मुख्य सामग्री पर जाएं
हिन्दी

Purple WiFi के साथ CommScope Ruckus एकीकरण: सेटअप और कॉन्फ़िगरेशन गाइड

यह तकनीकी संदर्भ मार्गदर्शिका CommScope Ruckus आर्किटेक्चर को Purple WiFi के साथ एकीकृत करने के लिए एक आधिकारिक कॉन्फ़िगरेशन प्लेबुक प्रदान करती है। यह Guest WiFi कैप्टिव पोर्टल, 802.1X के माध्यम से सुरक्षित स्टाफ WiFi, और Ruckus Dynamic PSK का उपयोग करके मल्टी-टेनेंट नेटवर्क आइसोलेशन के लिए चरण-दर-चरण परिनियोजन का विवरण देती है।

📖 5 मिनट का पाठ📝 1,177 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
Purple तकनीकी ब्रीफिंग में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम एक परिनियोजन पैटर्न को कवर कर रहे हैं जो लगभग हर बड़े पैमाने के एंटरप्राइज़ WiFi प्रोजेक्ट पर सामने आता है - CommScope Ruckus को Purple के क्लाउड प्लेटफ़ॉर्म के साथ एकीकृत करना। चाहे आप एक होटल समूह, एक रिटेल एस्टेट, एक स्टेडियम, या एक सम्मेलन केंद्र चला रहे हों, यह एपिसोड आपको वह कॉन्फ़िगरेशन प्लेबुक देगा जिसकी आपको आवश्यकता है। आइए पहले पृष्ठभूमि तैयार करें। Ruckus - जो अब CommScope के अंतर्गत है - विश्व स्तर पर प्रमुख एंटरप्राइज़ WiFi प्लेटफ़ॉर्मों में से एक है। विशेष रूप से SmartZone उच्च-घनत्व वाले वातावरण के लिए पसंदीदा कंट्रोलर है। Premier Inn जैसे होटल, बड़ी रिटेल श्रृंखलाएं, स्टेडियम और कन्वेंशन सेंटर सभी Ruckus इन्फ्रास्ट्रक्चर चलाते हैं। जब आप उस पैमाने पर अतिथि WiFi तैनात कर रहे होते हैं, तो आपको एक ओपन SSID से अधिक की आवश्यकता होती है। आपको संरचित प्रमाणीकरण, GDPR-अनुपालन डेटा कैप्चर, और उस अतिथि डेटा को अपने मार्केटिंग स्टैक में फीड करने की क्षमता की आवश्यकता होती है। ठीक यहीं पर Purple काम आता है। Purple 80,000 से अधिक लाइव स्थानों पर काम करता है, अकेले 2024 में 440 million लॉगिन संसाधित कर चुका है, और इसके पास ISO 27001, GDPR, और Cyber Essentials प्रमाणन है। Ruckus एकीकरण हमारे सबसे परिपक्व परिनियोजन पैटर्न में से एक है। अब, Ruckus के पास तीन अलग-अलग कंट्रोलर प्लेटफ़ॉर्म हैं जिन्हें आपको कॉन्फ़िगरेशन स्क्रीन को छूने से पहले समझना होगा। SmartZone - जो एक भौतिक SZ300 उपकरण या एक वर्चुअल vSZ के रूप में उपलब्ध है - बड़े, बहु-साइट परिनियोजन के लिए एंटरप्राइज़ कंट्रोलर है। यह कई ज़ोन में हज़ारों एक्सेस पॉइंट प्रबंधित करता, आपको गहन नीति नियंत्रण देता है, और प्रमाणीकरण विधियों की पूरी श्रृंखला का समर्थन करता है जिसे हम आज कवर करेंगे। ZoneDirector पुराना ऑन-प्रिमाइसेस कंट्रोलर है - जो अभी भी व्यापक रूप से तैनात है, विशेष रूप से हॉस्पिटैलिटी में - और यह उसी WISPr-आधारित कैप्टिव पोर्टल प्रवाह का समर्थन करता है, हालांकि थोड़े अलग कॉन्फ़िगरेशन पथ के साथ। और Unleashed कंट्रोलर-रहित मॉडल है, जहाँ एक AP अधिकतम 128 अन्य AP के लिए मास्टर के रूप में कार्य करता है। यह छोटे, एकल-साइट परिनियोजन के लिए आदर्श है - स्वतंत्र होटल, रिटेल शाखाएं, SMB कार्यालय। ठीक है। आइए तकनीकी विवरण में आते हैं। मैं तीन अलग-अलग उपयोग के मामलों को कवर करूँगा: कैप्टिव पोर्टल रीडायरेक्शन के साथ Guest WiFi, 802.1X का उपयोग करके सुरक्षित स्टाफ WiFi, और Ruckus Dynamic PSK का उपयोग करके मल्टी-टेनेंट नेटवर्क अलगाव। Guest WiFi से शुरू करते हैं। यहाँ आर्किटेक्चर एक WISPr-आधारित हॉटस्पॉट प्रवाह है। WISPr - वायरलेस इंटरनेट सेवा प्रदाता रोमिंग - एक उद्योग मानक है जो यह परिभाषित करता है कि एक वायरलेस कंट्रोलर अप्रमाणित HTTP ट्रैफ़िक को कैसे रोकता है और इसे बाहरी पोर्टल पर रीडायरेक्ट करता है। अतिथि आपके SSID से जुड़ता है। उनका डिवाइस एक HTTP अनुरोध भेजता है। SmartZone इसे रोकता है और आपके बाहरी पोर्टल URL पर एक HTTP 302 रीडायरेक्ट जारी करता है - इस मामले में, Purple का कैप्टिव पोर्टल। अतिथि प्रमाणित होता है - सोशल लॉगिन, ईमेल, SMS, या एक कस्टम फॉर्म के माध्यम से - और फिर पोर्टल पहुंच प्रदान करने के लिए Northbound Interface, या NBI के माध्यम से कंट्रोलर से वापस संवाद करता है। SmartZone पर, कॉन्फ़िगरेशन के चार मुख्य घटक हैं। पहला, RADIUS प्रमाणीकरण सर्वर प्रोफ़ाइल। Services and Profiles पर जाएं, फिर Authentication पर। एक नया AAA सर्वर प्रोफ़ाइल बनाएं। सर्विस प्रोटोकॉल को RADIUS पर सेट करें। आपका प्राथमिक सर्वर IP और साझा रहस्य (shared secret) Purple एडमिन कंसोल में प्रदान किया गया है। प्रमाणीकरण के लिए पोर्ट 1812। लचीलेपन के लिए हमेशा एक बैकअप RADIUS सर्वर कॉन्फ़िगर करें। फिर Services and Profiles, Accounting के तहत अकाउंटिंग सर्वर बनाएं - पोर्ट 1813, वही साझा रहस्य। दूसरा, हॉटस्पॉट WISPr प्रोफ़ाइल। Services and Profiles, Hotspots and Portals पर जाएं, और Hotspot WISPr टैब चुनें। एक नया प्रोफ़ाइल बनाएं। लॉगिन URL को External पर सेट करें, और अपना पोर्टल रीडायरेक्ट URL दर्ज करें। प्रमाणीकरण के बाद के URL पर रीडायरेक्ट करने के लिए स्टार्ट पेज सेट करें - आमतौर पर एक सफलता पृष्ठ या आपके स्थान का होमपेज। अब, Walled Garden। यह वह जगह है जहाँ इंजीनियर अक्सर गलती करते हैं। Walled Garden यह परिभाषित करता है कि कोई अतिथि प्रमाणित होने से पहले किन डोमेन और IP पतों तक पहुँच सकता है। आपको अपने पोर्टल डोमेन, किसी भी CDN या संपत्ति डोमेन जिससे आपका पोर्टल लोड होता है, और मानक OS कैप्टिव पोर्टल डिटेक्शन एंडपॉइंट्स को शामिल करना होगा। SmartZone में, एस्टेरिस्क-डॉट प्रारूप का उपयोग करके वाइल्डकार्ड समर्थित हैं - इसलिए star-dot-purple-dot-ai सभी सबडोमेन को कवर करता है। iOS और Android उपकरणों पर CNA मिनी-ब्राउज़र को गलत व्यवहार करने से रोकने के लिए आपको Apple के कैप्टिव पोर्टल डिटेक्शन डोमेन - captive.apple.com - और Google के कनेक्टिविटी चेक एंडपॉइंट्स की भी आवश्यकता होगी। एक महत्वपूर्ण चरण जिसे भूलना आसान है। डिफ़ॉल्ट रूप से, SmartZone रीडायरेक्ट URL में बाहरी पोर्टल पर भेजे जाने वाले MAC पते और IP पते को एन्क्रिप्ट करता है। MAC-आधारित सत्र प्रबंधन करने के लिए Purple को वास्तविक क्लाइंट MAC पता देखने की आवश्यकता होती है। आपको इसे CLI के माध्यम से अक्षम करना होगा। अपने SmartZone में SSH करें, कॉन्फ़िगरेशन मोड में प्रवेश करें, और चलाएं: no encrypt-mac-ip। यह एक कमांड है, लेकिन यदि आप इसे छोड़ देते हैं तो यह एक बड़ा अवरोधक है। Northbound Interface दूसरा आवश्यक हिस्सा है। यह वह API है जो Purple को प्रमाणीकरण के बाद पहुंच प्रदान करने या अस्वीकार करने के लिए SmartZone से वापस संवाद करने की अनुमति देता है। इसे Administration, External Services, WISPr Northbound Interface के तहत सक्षम करें। एक उपयोगकर्ता नाम और पासवर्ड सेट करें, और वे क्रेडेंशियल Purple को प्रदान करें। NBI HTTP के लिए TCP पोर्ट 9080 और HTTPS के लिए 9443 पर चलता है - सुनिश्चित करें कि आपका फ़ायरवॉल इन पोर्टों पर Purple के IP रेंज से इनबाउंड कनेक्शन की अनुमति देता है। अंत में, अपना WLAN बनाएं। प्रमाणीकरण प्रकार को Hotspot WISPr पर सेट करें, अपना पोर्टल प्रोफ़ाइल चुनें, और अपने RADIUS प्रमाणीकरण और अकाउंटिंग सेवाओं को असाइन करें। यदि Purple को एक विशिष्ट मान की आवश्यकता है तो NAS ID को उपयोगकर्ता-परिभाषित पर सेट करें, Called Station ID को AP MAC पर सेट करें, और Single Session ID सक्षम करें। Unleashed के लिए, आर्किटेक्चर मौलिक रूप से भिन्न है - यह एक वितरित, कंट्रोलर-रहित मॉडल है। कॉन्फ़िगरेशन Admin and Services, Services, Hotspot Services पर रहता है। चरण काफी हद तक समान हैं - एक हॉटस्पॉट सेवा बनाएं, अपना बाहरी पोर्टल URL कॉन्फ़िगर करें, अपना AAA प्रमाणीकरण सर्वर सेट करें, अपनी Walled Garden प्रविष्टियां जोड़ें - लेकिन दो मुख्य अंतर हैं। Unleashed में कोई Northbound Interface आवश्यकता नहीं है। और MAC पता एन्क्रिप्शन डिफ़ॉल्ट रूप से लागू नहीं होता है, इसलिए आपको CLI कमांड की आवश्यकता नहीं है। Unleashed का Walled Garden पूर्ण वाइल्डकार्ड सिंटैक्स के बजाय डोमेन-स्तरीय प्रविष्टियों को भी स्वीकार करता है। अब आइए 802.1X का उपयोग करके सुरक्षित स्टाफ WiFi पर चलते हैं। यह पूरी तरह से अलग प्रमाणीकरण मॉडल है। कैप्टिव पोर्टल के बजाय, स्टाफ डिवाइस सीधे एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल - EAP का उपयोग करके प्रमाणित होते हैं। एंटरप्राइज़ वातावरण में सबसे आम तरीका PEAP-MSCHAPv2 है, जहाँ उपयोगकर्ता अपने Active Directory क्रेडेंशियल दर्ज करता है, या EAP-TLS, जहाँ डिवाइस एक प्रमाणपत्र प्रस्तुत करता है। Purple का SecurePass ऐड-ऑन इस प्रवाह के लिए RADIUS बैकएंड के रूप में कार्य करने के लिए Microsoft Entra ID, Okta, और Google Workspace के साथ एकीकृत होता है। SmartZone पर, एक नया WLAN बनाएं और प्रमाणीकरण प्रकार को 802.1X EAP पर सेट करें। AAA सेटिंग्स के तहत, अपने RADIUS सर्वर - Purple के SecurePass एंडपॉइंट की ओर इंगित करें। अतिथि प्रवाह से मुख्य अंतर यह है कि आप यहाँ डायनेमिक VLAN असाइनमेंट भी कॉन्फ़िगर करते हैं। जब Purple का RADIUS सर्वर Access-Accept लौटाता है, तो इसमें तीन IETF मानक विशेषताएं शामिल होती हैं: Tunnel-Type को VLAN, मान 13 पर सेट; Tunnel-Medium-Type को IEEE-802, मान 6 पर सेट; और Tunnel-Private-Group-ID जिसमें VLAN ID स्ट्रिंग शामिल है - उदाहरण के लिए, स्टाफ VLAN के लिए बीस। SmartZone इन विशेषताओं को पढ़ता है और स्टाफ सदस्य के ट्रैफ़िक को सही VLAN के साथ गतिशील रूप से टैग करता है, चाहे वे किसी भी AP से जुड़े हों। यह डायनेमिक VLAN स्टीयरिंग है, और यही एक एकल SSID को विभिन्न नेटवर्क एक्सेस नीतियों के साथ कई उपयोगकर्ता भूमिकाओं की सेवा करने की अनुमति देता है। यह सुनिश्चित करने के लिए कि SmartZone RADIUS द्वारा लौटाए गए VLAN विशेषताओं को संसाधित करता है, WLAN उन्नत सेटिंग्स में AAA Override सक्षम करें। उस चेकबॉक्स के बिना, डायनेमिक असाइनमेंट काम नहीं करेगा भले ही RADIUS सर्वर सही विशेषताएं भेज रहा हो। तीसरा उपयोग मामला Ruckus Dynamic PSK - या DPSK का उपयोग करके मल्टी-टेनेंट अलगाव है। यह एक Ruckus-मालिकाना तकनीक है जो एक ही SSID पर प्रत्येक उपयोगकर्ता या टेनेंट को एक अद्वितीय WPA2 पासफ़्रेज़ असाइन करती है। एक साझा PSK के विपरीत जहाँ हर कोई एक ही पासवर्ड का उपयोग करता है, DPSK का अर्थ है कि टेनेंट A के पास एक अद्वितीय 62-वर्ण की कुंजी है, टेनेंट B के पास एक अलग कुंजी है, इत्यादि। प्रत्येक कुंजी एक विशिष्ट VLAN से बंधी होती है, इसलिए टेनेंट A का ट्रैफ़िक VLAN 101 पर आता है और टेनेंट B का VLAN 102 पर आता है - पूर्ण अलगाव, कोई साझा पासवर्ड जोखिम नहीं, और अन्य टेनेंट को प्रभावित किए बिना तत्काल निरस्तीकरण। यह विशेष रूप से को-वर्किंग स्पेस, बिल्ड-टू-रेंट आवासीय भवनों, छात्र आवास और मल्टी-टेनेंट रिटेल पार्कों में शक्तिशाली है। कुंजी प्रावधान को स्वचालित करने के लिए Purple SmartZone API के माध्यम से Ruckus DPSK के साथ एकीकृत होता है - जब Purple में एक नया टेनेंट ऑनबोर्ड किया जाता, तो एक DPSK उत्पन्न होता है, सही VLAN से बांधा जाता है, और टेनेंट को स्वचालित रूप से वितरित किया जाता है। SmartZone पर DPSK कॉन्फ़िगर करने के लिए: WLANs पर जाएं, एक नया WLAN जोड़ें, और Security के तहत विधि को Dynamic PSK पर सेट करें। अधिकतम एन्ट्रॉपी के लिए DPSK लंबाई को 62 वर्णों पर सेट करें। VLAN के तहत, Per-DPSK VLAN assignment सक्षम करें। फिर प्रति टेनेंट व्यक्तिगत कुंजियाँ बनाने के लिए SmartZone API या DPSK प्रबंधन इंटरफ़ेस का उपयोग करें, जिनमें से प्रत्येक अपने स्वयं के VLAN ID पर मैप की गई हो। Unleashed पर, यही सुविधा WiFi Networks, Advanced Options, Dynamic PSK के तहत उपलब्ध है। DPSK3 WPA3 संस्करण है, जो मजबूत SAE-आधारित एन्क्रिप्शन की पेशकश करता है। यदि आपका AP बेड़ा WPA3 का समर्थन करता है - जो कि सभी वर्तमान Ruckus R-सीरीज़ AP करते हैं - तो नए परिनियोजन के लिए DPSK3 पसंदीदा विकल्प है। आइए मैं दो वास्तविक दुनिया के कार्यान्वयन परिदृश्यों के माध्यम से चलता हूँ जो बताते हैं कि ये तीन उपयोग के मामले कैसे एक साथ आते हैं। पहला परिदृश्य: एक 250 कमरों वाला होटल। यह संपत्ति पूरे क्षेत्र में R750 एक्सेस पॉइंट के साथ Ruckus SmartZone चलाती है। उन्हें तीन नेटवर्क प्रकारों की आवश्यकता है: होटल के मेहमानों के लिए अतिथि WiFi, फ्रंट-ऑफ-हाउस और बैक-ऑफ-हाउस कर्मचारियों के लिए सुरक्षित स्टाफ WiFi, और स्मार्ट रूम कंट्रोल और CCTV के लिए एक IoT नेटवर्क। अतिथि WLAN Purple के साथ WISPr कैप्टिव पोर्टल प्रवाह का उपयोग करता है। मेहमान कनेक्ट होते हैं, एक ब्रांडेड Purple पोर्टल पर रीडायरेक्ट होते हैं, ईमेल या सोशल लॉगिन के माध्यम से प्रमाणित होते हैं, और VLAN 10 पर आते हैं। पोर्टल फर्स्ट-पार्टी डेटा कैप्चर करता है - ईमेल, मार्केटिंग सहमति, ठहरने की प्राथमिकताएं - जो सीधे होटल के CRM में फीड होता है। Purple का एनालिटिक्स डैशबोर्ड होटल को दिखाता है कि किन मंजिलों पर सबसे अधिक कनेक्शन दरें, पीक उपयोग का समय और बार-बार आने वाले आगंतुकों की दरें हैं। Premier Inn ने अपने UK एस्टेट में इस मॉडल को तैनात किया और सीधे WiFi अनुभव से जुड़े अतिथि संतुष्टि स्कोर में मापने योग्य सुधार देखा। स्टाफ WLAN Purple के SecurePass के साथ 802.1X का उपयोग करता है। कर्मचारी PEAP-MSCHAPv2 के माध्यम से अपने Active Directory क्रेडेंशियल के साथ प्रमाणित होते हैं। फ्रंट डेस्क कर्मचारी संपत्ति प्रबंधन प्रणाली तक पहुंच के साथ VLAN 20 पर आते हैं। बैक-ऑफ-हाउस कर्मचारी केवल HR और शेड्यूलिंग सिस्टम तक पहुंच के साथ VLAN 21 पर आते हैं। VLAN असाइनमेंट पूरी तरह से Purple द्वारा लौटाए गए RADIUS विशेषताओं द्वारा संचालित होता है - किसी मैन्युअल पोर्ट कॉन्फ़िगरेशन की आवश्यकता नहीं होती है। जब स्टाफ का कोई सदस्य छोड़ता है, तो उनका खाता Microsoft Entra ID में अक्षम कर दिया जाता है, और सभी संपत्तियों में पहुंच तुरंत रद्द कर दी जाती है। IoT WLAN एक स्थिर PSK का उपयोग करता है, जो VLAN 30 पर अलग है, जिसमें क्लाइंट आइसोलेशन सक्षम है। स्मार्ट थर्मोस्टेट, दरवाजे के लॉक और CCTV कैमरे यहाँ बैठते हैं, जो अतिथि और स्टाफ ट्रैफ़िक से पूरी तरह से अलग हैं। दूसरा परिदृश्य: 15 टेनेंट कंपनियों वाला एक को-वर्किंग स्पेस। यह वह जगह है जहाँ DPSK वास्तव में अपना स्थान बनाता है। ऑपरेटर तीन मंजिलों में Ruckus Unleashed चलाता है। प्रत्येक टेनेंट कंपनी को अपने स्वयं के VLAN से बंधा एक अद्वितीय DPSK मिलता है। टेनेंट A के 20 स्टाफ सदस्य सभी एक ही DPSK-A पासफ़्रेज़ का उपयोग करते हैं, लेकिन वह पासफ़्रेज़ टेनेंट A के लिए अद्वितीय है और केवल VLAN 101 पर मैप करता है। टेनेंट B DPSK-B का उपयोग करता है, जो VLAN 102 पर मैप करता है। टेनेंट नेटवर्क लेयर पर एक दूसरे से पूरी तरह से अलग हैं। जब कोई टेनेंट छोड़ता है, तो ऑपरेटर SmartZone में - या Purple के प्रबंधन इंटरफ़ेस के माध्यम से - उनके DPSK को रद्द कर देता है - और बस। कोई अन्य टेनेंट प्रभावित नहीं होता है, कोई SSID परिवर्तन आवश्यक नहीं है, पूरी इमारत में कोई पासवर्ड रीसेट नहीं होता है। Purple की मल्टी-टेनेंट प्रबंधन लेयर इसके ऊपर बैठती है, जो को-वर्किंग ऑपरेटर को सभी 15 टेनेंट में ऑनबोर्डिंग, एक्सेस निरस्तीकरण और उपयोग एनालिटिक्स को प्रबंधित करने के लिए एक एकल डैशबोर्ड देती है। अब मैं सबसे आम विफलता मोड और उनसे बचने के तरीकों को कवर करता हूँ। नंबर एक: Walled Garden गलत कॉन्फ़िगरेशन। यदि रीडायरेक्ट के बाद आपका पोर्टल पेज लोड होने में विफल रहता है, तो सबसे पहले यह जांचना होगा कि क्या आपके पोर्टल पेज द्वारा संदर्भित सभी डोमेन Walled Garden में हैं। आधुनिक पोर्टल पेज कई CDN डोमेन, एनालिटिक्स स्क्रिप्ट और सोशल लॉगिन SDKs से संपत्तियां लोड करते हैं। यदि उनमें से कोई भी पूर्व-प्रमाणीकरण में अवरुद्ध है, तो पेज या तो लोड होने में विफल हो जाएगा या टूटा हुआ लोड होगा। यह पहचानने के लिए कि कौन से अनुरोध अवरुद्ध किए जा रहे हैं, अतिथि SSID से जुड़े एक परीक्षण डिवाइस पर अपने ब्राउज़र के डेवलपर टूल का उपयोग करें। Purple SmartZone और Unleashed के लिए एक प्रलेखित Walled Garden सूची प्रदान करता है - इसे अपने बेसलाइन के रूप में उपयोग करें और शीर्ष पर किसी भी स्थान-विशिष्ट डोमेन को जोड़ें। नंबर दो: NBI कनेक्टिविटी समस्या। यदि मेहमान पोर्टल देख सकते हैं और प्रमाणित कर सकते हैं, लेकिन कभी इंटरनेट एक्सेस नहीं पाते हैं, तो संभावित कारण यह है कि SmartZone Purple से NBI कॉलबैक प्राप्त नहीं कर सकता है। जांचें कि पोर्ट 9080 और 9443 Purple के IP रेंज से SmartZone के प्रबंधन IP पर इनबाउंड खुले हैं। यह भी सत्यापित करें कि आपके द्वारा कॉन्फ़िगर किए गए NBI क्रेडेंशियल Purple के पास मौजूद क्रेडेंशियल से मेल खाते हैं। नंबर तीन: गायब no encrypt-mac-ip कमांड। यह सबसे आम SmartZone-विशिष्ट समस्या है। यदि Purple रीडायरेक्ट अनुरोध प्राप्त कर रहा है लेकिन सत्र को MAC पते से मेल नहीं खा पा रहा है, तो लगभग निश्चित रूप से यही कारण है। यह एक-लाइन का CLI समाधान है, लेकिन इसे भूलना आसान है क्योंकि यह GUI में प्रदर्शित नहीं होता है। नंबर चार: डायनेमिक VLAN के लिए AAA Override सक्षम नहीं है। यदि कर्मचारी 802.1X पर सफलतापूर्वक प्रमाणित हो रहे हैं लेकिन अपने भूमिका-विशिष्ट VLAN के बजाय सभी एक ही डिफ़ॉल्ट VLAN पर आ रहे हैं, तो जांचें कि WLAN उन्नत सेटिंग्स में AAA Override सक्षम है या नहीं। यह वह स्विच है जो SmartZone को RADIUS सर्वर द्वारा लौटाए गए VLAN विशेषताओं का सम्मान करने के लिए कहता है। नंबर पांच: DPSK VLAN प्रचारित नहीं हो रहा है। यदि DPSK उपयोगकर्ता प्रमाणित हो रहे हैं लेकिन सही VLAN पर नहीं आ रहे हैं, तो सत्यापित करें कि WLAN सेटिंग्स में Per-DPSK VLAN assignment सक्षम है, और आपके APs से जुड़े स्विच पोर्ट सभी DPSK VLANs को ले जाने वाले ट्रंक पोर्ट के रूप में कॉन्फ़िगर किए गए हैं। यदि स्विच पोर्ट एक एक्सेस पोर्ट है, तो VLAN टैगिंग हटा दी जाएगी। अब, तीन रैपिड-फायर प्रश्न जो मुझसे हर Ruckus-Purple परिनियोजन पर पूछे जाते हैं। क्या मुझे अतिथि WiFi के लिए एक समर्पित VLAN की आवश्यकता है? हाँ, हमेशा। अतिथि ट्रैफ़िक को एक समर्पित VLAN पर अलग करें। यह एक सुरक्षा आवश्यकता और PCI-DSS अनुपालन विचार दोनों है यदि आपका स्थान उसी नेटवर्क पर कार्ड भुगतान संसाधित करता है। अतिथि उपकरणों को एक दूसरे के साथ संवाद करने से रोकने के लिए अतिथि WLAN पर क्लाइंट आइसोलेशन सक्षम करें। क्या मैं SmartZone के बजाय Ruckus One - क्लाउड-प्रबंधित प्लेटफ़ॉर्म - के साथ Purple का उपयोग कर सकता हूँ? हाँ। कॉन्फ़िगरेशन पथ अलग है - यह Ruckus One पोर्टल में WiFi Networks, Guest Access सेटिंग्स के अंतर्गत है - लेकिन Walled Garden और RADIUS कॉन्फ़िगरेशन सिद्धांत समान हैं। क्या Purple SmartZone मल्टी-ज़ोन परिनियोजन का समर्थन करता है? हाँ। Purple का एकीकरण मल्टी-ज़ोन SmartZone वातावरण को संभालता है, और आप एक ही SmartZone उदाहरण के भीतर विभिन्न स्थानों या मंजिलों के लिए व्यक्तिगत ज़ोन में पोर्टल कॉन्फ़िगरेशन को सीमित कर सकते हैं। समाप्त करने के लिए। Ruckus और Purple एकीकरण तीन अलग-अलग उपयोग के मामलों को कवर करता है, जिनमें से प्रत्येक का अपना कॉन्फ़िगरेशन मॉडल है। Guest WiFi WISPr कैप्टिव पोर्टल प्रवाह का उपयोग करता है - पांच प्रमुख कॉन्फ़िगरेशन बिंदु: एक बैकअप सर्वर के साथ पोर्ट 1812 और 1813 पर RADIUS, एक बाहरी लॉगिन URL के साथ हॉटस्पॉट WISPr प्रोफ़ाइल, वाइल्डकार्ड प्रविष्टियों का उपयोग करके एक सही ढंग से स्कोप किया गया Walled Garden, no encrypt-mac-ip CLI कमांड, और सही क्रेडेंशियल के साथ सक्षम Northbound Interface। सुरक्षित स्टाफ WiFi RADIUS विशेषताओं के माध्यम से डायनेमिक VLAN स्टीयरिंग के साथ 802.1X EAP का उपयोग करता है - महत्वपूर्ण प्रवर्तक WLAN उन्नत सेटिंग्स में AAA Override है। मल्टी-टेनेंट अलगाव Ruckus Dynamic PSK (DPSK) का उपयोग करता है - अद्वितीय प्रति-टेनेंट कुंजियाँ, प्रत्येक एक समर्पित VLAN से बंधी हुई, तत्काल निरस्तीकरण और शून्य साझा-पासवर्ड जोखिम के साथ। उन तीन पैटर्नों को सही करें, और आपके पास एक नेटवर्क आर्किटेक्चर है जो Unleashed पर 50 कमरों वाले स्वतंत्र होटल से लेकर SmartZone पर 5,000 सीटों वाले स्टेडियम तक स्केल करता, जिसके ऊपर वही Purple प्लेटफ़ॉर्म बैठा है जो एकीकृत एनालिटिक्स, GDPR-अनुपालन डेटा कैप्चर और केंद्रीकृत एक्सेस प्रबंधन प्रदान करता है। यदि आप Purple के साथ Ruckus परिनियोजन की योजना बना रहे हैं, तो तकनीकी ऑनबोर्डिंग टीम आपको प्री-लॉन्च चेकलिस्ट के माध्यम से ले जा सकती है और गो-लाइव से पहले आपके कॉन्फ़िगरेशन को मान्य कर सकती है। Purple प्लेटफ़ॉर्म पोर्टल लोड समय, प्रमाणीकरण सफलता दर और सत्र डेटा पर वास्तविक समय विश्लेषिकी भी प्रदान करता है - जिससे आपको अपने मेहमानों से पहले समस्याओं को पकड़ने की दृश्यता मिलती है। सुनने के लिए धन्यवाद। अगली बार तक।

header_image.png

मुख्य सारांश

एंटरप्राइझ ठिकाणी उच्च-कार्यक्षमता वायरलेस नेटवर्क तैनात करण्यासाठी अखंड वापरकर्ता अनुभव आणि मजबूत तांत्रिक सुरक्षा यांच्यात काळजीपूर्वक संतुलन राखणे आवश्यक आहे. CommScope Ruckus आर्किटेक्चर चालवणाऱ्या संस्थांसाठी - ज्यामध्ये उच्च-घनता स्टेडियम आणि कन्व्हेन्शन सेंटर्सपासून ते विस्तीर्ण रिटेल इस्टेट्स आणि हॉस्पिटॅलिटी ग्रुप्सचा समावेश आहे - नेटवर्क डिजिटल सहभागासाठी प्राथमिक गेटवे म्हणून कार्य करते. हे मार्गदर्शक Ruckus SmartZone, ZoneDirector आणि Unleashed कंट्रोलर्सना Purple क्लाउड प्लॅटफॉर्मसह एकत्रित करण्यासाठी एक निश्चित तांत्रिक प्लेबुक प्रदान करते. आम्ही WISPr Captive Portal रिडायरेक्शन वापरून Guest WiFi तैनात करण्यासाठी, 802.1X डायनॅमिक VLAN स्टिअरिंगद्वारे कर्मचारी नेटवर्क सुरक्षित करण्यासाठी आणि Ruckus Dynamic Pre-Shared Keys (DPSK) वापरून मल्टी-टेनंट नेटवर्क आयसोलेशनसाठी आवश्यक असलेल्या अचूक कॉन्फिगरेशन पायऱ्यांचा तपशील देतो. या व्हेंडर-न्यूट्रल सर्वोत्तम पद्धतींचे अनुसरण करून, IT टीम्स नेटवर्क विभाजन स्वयंचलित करू शकतात, PCI DSS सारख्या मानकांचे पालन सुनिश्चित करू शकतात आणि फर्स्ट-पार्टी डेटा सुरक्षितपणे कॅप्चर करू शकतात.

तांत्रिक सखोल विश्लेषण

CommScope Ruckus हार्डवेअर आणि Purple मधील एकत्रीकरण उद्योग-मानक प्रमाणीकरण प्रोटोकॉल आणि सुरक्षित API संवादांवर अवलंबून असते. हे आर्किटेक्चर तीन स्वतंत्र उपयोजन मॉडेलचे समर्थन करते, प्रत्येक ठिकाणातील विशिष्ट वापरकर्ता समूहाला सेवा देते.

Guest WiFi आर्किटेक्चर (WISPr)

रिटेल आणि हॉस्पिटॅलिटीमधील सार्वजनिक प्रवेश नेटवर्कसाठी, Ruckus वायरलेस इंटरनेट सेवा प्रदाता रोमिंग (WISPr) प्रोटोकॉलचा वापर करते. जेव्हा एखादा अतिथी ओपन SSID शी कनेक्ट होतो, Windows Ruckus कंट्रोलर त्यांच्या सुरुवातीच्या HTTP विनंतीला अडवतो आणि Purple च्या बाह्य Captive Portal वर HTTP 302 रिडायरेक्ट जारी करतो. अतिथी जागरूक-निवड ऑप्ट-इन यंत्रणेद्वारे प्रमाणित करतो - जसे की ईमेल किंवा सोशल आयडेंटिटी प्रदाता. यशस्वी प्रमाणीकरणानंतर, Purple MAC पत्ता अधिकृत करण्यासाठी आणि इंटरनेट प्रवेश मंजूर करण्यासाठी Northbound Interface (NBI) द्वारे Ruckus कंट्रोलरशी परत संवाद साधते.

architecture_overview.png

सुरक्षित स्टाफ WiFi (802.1X आणि डायनॅमिक VLANs)

स्टाफ उपकरणांसाठी मूलभूतपणे भिन्न दृष्टिकोन आवश्यक आहे. Captive Portals वर अवलंबून राहण्याऐवजी, एंटरप्राइझ वातावरण 802.1X प्रमाणीकरण वापरतात. उपकरणे EAP-TLS (प्रमाणपत्र-आधारित) किंवा PEAP-MSCHAPv2 (क्रेडेन्शियल्स-आधारित) प्रोटोकॉल वापरून थेट Purple च्या RADIUS इन्फ्रास्ट्रक्चरच्या विरुद्ध प्रमाणित होतात.

येथील महत्त्वाचा घटक म्हणजे डायनॅमिक VLAN स्टिअरिंग. जेव्हा Purple चे RADIUS सर्व्हर Access-Accept मेसेज रिटर्न करते, तेव्हा त्यामध्ये तीन विशिष्ट IETF मानक ॲट्रिब्युट्स समाविष्ट असतात:

  • Tunnel-Type (ॲट्रिब्यूट ६४): VLAN (व्हॅल्यू १३) वर सेट करा
  • Tunnel-Medium-Type (ॲट्रिब्यूट ६५): IEEE-802 (व्हॅल्यू ६) वर सेट करा
  • Tunnel-Private-Group-ID (ॲट्रिब्यूट ८१): यामध्ये VLAN ID स्ट्रिंग असते (उदा., स्टाफसाठी "२०")

Ruckus SmartZone कंट्रोलर हे ॲट्रिब्युट्स वाचतो आणि युझरच्या ट्रॅफिकला डायनॅमिकली टॅग करतो, ज्यामुळे ते कोणत्याही फिजिकल ॲक्सेस पॉइंटशी कनेक्ट झाले असले तरीही त्यांना योग्य आयसोलेटेड नेटवर्क सेगमेंटमध्ये ठेवले जाते.

मल्टि-टेनंट आयसोलेशन (Ruckus DPSK)

को-वर्किंग स्पेस, स्टुडंट अकॉमॉडेशन आणि मल्टि-ड्वेलिंग युनिट्स (MDUs) सारख्या वातावरणासाठी, डझनभर SSIDs ब्रॉडकास्ट केल्याने गंभीर चॅनल इंटरफेरन्स (हस्तक्षेप) निर्माण होतो. Ruckus Dynamic Pre-Shared Key (DPSK) एकाच शेअर केलेल्या SSID वर प्रत्येक भाडेकरूला (टेनंट) एक युनिक WPA2/WPA3 पासफ्रेज देऊन याचे निराकरण करते.

प्रत्येक DPSK एका विशिष्ट VLAN शी बाइंड केलेला असतो. जेव्हा एखादा रहिवासी कनेक्ट होतो, तेव्हा कंट्रोलर डिव्हाइस ऑथेंटिकेट करण्यासाठी आणि त्यांना त्यांच्या खाजगी VLAN मध्ये टाकण्यासाठी त्यांच्या युनिक की चा वापर करतो. Purple ही प्रक्रिया API इंटिग्रेशनद्वारे स्वयंचलित करते, भाडेकरू आत किंवा बाहेर शिफ्ट होताना की जनरेट आणि रिव्होक (रद्द) करते, ज्यामुळे पारंपारिक शेअर केलेल्या पासवर्डशी संबंधित सुरक्षा धोके नाहीसे होतात.

dpsk_configuration_guide.png

इम्प्लीमेंटेशन गाईड

हा विभाग Purple ला Ruckus SmartZone कंट्रोलरसह इंटिग्रेट करण्यासाठी आवश्यक असलेल्या विशिष्ट कॉन्फिगरेशन स्टेप्सची रूपरेषा देतो. Unleashed साठीच्या पायऱ्या बऱ्याच अंशी सारख्याच आहेत परंतु त्यात नॉर्थबाउंड इंटरफेसची आवश्यकता नसते.

१. RADIUS AAA सर्व्हर्स कॉन्फिगर करा

१. Services & Profiles > Authentication वर जा. २. सर्व्हिस प्रोटोकॉल RADIUS वर सेट करून एक नवीन AAA सर्व्हर प्रोफाइल तयार करा. ३. तुमच्या Purple ॲडमिन कन्सोलमध्ये प्रदान केलेला प्रायमरी सर्व्हर IP आणि शेअर केलेला सिक्रेट कोड प्रविष्ट करा. ४. ऑथेंटिकेशन पोर्ट १८१२ वर सेट करा. ५. हीच प्रक्रिया Services & Profiles > Accounting अंतर्गत पुन्हा करा, आणि पोर्ट १८१३ वर सेट करा.

२. Hotspot WISPr प्रोफाइल कॉन्फिगर करा

१. Services & Profiles > Hotspots & Portals > Hotspot (WISPr) वर जा. २. एक नवीन प्रोफाइल तयार करा आणि लॉगिन URL External वर सेट करा. ३. तुमची Purple Captive Portal रिडायरेक्ट URL प्रविष्ट करा. ४. तुमचे वॉल्ड गार्डन (Walled Garden) निश्चित करा. हे अत्यंत महत्त्वाचे आहे. तुम्ही ऑथेंटिकेशनच्या आधी Purple च्या डोमेन्सना ॲक्सेस देण्यास अनुमती दिली पाहिजे. SmartZone वाईल्डकार्ड्सना सपोर्ट करतो (उदा. *.purple.ai). iOS Captive Network Assistant (CNA) चे वर्तन व्यवस्थापित करण्यासाठी तुम्ही captive.apple.com समाविष्ट करणे देखील आवश्यक आहे.

३. MAC ॲड्रेस एन्क्रिप्शन बंद करा (महत्त्वाची पायरी)

बाय डीफॉल्ट, SmartZone रिडायरेक्ट URL मध्ये पाठवले जाणारे MAC आणि IP ॲड्रेस एन्क्रिप्ट करतो. Purple ला सेशन मॅनेजमेंटसाठी मूळ (raw) MAC ॲड्रेसची आवश्यकता असते. तुम्ही CLI द्वारे हे बंद केले पाहिजे:

enable
config
no encrypt-mac-ip
exit

४. नॉर्थबाउंड इंटरफेस (NBI) सक्षम करा

  1. Administration > External Services > WISPr Northbound Interface वर जा.
  2. सेवा सक्षम (Enable) करा आणि युझरनेम आणि पासवर्ड कॉन्फिगर करा.
  3. हे क्रेडेंशियल्स Purple ला प्रदान करा. तुमची फायरवॉल Purple च्या IP श्रेणींमधून (ranges) पोर्ट 9080 (HTTP) आणि 9443 (HTTPS) वर इनबाउंड TCP ट्रॅफिकला अनुमती देते याची खात्री करा.

5. WLAN तयार करा

  1. नवीन WLAN तयार करा आणि ऑथेंटिकेशन प्रकार Hotspot (WISPr) वर सेट करा.
  2. आधी कॉन्फिगर केलेले Hotspot प्रोफाईल आणि AAA सर्व्हर्स निवडा.
  3. 802.1X स्टाफ नेटवर्कसाठी, डायनॅमिक VLAN ॲट्रिब्युट्सवर प्रक्रिया केली जाईल याची खात्री करण्यासाठी प्रगत (advanced) सेटिंग्जमध्ये AAA Override सक्षम करा.

सर्वोत्तम पद्धती (Best Practices)

मजबूत आणि सुरक्षित उपयोजन (deployment) सुनिश्चित करण्यासाठी, या उद्योग-मानक शिफारसींचे पालन करा:

  • अतिथी ट्रॅफिक वेगळे करा (Isolate Guest Traffic): अतिथी WiFi नेहमी एका समर्पित VLAN वर ठेवा आणि क्लायंट आयसोलेशन सक्षम करा. तुमचे ठिकाण त्याच प्रत्यक्ष पायाभूत सुविधांवर पेमेंट प्रक्रियेचे काम करत असल्यास PCI DSS अनुपालनासाठी (compliance) ही एक अनिवार्य आवश्यकता आहे.
  • VLAN IDs प्रमाणित करा: एकाधिक ठिकाणी डायनॅमिक VLAN स्टिअरिंग उपयोजित करताना, तुमची VLAN नंबरिंग योजना जागतिक स्तरावर समान असल्याची खात्री करा (उदा. VLAN 20 नेहमी स्टाफ आहे). विसंगत नावामुळे ऑथेंटिकेशन अयशस्वी होईल.
  • RADIUS फॉलबॅक लागू करा: तुमच्या कंट्रोलर्सवर एक महत्त्वपूर्ण VLAN किंवा फॉलबॅक यंत्रणा कॉन्फिगर करा. मुख्य RADIUS सर्व्हरशी संपर्क होऊ शकत नसल्यास, मूलभूत कनेक्टिव्हिटी राखण्यासाठी डिव्हाइसेस एका प्रतिबंधित इंटरनेट-ओन्ली VLAN मध्ये हस्तांतरित केले जावेत.
  • नवीन उपयोजनांसाठी DPSK3 वापरा: तुमचे Ruckus हार्डवेअर WPA3 ला सपोर्ट करत असल्यास, SAE-आधारित एन्क्रिप्शनचा लाभ घेण्यासाठी जुन्या DPSK ऐवजी DPSK3 वापरा.

ट्रबलशूटिंग आणि जोखीम निवारण

बाह्य Captive Portals आणि RADIUS सेवा एकत्रित करताना, अभियंत्यांना सामान्यतः खालील समस्यांचा सामना करावा लागतो:

  • पोर्टल लोड होण्यास अपयशी ठरते: हे सहसा Walled Garden मधील चुकीच्या कॉन्फिगरेशनमुळे होते. आधुनिक पोर्टल्स एकाधिक CDNs आणि आयडेंटिटी प्रदात्यांकडून ॲसेट्स लोड करतात. ब्लॉक केलेल्या विनंत्या ओळखण्यासाठी ब्राउझर डेव्हलपर टूल्स वापरा आणि आवश्यक डोमेन्स तुमच्या SmartZone Walled Garden मध्ये जोडा.
  • ऑथेंटिकेशन यशस्वी होते पण इंटरनेट ॲक्सेस मिळत नाही: हे Northbound Interface अयशस्वी झाल्याचे दर्शवते. SmartZone ला Purple कडून ऑथरायझेशन कॉलबॅक मिळत नाही आहे. तुमचे NBI क्रेडेंशियल्स तपासा आणि TCP पोर्ट 9080/9443 वरील ड्रॉप केलेल्या ट्रॅफिकसाठी फायरवॉल लॉग तपासा.
  • डायनॅमिक VLAN असाइनमेंट अयशस्वी होते: जर 802.1X युझर्स यशस्वीरित्या ऑथेंटिकेट झाले पण डीफॉल्ट VLAN वर आले, तर WLAN सेटिंग्जमध्ये AAA Override सक्षम आहे का ते तपासा. याशिवाय, SmartZone Purple द्वारे परत पाठवलेल्या Tunnel-Private-Group-ID ॲट्रिब्युटकडे दुर्लक्ष करते.

ROI आणि व्यवसाय प्रभाव

Ruckus इन्फ्रास्ट्रक्चरला Purple सोबत एकत्रित केल्याने एका मानक वायरलेस नेटवर्कचे रूपांतर मोजता येण्याजोग्या व्यावसायिक मालमत्तेत होते.

रिटेल आणि हॉस्पिटॅलिटी ठिकाणांसाठी, Captive Portal सत्यापित फर्स्ट-पार्टी डेटा गोळा करतो, ज्यामुळे लॉयल्टी प्रोग्रामच्या वाढीला गती मिळते आणि लक्ष्यित (targeted) मार्केटिंग मोहिमा सक्षम होतात. एका प्रमुख UK हॉटेल साखळीने (hotel chain) त्यांच्या Ruckus आणि Purple रोलआउटनंतर अतिथींच्या समाधानाच्या स्कोअरमध्ये 40% वाढ झाल्याची नोंद केली आहे.

IT ऑपरेशन्ससाठी, डायनॅमिक VLAN स्टिअरिंग आणि DPSK ऑटोमेशन मॅन्युअल कॉन्फिगरेशनचा ताण लक्षणीयरीत्या कमी करते. एखादा भाडेकरू गेल्यास स्टॅटिक स्विच पोर्ट्स व्यवस्थापित करणे किंवा सामायिक केलेले पासवर्ड रीसेट करण्याऐवजी, ॲक्सेस कंट्रोल केंद्रीकृत आणि स्वयंचलित केले जाते, ज्यामुळे सुरक्षा जोखीम कमी होते आणि सपोर्ट तिकिटांची संख्या घटते।

मुख्य परिभाषाएं

WISPr

वायरलेस इंटरनेट सेवा प्रदाता रोमिंग। वायरलेस कंट्रोलर द्वारा HTTP ट्रैफ़िक को रोकने और उपयोगकर्ताओं को बाहरी कैप्टिव पोर्टल पर रीडायरेक्ट करने के लिए उपयोग किया जाने वाला एक उद्योग-मानक प्रोटोकॉल।

यह Ruckus हार्डवेयर पर सभी सार्वजनिक Guest WiFi परिनियोजन के लिए मूलभूत आर्किटेक्चर है।

Northbound Interface (NBI)

Ruckus SmartZone कंट्रोलर पर एक API जो बाहरी प्लेटफ़ॉर्म को प्राधिकरण कमांड भेजने की अनुमति देता है।

उपयोगकर्ता द्वारा कैप्टिव पोर्टल लॉगिन सफलतापूर्वक पूरा करने के बाद Purple को इंटरनेट एक्सेस प्रदान करने के लिए आवश्यक है।

Walled Garden

डोमेन और IP पतों की एक श्वेतसूची (whitelist) जिसे किसी डिवाइस को नेटवर्क पर प्रमाणित करने से पहले एक्सेस करने की अनुमति होती है।

अप्रमाणित मेहमानों के लिए कैप्टिव पोर्टल पेज, उससे जुड़ी छवियों और सोशल लॉगिन प्रदाताओं को लोड करने की अनुमति देने के लिए आवश्यक है।

Dynamic PSK (DPSK)

एक Ruckus-मालिकाना तकनीक जो एक ही साझा SSID पर व्यक्तिगत उपयोगकर्ताओं या समूहों को एक अद्वितीय WPA2/WPA3 पासफ़्रेज़ असाइन करती है।

SSID ब्लोट के बिना सुरक्षित नेटवर्क अलगाव प्रदान करने के लिए मल्टी-टेनेंट वातावरण (MDU, को-वर्किंग स्पेस) में भारी रूप से उपयोग किया जाता है।

Dynamic VLAN Steering

802.1X प्रमाणीकरण के दौरान लौटाए गए RADIUS विशेषताओं के आधार पर किसी डिवाइस को स्वचालित रूप से एक विशिष्ट नेटवर्क सेगमेंट (VLAN) में असाइन करने की प्रक्रिया।

IT टीमों को नेटवर्क लेयर पर HR, फाइनेंस और फ्रंट डेस्क ट्रैफ़िक को सुरक्षित रूप से अलग करते हुए एक एकल 'Staff' SSID का उपयोग करने की अनुमति देता है।

AAA Override

वायरलेस कंट्रोलर पर एक कॉन्फ़िगरेशन सेटिंग जो एक्सेस पॉइंट को RADIUS सर्वर द्वारा लौटाई गई नीतियों (जैसे VLAN IDs) को लागू करने के लिए मजबूर करती है।

डायनेमिक VLAN स्टीयरिंग के सही ढंग से कार्य करने के लिए Ruckus WLANs पर सक्षम होना चाहिए।

Client Isolation

एक सुरक्षा विशेषता जो एक ही वायरलेस नेटवर्क से जुड़े उपकरणों को एक दूसरे के साथ सीधे संवाद करने से रोकती है।

पीयर-टू-पीयर हमलों को रोकने और अनुपालन सुनिश्चित करने के लिए सार्वजनिक Guest WiFi नेटवर्क के लिए एक अनिवार्य सुरक्षा नियंत्रण।

Captive Network Assistant (CNA)

मोबाइल ऑपरेटिंग सिस्टम (जैसे iOS और Android) में निर्मित मिनी-ब्राउज़र जो कैप्टिव पोर्टल का पता चलने पर स्वचालित रूप से पॉप अप होता है।

मोबाइल उपयोगकर्ताओं के लिए एक सहज लॉगिन अनुभव सुनिश्चित करने के लिए इंजीनियरों को Walled Garden के माध्यम से CNA व्यवहार का प्रबंधन करना चाहिए।

हल किए गए उदाहरण

एक 250 कमरों वाले होटल को अपने Ruckus SmartZone इन्फ्रास्ट्रक्चर पर तीन अलग-अलग नेटवर्क तैनात करने की आवश्यकता है: एक सार्वजनिक अतिथि नेटवर्क, संपत्ति प्रबंधन प्रणाली तक पहुंच के साथ एक सुरक्षित स्टाफ नेटवर्क, और स्मार्ट थर्मोस्टैट्स के लिए एक अलग IoT नेटवर्क।

IT टीम तीन WLAN कॉन्फ़िगर करती है। 'Guest-WiFi' WLAN Hotspot (WISPr) प्रमाणीकरण का उपयोग करता है जो Purple के कैप्टिव पोर्टल पर रीडायरेक्ट करता है, जिससे उपयोगकर्ता क्लाइंट आइसोलेशन सक्षम होने के साथ VLAN 10 पर आ जाते हैं। 'Staff-Secure' WLAN Purple SecurePass के खिलाफ 802.1X EAP प्रमाणीकरण का उपयोग करता है; RADIUS सर्वर Tunnel-Private-Group-ID = 20 लौटाता है, जो कर्मचारियों को आंतरिक VLAN पर गतिशील रूप से निर्देशित करता है। 'IoT-Devices' WLAN VLAN 30 से बंधे एक स्थिर WPA2 PSK का उपयोग करता है, जो केवल थर्मोस्टेट नियंत्रण सर्वर के साथ संचार करने के लिए फ़ायरवॉल नियमों के माध्यम से प्रतिबंधित है।

परीक्षक की टिप्पणी: यह आर्किटेक्चर न्यूनतम विशेषाधिकार के सिद्धांत को सही ढंग से लागू करता है। कर्मचारियों के लिए डायनेमिक VLAN स्टीयरिंग का लाभ उठाकर, होटल कई विभाग-विशिष्ट SSIDs को प्रसारित करने से बचता है, जिससे PCI-DSS अनुपालन के लिए आवश्यक सख्त नेटवर्क सेगमेंटेशन को बनाए रखते हुए चैनल उपयोग कम हो जाता है।

एक को-वर्किंग स्पेस ऑपरेटर 15 अलग-अलग टेनेंट कंपनियों वाली एक इमारत का प्रबंधन करता है। उन्हें 15 अलग-अलग SSIDs प्रसारित किए बिना प्रत्येक कंपनी के लिए सुरक्षित, पृथक वायरलेस एक्सेस प्रदान करने की आवश्यकता है।

ऑपरेटर Ruckus Unleashed तैनात करता है और Dynamic PSK (DPSK) सुरक्षा का उपयोग करके एक एकल 'Tenant-WiFi' WLAN कॉन्फ़िगर करता है। कंट्रोलर के भीतर, वे प्रति-DPSK VLAN असाइनमेंट सक्षम करते हैं। 15 टेनेंट कंपनियों में से प्रत्येक को एक अद्वितीय 62-वर्ण का पासफ़्रेज़ जारी किया जाता है। जब टेनेंट A के कर्मचारी अपनी विशिष्ट कुंजी का उपयोग करके कनेक्ट होते हैं, तो कंट्रोलर स्वचालित रूप से उनके ट्रैफ़िक को VLAN 101 पर असाइन कर देता है। टेनेंट B के कर्मचारी एक अलग कुंजी का उपयोग करते हैं और VLAN 102 पर आते हैं।

परीक्षक की टिप्पणी: यह Ruckus DPSK के लिए इष्टतम उपयोग का मामला है। यह केवल एक SSID प्रसारित करके RF वातावरण को साफ रखते हुए नेटवर्क लेयर पर एंटरप्राइज़-ग्रेड अलगाव प्रदान करता है। यह साझा पासवर्ड के सुरक्षा जोखिम को भी समाप्त करता है, क्योंकि टेनेंट A की पहुंच को रद्द करने के लिए अन्य 14 कंपनियों को प्रभावित किए बिना एक एकल कुंजी को हटाना आवश्यक होता है।

अभ्यास प्रश्न

Q1. आपने Purple के साथ एकीकृत Ruckus SmartZone कंट्रोलर पर एक Guest WiFi नेटवर्क कॉन्फ़िगर किया है। एक परीक्षण डिवाइस को कनेक्ट करते समय, Purple कैप्टिव पोर्टल पेज दिखाई देता है, लेकिन लोगो छवि गायब है और 'Login with Facebook' बटन काम नहीं करता है। इसका सबसे संभावित कारण क्या है?

संकेत: विचार करें कि सफलतापूर्वक प्रमाणित होने से पहले डिवाइस के पास क्या नेटवर्क एक्सेस है।

मॉडल उत्तर देखें

Walled Garden गलत तरीके से कॉन्फ़िगर किया गया है। लोगो छवि (जैसे, एक CDN) और Facebook प्रमाणीकरण सर्वर की मेजबानी करने वाले डोमेन को Walled Garden श्वेतसूची में नहीं जोड़ा गया है, इसलिए SmartZone कंट्रोलर पूर्व-प्रमाणीकरण में उन अनुरोधों को अवरुद्ध कर रहा है।

Q2. एक नेटवर्क इंजीनियर स्टाफ एक्सेस के लिए 802.1X तैनात कर रहा है। Purple RADIUS सर्वर VLAN 20 के लिए `Tunnel-Private-Group-ID` विशेषता को सही ढंग से लौटा रहा है। हालांकि, जब कर्मचारी कनेक्ट होते हैं, तो उन्हें WLAN को सौंपे गए डिफ़ॉल्ट VLAN पर रखा जाता है। आप इसे कैसे हल करेंगे?

संकेत: कंट्रोलर को RADIUS निर्देश प्राप्त हो रहे हैं लेकिन वह उन्हें अनदेखा करना चुन रहा है।

मॉडल उत्तर देखें

आपको SmartZone कंट्रोलर पर WLAN की उन्नत सेटिंग्स में 'AAA Override' सक्षम करना होगा। इस सेटिंग के सक्षम न होने पर, कंट्रोलर RADIUS सर्वर द्वारा लौटाए गए डायनेमिक VLAN विशेषताओं को लागू नहीं करेगा।

Q3. एक को-वर्किंग स्पेस 10 अलग-अलग कंपनियों के लिए सुरक्षित WiFi प्रदान करना चाहता है। वे वर्तमान में 10 अलग-अलग SSIDs प्रसारित करते हैं, जिससे गंभीर चैनल हस्तक्षेप हो रहा है। वे 802.1X का उपयोग नहीं कर सकते क्योंकि कई उपकरण साझा प्रिंटर या स्मार्ट टीवी हैं। अनुशंसित Ruckus आर्किटेक्चर क्या है?

संकेत: ऐसे समाधान की तलाश करें जो एंटरप्राइज़ प्रमाणपत्रों या क्रेडेंशियल्स की आवश्यकता के बिना अद्वितीय एन्क्रिप्शन कुंजियाँ प्रदान करता हो।

मॉडल उत्तर देखें

एक ही SSID पर Ruckus Dynamic PSK (DPSK) लागू करें। प्रत्येक टेनेंट कंपनी को एक अद्वितीय DPSK जारी करें, और प्रत्येक DPSK को एक विशिष्ट VLAN से बांधने के लिए कंट्रोलर को कॉन्फ़िगर करें। यह SSID ब्लोट को समाप्त करता है, नेटवर्क अलगाव प्रदान करता है, और प्रिंटर जैसे हेडलेस उपकरणों का समर्थन करता है।

इस श्रृंखला में आगे पढ़ें

Cisco WLC और Catalyst का Purple WiFi के साथ एकीकरण: चरण-दर-चरण गेस्ट एक्सेस गाइड

यह आधिकारिक गाइड Cisco Catalyst 9800 WLCs के Purple WiFi के साथ चरण-दर-चरण एकीकरण का विवरण देती है। इसमें गेस्ट Captive Portal के लिए External Web Authentication, सुरक्षित स्टाफ एक्सेस के लिए 802.1X EAP-TLS, और मल्टी-टेनेंट डायनेमिक VLAN सेगमेंटेशन के लिए Cisco iPSK शामिल है।

गाइड पढ़ें →

Purple WiFi के साथ Allied Telesis Access Points का एकीकरण

यह गाइड Allied Telesis TQ-Series एक्सेस पॉइंट्स को Purple WiFi के साथ एकीकृत करने के लिए एक व्यापक कॉन्फ़िगरेशन प्लेबुक प्रदान करती है। इसमें सुरक्षित मल्टी-टेनेंट परिनियोजन के लिए बाहरी कैप्टिव पोर्टल रीडायरेक्शन, 802.1X RADIUS प्रमाणीकरण, और Private Pre-Shared Keys (PPSK) का उपयोग करके डायनेमिक VLAN स्टीयरिंग शामिल है।

गाइड पढ़ें →

Purple WiFi के साथ Grandstream GWN एक्सेस पॉइंट्स का एकीकरण

यह आधिकारिक तकनीकी संदर्भ मार्गदर्शिका विस्तार से बताती है कि Grandstream GWN एक्सेस पॉइंट्स को Purple के Guest WiFi और एनालिटिक्स प्लेटफॉर्म के साथ कैसे एकीकृत किया जाए। यह Grandstream कैप्टिव पोर्टल कॉन्फ़िगरेशन, RADIUS AAA सेटिंग्स, walled garden सेटअप, डायनेमिक VLAN स्टीयरिंग के साथ सुरक्षित स्टाफ 802.1X प्रमाणीकरण, और मल्टी-टेनेंट PPSK सेगमेंटेशन को कवर करता है - जो बड़े पैमाने पर गेस्ट और स्टाफ WiFi तैनात करने वाले MSPs और आईटी टीमों के लिए व्यावहारिक, चरण-दर-चरण मार्गदर्शन प्रदान करता है।

गाइड पढ़ें →