पॉडकास्ट ट्रांसक्रिप्ट देखें
Purple Technical Briefing Series में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम कुछ ऐसा कवर कर रहे हैं जो हमारे द्वारा काम किए जाने वाले लगभग हर एंटरप्राइज़ गेस्ट WiFi डिप्लॉयमेंट पर सामने आता है: Cisco Meraki MR एक्सेस पॉइंट्स पर Captive Portal को कॉन्फ़िगर करना, और विशेष रूप से RADIUS ऑथेंटिकेशन का उपयोग करके इसे Purple के क्लाउड प्लेटफ़ॉर्म के साथ कैसे एकीकृत किया जाए। चाहे आप एक MSP हों जो एक नए हॉस्पिटैलिटी क्लाइंट को शामिल कर रहे हैं या एक रिटेल चेन में इन-हाउस नेटवर्क आर्किटेक्ट हैं, यह एपिसोड आपको सटीक कॉन्फ़िगरेशन चरण और प्रत्येक के पीछे का कारण प्रदान करेगा।
आइए सीन सेट करते हैं। आपके पास एक वेन्यू है - यह एक होटल, कॉन्फ्रेंस सेंटर, स्टेडियम, या रिटेल पार्क हो सकता है - जो Meraki Dashboard के माध्यम से प्रबंधित Cisco Meraki MR एक्सेस पॉइंट्स चला रहा है। मुख्य काम एक ब्रांडेड गेस्ट WiFi अनुभव को डिप्लॉय करना है जो फ़र्स्ट-पार्टी डेटा कैप्चर करता है, सेवा की शर्तों की स्वीकृति लागू करता है, और एनालिटिक्स को वापस मार्केटिंग प्लेटफ़ॉर्म पर भेजता है। Purple को ठीक इसी काम के लिए बनाया गया है, और Meraki वैश्विक स्तर पर हमारे सबसे सामान्य हार्डवेयर डिप्लॉयमेंट में से एक है।
अब, किसी भी सेटिंग को छूने से पहले समझने योग्य मुख्य आर्किटेक्चरल बिंदु यह है: Cisco Meraki पर, स्प्लैश पेज के लिए RADIUS ऑथेंटिकेशन को एक्सेस पॉइंट द्वारा स्थानीय रूप से प्रोसेस नहीं किया जाता है। RADIUS Access-Request का सोर्स Meraki क्लाउड - यानी Dashboard इन्फ्रास्ट्रक्चर - से होता है, न कि आपके LAN पर मौजूद AP से। यह एक महत्वपूर्ण अंतर है जो कई इंजीनियरों को उनके पहले Meraki डिप्लॉयमेंट पर उलझा देता है। इसका मतलब है कि आपका RADIUS सर्वर, इस मामले में Purple का क्लाउड RADIUS एंडपॉइंट, इंटरनेट से सुलभ होना चाहिए, और आपके फ़ायरवॉल नियमों को केवल आपके स्थानीय AP सबनेट से ही नहीं, बल्कि Meraki के Dashboard IP रेंजेस से भी ट्रैफ़िक की अनुमति देनी होगी। आपको अपने Meraki Dashboard में Help, फिर Firewall Info के अंतर्गत वर्तमान Dashboard IP रेंजेस मिल जाएंगे।
ठीक है, आइए कॉन्फ़िगरेशन पर चलते हैं। मैं आपको इस क्रम में मार्गदर्शन करूँगा जिसमें आप वास्तव में इसे एक लाइव डिप्लॉयमेंट में करेंगे।
चरण एक: SSID कॉन्फ़िगरेशन। Meraki Dashboard में, Wireless, फिर Configure, फिर SSIDs पर जाएँ। उस SSID स्लॉट का चयन करें जिसे आप गेस्ट एक्सेस के लिए उपयोग करना चाहते हैं। इसे एक स्पष्ट नाम दें - जैसे GuestWiFi या VenueName अंडरस्कोर Guest। Association requirements के अंतर्गत, Security को Open, no encryption पर सेट करें। यह सही और जानबूझकर किया गया है - मेहमानों के लिए सुरक्षा लेयर Captive Portal और RADIUS ऑथेंटिकेशन द्वारा संभाली जाती है, न कि WPA एन्क्रिप्शन द्वारा। यदि आप PCI-DSS परिवेश में डिप्लॉय कर रहे हैं, तो आप यह सुनिश्चित करना चाहेंगे कि गेस्ट ट्रैफ़िक को उसके अपने VLAN पर अलग किया गया है, जिसे हम जल्द ही कवर करेंगे।चरण दो: Splash page और प्रमाणीकरण। अपने SSID के लिए Access Control पेज पर बने रहते हुए, नीचे Splash page सेक्शन पर स्क्रॉल करें। इसे "Sign-on with" पर सेट करें, और ड्रॉपडाउन से, "my RADIUS server" चुनें। यह वह महत्वपूर्ण सेटिंग है जो Meraki को नेटवर्क एक्सेस देने से पहले एक बाहरी RADIUS सर्वर के खिलाफ उपयोगकर्ताओं को प्रमाणित करने के लिए कहती है। इसके नीचे, आपको Captive portal strength विकल्प दिखाई देगा। इसे "Block all access until sign-on is complete" पर सेट करें। यही वो चीज़ है जो walled garden को लागू करती है - इसके बिना, मेहमान पोर्टल को पूरी तरह से बायपास कर सकते हैं।
चरण तीन: RADIUS सर्वर कॉन्फ़िगरेशन। RADIUS सेक्शन के तहत, Add server पर क्लिक करें। आपको अपने Purple खाते से तीन जानकारियों की आवश्यकता होगी: RADIUS सर्वर IP एड्रेस या FQDN, प्रमाणीकरण पोर्ट जो कि UDP 1812 है, और shared secret। Purple इन्हें पोर्टल के वेन्यू कॉन्फ़िगरेशन सेक्शन में प्रदान करता है। प्रोडक्शन डिप्लॉयमेंट में रिडंडेंसी के लिए, आपको एक सेकेंडरी RADIUS सर्वर जोड़ना चाहिए - Purple एक फ़ेलओवर एंडपॉइंट प्रदान करता है। यदि आप चाहते हैं कि सेशन डेटा वापस Purple के एनालिटिक्स इंजन में भेजा जाए, तो अकाउंटिंग पोर्ट को UDP 1813 पर सेट करें, जिसके लिए मैं किसी भी ऐसे वेन्यू के लिए दृढ़ता से सलाह दूंगा जहां ड्वेल टाइम और सेशन की अवधि महत्वपूर्ण मेट्रिक्स हैं।
RADIUS एट्रिब्यूट्स पर एक त्वरित नोट। Meraki, RADIUS Access-Accept रिस्पॉन्स में मिले Session-Timeout एट्रिब्यूट का सम्मान करता है। Purple इसका उपयोग यह नियंत्रित करने के लिए करता है कि पुनः प्रमाणीकरण की आवश्यकता होने से पहले एक गेस्ट सेशन कितने समय तक चलता है। किसी होटल के लिए, आप इसे 86,400 सेकंड पर सेट कर सकते हैं - यानी 24 घंटे। एक कॉफी शॉप के लिए, 3,600 सेकंड यानी एक घंटा अधिक उपयुक्त है। Idle-Timeout एट्रिब्यूट का भी सम्मान किया जाता है, लेकिन केवल तभी जब RADIUS अकाउंटिंग सक्षम हो। यह निष्क्रिय सेशन को डिस्कनेक्ट करता है, जो उच्च घनत्व वाले वेन्यू में क्षमता प्रबंधन के लिए महत्वपूर्ण है।
चरण चार: Splash page URL। Wireless, फिर Configure, और फिर Splash page पर जाएं। ड्रॉपडाउन से अपना गेस्ट SSID चुनें। Custom splash URL को अपने वेन्यू के लिए Purple पोर्टल URL पर सेट करें। यह वह URL है जिस पर Meraki अप्रमाणित क्लाइंट्स को रीडायरेक्ट करेगा। Meraki इस URL में क्वेरी पैरामीटर जोड़ता है - जिसमें एक login_url पैरामीटर भी शामिल है - जिसका उपयोग Purple प्रमाणीकरण हैंडशेक को पूरा करने के लिए करता है। इन पैरामीटर्स को संशोधित या हटाएं नहीं।
चरण पांच: walled garden। यही वह जगह है जहां अधिकांश डिप्लॉयमेंट में समस्या आती है। walled garden उन डोमेन और IP रेंज की सूची है जहां एक गेस्ट डिवाइस प्रमाणित होने से पहले पहुंच सकता है। सही प्रविष्टियों के बिना, captive portal पेज खुद लोड नहीं होगा, क्योंकि ब्राउज़र को Purple CDN और सोशल लॉगिन प्रदाताओं तक पहुंचने से ब्लॉक कर दिया जाएगा।
अपने गेस्ट SSID के लिए Access Control पर वापस जाएं। Walled garden को 'Walled garden is enabled' पर सेट करें। Walled garden ranges फ़ील्ड में, आपको निम्नलिखित जोड़ने की आवश्यकता है। पहला, Purple प्लेटफ़ॉर्म डोमेन: star dot purple dot ai, और star dot venuewifi dot com। दूसरा, CDN डोमेन जिनका उपयोग Purple पोर्टल एसेट प्रदान करने के लिए करता है: star dot cloudfront dot net, और star dot akamaihd dot net। तीसरा, Meraki रीडायरेक्ट इन्फ्रास्ट्रक्चर: star dot network-auth dot com। चौथा, यदि आप सोशल लॉगिन विकल्प दे रहे हैं, तो आपको प्रासंगिक OAuth डोमेन की आवश्यकता होगी। Google के लिए: accounts dot google dot com, star dot googleapis dot com, star dot gstatic dot com। Facebook के लिए: star dot facebook dot com, star dot fbcdn dot net, और connect dot facebook dot net। Twitter या X के लिए: star dot twitter dot com और star dot twimg dot com।
एक महत्वपूर्ण नोट कि Meraki, walled garden में वाइल्डकार्ड डोमेन को कैसे संभालता है। Meraki एस्टेरिस्क प्रीफिक्स का उपयोग करके वाइल्डकार्ड एंट्रीज का समर्थन करता है, उदाहरण के लिए star dot cloudfront dot net। हालांकि, यह एक DNS-आधारित मिलान है - Meraki डोमेन को रिज़ॉल्व करता है और परिणामी IP एड्रेस की अनुमति देता है। इसका मतलब यह है कि CloudFront या Akamai जैसे CDN प्रदाताओं के लिए, जहां रिज़ॉल्व किए गए IP अक्सर बदल सकते हैं, आपको स्टेटिक IP रेंज के बजाय डोमेन वाइल्डकार्ड का उपयोग करना चाहिए। Purple के RADIUS एंडपॉइंट्स के लिए स्टेटिक IP एंट्रीज ठीक हैं, जो स्थिर हैं, लेकिन CDN ट्रैफ़िक के लिए नहीं।
अब आइए दो वास्तविक दुनिया के परिदृश्यों के बारे में बात करते हैं जिन पर मैंने सीधे काम किया है।
पहला यूके में एक 350 कमरों का होटल है। क्लाइंट तीन इमारतों में Meraki MR46 एक्सेस पॉइंट चला रहा था, जिसमें पीक समय पर लगभग 400 समवर्ती गेस्ट डिवाइस थे। शुरुआती डिप्लॉयमेंट में क्लिक-थ्रू स्प्लैश पेज का उपयोग किया गया था - कोई RADIUS नहीं, केवल शर्तों की स्वीकृति। समस्या यह थी कि उनके पास इस बात की कोई जानकारी नहीं थी कि कौन कनेक्ट हो रहा है, कोई ईमेल कैप्चर नहीं था, और पोस्ट-स्टे मार्केटिंग कैंपेन चलाने का कोई तरीका नहीं था। हमने उन्हें RADIUS-आधारित साइन-ऑन के साथ Purple पर माइग्रेट किया। कॉन्फ़िगरेशन आसान था, लेकिन समस्या यह थी कि उनका अपस्ट्रीम फ़ायरवॉल लोकल सबनेट के बाहर किसी भी चीज़ के लिए पोर्ट 1812 पर आउटबाउंड UDP को ब्लॉक कर रहा था। जैसे ही हमने फ़ायरवॉल की अनुमति सूची में Meraki डैशबोर्ड IP रेंज को जोड़ा, ऑथेंटिकेशन ने तुरंत काम करना शुरू कर दिया। डिप्लॉयमेंट के बाद, होटल ने पहले महीने में कनेक्ट होने वाले लगभग 68 प्रतिशत मेहमानों के ईमेल एड्रेस कैप्चर किए, और उनकी मार्केटिंग टीम ने एक री-एंगेजमेंट कैंपेन चलाया जिससे डायरेक्ट बुकिंग में उल्लेखनीय वृद्धि हुई।दूसरा परिदृश्य 45 स्टोर वाली एक रिटेल चेन का है, जिसमें से प्रत्येक में Meraki MR33 एक्सेस पॉइंट चल रहे हैं। यहाँ चुनौती स्केल और निरंतरता की थी। सही RADIUS सेटिंग्स और वॉल्ड गार्डन लिस्ट के साथ मैन्युअल रूप से 45 SSIDs को कॉन्फ़िगर करना त्रुटि-प्रवण और समय लेने वाला होता। इसका समाधान Meraki के टेम्प्लेट-आधारित कॉन्फ़िगरेशन का उपयोग करना था। हमने सही SSID, RADIUS और वॉल्ड गार्डन सेटिंग्स के साथ एक सिंगल नेटवर्क टेम्प्लेट बनाया, फिर सभी 45 स्टोर नेटवर्क को उस टेम्प्लेट से बांध दिया। कोई भी बदलाव - मान लें, वॉल्ड गार्डन में एक नया सोशल लॉगिन प्रदाता जोड़ना - टेम्प्लेट में एक बार किया जाता है और सभी स्टोरों पर स्वचालित रूप से लागू हो जाता है। इसके बाद Purple के एनालिटिक्स ने सभी स्टोर्स पर फुटफॉल और ड्वेल टाइम डेटा को एकत्रित किया, जिससे रिटेल ऑपरेशंस टीम को स्टोर, क्षेत्र और दिन के समय के अनुसार गेस्ट व्यवहार का एक सिंगल डैशबोर्ड व्यू मिला।
आइए मैं आपको तीन बुनियादी नियम बताता हूँ जो आपके हर Meraki Captive Portal डिप्लॉयमेंट पर आपका समय बचाएंगे।
नियम एक: RADIUS कॉन्फ़िगर करने से पहले हमेशा Meraki डैशबोर्ड IP रेंज की जांच करें। ये रेंज समय-समय पर बदलती रहती हैं, और यदि आपका फ़ायरवॉल उन्हें ब्लॉक कर रहा है, तो उपयोगकर्ता के दृष्टिकोण से प्रमाणीकरण बिना किसी सूचना के विफल हो जाएगा - उन्हें केवल पोर्टल पेज हैंग होता हुआ दिखाई देगा। लाइव होने से पहले कनेक्टिविटी को सत्यापित करने के लिए Access Control के तहत डैशबोर्ड में अंतर्निहित RADIUS परीक्षण टूल का उपयोग करें।
नियम दो: किसी भी CDN-होस्टेड सामग्री के लिए वॉल्ड गार्डन में डोमेन वाइल्डकार्ड का उपयोग करें, न कि IP रेंज का। CDN IP रेंज बड़ी होती हैं और अक्सर बदलती रहती हैं। एक वाइल्डकार्ड डोमेन प्रविष्टि अधिक रखरखाव योग्य और अधिक विश्वसनीय है।
नियम तीन: पोर्ट 1813 पर RADIUS एकाउंटिंग सक्षम करें, भले ही आपको लगता हो कि अभी आपको इसकी आवश्यकता नहीं है। डिस्कनेक्शन समस्याओं के निवारण और आपके एनालिटिक्स प्लेटफ़ॉर्म में सटीक ड्वेल टाइम मेट्रिक्स फीड करने के लिए सेशन डेटा मूल्यवान है। इसे सक्षम करने में कुछ भी खर्च नहीं होता है और बाद में इसे वापस जोड़ना बहुत कठिन होता है।
अब, कुछ त्वरित प्रश्न जो मुझसे नियमित रूप से पूछे जाते हैं।
क्या मैं Purple के बजाय Meraki के अंतर्निहित स्प्लैश पेज का उपयोग कर सकता हूँ? हाँ, लेकिन आप डेटा कैप्चर, एनालिटिक्स, मार्केटिंग ऑटोमेशन और GDPR-अनुरूप सहमति प्रबंधन खो देते हैं। बुनियादी क्लिक-थ्रू के लिए अंतर्निहित स्प्लैश ठीक है, लेकिन यह कोई गेस्ट इंटेलिजेंस प्लेटफ़ॉर्म नहीं है।
क्या यह कॉन्फ़िगरेशन Meraki MX फ़ायरवॉल के साथ-साथ MR एक्सेस पॉइंट्स पर भी काम करता है? MR एक्सेस पॉइंट्स पर RADIUS स्प्लैश पेज कॉन्फ़िगरेशन समर्थित है। MX एप्लायंसेज क्लाइंट VPN प्रमाणीकरण को अलग तरह से संभालते हैं। विशेष रूप से गेस्ट WiFi के लिए, आप MR SSIDs को कॉन्फ़िगर कर रहे हैं।
WPA3 के बारे में क्या? Meraki MR एक्सेस पॉइंट एंटरप्राइज SSIDs पर WPA3 का समर्थन करते हैं। गेस्ट Captive Portal डिप्लॉयमेंट के लिए, SSID आमतौर पर Open होता है, इसलिए WPA3 सीधे लागू नहीं होता है। हालाँकि, यदि आप अपने Captive Portal SSID के साथ Passpoint या OpenRoaming SSID डिप्लॉय कर रहे हैं - जिसका Purple समर्थन करता है - तो वह SSID 802.1X के साथ WPA3-Enterprise का उपयोग करता है, और यहीं पर WPA3 प्रासंगिक हो जाता है।
संक्षेप में: Cisco Meraki और Purple का एकीकरण अच्छी तरह से जाँचा-परखा और विश्वसनीय है, लेकिन इसके लिए तीन चीजों पर ध्यान देना आवश्यक है: RADIUS स्रोत IP रूटिंग, वॉल्ड गार्डन (walled garden) की पूर्णता, और सेशन टाइमआउट कॉन्फ़िगरेशन। इन तीनों को सही ढंग से सेट करें और डिप्लॉयमेंट बेहद आसान हो जाता है। व्यावसायिक लाभ स्पष्ट है - जो परिसर डेटा कैप्चर के साथ ठीक से कॉन्फ़िगर किए गए गेस्ट WiFi प्लेटफ़ॉर्म को डिप्लॉय करते हैं, वे मार्केटिंग जुड़ाव और परिचालन अंतर्दृष्टि में लगातार मापने योग्य रिटर्न देखते हैं।
यदि आप अधिक विस्तार से जानना चाहते हैं, तो क्लाउड RADIUS के साथ 802.1X ऑथेंटिकेशन लागू करने पर Purple की गाइड और Purple ब्लॉग पर हमारी Cisco Wireless AP डिप्लॉयमेंट गाइड देखें। दोनों के लिंक शो नोट्स में दिए गए हैं।
सुनने के लिए धन्यवाद। यदि आपके पास कोई विशिष्ट डिप्लॉयमेंट परिदृश्य है जिसे आप चाहते हैं कि हम कवर करें, तो Purple की तकनीकी टीम से संपर्क करें। आपसे अगले एपिसोड में मुलाकात होगी।
