802.1X WiFi प्रमाणीकरण को कैसे कॉन्फ़िगर करें: एक चरण-दर-चरण मार्गदर्शिका
यह तकनीकी मार्गदर्शिका 802.1X एंटरप्राइज़ WiFi प्रमाणीकरण को कॉन्फ़िगर करने के लिए एक चरण-दर-चरण मार्गदर्शिका प्रदान करती है। इसमें RADIUS सर्वर सेटअप, प्रमाणपत्र परिनियोजन, और उच्च-फ़ुटफ़ॉल वाले स्थानों पर IT लीडर्स के लिए व्यावहारिक परिनियोजन रणनीतियाँ शामिल हैं।
इस गाइड को सुनें
पॉडकास्ट ट्रांसक्रिप्ट देखें
- कार्यकारी सारांश (Executive Summary)
- गहरा विश्लेषण: 802.1X आर्किटेक्चर
- तीन मुख्य घटक (The Three Core Components)
- EAP मेथड्स: सही सुरक्षा स्थिति चुनना
- कार्यान्वयन मार्गदर्शिका: चरण-दर-चरण कॉन्फ़िगरेशन
- चरण 1: RADIUS सर्वर की तैयारी
- चरण 2: पॉलिसी कॉन्फ़िगरेशन
- चरण 3: एक्सेस पॉइंट कॉन्फ़िगरेशन
- चरण 4: क्लाइंट सप्लिकेंट कॉन्फ़िगरेशन
- सर्वोत्तम प्रथाएं और उद्योग मानक
- समस्या निवारण और जोखिम न्यूनीकरण
- ROI और व्यावसायिक प्रभाव

कार्यकारी सारांश (Executive Summary)
एंटरप्राइज नेटवर्क के लिए, कॉर्पोरेट इन्फ्रास्ट्रक्चर की सुरक्षा के लिए एक साझा PSK (pre-shared key) अब पर्याप्त नहीं है। चूंकि संगठनों को सख्त अनुपालन आवश्यकताओं (PCI-DSS, GDPR) और बढ़ते सुरक्षा खतरों का सामना करना पड़ रहा है, इसलिए 802.1X प्रमाणीकरण (authentication) पर जाना एक महत्वपूर्ण सुरक्षा आवश्यकता बन गया है।
यह गाइड एंटरप्राइज एक्सेस पॉइंट्स पर 802.1X को कॉन्फ़िगर करने के लिए एक व्यावहारिक, विक्रेता-निरपेक्ष (vendor-agnostic) परिनियोजन वॉकथ्रू प्रदान करता है। हम मुख्य आर्किटेक्चर - सप्लीकेंट, ऑथेंटिकेटर और ऑथेंटिकेशन सर्वर - के साथ-साथ प्रमाणपत्र प्रबंधन, RADIUS कॉन्फ़िगरेशन और सामान्य परिनियोजन त्रुटियों को कवर करते हैं। रिटेल, हॉस्पिटैलिटी या सार्वजनिक क्षेत्र के वातावरण में काम करने वाले IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए, यह संदर्भ कॉर्पोरेट और गेस्ट ट्रैफ़िक को पूरी तरह से अलग रखते हुए मजबूत, पहचान-आधारित नेटवर्क एक्सेस कंट्रोल को लागू करने के लिए आवश्यक व्यावहारिक कदम प्रदान करता है।
आर्किटेक्चर और कार्यान्वयन रणनीतियों के 10 मिनट के त्वरित विवरण के लिए नीचे दिए गए हमारे साथी पॉडकास्ट को सुनें।
गहरा विश्लेषण: 802.1X आर्किटेक्चर
IEEE 802.1X मानक पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल को परिभाषित करता है। एक वायरलेस WiFi वातावरण में, यह क्लाइंट डिवाइसों को तब तक डेटा ट्रैफ़िक भेजने या प्राप्त करने से रोकता है जब तक कि वे एक केंद्रीय निर्देशिका (central directory) के विरुद्ध सफलतापूर्वक प्रमाणित नहीं हो जाते।

तीन मुख्य घटक (The Three Core Components)
- सप्लीकेंट (क्लाइंट डिवाइस): लैपटॉप, स्मार्टफोन या IoT डिवाइस पर मौजूद वह सॉफ़्टवेयर जो एक्सेस का अनुरोध करता है। इसे चुने गए EAP (Extensible Authentication Protocol) मेथड का समर्थन करना चाहिए।
- ऑथेंटिकेटर (एक्सेस पॉइंट/WLC): नेटवर्क डिवाइस जो द्वारपाल के रूप में कार्य करता है। यह एक "नियंत्रित पोर्ट" खोलता है जो प्रमाणीकरण सफल होने तक केवल EAP ट्रैफ़िक की अनुमति देता है।
- ऑथेंटिकेशन सर्वर (RADIUS): केंद्रीय सर्वर (जैसे, Microsoft NPS, FreeRADIUS, Cisco ISE) जो किसी पहचान स्टोर (जैसे Active Directory) के विरुद्ध क्रेडेंशियल को सत्यापित करता है और Access-Accept या Access-Reject संदेश वापस भेजता है।
EAP मेथड्स: सही सुरक्षा स्थिति चुनना
EAP मेथड का चुनाव आपकी सुरक्षा के स्तर और परिनियोजन की जटिलता को निर्धारित करता है।

- EAP-TLS (Transport Layer Security): सबसे बेहतरीन मानक। सर्वर और क्लाइंट दोनों पर सर्टिफिकेट की आवश्यकता होती है। कोई पासवर्ड ट्रांसफर नहीं किया जाता है। उच्च-सुरक्षा वाले वातावरण के लिए महत्वपूर्ण है, लेकिन इसके लिए एक पूर्ण Public Key Infrastructure (PKI) की आवश्यकता होती है।
- PEAP-MSCHAPv2 (Protected EAP): सबसे आम एंटरप्राइज परिनियोजन। एक सुरक्षित TLS टनल बनाने के लिए सर्वर-साइड सर्टिफिकेट का उपयोग करता है जिसके भीतर क्लाइंट यूजरनेम और पासवर्ड भेजता है। इसे लागू करना आसान है, लेकिन यदि क्लाइंट डिवाइसों को सर्वर सर्टिफिकेट को कड़ाई से सत्यापित करने के लिए कॉन्फ़िगर नहीं किया गया है, तो क्रेडेंशियल चोरी होने का खतरा रहता है।
- EAP-SIM/AKA: प्रमाणीकरण के लिए SIM कार्ड क्रेडेंशियल का उपयोग करता है। निर्बाध ऑनबोर्डिंग के लिए परिवहन केंद्रों और बड़े सार्वजनिक स्थानों में यह तेजी से प्रासंगिक हो रहा है।
कार्यान्वयन मार्गदर्शिका: चरण-दर-चरण कॉन्फ़िगरेशन
802.1X को तैनात करने के लिए आपके RADIUS सर्वर, एक्सेस पॉइंट्स और क्लाइंट डिवाइसेज पर समन्वित कॉन्फ़िगरेशन की आवश्यकता होती है।
चरण 1: RADIUS सर्वर की तैयारी
चाहे आप Microsoft Network Policy Server (NPS) का उपयोग कर रहे हों या किसी अन्य विकल्प का, इसके मूल सिद्धांत समान रहते हैं।
- RADIUS क्लाइंट्स को परिभाषित करें: RADIUS सर्वर में प्रत्येक एक्सेस पॉइंट (या वायरलेस कंट्रोलर) को पंजीकृत करें। AP और RADIUS सर्वर के बीच संचार को सुरक्षित करने के लिए एक मजबूत, यादृच्छिक रूप से जनरेट किया गया साझा सीक्रेट (कम से कम 22 वर्ण) असाइन करें।
- सर्वर सर्टिफिकेट इंस्टॉल करें: PEAP या EAP-TLS के लिए, RADIUS सर्वर पर एक X.509 सर्टिफिकेट इंस्टॉल करें। एक विश्वसनीय सार्वजनिक सर्टिफिकेट अथॉरिटी (CA) से सर्टिफिकेट का उपयोग करने से BYOD परिनियोजन सरल हो जाता है, क्योंकि रूट सर्टिफिकेट पर क्लाइंट ऑपरेटिंग सिस्टम द्वारा पहले से ही भरोसा किया जाता है।
चरण 2: पॉलिसी कॉन्फ़िगरेशन
पहचान के आधार पर एक्सेस तय करने के लिए नेटवर्क नीतियां कॉन्फ़िगर करें।
- कनेक्शन अनुरोध नीतियां: यह परिभाषित करें कि RADIUS सर्वर आने वाले अनुरोधों को कैसे संभालता है। आमतौर पर, इसमें NAS-Port-Type (Wireless - IEEE 802.11) का मिलान करना और स्थानीय रूप से अनुरोधों को प्रमाणित करना शामिल होता है।
- नेटवर्क नीतियां: Active Directory समूहों को नेटवर्क एक्सेस विशेषाधिकारों से मैप करें। उदाहरण के लिए, "Domain Computers" समूह को कॉर्पोरेट VLAN से मैप करें। सफल प्रमाणीकरण पर डायनेमिक रूप से VLAN असाइन करने के लिए RADIUS विशेषताओं (
Tunnel-Type=VLAN,Tunnel-Medium-Type=802,Tunnel-Private-Group-ID=[VLAN_ID]) का उपयोग करें।
चरण 3: एक्सेस पॉइंट कॉन्फ़िगरेशन
अपने वायरलेस इन्फ्रास्ट्रक्चर (जैसे, Meraki, Aruba, Cisco) पर SSID कॉन्फ़िगर करें।
- एक नया SSID बनाएं और सुरक्षा प्रकार के रूप में WPA2-Enterprise या WPA3-Enterprise चुनें।
- अपने प्राथमिक और द्वितीयक RADIUS सर्वर के IP पते दर्ज करें।
- चरण 1 में परिभाषित साझा सीक्रेट दर्ज करें।
- यदि आपका RADIUS सर्वर VLAN विशेषताओं को पुश कर रहा है, तो Dynamic VLAN Assignment सक्षम करें।
चरण 4: क्लाइंट सप्लिकेंट कॉन्फ़िगरेशन
यह सबसे महत्वपूर्ण और अक्सर अनदेखा किया जाने वाला चरण है। उपयोगकर्ताओं द्वारा मैन्युअल रूप से अपने डिवाइस कॉन्फ़िगर करने पर निर्भर न रहें।
- कॉर्पोरेट डिवाइस: WiFi प्रोफाइल पुश करने के लिए ग्रुप पॉलिसी ऑब्जेक्ट्स (GPO) या अपने मोबाइल डिवाइस मैनेजमेंट (MDM) प्लेटफॉर्म का उपयोग करें। मैन-इन-द-मिडल (इविल ट्विन) हमलों को रोकने के लिए प्रोफाइल में विश्वसनीय रूट CA और RADIUS सर्वरों के सटीक सर्वर नाम अनिवार्य रूप से निर्दिष्ट होने चाहिए।
- BYOD: कर्मचारियों के स्वामित्व वाले उपकरणों पर सुरक्षित प्रोफाइल पुश करने के लिए एक ऑनबोर्डिंग पोर्टल या MDM समाधान लागू करें।
सर्वोत्तम प्रथाएं और उद्योग मानक
एक मजबूत डिप्लॉयमेंट सुनिश्चित करने के लिए, इन आर्किटेक्चरल सर्वोत्तम प्रथाओं का पालन करें:
- सख्त प्रमाणपत्र सत्यापन लागू करें: ग्राहकों को कभी भी किसी भी सर्वर प्रमाणपत्र को बिना सोचे-समझे स्वीकार करने की अनुमति न दें। यह PEAP क्रेडेंशियल हार्वेस्टिंग का प्राथमिक जरिया है।
- अतिथि ट्रैफ़िक को अलग करें: आपका 802.1X इन्फ्रास्ट्रक्चर कॉर्पोरेट एक्सेस के लिए है। अतिथि ट्रैफ़िक पूरी तरह से अलग रहना चाहिए। एक समर्पित Guest WiFi प्लेटफॉर्म स्थापित करें, जो अपने स्वयं के Captive Portal और एनालिटिक्स लेयर से लैस हो। जैसा कि हमारे Securing Your Network: Robust DNS and Security गाइड में चर्चा की गई है, नेटवर्क सुरक्षा के लिए लॉजिकल आइसोलेशन बुनियादी है।
- रेडंडेंसी लागू करें: RADIUS एक महत्वपूर्ण मार्ग सेवा है। प्राथमिक और माध्यमिक RADIUS सर्वर तैनात करें। वितरित वातावरण में, जैसे कि बड़ी रिटेल श्रृंखलाओं में, यदि WAN लिंक डाउन हो जाता है तो उत्तरजीविता बनाए रखने के लिए स्थानीय RADIUS प्रॉक्सी पर विचार करें।
समस्या निवारण और जोखिम न्यूनीकरण
जब डिप्लॉयमेंट विफल हो जाते हैं, तो यह आमतौर पर कुछ सामान्य कॉन्फ़िगरेशन त्रुटियों के कारण होता है:
- RADIUS टाइमआउट त्रुटियां: आमतौर पर AP और RADIUS सर्वर के बीच साझा सीक्रेट के बेमेल होने के कारण, या UDP पोर्ट 1812 (प्रमाणीकरण) और 1813 (अकाउंटिंग) को ब्लॉक करने वाले फ़ायरवॉल नियमों के कारण होता है।
- क्लाइंट रिजेक्शन: RADIUS इवेंट लॉग की जांच करें (जैसे, Windows इवेंट व्यूअर -> कस्टम व्यू -> सर्वर रोल -> नेटवर्क पॉलिसी और एक्सेस सर्विसेज)। इवेंट ID 6273 देखें। सामान्य कारणों में समाप्त हो चुके क्लाइंट प्रमाणपत्र या क्लाइंट द्वारा सर्वर की प्रमाणपत्र श्रृंखला पर भरोसा न करना शामिल है।
- VLAN असाइनमेंट विफलताएं: यदि प्रमाणीकरण सफल होता है लेकिन क्लाइंट को IP पता नहीं मिलता है, तो सत्यापित करें कि AP से जुड़ा स्विच पोर्ट एक ट्रंक पोर्ट के रूप में कॉन्फ़िगर किया गया है, जो गतिशील रूप से असाइन किए गए VLANs की अनुमति देता है।
ROI और व्यावसायिक प्रभाव
802.1X लागू करने से महत्वपूर्ण परिचालन और सुरक्षा ROI मिलता है:
- जोखिम न्यूनीकरण: एक एकल समझौता किए गए PSK द्वारा संपूर्ण कॉर्पोरेट नेटवर्क को खतरे में डालने के जोखिम को समाप्त करता है, जो सीधे PCI-DSS और GDPR अनुपालन प्रयासों का समर्थन करता है।
- परिचालन दक्षता: एक्सेस कंट्रोल को केंद्रीकृत करता है। जब कोई कर्मचारी नौकरी छोड़ता है, तो उसके Active Directory खाते को अक्षम करने से उसकी WiFi पहुंच तुरंत रद्द हो जाती है। पूरे एंटरप्राइज में PSKs को बदलने की कोई आवश्यकता नहीं है।
- नेटवर्क दृश्यता: नेटवर्क पर वास्तव में कौन है और वे किन उपकरणों का उपयोग कर रहे हैं, इसकी विस्तृत दृश्यता प्रदान करता है, जिससे बेहतर क्षमता नियोजन और खतरे की पहचान की जा सकती है।खेल स्टेडियमों या hospitality क्षेत्र जैसे उच्च-घनत्व वाले जटिल वातावरण के लिए, अतिथि पहुंच प्रदान करने के साथ-साथ कॉर्पोरेट सुरक्षा का प्रबंधन करना एक चुनौती है। 802.1X के साथ कॉर्पोरेट संपत्तियों को सुरक्षित करके और गेस्ट ट्रैफ़िक को संभालने के लिए एक मजबूत WiFi analytics प्लेटफ़ॉर्म का लाभ उठाकर, IT लीडर सुरक्षित, स्केलेबल कनेक्टिविटी प्रदान कर सकते हैं जो एंटरप्राइज़ और उसके ग्राहकों दोनों के काम आती है। उच्च-घनत्व वाले वातावरण के प्रबंधन के बारे में अधिक जानकारी के लिए, हमारा Zoo और Theme Park WiFi: अधिक भीड़-भाड़ वाले स्थानों के लिए कनेक्टिविटी गाइड देखें।
मुख्य परिभाषाएं
802.1X
पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने के इच्छुक उपकरणों को एक प्रमाणीकरण तंत्र प्रदान करता है।
एंटरप्राइज़ WiFi सुरक्षा के लिए आधारभूत प्रोटोकॉल, जो संवेदनशील साझा पासवर्ड को प्रतिस्थापित करता है।
Supplicant
क्लाइंट डिवाइस या सॉफ़्टवेयर एप्लिकेशन जो नेटवर्क तक पहुँच का अनुरोध कर रहा है।
सुरक्षित कनेक्शन सुनिश्चित करने के लिए IT टीमों को MDM के माध्यम से सप्लीकेंट कॉन्फ़िगरेशन को प्रबंधित करना चाहिए।
Authenticator
नेटवर्क डिवाइस (Access Point या स्विच) जो Supplicant और प्रमाणीकरण सर्वर के बीच एक प्रॉक्सी के रूप में कार्य करके प्रमाणीकरण प्रक्रिया को सुगम बनाता है।
EAP ट्रैफ़िक को सुरक्षित रूप से अग्रेषित करने के लिए RADIUS सर्वर IP और एक साझा रहस्य के साथ कॉन्फ़िगर किया गया।
RADIUS
रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस; एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत प्रमाणीकरण, प्राधिकरण और लेखा (AAA) प्रबंधन प्रदान करता है।
बैकएंड सर्वर (जैसे Microsoft NPS) जो वास्तव में एक निर्देशिका के विरुद्ध उपयोगकर्ता के क्रेडेंशियल्स को सत्यापित करता है।
EAP (Extensible Authentication Protocol)
एक प्रमाणीकरण ढांचा जो अक्सर वायरलेस नेटवर्क और पॉइंट-टू-पॉइंट कनेक्शन में उपयोग किया जाता है, जो कई प्रमाणीकरण विधियों का समर्थन करता है।
Supplicant और RADIUS सर्वर के बीच बोली जाने वाली 'भाषा'।
EAP-TLS
एक EAP विधि जो ट्रांसपोर्ट लेयर सिक्योरिटी का उपयोग करती है, जिसमें पारस्परिक प्रमाणीकरण के लिए सर्वर और क्लाइंट-साइड दोनों प्रमाणपत्रों की आवश्यकता होती है।
उपलब्ध सबसे सुरक्षित विधि, जिसे अक्सर उच्च-सुरक्षा या वर्गीकृत वातावरण के लिए अनिवार्य किया जाता है।
PEAP
Protected Extensible Authentication Protocol; यह एक एन्क्रिप्टेड और प्रमाणित TLS टनल के भीतर EAP को एनकैप्सुलेट करता है।
सबसे व्यापक रूप से तैनात किया जाने वाला एंटरप्राइज तरीका, जो केवल सर्वर-साइड सर्टिफिकेट की आवश्यकता रखकर परिनियोजन में आसानी के साथ सुरक्षा को संतुलित करता है।
Dynamic VLAN Assignment
वह प्रक्रिया जिसमें एक RADIUS सर्वर एक्सेस पॉइंट को निर्देश देता है कि वह किसी प्रमाणित उपयोगकर्ता को उसकी डायरेक्टरी ग्रुप सदस्यता के आधार पर एक विशिष्ट VLAN पर रखे।
केवल एक कॉर्पोरेट SSID को प्रसारित करते हुए नेटवर्क ट्रैफ़िक को विभाजित करने के लिए (जैसे, HR, इंजीनियरिंग और IoT उपकरणों को अलग करना) महत्वपूर्ण है।
हल किए गए उदाहरण
एक 300-कमरों वाले लक्जरी होटल को अपने बैक-ऑफ-हाउस परिचालन नेटवर्क (कर्मचारियों के टैबलेट, VoIP फोन, प्रबंधन लैपटॉप) को पूरी तरह से गेस्ट नेटवर्क से अलग रखते हुए सुरक्षित करने की आवश्यकता है। वे वर्तमान में कर्मचारियों के लिए एकल PSK का उपयोग करते हैं।
- होटल के मौजूदा Active Directory से जुड़े Microsoft NPS को परिनियोजित करें।
- टैबलेट ऑनबोर्डिंग को सरल बनाने के लिए NPS सर्वर पर एक सार्वजनिक प्रमाणपत्र (जैसे, DigiCert) का उपयोग करके PEAP-MSCHAPv2 को कॉन्फ़िगर करें।
- APs पर एक 802.1X SSID ('Hotel_Ops') बनाएं।
- सभी कर्मचारी टैबलेट और लैपटॉप पर 'Hotel_Ops' WiFi प्रोफ़ाइल भेजने के लिए होटल के MDM प्लेटफ़ॉर्म का उपयोग करें, और इस प्रोफ़ाइल को स्पष्ट रूप से DigiCert रूट CA पर भरोसा करने और NPS सर्वर नाम को सत्यापित करने के लिए कॉन्फ़िगर करें।
- मौजूदा ओपन गेस्ट SSID को बनाए रखें, और नियमों की स्वीकृति और एनालिटिक्स के लिए इसे Purple के Captive Portal के माध्यम से रूट करें, यह सुनिश्चित करते हुए कि गेस्ट VLANs परिचालन VLANs पर रूट न हो सकें।
एक विश्वविद्यालय परिसर 802.1X पर माइग्रेट कर रहा है और उसे विभिन्न ऑपरेटिंग सिस्टम वाले 15,000 छात्रों के लिए एक बड़े BYOD वातावरण का समर्थन करने की आवश्यकता है।
- लोड बैलेंसिंग के साथ एक मजबूत RADIUS क्लस्टर (जैसे, FreeRADIUS या Cisco ISE) परिनियोजित करें।
- व्यापक डिवाइस संगतता के लिए PEAP-MSCHAPv2 लागू करें।
- एक ऑनबोर्डिंग पोर्टल (जैसे, SecureW2) परिनियोजित करें जो स्वचालित रूप से छात्र के डिवाइस सप्लीकेंट को सही EAP सेटिंग्स का उपयोग करने और विश्वविद्यालय के RADIUS सर्वर प्रमाणपत्र पर भरोसा करने के लिए कॉन्फ़िगर करता है।
- ब्रॉडकास्ट डोमेन को प्रबंधित करने के लिए छात्रों को उनके परिसर के स्थान के आधार पर उचित सबनेट में रखने के लिए RADIUS विशेषताओं के माध्यम से डायनामिक VLAN असाइनमेंट का उपयोग करें।
अभ्यास प्रश्न
Q1. आपका संगठन PEAP-MSCHAPv2 का उपयोग करके 802.1X तैनात कर रहा है। परीक्षण के दौरान, उपयोगकर्ता रिपोर्ट करते हैं कि पहली बार कनेक्ट करते समय उन्हें 'Accept a Certificate' का निर्देश दिया जाता है। आपको इसका समाधान कैसे करना चाहिए?
संकेत: उपयोगकर्ताओं को नेटवर्क इन्फ्रास्ट्रक्चर के संबंध में विश्वास के निर्णय लेने की अनुमति देने के सुरक्षा निहितार्थों पर विचार करें।
मॉडल उत्तर देखें
आपको क्लाइंट सप्लीकेंट प्रोफाइल को (MDM या ग्रुप पॉलिसी के माध्यम से) कॉन्फ़िगर करना होगा ताकि वे उस Root CA पर स्पष्ट रूप से भरोसा करें जिसने RADIUS सर्वर का सर्टिफिकेट जारी किया है, और विशिष्ट सर्वर नाम को सत्यापित करें। सर्टिफिकेट को मैन्युअल रूप से स्वीकार करने के लिए उपयोगकर्ताओं पर भरोसा करने से उन्हें सुरक्षा चेतावनियों को अनदेखा करने की आदत पड़ती है और नेटवर्क Evil Twin (क्रेडेंशियल हार्वेस्टिंग) हमलों के प्रति संवेदनशील हो जाता है।
Q2. आपको वेयरहाउस बारकोड स्कैनर्स के एक बेड़े को सुरक्षित करने की आवश्यकता है। वे WPA2-Enterprise का समर्थन करते हैं लेकिन उनके पास क्लाइंट सर्टिफिकेट इंस्टॉल करने या Active Directory में शामिल होने का कोई तंत्र नहीं है। सबसे सुरक्षित परिनियोजन दृष्टिकोण क्या है?
संकेत: उन EAP तरीकों का मूल्यांकन करें जिनमें क्लाइंट-साइड सर्टिफिकेट की आवश्यकता नहीं होती है लेकिन फिर भी वे एन्क्रिप्टेड प्रमाणीकरण प्रदान करते हैं।
मॉडल उत्तर देखें
PEAP-MSCHAPv2 तैनात करें। स्कैनर्स के लिए अपनी डायरेक्टरी में एक समर्पित सर्विस अकाउंट बनाएं। TLS टनल स्थापित करने के लिए RADIUS सर्वर को सर्वर सर्टिफिकेट के साथ कॉन्फ़िगर करें, और टनल के भीतर सर्विस अकाउंट क्रेडेंशियल्स का उपयोग करके प्रमाणित करने के लिए स्कैनर्स को कॉन्फ़िगर करें। सुनिश्चित करें कि RADIUS पॉलिसी इस सर्विस अकाउंट को एक विशिष्ट, पृथक वेयरहाउस VLAN तक सीमित रखती है।
Q3. APs और RADIUS सर्वर को कॉन्फ़िगर करने के बाद, क्लाइंट डिवाइस सफलतापूर्वक प्रमाणित हो जाते हैं (RADIUS लॉग में Access-Accept के साथ सत्यापित), लेकिन वे IP एड्रेस प्राप्त करने में विफल रहते हैं और नेटवर्क तक नहीं पहुँच पाते हैं। सबसे संभावित इन्फ्रास्ट्रक्चर समस्या क्या है?
संकेत: प्रमाणीकरण सफल हो गया है, जिसका अर्थ है कि 802.1X चरण पूरा हो गया है। समस्या बाद के नेटवर्क प्रोविज़निंग चरण में है।
मॉडल उत्तर देखें
सबसे संभावित समस्या वायर्ड नेटवर्क पर एक VLAN मिसकॉन्फ़िगरेशन है। यदि RADIUS सर्वर क्लाइंट को एक विशिष्ट VLAN (जैसे, VLAN 20) पर रखने के लिए dynamic VLAN assignment का उपयोग कर रहा है, तो एक्सेस पॉइंट को जोड़ने वाले स्विच पोर्ट को एक 802.1Q ट्रंक पोर्ट के रूप में कॉन्फ़िगर किया जाना चाहिए जो VLAN 20 की अनुमति देता है। यदि VLAN को AP से ट्रंक नहीं किया गया है, तो क्लाइंट के DHCP अनुरोधों को ड्रॉप कर दिया जाएगा।
इस श्रृंखला में आगे पढ़ें
अतिथि और स्टाफ WiFi नेटवर्क के लिए RADIUS ऑथेंटिकेशन को कॉन्फ़िगर करना
यह तकनीकी संदर्भ गाइड एंटरप्राइज़ अतिथि और स्टाफ WiFi नेटवर्क के लिए RADIUS ऑथेंटिकेशन के आर्किटेक्चर, कॉन्फ़िगरेशन और डिप्लॉयमेंट की रूपरेखा तैयार करती है। यह नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को सुरक्षित, स्केलेबल वायरलेस एक्सेस कंट्रोल सिस्टम बनाने के लिए आवश्यक सटीक प्रोटोकॉल, सुरक्षा मानक और ट्रबलशूटिंग कार्यप्रणाली प्रदान करती है।
Passpoint और OpenRoaming: संपूर्ण गाइड
यह तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi नेटवर्क के भीतर Passpoint (हॉटस्पॉट 2.0) और WBA OpenRoaming फ्रेमवर्क का एक व्यापक विश्लेषण प्रदान करती है। यह सुरक्षित, निर्बाध अतिथि कनेक्टिविटी स्थापित करने के लिए आवश्यक बुनियादी ऑथेंटिकेशन प्रोटोकॉल, आर्किटेक्चरल घटकों और परिनियोजन रणनीतियों का विवरण देती है। नेटवर्क आर्किटेक्ट और IT लीडर्स सीखेंगे कि कैसे इन मानकों को डिज़ाइन, लागू और ट्रबलशूट किया जाए ताकि एंटरप्राइज़-ग्रेड सुरक्षा बनाए रखते हुए मैनुअल लॉगिन बाधाओं को समाप्त किया जा सके।
उच्च शिक्षा में सुरक्षित BYOD और नेटवर्क नामांकन के लिए SCEP को कैसे लागू करें
यह तकनीकी मार्गदर्शिका नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को उच्च शिक्षा परिसर नेटवर्क को सुरक्षित करने के लिए SCEP-आधारित प्रमाणपत्र नामांकन को तैनात करने के लिए एक वेंडर-न्यूट्रल ब्लूप्रिंट प्रदान करती है। यह विवरण देती है कि पासवर्ड-आधारित PEAP से 802.1X EAP-TLS पर कैसे माइग्रेट करें, BYOD ऑनबोर्डिंग को स्वचालित करें, और मजबूत VLAN सेगमेंटेशन लागू करें।