पॉडकास्ट ट्रांसक्रिप्ट देखें
HPE Aruba ClearPass को Purple WiFi प्लेटफॉर्म के साथ एकीकृत करने के बारे में इस तकनीकी ब्रीफिंग में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम ClearPass Policy Manager के मजबूत नेटवर्क एक्सेस कंट्रोल को Purple की उद्योग-अग्रणी गेस्ट WiFi और एनालिटिक्स क्षमताओं के साथ जोड़ने की आर्किटेक्चर, परिनियोजन रणनीतियों और परिचालन लाभों के बारे में विस्तार से जानेंगे।
बड़े पैमाने के स्थानों का प्रबंधन करने वाले IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTOs के लिए - चाहे वह एक विस्तृत रिटेल चेन हो, एक उच्च-घनत्व वाला स्टेडियम हो, या एक जटिल हेल्थकेयर कैंपस हो - सुरक्षित, खंडित और व्यावहारिक वायरलेस एक्सेस प्रदान करना सर्वोपरि है। कॉर्पोरेट उपकरणों के लिए संदर्भ-जागरूक नीति प्रवर्तन और 802.1X प्रमाणीकरण में ClearPass असाधारण है। हालाँकि, जब गेस्ट ऑनबोर्डिंग, Captive Portals और विज़िटर डेटा से उपयोगी मार्केटिंग एनालिटिक्स निकालने की बात आती है, तो Purple निर्विवाद लीडर है।
आज हम जिस मूल प्रश्न का उत्तर दे रहे हैं वह है: आप NAC और डायनेमिक भूमिका-आधारित VLAN असाइनमेंट के लिए ClearPass को बनाए रखते हुए, Purple को Captive Portal के रूप में उपयोग करने के लिए ClearPass को कैसे कॉन्फ़िगर करते हैं? आइए इसके बारे में विस्तार से जानें।
सबसे पहले, आइए आर्किटेक्चर स्थापित करें। उच्च स्तर पर, एकीकरण मानक RADIUS प्रोटोकॉल और HTTP रीडायरेक्ट तंत्र पर निर्भर करता है। आपके Aruba मोबिलिटी कंट्रोलर या इंस्टेंट एक्सेस पॉइंट गेस्ट SSID को प्रसारित करते हैं। जब कोई अप्रमाणित उपकरण कनेक्ट होता है, तो कंट्रोलर HTTP ट्रैफ़िक को रोकता है और उपयोगकर्ता के ब्राउज़र को Purple Captive Portal पर रीडायरेक्ट करता है। यह रीडायरेक्ट सही करने के लिए पहला महत्वपूर्ण हिस्सा है।
अब, उपयोगकर्ता Purple के माध्यम से प्रमाणित होता है। यह Facebook या Google के माध्यम से एक सोशल लॉगिन हो सकता है, एक कस्टम ईमेल और पासवर्ड फ़ॉर्म हो सकता है, या OpenRoaming भी हो सकता है, जहाँ Purple Connect लाइसेंस के तहत एक मुफ्त पहचान प्रदाता के रूप में कार्य करता है। एक बार जब Purple उपयोगकर्ता को सत्यापित कर लेता है, तो यह कंट्रोलर को श्रृंखला के माध्यम से वापस एक RADIUS Access-Accept संदेश भेजता है, जो फिर नेटवर्क एक्सेस प्रदान करता है।
लेकिन यहाँ ClearPass आवश्यक हो जाता है। Aruba कंट्रोलर को सीधे Purple के RADIUS सर्वर से बात कराने के बजाय, आप बीच में RADIUS प्रॉक्सी के रूप में ClearPass को शामिल करते हैं। कंट्रोलर सभी RADIUS अनुरोधों को ClearPass पर भेजता है। ClearPass अनुरोध का मूल्यांकन करता है और, यदि यह आपकी गेस्ट सर्विस रूटिंग नीति से मेल खाता है, तो इसे Purple के क्लाउड RADIUS सर्वर पर भेज देता है। Purple प्रतिक्रिया देता है, और ClearPass उस प्रतिक्रिया को वापस कंट्रोलर को भेज देता है, लेकिन महत्वपूर्ण रूप से, यह ऐसा करने से पहले अपनी खुद की नीति विशेषताएँ जोड़ सकता है।
यह प्रॉक्सी आर्किटेक्चर आपको दोनों दुनिया का सर्वश्रेष्ठ प्रदान करता है। ClearPass आपके नेटवर्क पर कॉर्पोरेट और गेस्ट दोनों के प्रत्येक प्रमाणीकरण इवेंट का एक संपूर्ण ऑडिट लॉग बनाए रखता है। आपको सुरक्षा संचालन के लिए एक सिंगल विंडो मिलती है। और Purple उपयोगकर्ता-सामना करने वाले अनुभव और एनालिटिक्स को संभालता है, बिना आपके मौजूदा NAC निवेश को बदले।
आइए डायनेमिक VLAN असाइनमेंट के बारे में बात करें, क्योंकि यहीं से चीजें वास्तव में शक्तिशाली हो जाती हैं - और जहाँ अधिकांश परिनियोजन परेशानी में पड़ जाते हैं यदि वे सावधान न हों।ClearPass Roles और Enforcement Profiles नामक एक अवधारणा का उपयोग करता है। जब कोई ऑथेंटिकेशन अनुरोध आता है, तो ClearPass संदर्भ का मूल्यांकन करता है: उपयोगकर्ता कौन है, वे किस डिवाइस पर हैं, समय क्या है, और वे किस स्थान से कनेक्ट हो रहे हैं। इन कारकों के आधार पर, यह एक Role असाइन करता है। एक सामान्य गेस्ट के लिए, यह ROLE_GUEST हो सकता है। एक VIP के लिए, यह ROLE_VIP हो सकता है। एक ठेकेदार के लिए, ROLE_CONTRACTOR हो सकता है।
यह Role फिर एक Enforcement Profile पर मैप किया जाता है, जो Aruba कंट्रोलर को वापस करने के लिए विशिष्ट RADIUS विशेषताओं को परिभाषित करता है। यहाँ सबसे महत्वपूर्ण विशेषता Aruba-User-Role Vendor-Specific Attribute, या VSA है। यह कंट्रोलर को बिल्कुल यह बताता है कि उपयोगकर्ता को वायरलेस साइड पर किस भूमिका में रखा जाए।
Aruba कंट्रोलर पर, प्रत्येक भूमिका एक विशिष्ट VLAN और फ़ायरवॉल नीतियों के सेट से मैप होती है। इसलिए ROLE_GUEST, VLAN 20 से मैप होता है, जिसमें केवल-इंटरनेट एक्सेस और 10 मेगाबिट प्रति सेकंड की बैंडविड्थ सीमा होती है। ROLE_VIP, 50 मेगाबिट सीमा के साथ VLAN 40 से मैप होता है। ROLE_IOT, VLAN 30 से मैप होता है, जो पूरी तरह से अलग सेगमेंट है जिसमें कोई इंटरनेट एक्सेस नहीं है, केवल स्मार्ट डिवाइस के लिए स्थानीय कनेक्टिविटी है।
यह सेगमेंटेशन केवल एक अच्छा अभ्यास नहीं है - यह एक अनुपालन आवश्यकता है। PCI-DSS के तहत, कार्डधारक के डेटा को छूने वाले किसी भी नेटवर्क को गेस्ट नेटवर्क से अलग किया जाना चाहिए। GDPR के तहत, आपको यह प्रदर्शित करने में सक्षम होना चाहिए कि गेस्ट पोर्टल के माध्यम से एकत्र किए गए व्यक्तिगत डेटा को उचित रूप से संभाला जाता है और गेस्ट ट्रैफ़िक आपके कॉर्पोरेट इन्फ्रास्ट्रक्चर को पार नहीं कर सकता है।
अब, मैं आपको एक वास्तविक दुनिया के परिदृश्य के माध्यम से समझाता हूँ: कई संपत्तियों में 500 कमरों वाली एक बड़ी होटल श्रृंखला। उनके पास हर साइट पर Aruba कंट्रोलर हैं, ClearPass को केंद्रीय रूप से तैनात किया गया है, और वे गेस्ट WiFi के लिए Purple को रोल आउट करना चाहते हैं।
तैनाती इस तरह दिखती है। प्रति साइट दो SSID: Hotel_Corp और Hotel_Guest। Hotel_Corp सर्टिफिकेट के साथ 802.1X का उपयोग करता है, जिसे ClearPass के माध्यम से Active Directory के खिलाफ ऑथेंटिकेट किया जाता है। Hotel_Guest एक ओपन SSID है जो Purple Captive Portal को ट्रिगर करता है।
ClearPass में, वे दो Services बनाते हैं। Service One, Hotel_Corp से मेल खाती है और स्थानीय रूप से 802.1X ऑथेंटिकेशन को संभालती है। Service Two, Hotel_Guest से मेल खाती है और Purple पर अनुरोधों को प्रॉक्सी करने के लिए एक RADIUS Routing Policy का उपयोग करती है। Service Two के लिए Enforcement Policy, guest-authenticated का Aruba-User-Role वापस करती है, जो कंट्रोलर पर VLAN 20 से मैप होता है।
IoT उपकरणों - स्मार्ट टीवी, थर्मोस्टेट, दरवाजे के लॉक - के लिए वे MAC-आधारित ऑथेंटिकेशन के साथ तीसरे SSID, Hotel_IoT का उपयोग करते हैं। ClearPass इसके OUI का उपयोग करके डिवाइस को प्रोफाइल करता है और ROLE_IOT असाइन करता है, जिससे यह VLAN 30 में चला जाता है।
परिणाम? कर्मचारियों को पूर्ण कॉर्पोरेट एक्सेस मिलता है। मेहमानों को सोशल लॉगिन और मार्केटिंग ऑप्ट-इन्स के साथ एक ब्रांडेड, आकर्षक पोर्टल अनुभव मिलता है। IoT डिवाइस अलग हो जाते हैं। और IT टीम के पास ClearPass के Access Tracker में तीनों उपयोगकर्ता प्रकारों में पूरी दृश्यता होती है।
अब आइए कमियों के बारे में बात करते हैं, क्योंकि कई ऐसी कमियाँ हैं जो यदि आप तैयार नहीं हैं तो आपको परेशान करेंगी।नंबर एक: walled garden। यह captive portal विफलताओं का सबसे आम स्रोत है। किसी डिवाइस के ऑथेंटिकेट होने से पहले, Aruba कंट्रोलर केवल डेस्टिनेशन की एक पूर्व-निर्धारित सूची में ट्रैफिक की अनुमति देता है जिसे walled garden कहा जाता है। यदि Purple का पोर्टल URL, इसके बैकएंड API एंडपॉइंट्स और सोशल लॉगिन प्रदाता डोमेन उस सूची में नहीं हैं, तो पोर्टल लोड नहीं होगा। आपको इस सूची को सक्रिय रूप से बनाए रखना होगा। Facebook और Google जैसे सोशल लॉगिन प्रदाता नियमित रूप से अपनी IP रेंज और CDN डोमेन बदलते रहते हैं। walled garden को एक जीवित कॉन्फ़िगरेशन की तरह समझें।
नंबर दो: RADIUS टाइमआउट। अधिकांश Aruba कंट्रोलर्स पर डिफॉल्ट RADIUS टाइमआउट तीन सेकंड होता है। एक प्रॉक्सी आर्किटेक्चर में, अनुरोध AP से कंट्रोलर तक, फिर ClearPass तक, इंटरनेट के माध्यम से Purple के क्लाउड RADIUS तक और वापस जाता है। एक व्यस्त नेटवर्क पर, वह राउंड ट्रिप आसानी से तीन सेकंड से अधिक हो सकती है। अपने टाइमआउट को कम से कम दस सेकंड तक बढ़ाएं और रीट्राय लॉजिक कॉन्फ़िगर करें।
नंबर तीन: शेयर्ड सीक्रेट बेमेल होना। यह ऐसी मूक विफलताओं का कारण बनता है जिनका निदान करना बेहद कठिन होता है। Aruba कंट्रोलर और ClearPass के बीच का शेयर्ड सीक्रेट बिल्कुल मेल खाना चाहिए। ClearPass और Purple के RADIUS सर्वर के बीच का शेयर्ड सीक्रेट भी बिल्कुल मेल खाना चाहिए। एक सिंगल कैरेक्टर के अंतर से भी ऑथेंटिकेशन विफल हो जाएगा और एंड यूजर को कोई सार्थक त्रुटि संदेश नहीं मिलेगा। इन्हें हमेशा दोबारा जांचें।
नंबर चार: रोल नेम केस संवेदनशीलता। ClearPass द्वारा लौटाया गया Aruba-User-Role VSA - कैपिटलाइजेशन सहित - बिल्कुल Aruba कंट्रोलर पर परिभाषित रोल नेम से मेल खाना चाहिए। यदि ClearPass "guest-authenticated" लौटाता है लेकिन कंट्रोलर पर "Guest-Authenticated" परिभाषित है, तो उपयोगकर्ता डिफॉल्ट रोल पर वापस आ जाएगा, जो आमतौर पर बिना इंटरनेट एक्सेस वाला लॉगऑन रोल होता है।
नंबर पांच: RADIUS अकाउंटिंग। कई डिप्लॉयमेंट ऑथेंटिकेशन प्रॉक्सीइंग को सही ढंग से कॉन्फ़िगर करते हैं लेकिन अकाउंटिंग को भी प्रॉक्सी करना भूल जाते हैं। Purple सेशन की अवधि, डेटा उपयोग को ट्रैक करने और अपने एनालिटिक्स डैशबोर्ड को भरने के लिए RADIUS अकाउंटिंग डेटा का उपयोग करता है। यदि अकाउंटिंग Purple तक नहीं पहुंच रही है, तो आपके एनालिटिक्स अपूर्ण होंगे।
आइए रैपिड-फायर प्रश्न अनुभाग की ओर बढ़ें।
क्या मैं कर्मचारियों और मेहमानों दोनों के लिए एक ही SSID का उपयोग कर सकता हूँ? हाँ, आप कर सकते हैं। एक ही SSID पर 802.1X और MAC-Auth दोनों को संभालने के लिए ClearPass को कॉन्फ़िगर करें। ट्रैफिक प्रकार में अंतर करने और तदनुसार रूट करने के लिए सर्विस रूल्स का उपयोग करें। इसे प्रबंधित करना अधिक जटिल है लेकिन यह SSID प्रसार को कम करता है।
क्या Purple Change of Authorisation का समर्थन करता है? हाँ। CoA कंट्रोलर को उपयोगकर्ता के सेशन को बिना उन्हें दोबारा कनेक्ट किए गतिशील रूप से अपडेट करने की अनुमति देता है। यह समय-सीमित एक्सेस या टियर अपग्रेड के लिए उपयोगी है।
क्या मैं पूर्ण Mobility Controller के बजाय Aruba Instant के साथ इस एकीकरण का उपयोग कर सकता हूँ? हाँ, Aruba Instant बाहरी RADIUS सर्वर और captive portal रीडायरेक्ट का समर्थन करता है। कॉन्फ़िगरेशन थोड़ा अलग है लेकिन सिद्धांत समान हैं।
क्या यह एकीकरण WPA3 के साथ काम करता है? हाँ। व्यक्तिगत नेटवर्क के लिए WPA3-SAE और 802.1X के लिए WPA3-Enterprise दोनों समर्थित हैं। कैप्टिव पोर्टल का उपयोग करने वाले अतिथि नेटवर्क के लिए, WPA3-SAE या Opportunistic Wireless Encryption के साथ एक खुला SSID सामान्य विकल्प हैं।
आज की ब्रीफिंग का सारांश: ClearPass और Purple एकीकरण एक RADIUS प्रॉक्सी आर्किटेक्चर है। ClearPass सभी नेटवर्क एक्सेस के लिए आपका केंद्रीय नीति निर्णय बिंदु बना रहता है। Purple अतिथि-उन्मुख अनुभव और एनालिटिक्स को संभालता है। Aruba कंट्रोलर डायनेमिक VLAN असाइनमेंट के माध्यम से परिणामी नीतियों को लागू करता है। तीन सबसे महत्वपूर्ण कॉन्फ़िगरेशन तत्व walled garden, RADIUS टाइमआउट और रोल नाम की निरंतरता हैं। इन्हें सही करें, और आपके पास एक मजबूत, अनुपालन और व्यावसायिक रूप से मूल्यवान अतिथि WiFi परिनियोजन होगा।
सुनने के लिए धन्यवाद। यदि आप इसके बारे में अधिक जानना चाहते हैं, तो अपने विशिष्ट परिनियोजन के बारे में सॉल्यूशंस आर्किटेक्ट से बात करने के लिए purple.ai पर जाएं।
