मुख्य सामग्री पर जाएं
हिन्दी

Fortinet FortiAP और Purple WiFi इंटीग्रेशन गाइड

Fortinet FortiAP और FortiGate इंफ्रास्ट्रक्चर को Purple WiFi के साथ इंटीग्रेट करने के लिए एक निश्चित तकनीकी संदर्भ। यह गाइड हॉस्पिटैलिटी, रिटेल और सार्वजनिक-क्षेत्र के वातावरण में एंटरप्राइज़ डिप्लॉयमेंट के लिए बाहरी Captive Portal कॉन्फ़िगरेशन, FortiAuthenticator के साथ RADIUS ऑथेंटिकेशन सह-अस्तित्व और सुरक्षा नीति डिज़ाइन को कवर करती है।

📖 7 मिनट का पाठ📝 1,552 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 9 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
Purple आर्किटेक्चर ब्रीफिंग में आपका स्वागत है। आज हम एंटरप्राइज़ नेटवर्क के लिए एक महत्वपूर्ण इंटीग्रेशन पर चर्चा कर रहे हैं: Fortinet इंफ्रास्ट्रक्चर, विशेष रूप से FortiAP एक्सेस पॉइंट और FortiGate फ़ायरवॉल के साथ Purple WiFi को तैनात करना। यदि आप एक IT प्रबंधक, नेटवर्क आर्किटेक्ट, या किसी वेन्यू का प्रबंधन करने वाले CTO हैं — चाहे वह रिटेल चेन हो, स्टेडियम हो, या अस्पताल हो — यह सत्र आपको इन दो शक्तिशाली प्लेटफार्मों को एक साथ सहजता से काम करने के लिए कार्रवाई योग्य ब्लूप्रिंट देने के लिए डिज़ाइन किया गया है। आइए संदर्भ सेट करें। Fortinet अपनी मजबूत सुरक्षा स्थिति के लिए प्रसिद्ध है। FortiGate यूनिफाइड थ्रेट मैनेजमेंट एप्लायंसेज डीप, लेयर 7 ट्रैफ़िक इंस्पेक्शन प्रदान करते हैं। हालाँकि, जब गेस्ट WiFi की बात आती है, तो आप केवल सुरक्षा नहीं चाहते हैं — आप व्यावसायिक मूल्य चाहते हैं। आप डेमोग्राफिक डेटा कैप्चर करना चाहते हैं, विज़िटर के व्यवहार को समझना चाहते हैं, और निवेश पर मार्केटिंग रिटर्न (ROI) बढ़ाना चाहते हैं। यहीं पर Purple आता है। एक बाहरी Captive Portal के रूप में Purple को इंटीग्रेट करके, आप गेस्ट आइडेंटिटी मैनेजमेंट, GDPR सहमति और सोशल लॉगिन के भारी काम को Purple के क्लाउड RADIUS पर ऑफलोड करते हैं, जबकि FortiGate को वह करने देते हैं जो वह सबसे अच्छा करता है: परिधि (perimeter) को सुरक्षित करना। तो, यह वास्तव में हुड के नीचे कैसे काम करता है? आइए तकनीकी डीप-डाइव में चलते हैं। आर्किटेक्चर मानक RADIUS प्रोटोकॉल और HTTP रीडायरेक्शन पर निर्भर करता है। जब कोई गेस्ट डिवाइस FortiAP द्वारा ब्रॉडकास्ट किए गए आपके ओपन गेस्ट SSID से जुड़ता है, तो FortiGate उस प्रारंभिक वेब अनुरोध को इंटरसेप्ट करता है। एक बुनियादी, स्थानीय रूप से संग्रहीत पोर्टल पेज सर्व करने के बजाय, FortiGate क्लाइंट को Purple के क्लाउड-होस्टेड स्प्लैश पेज पर रीडायरेक्ट करता है。 अब, यहाँ महत्वपूर्ण अवधारणा है: वॉल्ड गार्डन। इस प्री-ऑथेंटिकेशन चरण के दौरान, गेस्ट के पास इंटरनेट एक्सेस नहीं होता है। लेकिन उन्हें पोर्टल ग्राफ़िक्स लोड करने की आवश्यकता होती है, और उन्हें लॉग इन करने के लिए Facebook या Google तक पहुंचने की आवश्यकता हो सकती है। वॉल्ड गार्डन FortiGate पर कॉन्फ़िगर की गई एक सख्त अलाउलिस्ट है जो इन विशिष्ट डोमेन पर ट्रैफ़िक की अनुमति देती है। एक बार जब उपयोगकर्ता ऑथेंटिकेट हो जाता है, तो Purple का प्लेटफॉर्म FortiGate को वापस एक RADIUS Access-Accept संदेश भेजता है। FortiGate फिर स्विच को फ़्लिप करता है, सेशन स्थिति को ऑथेंटिकेटेड में बदलता है, और उपयोगकर्ता को आपकी पोस्ट-ऑथेंटिकेशन फ़ायरवॉल पॉलिसी में डाल देता है। आइए RADIUS कॉन्फ़िगरेशन के बारे में अधिक विस्तार से बात करते हैं, क्योंकि यहीं सटीकता मायने रखती है। Purple आपको RADIUS क्रेडेंशियल्स के दो सेट प्रदान करता है: एक पोर्ट 1812 पर ऑथेंटिकेशन के लिए, और एक पोर्ट 1813 पर अकाउंटिंग के लिए। दोनों को कॉन्फ़िगर किया जाना चाहिए। अकाउंटिंग सर्वर वैकल्पिक नहीं है। यह वह तंत्र है जिसके द्वारा FortiGate Purple को वापस सेशन डेटा रिपोर्ट करता है — अवधि, खपत की गई बैंडविड्थ, और सेशन समाप्ति की घटनाएं। सटीक अकाउंटिंग डेटा के बिना, आपका Purple एनालिटिक्स डैशबोर्ड अधूरे या गलत विज़िटर मेट्रिक्स दिखाएगा। अपने अकाउंटिंग अंतरिम अंतराल को 120 सेकंड पर सेट करें। यह रीयल-टाइम विज़िबिलिटी और नेटवर्क ओवरहेड के बीच एक अच्छा संतुलन प्रदान करता है। एक बहुत ही सामान्य परिदृश्य में FortiAuthenticator शामिल है। कई एंटरप्राइज़ अपने स्टाफ WiFi के लिए FortiAuthenticator का उपयोग करते हैं — Active Directory के विरुद्ध कॉर्पोरेट उपकरणों को ऑथेंटिकेट करने के लिए 802.1X और PEAP का उपयोग करते हैं। सवाल हमेशा यह होता है: क्या मैं स्टाफ के लिए अपना FortiAuthenticator रख सकता हूँ और गेस्ट्स के लिए Purple का उपयोग कर सकता हूँ? उत्तर बिल्कुल हाँ है, और यहाँ अंगूठे का नियम सख्त अलगाव है। आप FortiAuthenticator को पॉइंट करने वाले अपने स्टाफ SSID को बनाए रखते हैं। आप Purple के बाहरी Captive Portal और क्लाउड RADIUS को पॉइंट करने वाले गेस्ट्स के लिए पूरी तरह से अलग, ओपन SSID बनाते हैं। FortiGate SSID के आधार पर ऑथेंटिकेशन अनुरोधों को रूट करता है। स्टाफ की पहचान FortiAuthenticator के साथ ऑन-प्रिमाइसेस रहती है। गेस्ट की पहचान Purple मार्केटिंग क्लाउड में जाती है। शून्य क्रॉसओवर, अधिकतम सुरक्षा। इस आर्किटेक्चर का एक महत्वपूर्ण अनुपालन लाभ भी है। PCI DSS आवश्यकताओं के तहत, गेस्ट WiFi नेटवर्क को कार्डधारक डेटा को संभालने वाले किसी भी नेटवर्क सेगमेंट से पूरी तरह से अलग किया जाना चाहिए। गेस्ट SSID को एक समर्पित VLAN पर रखकर और सभी RFC 1918 निजी IP स्पेस डेस्टिनेशन को ब्लॉक करने के लिए FortiGate पर सख्त फ़ायरवॉल नीतियां लागू करके, आप इस आवश्यकता को स्पष्ट रूप से पूरा करते हैं। अब हम इम्प्लीमेंटेशन अनुशंसाओं पर चलते हैं। जब आप इसे सेट कर रहे हों, तो आपको IP असाइनमेंट के संबंध में एक महत्वपूर्ण निर्णय लेना होगा: NAT मोड बनाम Bridge मोड। यदि आप लगभग पचास से सौ समवर्ती गेस्ट कनेक्शन के साथ एक छोटी रिटेल ब्रांच तैनात कर रहे हैं, तो NAT मोड पूरी तरह से पर्याप्त है। FortiGate एक समर्पित आंतरिक सबनेट से गेस्ट्स को DHCP पते सौंपता है और फ़ायरवॉल से ट्रैफ़िक बाहर निकलते समय उनका अनुवाद करता है। यह सरल है और इसके लिए न्यूनतम अतिरिक्त इंफ्रास्ट्रक्चर की आवश्यकता होती है। लेकिन यदि आप एक हाई-डेंसिटी वातावरण तैनात कर रहे हैं — मान लीजिए, एक पांच सौ कमरों वाला होटल, कई समवर्ती इवेंट्स वाला एक सम्मेलन केंद्र, या एक स्टेडियम — तो आपको Bridge मोड का उपयोग करना चाहिए। Bridge मोड में, FortiAP गेस्ट ट्रैफ़िक को सीधे एक समर्पित VLAN पर छोड़ देता है, जिससे आपके कोर एंटरप्राइज़ DHCP सर्वर लोड को संभाल सकते हैं। यह पीक कनेक्शन इवेंट्स के दौरान FortiGate को DHCP बॉटलनेक बनने से रोकता है। Bridge मोड यह भी सुनिश्चित करता है कि Purple प्लेटफॉर्म वास्तविक क्लाइंट IP पता देखे, जो सटीक एनालिटिक्स और समस्या निवारण के लिए महत्वपूर्ण है। आइए चरण-दर-चरण कॉन्फ़िगरेशन अनुक्रम के बारे में बात करते हैं, क्योंकि यहाँ क्रम मायने रखता है। Purple पोर्टल से शुरू करें। अपने RADIUS सर्वर क्रेडेंशियल्स प्राप्त करें — सर्वर IP पते, साझा रहस्य, Captive Portal URL और रीडायरेक्ट URL। Fortinet कॉन्फ़िगरेशन को छूने से पहले आपको ये चार महत्वपूर्ण जानकारी चाहिए। फिर, FortiCloud डैशबोर्ड या अपने FortiGate प्रबंधन इंटरफ़ेस पर जाएँ। पहले अपने RADIUS सर्वर को परिभाषित करें — 1812 पर ऑथेंटिकेशन, 1813 पर अकाउंटिंग। फिर अपना गेस्ट SSID बनाएं, ऑथेंटिकेशन को Open पर सेट करें, External Captive Portal सक्षम करें, और Purple पोर्टल URL और रीडायरेक्ट URL इनपुट करें। अपना वॉल्ड गार्डन कॉन्फ़िगर करें। और अंत में, अपने UTM प्रोफ़ाइल के साथ अपनी पोस्ट-ऑथेंटिकेशन फ़ायरवॉल पॉलिसी को परिभाषित करें। खामियों के बारे में क्या? डिप्लॉयमेंट आमतौर पर कहाँ गलत होते हैं? बिना किसी सवाल के, नंबर एक समस्या एक अधूरा वॉल्ड गार्डन है। यदि कोई गेस्ट कनेक्ट होता है और उसे एक खाली स्क्रीन या कनेक्शन टाइमआउट मिलता है, तो इसका लगभग हमेशा मतलब है कि FortiGate ऑथेंटिकेशन से पहले Purple की CSS फ़ाइलों, JavaScript एसेट्स या सोशल लॉगिन API तक पहुंच को ब्लॉक कर रहा है। आपको यह सुनिश्चित करना चाहिए कि उस प्री-ऑथेंटिकेशन पॉलिसी में हर आवश्यक डोमेन को स्पष्ट रूप से अनुमति दी गई है। Purple आवश्यक डोमेन की एक व्यापक सूची प्रदान करता है — इसका पूरा उपयोग करें। साथ ही, DNS को न भूलें। अनऑथेंटिकेटेड क्लाइंट्स को DNS क्वेरीज़ को रिज़ॉल्व करने की अनुमति दी जानी चाहिए, अन्यथा रीडायरेक्ट काम ही नहीं करेगा। पेज लोड करने का प्रयास करने से पहले डिवाइस को Purple पोर्टल होस्टनाम को रिज़ॉल्व करने की आवश्यकता होती है। दूसरी सबसे आम खामी प्रमाणपत्र त्रुटियां हैं। सुनिश्चित करें कि आपका FortiGate रीडायरेक्शन इंटरफ़ेस के लिए एक वैध, सार्वजनिक रूप से विश्वसनीय SSL प्रमाणपत्र प्रस्तुत कर रहा है। यदि आप डिफ़ॉल्ट स्व-हस्ताक्षरित प्रमाणपत्र का उपयोग करते हैं, तो आधुनिक iPhone और Android डिवाइस महत्वपूर्ण सुरक्षा चेतावनियां देंगे, और आपके गेस्ट कनेक्शन को पूरी तरह से छोड़ देंगे। यह विशेष रूप से हॉस्पिटैलिटी वातावरण में एक गंभीर समस्या है जहां गेस्ट अनुभव सर्वोपरि है। तीसरी खामी RADIUS टाइमआउट त्रुटियां हैं। यदि पोर्टल लोड होता है लेकिन ऑथेंटिकेशन लगातार विफल रहता है, तो सत्यापित करें कि आपके FortiGate कॉन्फ़िगरेशन और Purple पोर्टल के बीच साझा रहस्य बिल्कुल मेल खाते हैं। एक भी कैरेक्टर का अंतर सभी ऑथेंटिकेशन प्रयासों को चुपचाप विफल कर देगा। यह भी सत्यापित करें कि कोई मध्यवर्ती फ़ायरवॉल आपके Fortinet इंफ्रास्ट्रक्चर और Purple के क्लाउड RADIUS सर्वर के बीच UDP पोर्ट 1812 और 1813 को ब्लॉक नहीं कर रहा है। आइए ग्राहकों से सुने जाने वाले सबसे आम सवालों के आधार पर एक रैपिड-फायर प्रश्न और उत्तर सत्र के साथ समाप्त करें। प्रश्न एक: क्या Purple का उपयोग करने से मेरी FortiGate सुरक्षा नीतियां बायपास हो जाती हैं? बिल्कुल नहीं। Purple ऑथेंटिकेशन और आइडेंटिटी कैप्चर को संभालता है। एक बार ऑथेंटिकेट होने के बाद, सभी गेस्ट ट्रैफ़िक आपकी FortiGate की पोस्ट-ऑथेंटिकेशन पॉलिसी के माध्यम से प्रवाहित होते हैं। यह ठीक वही जगह है जहां आप FortiGuard Web Filtering लागू करते हैं, पीयर-टू-पीयर ट्रैफ़िक को ब्लॉक करते हैं, और बैंडविड्थ को आकार देते हैं। इसे इस तरह से सोचें: प्री-ऑथेंटिकेशन लॉगिन की अनुमति देने के लिए अनुमेय है; पोस्ट-ऑथेंटिकेशन नेटवर्क की सुरक्षा के लिए दंडात्मक है। प्रश्न दो: क्या मुझे स्थानीय RADIUS सर्वर तैनात करने की आवश्यकता है? नहीं। Purple RADIUS-as-a-Service प्रदान करता है। आप FortiGate को सीधे Purple के क्लाउड RADIUS IP पतों को पॉइंट करने के लिए कॉन्फ़िगर करते हैं। गेस्ट नेटवर्क के लिए FreeRADIUS, Windows NPS, या किसी अन्य स्थानीय RADIUS इंफ्रास्ट्रक्चर को तैनात करने और बनाए रखने की कोई आवश्यकता नहीं है। प्रश्न तीन: क्या Purple FortiWLM के साथ काम कर सकता है? हाँ। इंटीग्रेशन दृष्टिकोण सुसंगत है — FortiGate कॉन्फ़िगरेशन के समान तार्किक अनुक्रम का पालन करते हुए, FortiWLM नियंत्रक के भीतर बाहरी Captive Portal URL, RADIUS सर्वर क्रेडेंशियल्स और वॉल्ड गार्डन को कॉन्फ़िगर करें। प्रश्न चार: GDPR अनुपालन के बारे में क्या? Purple पोर्टल स्तर पर स्पष्ट सहमति कैप्चर करता है, ऑथेंटिकेशन से पहले आपके नियम और शर्तें और डेटा प्रोसेसिंग नोटिस प्रस्तुत करता है। यह सहमति डेटा Purple प्लेटफॉर्म के भीतर संग्रहीत किया जाता है और ऑडिट योग्य है। FortiGate की भूमिका विशुद्ध रूप से नेटवर्क एन्फोर्समेंट है — इसे सीधे सहमति डेटा को संभालने की आवश्यकता नहीं है। आज की ब्रीफिंग से मुख्य बातों को संक्षेप में प्रस्तुत करने के लिए। पहला: अपने स्टाफ और गेस्ट SSID को पूरी तरह से अलग करें। 802.1X के साथ FortiAuthenticator पर स्टाफ। बाहरी Captive Portal के साथ Purple पर गेस्ट्स। दूसरा: अपने वॉल्ड गार्डन को सावधानीपूर्वक कॉन्फ़िगर करें। यह सबसे आम विफलता बिंदु है और सबसे महत्वपूर्ण प्री-ऑथेंटिकेशन कॉन्फ़िगरेशन तत्व है। तीसरा: DHCP बॉटलनेक से बचने और सटीक क्लाइंट IP विज़िबिलिटी सुनिश्चित करने के लिए किसी भी हाई-डेंसिटी डिप्लॉयमेंट के लिए Bridge मोड का उपयोग करें। चौथा: RADIUS ऑथेंटिकेशन और अकाउंटिंग सर्वर दोनों को कॉन्फ़िगर करें। यदि आप सार्थक एनालिटिक्स चाहते हैं तो अकाउंटिंग वैकल्पिक नहीं है। पांचवां: ऑथेंटिकेशन के बाद Fortinet की UTM सुविधाओं का लाभ उठाएं। वेब फ़िल्टरिंग, एप्लिकेशन कंट्रोल और बैंडविड्थ शेपिंग सभी को पोस्ट-ऑथेंटिकेशन फ़ायरवॉल पॉलिसी में लागू किया जाना चाहिए। इस इंटीग्रेशन को सही ढंग से निष्पादित करके, आप गेस्ट WiFi को एक लागत केंद्र से एक अनुपालन, सुरक्षित और राजस्व उत्पन्न करने वाली संपत्ति में बदल देते हैं। Fortinet की सुरक्षा गहराई और Purple की मार्केटिंग इंटेलिजेंस का संयोजन किसी भी वेन्यू ऑपरेटर के लिए वास्तव में शक्तिशाली है जो अपने गेस्ट अनुभव और डेटा रणनीति को गंभीरता से लेना चाहता है। Purple आर्किटेक्चर ब्रीफिंग सुनने के लिए धन्यवाद। यदि आप अपनी विशिष्ट डिप्लॉयमेंट आवश्यकताओं पर चर्चा करना चाहते हैं, तो समाधान टीम से बात करने के लिए purple.ai पर जाएँ।

header_image.png

कार्यकारी सारांश

Fortinet इंफ्रास्ट्रक्चर चलाने वाली एंटरप्राइज़ IT टीमों के लिए, कठोर सुरक्षा व्यवस्था बनाए रखते हुए गेस्ट एक्सेस के लिए बाहरी Captive Portal को इंटीग्रेट करना एक आम आवश्यकता है। Fortinet FortiAP एक्सेस पॉइंट, FortiGate यूनिफाइड थ्रेट मैनेजमेंट (UTM) एप्लायंसेज और Purple WiFi प्लेटफॉर्म के बीच का इंटीग्रेशन संगठनों को कोर नेटवर्क सुरक्षा से गेस्ट ऑथेंटिकेशन को अलग करने की अनुमति देता है। यह गाइड तकनीकी आर्किटेक्ट्स और IT प्रबंधकों को Fortinet वातावरण के भीतर एक बाहरी Captive Portal के रूप में Purple को तैनात करने के लिए निश्चित ब्लूप्रिंट प्रदान करती है। गेस्ट आइडेंटिटी मैनेजमेंट को Purple के क्लाउड RADIUS पर ऑफलोड करके, नेटवर्क टीमें ट्रैफ़िक इंस्पेक्शन के लिए Fortinet की मजबूत लेयर 7 सुरक्षा नीतियों का लाभ उठा सकती हैं, जबकि साथ ही व्यावसायिक मूल्य बढ़ाने के लिए फर्स्ट-पार्टी डेमोग्राफिक डेटा कैप्चर कर सकती हैं। चाहे एक डिस्ट्रीब्यूटेड रिटेल एस्टेट में तैनाती हो या हाई-डेंसिटी स्टेडियम में, यह आर्किटेक्चर PCI DSS और GDPR का अनुपालन सुनिश्चित करता है और एक सहज Guest WiFi अनुभव प्रदान करता है。

तकनीकी डीप-डाइव

Fortinet और Purple के बीच आर्किटेक्चरल इंटीग्रेशन मानक RADIUS प्रोटोकॉल और HTTP रीडायरेक्शन तंत्र पर निर्भर करता है। जब कोई गेस्ट डिवाइस FortiAP द्वारा ब्रॉडकास्ट किए गए निर्दिष्ट ओपन SSID से जुड़ता है, तो FortiGate प्रारंभिक HTTP/HTTPS अनुरोध को इंटरसेप्ट करता है। स्थानीय Captive Portal सर्व करने के बजाय, FortiGate को क्लाइंट को Purple के क्लाउड-होस्टेड स्प्लैश पेज पर रीडायरेक्ट करने के लिए कॉन्फ़िगर किया जाता है।

इस प्री-ऑथेंटिकेशन चरण के दौरान, FortiGate एक वॉल्ड गार्डन (walled garden) लागू करता है — IP पतों और डोमेन की एक सख्त अलाउलिस्ट जो क्लाइंट डिवाइस को पूर्ण इंटरनेट एक्सेस दिए बिना Captive Portal एसेट्स लोड करने, सोशल लॉगिन करने और आवश्यक सेवाओं (जैसे DNS) तक पहुंचने की अनुमति देती है। एक बार जब उपयोगकर्ता Purple पोर्टल पर ऑथेंटिकेट हो जाता है, तो Purple प्लेटफॉर्म RADIUS Access-Accept संदेशों के माध्यम से FortiGate से वापस संचार करता है। इसके बाद FortiGate क्लाइंट की सेशन स्थिति को अनऑथेंटिकेटेड से ऑथेंटिकेटेड में बदल देता है, और उचित पोस्ट-ऑथेंटिकेशन फ़ायरवॉल नीतियां लागू करता है।

architecture_overview.png

RADIUS सह-अस्तित्व: Purple और FortiAuthenticator

Fortinet शॉप्स में एक आम आर्किटेक्चरल चुनौती कॉर्पोरेट पहचान के लिए पहले से तैनात FortiAuthenticator (FAC) के साथ-साथ स्टाफ ऑथेंटिकेशन और गेस्ट एक्सेस का प्रबंधन करना है। अनुशंसित दृष्टिकोण पूर्ण SSID अलगाव (segregation) है। स्टाफ डिवाइस IEEE 802.1X — आमतौर पर PEAP या EAP-TLS — का उपयोग करके एक सुरक्षित SSID से जुड़ते हैं, जो सीधे FortiAuthenticator के विरुद्ध ऑथेंटिकेट होता है। इसके विपरीत, गेस्ट डिवाइस बाहरी Captive Portal रीडायरेक्शन के लिए कॉन्फ़िगर किए गए एक ओपन SSID से जुड़ते हैं, जो Purple के क्लाउड RADIUS इंफ्रास्ट्रक्चर के विरुद्ध ऑथेंटिकेट होता है।

यह अलगाव सुनिश्चित करता है कि गेस्ट आइडेंटिटी डेटा — जो WiFi Analytics के लिए महत्वपूर्ण है — पूरी तरह से Purple प्लेटफॉर्म के भीतर प्रबंधित किया जाता है, जबकि कॉर्पोरेट Active Directory क्रेडेंशियल्स सुरक्षित रूप से ऑन-प्रिमाइसेस FortiAuthenticator द्वारा प्रोसेस किए जाते हैं। FortiGate दोनों ट्रैफ़िक स्ट्रीम के लिए रूटिंग और पॉलिसी एन्फोर्समेंट को स्वतंत्र रूप से संभालता है, जिससे गेस्ट VLAN और कॉर्पोरेट VLAN के बीच शून्य क्रॉसओवर सुनिश्चित होता है। यह आर्किटेक्चर नेटवर्क सेगमेंटेशन के लिए PCI DSS आवश्यकताओं को भी पूरा करता है, क्योंकि गेस्ट ट्रैफ़िक भौतिक और तार्किक रूप से किसी भी पेमेंट-प्रोसेसिंग इंफ्रास्ट्रक्चर से अलग होता है।

इम्प्लीमेंटेशन गाइड

FortiAP Purple इंटीग्रेशन को तैनात करने के लिए Purple पोर्टल और Fortinet इंफ्रास्ट्रक्चर दोनों में समन्वित कॉन्फ़िगरेशन की आवश्यकता होती है। निम्नलिखित चरण FortiCloud AP प्रबंधन का उपयोग करके सफल तैनाती के लिए महत्वपूर्ण मार्ग की रूपरेखा तैयार करते हैं।

चरण 1: नेटवर्क और RADIUS कॉन्फ़िगरेशन

FortiCloud डैशबोर्ड के भीतर नेटवर्क को परिभाषित करके शुरुआत करें। Configure > My RADIUS Server पर नेविगेट करें और Purple पोर्टल में दिए गए क्रेडेंशियल्स का उपयोग करके ऑथेंटिकेशन सर्वर (Port 1812) और अकाउंटिंग सर्वर (Port 1813) दोनों को परिभाषित करें। दोनों सर्वर कॉन्फ़िगर किए जाने चाहिए — अकाउंटिंग वैकल्पिक नहीं है। Purple सेशन की अवधि, बैंडविड्थ की खपत और विज़िटर फ़्रीक्वेंसी मेट्रिक्स के साथ WiFi Analytics डैशबोर्ड को पॉप्युलेट करने के लिए RADIUS अकाउंटिंग डेटा पर निर्भर करता है। रीयल-टाइम विज़िबिलिटी के लिए अकाउंटिंग अंतरिम अंतराल को 120 सेकंड पर सेट करें。

चरण 2: SSID और Captive Portal परिभाषा

गेस्ट एक्सेस के लिए समर्पित एक नया SSID बनाएं। ऑथेंटिकेशन विधि को Open पर सेट करें और बाहरी या कस्टम पोर्टल विकल्प का चयन करते हुए Captive Portal सुविधा को सक्षम करें। आपको Purple पोर्टल कॉन्फ़िगरेशन स्क्रीन द्वारा प्रदान किया गया विशिष्ट Access URL और Redirect URL दर्ज करना होगा।

वॉल्ड गार्डन कॉन्फ़िगरेशन पूरी तैनाती में सबसे संवेदनशील चरण है। आपको Purple के आवश्यक डोमेन की व्यापक सूची दर्ज करनी होगी ताकि यह सुनिश्चित हो सके कि सोशल लॉगिन प्रदाता (Facebook, Google, X) और आवश्यक पोर्टल एसेट्स ऑथेंटिकेशन से पहले सही ढंग से लोड हों। वॉल्ड गार्डन को सटीक रूप से कॉन्फ़िगर करने में विफलता के परिणामस्वरूप ऑथेंटिकेशन फ्लो टूट जाएगा, क्योंकि क्लाइंट डिवाइस आवश्यक बाहरी संसाधनों तक पहुंचने में असमर्थ होगा। यह भी सुनिश्चित करें कि प्री-ऑथेंटिकेशन पॉलिसी में DNS ट्रैफ़िक (UDP पोर्ट 53) को स्पष्ट रूप से अनुमति दी गई है।

चरण 3: IP असाइनमेंट — NAT बनाम Bridge मोड

SSID को परिभाषित करते समय, आपको IP असाइनमेंट के लिए NAT मोड और Bridge मोड के बीच चयन करना होगा।

deployment_comparison.png

NAT मोड में, FortiGate एक समर्पित आंतरिक सबनेट से गेस्ट डिवाइस को DHCP पते प्रदान करता है, और फ़ायरवॉल से ट्रैफ़िक बाहर निकलते समय उन पतों का अनुवाद करता है। यह सरल डिप्लॉयमेंट या छोटे Retail ब्रांच वातावरण के लिए उपयुक्त है जहां FortiGate संपूर्ण गेस्ट सबनेट का प्रबंधन करता है।

Bridge मोड में, FortiAP गेस्ट ट्रैफ़िक को सीधे एक विशिष्ट VLAN पर ब्रिज करता है, जिससे बाहरी DHCP सर्वर IP पते असाइन कर सकता है। Hospitality प्रॉपर्टीज़ या Transport हब जैसे हाई-डेंसिटी वातावरण के लिए Bridge मोड की दृढ़ता से अनुशंसा की जाती है, क्योंकि यह IP एड्रेस प्रबंधन के लिए अधिक लचीलापन प्रदान करता है, FortiGate पर DHCP बॉटलनेक को रोकता है, और Purple प्लेटफॉर्म को अधिक विस्तृत एनालिटिक्स और समस्या निवारण के लिए वास्तविक क्लाइंट IP पता देखने की अनुमति देता है।

चरण 4: पोस्ट-ऑथेंटिकेशन फ़ायरवॉल पॉलिसी

एक बार ऑथेंटिकेशन पूरा हो जाने पर, FortiGate को गेस्ट VLAN पर एक समर्पित पोस्ट-ऑथेंटिकेशन फ़ायरवॉल पॉलिसी लागू करनी चाहिए। इस पॉलिसी को सामग्री प्रतिबंध लागू करने और पीयर-टू-पीयर ट्रैफ़िक को ब्लॉक करने के लिए FortiGuard Web Filtering और Application Control प्रोफ़ाइल का संदर्भ लेना चाहिए। बैंडविड्थ सीमा लागू करने के लिए एक Traffic Shaper प्रोफ़ाइल लागू करें, जिससे कोई भी एक गेस्ट वेन्यू के अपलिंक को संतृप्त न कर सके। सुनिश्चित करें कि पॉलिसी स्पष्ट रूप से सभी RFC 1918 निजी IP स्पेस डेस्टिनेशन को ब्लॉक करती है ताकि गेस्ट्स को आंतरिक नेटवर्क संसाधनों की जांच करने से रोका जा सके।

सर्वोत्तम प्रथाएं

इस इंटीग्रेशन को आर्किटेक्ट करते समय, स्थिरता, सुरक्षा और अनुपालन सुनिश्चित करने के लिए निम्नलिखित उद्योग-मानक अनुशंसाओं का पालन करें।

VLAN अलगाव अनिवार्य है: कॉर्पोरेट एसेट्स या पॉइंट-ऑफ़-सेल सिस्टम के समान VLAN पर कभी भी गेस्ट WiFi तैनात न करें। PCI DSS अनुपालन बनाए रखने के लिए स्विच पोर्ट स्तर पर सख्त VLAN टैगिंग लागू की जानी चाहिए। FortiGate को गेस्ट VLAN पर आक्रामक फ़ायरवॉल नीतियां लागू करनी चाहिए, लेटरल मूवमेंट को रोकने के लिए सभी RFC 1918 निजी IP स्पेस डेस्टिनेशन को ब्लॉक करना चाहिए।

सेशन टाइमर ऑप्टिमाइज़ करें: DHCP लीज़ टाइम और RADIUS अकाउंटिंग अंतरिम अंतराल को उचित रूप से कॉन्फ़िगर करें। 120 सेकंड के अकाउंटिंग अंतरिम अंतराल के साथ 3600 सेकंड का DHCP लीज़ टाइम IP एड्रेस संरक्षण और Purple डैशबोर्ड के भीतर सटीक रीयल-टाइम एनालिटिक्स रिपोर्टिंग के बीच एक इष्टतम संतुलन प्रदान करता है।

ऑथेंटिकेशन के बाद Fortinet UTM सुविधाओं का लाभ उठाएं: इस इंटीग्रेशन का प्राथमिक लाभ ऑथेंटिकेशन के बाद गेस्ट ट्रैफ़िक पर Fortinet की उन्नत सुरक्षा सुविधाओं को लागू करने की क्षमता है। FortiGuard Web Filtering और Application Control का उपयोग करने के लिए पोस्ट-ऑथेंटिकेशन फ़ायरवॉल पॉलिसी कॉन्फ़िगर करें। यह दुर्भावनापूर्ण गतिविधियों, टोरेंटिंग, या अनुचित सामग्री तक पहुंचने के लिए वेन्यू की बैंडविड्थ का उपयोग करने वाले गेस्ट्स के जोखिम को कम करता है, जिससे वेन्यू की सार्वजनिक IP प्रतिष्ठा और इंटरनेट सेवा समझौते की रक्षा होती है।

सार्वजनिक प्रमाणपत्रों का उपयोग करें: सुनिश्चित करें कि FortiGate रीडायरेक्शन इंटरफ़ेस पर एक वैध, सार्वजनिक रूप से विश्वसनीय SSL/TLS प्रमाणपत्र प्रस्तुत करता है। स्व-हस्ताक्षरित प्रमाणपत्र आधुनिक iOS और Android उपकरणों पर सुरक्षा चेतावनियों को ट्रिगर करते हैं, जिससे पोर्टल पर गेस्ट एबंडनमेंट दर काफी बढ़ जाती है।

समस्या निवारण और जोखिम न्यूनीकरण

सटीक कॉन्फ़िगरेशन के बावजूद, डिप्लॉयमेंट में बाधाएं आ सकती हैं। सामान्य विफलता मोड को समझने से समाधान में काफी तेजी आती है।

Captive Portal लोड होने में विफल: यदि कोई गेस्ट कनेक्ट होता है लेकिन स्प्लैश पेज दिखाई नहीं देता है, तो सबसे आम कारण एक अधूरा वॉल्ड गार्डन है। सत्यापित करें कि Purple और किसी भी कॉन्फ़िगर किए गए सोशल लॉगिन प्रदाताओं के लिए सभी आवश्यक डोमेन को प्री-ऑथेंटिकेशन पॉलिसी में स्पष्ट रूप से अनुमति दी गई है। सुनिश्चित करें कि अनऑथेंटिकेटेड क्लाइंट्स के लिए DNS रिज़ॉल्यूशन सही ढंग से काम कर रहा है; यदि क्लाइंट Purple पोर्टल URL को रिज़ॉल्व नहीं कर सकता है, तो रीडायरेक्ट पूरी तरह से विफल हो जाएगा।

RADIUS टाइमआउट: यदि पोर्टल लोड होता है लेकिन ऑथेंटिकेशन लगातार विफल रहता है, तो RADIUS संचार पथ की जांच करें। सत्यापित करें कि FortiGate का बाहरी IP पता Purple पोर्टल के राउटर कॉन्फ़िगरेशन के भीतर सही ढंग से पंजीकृत है। सुनिश्चित करें कि साझा रहस्य बिल्कुल मेल खाते हैं — एक भी कैरेक्टर के बेमेल होने से साइलेंट ऑथेंटिकेशन विफलताएं होंगी — और यह कि कोई भी मध्यवर्ती फ़ायरवॉल Fortinet इंफ्रास्ट्रक्चर और Purple के क्लाउड RADIUS सर्वर के बीच UDP पोर्ट 1812 और 1813 को ब्लॉक नहीं कर रहा है।

प्रमाणपत्र त्रुटियां: आधुनिक मोबाइल ऑपरेटिंग सिस्टम Captive Portal इंटरसेप्शन के दौरान SSL/TLS प्रमाणपत्र विसंगतियों के प्रति अत्यधिक संवेदनशील होते हैं। सुनिश्चित करें कि FortiGate स्व-हस्ताक्षरित डिफ़ॉल्ट प्रमाणपत्र के बजाय रीडायरेक्शन इंटरफ़ेस के लिए एक वैध, सार्वजनिक रूप से विश्वसनीय प्रमाणपत्र प्रस्तुत कर रहा है। यह खतरनाक सुरक्षा चेतावनियों को रोकता है जो गेस्ट्स को ऑथेंटिकेशन फ्लो पूरा करने से रोकती हैं।

सेशन अकाउंटिंग गैप्स: यदि Purple एनालिटिक्स डैशबोर्ड अधूरा सेशन डेटा या गायब बैंडविड्थ मेट्रिक्स दिखाता है, तो सत्यापित करें कि RADIUS अकाउंटिंग सर्वर (Port 1813) सही ढंग से कॉन्फ़िगर किया गया है और अकाउंटिंग अंतरिम अंतराल सेट है। अकाउंटिंग डेटा ऑथेंटिकेशन से अलग भेजा जाता है और इसके लिए अपनी स्वयं की सर्वर परिभाषा की आवश्यकता होती है।

ROI और व्यावसायिक प्रभाव

Fortinet और Purple का इंटीग्रेशन एक मानक लागत-केंद्र — गेस्ट WiFi — को एक मापने योग्य व्यावसायिक संपत्ति में बदल देता है। Purple के Captive Portal का उपयोग करके, वेन्यू सत्यापित डेमोग्राफिक डेटा और संपर्क जानकारी कैप्चर करते हैं, जिससे लक्षित मार्केटिंग अभियान, लॉयल्टी प्रोग्राम ग्रोथ और पोस्ट-विज़िट री-एंगेजमेंट सक्षम होते हैं। Retail या Hospitality क्षेत्रों में काम करने वाले वेन्यू के लिए, यह फर्स्ट-पार्टी डेटा तेजी से मूल्यवान होता जा रहा है क्योंकि थर्ड-पार्टी कुकी डेप्रिकेशन पारंपरिक डिजिटल मार्केटिंग चैनलों को सीमित करता है।

IT संचालन के लिए, गेस्ट ऑथेंटिकेशन को Purple के क्लाउड RADIUS पर ऑफलोड करने से स्थानीय उपयोगकर्ता डेटाबेस के प्रबंधन, भौतिक वाउचर प्रिंट करने, या ऑन-प्रिमाइसेस RADIUS इंफ्रास्ट्रक्चर को बनाए रखने से जुड़े प्रशासनिक ओवरहेड में काफी कमी आती है। Purple की सहज ऑनबोर्डिंग और Fortinet के मजबूत ट्रैफ़िक इंस्पेक्शन का संयोजन यह सुनिश्चित करता है कि वेन्यू एक उच्च-प्रदर्शन, सुरक्षित इंटरनेट अनुभव प्रदान करता है, जबकि साथ ही WiFi Analytics के माध्यम से कार्रवाई योग्य व्यावसायिक बुद्धिमत्ता उत्पन्न करता है। यह आर्किटेक्चर अत्यधिक स्केलेबल है, जो एक बुटीक होटल से लेकर डिस्ट्रीब्यूटेड एंटरप्राइज़ कैंपस तक हर चीज़ का समर्थन करता है, मार्केटिंग सक्षमता और परिचालन दक्षता दोनों के माध्यम से निरंतर ROI प्रदान करता है।

मुख्य परिभाषाएं

External Captive Portal

एक कॉन्फ़िगरेशन जहां नेटवर्क हार्डवेयर (FortiGate/FortiAP) अनऑथेंटिकेटेड उपयोगकर्ता ट्रैफ़िक को एप्लायंस पर स्थानीय रूप से संग्रहीत पेज सर्व करने के बजाय थर्ड-पार्टी क्लाउड सर्वर (Purple) पर होस्ट किए गए स्प्लैश पेज पर रीडायरेक्ट करता है।

IT टीमें इसका उपयोग पोर्टल डिज़ाइन, सोशल लॉगिन API रखरखाव और GDPR सहमति कैप्चर को एक विशेष प्लेटफॉर्म पर ऑफलोड करने के लिए करती हैं, जिससे नेटवर्क टीम पर परिचालन ओवरहेड कम हो जाता है।

Walled Garden

IP पतों, डोमेन और सबनेट की एक स्पष्ट अलाउलिस्ट जिसे नेटवर्क पर सफलतापूर्वक ऑथेंटिकेट होने से पहले क्लाइंट डिवाइस को एक्सेस करने की अनुमति होती है।

डिवाइस को पूर्ण इंटरनेट एक्सेस मिलने से पहले Captive Portal ग्राफ़िक्स लोड करने, सोशल मीडिया लॉगिन प्रोसेस करने और DNS क्वेरीज़ को रिज़ॉल्व करने की अनुमति देने के लिए महत्वपूर्ण है। गलत कॉन्फ़िगर होने पर Captive Portal विफलताओं का सबसे आम स्रोत।

RADIUS Accounting

UDP पोर्ट 1813 का उपयोग करने वाला प्रोटोकॉल तंत्र जो उपयोगकर्ता की सेशन अवधि, बैंडविड्थ खपत और डेटा ट्रांसफर वॉल्यूम को ट्रैक करता है, और इस डेटा को वापस RADIUS सर्वर को रिपोर्ट करता है।

Purple एनालिटिक्स डैशबोर्ड को पॉप्युलेट करने और गेस्ट सेशन पर समय या डेटा सीमा लागू करने के लिए Fortinet हार्डवेयर से सटीक अकाउंटिंग डेटा पर निर्भर करता है। इसे ऑथेंटिकेशन से अलग कॉन्फ़िगर किया जाना चाहिए।

FortiAuthenticator (FAC)

Fortinet का समर्पित आइडेंटिटी और एक्सेस मैनेजमेंट एप्लायंस, जिसका उपयोग आंतरिक स्टाफ 802.1X नेटवर्क ऑथेंटिकेशन, सिंगल साइन-ऑन और प्रमाणपत्र प्रबंधन के लिए किया जाता है।

IT प्रबंधकों को अक्सर यह सुनिश्चित करने की आवश्यकता होती है कि गेस्ट्स के लिए Purple को तैनात करने से कॉर्पोरेट कर्मचारियों द्वारा उपयोग किए जाने वाले मौजूदा FAC इंफ्रास्ट्रक्चर में कोई बाधा न आए। इसका उत्तर हमेशा SSID अलगाव है।

Bridge Mode SSID

एक वायरलेस कॉन्फ़िगरेशन जहां एक्सेस पॉइंट एक पारदर्शी लेयर 2 ब्रिज के रूप में कार्य करता है, NAT करने के बजाय क्लाइंट ट्रैफ़िक को सीधे वायर्ड नेटवर्क पर एक विशिष्ट VLAN पर पास करता है।

एंटरप्राइज़ डिप्लॉयमेंट में इसे प्राथमिकता दी जाती है क्योंकि यह मौजूदा कोर DHCP सर्वर को IP पते प्रबंधित करने की अनुमति देता है, FortiGate DHCP बॉटलनेक को रोकता है, और Purple एनालिटिक्स प्लेटफॉर्म को वास्तविक क्लाइंट IP प्रदर्शित करता है।

Post-Authentication Policy

फ़ायरवॉल नियम और यूनिफाइड थ्रेट मैनेजमेंट (UTM) प्रोफ़ाइल जो उपयोगकर्ता के ट्रैफ़िक पर Captive Portal के माध्यम से सफलतापूर्वक ऑथेंटिकेट होने के बाद ही लागू होते हैं।

यहीं पर नेटवर्क आर्किटेक्ट दुर्भावनापूर्ण गेस्ट गतिविधि से वेन्यू के नेटवर्क की सुरक्षा के लिए वेब फ़िल्टरिंग, एप्लिकेशन कंट्रोल और बैंडविड्थ शेपिंग लागू करते हैं। Purple पहचान को संभालता है; FortiGate एन्फोर्समेंट को संभालता है।

IEEE 802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक, जो PEAP या EAP-TLS जैसे EAP तरीकों का उपयोग करके LAN या WLAN से जुड़ने के इच्छुक उपकरणों को ऑथेंटिकेट करने के लिए एक ढांचा प्रदान करता है।

FortiAuthenticator के माध्यम से सुरक्षित स्टाफ एक्सेस के लिए उपयोग किया जाता है, जो Purple के माध्यम से गेस्ट्स के लिए उपयोग किए जाने वाले ओपन, पोर्टल-आधारित ऑथेंटिकेशन से अलग है। दोनों ऑथेंटिकेशन विधियां अलग-अलग SSID पर सह-अस्तित्व में हैं।

RADIUS-as-a-Service

Purple द्वारा प्रदान किया गया एक क्लाउड-होस्टेड RADIUS इंफ्रास्ट्रक्चर, जो वेन्यू के लिए FreeRADIUS या Windows NPS जैसे स्थानीय RADIUS सर्वर को तैनात करने और बनाए रखने की आवश्यकता को समाप्त करता है।

उच्च उपलब्धता और Captive Portal प्लेटफॉर्म के साथ सहज इंटीग्रेशन सुनिश्चित करते हुए IT टीमों के लिए इंफ्रास्ट्रक्चर ओवरहेड को कम करता है। डिस्ट्रीब्यूटेड रिटेल या हॉस्पिटैलिटी डिप्लॉयमेंट के लिए विशेष रूप से मूल्यवान।

FortiGuard

Fortinet की क्लाउड-आधारित थ्रेट इंटेलिजेंस और कंटेंट फ़िल्टरिंग सब्सक्रिप्शन सेवा, जो FortiGate एप्लायंसेज को रीयल-टाइम वेब फ़िल्टरिंग, एप्लिकेशन कंट्रोल और इंट्रूज़न प्रिवेंशन सिग्नेचर प्रदान करती है।

Purple द्वारा उपयोगकर्ता को ऑथेंटिकेट करने के बाद गेस्ट इंटरनेट ट्रैफ़िक का निरीक्षण और नियंत्रण करने के लिए पोस्ट-ऑथेंटिकेशन फ़ायरवॉल नीतियों के माध्यम से लागू किया जाता है, जो वेन्यू के नेटवर्क और IP प्रतिष्ठा की रक्षा करता है।

हल किए गए उदाहरण

एक 200 कमरों वाला होटल वर्तमान में FortiGate 100F और FortiAPs का उपयोग करता है। वे स्टाफ 802.1X ऑथेंटिकेशन के लिए FortiAuthenticator का उपयोग करते हैं। वे मार्केटिंग डेटा कैप्चर करने के लिए गेस्ट्स के लिए Purple WiFi लागू करना चाहते हैं, लेकिन IT निदेशक को चिंता है कि गेस्ट पोर्टल मौजूदा स्टाफ ऑथेंटिकेशन फ्लो में हस्तक्षेप कर सकता है।

पूर्ण SSID अलगाव तैनात करें। WPA2-Enterprise के लिए कॉन्फ़िगर किए गए मौजूदा Staff_WiFi SSID को बनाए रखें, जो पोर्ट 1812 पर FortiAuthenticator RADIUS सर्वर को पॉइंट करता है। बाहरी Captive Portal सक्षम के साथ एक ओपन नेटवर्क के रूप में कॉन्फ़िगर किया गया एक नया, अलग Guest_WiFi SSID बनाएं। Captive Portal URL को Purple के स्प्लैश पेज पर पॉइंट करने के लिए कॉन्फ़िगर करें, और इस विशिष्ट SSID के लिए RADIUS सेटिंग्स को Purple के क्लाउड RADIUS सर्वर (ऑथेंटिकेशन के लिए पोर्ट 1812, अकाउंटिंग के लिए पोर्ट 1813) पर पॉइंट करने के लिए कॉन्फ़िगर करें। गेस्ट SSID को एक समर्पित फ़ायरवॉल पॉलिसी के साथ एक पृथक VLAN पर मैप करें। FortiGate मूल SSID के आधार पर ऑथेंटिकेशन अनुरोधों को रूट करता है, जिससे दोनों ऑथेंटिकेशन सिस्टम के बीच शून्य हस्तक्षेप सुनिश्चित होता है।

परीक्षक की टिप्पणी: यह दृष्टिकोण प्रति-SSID आधार पर ऑथेंटिकेशन मापदंडों को परिभाषित करने की FortiGate की क्षमता का लाभ उठाता है। यह FortiAuthenticator पर जटिल RADIUS प्रॉक्सीइंग या सशर्त फ़ॉरवर्डिंग नियमों की आवश्यकता के बिना सह-अस्तित्व की आवश्यकता को शानदार ढंग से हल करता है। मुख्य अंतर्दृष्टि यह है कि FortiGate दोनों SSID के लिए ट्रैफ़िक पॉलिसी एन्फोर्समेंट पॉइंट के रूप में कार्य करता है, जबकि पहचान सत्यापन प्रत्येक उपयोगकर्ता प्रकार के लिए उपयुक्त प्लेटफॉर्म को सौंप दिया जाता है।

एक रिटेल चेन 50 स्थानों पर FortiCloud AP तैनात कर रही है। वे गेस्ट एनालिटिक्स के लिए Purple WiFi का उपयोग करना चाहते हैं। पहली साइट पर परीक्षण के दौरान, गेस्ट WiFi से कनेक्ट होता है, लेकिन उनका डिवाइस Purple स्प्लैश पेज के बजाय एक खाली पेज या 'कनेक्शन टाइम आउट' त्रुटि प्रदर्शित करता है।

IT टीम को FortiCloud AP SSID सेटिंग्स पर वॉल्ड गार्डन कॉन्फ़िगरेशन का ऑडिट और अपडेट करना चाहिए। FortiAP वर्तमान में ऑथेंटिकेशन से पहले Purple पोर्टल एसेट्स के लिए क्लाइंट के HTTP/HTTPS अनुरोधों को ब्लॉक कर रहा है। टीम को वॉल्ड गार्डन अलाउलिस्ट में Purple के आवश्यक डोमेन की पूरी सूची — जिसमें CDN एंडपॉइंट और सोशल लॉगिन प्रदाता डोमेन शामिल हैं — दर्ज करनी चाहिए। उन्हें यह भी सत्यापित करना चाहिए कि प्री-ऑथेंटिकेशन पॉलिसी स्पष्ट रूप से UDP पोर्ट 53 पर DNS ट्रैफ़िक की अनुमति देती है, ताकि क्लाइंट डिवाइस पोर्टल होस्टनाम को रिज़ॉल्व कर सके। एक बार पहली साइट पर सही हो जाने के बाद, इस कॉन्फ़िगरेशन को टेम्पलेट किया जाना चाहिए और सभी 50 स्थानों पर लगातार लागू किया जाना चाहिए।

परीक्षक की टिप्पणी: वॉल्ड गार्डन मिसकॉन्फ़िगरेशन सभी हार्डवेयर वेंडर्स में Captive Portal विफलताओं का सबसे लगातार कारण है। समाधान सही ढंग से पहचानता है कि प्री-ऑथेंटिकेशन ट्रैफ़िक को स्पष्ट रूप से अनुमति दी जानी चाहिए। यदि डिवाइस पोर्टल के CSS, JavaScript, या सोशल लॉगिन API तक नहीं पहुंच सकता है, तो ऑथेंटिकेशन फ्लो शुरू नहीं हो सकता है। सभी साइटों पर फिक्स को टेम्पलेट करने से बड़े पैमाने पर एक ही समस्या की पुनरावृत्ति को रोका जा सकता है।

अभ्यास प्रश्न

Q1. आपके डिप्लॉयमेंट के लिए गेस्ट्स को Purple स्प्लैश पेज के माध्यम से ऑथेंटिकेट करने की आवश्यकता है। आपने SSID, RADIUS सर्वर और रीडायरेक्ट URL कॉन्फ़िगर कर लिया है। हालाँकि, कनेक्ट करते समय, गेस्ट डिवाइस तुरंत 'नो इंटरनेट कनेक्शन' रिपोर्ट करते हैं और पोर्टल स्वचालित रूप से पॉप अप होने में विफल रहता है। सबसे संभावित कॉन्फ़िगरेशन चूक क्या है?

संकेत: विचार करें कि नेटवर्क पर पूरी तरह से ऑथेंटिकेट होने से पहले किसी डिवाइस को किस नेटवर्क एक्सेस की आवश्यकता होती है।

मॉडल उत्तर देखें

वॉल्ड गार्डन (प्री-ऑथेंटिकेशन अलाउलिस्ट) संभवतः अधूरा है या पूरी तरह से गायब है। FortiGate द्वारा पूर्ण एक्सेस देने से पहले डिवाइस को Purple के पोर्टल डोमेन, सोशल लॉगिन API (Facebook, Google) तक पहुंचने और DNS रिज़ॉल्यूशन करने के लिए स्पष्ट अनुमति की आवश्यकता होती है। इसके बिना, डिवाइस का Captive Portal असिस्टेंट पॉप-अप को ट्रिगर करने के लिए लक्ष्य URL तक नहीं पहुंच सकता है। इसके अतिरिक्त, सत्यापित करें कि प्री-ऑथेंटिकेशन पॉलिसी में UDP पोर्ट 53 पर DNS ट्रैफ़िक की अनुमति है।

Q2. एक स्टेडियम डिप्लॉयमेंट में इवेंट्स के दौरान 15,000 समवर्ती गेस्ट कनेक्शन की उम्मीद है। वर्तमान डिज़ाइन एक एकल /20 सबनेट से गेस्ट SSID को DHCP प्रदान करने के लिए NAT मोड में FortiGate का उपयोग करने का प्रस्ताव करता है। यह आर्किटेक्चरल निर्णय परिचालन संबंधी समस्याएं क्यों पैदा कर सकता है, और अनुशंसित विकल्प क्या है?

संकेत: FortiGate फ़ायरवॉल पर प्रोसेसिंग ओवरहेड और बड़े पैमाने पर DHCP लीज़ चर्न के निहितार्थों पर विचार करें।

मॉडल उत्तर देखें

NAT मोड का उपयोग करने से संपूर्ण DHCP प्रोसेसिंग का बोझ FortiGate पर आ जाता है, जो एक इवेंट के दौरान कनेक्ट और डिस्कनेक्ट होने वाले 15,000 ट्रांसिएंट उपकरणों के तेज़ लीज़ चर्न के साथ संघर्ष कर सकता है। एक एकल /20 सबनेट केवल 4,094 उपयोग योग्य पते प्रदान करता है, जो पीक समवर्ती कनेक्शन के लिए अपर्याप्त हो सकता है। इसके अलावा, NAT मोड Purple प्लेटफॉर्म से वास्तविक क्लाइंट IP को छुपाता है, जिससे विश्लेषणात्मक गहराई सीमित हो जाती है। अनुशंसित दृष्टिकोण Bridge मोड है, जो गेस्ट ट्रैफ़िक को उचित आकार के एड्रेस पूल के साथ एक मजबूत बाहरी एंटरप्राइज़ DHCP इंफ्रास्ट्रक्चर द्वारा प्रबंधित एक समर्पित VLAN पर छोड़ता है।

Q3. CISO का आदेश है कि गेस्ट WiFi ट्रैफ़िक को वेन्यू की कुल इंटरनेट बैंडविड्थ के 20% से अधिक का उपभोग नहीं करना चाहिए, और गेस्ट्स को पीयर-टू-पीयर फ़ाइल शेयरिंग नेटवर्क तक पहुंचने से रोका जाना चाहिए। Fortinet-Purple आर्किटेक्चर में यह नीति कहाँ लागू की जाती है, और किन विशिष्ट Fortinet सुविधाओं की आवश्यकता है?

संकेत: निर्धारित करें कि Purple द्वारा उपयोगकर्ता की पहचान सत्यापित होने के बाद कौन सा घटक ट्रैफ़िक इंस्पेक्शन और पॉलिसी एन्फोर्समेंट को संभालता है।

मॉडल उत्तर देखें

यह नीति गेस्ट VLAN पर लागू पोस्ट-ऑथेंटिकेशन फ़ायरवॉल पॉलिसी के माध्यम से FortiGate UTM एप्लायंस पर लागू की जाती है। जबकि Purple ऑथेंटिकेशन और आइडेंटिटी कैप्चर को संभालता है, FortiGate लेयर 7 ट्रैफ़िक इंस्पेक्शन और एन्फोर्समेंट के लिए ज़िम्मेदार रहता है। नेटवर्क टीम को P2P श्रेणियों (BitTorrent, eDonkey, आदि) को ब्लॉक करने के लिए एक FortiGuard Application Control प्रोफ़ाइल कॉन्फ़िगर करनी चाहिए और 20% बैंडविड्थ कैप लागू करने के लिए गेस्ट पॉलिसी में एक Traffic Shaper प्रोफ़ाइल लागू करनी चाहिए। दोनों प्रोफ़ाइलों को प्री-ऑथेंटिकेशन वॉल्ड गार्डन पॉलिसी में नहीं, बल्कि पोस्ट-ऑथेंटिकेशन फ़ायरवॉल पॉलिसी में संदर्भित किया जाना चाहिए।

इस श्रृंखला में आगे पढ़ें

Purple WiFi के साथ Grandstream GWN एक्सेस पॉइंट्स का एकीकरण

यह आधिकारिक तकनीकी संदर्भ मार्गदर्शिका विस्तार से बताती है कि Grandstream GWN एक्सेस पॉइंट्स को Purple के Guest WiFi और एनालिटिक्स प्लेटफॉर्म के साथ कैसे एकीकृत किया जाए। इसमें Grandstream कैप्टिव पोर्टल कॉन्फ़िगरेशन, RADIUS AAA सेटिंग्स, वॉल्ड गार्डन सेटअप, डायनेमिक VLAN स्टीयरिंग के साथ सुरक्षित स्टाफ 802.1X प्रमाणीकरण, और मल्टी-टेनेंट PPSK सेगमेंटेशन शामिल हैं - जो बड़े पैमाने पर गेस्ट और स्टाफ WiFi तैनात करने वाले MSPs और आईटी टीमों के लिए व्यावहारिक, चरण-दर-चरण मार्गदर्शन प्रदान करता है।

गाइड पढ़ें →

Cisco WLC और Catalyst एकीकरण: चरण-दर-चरण अतिथि एक्सेस गाइड

यह गाइड Cisco WLC और Catalyst 9800 वायरलेस के Purple के साथ चरण-दर-चरण एकीकरण का विवरण देती है, जिसमें Central Web Authentication के माध्यम से Guest WiFi कैप्टिव पोर्टल रीडायरेक्शन, 802.1X EAP-TLS का उपयोग करके सुरक्षित स्टाफ WiFi, और डायनेमिक VLAN असाइनमेंट के साथ Cisco Identity Pre-Shared Keys (iPSK) का उपयोग करके मल्टी-टेनेंट सेगमेंटेशन शामिल है। यह हॉस्पिटैलिटी, रिटेल और बड़े सार्वजनिक स्थानों में Cisco इन्फ्रास्ट्रक्चर को लागू करने वाले एंटरप्राइज नेटवर्क आर्किटेक्ट्स और IT सुरक्षा निदेशकों के लिए लिखा गया है।

गाइड पढ़ें →

Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर इंटीग्रेशन

यह गाइड Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर को तैनात करने के लिए संपूर्ण इंटीग्रेशन प्लेबुक प्रदान करती है। इसमें CoovaChilli कैप्टिव पोर्टल कॉन्फ़िगरेशन, iptables वॉल्ड गार्डन प्रबंधन, hostapd के साथ 802.1X सुरक्षित स्टाफ WiFi, और डायनेमिक VLAN असाइनमेंट के साथ मल्टी-टेनेंट PPSK सेगमेंटेशन शामिल है - जो IT टीमों को किसी भी OpenWrt-सक्षम हार्डवेयर पर पहचान-आधारित नेटवर्क (Identity-Based Network) बनाने के लिए आवश्यक सटीक कॉन्फ़िगरेशन चरण प्रदान करता है।

गाइड पढ़ें →