मुख्य सामग्री पर जाएं

सामान्य एक्सेस पॉइंट प्लेटफ़ॉर्म (Cisco, Aruba, Ubiquiti) पर WPA2-Enterprise को कैसे कॉन्फ़िगर करें

यह तकनीकी संदर्भ मार्गदर्शिका वरिष्ठ IT पेशेवरों और नेटवर्क आर्किटेक्ट्स को Cisco, Aruba, और Ubiquiti प्लेटफ़ॉर्म पर WPA2-Enterprise को स्थापित करने के लिए एक निश्चित, विक्रेता - विशिष्ट गाइड प्रदान करती है। यह एंटरप्राइज़ और वेन्यू परिवेशों में आर्किटेक्चर, RADIUS एकीकरण, अनुपालन आवश्यकताओं और वास्तविक दुनिया के परिनियोजन परिदृश्यों का विवरण देती है।

📖 6 मिनट का पाठ📝 1,309 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
Common Access Point Platforms — Cisco, Aruba, और Ubiquiti पर WPA2-Enterprise को कैसे कॉन्फ़िगर करें एक Purple WiFi इंटेलिजेंस ब्रीफिंग [INTRO — लगभग 1 मिनट] Purple WiFi इंटेलिजेंस सीरीज़ में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम अपने एंटरप्राइज क्लाइंट्स द्वारा सबसे अधिक अनुरोधित विषयों में से एक पर सीधे बात कर रहे हैं: तीन सबसे व्यापक रूप से तैनात किए गए एक्सेस पॉइंट प्लेटफ़ॉर्म — Cisco, Aruba, और Ubiquiti पर WPA2-Enterprise को कैसे कॉन्फ़िगर करें। चाहे आप 500 कमरों वाले होटल समूह में IT डायरेक्टर हों, किसी राष्ट्रीय रिटेल चेन के नेटवर्क आर्किटेक्ट हों, या किसी कॉन्फ्रेंस सेंटर ऑपरेटर के CTO हों, यह ब्रीफिंग आपके लिए है। हम केवल सिद्धांत की बात नहीं करेंगे। हम इस पर बात करेंगे कि आपको डेप्लॉयमेंट का निर्णय लेने, इसे सही ढंग से लागू करने, और उन गलतियों से बचने के लिए क्या जानने की आवश्यकता है जो अनुभवी टीमों को भी परेशानी में डाल देती हैं। आइए शुरू करते हैं। [TECHNICAL DEEP-DIVE — लगभग 5 मिनट] सबसे पहले, WPA2-Enterprise वास्तव में क्या है, इस पर एक त्वरित स्पष्टीकरण, क्योंकि बाजार में अभी भी WPA2-Personal और WPA2-Enterprise के बीच आश्चर्यजनक रूप से भ्रम है - और यह अंतर अनुपालन (compliance) और सुरक्षा स्थिति के लिए बहुत मायने रखता है। WPA2-Personal - वह संस्करण जिससे अधिकांश लोग परिचित हैं - एक सिंगल प्री-शेयर्ड की (pre-shared key) का उपयोग करता है। नेटवर्क पर मौजूद हर कोई एक ही पासवर्ड का उपयोग करता है। यह होम नेटवर्क के लिए ठीक है। यह व्यावसायिक वातावरण के लिए बिल्कुल भी स्वीकार्य नहीं है जहाँ आपको प्रति-उपयोगकर्ता प्रमाणीकरण (per-user authentication), ऑडिट ट्रेल और तुरंत एक्सेस को रद्द करने की क्षमता की आवश्यकता होती है। WPA2-Enterprise, जिसे IEEE 802.1X के तहत परिभाषित किया गया है, उस शेयर्ड की को एक व्यक्तिगत प्रमाणीकरण एक्सचेंज से बदल देता है। प्रत्येक उपयोगकर्ता या डिवाइस अपनी खुद की क्रेडेंशियल प्रस्तुत करता है - चाहे वह उपयोगकर्ता नाम और पासवर्ड हो, एक डिजिटल सर्टिफिकेट हो, या एक टोकन हो - और नेटवर्क एक्सेस दिए जाने से पहले उन क्रेडेंशियल को एक RADIUS सर्वर द्वारा मान्य किया जाता है। एक्सेस पॉइंट स्वयं कभी भी क्रेडेंशियल नहीं देखता है। यह पूरी तरह से एक ऑथेंटिकेटर के रूप में कार्य करता है, जो क्लाइंट और RADIUS सर्वर के बीच EAP - Extensible Authentication Protocol - एक्सचेंज को पास करता है। यह मौलिक रूप से अधिक सुरक्षित आर्किटेक्चर है, और भुगतान कार्ड डेटा को संभालने वाले किसी भी वातावरण में PCI-DSS अनुपालन के लिए यह बुनियादी आवश्यकता है, साथ ही वायरलेस नेटवर्क पर व्यक्तिगत डेटा को प्रोसेस करने वाले संगठनों के लिए GDPR के तहत इसकी दृढ़ता से अनुशंसा की जाती है। अब, आइए इन तीनों प्लेटफॉर्मों के बारे में बात करते हैं। Cisco से शुरू करते हैं। Cisco का एंटरप्राइज़ WiFi पोर्टफोलियो - मुख्य रूप से Catalyst और Meraki लाइन्स - बड़े पैमाने पर डिप्लॉयमेंट के लिए सबसे पसंदीदा विकल्प है। Cisco DNA Center केंद्रीकृत पॉलिसी मैनेजमेंट प्रदान करता है, और Meraki डैशबोर्ड वितरित एस्टेट के लिए क्लाउड-मैनेज्ड सरलता प्रदान करता है। Cisco Catalyst एक्सेस पॉइंट पर WPA2-Enterprise कॉन्फ़िगर करने के लिए, आपको WLC - वायरलेस LAN कंट्रोलर - या DNA Center के माध्यम से काम करना होगा। मुख्य चरण हैं: Security, फिर AAA, फिर RADIUS Authentication Servers के अंतर्गत अपने RADIUS सर्वर को परिभाषित करें; एक नया WLAN प्रोफ़ाइल बनाएं; सुरक्षा पॉलिसी को की-मैनेजमेंट विधि के रूप में 802.1X के साथ WPA2 पर सेट करें; और RADIUS सर्वर को उस WLAN से बाइंड करें। Cisco पर एक महत्वपूर्ण बिंदु: यह सुनिश्चित करें कि आप ऑथेंटिकेशन के साथ-साथ RADIUS एकाउंटिंग को भी कॉन्फ़िगर कर रहे हैं। एकाउंटिंग आपको प्रति-सेशन ऑडिट ट्रेल देता है जिसकी अनुपालन फ्रेमवर्क को आवश्यकता होती है। Meraki पर, यह प्रक्रिया और भी सरल है - Wireless, फिर SSIDs पर जाएं, अपने लक्षित SSID का चयन करें, सुरक्षा को मेरे RADIUS सर्वर के साथ WPA2-Enterprise पर सेट करें, और अपना RADIUS सर्वर IP, पोर्ट - आमतौर पर ऑथेंटिकेशन के लिए 1812 और एकाउंटिंग के लिए 1813 - और शेयर्ड सीक्रेट दर्ज करें। Meraki सीधे डैशबोर्ड से RADIUS टेस्टिंग का भी समर्थन करता है, जो कमिशनिंग के दौरान अमूल्य है। अब Aruba पर आते हैं। Aruba Networks, जो अब HPE का हिस्सा है, हॉस्पिटैलिटी और उच्च शिक्षा में सबसे प्रमुख विकल्प है। Aruba Central क्लाउड मैनेजमेंट प्रदान करता है, और ArubaOS इसका अंतर्निहित प्लेटफॉर्म है। Aruba पर, WPA2-Enterprise कॉन्फ़िगरेशन SSID प्रोफ़ाइल के भीतर होता है। आप एक AAA प्रोफ़ाइल परिभाषित करेंगे जो आपके RADIUS सर्वर को संदर्भित करती है, फिर उस AAA प्रोफ़ाइल को अपने वर्चुअल AP प्रोफ़ाइल से जोड़ेंगे। Aruba का ClearPass पॉलिसी मैनेजर यहाँ विशेष उल्लेख के योग्य है - यह Aruba का अपना RADIUS और पॉलिसी इंजन है, और यह डिवाइस प्रोफाइलिंग, रोल-बेस्ड एक्सेस कंट्रोल और गेस्ट ऑनबोर्डिंग के आस-पास महत्वपूर्ण क्षमता जोड़ता है। यदि आप एक मिश्रित वातावरण चला रहे हैं जहाँ कर्मचारी, ठेकेदार और अतिथि सभी एक ही इन्फ्रास्ट्रक्चर से जुड़ रहे हैं, तो ClearPass आपको उन्हें उचित रूप से विभाजित करने की पॉलिसी ग्रैन्युलैरिटी देता है। एक होटल के लिए जो कर्मचारियों और बैक-ऑफ-हाउस नेटवर्क पर WPA2-Enterprise डिप्लॉय कर रहा है, जबकि Purple जैसे प्लेटफॉर्म के माध्यम से एक अलग गेस्ट WiFi समाधान चला रहा है, स्टाफ ऑथेंटिकेशन के लिए ClearPass के साथ Aruba का SSID सेगमेंटेशन एक बहुत ही साफ-सुथरा आर्किटेक्चर है। अब Ubiquiti की बात करते हैं। Ubiquiti के UniFi प्लेटफॉर्म ने अपनी प्रतिस्पर्धी कीमत और वास्तव में सक्षम प्रबंधन इंटरफ़ेस के कारण SMB और मिड-मार्केट स्पेस में - और तेजी से बुटीक हॉस्पिटैलिटी और रिटेल में - महत्वपूर्ण बढ़त हासिल की है। UniFi Network Controller वह जगह है जहां आप मुख्य काम करेंगे। UniFi पर WPA2-Enterprise को कॉन्फ़िगर करने के लिए, Settings पर जाएं, फिर WiFi पर जाएं, अपना SSID बनाएं या संपादित करें, सुरक्षा को WPA2 Enterprise पर सेट करें, और अपना RADIUS प्रोफाइल कॉन्फ़िगर करें - फिर से, IP एड्रेस, प्रमाणीकरण पोर्ट 1812, एकाउंटिंग पोर्ट 1813, और शेयर्ड सीक्रेट। Ubiquiti के साथ एक महत्वपूर्ण बात: यह अंतर्निहित RADIUS सर्वर के साथ नहीं आता है जैसा कि कुछ एंटरप्राइज प्लेटफॉर्म आते हैं। आपको एक बाहरी RADIUS सर्वर की आवश्यकता होगी - चाहे वह Windows Server NPS हो, FreeRADIUS हो, या क्लाउड RADIUS सेवा हो। यह अपने आप में कोई सीमा नहीं है, लेकिन यह एक निर्भरता है जिसके लिए योजना बनाने की आवश्यकता है। छोटे डिप्लॉयमेंट के लिए, UniFi Network Application में एक बुनियादी RADIUS सर्वर शामिल होता है, लेकिन प्रोडक्शन वातावरण के लिए मैं हमेशा एक समर्पित RADIUS इंस्टेंस की सिफारिश करूंगा। तीनों प्लेटफॉर्मों में, EAP विधि का चयन ध्यान देने योग्य है। MSCHAPv2 के साथ PEAP सबसे व्यापक रूप से उपयोग की जाने वाली विधि है क्योंकि यह क्लाइंट-साइड सर्टिफिकेट की आवश्यकता के बिना Active Directory क्रेडेंशियल्स के साथ काम करती है। EAP-TLS अधिक सुरक्षित है - यह आपसी सर्टिफिकेट प्रमाणीकरण का उपयोग करता है - लेकिन इसके लिए एक PKI इन्फ्रास्ट्रक्चर और प्रत्येक क्लाइंट डिवाइस पर सर्टिफिकेट डिप्लॉयमेंट की आवश्यकता होती है, जो परिचालन ओवरहेड को बढ़ाता है। अधिकांश एंटरप्राइज डिप्लॉयमेंट के लिए, क्लाइंट साइड पर उचित रूप से कॉन्फ़िगर किए गए RADIUS सर्वर और सर्टिफिकेट सत्यापन के साथ PEAP-MSCHAPv2 सुरक्षा और परिचालन सुगमता का सही संतुलन है। [कार्यान्वयन की सिफारिशें और कमियां - लगभग 2 मिनट] अब मैं आपको WPA2-Enterprise डिप्लॉयमेंट में देखी जाने वाली तीन सबसे आम विफलताएं और उनसे बचने के तरीके बताता हूं। नंबर एक: RADIUS सर्वर की उपलब्धता। आपका RADIUS सर्वर अब हर वायरलेस प्रमाणीकरण के लिए महत्वपूर्ण मार्ग में है। यदि यह डाउन हो जाता है, तो कोई भी कनेक्ट नहीं कर सकता है। इसका मतलब है कि आपको RADIUS रिडंडेंसी की आवश्यकता है - प्रत्येक एक्सेस पॉइंट पर कम से कम एक प्राथमिक और माध्यमिक RADIUS सर्वर कॉन्फ़िगर किया गया हो। अधिकांश प्लेटफॉर्म मूल रूप से इसका समर्थन करते हैं। Cisco पर, आप फेलओवर के साथ RADIUS सर्वर ग्रुप कॉन्फ़िगर कर सकते हैं। Aruba पर, AAA प्रोफाइल कॉन्फ़िगर करने योग्य पुनः प्रयास और टाइमआउट मानों के साथ कई RADIUS सर्वर का समर्थन करता है। Ubiquiti पर, आप RADIUS प्रोफाइल में एक माध्यमिक RADIUS सर्वर निर्दिष्ट कर सकते हैं। इस चरण को न छोड़ें। नंबर दो: सर्टिफिकेट वैलिडेशन। मेरे द्वारा समीक्षा किए जाने वाले डिप्लॉयमेंट का एक बहुत बड़ा हिस्सा ऐसा होता है जहां क्लाइंट डिवाइस किसी भी RADIUS सर्वर सर्टिफिकेट को स्वीकार करने के लिए कॉन्फ़िगर किए जाते हैं। यह पूरी तरह से सुरक्षा मॉडल को कमजोर करता है - यह आपको एविल ट्विन हमलों के प्रति संवेदनशील बनाता है जहां एक अनधिकृत एक्सेस पॉइंट आपके नेटवर्क का रूप धर लेता है और क्रेडेंशियल चुरा लेता है। अपने RADIUS सर्वर सर्टिफिकेट को एक विश्वसनीय CA से कॉन्फ़िगर करें, और उस सर्टिफिकेट को वैलिडेट करने के लिए अपने क्लाइंट सप्लीकेंट्स को कॉन्फ़िगर करें। Windows पर, यह Group Policy के माध्यम से किया जाता है। iOS और Android पर, इसे MDM प्रोफाइल के माध्यम से संभाला जाता है। संवेदनशील डेटा को संभालने वाले किसी भी वातावरण के लिए यह गैर-परक्राम्य है। नंबर तीन: VLAN असाइनमेंट। WPA2-Enterprise डायनेमिक VLAN असाइनमेंट को सक्षम बनाता है - RADIUS सर्वर Access-Accept संदेश में एक VLAN एट्रिब्यूट वापस कर सकता है, जिससे प्रत्येक प्रमाणित उपयोगकर्ता को उनकी पहचान या भूमिका के आधार पर उपयुक्त नेटवर्क सेगमेंट में रखा जा सके। यह 802.1X आर्किटेक्चर की सबसे शक्तिशाली विशेषताओं में से एक है, और इसे अक्सर बिना कॉन्फ़िगर किए छोड़ दिया जाता है। यदि आप एक ऐसा वेन्यू चला रहे हैं जहां कर्मचारी, प्रबंधन और IoT डिवाइस सभी एक ही भौतिक बुनियादी ढांचे पर हैं, तो डायनेमिक VLAN असाइनमेंट ही वह तरीका है जिससे आप कई SSIDs को प्रबंधित किए बिना नेटवर्क सेगमेंटेशन लागू करते हैं। Purple इंटीग्रेशन के संदर्भ में: यदि आप अपने कर्मचारियों और परिचालन नेटवर्कों के लिए WPA2-Enterprise को डिप्लॉय कर रहे हैं, और विज़िटर कनेक्टिविटी के लिए Purple का गेस्ट WiFi प्लेटफॉर्म चला रहे हैं, तो ये दोनों सिस्टम आसानी से एक साथ काम करते हैं। Purple गेस्ट ऑथेंटिकेशन, डेटा कैप्चर और एनालिटिक्स लेयर को संभालता है - जिसमें WiFi एनालिटिक्स और फुटफॉल इंटेलिजेंस शामिल हैं जिसका उपयोग वेन्यू ऑपरेटर परिचालन निर्णयों के लिए करते हैं - जबकि आपका WPA2-Enterprise बुनियादी ढांचा कॉर्पोरेट नेटवर्क को सुरक्षित रखता है। मुख्य बात एक्सेस पॉइंट स्तर पर स्पष्ट SSID और VLAN सेपरेशन है, जिसे तीनों प्लेटफॉर्म सपोर्ट करते हैं। [रैपिड-फायर प्रश्नोत्तर - लगभग 1 मिनट] आइए कुछ ऐसे सवालों पर नज़र डालें जो नियमित रूप से सामने आते हैं। क्या मैं एक ही एक्सेस पॉइंट्स पर WPA2-Enterprise और गेस्ट नेटवर्क चला सकता हूँ? हाँ, बिल्कुल। तीनों प्लेटफॉर्म प्रति रेडियो मल्टीपल SSIDs का समर्थन करते हैं, जिनमें से प्रत्येक की स्वतंत्र सुरक्षा नीतियां होती हैं। आपका कॉर्पोरेट SSID WPA2-Enterprise चलाता है; आपका गेस्ट SSID उपयुक्त आइसोलेशन के साथ Purple के Captive Portal के माध्यम से चल सकता है। क्या मुझे WPA2-Enterprise को डिप्लॉय करने के लिए अपने मौजूदा एक्सेस पॉइंट्स को बदलने की आवश्यकता है? लगभग निश्चित रूप से नहीं। एंटरप्राइज-ग्रेड एक्सेस पॉइंट्स पर एक दशक से अधिक समय से WPA2-Enterprise का समर्थन किया जा रहा है। यदि आपका हार्डवेयर आठ साल से कम पुराना है और वर्तमान फ़र्मवेयर पर चल रहा है, तो यह 802.1X का समर्थन करेगा। WPA2-Enterprise और WPA3-Enterprise में क्या अंतर है? WPA3-Enterprise, Suite B क्रिप्टोग्राफी का उपयोग करके 192-बिट सुरक्षा मोड जोड़ता है, जो सरकारी और रक्षा वातावरण के लिए प्रासंगिक है। अधिकांश व्यावसायिक डिप्लॉयमेंट के लिए, मजबूत EAP विधियों के साथ WPA2-Enterprise अभी भी मानक बना हुआ है। नए डिप्लॉयमेंट के लिए WPA3 ट्रांज़िशन की योजना बनाना उचित है, लेकिन अधिकांश संगठनों के लिए यह कोई तत्काल माइग्रेशन नहीं है। क्या क्लाउड RADIUS एक व्यावहारिक विकल्प है? हाँ, और इसकी लोकप्रियता लगातार बढ़ रही है। क्लाउड में Cisco ISE, एक सर्विस के रूप में Aruba ClearPass, या JumpCloud और Foxpass जैसे तीसरे पक्ष के विकल्प एक प्रबंधित सेवा के रूप में RADIUS प्रदान करते हैं, जो बुनियादी ढांचे के ओवरहेड को समाप्त करता है। वितरित संपत्तियों के लिए - जैसे कि 200 स्थानों वाली एक रिटेल श्रृंखला - क्लाउड RADIUS परिचालन संबंधी जटिलता को काफी कम कर सकता है। [सारांश और अगले कदम — लगभग 1 मिनट] समापन के लिए: WPA2-Enterprise किसी भी उद्यम वायरलेस परिनियोजन के लिए एक गैर-परक्राम्य आधार रेखा है। Cisco, Aruba, और Ubiquiti में कॉन्फ़िगरेशन प्रक्रिया उसी मूलभूत पैटर्न का पालन करती है - अपने RADIUS सर्वर को परिभाषित करें, 802.1X कुंजी प्रबंधन के साथ अपना SSID बनाएं, अपनी EAP विधि का चयन करें, और लाइव होने से पहले परीक्षण करें। अंतर केवल प्रबंधन इंटरफेस और प्रत्येक प्लेटफॉर्म के आसपास के इकोसिस्टम टूल्स में हैं। तीन चीजें जो सही होनी चाहिए: RADIUS अतिरेकता (redundancy), क्लाइंट्स पर प्रमाणपत्र सत्यापन, और गतिशील VLAN असाइनमेंट। इन तीनों को सही करें और आपके पास एक ठोस, अनुपालन योग्य, और ऑडिट करने योग्य वायरलेस सुरक्षा व्यवस्था होगी। आपके अगले कदमों के लिए: यदि आप प्लेटफार्मों का मूल्यांकन कर रहे हैं, तो संलग्न गाइड में विक्रेता तुलना ढांचे का उपयोग करें। यदि आप परिनियोजन के लिए तैयार हैं, तो प्रत्येक प्लेटफॉर्म के लिए चरण-दर-चरण कॉन्फ़िगरेशन वॉकथ्रू कार्यान्वयन अनुभाग में दिए गए हैं। और यदि आप यह सोच रहे हैं कि अतिथि WiFi आपके उद्यम नेटवर्क के साथ कैसे फिट बैठता है, तो Purple प्लेटफॉर्म दस्तावेज़ इसके एकीकरण आर्किटेक्चर को विस्तार से कवर करते हैं। सुनने के लिए धन्यवाद। मैं आपसे अगले ब्रीफिंग में मिलूँगा।

Executive Summary

WPA2-Enterprise को तैनात करना अब एक वैकल्पिक सुरक्षा अपडेट नहीं है - यह किसी भी एंटरप्राइज-ग्रेड वायरलेस नेटवर्क के लिए आवश्यक आधारभूत आवश्यकता है। हॉस्पिटैलिटी, रिटेल और सार्वजनिक क्षेत्र के वातावरण में काम करने वाले IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए, Pre-Shared Keys से हटकर 802.1X प्रमाणीकरण की ओर बढ़ने का कारण PCI-DSS और GDPR सहित कड़े अनुपालन निर्देश हैं। यह तकनीकी संदर्भ मार्गदर्शिका तीन प्रमुख एक्सेस पॉइंट विक्रेताओं: Cisco, Aruba और Ubiquiti के लिए ठोस, व्यावहारिक, प्लेटफ़ॉर्म-विशिष्ट कॉन्फ़िगरेशन चरण प्रदान करती है।

WPA2-Enterprise पर संक्रमण करके, एंटरप्राइज संगठन साझा क्रेडेंशियल्स से जुड़े जोखिमों को समाप्त कर सकते हैं, विस्तृत प्रति-सत्र ऑडिट ट्रेल प्राप्त कर सकते हैं, और डायनेमिक नेटवर्क सेगमेंटेशन को सक्षम कर सकते हैं। सही ढंग से लागू होने पर, यह आर्किटेक्चर न केवल कॉर्पोरेट परिधि को सुरक्षित करता है बल्कि एक व्यापक Guest WiFi प्लेटफ़ॉर्म के माध्यम से प्रबंधित विज़िटर नेटवर्क के साथ भी निर्बाध रूप से एकीकृत होता है। निम्नलिखित अनुभाग एक सफल रोलआउट के लिए आवश्यक तकनीकी आर्किटेक्चर, तैनाती चरणों और जोखिम शमन रणनीतियों का विवरण देते हैं।

header_image.png

Technical Deep-Dive

WPA2-Enterprise पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल प्रदान करने के लिए IEEE 802.1X मानक पर निर्भर करता है। WPA2-Personal के विपरीत, जो एक स्थिर Pre-Shared Key (PSK) का उपयोग करता है, WPA2-Enterprise के लिए आवश्यक है कि प्रत्येक सप्लिकेंट (क्लाइंट डिवाइस) नेटवर्क तक पहुंच प्राप्त करने से पहले एक बाहरी प्रमाणीकरण सर्वर - आमतौर पर एक RADIUS सर्वर - के विरुद्ध व्यक्तिगत रूप से प्रमाणित हो।

इस आर्किटेक्चर में तीन मुख्य घटक शामिल हैं:

  1. सप्लिकेंट (The Supplicant): नेटवर्क से कनेक्ट करने का प्रयास करने वाला क्लाइंट डिवाइस।
  2. प्रमाणकर्ता (The Authenticator): एंटरप्राइज-ग्रेड एक्सेस पॉइंट या वायरलेस LAN कंट्रोलर (उदाहरण के लिए, एक Cisco WLC या Aruba मोबिलिटी कंट्रोलर) जो प्रमाणीकरण प्रक्रिया को सुगम बनाता है।
  3. प्रमाणीकरण सर्वर (The Authentication Server): बैक-एंड RADIUS सर्वर (उदाहरण के लिए, Cisco ISE, Aruba ClearPass या Windows NPS), जो एक्टिव डायरेक्टरी या LDAP जैसी डायरेक्टरी सेवा के विरुद्ध क्रेडेंशियल्स को सत्यापित करता है।

EAP एक्सचेंज प्रक्रिया

प्रमाणीकरण प्रक्रिया LAN पर एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAPOL) का उपयोग करती है। प्रारंभिक चरण के दौरान, प्रमाणकर्ता पूरी तरह से एक पारदर्शी प्रॉक्सी के रूप में कार्य करता है। एक बार जब RADIUS सर्वर ने क्रेडेंशियल्स को सत्यापित कर लिया है, तो यह प्रमाणकर्ता को एक Access-Accept संदेश भेजता है, जो फिर वायरलेस सत्र को सुरक्षित करने के लिए आवश्यक एन्क्रिप्शन कुंजियाँ प्राप्त करता है।

EAP विधि का चयन अत्यंत महत्वपूर्ण है। PEAP-MSCHAPv2 सबसे व्यापक रूप से उपयोग की जाने वाली विधि है क्योंकि यह सर्वर प्रमाणपत्र द्वारा स्थापित TLS टनल के भीतर एक्सचेंज को सुरक्षित रखते हुए पारंपरिक Active Directory पासवर्ड प्रमाणीकरण का समर्थन करती है। हालांकि, अधिकतम सुरक्षा के लिए, EAP-TLS की सिफारिश की जाती है। EAP-TLS के लिए पारस्परिक प्रमाणपत्र प्रमाणीकरण (सर्वर और क्लाइंट दोनों को वैध प्रमाणपत्र प्रस्तुत करना होगा) आवश्यक है, जो क्रेडेंशियल चोरी से बचाता है लेकिन प्रमाणपत्र वितरण के लिए एक मजबूत पब्लिक की इन्फ्रास्ट्रक्चर (PKI) या मोबाइल डिवाइस मैनेजमेंट (MDM) समाधान की मांग करता है।

architecture_overview.png

कार्यान्वयन मार्गदर्शिका

WPA2-Enterprise को कॉन्फ़िगर करने के मूलभूत सिद्धांत सभी वेंडरों में समान हैं, लेकिन इसका निष्पादन प्रबंधन इंटरफ़ेस और इकोसिस्टम के अनुसार भिन्न होता है।

vendor_comparison_chart.png

Cisco (Catalyst और Meraki)

Cisco वातावरण आमतौर पर कैंपस परिनियोजन से लेकर वितरित उद्यम नेटवर्क तक के पैमाने में होते हैं।

Cisco Catalyst (WLC/DNA Center):

  1. RADIUS सर्वर परिभाषित करें: "Security" टैब पर जाएं, "AAA" चुनें, और प्राथमिक व माध्यमिक RADIUS प्रमाणीकरण और अकाउंटिंग सर्वर कॉन्फ़िगर करें। सुनिश्चित करें कि साझा रहस्य RADIUS सर्वर कॉन्फ़िगरेशन से मेल खाता है।
  2. WLAN प्रोफाइल बनाएं: "WLANs" टैब के अंतर्गत, एक नया प्रोफाइल बनाएं।
  3. सुरक्षा नीति कॉन्फ़िगर करें: लेयर 2 सुरक्षा को WPA+WPA2 पर सेट करें और 802.1X को प्रमाणीकरण कुंजी प्रबंधन (AKM) विधि के रूप में सक्षम करें।
  4. AAA सर्वर को बाइंड करें: पहले से परिभाषित RADIUS सर्वर को WLAN प्रोफाइल से मैप करें। यदि डायनेमिक VLAN असाइनमेंट आवश्यक है, तो "AAA Override" सक्षम करें।

Cisco Meraki:

  1. SSID कॉन्फ़िगरेशन: Meraki डैशबोर्ड में, Wireless > SSIDs पर जाएं और लक्षित नेटवर्क चुनें।
  2. एक्सेस कंट्रोल: एसोसिएशन आवश्यकता को "WPA2-Enterprise with my RADIUS server" पर सेट करें।
  3. RADIUS सेटिंग्स: अपने RADIUS इन्फ्रास्ट्रक्चर का IP पता, प्रमाणीकरण पोर्ट (आमतौर पर 1812), अकाउंटिंग पोर्ट (1813) और साझा रहस्य दर्ज करें। Meraki डैशबोर्ड में परिनियोजन से पहले RADIUS कनेक्टिविटी को सत्यापित करने के लिए एक अंतर्निहित परीक्षण उपकरण शामिल है।

Aruba Networks

Aruba Hospitality और उच्च शिक्षा में प्रमुख प्लेटफॉर्म है, जो उन्नत एक्सेस कंट्रोल के लिए अपने ClearPass पॉलिसी मैनेजर का व्यापक उपयोग करता है।

  1. एक AAA प्रोफाइल परिभाषित करें: Aruba Central या Mobility Controller UI में, एक नया AAA प्रोफाइल बनाएं। यह प्रोफाइल यह निर्धारित करती है कि प्रमाणीकरण को कैसे संभाला जाता है।
  2. एक RADIUS सर्वर समूह कॉन्फ़िगर करें: अपने RADIUS सर्वर को एक सर्वर समूह में जोड़ें, जिसमें फ़ेलओवर नियम और टाइमआउट मान निर्दिष्ट हों। इस समूह को AAA प्रोफाइल से जोड़ें।3. Virtual AP कॉन्फ़िगरेशन: Virtual AP (SSID) प्रोफ़ाइल बनाएं या संशोधित करें। सुरक्षा प्रकार को WPA2-Enterprise पर सेट करें।
  3. प्रोफ़ाइल बाइंड करें: AAA प्रोफ़ाइल को Virtual AP प्रोफ़ाइल से बाइंड करें। यदि ClearPass का उपयोग कर रहे हैं, तो सुनिश्चित करें कि गतिशील नीति लागू करने को सक्षम करने के लिए RADIUS CoA (Change of Authorization) पोर्ट (3799) को किसी भी मध्यवर्ती फ़ायरवॉल के माध्यम से अनुमति दी गई है।

Ubiquiti (UniFi)

Ubiquiti, UniFi Network Controller के माध्यम से, Retail और SMB परिवेशों के लिए एक लागत प्रभावी समाधान प्रदान करता है।

  1. एक RADIUS प्रोफ़ाइल बनाएं: Settings > Profiles > RADIUS पर जाएं। अपने बाहरी RADIUS सर्वर के IP एड्रेस, पोर्ट (1812/1813) और शेयर्ड सीक्रेट का उपयोग करके एक नई प्रोफ़ाइल बनाएं।
  2. SSID कॉन्फ़िगरेशन: Settings > WiFi पर जाएं और एक नया वायरलेस नेटवर्क बनाएं।
  3. सुरक्षा सेटिंग्स: सुरक्षा प्रोटोकॉल के रूप में "WPA2 Enterprise" चुनें और नई बनाई गई RADIUS प्रोफ़ाइल को बाइंड करें।
  4. RADIUS आर्किटेक्चर विचार: एंटरप्राइज़-ग्रेड कंट्रोलर्स के विपरीत जो स्थानीय रूप से जीवित रहने योग्य RADIUS की पेशकश कर सकते हैं, UniFi बाहरी सर्वरों (उदाहरण के लिए, FreeRADIUS या Windows NPS) पर बहुत अधिक निर्भर करता है। UniFi APs और RADIUS बैक-एंड के बीच विश्वसनीय कनेक्टिविटी सुनिश्चित करें।

सर्वोत्तम प्रथाएं

यह सुनिश्चित करने के लिए कि परिनियोजन लचीला और सुरक्षित दोनों है, नेटवर्क आर्किटेक्ट्स को कई महत्वपूर्ण सर्वोत्तम प्रथाओं का पालन करना चाहिए:

  1. प्रमाणपत्र सत्यापन लागू करें: क्लाइंट डिवाइसों को स्पष्ट रूप से कॉन्फ़िगर किया जाना चाहिए ताकि वे एक विश्वसनीय प्रमाणपत्र प्राधिकरण (CA) के खिलाफ RADIUS सर्वर के प्रमाणपत्र को सत्यापित कर सकें। ऐसा न करने पर नेटवर्क पर "Evil Twin" हमलों का खतरा रहता है, जिससे एक दुष्ट एक्सेस पॉइंट उपयोगकर्ता क्रेडेंशियल चुरा सकता है।
  2. RADIUS रिडंडेंसी लागू करें: RADIUS सर्वर नेटवर्क एक्सेस के लिए महत्वपूर्ण पथ में स्थित होता है। हमेशा प्राथमिक और माध्यमिक RADIUS सर्वर कॉन्फ़िगर करें। वितरित परिवेशों में, उच्च उपलब्धता के लिए क्लाउड-होस्टेड RADIUS समाधान पर विचार करें।
  3. गतिशील VLAN असाइनमेंट का लाभ उठाएं: उपयोगकर्ताओं को उनकी Active Directory समूह सदस्यता के आधार पर विशिष्ट VLAN में गतिशील रूप से असाइन करने के लिए RADIUS विशेषताओं (जैसे Tunnel-Pvt-Group-ID) का उपयोग करें। यह एकाधिक SSIDs को प्रसारित किए बिना नेटवर्क विभाजन को लागू करता है।
  4. RADIUS एकाउंटिंग सक्षम करें: केवल प्रमाणीकरण को ही कॉन्फ़िगर न करें। अनुपालन संरचनाओं द्वारा आवश्यक ऑडिट ट्रेल्स उत्पन्न करने के लिए RADIUS एकाउंटिंग (पोर्ट 1813) अनिवार्य है।
  5. नेटवर्क एज को सुरक्षित करें: हमारे गाइड Protecting Your Network with Robust DNS and Security में अपने बुनियादी ढांचे की सुरक्षा के बारे में अधिक पढ़ें।

समस्या निवारण और जोखिम न्यूनीकरण

सावधानीपूर्वक योजना बनाने के बाद भी, परिनियोजन में समस्याएं आ सकती हैं। सामान्य विफलता मोड में शामिल हैं:

  • शेयर्ड सीक्रेट बेमेल: RADIUS शेयर्ड सीक्रेट में एक साधारण टाइपो साइलेंट प्रमाणीकरण विफलताओं का कारण बनता है। ऑथेंटिकेटर और RADIUS सर्वर दोनों पर सीक्रेट को सत्यापित करें।
  • समय सिंक्रनाइज़ेशन त्रुटियां: प्रमाणपत्र सत्यापन के लिए सटीक टाइमस्टैम्प की आवश्यकता होती है। सुनिश्चित करें कि सभी APs, कंट्रोलर्स और RADIUS सर्वर एक विश्वसनीय NTP स्रोत के माध्यम से सिंक्रनाइज़ हैं।
  • RADIUS ट्रैफ़िक को ब्लॉक करने वाले फ़ायरवॉल: सुनिश्चित करें कि APs/कंट्रोलर्स और RADIUS सर्वर के बीच UDP पोर्ट 1812 (प्रमाणीकरण) और 1813 (अकाउंटिंग) खुले हैं। यदि CoA का उपयोग कर रहे हैं, तो सुनिश्चित करें कि UDP 3799 खुला है।
  • क्लाइंट का गलत कॉन्फ़िगरेशन: सबसे आम समस्या यह है कि क्लाइंट डिवाइस को उस CA पर भरोसा करने के लिए कॉन्फ़िगर नहीं किया जाता है जिसने RADIUS सर्वर का सर्टिफिकेट जारी किया है। कॉर्पोरेट डिवाइसों पर सही वायरलेस प्रोफ़ाइल भेजने के लिए MDM या ग्रुप पॉलिसी का उपयोग करें।

प्रमाणीकरण प्रोटोकॉल की व्यापक समझ के लिए, देखें How to Configure 802.1X WiFi Authentication: A Step-by-Step Guide

ROI और व्यावसायिक प्रभाव

सुरक्षा में ठोस सुधार के अलावा, WPA2-Enterprise पर स्थानांतरित होना महत्वपूर्ण व्यावसायिक मूल्य प्रदान करता है।

  • जोखिम में कमी: साझा किए गए पासवर्ड को समाप्त करने से हमले की संभावना और डेटा ब्रीच का जोखिम नाटकीय रूप से कम हो जाता है, जिसके गंभीर वित्तीय और प्रतिष्ठित परिणाम हो सकते हैं।
  • परिचालन दक्षता: अपने मौजूदा पहचान प्रदाता (जैसे कि Active Directory) के साथ WiFi प्रमाणीकरण को एकीकृत करने से कर्मचारियों की स्वचालित ऑनबोर्डिंग और ऑफबोर्डिंग सक्षम होती है। जब कोई कर्मचारी छोड़ता है, तो उसके AD खाते को अक्षम करने से उसकी WiFi पहुंच तुरंत रद्द हो जाती है।
  • अनुपालन संरेखण: PCI-DSS और ISO 27001 अनुपालन के लिए विस्तृत ऑडिट ट्रेल और प्रति-उपयोगकर्ता प्रमाणीकरण आवश्यक शर्तें हैं।
  • एकीकृत बुनियादी ढांचा: डायनेमिक VLAN असाइनमेंट का उपयोग करके, स्थान कॉर्पोरेट, बैक-ऑफ-हाउस और IoT ट्रैफ़िक को उसी भौतिक हार्डवेयर पर सुरक्षित रूप से चला सकते हैं जिसका उपयोग अतिथि पहुंच के लिए किया जाता है। अतिथि नेटवर्क को फिर एक समर्पित WiFi Analytics समाधान का उपयोग करके मुद्रित (monetised) और विश्लेषण किया जा सकता है, जिससे हार्डवेयर निवेश पर रिटर्न अधिकतम होता है। What Is a Leased Line? Dedicated Business Internet को समझकर सुनिश्चित करें कि आपके पास पर्याप्त बैंडविड्थ है।

मुख्य परिभाषाएं

WPA2-Enterprise

वायरलेस नेटवर्क के लिए एक सुरक्षा प्रोटोकॉल जो एक एकल साझा पासवर्ड के बजाय, एक बाहरी सर्वर के माध्यम से प्रति-उपयोगकर्ता प्रमाणीकरण प्रदान करने के लिए IEEE 802.1X का उपयोग करता है।

एंटरप्राइज़ परिवेशों में कॉर्पोरेट और परिचालन WiFi नेटवर्क को सुरक्षित करने के लिए अनिवार्य मानक।

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने की इच्छा रखने वाले उपकरणों को एक प्रमाणीकरण तंत्र प्रदान करता है।

वह अंतर्निहित ढांचा जो WPA2-Enterprise को काम करने योग्य बनाता है।

RADIUS

रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस; एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत प्रमाणीकरण (Authentication), प्राधिकरण (Authorisation), और लेखाकरण (Accounting) (AAA) प्रबंधन प्रदान करता है।

सर्वर घटक जो Active Directory जैसे डेटाबेस के विरुद्ध उपयोगकर्ता क्रेडेंशियल को सत्यापित करता है।

Supplicant

किसी डिवाइस (लैपटॉप, स्मार्टफोन) पर मौजूद सॉफ़्टवेयर क्लाइंट जो नेटवर्क एक्सेस का अनुरोध करने के लिए प्रमाणक (authenticator) के साथ संचार करता है।

एंडपॉइंट जिसे सही EAP सेटिंग्स और प्रमाणपत्र ट्रस्ट के साथ कॉन्फ़िगर किया जाना चाहिए।

Authenticator

नेटवर्क डिवाइस (एक्सेस पॉइंट या स्विच) जो सप्लीकेंट और प्रमाणीकरण सर्वर के बीच संदेश भेजकर प्रमाणीकरण प्रक्रिया को सुगम बनाता है।

IT टीम द्वारा प्रबंधित Cisco, Aruba, या Ubiquiti हार्डवेयर।

EAP (Extensible Authentication Protocol)

वायरलेस नेटवर्क और पॉइंट-टू-पॉइंट कनेक्शन में अक्सर उपयोग किया जाने वाला एक प्रमाणीकरण ढांचा, जो कई प्रमाणीकरण विधियों का समर्थन करता है।

क्रेडेंशियल एक्सचेंज को एनकैप्सुलेट करने के लिए उपयोग किया जाने वाला प्रोटोकॉल।

PEAP-MSCHAPv2

एक EAP विधि जो सर्वर के प्रमाणपत्र द्वारा स्थापित एक सुरक्षित TLS टनल के भीतर MSCHAPv2 पासवर्ड एक्सचेंज को एनकैप्सुलेट करती है।

सबसे आम परिनियोजन विधि क्योंकि यह मानक AD पासवर्ड का उपयोग करने की सुविधा के साथ सुरक्षा को संतुलित करती है।

Dynamic VLAN Assignment

वह प्रक्रिया जिसमें एक RADIUS सर्वर एक्सेस पॉइंट को उपयोगकर्ता की पहचान या समूह सदस्यता के आधार पर एक विशिष्ट VLAN पर रखने का निर्देश देता है।

नेटवर्क सेगमेंटेशन के लिए महत्वपूर्ण है, जिससे विभिन्न प्रकार के उपयोगकर्ता सुरक्षित रूप से समान भौतिक APs को साझा कर सकें।

हल किए गए उदाहरण

एक 200 कमरों वाले होटल को अपने बैक-ऑफ-हाउस स्टाफ (हाउसकीपिंग, प्रबंधन) के लिए मौजूदा Aruba एक्सेस पॉइंट्स का उपयोग करके सुरक्षित WiFi स्थापित करने की आवश्यकता है, जबकि स्टाफ ट्रैफ़िक को अतिथि नेटवर्क से पूरी तरह से अलग रखना है।

IT टीम WPA2-Enterprise का उपयोग करके एक एकल 'Hotel_Staff' SSID कॉन्फ़िगर करती है। वे Aruba ClearPass को होटल के Active Directory के साथ एकीकृत करते हैं। ClearPass में, वे प्रवर्तन नीतियां कॉन्फ़िगर करते हैं: यदि कोई उपयोगकर्ता 'Management' AD समूह में है, तो ClearPass एक RADIUS विशेषता लौटाता है जो उन्हें VLAN 10 (मैनेजमेंट नेटवर्क) में असाइन करता है। यदि उपयोगकर्ता 'Housekeeping' समूह में है, तो उन्हें VLAN 20 (ऑपरेशन्स नेटवर्क) में असाइन किया जाता है। APs को इन डायनेमिक VLAN असाइनमेंट को लागू करने के लिए कॉन्फ़िगर किया गया है।

परीक्षक की टिप्पणी: यह दृष्टिकोण डायनेमिक VLAN असाइनमेंट की शक्ति को प्रदर्शित करता है। यह नेटवर्क के कड़े अलगाव को सुनिश्चित करते हुए और मौजूदा निर्देशिका पहचानों का लाभ उठाते हुए, कई SSIDs ('Hotel_Management', 'Hotel_Housekeeping') को प्रसारित करने के RF हस्तक्षेप और प्रबंधन ओवरहेड से बचाता है।

50 स्थानों वाली एक राष्ट्रीय रिटेल श्रृंखला Cisco Meraki का उपयोग करती है। उन्हें PCI DSS अनुपालन को पूरा करने के लिए अपने पुराने WPA2-Personal सेटअप को बदलकर, WiFi पर अपने पॉइंट-ऑफ-सेल (POS) टर्मिनलों को सुरक्षित करने की आवश्यकता है।

नेटवर्क आर्किटेक्ट प्रत्येक स्टोर पर स्थानीय सर्वर स्थापित करने से बचने के लिए क्लाउड-होस्ट की गई RADIUS सेवा तैनात करता है। Meraki डैशबोर्ड में, वे WPA2-Enterprise के लिए 'Retail_POS' SSID कॉन्फ़ि加र करते हैं और इसे क्लाउड RADIUS IPs पर इंगित करते हैं। वे अपने MDM प्लेटफ़ॉर्म के माध्यम से प्रत्येक POS टर्मिनल के लिए अद्वितीय क्लाइंट प्रमाणपत्र उत्पन्न करते हैं और RADIUS सर्वर को EAP-TLS की आवश्यकता के लिए कॉन्फ़िगर करते हैं। Meraki APs को क्लाउड सेवा में RADIUS Authentication और Accounting दोनों डेटा भेजने के लिए कॉन्फ़िगर किया गया है।

परीक्षक की टिप्पणी: यह परिदृश्य उच्च-सुरक्षा परिवेशों के लिए EAP-TLS में संक्रमण को रेखांकित करता है। पासवर्ड के बजाय प्रमाणपत्रों का उपयोग करके, POS टर्मिनल चुपचाप और सुरक्षित रूप से प्रमाणित होते हैं। RADIUS Accounting को शामिल करना यह सुनिश्चित करता है कि श्रृंखला एक्सेस ऑडिटिंग के लिए PCI DSS आवश्यकताओं को पूरा करती है।

अभ्यास प्रश्न

Q1. आपका संगठन Ubiquiti UniFi एक्सेस पॉइंट्स का उपयोग करके WPA2-Enterprise तैनात कर रहा है। परीक्षण के दौरान, क्लाइंट सफलतापूर्वक कनेक्ट हो सकते हैं, लेकिन अनुपालन टीम ने ध्यान दिया कि केंद्रीय लॉगिंग सिस्टम में उपयोगकर्ता सत्र की अवधि या डेटा उपयोग का कोई लॉग नहीं है। सबसे संभावित कॉन्फ़िगरेशन चूक क्या है?

संकेत: ऑथेंटिकेशन एक्सेस प्रदान करता है, लेकिन एक अन्य प्रक्रिया उपयोग को ट्रैक करती है।

मॉडल उत्तर देखें

RADIUS Accounting पोर्ट (1813) कॉन्फ़िगर नहीं किया गया है या फ़ायरवॉल द्वारा ब्लॉक किया जा रहा है। हालांकि ऑथेंटिकेशन (पोर्ट 1812) काम कर रहा है, सत्र ऑडिट ट्रेल जेनरेट करने के लिए Accounting को स्पष्ट रूप से सक्षम किया जाना चाहिए।

Q2. एक उपयोगकर्ता रिपोर्ट करता है कि वे कॉर्पोरेट WPA2-Enterprise नेटवर्क से कनेक्ट नहीं हो पा रहे हैं। आप Cisco WLC लॉग्स की जाँच करते हैं और देखते हैं कि AP EAP-Request पास कर रहा है, लेकिन RADIUS सर्वर लॉग्स 'Unknown CA' के कारण 'Access-Reject' दिखाते हैं। क्या ठीक करने की आवश्यकता है?

संकेत: TLS टनल सेटअप के दौरान स्थापित विश्वास संबंध के बारे में सोचें।

मॉडल उत्तर देखें

क्लाइंट डिवाइस का सप्लीकेंट उस सर्टिफिकेट अथॉरिटी (CA) पर भरोसा करने के लिए कॉन्फ़िगर नहीं है जिसने RADIUS सर्वर का प्रमाणपत्र जारी किया है। संभावित Evil Twin हमले को रोकने के लिए क्लाइंट कनेक्शन को समाप्त कर रहा है। CA प्रमाणपत्र को क्लाइंट डिवाइस पर पुश किया जाना चाहिए।

Q3. आप एक स्टेडियम के लिए एक नेटवर्क डिजाइन कर रहे हैं। आपको कॉर्पोरेट कर्मचारियों, टिकटिंग टर्मिनलों और गेस्ट WiFi का समर्थन करने की आवश्यकता है। सुरक्षा बनाए रखते हुए RF व्यवधान को कम करने के लिए आपको SSIDs को कैसे डिजाइन करना चाहिए?

संकेत: प्रत्येक उपयोग के मामले के लिए SSID प्रसारित करने से बचें।

मॉडल उत्तर देखें

अधिकतम दो SSIDs तैनात करें। Captive Portal (जैसे Purple) का उपयोग करने वाले मेहमानों के लिए एक SSID। WPA2-Enterprise का उपयोग करके सभी कॉर्पोरेट संचालन के लिए एक दूसरा SSID। उनके ऑथेंटिकेशन क्रेडेंशियल्स के आधार पर कॉर्पोरेट कर्मचारियों को एक VLAN पर और टिकटिंग टर्मिनलों को दूसरे VLAN पर सेगमेंट करने के लिए RADIUS सर्वर के माध्यम से Dynamic VLAN Assignment का उपयोग करें।

इस श्रृंखला में आगे पढ़ें

अतिथि और स्टाफ WiFi नेटवर्क के लिए RADIUS ऑथेंटिकेशन को कॉन्फ़िगर करना

यह तकनीकी संदर्भ गाइड एंटरप्राइज़ अतिथि और स्टाफ WiFi नेटवर्क के लिए RADIUS ऑथेंटिकेशन के आर्किटेक्चर, कॉन्फ़िगरेशन और डिप्लॉयमेंट की रूपरेखा तैयार करती है। यह नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को सुरक्षित, स्केलेबल वायरलेस एक्सेस कंट्रोल सिस्टम बनाने के लिए आवश्यक सटीक प्रोटोकॉल, सुरक्षा मानक और ट्रबलशूटिंग कार्यप्रणाली प्रदान करती है।

गाइड पढ़ें →

Passpoint और OpenRoaming: संपूर्ण गाइड

यह तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi नेटवर्क के भीतर Passpoint (हॉटस्पॉट 2.0) और WBA OpenRoaming फ्रेमवर्क का एक व्यापक विश्लेषण प्रदान करती है। यह सुरक्षित, निर्बाध अतिथि कनेक्टिविटी स्थापित करने के लिए आवश्यक बुनियादी ऑथेंटिकेशन प्रोटोकॉल, आर्किटेक्चरल घटकों और परिनियोजन रणनीतियों का विवरण देती है। नेटवर्क आर्किटेक्ट और IT लीडर्स सीखेंगे कि कैसे इन मानकों को डिज़ाइन, लागू और ट्रबलशूट किया जाए ताकि एंटरप्राइज़-ग्रेड सुरक्षा बनाए रखते हुए मैनुअल लॉगिन बाधाओं को समाप्त किया जा सके।

गाइड पढ़ें →

उच्च शिक्षा में सुरक्षित BYOD और नेटवर्क नामांकन के लिए SCEP को कैसे लागू करें

यह तकनीकी मार्गदर्शिका नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को उच्च शिक्षा परिसर नेटवर्क को सुरक्षित करने के लिए SCEP-आधारित प्रमाणपत्र नामांकन को तैनात करने के लिए एक वेंडर-न्यूट्रल ब्लूप्रिंट प्रदान करती है। यह विवरण देती है कि पासवर्ड-आधारित PEAP से 802.1X EAP-TLS पर कैसे माइग्रेट करें, BYOD ऑनबोर्डिंग को स्वचालित करें, और मजबूत VLAN सेगमेंटेशन लागू करें।

गाइड पढ़ें →