मुख्य सामग्री पर जाएं
हिन्दी

Purple WiFi के साथ SonicWall TZ और SonicWave एकीकरण

यह तकनीकी संदर्भ Purple WiFi प्लेटफॉर्म के साथ SonicWall TZ फ़ायरवॉल और SonicWave APs के एकीकरण का विवरण देता है। यह कैप्टिव पोर्टल रीडायरेक्शन, walled garden अपवादों, 802.1X ऑथेंटिकेशन, और Private Pre-Shared Keys (PPSK) का उपयोग करके डायनेमिक VLAN स्टीयरिंग के लिए व्यावहारिक कॉन्फ़िगरेशन चरण प्रदान करता है।

📖 6 मिनट का पाठ📝 1,263 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
PURPLE WIFI के साथ SONICWALL TZ और SONICWAVE एकीकरण Purple WiFi इंटेलिजेंस प्लेटफॉर्म - तकनीकी ब्रीफिंग श्रृंखला अवधि: लगभग 10 मिनट आवाज: UK English, वरिष्ठ सलाहकार टोन - आत्मविश्वासी, संवादात्मक, आधिकारिक --- खंड 1: परिचय और संदर्भ (लगभग 1 मिनट) Purple तकनीकी ब्रीफिंग श्रृंखला में स्वागत है। आज हम एंटरप्राइज WiFi क्षेत्र में अधिक तकनीकी रूप से शामिल एकीकरणों में से एक को कवर कर रहे हैं: SonicWall TZ फ़ायरवॉल और SonicWave एक्सेस पॉइंट, जिन्हें गेस्ट ऑथेंटिकेशन, स्टाफ एक्सेस कंट्रोल और मल्टी-टेनेंट नेटवर्क अलगाव के लिए Purple के साथ तैनात किया गया है। यदि आप एक IT सुरक्षा इंजीनियर हैं या स्थानों - होटलों, रिटेल चेन, सम्मेलन केंद्रों, या मिश्रित-उपयोग वाले विकासों का प्रबंधन करने वाले MSP हैं - तो यह ब्रीफिंग आपके लिए है। हम आर्किटेक्चर, कॉन्फ़िगरेशन चरणों और उन स्थानों के माध्यम से तेज़ी से आगे बढ़ेंगे जहाँ डिप्लॉयमेंट गलत हो जाते हैं। SonicWall SMB और मिड-मार्केट स्पेस में एक मजबूत विकल्प है। TZ सीरीज़ के फ़ायरवॉल व्यापक रूप से तैनात हैं, और SonicWave APs SonicOS और Wireless Network Manager के माध्यम से मूल रूप से एकीकृत होते हैं। जब आप शीर्ष पर Purple जोड़ते हैं, तो आपको ब्रांडेड स्प्लैश पेज, RADIUS-आधारित ऑथेंटिकेशन और फर्स्ट-पार्टी डेटा कैप्चर के साथ एक क्लाउड-प्रबंधित गेस्ट WiFi लेयर मिलती है - यह सब आपके मौजूदा SonicWall इंफ्रास्ट्रक्चर को बदले बिना। आइए आर्किटेक्चर में प्रवेश करें। --- खंड 2: तकनीकी गहन विश्लेषण (लगभग 5 मिनट) यहाँ कवर करने के लिए चार अलग-अलग उपयोग के मामले हैं, और प्रत्येक का एक अलग कॉन्फ़िगरेशन पथ है। कैप्टिव पोर्टल रीडायरेक्शन के साथ गेस्ट WiFi। Walled Garden अपवाद। 802.1X का उपयोग करके सुरक्षित स्टाफ WiFi। और डायनेमिक VLAN स्टीयरिंग के साथ SonicWall Private Pre-Shared Keys - PPSK - का उपयोग करके मल्टी-टेनेंट अलगाव। आइए गेस्ट WiFi और SonicWall कैप्टिव पोर्टल से शुरुआत करें। SonicOS बाहरी कैप्टिव पोर्टल रीडायरेक्ट को संभालने के लिए Lightweight Hotspot Messaging - LHM - नामक एक तंत्र का उपयोग करता है। जब कोई गेस्ट आपके गेस्ट SSID से कनेक्ट होता है और ब्राउज़र खोलता है, तो SonicWall उस HTTP अनुरोध को इंटरसेप्ट करता है और इसे Purple के स्प्लैश पेज URL पर रीडायरेक्ट करता है। गेस्ट Purple के प्लेटफॉर्म पर ऑथेंटिकेट करता है - सोशल लॉगिन, ईमेल या क्लिक-थ्रू के माध्यम से - और Purple TCP पोर्ट 4043 पर SonicWall को वापस एक LHM ऑथराइजेशन भेजता है। फिर SonicWall उस डिवाइस के MAC एड्रेस के लिए इंटरनेट एक्सेस खोलता है। SonicOS 7.x में कॉन्फ़िगरेशन इस तरह काम करता है। सबसे पहले, Object, फिर Match Objects, फिर Zones पर जाएं। अपने गेस्ट WiFi को असाइन किए गए ज़ोन को संपादित करें - आमतौर पर एक WLAN या कस्टम ज़ोन। Guest Services के अंतर्गत, "Enable Guest Services" और "External Guest Authentication" दोनों को सक्षम करें। फिर Configure, Guest Services, General पर जाएं। Client Redirect Protocol को HTTP पर सेट करें। वेब सर्वर एड्रेस के रूप में Purple का पोर्टल होस्टनाम दर्ज करें - जो कि portal.purple.ai है। रीडायरेक्ट पाथ को अपने वेन्यू के विशिष्ट स्प्लैश पेज URL पर सेट करें, जिसे Purple वेन्यू डैशबोर्ड में प्रदान करता है। पोर्ट 4043 है। Auth Pages टैब पर, लॉगिन URL को Purple के बाहरी पोर्टल URL पर सेट करें। यदि आप सत्र समाप्ति (session termination) को संभालना चाहते हैं तो लॉगआउट URL सेट करें। Advanced टैब पर, "Allow unauthenticated users to access HTTPS sites" को केवल तभी सक्षम करें जब आपको HTTPS-फर्स्ट उपकरणों का समर्थन करने की आवश्यकता हो - लेकिन ध्यान रखें कि यह रीडायरेक्ट प्रवर्तन (redirect enforcement) को कमजोर करता है। एक बार सहेजने के बाद, SonicOS स्वचालित रूप से TCP 4043 की अनुमति देने वाली एक NAT पॉलिसी और एक WAN-to-WAN एक्सेस नियम बनाता है। इन ऑटो-जेनरेटेड नियमों को न हटाएं। ये वही हैं जो LHM हैंडशेक को पूरा करने की अनुमति देते हैं। अब, Walled Garden कॉन्फ़िगरेशन। गेस्ट के ऑथेंटिकेट होने से पहले, स्प्लैश पेज को काम करने के लिए उनके डिवाइस को कुछ डोमेन तक पहुंचने की आवश्यकता होती है। Purple का प्लेटफॉर्म अपने स्वयं के CDN और API एंडपॉइंट्स पर निर्भर करता है। OS कैप्टिव पोर्टल डिटेक्शन प्रोब्स - iOS उपकरणों के लिए captive.apple.com, Android के लिए connectivitycheck.gstatic.com, और Windows के लिए msftconnecttest.com - सभी को व्हाइटलिस्ट किया जाना चाहिए। यदि आप सोशल लॉगिन की पेशकश कर रहे हैं, तो Google के लिए accounts.google.com, oauth2.googleapis.com, apis.google.com, और gstatic.com जोड़ें। यदि आप Facebook लॉगिन की पेशकश कर रहे हैं तो www.facebook.com, graph.facebook.com, connect.facebook.net, और fbcdn.net CDN डोमेन जोड़ें। SonicOS में, इन्हें Object, Match Objects, Addresses के अंतर्गत FQDN एड्रेस ऑब्जेक्ट्स के रूप में जोड़ें। फिर गेस्ट ज़ोन में एक्सेस नियम बनाएं जो अनऑथेंटिकेटेड उपकरणों को इन FQDNs तक पहुंचने की अनुमति देते हैं। डायनेमिक DNS रिज़ॉल्यूशन का उपयोग करें - SonicOS नियमित अंतराल पर FQDN ऑब्जेक्ट्स को रिज़ॉल्व करता है - न कि स्टेटिक IP प्रविष्टियों का, जो CDN IP रेंज बदलने पर बदल जाएंगे। अब 802.1X के साथ सुरक्षित स्टाफ WiFi पर चलते हैं। यह वह जगह है जहाँ SonicWave APs और Purple का RADIUS सर्वर मिलकर काम करते हैं। SonicWave AP 802.1X एक्सचेंज में ऑथेंटिकेटर के रूप में कार्य करता है। सप्लीकेंट स्टाफ डिवाइस है। Purple का RADIUS सर्वर ऑथेंटिकेशन सर्वर है। आपके द्वारा चुनी जाने वाली EAP विधि आपके पहचान प्रदाता पर निर्भर करती है। यदि आप Microsoft Entra ID या Okta का उपयोग कर रहे हैं, तो PEAP-MSCHAPv2 सबसे आम विकल्प है क्योंकि यह यूजरनेम और पासवर्ड क्रेडेंशियल के साथ काम करता है। यदि आपने डिवाइस सर्टिफिकेट तैनात किए हैं - जो प्रबंधित उपकरणों के लिए अनुशंसित दृष्टिकोण है - तो EAP-TLS का उपयोग करें। Wireless Network Manager में, Policies, Policy Hierarchy पर जाएं, अपनी AP पॉलिसी चुनें, और 802.1X टैब पर क्लिक करें। Purple का RADIUS सर्वर IP एड्रेस दर्ज करें - जो आपके Purple वेन्यू डैशबोर्ड में RADIUS सेटिंग्स सेक्शन के अंतर्गत उपलब्ध है। शेयर्ड सीक्रेट Purple द्वारा जनरेट किया जाता है और दोनों पक्षों में बिल्कुल मेल खाना चाहिए। ऑथेंटिकेशन पोर्ट को 1812 और अकाउंटिंग पोर्ट को 1813 पर सेट करें। EAP सेटिंग्स के लिए, वह विधि चुनें जो आपके पहचान प्रदाता कॉन्फ़िगरेशन से मेल खाती हो। Purple की ओर, स्टाफ ऑथेंटिकेशन के लिए एक RADIUS पॉलिसी बनाएं। स्टाफ SSID को एक विशिष्ट VLAN से मैप करें - उदाहरण के लिए, स्टाफ के लिए VLAN 200। Purple का RADIUS सर्वर तीन मानक एट्रिब्यूट का उपयोग करके VLAN असाइनमेंट लौटाता है: Tunnel-Type को VLAN पर सेट किया गया, Tunnel-Medium-Type को 802 पर सेट किया गया, और Tunnel-Private-Group-ID को स्ट्रिंग के रूप में VLAN ID पर सेट किया गया - यानी VLAN 200 के लिए "200"। SonicWall फ़ायरवॉल और SonicWave AP इन एट्रिब्यूट का सम्मान करते हैं और ऑथेंटिकेटेड स्टाफ डिवाइस को स्वचालित रूप से सही VLAN में रखते हैं। अब, सबसे वास्तुशिल्प रूप से दिलचस्प उपयोग का मामला: PPSK और मल्टी-टेनेंट अलगाव। Private Pre-Shared Keys आपको एक सिंगल SSID चलाने और प्रत्येक टेनेंट, निवासी या यूजर ग्रुप को एक अद्वितीय पासफ़्रेज़ असाइन करने की अनुमति देते हैं। जब कोई डिवाइस किसी विशिष्ट PPSK का उपयोग करके कनेक्ट होता है, तो SonicWave AP सत्यापन के लिए उस कुंजी को Purple के RADIUS सर्वर पर भेजता है। Purple कुंजी को ढूंढता है, संबद्ध टेनेंट या यूजर ग्रुप की पहचान करता है, और Tunnel-Private-Group-ID एट्रिब्यूट के माध्यम से उपयुक्त VLAN असाइनमेंट लौटाता है। इसके बाद SonicWall उस डिवाइस को सही VLAN में निर्देशित करता है - जो उसी SSID पर अन्य टेनेंट्स से पूरी तरह से अलग है। यह व्यवहार में पहचान-आधारित नेटवर्किंग (Identity-Based Networking) है। आप प्रति टेनेंट SSIDs का प्रबंधन नहीं कर रहे हैं। आप प्रति टेनेंट पहचान का प्रबंधन कर रहे हैं। दस रिटेल इकाइयों वाले मिश्रित-उपयोग वाले विकास में, एक SSID पूरी इमारत में प्रसारित होता है। प्रत्येक टेनेंट को अपना स्वयं का PPSK मिलता है। प्रत्येक PPSK एक समर्पित VLAN और सबनेट से मैप होता है। टेनेंट A के डिवाइस कभी भी टेनेंट B के ट्रैफ़िक को नहीं देखते हैं, भले ही वे समान भौतिक एक्सेस पॉइंट साझा कर रहे हों। SonicOS में PPSK कॉन्फ़िगरेशन के लिए SSID पर RADIUS-आधारित PPSK मोड की आवश्यकता होती है। Wireless Network Manager में, SSID को संपादित करें, सुरक्षा मोड को PPSK के साथ WPA2-Enterprise पर सेट करें, और RADIUS सर्वर को Purple पर इंगित करें। Purple केंद्रीय रूप से PPSK-से-VLAN मैपिंग टेबल का प्रबंधन करता है। जब आप एक नया टेनेंट जोड़ते हैं, तो आप Purple में एक नया PPSK बनाते हैं, इसे एक VLAN असाइन करते हैं, और फ़ायरवॉल कॉन्फ़िगरेशन को छुए बिना परिवर्तन उस स्थान के सभी SonicWave APs में प्रसारित हो जाता है। --- खंड 3: कार्यान्वयन सिफारिशें और नुकसान (लगभग 2 मिनट) मुझे आपको वे तीन चीजें बताने दें जो SonicWall और Purple डिप्लॉयमेंट में सबसे अधिक गलत होती हैं। पहला: LHM पोर्ट। TCP 4043 WAN से SonicWall के WAN इंटरफ़ेस के लिए खुला होना चाहिए। यदि आपका ISP या अपस्ट्रीम फ़ायरवॉल इस पोर्ट को ब्लॉक करता है, तो LHM ऑथराइजेशन हैंडशेक कभी पूरा नहीं होता है, और मेहमान ऑथेंटिकेट करने के बाद स्प्लैश पेज पर फंस जाते हैं। वे Purple की ओर से एक सफल लॉगिन देखते हैं, लेकिन SonicWall को कभी भी ऑथराइजेशन सिग्नल प्राप्त नहीं होता है। गो-लाइव से पहले एक बाहरी IP से पोर्ट 4043 पर telnet या curl जांच के साथ इसका परीक्षण करें। दूसरा: FQDN ऑब्जेक्ट रिज़ॉल्यूशन समय। SonicOS बूट के समय और फिर एक कॉन्फ़िगर करने योग्य अंतराल पर FQDN एड्रेस ऑब्जेक्ट्स को रिज़ॉल्व करता है। यदि आप एक नया walled garden डोमेन जोड़ते हैं और रिज़ॉल्यूशन अभी तक रीफ्रेश नहीं हुआ है, तो अनऑथेंटिकेटेड डिवाइस उस तक नहीं पहुंच सकते हैं। नए FQDN ऑब्जेक्ट जोड़ने के बाद मैन्युअल रीफ्रेश के लिए बाध्य करें, या उच्च-ट्रैफ़िक डिप्लॉयमेंट में DNS रीफ्रेश अंतराल को 60 सेकंड पर सेट करें। तीसरा: VLAN सब-इंटरफेस कॉन्फ़िगरेशन। RADIUS के माध्यम से डायनेमिक VLAN असाइनमेंट केवल तभी काम करता है जब पहले डिवाइस के ऑथेंटिकेट होने से पहले लक्षित VLANs SonicWall पर सब-इंटरफेस के रूप में मौजूद हों। यदि एक RADIUS प्रतिक्रिया Tunnel-Private-Group-ID 110 लौटाती है लेकिन VLAN 110 SonicWall पर सब-इंटरफेस के रूप में मौजूद नहीं है, तो डिवाइस या तो ड्रॉप हो जाता है या डिफ़ॉल्ट VLAN पर वापस आ जाता है। RADIUS VLAN असाइनमेंट सक्षम करने से पहले सभी VLAN सब-इंटरफेस बनाएं और उनका परीक्षण करें। कई स्थानों का प्रबंधन करने वाले MSPs के लिए, Purple का क्लाउड डैशबोर्ड आपको RADIUS नीतियों, PPSK तालिकाओं और स्प्लैश पेज कॉन्फ़िगरेशन को केंद्रीय रूप से प्रबंधित करने की अनुमति देता है। आप एक ही इंटरफ़ेस से सभी स्थानों पर कॉन्फ़िगरेशन परिवर्तन पुश कर सकते हैं। यह क्लाउड ओवरले दृष्टिकोण का परिचालन लाभ है - SonicWall हार्डवेयर अपनी जगह पर रहता है, और Purple इसके ऊपर पहचान और नीति परत को संभालता है। --- खंड 4: रैपिड-फायर प्रश्नोत्तर (लगभग 1 मिनट) कुछ प्रश्न जो नियमित रूप से सामने आते हैं। "क्या मैं Purple के साथ स्टैंडअलोन मोड में SonicWave APs का उपयोग कर सकता हूँ?" हाँ, लेकिन आप कुछ कार्यक्षमता खो देते हैं। स्टैंडअलोन मोड में, SonicWave APs स्थानीय रूप से अपने स्वयं के RADIUS कॉन्फ़िगरेशन का प्रबंधन करते हैं। आप अभी भी उन्हें 802.1X के लिए Purple के RADIUS सर्वर पर इंगित कर सकते हैं। लेकिन डायनेमिक VLAN असाइनमेंट के साथ PPSK के लिए, आपको RADIUS प्रॉक्सी के रूप में SonicWall TZ या केंद्रीय रूप से AP नीति का प्रबंधन करने वाले Wireless Network Manager की आवश्यकता होगी। "क्या Purple SonicWave पर WPA3 का समर्थन करता है?" SonicWave पर WPA3 समर्थन फर्मवेयर संस्करण और AP मॉडल पर निर्भर करता है। SonicWave 600 सीरीज़ APs WPA3 का समर्थन करते हैं। कैप्टिव पोर्टल उपयोग के मामलों के लिए, Opportunistic Wireless Encryption के साथ WPA3 Purple के LHM रीडायरेक्ट फ्लो के साथ संगत है, लेकिन बड़े पैमाने पर तैनात करने से पहले अपने विशिष्ट फर्मवेयर संस्करण पर परीक्षण करें। "स्प्लैश पेज के माध्यम से एकत्र किए गए गेस्ट डेटा के लिए Purple GDPR को कैसे संभालता है?" Purple ISO 27001 प्रमाणित, GDPR अनुपालन और Cyber Essentials प्रमाणित है। सहमति को कॉन्फ़िगर करने योग्य ऑप्ट-इन चेकबॉक्स के साथ स्प्लैश पेज पर कैप्चर किया जाता है। Purple आपकी डेटा प्रतिधारण नीति (data retention policy) के अनुरूप फर्स्ट-पार्टी डेटा संग्रहीत करता है। मेहमान Purple के स्वयं-सेवा पोर्टल के माध्यम से अपने डेटा तक पहुंच सकते हैं और उसे हटा सकते हैं। "डायनेमिक VLAN असाइनमेंट के लिए Purple कौन से RADIUS एट्रिब्यूट लौटाता है?" तीन एट्रिब्यूट: VLAN मान के साथ Tunnel-Type, 802 मान के साथ Tunnel-Medium-Type, और स्ट्रिंग के रूप में VLAN ID के साथ Tunnel-Private-Group-ID। ये SonicOS और SonicWave द्वारा समर्थित मानक RFC 2868 एट्रिब्यूट हैं। --- खंड 5: सारांश और अगले कदम (लगभग 1 मिनट) संक्षेप में। SonicWall TZ फ़ायरवॉल और SonicWave APs दो प्राथमिक तंत्रों के माध्यम से Purple के साथ एकीकृत होते हैं: गेस्ट कैप्टिव पोर्टल रीडायरेक्शन के लिए LHM, और 802.1X स्टाफ ऑथेंटिकेशन और PPSK-आधारित मल्टी-टेनेंट अलगाव के लिए RADIUS। मुख्य कॉन्फ़िगरेशन चरण हैं: गेस्ट ज़ोन पर बाहरी गेस्ट ऑथेंटिकेशन सक्षम करें, पोर्ट 4043 पर Purple पोर्टल URL कॉन्फ़िगर करें, अपने walled garden FQDN ऑब्जेक्ट बनाएं, Wireless Network Manager में SonicWave AP नीति पर RADIUS कॉन्फ़िगर करें, और डायनेमिक VLAN असाइनमेंट सक्षम करने से पहले SonicWall पर अपने VLAN सब-इंटरफेस बनाएं। मल्टी-टेनेंट डिप्लॉयमेंट के लिए, RADIUS-आधारित VLAN स्टीयरिंग के साथ PPSK उपयोग करने के लिए आर्किटेक्चर है। एक SSID, APs का एक सेट, पहचान-आधारित VLAN असाइनमेंट के माध्यम से पूर्ण टेनेंट अलगाव। यदि आप एक डिप्लॉयमेंट की योजना बना रहे हैं या किसी मौजूदा की समीक्षा कर रहे हैं, तो Purple की तकनीकी टीम स्थान-विशिष्ट RADIUS कॉन्फ़िगरेशन फ़ाइलें और walled garden डोमेन सूचियां प्रदान कर सकती है। Purple प्लेटफॉर्म 80,000 लाइव स्थानों का समर्थन करता है और उसने 2024 में 44 करोड़ लॉगिन प्रोसेस किए हैं - आज हमने जिन एकीकरण पैटर्नों को कवर किया है वे बड़े पैमाने पर प्रमाणित हैं। सुनने के लिए धन्यवाद। चरण-दर-चरण कॉन्फ़िगरेशन तालिकाओं और Mermaid आर्किटेक्चर आरेखों के साथ पूरी लिखित गाइड Purple वेबसाइट पर उपलब्ध है। --- END OF SCRIPT

header_image.png

执行摘要

将 SonicWall 网络基础设施与 Purple 的云覆盖层集成,可提供企业级访问控制以及先进的第一方数据捕获。本指南涵盖了四个不同用例的技术实现:具有 Captive Portal 重定向的访客 WiFi、Walled Garden 例外情况、使用 802.1X 的安全员工 WiFi,以及使用具有动态 VLAN 引导的 SonicWall 私有预共享密钥 (PPSK) 的多租户隔离。

我们每年在超过 80,000 个活跃场所处理 4.4 亿次登录。下面详述的架构已在酒店、零售和公共部门环境中得到大规模验证。它允许您保留现有的 SonicWall 硬件,同时将身份管理、Splash 页面托管和 RADIUS 身份验证卸载到 Purple 云。

技术深挖

该集成依赖于两种主要机制:用于 Captive Portal 重定向的轻量级热点消息传递 (LHM),以及用于 802.1X 和 PPSK 身份验证的 RADIUS。

通过 LHM 进行 Captive Portal 重定向

SonicOS 使用 LHM 处理外部 captive portal 重定向。当未通过身份验证的访客设备尝试访问互联网时,SonicWall TZ 防火墙会拦截 HTTP 请求,并将客户端重定向到 Purple 托管的 splash 页面。访客完成身份验证流程(例如,社交登录、表单填写)。然后,Purple 通过 TCP 端口 4043 向 SonicWall 发送回 LHM 授权数据包。收到此数据包后,SonicWall 将更新其内部访问控制列表,允许该设备的 MAC 地址访问互联网。

architecture_overview.png

Walled Garden 架构

在身份验证之前,访客设备将保留在受限区域中。Walled Garden 是允许设备访问以渲染 splash 页面并完成登录过程的特定完全限定域名 (FQDN) 集合。这包括 Purple 的 CDN (cdn.purple.ai)、身份验证 API (api.purple.ai) 以及 Google Workspace、Microsoft Entra ID 和 Meta 等第三方身份提供商所需的域名。

SonicOS 使用 FQDN 地址对象实现 walled garden。防火墙对这些对象执行动态 DNS 解析,并自动更新允许的 IP 范围。这至关重要,因为身份提供商和 CDN 使用动态 IP 分配;静态 IP 白名单将不可避免地失效。

安全员工 WiFi 和 802.1X

对于员工网络,SonicWave AP 充当 802.1X 认证器,将请求代理至 Purple 的 RADIUS 服务器。我们建议对使用证书的托管设备使用 EAP-TLS,或针对 Microsoft Entra ID 等目录使用 PEAP-MSCHAPv2 进行用户名/密码认证。认证成功后,Purple 会返回标准的 RADIUS 属性(Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID),以将设备动态分配给正确的员工 VLAN。

使用 PPSK 的多租户隔离

基于身份的网络(Identity-Based Networks)消除了对复杂多 SSID 部署的需求。使用 SonicWall PPSK,单个 SSID(例如“Multi-Tenant-WiFi”)可在整个场馆内广播。每个租户都会收到一个唯一的密码。当设备使用特定的 PPSK 进行关联时,SonicWave AP 会向 Purple 的 RADIUS 服务器验证该密钥。Purple 识别该租户并返回关联的 VLAN ID。然后,SonicWall 将流量引导至隔离的租户 VLAN 中。

ppsk_vlan_diagram.png

实施指南

1. 配置 SonicWall Captive Portal (LHM)

要在运行 SonicOS 7.x 的 SonicWall TZ 系列上配置外部 Captive Portal:

  1. 导航至 Object > Match Objects > Zones。编辑分配给您的访客网络的区域(例如 WLAN)。
  2. Guest Services 选项卡下,启用 Enable Guest ServicesExternal Guest Authentication
  3. 导航至 Configure > Guest Services > General
  4. Client Redirect Protocol 设置为 HTTP
  5. Web Server 地址设置为 portal.purple.ai
  6. Port 设置为 4043
  7. Auth Pages 选项卡下,将 Login URL 设置为 Purple 场馆控制面板中提供的特定展示页面 URL。
  8. 保存配置。SonicOS 将自动生成 NAT 策略和 WAN 到 WAN 的访问规则以允许 TCP 端口 4043。请勿修改这些自动生成的规则。

2. 构建 Walled Garden

为所需的域名创建 FQDN 地址对象,并将它们添加到地址组中。将此组应用于访客区域中的允许规则。

所需的 Purple 域名:

  • *.purple.ai
  • *.purpleportal.net

操作系统 Captive Portal 探测:

  • captive.apple.com (iOS/macOS)
  • connectivitycheck.gstatic.com (Android)
  • msftconnecttest.com (Windows)

常见的社交登录域名 (Google):

  • accounts.google.com
  • oauth2.googleapis.com
  • apis.google.com
  • *.gstatic.com

3. 为 SonicWave AP 配置 RADIUS

要通过 Wireless Network Manager 将 SonicWave AP 与 Purple RADIUS 集成:

  1. 导航至 Policies > Policy Hierarchy 并选择您的 AP 策略。
  2. 选择 802.1X 选项卡。
  3. 输入 Purple RADIUS 服务器 IP 地址(可在您的 Purple 控制面板中找到)。
  4. 输入由 Purple 生成的共享密钥。
  5. Authentication Port 设置为 1812,将 Accounting Port 设置为 1813
  6. 根据您的身份提供商选择合适的 EAP 方法。

4. 配置动态 VLAN 引导

在启用动态分配之前,确保目标 VLAN 作为子接口存在于 SonicWall TZ 防火墙上。

在 Purple 控制面板中,将用户组或 PPSK 映射到目标 VLAN ID。Purple 在成功验证后将返回以下属性:

  • Tunnel-Type = VLAN (13)
  • Tunnel-Medium-Type = 802 (6)
  • Tunnel-Private-Group-ID = [VLAN ID](例如,"110")

最佳实践

  • 测试 LHM 端口可见性:必须能够从互联网访问 SonicWall WAN 接口的 TCP 端口 4043。在上线前使用外部端口扫描器对此进行测试。如果 ISP 阻止了此端口,授权数据包将丢失,访客将一直受阻于展示页面。
  • 预先配置 VLAN 子接口:如果在验证事件发生之前未在 SonicWall 上配置目标 VLAN 子接口,动态 VLAN 引导将静默失败。设备将退回到默认的未标记 VLAN。
  • 强制基于 Web 的 OAuth:确保您的展示页面配置强制执行基于 Web 的 OAuth 流程。深层链接到原生社交媒体应用(例如 Facebook iOS 应用)通常会中断 Captive Portal 流程,因为原生应用流量会被 Walled Garden 阻止。
  • 优化 DNS 刷新间隔:SonicOS 会定期解析 FQDN 对象。在体育场或交通枢纽等高周转环境中,请将 Walled Garden 对象的 DNS 刷新间隔设置为 60 秒,以确保准确跟踪 CDN IP 更改。

故障排除与风险缓解

现象:访客完成了展示页面登录,但无法访问互联网。 原因:TCP 4043 上的 LHM 授权数据包未到达 SonicWall。 解决方法:验证自动生成的 WAN 到 WAN 访问规则是否存在。检查上游 ISP 路由器是否有端口阻止。确保 SonicWall WAN IP 在 Purple 控制面板中正确注册。

现象:展示页面加载失败,或社交登录按钮返回 CORS 错误。 原因:Walled Garden 配置不完整。 解决方法:在未验证状态下连接测试设备。使用浏览器开发者工具(Network 选项卡)识别被阻止的 HTTPS 请求。在 SonicOS 中将失败的域名添加为 FQDN 地址对象。

现象:员工设备通过 802.1X 进行身份验证,但从默认 VLAN 而不是分配的 VLAN 获取 IP 地址。 原因:SonicWall 上不存在目标 VLAN 子接口,或者 RADIUS 属性格式错误。 解决方法:验证 VLAN 子接口是否处于活动状态。检查 Purple RADIUS 日志以确认 Tunnel-Private-Group-ID 是否作为与 VLAN ID 匹配的字符串值发送。

ROI 与业务影响

将 SonicWall 基础设施与 Purple 一起部署,可将标准的网络成本中心转变为可衡量的业务资产。

对于拥有200个网点的零售连锁店,从通用的预共享密钥过渡到品牌化的 Captive Portal,通常会在六个月内使已知客户画像增加40%。这些第一方数据可直接集成至CRM系统,从而推动精准营销活动并增加回头客流量。

在联合办公空间或学生公寓等多租户环境中,支持动态VLAN引导的PPSK消除了为每个租户管理专用硬件的运营开销。您只需部署一个物理网络,并根据身份进行逻辑划分。这在降低高达60%硬件资本支出的同时,还能保持严格符合ISO 27001标准的网络隔离。

मुख्य परिभाषाएं

Lightweight Hotspot Messaging (LHM)

बाहरी कैप्टिव पोर्टल्स के साथ संवाद करने के लिए SonicWall द्वारा उपयोग किया जाने वाला एक प्रोटोकॉल। यह रीडायरेक्ट और ऑथराइजेशन हैंडशेक को संभालता है।

SonicOS को Purple जैसे क्लाउड-प्रबंधित गेस्ट WiFi प्लेटफॉर्म के साथ एकीकृत करने के लिए आवश्यक है।

Walled Garden

डोमेन या IP पतों का एक विशिष्ट सेट जिसे अनऑथेंटिकेटेड उपकरणों को एक्सेस करने की अनुमति है।

पूर्ण इंटरनेट एक्सेस प्राप्त करने से पहले गेस्ट उपकरणों को स्प्लैश पेज लोड करने, CDNs तक पहुंचने और सोशल लॉगिन OAuth फ्लो को पूरा करने की अनुमति देने के लिए महत्वपूर्ण है।

Private Pre-Shared Key (PPSK)

एक सुरक्षा विधि जहां एक सिंगल SSID पर कई अद्वितीय पासफ़्रेज़ मान्य होते हैं, जिसमें प्रत्येक पासफ़्रेज़ एक विशिष्ट उपयोगकर्ता या नीति से जुड़ा होता है।

मल्टी-टेनेंट वातावरण में कई SSIDs प्रसारित किए बिना ट्रैफ़िक को अलग करने के लिए उपयोग किया जाता है।

Captive Network Assistant (CNA)

अंतर्निहित OS तंत्र (iOS, Android, Windows पर) जो कैप्टिव पोर्टल का पता लगाता है और ऑथेंटिकेशन के लिए स्वचालित रूप से एक सीमित ब्राउज़र विंडो खोलता है।

यदि OS प्रोब डोमेन (जैसे, captive.apple.com) walled garden में नहीं हैं, तो CNA ट्रिगर नहीं होगा, और मेहमानों को लगेगा कि WiFi खराब है।

Dynamic VLAN Steering

किसी डिवाइस को उसके कनेक्टेड SSID के बजाय उसकी पहचान या क्रेडेंशियल के आधार पर एक विशिष्ट VLAN में असाइन करने की प्रक्रिया।

SonicWall को Tunnel-Private-Group-ID एट्रिब्यूट लौटाने वाले Purple RADIUS द्वारा प्रबंधित।

FQDN Address Object

एक फ़ायरवॉल ऑब्जेक्ट जो एक स्टेटिक IP एड्रेस के बजाय Fully Qualified Domain Name पर आधारित होता है।

SonicOS इन ऑब्जेक्ट्स को डायनेमिक रूप से रिज़ॉल्व करता है, जिससे वे मजबूत walled garden कॉन्फ़िगरेशन के लिए आवश्यक हो जाते हैं।

Identity-Based Network

एक नेटवर्क आर्किटेक्चर जहां भौतिक पोर्ट या SSIDs के बजाय ऑथेंटिकेटेड उपयोगकर्ता या डिवाइस के आधार पर एक्सेस नीतियां और सेगमेंटेशन लागू किए जाते हैं।

SonicWall PPSK और 802.1X के साथ Purple RADIUS को मिलाकर प्राप्त किया गया।

Tunnel-Private-Group-ID

कनेक्ट करने वाले डिवाइस के लिए VLAN ID निर्दिष्ट करने के लिए उपयोग किया जाने वाला मानक RFC 2868 RADIUS एट्रिब्यूट।

SonicWall को डिवाइस को निर्देशित करने का निर्देश देने के लिए Purple द्वारा एक स्ट्रिंग मान (जैसे, '100') के रूप में लौटाया जाना चाहिए।

हल किए गए उदाहरण

एक 150-कमरों वाले होटल (Premier Inn) को स्प्लैश पेज के माध्यम से मुफ्त गेस्ट WiFi और हाउसकीपिंग उपकरणों के लिए एक सुरक्षित स्टाफ WiFi नेटवर्क प्रदान करने की आवश्यकता है। उनके पास एक SonicWall TZ570 और 40 SonicWave APs हैं। उन्हें इस ट्रैफ़िक को कैसे विभाजित करना चाहिए?

दो SSIDs तैनात करें। SSID 1: 'Guest-WiFi' जिसे VLAN 100 से मैप किया गया हो। TCP 4043 पर portal.purple.ai की ओर इशारा करते हुए बाहरी गेस्ट ऑथेंटिकेशन के लिए SonicWall WLAN ज़ोन को कॉन्फ़िगर करें। Purple और सोशल लॉगिन के लिए walled garden FQDNs को कॉन्फ़िगर करें। SSID 2: 'Staff-WiFi' जिसे 802.1X का उपयोग करके VLAN 200 से मैप किया गया हो। SonicWave AP पॉलिसी को Purple के RADIUS सर्वर पर इंगित करें। हाउसकीपिंग उपकरणों को MAC एड्रेस बाईपास (MAB) या PEAP-MSCHAPv2 के माध्यम से ऑथेंटिकेट करने के लिए Purple को कॉन्फ़िगर करें, जो Tunnel-Private-Group-ID '200' लौटाए।

परीक्षक की टिप्पणी: यह दृष्टिकोण परिचालन प्रणालियों से अवांछित गेस्ट ट्रैफ़िक को सख्ती से अलग करता है। कैप्टिव पोर्टल और RADIUS ऑथेंटिकेशन दोनों के लिए Purple का उपयोग करना पहचान प्रबंधन को केंद्रीकृत करता है। हेडलेस उपकरणों (जैसे सफाई कार्ट) के लिए MAB उपयुक्त है, जबकि 802.1X स्टाफ फोन को सुरक्षित करता है।

एक कोवर्किंग स्पेस एक ओपन-प्लान ऑफिस साझा करने वाली 15 अलग-अलग कंपनियों का प्रबंधन करता है। वे अपने SonicWave APs से 15 अलग-अलग SSIDs प्रसारित किए बिना प्रत्येक कंपनी के लिए सुरक्षित, अलग नेटवर्क प्रदान करना चाहते हैं।

PPSK के साथ WPA2-Enterprise का उपयोग करके 'Workspace-Secure' नाम से एक सिंगल SSID तैनात करें। SonicWall TZ फ़ायरवॉल पर 15 VLAN सब-इंटरफेस बनाएं (जैसे, VLANs 101-115)। Purple डैशबोर्ड में, प्रत्येक कंपनी के लिए एक अद्वितीय PPSK जनरेट करें और इसे उनके विशिष्ट VLAN ID से मैप करें। जब कोई उपयोगकर्ता अपनी कंपनी के PPSK का उपयोग करके कनेक्ट होता है, तो Purple RADIUS संबंधित Tunnel-Private-Group-ID लौटाता है, और SonicWall डिवाइस को आइसोलेटेड VLAN में निर्देशित करता है।

परीक्षक की टिप्पणी: यह पहचान-आधारित नेटवर्क (Identity-Based Network) डिज़ाइन सफाई से स्केल करता है। 15 SSIDs प्रसारित करने से गंभीर प्रबंधन फ़्रेम ओवरहेड होगा और WiFi प्रदर्शन में गिरावट आएगी। PPSK कई SSIDs के RF नुकसान के बिना अद्वितीय क्रेडेंशियल की सुरक्षा और समर्पित VLANs का अलगाव प्रदान करता है।

अभ्यास प्रश्न

Q1. आपने बाहरी गेस्ट ऑथेंटिकेशन के लिए SonicWall गेस्ट ज़ोन को कॉन्फ़िगर किया है और वेब सर्वर को portal.purple.ai पर सेट किया है। मेहमानों को स्प्लैश पेज पर रीडायरेक्ट किया जाता है और वे सफलतापूर्वक लॉग इन कर सकते हैं, लेकिन उन्हें कभी इंटरनेट एक्सेस नहीं मिलता है। इसका सबसे संभावित कारण क्या है?

संकेत: इस बारे में सोचें कि Purple, SonicWall को कैसे बताता है कि ऑथेंटिकेशन सफल रहा।

मॉडल उत्तर देखें

LHM ऑथराइजेशन पैकेट ब्लॉक किया जा रहा है। Purple से सफलता का संकेत प्राप्त करने के लिए SonicWall WAN इंटरफ़ेस पर TCP पोर्ट 4043 खुला होना चाहिए। पोर्ट ब्लॉकिंग के लिए अपस्ट्रीम फ़ायरवॉल या ISP कॉन्फ़िगरेशन की जांच करें।

Q2. एक वेन्यू अपने स्प्लैश पेज पर Facebook लॉगिन की पेशकश करना चाहता है। आप walled garden FQDN एड्रेस ग्रुप में www.facebook.com जोड़ते हैं। मेहमान रिपोर्ट करते हैं कि Facebook लॉगिन पेज लोड होता है, लेकिन स्टाइलिंग टूटी हुई है और लॉगिन बटन काम नहीं करता है।

संकेत: आधुनिक वेब एप्लिकेशन कई डोमेन से एसेट लोड करते हैं।

मॉडल उत्तर देखें

Walled garden अपूर्ण है। आपको उन डोमेन को भी व्हाइटलिस्ट करना होगा जो Facebook के CSS, JavaScript और API कॉल की सेवा करते हैं, विशेष रूप से graph.facebook.com, connect.facebook.net, और CDN डोमेन (जैसे, *.fbcdn.net)।

Q3. आप एक मल्टि-टेनेंट ऑफिस के लिए PPSK तैनात कर रहे हैं। आप PPSK के साथ WPA2-Enterprise के लिए SSID कॉन्फ़िगर करते हैं और RADIUS सर्वर को Purple पर इंगित करते हैं। आप Purple में VLAN 50 से मैप किया गया एक PPSK बनाते हैं। जब कोई उपयोगकर्ता उस PPSK के साथ कनेक्ट होता है, तो उन्हें इसके बजाय VLAN 10 से एक IP एड्रेस प्राप्त होता है। क्यों?

संकेत: RADIUS अनुरोध पूरा होने से पहले SonicWall को यह जानना होगा कि ट्रैफ़िक कहाँ भेजना है।

मॉडल उत्तर देखें

VLAN 50 को SonicWall TZ फ़ायरवॉल पर सब-इंटरफेस के रूप में नहीं बनाया गया है। डायनेमिक VLAN स्टीयरिंग के लिए आवश्यक है कि लक्षित VLAN फ़ायरवॉल पर पहले से मौजूद हो; यदि ऐसा नहीं होता है, तो डिवाइस डिफ़ॉल्ट अनटैग्ड VLAN (इस मामले में, VLAN 10) पर वापस आ जाता है।

इस श्रृंखला में आगे पढ़ें

Cisco WLC और Catalyst का Purple WiFi के साथ एकीकरण: चरण-दर-चरण गेस्ट एक्सेस गाइड

यह आधिकारिक गाइड Cisco Catalyst 9800 WLCs के Purple WiFi के साथ चरण-दर-चरण एकीकरण का विवरण देती है। इसमें गेस्ट Captive Portal के लिए External Web Authentication, सुरक्षित स्टाफ एक्सेस के लिए 802.1X EAP-TLS, और मल्टी-टेनेंट डायनेमिक VLAN सेगमेंटेशन के लिए Cisco iPSK शामिल है।

गाइड पढ़ें →

Purple WiFi के साथ CommScope Ruckus एकीकरण: सेटअप और कॉन्फ़िगरेशन गाइड

यह तकनीकी संदर्भ मार्गदर्शिका CommScope Ruckus आर्किटेक्चर को Purple WiFi के साथ एकीकृत करने के लिए एक आधिकारिक कॉन्फ़िगरेशन प्लेबुक प्रदान करती है। यह Guest WiFi कैप्टिव पोर्टल, 802.1X के माध्यम से सुरक्षित स्टाफ WiFi, और Ruckus Dynamic PSK का उपयोग करके मल्टी-टेनेंट नेटवर्क आइसोलेशन के लिए चरण-दर-चरण परिनियोजन का विवरण देती है।

गाइड पढ़ें →

Purple WiFi के साथ Allied Telesis Access Points का एकीकरण

यह गाइड Allied Telesis TQ-Series एक्सेस पॉइंट्स को Purple WiFi के साथ एकीकृत करने के लिए एक व्यापक कॉन्फ़िगरेशन प्लेबुक प्रदान करती है। इसमें सुरक्षित मल्टी-टेनेंट परिनियोजन के लिए बाहरी कैप्टिव पोर्टल रीडायरेक्शन, 802.1X RADIUS प्रमाणीकरण, और Private Pre-Shared Keys (PPSK) का उपयोग करके डायनेमिक VLAN स्टीयरिंग शामिल है।

गाइड पढ़ें →