मुख्य सामग्री पर जाएं
हिन्दी

Purple WiFi के साथ WatchGuard Firebox एकीकरण: सेटअप और कॉन्फ़िगरेशन गाइड

यह गाइड Purple के साथ WatchGuard Firebox और एक्सेस पॉइंट्स को तैनात करने वाले IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए एक चरण-दर-चरण एकीकरण प्लेबुक है। इसमें Guest WiFi के लिए बाहरी कैप्टिव पोर्टल रीडायरेक्शन, Staff WiFi के लिए सुरक्षित 802.1X प्रमाणीकरण, और डायनेमिक VLAN स्टीयरिंग के साथ WatchGuard Private Pre-Shared Keys (PPSK) का उपयोग करके मल्टी-टेनेंट सेगमेंटेशन शामिल है - जो आपको सभी एक्सेस टियर में एक एकल, एकीकृत आर्किटेक्चर प्रदान करता है।

📖 8 मिनट का पाठ📝 1,854 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 10 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
एकीकरण ब्रीफिंग में आपका स्वागत है। आज हम Purple WiFi के साथ WatchGuard Firebox और एक्सेस पॉइंट एकीकरण को कवर कर रहे हैं। यह उन IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और स्थान संचालन निदेशकों के लिए एक तकनीकी प्लेबुक है जिन्हें सुरक्षित, स्केलेबल वायरलेस इंफ्रास्ट्रक्चर तैनात करने की आवश्यकता है। हम Guest WiFi कैप्टिव पोर्टल, 802.1X का उपयोग करके सुरक्षित Staff WiFi, और WatchGuard Private Pre-Shared Keys या PPSK का उपयोग करके मल्टी-टेनेंट सेगमेंटेशन को देखेंगे। आइए सीधे संदर्भ में चलते हैं। जब आप किसी जटिल स्थान का प्रबंधन कर रहे होते हैं, जैसे कि एक स्टेडियम, एक बड़ा रिटेल सेंटर, या एक मल्टी-ड्वेलिंग यूनिट, तो आपको इस बात पर सटीक नियंत्रण की आवश्यकता होती है कि नेटवर्क तक कौन पहुँचता है और कनेक्ट होने के बाद वे क्या कर सकते हैं। आपको मार्केटिंग राजस्व बढ़ाने के लिए फर्स्ट-पार्टी डेटा कैप्चर करने की भी आवश्यकता होती है। WatchGuard एकीकृत सुरक्षा प्लेटफॉर्म और हार्डवेयर प्रदान करता है। Purple क्लाउड ओवरले, पहचान प्रबंधन और एनालिटिक्स प्रदान करता है। दोनों को एकीकृत करके, आप पहचान-आधारित एक्सेस कंट्रोल को स्वचालित करते हैं। आप अलग अतिथि और स्टाफ गेटवे की आवश्यकता को समाप्त करते हैं, जिससे हार्डवेयर व्यय कम होता है और प्रबंधन सरल होता है। Purple वर्तमान में 80,000 से अधिक लाइव स्थानों पर सेवा प्रदान करता है और अकेले 2024 में 440 मिलियन लॉगिन प्रोसेस कर चुका है, इसलिए यह प्लेटफॉर्म आपके द्वारा प्रबंधित किए जाने वाले किसी भी स्थान के पैमाने को संभालने के लिए बनाया गया है। आइए तकनीकी डीप-डाइव में चलते हैं। आर्किटेक्चर मानक RADIUS प्रोटोकॉल और HTTP रीडायरेक्शन पर निर्भर करता है। हमारे पास तीन मुख्य एक्सेस टियर हैं। पहला, Guest WiFi। यह एक ओपन SSID है। WatchGuard AP HTTP अनुरोधों को रोकता है और उपयोगकर्ता को Purple के होस्ट किए गए स्प्लैश पेज पर रीडायरेक्ट करता है। दूसरा, Staff WiFi। यह 802.1X का उपयोग करने वाला एक सुरक्षित WPA3-Enterprise SSID है। डिवाइस EAP-TLS या PEAP का उपयोग करके सीधे Purple के RADIUS सर्वर के विरुद्ध प्रमाणित होते हैं। तीसरा, मल्टी-टेनेंट WiFi। यह WatchGuard PPSK का उपयोग करता है। कई उपयोगकर्ता एक ही SSID से कनेक्ट होते हैं, लेकिन प्रत्येक एक अद्वितीय पासवर्ड का उपयोग करता है। WatchGuard AP, Purple के RADIUS सर्वर से क्वेरी करता है, जो फिर उस विशिष्ट कुंजी के आधार पर गतिशील रूप से एक VLAN असाइन करता है। तो, हम Guest WiFi कैप्टिव पोर्टल को कैसे कॉन्फ़िगर करते हैं? पहला चरण WatchGuard Cloud या Firebox Policy Manager में RADIUS सर्वर सेट करना है। आप प्राथमिक RADIUS सर्वर को अपने क्षेत्र के लिए Purple के IP पते पर इंगित करते हैं। प्रमाणीकरण पोर्ट 1812 पर है, अकाउंटिंग पोर्ट 1813 पर है। आप Purple द्वारा प्रदान किया गया साझा रहस्य दर्ज करते हैं, और महत्वपूर्ण रूप से, आप यह सुनिश्चित करते हैं कि NAS ID, Firebox या AP के MAC पते से मेल खाती है। यह Purple को बताता है कि अनुरोध किस स्थान से आ रहा है। दूसरा चरण कैप्टिव पोर्टल रीडायरेक्शन ही है। SSID सेटिंग्स में, आप Third-Party Hosted Captive Portal with RADIUS Authentication का चयन करते हैं। आप Purple स्प्लैश पेज URL दर्ज करते हैं, और आप पोर्टल साझा रहस्य दर्ज करते हैं। यह Purple Analyze डैशबोर्ड में उत्पन्न एक विशिष्ट रहस्य है, और इसका उपयोग प्रमाणीकरण अनुरोधों को सत्यापित करने के लिए एक HMAC डाइजेस्ट बनाने के लिए किया जाता है। HMAC-SHA1 एल्गोरिदम यह सुनिश्चित करता है कि Purple से प्रमाणीकरण सफलता संदेश वास्तविक है और पारगमन (transit) में इसके साथ कोई छेड़छाड़ नहीं की गई है। तीसरा चरण, और यही वह जगह है जहाँ कई परिनियोजन लड़खड़ाते हैं, Walled Garden है। यदि आप इसे कॉन्फ़िगर नहीं करते हैं, तो डिवाइस स्प्लैश पेज लोड नहीं कर सकता है। आपको लॉगिन से पहले star dot mypurple dot com, api dot mypurple dot com, और cdn dot mypurple dot com तक पहुंच की अनुमति देनी होगी। यदि आप Microsoft Entra ID या Google Workspace जैसे सोशल लॉगिन का उपयोग कर रहे हैं, तो आपको उन पहचान प्रदाता डोमेन को भी जोड़ना होगा। Walled Garden को पूर्व-प्रमाणीकरण लॉबी के रूप में सोचें। इसके बिना, अतिथि सामने के दरवाजे तक भी नहीं पहुंच सकता। अब, आइए WatchGuard PPSK के साथ मल्टी-टेनेंट सेगमेंटेशन को देखें। यदि आप 15 दुकानों वाले एक रिटेल सेंटर का प्रबंधन करते हैं, तो 15 अलग-अलग SSID प्रसारित करना एक खराब तरीका है। यह को-चैनल हस्तक्षेप का कारण बनता है, हवाई क्षेत्र को अव्यवस्थित करता है, और प्रबंधन ओवरहेड बनाता है। PPSK इसे सुरुचिपूर्ण ढंग से हल करता है। आप एक SSID प्रसारित करते हैं, मान लें Centre-Retail। आप WatchGuard SSID सेटिंग्स में Private Pre-Shared Key सक्षम करते हैं, जिसके लिए आपके WatchGuard एक्सेस पॉइंट्स पर फ़र्मवेयर संस्करण 2.6 या उच्चतर की आवश्यकता होती है। Purple में, आप अद्वितीय कुंजियाँ बनाते हैं, प्रति टेनेंट एक। ट्रैफ़िक को अलग करने के लिए, आप डायनेमिक VLAN असाइनमेंट का उपयोग करते हैं। WatchGuard Cloud में, आप VLAN को Dynamic VLAN assigned by RADIUS पर सेट करते हैं। जब कोई दुकान अपनी विशिष्ट कुंजी का उपयोग करके किसी डिवाइस को कनेक्ट करती है, तो AP, Purple के RADIUS सर्वर को एक Access-Request भेजता है। Purple कुंजी को सत्यापित करता है और तीन महत्वपूर्ण IETF RADIUS विशेषताओं के साथ एक Access-Accept पैकेट वापस भेजता है। Tunnel-Type, जो विशेषता 64 है, को VLAN पर सेट किया जाता है। Tunnel-Medium-Type, विशेषता 65, को 802 पर सेट किया जाता है। और Tunnel-Private-Group-ID, विशेषता 81, को असाइन किए गए VLAN ID पर सेट किया जाता है, उदाहरण के लिए रिटेल टेनेंट A के लिए VLAN 100। WatchGuard AP फिर उस डिवाइस को VLAN 100 पर रखता है, जो अन्य टेनेंट से पूरी तरह से अलग है। यह व्यवहार में पहचान-आधारित नेटवर्किंग (Identity-Based Networking) है। आइए कार्यान्वयन सिफारिशों और सामान्य कमियों पर चर्चा करें। पहला, सत्र टाइमआउट। पुन: प्रमाणीकरण के लिए बाध्य करने के लिए Purple और WatchGuard दोनों में सख्त सत्र टाइमआउट कॉन्फ़िगर करें। यह आपके एनालिटिक्स को सटीक रखता है और यह सुनिश्चित करता है कि पुराने सत्र बैंडविड्थ का उपभोग न करें। अपने RADIUS Interim-Update अंतराल को 10 मिनट पर सेट करें। दूसरा, फ़र्मवेयर। आपको यह सुनिश्चित करना होगा कि आपके WatchGuard एक्सेस पॉइंट PPSK का समर्थन करने के लिए फ़र्मवेयर संस्करण 2.6 या उच्चतर चला रहे हों। पुराने फ़र्मवेयर संस्करण इस सुविधा का समर्थन नहीं करते हैं। तीसरा, MAC रैंडमाइजेशन। आधुनिक डिवाइस डिफ़ॉल्ट रूप से अपने MAC पते को रैंडमाइज करते हैं। अपने सुरक्षित Staff WiFi नेटवर्क के लिए, स्थिर 802.1X प्रमाणीकरण सुनिश्चित करने के लिए अपने कर्मचारियों को उस विशिष्ट SSID के लिए इस सुविधा को अक्षम करने के लिए शिक्षित करें। MAC रैंडमाइजेशन प्रमाणीकरण विफलताओं और असंगत एनालिटिक्स डेटा का कारण बन सकता है। क्या होता है जब चीजें गलत हो जाती हैं? यदि कैप्टिव पोर्टल लोड होने में विफल रहता है, तो सबसे पहले Walled Garden की जांच करें। यदि डिवाइस DNS को हल नहीं कर सकता है या Purple सर्वर तक नहीं पहुंच सकता है, तो यह स्प्लैश पेज के बजाय टाइमआउट त्रुटि दिखाएगा। यदि VLAN स्टीयरिंग विफल हो जाता है और क्लाइंट को गलत VLAN से IP प्राप्त होता है, तो Purple पोर्टल में RADIUS लॉग की जांच करें। सुनिश्चित करें कि Tunnel-Private-Group-ID विशेषता एक स्ट्रिंग के रूप में सही ढंग से स्वरूपित है और एक ऐसे VLAN से मेल खाती है जो वास्तव में AP से जुड़े स्विच पोर्ट पर मौजूद है। यदि आप WatchGuard लॉग में HMAC डाइजेस्ट त्रुटियां देखते हैं, तो आपका कैप्टिव पोर्टल साझा रहस्य WatchGuard और Purple के बीच मेल नहीं खाता है। यह दोनों प्रणालियों में अक्षर-दर-अक्षर समान होना चाहिए। रैपिड-फायर Q&A का समय। प्रश्न: क्या मैं एक ही SSID पर PPSK और कैप्टिव पोर्टल का उपयोग कर सकता हूँ? उत्तर: नहीं। WatchGuard एक ही SSID पर एक साथ PPSK के माध्यम से डायनेमिक VLAN और कैप्टिव पोर्टल चलाने का समर्थन नहीं करता है। आपको पोर्टल के लिए एक SSID और PPSK के लिए एक अलग SSID की आवश्यकता है। तदनुसार अपने SSID आर्किटेक्चर की योजना बनाएं। प्रश्न: क्या होगा यदि RADIUS सर्वर PPSK उपयोगकर्ता के लिए VLAN ID नहीं लौटाता है? उत्तर: WatchGuard Cloud में, आप एक Unassigned Clients फ़ॉलबैक विकल्प कॉन्फ़िगर करते हैं। आप उन्हें एक अनटैग किए गए VLAN या एक विशिष्ट अलग क्वारंटाइन VLAN पर छोड़ सकते हैं ताकि यह सुनिश्चित हो सके कि वे कॉर्पोरेट नेटवर्क तक पहुंच प्राप्त न करें। आकस्मिक पहुंच से बचने के लिए हमेशा इस फ़ॉलबैक को कॉन्फ़िगर करें। संक्षेप में, Purple के साथ WatchGuard Firebox को एकीकृत करने से आपको Guest, Staff, और मल्टी-टेनेंट नेटवर्क में सुरक्षा, पहचान और एनालिटिक्स के लिए एक एकीकृत मंच मिलता है। आप मेहमानों के लिए बाहरी कैप्टिव पोर्टल रीडायरेक्शन, कर्मचारियों के लिए 802.1X, और मल्टी-टेनेंट वातावरण के लिए डायनेमिक VLAN के साथ PPSK का उपयोग करते हैं। ROI स्पष्ट है। आप गेटवे को समेकित करके हार्डवेयर लागत को कम करते हैं, एकल क्लाउड प्लेटफॉर्म के माध्यम से प्रबंधन को सरल बनाते हैं, और Purple कैप्टिव पोर्टल के माध्यम से फर्स्ट-पार्टी डेटा कैप्चर करके राजस्व बढ़ाते हैं। आपके अगले कदम आपके वर्तमान SSID आर्किटेक्चर की समीक्षा करना, यह सुनिश्चित करना कि आपका WatchGuard फ़र्मवेयर संस्करण 2.6 या उच्चतर है, और Purple पोर्टल में अपनी RADIUS सेटिंग्स को कॉन्फ़िगर करना शुरू करना है। सुनने के लिए धन्यवाद।

header_image.png

कार्यकारी सारांश

जटिल स्थानों पर एक सुरक्षित, स्केलेबल वायरलेस इंफ्रास्ट्रक्चर को तैनात करने के लिए आपके सुरक्षा गेटवे और पहचान प्रदाता (identity provider) के बीच सटीक एकीकरण की आवश्यकता होती है। यह गाइड WatchGuard Firebox और WatchGuard एक्सेस पॉइंट्स के Purple के साथ एकीकरण का विवरण देती है, जिसमें तीन अलग-अलग एक्सेस टियर शामिल हैं: Guest WiFi कैप्टिव पोर्टल रीडायरेक्शन, IEEE 802.1X का उपयोग करके सुरक्षित Staff WiFi, और WatchGuard Private Pre-Shared Keys (PPSK) के माध्यम से मल्टी-टेनेंट WiFi सेगमेंटेशन।

WatchGuard के एकीकृत सुरक्षा प्लेटफॉर्म को Purple के क्लाउड ओवरले के साथ जोड़कर, आप पहचान-आधारित एक्सेस कंट्रोल को स्वचालित करते हैं, विस्तृत सुरक्षा नीतियां लागू करते हैं, और बड़े पैमाने पर फर्स्ट-पार्टी डेटा कैप्चर करते हैं। Purple 80,000+ से अधिक लाइव स्थानों पर काम करता है और इसने 2024 में 440 मिलियन लॉगिन प्रोसेस किए हैं (Purple का आंतरिक डेटा)। यह एकीकरण डिज़ाइन द्वारा हार्डवेयर-अज्ञेयवादी (hardware-agnostic) है - WatchGuard, Purple की समर्थित हार्डवेयर सूची में Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, और Fortinet के साथ शामिल है। एंटरप्राइज़ WiFi सुरक्षा मानकों के व्यापक दृष्टिकोण के लिए, हमारी गाइड Enterprise WiFi Security: A Complete Guide for 2026 देखें।

architecture_overview.png

तकनीकी आर्किटेक्चर

यह एकीकरण दो मानक तंत्रों का उपयोग करके WatchGuard हार्डवेयर को Purple की क्लाउड सेवाओं से जोड़ता है: प्रमाणीकरण (authentication) और अकाउंटिंग के लिए RADIUS (रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस), और कैप्टिव पोर्टल डिलीवरी के लिए HTTP रीडायरेक्शन। यह आर्किटेक्चर एक ही भौतिक इंफ्रास्ट्रक्चर पर तीन एक्सेस टियर का समर्थन करता है।

एक्सेस टियर SSID प्रकार प्रमाणीकरण विधि Purple भूमिका
Guest WiFi Open बाहरी कैप्टिव पोर्टल + RADIUS अकाउंटिंग स्प्लैश पेज, डेटा कैप्चर, एनालिटिक्स
Staff WiFi WPA3-Enterprise 802.1X (EAP-TLS या PEAP) RADIUS सर्वर, पहचान प्रदाता प्रॉक्सी
मल्टी-टेनेंट WiFi WPA2/WPA3 Personal + PPSK RADIUS के माध्यम से सत्यापित PPSK कुंजी प्रबंधन, डायनेमिक VLAN असाइनमेंट

ये तीनों टियर एक ही WatchGuard एक्सेस पॉइंट बेड़े में एक साथ चल सकते हैं। WatchGuard WiFi 6 मॉडल - AP130, AP230W, AP330, AP332CR, AP430CR, और AP432 - फ़र्मवेयर v2.6 और उसके बाद के संस्करणों से PPSK का समर्थन करते हैं।

Guest WiFi कैप्टिव पोर्टल रीडायरेक्शन को कॉन्फ़िगर करना

WatchGuard कैप्टिव पोर्टल एकीकरण अप्रमाणित HTTP अनुरोधों को Purple के होस्ट किए गए स्प्लैश पेज पर रीडायरेक्ट करता है। फर्स्ट-पार्टी डेटा कैप्चर करने और सेवा की शर्तों को लागू करने के लिए यह प्राथमिक तंत्र है।

चरण 1: RADIUS सर्वर कॉन्फ़िगरेशन

WatchGuard Cloud या Firebox Policy Manager में, Purple को RADIUS प्रमाणीकरण और अकाउंटिंग सर्वर के रूप में परिभाषित करें।

  • प्राथमिक RADIUS सर्वर: इसे अपने क्षेत्र के लिए Purple RADIUS IP पते पर सेट करें (यह Purple पोर्टल में Settings > Hardware Integration के अंतर्गत उपलब्ध है)।
  • प्रमाणीकरण पोर्ट: 1812
  • अकाउंटिंग पोर्ट: 1813
  • साझा रहस्य (Shared secret): Purple पोर्टल में प्रदान किया गया अद्वितीय रहस्य दर्ज करें।
  • NAS ID: इसे %m फ़ॉर्मेट स्पेसिफायर का उपयोग करके Firebox या AP के MAC पते पर सेट करें। यह Purple के लिए स्थान की पहचान करता है और एनालिटिक्स को सही खाते में भेजता है।
  • अकाउंटिंग अंतराल: नियमित अंतराल पर सत्र डेटा को Purple के एनालिटिक्स डैशबोर्ड पर भेजने के लिए इसे 10 मिनट पर सेट करें।

चरण 2: SSID और कैप्टिव पोर्टल सेटिंग्स

WatchGuard Cloud में, Configure > Devices > [Your AP] > Device Configuration > SSIDs पर जाएं। Guest SSID बनाएं या संपादित करें।

  • सुरक्षा: Open (कोई पूर्व-प्रमाणीकरण पासवर्ड नहीं)।
  • कैप्टिव पोर्टल प्रकार: Third-Party Hosted Captive Portal with RADIUS Authentication चुनें।
  • स्प्लैश पेज URL: Purple स्प्लैश पेज URL दर्ज करें (जैसे, https://wifi.mypurple.com/splash)। इसे Purple > Analyze > Portals से प्राप्त करें।
  • साझा रहस्य (Shared secret): उसी Purple Analyze Portals पेज से पोर्टल साझा रहस्य दर्ज करें। यह रहस्य HMAC-SHA1 डाइजेस्ट उत्पन्न करता है जिसका उपयोग WatchGuard, Purple से प्रमाणीकरण सफलता प्रतिक्रिया को सत्यापित करने के लिए करता है।

चरण 3: Walled Garden कॉन्फ़िगरेशन

Walled Garden यह परिभाषित करता है कि प्रमाणीकरण पूरा होने से पहले कोई डिवाइस किन डोमेन तक पहुंच सकता है। इसके बिना, डिवाइस Purple स्प्लैश पेज लोड नहीं कर सकता। Websites that users can access before login में निम्नलिखित प्रविष्टियां जोड़ें:

  • *.mypurple.com
  • api.mypurple.com
  • cdn.mypurple.com
  • assets.mypurple.com

यदि आप Microsoft Entra ID, Okta, या Google Workspace के माध्यम से सोशल या फ़ेडरेटेड लॉगिन सक्षम करते हैं, तो प्रासंगिक पहचान प्रदाता डोमेन जोड़ें (जैसे, login.microsoftonline.com, accounts.google.com)। साझा WiFi इंफ्रास्ट्रक्चर पर कानूनी और अनुपालन संदर्भ के लिए, हमारी गाइड Legal and Compliance Requirements for Shared WiFi Infrastructure देखें।

HMAC प्रमाणीकरण प्रवाह कैसे काम करता है

इस प्रवाह को समझने से आपको विफलताओं का तुरंत निदान करने में मदद मिलती है।

  1. अतिथि डिवाइस ओपन SSID से कनेक्ट होता है और एक HTTP अनुरोध करता है।
  2. WatchGuard AP अनुरोध को रोकता है और ब्राउज़र को Purple स्प्लैश पेज URL पर रीडायरेक्ट करता, जिसमें एक challenge पैरामीटर (एक रैंडम हेक्स स्ट्रिंग) और डिवाइस का MAC पता जोड़ा जाता है।
  3. Purple स्प्लैश पेज प्रदर्शित करता है। अतिथि लॉगिन फॉर्म पूरा करता है।
  4. Purple पोर्टल साझा रहस्य और चैलेंज वैल्यू का उपयोग करके एक HMAC-SHA1 डाइजेस्ट उत्पन्न करता है।
  5. Purple ब्राउज़र को वापस WatchGuard AP के लॉगिन URL पर रीडायरेक्ट करता है, जिसमें चैलेंज और डाइजेस्ट जोड़ा जाता है।
  6. WatchGuard AP उसी साझा रहस्य का उपयोग करके डाइजेस्ट को सत्यापित करता है। यदि यह मेल खाता है, तो AP इंटरनेट एक्सेस प्रदान करता है और Purple को एक RADIUS Accounting Start पैकेट भेजता है।

802.1X के साथ सुरक्षित Staff WiFi

Staff WiFi के लिए, आप कैप्टिव पोर्टल को IEEE 802.1X से बदल देते हैं - जो पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एंटरप्राइज़ मानक है। प्रत्येक स्टाफ सदस्य अद्वितीय क्रेडेंशियल या प्रमाणपत्र के साथ प्रमाणित होता है, जिससे साझा-पासवर्ड का जोखिम समाप्त हो जाता है।

WatchGuard Cloud में, Staff SSID को WPA3 Enterprise सुरक्षा के साथ कॉन्फ़िगर करें और Authentication Domain को Purple के RADIUS सर्वर पर इंगित करें। Purple, RADIUS सर्वर के रूप में कार्य करता है और SAML या LDAP के माध्यम से Microsoft Entra ID, Okta, या Google Workspace पर प्रमाणीकरण अनुरोधों को प्रॉक्सी कर सकता है।

प्रमाणपत्र-आधारित प्रमाणीकरण (EAP-TLS) के लिए, प्रबंधित उपकरणों पर अपने MDM के माध्यम से क्लाइंट प्रमाणपत्र तैनात करें। क्रेडेंशियल-आधारित प्रमाणीकरण (PEAP-MSCHAPv2) के लिए, उपयोगकर्ता अपने निर्देशिका क्रेडेंशियल के साथ प्रमाणित होते हैं। Purple कॉन्फ़िगर किए गए पहचान प्रदाता के विरुद्ध अनुरोध को सत्यापित करता है और WatchGuard AP को RADIUS Access-Accept या Access-Reject लौटाता है।

डिवाइस प्रकारों में 802.1X कॉन्फ़िगरेशन के विस्तृत वॉकथ्रू के लिए, हमारी गाइड 802.1X authentication: securing network access on modern devices देखें।

MAC रैंडमाइजेशन पर महत्वपूर्ण नोट: आधुनिक iOS और Android डिवाइस डिफ़ॉल्ट रूप से अपने MAC पते को रैंडमाइज करते हैं। 802.1X Staff WiFi के लिए, कर्मचारियों को Staff SSID के लिए MAC रैंडमाइजेशन को अक्षम करने का निर्देश दें। रैंडमाइज्ड MAC असंगत प्रमाणीकरण लॉग का कारण बनते हैं और MAC-आधारित नीति प्रवर्तन को बाधित करते हैं।

WatchGuard PPSK के साथ मल्टी-टेनेंट WiFi

एक रिटेल सेंटर, कोवर्किंग स्पेस, या Build-to-Rent (BTR) डेवलपमेंट में प्रति टेनेंट एक अलग SSID प्रसारित करने से को-चैनल हस्तक्षेप (co-channel interference) होता है और RF वातावरण अव्यवस्थित होता है। WatchGuard PPSK (Private Pre-Shared Key) - जो AP फ़र्मवेयर v2.6 में पेश किया गया है - एक ही SSID पर प्रत्येक उपयोगकर्ता या टेनेंट को एक अद्वितीय पासवर्ड सौंपकर इसे हल करता है।

ppsk_vlan_segmentation_chart.png

चरण 1: SSID पर PPSK सक्षम करें

WatchGuard Cloud में, लक्षित SSID (जैसे, Venue-WiFi) को संपादित करें।

  • सुरक्षा: WPA2 Personal या WPA3 Personal।
  • प्रमाणीकरण: Private Pre-Shared Key (PPSK) सक्षम करें।
  • RADIUS सर्वर: Purple के RADIUS सर्वर पर इंगित करें। Purple, PPSK क्रेडेंशियल स्टोर का प्रबंधन करता है और प्रमाणीकरण पर VLAN विशेषताएँ लौटाता है।

चरण 2: डायनेमिक VLAN असाइनमेंट कॉन्फ़िगर करें

टेनेंट ट्रैफ़िक को अलग करने के लिए, WatchGuard AP उपयोग किए गए PPSK के आधार पर एक विशिष्ट VLAN असाइन करता है।

  • VLAN सेटिंग: Dynamic VLAN assigned by RADIUS चुनें।
  • अनअसाइन किए गए क्लाइंट फ़ॉलबैक: एक अलग क्वारंटाइन VLAN (जैसे, VLAN 999) चुनें ताकि यह सुनिश्चित हो सके कि जो डिवाइस RADIUS सत्यापन में विफल रहते हैं वे कॉर्पोरेट नेटवर्क तक नहीं पहुंच सकें।

WatchGuard एक्सेस पॉइंट्स पर डायनेमिक VLAN के लिए आवश्यकताएं:

  • AP फ़र्मवेयर v2.2 या उच्चतर।
  • SSID पर NAT अक्षम होना चाहिए।
  • डायनेमिक VLAN और कैप्टिव पोर्टल एक ही SSID पर एक साथ नहीं चल सकते।
  • AP से जुड़ा स्विच पोर्ट एक ट्रंक पोर्ट के रूप में कॉन्फ़िगर किया जाना चाहिए जो सभी प्रासंगिक VLAN को ले जाता हो।

चरण 3: VLAN स्टीयरिंग के लिए RADIUS विशेषताएँ

जब कोई उपयोगकर्ता PPSK का उपयोग करके कनेक्ट होता है, तो WatchGuard AP, Purple को एक RADIUS Access-Request भेजता है। Purple कुंजी को सत्यापित करता है और तीन IETF RADIUS विशेषताओं वाला एक Access-Accept पैकेट लौटाता है:

RADIUS विशेषता विशेषता संख्या मान
Tunnel-Type 64 13 (VLAN)
Tunnel-Medium-Type 65 6 (802)
Tunnel-Private-Group-ID 81 VLAN ID (जैसे, "100")

WatchGuard AP विशेषता 81 को पढ़ता है और क्लाइंट को संबंधित VLAN पर रखता है। Purple में, आप प्रत्येक PPSK क्रेडेंशियल को एक विशिष्ट VLAN ID और भूमिका से मैप करते हैं। यह पहचान-आधारित नेटवर्क (Identity-Based Networks) के पीछे का तंत्र है - क्रेडेंशियल नेटवर्क सेगमेंट निर्धारित करता है, SSID नहीं।

कार्यान्वयन के सर्वोत्तम तरीके

ये सिफारिशें हॉस्पिटैलिटी , रिटेल , हेल्थकेयर , और परिवहन परिनियोजन (deployments) पर लागू होती हैं।

सत्र टाइमआउट (Session timeouts): नियमित अंतराल पर पुन: प्रमाणीकरण के लिए बाध्य करने के लिए Purple और WatchGuard दोनों में सत्र टाइमआउट कॉन्फ़िगर करें। यह एनालिटिक्स को सटीक रखता है और पुराने सत्रों को बैंडविड्थ का उपभोग करने से रोकता है। RADIUS Interim-Update (Acct-Interim-Interval) को 600 सेकंड (10 मिनट) पर सेट करें।

फ़र्मवेयर प्रबंधन: सुनिश्चित करें कि WatchGuard एक्सेस पॉइंट्स PPSK समर्थन के लिए फ़र्मवेयर v2.6 या उच्चतर चला रहे हों। कवरेज अंतराल से बचने के लिए ऑफ-पीक घंटों के दौरान फ़र्मवेयर अपग्रेड शेड्यूल करने के लिए WatchGuard Cloud का उपयोग करें।

PCI-DSS अनुपालन: कार्ड भुगतान संसाधित करने वाले रिटेल वातावरण के लिए, PPSK का उपयोग करके POS उपकरणों को एक समर्पित VLAN (जैसे, VLAN 200) पर अलग करें। सुनिश्चित करें कि Guest WiFi VLAN का POS VLAN के लिए कोई रूट न हो। यह PCI-DSS नेटवर्क सेगमेंटेशन आवश्यकताओं का समर्थन करता है।

GDPR और डेटा संग्रह: Purple का कैप्टिव पोर्टल सचेत-विकल्प (conscious-choice) ऑप्ट-इन का उपयोग करता है, जिससे यह सुनिश्चित होता है कि डेटा संग्रह GDPR आवश्यकताओं को पूरा करता है। Purple ISO 27001, GDPR, CCPA, और Cyber Essentials प्रमाणित है। सुनिश्चित करें कि डेटा कैप्चर शुरू होने से पहले आपके स्प्लैश पेज में एक स्पष्ट गोपनीयता नोटिस और सेवा की शर्तों का लिंक शामिल हो।

समस्या निवारण और जोखिम शमन

कैप्टिव पोर्टल लोड होने में विफल: Walled Garden जांचने के लिए सबसे पहली जगह है। यदि डिवाइस DNS को हल नहीं कर सकता है या पूर्व-प्रमाणीकरण में Purple के सर्वर तक नहीं पहुंच सकता है, तो ब्राउज़र स्प्लैश पेज के बजाय टाइमआउट त्रुटि दिखाता है। सत्यापित करें कि सभी Purple डोमेन Walled Garden सूची में हैं और WatchGuard DNS सेटिंग्स पूर्व-प्रमाणीकरण रिज़ॉल्यूशन की अनुमति देती हैं।

HMAC डाइजेस्ट सत्यापन त्रुटियां: यदि WatchGuard लॉग HMAC त्रुटियों के साथ प्रमाणीकरण विफलताओं को दिखाते हैं, तो कैप्टिव पोर्टल साझा रहस्य (Captive Portal Shared Secret) WatchGuard और Purple के बीच मेल नहीं खाता है। यह दोनों प्रणालियों में समान होना चाहिए। Purple में रहस्य को पुन: उत्पन्न करें और इसे WatchGuard Cloud में फिर से दर्ज करें।

VLAN स्टीयरिंग विफल: यदि किसी PPSK उपयोगकर्ता को गलत VLAN से IP प्राप्त होता है, तो Purple पोर्टल में RADIUS लॉग की जांच करें। सत्यापित करें कि Purple सभी तीन IETF RADIUS विशेषताओं को लौटा रहा है। सुनिश्चित करें कि Tunnel-Private-Group-ID मान एक स्ट्रिंग के रूप में स्वरूपित है और स्विच ट्रंक पोर्ट पर कॉन्फ़िगर किए गए VLAN ID से मेल खाता है।

PPSK और कैप्टिव पोर्टल संघर्ष: WatchGuard एक ही SSID पर डायनेमिक VLAN और कैप्टिव पोर्टल का समर्थन नहीं करता है। यदि आपको दोनों की आवश्यकता है, तो दो SSID का उपयोग करें: एक अतिथि कैप्टिव पोर्टल के लिए और एक PPSK मल्टी-टेनेंट एक्सेस के लिए।

802.1X प्रमाणीकरण विफलताएं: AP और RADIUS सर्वर के बीच ट्रैफ़िक को कैप्चर करने के लिए WatchGuard AP फ़र्मवेयर v2.5 और उच्चतर में उपलब्ध पैकेट कैप्चर टूल का उपयोग करें। RADIUS Access-Reject पैकेट और उत्तर संदेश विशेषता में कारण कोड की तलाश करें।

ROI और व्यावसायिक प्रभाव

WatchGuard और Purple एकीकरण सुरक्षा और एनालिटिक्स को एक ही आर्किटेक्चर में समेकित करता है। इस एकीकरण का उपयोग करने वाला 200 कमरों का होटल अलग अतिथि और स्टाफ गेटवे की आवश्यकता को समाप्त करता है, जिससे मल्टी-गेटवे परिनियोजन की तुलना में हार्डवेयर व्यय में लगभग 30% की कमी आती है (Purple का आंतरिक डेटा)। Guest WiFi कैप्टिव पोर्टल फर्स्ट-पार्टी डेटा - ईमेल पते, जनसांख्यिकीय जानकारी और विज़िट आवृत्ति - कैप्चर करता है जो Purple के Engage प्लान के माध्यम से प्रत्यक्ष विपणन (direct marketing) राजस्व को बढ़ाता है।

मल्टी-टेनेंट स्थानों के लिए, PPSK कई SSID के प्रबंधन के परिचालन ओवरहेड को समाप्त करता है। एक ही SSID पर 15 दुकान इकाइयों का प्रबंधन करने वाला एक रिटेल सेंटर AP रेडियो उपयोग को कम करता है और नेटवर्क ऑडिट को सरल बनाता है। Purple से WiFi Analytics स्थान ऑपरेटरों को ड्वेल टाइम (dwell time), फुटफॉल और रिपीट विज़िट डेटा प्रदान करता है - ये ऐसे मेट्रिक्स हैं जो वित्त टीमों के लिए इंफ्रास्ट्रक्चर निवेश को सही ठहराते हैं।

Purple 99.999% अपटाइम (Purple का आंतरिक डेटा) बनाए रखता है, जिससे यह सुनिश्चित होता है कि स्टेडियम और सम्मेलन केंद्रों जैसे उच्च-घनत्व वाले स्थानों पर पीक पीरियड्स के दौरान भी Guest WiFi कैप्टिव पोर्टल उपलब्ध रहे।

मुख्य परिभाषाएं

PPSK (Private Pre-Shared Key)

एक सुरक्षा विशेषता जो WPA2/WPA3 Personal SSID पर प्रत्येक उपयोगकर्ता या डिवाइस को एक अद्वितीय पासवर्ड प्रदान करती है। WatchGuard AP फ़र्मवेयर v2.6 में पेश किया गया।

मल्टी-टेनेंट वातावरण - रिटेल सेंटर, कोवर्किंग स्पेस, BTR डेवलपमेंट - में क्लाइंट उपकरणों पर 802.1X सप्लीकेंट कॉन्फ़िगरेशन की आवश्यकता के बिना उपयोगकर्ताओं को विभाजित करने के लिए उपयोग किया जाता है।

डायनेमिक VLAN स्टीयरिंग (Dynamic VLAN steering)

प्रमाणीकरण के दौरान लौटाए गए RADIUS विशेषताओं (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) के आधार पर एक नेटवर्क डिवाइस को एक विशिष्ट वर्चुअल VLAN में असाइन करने की प्रक्रिया।

वह तंत्र जो एक ही भौतिक एक्सेस पॉइंट पर टेनेंट, स्टाफ और गेस्ट ट्रैफ़िक को अलग करता है। WatchGuard हार्डवेयर पर AP फ़र्मवेयर v2.2 या उच्चतर की आवश्यकता होती है।

Walled Garden

IP पतों या डोमेन की एक सूची जिसे एक अप्रमाणित उपयोगकर्ता को कैप्टिव पोर्टल प्रमाणीकरण पूरा करने से पहले एक्सेस करने की अनुमति होती है।

पूर्ण इंटरनेट एक्सेस दिए जाने से पहले अतिथि उपकरणों को Purple स्प्लैश पेज लोड करने और फ़ेडरेटेड लॉगिन (Microsoft Entra ID, Google Workspace) पूरा करने की अनुमति देने के लिए आवश्यक है।

HMAC डाइजेस्ट (HMAC digest)

एक क्रिप्टोग्राफिक हैश (HMAC-SHA1) जिसका उपयोग कैप्टिव पोर्टल से प्रमाणीकरण सफलता संदेश की अखंडता और प्रामाणिकता को सत्यापित करने के लिए किया जाता है।

WatchGuard कैप्टिव पोर्टल साझा रहस्य का उपयोग करके HMAC डाइजेस्ट को सत्यापित करता है। WatchGuard और Purple में रहस्य के बीच बेमेल होने से प्रमाणीकरण विफल हो जाता है।

RADIUS अकाउंटिंग (RADIUS accounting)

RADIUS प्रोटोकॉल का वह घटक जो नेटवर्क उपयोग को ट्रैक करता है, जिसमें सत्र की शुरुआत, सत्र की अवधि और डेटा ट्रांसफर वॉल्यूम शामिल हैं।

एनालिटिक्स डैशबोर्ड को पॉप्युलेट करने और सत्र समय सीमा को लागू करने के लिए Purple, WatchGuard Firebox से RADIUS अकाउंटिंग पैकेट पर निर्भर करता है। पोर्ट 1813 पर काम करता है।

कैप्टिव पोर्टल

एक वेब पेज जिस पर सार्वजनिक नेटवर्क तक पहुंच दिए जाने से पहले एक डिवाइस को रीडायरेक्ट किया जाता है। WatchGuard HTTP अनुरोधों को रोकता है और कॉन्फ़िगर किए गए बाहरी पोर्टल URL पर रीडायरेक्ट करता है।

Guest WiFi नेटवर्क पर फर्स्ट-पार्टी डेटा कैप्चर करने और सेवा की शर्तों को लागू करने का प्राथमिक तंत्र। Purple स्प्लैश पेज को होस्ट करता है और डेटा का प्रबंधन करता है।

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक। नेटवर्क एक्सेस दिए जाने से पहले प्रत्येक डिवाइस को अद्वितीय क्रेडेंशियल या प्रमाणपत्र के साथ प्रमाणित करने की आवश्यकता होती है।

Staff WiFi को सुरक्षित करने के लिए एंटरप्राइज़ मानक। WPA2 Personal के साझा-पासवर्ड जोखिम को समाप्त करता है। इसके लिए एक RADIUS सर्वर (Purple) और क्लाइंट डिवाइस पर एक सप्लीकेंट की आवश्यकता होती है।

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

एक अत्यधिक सुरक्षित 802.1X प्रमाणीकरण विधि जिसमें पारस्परिक प्रमाणीकरण के लिए क्लाइंट प्रमाणपत्र और सर्वर प्रमाणपत्र दोनों की आवश्यकता होती है।

उच्च-सुरक्षा वातावरण में उपयोग किया जाता है जहां उपकरणों को MDM द्वारा प्रबंधित किया जाता है। यह सुनिश्चित करता है कि केवल वैध प्रमाणपत्र वाले कॉर्पोरेट-स्वामित्व वाले डिवाइस ही Staff WiFi SSID से कनेक्ट हो सकें।

NAS ID (Network Access Server Identifier)

RADIUS पैकेट में भेजी गई एक स्ट्रिंग जो प्रमाणीकरण अनुरोध करने वाले नेटवर्क डिवाइस (AP या Firebox) की पहचान करती है।

Purple यह पहचानने के लिए NAS ID का उपयोग करता है कि RADIUS अनुरोध किस स्थान से उत्पन्न हुआ है। आमतौर पर WatchGuard में %m फ़ॉर्मेट स्पेसिफायर का उपयोग करके AP MAC पते पर सेट किया जाता है।

पहचान-आधारित नेटवर्किंग (Identity-Based Networking)

एक नेटवर्क आर्किटेक्चर जहां एक्सेस नीतियां, VLAN असाइनमेंट और सुरक्षा नियंत्रण उपयोगकर्ता के भौतिक पोर्ट या SSID के बजाय उसकी पहचान से निर्धारित होते हैं।

WatchGuard PPSK, Purple RADIUS, और डायनेमिक VLAN स्टीयरिंग का संयोजन पहचान-आधारित नेटवर्किंग प्रदान करता है - क्रेडेंशियल स्वचालित रूप से नेटवर्क सेगमेंट निर्धारित करता है।

हल किए गए उदाहरण

एक 200 कमरों वाली Premier Inn संपत्ति को मेहमानों के लिए Guest WiFi, फ्रंट-ऑफ-हाउस और बैक-ऑफिस टीमों के लिए सुरक्षित Staff WiFi, और IoT उपकरणों (स्मार्ट टीवी, डोर लॉक) के लिए एक अलग नेटवर्क प्रदान करने की आवश्यकता है। उनके पास WatchGuard Cloud के माध्यम से प्रबंधित WatchGuard AP330 एक्सेस पॉइंट और एक Firebox T85 गेटवे है। उन्हें तीनों नेटवर्क का आर्किटेक्चर कैसे तैयार करना चाहिए?

WatchGuard AP330 बेड़े पर तीन SSID तैनात करें। SSID 1: 'Premier-Guest' - Purple के लिए बाहरी कैप्टिव पोर्टल रीडायरेक्शन के साथ ओपन SSID। Firebox T85 को Purple के सर्वर (पोर्ट 1812/1813) की ओर इशारा करते हुए RADIUS क्लाइंट के रूप में कॉन्फ़िगर करें। Purple के Walled Garden डोमेन जोड़ें। मेहमान ईमेल, सोशल लॉगिन या रूम कोड का उपयोग करके Purple स्प्लैश पेज के माध्यम से प्रमाणित होते हैं। SSID 2: 'Premier-Staff' - 802.1X प्रमाणीकरण के साथ WPA3-Enterprise SSID। प्रमाणीकरण डोमेन को Purple के RADIUS सर्वर पर इंगित करें, जो संपत्ति के Microsoft Entra ID टेनेंट को क्रेडेंशियल प्रॉक्सी करता है। कर्मचारी अपने कॉर्पोरेट क्रेडेंशियल के साथ प्रमाणित होते हैं। SSID 3: 'Premier-IoT' - एक स्थिर PSK के साथ WPA2 Personal SSID, जिसे एक समर्पित VLAN (जैसे, VLAN 50) पर रखा गया है, जिसमें फ़ायरवॉल नियम स्टाफ और गेस्ट VLAN तक पहुंच को अवरुद्ध करते हैं। Firebox T85 इंटर-VLAN राउटिंग नीतियों को लागू करता है। तीनों SSID एक ही AP हार्डवेयर पर प्रसारित होते हैं, जिससे इंफ्रास्ट्रक्चर की लागत कम होती है।

परीक्षक की टिप्पणी: यह आर्किटेक्चर न्यूनतम विशेषाधिकार (least privilege) के सिद्धांत का पालन करता है। प्रत्येक एक्सेस टियर के पास उसके कार्य के लिए आवश्यक न्यूनतम नेटवर्क एक्सेस होता है। IoT SSID, PPSK के बजाय एक स्थिर PSK का उपयोग करता है क्योंकि IoT डिवाइस आमतौर पर डायनेमिक क्रेडेंशियल रोटेशन को संभाल नहीं सकते हैं। मुख्य निर्णय गेस्ट और स्टाफ दोनों टियर के लिए RADIUS सर्वर के रूप में Purple का उपयोग करना है, जो पहचान प्रबंधन और एनालिटिक्स को एक ही प्लेटफॉर्म में केंद्रीकृत करता है।

12 दुकान इकाइयों का प्रबंधन करने वाला एक रिटेल सेंटर एक ही SSID का उपयोग करके प्रत्येक टेनेंट को अलग WiFi एक्सेस प्रदान करना चाहता है। सेंटर को यह भी सुनिश्चित करने की आवश्यकता है कि एक समझौता किया गया (compromised) टेनेंट क्रेडेंशियल अन्य टेनेंट के ट्रैफ़िक को उजागर न करे। वे फ़र्मवेयर v2.6 पर WatchGuard AP230W एक्सेस पॉइंट चला रहे हैं।

एक SSID कॉन्फ़िगर करें: WPA2 Personal और PPSK सक्षम के साथ 'Centre-Retail'। Purple में, 12 अद्वितीय PPSK क्रेडेंशियल बनाएं, प्रति टेनेंट एक। प्रत्येक क्रेडेंशियल को एक समर्पित VLAN से मैप करें (जैसे, टेनेंट 1 के लिए VLAN 101, टेनेंट 2 के लिए VLAN 102, इत्यादि)। WatchGuard Cloud में, SSID VLAN को 'Dynamic VLAN assigned by RADIUS' पर सेट करें, जिसमें क्वारंटाइन VLAN (VLAN 999) का फ़ॉलबैक हो। AP230W से जुड़े स्विच पोर्ट को VLAN 101-112 और 999 ले जाने वाले ट्रंक पोर्ट के रूप में कॉन्फ़िगर करें। जब कोई टेनेंट डिवाइस अपने PPSK का उपयोग करके कनेक्ट होता है, तो AP, Purple RADIUS से क्वेरी करता है, Tunnel-Private-Group-ID विशेषता प्राप्त करता है, और डिवाइस को सही VLAN पर रखता है। टेनेंट 3 के लिए एक समझौता किया गया क्रेडेंशियल केवल VLAN 103 को उजागर करता है - अन्य सभी टेनेंट अलग रहते हैं।

परीक्षक की टिप्पणी: PPSK, 802.1X प्रमाणपत्र प्रबंधन की जटिलता के बिना प्रति-क्रेडेंशियल अलगाव (per-credential isolation) प्रदान करता है। महत्वपूर्ण डिज़ाइन निर्णय फ़ॉलबैक VLAN है। क्वारंटाइन VLAN कॉन्फ़िगर किए बिना, RADIUS सत्यापन में विफल रहने वाले डिवाइस को डिफ़ॉल्ट अनटैग किए गए VLAN पर रखा जा सकता है, जिससे संभावित रूप से प्रबंधन इंफ्रास्ट्रक्चर तक पहुंच प्राप्त हो सकती है। हमेशा फ़ॉलबैक को स्पष्ट रूप से कॉन्फ़िगर करें।

अभ्यास प्रश्न

Q1. एक होटल IT प्रबंधक रिपोर्ट करता है कि मेहमान WiFi से कनेक्ट होते हैं लेकिन Purple स्प्लैश पेज कभी दिखाई नहीं देता है। ब्राउज़र कनेक्शन टाइमआउट त्रुटि दिखाता है। WatchGuard Cloud कॉन्फ़िगरेशन सही Purple स्प्लैश पेज URL और साझा रहस्य दिखाता है। सबसे संभावित कारण क्या है और आप इसे कैसे हल करते हैं?

संकेत: विचार करें कि डिवाइस के प्रमाणित होने से पहले क्या होना चाहिए। स्प्लैश पेज लोड करने के लिए डिवाइस को किन डोमेन तक पहुंचने की आवश्यकता है?

मॉडल उत्तर देखें

Walled Garden गायब है या अधूरा है। प्रमाणीकरण पूरा होने से पहले WatchGuard Firebox, Purple के सर्वर पर डिवाइस के प्रारंभिक HTTP अनुरोध को अवरुद्ध कर रहा है। आवश्यक Purple डोमेन को 'Websites that users can access before login' सूची में जोड़ें: *.mypurple.com, api.mypurple.com, और cdn.mypurple.com। यदि मेहमान सोशल लॉगिन का उपयोग कर रहे हैं, तो प्रासंगिक पहचान प्रदाता डोमेन भी जोड़ें (जैसे, Entra ID के लिए login.microsoftonline.com)।

Q2. आप 8 सदस्यों वाले एक कोवर्किंग स्पेस के लिए PPSK-आधारित VLAN स्टीयरिंग कॉन्फ़िगर कर रहे हैं। RADIUS प्रमाणीकरण सफल होता है (WatchGuard लॉग Access-Accept दिखाते हैं), लेकिन प्रत्येक सदस्य डिवाइस को उनके असाइन किए गए टेनेंट VLAN के बजाय VLAN 1 (डिफ़ॉल्ट प्रबंधन VLAN) से एक IP पता प्राप्त होता है। आप इसका निदान और समाधान कैसे करते हैं?

संकेत: प्रमाणीकरण सफल रहा, इसलिए क्रेडेंशियल मान्य है। समस्या VLAN असाइनमेंट चरण में है। VLAN असाइन करने के लिए WatchGuard को RADIUS सर्वर से क्या चाहिए?

मॉडल उत्तर देखें

Purple से RADIUS Access-Accept पैकेट गायब है या VLAN विशेषताओं को गलत तरीके से स्वरूपित कर रहा है। WatchGuard पैकेट कैप्चर टूल का उपयोग करके AP पर RADIUS ट्रैफ़िक कैप्चर करें और Access-Accept पैकेट का निरीक्षण करें। सत्यापित करें कि Purple तीनों IETF विशेषताओं को लौटा रहा है: Tunnel-Type (विशेषता 64, मान 13), Tunnel-Medium-Type (विशेषता 65, मान 6), और Tunnel-Private-Group-ID (विशेषता 81, VLAN ID को एक स्ट्रिंग के रूप में सेट करें, जैसे '101')। यह भी पुष्टि करें कि AP से जुड़ा स्विच पोर्ट प्रासंगिक VLAN ले जाने वाले ट्रंक पोर्ट के रूप में कॉन्फ़िगर किया गया है, और WatchGuard Cloud में SSID VLAN सेटिंग एक स्थिर VLAN ID के बजाय 'Dynamic VLAN assigned by RADIUS' पर सेट है।

Q3. एक स्थान ऑपरेटर एक ही WatchGuard AP330 एक्सेस पॉइंट पर 6 रिटेल इकाइयों के लिए एक Guest WiFi कैप्टिव पोर्टल (Purple स्प्लैश पेज) and एक मल्टी-टेनेंट PPSK नेटवर्क चलाना चाहता है। वे RF वातावरण को सरल बनाने के लिए एक ही SSID पर दोनों सुविधाओं को कॉन्फ़िगर करने की योजना बना रहे हैं। क्या यह संभव है? यदि नहीं, तो सही आर्किटेक्चर क्या है?

संकेत: WatchGuard डायनेमिक VLAN आवश्यकताओं की समीक्षा करें। क्या कोई सुविधा संघर्ष हैं?

मॉडल उत्तर देखें

यह एक ही SSID पर संभव नहीं है। WatchGuard एक ही SSID पर एक साथ डायनेमिक VLAN (PPSK के लिए आवश्यक) और कैप्टिव पोर्टल का समर्थन नहीं करता है। सही आर्किटेक्चर दो SSID का उपयोग करता है: SSID 1 ('Venue-Guest') जिसे सार्वजनिक मेहमानों के लिए Purple के बाहरी कैप्टिव पोर्टल रीडायरेक्शन के साथ एक ओपन SSID के रूप में कॉन्फ़िगर किया गया है। SSID 2 ('Venue-Retail') जिसे WPA2 Personal, PPSK सक्षम और 6 रिटेल टेनेंट के लिए डायनेमिक VLAN असाइनमेंट के साथ कॉन्फ़िगर किया गया है। दोनों SSID एक ही AP330 हार्डवेयर से प्रसारित होते हैं, इसलिए RF प्रभाव एक अतिरिक्त SSID बीकन तक सीमित है। AP से जुड़ा स्विच पोर्ट एक ट्रंक पोर्ट होना चाहिए जो दोनों SSID के लिए सभी प्रासंगिक VLAN ले जाता हो।

इस श्रृंखला में आगे पढ़ें

Purple WiFi के साथ Grandstream GWN Access Points का एकीकरण

यह आधिकारिक तकनीकी संदर्भ गाइड विस्तार से बताती है कि Grandstream GWN access points को Purple के Guest WiFi और एनालिटिक्स प्लेटफॉर्म के साथ कैसे एकीकृत किया जाए। यह Grandstream कैप्टिव पोर्टल कॉन्फ़िगरेशन, RADIUS AAA सेटिंग्स, walled garden सेटअप, डायनेमिक VLAN स्टीयरिंग के साथ सुरक्षित स्टाफ 802.1X प्रमाणीकरण, और मल्टी-टेनेंट PPSK विभाजन को कवर करता है - जो बड़े पैमाने पर अतिथि और स्टाफ WiFi तैनात करने वाले MSPs और आईटी टीमों के लिए व्यावहारिक, चरण-दर-चरण मार्गदर्शन प्रदान करता है।

गाइड पढ़ें →

Cisco WLC और Catalyst एकीकरण Purple WiFi के साथ: चरण-दर-चरण अतिथि एक्सेस गाइड

यह गाइड Purple के साथ Cisco WLC और Catalyst 9800 Wireless के चरण-दर-चरण एकीकरण का विवरण देती है, जिसमें Central Web Authentication के माध्यम से Guest WiFi कैप्टिव पोर्टल रीडायरेक्शन, 802.1X EAP-TLS का उपयोग करके सुरक्षित Staff WiFi, और डायनेमिक VLAN असाइनमेंट के साथ Cisco Identity Pre-Shared Keys (iPSK) का उपयोग करके मल्टी-टेनेंट सेगमेंटेशन शामिल है। यह उन एंटरप्राइज नेटवर्क आर्किटेक्ट्स और IT सुरक्षा निदेशकों के लिए लिखी गई है जो हॉस्पिटैलिटी, रिटेल और बड़े सार्वजनिक वेन्यू में Cisco इन्फ्रास्ट्रक्चर को डिप्लॉय कर रहे हैं।

गाइड पढ़ें →

Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर एकीकरण

यह गाइड Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर को तैनात करने के लिए संपूर्ण एकीकरण प्लेबुक प्रदान करती है। इसमें CoovaChilli कैप्टिव पोर्टल कॉन्फ़िगरेशन, iptables वॉल्ड गार्डन प्रबंधन, hostapd के साथ 802.1X सुरक्षित स्टाफ WiFi, और डायनेमिक VLAN असाइनमेंट के साथ मल्टी-टेनेंट PPSK सेगमेंटेशन शामिल है - जो IT टीमों को किसी भी OpenWrt-सक्षम हार्डवेयर पर पहचान-आधारित नेटवर्क बनाने के लिए आवश्यक सटीक कॉन्फ़िगरेशन चरण प्रदान करता है।

गाइड पढ़ें →