HPE Aruba के लिए Captive Portal: इसे Purple गेस्ट WiFi के साथ सेटअप करें

ARUBA के लिए CAPTIVE PORTAL: ENTERPRISE GUEST WIFI के लिए PURPLE को एकीकृत करना एक Purple तकनीकी ब्रीफिंग - लगभग 10 मिनट [परिचय और संदर्भ - लगभग 1 मिनट] Purple तकनीकी ब्रीफिंग श्रृंखला में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम एक ऐसे विषय पर बात कर रहे हैं जो हमारे लगभग हर एंटरप्राइज वायरलेस डिप्लॉयमेंट बातचीत में सामने आता है: Aruba इंफ्रास्ट्रक्चर पर एक captive portal को कैसे कॉन्फ़िगर करें, और विशेष रूप से, उस पोर्टल को Purple के गेस्ट WiFi इंटेलिजेंस प्लेटफॉर्म से कैसे जोड़ें। यदि आप Aruba Instant APs चला रहे हैं, या आप Aruba Central के माध्यम से एक्सेस पॉइंट्स के समूह का प्रबंधन कर रहे हैं, तो यह एपिसोड आपके लिए है। हम तेजी से आगे बढ़ेंगे - यह एक प्रैक्टिशनर ब्रीफिंग है, कोई लेक्चर नहीं - इसलिए मैं यह मानकर चलूँगा कि आप WLAN कॉन्फ़िगरेशन स्क्रीन को अच्छी तरह समझते हैं और आप RADIUS ऑथेंटिकेशन की बुनियादी बातों से परिचित हैं। मुख्य समस्या जिसका हम समाधान कर रहे हैं वह यह है: Aruba का बिल्ट-इन गेस्ट पोर्टल कार्यात्मक तो है, लेकिन यह सीमित है। यह आपको मार्केटिंग डेटा कैप्चर, GDPR-अनुपालन वाले सहमति प्रवाह, या रीयल-टाइम एनालिटिक्स प्रदान नहीं करता है जिसकी एंटरप्राइज वेन्यू को आवश्यकता होती है। इसे Purple के बाहरी captive portal से बदलना सही आर्किटेक्चरल निर्णय है, और आज मैं आपको बताऊंगा कि इसे बिल्कुल कैसे करना है। [तकनीकी गहन विश्लेषण - लगभग 5 मिनट] आइए आर्किटेक्चर से शुरुआत करते हैं। जब कोई गेस्ट आपके Aruba SSID से जुड़ता है और एक ब्राउज़र खोलता है, तो AP TCP पोर्ट 80 पर उस HTTP अनुरोध को इंटरसेप्ट करता है और उसे बाहरी पोर्टल URL - इस मामले में, Purple के क्लाउड-होस्टेड स्प्लैश पेज पर रीडायरेक्ट करता है। गेस्ट Purple के पोर्टल के माध्यम से ऑथेंटिकेट करता है, जो फिर UDP पोर्ट 1812 पर Purple के RADIUS सर्वर को एक RADIUS Access-Request भेजता है। सफल होने पर, RADIUS सर्वर एक Access-Accept संदेश लौटाता है, और AP क्लाइंट को पूर्ण इंटरनेट एक्सेस प्रदान करता है। पूरे सत्र के दौरान UDP पोर्ट 1813 पर अकाउंटिंग रिकॉर्ड भेजे जाते हैं। यह मूल प्रवाह है। अब आइए कॉन्फ़िगरेशन पर आते हैं। दो प्रबंधन प्लेन हैं जिनके साथ आप काम कर रहे होंगे: Aruba Instant, जो ArubaOS 8.x चलाने वाला ऑन-प्रिमाइसेस वर्चुअल कंट्रोलर मॉडल है, और Aruba Central, जो HPE का क्लाउड प्रबंधन प्लेटफॉर्म है। कॉन्फ़िगरेशन के चरण सिद्धांत रूप में समान हैं लेकिन सेटिंग्स खोजने के स्थान में भिन्न हैं। ArubaOS 8 पर Aruba Instant के साथ शुरुआत करते हैं। सबसे पहले, आप अपने RADIUS सर्वर को कॉन्फ़िगर करेंगे। Security पर जाएं, फिर Authentication Server पर जाएं, और New पर क्लिक करें। आपको Purple के प्लेटफॉर्म से चार जानकारियों की आवश्यकता होगी: प्राइमरी सर्वर IP एड्रेस, ऑथेंटिकेशन पोर्ट - आमतौर पर 1812 - अकाउंटिंग पोर्ट - आमतौर पर 1813 - और शेयर्ड सीक्रेट। Purple इन्हें आपके वेन्यू कॉन्फ़िगरेशन डैशबोर्ड में प्रदान करता है। लचीलेपन के लिए एक सेकेंडरी सर्वर जोड़ें; Purple एक मल्टी-रीजन RADIUS इंफ्रास्ट्रक्चर संचालित करता है, इसलिए आपके पास भौगोलिक रूप से उपयुक्त बैकअप होगा। इसके बाद, External Captive Portal प्रोफाइल बनाएं। Security पर जाएं, फिर Captive Portal पर, New पर क्लिक करें, और Type को External पर सेट करें। अपने Purple वेन्यू कॉन्फ़िगरेशन से स्प्लैश पेज URL दर्ज करें - यह एक Purple-होस्टेड HTTPS एंडपॉइंट होगा। पोर्ट को 443 पर सेट करें, Use HTTPS को सक्षम करें, और महत्वपूर्ण रूप से, WISPr फ़ील्ड को Enabled पर सेट करें। WISPr - यानी Wireless Internet Service Provider roaming - वह प्रोटोकॉल है जो डिवाइसेज को captive portal का ऑटो-डिटेक्ट करने और इसे सही ढंग से प्रस्तुत करने की अनुमति देता है, विशेष रूप से iOS और Android डिवाइसेज पर जो बैकग्राउंड captive portal डिटेक्शन का उपयोग करते हैं। WISPr सक्षम किए बिना, कुछ डिवाइसेज स्वचालित रूप से पोर्टल को ट्रिगर करने में विफल रहेंगे। अब, Guest SSID। एक नया WLAN बनाएं, Primary Usage को Guest पर सेट करें, और Security टैब में, Splash Page Type को External - RADIUS Server पर सेट करें। अभी-अभी बनाए गए captive portal प्रोफाइल और RADIUS सर्वर को असाइन करें। Reauth Interval को कुछ समझदारी भरे मूल्य पर सेट करें - 1440 मिनट, जो कि 24 घंटे है, हॉस्पिटैलिटी परिवेशों के लिए एक सामान्य विकल्प है। यदि आप चाहते हैं कि वापस आने वाले मेहमान उस विंडो के भीतर अगली विज़िट पर पोर्टल को बायपास कर सकें, तो MAC प्रमाणीकरण सक्षम करें। AOS-8 पर Aruba Central के लिए, फ़्लो मूल रूप से वही है लेकिन इसे Devices, Config, WLANs के अंतर्गत WLAN विजार्ड के माध्यम से एक्सेस किया जाता है। Security Level को Visitors पर, Type को External Captive Portal पर सेट करें, और Purple स्प्लैश URL के साथ एक नया captive portal प्रोफाइल बनाएं। अपने प्राथमिक और द्वितीयक RADIUS सर्वर जोड़ें, अकाउंटिंग सक्षम करें, और पांच मिनट का अकाउंटिंग इंटरवल सेट करें। यह इंटरवल महत्वपूर्ण है - यह सुनिश्चित करता है कि Purple के एनालिटिक्स प्लेटफॉर्म को सटीक ड्वेल टाइम और एंगेजमेंट रिपोर्टिंग के लिए नियमित सत्र अपडेट मिलते रहें। AOS-10 पर, जो कि क्लाउड-फर्स्ट आर्किटेक्चर है, एक महत्वपूर्ण अंतर है: वॉल्ड गार्डन अब WLAN Security टैब में कॉन्फ़िगर नहीं किया जाता है। इसके बजाय, आप इसे Access Rules के माध्यम से कॉन्फ़िगर करते हैं। आप एक प्री-ऑथेंटिकेशन रोल बनाते हैं - इसे Guest Logon कहें - और वॉल्ड गार्डन व्हाइटलिस्ट में प्रत्येक डोमेन के लिए अनुमति नियम जोड़ते हैं। फिर आप उस रोल को SSID पर Pre-Authentication Role के रूप में असाइन करते हैं। वॉल्ड गार्डन की बात करें तो - यहीं पर अधिकांश डिप्लॉयमेंट गलत हो जाते हैं। वॉल्ड गार्डन उन डोमेन की सूची है जहां अनऑथेंटिकेटेड मेहमान पोर्टल फ़्लो पूरा करने से पहले पहुंच सकते हैं। इन प्रविष्टियों के बिना, पोर्टल स्वयं लोड नहीं होगा, क्योंकि मेहमान का डिवाइस स्प्लैश पेज एसेट्स डाउनलोड करने के लिए Purple CDN तक नहीं पहुंच सकता है। अनिवार्य Purple प्रविष्टियां हैं: star dot purple dot ai, star dot cloudfront dot net, और star dot venuewifi dot com। यदि आप सोशल लॉगिन का उपयोग कर रहे हैं - Google, Facebook, Apple, Microsoft - तो आपको प्रत्येक प्रदाता के लिए संबंधित OAuth डोमेन जोड़ने होंगे। Google के लिए star dot google dot com, star dot googleapis dot com, और star dot gstatic dot com की आवश्यकता होती है। Facebook के लिए star dot facebook dot com, star dot fbcdn dot net, और connect dot facebook dot net की आवश्यकता होती है। Apple साइन-इन के लिए star dot apple dot com और appleid dot apple dot com की आवश्यकता होती है। Microsoft Entra ID के लिए star dot microsoft dot com और star dot microsoftonline dot com की आवश्यकता होती है। ध्यान देने योग्य एक बात: Aruba पर, आप captive portal प्रोफाइल में Automatic URL Whitelisting को सक्षम कर सकते हैं। यह फीचर उन URLs को गतिशील रूप से व्हाइटलिस्ट करता है जिन्हें पोर्टल पेज संदर्भित करता है। यह एक फॉलबैक के रूप में उपयोगी है, लेकिन मैं उत्पादन में स्वचालित व्हाइटलिस्टिंग पर निर्भर रहने के बजाय स्पष्ट रूप से वल्ड गार्डन को कॉन्फ़िगर करने की सलाह दूंगा - यह अधिक पूर्वानुमानित और ऑडिट करने में आसान है। आइए विशेष रूप से RADIUS मापदंडों के बारे में बात करते हैं। मुख्य विशेषताएं जो Purple उपयोग करती हैं वे हैं: NAS-IP-Address, जो आपके AP या कंट्रोलर की पहचान करता है; Called-Station-Id, जो MAC-address:SSID-name के प्रारूप में BSSID और SSID को ले जाता है - Purple इसका उपयोग विशिष्ट स्थानों और एक्सेस पॉइंट्स पर सेशन को मैप करने के लिए करता है; और Calling-Station-Id, जो क्लाइंट MAC एड्रेस है। अकाउंटिंग की बात करें तो, Acct-Session-Id विशिष्ट सेशन आइडेंटिफायर प्रदान करता है, और Acct-Status-Type में Start, Interim-Update, और Stop इवेंट होते हैं। सुनिश्चित करें कि आपका Aruba कॉन्फ़िगरेशन इन तीनों अकाउंटिंग इवेंट प्रकारों को भेज रहा है - कुछ परिनियोजन केवल Start और Stop भेजते हैं, जिसका अर्थ है कि Purple के एनालिटिक्स सटीक ड्वेल टाइम की गणना के लिए आवश्यक अंतरिम सेशन डेटा खो देते हैं। [कार्यान्वयन की सिफारिशें और कमियां - लगभग 2 मिनट] मैं आपको व्यावहारिक सिफारिशें देना चाहता हूँ जो मैं इस परिनियोजन को करने वाले किसी भी क्लाइंट को दूंगा। पहला: लाइव होने से पहले हमेशा एक समर्पित परीक्षण डिवाइस के साथ परीक्षण करें। गेस्ट SSID से कनेक्ट करें, एक HTTP URL - HTTPS नहीं - पर ब्राउज़र खोलें और सत्यापित करें कि रीडायरेक्ट काम कर रहा है। यदि आप सीधे HTTPS पर जाते हैं, तो रीडायरेक्ट काम नहीं करेगा क्योंकि AP एन्क्रिप्टेड ट्रैफ़िक को रोक नहीं सकता है। यह नंबर वन सपोर्ट कॉल है जो हम देखते हैं। दूसरा: फ़ायरवॉल नियम। आपके AP मैनेजमेंट VLAN या कंट्रोलर को पोर्ट 1812 और 1813 पर Purple के RADIUS सर्वर IPs पर आउटबाउंड UDP एक्सेस की आवश्यकता होती है। यदि आपके APs और इंटरनेट के बीच एक स्टेटफुल फ़ायरवॉल है, तो सुनिश्चित करें कि यह इन UDP फ्लो की अनुमति देता है। RADIUS कनेक्शन रहित है, इसलिए कुछ फ़ायरवॉल को स्टेटफुल इंस्पेक्शन पर निर्भर रहने के बजाय स्पष्ट नियमों की आवश्यकता होती है। तीसरा: सर्टिफिकेट ट्रस्ट। जब आप स्प्लैश पेज URL को HTTPS के रूप में कॉन्फ़िगर करते हैं, तो AP को Purple के पोर्टल सर्वर द्वारा प्रस्तुत सर्टिफिकेट पर भरोसा करना होगा। Aruba Central पर, पोर्टल रीडायरेक्ट HTTPS पर सही ढंग से काम करने से पहले आपको वैश्विक सेटिंग्स में एक विश्वसनीय CA सर्टिफिकेट इम्पोर्ट करने की आवश्यकता हो सकती है। Purple व्यापक रूप से विश्वसनीय CA के सर्टिफिकेट का उपयोग करता है, लेकिन आपके परिवेश में इसे सत्यापित करना उचित है। चौथा: VLAN सेगमेंटेशन। आपका गेस्ट SSID एक समर्पित VLAN पर होना चाहिए जो आपके कॉर्पोरेट नेटवर्क से अलग हो। यह एक सुरक्षा आवश्यकता भी है - PCI-DSS कार्डधारक डेटा वातावरण के लिए नेटवर्क सेगमेंटेशन की आवश्यकता होती है - और कैप्टिव पोर्टल कार्यक्षमता के लिए एक व्यावहारिक आवश्यकता भी है। गेस्ट VLAN के पास इंटरनेट एक्सेस होना चाहिए लेकिन आंतरिक संसाधनों का कोई रूट नहीं होना चाहिए। पांचवां: WISPr सेटिंग। मैंने इसका उल्लेख पहले भी किया था लेकिन इसे दोहराना जरूरी है। WISPr को सक्षम करें। इसके बिना, विशेष रूप से iOS डिवाइस स्वचालित रूप से कैप्टिव पोर्टल का पता नहीं लगा पाएंगे, और मेहमानों को एक भ्रमित करने वाला अनुभव होगा जहां वे कनेक्टेड दिखाई देते हैं लेकिन उनके पास इंटरनेट एक्सेस नहीं होता है।[त्वरित प्रश्नोत्तर - लगभग 1 मिनट] आइए उन प्रश्नों पर नज़र डालें जो मुझसे अक्सर पूछे जाते हैं। क्या मैं Aruba Instant On - जो छोटे व्यवसायों के लिए उत्पाद है - का उपयोग Purple के साथ कर सकता हूँ? हाँ, कुछ सीमाओं के साथ। Instant On बाहरी Captive Portal का समर्थन करता है, लेकिन इसका कॉन्फ़िगरेशन इंटरफ़ेस पूर्ण Aruba Central की तुलना में अधिक सीमित है। Purple के पास एक समर्पित Instant On एकीकरण मार्गदर्शिका है। क्या Purple एन्क्रिप्टेड RADIUS के लिए RadSec का समर्थन करता है? हाँ। Purple उन डिप्लॉयमेंट के लिए TLS पर RADIUS - RadSec - का समर्थन करता है जहाँ RADIUS ट्रैफ़िक अविश्वसनीय नेटवर्क से होकर गुज़रता है। यह क्लाउड-प्रबंधित डिप्लॉयमेंट के लिए विशेष रूप से प्रासंगिक है जहाँ RADIUS एक्सचेंज सार्वजनिक इंटरनेट को पार करता है। यदि Purple पोर्टल अनुपलब्ध हो तो क्या होगा? आप Captive Portal विफलता सेटिंग को या तो Deny Internet (इंटरनेट अस्वीकार करें) पर कॉन्फ़िगर कर सकते हैं - जो कि सुरक्षित डिफ़ॉल्ट है - या Allow Internet (इंटरनेट की अनुमति दें) पर, जो एक फ़ॉलबैक ओपन एक्सेस मोड प्रदान करता है। अधिकांश एंटरप्राइज़ स्थानों के लिए, Deny Internet ही सही विकल्प है। क्या मैं एक ही Aruba इन्फ्रास्ट्रक्चर पर विभिन्न Purple स्थानों के साथ कई SSID चला सकता हूँ? बिल्कुल। प्रत्येक SSID को अपना स्वयं का Captive Portal प्रोफ़ाइल मिलता है जो एक अलग Purple स्थान URL की ओर संकेत करता है। Called-Station-Id RADIUS एट्रिब्यूट में SSID नाम होता है, जिसका उपयोग Purple सत्र को सही स्थान कॉन्फ़िगरेशन पर रूट करने के लिए करता है। [सारांश और अगले चरण - लगभग 1 मिनट] आइए इस पर संक्षेप में बात करें। Aruba इन्फ्रास्ट्रक्चर पर बाहरी Captive Portal के रूप में Purple को डिप्लॉय करना एक अच्छी तरह से परखा हुआ एकीकरण मार्ग है। मुख्य चरण हैं: Purple के क्रेडेंशियल्स के साथ अपने RADIUS सर्वर को कॉन्फ़िगर करें, WISPr सक्षम के साथ आपके Purple स्प्लैश URL की ओर संकेत करते हुए एक बाहरी Captive Portal प्रोफ़ाइल बनाएं, बाहरी RADIUS सर्वर स्प्लैश प्रकार के साथ अपना गेस्ट SSID बनाएं, और अपने वॉल्ड गार्डन को Purple कोर डोमेन के साथ-साथ आपके द्वारा सक्षम किए जा रहे किसी भी सोशल लॉगिन प्रदाता डोमेन के साथ कॉन्फ़िगर करें। AOS-10 का अंतर जो याद रखना है वह यह है कि वॉल्ड गार्डन कॉन्फ़िगरेशन WLAN सुरक्षा टैब के बजाय एक्सेस नियमों में स्थानांतरित हो जाता है। व्यावसायिक दृष्टिकोण से, Aruba के बुनियादी स्थानीय पोर्टल को Purple से बदलने से आपको GDPR-अनुपालन डेटा कैप्चर, रीयल-टाइम लोकेशन एनालिटिक्स, जनसांख्यिकीय रिपोर्टिंग और मार्केटिंग ऑटोमेशन मिलता है - वह भी उसी WiFi इन्फ्रास्ट्रक्चर से जो आपके पास पहले से है। आपके अगले कदमों के लिए: Purple डैशबोर्ड से अपने Purple स्थान RADIUS क्रेडेंशियल्स प्राप्त करें, साथ में दी गई लिखित मार्गदर्शिका में कॉन्फ़िगरेशन चेकलिस्ट का पालन करें, और प्रोडक्शन में लागू करने से पहले एक समर्पित डिवाइस के साथ परीक्षण करें। यदि आप इसे कई साइटों पर डिप्लॉय कर रहे हैं, तो Purple का मल्टी-साइट प्रबंधन कंसोल आपको एक ही इंटरफ़ेस से आपके पूरे एस्टेट में Captive Portal कॉन्फ़िगरेशन, ब्रांडिंग और एनालिटिक्स को प्रबंधित करने की अनुमति देता है। सुनने के लिए धन्यवाद। पूरी लिखित मार्गदर्शिका, कॉन्फ़िगरेशन तालिकाएँ और वॉल्ड गार्डन संदर्भ सूचियाँ purple.ai पर उपलब्ध हैं। अगली बार तक के लिए धन्यवाद। [स्क्रिप्ट का अंत]