मुख्य सामग्री पर जाएं
हिन्दी

सामान्य एक्सेस पॉइंट प्लेटफॉर्म (Cisco, Aruba, Ubiquiti) पर WPA2-Enterprise को कैसे कॉन्फ़िगर करें

यह तकनीकी संदर्भ मार्गदर्शिका वरिष्ठ IT पेशेवरों और नेटवर्क आर्किटेक्ट्स को Cisco, Aruba और Ubiquiti प्लेटफ़ॉर्म पर WPA2-Enterprise डिप्लॉय करने के लिए एक निश्चित, वेंडर-विशिष्ट वॉकथ्रू प्रदान करती है। यह एंटरप्राइज़ और वेन्यू वातावरण में आर्किटेक्चर, RADIUS एकीकरण, अनुपालन आवश्यकताओं और वास्तविक दुनिया के डिप्लॉयमेंट परिदृश्यों का विवरण देती है।

📖 6 मिनट का पाठ📝 1,309 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
सामान्य एक्सेस पॉइंट प्लेटफॉर्म — Cisco, Aruba, और Ubiquiti पर WPA2-Enterprise को कैसे कॉन्फ़िगर करें एक Purple WiFi इंटेलिजेंस ब्रीफिंग [INTRO — लगभग 1 मिनट] Purple WiFi इंटेलिजेंस सीरीज़ में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम अपने एंटरप्राइज़ क्लाइंट्स के सबसे अधिक अनुरोधित विषयों में से एक पर सीधे बात कर रहे हैं: तीन सबसे व्यापक रूप से डिप्लॉय किए गए एक्सेस पॉइंट प्लेटफ़ॉर्म — Cisco, Aruba, और Ubiquiti पर WPA2-Enterprise को कैसे कॉन्फ़िगर करें। चाहे आप 500 कमरों वाले होटल समूह के IT निदेशक हों, राष्ट्रीय रिटेल चेन के नेटवर्क आर्किटेक्ट हों, या किसी सम्मेलन केंद्र ऑपरेटर के CTO हों, यह ब्रीफिंग आपके लिए है। हम केवल सिद्धांत के लिए सिद्धांत को कवर नहीं करने जा रहे हैं। हम इस बारे में बात करने जा रहे हैं कि आपको डिप्लॉयमेंट निर्णय लेने, इसे सही ढंग से निष्पादित करने और उन नुकसानों से बचने के लिए क्या जानने की आवश्यकता है जो अनुभवी टीमों को भी परेशान करते हैं। आइए शुरू करते हैं। [TECHNICAL DEEP-DIVE — लगभग 5 मिनट] सबसे पहले, WPA2-Enterprise वास्तव में क्या है, इस पर एक त्वरित नज़र डालते हैं, क्योंकि WPA2-Personal और WPA2-Enterprise के बीच बाज़ार में अभी भी आश्चर्यजनक रूप से भ्रम है — और यह अंतर अनुपालन और जोखिम की स्थिति के लिए बहुत मायने रखता है। WPA2-Personal — वह संस्करण जिससे अधिकांश लोग परिचित हैं — एक एकल प्री-शेयर्ड की का उपयोग करता है। नेटवर्क पर हर कोई एक ही पासवर्ड का उपयोग करता है। यह होम नेटवर्क के लिए ठीक है। यह स्पष्ट रूप से व्यावसायिक वातावरण के लिए स्वीकार्य नहीं है जहाँ आपको प्रति-उपयोगकर्ता ऑथेंटिकेशन, ऑडिट ट्रेल्स और एक्सेस को तुरंत रद्द करने की क्षमता की आवश्यकता होती है। WPA2-Enterprise, जिसे IEEE 802.1X के तहत परिभाषित किया गया है, उस साझा कुंजी को व्यक्तिगत ऑथेंटिकेशन एक्सचेंज से बदल देता है। प्रत्येक उपयोगकर्ता या डिवाइस अपने स्वयं के क्रेडेंशियल्स प्रस्तुत करता है — चाहे वह उपयोगकर्ता नाम और पासवर्ड हो, डिजिटल प्रमाणपत्र हो, या टोकन हो — और नेटवर्क एक्सेस दिए जाने से पहले उन क्रेडेंशियल्स को RADIUS सर्वर द्वारा मान्य किया जाता है। एक्सेस पॉइंट स्वयं कभी भी क्रेडेंशियल्स नहीं देखता है। यह विशुद्ध रूप से एक ऑथेंटिकेटर के रूप में कार्य करता है, जो क्लाइंट और RADIUS सर्वर के बीच EAP — एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल — एक्सचेंज को पास करता है। यह मौलिक रूप से अधिक सुरक्षित आर्किटेक्चर है, और यह भुगतान कार्ड डेटा को संभालने वाले किसी भी वातावरण में PCI DSS अनुपालन के लिए आधारभूत आवश्यकता है, साथ ही वायरलेस नेटवर्क पर व्यक्तिगत डेटा संसाधित करने वाले संगठनों के लिए GDPR के तहत इसकी दृढ़ता से अनुशंसा की जाती है। अब, आइए तीन प्लेटफ़ॉर्म के बारे में बात करते हैं। Cisco से शुरू करते हैं। Cisco का एंटरप्राइज़ WiFi पोर्टफोलियो — मुख्य रूप से Catalyst और Meraki लाइनें — बड़े पैमाने पर डिप्लॉयमेंट के लिए प्रमुख विकल्प है। Cisco DNA Center केंद्रीकृत नीति प्रबंधन प्रदान करता है, और Meraki डैशबोर्ड वितरित एस्टेट्स के लिए क्लाउड-प्रबंधित सरलता प्रदान करता है। Cisco Catalyst एक्सेस पॉइंट पर WPA2-Enterprise को कॉन्फ़िगर करने के लिए, आप WLC — वायरलेस LAN कंट्रोलर — या DNA Center के माध्यम से काम करेंगे। मुख्य चरण हैं: Security के अंतर्गत अपने RADIUS सर्वर को परिभाषित करें, फिर AAA, फिर RADIUS Authentication Servers; एक नई WLAN प्रोफ़ाइल बनाएँ; सुरक्षा नीति को WPA2 पर सेट करें जिसमें 802.1X कुंजी प्रबंधन विधि के रूप में हो; और RADIUS सर्वर को उस WLAN से बाइंड करें। Cisco पर एक महत्वपूर्ण बिंदु: सुनिश्चित करें कि आप ऑथेंटिकेशन के साथ-साथ RADIUS अकाउंटिंग भी कॉन्फ़िगर कर रहे हैं। अकाउंटिंग आपको प्रति-सत्र ऑडिट ट्रेल देता है जिसकी अनुपालन फ्रेमवर्क को आवश्यकता होती है। Meraki पर, प्रक्रिया और भी सरल है — Wireless पर नेविगेट करें, फिर SSIDs, अपना लक्ष्य SSID चुनें, सुरक्षा को 'WPA2-Enterprise with my RADIUS server' पर सेट करें, और अपना RADIUS सर्वर IP, पोर्ट — आमतौर पर ऑथेंटिकेशन के लिए 1812 और अकाउंटिंग के लिए 1813 — और शेयर्ड सीक्रेट दर्ज करें। Meraki सीधे डैशबोर्ड से RADIUS परीक्षण का भी समर्थन करता है, जो कमीशनिंग के दौरान अमूल्य है। Aruba की ओर बढ़ते हैं। Aruba Networks, जो अब HPE का हिस्सा है, हॉस्पिटैलिटी और उच्च शिक्षा में प्रमुख विकल्प है। Aruba Central क्लाउड प्रबंधन प्रदान करता है, और ArubaOS अंतर्निहित प्लेटफ़ॉर्म है। Aruba पर, WPA2-Enterprise कॉन्फ़िगरेशन SSID प्रोफ़ाइल के भीतर रहता है। आप एक AAA प्रोफ़ाइल परिभाषित करेंगे जो आपके RADIUS सर्वर को संदर्भित करती है, फिर उस AAA प्रोफ़ाइल को अपनी वर्चुअल AP प्रोफ़ाइल से संलग्न करें। Aruba का ClearPass Policy Manager यहाँ एक विशिष्ट उल्लेख के योग्य है — यह Aruba का अपना RADIUS और नीति इंजन है, और यह डिवाइस प्रोफाइलिंग, भूमिका-आधारित एक्सेस कंट्रोल और अतिथि ऑनबोर्डिंग के आसपास महत्वपूर्ण क्षमता जोड़ता है। यदि आप एक मिश्रित वातावरण चला रहे हैं जहाँ कर्मचारी, ठेकेदार और अतिथि सभी एक ही इंफ्रास्ट्रक्चर से जुड़ रहे हैं, तो ClearPass आपको उन्हें उचित रूप से सेगमेंट करने के लिए नीति ग्रैन्युलैरिटी देता है। कर्मचारियों और बैक-ऑफ़-हाउस नेटवर्क पर WPA2-Enterprise डिप्लॉय करने वाले और Purple जैसे प्लेटफ़ॉर्म के माध्यम से एक अलग अतिथि WiFi समाधान चलाने वाले होटल के लिए, कर्मचारी ऑथेंटिकेशन के लिए ClearPass के साथ संयुक्त Aruba का SSID सेगमेंटेशन एक बहुत ही साफ आर्किटेक्चर है। अब Ubiquiti। Ubiquiti के UniFi प्लेटफ़ॉर्म ने SMB और मिड-मार्केट स्पेस में — और तेजी से बुटीक हॉस्पिटैलिटी और रिटेल में — अपने प्रतिस्पर्धी मूल्य बिंदु और वास्तव में सक्षम प्रबंधन इंटरफ़ेस के कारण महत्वपूर्ण कर्षण प्राप्त किया है। UniFi Network Controller वह जगह है जहाँ आप भारी काम करेंगे। UniFi पर WPA2-Enterprise को कॉन्फ़िगर करने के लिए, Settings पर नेविगेट करें, फिर WiFi, अपना SSID बनाएँ या संपादित करें, सुरक्षा को WPA2 Enterprise पर सेट करें, और अपनी RADIUS प्रोफ़ाइल कॉन्फ़िगर करें — फिर से, IP पता, ऑथेंटिकेशन पोर्ट 1812, अकाउंटिंग पोर्ट 1813, और शेयर्ड सीक्रेट। Ubiquiti के साथ एक महत्वपूर्ण विचार: यह उसी तरह से अंतर्निहित RADIUS सर्वर के साथ शिप नहीं होता है जैसे कुछ एंटरप्राइज़ प्लेटफ़ॉर्म करते हैं। आपको एक बाहरी RADIUS सर्वर की आवश्यकता होगी — चाहे वह Windows Server NPS हो, FreeRADIUS हो, या क्लाउड RADIUS सेवा हो। यह अपने आप में कोई सीमा नहीं है, लेकिन यह एक निर्भरता है जिसके लिए योजना बनाने की आवश्यकता है। छोटे डिप्लॉयमेंट के लिए, UniFi Network Application में एक बुनियादी RADIUS सर्वर शामिल है, लेकिन उत्पादन वातावरण के लिए मैं हमेशा एक समर्पित RADIUS इंस्टेंस की अनुशंसा करूँगा। तीनों प्लेटफ़ॉर्म पर, EAP विधि का चयन ध्यान देने योग्य है। PEAP के साथ MSCHAPv2 सबसे व्यापक रूप से डिप्लॉय की जाने वाली विधि है क्योंकि यह क्लाइंट-साइड प्रमाणपत्रों की आवश्यकता के बिना Active Directory क्रेडेंशियल्स के साथ काम करती है। EAP-TLS अधिक सुरक्षित है — यह पारस्परिक प्रमाणपत्र ऑथेंटिकेशन का उपयोग करता है — लेकिन इसके लिए PKI इंफ्रास्ट्रक्चर और प्रत्येक क्लाइंट डिवाइस पर प्रमाणपत्र डिप्लॉयमेंट की आवश्यकता होती है, जो परिचालन ओवरहेड जोड़ता है। अधिकांश एंटरप्राइज़ डिप्लॉयमेंट के लिए, ठीक से कॉन्फ़िगर किए गए RADIUS सर्वर और क्लाइंट साइड पर प्रमाणपत्र सत्यापन के साथ PEAP-MSCHAPv2 सुरक्षा और परिचालन प्रबंधनीयता का सही संतुलन है。 [IMPLEMENTATION RECOMMENDATIONS AND PITFALLS — लगभग 2 मिनट] अब मैं आपको WPA2-Enterprise डिप्लॉयमेंट में देखे जाने वाले तीन सबसे सामान्य विफलता मोड और उनसे बचने के तरीके बताता हूँ। नंबर एक: RADIUS सर्वर उपलब्धता। आपका RADIUS सर्वर अब हर वायरलेस ऑथेंटिकेशन के लिए महत्वपूर्ण पथ में है। यदि यह डाउन हो जाता है, तो कोई भी कनेक्ट नहीं हो सकता है। इसका मतलब है कि आपको RADIUS रिडंडेंसी की आवश्यकता है — कम से कम प्रत्येक एक्सेस पॉइंट पर कॉन्फ़िगर किया गया एक प्राथमिक और द्वितीयक RADIUS सर्वर। अधिकांश प्लेटफ़ॉर्म मूल रूप से इसका समर्थन करते हैं। Cisco पर, आप फ़ेलओवर के साथ RADIUS सर्वर समूह कॉन्फ़िगर कर सकते हैं। Aruba पर, AAA प्रोफ़ाइल कॉन्फ़िगर करने योग्य पुनः प्रयास और टाइमआउट मानों के साथ कई RADIUS सर्वर का समर्थन करती है। Ubiquiti पर, आप RADIUS प्रोफ़ाइल में एक द्वितीयक RADIUS सर्वर निर्दिष्ट कर सकते हैं। इस चरण को न छोड़ें। नंबर दो: प्रमाणपत्र सत्यापन। मेरे द्वारा समीक्षा किए जाने वाले डिप्लॉयमेंट का एक आश्चर्यजनक रूप से उच्च अनुपात क्लाइंट डिवाइस को किसी भी RADIUS सर्वर प्रमाणपत्र को स्वीकार करने के लिए कॉन्फ़िगर किया गया है। यह सुरक्षा मॉडल को पूरी तरह से कमजोर करता है — यह आपको Evil Twin हमलों के लिए खोलता है जहाँ एक दुष्ट एक्सेस पॉइंट आपके नेटवर्क का प्रतिरूपण करता है और क्रेडेंशियल्स चुराता है। एक विश्वसनीय CA से अपना RADIUS सर्वर प्रमाणपत्र कॉन्फ़िगर करें, और उस प्रमाणपत्र को मान्य करने के लिए अपने क्लाइंट सप्लिकेंट्स को कॉन्फ़िगर करें। Windows पर, यह Group Policy के माध्यम से किया जाता है। iOS और Android पर, इसे MDM प्रोफ़ाइल के माध्यम से संभाला जाता है। संवेदनशील डेटा को संभालने वाले किसी भी वातावरण के लिए यह गैर-परक्राम्य है। नंबर तीन: VLAN असाइनमेंट। WPA2-Enterprise डायनामिक VLAN असाइनमेंट को सक्षम करता है — RADIUS सर्वर Access-Accept संदेश में एक VLAN एट्रिब्यूट लौटा सकता है, जो प्रत्येक प्रमाणित उपयोगकर्ता को उनकी पहचान या भूमिका के आधार पर उपयुक्त नेटवर्क सेगमेंट में रखता है। यह 802.1X आर्किटेक्चर की सबसे शक्तिशाली विशेषताओं में से एक है, और इसे अक्सर अनकॉन्फ़िगर छोड़ दिया जाता है। यदि आप एक ही भौतिक इंफ्रास्ट्रक्चर पर कर्मचारियों, प्रबंधन और IoT उपकरणों के साथ एक वेन्यू चला रहे हैं, तो डायनामिक VLAN असाइनमेंट वह तरीका है जिससे आप कई SSIDs को प्रबंधित किए बिना नेटवर्क सेगमेंटेशन लागू करते हैं। Purple एकीकरण पक्ष पर: यदि आप अपने कर्मचारियों और परिचालन नेटवर्क के लिए WPA2-Enterprise डिप्लॉय कर रहे हैं, और विज़िटर कनेक्टिविटी के लिए Purple का अतिथि WiFi प्लेटफ़ॉर्म चला रहे हैं, तो ये दोनों सिस्टम सफाई से सह-अस्तित्व में हैं। Purple अतिथि ऑथेंटिकेशन, डेटा कैप्चर और एनालिटिक्स लेयर को संभालता है — जिसमें WiFi एनालिटिक्स और फुटफॉल इंटेलिजेंस शामिल है जिसका उपयोग वेन्यू ऑपरेटर परिचालन निर्णयों के लिए करते हैं — जबकि आपका WPA2-Enterprise इंफ्रास्ट्रक्चर कॉर्पोरेट नेटवर्क को सुरक्षित करता है। कुंजी एक्सेस पॉइंट स्तर पर साफ SSID और VLAN पृथक्करण है, जिसका तीनों प्लेटफ़ॉर्म समर्थन करते हैं。 [RAPID-FIRE Q&A — लगभग 1 मिनट] आइए कुछ ऐसे सवालों पर नज़र डालते हैं जो नियमित रूप से सामने आते हैं। क्या मैं एक ही एक्सेस पॉइंट पर WPA2-Enterprise और अतिथि नेटवर्क चला सकता हूँ? हाँ, बिल्कुल। तीनों प्लेटफ़ॉर्म प्रति रेडियो कई SSIDs का समर्थन करते हैं, प्रत्येक स्वतंत्र सुरक्षा नीतियों के साथ। आपका कॉर्पोरेट SSID WPA2-Enterprise चलाता है; आपका अतिथि SSID उचित अलगाव के साथ Purple के Captive Portal के माध्यम से चल सकता है। क्या मुझे WPA2-Enterprise डिप्लॉय करने के लिए अपने मौजूदा एक्सेस पॉइंट को बदलने की आवश्यकता है? लगभग निश्चित रूप से नहीं। WPA2-Enterprise को एक दशक से अधिक समय से एंटरप्राइज़-ग्रेड एक्सेस पॉइंट पर समर्थित किया गया है। यदि आपका हार्डवेयर आठ साल से कम पुराना है और वर्तमान फर्मवेयर चला रहा है, तो यह 802.1X का समर्थन करेगा। WPA2-Enterprise और WPA3-Enterprise के बीच क्या अंतर है? WPA3-Enterprise Suite B क्रिप्टोग्राफी का उपयोग करके 192-बिट सुरक्षा मोड जोड़ता है, जो सरकारी और रक्षा वातावरण के लिए प्रासंगिक है। अधिकांश वाणिज्यिक डिप्लॉयमेंट के लिए, मजबूत EAP विधियों के साथ WPA2-Enterprise मानक बना हुआ है। नए डिप्लॉयमेंट के लिए WPA3 ट्रांज़िशन की योजना बनाना उचित है, लेकिन यह अधिकांश संगठनों के लिए तत्काल माइग्रेशन नहीं है। क्या क्लाउड RADIUS एक व्यवहार्य विकल्प है? हाँ, और तेजी से ऐसा हो रहा है। क्लाउड में Cisco ISE, एक सेवा के रूप में Aruba ClearPass, या JumpCloud और Foxpass जैसे तृतीय-पक्ष विकल्प प्रबंधित सेवा के रूप में RADIUS प्रदान करते हैं, जो इंफ्रास्ट्रक्चर ओवरहेड को हटा देता है। वितरित एस्टेट्स के लिए — 200 स्थानों वाली रिटेल चेन के बारे में सोचें — क्लाउड RADIUS परिचालन जटिलता को काफी कम कर सकता है。 [SUMMARY AND NEXT STEPS — लगभग 1 मिनट] संक्षेप में: WPA2-Enterprise किसी भी एंटरप्राइज़ वायरलेस डिप्लॉयमेंट के लिए गैर-परक्राम्य आधार रेखा है। Cisco, Aruba, और Ubiquiti में कॉन्फ़िगरेशन प्रक्रिया एक ही मूलभूत पैटर्न का पालन करती है — अपने RADIUS सर्वर को परिभाषित करें, 802.1X कुंजी प्रबंधन के साथ अपना SSID बनाएँ, अपनी EAP विधि चुनें, और लाइव होने से पहले परीक्षण करें। अंतर प्रबंधन इंटरफेस और प्रत्येक प्लेटफ़ॉर्म के आसपास इकोसिस्टम टूल में हैं। तीन चीजें जिन्हें सही करना है: RADIUS रिडंडेंसी, क्लाइंट्स पर प्रमाणपत्र सत्यापन, और डायनामिक VLAN असाइनमेंट। इन तीनों को सही करें और आपके पास एक ठोस, अनुपालन, ऑडिट योग्य वायरलेस सुरक्षा स्थिति होगी। आपके अगले चरणों के लिए: यदि आप प्लेटफ़ॉर्म का मूल्यांकन कर रहे हैं, तो साथ वाली मार्गदर्शिका में वेंडर तुलना फ्रेमवर्क का उपयोग करें। यदि आप डिप्लॉय करने के लिए तैयार हैं, तो प्रत्येक प्लेटफ़ॉर्म के लिए चरण-दर-चरण कॉन्फ़िगरेशन वॉकथ्रू कार्यान्वयन अनुभाग में हैं। और यदि आप सोच रहे हैं कि अतिथि WiFi आपके एंटरप्राइज़ नेटवर्क के साथ कैसे फिट बैठता है, तो Purple प्लेटफ़ॉर्म दस्तावेज़ एकीकरण आर्किटेक्चर को विस्तार से कवर करता है。 सुनने के लिए धन्यवाद। मैं आपसे अगली ब्रीफिंग में मिलूँगा।

कार्यकारी सारांश

WPA2-Enterprise को डिप्लॉय करना अब कोई वैकल्पिक सुरक्षा अपग्रेड नहीं है; यह किसी भी एंटरप्राइज़ वायरलेस नेटवर्क के लिए मूलभूत आधार है। हॉस्पिटैलिटी, रिटेल और सार्वजनिक क्षेत्र के वातावरण में काम करने वाले IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए, प्री-शेयर्ड कीज़ से 802.1X ऑथेंटिकेशन की ओर बदलाव PCI DSS और GDPR सहित कठोर अनुपालन जनादेशों द्वारा संचालित है। यह तकनीकी संदर्भ मार्गदर्शिका तीन प्रमुख एक्सेस पॉइंट वेंडर्स: Cisco, Aruba और Ubiquiti के लिए कार्रवाई योग्य, प्लेटफ़ॉर्म-विशिष्ट कॉन्फ़िगरेशन चरण प्रदान करती है。

WPA2-Enterprise में ट्रांज़िशन करके, संगठन साझा क्रेडेंशियल्स से जुड़े जोखिमों को समाप्त करते हैं, ग्रैन्युलर प्रति-सत्र ऑडिट ट्रेल्स प्राप्त करते हैं, और डायनामिक नेटवर्क सेगमेंटेशन को सक्षम करते हैं। जब इसे सही ढंग से लागू किया जाता है, तो यह आर्किटेक्चर न केवल कॉर्पोरेट परिधि को सुरक्षित करता है बल्कि एक व्यापक Guest WiFi प्लेटफ़ॉर्म द्वारा प्रबंधित विज़िटर नेटवर्क के साथ सहजता से एकीकृत भी होता है। निम्नलिखित अनुभाग एक सफल रोलआउट के लिए आवश्यक तकनीकी आर्किटेक्चर, डिप्लॉयमेंट चरणों और जोखिम न्यूनीकरण रणनीतियों का विवरण देते हैं।

header_image.png

तकनीकी डीप-डाइव

WPA2-Enterprise पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल प्रदान करने के लिए IEEE 802.1X मानक पर निर्भर करता है। WPA2-Personal के विपरीत, जो एक स्थिर प्री-शेयर्ड की (PSK) का उपयोग करता है, WPA2-Enterprise को नेटवर्क एक्सेस दिए जाने से पहले प्रत्येक सप्लिकेंट (क्लाइंट डिवाइस) को बाहरी ऑथेंटिकेशन सर्वर (आमतौर पर एक RADIUS सर्वर) के विरुद्ध व्यक्तिगत रूप से प्रमाणित करने की आवश्यकता होती है।

आर्किटेक्चर में तीन प्राथमिक घटक होते हैं:

  1. सप्लिकेंट (The Supplicant): नेटवर्क से कनेक्ट होने का प्रयास करने वाला क्लाइंट डिवाइस।
  2. ऑथेंटिकेटर (The Authenticator): एंटरप्राइज़ एक्सेस पॉइंट या वायरलेस LAN कंट्रोलर (जैसे, Cisco WLC, Aruba Mobility Controller) जो ऑथेंटिकेशन प्रक्रिया को सुविधाजनक बनाता है।
  3. ऑथेंटिकेशन सर्वर (The Authentication Server): बैकएंड RADIUS सर्वर (जैसे, Cisco ISE, Aruba ClearPass, Windows NPS) जो Active Directory या LDAP जैसी डायरेक्टरी सेवा के विरुद्ध क्रेडेंशियल्स को मान्य करता है।

EAP एक्सचेंज प्रक्रिया

ऑथेंटिकेशन प्रक्रिया LAN (EAPOL) पर एनकैप्सुलेटेड एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) का उपयोग करती है। प्रारंभिक चरण के दौरान ऑथेंटिकेटर विशुद्ध रूप से पास-थ्रू प्रॉक्सी के रूप में कार्य करता है। एक बार जब RADIUS सर्वर क्रेडेंशियल्स को मान्य कर देता है, तो यह ऑथेंटिकेटर को एक Access-Accept संदेश लौटाता है, जो फिर वायरलेस सत्र को सुरक्षित करने के लिए आवश्यक एन्क्रिप्शन कुंजियाँ प्राप्त करता है।

EAP विधि का चुनाव महत्वपूर्ण है। PEAP-MSCHAPv2 सबसे व्यापक रूप से डिप्लॉय की जाने वाली विधि है क्योंकि यह सर्वर के प्रमाणपत्र द्वारा स्थापित TLS टनल के भीतर एक्सचेंज को सुरक्षित करते हुए लिगेसी Active Directory पासवर्ड ऑथेंटिकेशन का समर्थन करती है। हालाँकि, अधिकतम सुरक्षा के लिए, EAP-TLS की अनुशंसा की जाती है। EAP-TLS के लिए पारस्परिक प्रमाणपत्र ऑथेंटिकेशन की आवश्यकता होती है—सर्वर और क्लाइंट दोनों को वैध प्रमाणपत्र प्रस्तुत करने होंगे—जो क्रेडेंशियल चोरी को कम करता है लेकिन प्रमाणपत्र वितरण के लिए एक मजबूत पब्लिक की इंफ्रास्ट्रक्चर (PKI) या मोबाइल डिवाइस मैनेजमेंट (MDM) समाधान की आवश्यकता होती है।

architecture_overview.png

कार्यान्वयन मार्गदर्शिका

WPA2-Enterprise को कॉन्फ़िगर करने के मूलभूत सिद्धांत वेंडर्स के बीच सुसंगत हैं, लेकिन निष्पादन प्रबंधन इंटरफ़ेस और इकोसिस्टम के आधार पर भिन्न होता है।

vendor_comparison_chart.png

Cisco (Catalyst और Meraki)

Cisco वातावरण आमतौर पर कैंपस डिप्लॉयमेंट से लेकर वितरित एंटरप्राइज़ नेटवर्क तक स्केल करते हैं।

Cisco Catalyst (WLC/DNA Center):

  1. RADIUS सर्वर परिभाषित करें: Security टैब पर नेविगेट करें, AAA चुनें, और प्राथमिक और द्वितीयक RADIUS ऑथेंटिकेशन और अकाउंटिंग सर्वर कॉन्फ़िगर करें। सुनिश्चित करें कि शेयर्ड सीक्रेट RADIUS सर्वर कॉन्फ़िगरेशन से मेल खाता है।
  2. WLAN प्रोफ़ाइल बनाएँ: WLANs टैब के अंतर्गत, एक नई प्रोफ़ाइल बनाएँ।
  3. सुरक्षा नीतियाँ कॉन्फ़िगर करें: Layer 2 Security को WPA+WPA2 पर सेट करें और ऑथेंटिकेशन की मैनेजमेंट (AKM) विधि के रूप में 802.1X को सक्षम करें。
  4. AAA सर्वर बाइंड करें: पहले परिभाषित RADIUS सर्वर को WLAN प्रोफ़ाइल में मैप करें। यदि डायनामिक VLAN असाइनमेंट की आवश्यकता है तो 'AAA Override' सक्षम करें।

Cisco Meraki:

  1. SSID कॉन्फ़िगरेशन: Meraki डैशबोर्ड में, Wireless > SSIDs पर नेविगेट करें और लक्ष्य नेटवर्क चुनें।
  2. एक्सेस कंट्रोल: एसोसिएशन आवश्यकता को 'WPA2-Enterprise with my RADIUS server' पर सेट करें।
  3. RADIUS सेटिंग्स: अपने RADIUS इंफ्रास्ट्रक्चर के लिए IP पते, ऑथेंटिकेशन पोर्ट (आमतौर पर 1812), अकाउंटिंग पोर्ट (1813), और शेयर्ड सीक्रेट्स इनपुट करें। Meraki के डैशबोर्ड में डिप्लॉयमेंट से पहले RADIUS कनेक्टिविटी को सत्यापित करने के लिए एक अंतर्निहित परीक्षण टूल शामिल है।

Aruba Networks

Aruba Hospitality और उच्च शिक्षा में प्रमुख प्लेटफ़ॉर्म है, जो उन्नत एक्सेस कंट्रोल के लिए अपने ClearPass Policy Manager का भारी उपयोग करता है।

  1. AAA प्रोफ़ाइल परिभाषित करें: Aruba Central या Mobility Controller UI में, एक नई AAA प्रोफ़ाइल बनाएँ। यह प्रोफ़ाइल निर्धारित करती है कि ऑथेंटिकेशन को कैसे संभाला जाता है।
  2. RADIUS सर्वर समूह कॉन्फ़िगर करें: फ़ेलओवर नियम और टाइमआउट मान निर्दिष्ट करते हुए, अपने RADIUS सर्वर को एक सर्वर समूह में जोड़ें। इस समूह को AAA प्रोफ़ाइल से संलग्न करें।
  3. वर्चुअल AP कॉन्फ़िगरेशन: एक वर्चुअल AP (SSID) प्रोफ़ाइल बनाएँ या संशोधित करें। सुरक्षा प्रकार को WPA2-Enterprise पर सेट करें।
  4. प्रोफ़ाइल संलग्न करें: AAA प्रोफ़ाइल को वर्चुअल AP प्रोफ़ाइल से बाइंड करें। यदि ClearPass का उपयोग कर रहे हैं, तो सुनिश्चित करें कि डायनामिक नीति प्रवर्तन की अनुमति देने के लिए किसी भी मध्यवर्ती फ़ायरवॉल के माध्यम से RADIUS CoA (Change of Authorization) पोर्ट (3799) की अनुमति है।

Ubiquiti (UniFi)

Ubiquiti UniFi Network Controller के माध्यम से Retail और SMB वातावरण के लिए एक लागत प्रभावी समाधान प्रदान करता है।

  1. RADIUS प्रोफ़ाइल निर्माण: Settings > Profiles > RADIUS पर नेविगेट करें। अपने बाहरी RADIUS सर्वर के IP पते, पोर्ट (1812/1813), और शेयर्ड सीक्रेट के साथ एक नई प्रोफ़ाइल बनाएँ।
  2. SSID कॉन्फ़िगरेशन: Settings > WiFi पर जाएँ और एक नया वायरलेस नेटवर्क बनाएँ।
  3. सुरक्षा सेटिंग्स: सुरक्षा प्रोटोकॉल के रूप में 'WPA2 Enterprise' चुनें और नव निर्मित RADIUS प्रोफ़ाइल संलग्न करें।
  4. RADIUS इंफ्रास्ट्रक्चर पर ध्यान दें: एंटरप्राइज़ कंट्रोलर्स के विपरीत जो स्थानीयकृत सर्वाइवेबल RADIUS की पेशकश कर सकते हैं, UniFi बाहरी सर्वर (जैसे, FreeRADIUS, Windows NPS) पर बहुत अधिक निर्भर करता है। UniFi APs और RADIUS बैकएंड के बीच विश्वसनीय कनेक्टिविटी सुनिश्चित करें।

सर्वोत्तम प्रथाएँ

एक लचीला और सुरक्षित डिप्लॉयमेंट सुनिश्चित करने के लिए, नेटवर्क आर्किटेक्ट्स को कई महत्वपूर्ण सर्वोत्तम प्रथाओं का पालन करना चाहिए:

  1. प्रमाणपत्र सत्यापन लागू करें: क्लाइंट डिवाइस को एक विश्वसनीय प्रमाणपत्र प्राधिकरण (CA) के विरुद्ध RADIUS सर्वर के प्रमाणपत्र को मान्य करने के लिए स्पष्ट रूप से कॉन्फ़िगर किया जाना चाहिए। ऐसा करने में विफल रहने पर नेटवर्क 'Evil Twin' हमलों के संपर्क में आ जाता है जहाँ दुष्ट एक्सेस पॉइंट उपयोगकर्ता क्रेडेंशियल्स चुरा लेते हैं।
  2. RADIUS रिडंडेंसी लागू करें: RADIUS सर्वर नेटवर्क एक्सेस के लिए महत्वपूर्ण पथ में है। हमेशा प्राथमिक और द्वितीयक RADIUS सर्वर कॉन्फ़िगर करें। वितरित वातावरण में, उच्च उपलब्धता के लिए क्लाउड-होस्टेड RADIUS समाधानों पर विचार करें।
  3. डायनामिक VLAN असाइनमेंट का लाभ उठाएँ: उपयोगकर्ताओं को उनकी Active Directory समूह सदस्यता के आधार पर विशिष्ट VLAN में गतिशील रूप से असाइन करने के लिए RADIUS एट्रिब्यूट्स (जैसे, Tunnel-Pvt-Group-ID) का उपयोग करें। यह कई SSIDs को प्रसारित किए बिना नेटवर्क सेगमेंटेशन लागू करता है।
  4. RADIUS अकाउंटिंग सक्षम करें: केवल ऑथेंटिकेशन कॉन्फ़िगर न करें। अनुपालन फ्रेमवर्क के लिए आवश्यक ऑडिट ट्रेल्स उत्पन्न करने के लिए RADIUS अकाउंटिंग (पोर्ट 1813) अनिवार्य है।
  5. नेटवर्क एज को सुरक्षित करें: हमारे गाइड Protect Your Network with Strong DNS and Security में अपने इंफ्रास्ट्रक्चर को सुरक्षित करने के बारे में अधिक पढ़ें।

समस्या निवारण और जोखिम न्यूनीकरण

सावधानीपूर्वक योजना बनाने के बावजूद, डिप्लॉयमेंट में समस्याएँ आ सकती हैं। सामान्य विफलता मोड में शामिल हैं:

  • शेयर्ड सीक्रेट बेमेल: RADIUS शेयर्ड सीक्रेट में एक साधारण टाइपो के परिणामस्वरूप साइलेंट ऑथेंटिकेशन विफलताएँ होंगी। ऑथेंटिकेटर और RADIUS सर्वर दोनों पर सीक्रेट्स सत्यापित करें।
  • समय तुल्यकालन त्रुटियाँ: प्रमाणपत्र सत्यापन के लिए सटीक टाइमकीपिंग की आवश्यकता होती है। सुनिश्चित करें कि सभी APs, कंट्रोलर्स और RADIUS सर्वर एक विश्वसनीय NTP स्रोत के माध्यम से सिंक्रनाइज़ हैं।
  • फ़ायरवॉल द्वारा RADIUS ट्रैफ़िक को ब्लॉक करना: सुनिश्चित करें कि APs/कंट्रोलर्स और RADIUS सर्वर के बीच UDP पोर्ट 1812 (ऑथेंटिकेशन) और 1813 (अकाउंटिंग) खुले हैं। यदि CoA का उपयोग कर रहे हैं, तो सुनिश्चित करें कि UDP 3799 खुला है।
  • क्लाइंट सप्लिकेंट मिसकॉन्फ़िगरेशन: सबसे आम समस्या यह है कि क्लाइंट डिवाइस को उस CA पर भरोसा करने के लिए कॉन्फ़िगर नहीं किया गया है जिसने RADIUS सर्वर का प्रमाणपत्र जारी किया है। कॉर्पोरेट डिवाइस पर सही वायरलेस प्रोफ़ाइल पुश करने के लिए MDM या ग्रुप पॉलिसी का उपयोग करें।

ऑथेंटिकेशन प्रोटोकॉल की व्यापक समझ के लिए, How to Configure 802.1X WiFi Authentication: A Step-by-Step Guide की समीक्षा करें।

ROI और व्यावसायिक प्रभाव

WPA2-Enterprise में ट्रांज़िशन करने से केवल सुरक्षा सुधारों से परे महत्वपूर्ण व्यावसायिक मूल्य मिलता है।

  • जोखिम न्यूनीकरण: साझा पासवर्ड को समाप्त करने से हमले की सतह और डेटा उल्लंघन का जोखिम काफी कम हो जाता है, जिससे गंभीर वित्तीय और प्रतिष्ठित दंड हो सकते हैं।
  • परिचालन दक्षता: मौजूदा पहचान प्रदाताओं (जैसे Active Directory) के साथ WiFi ऑथेंटिकेशन को एकीकृत करने से कर्मचारियों की ऑनबोर्डिंग और ऑफ़बोर्डिंग स्वचालित हो जाती है। जब कोई कर्मचारी छोड़ता है, तो उनके AD खाते को अक्षम करने से उनका WiFi एक्सेस तुरंत रद्द हो जाता है।
  • अनुपालन सक्षमता: ग्रैन्युलर ऑडिट ट्रेल्स और प्रति-उपयोगकर्ता ऑथेंटिकेशन PCI DSS और ISO 27001 अनुपालन के लिए पूर्वापेक्षाएँ हैं。
  • एकीकृत इंफ्रास्ट्रक्चर: डायनामिक VLAN असाइनमेंट का उपयोग करके, वेन्यू कॉर्पोरेट, बैक-ऑफ़-हाउस और IoT ट्रैफ़िक को उसी भौतिक हार्डवेयर पर सुरक्षित रूप से चला सकते हैं जिसका उपयोग अतिथि एक्सेस के लिए किया जाता है। फिर अतिथि नेटवर्क को एक समर्पित WiFi Analytics समाधान का उपयोग करके मुद्रीकृत और विश्लेषित किया जा सकता है, जिससे हार्डवेयर निवेश पर रिटर्न अधिकतम हो जाता है। What Is a Leased Line? Dedicated Business Internet को समझकर सुनिश्चित करें कि आपके पास आवश्यक बैंडविड्थ है।

मुख्य परिभाषाएं

WPA2-Enterprise

वायरलेस नेटवर्क के लिए एक सुरक्षा प्रोटोकॉल जो एकल साझा पासवर्ड के बजाय बाहरी सर्वर के माध्यम से प्रति-उपयोगकर्ता ऑथेंटिकेशन प्रदान करने के लिए IEEE 802.1X का उपयोग करता है।

एंटरप्राइज़ वातावरण में कॉर्पोरेट और परिचालन WiFi नेटवर्क को सुरक्षित करने के लिए अनिवार्य मानक।

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने के इच्छुक उपकरणों को एक ऑथेंटिकेशन तंत्र प्रदान करता है।

अंतर्निहित फ्रेमवर्क जो WPA2-Enterprise को काम करने में सक्षम बनाता है।

RADIUS

रिमोट ऑथेंटिकेशन डायल-इन यूज़र सर्विस; एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत ऑथेंटिकेशन, ऑथराइज़ेशन और अकाउंटिंग (AAA) प्रबंधन प्रदान करता है।

सर्वर घटक जो Active Directory जैसे डेटाबेस के विरुद्ध उपयोगकर्ता क्रेडेंशियल्स को मान्य करता है।

Supplicant

किसी डिवाइस (लैपटॉप, स्मार्टफोन) पर सॉफ़्टवेयर क्लाइंट जो नेटवर्क एक्सेस का अनुरोध करने के लिए ऑथेंटिकेटर के साथ संचार करता है।

एंडपॉइंट जिसे सही EAP सेटिंग्स और प्रमाणपत्र विश्वास के साथ कॉन्फ़िगर किया जाना चाहिए।

Authenticator

नेटवर्क डिवाइस (एक्सेस पॉइंट या स्विच) जो सप्लिकेंट और ऑथेंटिकेशन सर्वर के बीच संदेशों को पास करके ऑथेंटिकेशन प्रक्रिया को सुविधाजनक बनाता है।

IT टीम द्वारा प्रबंधित Cisco, Aruba, या Ubiquiti हार्डवेयर।

EAP (Extensible Authentication Protocol)

एक ऑथेंटिकेशन फ्रेमवर्क जिसका उपयोग अक्सर वायरलेस नेटवर्क और पॉइंट-टू-पॉइंट कनेक्शन में किया जाता है, जो कई ऑथेंटिकेशन विधियों का समर्थन करता है।

क्रेडेंशियल एक्सचेंज को एनकैप्सुलेट करने के लिए उपयोग किया जाने वाला प्रोटोकॉल।

PEAP-MSCHAPv2

एक EAP विधि जो सर्वर के प्रमाणपत्र द्वारा स्थापित एक सुरक्षित TLS टनल के भीतर MSCHAPv2 पासवर्ड एक्सचेंज को एनकैप्सुलेट करती है।

सबसे आम डिप्लॉयमेंट विधि क्योंकि यह मानक AD पासवर्ड का उपयोग करने की सुविधा के साथ सुरक्षा को संतुलित करती है।

Dynamic VLAN Assignment

वह प्रक्रिया जहाँ एक RADIUS सर्वर एक्सेस पॉइंट को किसी प्रमाणित उपयोगकर्ता को उनकी पहचान या समूह सदस्यता के आधार पर एक विशिष्ट VLAN पर रखने का निर्देश देता है।

नेटवर्क सेगमेंटेशन के लिए महत्वपूर्ण, जो विभिन्न उपयोगकर्ता प्रकारों को एक ही भौतिक APs को सुरक्षित रूप से साझा करने की अनुमति देता है।

हल किए गए उदाहरण

एक 200 कमरों वाले होटल को मौजूदा Aruba एक्सेस पॉइंट का उपयोग करके अपने बैक-ऑफ़-हाउस कर्मचारियों (हाउसकीपिंग, प्रबंधन) के लिए सुरक्षित WiFi डिप्लॉय करने की आवश्यकता है, जबकि कर्मचारी ट्रैफ़िक को अतिथि नेटवर्क से सख्ती से अलग रखना है।

IT टीम WPA2-Enterprise का उपयोग करके एक एकल 'Hotel_Staff' SSID कॉन्फ़िगर करती है। वे Aruba ClearPass को होटल की Active Directory के साथ एकीकृत करते हैं। ClearPass में, वे प्रवर्तन नीतियाँ कॉन्फ़िगर करते हैं: यदि कोई उपयोगकर्ता 'Management' AD समूह में है, तो ClearPass उन्हें VLAN 10 (प्रबंधन नेटवर्क) असाइन करने वाला एक RADIUS एट्रिब्यूट लौटाता है। यदि उपयोगकर्ता 'Housekeeping' समूह में है, तो उन्हें VLAN 20 (संचालन नेटवर्क) असाइन किया जाता है। APs को इन डायनामिक VLAN असाइनमेंट को लागू करने के लिए कॉन्फ़िगर किया गया है।

परीक्षक की टिप्पणी: यह दृष्टिकोण डायनामिक VLAN असाइनमेंट की शक्ति को प्रदर्शित करता है। यह सख्त नेटवर्क सेगमेंटेशन सुनिश्चित करते हुए और मौजूदा डायरेक्टरी पहचानों का लाभ उठाते हुए कई SSIDs ('Hotel_Management', 'Hotel_Housekeeping') को प्रसारित करने के RF हस्तक्षेप और प्रबंधन ओवरहेड से बचाता है।

50 स्थानों वाली एक राष्ट्रीय रिटेल चेन Cisco Meraki का उपयोग करती है। उन्हें अपने पुराने WPA2-Personal सेटअप को बदलते हुए, PCI DSS अनुपालन को पूरा करने के लिए WiFi पर अपने पॉइंट-ऑफ़-सेल (POS) टर्मिनलों को सुरक्षित करने की आवश्यकता है।

नेटवर्क आर्किटेक्ट प्रत्येक स्टोर पर स्थानीय सर्वर डिप्लॉय करने से बचने के लिए क्लाउड-होस्टेड RADIUS सेवा डिप्लॉय करता है। Meraki डैशबोर्ड में, वे WPA2-Enterprise के लिए 'Retail_POS' SSID कॉन्फ़िगर करते हैं और इसे क्लाउड RADIUS IPs की ओर इंगित करते हैं। वे अपने MDM प्लेटफ़ॉर्म के माध्यम से प्रत्येक POS टर्मिनल के लिए अद्वितीय क्लाइंट प्रमाणपत्र उत्पन्न करते हैं और EAP-TLS की आवश्यकता के लिए RADIUS सर्वर को कॉन्फ़िगर करते हैं। Meraki APs को क्लाउड सेवा में RADIUS ऑथेंटिकेशन और अकाउंटिंग डेटा दोनों भेजने के लिए कॉन्फ़िगर किया गया है।

परीक्षक की टिप्पणी: यह परिदृश्य उच्च-सुरक्षा वातावरण के लिए EAP-TLS में ट्रांज़िशन पर प्रकाश डालता है। पासवर्ड के बजाय प्रमाणपत्रों का उपयोग करके, POS टर्मिनल चुपचाप और सुरक्षित रूप से प्रमाणित होते हैं। RADIUS अकाउंटिंग को शामिल करने से यह सुनिश्चित होता है कि चेन एक्सेस ऑडिटिंग के लिए PCI DSS आवश्यकताओं को पूरा करती है।

अभ्यास प्रश्न

Q1. आपका संगठन Ubiquiti UniFi एक्सेस पॉइंट का उपयोग करके WPA2-Enterprise डिप्लॉय कर रहा है। परीक्षण के दौरान, क्लाइंट सफलतापूर्वक कनेक्ट हो सकते हैं, लेकिन अनुपालन टीम नोट करती है कि केंद्रीय लॉगिंग सिस्टम में उपयोगकर्ता सत्र अवधि या डेटा उपयोग का कोई लॉग नहीं है। सबसे संभावित कॉन्फ़िगरेशन चूक क्या है?

संकेत: ऑथेंटिकेशन एक्सेस प्रदान करता है, लेकिन एक अन्य प्रक्रिया उपयोग को ट्रैक करती है।

मॉडल उत्तर देखें

RADIUS अकाउंटिंग पोर्ट (1813) को कॉन्फ़िगर नहीं किया गया है या फ़ायरवॉल द्वारा ब्लॉक किया जा रहा है। जबकि ऑथेंटिकेशन (पोर्ट 1812) काम कर रहा है, सत्र ऑडिट ट्रेल्स उत्पन्न करने के लिए अकाउंटिंग को स्पष्ट रूप से सक्षम किया जाना चाहिए।

Q2. एक उपयोगकर्ता रिपोर्ट करता है कि वे कॉर्पोरेट WPA2-Enterprise नेटवर्क से कनेक्ट नहीं हो सकते हैं। आप Cisco WLC लॉग की जाँच करते हैं और देखते हैं कि AP EAP-Request पास कर रहा है, लेकिन RADIUS सर्वर लॉग 'Unknown CA' के कारण 'Access-Reject' दिखाते हैं। क्या ठीक करने की आवश्यकता है?

संकेत: TLS टनल सेटअप के दौरान स्थापित विश्वास संबंध के बारे में सोचें।

मॉडल उत्तर देखें

क्लाइंट डिवाइस का सप्लिकेंट उस प्रमाणपत्र प्राधिकरण (CA) पर भरोसा करने के लिए कॉन्फ़िगर नहीं किया गया है जिसने RADIUS सर्वर का प्रमाणपत्र जारी किया है। संभावित Evil Twin हमले को रोकने के लिए क्लाइंट कनेक्शन समाप्त कर रहा है। CA प्रमाणपत्र को क्लाइंट डिवाइस पर पुश किया जाना चाहिए।

Q3. आप एक स्टेडियम के लिए नेटवर्क डिज़ाइन कर रहे हैं। आपको कॉर्पोरेट कर्मचारियों, टिकटिंग टर्मिनलों और अतिथि WiFi का समर्थन करने की आवश्यकता है। सुरक्षा बनाए रखते हुए RF हस्तक्षेप को कम करने के लिए आपको SSIDs को कैसे आर्किटेक्ट करना चाहिए?

संकेत: हर एक उपयोग के मामले के लिए SSID प्रसारित करने से बचें।

मॉडल उत्तर देखें

अधिकतम दो SSIDs डिप्लॉय करें। Captive Portal (जैसे Purple) का उपयोग करने वाले अतिथियों के लिए एक SSID। WPA2-Enterprise का उपयोग करके सभी कॉर्पोरेट संचालन के लिए एक दूसरा SSID। कॉर्पोरेट कर्मचारियों को एक VLAN पर और टिकटिंग टर्मिनलों को उनके ऑथेंटिकेशन क्रेडेंशियल्स के आधार पर दूसरे पर सेगमेंट करने के लिए RADIUS सर्वर के माध्यम से डायनामिक VLAN असाइनमेंट का उपयोग करें।

इस श्रृंखला में आगे पढ़ें

विक्रेता द्वारा प्रति-डिवाइस PSK: iPSK, DPSK, MPSK और PPSK की तुलना (और WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet, और Ubiquiti UniFi में प्रति-डिवाइस PSK इम्प्लीमेंटेशन की एक व्यापक तुलना। जानें कि WPA3-SAE प्रति-डिवाइस की (key) रणनीतियों को कैसे प्रभावित करता है और कब ट्रांज़िशन मोड को तैनात करना चाहिए बनाम 802.1X पर जाना चाहिए।

गाइड पढ़ें →

कैप्टिव पोर्टल प्रमाणीकरण विधियों की तुलना

यह आधिकारिक तकनीकी संदर्भ गाइड पांच मुख्य कैप्टिव पोर्टल प्रमाणीकरण विधियों के आर्किटेक्चरल, परिचालन और अनुपालन से जुड़े समझौतों (trade-offs) का मूल्यांकन करती है। यह नेटवर्क आर्किटेक्ट्स, IT निदेशकों और मार्केटिंग प्रबंधकों को एंटरप्राइज वेन्यू में डेटा-संग्रह आवश्यकताओं के साथ गेस्ट ऑनबोर्डिंग घर्षण को संतुलित करने के लिए आवश्यक मात्रात्मक डेटा और निर्णय ढांचे प्रदान करती है।

गाइड पढ़ें →

MAC एड्रेस ऑथेंटिकेशन क्या है? इसका उपयोग कब करें और इससे कब बचें

यह आधिकारिक तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi वातावरण में MAC एड्रेस ऑथेंटिकेशन को कवर करती है — कैसे RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 पर काम करता है, इसकी अंतर्निहित सुरक्षा कमजोरियां (जिसमें MAC स्पूफिंग और OS-स्तरीय MAC रैंडमाइजेशन का प्रभाव शामिल है), और सटीक परिचालन संदर्भ जहां यह IoT और हेडलेस डिवाइसों के प्रबंधन के लिए एक वैध उपकरण बना हुआ है। यह हॉस्पिटैलिटी, रिटेल, हेल्थकेयर और सार्वजनिक क्षेत्र के परिसरों में IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए व्यावहारिक परिनियोजन मार्गदर्शन प्रदान करता है, जिसमें वास्तविक दुनिया के व्यावहारिक उदाहरण, निर्णय ढांचे और Purple के गेस्ट WiFi और एनालिटिक्स प्लेटफॉर्म के लिए एकीकरण संदर्भ शामिल हैं।

गाइड पढ़ें →