Cisco Catalyst WLC और guest WiFi: Purple के साथ captive portal सेटअप

Purple तकनीकी ब्रीफिंग श्रृंखला में आपका स्वागत है। आज हम उस विषय को कवर कर रहे हैं जो हॉस्पिटैलिटी, रिटेल या बड़े पैमाने के वेन्यू में काम करने वाले लगभग हर एंटरप्राइज़ नेटवर्क आर्किटेक्ट के डेस्क पर आता है: Cisco Wireless LAN Controllers और Catalyst वायरलेस इंफ्रास्ट्रक्चर को Purple के Guest WiFi प्लेटफॉर्म के साथ एकीकृत करना। यदि आप Cisco Catalyst 9800 श्रृंखला के कंट्रोलर या लीगेसी AireOS प्लेटफॉर्म चला रहे हैं, और आपको एक अनुपालन, खंडित, एनालिटिक्स-संचालित गेस्ट नेटवर्क प्रदान करना है, तो यह ब्रीफिंग आपके लिए है। [medium pause] आइए संदर्भ से शुरू करते हैं। Purple दुनिया भर में 80,000 से अधिक लाइव वेन्यू में काम करता है, और Cisco एंटरप्राइज़ वातावरण में प्रमुख वायरलेस इंफ्रास्ट्रक्चर विक्रेता है। इन दोनों प्लेटफॉर्मों को एक साथ सुचारू रूप से काम करना जटिल नहीं है, लेकिन इसके लिए आपको शुरुआत में ही सही आर्किटेक्चरल निर्णय लेने की आवश्यकता होती है। यदि आप इन्हें गलत करते हैं, तो आप रीडायरेक्ट लूप, VLAN मिसमैच और RADIUS टाइमआउट को ठीक करने में हफ्तों बिता देंगे। यदि आप इन्हें सही करते हैं, तो आपके पास एक ऐसा नेटवर्क होगा जो मेहमानों, कर्मचारियों और IoT उपकरणों को स्वचालित रूप से खंडित करता है, अनुपालन के साथ फर्स्ट-पार्टी डेटा एकत्र करता है, और बिना किसी मैन्युअल हस्तक्षेप के सैकड़ों साइटों पर स्केल करता है। [medium pause] तो आइए आर्किटेक्चर को समझते हैं। [short pause] जब कोई गेस्ट Cisco परिनियोजन पर आपके WiFi नेटवर्क से कनेक्ट होता है, तो इंटरनेट तक पहुंचने से पहले तीन चीजें होनी आवश्यक हैं। पहला, Cisco Catalyst 9800 WLC को उस प्रारंभिक HTTP अनुरोध को इंटरसेप्ट करना होगा और क्लाइंट को Purple के Captive Portal पर रीडायरेक्ट करना होगा। दूसरा, Purple के पोर्टल को उपयोगकर्ता को प्रमाणित करना होगा, चाहे वह सोशल लॉगिन, ईमेल, SMS या साधारण नियम और शर्तों की स्वीकृति के माध्यम से हो। तीसरा, Purple के RADIUS सर्वर को WLC को वापस संकेत देना होगा कि उपयोगकर्ता अधिकृत है, और वैकल्पिक रूप से उन्हें एक विशिष्ट VLAN में असाइन करना होगा। [medium pause] चरण एक को संभालने वाले तंत्र को एक्सटर्नल वेब ऑथेंटिकेशन या EWA कहा जाता है। Catalyst 9800 पर, आप एक वेब ऑथेंटिकेशन पैरामीटर मैप कॉन्फ़िगर करते हैं जो Purple के स्प्लैश पेज URL की ओर इंगित करता है। WLC अप्रमाणित क्लाइंट्स से आने वाले सभी HTTP ट्रैफ़िक को रोकता है और उस URL पर 302 रीडायरेक्ट जारी करता है। आपको एक प्री-ऑथेंटिकेशन ACL को कॉन्फ़िगर करने, या 9800 के URL फ़िल्टर फीचर का उपयोग करने की भी आवश्यकता होगी, ताकि Purple के पोर्टल IP एड्रेस को व्हाइटलिस्ट किया जा सके ताकि क्लाइंट अधिकृत होने से पहले वास्तव में स्प्लैश पेज तक पहुंच सकें। Purple अपने पोर्टल के लिए दो IP एड्रेस प्रदान करता है, और आपको अपने प्री-ऑथ ACL में दोनों को अनुमति देनी होगी। [medium pause] Catalyst 9800 के लिए कॉन्फ़िगरेशन अनुक्रम इस प्रकार है। सबसे पहले, पैरामीटर मैप बनाएं। फिर प्री-ऑथेंटिकेशन के लिए Purple के डोमेन को अनुमति देने के लिए अपना URL फ़िल्टर कॉन्फ़िगर करें। इसे अपने WLAN पॉलिसी प्रोफाइल पर लागू करें, लेयर 2 सुरक्षा को None पर सेट करें, लेयर 3 पर वेब पॉलिसी सक्षम करें, और इसे अपने पैरामीटर मैप की ओर इंगित करें। [medium pause] अब, RADIUS। Purple इस आर्किटेक्चर में RADIUS सर्वर के रूप में कार्य करता है। आप WLC को Purple के RADIUS एंडपॉइंट पर इंगित करने के लिए कॉन्फ़िगर करते हैं, जिसे आप Purple डैशबोर्ड में अपने स्थान के नेटवर्क सेटिंग्स के अंतर्गत पाएंगे। साझा सीक्रेट प्रति-स्थान जनरेट किया जाता है। Catalyst 9800 पर, Configuration, Security, AAA, Servers पर जाएं, और सही IP और साझा सीक्रेट के साथ Purple का RADIUS सर्वर जोड़ें। फिर एक सर्वर ग्रुप, एक ऑथेंटिकेशन मेथड लिस्ट बनाएं, और इसे अपने WLAN पर लागू करें। [medium pause] एक बात जो लोगों को परेशान करती है: 9800 पर, आपको ग्लोबल वेब ऑथेंटिकेशन पैरामीटर मैप में वर्चुअल IP एड्रेस भी कॉन्फ़िगर करना होगा। वर्चुअल IPv4 एड्रेस के रूप में 192.0.2.1 का उपयोग करें। यदि आप इसे छोड़ देते हैं, तो क्लाइंट कभी-कभी Purple के पोर्टल के बजाय आंतरिक पोर्टल पर रीडायरेक्ट हो जाते हैं, और आप परेशान होते हुए दोपहर बिता देंगे कि ऐसा क्यों हो रहा है। [medium pause] आइए 802.1X के साथ स्टाफ WiFi पर आगे बढ़ें। [short pause] स्टाफ नेटवर्क के लिए, आप EAP-TLS का उपयोग करके सर्टिफिकेट-आधारित ऑथेंटिकेशन चाहते हैं, या उन वातावरणों के लिए कम से कम MSCHAPv2 के साथ PEAP चाहते हैं जहां सर्टिफिकेट डिप्लॉयमेंट संभव नहीं है। Catalyst 9800 पर, स्टाफ के लिए एक अलग WLAN बनाएं, लेयर 2 सुरक्षा को WPA2 Enterprise पर सेट करें, और ऑथेंटिकेशन को अपने RADIUS सर्वर पर इंगित करें। यदि आप अपने आइडेंटिटी प्रोवाइडर के रूप में Microsoft Entra ID या Okta का उपयोग कर रहे हैं, तो Purple का SecurePass ऐड-ऑन RADIUS प्रॉक्सी के रूप में कार्य करता है, जो 802.1X ऑथेंटिकेशन अनुरोधों को आइडेंटिटी प्रोवाइडर लुकअप में अनुवादित करता है। इसका मतलब है कि आपको स्टाफ ऑथेंटिकेशन के लिए एक अलग ऑन-प्रिमाइसेस RADIUS सर्वर की आवश्यकता नहीं है। Purple, EAP टर्मिनेशन को संभालता है और आइडेंटिटी चेक को आपके आइडेंटिटी प्रोवाइडर को फॉरवर्ड करता है। [medium pause] विशेष रूप से EAP-TLS के लिए, आपको Microsoft Intune, Jamf, या इसी तरह के MDM प्लेटफॉर्म के माध्यम से स्टाफ डिवाइसों पर क्लाइंट सर्टिफिकेट डिप्लॉय करने की आवश्यकता होगी। सर्टिफिकेट चेन पर Purple के RADIUS सर्वर द्वारा भरोसा किया जाना चाहिए, जिसका अर्थ है कि आपको अपना रूट CA सर्टिफिकेट Purple डैशबोर्ड पर अपलोड करना होगा। एक बार जब यह लागू हो जाता है, तो स्टाफ डिवाइस बिना किसी पासवर्ड प्रॉम्प्ट, बिना किसी स्पलैश पेज के चुपचाप ऑथेंटिकेट हो जाते हैं। यूजर कनेक्ट होता है, सर्टिफिकेट सत्यापित होता है, और वे कुछ ही सेकंड में स्टाफ VLAN पर आ जाते हैं। [medium pause] अब, वह हिस्सा जिसे अधिकांश आर्किटेक्ट वास्तव में दिलचस्प पाते हैं: Cisco आइडेंटिटी PSK, या iPSK। [short pause] iPSK एक विशिष्ट समस्या का समाधान करता है जो मल्टी-टेनेंट वातावरण में लगातार सामने आती है। 300 कमरों वाले एक होटल की कल्पना करें, या 50 स्टोर वाले रिटेल एस्टेट की, या 200 अपार्टमेंट वाले बिल्ड-टू-रेंट डेवलपमेंट की। आप एक सिंगल SSID चाहते हैं, लेकिन आपको प्रत्येक टेनेंट, प्रत्येक कमरे, या प्रत्येक डिवाइस ग्रुप को उसके अपने VLAN पर आइसोलेट करने की आवश्यकता है। पारंपरिक समाधान प्रति टेनेंट एक अलग SSID बनाना था, जो स्केल नहीं करता और रेडियो फ्रीक्वेंसी कंजेशन पैदा करता है। iPSK आपको एक सिंगल SSID देता है जहां प्रत्येक क्लाइंट या क्लाइंट के ग्रुप के पास एक यूनिक प्री-शेयर्ड की होती है, और RADIUS सर्वर उस की को एक विशिष्ट VLAN से मैप करता है। [medium pause] यह तकनीकी रूप से इस प्रकार काम करता है। जब कोई क्लाइंट SSID से जुड़ता है, तो Catalyst 9800 WLC, Purple के RADIUS सर्वर को एक RADIUS Access-Request भेजता है, जिसमें क्लाइंट का MAC एड्रेस शामिल होता है। Purple का RADIUS सर्वर अपने iPSK डेटाबेस में उस MAC एड्रेस को खोजता है, उससे जुड़े PSK और VLAN असाइनमेंट को ढूंढता है, और एक RADIUS Access-Accept वापस करता है जिसमें PSK के साथ Cisco AV-pair और VLAN असाइनमेंट के लिए IETF टनल एट्रिब्यूट्स होते हैं। WLC प्राप्त PSK का उपयोग WPA2 फोर-वे हैंडशेक को पूरा करने के लिए करता है, और फिर क्लाइंट को असाइन किए गए VLAN पर रख देता है। [medium pause] डायनेमिक VLAN असाइनमेंट के लिए आपको जिन तीन RADIUS एट्रिब्यूट्स की आवश्यकता होती है, वे हैं: IETF एट्रिब्यूट 64, Tunnel-Type, जिसे VLAN पर 13 की वैल्यू के साथ सेट किया जाता है। IETF एट्रिब्यूट 65, Tunnel-Medium-Type, जिसे 802 पर 6 की वैल्यू के साथ सेट किया जाता है। और IETF एट्रिब्यूट 81, Tunnel-Private-Group-ID, जिसे VLAN ID के रूप में एक स्ट्रिंग सेट किया जाता है। ये तीन एट्रिब्यूट्स, जिन्हें RADIUS Access-Accept में एक साथ भेजा जाता है, WLC को बताते हैं कि वास्तव में किस VLAN को असाइन करना है। VLAN पहले से ही WLC पर एक डायनेमिक इंटरफ़ेस के रूप में मौजूद होना चाहिए, और अपलिंक स्विच पोर्ट को एक ट्रंक के रूप में कॉन्फ़िगर किया जाना चाहिए जो सभी प्रासंगिक VLANs को ले जाता है। [medium pause] WLC साइड पर, iPSK WLAN पर MAC फ़िल्टरिंग सक्षम करें, AAA Override सक्षम करें, और लेयर 2 सुरक्षा को WPA2-PSK पर सेट करें। WLAN पर आपके द्वारा कॉन्फ़िगर किया गया ग्लोबल PSK केवल एक फ़ॉलबैक के रूप में कार्य करता है। RADIUS द्वारा दिया गया PSK उस किसी भी क्लाइंट के लिए प्राथमिकता लेता है जिसका MAC एड्रेस Purple के iPSK डेटाबेस में पंजीकृत है। अपंजीकृत उपकरणों के लिए, आप अपनी नीति के आधार पर या तो एक्सेस को अस्वीकार कर सकते हैं या ग्लोबल PSK पर वापस जा सकते हैं। [medium pause] इस बात को ठोस बनाने के लिए मैं आपको दो वास्तविक दुनिया के परिदृश्य देता हूँ। [short pause] पहला परिदृश्य: एक 200 कमरों का होटल। होटल चाहता है कि मेहमान केवल इंटरनेट एक्सेस के साथ VLAN 10 पर हों, स्टाफ VLAN 20 पर प्रॉपर्टी मैनेजमेंट सिस्टम तक एक्सेस के साथ हो, और IoT डिवाइस, दरवाजों के लॉक, थर्मोस्टेट, CCTV, बिना इंटरनेट एक्सेस के VLAN 30 पर हों। वे Cisco 9100 सीरीज़ एक्सेस पॉइंट्स के साथ Cisco Catalyst 9800 कंट्रोलर चला रहे हैं। [medium pause] आर्किटेक्चर: WLC पर तीन पॉलिसी प्रोफाइल, प्रति VLAN एक। Purple की ओर इशारा करते हुए एक्सटर्नल वेब ऑथेंटिकेशन का उपयोग करने वाले मेहमानों के लिए एक सिंगल SSID। WPA2 Enterprise का उपयोग करने वाले कर्मचारियों के लिए एक अलग SSID, जिसमें EAP-TLS का उपयोग किया गया है और Microsoft Entra ID के विरुद्ध Purple SecurePass के माध्यम से ऑथेंटिकेट किया गया है। और IoT उपकरणों के लिए iPSK, जिसमें प्रत्येक डिवाइस का MAC एड्रेस Purple के पोर्टल में पंजीकृत है और VLAN 30 को असाइन किया गया है। होटल का प्रॉपर्टी मैनेजमेंट सिस्टम Purple के API के माध्यम से नए IoT उपकरणों को प्रोविज़न करता है, इसलिए जब एक नया दरवाजा लॉक स्थापित किया जाता है, तो उसका MAC एड्रेस स्वचालित रूप से पंजीकृत हो जाता है और सही VLAN को असाइन हो जाता है। किसी मैन्युअल RADIUS कॉन्फ़िगरेशन की आवश्यकता नहीं है। [medium pause] दूसरा परिदृश्य: 80 स्टोर वाली एक रिटेल चेन। प्रत्येक स्टोर में एक गेस्ट WiFi नेटवर्क, एक स्टाफ नेटवर्क और भुगतान टर्मिनलों के लिए एक नेटवर्क है। PCI DSS अनुपालन के लिए आवश्यक है कि भुगतान टर्मिनल नेटवर्क गेस्ट नेटवर्क से पूरी तरह से अलग हो। रिटेलर प्रत्येक साइट पर Cisco Catalyst 9800-L कंट्रोलर का उपयोग करता है, जिसे Cisco Catalyst Centre के माध्यम से केंद्रीय रूप से प्रबंधित किया जाता है। [medium pause] Purple को क्लाउड ओवरले के रूप में तैनात किया गया है। प्रत्येक स्टोर के WLC को Purple के RADIUS सर्वर विवरण के साथ कॉन्फ़िगर किया गया है। गेस्ट प्रमाणीकरण ईमेल कैप्चर के साथ एक ब्रांडेड स्प्लैश पेज का उपयोग करता है, जो Purple के एनालिटिक्स प्लेटफ़ॉर्म में फ़र्स्ट-पार्टी डेटा फीड करता है। स्टाफ प्रमाणीकरण Purple SecurePass के माध्यम से Active Directory के विरुद्ध PEAP का उपयोग करता है। भुगतान टर्मिनल एक समर्पित VLAN के साथ iPSK का उपयोग करते हैं, और प्री-ऑथ ACL विशेष रूप से भुगतान VLAN और गेस्ट VLAN के बीच किसी भी ट्रैफ़िक को ब्लॉक करता है, जो नेटवर्क सेगमेंटेशन के लिए PCI-DSS आवश्यकता 1.3 को पूरा करता है। [medium pause] अब आइए इसकी कमियों और गलतियों के बारे में बात करते हैं। [short pause] सबसे आम विफलता मोड रीडायरेक्ट लूप है। ऐसा तब होता है जब प्री-ऑथ ACL, Purple के पोर्टल IP पतों को सही ढंग से व्हाइटलिस्ट नहीं करता है, इसलिए WLC क्लाइंट को Purple के पोर्टल पर रीडायरेक्ट करता है, लेकिन क्लाइंट पोर्टल तक नहीं पहुंच पाता क्योंकि ACL इसे ब्लॉक कर देता है, जिससे WLC फिर से अनिश्चित काल के लिए रीडायरेक्ट करता है। समाधान: सत्यापित करें कि आपके URL फ़िल्टर या प्री-ऑथ ACL में Purple के दोनों पोर्टल IP पते शामिल हैं, और पुष्टि करें कि प्री-प्रमाणीकरण में DNS रिज़ॉल्यूशन की अनुमति है। [medium pause] दूसरा आम मुद्दा VLAN मिसमैच है। RADIUS सर्वर एक VLAN ID लौटाता है जो WLC पर डायनेमिक इंटरफ़ेस के रूप में मौजूद नहीं है। WLC फिर क्लाइंट को नेटिव VLAN पर रख देता है, जो आमतौर पर मैनेजमेंट VLAN होता है। यह एक सुरक्षा जोखिम है। समाधान: तैनात करने से पहले, Purple की RADIUS नीतियों में कॉन्फ़िगर किए गए VLAN ID के विरुद्ध अपने WLC डायनेमिक इंटरफ़ेस का ऑडिट करें। वे बिल्कुल मेल खाने चाहिए। [medium pause] तीसरी कमी: EAP-TLS तैनाती में प्रमाणपत्र ट्रस्ट विफलताएं। यदि क्लाइंट की प्रमाणपत्र श्रृंखला पर Purple के RADIUS सर्वर द्वारा भरोसा नहीं किया जाता है, तो उपयोगकर्ता के दृष्टिकोण से प्रमाणीकरण चुपचाप विफल हो जाता है। वे बस कनेक्ट नहीं कर पाते हैं। समाधान: क्लाइंट प्रमाणपत्रों को तैनात करने से पहले अपने रूट CA और किसी भी मध्यवर्ती CA प्रमाणपत्रों को Purple के SecurePass कॉन्फ़िगरेशन में अपलोड करें। पूरे बेड़े में रोल आउट करने से पहले एक डिवाइस के साथ परीक्षण करें। [medium pause] त्वरित प्रश्न। [short pause] क्या मैं WLC के बजाय Cisco Meraki के साथ Purple का उपयोग कर सकता हूँ? हाँ। Cisco Meraki का अपना कैप्टिव पोर्टल एकीकरण तंत्र है, और Purple मूल रूप से इसका समर्थन करता है। RADIUS कॉन्फ़िगरेशन समान है लेकिन WLC कमांड लाइन के बजाय Meraki के डैशबोर्ड का उपयोग करता है। [short pause] क्या Purple Cisco पर WPA3 का समर्थन करता है? हाँ। IOS-XE 17.3 और बाद के संस्करण वाले Cisco Catalyst 9800 पर WPA3-SAE समर्थित है। Purple का RADIUS एकीकरण WPA3 के साथ समान रूप से काम करता है। [short pause] RADIUS टाइमआउट की सिफारिश क्या है? अपने प्राथमिक RADIUS सर्वर टाइमआउट को दो प्रयासों के साथ तीन सेकंड पर सेट करें। फेलओवर के लिए एक सेकेंडरी RADIUS सर्वर कॉन्फ़िगर करें। Purple एंटरप्राइज ग्राहकों के लिए रिडंडेंट RADIUS एंडपॉइंट प्रदान करता है। [short pause] क्या मैं Purple के साथ Cisco ISE का उपयोग कर सकता हूँ? हाँ। कुछ संगठन पोस्चर असेसमेंट और डिवाइस प्रोफाइलिंग के लिए ISE का उपयोग करते हैं जबकि गेस्ट पोर्टल और एनालिटिक्स के लिए Purple का उपयोग करते हैं। दोनों RADIUS सर्वर अलग-अलग WLAN पर कॉन्फ़िगर किए गए हैं। [medium pause] संक्षेप में। [short pause] Cisco WLC और Catalyst वायरलेस इंफ्रास्ट्रक्चर अतिथि captive portal रीडायरेक्शन के लिए External Web Authentication, Purple SecurePass के माध्यम से स्टाफ ऑथेंटिकेशन के लिए 802.1X EAP-TLS या PEAP, और मल्टी-टेनेंट और IoT सेगमेंटेशन के लिए डायनेमिक VLAN असाइनमेंट के साथ Cisco iPSK का उपयोग करके Purple के साथ सहजता से एकीकृत होता है। तीन RADIUS VLAN एट्रिब्यूट्स, Tunnel-Type, Tunnel-Medium-Type और Tunnel-Private-Group-ID, वे तंत्र हैं जो डायनेमिक सेगमेंटेशन को संचालित करते हैं। फ़्लीट परिनियोजन से पहले अपने pre-auth ACLs को सही करें, RADIUS और WLC के बीच अपने VLAN IDs का मिलान करें, और सर्टिफिकेट ट्रस्ट चेन का परीक्षण करें। [medium pause] Purple 80,000 से अधिक स्थानों पर काम करता है और इसने 2024 में 440 मिलियन लॉगिन प्रोसेस किए हैं। Cisco एकीकरण वैश्विक स्तर पर हमारे सबसे अधिक परिनियोजित कॉन्फ़िगरेशन में से एक है। यदि आप शुरुआत करना चाहते हैं, तो Purple डैशबोर्ड आपको प्रति-स्थान RADIUS कॉन्फ़िगरेशन के बारे में मार्गदर्शन करता है, और हमारी एकीकरण टीम एंटरप्राइज़ परिनियोजन के लिए उपलब्ध है। [medium pause] इस ब्रीफिंग के लिए बस इतना ही। सुनने के लिए धन्यवाद।