Aruba ClearPass बनाम Purple WiFi: सुविधाओं और सह-तैनाती की तुलना
Aruba ClearPass और Purple WiFi के सह-तैनाती आर्किटेक्चर का विवरण देने वाली एक व्यापक तकनीकी गाइड। इसमें RADIUS प्रॉक्सी कॉन्फ़िगरेशन, डायनेमिक VLAN असाइनमेंट, और एंटरप्राइज़ NAC के साथ सुरक्षित, एनालिटिक्स-संचालित अतिथि नेटवर्क प्रदान करने के सर्वोत्तम अभ्यास शामिल हैं।
इस गाइड को सुनें
पॉडकास्ट ट्रांसक्रिप्ट देखें
- कार्यकारी सारांश
- तकनीकी गहन विश्लेषण
- मुख्य आर्किटेक्चर
- RADIUS प्रॉक्सी प्रवाह
- डायनेमिक भूमिका-आधारित VLAN असाइनमेंट
- कार्यान्वयन गाइड
- चरण 1: ClearPass में Purple RADIUS सर्वर कॉन्फ़िगर करें
- चरण 2: एक RADIUS राउटिंग पॉलिसी बनाएं
- चरण 3: अतिथि सेवा को परिभाषित करें
- चरण 4: कंट्रोलर पर वॉल्ड गार्डन कॉन्फ़िगर करें
- चरण 5: RADIUS अकाउंटिंग कॉन्फ़िगर करें
- सर्वोत्तम अभ्यास
- समस्या निवारण और जोखिम न्यूनीकरण
- वॉल्ड गार्डन गलत कॉन्फ़िगरेशन
- RADIUS टाइमआउट त्रुटियां
- साझा रहस्य बेमेल
- भूमिका नाम केस संवेदनशीलता
- ROI और व्यावसायिक प्रभाव
- संदर्भ

कार्यकारी सारांश
HPE Aruba इन्फ्रास्ट्रक्चर में भारी निवेश करने वाले एंटरप्राइज़ परिवेशों के लिए, एक सहज, डेटा-समृद्ध अतिथि WiFi अनुभव प्रदान करते हुए जटिल नेटवर्क एक्सेस नीतियों को प्रबंधित करना एक महत्वपूर्ण आर्किटेक्चरल चुनौती पेश करता है। जबकि Aruba ClearPass पॉलिसी मैनेजर कॉर्पोरेट उपकरणों के लिए नेटवर्क एक्सेस कंट्रोल (NAC) और 802.1X सुरक्षा में उत्कृष्ट है, इसके अंतर्निहित कैप्टिव पोर्टल में अक्सर आधुनिक स्थानों के लिए आवश्यक उन्नत मार्केटिंग ऑटोमेशन और एनालिटिक्स की कमी होती है। यह गाइड विवरण देती है कि Purple WiFi को ClearPass के साथ कैसे एकीकृत किया जाए, जिससे प्रत्येक प्लेटफ़ॉर्म अपनी मुख्य शक्तियों पर ध्यान केंद्रित कर सके।
ClearPass को RADIUS प्रॉक्सी के रूप में तैनात करके, आप कॉर्पोरेट और IoT उपकरणों के लिए एक एकीकृत सुरक्षा ऑडिट ट्रेल और डायनेमिक VLAN असाइनमेंट बनाए रखते हैं, जबकि अतिथि ऑनबोर्डिंग अनुभव को Purple पर स्थानांतरित कर देते हैं। यह दृष्टिकोण GDPR-अनुपालन वाले फर्स्ट-पार्टी डेटा कैप्चर, विस्तृत फुटफॉल एनालिटिक्स और 400 से अधिक मार्केटिंग कनेक्टर्स के साथ एकीकरण को सक्षम बनाता है—वह भी आपके मौजूदा Aruba NAC निवेश को बदले बिना। यह दस्तावेज़ इस सह-तैनाती के लिए तकनीकी खाका प्रदान करता है, जिसमें आर्किटेक्चर, कॉन्फ़िगरेशन वर्कफ़्लो और सर्वोत्तम अभ्यास शामिल हैं।
तकनीकी गहन विश्लेषण
Aruba ClearPass और Purple WiFi का एकीकरण मानक RADIUS प्रोटोकॉल और HTTP रीडायरेक्ट तंत्र पर निर्भर करता है, जो एक RADIUS प्रॉक्सी आर्किटेक्चर के आसपास संरचित है। यह डिज़ाइन यह सुनिश्चित करता है कि ClearPass सभी नेटवर्क एक्सेस के लिए केंद्रीय नीति निर्णय बिंदु बना रहे, जबकि Purple अतिथि-सामने वाले कैप्टिव पोर्टल और डेटा संग्रह को प्रबंधित करता है।
मुख्य आर्किटेक्चर
एक मानक सह-तैनाती में, आपके Aruba मोबिलिटी कंट्रोलर या Aruba इंस्टेंट एक्सेस पॉइंट कई SSID प्रसारित करते हैं। एक विशिष्ट डिज़ाइन पैटर्न, जैसा कि सभी पर राज करने के लिए तीन SSID: अतिथि, कर्मचारियों और IoT के लिए WiFi डिज़ाइन में विस्तृत है, तीन समर्पित नेटवर्क का उपयोग करता है:
- कॉर्पोरेट SSID: EAP-TLS के साथ 802.1X का उपयोग करता है। उपकरण ClearPass ऑनबोर्ड के माध्यम से प्रावधानित प्रमाणपत्रों का उपयोग करके प्रमाणित होते हैं। ClearPass डिवाइस की स्थिति का आकलन करता है, Microsoft Entra ID या एक्टिव डायरेक्ट्री से पूछताछ करता है, और डिवाइस को कॉर्पोरेट VLAN (जैसे, VLAN 10) में असाइन करता है। Purple इस प्रवाह में शामिल नहीं है।
- IoT SSID: मैक ऑथेंटिकेशन बाईपास (MAB) का उपयोग करता है। ClearPass डिवाइस को उसके ऑर्गनाइजेशनली यूनिक आइडेंटिफायर (OUI) का उपयोग करके प्रोफाइल करता है और इसे बिना इंटरनेट एक्सेस वाले एक अलग IoT VLAN (जैसे, VLAN 30) में असाइन करता है।
- अतिथि SSID: एक खुला या ऑपर्च्यूनिस्टिक वायरलेस एन्क्रिप्शन (OWE) नेटवर्क जो Purple कैप्टिव पोर्टल को ट्रिगर करता है।

RADIUS प्रॉक्सी प्रवाह
जब कोई विज़िटर अतिथि SSID से जुड़ता है और ब्राउज़र खोलता है, तो Aruba कंट्रोलर HTTP ट्रैफ़िक को रोकता है और सत्र को Purple कैप्टिव पोर्टल URL पर रीडायरेक्ट करता है। विज़िटर सोशल लॉगिन, कस्टम फ़ॉर्म या OpenRoaming (जहाँ Purple Connect प्लान के तहत एक मुफ्त पहचान प्रदाता के रूप में कार्य करता है) का उपयोग करके Purple के माध्यम से प्रमाणित होता है।
एक बार जब Purple विज़िटर को सत्यापित कर लेता है, तो यह एक RADIUS Access-Accept संदेश भेजता है। हालाँकि, Aruba कंट्रोलर द्वारा सीधे Purple के क्लाउड RADIUS सर्वर से संपर्क करने के बजाय, ClearPass को RADIUS प्रॉक्सी के रूप में एकीकृत किया जाता है:
- Aruba कंट्रोलर सभी RADIUS अनुरोधों को ClearPass पर भेजता है।
- ClearPass अपनी सेवा नियमों के विरुद्ध अनुरोध का मूल्यांकन करता है। यदि अनुरोध अतिथि SSID (जो
Called-Station-Idया NAS पहचानकर्ता द्वारा पहचाना जाता है) से मेल खाता है, तो RADIUS राउटिंग पॉलिसी अनुरोध को Purple के RADIUS सर्वर पर अग्रेषित करती है। - Purple एक Access-Accept संदेश के साथ प्रतिक्रिया देता है।
- ClearPass इस प्रतिक्रिया को प्राप्त करता है और अपनी स्वयं की प्रवर्तन नीति लागू करता है, कंट्रोलर को अंतिम प्रतिक्रिया अग्रेषित करने से पहले विशिष्ट वेंडर-विशिष्ट विशेषताओं (VSAs) को जोड़ता है।
डायनेमिक भूमिका-आधारित VLAN असाइनमेंट
इस आर्किटेक्चर में मुख्य VSA Aruba-User-Role है। जब ClearPass कंट्रोलर को Access-Accept संदेश अग्रेषित करता है, तो इसमें यह विशेषता शामिल होती है ताकि यह सटीक रूप से परिभाषित किया जा सके कि विज़िटर को वायरलेस नेटवर्क पर क्या भूमिका निभानी चाहिए।
उदाहरण के लिए, ClearPass Aruba-User-Role = guest-authenticated वापस कर सकता है। Aruba कंट्रोलर पर, यह भूमिका VLAN 20 पर मैप की जाती है, जिसे फ़ायरवॉल नीतियों के साथ कॉन्फ़िगर किया गया है जो इंटरनेट एक्सेस की अनुमति देती हैं लेकिन आंतरिक कॉर्पोरेट सबनेट पर राउटिंग को ब्लॉक करती हैं। यह विभाजन PCI-DSS [1] जैसे मानकों के अनुपालन के लिए आवश्यक है।

कार्यान्वयन गाइड
इस आर्किटेक्चर को तैनात करने के लिए Aruba इन्फ्रास्ट्रक्चर और ClearPass दोनों पर सटीक कॉन्फ़िगरेशन की आवश्यकता होती है। एकीकरण स्थापित करने के लिए इन वेंडर-तटस्थ चरणों का पालन करें।
चरण 1: ClearPass में Purple RADIUS सर्वर कॉन्फ़िगर करें
ClearPass में Configuration > Network > Devices पर जाएं और Purple के प्राथमिक और द्वितीयक RADIUS सर्वर को नेटवर्क डिवाइस के रूप में जोड़ें। आपको अपने Purple वेन्यू कॉन्फ़िगरेशन डैशबोर्ड में प्रदान किए गए IP पते और साझा रहस्य की आवश्यकता होगी।
चरण 2: एक RADIUS राउटिंग पॉलिसी बनाएं
ClearPass में एक नई RADIUS राउटिंग पॉलिसी बनाएं। यह नीति निर्धारित करेगी कि किन परिस्थितियों में अनुरोधों को Purple पर प्रॉक्सी किया जाता है। प्राथमिक और बैकअप गंतव्यों को उन Purple RADIUS सर्वरों पर सेट करें जिन्हें आपने चरण 1 में कॉन्फ़िगर किया था।
चरण 3: अतिथि सेवा को परिभाषित करें
अतिथि प्रमाणीकरण के लिए ClearPass में एक नई सेवा बनाएं।
- प्रकार: RADIUS Enforcement (Generic)
- सेवा नियम: आपके अतिथि SSID नाम वाले
Radius:IETF:Called-Station-Idका मिलान करें। - राउटिंग पॉलिसी: चरण 2 में बनाई गई नीति का चयन करें।
- प्रवर्तन नीति: Aruba कंट्रोलर पर आपकी अतिथि भूमिका के अनुरूप मान के साथ
Aruba-User-RoleVSA वापस करने के लिए एक नीति कॉन्फ़िगर करें।
चरण 4: कंट्रोलर पर वॉल्ड गार्डन कॉन्फ़िगर करें
वॉल्ड गार्डन उन डोमेन की एक सूची है जिन्हें कोई डिवाइस प्रमाणीकरण से पहले एक्सेस कर सकता है। इसे Aruba कंट्रोलर पर (या ArubaOS 10 में एक्सेस नियमों के माध्यम से) कॉन्फ़िगर किया जाता है। आपको Purple के मुख्य डोमेन शामिल करने होंगे:
*.purple.ai*.cloudfront.net*.venuewifi.com
यदि आप सोशल लॉगिन सक्षम कर रहे हैं, तो आपको प्रत्येक प्रदाता के लिए OAuth डोमेन भी जोड़ने होंगे (जैसे *.facebook.com, *.google.com, *.microsoftonline.com)।
चरण 5: RADIUS अकाउंटिंग कॉन्फ़िगर करें
सुनिश्चित करें कि RADIUS अकाउंटिंग को भी ClearPass के माध्यम से Purple पर प्रॉक्सी किया जा रहा है। Purple सत्र की अवधि को ट्रैक करने और अपने WiFi एनालिटिक्स डैशबोर्ड को पॉप्युलेट करने के लिए अकाउंटिंग डेटा (Acct-Start, Acct-Interim-Update, Acct-Stop) का उपयोग करता है। Aruba कंट्रोलर पर अकाउंटिंग अंतराल को 5 मिनट पर सेट करें।
सर्वोत्तम अभ्यास
एक मजबूत और सुसंगत तैनाती सुनिश्चित करने के लिए, इन उद्योग-मानक सिफारिशों का पालन करें।
- ट्रैफ़िक को कड़ाई से अलग करें: अतिथि ट्रैफ़िक को हमेशा एक समर्पित VLAN पर रखें जिसमें कॉर्पोरेट संसाधनों का कोई मार्ग न हो। यह PCI-DSS और सामान्य नेटवर्क सुरक्षा के लिए एक बुनियादी आवश्यकता है।
- प्रॉक्सी अकाउंटिंग डेटा: RADIUS अकाउंटिंग की उपेक्षा न करें। यदि अकाउंटिंग पैकेट Purple तक नहीं पहुंचते हैं, तो आपके फुटफॉल एनालिटिक्स और ड्वेल टाइम रिपोर्ट अधूरे रहेंगे।
- WISPr सक्षम करें: Aruba कंट्रोलर के कैप्टिव पोर्टल प्रोफाइल पर, सुनिश्चित करें कि WISPr (Wireless Internet Service Provider roaming) सक्षम है। यह प्रोटोकॉल मोबाइल ऑपरेटिंग सिस्टम को स्वचालित रूप से कैप्टिव पोर्टल का पता लगाने और लॉगिन स्क्रीन को सहजता से प्रदर्शित करने की अनुमति देता है।
- सक्रिय-विकल्प ऑप्ट-इन का उपयोग करें: GDPR अनुपालन के लिए, अपने Purple पोर्टल को मार्केटिंग संचार के लिए पहले से टिक किए गए बॉक्स या मानी गई सहमति के बजाय स्पष्ट ऑप्ट-इन चेकबॉक्स का उपयोग करने के लिए कॉन्फ़िगर करें [2]।
समस्या निवारण और जोखिम न्यूनीकरण
सावधानीपूर्वक कॉन्फ़िगरेशन के बावजूद, एकीकरण विफल हो सकते हैं। यहाँ सबसे आम विफलता मोड और उन्हें हल करने के तरीके दिए गए हैं।
वॉल्ड गार्डन गलत कॉन्फ़िगरेशन
यदि किसी विज़िटर के डिवाइस पर कैप्टिव पोर्टल लोड होने में विफल रहता है, तो इसका मूल कारण लगभग हमेशा वॉल्ड गार्डन होता है। सोशल लॉगिन प्रदाता अक्सर अपने CDN IP रेंज और डोमेन नाम अपडेट करते हैं। वॉल्ड गार्डन को लगातार बदलते कॉन्फ़िगरेशन के रूप में मानें। यदि कोई विशिष्ट सोशल लॉगिन विफल हो जाता, तो यह पहचान करने के लिए पैकेट कैप्चर का उपयोग करें कि डिवाइस किस डोमेन तक पहुंचने का प्रयास कर रहा है और इसे अनुमत सूची में जोड़ें।
RADIUS टाइमआउट त्रुटियां
अधिकांश Aruba कंट्रोलर पर डिफ़ॉल्ट RADIUS टाइमआउट 3 सेकंड है। एक प्रॉक्सी आर्किटेक्चर में, प्रमाणीकरण अनुरोध को AP से कंट्रोलर, ClearPass, इंटरनेट पर Purple के क्लाउड इन्फ्रास्ट्रक्चर और वापस यात्रा करनी होती है। एक भीड़भाड़ वाले नेटवर्क पर, यह राउंड ट्रिप आसानी से 3 सेकंड से अधिक हो सकती है, जिससे कंट्रोलर अनुरोध को छोड़ देता है। Aruba कंट्रोलर पर RADIUS टाइमआउट को कम से कम 10 सेकंड तक बढ़ाएं और पुनः प्रयास तर्क को कॉन्फ़िगर करें।
साझा रहस्य बेमेल
RADIUS सुरक्षा के लिए साझा रहस्यों पर निर्भर करता है। यदि Aruba कंट्रोलर और ClearPass, या ClearPass और Purple के बीच साझा रहस्य बिल्कुल मेल नहीं खाता है, तो प्रमाणीकरण चुपचाप विफल हो जाएगा। विज़िटर को कोई सार्थक त्रुटि संदेश नहीं दिखाया जाएगा। यदि प्रमाणीकरण विफल हो रहा है, तो हमेशा इन रहस्यों को एक-एक अक्षर करके सत्यापित करें।
भूमिका नाम केस संवेदनशीलता
ClearPass द्वारा लौटाए गए Aruba-User-Role VSA का मान केस सहित Aruba कंट्रोलर पर परिभाषित भूमिका नाम से बिल्कुल मेल खाना चाहिए। यदि ClearPass guest-authenticated लौटाता है लेकिन कंट्रोलर Guest-Authenticated की अपेक्षा करता है, तो विज़िटर डिफ़ॉल्ट लॉगऑन भूमिका पर वापस आ जाएगा और उसे इंटरनेट एक्सेस नहीं मिलेगा।
ROI और व्यावसायिक प्रभाव
एक बुनियादी स्थानीय कैप्टिव पोर्टल के बजाय Purple WiFi को तैनात करना कई विभागों में मापने योग्य व्यावसायिक मूल्य प्रदान करता।
- मार्केटिंग प्रभाव: पोर्टल के माध्यम से फर्स्ट-पार्टी डेटा कैप्चर करके, स्थानों को उनके मार्केटिंग डेटाबेस में महत्वपूर्ण वृद्धि दिखाई देती है। उदाहरण के लिए, Harrods ने लॉयल्टी प्रोग्राम साइन-अप को बढ़ावा देने के लिए Purple का उपयोग करके 57 गुना मार्केटिंग ROI हासिल किया [3]।
- परिचालन दक्षता: RADIUS प्रॉक्सी आर्किटेक्चर IT पर परिचालन बोझ को कम करता है। सुरक्षा टीमें सभी नेटवर्क एक्सेस इवेंट्स के लिए ClearPass में एक सिंगल पेन ऑफ़ ग्लास बनाए रखती हैं, जिससे अनुपालन रिपोर्टिंग और समस्या निवारण सरल हो जाता है।
- मुद्रीकरण: परिवहन या आतिथ्य क्षेत्रों के स्थानों के लिए, Purple टियर वाले बैंडविड्थ मॉडल को सक्षम बनाता है। AGS Airports ने एक मुफ्त बुनियादी टियर के साथ एक सशुल्क प्रीमियम WiFi टियर लागू करके 842% ROI उत्पन्न किया [4]।
इस सह-तैनाती को लागू करके, आप एंटरप्राइज़ IT के लिए आवश्यक कठोर सुरक्षा स्थिति को बनाए रखते हुए, अपने अतिथि नेटवर्क को एक लागत केंद्र से राजस्व उत्पन्न करने वाली संपत्ति में बदल देते हैं।
संदर्भ
[1] PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard." [2] Information Commissioner's Office (ICO). "Guide to the General Data Protection Regulation (GDPR)." [3] Purple. "Harrods Guest WiFi Case Study." [4] Purple. "AGS Airports Guest WiFi Case Study."
मुख्य परिभाषाएं
RADIUS प्रॉक्सी
एक आर्किटेक्चर जहां एक मध्यवर्ती सर्वर (ClearPass) एक नेटवर्क डिवाइस (Aruba कंट्रोलर) से प्रमाणीकरण अनुरोध प्राप्त करता है और उन्हें उपयुक्त बैकएंड सर्वर (Purple) पर अग्रेषित करता है, जिससे प्रॉक्सी को ट्रैफ़िक का निरीक्षण करने, लॉग करने या संशोधित करने की अनुमति मिलती है।
ClearPass में एकल सुरक्षा ऑडिट ट्रेल बनाए रखने के लिए उपयोग किया जाता है जबकि Purple को अतिथि प्रमाणीकरण को संभालने की अनुमति दी जाती है.
वॉल्ड गार्डन
एक सीमित वातावरण जो नेटवर्क पर पूरी तरह से अधिकृत होने से पहले वेब सामग्री तक उपयोगकर्ता की पहुंच को नियंत्रित करता है।
कैप्टिव पोर्टल्स के लिए आवश्यक; वॉल्ड गार्डन को पोर्टल के होस्टिंग डोमेन और सोशल लॉगिन प्रदाताओं तक पहुंच की अनुमति देनी चाहिए ताकि लॉगिन पेज लोड हो सके.
वेंडर-विशिष्ट विशेषता (VSA)
RADIUS प्रोटोकॉल के भीतर कस्टम डेटा फ़ील्ड जो हार्डवेयर वेंडरों को मालिकाना सुविधाओं का समर्थन करने की अनुमति देते हैं जो मानक RADIUS RFCs में परिभाषित नहीं हैं।
ClearPass 'Aruba-User-Role' VSA का उपयोग Aruba कंट्रोलर को यह बताने के लिए करता है कि अतिथि उपयोगकर्ता को कौन सी फ़ायरवॉल भूमिका और VLAN असाइन करना है.
802.1X
पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने के इच्छुक उपकरणों को प्रमाणीकरण तंत्र प्रदान करता है।
कॉर्पोरेट उपकरणों को सुरक्षित करने के लिए ClearPass द्वारा उपयोग किया जाने वाला प्राथमिक प्रोटोकॉल, आमतौर पर प्रमाणपत्रों के साथ EAP-TLS का उपयोग करता है.
कैप्टिव पोर्टल
एक वेब पेज जिसे सार्वजनिक-पहुंच नेटवर्क के उपयोगकर्ता को एक्सेस दिए जाने से पहले देखने और बातचीत करने के लिए बाध्य किया जाता है।
Purple विज़िटर डेटा कैप्चर करने, ब्रांडिंग प्रदर्शित करने और मार्केटिंग सहमति एकत्र करने के लिए कैप्टिव पोर्टल इंटरफ़ेस प्रदान करता है.
मैक ऑथेंटिकेशन बाईपास (MAB)
एक तकनीक जो नेटवर्क पर डिवाइस को प्रमाणित करने के लिए उसके मैक पते का उपयोग करती है जब डिवाइस 802.1X सप्लीकेंट्स का समर्थन नहीं करता है।
स्मार्ट टीवी या थर्मोस्टेट जैसे हेडलेस IoT उपकरणों को प्रोफाइल और प्रमाणित करने के लिए ClearPass द्वारा उपयोग किया जाता है, जिससे उन्हें एक अलग VLAN में रखा जाता है.
डायनेमिक VLAN असाइनमेंट
किसी डिवाइस को उसके प्रमाणीकरण क्रेडेंशियल या भूमिका के आधार पर एक विशिष्ट वर्चुअल लोकल एरिया नेटवर्क (VLAN) में स्वचालित रूप से असाइन करने की प्रक्रिया, न कि उस SSID के आधार पर जिससे वह जुड़ा था।
एक एकल भौतिक नेटवर्क इन्फ्रास्ट्रक्चर को कॉर्पोरेट, अतिथि और IoT ट्रैफ़िक को सुरक्षित रूप से विभाजित करने की अनुमति देता है.
WISPr
वायरलेस इंटरनेट सर्विस प्रोवाइडर रोमिंग; एक प्रोटोकॉल जो उपकरणों को स्वचालित रूप से कैप्टिव पोर्टल्स का पता लगाने की अनुमति देता है।
Aruba कंट्रोलर पर सक्षम होना चाहिए ताकि अतिथि WiFi से कनेक्ट करते समय मोबाइल डिवाइस स्वचालित रूप से Purple लॉगिन स्क्रीन पॉप अप करें.
हल किए गए उदाहरण
एक 500-कमरों वाले होटल को मौजूदा Aruba कंट्रोलर और ClearPass का उपयोग करके कर्मचारियों के लिए सुरक्षित कॉर्पोरेट WiFi और विज़िटर्स के लिए एक ब्रांडेड, डेटा-कैप्चरिंग अतिथि पोर्टल तैनात करने की आवश्यकता है।
दो SSID तैनात करें: 'Hotel_Corp' और 'Hotel_Guest'। ClearPass के माध्यम से एक्टिव डायरेक्ट्री के विरुद्ध 802.1X प्रमाणीकरण के लिए 'Hotel_Corp' को कॉन्फ़िगर करें, कर्मचारियों को VLAN 10 असाइन करें। 'Hotel_Guest' को एक खुले नेटवर्क के रूप में कॉन्फ़िगर करें जो Purple कैप्टिव पोर्टल पर रीडायरेक्ट करता है। अतिथि SSID के लिए ClearPass को RADIUS प्रॉक्सी के रूप में सेट करें, अनुरोधों को Purple पर अग्रेषित करें। सफल Purple प्रमाणीकरण पर 'Aruba-User-Role' VSA वापस करने के लिए ClearPass को कॉन्फ़िगर करें, मेहमानों को एक अलग VLAN 20 असाइन करें।
विज़िटर अतिथि SSID से जुड़ रहे हैं, लेकिन उनके उपकरणों पर Purple कैप्टिव पोर्टल पेज लोड होने में विफल हो रहा है।
Aruba कंट्रोलर पर वॉल्ड गार्डन कॉन्फ़िगरेशन की समीक्षा करें और उसे अपडेट करें। सुनिश्चित करें कि Purple के मुख्य डोमेन (*.purple.ai, *.cloudfront.net, *.venuewifi.com) स्पष्ट रूप से अनुमत हैं। यदि सोशल लॉगिन सक्षम है, तो सत्यापित करें कि सभी आवश्यक OAuth डोमेन (जैसे, *.facebook.com, *.google.com) भी पूर्व-प्रमाणीकरण अनुमति सूची में शामिल हैं।
अभ्यास प्रश्न
Q1. आपने Purple पर अतिथि प्रमाणीकरण को प्रॉक्सी करने के लिए ClearPass को कॉन्फ़िगर किया है। अतिथि Purple पोर्टल पर सफलतापूर्वक प्रमाणित हो जाता है, लेकिन Aruba कंट्रोलर उन्हें इच्छित 'guest-access' भूमिका के बजाय बिना इंटरनेट एक्सेस वाली डिफ़ॉल्ट 'logon' भूमिका में रख देता है। सबसे संभावित कॉन्फ़िगरेशन त्रुटि क्या है?
संकेत: जांचें कि ClearPass रोल असाइनमेंट को वापस कंट्रोलर को कैसे सूचित करता है।
मॉडल उत्तर देखें
भूमिका नाम की केस संवेदनशीलता बेमेल है। ClearPass द्वारा लौटाए गए Aruba-User-Role VSA का मान Aruba कंट्रोलर पर परिभाषित भूमिका नाम से बिल्कुल मेल खाना चाहिए। यदि कोई टाइपो या केस बेमेल है (जैसे, 'Guest-Access' बनाम 'guest-access'), तो कंट्रोलर भूमिका को नहीं पहचानेगा और उपयोगकर्ता को डिफ़ॉल्ट प्रतिबंधित स्थिति में डाल देगा।
Q2. एक रिटेल चेन अतिथि एनालिटिक्स के लिए Purple WiFi तैनात करना चाहती है लेकिन उनकी सुरक्षा टीम का आग्रह है कि अनुपालन के लिए सभी नेटवर्क प्रमाणीकरण इवेंट्स को उनके मौजूदा Aruba ClearPass सिस्टम में केंद्रीय रूप से लॉग किया जाना चाहिए। आर्किटेक्चर को कैसे डिज़ाइन किया जाना चाहिए?
संकेत: विचार करें कि एक्सेस पॉइंट, ClearPass और Purple के बीच RADIUS ट्रैफ़िक कैसे प्रवाहित होता है।
मॉडल उत्तर देखें
एक RADIUS प्रॉक्सी आर्किटेक्चर लागू करें। सभी RADIUS अनुरोधों को ClearPass पर भेजने के लिए Aruba कंट्रोलर्स को कॉन्फ़िगर करें। ClearPass में, एक राउटिंग पॉलिसी बनाएं जो अतिथि SSID से अनुरोधों को Purple के क्लाउड RADIUS सर्वर पर अग्रेषित करे। यह सुनिश्चित करता है कि Purple अतिथि पोर्टल और एनालिटिक्स को संभाले, जबकि ClearPass सभी प्रमाणीकरण इवेंट्स का एक पूर्ण, केंद्रीकृत ऑडिट ट्रेल बनाए रखे।
Q3. एकीकरण को तैनात करने के बाद, मार्केटिंग टीम रिपोर्ट करती है कि Purple एनालिटिक्स डैशबोर्ड विज़िटर के 'ड्वेल टाइम' के लिए शून्य डेटा दिखा रहा है, भले ही मेहमान सफलतापूर्वक कनेक्ट हो रहे हैं और इंटरनेट का उपयोग कर रहे हैं। कौन सा कॉन्फ़िगरेशन चरण छूट गया था?
संकेत: ड्वेल टाइम की गणना के लिए सत्र की स्थिति के बारे में निरंतर अपडेट की आवश्यकता होती है, न कि केवल प्रारंभिक प्रमाणीकरण की।
मॉडल उत्तर देखें
RADIUS अकाउंटिंग को Purple पर प्रॉक्सी नहीं किया जा रहा है। जबकि प्रमाणीकरण प्रॉक्सी उपयोगकर्ताओं को नेटवर्क पर आने की अनुमति देता है, Purple को सत्र की अवधि और ड्वेल टाइम की गणना करने के लिए RADIUS अकाउंटिंग पैकेट (Acct-Start, Acct-Interim-Update, Acct-Stop) की आवश्यकता होती है। आपको यह सुनिश्चित करना होगा कि ClearPass को Purple पर अकाउंटिंग डेटा प्रॉक्सी करने के लिए कॉन्फ़िगर किया गया है, और कंट्रोलर को अंतरिम अपडेट (जैसे, हर 5 मिनट में) भेजने के लिए सेट किया गया है।
इस श्रृंखला में आगे पढ़ें
अतिथि और स्टाफ WiFi नेटवर्क के लिए RADIUS ऑथेंटिकेशन को कॉन्फ़िगर करना
यह तकनीकी संदर्भ गाइड एंटरप्राइज़ अतिथि और स्टाफ WiFi नेटवर्क के लिए RADIUS ऑथेंटिकेशन के आर्किटेक्चर, कॉन्फ़िगरेशन और डिप्लॉयमेंट की रूपरेखा तैयार करती है। यह नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को सुरक्षित, स्केलेबल वायरलेस एक्सेस कंट्रोल सिस्टम बनाने के लिए आवश्यक सटीक प्रोटोकॉल, सुरक्षा मानक और ट्रबलशूटिंग कार्यप्रणाली प्रदान करती है।
Passpoint और OpenRoaming: संपूर्ण गाइड
यह तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi नेटवर्क के भीतर Passpoint (हॉटस्पॉट 2.0) और WBA OpenRoaming फ्रेमवर्क का एक व्यापक विश्लेषण प्रदान करती है। यह सुरक्षित, निर्बाध अतिथि कनेक्टिविटी स्थापित करने के लिए आवश्यक बुनियादी ऑथेंटिकेशन प्रोटोकॉल, आर्किटेक्चरल घटकों और परिनियोजन रणनीतियों का विवरण देती है। नेटवर्क आर्किटेक्ट और IT लीडर्स सीखेंगे कि कैसे इन मानकों को डिज़ाइन, लागू और ट्रबलशूट किया जाए ताकि एंटरप्राइज़-ग्रेड सुरक्षा बनाए रखते हुए मैनुअल लॉगिन बाधाओं को समाप्त किया जा सके।
उच्च शिक्षा में सुरक्षित BYOD और नेटवर्क नामांकन के लिए SCEP को कैसे लागू करें
यह तकनीकी मार्गदर्शिका नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को उच्च शिक्षा परिसर नेटवर्क को सुरक्षित करने के लिए SCEP-आधारित प्रमाणपत्र नामांकन को तैनात करने के लिए एक वेंडर-न्यूट्रल ब्लूप्रिंट प्रदान करती है। यह विवरण देती है कि पासवर्ड-आधारित PEAP से 802.1X EAP-TLS पर कैसे माइग्रेट करें, BYOD ऑनबोर्डिंग को स्वचालित करें, और मजबूत VLAN सेगमेंटेशन लागू करें।