्तम पद्धती

मजबूत आणि सुसंगत उपयोजन सुनिश्चित करण्यासाठी, खालील उद्योग-मानक शिफारसींचे पालन करा.

  • रहदारीचे काटेकोरपणे विभाजन करा: कॉर्पोरेट संसाधनांचा कोणताही मार्ग नसलेल्या समर्पित VLAN वर गेस्ट ट्रॅफिक नेहमी ठेवा. PCI DSS आणि सामान्य नेटवर्क सुरक्षेसाठी ही एक मूलभूत आवश्यकता आहे.
  • प्रॉक्सी अकाऊंटिंग डेटा: RADIUS अकाऊंटिंगकडे दुर्लक्ष करू नका. जर अकाऊंटिंग पॅकेट्स Purple पर्यंत पोहोचले नाहीत, तर तुमचे फूटफॉल ॲनालिटिक्स आणि ड्वेल टाइम रिपोर्ट अपूर्ण राहतील.
  • WISPr सक्षम करा: अरुबा कंट्रोलरच्या captive portal प्रोफाइलवर, WISPr (Wireless Internet Service Provider roaming) सक्षम असल्याची खात्री करा. हा प्रोटोकॉल मोबाईल ऑपरेटिंग सिस्टम्सना captive portal स्वयंचलितपणे शोधण्याची आणि लॉगिन स्क्रीन अखंडपणे दाखवण्याची परवानगी देतो.
  • सचेत-निवड ऑप्ट-इन्स वापरा: GDPR चे पालन करण्यासाठी, तुमचे Purple पोर्टल मार्केटिंग कम्युनिकेशन्ससाठी आधीच टिक केलेल्या बॉक्सऐवजी किंवा गृहीत धरलेल्या संमतीऐवजी स्पष्ट ऑप्ट-इन चेकबॉक्स वापरण्यासाठी कॉन्फिगर करा [2].

त्रुटी निवारण आणि जोखीम कमी करणे

काळजीपूर्वक कॉन्फिगरेशन करूनही, इंटिग्रेशन्स अयशस्वी होऊ शकतात. येथे सर्वात सामान्य बिघाड मोड आणि ते कसे सोडवायचे ते दिले आहे.

वॉल्ड गार्डन चुकीचे कॉन्फिगरेशन

भेट देणाऱ्याच्या डिव्हाइसवर captive portal लोड होण्यात अयशस्वी झाल्यास, त्याचे कारण जवळजवळ नेहमीच वॉल्ड गार्डन असते. सोशल लॉगिन प्रदाते वारंवार त्यांच्या CDN IP श्रेणी आणि डोमेन नावे अपडेट करतात. वॉल्ड गार्डनला सतत बदलणारे कॉन्फिगरेशन समजा. जर एखादे विशिष्ट सोशल लॉगिन अयशस्वी झाले, तर डिव्हाइस कोणत्या डोमेनवर पोहोचण्याचा प्रयत्न करत आहे हे शोधण्यासाठी पॅकेट कॅप्चर वापरा आणि ते अनुमती सूचीमध्ये जोडा.

RADIUS टाइमआउट त्रुटी

बऱ्याच Aruba कंट्रोलर्सवरील डीफॉल्ट RADIUS टाइमआउट ३ सेकंद असतो. प्रॉक्सी आर्किटेक्चरमध्ये, ऑथेंटिकेशन विनंती AP कडून कंट्रोलरकडे, ClearPass कडे, इंटरनेटद्वारे Purple च्या क्लाउड इन्फ्रास्ट्रक्चरकडे आणि परत जाणे आवश्यक आहे. गर्दी असलेल्या नेटवर्कवर, ही राऊंड ट्रिप सहजपणे ३ सेकंदांपेक्षा जास्त असू शकते, ज्यामुळे कंट्रोलर विनंती नाकारू शकतो. Aruba कंट्रोलरवरील RADIUS टाइमआउट किमान १० सेकंदांपर्यंत वाढवा आणि रीट्राय लॉजिक कॉन्फिगर करा.

शेअर्ड सिक्रेट न जुळणे

सुरक्षेसाठी RADIUS शेअर्ड सिक्रेट्सवर अवलंबून असते. जर Aruba कंट्रोलर आणि ClearPass मधील, किंवा ClearPass आणि Purple मधील शेअर्ड सिक्रेट तंतोतंत जुळले नाही, तर ऑथेंटिकेशन गुपचूप अयशस्वी होईल. अभ्यागताला कोणताही अर्थपूर्ण त्रुटी संदेश दाखवला जाणार नाही. ऑथेंटिकेशन अयशस्वी होत असल्यास नेहमी हे सिक्रेट्स एकेक अक्षराने तपासून पहा.

रोल नावातील कॅपिटलायझेशन संवेदनशीलता

ClearPass द्वारे परत केलेल्या Aruba-User-Role VSA चे मूल्य Aruba कंट्रोलरवर परिभाषित केलेल्या रोल नावाशी तंतोतंत जुळले पाहिजे, ज्यामध्ये कॅपिटलायझेशनचा समावेश आहे. जर ClearPass ने guest-authenticated परत केले परंतु कंट्रोलरला Guest-Authenticated हवे असेल, तर अभ्यागत डीफॉल्ट लॉगऑन रोलवर परत जाईल आणि त्याला इंटरनेट ॲक्सेस मिळणार नाही.

ROI आणि व्यावसायिक प्रभाव

मूलभूत स्थानिक Captive Portal च्या ऐवजी Purple WiFi चा वापर केल्याने एकाधिक विभागांमध्ये मोजण्यायोग्य व्यावसायिक मूल्य निर्माण होते.

  • मार्केटिंग प्रभाव: पोर्टलद्वारे फर्स्ट-पार्टी डेटा कॅप्चर करून, ठिकाणांच्या मार्केटिंग डेटाबेसमध्ये लक्षणीय वाढ दिसून येते. उदाहरणार्थ, Harrods ने लॉयल्टी प्रोग्राम साइन-अप वाढवण्यासाठी Purple चा वापर करून ५७ पट मार्केटिंग ROI प्राप्त केला [३].
  • ऑपरेशनल कार्यक्षमता: RADIUS प्रॉक्सी आर्किटेक्चर IT वरील ऑपरेशनल भार कमी करते. सुरक्षा टीम्स सर्व नेटवर्क ॲक्सेस इव्हेंटसाठी ClearPass मध्ये एकच केंद्रीय डॅशबोर्ड (single pane of glass) व्यवस्थापित करतात, ज्यामुळे अनुपालन रिपोर्टिंग आणि ट्रबलशूटिंग सुलभ होते.
  • मॉनेटायझेशन: वाहतूक किंवा आतिथ्य क्षेत्रातील ठिकाणांसाठी, Purple स्तरित (tiered) बँडविड्थ मॉडेल्स सक्षम करते. AGS एअरपोर्ट्सने मोफत मूलभूत स्तरासोबत सशुल्क प्रीमियम WiFi स्तर लागू करून ८४२% ROI निर्माण केला [४].

हे सह-डिप्लॉयमेंट लागू करून, तुम्ही तुमच्या गेस्ट नेटवर्कला एका खर्च केंद्रातून महसूल देणाऱ्या मालमत्तेमध्ये रूपांतरित करता, आणि त्याच वेळी एंटरप्राइझ IT साठी आवश्यक असलेली कठोर सुरक्षा स्थिती राखता.

संदर्भ

[१] PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard." [२] Information Commissioner's Office (ICO). "Guide to the General Data Protection Regulation (GDPR)." [३] Purple. "Harrods Guest WiFi Case Study." [४] Purple. "AGS Airports Guest WiFi Case Study."

मुख्य परिभाषाएं

RADIUS प्रॉक्सी

एक आर्किटेक्चर जहाँ एक मध्यवर्ती सर्वर (ClearPass) नेटवर्क डिवाइस (Aruba कंट्रोलर) से प्रमाणीकरण अनुरोध प्राप्त करता है और उन्हें उपयुक्त बैकएंड सर्वर (Purple) पर अग्रेषित करता है, जिससे प्रॉक्सी को ट्रैफ़िक का निरीक्षण, लॉग या संशोधन करने की अनुमति मिलती है।

ClearPass में एकल सुरक्षा ऑडिट ट्रेल बनाए रखने के लिए उपयोग किया जाता है जबकि Purple को गेस्ट प्रमाणीकरण को संभालने की अनुमति मिलती है।

वॉल्ड गार्डन (Walled Garden)

एक सीमित वातावरण जो नेटवर्क पर पूरी तरह से प्रमाणित होने से पहले वेब सामग्री तक उपयोगकर्ता की पहुंच को नियंत्रित करता है।

Captive Portal के लिए आवश्यक; वॉल्ड गार्डन को पोर्टल के होस्टिंग डोमेन और सोशल लॉगिन प्रदाताओं तक पहुंच की अनुमति देनी चाहिए ताकि लॉगिन पेज लोड हो सके।

वेंडर-विशिष्ट विशेषता (VSA)

RADIUS प्रोटोकॉल के भीतर कस्टम डेटा फ़ील्ड जो हार्डवेयर वेंडर को मालिकाना सुविधाओं का समर्थन करने की अनुमति देते हैं जो मानक RADIUS RFC में परिभाषित नहीं हैं।

ClearPass 'Aruba-User-Role' VSA का उपयोग Aruba कंट्रोलर को सटीक रूप से यह बताने के लिए करता है कि गेस्ट उपयोगकर्ता को कौन सा फ़ायरवॉल रोल और VLAN असाइन करना है।

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने के इच्छुक उपकरणों को एक प्रमाणीकरण तंत्र प्रदान करता है।

कॉर्पोरेट उपकरणों को सुरक्षित करने के लिए ClearPass द्वारा उपयोग किया जाने वाला प्राथमिक प्रोटोकॉल, आमतौर पर प्रमाणपत्रों के साथ EAP-TLS का उपयोग करता है।

Captive Portal

एक वेब पेज जिसे सार्वजनिक-पहुंच नेटवर्क के उपयोगकर्ता को एक्सेस दिए जाने से पहले देखने और उसके साथ इंटरैक्ट करने के लिए बाध्य होना पड़ता है।

Purple आगंतुक डेटा कैप्चर करने, ब्रांडिंग प्रदर्शित करने और मार्केटिंग सहमति एकत्र करने के लिए Captive Portal इंटरफ़ेस प्रदान करता है।

MAC प्रमाणीकरण बाईपास (MAB)

एक तकनीक जो डिवाइस के MAC एड्रेस का उपयोग करके उसे नेटवर्क पर प्रमाणित करती है जब डिवाइस 802.1X सप्लीकेंट्स का समर्थन नहीं करता है।

स्मार्ट टीवी या थर्मोस्टैट्स जैसे हेडलेस IoT उपकरणों को प्रोफाइल और प्रमाणित करने के लिए ClearPass द्वारा उपयोग किया जाता है, उन्हें एक पृथक VLAN में रखता है।

डायनेमिक VLAN असाइनमेंट

किसी डिवाइस को उसके क्रेडेंशियल या भूमिका के आधार पर किसी विशिष्ट वर्चुअल लोकल एरिया नेटवर्क (VLAN) में स्वचालित रूप से असाइन करने की प्रक्रिया, न कि उस SSID के आधार पर जिससे वह जुड़ा है।

एकल भौतिक नेटवर्क इन्फ्रास्ट्रक्चर को कॉर्पोरेट, गेस्ट और IoT ट्रैफ़िक को सुरक्षित रूप से विभाजित करने की अनुमति देता है।

WISPr

वायरलेस इंटरनेट सेवा प्रदाता रोमिंग; एक प्रोटोकॉल जो उपकरणों को स्वचालित रूप से Captive Portals का पता लगाने की अनुमति देता है।

Aruba कंट्रोलर पर इसे सक्षम किया जाना चाहिए ताकि मेहमानों के WiFi से कनेक्ट होने पर मोबाइल उपकरणों पर Purple लॉगिन स्क्रीन स्वचालित रूप से पॉप अप हो जाए।

हल किए गए उदाहरण

एक 500-कमरों वाले होटल को कर्मचारियों के लिए सुरक्षित कॉर्पोरेट WiFi और मौजूदा Aruba कंट्रोलर्स और ClearPass का उपयोग करके आगंतुकों के लिए एक ब्रांडेड, डेटा-कैप्चरिंग गेस्ट Captive Portal तैनात करने की आवश्यकता है।

दो SSID तैनात करें: 'Hotel_Corp' और 'Hotel_Guest'। ClearPass के माध्यम से Active Directory के विरुद्ध 802.1X प्रमाणीकरण के लिए 'Hotel_Corp' को कॉन्फ़िगर करें, कर्मचारियों को VLAN 10 असाइन करें। 'Hotel_Guest' को एक ओपन नेटवर्क के रूप में कॉन्फ़िगर करें जो Purple Captive Portal पर रीडायरेक्ट करता है। गेस्ट SSID के लिए ClearPass को RADIUS प्रॉक्सी के रूप में सेट करें, अनुरोधों को Purple पर अग्रेषित करें। सफल Purple प्रमाणीकरण पर 'Aruba-User-Role' VSA वापस करने के लिए ClearPass को कॉन्फ़िगर करें, मेहमानों को एक पृथक VLAN 20 असाइन करें।

परीक्षक की टिप्पणी: यह दृष्टिकोण कॉर्पोरेट और गेस्ट ट्रैफ़िक को पूरी तरह से अलग करता है, जिससे PCI DSS आवश्यकताओं को पूरा किया जा सके। यह 802.1X में अपनी ताकत के लिए ClearPass का लाभ उठाता है, जबकि गेस्ट पोर्टल और एनालिटिक्स को Purple पर आउटसोर्स करता है, जिससे दो अलग-अलग NAC समाधानों की आवश्यकता समाप्त हो जाती है।

आगंतुक गेस्ट SSID से जुड़ रहे हैं, लेकिन उनके उपकरणों पर Purple Captive Portal पेज लोड होने में विफल हो रहा है।

Aruba कंट्रोलर पर वॉल्ड गार्डन (walled garden) कॉन्फ़िगरेशन की समीक्षा करें और उसे अपडेट करें। सुनिश्चित करें कि Purple के मुख्य डोमेन (*.purple.ai, *.cloudfront.net, *.venuewifi.com) स्पष्ट रूप से स्वीकृत हैं। यदि सोशल लॉगिन सक्षम है, तो सत्यापित करें कि सभी आवश्यक OAuth डोमेन (जैसे, *.facebook.com, *.google.com) भी प्री-ऑथेंटिकेशन अनुमति सूची में शामिल हैं।

परीक्षक की टिप्पणी: वॉल्ड गार्डन का गलत कॉन्फ़िगरेशन Captive Portal विफलताओं का सबसे आम कारण है। नेटवर्क पर पूरी तरह से प्रमाणित होने से पहले उपकरणों को पोर्टल होस्टिंग इन्फ्रास्ट्रक्चर और CDN तक पहुँचने में सक्षम होना चाहिए।

अभ्यास प्रश्न

Q1. आपने Purple को गेस्ट ऑथेंटिकेशन प्रॉक्सी करने के लिए ClearPass को कॉन्फ़िगर किया है। गेस्ट Purple पोर्टल पर सफलतापूर्वक ऑथेंटिकेट हो जाता है, लेकिन Aruba कंट्रोलर उन्हें इच्छित 'guest-access' रोल के बजाय बिना इंटरनेट एक्सेस वाले डिफॉल्ट 'logon' रोल में रख देता है। सबसे संभावित कॉन्फ़िगरेशन त्रुटि क्या है?

संकेत: जांचें कि ClearPass कंट्रोलर को वापस रोल असाइनमेंट कैसे सूचित करता है।

मॉडल उत्तर देखें

रोल नाम की केस संवेदनशीलता (case sensitivity) मेल नहीं खा रही है। ClearPass द्वारा लौटाए गए Aruba-User-Role VSA का मान Aruba कंट्रोलर पर परिभाषित रोल नाम से बिल्कुल मेल खाना चाहिए। यदि कोई टाइपो या केस बेमेल है (जैसे, 'Guest-Access' बनाम 'guest-access'), तो कंट्रोलर रोल को नहीं पहचानेगा और उपयोगकर्ता को डिफॉल्ट प्रतिबंधित स्थिति में डाल देगा।

Q2. एक रिटेल चेन गेस्ट एनालिटिक्स के लिए Purple WiFi तैनात करना चाहती है, लेकिन उनकी सुरक्षा टीम का कहना है कि अनुपालन के लिए सभी नेटवर्क ऑथेंटिकेशन इवेंट उनके मौजूदा Aruba ClearPass सिस्टम में केंद्रीय रूप से लॉग किए जाने चाहिए। आर्किटेक्चर को कैसे डिज़ाइन किया जाना चाहिए?

संकेत: विचार करें कि एक्सेस पॉइंट्स, ClearPass और Purple के बीच RADIUS ट्रैफ़िक कैसे प्रवाहित होता है।

मॉडल उत्तर देखें

एक RADIUS प्रॉक्सी आर्किटेक्चर लागू करें। Aruba कंट्रोलर्स को सभी RADIUS अनुरोधों को ClearPass पर भेजने के लिए कॉन्फ़िगर करें। ClearPass में, एक रूटिंग पॉलिसी बनाएं जो गेस्ट SSID से अनुरोधों को Purple के क्लाउड RADIUS सर्वर पर फॉरवर्ड करे। यह सुनिश्चित करता है कि Purple गेस्ट पोर्टल और एनालिटिक्स को संभालता है, जबकि ClearPass सभी ऑथेंटिकेशन इवेंट का एक पूर्ण, केंद्रीकृत ऑडिट ट्रेल बनाए रखता है।

Q3. एकीकरण को तैनात करने के बाद, मार्केटिंग टीम रिपोर्ट करती है कि Purple एनालिटिक्स डैशबोर्ड विज़िटर के 'ड्वेल टाइम' के लिए शून्य डेटा दिखा रहा है, भले ही गेस्ट सफलतापूर्वक कनेक्ट हो रहे हैं और इंटरनेट का उपयोग कर रहे हैं। कौन सा कॉन्फ़िगरेशन चरण छूट गया था?

संकेत: ड्वेल टाइम (Dwell time) की गणना के लिए केवल शुरुआती ऑथेंटिकेशन ही नहीं, बल्कि सेशन की स्थिति के बारे में लगातार अपडेट की आवश्यकता होती है।

मॉडल उत्तर देखें

RADIUS अकाउंटिंग को Purple पर प्रॉक्सी नहीं किया जा रहा है। हालांकि ऑथेंटिकेशन प्रॉक्सी उपयोगकर्ताओं को नेटवर्क पर आने की अनुमति देता है, लेकिन सेशन की अवधि और ड्वेल टाइम की गणना करने के लिए Purple को RADIUS अकाउंटिंग पैकेट (Acct-Start, Acct-Interim-Update, Acct-Stop) की आवश्यकता होती है। आपको यह सुनिश्चित करना होगा कि ClearPass को Purple पर अकाउंटिंग डेटा प्रॉक्सी करने के लिए कॉन्फ़िगर किया गया है, और कंट्रोलर को अंतरिम अपडेट (जैसे, हर 5 मिनट में) भेजने के लिए सेट किया गया है।

इस श्रृंखला में आगे पढ़ें

Server RADIUS: व्यवसायों के लिए एक व्यापक गाइड

यह गाइड IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTOs को एंटरप्राइज WiFi के लिए server RADIUS प्रमाणीकरण पर एक निश्चित तकनीकी संदर्भ प्रदान करती है। इसमें AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP विधि चयन, क्लाउड बनाम ऑन-प्रिमाइसेस डिप्लॉयमेंट के बीच समझौता, और डायनेमिक VLAN असाइनमेंट शामिल हैं। हॉस्पिटैलिटी, रिटेल, इवेंट्स और सार्वजनिक क्षेत्र के वेन्यू ऑपरेटरों को इसमें व्यावहारिक कार्यान्वयन मार्गदर्शन, वास्तविक दुनिया के केस स्टडीज और असुरक्षित प्री-शेयर्ड कीज़ से एक सुरक्षित, पहचान-आधारित नेटवर्क एक्सेस कंट्रोल आर्किटेक्चर पर माइग्रेट करने के लिए आवश्यक निर्णय फ्रेमवर्क मिलेंगे।

गाइड पढ़ें →

Cisco ISE बनाम Purple WiFi: वे कैसे तुलना करते हैं और एक साथ कैसे काम करते हैं

यह मार्गदर्शिका बताती है कि कैसे Cisco ISE और Purple WiFi एंटरप्राइज़ नेटवर्क में अलग लेकिन पूरक भूमिकाएं निभाते हैं। यह विवरण देता है कि सुरक्षित 802.1X कॉर्पोरेट एक्सेस के लिए Cisco ISE का उपयोग कैसे करें, जबकि GDPR-अनुरूप अतिथि WiFi, मार्केटिंग एनालिटिक्स और CRM एकीकरण के लिए Purple का लाभ उठाएं।

गाइड पढ़ें →

EAP-TLS बनाम EAP-TTLS: आपको कौन सा सर्टिफिकेट-आधारित WiFi प्रोटोकॉल चुनना चाहिए?

यह गाइड IEEE 802.1X के तहत एंटरप्राइज WiFi ऑथेंटिकेशन के लिए EAP-TLS और EAP-TTLS की एक निश्चित और सीधी तुलना प्रदान करता है। यह म्यूचुअल सर्टिफिकेट ऑथेंटिकेशन और सर्वर-ओनली सर्टिफिकेट टनलिंग के बीच आर्किटेक्चरल अंतर को समझाता है, और IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CISOs को डिवाइस प्रबंधन क्षमताओं और अनुपालन आवश्यकताओं के आधार पर एक स्पष्ट निर्णय ढांचा देता है। Purple स्टाफ WiFi के लिए EAP-TLS और EAP-TTLS दोनों ऑथेंटिकेशन पाथ का समर्थन करता है, और यह गाइड संगठनों को किसी भी दृष्टिकोण को अपनाने से पहले इंफ्रास्ट्रक्चर के समझौतों को समझने में मदद करता है।

गाइड पढ़ें →