मुख्य सामग्री पर जाएं
हिन्दी

Cisco SUDI को समझना: नेटवर्क एक्सेस कंट्रोल में हार्डवेयर-आधारित डिवाइस पहचान

यह गाइड Cisco SUDI के तकनीकी आर्किटेक्चर का विवरण देती है, जिसमें बताया गया है कि कैसे हार्डवेयर-एंकर वाली पहचान नेटवर्क एक्सेस कंट्रोल को सुरक्षित करती है। यह IT लीडर्स के लिए एंटरप्राइज स्थानों पर 802.1X EAP-TLS ऑथेंटिकेशन को डिप्लॉय करने और Zero Touch Provisioning को स्वचालित करने के लिए व्यावहारिक कार्यान्वयन चरण प्रदान करती है।

📖 6 मिनट का पाठ📝 1,346 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
Cisco SUDI को समझना: नेटवर्क एक्सेस कंट्रोल में हार्डवेयर-आधारित डिवाइस पहचान एक Purple तकनीकी ब्रीफिंग - पूर्ण पॉडकास्ट स्क्रिप्ट (लगभग 10 मिनट) --- सेगमेंट 1: परिचय और संदर्भ (लगभग 1 मिनट) नमस्कार और Purple तकनीकी ब्रीफिंग में आपका स्वागत है। मैं अगले दस मिनट आपको Cisco SUDI - Secure Unique Device Identifier - के बारे में बताने में बिताऊंगा कि यह वास्तव में क्या है, यह आपके नेटवर्क एक्सेस कंट्रोल आर्किटेक्चर में कैसे फिट बैठता है, और यदि आप बड़े पैमाने पर Cisco इन्फ्रास्ट्रक्चर चला रहे हैं तो आपको इसके बारे में क्या करने की आवश्यकता है। यह उन स्थानों - होटलों, रिटेल एस्टेट्स, स्टेडियमों, कॉन्फ्रेंस सेंटरों - के नेटवर्क आर्किटेक्ट्स, IT प्रबंधकों और CTOs के लिए है, जहां भी आप एंटरप्राइज WiFi चला रहे हैं और आपको यह विश्वास होना चाहिए कि आपके नेटवर्क पर मौजूद हार्डवेयर बिल्कुल वही है जो वह होने का दावा करता है। आइए उस समस्या से शुरू करें जिसे SUDI हल करता है। किसी भी बड़े स्थान के नेटवर्क में, आपके पास दर्जनों या सैकड़ों एक्सेस पॉइंट्स, स्विच और कंट्रोलर होते हैं। वह प्रश्न जिस पर आपकी सुरक्षा स्थिति निर्भर करती है, वह है: आप कैसे जानते हैं कि उनमें से प्रत्येक डिवाइस एक वास्तविक, असंशोधित Cisco प्रोडक्ट है - न कि कोई नकली, समझौता की गई यूनिट, या कोई ऐसा डिवाइस जिसके साथ ट्रांजिट में छेड़छाड़ की गई हो? यही वह अंतर है जिसे SUDI पाटता है। --- सेगमेंट 2: तकनीकी गहन विश्लेषण (लगभग 5 मिनट) SUDI का अर्थ Secure Unique Device Identifier है। यह एक X.509 वर्जन 3 सर्टिफिकेट है - वही सर्टिफिकेट फॉर्मेट जो HTTPS और TLS में उपयोग किया जाता है - लेकिन किसी व्यक्ति या सर्वर को जारी किए जाने के बजाय, यह निर्माण के दौरान हार्डवेयर के एक विशिष्ट टुकड़े को जारी किया जाता है। इसमें डिवाइस का प्रोडक्ट आइडेंटिफायर और सीरियल नंबर होता है, और यह Cisco के अपने पब्लिक की इन्फ्रास्ट्रक्चर में निहित होता है। यहाँ वह बात है जो SUDI को आपके द्वारा स्वयं इंस्टॉल किए जाने वाले सॉफ्टवेयर सर्टिफिकेट से अलग बनाती है। SUDI सर्टिफिकेट, अपने संबद्ध की-पेयर (key pair) के साथ, Trust Anchor module या TAm नामक एक टैम्पर-रेसिस्टेंट चिप के अंदर रहता है। प्राइवेट की (private key) उसी चिप के अंदर जनरेट होती है और उसे कभी नहीं छोड़ती। आप इसे एक्सपोर्ट नहीं कर सकते। आप इसे क्लोन नहीं कर सकते। यदि कोई चिप के साथ भौतिक रूप से छेड़छाड़ करता है, तो की (key) नष्ट हो जाती है। यही हार्डवेयर रूट ऑफ ट्रस्ट है। SUDI सिक्योर डिवाइस आइडेंटिफायर्स या DevIDs के लिए IEEE 802.1AR मानक का Cisco का कार्यान्वयन है। 802.1AR के तहत, निर्माता द्वारा स्थापित क्रेडेंशियल को Initial Device Identifier या IDevID कहा जाता है। Cisco का SUDI बिल्कुल वही है - एक IDevID जिसे Cisco फैक्ट्री में इंस्टॉल करता है। आप इसे Locally Significant Device Identifier या LDevID के साथ पूरक कर सकते हैं, जिसे आपका अपना PKI स्थानीय प्राधिकरण नीतियों के लिए जारी करता है। अब, यह नेटवर्क एक्सेस कंट्रोल में कैसे प्लग होता है? सबसे आम एकीकरण बिंदु IEEE 802.1X है - पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल मानक। जब कोई Cisco एक्सेस पॉइंट या स्विच ऑनलाइन आता है, तो यह EAP-TLS का उपयोग करके RADIUS सर्वर - आमतौर पर Cisco ISE, Identity Services Engine - के सामने अपना SUDI सर्टिफिकेट प्रस्तुत कर सकता है, जो कि Extensible Authentication Protocol with Transport Layer Security है। RADIUS सर्वर Cisco की पब्लिक सर्टिफिकेट अथॉरिटी के खिलाफ सर्टिफिकेट को सत्यापित करता है, पुष्टि करता है कि डिवाइस वास्तविक है, और फिर उचित नेटवर्क पॉलिसी लागू करता है। यह MAC एड्रेस बाईपास से काफी मजबूत है, जो कि अधिकांश नेटवर्क इन्फ्रास्ट्रक्चर उपकरणों के लिए उपयोग किए जाने वाला फॉलबैक है। MAC एड्रेस को एक मिनट से भी कम समय में स्पूफ किया जा सकता है। टैम्पर-रेसिस्टेंट चिप में हार्डवेयर-बाउंड सर्टिफिकेट को डिवाइस को भौतिक रूप से नष्ट किए बिना स्पूफ नहीं किया जा सकता है। एक स्थान (venue) के संदर्भ में, यह तीन कारणों से महत्वपूर्ण है। पहला, यह आपके नेटवर्क में अनधिकृत एक्सेस पॉइंट्स के शामिल होने के जोखिम को समाप्त करता है। एक नकली या अनधिकृत डिवाइस केवल एक वैध SUDI प्रस्तुत नहीं कर सकता है। दूसरा, यह स्वचालित, Zero Touch Provisioning को सक्षम बनाता है - एक नया डिवाइस आपके स्थान पर शिप होता है, पावर ऑन होता है, अपना SUDI प्रस्तुत करता है, और आपका मैनेजमेंट सिस्टम कॉन्फ़िगरेशन पुश करने से पहले आपकी इन्वेंट्री के खिलाफ इसे सत्यापित करता है। कोई मैन्युअल हस्तक्षेप नहीं। तीसरा, यह आपको एक क्रिप्टोग्राफिक रूप से सत्यापन योग्य ऑडिट ट्रेल देता है। आपके नेटवर्क पर ऑथेंटिकेट होने वाले प्रत्येक डिवाइस ने एक ऐसे सर्टिफिकेट के साथ ऐसा किया जो साबित करता है कि यह एक विशिष्ट, नामित Cisco प्रोडक्ट है। मुझे Trust Anchor module के बारे में थोड़ा और विस्तार से बात करने दें, क्योंकि यह वह नींव है जिस पर बाकी सब कुछ टिका है। TAm एक प्रोप्रायटरी Cisco चिप है जो तीन चीजें प्रदान करती है: SUDI और कीज़ के लिए नॉन-वोलेटाइल सुरक्षित स्टोरेज, रैंडम नंबर जनरेशन सहित क्रिप्टोग्राफिक सेवाएं, और हार्डवेयर फिंगरप्रिंटिंग। आखिरी वाला ध्यान देने योग्य है - Cisco निर्माण के समय डिवाइस के महत्वपूर्ण हार्डवेयर घटकों को फिंगरप्रिंट करता है और उस फिंगरप्रिंट को TAm में स्टोर करता है। जब डिवाइस बूट होता है, तो यह देखे गए हार्डवेयर फिंगरप्रिंट की तुलना स्टोर किए गए फिंगरप्रिंट से करता है। यदि वे मेल नहीं खाते हैं, तो डिवाइस बूट नहीं होगा। यह ट्रांजिट में हार्डवेयर छेड़छाड़ का पता लगाता है - बड़े स्थान के डिप्लॉयमेंट के लिए एक वास्तविक चिंता जहां हार्डवेयर इंस्टॉलेशन से पहले कई हाथों से गुजर सकता है। एक परिचालन समस्या जिसके बारे में आपको जागरूक होने की आवश्यकता है: मई 2019 से पहले जारी किए गए SUDI सर्टिफिकेट या तो निर्माण की तारीख से दस साल बाद या 14 मई 2029 को समाप्त हो जाते हैं, जो भी पहले हो। Cisco ने इसे SUDI-2099 नामक सर्टिफिकेट की एक नई पीढ़ी के साथ संबोधित किया है, जो दिसंबर 2099 तक वैध है। यदि आप 2019 से पहले निर्मित Catalyst 9000 सीरीज हार्डवेयर चला रहे हैं, तो आपको अभी अपनी SUDI समाप्ति तिथियों की जांच करनी होगी। IOS-XE पर कमांड show crypto pki certificate है। CISCO_IDEVID_SUDI ट्रस्टपॉइंट की तलाश करें और समाप्ति तिथि (end date) की जांच करें। यदि आप Catalyst 9200 पर हैं, तो यह सुनिश्चित करने के लिए कि आप सही 2099 सर्टिफिकेट का उपयोग कर रहे हैं, IOS-XE 17.12.2 या बाद के संस्करण में अपग्रेड करें। --- सेगमेंट 3: कार्यान्वयन सिफारिशें और नुकसान (लगभग 2 मिनट) मुझे आपको व्यावहारिक कार्यान्वयन की तस्वीर देने दें। यदि आप किसी स्थान के वातावरण में SUDI-आधारित ऑथेंटिकेशन डिप्लॉय कर रहे हैं, तो यहाँ वह क्रम है जो काम करता है। अपने RADIUS इन्फ्रास्ट्रक्चर से शुरू करें। यदि आप पहले से ही Cisco इकोसिस्टम में हैं तो Cisco ISE स्वाभाविक पसंद है, लेकिन कोई भी RADIUS सर्वर जो EAP-TLS का समर्थन करता है और बाहरी CA के खिलाफ सत्यापित कर सकता है, काम करेगा। आपको अपने RADIUS ट्रस्ट स्टोर में Cisco का रूट CA और ACT2 SUDI CA सर्टिफिकेट इम्पोर्ट करने होंगे। ये Cisco के PKI पोर्टल से सार्वजनिक रूप से उपलब्ध हैं। इसके बाद, इन्फ्रास्ट्रक्चर उपकरणों के लिए सर्टिफिकेट-आधारित ऑथेंटिकेशन की आवश्यकता के लिए अपनी 802.1X पॉलिसी को कॉन्फ़िगर करें। इसे अपनी एंड-यूज़र ऑथेंटिकेशन पॉलिसी से अलग करें - स्टाफ और गेस्ट ऑथेंटिकेशन फ्लो अलग-अलग होते हैं और ISE में अलग-अलग पॉलिसी सेट पर होने चाहिए। नए डिप्लॉयमेंट के लिए, Zero Touch Provisioning सक्षम करें। आपका नेटवर्क मैनेजमेंट सिस्टम - Cisco DNA Centre या Catalyst Center - कॉन्फ़िगरेशन पुश करने से पहले डिवाइस की पहचान सत्यापित करने के लिए SUDI का उपयोग कर सकता है। यह मैन्युअल स्टेजिंग प्रक्रिया को समाप्त करता है और प्रति डिवाइस प्रोविजनिंग समय को घंटों से मिनटों में कम कर देता है। अब, नुकसान। सबसे आम जो मैं देखता हूँ वह एक ही पोर्ट पर SUDI ऑथेंटिकेशन को MAC एड्रेस बाईपास के साथ मिलाना है। यदि SUDI विफल होने पर आप MAB पर वापस जाते हैं, तो आपने सुरक्षा मॉडल को कमजोर कर दिया है। एक स्पष्ट नीति परिभाषित करें: SUDI-सक्षम उपकरणों को SUDI के माध्यम से ऑथेंटिकेट होना चाहिए, बात खत्म। गैर-SUDI डिवाइस मैन्युअल समीक्षा लंबित होने तक क्वारंटाइन VLAN में जाते हैं। दूसरा नुकसान सर्टिफिकेट की समाप्ति है। अपने पूरे एस्टेट में SUDI समाप्ति तिथियों के लिए अभी मॉनिटरिंग सेट करें। यह पता लगाने के लिए कि आपके एक्सेस पॉइंट्स अब ऑथेंटिकेट नहीं हो सकते, सर्विस आउटेज की प्रतीक्षा न करें। Purple का प्लेटफॉर्म डिवाइस हेल्थ सिग्नल्स - जिसमें ऑथेंटिकेशन स्थिति भी शामिल है - को एक ही डैशबोर्ड में प्रदर्शित करने के लिए Cisco Meraki और अन्य हार्डवेयर वेंडर्स के साथ एकीकृत होता है, जो इस तरह की सक्रिय मॉनिटरिंग को बड़े पैमाने पर व्यावहारिक बनाता है। तीसरा नुकसान स्कोप क्रीप (scope creep) है। SUDI हार्डवेयर डिवाइस को ऑथेंटिकेट करता है। यह उस डिवाइस के माध्यम से कनेक्ट होने वाले उपयोगकर्ता को ऑथेंटिकेट नहीं करता है। आपको अभी भी मेहमानों, कर्मचारियों और निवासियों के लिए एक अलग पहचान लेयर की आवश्यकता है। यही वह जगह है जहाँ Purple जैसा प्लेटफॉर्म काम आता है - हम मानव पहचान लेयर, सहमति कैप्चर, गेस्ट ट्रैफ़िक के लिए VLAN असाइनमेंट और एनालिटिक्स को संभालते हैं, जबकि SUDI नीचे इन्फ्रास्ट्रक्चर लेयर को संभालता है। --- सेगमेंट 4: रैपिड-फायर प्रश्न और उत्तर (लगभग 1 मिनट) मुझे तीन सवालों के जवाब देने दें जो मुझसे नियमित रूप से पूछे जाते हैं। क्या SUDI मेरे मौजूदा PKI को प्रतिस्थापित करता है? नहीं। SUDI एक निर्माता-स्थापित IDevID है। यह साबित करता है कि डिवाइस वास्तविक Cisco हार्डवेयर है। आपका एंटरप्राइज PKI अन्य सभी चीजों के लिए LDevIDs और यूजर सर्टिफिकेट जारी करता है। वे समानांतर में काम करते हैं। क्या मैं गैर-Cisco हार्डवेयर पर SUDI का उपयोग कर सकता हूँ? नहीं। SUDI केवल Cisco-विशिष्ट है। HPE Aruba के पास एक समकक्ष है जिसे IAP प्रोविजनिंग सर्टिफिकेट कहा जाता है। Ruckus और Juniper Mist के पास अपने स्वयं के डिवाइस पहचान तंत्र हैं। अंतर्निहित मानक - IEEE 802.1AR - वेंडर-न्यूट्रल है, लेकिन प्रत्येक निर्माता इसे अलग तरह से लागू करता है। क्या होता है जब एक SUDI सर्टिफिकेट समाप्त हो जाता है? ऑथेंटिकेशन के लिए SUDI पर निर्भर रहने वाली सेवाएं - HTTPS, सर्टिफिकेट ऑथेंटिकेशन के साथ SSH, Zero Touch Provisioning - विफल हो जाएंगी। डिवाइस स्वयं काम करना जारी रखता है, लेकिन यह अब क्रिप्टोग्राफिक रूप से अपनी पहचान साबित नहीं कर सकता है। इसलिए SUDI-2099 माइग्रेशन महत्वपूर्ण है। --- सेगमेंट 5: सारांश और अगले चरण (लगभग 1 मिनट) संक्षेप में: Cisco SUDI आपको हार्डवेयर-रूटेड डिवाइस पहचान देता है जिसे स्पूफ, क्लोन या एक्सपोर्ट नहीं किया जा सकता है। यह एक भरोसेमंद इन्फ्रास्ट्रक्चर लेयर की नींव है। IEEE 802.1X और एक अच्छी तरह से कॉन्फ़िगर की गई RADIUS पॉलिसी के साथ मिलकर, यह अनधिकृत डिवाइस के जोखिम को समाप्त करता है और बड़े पैमाने पर स्वचालित प्रोविजनिंग को सक्षम बनाता है। आपकी तीन तत्काल कार्रवाइयां: एक, show crypto pki certificate का उपयोग करके SUDI समाप्ति तिथियों के लिए अपने Cisco एस्टेट का ऑडिट करें। दो, अपने RADIUS ट्रस्ट स्टोर में Cisco का रूट CA इम्पोर्ट करें और इन्फ्रास्ट्रक्चर उपकरणों के लिए EAP-TLS पॉलिसियां कॉन्फ़िगर करें। तीन, अपनी इन्फ्रास्ट्रक्चर ऑथेंटिकेशन पॉलिसी को अपनी एंड-यूज़र ऑथेंटिकेशन पॉलिसी से अलग करें - वे विभिन्न उद्देश्यों की पूर्ति करती हैं और उन्हें स्वतंत्र रूप से प्रबंधित किया जाना चाहिए। यदि आप इस बारे में अधिक जानना चाहते हैं कि मेहमानों, कर्मचारियों और निवासियों के लिए पहचान-आधारित नेटवर्क सेगमेंटेशन प्रदान करने के लिए Purple कैसे Cisco Meraki और अन्य हार्डवेयर वेंडर्स के साथ एकीकृत होता है, तो purple.ai पर जाएं या इस एपिसोड के नीचे लिंक की गई संबंधित गाइड पढ़ें। सुनने के लिए धन्यवाद। मैं आपसे अगली ब्रीफिंग में मिलूंगा। --- स्क्रिप्ट का अंत

header_image.png

कार्यकारी सारांश

हार्डवेयर ऑथेंटिकेशन एंटरप्राइज नेटवर्क की भौतिक नींव को सुरक्षित करता है। Cisco Secure Unique Device Identifier (SUDI) इन्फ्रास्ट्रक्चर उपकरणों के लिए एक अपरिवर्तनीय, क्रिप्टोग्राफिक रूप से सत्यापन योग्य पहचान प्रदान करता है, जिसे निर्माण के दौरान सीधे एक टैम्पर-रेसिस्टेंट चिप में एम्बेड किया जाता है। हॉस्पिटैलिटी, रिटेल और सार्वजनिक क्षेत्रों में बड़े पैमाने पर डिप्लॉयमेंट का प्रबंधन करने वाले IT लीडर्स के लिए, SUDI अनधिकृत (rogue) हार्डवेयर के जोखिम को समाप्त करता है और स्वचालित Zero Touch Provisioning को सक्षम बनाता है।

यह गाइड Cisco SUDI के तकनीकी आर्किटेक्चर, IEEE 802.1X नेटवर्क एक्सेस कंट्रोल (NAC) के साथ इसके एकीकरण, और बड़े पैमाने पर हार्डवेयर-आधारित पहचान को डिप्लॉय और बनाए रखने के लिए आवश्यक परिचालन चरणों का विवरण देती है। आप सीखेंगे कि कमजोर MAC एड्रेस बाईपास से मजबूत EAP-TLS ऑथेंटिकेशन पर कैसे ट्रांज़िशन करें, SUDI-2099 सर्टिफिकेट लाइफसाइकल को कैसे प्रबंधित करें, और इन्फ्रास्ट्रक्चर सुरक्षा को Purple जैसे यूजर आइडेंटिटी मैनेजमेंट प्लेटफॉर्म के साथ कैसे संरेखित करें।

तकनीकी गहन विश्लेषण

हार्डवेयर पहचान का आर्किटेक्चर

Cisco Secure Unique Device Identifier (SUDI) एक X.509v3 सर्टिफिकेट है जो नेटवर्क उपकरणों के लिए एक स्थायी पहचान प्रदान करता है। IT टीमों द्वारा जनरेट और डिप्लॉय किए जाने वाले सॉफ्टवेयर सर्टिफिकेट के विपरीत, Cisco निर्माण प्रक्रिया के दौरान डिवाइस में SUDI सर्टिफिकेट और उससे जुड़े की-पेयर (key pair) को इंजेक्ट करता है।

सर्टिफिकेट को Trust Anchor module (TAm) में सुरक्षित रूप से स्टोर किया जाता है, जो एक प्रोप्रायटरी, टैम्पर-रेसिस्टेंट चिप है। TAm आंतरिक रूप से प्राइवेट की (private key) जनरेट करता है, जिससे यह सुनिश्चित होता है कि इसे कभी भी एक्सपोर्ट या क्लोन नहीं किया जा सकता है। यह हार्डवेयर रूट ऑफ ट्रस्ट गारंटी देता है कि यदि कोई डिवाइस अपने SUDI का उपयोग करके सफलतापूर्वक ऑथेंटिकेट करता है, तो वह एक वास्तविक Cisco प्रोडक्ट है।

SUDI सिक्योर डिवाइस आइडेंटिफायर्स के लिए IEEE 802.1AR मानक को लागू करता है। इस मानक के तहत, निर्माता द्वारा प्रदान किए गए सर्टिफिकेट को Initial Device Identifier (IDevID) के रूप में जाना जाता है। संगठन अपने स्वयं के एंटरप्राइज पब्लिक की इन्फ्रास्ट्रक्चर (PKI) द्वारा जारी Locally Significant Device Identifier (LDevID) के साथ IDevID को पूरक कर सकते हैं।

sudi_architecture_overview.png

नेटवर्क एक्सेस कंट्रोल के साथ एकीकरण

एक एंटरप्राइज वातावरण में, SUDI मुख्य रूप से IEEE 802.1X पोर्ट-आधारित ऑथेंटिकेशन के माध्यम से नेटवर्क एक्सेस कंट्रोल (NAC) सिस्टम के साथ एकीकृत होता है। जब कोई Cisco एक्सेस पॉइंट या स्विच नेटवर्क से जुड़ता है, तो यह एक सप्लीकेंट के रूप में कार्य करता है और अपने SUDI सर्टिफिकेट को RADIUS सर्वर, जैसे कि Cisco Identity Services Engine (ISE) के सामने प्रस्तुत करता है।

ऑथेंटिकेशन प्रक्रिया Extensible Authentication Protocol with Transport Layer Security (EAP-TLS) का उपयोग करती है। RADIUS सर्वर Cisco पब्लिक की इन्फ्रास्ट्रक्चर के खिलाफ SUDI सर्टिफिकेट को सत्यापित करता है। एक बार सत्यापित होने के बाद, RADIUS सर्वर डिवाइस को अधिकृत करता है और नेटवर्क एक्सेस पॉलिसी के आधार पर इसे सही VLAN में असाइन करता है।

यह दृष्टिकोण MAC Address Bypass (MAB) को प्रतिस्थापित करता है, जो एक लीगेसी विधि है जो आसानी से स्पूफ किए जाने वाले MAC एड्रेस पर निर्भर करती है। MAB डिवाइस की पहचान का शून्य क्रिप्टोग्राफिक आश्वासन प्रदान करता है, जिससे नेटवर्क अनधिकृत (rogue) एक्सेस पॉइंट्स के प्रति संवेदनशील हो जाते हैं।

हार्डवेयर फिंगरप्रिंटिंग और टैम्पर डिटेक्शन

Trust Anchor module केवल सुरक्षित स्टोरेज से कहीं अधिक प्रदान करता है। यह ट्रांजिट या डिप्लॉयमेंट के दौरान डिवाइस को भौतिक छेड़छाड़ से सक्रिय रूप से बचाता है।

निर्माण के दौरान, Cisco महत्वपूर्ण हार्डवेयर घटकों, जैसे कि CPU और ASIC का एक क्रिप्टोग्राफिक फिंगरप्रिंट रिकॉर्ड करता है। यह फिंगरप्रिंट स्थायी रूप से TAm में स्टोर किया जाता है। जब डिवाइस बूट होता है, तो UEFI फर्मवेयर देखे गए हार्डवेयर का एक नया फिंगरप्रिंट कैलकुलेट करता है और TAm में मौजूद मास्टर फिंगरप्रिंट से उसकी तुलना करता है। यदि फिंगरप्रिंट मेल नहीं खाते हैं, तो डिवाइस बूट प्रक्रिया को रोक देता है। यह तंत्र सुनिश्चित करता है कि किसी होटल या रिटेल स्टोर में डिप्लॉय किए गए हार्डवेयर के साथ फैक्ट्री और इंस्टॉलेशन साइट के बीच कोई छेड़छाड़ नहीं की गई है।

कार्यान्वयन गाइड

SUDI-आधारित ऑथेंटिकेशन को डिप्लॉय करने के लिए आपके स्विचिंग इन्फ्रास्ट्रक्चर, आपके RADIUS सर्वर और आपके नेटवर्क मैनेजमेंट प्लेटफॉर्म के बीच समन्वय की आवश्यकता होती है। हार्डवेयर पहचान को लागू करने के लिए इन चरणों का पालन करें।

चरण 1: RADIUS ट्रस्ट कॉन्फ़िगर करें

आपके RADIUS सर्वर को उस Cisco सर्टिफिकेट अथॉरिटी पर भरोसा करना चाहिए जिसने SUDI जारी किया है।

  1. Cisco PKI पोर्टल से Cisco Root CA और ACT2 SUDI CA सर्टिफिकेट डाउनलोड करें।
  2. इन सर्टिफिकेट्स को अपने RADIUS सर्वर (जैसे, Cisco ISE) के ट्रस्टेड सर्टिफिकेट स्टोर में इम्पोर्ट करें।
  3. EAP-TLS ऑथेंटिकेशन के लिए इन सर्टिफिकेट्स का उपयोग करने के लिए RADIUS सर्वर को कॉन्फ़िगर करें।

चरण 2: 802.1X पॉलिसियां परिभाषित करें

इन्फ्रास्ट्रक्चर उपकरणों के लिए विशिष्ट ऑथेंटिकेशन पॉलिसियां बनाएं, जो यूजर ऑथेंटिकेशन पॉलिसियों से अलग हों।

  1. Cisco ISE में एक पॉलिसी सेट बनाएं जो SUDI सर्टिफिकेट एट्रिब्यूट्स से मेल खाता हो (जैसे, अपेक्षित डिवाइस PIDs के खिलाफ Subject Alternative Name का मिलान करना)।
  2. सफल ऑथेंटिकेशन को इन्फ्रास्ट्रक्चर मैनेजमेंट VLAN में असाइन करें।
  3. उन उपकरणों के लिए एक क्वारंटाइन VLAN कॉन्फ़िगर करें जो SUDI ऑथेंटिकेशन में विफल रहते हैं। इन्फ्रास्ट्रक्चर पोर्ट्स के लिए MAB पर फॉलबैक कॉन्फ़िगर न करें।

चरण 3: Zero Touch Provisioning सक्षम करें

डिवाइस ऑनबोर्डिंग को स्वचालित करने के लिए SUDI का उपयोग करें।

  1. अपने नेटवर्क मैनेजमेंट सिस्टम (जैसे कि Cisco Catalyst Center) को ZTP सर्वर के रूप में कार्य करने के लिए कॉन्फ़िगर करें।
  2. जब कोई नया डिवाइस कनेक्ट होता है, तो वह अपना SUDI सर्टिफिकेट प्रस्तुत करता है।
  3. मैनेजमेंट सिस्टम सर्टिफिकेट को सत्यापित करता है, इन्वेंट्री डेटाबेस के खिलाफ डिवाइस सीरियल नंबर की पुष्टि करता है, और प्रारंभिक कॉन्फ़िगरेशन को पुश करता है।

sudi_lifecycle_diagram.png

चरण 4: SUDI-2099 माइग्रेशन प्रबंधित करें

मई 2019 से पहले जारी किए गए SUDI सर्टिफिकेट निर्माण की तारीख से 10 साल बाद या 14 मई 2029 को समाप्त हो जाते हैं, जो भी पहले हो। जब कोई SUDI समाप्त हो जाता है, तो उस पर निर्भर करने वाले फीचर्स, जिनमें HTTPS, SSH और Zero Touch Provisioning शामिल हैं, विफल हो जाएंगे।

Cisco ने SUDI-2099 सर्टिफिकेट पेश किए हैं, जो दिसंबर 2099 तक वैध रहेंगे। निरंतरता सुनिश्चित करने के लिए:

  1. IOS-XE उपकरणों पर show crypto pki certificate कमांड का उपयोग करके अपनी इन्वेंट्री का ऑडिट करें। CISCO_IDEVID_SUDI ट्रस्टपॉइंट की end date जांचें।
  2. प्रभावित हार्डवेयर को अनुशंसित सॉफ्टवेयर रिलीज में अपग्रेड करें। उदाहरण के लिए, Catalyst 9200 स्विच को 2099 की समाप्ति तिथि को सही ढंग से संभालने के लिए IOS-XE 17.12.2 या बाद के संस्करण की आवश्यकता होती है।

सर्वोत्तम प्रथाएं

हार्डवेयर पहचान के सुरक्षा लाभों को अधिकतम करने के लिए, इन वेंडर-न्यूट्रल सिद्धांतों का पालन करें।

  1. सख्त EAP-TLS लागू करें: सभी इन्फ्रास्ट्रक्चर उपकरणों के लिए EAP-TLS की आवश्यकता रखें। डिवाइस ऑथेंटिकेशन के लिए PEAP जैसे कमजोर EAP तरीकों की अनुमति न दें।
  2. यूज़र पहचान से इन्फ्रास्ट्रक्चर पहचान को अलग करें: SUDI हार्डवेयर को ऑथेंटिकेट करता है, यूजर को नहीं। मानव पहचान को प्रबंधित करने के लिए एक समर्पित प्लेटफॉर्म का उपयोग करें। उदाहरण के लिए, गेस्ट ऑथेंटिकेशन, सहमति कैप्चर और फर्स्ट-पार्टी डेटा संग्रह को संभालने के लिए Purple का उपयोग करें, जबकि अंतर्निहित Cisco Meraki या HPE Aruba हार्डवेयर को सुरक्षित करने के लिए SUDI पर भरोसा करें।
  3. सर्टिफिकेट मॉनिटरिंग को स्वचालित करें: अपने पूरे एस्टेट में सर्टिफिकेट की समाप्ति तिथियों को ट्रैक करने के लिए मॉनिटरिंग टूल्स लागू करें। सक्रिय मॉनिटरिंग अचानक ऑथेंटिकेशन विफलताओं को रोकती है।
  4. माइक्रो-सेगमेंटेशन लागू करें: उपकरणों को कड़ाई से नियंत्रित VLAN में असाइन करने के लिए SUDI द्वारा सत्यापित पहचान का उपयोग करें। एक एक्सेस पॉइंट की नेटवर्क पहुंच केवल उसके कंट्रोलर और मैनेजमेंट सिस्टम तक होनी चाहिए, और कहीं नहीं।

समस्या निवारण और जोखिम न्यूनीकरण

SUDI-आधारित ऑथेंटिकेशन को डिप्लॉय करते समय, इन सामान्य विफलता मोड के लिए तैयार रहें।

विफलता मोड मूल कारण न्यूनीकरण रणनीति
EAP-TLS ऑथेंटिकेशन विफल RADIUS सर्वर में सही Cisco Root या Intermediate CA सर्टिफिकेट की कमी है। सत्यापित करें कि RADIUS सर्वर के ट्रस्टेड स्टोर में पूरी Cisco ट्रस्ट चेन स्थापित है।
डिवाइस बूट होने से इनकार करता है बूट के समय कैलकुलेट किया गया हार्डवेयर फिंगरप्रिंट TAm में मौजूद मास्टर फिंगरप्रिंट से मेल नहीं खाता है। डिवाइस को समझौता किया हुआ (compromised) मानें। RMA प्रक्रिया के माध्यम से हार्डवेयर को वेंडर को वापस करें।
मैनेजमेंट एक्सेस विफल SUDI सर्टिफिकेट समाप्त हो गया है, जिससे HTTPS और SSH सर्टिफिकेट ऑथेंटिकेशन टूट गया है। डिवाइस फर्मवेयर को ऐसे रिलीज में अपग्रेड करें जो SUDI-2099 का समर्थन करता हो, या अपने एंटरप्राइज PKI का उपयोग करके LDevID डिप्लॉय करें।
अनधिकृत (Rogue) डिवाइस एक्सेस प्राप्त करता है यदि 802.1X विफल हो जाता है, तो स्विच पोर्ट को MAC Address Bypass (MAB) पर वापस जाने के लिए कॉन्फ़िगर किया गया है। इन्फ्रास्ट्रक्चर पोर्ट्स से MAB फॉलबैक कॉन्फ़िगरेशन हटाएं। सख्त 802.1X पॉलिसी लागू करें।

ROI और व्यावसायिक प्रभाव

हार्डवेयर-आधारित डिवाइस पहचान को लागू करना तीन क्षेत्रों में मापने योग्य व्यावसायिक मूल्य प्रदान करता है।

1. कम प्रोविजनिंग लागत SUDI द्वारा सुरक्षित Zero Touch Provisioning मैन्युअल स्टेजिंग को समाप्त करता है। किसी रिटेल स्टोर पर भेजने से पहले एक इंजीनियर द्वारा एक्सेस पॉइंट को प्री-कॉन्फ़िगर करने में 45 मिनट खर्च करने के बजाय, डिवाइस सीधे डिस्ट्रीब्यूटर से शिप किया जाता है। यह कनेक्शन पर सुरक्षित रूप से ऑथेंटिकेट करता है और अपने कॉन्फ़िगरेशन को स्वचालित रूप से डाउनलोड करता है। 500-साइट रिटेल डिप्लॉयमेंट के लिए, यह लगभग 375 engineering घंटों की बचत करता है।

2. अनधिकृत (Rogue) डिवाइस का जोखिम समाप्त क्रिप्टोग्राफिक हार्डवेयर पहचान के पक्ष में MAC Address Bypass को हटाकर, आप किसी हमलावर द्वारा इन्फ्रास्ट्रक्चर पोर्ट से अनधिकृत डिवाइस को जोड़ने के जोखिम को समाप्त करते हैं। यह सीधे नेटवर्क एक्सेस कंट्रोल के लिए PCI-DSS और ISO 27001 आवश्यकताओं के अनुपालन का समर्थन करता है।

3. स्पष्ट पहचान सीमाएं SUDI को डिप्लॉय करना एक स्पष्ट आर्किटेक्चरल सीमा स्थापित करता है। हार्डवेयर लेयर खुद को क्रिप्टोग्राफिक रूप से ऑथेंटिकेट करती है, जिससे आप अपने संसाधनों को यूजर पहचान लेयर पर केंद्रित कर सकते हैं। जब आप Guest WiFi और WiFi Analytics को प्रबंधित करने के लिए Purple जैसे प्लेटफॉर्म को एकीकृत करते हैं, तो आप ऐसा एक सत्यापन योग्य, सुरक्षित इन्फ्रास्ट्रक्चर नींव के शीर्ष पर करते हैं।

मुख्य परिभाषाएं

SUDI (Secure Unique Device Identifier)

एक X.509v3 सर्टिफिकेट और उससे जुड़ी प्राइवेट की (private key) जिसे निर्माण के दौरान Cisco डिवाइस में एम्बेड किया जाता है ताकि एक अपरिवर्तनीय हार्डवेयर पहचान प्रदान की जा सके।

IT टीमों द्वारा क्रिप्टोग्राफिक रूप से यह सत्यापित करने के लिए उपयोग किया जाता है कि नेटवर्क से जुड़ने वाला डिवाइस एक वास्तविक Cisco प्रोडक्ट है।

TAm (Trust Anchor module)

एक प्रोप्रायटरी, टैम्पर-रेसिस्टेंट हार्डवेयर चिप जो सुरक्षित रूप से SUDI सर्टिफिकेट को स्टोर करती है, क्रिप्टोग्राफिक कीज़ जनरेट करती है, और हार्डवेयर फिंगरप्रिंटिंग का प्रबंधन करती है।

हार्डवेयर रूट ऑफ ट्रस्ट प्रदान करता है। यदि TAm से समझौता किया जाता है, तो डिवाइस बूट या ऑथेंटिकेट होने में विफल हो जाएगा।

IDevID (Initial Device Identifier)

IEEE 802.1AR मानक द्वारा परिभाषित निर्माता-स्थापित सुरक्षित डिवाइस आइडेंटिफायर। Cisco SUDI एक IDevID का कार्यान्वयन है।

किसी डिवाइस को संगठन के अपने PKI वातावरण में एकीकृत करने से पहले उसके लिए बुनियादी पहचान प्रदान करता है।

LDevID (Locally Significant Device Identifier)

एक संगठन के अपने एंटरप्राइज पब्लिक की इन्फ्रास्ट्रक्चर द्वारा जारी किया गया डिवाइस सर्टिफिकेट, जो निर्माता के IDevID को पूरक करता है।

तब उपयोग किया जाता है जब IT टीमों को वेंडर के CA के बजाय उनके आंतरिक कॉर्पोरेट CA द्वारा जारी सर्टिफिकेट्स का उपयोग करके उपकरणों को ऑथेंटिकेट करने की आवश्यकता होती है।

IEEE 802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए IEEE मानक, जो LAN या WLAN से जुड़ने के इच्छुक उपकरणों को एक ऑथेंटिकेशन तंत्र प्रदान करता है।

नेटवर्क सुरक्षा लागू करने के लिए उपयोग किया जाने वाला प्राथमिक प्रोटोकॉल, जो यह सुनिश्चित करता है कि केवल अधिकृत डिवाइस और उपयोगकर्ता ही स्विच पोर्ट के माध्यम से ट्रैफ़िक भेज सकें।

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

एक अत्यधिक सुरक्षित ऑथेंटिकेशन प्रोटोकॉल जिसके लिए क्लाइंट और ऑथेंटिकेशन सर्वर दोनों को डिजिटल सर्टिफिकेट्स का उपयोग करके अपनी पहचान साबित करने की आवश्यकता होती है।

नेटवर्क डिवाइस और RADIUS सर्वर के बीच SUDI सर्टिफिकेट को सत्यापित करने के लिए 802.1X के भीतर उपयोग की जाने वाली विशिष्ट विधि।

Zero Touch Provisioning (ZTP)

एक स्वचालित प्रक्रिया जो नेटवर्क उपकरणों को मैन्युअल हस्तक्षेप के बिना स्वचालित रूप से प्रोविजन और कॉन्फ़िगर करने की अनुमति देती है।

SUDI यह सुनिश्चित करके ZTP को सुरक्षित करता है कि मैनेजमेंट सिस्टम केवल सत्यापित, वास्तविक हार्डवेयर पर ही कॉन्फ़िगरेशन पुश करे।

MAC Address Bypass (MAB)

एक लीगेसी ऑथेंटिकेशन विधि जहां एक स्विच कनेक्टिंग डिवाइस के MAC एड्रेस का उपयोग उसके पहचान क्रेडेंशियल के रूप में करता है।

एक असुरक्षित फॉलबैक विधि जिसे समाप्त किया जाना चाहिए और SUDI-आधारित 802.1X ऑथेंटिकेशन द्वारा प्रतिस्थापित किया जाना चाहिए।

हल किए गए उदाहरण

एक 400-कमरों वाला होटल अपने नेटवर्क इन्फ्रास्ट्रक्चर को अपग्रेड कर रहा है और उसे 250 नए Cisco Catalyst एक्सेस पॉइंट्स डिप्लॉय करने की आवश्यकता है। IT टीम इंस्टॉलेशन से पहले प्रत्येक डिवाइस को मैन्युअल रूप से कॉन्फ़िगर करने से बचना चाहती है, साथ ही यह भी सुनिश्चित करना चाहती है कि कोई भी अनधिकृत डिवाइस मैनेजमेंट VLAN में शामिल न हो सके।

  1. IT टीम SUDI सर्टिफिकेट्स पर भरोसा करने के लिए Cisco Root CA के साथ Cisco ISE को कॉन्फ़िगर करती है।
  2. वे ISE में एक 802.1X पॉलिसी बनाते हैं जो एक वैध SUDI प्रस्तुत करने वाले उपकरणों को एक प्रतिबंधित प्रोविजनिंग VLAN में असाइन करती है।
  3. एक्सेस पॉइंट्स को सीधे होटल में भेजा जाता है और PoE स्विच में प्लग किया जाता है।
  4. प्रत्येक AP बूट होता है, EAP-TLS के माध्यम से अपना SUDI प्रस्तुत करता है, और ISE द्वारा ऑथेंटिकेट किया जाता है।
  5. मैनेजमेंट सिस्टम (Catalyst Center) सीरियल नंबर को सत्यापित करता है, AP को प्रोविजन करता है, और ISE पोर्ट को प्रोडक्शन मैनेजमेंट VLAN में स्थानांतरित करता है।
परीक्षक की टिप्पणी: यह दृष्टिकोण हार्डवेयर पहचान द्वारा सुरक्षित Zero Touch Provisioning का उपयोग करता है। यह मैन्युअल स्टेजिंग लागतों को समाप्त करता है और अनधिकृत उपकरणों को ओपन प्रोविजनिंग पोर्ट्स का फायदा उठाने से रोकता है। डिवाइस को प्रोविजनिंग VLAN से प्रोडक्शन VLAN में ले जाने के लिए Change of Authorization (CoA) का उपयोग मजबूत नेटवर्क सेगमेंटेशन को प्रदर्शित करता है।

1,200 स्टोर्स वाली एक राष्ट्रीय रिटेल चेन को पता चलता है कि उनके लीगेसी स्विच एक्सेस पॉइंट्स को ऑथेंटिकेट करने के लिए MAC Address Bypass (MAB) का उपयोग करते हैं। उन्हें स्टोर में बिना किसी रुकावट के एक सुरक्षित मानक पर माइग्रेट करने की आवश्यकता है।

  1. नेटवर्क टीम यह पुष्टि करने के लिए स्विच इन्वेंट्री का ऑडिट करती है कि सभी डिवाइस 802.1X और SUDI का समर्थन करते हैं।
  2. वे अपने RADIUS इन्फ्रास्ट्रक्चर में Cisco CA सर्टिफिकेट्स को डिप्लॉय करते हैं।
  3. वे स्विच पोर्ट्स को 'मॉनिटर मोड' (ओपन ऑथेंटिकेशन) में कॉन्फ़िगर करते हैं, जिससे डिवाइस विफल होने पर MAB पर वापस जाने के साथ-साथ SUDI का उपयोग करके 802.1X EAP-TLS का प्रयास कर सकें, लेकिन परिणामों को लॉग करते हैं।
  4. RADIUS लॉग में यह सत्यापित करने के बाद कि सभी वैध APs सफलतापूर्वक SUDI के माध्यम से ऑथेंटिकेट हो रहे हैं, वे पोर्ट्स को 'क्लोज्ड मोड' में स्विच करते हैं, सख्त 802.1X लागू करते हैं और MAB को अक्षम करते हैं।
परीक्षक की टिप्पणी: मॉनिटर मोड का उपयोग करके चरणबद्ध माइग्रेशन एक बड़े रिटेल एस्टेट के लिए सही परिचालन दृष्टिकोण है। यह टीम को एक्सेस पॉइंट्स के लिए नेटवर्क अलगाव के जोखिम के बिना PKI ट्रस्ट चेन और सर्टिफिकेट की वैधता को सत्यापित करने की अनुमति देता है। पर्यावरण को सुरक्षित करने के लिए MAB को पूरी तरह से हटाना आवश्यक अंतिम चरण है।

अभ्यास प्रश्न

Q1. आप एक स्टेडियम के वातावरण में 50 नए Cisco Catalyst स्विच डिप्लॉय कर रहे हैं। सुरक्षा नीति सभी इन्फ्रास्ट्रक्चर उपकरणों के लिए सख्त 802.1X ऑथेंटिकेशन को अनिवार्य करती है। परीक्षण के दौरान, स्विच आपके Cisco ISE सर्वर से ऑथेंटिकेट होने में विफल रहते हैं। इसका सबसे संभावित कारण क्या है?

संकेत: EAP-TLS ऑथेंटिकेशन के लिए आवश्यक ट्रस्ट की चेन पर विचार करें।

मॉडल उत्तर देखें

Cisco ISE सर्वर के ट्रस्टेड सर्टिफिकेट स्टोर में Cisco Root CA या ACT2 SUDI CA सर्टिफिकेट गायब हैं। इनके बिना, ISE स्विच द्वारा प्रस्तुत SUDI सर्टिफिकेट को सत्यापित नहीं कर सकता है। आपको Cisco PKI पोर्टल से सर्टिफिकेट डाउनलोड करने होंगे और उन्हें ISE में इम्पोर्ट करना होगा।

Q2. एक नेटवर्क इंजीनियर स्विच पोर्ट्स को पहले 802.1X ऑथेंटिकेशन का प्रयास करने के लिए कॉन्फ़िगर करने का प्रस्ताव करता है, लेकिन यदि डिवाइस के पास वैध सर्टिफिकेट नहीं है तो MAC Address Bypass (MAB) पर वापस जाने का प्रस्ताव करता है। आपको इन्फ्रास्ट्रक्चर पोर्ट्स के लिए इस प्रस्ताव को क्यों अस्वीकार कर देना चाहिए?

संकेत: फॉलबैक तंत्र की सुरक्षा मजबूती का मूल्यांकन करें।

मॉडल उत्तर देखें

MAB पर वापस जाना पूरे सुरक्षा मॉडल को कमजोर करता है। एक हमलावर केवल एक अनधिकृत डिवाइस को कनेक्ट कर सकता है, 802.1X टाइमआउट की प्रतीक्षा कर सकता है, और इन्फ्रास्ट्रक्चर VLAN तक पहुंच प्राप्त करने के लिए एक वैध एक्सेस पॉइंट के MAC एड्रेस को स्पूफ कर सकता है। इन्फ्रास्ट्रक्चर पोर्ट्स को SUDI के साथ सख्त 802.1X लागू करना चाहिए, और गैर-अनुपालन वाले उपकरणों को एक प्रतिबंधित क्वारंटाइन VLAN में रखा जाना चाहिए।

Q3. आप 2018 में डिप्लॉय किए गए Catalyst 9200 स्विच के नेटवर्क का ऑडिट कर रहे हैं। आप 'show crypto pki certificate' कमांड चलाते हैं और देखते हैं कि CISCO_IDEVID_SUDI ट्रस्टपॉइंट मई 2029 में समाप्त हो रहा है। भविष्य में होने वाले आउटेज को रोकने के लिए आपको क्या कार्रवाई करनी चाहिए?

संकेत: लीगेसी हार्डवेयर के लिए SUDI-2099 माइग्रेशन आवश्यकताओं की समीक्षा करें।

मॉडल उत्तर देखें

आपको Catalyst 9200 स्विच पर IOS-XE सॉफ्टवेयर को संस्करण 17.12.2 या बाद के संस्करण में अपग्रेड करना होगा। यह अपग्रेड सुनिश्चित करता है कि हार्डवेयर SUDI-2099 सर्टिफिकेट एक्सटेंशन का ठीक से समर्थन करता है, जिससे डिवाइस की वैध पहचान दिसंबर 2099 तक बढ़ जाती है और HTTPS और ZTP जैसी सेवाओं के लिए ऑथेंटिकेशन विफलताओं को रोका जा सकता है।

इस श्रृंखला में आगे पढ़ें

Starlink पर कैप्टिव पोर्टल कैसे सेटअप करें: दूरस्थ और समुद्री स्थानों के लिए एक गाइड

यह गाइड विवरण देती है कि मूल Starlink हार्डवेयर को कैसे बायपास करें और एंटरप्राइज़ राउटिंग उपकरणों का उपयोग करके क्लाउड-प्रबंधित कैप्टिव पोर्टल को कैसे एकीकृत करें। आप सीखेंगे कि CGNAT सीमा को कैसे पार करें, VLAN सेगमेंटेशन लागू करें, सैटेलाइट बैंडविड्थ बाधाओं को प्रबंधित करें और नियामक अनुपालन सुनिश्चित करें।

गाइड पढ़ें →

होटल गेस्ट WiFi प्रबंधन: PMS, पोर्टल और ब्रांड मानकों को एकीकृत करना

यह तकनीकी मार्गदर्शिका विवरण देती है कि एंटरप्राइज़-ग्रेड होटल WiFi नेटवर्क को कैसे आर्किटेक्ट किया जाए, जिसमें VLAN सेगमेंटेशन, स्वचालित सत्र प्रबंधन के लिए PMS एकीकरण, और GDPR-अनुपालन डेटा कैप्चर के लिए कैप्टिव पोर्टल अनुकूलन पर ध्यान केंद्रित किया गया है।

गाइड पढ़ें →

कैप्टिव पोर्टल सर्वोत्तम प्रथाएं: उच्च रूपांतरण और अनुपालन के लिए डिज़ाइन करना

यह तकनीकी गाइड IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और स्थान संचालन निदेशकों को कैप्टिव पोर्टल तैनात करने के लिए एक संपूर्ण खाका देती है जो उच्च उपयोगकर्ता रूपांतरण के साथ नेटवर्क सुरक्षा को संतुलित करता है। यह VLAN सेगमेंटेशन और RADIUS प्रमाणीकरण से लेकर GDPR-अनुपालक सहमति डिज़ाइन और प्रमाणीकरण विधि चयन तक के संपूर्ण आर्किटेक्चर को कवर करता है। 2024 में 80,000+ स्थानों और 440 मिलियन लॉगिन में Purple के परिचालन अनुभव से ली गई, प्रत्येक सिफारिश वास्तविक परिनियोजन डेटा पर आधारित है।

गाइड पढ़ें →