Cisco Meraki के लिए कैप्टिव पोर्टल

Cisco Meraki MR एक्सेस पॉइंट्स को Purple के क्लाउड कैप्टिव पोर्टल के साथ एकीकृत करने के लिए एक आधिकारिक, मध्यम-स्तरीय तकनीकी संदर्भ मार्गदर्शिका। इसमें चरण-दर-चरण Meraki Dashboard कॉन्फ़िगरेशन, RADIUS सर्वर सेटिंग्स (पोर्ट 1812/1813), walled garden वाइल्डकार्ड डोमेन अपवाद और उच्च-प्रदर्शन वाले गेस्ट WiFi डिप्लॉयमेंट के लिए सेशन टाइमआउट पैरामीटर शामिल हैं।

📖 8 मिनट का पाठ📝 1,892 शब्द🔧 2 हल किए गए उदाहरण❓ 3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें

Purple तकनीकी ब्रीफिंग श्रृंखला में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम कुछ ऐसा कवर कर रहे हैं जो हमारे द्वारा काम किए जाने वाले लगभग हर एंटरप्राइज़ गेस्ट WiFi डिप्लॉयमेंट पर सामने आता है: Cisco Meraki MR एक्सेस पॉइंट्स पर एक कैप्टिव पोर्टल को कॉन्फ़िगर करना, और विशेष रूप से RADIUS प्रमाणीकरण का उपयोग करके Purple के क्लाउड प्लेटफ़ॉर्म के साथ इसे कैसे एकीकृत किया जाए। चाहे आप एक नए हॉस्पिटैलिटी क्लाइंट को ऑनबोर्ड करने वाले MSP हों या किसी रिटेल श्रृंखला में इन-हाउस नेटवर्क आर्किटेक्ट हों, यह एपिसोड आपको सटीक कॉन्फ़िगरेशन चरण और प्रत्येक के पीछे का तर्क देगा।

आइए स्थिति को समझते हैं। आपके पास एक स्थान है — यह एक होटल, एक सम्मेलन केंद्र, एक स्टेडियम या एक रिटेल पार्क हो सकता है — जो Meraki Dashboard के माध्यम से प्रबंधित Cisco Meraki MR एक्सेस पॉइंट्स चला रहा है। संक्षिप्त विवरण एक ब्रांडेड गेस्ट WiFi अनुभव को तैनात करना है जो फर्स्ट-पार्टी डेटा को कैप्चर करता है, सेवा की शर्तों की स्वीकृति को लागू करता है, और एनालिटिक्स को वापस एक मार्केटिंग प्लेटफॉर्म में फीड करता है। Purple को ठीक इसी काम के लिए बनाया गया है, और Meraki विश्व स्तर पर हमारे सबसे आम हार्डवेयर डिप्लॉयमेंट में से एक है।

अब, एक भी सेटिंग को छूने से पहले समझने योग्य प्रमुख आर्किटेक्चरल बिंदु यह है: Cisco Meraki पर, स्प्लैश पेज के लिए RADIUS प्रमाणीकरण स्थानीय रूप से एक्सेस पॉइंट द्वारा संसाधित नहीं किया जाता है। RADIUS Access-Request Meraki क्लाउड से — डैशबोर्ड इन्फ्रास्ट्रक्चर से — प्राप्त होता है, न कि आपके LAN पर मौजूद AP से। यह एक महत्वपूर्ण अंतर है जो बहुत से इंजीनियरों को उनके पहले Meraki डिप्लॉयमेंट पर भ्रमित करता है। इसका मतलब है कि आपका RADIUS सर्वर, इस मामले में Purple का क्लाउड RADIUS एंडपॉइंट, इंटरनेट से सुलभ होना चाहिए, और आपके फ़ायरवॉल नियमों को केवल आपके स्थानीय AP सबनेट से ही नहीं, बल्कि Meraki के डैशबोर्ड IP श्रेणियों से ट्रैफ़िक की अनुमति देनी होगी। आपको वर्तमान डैशबोर्ड IP श्रेणियां आपके Meraki Dashboard में Help, फिर Firewall Info के अंतर्गत मिलेंगी।

ठीक है, आइए कॉन्फ़िगरेशन में आते हैं। मैं आपको इस क्रम में मार्गदर्शन करूँगा जिसमें आप वास्तव में इसे एक लाइव डिप्लॉयमेंट में करेंगे।

चरण एक: SSID कॉन्फ़िगरेशन। Meraki Dashboard में, Wireless, फिर Configure, फिर SSIDs पर जाएं। उस SSID स्लॉट का चयन करें जिसका उपयोग आप गेस्ट एक्सेस के लिए करना चाहते हैं। इसे एक स्पष्ट नाम दें — जैसे GuestWiFi या VenueName अंडरस्कोर Guest। Association requirements के अंतर्गत, Security को Open, no encryption पर सेट करें। यह सही और जानबूझकर किया गया है — मेहमानों के लिए सुरक्षा परत कैप्टिव पोर्टल और RADIUS प्रमाणीकरण द्वारा संभाली जाती है, न कि WPA एन्क्रिप्शन द्वारा। यदि आप PCI DSS वातावरण में तैनात कर रहे हैं, तो आप यह सुनिश्चित करना चाहेंगे कि गेस्ट ट्रैफ़िक अपने स्वयं के VLAN पर अलग हो, जिसे हम जल्द ही कवर करेंगे।

चरण दो: स्प्लैश पेज और प्रमाणीकरण। अभी भी अपने SSID के लिए Access Control पेज पर, Splash page अनुभाग पर नीचे स्क्रॉल करें। इसे Sign-on with पर सेट करें, और ड्रॉपडाउन से, my RADIUS server चुनें। यह वह महत्वपूर्ण सेटिंग है जो Meraki को नेटवर्क एक्सेस देने से पहले एक बाहरी RADIUS सर्वर के खिलाफ उपयोगकर्ताओं को प्रमाणित करने के लिए कहती है। उसके नीचे, आप Captive portal strength विकल्प देखेंगे। इसे Block all access until sign-on is complete पर सेट करें। यही वह चीज़ है जो walled garden को लागू करती है — इसके बिना, मेहमान पोर्टल को पूरी तरह से बायपास कर सकते हैं।

चरण तीन: RADIUS सर्वर कॉन्फ़िगरेशन। RADIUS अनुभाग के अंतर्गत, Add server पर क्लिक करें। आपको अपने Purple खाते से तीन जानकारियों की आवश्यकता होगी: RADIUS सर्वर IP पता या FQDN, प्रमाणीकरण पोर्ट जो UDP 1812 है, और साझा गुप्त (shared secret)। Purple इन्हें पोर्टल के स्थान कॉन्फ़िगरेशन अनुभाग में प्रदान करता है। उत्पादन डिप्लॉयमेंट में अतिरेक (redundancy) के लिए, आपको एक द्वितीयक RADIUS सर्वर जोड़ना चाहिए — Purple एक फ़ेलओवर एंडपॉइंट प्रदान करता है। यदि आप सत्र डेटा को Purple के एनालिटिक्स इंजन में वापस फीड करना चाहते हैं, तो अकाउंटिंग पोर्ट को UDP 1813 पर सेट करें, जिसकी मैं किसी भी ऐसे स्थान के लिए दृढ़ता से अनुशंसा करूँगा जहाँ ठहरने का समय और सत्र की अवधि सार्थक मेट्रिक्स हैं।

RADIUS विशेषताओं पर एक त्वरित टिप्पणी। Meraki, RADIUS Access-Accept प्रतिक्रिया में लौटाए गए Session-Timeout विशेषता का सम्मान करता है। Purple इसका उपयोग यह नियंत्रित करने के लिए करता है कि पुन: प्रमाणीकरण की आवश्यकता से पहले एक गेस्ट सत्र कितने समय तक चलता है। एक होटल के लिए, आप इसे 86,400 सेकंड — यानी 24 घंटे पर सेट कर सकते हैं। एक कॉफी शॉप के लिए, 3,600 सेकंड, यानी एक घंटा जैसी कोई चीज़ अधिक उपयुक्त है। Idle-Timeout विशेषता का भी सम्मान किया जाता है, लेकिन केवल तभी जब RADIUS अकाउंटिंग सक्षम हो। यह निष्क्रिय सत्रों को डिस्कनेक्ट करता है, जो उच्च-घनत्व वाले स्थानों में क्षमता प्रबंधन के लिए महत्वपूर्ण है।

चरण चार: स्प्लैश पेज URL। Wireless, फिर Configure, फिर Splash page पर जाएं। ड्रॉपडाउन से अपने गेस्ट SSID का चयन करें। Custom splash URL को अपने स्थान के लिए Purple पोर्टल URL पर सेट करें। यह वह URL है जिस पर Meraki अप्रमाणित क्लाइंट्स को रीडायरेक्ट करेगा। Meraki इस URL में क्वेरी पैरामीटर जोड़ता है — जिसमें एक login_url पैरामीटर शामिल है — जिसका उपयोग Purple प्रमाणीकरण हैंडशेक को पूरा करने के लिए करता है। इन मापदंडों को संशोधित या हटाएं नहीं।

चरण पांच: walled garden। यहीं पर अधिकांश डिप्लॉयमेंट मुश्किल में पड़ते हैं। walled garden उन डोमेन और IP श्रेणियों की सूची है जिन तक एक गेस्ट डिवाइस प्रमाणित होने से पहले पहुंच सकता है। सही प्रविष्टियों के बिना, कैप्टिव पोर्टल पेज ही लोड नहीं होगा, क्योंकि ब्राउज़र को Purple CDN और सोशल लॉगिन प्रदाताओं तक पहुँचने से ब्लॉक कर दिया जाएगा।

अपने गेस्ट SSID के लिए Access Control पर वापस जाएं। Walled garden को Walled garden is enabled पर सेट करें। Walled garden ranges फ़ील्ड में, आपको निम्नलिखित जोड़ना होगा। पहला, Purple प्लेटफ़ॉर्म डोमेन: star dot purple dot ai, और star dot venuewifi dot com। दूसरा, CDN डोमेन जिनका उपयोग Purple पोर्टल एसेट की सेवा के लिए करता है: star dot cloudfront dot net, और star dot akamaihd dot net। तीसरा, Meraki रीडायरेक्ट इन्फ्रास्ट्रक्चर: star dot network-auth dot com। चौथा, यदि आप सोशल लॉगिन विकल्प दे रहे हैं, तो आपको प्रासंगिक OAuth डोमेन की आवश्यकता होगी। Google के लिए: accounts dot google dot com, star dot googleapis dot com, star dot gstatic dot com। Facebook के लिए: star dot facebook dot com, star dot fbcdn dot net, और connect dot facebook dot net। Twitter या X के लिए: star dot twitter dot com और star dot twimg dot com।

Meraki walled garden में वाइल्डकार्ड डोमेन को कैसे संभालता है, इस पर एक महत्वपूर्ण टिप्पणी। Meraki एस्टरिस्क प्रीफिक्स का उपयोग करके वाइल्डकार्ड प्रविष्टियों का समर्थन करता है, उदाहरण के लिए star dot cloudfront dot net। हालांकि, यह एक DNS-आधारित मिलान है — Meraki डोमेन को रिज़ॉल्व करता है और परिणामी IP पतों की अनुमति देता है। इसका मतलब यह है कि CloudFront या Akamai जैसे CDN प्रदाताओं के लिए, जहाँ रिज़ॉल्व किए गए IPs अक्सर बदल सकते हैं, आपको स्थिर IP श्रेणियों के बजाय डोमेन वाइल्डकार्ड का उपयोग करना चाहिए। स्थिर IP प्रविष्टियां Purple के RADIUS एंडपॉइंट्स के लिए ठीक हैं, जो स्थिर हैं, लेकिन CDN ट्रैफ़िक के लिए नहीं।

अब आइए दो वास्तविक दुनिया के परिदृश्यों के बारे में बात करते हैं जिन पर मैंने सीधे काम किया है।

पहला UK में एक 350-कमरों वाला होटल है। क्लाइंट तीन इमारतों में Meraki MR46 एक्सेस पॉइंट्स चला रहा था, जिसमें व्यस्त समय में लगभग 400 समवर्ती गेस्ट डिवाइस थे। प्रारंभिक डिप्लॉयमेंट में एक क्लिक-थ्रू स्प्लैश पेज का उपयोग किया गया था — कोई RADIUS नहीं, केवल शर्तों की स्वीकृति। समस्या यह थी कि उनके पास इस बात की शून्य अंतर्दृष्टि थी कि कौन जुड़ रहा था, कोई ईमेल कैप्चर नहीं था, और प्रवास के बाद मार्केटिंग अभियान चलाने का कोई तरीका नहीं था। हमने उन्हें RADIUS-आधारित साइन-ऑन के साथ Purple पर माइग्रेट किया। कॉन्फ़िगरेशन सीधा था, लेकिन समस्या यह थी कि उनका अपस्ट्रीम फ़ायरवॉल स्थानीय सबनेट के बाहर किसी भी चीज़ के लिए पोर्ट 1812 पर आउटबाउंड UDP को ब्लॉक कर रहा था। एक बार जब हमने फ़ायरवॉल अनुमति सूची में Meraki Dashboard IP श्रेणियों को जोड़ा, तो प्रमाणीकरण ने तुरंत काम किया। डिप्लॉयमेंट के बाद, होटल ने पहले महीने में लगभग 68 प्रतिशत कनेक्टिंग मेहमानों के ईमेल पते कैप्चर किए, और उनकी मार्केटिंग टीम ने एक पुन: जुड़ाव अभियान चलाया जिससे सीधे बुकिंग में मापने योग्य वृद्धि हुई।

दूसरा परिदृश्य 45 स्टोरों वाली एक रिटेल श्रृंखला है, जिनमें से प्रत्येक Meraki MR33 एक्सेस पॉइंट्स चला रहा है। यहाँ चुनौती पैमाना और निरंतरता थी। सही RADIUS सेटिंग्स और walled garden सूचियों के साथ 45 SSIDs को मैन्युअल रूप से कॉन्फ़िगर करना त्रुटि-प्रवण और समय लेने वाला होता। इसका समाधान Meraki के टेम्प्लेट-आधारित कॉन्फ़िगरेशन का उपयोग करना था। हमने सही SSID, RADIUS और walled garden सेटिंग्स के साथ एक एकल नेटवर्क टेम्प्लेट बनाया, फिर सभी 45 स्टोर नेटवर्क को उस टेम्प्लेट से बांध दिया। कोई भी बदलाव — मान लीजिए, walled garden में एक नया सोशल लॉगिन प्रदाता जोड़ना — टेम्प्लेट में एक बार किया जाता है और सभी स्टोरों पर स्वचालित रूप से प्रसारित हो जाता है। Purple के एनालिटिक्स ने तब सभी स्टोरों में फुटफॉल और ठहरने के समय के डेटा को एकत्रित किया, जिससे रिटेल ऑपरेशंस टीम को स्टोर, क्षेत्र और दिन के समय के अनुसार गेस्ट व्यवहार का एक एकल डैशबोर्ड दृश्य मिला।

मुझे आपको तीन व्यावहारिक नियम (rules of thumb) देने दें जो हर Meraki कैप्टिव पोर्टल डिप्लॉयमेंट पर आपका समय बचाएंगे।

नियम एक: RADIUS कॉन्फ़िगर करने से पहले हमेशा Meraki Dashboard IP श्रेणियों की जांच करें। श्रेणियां कभी-कभार बदलती हैं, और यदि आपका फ़ायरवॉल उन्हें ब्लॉक कर रहा है, तो प्रमाणीकरण उपयोगकर्ता के दृष्टिकोण से चुपचाप विफल हो जाएगा — वे केवल पोर्टल पेज को हैंग होते हुए देखेंगे। लाइव होने से पहले कनेक्टिविटी सत्यापित करने के लिए Access Control के अंतर्गत डैशबोर्ड में अंतर्निहित RADIUS परीक्षण टूल का उपयोग करें।

नियम दो: किसी भी CDN-होस्ट की गई सामग्री के लिए walled garden में डोमेन वाइल्डकार्ड का उपयोग करें, IP श्रेणियों का नहीं। CDN IP श्रेणियां बड़ी होती हैं और अक्सर बदलती रहती हैं। एक वाइल्डकार्ड डोमेन प्रविष्टि अधिक रखरखाव योग्य और अधिक विश्वसनीय है।

नियम तीन: पोर्ट 1813 पर RADIUS अकाउंटिंग सक्षम करें, भले ही आपको लगता हो कि आपको अभी इसकी आवश्यकता नहीं है। सत्र डेटा डिस्कनेक्शन समस्याओं के निवारण और आपके एनालिटिक्स प्लेटफॉर्म में सटीक ठहरने के समय के मेट्रिक्स को फीड करने के लिए मूल्यवान है। इसे सक्षम करने में कुछ भी खर्च नहीं होता है और बाद में इसे जोड़ना बहुत कठिन होता है।

अब, कुछ रैपिड-फायर प्रश्न जो मुझसे नियमित रूप से पूछे जाते हैं।

क्या मैं Purple के बजाय Meraki के अंतर्निहित स्प्लैश पेज का उपयोग कर सकता हूँ? हाँ, लेकिन आप डेटा कैप्चर, एनालिटिक्स, मार्केटिंग ऑटोमेशन और GDPR-अनुपालन सहमति प्रबंधन खो देते हैं। बुनियादी क्लिक-थ्रू के लिए अंतर्निहित स्प्लैश ठीक है, लेकिन यह एक गेस्ट इंटेलिजेंस प्लेटफॉर्म नहीं है।

क्या यह कॉन्फ़िगरेशन Meraki MX फ़ायरवॉल के साथ-साथ MR एक्सेस पॉइंट्स पर भी काम करता है? RADIUS स्प्लैश पेज कॉन्फ़िगरेशन MR एक्सेस पॉइंट्स पर समर्थित है। MX उपकरण क्लाइंट VPN प्रमाणीकरण को अलग तरह से संभालते हैं। विशेष रूप से गेस्ट WiFi के लिए, आप MR SSIDs को कॉन्फ़िगर कर रहे हैं।

WPA3 के बारे में क्या? Meraki MR एक्सेस पॉइंट एंटरप्राइज़ SSIDs पर WPA3 का समर्थन करते हैं। गेस्ट कैप्टिव पोर्टल डिप्लॉयमेंट के लिए, SSID आमतौर पर Open होता है, इसलिए WPA3 सीधे लागू नहीं होता है। हालांकि, यदि आप अपने कैप्टिव पोर्टल SSID के साथ एक Passpoint या OpenRoaming SSID तैनात कर रहे हैं — जिसका Purple समर्थन करता है — तो वह SSID 802.1X के साथ WPA3-Enterprise का उपयोग करता है, और यहीं पर WPA3 प्रासंगिक हो जाता है।

समापन के लिए: Cisco Meraki और Purple एकीकरण अच्छी तरह से परीक्षण किया गया और विश्वसनीय है, लेकिन इसके लिए तीन चीजों पर ध्यान देने की आवश्यकता है: RADIUS स्रोत IP राउटिंग, walled garden की पूर्णता, और सत्र टाइमआउट कॉन्फ़िगरेशन। उन तीनों को सही करें और डिप्लॉयमेंट सीधा है। व्यावसायिक मामला स्पष्ट है — जो स्थान डेटा कैप्चर के साथ ठीक से कॉन्फ़िगर किए गए गेस्ट WiFi प्लेटफॉर्म को तैनात करते हैं, वे लगातार मार्केटिंग जुड़ाव और परिचालन अंतर्दृष्टि में मापने योग्य रिटर्न देखते हैं।

यदि आप और गहराई से जानना चाहते हैं, तो क्लाउड RADIUS के साथ 802.1X प्रमाणीकरण लागू करने पर Purple की मार्गदर्शिका और Purple ब्लॉग पर हमारी Cisco वायरलेस AP डिप्लॉयमेंट मार्गदर्शिका देखें। दोनों शो नोट्स में लिंक हैं।

सुनने के लिए धन्यवाद। यदि आपके पास कोई विशिष्ट डिप्लॉयमेंट परिदृश्य है जिसे आप चाहते हैं कि हम कवर करें, तो Purple तकनीकी टीम से संपर्क करें। हम आपसे अगले एपिसोड में मिलेंगे।

मुख्य निष्कर्ष

✓Cisco Meraki गेस्ट स्प्लैश पेज RADIUS अनुरोध Meraki क्लाउड डैशबोर्ड से प्राप्त होते हैं, न कि स्थानीय MR एक्सेस पॉइंट्स से।
✓गेस्ट WiFi को Purple जैसी अज्ञेयवादी (agnostic) परत में अलग करने से उन्नत डेटा कैप्चर और GDPR-अनुपालन वाले मार्केटिंग एनालिटिक्स सक्षम होते हैं।
✓एक मजबूत walled garden में Purple डोमेन, CDN होस्ट (*.cloudfront.net, *.akamaihd.net), और सोशल OAuth एंडपॉइंट शामिल होने चाहिए।
✓Cisco Meraki वास्तविक समय के DNS-आधारित व्हाइटलिस्टिंग के माध्यम से walled garden में वाइल्डकार्ड डोमेन को गतिशील रूप से संभालता है।
✓उच्च-घनत्व वाले स्थानों में DHCP लीज पूल के प्रबंधन के लिए RADIUS Session-Timeout और Idle-Timeout विशेषताएं आवश्यक हैं।
✓Meraki Dashboard में टेम्प्लेट-आधारित कॉन्फ़िगरेशन बहु-साइट स्थानों पर सुसंगत, त्रुटि-मुक्त गेस्ट WiFi डिप्लॉयमेंट सक्षम करते हैं।

📚 Part of our core series: Multi-Tenant WiFi →

कार्यकारी सारांश

यह आधिकारिक संदर्भ मार्गदर्शिका Cisco Meraki वायरलेस नेटवर्क को Purple के क्लाउड-आधारित कैप्टिव पोर्टल के साथ एकीकृत करने के लिए एक व्यापक, चरण-दर-चरण कॉन्फ़िगरेशन ढांचा प्रदान करती है। IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और प्रबंधित सेवा प्रदाताओं (MSPs) के लिए डिज़ाइन किया गया यह दस्तावेज़ एक सुरक्षित, उच्च-प्रदर्शन गेस्ट WiFi समाधान को तैनात करने के लिए Meraki Dashboard के भीतर आवश्यक सटीक कॉन्फ़िगरेशन का विवरण देता है [1]।

हार्डवेयर से गेस्ट इंटेलिजेंस लेयर को अलग करके, एंटरप्राइज़ स्थान समृद्ध, GDPR-अनुपालन वाले फर्स्ट-पार्टी डेटा को कैप्चर करने के लिए Purple के प्रमाणित Guest WiFi और WiFi Analytics प्लेटफॉर्म का लाभ उठा सकते हैं, जबकि नेटवर्क अखंडता और नियामक अनुपालन सुनिश्चित करते हैं [2]। यह मार्गदर्शिका विभिन्न भौतिक स्थानों जैसे Retail , Healthcare , Hospitality , और Transport हब में RADIUS प्रमाणीकरण (पोर्ट 1812/1813), walled garden डोमेन अपवाद, CDN वाइल्डकार्ड रिज़ॉल्यूशन और गेस्ट रीडायरेक्शन मैकेनिक्स सहित महत्वपूर्ण एकीकरण मापदंडों को संबोधित करती है।

तकनीकी गहन विश्लेषण

Cisco Meraki MR एक्सेस पॉइंट्स (APs) को Purple जैसे बाहरी कैप्टिव पोर्टल के साथ सफलतापूर्वक एकीकृत करने के लिए, नेटवर्क इंजीनियरों को अंतर्निहित कंट्रोल और डेटा प्लेन आर्किटेक्चर को समझना होगा। पारंपरिक ऑन-प्रिमाइसेस वायरलेस कंट्रोलर्स के विपरीत जहां RADIUS प्रमाणीकरण अनुरोध भौतिक कंट्रोलर या व्यक्तिगत APs से प्राप्त होते हैं, Cisco Meraki एक क्लाउड-प्रबंधित आर्किटेक्चर का उपयोग करता है [1]।

कंट्रोल प्लेन और डेटा प्लेन पृथक्करण

जब कोई गेस्ट क्लाइंट बाहरी कैप्टिव पोर्टल के लिए कॉन्फ़िगर किए गए ओपन SSID से जुड़ता है, तो Meraki MR AP क्लाइंट को प्री-ऑथेंटिकेशन स्थिति में रखता है। इस स्थिति में, DNS क्वेरी, DHCP और Walled Garden में स्पष्ट रूप से परिभाषित IP पतों या होस्टनामों के लिए नियत ट्रैफ़िक को छोड़कर सभी ट्रैफ़िक ब्लॉक कर दिया जाता है [3]।

वास्तविक RADIUS Access-Request संदेश स्थानीय Meraki MR AP द्वारा उत्पन्न नहीं होते हैं। इसके बजाय, वे Cisco Meraki Dashboard Cloud Infrastructure से प्राप्त होते हैं [1]। यह एक महत्वपूर्ण आर्किटेक्चरल अंतर है:

> "स्प्लैश पेज के लिए RADIUS एक्सेस अनुरोध संदेश डैशबोर्ड से प्राप्त होंगे, स्थानीय Meraki उपकरणों से नहीं। इसलिए, यहाँ RADIUS सर्वर का निजी LAN IP पता निर्दिष्ट नहीं किया जा सकता है।" [1]

नतीजतन, आपके RADIUS सर्वरों की सुरक्षा करने वाले अपस्ट्रीम फ़ायरवॉल को Meraki Dashboard आउटबाउंड IP श्रेणियों के पूरे ब्लॉक से इनबाउंड ट्रैफ़िक की अनुमति देनी होगी, जो गतिशील और क्षेत्र-विशिष्ट हैं [1]। इन श्रेणियों को Meraki Dashboard के माध्यम से Help > Firewall info के अंतर्गत गतिशील रूप से प्राप्त किया जा सकता है [1]।

RADIUS प्रमाणीकरण प्रोटोकॉल (PAP)

साइन-ऑन स्प्लैश पेज प्रमाणीकरण के लिए, Meraki पासवर्ड प्रमाणीकरण प्रोटोकॉल (PAP) का उपयोग करता है [1]। हालांकि PAP ऐतिहासिक रूप से अनएन्क्रिप्टेड है, Meraki-Purple एकीकरण बहु-स्तरीय एन्क्रिप्शन के माध्यम से सुरक्षा जोखिमों को कम करता है:

क्लाइंट-टू-क्लाउड एन्क्रिप्शन: गेस्ट क्लाइंट सीधे Purple के होस्ट किए गए कैप्टिव पोर्टल के साथ एक सुरक्षित HTTPS (SSL/TLS) सत्र स्थापित करता है। क्रेडेंशियल (जैसे, सोशल लॉगिन टोकन, ईमेल फॉर्म) क्लाइंट के ब्राउज़र से Purple के सर्वर तक ट्रांज़िट में एन्क्रिप्ट किए जाते हैं [1]।
RADIUS साझा गुप्त एन्क्रिप्शन: जब Meraki क्लाउड Purple के क्लाउड RADIUS सर्वर को RADIUS Access-Request भेजता है, तो यह RFC 2865 के अनुसार कॉन्फ़िगर किए गए RADIUS Shared Secret और एक मानक XOR फ़ंक्शन का उपयोग करके उपयोगकर्ता के पासवर्ड को एन्क्रिप्ट करता है [1]। यह सुनिश्चित करता है कि क्लियरटेक्स्ट क्रेडेंशियल कभी भी सार्वजनिक इंटरनेट पर प्रसारित न हों।

समर्थित RADIUS विशेषताएँ

Meraki क्लाउड और Purple क्लाउड RADIUS सत्र मापदंडों और नीतियों को लागू करने के लिए प्रमाणीकरण हैंडशेक के दौरान कई प्रमुख विशेषताओं का आदान-प्रदान करते हैं:

RADIUS विशेषता	प्रकार	दिशा	विवरण और व्यावहारिक संदर्भ
User-Name	String	Request	गेस्ट उपयोगकर्ता का पहचानकर्ता (जैसे, ईमेल पता, MAC पता) [1]।
User-Password	String	Request	एन्क्रिप्टेड उपयोगकर्ता पासवर्ड या सत्र टोकन [1]।
Called-Station-ID	String	Request	`AP_MAC:SSID_NAME` के रूप में स्वरूपित (जैसे, `AA-BB-CC-DD-EE-FF:GuestWiFi`)। स्थान-आधारित नीति रूटिंग के लिए महत्वपूर्ण [1]।
Calling-Station-ID	String	Request	क्लाइंट का भौतिक MAC पता (जैसे, `11-22-33-44-55-66`)। डिवाइस ट्रैकिंग और सत्र बहाली के लिए उपयोग किया जाता है [1]।
Session-Timeout	Integer	Accept	सेकंड में अधिकतम सत्र अवधि। समाप्त होने के बाद, क्लाइंट को वापस कैप्टिव पोर्टल पर रीडायरेक्ट किया जाता है [1]।
Idle-Timeout	Integer	Accept	सेकंड में अधिकतम निष्क्रिय समय। यदि कोई डेटा स्थानांतरित नहीं होता है, तो सत्र समाप्त कर दिया जाता है। इसके लिए RADIUS Accounting की आवश्यकता होती है [1]।
Filter-Id	String	Accept	क्लाइंट पर लागू करने के लिए एक विशिष्ट Meraki Group Policy नाम बताता है (जैसे, बैंडविड्थ को सीमित करना या विशिष्ट श्रेणियों को ब्लॉक करना) [1]।

कार्यान्वयन मार्गदर्शिका

यह चरण-दर-चरण कॉन्फ़िगरेशन वॉकथ्रू बताता है कि Cisco Meraki MR एक्सेस पॉइंट्स को Purple के बाहरी कैप्टिव पोर्टल के साथ कैसे एकीकृत किया जाए।

चरण 1: SSID एक्सेस कंट्रोल कॉन्फ़िगर करें

Meraki Dashboard में Wireless > Configure > Access control पर जाएं [1]। अपने लक्षित गेस्ट SSID का चयन करें और निम्नलिखित मापदंडों को कॉन्फ़िगर करें:

Association Requirements: इसे Open (no encryption) पर सेट करें [1]। यह एक घर्षण रहित ऑनबोर्डिंग अनुभव सुनिश्चित करता है। यदि आपको एन्क्रिप्टेड गेस्ट ट्रांज़िट की आवश्यकता है, तो Passpoint / Hotspot 2.0 with Cloud RADIUS को लागू करने पर विचार करें [4]।
Splash Page: Sign-on with चुनें और ड्रॉपडाउन मेनू से my RADIUS server चुनें [1]।
RADIUS Servers: Add server पर क्लिक करें और Purple के क्लाउड RADIUS प्राथमिक और द्वितीयक एंडपॉइंट इनपुट करें [1]:
- Host IP: 116.203.120.121 (प्राथमिक) और 195.201.123.149 (द्वितीयक)
- Port: 1812 (प्रमाणीकरण) [1]
- Secret: [आपका Purple Shared Secret]
RADIUS Accounting: इसे RADIUS accounting is enabled पर सेट करें और अकाउंटिंग सर्वर जोड़ें:
- Host IP: 116.203.120.121 (प्राथमिक) और 195.201.123.149 (द्वितीयक)
- Port: 1813 (अकाउंटिंग)
- Secret: [आपका Purple Shared Secret]
Captive Portal Strength: Block all access until sign-on is complete चुनें [1]। यह कड़ाई से लागू करता है कि क्लाइंट स्प्लैश पेज से गुजरे बिना इंटरनेट का उपयोग नहीं कर सकते हैं।

चरण 2: कस्टम स्प्लैश पेज URL कॉन्फ़िगर करें

Wireless > Configure > Splash page पर जाएं [1]। अपने गेस्ट SSID का चयन करें और कॉन्फ़िगर करें:

Custom Splash URL: Or point to a custom URL चुनें और Purple रीडायरेक्शन URL दर्ज करें:
- https://login.venuewifi.com/ip/v2/meraki
Splash Page Redirect: इसे The URL they were trying to fetch पर सेट करें या उन्हें एक विशिष्ट लैंडिंग पेज (जैसे, आपके स्थान का होमपेज) पर रीडायरेक्ट करें [3]।

चरण 3: Walled Garden डोमेन नाम अपवाद कॉन्फ़िगर करें

यह सुनिश्चित करने के लिए कि गेस्ट क्लाइंट कैप्टिव पोर्टल लोड कर सकें, कंटेंट डिलीवरी नेटवर्क (CDNs) से एसेट डाउनलोड कर सकें, और सोशल ऑथेंटिकेशन (जैसे, Google या Facebook OAuth) पूरा कर सकें, आपको Walled Garden को सक्षम और कॉन्फ़िगर करना होगा [3]।

वापस Wireless > Configure > Access control पर जाएं और Walled Garden अनुभाग खोजें [1]।

Walled Garden को Walled garden is enabled पर सेट करें [1]।
Walled garden ranges फ़ील्ड में, आवश्यक FQDNs और वाइल्डकार्ड डोमेन दर्ज करें [1]।

Meraki वाइल्डकार्ड और CDN ट्रैफ़िक को कैसे संभालता है

Cisco Meraki MR एक्सेस पॉइंट एस्टरिस्क प्रीफिक्स (जैसे, *.purple.ai) का उपयोग करके walled garden में वाइल्डकार्ड डोमेन का समर्थन करते हैं [1]। हालांकि, अंतर्निहित यांत्रिकी को समझना महत्वपूर्ण है:

DNS-आधारित व्हाइटलिस्टिंग: Meraki AP क्लाइंट के DNS अनुरोधों को इंटरसेप्ट करता है। जब क्लाइंट walled garden में किसी प्रविष्टि से मेल खाने वाले डोमेन का अनुरोध करता है, तो AP डोमेन को उसके वर्तमान IP पते पर रिज़ॉल्व करता है और अस्थायी रूप से क्लाइंट को उस IP के साथ संवाद करने की अनुमति देता है [3]।
डायनेमिक CDN IPs: Amazon CloudFront (*.cloudfront.net) और Akamai (*.akamaihd.net) जैसे CDNs अत्यधिक गतिशील, भौगोलिक रूप से वितरित IP पतों पर रिज़ॉल्व होते हैं जो अक्सर बदलते रहते हैं। Meraki की DNS-आधारित व्हाइटलिस्टिंग वास्तविक समय में डोमेन को रिज़ॉल्व करके इसे सहजता से संभालती है। CDN संसाधनों के लिए कभी भी स्थिर IP पतों का उपयोग न करें अपने walled garden में, क्योंकि इससे पोर्टल एसेट के रुक-रुक कर लोड होने की विफलता होगी।

सर्वोत्तम प्रथाएं

उच्च उपलब्धता, सुरक्षा और इष्टतम उपयोगकर्ता अनुभव सुनिश्चित करने के लिए, इन उद्योग-मानक डिप्लॉयमेंट सर्वोत्तम प्रथाओं का पालन करें:

1. नेटवर्क सेगमेंटेशन और VLAN आइसोलेशन

गेस्ट ट्रैफ़िक को कभी भी सीधे अपने कॉर्पोरेट LAN से न जोड़ें। अपने Meraki MR APs को एक समर्पित Guest VLAN (जैसे, VLAN 30) के साथ गेस्ट ट्रैफ़िक को टैग करने के लिए कॉन्फ़िगर करें [4]। सुनिश्चित करें कि यह VLAN आपके अपस्ट्रीम फ़ायरवॉल पर DMZ या एक अलग वर्चुअल राउटिंग और फ़ॉरवर्डिंग (VRF) इंस्टेंस पर समाप्त होता है। यह पार्श्व आंदोलन के जोखिमों को कम करता है और PCI DSS और GDPR जैसे सुरक्षा मानकों का अनुपालन सुनिश्चित करता है [2] [4]।

2. फ़ेलओवर और सत्र लचीलापन कॉन्फ़िगर करें

नेटवर्क लिंक विफल हो सकते हैं। प्रमाणीकरण सर्वर आउटेज के दौरान मेहमानों को इंटरनेट से लॉक होने से बचाने के लिए, Meraki Dashboard में RADIUS Failover Policy को कॉन्फ़िगर करें:

Failover Policy: अधिकतम सुरक्षा के लिए इसे Deny access पर सेट करें, या यदि आउटेज के दौरान डेटा कैप्चर की तुलना में गेस्ट कनेक्टिविटी बनाए रखने को प्राथमिकता दी जाती है तो Allow access पर सेट करें।
Secondary Servers: लोड वितरित करने और स्वचालित फ़ेलओवर प्रदान करने के लिए हमेशा प्राथमिक और द्वितीयक दोनों RADIUS सर्वर कॉन्फ़िगर करें [1]।

3. सत्र और निष्क्रिय टाइमआउट लागू करें

उपयुक्त टाइमआउट मापदंडों को कॉन्फ़िगर करके अपने वायरलेस स्पेक्ट्रम और DHCP पूल लीज को प्रबंधित करें [1]:

Session Timeout: हॉस्पिटैलिटी वातावरण के लिए इसे 1440 minutes (24 hours) पर सेट करें, जिससे मेहमानों को बिना किसी निरंतर पुन: प्रमाणीकरण के अपने पूरे प्रवास के दौरान जुड़े रहने की अनुमति मिलती है [1]। रिटेल या सार्वजनिक परिवहन के लिए, नए जुड़ाव को प्रोत्साहित करने और DHCP लीज को खाली करने के लिए इसे घटाकर 120 minutes (2 hours) कर दें।
Idle Timeout: इसे 15 minutes पर सेट करें। यदि कोई क्लाइंट डिवाइस स्लीप मोड में चला जाता है या स्थान छोड़ देता है, तो AP सत्र को समाप्त कर देता है, जिससे नेटवर्क संसाधन पुनः प्राप्त हो जाते हैं [1]।

समस्या निवारण और जोखिम न्यूनीकरण

Cisco Meraki पर बाहरी कैप्टिव पोर्टल तैनात करते समय, इंजीनियरों को आमतौर पर तीन प्राथमिक विफलता मोड का सामना करना पड़ता है। समस्याओं को तुरंत अलग करने और हल करने के लिए इस नैदानिक मैट्रिक्स का उपयोग करें:

लक्षण	मूल कारण	नैदानिक चरण	समाधान
स्प्लैश पेज लोड नहीं होता है; ब्राउज़र 'सत्र का समय समाप्त' (Connection Timed Out) प्रदर्शित करता है।	अपस्ट्रीम फ़ायरवॉल Purple के CDN पर आउटबाउंड DNS या HTTP/HTTPS ट्रैफ़िक को ब्लॉक कर रहा है [1]।	उसी VLAN पर एक वायर्ड डिवाइस से `login.venuewifi.com` को रिज़ॉल्व करने का प्रयास करें।	सुनिश्चित करें कि गेस्ट VLAN के पास सार्वजनिक DNS (UDP 53) और HTTP/HTTPS (TCP 80/443) तक आउटबाउंड पहुंच है।
स्प्लैश पेज लोड होता है, लेकिन उपयोगकर्ता क्रेडेंशियल प्रमाणित करने में विफल रहते हैं।	अपस्ट्रीम फ़ायरवॉल Meraki क्लाउड से प्राप्त RADIUS ट्रैफ़िक को ब्लॉक कर रहा है [1]।	Access Control के अंतर्गत Meraki Dashboard में RADIUS Test उपयोगिता का उपयोग करें [1]।	UDP पोर्ट 1812 और 1813 के लिए अपने फ़ायरवॉल की आउटबाउंड अनुमति सूची में Meraki Dashboard आउटबाउंड IP श्रेणियों (Help > Firewall info के अंतर्गत पाई जाने वाली) को जोड़ें [1]।
सोशल लॉगिन (जैसे, Google OAuth) रीडायरेक्ट त्रुटि के साथ विफल हो जाता है।	Meraki Walled Garden में आवश्यक OAuth सहायक डोमेन गायब हैं [1]।	ब्लॉक किए गए संसाधन लोड के लिए क्लाइंट डिवाइस पर ब्राउज़र कंसोल की जांच करें।	Walled Garden सूची में अनिवार्य OAuth डोमेन (जैसे, `.googleapis.com`, `.gstatic.com`) जोड़ें [1]।

ROI और व्यावसायिक प्रभाव

Cisco Meraki को Purple के साथ एकीकृत करना गेस्ट WiFi को लागत-केंद्र से एक रणनीतिक व्यावसायिक संपत्ति में बदल देता है। उन्नत एनालिटिक्स के साथ एंटरप्राइज़-ग्रेड हार्डवेयर का लाभ उठाकर, संगठन कई आयामों में मापने योग्य रिटर्न प्राप्त करते हैं:

डेटा मुद्रीकरण और मार्केटिंग पहुंच: सत्यापित ईमेल पते और सोशल प्रोफाइल कैप्चर करके, स्थान फर्स्ट-पार्टी ग्राहक डेटा का एक स्वच्छ, अनुपालन डेटाबेस बनाते हैं [2]। यह सीधे ग्राहक संबंध प्रबंधन (CRM) और मार्केटिंग ऑटोमेशन सिस्टम में फीड होता है, जिससे अत्यधिक लक्षित, हाइपर-लोकल मार्केटिंग अभियान सक्षम होते हैं।
परिचालन दक्षता: Purple के माध्यम से स्वचालित ऑनबोर्डिंग फ्रंट-डेस्क और IT सहायता कर्मचारियों पर बोझ को कम करती है। हॉस्पिटैलिटी वातावरण में, इसका अर्थ है WiFi कनेक्टिविटी के संबंध में मेहमानों की कम शिकायतें और कम परिचालन ओवरहेड।
उन्नत फुटफॉल एनालिटिक्स: Meraki के स्थान APIs को Purple के एनालिटिक्स इंजन के साथ जोड़कर, स्थान संचालक आगंतुकों के व्यवहार में गहरी अंतर्दृष्टि प्राप्त करते हैं, जिसमें फुटफॉल, ठहरने का समय, वापसी की दर और व्यस्ततम घंटे शामिल हैं [2]। यह डेटा स्टाफिंग, स्टोर लेआउट और रियल एस्टेट मूल्यांकन के संबंध में सूचित निर्णय लेता है।

संदर्भ

मुख्य परिभाषाएं

कैप्टिव पोर्टल

एक वेब पेज जो WiFi नेटवर्क के नए जुड़े उपयोगकर्ताओं को नेटवर्क संसाधनों तक व्यापक पहुंच प्रदान करने से पहले प्रदर्शित किया जाता है।

इंटरनेट एक्सेस की अनुमति देने से पहले सेवा की शर्तों को लागू करने, उपयोगकर्ता डेटा एकत्र करने और RADIUS के माध्यम से मेहमानों को प्रमाणित करने के लिए स्थानों द्वारा उपयोग किया जाता है।

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो उन उपयोगकर्ताओं के लिए केंद्रीकृत प्रमाणीकरण, प्राधिकरण और लेखांकन (AAA) प्रबंधन प्रदान करता है जो नेटवर्क सेवा से जुड़ते हैं और उसका उपयोग करते हैं।

Meraki APs गेस्ट क्रेडेंशियल सत्यापित करने और नेटवर्क एक्सेस को अधिकृत करने के लिए Purple के क्लाउड RADIUS सर्वर से क्वेरी करते हैं।

Walled Garden

IP पतों या डोमेन नामों का एक प्रतिबंधित सेट जिसे अप्रमाणित गेस्ट क्लाइंट्स को कैप्टिव पोर्टल साइन-ऑन प्रक्रिया पूरी करने से पहले एक्सेस करने की अनुमति होती है।

क्लाइंट्स को होस्ट किए गए स्प्लैश पेज तक पहुंचने, CDNs से CSS/JS एसेट डाउनलोड करने और सोशल लॉगिन OAuth एंडपॉइंट्स के साथ संवाद करने की अनुमति देने के लिए महत्वपूर्ण।

Session-Timeout

एक RFC 2865 RADIUS विशेषता जो सेकंड की अधिकतम संख्या निर्दिष्ट करती है जो एक उपयोगकर्ता सत्र पुन: प्रमाणीकरण की आवश्यकता से पहले सक्रिय रह सकता है।

यह नियंत्रित करने के लिए कि कोई गेस्ट कब तक लॉग इन रहता है (जैसे, होटल के मेहमानों के लिए 24 घंटे), Access-Accept पैकेट में Purple RADIUS द्वारा वापस किया जाता है।

Idle-Timeout

एक RADIUS विशेषता जो उपयोगकर्ता के सत्र को समाप्त करने से पहले अनुमत निष्क्रियता (कोई डेटा स्थानांतरित नहीं) की अधिकतम अवधि को परिभाषित करती है।

स्टेडियम या रिटेल स्टोर जैसे उच्च-घनत्व वाले वातावरण में पुराने उपकरणों को डिस्कनेक्ट करने और IP पते पुनः प्राप्त करने के लिए उपयोग किया जाता है।

PAP (Password Authentication Protocol)

उपयोगकर्ता क्रेडेंशियल को मान्य करने के लिए RADIUS द्वारा उपयोग किया जाने वाला एक सरल, अनएन्क्रिप्टेड प्रमाणीकरण प्रोटोकॉल।

बाहरी स्प्लैश पेज RADIUS प्रमाणीकरण के लिए Cisco Meraki द्वारा आवश्यक। HTTPS के माध्यम से क्लाइंट-टू-पोर्टल ट्रांज़िट को एन्क्रिप्ट करके और साझा गुप्त (shared secret) का उपयोग करके RADIUS पैकेट पासवर्ड फ़ील्ड को एन्क्रिप्ट करके सुरक्षा बनाए रखी जाती है।

Passpoint (Hotspot 2.0)

Wi-Fi Alliance द्वारा विकसित एक उद्योग मानक जो सेलुलर जैसी स्वचालित रोमिंग और WiFi नेटवर्क से सुरक्षित कनेक्शन सक्षम बनाता है।

कैप्टिव पोर्टल के बिना निर्बाध, प्रमाणपत्र-आधारित गेस्ट ऑनबोर्डिंग सक्षम करने के लिए Meraki MR एक्सेस पॉइंट्स और Purple द्वारा समर्थित।

CMX (Cisco Meraki Location APIs)

एक API ढांचा जो Meraki एक्सेस पॉइंट्स को वास्तविक समय के स्थान और उपस्थिति डेटा (जांच अनुरोधों) को तृतीय-पक्ष एनालिटिक्स प्लेटफॉर्म पर निर्यात करने की अनुमति देता है।

भौतिक स्थानों के लिए विस्तृत फुटफॉल, ठहरने का समय और वापसी दर एनालिटिक्स प्रदान करने के लिए Purple के साथ एकीकृत।

हल किए गए उदाहरण

Cisco Meraki MR46 एक्सेस पॉइंट्स चलाने वाले एक लक्जरी 350-कमरों वाले होटल को एक सुरक्षित गेस्ट WiFi नेटवर्क तैनात करने की आवश्यकता है। वे गेस्ट ईमेल कैप्चर करना चाहते हैं, प्रति गेस्ट बैंडविड्थ को 5 Mbps तक सीमित करना चाहते हैं, और यह सुनिश्चित करना चाहते हैं कि मेहमानों को हर 7 दिनों में केवल एक बार लॉग इन करना पड़े। नेटवर्क आर्किटेक्ट को Meraki Dashboard और RADIUS सेटिंग्स को कैसे कॉन्फ़िगर करना चाहिए?

SSID सेटअप: 'Hotel_Guest' नाम से एक ओपन SSID कॉन्फ़िगर करें जिसमें स्प्लैश पेज 'Sign-on with' और 'my RADIUS server' पर सेट हो।\n2. RADIUS कॉन्फ़िगरेशन: Purple के प्राथमिक (116.203.120.121) और द्वितीयक (195.201.123.149) RADIUS IPs दर्ज करें। प्रमाणीकरण पोर्ट को 1812 और अकाउंटिंग पोर्ट को 1813 पर सेट करें। साझा गुप्त (shared secret) को कॉन्फ़िगर करें।\n3. टाइमआउट पैरामीटर: RADIUS सर्वर प्रोफाइल या Purple डैशबोर्ड में, निष्क्रिय DHCP लीज को पुनः प्राप्त करने के लिए Session-Timeout विशेषता को 604800 सेकंड (7 दिन) और Idle-Timeout को 1800 सेकंड (30 मिनट) पर सेट करें।\n4. ट्रैफ़िक शेपिंग: Wireless > Configure > Firewall & traffic shaping के अंतर्गत Meraki Dashboard में, SSID का चयन करें, ट्रैफ़िक शेपिंग सक्षम करें, और प्रति-क्लाइंट सीमा को 5 Mbps डाउनस्ट्रीम और 2 Mbps अपस्ट्रीम पर सेट करें।\n5. Walled Garden: walled garden को सक्षम करें और स्प्लैश पेज को प्री-ऑथेंटिकेशन रेंडर करने की अनुमति देने के लिए *.purple.ai, *.venuewifi.com, और आवश्यक CDN वाइल्डकार्ड जैसे *.cloudfront.net जोड़ें।

परीक्षक की टिप्पणी: यह समाधान नेटवर्क प्रदर्शन के साथ उपयोगकर्ता अनुभव को सफलतापूर्वक संतुलित करता है। 7-दिवसीय Session-Timeout का उपयोग लंबे समय तक ठहरने वाले मेहमानों के लिए बार-बार लॉगिन करने की थकान को रोकता है, जबकि 30 मिनट का Idle-Timeout DHCP पूल में IP पते की समाप्ति को रोकता है। RADIUS विशेषताओं (जैसे Maximum-Data-Rate-Downstream) पर भरोसा करने के बजाय सीधे Meraki APs पर ट्रैफ़िक शेपिंग कॉन्फ़िगर करना बेहतर है क्योंकि यह APs पर प्रोसेसिंग ओवरहेड को कम करता है और अधिक सुसंगत प्रवर्तन तंत्र प्रदान करता है।

45 स्टोरों वाली एक राष्ट्रीय रिटेल श्रृंखला Meraki MR33 APs का उपयोग करके सभी स्थानों पर गेस्ट WiFi तैनात करना चाहती है। उन्हें सुसंगत कॉन्फ़िगरेशन सुनिश्चित करने, कॉर्पोरेट नेटवर्क एक्सेस को ब्लॉक करने और फुटफॉल एनालिटिक्स एकत्र करने की आवश्यकता है। इसे बड़े पैमाने पर कैसे लागू किया जाना चाहिए?

कॉन्फ़िगरेशन टेम्प्लेट: Meraki Dashboard में एक एकल नेटवर्क कॉन्फ़िगरेशन टेम्प्लेट बनाएं। Purple की RADIUS सेटिंग्स, walled garden डोमेन और कस्टम स्प्लैश URL: https://login.venuewifi.com/ip/v2/meraki के साथ गेस्ट SSID को कॉन्फ़िगर करें। सभी 45 स्टोर नेटवर्क को इस टेम्प्लेट से बांधें (bind करें)।\n2. VLAN सेगमेंटेशन: प्रत्येक स्टोर के स्थानीय स्विच और फ़ायरवॉल पर, एक समर्पित Guest VLAN (जैसे, VLAN 50) कॉन्फ़िगर करें। Meraki SSID सेटिंग्स में, Client IP Assignment को 'External DHCP server' पर सेट करें और VLAN 50 निर्दिष्ट करें। सुनिश्चित करें कि फ़ायरवॉल VLAN 50 से कॉर्पोरेट सबनेट तक सभी राउटिंग को ब्लॉक करता है।\n3. लोकेशन एनालिटिक्स: Network-wide > Configure > General के अंतर्गत Meraki Dashboard में Meraki Scanning API (CMX) सक्षम करें। Purple पोस्ट URL और गुप्त सत्यापनकर्ता (secret validator) दर्ज करें। यह Meraki APs को फुटफॉल और ठहरने के समय की रिपोर्टिंग के लिए Purple के एनालिटिक्स इंजन में वास्तविक समय जांच अनुरोध डेटा (probe request data) स्ट्रीम करने की अनुमति देता है।

परीक्षक की टिप्पणी: बड़े पैमाने पर डिप्लॉयमेंट के लिए स्वचालन और टेम्प्लेट-आधारित प्रबंधन की आवश्यकता होती है। सभी नेटवर्क को एक ही टेम्प्लेट से बांधकर, भविष्य में कोई भी walled garden अपडेट (जैसे कि एक नया सोशल लॉगिन प्रदाता जोड़ना) सभी 45 स्टोरों पर तुरंत भेजा जा सकता है, जिससे मैन्युअल कॉन्फ़िगरेशन त्रुटियां समाप्त हो जाती हैं। RADIUS अकाउंटिंग के साथ Meraki Scanning API को सक्षम करना यह सुनिश्चित करता है कि रिटेलर सक्रिय गेस्ट सत्र एनालिटिक्स और निष्क्रिय आगंतुक फुटफॉल मेट्रिक्स दोनों को कैप्चर करे, जिससे डिप्लॉयमेंट के व्यावसायिक मूल्य को अधिकतम किया जा सके।

अभ्यास प्रश्न

Q1. एक नेटवर्क इंजीनियर Purple कैप्टिव पोर्टल के साथ एक नया Meraki गेस्ट SSID तैनात करता है। अप्रमाणित क्लाइंट्स को सफलतापूर्वक लॉगिन पेज पर रीडायरेक्ट कर दिया जाता है, लेकिन जब वे 'Log in with Google' का उपयोग करने का प्रयास करते हैं, तो पेज घूमता रहता है और अंततः DNS या टाइमआउट त्रुटि के साथ विफल हो जाता है। अन्य लॉगिन विधियां (जैसे ईमेल फॉर्म) पूरी तरह से काम करती हैं। इस समस्या का सबसे संभावित कारण क्या है, और इसे कैसे हल किया जाना चाहिए?

संकेत: विचार करें कि RADIUS प्रमाणीकरण पूरा होने से पहले Google OAuth हैंडशेक को पूरा करने के लिए क्लाइंट के ब्राउज़र को किन बाहरी डोमेन तक पहुँचना चाहिए।

मॉडल उत्तर देखें

सबसे संभावित कारण यह है कि Meraki SSID के Walled Garden कॉन्फ़िगरेशन से Google OAuth सहायक डोमेन गायब हैं। हालांकि मुख्य Purple डोमेन और CDN डोमेन की अनुमति है (यही कारण है कि स्प्लैश पेज लोड होता है), Google प्रमाणीकरण सर्वर AP के प्री-ऑथेंटिकेशन फ़ायरवॉल नियमों द्वारा ब्लॉक किए जा रहे हैं। इसे हल करने के लिए, Wireless > Configure > Access control पर जाएं, गेस्ट SSID का चयन करें, और Walled Garden सूची में निम्नलिखित Google OAuth डोमेन जोड़ें: accounts.google.com, *.googleapis.com, *.gstatic.com, और *.googleusercontent.com। एक बार सहेजने के बाद, AP क्लाइंट को Google प्रमाणीकरण हैंडशेक पूरा करने और RADIUS लॉगिन पूरा करने के लिए वापस Purple पर रीडायरेक्ट करने की अनुमति देगा।

Q2. एक उच्च-घनत्व वाले स्टेडियम WiFi नेटवर्क के डिप्लॉयमेंट के बाद के ऑडिट के दौरान, IT टीम देखती है कि गेस्ट VLAN (2048 IPs के साथ एक /21 सबनेट) के लिए DHCP पूल एक इवेंट के पहले 2 घंटों के भीतर पूरी तरह से समाप्त हो जाता है, भले ही सक्रिय समवर्ती कनेक्शन कभी भी 800 से अधिक न हों। RADIUS अकाउंटिंग सक्षम है। नेटवर्क आर्किटेक्ट इस समस्या को कम करने के लिए Meraki और RADIUS सेटिंग्स को कैसे समायोजित कर सकता है?

संकेत: उच्च-घनत्व वाले क्षणिक (transient) वातावरण में क्लाइंट सत्र टाइमआउट, निष्क्रिय टाइमआउट और DHCP लीज समय के बीच संबंध का विश्लेषण करें।

मॉडल उत्तर देखें

DHCP पूल की समाप्ति क्षणिक क्लाइंट्स (स्टेडियम के पास से गुजरने वाले या संक्षेप में प्रवेश करने वाले उपयोगकर्ता) के जुड़ने, एक IP पता प्राप्त करने और फिर स्थान छोड़ने के कारण होती है। चूंकि डिफ़ॉल्ट Meraki Session-Timeout या DHCP लीज समय बहुत लंबा है, इसलिए वे IP पते आरक्षित रहते हैं, भले ही भौतिक उपकरण अब मौजूद न हों। इसे हल करने के लिए, आर्किटेक्ट को तीन समन्वित परिवर्तन लागू करने चाहिए: 1) DHCP लीज समय कम करें: DHCP सर्वर (या DHCP को संभालने वाले Meraki सुरक्षा उपकरण) पर, लीज समय को घटाकर 10 या 15 मिनट कर दें। 2) निष्क्रिय टाइमआउट कॉन्फ़िगर करें: सुनिश्चित करें कि पोर्ट 1813 पर RADIUS अकाउंटिंग सक्षम है और RADIUS Access-Accept प्रोफ़ाइल में 10 मिनट (600释放) का Idle-Timeout कॉन्फ़िगर करें। यह Meraki AP को 10 मिनट तक निष्क्रिय रहने वाले किसी भी क्लाइंट के सत्र को समाप्त करने के लिए कहता है। 3) सत्र टाइमआउट छोटा करें: सक्रिय उपकरणों के समय-समय पर पुनर्मूल्यांकन को बाध्य करने के लिए स्टेडियम प्रोफ़ाइल के लिए वैश्विक Session-Timeout को घटाकर 120 मिनट (7200 सेकंड) कर दें।

Q3. एक MSP Purple कैप्टिव पोर्टल के साथ एक Meraki गेस्ट SSID को कॉन्फ़िगर कर रहा है। उन्होंने Meraki Dashboard में सही Purple RADIUS सर्वर IPs और पोर्ट (1812/1813) दर्ज किए हैं, लेकिन अंतर्निहित RADIUS 'Test' टूल के साथ परीक्षण करते समय, सभी एक्सेस पॉइंट सर्वर तक पहुँचने में विफल रहते हैं। MSP सत्यापित करता है कि RADIUS साझा गुप्त (shared secret) सही है और Purple क्लाउड ऑनलाइन है। MSP ने संभवतः किस राउटिंग या फ़ायरवॉल कॉन्फ़िगरेशन को नजरअंदाज कर दिया है?

संकेत: याद करें कि Cisco Meraki क्लाउड-प्रबंधित आर्किटेक्चर में RADIUS प्रमाणीकरण अनुरोध कहाँ से प्राप्त होते हैं।

मॉडल उत्तर देखें

MSP ने संभवतः स्थानीय AP सबनेट से आउटबाउंड RADIUS ट्रैफ़िक की अनुमति देने के लिए अपने स्थानीय नेटवर्क फ़ायरवॉल को कॉन्फ़िगर किया था, लेकिन वे भूल गए कि Meraki स्प्लैश पेज डिप्लॉयमेंट में, RADIUS Access-Requests सीधे Cisco Meraki Dashboard Cloud Infrastructure से प्राप्त होते हैं, न कि स्थानीय APs से। इसे हल करने के लिए, MSP को Meraki Dashboard की आउटबाउंड IP श्रेणियां (Meraki Dashboard में Help > Firewall info के अंतर्गत पाई जाने वाली) प्राप्त करनी होंगी और उन Meraki Dashboard IP श्रेणियों और Purple के क्लाउड RADIUS सर्वरों के बीच पोर्ट 1812 (प्रमाणीकरण) और 1813 (अकाउंटिंग) पर इनबाउंड और आउटबाउंड UDP ट्रैफ़िक की अनुमति देने के लिए अपने अपस्ट्रीम कॉर्पोरेट फ़ायरवॉल को कॉन्फ़िगर करना होगा। इसके अतिरिक्त, उन्हें यह सुनिश्चित करना होगा कि Meraki Dashboard IPs को Purple पोर्टल कॉन्फ़िगरेशन में मान्य RADIUS क्लाइंट के रूप में जोड़ा गया है।

इस श्रृंखला में आगे पढ़ें

Purple WiFi के साथ Grandstream GWN Access Points का एकीकरण

यह आधिकारिक तकनीकी संदर्भ गाइड विस्तार से बताती है कि Grandstream GWN access points को Purple के Guest WiFi और एनालिटिक्स प्लेटफॉर्म के साथ कैसे एकीकृत किया जाए। यह Grandstream कैप्टिव पोर्टल कॉन्फ़िगरेशन, RADIUS AAA सेटिंग्स, walled garden सेटअप, डायनेमिक VLAN स्टीयरिंग के साथ सुरक्षित स्टाफ 802.1X प्रमाणीकरण, और मल्टी-टेनेंट PPSK विभाजन को कवर करता है - जो बड़े पैमाने पर अतिथि और स्टाफ WiFi तैनात करने वाले MSPs और आईटी टीमों के लिए व्यावहारिक, चरण-दर-चरण मार्गदर्शन प्रदान करता है।

Cisco WLC और Catalyst एकीकरण Purple WiFi के साथ: चरण-दर-चरण अतिथि एक्सेस गाइड

यह गाइड Purple के साथ Cisco WLC और Catalyst 9800 Wireless के चरण-दर-चरण एकीकरण का विवरण देती है, जिसमें Central Web Authentication के माध्यम से Guest WiFi कैप्टिव पोर्टल रीडायरेक्शन, 802.1X EAP-TLS का उपयोग करके सुरक्षित Staff WiFi, और डायनेमिक VLAN असाइनमेंट के साथ Cisco Identity Pre-Shared Keys (iPSK) का उपयोग करके मल्टी-टेनेंट सेगमेंटेशन शामिल है। यह उन एंटरप्राइज नेटवर्क आर्किटेक्ट्स और IT सुरक्षा निदेशकों के लिए लिखी गई है जो हॉस्पिटैलिटी, रिटेल और बड़े सार्वजनिक वेन्यू में Cisco इन्फ्रास्ट्रक्चर को डिप्लॉय कर रहे हैं।

Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर एकीकरण

यह गाइड Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर को तैनात करने के लिए संपूर्ण एकीकरण प्लेबुक प्रदान करती है। इसमें CoovaChilli कैप्टिव पोर्टल कॉन्फ़िगरेशन, iptables वॉल्ड गार्डन प्रबंधन, hostapd के साथ 802.1X सुरक्षित स्टाफ WiFi, और डायनेमिक VLAN असाइनमेंट के साथ मल्टी-टेनेंट PPSK सेगमेंटेशन शामिल है - जो IT टीमों को किसी भी OpenWrt-सक्षम हार्डवेयर पर पहचान-आधारित नेटवर्क बनाने के लिए आवश्यक सटीक कॉन्फ़िगरेशन चरण प्रदान करता है।