मुख्य सामग्री पर जाएं
हिन्दी

802.1X WiFi ऑथेंटिकेशन कैसे कॉन्फ़िगर करें: एक चरण-दर-चरण मार्गदर्शिका

यह तकनीकी मार्गदर्शिका 802.1X एंटरप्राइज़ WiFi ऑथेंटिकेशन को कॉन्फ़िगर करने के लिए चरण-दर-चरण वॉकथ्रू प्रदान करती है। यह उच्च-फ़ुटफ़ॉल वाले स्थानों पर IT लीडर्स के लिए RADIUS सर्वर सेटअप, सर्टिफ़िकेट डिप्लॉयमेंट और व्यावहारिक डिप्लॉयमेंट रणनीतियों को कवर करती है।

📖 5 मिनट का पाठ📝 1,126 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
802.1X WiFi ऑथेंटिकेशन कैसे कॉन्फ़िगर करें: एक चरण-दर-चरण मार्गदर्शिका एक Purple एंटरप्राइज़ WiFi इंटेलिजेंस पॉडकास्ट [परिचय — लगभग 1 मिनट] वापसी पर स्वागत है। मैं आज एक वरिष्ठ समाधान आर्किटेक्ट के रूप में बोल रहा हूं, और यदि आप इसे सुन रहे हैं, तो आप शायद एक नेटवर्क सुरक्षा प्रोजेक्ट को देख रहे हैं जिसमें 802.1X ऑथेंटिकेशन शामिल है — या तो इसलिए क्योंकि आपकी अनुपालन टीम ने इसे फ़्लैग किया है, आपके बीमाकर्ता ने इसके बारे में पूछा है, या आपको अभी-अभी एक ऐसा नेटवर्क विरासत में मिला है जो साझा PSK पर चल रहा है और आप जानते हैं कि अब यह पर्याप्त नहीं है。 तो चलिए सीधे इसमें चलते हैं। 802.1X पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए IEEE मानक है। यह एंटरप्राइज़ WiFi सुरक्षा की रीढ़ है — वह तंत्र जो यह सुनिश्चित करता है कि आपके नेटवर्क से जुड़ने वाले प्रत्येक डिवाइस की सकारात्मक रूप से पहचान की गई है और ट्रैफ़िक का एक भी बाइट प्राप्त करने से पहले उसे अधिकृत किया गया है। PCI DSS के तहत भुगतान कार्ड डेटा को संभालने वाले संगठनों के लिए यह वैकल्पिक नहीं है, GDPR और NHS डेटा सुरक्षा मानकों के तहत स्वास्थ्य सेवा वातावरण के लिए यह वैकल्पिक नहीं है, और स्पष्ट रूप से, मुट्ठी भर से अधिक एक्सेस पॉइंट चलाने वाले किसी भी संगठन के लिए, यह सही आर्किटेक्चर है。 अगले दस मिनट में, मैं आपको तकनीकी आर्किटेक्चर, RADIUS कॉन्फ़िगरेशन, सर्टिफ़िकेट डिप्लॉयमेंट, और वास्तविक दुनिया के परिदृश्यों के बारे में बताऊंगा जहां यह जटिल हो जाता है। चलिए शुरू करते हैं。 [तकनीकी डीप-डाइव — लगभग 5 मिनट] ठीक है, तो 802.1X फ्रेमवर्क में तीन घटक होते हैं। आपके पास सप्लिकेंट है — वह क्लाइंट डिवाइस है, लैपटॉप, फोन, IoT सेंसर। आपके पास ऑथेंटिकेटर है — वह आपका एक्सेस पॉइंट या आपका नेटवर्क स्विच है, जिसे कभी-कभी NAS, नेटवर्क एक्सेस सर्वर कहा जाता है। और आपके पास ऑथेंटिकेशन सर्वर है — एंटरप्राइज़ डिप्लॉयमेंट में लगभग सार्वभौमिक रूप से एक RADIUS सर्वर。 यहां बताया गया है कि हैंडशेक कैसे काम करता है। जब कोई डिवाइस 802.1X-संरक्षित SSID से कनेक्ट करने का प्रयास करता है, तो एक्सेस पॉइंट उसे ऐसे ही नहीं आने देता। इसके बजाय, यह एक नियंत्रित पोर्ट खोलता है — एक सीमित चैनल जो केवल EAP ट्रैफ़िक, एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल को पास करता है। AP डिवाइस को एक EAP-Request Identity भेजता है। डिवाइस अपनी पहचान के साथ प्रतिक्रिया करता है। AP फिर उसे RADIUS सर्वर पर अग्रेषित करता है, जिसे RADIUS Access-Request पैकेट में लपेटा जाता है। RADIUS सर्वर ऑथेंटिकेशन चलाता है — Active Directory, एक सर्टिफ़िकेट स्टोर, या जो भी आइडेंटिटी बैकएंड आपने कॉन्फ़िगर किया है, उसके विरुद्ध क्रेडेंशियल्स की जांच करता है — और या तो Access-Accept या Access-Reject वापस भेजता है। केवल Accept होने पर ही AP पूर्ण डेटा पोर्ट खोलता है और डिवाइस को उपयुक्त VLAN असाइन करता है。 अब, आप जो EAP तरीका चुनते हैं वह बहुत मायने रखता है। एंटरप्राइज़ डिप्लॉयमेंट में आपको पांच का सामना करना पड़ेगा。 EAP-TLS गोल्ड स्टैंडर्ड है। क्लाइंट और सर्वर दोनों X.509 सर्टिफ़िकेट प्रस्तुत करते हैं। इसमें कोई पासवर्ड शामिल नहीं है। यह सबसे सुरक्षित विकल्प है और उच्चतम PCI DSS अनुपालन स्तरों के लिए आवश्यक है। समस्या यह है कि आपको क्लाइंट सर्टिफ़िकेट जारी करने और प्रबंधित करने के लिए एक पूर्ण PKI — एक पब्लिक की इंफ्रास्ट्रक्चर — की आवश्यकता है। इसका मतलब है एक सर्टिफ़िकेट अथॉरिटी, सर्टिफ़िकेट जीवनचक्र प्रबंधन, और प्रत्येक डिवाइस पर सर्टिफ़िकेट पुश करने का एक तंत्र। Microsoft Active Directory और Active Directory Certificate Services वाले संगठनों के लिए, यह बहुत प्राप्त करने योग्य है। उस इंफ्रास्ट्रक्चर के बिना संगठनों के लिए, यह एक महत्वपूर्ण निवेश है。 PEAP-MSCHAPv2 व्यवहार में सबसे व्यापक रूप से डिप्लॉय किया जाने वाला तरीका है। यह केवल सर्वर-साइड सर्टिफ़िकेट का उपयोग करके एक TLS टनल बनाता है, फिर उस टनल के अंदर यूज़रनेम और पासवर्ड क्रेडेंशियल पास करता है। यह बॉक्स के बाहर लगभग हर डिवाइस के साथ संगत है, Windows Server पर NPS के माध्यम से सीधे Active Directory के साथ एकीकृत होता है, और इसके लिए क्लाइंट सर्टिफ़िकेट की आवश्यकता नहीं होती है। ट्रेड-ऑफ़ यह है कि यह क्रेडेंशियल हार्वेस्टिंग हमलों के प्रति संवेदनशील है यदि उपयोगकर्ताओं को एक दुष्ट AP से कनेक्ट करने के लिए बरगलाया जाता है — क्योंकि क्लाइंट डिफ़ॉल्ट रूप से सर्वर सर्टिफ़िकेट को मान्य नहीं करता है। आपको अपने सप्लिकेंट प्रोफ़ाइल में सर्वर सर्टिफ़िकेट वैलिडेशन लागू करना होगा。 EAP-TTLS, PEAP के समान है लेकिन आंतरिक ऑथेंटिकेशन विधि में अधिक लचीला है। यह Linux वातावरण में आम है और जहां आपको लीगेसी ऑथेंटिकेशन बैकएंड का समर्थन करने की आवश्यकता है。 EAP-FAST को Cisco द्वारा LEAP की कमजोरियों की प्रतिक्रिया के रूप में विकसित किया गया था। यह सर्टिफ़िकेट के बजाय प्रोटेक्टेड एक्सेस क्रेडेंशियल्स का उपयोग करता है। यह मुख्य रूप से तब प्रासंगिक होता है जब आप Cisco-भारी वातावरण में होते हैं या ऐसे लीगेसी उपकरणों से निपट रहे होते हैं जो दूसरों का समर्थन नहीं कर सकते。 EAP-SIM और EAP-AKA का उपयोग कैरियर-ग्रेड डिप्लॉयमेंट में किया जाता है — OpenRoaming या Passpoint के बारे में सोचें — जहां ऑथेंटिकेशन सिम कार्ड या USIM से जुड़ा होता है। ये सार्वजनिक स्थान WiFi के लिए तेजी से प्रासंगिक हैं जहां आप Captive Portal के बिना निर्बाध, सुरक्षित ऑनबोर्डिंग चाहते हैं。 अब RADIUS कॉन्फ़िगरेशन के बारे में बात करते हैं। चाहे आप Microsoft NPS, FreeRADIUS, Cisco ISE, या Aruba ClearPass डिप्लॉय कर रहे हों, मुख्य कॉन्फ़िगरेशन चरण समान हैं。 सबसे पहले, आप अपने RADIUS क्लाइंट्स को परिभाषित करते हैं — ये आपके एक्सेस पॉइंट या वायरलेस LAN कंट्रोलर हैं। प्रत्येक क्लाइंट अपने IP पते और एक शेयर्ड सीक्रेट के साथ पंजीकृत होता है। उस शेयर्ड सीक्रेट का उपयोग AP और सर्वर के बीच RADIUS संदेशों को ऑथेंटिकेट करने के लिए किया जाता है। न्यूनतम 22 वर्णों का उपयोग करें, बेतरतीब ढंग से जनरेट किए गए, और प्रति NAS डिवाइस अद्वितीय。 दूसरा, आप अपनी नेटवर्क पॉलिसी कॉन्फ़िगर करते हैं। यह वह जगह है जहां आप परिभाषित करते हैं कि किसे क्या एक्सेस मिलता है। NPS के संदर्भ में, आप एक नेटवर्क पॉलिसी बना रहे हैं जो शर्तों — Active Directory में समूह सदस्यता, डिवाइस प्रकार, दिन का समय — से मेल खाती है और एट्रिब्यूट्स — VLAN ID, सत्र टाइमआउट, बैंडविड्थ सीमाएं — असाइन करती है। आप जिस RADIUS एट्रिब्यूट का सबसे अधिक उपयोग करेंगे वह VLAN असाइनमेंट है, विशेष रूप से Tunnel-Type को VLAN पर सेट करना, Tunnel-Medium-Type को 802 पर सेट करना, और Tunnel-Private-Group-ID को आपके VLAN नंबर पर सेट करना。 तीसरा, आप अपनी कनेक्शन अनुरोध पॉलिसी कॉन्फ़िगर करते हैं। यह NPS को बताता है कि आने वाले RADIUS अनुरोधों को कैसे संभालना है — क्या स्थानीय रूप से ऑथेंटिकेट करना है या किसी अन्य RADIUS सर्वर पर अग्रेषित करना है। एक वितरित डिप्लॉयमेंट में, आपके पास प्रत्येक साइट पर NPS प्रॉक्सी के साथ एक केंद्रीय RADIUS सर्वर हो सकता है。 सर्टिफ़िकेट पक्ष पर, PEAP और EAP-TLS के लिए, आपके RADIUS सर्वर को आपके क्लाइंट्स द्वारा विश्वसनीय सर्वर सर्टिफ़िकेट की आवश्यकता होती है। सबसे आसान रास्ता सार्वजनिक CA — DigiCert, Sectigo, Let's Encrypt — से सर्टिफ़िकेट का उपयोग करना है क्योंकि वे रूट सर्टिफ़िकेट पहले से ही सभी प्रमुख ऑपरेटिंग सिस्टम द्वारा विश्वसनीय हैं। यदि आप एक आंतरिक CA का उपयोग कर रहे हैं, तो आपको ग्रुप पॉलिसी या अपने MDM प्लेटफ़ॉर्म के माध्यम से सभी क्लाइंट उपकरणों पर रूट सर्टिफ़िकेट पुश करने की आवश्यकता है。 विशेष रूप से EAP-TLS के लिए, आपको क्लाइंट सर्टिफ़िकेट की भी आवश्यकता होती है। Active Directory वातावरण में, आप डोमेन-जॉइन्ड उपकरणों पर सर्टिफ़िकेट पुश करने के लिए ग्रुप पॉलिसी के माध्यम से ऑटो-एनरोलमेंट के साथ ADCS का उपयोग करेंगे। BYOD उपकरणों के लिए, आप सर्टिफ़िकेट और WiFi प्रोफ़ाइल दोनों को पुश करने के लिए अपने MDM — Intune, Jamf, VMware Workspace ONE — का उपयोग करेंगे。 एक्सेस पॉइंट की ओर, कॉन्फ़िगरेशन सीधा है। आप एक नया SSID बनाते हैं, सुरक्षा को WPA2-Enterprise या WPA3-Enterprise पर सेट करते हैं, RADIUS ऑथेंटिकेशन सर्वर को UDP पोर्ट 1812 पर अपने NPS IP पर इंगित करते हैं, UDP पोर्ट 1813 पर RADIUS अकाउंटिंग सर्वर सेट करते हैं, शेयर्ड सीक्रेट दर्ज करते हैं, और यदि आप इसका उपयोग कर रहे हैं तो डायनेमिक VLAN असाइनमेंट सक्षम करते हैं। अधिकांश एंटरप्राइज़ AP प्लेटफ़ॉर्म — Cisco Meraki, Aruba, Ruckus, Extreme — में इसके लिए एक GUI होता है जिसमें आपका RADIUS सर्वर तैयार होने के बाद लगभग दस मिनट लगते हैं。 [कार्यान्वयन सिफ़ारिशें और कमियां — लगभग 2 मिनट] ठीक है, आइए इस बारे में बात करते हैं कि डिप्लॉयमेंट कहां गलत होते हैं, क्योंकि यहीं मैं अपनी कंसल्टेंसी फीस कमाता हूं。 सबसे आम विफलता बिंदु सर्टिफ़िकेट वैलिडेशन है। मैंने संगठनों को सर्वर साइड पर PEAP-MSCHAPv2 को सही ढंग से डिप्लॉय करते देखा है, फिर किसी भी सर्टिफ़िकेट को स्वीकार करने के लिए क्लाइंट सप्लिकेंट प्रोफ़ाइल को कॉन्फ़िगर छोड़ दिया है। यह सुरक्षा मॉडल को पूरी तरह से कमजोर कर देता है। प्रत्येक सप्लिकेंट प्रोफ़ाइल — चाहे ग्रुप पॉलिसी या MDM के माध्यम से पुश की गई हो — को विश्वसनीय रूट CA और अपेक्षित सर्वर नाम निर्दिष्ट करना चाहिए। इसके बिना, आप ईविल ट्विन हमलों के प्रति संवेदनशील हैं。 दूसरी आम समस्या RADIUS शेयर्ड सीक्रेट प्रबंधन है। मैंने उत्पादन नेटवर्क को शेयर्ड सीक्रेट के साथ "radius" या वेंडर डिफ़ॉल्ट पर सेट देखा है। ये रहस्य आपके ऑथेंटिकेशन इंफ्रास्ट्रक्चर की कुंजियां हैं। उन्हें बेतरतीब ढंग से जनरेट करें, उन्हें एक सीक्रेट्स मैनेजर में स्टोर करें, और उन्हें एक शेड्यूल पर रोटेट करें。 तीसरा: VLAN मिसकॉन्फ़िगरेशन। डायनेमिक VLAN असाइनमेंट शक्तिशाली है — यह आपको एक ही SSID से कॉर्पोरेट VLAN पर स्टाफ़ डिवाइस, प्रतिबंधित VLAN पर ठेकेदारों और एक अलग VLAN पर IoT डिवाइस रखने देता है। लेकिन यदि RADIUS एट्रिब्यूट्स सही ढंग से कॉन्फ़िगर नहीं किए गए हैं, या स्विच ट्रंक पोर्ट सही VLAN नहीं ले जा रहे हैं, तो डिवाइस या तो कनेक्ट होने में विफल हो जाएंगे या गलत सेगमेंट पर आ जाएंगे। उत्पादन में रोल आउट करने से पहले एक लैब में इसका अच्छी तरह से परीक्षण करें。 चौथा: रिडंडेंसी। आपका RADIUS सर्वर अब इंफ्रास्ट्रक्चर का एक महत्वपूर्ण हिस्सा है। यदि यह डाउन हो जाता है, तो कोई भी कनेक्ट नहीं होता है। आपको प्रत्येक AP पर कम से कम एक प्राथमिक और द्वितीयक RADIUS सर्वर कॉन्फ़िगर करने की आवश्यकता है। बड़े डिप्लॉयमेंट में, स्वास्थ्य निगरानी के साथ RADIUS प्रॉक्सी क्लस्टर पर विचार करें。 पांचवां, और यह हॉस्पिटैलिटी और रिटेल वातावरण के लिए विशिष्ट है: गेस्ट बनाम कॉर्पोरेट अलगाव। आपका 802.1X कॉर्पोरेट SSID और आपका गेस्ट WiFi SSID पूरी तरह से अलग होना चाहिए — अलग VLAN, अलग फ़ायरवॉल पॉलिसियां, अलग DNS। Purple जैसा प्लेटफ़ॉर्म अपने स्वयं के Captive Portal और एनालिटिक्स लेयर के साथ गेस्ट पक्ष को संभालता है, जबकि आपका 802.1X इंफ्रास्ट्रक्चर कॉर्पोरेट पक्ष को संभालता है। ये पूरक हैं, प्रतिस्पर्धी नहीं, सिस्टम हैं。 [रैपिड-फ़ायर प्रश्नोत्तर — लगभग 1 मिनट] मुझे उन सवालों के बारे में बताने दें जो मुझे सबसे अधिक मिलते हैं。 क्या मैं क्लाउड-प्रबंधित AP प्लेटफ़ॉर्म पर 802.1X चला सकता हूं? हां — Meraki, Aruba Central, और Ruckus Cloud सभी इसका समर्थन करते हैं। आप क्लाउड डैशबोर्ड में RADIUS सर्वर विवरण कॉन्फ़िगर करते हैं, और APs EAP प्रॉक्सीइंग को संभालते हैं。 क्या मुझे Active Directory की आवश्यकता है? नहीं। FreeRADIUS LDAP, SQL डेटाबेस, फ़्लैट फ़ाइलों या यहां तक कि REST API के विरुद्ध ऑथेंटिकेट कर सकता है। लेकिन NPS के माध्यम से AD एकीकरण अब तक का सबसे आम एंटरप्राइज़ पथ है。 उन IoT उपकरणों के बारे में क्या जो 802.1X का समर्थन नहीं करते हैं? फ़ॉलबैक के रूप में MAC ऑथेंटिकेशन बायपास — MAB — का उपयोग करें। डिवाइस का MAC पता RADIUS को यूज़रनेम और पासवर्ड के रूप में भेजा जाता है। यह EAP जितना सुरक्षित नहीं है, लेकिन यह आपको IoT उपकरणों को प्रतिबंधित VLAN में रखते हुए ऑनबोर्ड करने देता है。 क्या 802.1X WPA3 के साथ काम करता है? हां। WPA3-Enterprise अनिवार्य रूप से 802.1X ऑथेंटिकेशन के साथ WPA3 है। यह मजबूत एन्क्रिप्शन जोड़ता है — उच्च-सुरक्षा मोड में 192-बिट — और नए डिप्लॉयमेंट के लिए अनुशंसित मानक है。 [सारांश और अगले कदम — लगभग 1 मिनट] तो इसे एक साथ लाने के लिए: 802.1X कोई ऐसी चीज़ नहीं है जिसे रखना अच्छा हो। संवेदनशील डेटा को संभालने, भुगतान संसाधित करने, या विनियमित वातावरण में काम करने वाले किसी भी संगठन के लिए, यह एंटरप्राइज़ WiFi सुरक्षा के लिए आधार रेखा है। आर्किटेक्चर अच्छी तरह से स्थापित है, टूलिंग परिपक्व है, और डिप्लॉयमेंट पथ स्पष्ट है。 अपने EAP तरीके के चयन से शुरू करें — PEAP-MSCHAPv2 यदि आपको त्वरित जीत और व्यापक संगतता की आवश्यकता है, EAP-TLS यदि आपके पास PKI इंफ्रास्ट्रक्चर है और सबसे मजबूत सुरक्षा स्थिति की आवश्यकता है। किसी भी AP को छूने से पहले अपने RADIUS सर्वर को कॉन्फ़िगर और रिडंडेंट करें। लाइव होने से पहले ग्रुप पॉलिसी या MDM के माध्यम से अपने सप्लिकेंट प्रोफ़ाइल पुश करें। और अपने गेस्ट WiFi को पूरी तरह से अलग रखें — उस लेयर के लिए एक उद्देश्य-निर्मित प्लेटफ़ॉर्म का उपयोग करें。 यदि आप एक बहु-स्थान वातावरण — होटल, रिटेल श्रृंखलाएं, स्टेडियम — संचालित कर रहे हैं, तो जटिलता साइटों की संख्या के साथ बढ़ती है, लेकिन आर्किटेक्चर नहीं बदलता है। कुंजी साइट-स्थानीय रिडंडेंसी के साथ केंद्रीकृत RADIUS है, और आपके डिवाइस बेड़े में एक सुसंगत MDM-पुश सप्लिकेंट प्रोफ़ाइल है。 सुनने के लिए धन्यवाद। पूर्ण लिखित मार्गदर्शिका, आर्किटेक्चर आरेख, और कॉन्फ़िगरेशन चेकलिस्ट purple.ai पर उपलब्ध हैं। यदि आप 802.1X डिप्लॉयमेंट की योजना बना रहे हैं और अपने वातावरण की बारीकियों के बारे में बात करना चाहते हैं, तो सीधे Purple टीम से संपर्क करें।

header_image.png

कार्यकारी सारांश

एंटरप्राइज़ नेटवर्क के लिए, कॉर्पोरेट इंफ्रास्ट्रक्चर को सुरक्षित करने के लिए साझा PSK (Pre-Shared Keys) अब पर्याप्त नहीं हैं। जैसे-जैसे संगठन सख्त अनुपालन जनादेशों (PCI DSS, GDPR) और बढ़ते अटैक सरफेस का सामना कर रहे हैं, 802.1X ऑथेंटिकेशन में ट्रांज़िशन एक महत्वपूर्ण सुरक्षा अनिवार्यता है।

यह मार्गदर्शिका एंटरप्राइज़ एक्सेस पॉइंट पर 802.1X को कॉन्फ़िगर करने के लिए एक व्यावहारिक, वेंडर-न्यूट्रल डिप्लॉयमेंट वॉकथ्रू प्रदान करती है। हम मुख्य आर्किटेक्चर—सप्लिकेंट (Supplicant), ऑथेंटिकेटर (Authenticator), और ऑथेंटिकेशन सर्वर (Authentication Server)—के साथ-साथ सर्टिफ़िकेट प्रबंधन, RADIUS कॉन्फ़िगरेशन और सामान्य डिप्लॉयमेंट समस्याओं को कवर करते हैं। रिटेल, हॉस्पिटैलिटी या सार्वजनिक क्षेत्र के वातावरण में काम करने वाले IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए, यह संदर्भ कॉर्पोरेट और गेस्ट ट्रैफ़िक को सख्ती से अलग रखते हुए मजबूत, पहचान-आधारित नेटवर्क एक्सेस कंट्रोल को लागू करने के लिए आवश्यक कार्रवाई योग्य कदम प्रदान करता है।

आर्किटेक्चर और कार्यान्वयन रणनीतियों के 10-मिनट के अवलोकन के लिए नीचे हमारी सहयोगी पॉडकास्ट ब्रीफिंग सुनें।

तकनीकी डीप-डाइव: 802.1X आर्किटेक्चर

IEEE 802.1X मानक पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल को परिभाषित करता है। वायरलेस संदर्भ में, यह क्लाइंट डिवाइस को तब तक डेटा ट्रैफ़िक भेजने या प्राप्त करने से रोकता है जब तक कि यह केंद्रीय डायरेक्टरी के विरुद्ध सफलतापूर्वक ऑथेंटिकेट न हो जाए।

architecture_overview.png

तीन मुख्य घटक

  1. सप्लिकेंट (क्लाइंट डिवाइस): एक्सेस का अनुरोध करने वाले लैपटॉप, स्मार्टफोन या IoT डिवाइस पर मौजूद सॉफ़्टवेयर। इसे चुने गए EAP (Extensible Authentication Protocol) तरीके का समर्थन करना चाहिए।
  2. ऑथेंटिकेटर (एक्सेस पॉइंट / WLC): गेटकीपर के रूप में कार्य करने वाला नेटवर्क डिवाइस। यह एक "नियंत्रित पोर्ट" खोलता है जो ऑथेंटिकेशन सफल होने तक केवल EAP ट्रैफ़िक की अनुमति देता है।
  3. ऑथेंटिकेशन सर्वर (RADIUS): केंद्रीय सर्वर (जैसे, Microsoft NPS, FreeRADIUS, Cisco ISE) जो किसी आइडेंटिटी स्टोर (जैसे Active Directory) के विरुद्ध क्रेडेंशियल्स को मान्य करता है और Access-Accept या Access-Reject संदेश लौटाता है。

EAP तरीके: सही सुरक्षा स्थिति चुनना

EAP तरीके का चुनाव आपके सुरक्षा स्तर और डिप्लॉयमेंट की जटिलता को निर्धारित करता है।

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security): गोल्ड स्टैंडर्ड। सर्वर और क्लाइंट दोनों सर्टिफ़िकेट की आवश्यकता होती है। कोई पासवर्ड ट्रांसमिट नहीं किया जाता है। उच्च-सुरक्षा वाले वातावरण के लिए आवश्यक है लेकिन इसके लिए पूर्ण पब्लिक की इंफ्रास्ट्रक्चर (PKI) की आवश्यकता होती है।
  • PEAP-MSCHAPv2 (Protected EAP): सबसे आम एंटरप्राइज़ डिप्लॉयमेंट। एक सुरक्षित TLS टनल बनाने के लिए सर्वर-साइड सर्टिफ़िकेट का उपयोग करता है, जिसके अंदर क्लाइंट यूज़रनेम और पासवर्ड भेजता है। डिप्लॉय करना आसान है लेकिन यदि क्लाइंट डिवाइस सर्वर सर्टिफ़िकेट को सख्ती से मान्य करने के लिए कॉन्फ़िगर नहीं किए गए हैं, तो क्रेडेंशियल हार्वेस्टिंग के प्रति संवेदनशील है।
  • EAP-SIM/AKA: ऑथेंटिकेशन के लिए सिम कार्ड क्रेडेंशियल्स का उपयोग करता है। Transport हब और बड़े सार्वजनिक स्थानों में निर्बाध ऑनबोर्डिंग के लिए तेजी से प्रासंगिक हो रहा है।

कार्यान्वयन मार्गदर्शिका: चरण-दर-चरण कॉन्फ़िगरेशन

802.1X को डिप्लॉय करने के लिए आपके RADIUS सर्वर, आपके एक्सेस पॉइंट और आपके क्लाइंट डिवाइस में समन्वित कॉन्फ़िगरेशन की आवश्यकता होती है।

चरण 1: RADIUS सर्वर की तैयारी

चाहे आप Microsoft Network Policy Server (NPS) का उपयोग कर रहे हों या किसी विकल्प का, मूल सिद्धांत समान रहते हैं।

  1. RADIUS क्लाइंट्स को परिभाषित करें: अपने RADIUS सर्वर में प्रत्येक एक्सेस पॉइंट (या वायरलेस LAN कंट्रोलर) को रजिस्टर करें। AP और RADIUS सर्वर के बीच संचार को सुरक्षित करने के लिए एक मजबूत, बेतरतीब ढंग से जनरेट किया गया शेयर्ड सीक्रेट (न्यूनतम 22 वर्ण) असाइन करें।
  2. सर्वर सर्टिफ़िकेट इंस्टॉल करें: PEAP या EAP-TLS के लिए, RADIUS सर्वर पर X.509 सर्टिफ़िकेट इंस्टॉल करें। एक विश्वसनीय सार्वजनिक सर्टिफ़िकेट अथॉरिटी (CA) से सर्टिफ़िकेट का उपयोग करने से BYOD वातावरण के लिए डिप्लॉयमेंट सरल हो जाता है, क्योंकि रूट सर्टिफ़िकेट पहले से ही क्लाइंट ऑपरेटिंग सिस्टम द्वारा विश्वसनीय होता है।

चरण 2: पॉलिसी कॉन्फ़िगरेशन

पहचान के आधार पर एक्सेस अधिकारों को निर्धारित करने के लिए अपनी नेटवर्क पॉलिसियों को कॉन्फ़िगर करें।

  1. कनेक्शन अनुरोध पॉलिसियां: परिभाषित करें कि RADIUS सर्वर आने वाले अनुरोधों को कैसे संभालता है। आमतौर पर, इसमें NAS-Port-Type (Wireless - IEEE 802.11) का मिलान करना और अनुरोधों को स्थानीय रूप से ऑथेंटिकेट करना शामिल होता है।
  2. नेटवर्क पॉलिसियां: Active Directory समूहों को नेटवर्क एक्सेस अधिकारों से मैप करें। उदाहरण के लिए, 'Domain Computers' समूह को कॉर्पोरेट VLAN से मैप करें। सफल ऑथेंटिकेशन पर गतिशील रूप से VLAN असाइन करने के लिए RADIUS एट्रिब्यूट्स (Tunnel-Type=VLAN, Tunnel-Medium-Type=802, Tunnel-Private-Group-ID=[VLAN_ID]) का उपयोग करें।

चरण 3: एक्सेस पॉइंट कॉन्फ़िगरेशन

अपने वायरलेस इंफ्रास्ट्रक्चर (जैसे, Meraki, Aruba, Cisco) पर SSID कॉन्फ़िगर करें।

  1. एक नया SSID बनाएं और WPA2-Enterprise या WPA3-Enterprise चुनें।
  2. अपने प्राथमिक और द्वितीयक RADIUS सर्वर का IP पता दर्ज करें।
  3. चरण 1 में परिभाषित शेयर्ड सीक्रेट इनपुट करें।
  4. यदि आपका RADIUS सर्वर VLAN एट्रिब्यूट्स पुश कर रहा है तो Dynamic VLAN Assignment सक्षम करें।

चरण 4: क्लाइंट सप्लिकेंट प्रोविज़निंग

यह सबसे महत्वपूर्ण और अक्सर अनदेखा किया जाने वाला कदम है। उपयोगकर्ताओं पर अपने डिवाइस को मैन्युअल रूप से कॉन्फ़िगर करने के लिए निर्भर न रहें।

  • कॉर्पोरेट डिवाइस: WiFi प्रोफ़ाइल को पुश करने के लिए ग्रुप पॉलिसी ऑब्जेक्ट्स (GPO) या अपने मोबाइल डिवाइस मैनेजमेंट (MDM) प्लेटफ़ॉर्म का उपयोग करें। ईविल ट्विन (Evil Twin) हमलों को रोकने के लिए प्रोफ़ाइल को अनिवार्य रूप से विश्वसनीय रूट CA और आपके RADIUS सर्वर का सटीक सर्वर नाम निर्दिष्ट करना चाहिए।
  • BYOD: कर्मचारी-स्वामित्व वाले उपकरणों पर सुरक्षित प्रोफ़ाइल पुश करने के लिए एक ऑनबोर्डिंग पोर्टल या MDM समाधान लागू करें।

सर्वोत्तम प्रथाएं और उद्योग मानक

एक मजबूत डिप्लॉयमेंट सुनिश्चित करने के लिए, निम्नलिखित आर्किटेक्चरल सर्वोत्तम प्रथाओं का पालन करें:

  1. सख्त सर्टिफ़िकेट वैलिडेशन: क्लाइंट्स को कभी भी किसी भी सर्वर सर्टिफ़िकेट को आंख मूंदकर स्वीकार करने की अनुमति न दें। यह PEAP क्रेडेंशियल हार्वेस्टिंग के लिए प्राथमिक वेक्टर है।
  2. गेस्ट ट्रैफ़िक को अलग करें: आपका 802.1X इंफ्रास्ट्रक्चर कॉर्पोरेट एक्सेस के लिए है। गेस्ट ट्रैफ़िक पूरी तरह से अलग रहना चाहिए। अपने स्वयं के Captive Portal और एनालिटिक्स लेयर के साथ एक समर्पित Guest WiFi प्लेटफ़ॉर्म लागू करें। जैसा कि Protect Your Network with Strong DNS and Security पर हमारी मार्गदर्शिका में चर्चा की गई है, लॉजिकल सेपरेशन नेटवर्क सुरक्षा के लिए मौलिक है।
  3. रिडंडेंसी लागू करें: RADIUS एक क्रिटिकल पाथ सर्विस है। प्राथमिक और द्वितीयक RADIUS सर्वर डिप्लॉय करें। बड़ी Retail श्रृंखलाओं जैसे वितरित वातावरण में, यदि WAN लिंक ड्रॉप हो जाता है तो सर्वाइवेबिलिटी के लिए स्थानीय RADIUS प्रॉक्सी पर विचार करें।

समस्या निवारण और जोखिम न्यूनीकरण

जब डिप्लॉयमेंट विफल हो जाते हैं, तो यह आमतौर पर कुछ सामान्य कॉन्फ़िगरेशन त्रुटियों के कारण होता है:

  • RADIUS टाइमआउट त्रुटियां: अक्सर AP और RADIUS सर्वर के बीच बेमेल शेयर्ड सीक्रेट, या UDP पोर्ट 1812 (ऑथेंटिकेशन) और 1813 (अकाउंटिंग) को ब्लॉक करने वाले फ़ायरवॉल नियमों के कारण होता है।
  • क्लाइंट रिजेक्शन: RADIUS इवेंट लॉग्स की जांच करें (जैसे, Windows Event Viewer -> Custom Views -> Server Roles -> Network Policy and Access Services)। Event ID 6273 खोजें। सामान्य कारणों में समाप्त हो चुके क्लाइंट सर्टिफ़िकेट या क्लाइंट का सर्वर की सर्टिफ़िकेट चेन पर भरोसा करने में विफल होना शामिल है。
  • VLAN असाइनमेंट विफलताएं: यदि ऑथेंटिकेशन सफल होता है लेकिन क्लाइंट को कोई IP पता नहीं मिलता है, तो सत्यापित करें कि AP से जुड़ा स्विच पोर्ट एक ट्रंक पोर्ट के रूप में कॉन्फ़िगर किया गया है जो गतिशील रूप से असाइन किए गए VLAN की अनुमति देता है।

ROI और व्यावसायिक प्रभाव

802.1X को लागू करने से महत्वपूर्ण परिचालन और सुरक्षा ROI प्राप्त होता है:

  • जोखिम न्यूनीकरण: संपूर्ण कॉर्पोरेट नेटवर्क को भंग करने वाले एकल समझौता किए गए PSK के जोखिम को समाप्त करता है, जो सीधे PCI DSS और GDPR अनुपालन प्रयासों का समर्थन करता है।
  • परिचालन दक्षता: एक्सेस कंट्रोल को केंद्रीकृत करता है। जब कोई कर्मचारी छोड़ता है, तो उनके Active Directory खाते को अक्षम करने से तुरंत उनका WiFi एक्सेस रद्द हो जाता है। पूरे एंटरप्राइज़ में PSK को रोटेट करने की कोई आवश्यकता नहीं है।
  • नेटवर्क विज़िबिलिटी: नेटवर्क पर कौन है और वे किस डिवाइस का उपयोग कर रहे हैं, इसकी विस्तृत विज़िबिलिटी प्रदान करता है, जिससे बेहतर क्षमता नियोजन और थ्रेट हंटिंग सक्षम होती है।

स्टेडियम या Hospitality स्थानों जैसे जटिल, उच्च-घनत्व वाले वातावरण के लिए, गेस्ट एक्सेस के साथ-साथ कॉर्पोरेट सुरक्षा का प्रबंधन करना चुनौतीपूर्ण है। 802.1X के साथ कॉर्पोरेट संपत्तियों को सुरक्षित करके और विज़िटर ट्रैफ़िक के लिए एक मजबूत WiFi Analytics प्लेटफ़ॉर्म का लाभ उठाकर, IT लीडर सुरक्षित, स्केलेबल कनेक्टिविटी प्रदान कर सकते हैं जो व्यवसाय और उसके ग्राहकों दोनों की सेवा करती है। उच्च-घनत्व वाले वातावरण के प्रबंधन पर अंतर्दृष्टि के लिए, हमारी Zoo and Theme Park WiFi: High-Footfall Venue Connectivity Guide की समीक्षा करें।

मुख्य परिभाषाएं

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने के इच्छुक उपकरणों को ऑथेंटिकेशन तंत्र प्रदान करता है।

एंटरप्राइज़ WiFi सुरक्षा के लिए मूलभूत प्रोटोकॉल, जो असुरक्षित साझा पासवर्ड को प्रतिस्थापित करता है।

सप्लिकेंट (Supplicant)

नेटवर्क तक एक्सेस का अनुरोध करने वाला क्लाइंट डिवाइस या सॉफ़्टवेयर एप्लिकेशन।

सुरक्षित कनेक्शन सुनिश्चित करने के लिए IT टीमों को MDM के माध्यम से सप्लिकेंट कॉन्फ़िगरेशन का प्रबंधन करना चाहिए।

ऑथेंटिकेटर (Authenticator)

नेटवर्क डिवाइस (एक्सेस पॉइंट या स्विच) जो सप्लिकेंट और ऑथेंटिकेशन सर्वर के बीच प्रॉक्सी के रूप में कार्य करके ऑथेंटिकेशन प्रक्रिया को सुविधाजनक बनाता है।

EAP ट्रैफ़िक को सुरक्षित रूप से अग्रेषित करने के लिए RADIUS सर्वर IP और एक शेयर्ड सीक्रेट के साथ कॉन्फ़िगर किया गया।

RADIUS

रिमोट ऑथेंटिकेशन डायल-इन यूज़र सर्विस; एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत ऑथेंटिकेशन, ऑथराइज़ेशन और अकाउंटिंग (AAA) प्रबंधन प्रदान करता है।

बैकएंड सर्वर (जैसे Microsoft NPS) जो वास्तव में किसी डायरेक्टरी के विरुद्ध उपयोगकर्ता के क्रेडेंशियल्स को मान्य करता है।

EAP (Extensible Authentication Protocol)

वायरलेस नेटवर्क और पॉइंट-टू-पॉइंट कनेक्शन में अक्सर उपयोग किया जाने वाला एक ऑथेंटिकेशन फ्रेमवर्क, जो कई ऑथेंटिकेशन विधियों का समर्थन करता है।

सप्लिकेंट और RADIUS सर्वर के बीच बोली जाने वाली 'भाषा'।

EAP-TLS

एक EAP तरीका जो ट्रांसपोर्ट लेयर सिक्योरिटी का उपयोग करता है, जिसके लिए पारस्परिक ऑथेंटिकेशन के लिए सर्वर और क्लाइंट-साइड दोनों सर्टिफ़िकेट की आवश्यकता होती है।

उपलब्ध सबसे सुरक्षित तरीका, जिसे अक्सर उच्च-सुरक्षा या वर्गीकृत वातावरण के लिए अनिवार्य किया जाता है।

PEAP

प्रोटेक्टेड एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल; एक एन्क्रिप्टेड और ऑथेंटिकेटेड TLS टनल के भीतर EAP को एनकैप्सुलेट करता है।

सबसे व्यापक रूप से डिप्लॉय किया गया एंटरप्राइज़ तरीका, जो केवल सर्वर-साइड सर्टिफ़िकेट की आवश्यकता के द्वारा डिप्लॉयमेंट में आसानी के साथ सुरक्षा को संतुलित करता है।

डायनेमिक VLAN असाइनमेंट

वह प्रक्रिया जहां एक RADIUS सर्वर एक्सेस पॉइंट को निर्देश देता है कि वह किसी ऑथेंटिकेटेड उपयोगकर्ता को उनकी डायरेक्टरी समूह सदस्यता के आधार पर एक विशिष्ट VLAN पर रखे।

केवल एक कॉर्पोरेट SSID प्रसारित करते हुए नेटवर्क ट्रैफ़िक को विभाजित करने (जैसे, HR, इंजीनियरिंग और IoT उपकरणों को अलग करना) के लिए महत्वपूर्ण है।

हल किए गए उदाहरण

एक 300-कमरों वाले लक्ज़री होटल को अपने बैक-ऑफ़-हाउस ऑपरेशनल नेटवर्क (स्टाफ़ टैबलेट, VoIP फ़ोन, मैनेजमेंट लैपटॉप) को सुरक्षित करने की आवश्यकता है, जबकि इसे गेस्ट नेटवर्क से पूरी तरह अलग रखना है। वे वर्तमान में स्टाफ़ के लिए एकल PSK का उपयोग करते हैं।

  1. होटल की मौजूदा Active Directory से जुड़े Microsoft NPS को डिप्लॉय करें।
  2. टैबलेट ऑनबोर्डिंग को सरल बनाने के लिए NPS सर्वर पर सार्वजनिक सर्टिफ़िकेट (जैसे, DigiCert) का उपयोग करके PEAP-MSCHAPv2 कॉन्फ़िगर करें।
  3. APs पर एक 802.1X SSID ('Hotel_Ops') बनाएं।
  4. सभी स्टाफ़ टैबलेट और लैपटॉप पर 'Hotel_Ops' WiFi प्रोफ़ाइल पुश करने के लिए होटल के MDM प्लेटफ़ॉर्म का उपयोग करें, DigiCert रूट CA पर भरोसा करने और NPS सर्वर नाम को मान्य करने के लिए प्रोफ़ाइल को स्पष्ट रूप से कॉन्फ़िगर करें।
  5. मौजूदा ओपन गेस्ट SSID को बनाए रखें, इसे शर्तों की स्वीकृति और एनालिटिक्स के लिए Purple के Captive Portal के माध्यम से रूट करें, यह सुनिश्चित करते हुए कि गेस्ट VLAN ऑपरेशनल VLAN पर रूट नहीं कर सकते हैं।
परीक्षक की टिप्पणी: यह दृष्टिकोण डिप्लॉयमेंट की जटिलता के साथ सुरक्षा को संतुलित करता है। RADIUS सर्वर पर सार्वजनिक सर्टिफ़िकेट का उपयोग करके, होटल साझा PSK जोखिम को समाप्त करते हुए पूर्ण PKI डिप्लॉय करने के ओवरहेड से बचता है। VLAN और विशिष्ट ऑथेंटिकेशन तंत्र के माध्यम से गेस्ट और कॉर्पोरेट ट्रैफ़िक का सख्त अलगाव होटल के पॉइंट-ऑफ़-सेल सिस्टम के लिए PCI DSS आवश्यकताओं के साथ संरेखित होता है।

एक विश्वविद्यालय परिसर 802.1X पर माइग्रेट कर रहा है और उसे विभिन्न ऑपरेटिंग सिस्टम वाले 15,000 छात्रों के लिए एक विशाल BYOD वातावरण का समर्थन करने की आवश्यकता है।

  1. लोड बैलेंसिंग के साथ एक मजबूत RADIUS क्लस्टर (जैसे, FreeRADIUS या Cisco ISE) डिप्लॉय करें।
  2. व्यापक डिवाइस संगतता के लिए PEAP-MSCHAPv2 लागू करें।
  3. एक ऑनबोर्डिंग पोर्टल (जैसे, SecureW2) डिप्लॉय करें जो स्वचालित रूप से छात्र के डिवाइस सप्लिकेंट को सही EAP सेटिंग्स का उपयोग करने और विश्वविद्यालय के RADIUS सर्वर सर्टिफ़िकेट पर भरोसा करने के लिए कॉन्फ़िगर करता है।
  4. ब्रॉडकास्ट डोमेन को प्रबंधित करने के लिए छात्रों को उनके परिसर के स्थान के आधार पर उपयुक्त सबनेट में रखने के लिए RADIUS एट्रिब्यूट्स के माध्यम से डायनेमिक VLAN असाइनमेंट का उपयोग करें।
परीक्षक की टिप्पणी: उच्च शिक्षा में, BYOD प्राथमिक चुनौती है। छात्रों द्वारा मैन्युअल कॉन्फ़िगरेशन पर निर्भर रहने से उच्च हेल्पडेस्क टिकट वॉल्यूम और असुरक्षित कॉन्फ़िगरेशन (उपयोगकर्ता अमान्य सर्टिफ़िकेट स्वीकार करते हैं) की गारंटी मिलती है। ऑनबोर्डिंग पोर्टल यहां महत्वपूर्ण सफलता कारक है, यह सुनिश्चित करता है कि क्रेडेंशियल हार्वेस्टिंग को रोकने के लिए सप्लिकेंट लॉक डाउन है।

अभ्यास प्रश्न

Q1. आपका संगठन PEAP-MSCHAPv2 का उपयोग करके 802.1X डिप्लॉय कर रहा है। परीक्षण के दौरान, उपयोगकर्ता रिपोर्ट करते हैं कि पहली बार कनेक्ट होने पर उन्हें 'सर्टिफ़िकेट स्वीकार करें' के लिए कहा जाता है। आपको इसका समाधान कैसे करना चाहिए?

संकेत: उपयोगकर्ताओं को नेटवर्क इंफ्रास्ट्रक्चर के संबंध में विश्वास संबंधी निर्णय लेने की अनुमति देने के सुरक्षा निहितार्थों पर विचार करें।

मॉडल उत्तर देखें

आपको RADIUS सर्वर का सर्टिफ़िकेट जारी करने वाले रूट CA पर स्पष्ट रूप से भरोसा करने और विशिष्ट सर्वर नाम को मान्य करने के लिए क्लाइंट सप्लिकेंट प्रोफ़ाइल (MDM या ग्रुप पॉलिसी के माध्यम से) को कॉन्फ़िगर करना होगा। उपयोगकर्ताओं को मैन्युअल रूप से सर्टिफ़िकेट स्वीकार करने पर निर्भर रहने से उन्हें सुरक्षा चेतावनियों को अनदेखा करने की आदत पड़ जाती है और नेटवर्क ईविल ट्विन (क्रेडेंशियल हार्वेस्टिंग) हमलों के प्रति संवेदनशील हो जाता है।

Q2. आपको वेयरहाउस बारकोड स्कैनर के एक बेड़े को सुरक्षित करने की आवश्यकता है। वे WPA2-Enterprise का समर्थन करते हैं लेकिन उनमें क्लाइंट सर्टिफ़िकेट इंस्टॉल करने या Active Directory में शामिल होने का कोई तंत्र नहीं है। सबसे सुरक्षित डिप्लॉयमेंट दृष्टिकोण क्या है?

संकेत: उन EAP तरीकों का मूल्यांकन करें जिनमें क्लाइंट-साइड सर्टिफ़िकेट की आवश्यकता नहीं होती है लेकिन फिर भी एन्क्रिप्टेड ऑथेंटिकेशन प्रदान करते हैं।

मॉडल उत्तर देखें

PEAP-MSCHAPv2 डिप्लॉय करें। स्कैनर के लिए अपनी डायरेक्टरी में एक समर्पित सेवा खाता बनाएं। TLS टनल स्थापित करने के लिए सर्वर सर्टिफ़िकेट के साथ RADIUS सर्वर को कॉन्फ़िगर करें, और टनल के अंदर सेवा खाता क्रेडेंशियल्स का उपयोग करके ऑथेंटिकेट करने के लिए स्कैनर को कॉन्फ़िगर करें। सुनिश्चित करें कि RADIUS पॉलिसी इस सेवा खाते को एक विशिष्ट, पृथक वेयरहाउस VLAN तक सीमित करती है।

Q3. AP और RADIUS सर्वर को कॉन्फ़िगर करने के बाद, क्लाइंट डिवाइस सफलतापूर्वक ऑथेंटिकेट हो जाते हैं (Access-Accept के साथ RADIUS लॉग में सत्यापित), लेकिन वे IP पता प्राप्त करने में विफल रहते हैं और नेटवर्क तक नहीं पहुंच सकते हैं। सबसे संभावित इंफ्रास्ट्रक्चर समस्या क्या है?

संकेत: ऑथेंटिकेशन सफल हो गया है, जिसका अर्थ है कि 802.1X चरण पूरा हो गया है। समस्या बाद के नेटवर्क प्रोविज़निंग चरण में है।

मॉडल उत्तर देखें

सबसे संभावित समस्या वायर्ड नेटवर्क पर VLAN मिसकॉन्फ़िगरेशन है। यदि RADIUS सर्वर क्लाइंट को एक विशिष्ट VLAN (जैसे, VLAN 20) पर रखने के लिए डायनेमिक VLAN असाइनमेंट का उपयोग कर रहा है, तो एक्सेस पॉइंट को जोड़ने वाले स्विच पोर्ट को 802.1Q ट्रंक पोर्ट के रूप में कॉन्फ़िगर किया जाना चाहिए जो VLAN 20 की अनुमति देता है। यदि VLAN को AP पर ट्रंक नहीं किया गया है, तो क्लाइंट के DHCP अनुरोध ड्रॉप कर दिए जाएंगे।

इस श्रृंखला में आगे पढ़ें

विक्रेता द्वारा प्रति-डिवाइस PSK: iPSK, DPSK, MPSK और PPSK की तुलना (और WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet, और Ubiquiti UniFi में प्रति-डिवाइस PSK इम्प्लीमेंटेशन की एक व्यापक तुलना। जानें कि WPA3-SAE प्रति-डिवाइस की (key) रणनीतियों को कैसे प्रभावित करता है और कब ट्रांज़िशन मोड को तैनात करना चाहिए बनाम 802.1X पर जाना चाहिए।

गाइड पढ़ें →

कैप्टिव पोर्टल प्रमाणीकरण विधियों की तुलना

यह आधिकारिक तकनीकी संदर्भ गाइड पांच मुख्य कैप्टिव पोर्टल प्रमाणीकरण विधियों के आर्किटेक्चरल, परिचालन और अनुपालन से जुड़े समझौतों (trade-offs) का मूल्यांकन करती है। यह नेटवर्क आर्किटेक्ट्स, IT निदेशकों और मार्केटिंग प्रबंधकों को एंटरप्राइज वेन्यू में डेटा-संग्रह आवश्यकताओं के साथ गेस्ट ऑनबोर्डिंग घर्षण को संतुलित करने के लिए आवश्यक मात्रात्मक डेटा और निर्णय ढांचे प्रदान करती है।

गाइड पढ़ें →

MAC एड्रेस ऑथेंटिकेशन क्या है? इसका उपयोग कब करें और इससे कब बचें

यह आधिकारिक तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi वातावरण में MAC एड्रेस ऑथेंटिकेशन को कवर करती है — कैसे RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 पर काम करता है, इसकी अंतर्निहित सुरक्षा कमजोरियां (जिसमें MAC स्पूफिंग और OS-स्तरीय MAC रैंडमाइजेशन का प्रभाव शामिल है), और सटीक परिचालन संदर्भ जहां यह IoT और हेडलेस डिवाइसों के प्रबंधन के लिए एक वैध उपकरण बना हुआ है। यह हॉस्पिटैलिटी, रिटेल, हेल्थकेयर और सार्वजनिक क्षेत्र के परिसरों में IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए व्यावहारिक परिनियोजन मार्गदर्शन प्रदान करता है, जिसमें वास्तविक दुनिया के व्यावहारिक उदाहरण, निर्णय ढांचे और Purple के गेस्ट WiFi और एनालिटिक्स प्लेटफॉर्म के लिए एकीकरण संदर्भ शामिल हैं।

गाइड पढ़ें →