पॉडकास्ट ट्रांसक्रिप्ट देखें
Purple तकनीकी श्रृंखला में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम क्षेत्र में देखे जाने वाले सबसे सूक्ष्म एंटरप्राइज WiFi इंटीग्रेशनों में से एक पर चर्चा कर रहे हैं - Huawei AirEngine एक्सेस पॉइंट्स और CloudCampus iMaster NCE-Campus कंट्रोलर, जो गेस्ट WiFi, स्टाफ ऑथेंटिकेशन और मल्टी-टेनेंट नेटवर्क सेगमेंटेशन के लिए Purple के साथ इंटीग्रेटेड हैं।
यदि आप एक नेटवर्क आर्किटेक्ट या IT मैनेजर हैं जो Huawei एस्टेट चला रहे हैं - चाहे वह होटल ग्रुप हो, रिटेल चेन हो, कॉन्फ्रेंस सेंटर हो या पब्लिक-सेक्टर कैंपस हो - तो यह एपिसोड आपके लिए है। हम पूरे स्टैक को कवर करेंगे: Captive Portal रीडायरेक्शन, प्री-ऑथेंटिकेशन ACLs, 802.1X का उपयोग करके सुरक्षित स्टाफ WiFi, और मल्टीपल टेनेंट्स में डायनेमिक VLAN स्टीयरिंग के लिए Huawei का Private Pre-Shared Key फीचर।
आइए शुरू करते हैं।
भाग एक: संदर्भ और आर्किटेक्चर।
Huawei का AirEngine पोर्टफोलियो - जिसमें 5700, 6700, 8700, और 9700 सीरीज़ शामिल हैं - WiFi 6 और WiFi 6E पर चलता है, जिसमें टॉप-एंड 9700 सीरीज़ WiFi 7 को सपोर्ट करती है। ये गंभीर एंटरप्राइज एक्सेस पॉइंट्स हैं। मैनेजमेंट लेयर iMaster NCE-Campus है, जो Huawei का क्लाउड-आधारित नेटवर्क कंट्रोलर है, जो SSID प्रोविजनिंग और RADIUS रिले से लेकर पॉलिसी एनफोर्समेंट और सिसलॉग फॉरवर्डिंग तक सब कुछ संभालता है।
Purple इसके ऊपर एक क्लाउड ओवरले के रूप में काम करता है। हम 80,000 लाइव वेन्यू में काम करते हैं और अकेले 2024 में 440 मिलियन लॉगिन प्रोसेस कर चुके हैं। हम हार्डवेयर-अज्ञेयवादी हैं - जिसका अर्थ है कि हम Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, और हाँ, Huawei AirEngine के साथ इंटीग्रेट करते हैं - उसी RADIUS और Captive Portal मानकों का उपयोग करके जिन्हें हर एंटरप्राइज कंट्रोलर सपोर्ट करता है।
यहाँ इंटीग्रेशन मॉडल सीधा है। iMaster NCE-Campus RADIUS रिले के रूप में कार्य करता है, जो एक्सेस पॉइंट्स से ऑथेंटिकेशन रिक्वेस्ट को Purple के RADIUS सर्वर्स पर फॉरवर्ड करता है। Purple ऑथेंटिकेशन लॉजिक को संभालता है - चाहे वह गेस्ट स्प्लैश पेज हो, 802.1X क्रेडेंशियल चेक हो, या PPSK लुकअप हो - और उपयुक्त RADIUS रिस्पांस लौटाता है, जिसमें कोई भी डायनेमिक VLAN असाइनमेंट एट्रिब्यूट्स शामिल होते हैं।
भाग दो: गेस्ट WiFi और Captive Portal कॉन्फ़िगरेशन।
आइए सबसे आम डिप्लॉयमेंट से शुरू करें: Purple Captive Portal के साथ गेस्ट WiFi।
iMaster NCE-Campus में, आप Design, फिर Network Design, फिर Template Management पर जाते हैं। आप एक RADIUS Relay Server टेम्पलेट बनाते हैं। मुख्य पैरामीटर हैं: ऑथेंटिकेशन सर्विस को Portal ऑथेंटिकेशन पर सेट करें, ऑथेंटिकेशन के लिए UDP पोर्ट 1812 पर और अकाउंटिंग के लिए 1813 पर Purple के RADIUS सर्वर IP एड्रेस जोड़ें, NAS आइडेंटिफायर को Device MAC पर सेट करें, और शेयर्ड सीक्रेट कॉन्फ़िगर करें। Purple इन RADIUS क्रेडेंशियल्स को Purple डैशबोर्ड में वेन्यू कॉन्फ़िगरेशन स्क्रीन से प्रदान करता है।
इसके बाद, आप एक ACL बनाते हैं - यह आपका Walled Garden है। अतिथि के ऑथेंटिकेट होने से पहले, उन्हें Purple के स्प्लैश पेज और किसी भी सहायक डोमेन तक पहुँचना आवश्यक होता है। आपके ACL नियम UDP 53 पर DNS की अनुमति देने वाले, Purple के पोर्टल डोमेन पर HTTPS की अनुमति देने वाले, और आपके द्वारा सक्षम किए गए किसी भी सोशल लॉगिन प्रदाता को अनुमति देने वाले होने चाहिए - उदाहरण के लिए, यदि आप सोशल साइन-ऑन का उपयोग कर रहे हैं तो Facebook के ग्राफ़ API एंडपॉइंट। प्री-ऑथेंटिकेशन से पहले बाकी सब कुछ अस्वीकार (deny) कर दिया जाता है।
फिर आप SSID को कॉन्फ़िगर करते हैं। नेटवर्क प्रकार को Open पर सेट करें, Open plus Portal ऑथेंटिकेशन का चयन करें, ऑथेंटिकेशन प्रकार को Relay authentication by cloud platform पर सेट करें, और इंटरकनेक्शन मोड के रूप में RADIUS रिले चुनें। पेज पुश प्रोटोकॉल को HTTPS पर सेट करें। थर्ड-पार्टी पोर्टल ऑथेंटिकेशन पैरामीटर में, Purple रीडायरेक्ट URL पेस्ट करें - यह वह स्प्लैश पेज URL है जिसे आप Purple वेन्यू डैशबोर्ड से कॉपी करते हैं, जिसके सफिक्स (suffix) को Huawei-विशिष्ट पैरामीटर शामिल करने के लिए संशोधित किया गया है: ap-mac, uaddress, umac, ssid, और redirect-url।
अंत में, iMaster NCE-Campus में एक URL टेम्पलेट बनाएं जो इन पैरामीटर नामों को उन मानों से मैप करता है जिन्हें Huawei रीडायरेक्ट में पास करता है। पैरामीटर मैपिंग इस प्रकार है: redirect-url से redirect-url, loginurl से login-url, device-mac से ap-mac, user-ip से uaddress, user-mac से umac, और ssid से ssid।
एक बार यह कॉन्फ़िगर हो जाने के बाद, कोई अतिथि SSID से कनेक्ट होता है, एक DHCP एड्रेस प्राप्त करता है, और उनके HTTP ट्रैफ़िक को कंट्रोलर द्वारा इंटरसेप्ट किया जाता है और Purple स्प्लैश पेज पर रीडायरेक्ट कर दिया जाता है। वे ऑथेंटिकेट करते हैं - ईमेल, सोशल लॉगिन, या SMS सत्यापन के माध्यम से - और Purple का RADIUS सर्वर iMaster NCE-Campus को वापस एक Access-Accept भेजता है, जो अतिथि को पूर्ण इंटरनेट एक्सेस प्रदान करता है।
डेटा के दृष्टिकोण से, Purple इस बिंदु पर फर्स्ट-पार्टी सहमति डेटा कैप्चर करता है। हर लॉगिन एक सचेत-विकल्प ऑप्ट-इन है, जो GDPR और CCPA के अनुपालन में है। वह डेटा Purple के एनालिटिक्स प्लेटफ़ॉर्म को फ़ीड करता है, जिससे आपको सेशन की अवधि, डिवाइस का प्रकार, बार-बार आने वाले विज़िटर की दर, और ड्वेल टाइम (dwell time) मिलता है - वह भी बिना किसी थर्ड-पार्टी ट्रैकिंग के।
अनुभाग तीन: 802.1X के साथ सुरक्षित स्टाफ WiFi।
अब आइए स्टाफ WiFi के बारे में बात करते हैं। यह पूरी तरह से एक अलग सुरक्षा व्यवस्था है। आप नहीं चाहते कि स्टाफ उसी नेटवर्क सेगमेंट में रहे जिसमें अतिथि हैं, और आप साझा PSK पासवर्ड नहीं चाहते जो किसी के नौकरी छोड़ने पर बाहर चले जाएं।
इसका समाधान 802.1X ऑथेंटिकेशन है, जिसे IEEE 802.1X-2020 में परिभाषित किया गया है, जिसमें EAP-TLS या EAP-PEAP का उपयोग किया जाता है। iMaster NCE-Campus में, आप स्टाफ के लिए एक अलग SSID बनाते हैं - चलिए इसे CorpNet कहते हैं। इस SSID के ऑथेंटिकेशन प्रोफ़ाइल में, आप ऑथेंटिकेशन मोड को 802.1X पर सेट करते हैं, इसे Purple के RADIUS सर्वर पर इंगित करते हैं, और सुरक्षा प्रोफ़ाइल को WPA2-Enterprise या WPA3-Enterprise के साथ AES-CCMP एन्क्रिप्शन पर सेट करते हैं।Purple यहाँ भी RADIUS सर्वर के रूप में कार्य करता है, लेकिन अब यह आपके पहचान प्रदाता (identity provider) के विरुद्ध क्रेडेंशियल्स को सत्यापित कर रहा है। Purple मूल रूप से Microsoft Entra ID, Okta, और Google Workspace के साथ एकीकृत होता है। जब कोई स्टाफ सदस्य CorpNet से जुड़ता है, तो उनका डिवाइस एक्सेस पॉइंट को EAP क्रेडेंशियल भेजता है, जो उन्हें RADIUS के माध्यम से Purple पर रिले करता है, जो SCIM या SAML का उपयोग करके Entra ID के विरुद्ध उन्हें सत्यापित करता है। यदि क्रेडेंशियल मान्य हैं, तो Purple एक Access-Accept लौटाता है जिसमें एक RADIUS विशेषता होती है जो स्टाफ VLAN - जैसे कि VLAN 20 को निर्दिष्ट करती है। iMaster NCE-Campus क्लाइंट को स्वचालित रूप से उस VLAN में ले जाता है।
डायनेमिक VLAN असाइनमेंट के लिए मुख्य RADIUS विशेषताएं हैं: टनल-टाइप को VLAN या मान 13 पर सेट किया गया है, टनल-मीडियम-टाइप को 802 या मान 6 पर सेट किया गया है, और टनल-प्राइवेट-ग्रुप-ID को VLAN ID पर सेट किया गया है। ये तीन विशेषताएं मिलकर Huawei कंट्रोलर को ठीक से बताती हैं कि प्रमाणित क्लाइंट को किस VLAN में असाइन करना है।
विशेष रूप से EAP-TLS के लिए - जो स्टाफ प्रमाणीकरण के लिए स्वर्ण मानक है - आपको क्लाइंट प्रमाणपत्रों की आवश्यकता होती है। Purple का SecurePass ऐड-ऑन प्रमाणपत्र जारी करने और जीवनचक्र प्रबंधन को संभालता है, जो आपके मौजूदा PKI के साथ एकीकृत होता है या एक हल्के प्रमाणपत्र प्राधिकरण के रूप में कार्य करता है। यह पासवर्ड-आधारित हमलों को पूरी तरह से समाप्त कर देता है। कोई पासवर्ड नहीं, कोई फ़िशिंग वेक्टर नहीं।
अनुभाग चार: Huawei PPSK के साथ मल्टी-टीनेंट सेगमेंटेशन।
यह वह जगह है जहां यह वास्तव में दिलचस्प हो जाता है। यदि आप एक मिश्रित-उपयोग वाले स्थान का संचालन कर रहे हैं - जैसे कि कई रिटेल टीनेंट्स वाला एक शॉपिंग सेंटर, कई सदस्य कंपनियों वाला एक को-वर्किंग स्पेस, या समवर्ती कार्यक्रमों की मेजबानी करने वाला एक कॉन्फ्रेंस सेंटर - तो आपको प्रत्येक के लिए अलग SSID तैनात किए बिना टीनेंट्स के बीच नेटवर्क अलगाव की आवश्यकता होती है।
Huawei की PPSK विशेषता - Private Pre-Shared Key - इसे हल करती है। इसे कभी-कभी अन्य वेंडर इकोसिस्टम में iPSK भी कहा जाता है। इसकी अवधारणा है: एक SSID, कई अद्वितीय पासवर्ड, प्रत्येक पासवर्ड एक विशिष्ट VLAN से मैप किया गया। टीनेंट A को अल्फा पासवर्ड मिलता है, जो VLAN 30 पर मैप होता है। टीनेंट B को बीटा पासवर्ड मिलता है, जो VLAN 40 पर मैप होता है। दोनों टीनेंट एक ही SSID देखते हैं, लेकिन वे लेयर 2 पर पूरी तरह से अलग-थलग होते हैं।
Huawei CLI में, आप इसे WLAN व्यू में ppsk-user कमांड का उपयोग करके कॉन्फ़िगर करते हैं। प्रत्येक टीनेंट के लिए, आप चलाते हैं: ppsk-user psk pass-phrase, उसके बाद अद्वितीय पासफ्रेज़, फिर user-name, टीनेंट पहचानकर्ता, फिर vlan, VLAN ID, फिर ssid, SSID नाम। यदि आपको कड़े नियंत्रण की आवश्यकता है तो आप एक समाप्ति तिथि, अधिकतम डिवाइस संख्या भी सेट कर सकते हैं और एक विशिष्ट MAC एड्रेस से बाइंड कर सकते हैं।
iMaster NCE-Campus में, PPSK लुकअप को कंट्रोलर पर स्थानीय रूप से संभाला जा सकता है, या - बड़े पैमाने पर तैनाती के लिए - RADIUS के माध्यम से। जब RADIUS-समर्थित PPSK का उपयोग किया जाता है, तो Purple PPSK-से-VLAN मैपिंग के लिए आधिकारिक स्रोत बन जाता है। एक टीनेंट का डिवाइस अपने विशिष्ट पासफ्रेज़ के साथ जुड़ता है, कंट्रोलर क्रेडेंशियल के रूप में पासफ्रेज़ के साथ Purple को एक RADIUS Access-Request भेजता है, Purple मैपिंग को देखता है, और तीन VLAN टनल विशेषताओं के साथ एक Access-Accept लौटाता है। कंट्रोलर क्लाइंट को सही VLAN में ले जाता है।
यह आर्किटेक्चर एक ही SSID पर सैकड़ों टेनेंट्स तक स्केल करता है। इसका मतलब यह भी है कि आप कंट्रोलर कॉन्फ़िगरेशन को छुए बिना Purple डैशबोर्ड से टेनेंट क्रेडेंशियल्स को प्रोविज़न, रोटेट और रिवोक कर सकते हैं।
धारा पांच: कार्यान्वयन की कमियां और उनसे कैसे बचें।
मुझे आपको वे तीन विफलता मोड बताने दें जो मैं Huawei और Purple डिप्लॉयमेंट में सबसे अधिक देखता हूँ।
पहला: Walled Garden अधूरा है। गेस्ट SSID पर आते हैं, स्प्लैश पेज पर रीडायरेक्ट होते हैं, लेकिन पेज लोड नहीं होता है क्योंकि एक आवश्यक डोमेन - अक्सर एक CDN एंडपॉइंट या सोशल लॉगिन API - प्री-ऑथ ACL द्वारा ब्लॉक होता है। इसका समाधान गो-लाइव से पहले एक नए डिवाइस से स्प्लैश पेज फ़्लो का परीक्षण करना, इसके द्वारा किए जाने वाले DNS प्रश्नों और HTTPS कनेक्शनों को कैप्चर करना और प्रत्येक आवश्यक डोमेन को ACL में जोड़ना है। Purple एकीकरण दस्तावेज़ में आवश्यक डोमेन की एक सूची प्रकाशित करता है।
दूसरा: RADIUS शेयर्ड सीक्रेट बेमेल होना। iMaster NCE-Campus में कॉन्फ़िगर किया गया सीक्रेट Purple डैशबोर्ड के सीक्रेट से बिल्कुल मेल खाना चाहिए। एक सिंगल कैरेक्टर का अंतर भी मूक प्रमाणीकरण विफलताओं का कारण बनता है - कंट्रोलर लॉग्स बिना किसी उपयोगी त्रुटि संदेश के Access-Reject दिखाते हैं। हमेशा सीक्रेट को कॉपी-पेस्ट करें, इसे कभी भी मैन्युअल रूप से टाइप न करें।
तीसरा: VLAN ट्रंक मिसकॉन्फ़िगरेशन। RADIUS के माध्यम से डायनेमिक VLAN असाइनमेंट केवल तभी काम करता है जब VLAN पहले से ही एक्सेस पॉइंट और एग्रीगेशन स्विच के बीच अपलिंक पोर्ट पर ट्रंक किया गया हो। यदि VLAN 20 स्विच इंटरफ़ेस पर ट्रंक अनुमति-पास सूची में नहीं है, तो प्रमाणित स्टाफ क्लाइंट्स को एक DHCP टाइमआउट मिलेगा और प्रमाणीकरण विफल दिखाई देगा। RADIUS-असाइन किए गए VLANs का परीक्षण करने से पहले अपने ट्रंक कॉन्फ़िगरेशन का ऑडिट करें।
धारा छह: रैपिड-फायर प्रश्न।
प्रश्न: क्या मैं Huawei के ऑन-प्रिमाइसेस iMaster NCE-Campus डिप्लॉयमेंट के साथ Purple के इन-बिल्ट RADIUS का उपयोग कर सकता हूँ, क्लाउड संस्करण का नहीं?
हाँ। Purple के RADIUS सर्वर क्लाउड-होस्टेड हैं और इंटरनेट पर पहुंच योग्य हैं। आपके ऑन-प्रिमाइसेस iMaster NCE-Campus कंट्रोलर को Purple के RADIUS IP रेंज के लिए आउटबाउंड UDP 1812 और 1813 की आवश्यकता होती है। Purple इन IP रेंज को वेन्यू सेटिंग्स के तहत डैशबोर्ड में प्रकाशित करता है।
प्रश्न: क्या Huawei PPSK WPA3-SAE का समर्थन करता है?
AirEngine फ़र्मवेयर V600R025 के अनुसार, 6700 और 9700 सीरीज़ पर WPA3-SAE-PPSK समर्थित है। PPSK SSIDs पर WPA3 सक्षम करने से पहले अपने फ़र्मवेयर संस्करण की जाँच करें।
प्रश्न: Huawei हार्डवेयर पर गेस्ट WiFi के लिए Purple GDPR सहमति को कैसे संभालता है?
Purple का स्प्लैश पेज प्रमाणीकरण के समय सहमति एकत्र करता है। सहमति रिकॉर्ड - जिसमें टाइमस्टैम्प, IP एड्रेस और स्वीकृत विशिष्ट शर्तें शामिल हैं - Purple के प्लेटफॉर्म में संग्रहीत किया जाता है और अनुपालन ऑडिट के लिए निर्यात योग्य है। यह अंतर्निहित हार्डवेयर विक्रेता की परवाह किए बिना लागू होता है।
धारा सात: सारांश और अगले कदम।
संक्षेप में कहें तो: Huawei AirEngine और iMaster NCE-Campus अतिथि Captive Portal के लिए RADIUS रिले, कर्मचारियों के WiFi के लिए 802.1X, और मल्टी-टेनेंट VLAN सेगमेंटेशन के लिए PPSK के माध्यम से Purple के साथ एकीकृत होते हैं। यह कॉन्फ़िगरेशन iMaster NCE-Campus में Design, Network Design, Template Management के अंतर्गत RADIUS और ACL सेटअप के लिए, और Provision, Device Configuration, Site Configuration के अंतर्गत SSID और प्रमाणीकरण प्रोफ़ाइल बाइंडिंग के लिए मौजूद है।
आपके अगले चरण: अपने वेन्यू डैशबोर्ड से Purple RADIUS क्रेडेंशियल प्राप्त करें, iMaster NCE-Campus में RADIUS रिले सर्वर टेम्पलेट कॉन्फ़िगर करें, अपना Walled Garden ACL बनाएं, Open प्लस Portal प्रमाणीकरण के साथ अतिथि SSID बनाएं, और फ्लोर पर रोल आउट करने से पहले एक नए डिवाइस के साथ एंड-टू-एंड परीक्षण करें।
यदि आप मल्टी-टेनेंट आइसोलेशन के लिए PPSK तैनात कर रहे हैं, तो पहले अपनी VLAN योजना की योजना बनाएं - सुनिश्चित करें कि एक भी PPSK उपयोगकर्ता को कॉन्फ़िगर करने से पहले प्रत्येक टेनेंट VLAN एंड-टू-एंड ट्रंक किया गया है।
CLI उदाहरणों और आर्किटेक्चर आरेखों सहित संपूर्ण चरण-दर-चरण कॉन्फ़िगरेशन गाइड के लिए, Purple वेबसाइट पर पूरा लिखित गाइड पढ़ें। सुनने के लिए धन्यवाद।
