तीनों पर शासन करने के लिए तीन SSIDs: अतिथि, Passpoint, और IoT WiFi सेटअप गाइड

यह तकनीकी गाइड एंटरप्राइज वेन्यू में तीन-SSID WiFi डिज़ाइन को लागू करने के लिए एक निश्चित ब्लूप्रिंट प्रदान करती है। इसमें पूर्ण VLAN सेगमेंटेशन और जीरो-ट्रस्ट नेटवर्क एक्सेस प्राप्त करने के लिए एक ओपन गेस्ट WiFi पोर्टल, ऑटोमेटेड Passpoint ऑनबोर्डिंग, और प्रति-डिवाइस xPSK ऑथेंटिकेशन के कॉन्फ़िगरेशन का विवरण दिया गया है।

📖 5 मिनट का पाठ📝 1,176 शब्द🔧 2 हल किए गए उदाहरण❓ 3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें

Purple तकनीकी ब्रीफिंग श्रृंखला में आपका स्वागत है। आज हम three-SSID WiFi डिज़ाइन को कवर कर रहे हैं - एक नेटवर्क आर्किटेक्चर जो अतिथि एक्सेस, सुरक्षित स्वचालित ऑनबोर्डिंग और IoT डिवाइस प्रबंधन को तीन विशेष रूप से निर्मित वायरलेस नेटवर्क के तहत समेकित करता है। यदि आप किसी होटल, रिटेल एस्टेट, स्टेडियम या कॉन्फ्रेंस सेंटर में WiFi चला रहे हैं, तो यह वह डिज़ाइन है जिसे आपको 2025 और उसके बाद तैनात करना चाहिए।

[medium pause]

पहले मैं इसका संदर्भ स्पष्ट कर देता हूँ। हमारे सामने आने वाले अधिकांश स्थानों पर अभी भी केवल दो SSID चल रहे होते हैं - एक गेस्ट नेटवर्क और दूसरा जिसे आम तौर पर स्टाफ नेटवर्क कहा जाता है। समस्या यह है कि वे दो नेटवर्क अंततः सब कुछ संभालते हैं। कार्ड टर्मिनल अतिथि स्मार्टफ़ोन वाले सेगमेंट पर ही स्थित होते हैं। ठेकेदार उसी SSID से कनेक्ट होते हैं जिससे आपके डिजिटल साइनेज कनेक्ट होते हैं। IoT सेंसर वीडियो स्ट्रीमिंग करने वाले आगंतुकों के साथ बैंडविड्थ साझा करते हैं। यह कोई सुरक्षात्मक स्थिति नहीं है। यह एक जोखिम है।

three-SSID डिज़ाइन प्रत्येक श्रेणी के डिवाइस और उपयोगकर्ता को अपना समर्पित नेटवर्क, अपना VLAN और अपनी प्रमाणीकरण विधि प्रदान करके इसे हल करता है। तीन SSID। तीन VLAN। एक सुसंगत सुरक्षा आर्किटेक्चर।

[medium pause]

आइए इनमें से प्रत्येक को समझते हैं।

SSID नंबर एक आपका ओपन Guest WiFi है। यह पारंपरिक Captive Portal नेटवर्क है - जिसे आपके आगंतुक तब देखते हैं जब वे अपना फोन खोलते हैं और कनेक्ट करते हैं। यह खुला है, जिसका अर्थ है कि कोई पूर्व-साझा कुंजी नहीं है, क्योंकि आप कनेक्शन के समय किसी भी तरह की बाधा नहीं चाहते हैं। प्रमाणीकरण पोर्टल लेयर पर होता है। आगंतुक कनेक्ट होता है, एक स्पलैश पेज पर रीडायरेक्ट होता है, आपकी सेवा की शर्तों को स्वीकार करता है, और वैकल्पिक रूप से एक ईमेल पता या फ़ोन नंबर प्रदान करता है। यह GDPR अनुपालन के लिए आपकी जागरूक-पसंद है। Purple का प्लेटफ़ॉर्म इसे मूल रूप से संभालता है - पोर्टल फर्स्ट-पार्टी डेटा कैप्चर करता है, सहमति टाइमस्टैम्प लॉग करता है, और सेशन को VLAN 10 पर मैप करता है, जो आपका गेस्ट सेगमेंट है। VLAN 10 को केवल इंटरनेट एक्सेस मिलता है। यह आपके POS सिस्टम, आपके बैक-ऑफिस सर्वर या किसी अन्य आंतरिक संसाधन तक नहीं पहुँच सकता। फ़ायरवॉल नियम इसे किनारे पर लागू करते हैं।

अनुपालन के दृष्टिकोण से, यह SSID मुख्य काम करता है। GDPR के लिए आवश्यक है कि आप सहमति, प्रसंस्करण के लिए कानूनी आधार और टाइमस्टैम्प रिकॉर्ड करें। Purple यह सब स्वचालित रूप से लॉग करता है। यदि आप किसी ऐसे स्थान पर हैं जो PCI DSS के अंतर्गत आता है - उदाहरण के लिए इन-रूम पेमेंट टर्मिनल वाला होटल - तो गेस्ट SSID को किसी भी कार्डधारक डेटा वातावरण से पूरी तरह से अलग किया जाना चाहिए। इंटर-VLAN फ़ायरवॉल नीति के साथ VLAN सेगमेंटेशन इसे प्राप्त करता है।

[medium pause]

SSID नंबर दो आपका Passpoint नेटवर्क है, जिसे Hotspot 2.0 के रूप में भी जाना जाता है। यहीं पर डिज़ाइन वास्तव में दिलचस्प हो जाता है। Passpoint एक IEEE 802.11u मानक है जो किसी डिवाइस को बिना किसी उपयोगकर्ता इंटरैक्शन के स्वचालित रूप से WiFi नेटवर्क को खोजने, प्रमाणित करने और कनेक्ट करने की अनुमति देता है। कोई पोर्टल नहीं। कोई पासवर्ड प्रॉम्प्ट नहीं। डिवाइस पृष्ठभूमि में EAP - Extensible Authentication Protocol - का उपयोग करके प्रमाणीकरण पर बातचीत करता है और पहले पैकेट से ही एन्क्रिप्टेड कनेक्ट हो जाता है।एक डिवाइस को कैसे पता चलता है कि उसे कनेक्ट करना है? इसमें एक Passpoint प्रोफाइल इंस्टॉल होती है। Purple के साथ, वह प्रोफाइल Purple ऐप के जरिए या एक SDK के जरिए डिलीवर की जाती है जिसे आप अपने खुद के ब्रांडेड ऐप में एम्बेड करते हैं। जब कोई लौटने वाला विज़िटर आपके वेन्यू में आता है, तो उनका डिवाइस आपके Passpoint SSID ब्रॉडकास्टिंग को एक ANQP रिस्पॉन्स के रूप में देखता है, इसे इंस्टॉल की गई प्रोफाइल से मिलाता है, और ऑटोमैटिक रूप से कनेक्ट हो जाता है। इस पूरी प्रक्रिया में दो सेकंड से भी कम समय लगता है। यूजर को कभी अपने फोन को छूने की भी जरूरत नहीं पड़ती।

ऑथेंटिकेशन फ़्लो आपके कॉन्फ़िगरेशन के आधार पर PEAP के साथ EAP-TLS या EAP-TTLS का उपयोग करता है। डिवाइस आपके RADIUS सर्वर के सामने एक क्रेडेंशियल प्रस्तुत करता है - Purple क्लाउड में उस RADIUS सर्वर के रूप में कार्य करता है - और सर्वर VLAN असाइनमेंट एट्रिब्यूट के साथ एक RADIUS Access-Accept वापस करता है। वह एट्रिब्यूट एक्सेस पॉइंट को बताता है कि उस सेशन को किस VLAN पर रखना है। इसलिए एक लॉयल्टी ऐप यूजर VLAN 20 पर जा सकता है, जिसके पास आपके लॉयल्टी प्लेटफॉर्म और अधिक समृद्ध कंटेंट तक पहुंच है। एक स्टाफ सदस्य जो अलग क्रेडेंशियल के साथ उसी Passpoint SSID का उपयोग कर रहा है, VLAN 30 पर जाता है, जिसके पास आंतरिक सिस्टम तक पहुंच होती है। एक SSID। डायनेमिक VLAN असाइनमेंट। प्रत्येक पहचान के अनुसार लागू की गई पॉलिसी।

[medium pause]

SSID नंबर तीन आपका xPSK नेटवर्क है। xPSK एक अम्ब्रेला टर्म है जिसमें iPSK, PPSK, DPSK, और MPSK शामिल हैं - ये सभी प्रति-डिवाइस या प्रति-ग्रुप प्री-शेयर्ड कीज़ (pre-shared keys) की एक ही अवधारणा के विभिन्न रूप हैं। विचार सीधा है: आपके IoT डिवाइस और कॉन्ट्रैक्टर्स के लिए एक साझा पासवर्ड के बजाय, प्रत्येक डिवाइस या ग्रुप को अपनी विशिष्ट की (key) मिलती है। वह की (key) एक विशिष्ट VLAN से मैप होती है। जब कोई कार्ड टर्मिनल अपनी की (key) के साथ कनेक्ट होता है, तो वह VLAN 40 पर जाता है, जो आपका PCI-scoped पेमेंट नेटवर्क है। जब कोई डिजिटल साइनेज प्लेयर अपनी की (key) के साथ कनेक्ट होता है, तो वह VLAN 50 पर जाता है, जिसके पास आपके कंटेंट मैनेजमेंट सर्वर तक पहुंच होती है लेकिन और किसी चीज़ तक नहीं। जब कोई कॉन्ट्रैक्टर एक अस्थायी की (key) के साथ कनेक्ट होता है, तो वे VLAN 60 पर जाते हैं, जिसके पास इंटरनेट एक्सेस होता है और कोई आंतरिक पहुंच नहीं होती। जब आप उस कॉन्ट्रैक्टर की की (key) को रीवोक (निरस्त) करते हैं, तो वे तुरंत नेटवर्क से बाहर हो जाते हैं। हर डिवाइस पर पासवर्ड बदलने की कोई आवश्यकता नहीं होती।

xPSK के पीछे की प्रणाली वेंडर के अनुसार अलग-अलग होती है। Cisco Meraki पर, इसे iPSK - Identity PSK - कहा जाता है और यह RADIUS के माध्यम से काम करता है। HPE Aruba पर, इसका समकक्ष MPSK है, जो RADIUS-संचालित भी है। Ruckus इसे DPSK - Dynamic PSK कहता है। Juniper Mist, Mist के क्लाउड डैशबोर्ड के माध्यम से डायनेमिक VLAN असाइनमेंट के साथ PPSK का उपयोग करता है। Ubiquiti UniFi हाल के फ़र्मवेयर वर्शन्स में प्रति-क्लाइंट VLAN असाइनमेंट के साथ Network Access Control का समर्थन करता है। Purple एक क्लाउड RADIUS प्रदाता के रूप में इन पांचों प्लेटफॉर्म्स के साथ एकीकृत होता है।

[medium pause]

अब आइए इम्प्लीमेंटेशन सीक्वेंस (कार्यान्वयन अनुक्रम) के बारे में बात करते हैं। इसका क्रम बहुत मायने रखता है।

वायरलेस कॉन्फ़िगरेशन को छूने से पहले अपने VLAN डिज़ाइन से शुरुआत करें। सबसे पहले स्विच लेयर पर अपने VLAN को परिभाषित करें। किसी भी डिवाइस के कनेक्ट होने से पहले अपने इंटर-VLAN राउटिंग पॉलिसी को कॉन्फ़िगर करें और इसे फ़ायरवॉल पर लॉक कर दें। यह सबसे आम गलती है जो हम देखते हैं: टीमें पहले वायरलेस कॉन्फ़िगर करती हैं, फिर VLAN सेगमेंटेशन को फिट करने की कोशिश करती हैं। इसे इसके विपरीत तरीके से करें।

दूसरा, अपने RADIUS सर्वर को कॉन्फ़िगर करें। Purple के प्लेटफ़ॉर्म में, आप RADIUS कॉन्फ़िगरेशन सेक्शन पर जाएँ, अपने सर्वर क्रेडेंशियल जेनरेट करें, और प्राइमरी और सेकेंडरी IP एड्रेस, ऑथेंटिकेशन पोर्ट - आमतौर पर 1812 - और शेयर्ड सीक्रेट को नोट करें।

तीसरा, अपने SSIDs बनाएँ। गेस्ट SSID के लिए, सुरक्षा को ओपन पर सेट करें, captive portal रीडायरेक्ट को सक्षम करें, और रीडायरेक्ट URL को अपने Purple पोर्टल पर इंगित करें। Passpoint SSID के लिए, 802.11u को सक्षम करें और अपने ANQP तत्वों को कॉन्फ़िगर करें - आपका NAI Realm, आपका Roaming Consortium OI यदि आप OpenRoaming में भाग ले रहे हैं, और आपकी वेन्यू जानकारी। सुरक्षा प्रकार के रूप में WPA2-Enterprise या WPA3-Enterprise सेट करें। xPSK SSID के लिए, वेंडर-विशिष्ट MPSK या DPSK सेटिंग्स कॉन्फ़िगर करें और ऑथेंटिकेशन को अपने Purple RADIUS एंडपॉइंट पर इंगित करें।

चौथा, गेस्ट SSID के लिए अपने walled garden को कॉन्फ़िगर करें। इसमें Purple के पोर्टल डोमेन, आपका DNS रिज़ॉल्वर, और वे captive portal डिटेक्शन एंडपॉइंट शामिल करें जिनका उपयोग iOS और Android करते हैं - Apple का captivedetect.apple.com और Google का connectivitycheck.gstatic.com।

[medium pause]

दो वास्तविक दुनिया के उदाहरण।

सेंट्रल लंदन में एक 350-कमरों वाले होटल ने HPE Aruba हार्डवेयर चलाने वाले 28 एक्सेस पॉइंट्स पर इस आर्किटेक्चर को तैनात किया। तैनाती से पहले, कार्ड टर्मिनल गेस्ट डिवाइसेज के साथ एक नेटवर्क सेगमेंट साझा करते थे - जो एक PCI अनुपालन विफलता थी। तीन-SSID रीडिज़ाइन ने कार्ड टर्मिनलों को एक समर्पित VLAN में स्थानांतरित कर दिया जिसमें फ़ायरवॉल नियम केवल पेमेंट प्रोसेसर को आउटबाउंड HTTPS की अनुमति देते थे। अगली साइकिल में PCI ऑडिट पास हो गया। पहले तीन महीनों में गेस्ट डेटा कैप्चर में 34% की वृद्धि हुई क्योंकि पोर्टल का अनुभव तेज़ था और ऑप्ट-इन फ़्लो अधिक स्पष्ट था।

पूरे UK में 80 स्टोर्स वाली एक रिटेल चेन ने अपने प्रति-स्टोर SSID की संख्या को औसतन 4.2 से घटाकर तीन कर दिया। EPOS टर्मिनल और साइनेज को xPSK SSID पर स्थानांतरित कर दिया गया, जिसमें प्रति-डिवाइस कुंजियों को Purple के माध्यम से केंद्रीय रूप से प्रबंधित किया जाता है। स्टाफ EAP-TTLS के माध्यम से अपने Microsoft Entra ID क्रेडेंशियल का उपयोग करके एक Passpoint SSID पर स्थानांतरित हो गया। IT टीम ने रोलआउट के बाद पहली तिमाही में WiFi-संबंधी सपोर्ट टिकटों में 60% की कमी की रिपोर्ट की।

[medium pause]

ध्यान देने योग्य कुछ कार्यान्वयन कमियाँ।

RADIUS टाइमआउट कॉन्फ़िगरेशन: यदि आपके एक्सेस पॉइंट कॉन्फ़िगर किए गए टाइमआउट के भीतर Purple RADIUS सर्वर तक नहीं पहुँच पाते हैं, तो वे कनेक्शन को अस्वीकार कर देंगे। हमेशा प्राइमरी और सेकेंडरी दोनों RADIUS सर्वर एड्रेस कॉन्फ़िगर करें।

VLAN टैगिंग on trunk ports: प्रत्येक एक्सेस पॉइंट अपलिंक पोर्ट को एक ट्रंक के रूप में कॉन्फ़िगर किया जाना चाहिए जो आपके SSIDs द्वारा उपयोग किए जाने वाले सभी VLANs को ले जाता है। एक आम गलती कंट्रोलर पर VLAN को कॉन्फ़िगर करना है लेकिन स्विच पोर्ट पर ट्रंक में इसे जोड़ना भूल जाना है।

Passpoint ANQP कॉन्फ़िगरेशन: NAI Realm सूची डिवाइस पर इंस्टॉल किए गए Passpoint प्रोफाइल में मौजूद सूची से बिल्कुल मेल खानी चाहिए। बेमेल होने के कारण डिवाइस खोज के दौरान आपके नेटवर्क को छोड़ देंगे। प्रोडक्शन में रोल आउट करने से पहले एक ज्ञात-अच्छे डिवाइस के साथ परीक्षण करें।
xPSK key rotation: कॉन्ट्रैक्टर की keys के लिए प्रोविज़निंग के समय एक एक्सपायरी डेट सेट होनी चाहिए। Purple का डैशबोर्ड आपको नेटवर्क पर किसी अन्य डिवाइस को प्रभावित किए बिना व्यक्तिगत keys को रिवोक (revoke) करने की अनुमति देता है।

[medium pause]

त्वरित प्रश्न।

क्या मैं एक ही एक्सेस पॉइंट पर सभी तीन SSIDs चला सकता हूँ? हाँ। बीकन ओवरहेड को कम करने के लिए प्रति एक्सेस पॉइंट कुल SSID संख्या को छह या उससे कम रखें।

क्या Passpoint के लिए किसी विशिष्ट ऐप की आवश्यकता होती है? Purple के साथ, इसके लिए या तो Purple ऐप या आपके अपने ब्रांडेड ऐप में एकीकृत SDK की आवश्यकता होती है। SDK बैकग्राउंड में चुपचाप प्रोफ़ाइल प्रोविज़निंग को संभालता है।

क्या कार्ड टर्मिनलों के लिए xPSK PCI compliant है? हाँ, बशर्ते पेमेंट डिवाइस ट्रैफ़िक ले जाने वाले VLAN को ठीक से विभाजित किया गया हो और फ़ायरवॉल नियम ट्रैफ़िक को केवल उसी तक सीमित करते हों जिसकी पेमेंट प्रोसेसर को आवश्यकता होती है।

यदि गेस्ट SSID पोर्टल डाउन हो जाता है तो क्या होगा? एक्सेस पॉइंट कंट्रोलर पर एक फ़ॉलबैक रीडायरेक्ट या एक लोकल स्प्लैश पेज कॉन्फ़िगर करें। Purple का प्लेटफ़ॉर्म 99.999% अपटाइम पर चलता है, लेकिन सुरक्षा के लिए अतिरिक्त कॉन्फ़िगरेशन हमेशा एक अच्छा अभ्यास है।

[medium pause]

संक्षेप में। तीन-SSID डिज़ाइन आपको डेटा कैप्चर के लिए एक अनुपालन Captive Portal के साथ एक गेस्ट नेटवर्क देता है, डायनामिक VLAN असाइनमेंट के साथ Purple ऐप या SDK के माध्यम से स्वचालित सुरक्षित ऑनबोर्डिंग के लिए एक Passpoint नेटवर्क देता है, और एक xPSK नेटवर्क देता है जो विशिष्ट VLANs से मैप की गई प्रति-डिवाइस keys के तहत IoT डिवाइस, कार्ड टर्मिनल, डिजिटल साइनेज, कॉन्ट्रैक्टर्स और BYOD को समेकित करता है। इसका परिणाम एक बेहतर सुरक्षा स्थिति, एक बेहतर विज़िटर अनुभव और एक ऐसा नेटवर्क है जो वास्तव में बड़े पैमाने पर प्रबंधनीय है।

अपने VLAN डिज़ाइन से शुरुआत करें, RADIUS कॉन्फ़िगर करें, अपने SSIDs बनाएं और अपना वॉल्ड गार्डन सेट करें। Purple की ऑनबोर्डिंग टीम आपको आपके विशिष्ट हार्डवेयर प्लेटफ़ॉर्म के लिए कॉन्फ़िगरेशन के बारे में मार्गदर्शन कर सकती है।

पूर्ण लिखित गाइड purple.ai पर उपलब्ध है। Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist और Ubiquiti UniFi के लिए विक्रेता-विशिष्ट विवरण के साथ चरण-दर-चरण कॉन्फ़िगरेशन संदर्भ के लिए "three SSIDs to rule them all" खोजें।

सुनने के लिए धन्यवाद।

मुख्य निष्कर्ष

✓जटिल वायरलेस नेटवर्क को तीन विशेष रूप से निर्मित SSIDs में समेकित करें: Guest, Passpoint, और xPSK।
✓GDPR अनुपालन सुनिश्चित करने और फर्स्ट-पार्टी डेटा कैप्चर करने के लिए Captive Portal के साथ ओपन Guest SSID का उपयोग करें।
✓Purple ऐप या SDK के माध्यम से लौटने वाले विजिटर्स और कर्मचारियों के लिए घर्षण रहित, एन्क्रिप्टेड ऑनबोर्डिंग प्रदान करने के लिए Passpoint तैनात करें।
✓साझा पासवर्ड को समाप्त करने के लिए विशिष्ट कुंजियाँ असाइन करके xPSK का उपयोग करके हेडलेस IoT डिवाइसों, कार्ड टर्मिनलों और ठेकेदारों को सुरक्षित करें।
✓Purple के क्लाउड RADIUS के माध्यम से प्रमाणित डिवाइसों को आइसोलेटेड VLANs से डायनेमिक रूप से मैप करके जीरो-ट्रस्ट सुरक्षा लागू करें।
✓वायरलेस कॉन्फ़िगरेशन तैनात करने से पहले हमेशा स्विच VLANs और फ़ायरवॉल रूटिंग नीतियों को कॉन्फ़िगर करें।
✓RF ओवरहेड को कम करने और समग्र नेटवर्क प्रदर्शन को बेहतर बनाने के लिए SSID प्रसारण को सीमित करें।

📚 हमारी मुख्य श्रृंखला का हिस्सा: एंटरप्राइज WiFi सुरक्षा और ऑथेंटिकेशन: संपूर्ण गाइड →

कार्यकारी सारांश (Executive Summary)

अधिकांश एंटरप्राइज़ स्थान अभी भी पुराने वायरलेस आर्किटेक्चर पर काम करते हैं जो सभी ट्रैफ़िक को एक या दो SSID पर समेट देते हैं। यह दृष्टिकोण बिना प्रबंधित IoT डिवाइस, ठेकेदार हार्डवेयर और सार्वजनिक विज़िटर्स को साझा नेटवर्क सेगमेंट पर रखकर अस्वीकार्य जोखिम पैदा करता है। तीन-SSID WiFi डिज़ाइन प्रत्येक वर्ग के डिवाइस और उपयोगकर्ता को अपना समर्पित नेटवर्क, अपना VLAN और अपनी प्रमाणीकरण विधि असाइन करके इस भेद्यता को समाप्त करता है। यह गाइड तीन अलग-अलग SSIDs को तैनात करने के लिए एक चरण-दर-चरण ब्लूप्रिंट प्रदान करती है: अनुपालन और डेटा कैप्चर के लिए एक खुला Guest WiFi नेटवर्क, Purple ऐप या SDK के माध्यम से स्वचालित सुरक्षित पहुंच के लिए एक Passpoint (Hotspot 2.0) नेटवर्क, और एक xPSK नेटवर्क जो प्रति-डिवाइस कुंजियों के तहत सभी हेडलेस डिवाइस को समेकित करता है। इस आर्किटेक्चर पर मानकीकरण करके, IT टीमें सख्त VLAN सेगमेंटेशन प्राप्त कर सकती हैं, रेडियो फ्रीक्वेंसी ओवरहेड को कम कर सकती हैं, और Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist और Ubiquiti UniFi डिप्लॉयमेंट में नेटवर्क संचालन को सुव्यवस्थित कर सकती हैं।

ब्रीफिंग सुनें

तकनीकी आर्किटेक्चर का गहन विश्लेषण

तीन-SSID डिज़ाइन वायरलेस एज पर लागू एक ज़ीरो-ट्रस्ट दृष्टिकोण है। यह इस सिद्धांत पर निर्भर करता है कि SSID केवल प्रवेश बिंदु है; वास्तविक सुरक्षा सीमा प्रमाणीकरण विधि द्वारा निर्धारित VLAN असाइनमेंट है।

1. Guest WiFi (ओपन SSID)

पहला SSID Captive Portal के साथ एक खुला नेटवर्क है। यह विज़िटर्स, अस्थायी मेहमानों और आकस्मिक उपयोगकर्ताओं को सेवा प्रदान करता है। चूंकि यह खुला है, कनेक्शन के बिंदु पर शून्य घर्षण होता है। सुरक्षा नियंत्रण बिंदु पोर्टल लेयर पर स्थानांतरित हो जाता है। जब कोई डिवाइस कनेक्ट होता है, तो उसे अत्यधिक प्रतिबंधित सबनेट से एक IP पता असाइन किया जाता है और एक वॉल्ड गार्डन में रखा जाता है। उपयोगकर्ता को एक स्प्लैश पेज पर रीडायरेक्ट किया जाता है जहां वे सेवा की शर्तों को स्वीकार करते हैं और वैकल्पिक रूप से पहचान डेटा प्रदान करते हैं।

यह SSID अनुपालन के लिए महत्वपूर्ण है। GDPR के तहत, आपको सहमति और डेटा संसाधित करने के कानूनी आधार को रिकॉर्ड करना होगा। Purple इसे मूल रूप से संभालता है, सहमति टाइमस्टैम्प को लॉग करता है और फर्स्ट-पार्टी डेटा कैप्चर करता है। एक बार प्रमाणित होने के बाद, सत्र को VLAN 10 पर मैप किया जाता है। फ़ायरवॉल नियम यह लागू करते हैं कि VLAN 10 के पास केवल इंटरनेट एक्सेस हो, जो आंतरिक प्रणालियों से पूरी तरह से अलग हो। PCI DSS के अधीन स्थानों के लिए, यह सेगमेंटेशन सुनिश्चित करता है कि गेस्ट ट्रैफ़िक कभी भी कार्डधारक डेटा वातावरण को न छुए।

2. Passpoint (Hotspot 2.0)

दूसरा SSID स्वचालित, एन्क्रिप्टेड एक्सेस प्रदान करने के लिए IEEE 802.11u Passpoint का लाभ उठाता है। यह लौटने वाले मेहमानों, लॉयल्टी सदस्यों और कर्मचारियों के लिए डिज़ाइन किया गया है। Captive Portal के बजाय, Passpoint EAP-TLS या PEAP के साथ EAP-TTLS के माध्यम से बैकग्राउंड में ऑथेंटिकेशन को नेगोशिएट करने के लिए एक इंस्टॉल किए गए प्रोफाइल का उपयोग करता है।

जब Purple ऐप (या Purple SDK को एकीकृत करने वाला आपका अपना ऐप) वाला कोई उपयोगकर्ता वेन्यू में प्रवेश करता है, तो उनका डिवाइस विशिष्ट ANQP (एक्सेस नेटवर्क क्वेरी प्रोटोकॉल) तत्वों को ब्रॉडकास्ट करने वाले Passpoint SSID का पता लगाता है। यह इन्हें अपनी प्रोफाइल से मिलाता है और स्वचालित रूप से कनेक्ट हो जाता है। Purple क्लाउड RADIUS सर्वर के रूप में कार्य करता है, क्रेडेंशियल को प्रोसेस करता है और RADIUS Access-Accept संदेश वापस करता है। महत्वपूर्ण बात यह है कि इस संदेश में VLAN असाइनमेंट विशेषताएं (जैसे Tunnel-Private-Group-ID) शामिल होती हैं। एक लॉयल्टी सदस्य को VLAN 20 में असाइन किया जा सकता है, जबकि उसी SSID का उपयोग करने वाले स्टाफ सदस्य को VLAN 30 में असाइन किया जाता है। यह डायनेमिक VLAN असाइनमेंट प्रति SSID के बजाय प्रति पहचान नीति लागू करने में सक्षम बनाता है।

3. xPSK (IoT और BYOD)

तीसरा SSID xPSK (iPSK, PPSK, DPSK, या MPSK) का उपयोग करके अन्य सभी उपयोग के मामलों - कार्ड टर्मिनल, डिजिटल साइनेज, प्रिंटर, ठेकेदार और BYOD - को समेकित करता है। एक साझा पासवर्ड के बजाय, प्रत्येक डिवाइस या समूह को एक अद्वितीय प्री-शेयर्ड की (pre-shared key) प्राप्त होती है।

जब कोई डिवाइस कनेक्ट होता है, तो एक्सेस पॉइंट डिवाइस का MAC पता और उपयोग की गई विशिष्ट PSK को Purple RADIUS सर्वर पर भेजता है। Purple की को मान्य करता है और संबंधित VLAN असाइनमेंट लौटाता है। एक कार्ड टर्मिनल VLAN 40 (PCI-स्कोप्ड) पर जाता है, जबकि एक डिजिटल साइनेज प्लेयर VLAN 50 पर जाता है। यदि किसी ठेकेदार की की को निरस्त कर दिया जाता है, तो किसी अन्य डिवाइस को प्रभावित किए बिना उनकी एक्सेस तुरंत समाप्त कर दी जाती है। यह MAC ऑथेंटिकेशन बाईपास (MAB) सूचियों और साझा पासवर्ड की आवश्यकता को समाप्त करता है।

कार्यान्वयन गाइड (Implementation Guide)

इस आर्किटेक्चर को तैनात करने के लिए सख्त अनुक्रमण (sequencing) की आवश्यकता होती है। जब तक अंतर्निहित वायर्ड नेटवर्क तैयार न हो जाए, तब तक वायरलेस कंट्रोलर को कॉन्फ़िगर न करें।

चरण 1: स्विच और फ़ायरवॉल कॉन्फ़िगरेशन

सबसे पहले स्विच लेयर पर अपने VLAN को परिभाषित करें। प्रत्येक डिवाइस क्लास के लिए अलग VLAN बनाएं (जैसे, VLAN 10 Guest, VLAN 20 Secure, VLAN 30 IoT, VLAN 40 PCI)। सख्त अलगाव लागू करने के लिए अपने फ़ायरवॉल पर इंटर-VLAN राउटिंग नीतियां कॉन्फ़िगर करें। Guest और IoT VLAN में आम तौर पर केवल आउटबाउंड इंटरनेट एक्सेस होनी चाहिए। सुनिश्चित करें कि सभी एक्सेस पॉइंट अपलिंक पोर्ट्स को सभी आवश्यक VLAN ले जाने वाले ट्रंक के रूप में कॉन्फ़िगर किया गया है।

चरण 2: RADIUS सर्वर एकीकरण

Purple पोर्टल पर जाएं और अपने RADIUS क्रेडेंशियल जेनरेट करें। प्राइमरी और सेकेंडरी IP एड्रेस, ऑथेंटिकेशन पोर्ट (आमतौर पर 1812), अकाउंटिंग पोर्ट (1813), और शेयर्ड सीक्रेट को नोट करें। इन विवरणों को अपने वायरलेस कंट्रोलर के AAA कॉन्फ़िगरेशन में दर्ज करें। क्लाउड लेटेंसी को समायोजित करने के लिए RADIUS टाइमआउट को कम से कम दो सेकंड पर सेट करें।

चरण 3: SSID कॉन्फ़िगरेशन

अपने वेंडर के विशिष्ट कार्यान्वयन के अनुसार तीन SSIDs को कॉन्फ़िगर करें:

Guest SSID: सुरक्षा को Open पर सेट करें। Captive Portal रीडायरेक्ट सक्षम करें और इसे अपने Purple पोर्टल URL पर इंगित करें। Purple के डोमेन, अपने DNS रिज़ॉल्वर और OS Captive Portal डिटेक्शन एंडपॉइंट्स (जैसे, captivedetect.apple.com) तक पहुंच की अनुमति देने के लिए वॉल्ड गार्डन (walled garden) को कॉन्फ़िगर करें।

Passpoint SSID: 802.11u/Hotspot 2.0 सक्षम करें। ANQP तत्वों को कॉन्फ़िगर करें, यह सुनिश्चित करते हुए कि NAI Realm बिल्कुल Purple ऐप द्वारा तैनात प्रोफ़ाइल से मेल खाता हो। सुरक्षा को WPA2-Enterprise या WPA3-Enterprise पर सेट करें और प्रमाणीकरण को Purple RADIUS सर्वर पर इंगित करें।

xPSK SSID: वेंडर-विशिष्ट xPSK सुविधा सक्षम करें (जैसे, Cisco Meraki पर iPSK, HPE Aruba पर MPSK)। MAC प्रमाणीकरण को Purple RADIUS सर्वर पर इंगित करें और डायनेमिक VLAN असाइनमेंट सक्षम करें।

सर्वोत्तम प्रथाएं

SSID संख्या सीमित करें: प्रति एक्सेस पॉइंट चार से अधिक SSIDs कभी भी प्रसारित न करें। अत्यधिक SSIDs बीकन ओवरहेड को बढ़ाते हैं, जिससे समग्र नेटवर्क प्रदर्शन प्रभावित होता है। तीन-SSID डिज़ाइन एयरटाइम उपयोग को अनुकूलित करता है।
वॉल्ड गार्डन की सटीकता: अपने वॉल्ड गार्डन को यथासंभव सीमित रखें। केवल पोर्टल प्रवाह और OS डिटेक्शन के लिए आवश्यक डोमेन ही शामिल करें। विस्तृत IP श्रेणियां सुरक्षा कमियां पैदा करती हैं।
कुंजी जीवनचक्र प्रबंधन: xPSK कुंजियों के लिए एक सख्त जीवनचक्र स्थापित करें। प्रावधान (provisioning) के समय ठेकेदार (contractor) कुंजियों के लिए समाप्ति तिथियां निर्धारित करें। सालाना IoT कुंजियों की समीक्षा और रोटेशन करें।

समस्या निवारण और जोखिम न्यूनीकरण

RADIUS टाइमआउट: यदि डिवाइस Passpoint या xPSK नेटवर्क से कनेक्ट होने में विफल रहते हैं, तो कंट्रोलर पर RADIUS टाइमआउट सेटिंग्स की जांच करें। क्लाउड RADIUS को स्थानीय सर्वरों की तुलना में थोड़े लंबे टाइमआउट की आवश्यकता होती है। सुनिश्चित करें कि प्राथमिक और माध्यमिक दोनों Purple RADIUS IPs कॉन्फ़िगर किए गए हैं।
VLAN टैगिंग विफलताएं: यदि कोई डिवाइस सफलतापूर्वक प्रमाणित हो जाता है लेकिन IP पता प्राप्त करने में विफल रहता है, तो समस्या लगभग हमेशा एक्सेस पॉइंट के स्विच पोर्ट पर अनुपलब्ध VLAN टैग होती है। ट्रंक कॉन्फ़िगरेशन को सत्यापित करें।
Passpoint खोज समस्याएँ: यदि डिवाइस Passpoint SSID को अनदेखा करते हैं, तो ANQP NAI Realm कॉन्फ़िगरेशन को सत्यापित करें। एक छोटी सी टाइपो भी डिवाइस को चुपचाप नेटवर्क को अस्वीकार करने का कारण बनेगी।

ROI और व्यावसायिक प्रभाव

तीन-SSID डिज़ाइन को लागू करने से मापने योग्य व्यावसायिक मूल्य मिलता है। SSIDs को समेकित करके, वेन्यू RF हस्तक्षेप को कम करते हैं और क्लाइंट प्रदर्शन में सुधार करते हैं। Passpoint और xPSK के माध्यम से डायनेमिक VLAN असाइनमेंट पासवर्ड रीसेट और MAC एड्रेस व्हाइटलिस्टिंग से संबंधित IT सपोर्ट टिकटों को काफी कम करता है। इसके अलावा, मजबूत विभाजन PCI DSS और GDPR का अनुपालन सुनिश्चित करता है, जिससे डेटा उल्लंघनों के वित्तीय जोखिम को कम किया जा सकता है और साथ ही Guest WiFi पोर्टल के माध्यम से फर्स्ट-पार्टी डेटा के संग्रह को अधिकतम किया जा सकता है।

मुख्य परिभाषाएं

Passpoint (Hotspot 2.0)

एक IEEE 802.11u मानक जो मोबाइल उपकरणों को बिना किसी उपयोगकर्ता इंटरैक्शन के स्वचालित रूप से WiFi नेटवर्क खोजने और सुरक्षित रूप से कनेक्ट करने में सक्षम बनाता है।

लगातार आने वाले आगंतुकों और कर्मचारियों के लिए सेलुलर जैसे रोमिंग अनुभव और सुरक्षित, एन्क्रिप्टेड एक्सेस प्रदान करने के लिए महत्वपूर्ण।

xPSK

विक्रेता-विशिष्ट कार्यान्वयन (iPSK, PPSK, DPSK, MPSK) के लिए एक व्यापक शब्द जो एक एकल SSID पर कई अद्वितीय प्री-शेयर कुंजियों की अनुमति देता है, जिसमें प्रत्येक कुंजी एक विशिष्ट VLAN पर मैप होती है।

हेडलेस IoT उपकरणों, प्रिंटरों और कार्ड टर्मिनलों को सुरक्षित करने के लिए उपयोग किया जाता है जो 802.1X एंटरप्राइज ऑथेंटिकेशन का समर्थन नहीं कर सकते हैं।

Captive Portal

एक वेब पेज जिसे उपयोगकर्ताओं को सार्वजनिक WiFi नेटवर्क तक पहुंच प्रदान करने से पहले देखने और इंटरैक्ट करने के लिए बाध्य किया जाता है।

फर्स्ट-पार्टी डेटा कैप्चर करने और स्पष्ट सहमति के माध्यम से GDPR अनुपालन सुनिश्चित करने का प्राथमिक तंत्र।

VLAN Segmentation

ट्रैफ़िक को अलग करने और सुरक्षा नीतियों को लागू करने के लिए एक भौतिक नेटवर्क को कई तार्किक नेटवर्क में विभाजित करने की प्रथा।

अविश्वसनीय अतिथि ट्रैफ़िक को संवेदनशील आंतरिक प्रणालियों और PCI-स्कोप्ड भुगतान उपकरणों से अलग करने के लिए आवश्यक।

RADIUS

रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस; एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत ऑथेंटिकेशन, ऑथराइजेशन और अकाउंटिंग (AAA) प्रबंधन प्रदान करता है।

वह इंजन जो Passpoint और xPSK को संचालित करता है, क्रेडेंशियल्स को मान्य करता है और एक्सेस पॉइंट को निर्देश देता है कि कौन सा VLAN असाइन करना है।

ANQP

एक्सेस नेटवर्क क्वेरी प्रोटोकॉल; एक एक्सेस पॉइंट के साथ जुड़ने से पहले नेटवर्क जानकारी (जैसे रोमिंग कंसोर्टियम और ऑथेंटिकेशन प्रकार) की खोज करने के लिए उपकरणों द्वारा उपयोग किया जाने वाला एक प्रोटोकॉल।

यह निर्धारित करने के लिए कि क्या किसी डिवाइस के पास स्वचालित रूप से कनेक्ट होने के लिए सही प्रोफ़ाइल है, Passpoint इस तंत्र का उपयोग करता है।

Walled Garden

एक सीमित वातावरण जो उपयोगकर्ता के पूरी तरह से प्रमाणित होने से पहले वेब सामग्री तक उसकी पहुंच को नियंत्रित करता है।

डिवाइसों को Captive Portal और OS डिटेक्शन एंडपॉइंट तक पहुंचने की अनुमति देने के लिए इसे सही ढंग से कॉन्फ़िगर किया जाना चाहिए।

EAP-TLS

एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल - ट्रांसपोर्ट लेयर सिक्योरिटी; एक प्रमाणीकरण ढांचा जो क्लाइंट और सर्वर दोनों के सत्यापन के लिए प्रमाणपत्रों का उपयोग करता है।

अत्यधिक सुरक्षित प्रमाणीकरण विधि जो आमतौर पर एन्क्रिप्टेड कनेक्शन सुनिश्चित करने के लिए Passpoint प्रोफाइल द्वारा उपयोग की जाती है।

हल किए गए उदाहरण

एक 350 कमरों वाले होटल को अपने कार्ड टर्मिनलों को सुरक्षित करने के साथ-साथ अपने लॉयल्टी प्रोग्राम के लिए मेहमानों का डेटा एकत्र करने की आवश्यकता है। वर्तमान में, सभी डिवाइस एक ही WPA2-Personal SSID साझा करते हैं।

तीन-SSID आर्किटेक्चर तैनात करें। मेहमानों के लिए VLAN 10, लॉयल्टी सदस्यों के लिए VLAN 20, और भुगतान टर्मिनलों के लिए VLAN 40 बनाएं। डेटा कैप्चर करने के लिए पर्पल Captive Portal के साथ गेस्ट SSID को ओपन के रूप में कॉन्फ़िगर करें। Purple ऐप का उपयोग करके लॉयल्टी सदस्यों के लिए Passpoint SSID कॉन्फ़िगर करें। कार्ड टर्मिनलों के लिए xPSK SSID कॉन्फ़िगर करें। Purple डैशबोर्ड में, प्रत्येक टर्मिनल के लिए अद्वितीय PSK जेनरेट करें और उन्हें VLAN 40 पर मैप करें। फ़ायरवॉल पर, VLAN 40 को केवल भुगतान प्रोसेसर के IP पते पर आउटबाउंड HTTPS ट्रैफ़िक की अनुमति देने के लिए प्रतिबंधित करें।

परीक्षक की टिप्पणी: यह दृष्टिकोण कार्डधारक डेटा वातावरण को अलग करके PCI अनुपालन विफलता को तुरंत हल करता है। यह लगातार आने वाले आगंतुकों को सहज Passpoint एक्सेस पर ले जाकर अतिथि अनुभव को भी आधुनिक बनाता है, जबकि नए मेहमानों से मूल्यवान फर्स्ट-पार्टी डेटा कैप्चर करता है।

80 स्टोरों वाली एक रिटेल चेन को प्रति स्टोर पांच SSIDs (अतिथि, कर्मचारी, POS, साइनेज, स्कैनर) प्रसारित करने के कारण गंभीर WiFi प्रदर्शन समस्याओं का सामना करना पड़ रहा है।

तीन-SSID डिज़ाइन का उपयोग करके नेटवर्क को समेकित करें। Captive Portal के साथ गेस्ट SSID को बनाए रखें। Purple के RADIUS एकीकरण के माध्यम से Microsoft Entra ID के विरुद्ध प्रमाणित करते हुए, कर्मचारियों के लिए एक Passpoint SSID तैनात करें, उन्हें स्टाफ VLAN पर मैप करें। POS, साइनेज और स्कैनर को एक ही xPSK SSID पर संयोजित करें। प्रत्येक डिवाइस श्रेणी को अद्वितीय कुंजियाँ असाइन करें, POS को VLAN 40, साइनेज को VLAN 50, और स्कैनर को VLAN 60 पर मैप करें।

परीक्षक की टिप्पणी: SSID की संख्या को पांच से घटाकर तीन करने से प्रबंधन फ्रेम ओवरहेड में काफी कमी आती है, जिससे उपलब्ध एयरटाइम और क्लाइंट थ्रूपुट में तुरंत सुधार होता है। आईटी टीम को MAB सूचियों को बनाए रखने के प्रशासनिक बोझ के बिना हेडलेस उपकरणों पर बारीक नियंत्रण प्राप्त होता है।

अभ्यास प्रश्न

Q1. एक स्टेडियम IT निदेशक उन प्रशंसकों के लिए Passpoint तैनात करना चाहता है जो आधिकारिक टीम ऐप का उपयोग करते हैं, लेकिन वह RADIUS टाइमआउट सेटिंग्स के कारण उच्च-घनत्व वाले इवेंट्स के दौरान कनेक्शन विफल होने को लेकर चिंतित हैं। अनुशंसित दृष्टिकोण क्या है?

संकेत: क्लाउड-आधारित प्रमाणीकरण बनाम स्थानीय नियंत्रकों की लेटेंसी (विलंबता) पर विचार करें।

मॉडल उत्तर देखें

वायरलेस नियंत्रकों पर RADIUS टाइमआउट को न्यूनतम दो से तीन सेकंड पर कॉन्फ़िगर करें। उच्च-घनत्व वाले वातावरणों में, क्लाउड RADIUS प्रतिक्रियाओं में स्थानीय सर्वरों की तुलना में थोड़ा अधिक समय लग सकता है। इसके अतिरिक्त, फेलओवर रिडंडेंसी प्रदान करने के लिए प्राथमिक और द्वितीयक दोनों Purple RADIUS IP पते कॉन्फ़िगर करना सुनिश्चित करें।

Q2. आप नए वायरलेस बारकोड स्कैनर्स के एक समूह के लिए xPSK SSID को कॉन्फ़िगर कर रहे हैं। स्कैनर SSID से सफलतापूर्वक कनेक्ट हो जाते हैं, लेकिन वे इन्वेंट्री सर्वर तक नहीं पहुंच पाते हैं। इसका सबसे संभावित कारण क्या है?

संकेत: एक्सेस पॉइंट और कोर स्विच के बीच के पथ के बारे में सोचें।

मॉडल उत्तर देखें

सबसे संभावित कारण एक्सेस पॉइंट के स्विच पोर्ट पर VLAN टैग का न होना है। हालांकि Purple RADIUS स्कैनर को इन्वेंट्री VLAN को सही ढंग से असाइन कर रहा है, लेकिन यदि वह VLAN एक्सेस पॉइंट को स्विच से जोड़ने वाले ट्रंक पोर्ट पर स्वीकृत नहीं है, तो ट्रैफ़िक ड्रॉप हो जाएगा।

Q3. एक होटल को मेहमानों को Captive Portal के माध्यम से प्रमाणित करने से पहले उसके डायरेक्ट बुकिंग इंजन तक पहुंचने की अनुमति देनी होगी। इसे कैसे कॉन्फ़िगर किया जाना चाहिए?

संकेत: इसमें प्री-ऑथेंटिकेशन ट्रैफ़िक को नियंत्रित करना शामिल है।

मॉडल उत्तर देखें

IT टीम को बुकिंग इंजन के डोमेन और IP पते वायरलेस नियंत्रक पर वॉल्ड गार्डन (walled garden) कॉन्फ़िगरेशन में जोड़ने होंगे। यह प्री-ऑथेंटिकेशन ट्रैफ़िक को उन विशिष्ट गंतव्यों तक पहुंचने की अनुमति देता है, जबकि Captive Portal फ्लो पूरा होने तक अन्य सभी इंटरनेट एक्सेस को ब्लॉक रखता है।

इस श्रृंखला में आगे पढ़ें

Active Directory या ऑन-प्रिमाइसेस सर्वर के बिना Enterprise WiFi ऑथेंटिकेशन

यह गाइड बताती है कि ऑन-प्रिमाइसेस Active Directory, Windows NPS, या RADIUS सर्वर के बिना सुरक्षित WPA2/3-Enterprise WiFi ऑथेंटिकेशन कैसे तैनात किया जाए। इसमें क्लाउड आइडेंटिटी प्रोवाइडर्स और 802.1X के बीच प्रोटोकॉल विसंगति, PEAP-MSCHAPv2 पर EAP-TLS के लाभ, और Microsoft Entra ID, Okta, या Google Workspace के विरुद्ध MDM-जारी प्रमाणपत्रों के साथ क्लाउड RADIUS को कैसे तैनात किया जाए, शामिल है। यह उन क्लाउड-फर्स्ट और Mac/Chromebook-भारी संगठनों के IT प्रमुखों के लिए लिखा गया है जो ऑन-प्रिमाइसेस इन्फ्रास्ट्रक्चर को सेवानिवृत्त (retire) करने के लिए तैयार हैं।

कर्मचारी के नौकरी छोड़ने पर WiFi एक्सेस को कैसे निरस्त करें

यह गाइड विस्तार से बताती है कि कर्मचारी के जाने पर WiFi एक्सेस को कैसे निरस्त किया जाए, और असुरक्षित साझा पासवर्ड को प्रति-उपयोगकर्ता 802.1X सर्टिफिकेट या iPSK से कैसे बदला जाए। इसमें ISO 27001 और SOC 2 ऑडिट आवश्यकताओं को पूरा करने के लिए SCIM के माध्यम से स्वचालित डीप्रोविज़निंग को शामिल किया गया है।

Google Workspace WiFi प्रमाणीकरण: Chromebook और LDAP एकीकरण

Google Workspace परिवेशों में सुरक्षित WiFi परिनियोजित करने वाले IT प्रशासकों के लिए एक निश्चित तकनीकी संदर्भ। यह गाइड Google Admin Console के माध्यम से प्रबंधित Chromebooks पर 802.1X प्रमाणपत्र परिनियोजन, RADIUS बैकएंड के रूप में Google Secure LDAP एकीकरण, और शिक्षा, मीडिया और एंटरप्राइज़ स्थानों के लिए आर्केटेक्चर निर्णयों को कवर करती है। यह टीमों को संवेदनशील साझा PSKs से मजबूत, पहचान-आधारित नेटवर्क एक्सेस कंट्रोल की ओर बढ़ने में मदद करने के लिए व्यावहारिक कार्यान्वयन चरण, वास्तविक दुनिया के केस स्टडीज और EAP विधियों की प्रत्यक्ष तुलना प्रदान करती है।