Purple WiFi के साथ Zyxel Nebula Cloud और USG एकीकरण
यह तकनीकी संदर्भ मार्गदर्शिका Purple WiFi प्लेटफॉर्म के साथ Zyxel Nebula Cloud और USG Flex Firewalls के एंड-टू-एंड एकीकरण को कवर करती है। यह अतिथि कैप्टिव पोर्टल रीडायरेक्शन, RADIUS प्रमाणीकरण, Walled Garden सेटअप, 802.1X का उपयोग करके सुरक्षित Staff WiFi, और गतिशील VLAN असाइनमेंट के साथ Zyxel Private Pre-Shared Keys (PPSK) का उपयोग करके मल्टी-टेनेंट नेटवर्क सेगमेंटेशन के लिए चरण-दर-चरण कॉन्फ़िगरेशन निर्देश प्रदान करती है। आतिथ्य, खुदरा और मल्टी-टेनेंट स्थलों पर WiFi तैनात करने वाले IT प्रबंधक, MSPs और नेटवर्क आर्किटेक्ट PCI-DSS, IEEE 802.1X, और GDPR सहित उद्योग मानकों पर आधारित कार्रवाई योग्य मार्गदर्शन पाएंगे।
इस गाइड को सुनें
पॉडकास्ट ट्रांसक्रिप्ट देखें
कार्यकारी सारांश
Zyxel Nebula Cloud और USG Flex Firewalls होटल श्रृंखलाओं से लेकर रिटेल संपत्तियों तक, हजारों उद्यम स्थलों पर तैनात हैं। जब आप इस हार्डवेयर को Purple के साथ एकीकृत करते हैं, तो आप एक अनुपालन और डेटा-कैप्चर करने वाली अतिथि प्रमाणीकरण परत जोड़ते हैं जो एक मानक वायरलेस नेटवर्क को फर्स्ट-पार्टी डेटा एसेट में बदल देती है। यह गाइड चार परिनियोजन परिदृश्यों को कवर करती है: बाहरी स्प्लैश पेज के माध्यम से अतिथि कैप्टिव पोर्टल रीडायरेक्शन, RADIUS-आधारित प्रमाणीकरण और अकाउंटिंग, IEEE 802.1X का उपयोग करके सुरक्षित Staff WiFi, और Zyxel Dynamic Personal Pre-Shared Keys (DPPSK) का उपयोग करके मल्टी-टेनेंट नेटवर्क सेगमेंटेशन। Purple 80,000+ लाइव स्थलों पर काम करता है और इसने 2024 में 440 मिलियन लॉगिन संसाधित किए हैं (Purple आंतरिक डेटा)। यह ISO 27001, GDPR, CCPA, और Cyber Essentials प्रमाणपत्र रखता है। यहाँ वर्णित एकीकरण आर्किटेक्चर प्लेटफॉर्म स्तर पर हार्डवेयर-अज्ञेयवादी है, लेकिन इस गाइड में विशिष्ट कॉन्फ़िगरेशन पथ और पैरामीटर वर्तमान फर्मवेयर चलाने वाले Zyxel Nebula Control Center (NCC) और USG Flex Firewalls पर लागू होते हैं।
उद्यम WiFi सुरक्षा आर्किटेक्चर के व्यापक दृष्टिकोण के लिए, हमारी Enterprise WiFi Security: A Complete Guide for 2026 देखें।
तकनीकी गहन विश्लेषण
एकीकरण आर्किटेक्चर
Zyxel और Purple एकीकरण अनुक्रम में काम करने वाले तीन मानक प्रोटोकॉल पर निर्भर करता है: HTTP रीडायरेक्ट (कैप्टिव पोर्टल डिटेक्शन), RADIUS प्रमाणीकरण (UDP 1812), और RADIUS अकाउंटिंग (UDP 1813)। जब कोई अतिथि डिवाइस Guest WiFi SSID से जुड़ता है, तो Zyxel एक्सेस पॉइंट पहले HTTP अनुरोध को रोकता है और Purple बाहरी कैप्टिव पोर्टल URL पर HTTP 302 रीडायरेक्ट जारी करता है। अतिथि Purple स्प्लैश पेज पर - ईमेल, सोशल लॉगिन या SMS के माध्यम से - प्रमाणित करता है और Purple Zyxel कंट्रोलर को वापस RADIUS Access-Accept संदेश भेजता है। कंट्रोलर इंटरनेट एक्सेस प्रदान करता है और सत्र डेटा रिकॉर्ड करने के लिए RADIUS Accounting Start पैकेट भेजना शुरू करता है।
Zyxel USG Flex Firewall वायरलेस सेगमेंट और WAN के बीच स्थित होता है। यह ज़ोन-आधारित सुरक्षा नीतियों को लागू करता है जो Guest, Staff, और मल्टी-टेनेंट VLANs को एक-दूसरे से और कॉर्पोरेट LAN से अलग करती हैं। Nebula Control Center पोर्ट 443 पर HTTPS के माध्यम से Nebula क्लाउड पर एक्सेस पॉइंट और SSID कॉन्फ़िगरेशन को केंद्रीय रूप से प्रबंधित करता है।
RADIUS पैरामीटर
निम्न तालिका उन RADIUS कॉन्फ़िगरेशन मापदंडों को सारांशित करती है जिनकी आपको अपने Purple व्यवस्थापक कंसोल से आवश्यकता होगी।
| पैरामीटर | मान |
|---|---|
| प्राथमिक RADIUS IP | Purple व्यवस्थापक कंसोल में प्रदान किया गया |
| द्वितीयक RADIUS IP | Purple व्यवस्थापक कंसोल में प्रदान किया गया |
| प्रमाणीकरण पोर्ट | UDP 1812 |
| अकाउंटिंग पोर्ट | UDP 1813 |
| साझा रहस्य | Purple व्यवस्थापक कंसोल में प्रदान किया गया |
| NAS पहचानकर्ता | AP MAC पते या साइट नाम पर सेट करें |
| कॉल्ड स्टेशन ID | AP MAC पता |
हमेशा प्राथमिक और द्वितीयक दोनों RADIUS सर्वर कॉन्फ़िगर करें। एकल RADIUS एंडपॉइंट विफलता का एक एकल बिंदु है जो सर्वर के अनुपलब्ध होने पर अतिथियों को लॉक कर देगा।
Walled Garden कॉन्फ़िगरेशन
Walled Garden (जिसे श्वेतसूची भी कहा जाता है) उन डोमेन और IP श्रेणियों को परिभाषित करता है जिन तक कोई डिवाइस प्रमाणीकरण पूरा करने से पहले पहुँच सकता है। Zyxel Nebula में, आप इसे Site-wide > Configure > Access points > Captive portal customisation > Captive portal advance setting के तहत कॉन्फ़िगर करते हैं।
आपको प्रविष्टियों की निम्नलिखित श्रेणियों को शामिल करना होगा:
- Purple पोर्टल डोमेन और सभी सबडोमेन (वाइल्डकार्ड प्रारूप का उपयोग करें:
*.purple.ai) - पोर्टल के CSS, JavaScript, और छवि संपत्तियों की सेवा करने वाले CDN डोमेन
- यदि आप Facebook, Google, या Microsoft साइन-इन सक्षम करते हैं तो सोशल लॉगिन प्रदाता डोमेन
- Apple कैप्टिव पोर्टल डिटेक्शन:
captive.apple.com - Google कनेक्टिविटी चेक:
connectivitycheck.gstatic.com - Microsoft NCSI:
www.msftconnecttest.com
इनमें से किसी भी प्रविष्टि के गायब होने से विशिष्ट डिवाइस प्रकारों पर स्प्लैश पेज रेंडर होने में विफल हो जाएगा। विशेष रूप से iOS डिवाइस एक खाली मिनी-ब्राउज़र प्रदर्शित करेंगे यदि Apple CNA एंडपॉइंट को सही ढंग से संभाला नहीं गया है।
IEEE 802.1X का उपयोग करके सुरक्षित Staff WiFi
कर्मचारी नेटवर्क के लिए, आपको साझा PSK का उपयोग नहीं करना चाहिए। IEEE 802.1X (IEEE 802.1X-2020 मानक में परिभाषित) प्रति उपयोगकर्ता व्यक्तिगत क्रेडेंशियल का उपयोग करके पोर्ट-आधारित नेटवर्क एक्सेस नियंत्रण प्रदान करता है। Nebula में, आप SSID सुरक्षा को WPA2-Enterprise पर सेट करके और प्रमाणीकरण को या तो Nebula Cloud Authentication Server (NCAS) या RADIUS प्रॉक्सी के माध्यम से Microsoft Entra ID या Okta जैसे बाहरी RADIUS सर्वर पर इंगित करके इसे कॉन्फ़िगर करते हैं।
WPA3-Enterprise परिनियोजन के लिए, कॉन्फ़िगरेशन पथ समान है लेकिन आप सुरक्षा विकल्पों में WPA3 चुनते हैं। WPA3 प्रोटेक्टेड मैनेजमेंट फ्रेम्स (PMF) को अनिवार्य करता है और ऑफ़लाइन डिक्शनरी हमलों के प्रति बेहतर प्रतिरोध के लिए साइमलटेनियस ऑथेंटिकेशन ऑफ इक्वल्स (SAE) का उपयोग करता है।
मल्टी-टेनेंट स्थलों के लिए PPSK और गतिशील VLAN असाइनमेंट
Zyxel DPPSK (Dynamic Personal Pre-Shared Key) एक ही SSID को कई पृथक नेटवर्क सेगमेंट की सेवा करने की अनुमति देता है। प्रत्येक उपयोगकर्ता या डिवाइस को एक अद्वितीय पासफ़्रेज़ प्राप्त होता है। जब वे प्रमाणित होते हैं, तो Nebula कंट्रोलर उस पासफ़्रेज़ को DPPSK डेटाबेस में परिभाषित VLAN ID से मैप करता है। यह कोवर्किंग स्पेस, छात्र आवास, BTR विकास, और MDUs के लिए सही दृष्टिकोण है जहाँ आपको दर्जनों SSIDs प्रसारित किए बिना किरायेदार अलगाव की आवश्यकता होती है।
DPPSK के लिए Nebula Pro Pack लाइसेंस और एक्सेस पॉइंट फर्मवेयर संस्करण 6.00 या बाद के संस्करण की आवश्यकता होती है। आप Nebula Control Center में Configure > Cloud authentication > DPPSK के तहत DPPSK डेटाबेस को कॉन्फ़िगर करते हैं। प्रत्येक प्रविष्टि में पासफ़्रेज़, एक वैकल्पिक समाप्ति तिथि, वितरण के लिए एक ईमेल पता और लक्षित VLAN ID शामिल होती है।
एक साथ अधिकृत DPPSK प्रविष्टियों की अधिकतम संख्या 2,048 है। 2,048 से अधिक समवर्ती उपयोगकर्ताओं वाले परिनियोजन के लिए, आपको यह सुनिश्चित करने के लिए समाप्ति तिथियों को सावधानीपूर्वक प्रबंधित करना होगा कि सक्रिय क्रेडेंशियल इस सीमा के भीतर रहें।
कार्यान्वयन गाइड
चरण 1: नेटवर्क इन्फ्रास्ट्रक्चर तैयार करें
Nebula Control Center को छूने से पहले, USG Flex Firewall और डाउनस्ट्रीम स्विच पर अपने VLANs को कॉन्फ़िगर करें।
- एक समर्पित सबनेट (उदाहरण: 192.168.10.0/24) के साथ एक Guest VLAN (उदाहरण: VLAN 10) बनाएं। इस इंटरफ़ेस पर एक DHCP सर्वर कॉन्फ़िगर करें।
- एक समर्पित सबनेट (उदाहरण: 192.168.20.0/24) के साथ एक Staff VLAN (उदाहरण: VLAN 20) बनाएं।
- मल्टी-टेनेंट परिनियोजन के लिए, प्रति किरायेदार अतिरिक्त VLANs बनाएं (उदाहरण: VLAN 30, 40, 50)।
- USG Flex पर, VLAN 10 से मैप किया गया एक Guest Zone बनाएं। Guest Zone से WAN ज़ोन में ट्रैफ़िक की अनुमति देने वाली एक सुरक्षा नीति बनाएं। Guest Zone से LAN ज़ोन में ट्रैफ़िक को ब्लॉक करने वाली एक डेनाइ-ऑल नीति बनाएं।
- सुनिश्चित करें कि Zyxel APs को जोड़ने वाले स्विच पोर्ट सभी आवश्यक VLAN टैग ले जाने वाले 802.1Q ट्रंक के रूप में कॉन्फ़िगर किए गए हैं।
चरण 2: Nebula Control Center में अतिथि SSID कॉन्फ़िगर करें
ncc.nebula.zyxel.comपर Nebula Control Center में लॉग इन करें।- Site-wide > Configure > Access points > SSID settings पर जाएं।
- अतिथि SSID सक्षम करें और Advanced mode को टॉगल करें।
- लेयर 2 क्लाइंट अलगाव को सक्रिय करने के लिए Guest network सक्षम करें। यह अतिथि उपकरणों को एक ही SSID पर एक-दूसरे के साथ सीधे संवाद करने से रोकता है।
- सहेजें।
चरण 3: बाहरी कैप्टिव पोर्टल कॉन्फ़िगर करें
- Site-wide > Configure > Access points > SSID advanced settings पर जाएं।
- ड्रॉपडाउन से अपना अतिथि SSID चुनें।
- Sign-in method के तहत, प्रारंभिक रीडायरेक्ट के लिए Click-to-continue चुनें, या यदि आप Purple के RADIUS-आधारित MAC प्रमाणीकरण का उपयोग कर रहे हैं तो My RADIUS server चुनें।
- Site-wide > Configure > Access points > Captive portal customisation पर जाएं।
- External captive portal URL के तहत, अपने Purple व्यवस्थापक कंसोल से Purple रीडायरेक्ट URL दर्ज करें। प्रारूप
https://[your-purple-domain]/[venue-id]है। - Captive portal advance setting के तहत, सभी आवश्यक Walled Garden डोमेन दर्ज करें।
- अतिथियों को पोर्टल को बायपास करने से रोकने के लिए Strict policy को Block all access until sign-on पर सेट करें।
- अपने स्थल की सत्र नीति से मेल खाने के लिए Reauth time सेट करें (आमतौर पर आतिथ्य के लिए 24 घंटे, खुदरा वफादारी कार्यक्रमों के लिए 30 दिन)।
- सहेजें।
चरण 4: Nebula में RADIUS कॉन्फ़िगर करें
- SSID advanced settings में, Network access के तहत, My RADIUS server चुनें।
- अपने Purple व्यवस्थापक कंसोल से Primary RADIUS server IP दर्ज करें।
- Authentication port को
1812पर सेट करें। - Shared secret दर्ज करें।
- द्वितीयक RADIUS सर्वर के लिए दोहराएं।
- RADIUS accounting सक्षम करें और अकाउंटिंग पोर्ट को
1813पर सेट करें। - सहेजें।
चरण 5: मल्टी-टेनेंट सेगमेंटेशन के लिए DPPSK कॉन्फ़िगर करें
- Configure > Access points > SSID advanced settings पर जाएं।
- मल्टी-टेनेंट SSID चुनें और Network access को Dynamic personal PSK पर सेट करें।
- Configure > Cloud authentication > DPPSK पर जाएं।
- Add पर क्लिक करें और Batch create DPPSK चुनें।
- प्रत्येक किरायेदार समूह के लिए क्रेडेंशियल की संख्या, समाप्ति तिथि और लक्षित VLAN ID सेट करें।
- क्रेडेंशियल बैच प्राप्त करने के लिए ईमेल पता दर्ज करें।
- सहेजें और किरायेदारों को क्रेडेंशियल वितरित करें।
चरण 6: परिनियोजन को मान्य करें
- एक परीक्षण डिवाइस को Guest WiFi SSID से कनेक्ट करें।
- पुष्टि करें कि डिवाइस Purple स्प्लैश पेज पर रीडायरेक्ट हो गया है।
- प्रमाणीकरण पूरा करें और पुष्टि करें कि इंटरनेट एक्सेस प्रदान किया गया है।
- Purple व्यवस्थापक कंसोल में, सत्यापित करें कि सत्र विश्लेषण डैशबोर्ड में दिखाई दे रहा है।
- Nebula में, यह पुष्टि करने के लिए कि क्लाइंट संबद्ध है और सही VLAN को सौंपा गया है, Access point > Monitor > Clients पर जाएं।
- किरायेदार क्रेडेंशियल के साथ कनेक्ट करके और सही VLAN असाइनमेंट की पुष्टि करके DPPSK का परीक्षण करें।
सर्वोत्तम प्रथाएं
प्रत्येक ट्रैफ़िक प्रकार को विभाजित करें। Guest, Staff, और IoT ट्रैफ़िक प्रत्येक को एक समर्पित VLAN पर होना चाहिए। यदि आपका स्थल उसी भौतिक बुनियादी ढांचे पर कार्ड भुगतान संसाधित करता है तो यह वैकल्पिक नहीं है - PCI-DSS v4.0 के लिए कार्डधारक डेटा वातावरण और अतिथि नेटवर्क के बीच नेटवर्क विभाजन की आवश्यकता होती है।
RADIUS अतिरेक का उपयोग करें। Nebula में प्राथमिक और द्वितीयक दोनों Purple RADIUS IPs कॉन्फ़िगर करें। एकल RADIUS सर्वर की विफलता समाधान होने तक सभी अतिथि प्रमाणीकरण को रोक देगी।
नियमित रूप से Walled Garden का ऑडिट करें। पोर्टल विक्रेता अपने CDN कॉन्फ़िगरेशन को अपडेट करते हैं। परिनियोजन के समय काम करने वाला डोमेन छह महीने बाद टूट सकता है यदि विक्रेता संपत्तियों को एक नए CDN पर स्थानांतरित करता है। अपने Walled Garden प्रविष्टियों की त्रैमासिक समीक्षा निर्धारित करें।
RADIUS accounting सक्षम करें। अकाउंटिंग के बिना, Purple सत्र की अवधि, डेटा उपयोग को ट्रैक नहीं कर सकता है, या समय-आधारित पहुंच सीमाओं को लागू नहीं कर सकता है। अकाउंटिंग डेटा WiFi Analytics डैशबोर्ड को भी फीड करता है।
जहाँ हार्डवेयर इसका समर्थन करता है वहाँ WPA3 लागू करें। 2021 के बाद से जारी Zyxel एक्सेस पॉइंट WPA3 का समर्थन करते हैं। Staff WiFi के लिए, 192-बिट सुरक्षा मोड के साथ WPA3-Enterprise उद्यम वायरलेस सुरक्षा के लिए NIST SP 800-187 सिफारिशों के अनुरूप है।
गो-लाइव से पहले CNA व्यवहार का परीक्षण करें। iOS पर, Captive Network Assistant (CNA) मिनी-ब्राउज़र में पूर्ण ब्राउज़र की तुलना में सीमित कार्यक्षमता होती है। अतिथियों को तैनात करने से पहले CNA वातावरण में अपने Purple स्प्लैश पेज का परीक्षण करें - विशेष रूप से सोशल लॉगिन प्रवाह और कस्टम JavaScript।
hospitality परिनियोजन के लिए, अतिथि और बैक-ऑफ-हाउस नेटवर्क को विभाजित करने पर हमारा मार्गदर्शन भी देखें। retail वातावरण के लिए, वही PPSK दृष्टिकोण पॉइंट-ऑफ-सेल सिस्टम को खरीदार WiFi से अलग करने पर लागू होता है।
समस्या निवारण और जोखिम शमन
स्प्लैश पेज लोड होने में विफल
लक्षण: अतिथि SSID से जुड़ता है लेकिन CNA में एक खाली पृष्ठ या ब्राउज़र त्रुटि देखता है।
कारण: स्प्लैश पेज के लिए आवश्यक एक या अधिक डोमेन Walled Garden में नहीं हैं।
समाधान: एक परीक्षण डिवाइस को Guest SSID से कनेक्ट करें। एक ब्राउज़र खोलें (CNA नहीं) और किसी भी HTTP URL पर जाएं। जब पोर्टल पर रीडायरेक्ट किया जाए, तो ब्राउज़र के डेवलपर टूल खोलें और नेटवर्क टैब का निरीक्षण करें। 403 या कनेक्शन-अस्वीकृत त्रुटियों को वापस करने वाले किसी भी अनुरोध की पहचान करें। इन डोमेन को Nebula Walled Garden में जोड़ें।
अतिथि प्रमाणित होते हैं लेकिन इंटरनेट एक्सेस नहीं पाते हैं
लक्षण: अतिथि पोर्टल फॉर्म पूरा करता है और एक सफलता पृष्ठ देखता है, लेकिन इंटरनेट ब्राउज़िंग विफल हो जाती है।
कारण: Zyxel कंट्रोलर Purple से RADIUS Access-Accept प्राप्त नहीं कर रहा है, या USG Flex फ़ायरवॉल RADIUS प्रतिक्रिया को ब्लॉक कर रहा है।
समाधान: सत्यापित करें कि Zyxel AP प्रबंधन IP से Purple RADIUS सर्वर IP तक आउटबाउंड UDP पोर्ट 1812 and 1813 की अनुमति है। ब्लॉक किए गए ट्रैफ़िक के लिए USG Flex सुरक्षा नीति लॉग की जाँच करें।
Purple डैशबोर्ड से RADIUS अकाउंटिंग डेटा गायब है
लक्षण: सत्र Nebula में दिखाई देते हैं लेकिन Purple विश्लेषण डैशबोर्ड कोई सत्र अवधि डेटा नहीं दिखाता है।
कारण: Nebula SSID कॉन्फ़िगरेशन में RADIUS Accounting सक्षम नहीं है, या UDP पोर्ट 1813 ब्लॉक है।
समाधान: पुष्टि करें कि SSID उन्नत सेटिंग्स में RADIUS accounting सक्षम है। सत्यापित करें कि अकाउंटिंग पोर्ट 1813 पर सेट है और साझा रहस्य Purple कॉन्फ़िगरेशन से मेल खाता है।
DPPSK उपयोगकर्ता गलत VLAN को सौंपे गए
लक्षण: एक किरायेदार अपने PPSK के साथ जुड़ता है लेकिन गलत नेटवर्क सेगमेंट पर रख दिया जाता है।
कारण: DPPSK डेटाबेस प्रविष्टि में VLAN ID स्विच ट्रंक या USG Flex इंटरफ़ेस पर कॉन्फ़िगर किए गए VLAN से मेल नहीं खाती है।
समाधान: Nebula DPPSK डेटाबेस में VLAN ID को अपस्ट्रीम स्विच और USG Flex पर VLAN कॉन्फ़िगरेशन के साथ क्रॉस-रेफरेंस करें। सुनिश्चित करें कि AP स्विच पोर्ट एक ट्रंक है जो सभी किरायेदार VLANs को ले जाता है।
ROI और व्यावसायिक प्रभाव
Zyxel बुनियादी ढांचे को Purple के साथ एकीकृत करना एक लागत-केंद्र वायरलेस नेटवर्क को राजस्व उत्पन्न करने वाली डेटा संपत्ति में बदल देता है। एक 200-कमरों वाले होटल के लिए, WiFi लॉगिन पर अतिथि ईमेल पते और विपणन सहमति को कैप्चर करना एक CRM डेटाबेस बनाता है जो सीधे बुकिंग अभियानों को चलाता है - जिससे OTA कमीशन पर निर्भरता कम होती है। एक खुदरा श्रृंखला के लिए, Purple का Guest WiFi प्लेटफॉर्म फुट ट्रैफ़िक विश्लेषण, ड्वेल टाइम डेटा और बार-बार आने की दर प्रदान करता है जो स्टाफिंग और मर्चेंडाइजिंग निर्णयों को सूचित करता है।
मल्टी-टेनेंट ऑपरेटरों - BTR विकास, छात्र आवास, कोवर्किंग स्पेस - के लिए Purple के साथ Zyxel DPPSK को तैनात करना प्रति किरायेदार अलग SSIDs और क्रेडेंशियल प्रबंधित करने के परिचालन ओवरहेड को समाप्त करता है। गतिशील VLAN असाइनमेंट के साथ एक एकल SSID RF हस्तक्षेप को कम करता, ऑनबोर्डिंग को सरल बनाता, और अतिरिक्त बुनियादी ढांचे के बिना सैकड़ों निवासियों तक स्केल करता है।
Purple का 99.999% अपटाइम SLA यह सुनिश्चित करता है कि प्रमाणीकरण परत अतिथि पहुंच के लिए बाधा न बने। प्लेटफॉर्म पर एकत्र किए गए 29 बिलियन डेटा बिंदुओं (Purple आंतरिक डेटा) के साथ, Purple व्यवस्थापक कंसोल के माध्यम से दिए गए विश्लेषण स्थल ऑपरेटरों को कार्रवाई योग्य खुफिया जानकारी प्रदान करते हैं जो परिनियोजन की पहली तिमाही के भीतर एकीकरण निवेश को सही ठहराती है।
healthcare और transport वातावरण के लिए जहाँ आगंतुक WiFi एक विनियमित सेवा है, Purple के कैप्टिव पोर्टल में निर्मित GDPR-अनुपालन डेटा कैप्चर और सहमति प्रबंधन अप्रबंधित खुले नेटवर्क से जुड़े अनुपालन जोखिम को हटा देता है।
यह भी देखें: एक अलग हार्डवेयर प्लेटफॉर्म पर तुलनीय एकीकरण पैटर्न के लिए Arista Cognitive WiFi Integration with Purple WiFi ।
मुख्य परिभाषाएं
कैप्टिव पोर्टल
एक वेब पेज जो कनेक्टेड डिवाइस से अप्रमाणित HTTP ट्रैफ़िक को रोकता है और इंटरनेट एक्सेस दिए जाने से पहले उपयोगकर्ता को बातचीत करने या प्रमाणित करने की आवश्यकता होती है।
Zyxel Guest WiFi नेटवर्क पर अतिथि डेटा कैप्चर करने और सेवा की शर्तों को लागू करने के लिए Purple द्वारा उपयोग किया जाने वाला प्राथमिक तंत्र।
Walled Garden
IP पतों और डोमेन नामों की एक सूची जिसे कोई डिवाइस कैप्टिव पोर्टल प्रमाणीकरण पूरा करने से पहले एक्सेस कर सकता है।
Nebula में Captive portal advance setting के तहत कॉन्फ़िगर किया गया। इसमें सभी Purple पोर्टल डोमेन, CDN एंडपॉइंट और OS कनेक्टिविटी चेक URLs शामिल होने चाहिए।
RADIUS
Remote Authentication Dial-In User Service. एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क एक्सेस के लिए केंद्रीकृत प्रमाणीकरण, प्राधिकरण और अकाउंटिंग (AAA) प्रबंधन प्रदान करता है।
Purple RADIUS सर्वर के रूप में कार्य करता है। Zyxel APs UDP 1812 पर प्रमाणीकरण अनुरोध और UDP 1813 पर अकाउंटिंग डेटा भेजते हैं।
DPPSK
Dynamic Personal Pre-Shared Key. एक Zyxel Nebula सुविधा जो एक ही SSID पर अद्वितीय WiFi पासफ़्रेज़ जारी करती है, प्रत्येक पासफ़्रेज़ को एक विशिष्ट VLAN से मैप करती है।
मल्टी-टेनेंट स्थलों में कई SSIDs प्रसारित किए बिना निवासी या किरायेदार ट्रैफ़िक को अलग करने के लिए उपयोग किया जाता है। इसके लिए Nebula Pro Pack की आवश्यकता होती है।
VLAN
Virtual Local Area Network. एक तार्किक नेटवर्क सेगमेंट जो भौतिक स्विच या AP बुनियादी ढांचे की परवाह किए बिना लेयर 2 पर ट्रैफ़िक को अलग करता है।
Guest, Staff, और मल्टी-टेनेंट ट्रैफ़िक को अलग करने के लिए अनिवार्य। कार्ड भुगतान संसाधित करने वाले स्थलों में PCI-DSS अनुपालन के लिए आवश्यक।
IEEE 802.1X
पोर्ट-आधारित नेटवर्क एक्सेस नियंत्रण के लिए एक IEEE मानक जो नेटवर्क एक्सेस देने से पहले व्यक्तिगत उपयोगकर्ताओं या उपकरणों को प्रमाणित करने के लिए Extensible Authentication Protocol (EAP) का उपयोग करता है।
Nebula में WPA2-Enterprise या WPA3-Enterprise को Nebula Cloud Authentication Server या बाहरी RADIUS सर्वर के साथ चुनकर Staff WiFi के लिए उपयोग किया जाता है।
CNA
Captive Network Assistant. वह छद्म-ब्राउज़र जिसे iOS और macOS डिवाइस स्वचालित रूप से खोलते हैं जब वे WiFi नेटवर्क पर कैप्टिव पोर्टल का पता लगाते हैं।
पूर्ण ब्राउज़र की तुलना में सीमित JavaScript और कुकी समर्थन है। परिनियोजन से पहले CNA वातावरण में Purple स्प्लैश पेजों का परीक्षण किया जाना चाहिए।
Identity-Based Networks
एक नेटवर्क आर्किटेक्चर जहाँ एक्सेस नीतियां, VLAN असाइनमेंट और बैंडविड्थ सीमाएं उपयोगकर्ता या डिवाइस की प्रमाणित पहचान के आधार पर गतिशील रूप से लागू की जाती हैं।
Zyxel DPPSK को Purple के RADIUS प्लेटफॉर्म के साथ मिलाने का परिणाम। प्रत्येक उपयोगकर्ता को कनेक्शन के समय स्वचालित रूप से सही नेटवर्क सेगमेंट मिलता है।
NCC
Nebula Control Center. Zyxel का क्लाउड-आधारित नेटवर्क प्रबंधन प्लेटफॉर्म जो Zyxel एक्सेस पॉइंट, स्विच और फ़ायरवॉल को केंद्रीय रूप से कॉन्फ़िगर और मॉनिटर करने के लिए है।
इस गाइड में वर्णित सभी SSID, कैप्टिव पोर्टल, RADIUS, और DPPSK कॉन्फ़िगरेशन NCC के भीतर किए जाते हैं।
हल किए गए उदाहरण
एक 200-कमरों वाला होटल Zyxel Nebula एक्सेस पॉइंट और एक USG Flex 500 फ़ायरवॉल तैनात कर रहा है। उन्हें एक ब्रांडेड स्प्लैश पेज के साथ अतिथि WiFi, व्यक्तिगत क्रेडेंशियल के साथ एक अलग कर्मचारी नेटवर्क, और स्मार्ट टीवी और थर्मोस्टेट के लिए एक IoT नेटवर्क की आवश्यकता है - वह भी तीन से अधिक SSIDs प्रसारित किए बिना।
IT टीम तीन SSIDs कॉन्फ़िगर करती है। पहला 'Hotel-Guest' है, जो Nebula में कॉन्फ़िगर किए गए Purple बाहरी कैप्टिव पोर्टल URL के साथ एक खुला SSID है। अतिथियों को एक ब्रांडेड Purple स्प्लैश पेज पर रीडायरेक्ट किया जाता है जहाँ वे अपना ईमेल सबमिट करते हैं और विपणन सहमति स्वीकार करते हैं। RADIUS प्रमाणीकरण और अकाउंटिंग पोर्ट 1812 और 1813 पर Purple क्लाउड प्लेटफॉर्म की ओर इशारा करते हैं। दूसरा SSID 'Hotel-Staff' है, जिसे WPA2-Enterprise और Nebula Cloud Authentication Server के साथ कॉन्फ़िगर किया गया है। NCAS डेटाबेस में प्रत्येक स्टाफ सदस्य के पास एक अद्वितीय उपयोगकर्ता नाम और पासवर्ड होता है, जो VLAN 20 से मैप होता है। तीसरा SSID 'Hotel-IoT' है, जिसे DPPSK के साथ कॉन्फ़िगर किया गया है। प्रत्येक स्मार्ट टीवी और थर्मोस्टेट को VLAN 30 से मैप किया गया एक अद्वितीय पासफ़्रेज़ प्राप्त होता है। USG Flex ज़ोन नीतियों को लागू करता है: Guest (VLAN 10) केवल WAN तक पहुँच सकता है। Staff (VLAN 20) WAN और आंतरिक प्रबंधन प्रणालियों तक पहुँच सकता है। IoT (VLAN 30) केवल विशिष्ट स्थानीय सेवाओं तक ही सीमित है।
एक कोवर्किंग स्पेस ऑपरेटर तीन मंजिलों पर 12 किरायेदारों का प्रबंधन करता है। प्रत्येक किरायेदार को अलग इंटरनेट एक्सेस की आवश्यकता होती है और वे अन्य किरायेदारों के उपकरणों तक पहुँचने में सक्षम नहीं होने चाहिए। ऑपरेटर SSID को बदले बिना या APs को पुन: कॉन्फ़िगर किए बिना, आने पर WiFi क्रेडेंशियल जारी करना चाहता है और जाने पर उन्हें रद्द करना चाहता है।
ऑपरेटर Nebula में सक्षम DPPSK के साथ एक एकल 'CoWork-Connect' SSID तैनात करता है। आने पर, वे Nebula Control Center में लॉग इन करते हैं, Configure > Cloud authentication > DPPSK पर जाते हैं, और किरायेदार के लिए एक नया क्रेडेंशियल बनाते हैं जिसका लक्षित VLAN ID उस किरायेदार के नेटवर्क सेगमेंट से मेल खाता है। वे लीज समाप्ति तिथि से मेल खाती एक समाप्ति तिथि सेट करते हैं और किरायेदार को क्रेडेंशियल ईमेल करते हैं। जाने पर, वे DPPSK प्रविष्टि को हटा देते हैं। क्रेडेंशियल तुरंत अमान्य हो जाता है और किरायेदार के उपकरण अब संबद्ध नहीं हो सकते। एक ही VLAN के भीतर भी क्रॉस-किरायेदार संचार को रोकने के लिए SSID पर लेयर 2 अलगाव सक्षम किया गया है।
अभ्यास प्रश्न
Q1. आपने Zyxel Nebula में Purple कैप्टिव पोर्टल URL कॉन्फ़िगर किया है और बाहरी पोर्टल को सक्षम किया है। अतिथि SSID से जुड़ते हैं लेकिन रिपोर्ट करते हैं कि स्प्लैश पेज लोड होने में 30 सेकंड से अधिक का समय लेता है और दिखने में टूटा हुआ लगता है - चित्र और लेआउट गायब हैं। सबसे संभावित कारण क्या है और आप इसे कैसे हल करते हैं?
संकेत: विचार करें कि अतिथि के प्रमाणित होने से पहले बाहरी संसाधनों तक पहुंच को क्या नियंत्रित करता है।
मॉडल उत्तर देखें
Walled Garden कॉन्फ़िगरेशन अधूरा है। Purple स्प्लैश पेज CDN डोमेन से CSS, JavaScript और छवि संपत्तियां लोड करता है। यदि ये डोमेन Nebula Captive portal advance setting में श्वेतसूचीबद्ध नहीं हैं, तो AP प्रमाणीकरण पूरा होने से पहले उन अनुरोधों को ब्लॉक कर देता है। समाधान: एक परीक्षण डिवाइस को Guest SSID से कनेक्ट करें, एक ब्राउज़र खोलें (CNA मिनी-ब्राउज़र नहीं), रीडायरेक्ट को ट्रिगर करने के लिए किसी भी HTTP URL पर जाएं, फिर डेवलपर टूल खोलें और नेटवर्क टैब का निरीक्षण करें। 403 या कनेक्शन त्रुटियों को वापस करने वाले किसी भी अनुरोध की पहचान करें। उन डोमेन को Nebula Walled Garden में जोड़ें और पुन: परीक्षण करें।
Q2. एक स्थल ऑपरेटर एक शॉपिंग सेंटर में 15 अलग-अलग खुदरा किरायेदारों के लिए पृथक नेटवर्क प्रदान करना चाहता है। उनकी प्रारंभिक योजना अपने Zyxel APs से 15 अलग SSIDs प्रसारित करने की है। यह दृष्टिकोण समस्याग्रस्त क्यों है, और इसके बजाय उन्हें क्या तैनात करना चाहिए?
संकेत: RF एयरटाइम और विशेष रूप से इस उपयोग के मामले के लिए डिज़ाइन की गई Zyxel सुविधा के बारे में सोचें।
मॉडल उत्तर देखें
15 SSIDs प्रसारित करने से प्रति एक्सेस पॉइंट प्रति सेकंड बीकन फ्रेम के 15 सेट उत्पन्न होते हैं। कई APs वाले घने खुदरा वातावरण में, यह बीकन ओवरहेड महत्वपूर्ण एयरटाइम की खपत करता है और सभी कनेक्टेड उपकरणों के लिए थ्रूपुट को कम करता है। सही दृष्टिकोण एक एकल SSID प्रसारित करना और Zyxel DPPSK सक्षम करना है। प्रत्येक किरायेदार को उनके समर्पित VLAN ID से मैप किया गया एक अद्वितीय पासफ़्रेज़ प्राप्त होता है। जब कोई किरायेदार डिवाइस कनेक्ट होता है, तो Nebula कंट्रोलर गतिशील रूप से इसे सही VLAN में असाइन करता है। यह एक एकल SSID और न्यूनतम RF ओवरहेड के साथ पूर्ण ट्रैफ़िक अलगाव प्राप्त करता है।
Q3. Zyxel और Purple एकीकरण को तैनात करने के बाद, अतिथि सफलतापूर्वक प्रमाणित हो सकते हैं और इंटरनेट ब्राउज़ कर सकते हैं। हालांकि, Purple विश्लेषण डैशबोर्ड शून्य सत्र अवधि डेटा दिखाता है और समय-आधारित पहुंच सीमा सुविधा काम नहीं कर रही है। कॉन्फ़िगरेशन से क्या गायब है?
संकेत: प्रमाणीकरण और सत्र ट्रैकिंग विभिन्न पोर्ट और प्रोटोकॉल का उपयोग करते हैं।
मॉडल उत्तर देखें
RADIUS Accounting या तो Nebula SSID कॉन्फ़िगरेशन में सक्षम नहीं है या अपस्ट्रीम फ़ायरवॉल द्वारा UDP पोर्ट 1813 ब्लॉक किया गया है। प्रमाणीकरण (UDP 1812) सफल हो रहा है, यही कारण है कि अतिथि कनेक्ट कर सकते हैं। लेकिन अकाउंटिंग पैकेट (Start, Interim-Update, Stop) के बिना, Purple सत्र की अवधि को ट्रैक नहीं कर सकता, समय सीमा लागू नहीं कर सकता, या विश्लेषण डैशबोर्ड को आबाद नहीं कर सकता। समाधान: पुष्टि करें कि SSID उन्नत सेटिंग्स में RADIUS accounting सक्षम है जिसमें अकाउंटिंग पोर्ट 1813 पर सेट है और साझा रहस्य सही है। फिर सत्यापित करें कि अपस्ट्रीम फ़ायरवॉल Zyxel AP प्रबंधन IP से Purple RADIUS सर्वर IP तक आउटबाउंड UDP 1813 की अनुमति देता है।
इस श्रृंखला में आगे पढ़ें
Purple WiFi के साथ Grandstream GWN Access Points का एकीकरण
यह आधिकारिक तकनीकी संदर्भ गाइड विस्तार से बताती है कि Grandstream GWN access points को Purple के Guest WiFi और एनालिटिक्स प्लेटफॉर्म के साथ कैसे एकीकृत किया जाए। यह Grandstream कैप्टिव पोर्टल कॉन्फ़िगरेशन, RADIUS AAA सेटिंग्स, walled garden सेटअप, डायनेमिक VLAN स्टीयरिंग के साथ सुरक्षित स्टाफ 802.1X प्रमाणीकरण, और मल्टी-टेनेंट PPSK विभाजन को कवर करता है - जो बड़े पैमाने पर अतिथि और स्टाफ WiFi तैनात करने वाले MSPs और आईटी टीमों के लिए व्यावहारिक, चरण-दर-चरण मार्गदर्शन प्रदान करता है।
Cisco WLC और Catalyst एकीकरण Purple WiFi के साथ: चरण-दर-चरण अतिथि एक्सेस गाइड
यह गाइड Purple के साथ Cisco WLC और Catalyst 9800 Wireless के चरण-दर-चरण एकीकरण का विवरण देती है, जिसमें Central Web Authentication के माध्यम से Guest WiFi कैप्टिव पोर्टल रीडायरेक्शन, 802.1X EAP-TLS का उपयोग करके सुरक्षित Staff WiFi, और डायनेमिक VLAN असाइनमेंट के साथ Cisco Identity Pre-Shared Keys (iPSK) का उपयोग करके मल्टी-टेनेंट सेगमेंटेशन शामिल है। यह उन एंटरप्राइज नेटवर्क आर्किटेक्ट्स और IT सुरक्षा निदेशकों के लिए लिखी गई है जो हॉस्पिटैलिटी, रिटेल और बड़े सार्वजनिक वेन्यू में Cisco इन्फ्रास्ट्रक्चर को डिप्लॉय कर रहे हैं।
Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर एकीकरण
यह गाइड Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर को तैनात करने के लिए संपूर्ण एकीकरण प्लेबुक प्रदान करती है। इसमें CoovaChilli कैप्टिव पोर्टल कॉन्फ़िगरेशन, iptables वॉल्ड गार्डन प्रबंधन, hostapd के साथ 802.1X सुरक्षित स्टाफ WiFi, और डायनेमिक VLAN असाइनमेंट के साथ मल्टी-टेनेंट PPSK सेगमेंटेशन शामिल है - जो IT टीमों को किसी भी OpenWrt-सक्षम हार्डवेयर पर पहचान-आधारित नेटवर्क बनाने के लिए आवश्यक सटीक कॉन्फ़िगरेशन चरण प्रदान करता है।