मुख्य सामग्री पर जाएं
हिन्दी

Cisco WLC और Catalyst एकीकरण Purple WiFi के साथ: चरण-दर-चरण अतिथि एक्सेस गाइड

यह गाइड Purple के साथ Cisco WLC और Catalyst 9800 Wireless के चरण-दर-चरण एकीकरण का विवरण देती है, जिसमें Central Web Authentication के माध्यम से Guest WiFi कैप्टिव पोर्टल रीडायरेक्शन, 802.1X EAP-TLS का उपयोग करके सुरक्षित Staff WiFi, और डायनेमिक VLAN असाइनमेंट के साथ Cisco Identity Pre-Shared Keys (iPSK) का उपयोग करके मल्टी-टेनेंट सेगमेंटेशन शामिल है। यह उन एंटरप्राइज नेटवर्क आर्किटेक्ट्स और IT सुरक्षा निदेशकों के लिए लिखी गई है जो हॉस्पिटैलिटी, रिटेल और बड़े सार्वजनिक वेन्यू में Cisco इन्फ्रास्ट्रक्चर को डिप्लॉय कर रहे हैं।

📖 9 मिनट का पाठ📝 2,116 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 9 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
Purple टेक्निकल ब्रीफिंग में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम एंटरप्राइज नेटवर्क आर्किटेक्ट्स के लिए एक निश्चित डिप्लॉयमेंट परिदृश्य को कवर कर रहे हैं: Cisco Wireless LAN Controllers और Catalyst 9800 हार्डवेयर को Purple WiFi प्लेटफॉर्म के साथ एकीकृत करना। यदि आप किसी होटल श्रृंखला, रिटेल नेटवर्क, या बड़े सार्वजनिक वेन्यू के लिए IT प्रबंधित करते हैं, तो आप जानते हैं कि बुनियादी Pre-Shared Keys पर भरोसा करना एक अस्वीकार्य सुरक्षा जोखिम है। आज, हम आपके नेटवर्क को विभाजित करने, आपके कर्मचारियों को सुरक्षित करने और आपके Guest WiFi को डेटा-संचालित संपत्ति में बदलने के लिए चरण-दर-चरण आर्किटेक्चर की रूपरेखा तैयार करेंगे। आइए संदर्भ स्थापित करें। एक एंटरप्राइज वायरलेस वातावरण को तीन अलग-अलग प्रोफाइल को संभालना चाहिए: Guests, Staff, और हेडलेस या Tenant डिवाइस। आप उनके साथ एक जैसा व्यवहार नहीं कर सकते, और आप उन्हें समायोजित करने के लिए बीस अलग-अलग SSIDs ब्रॉडकास्ट नहीं कर सकते। समाधान एक ही Cisco Catalyst 9800 Wireless LAN Controller पर विभिन्न ऑथेंटिकेशन तंत्रों का लाभ उठाने वाला एक एकीकृत हार्डवेयर फुटप्रिंट है। अब आइए तकनीकी आर्किटेक्चर में गहराई से उतरें। पहला टियर Guest WiFi है। यहाँ लक्ष्य डेटा कैप्चर के साथ-साथ बिना किसी बाधा के एक्सेस प्रदान करना है। हम इसे एक ओपन SSID और Central Web Authentication, या CWA का उपयोग करके प्राप्त करते हैं। जब कोई अतिथि कनेक्ट होता, तो Cisco WLC एक प्री-ऑथेंटिकेशन एक्सेस कंट्रोल लिस्ट लागू करता है। यह आपका वॉल्ड गार्डन है। यह सामान्य इंटरनेट एक्सेस को ब्लॉक करता है लेकिन Purple के डोमेन और आवश्यक सेवाओं के ट्रैफ़िक की अनुमति देता है। जब अतिथि ब्राउज़ करने का प्रयास करता है, तो WLC HTTP अनुरोध को रोकता है और उन्हें Purple कैप्टिव पोर्टल स्प्लैश पेज पर रीडायरेक्ट करता है। एक बार जब वे ऑथेंटिकेट हो जाते हैं, शायद एक पंजीकरण फॉर्म, सोशल लॉगिन, या वन-टाइम कोड के माध्यम से, तो Purple RADIUS सर्वर के रूप में कार्य करता है। यह WLC को एक Change of Authorization संदेश भेजता है, जिसे CoA के रूप में जाना जाता है। यह क्लाइंट को एक अलग guest VLAN पर ले जाता है और इंटरनेट एक्सेस प्रदान करता है। यह पूरा प्रवाह ऑटोमेटेड है, और प्रत्येक लॉगिन Purple के एनालिटिक्स प्लेटफॉर्म में दर्ज किया जाता है। दूसरा टियर Staff WiFi है। कॉर्पोरेट डिवाइसों के लिए, हम 802.1X ऑथेंटिकेशन अनिवार्य करते हैं। विशेष रूप से, EAP-TLS, जिसका अर्थ Extensible Authentication Protocol Transport Layer Security है। यह विधि आपके मोबाइल डिवाइस मैनेजमेंट प्लेटफॉर्म, चाहे वह Microsoft Intune हो, Jamf हो, या कोई अन्य समाधान हो, के माध्यम से कॉर्पोरेट डिवाइसों पर स्थापित डिजिटल सर्टिफिकेट का उपयोग करती है। WLC ऑथेंटिकेटर के रूप में कार्य करता है, जो EAP संदेशों को RADIUS सर्वर पर पास करता है। क्योंकि हम सर्टिफिकेट का उपयोग करते हैं, इसलिए चोरी करने के लिए कोई पासवर्ड नहीं होते हैं। यदि कोई डिवाइस खो जाती है या कोई कर्मचारी नौकरी छोड़ देता है, तो आप सर्टिफिकेट रद्द कर देते हैं। किसी अन्य को बाधित किए बिना या ग्लोबल पासवर्ड बदले बिना एक्सेस तुरंत समाप्त हो जाता है। EAP-TLS एंटरप्राइज सुरक्षा के लिए स्वर्ण मानक (gold standard) है। तीसरा टियर मल्टी-टेनेंट या IoT WiFi है। रिटेल मॉल के किरायेदारों, कोवर्किंग स्पेस के सदस्यों, या स्मार्ट बिल्डिंग सेंसर के बारे में सोचें जो 802.1X का समर्थन नहीं करते हैं। इसके लिए, हम Cisco Identity PSK, या iPSK डिप्लॉय करते हैं। हर कोई एक ही SSID से कनेक्ट होता है, लेकिन RADIUS सर्वर प्रत्येक किरायेदार को उनके MAC एड्रेस के आधार पर एक विशिष्ट पासवर्ड और एक विशिष्ट VLAN असाइन करता है। जब किसी किरायेदार का डिवाइस कनेक्ट होता है, तो WLC RADIUS सर्वर को एक MAC ऑथेंटिकेशन अनुरोध भेजता है। सर्वर उस किरायेदार के लिए विशिष्ट PSK को Cisco AV-Pair एट्रिब्यूट के रूप में वापस करता है, साथ ही क्लाइंट को सही VLAN में डायनेमिक रूप से असाइन करने के लिए तीन मानक IETF RADIUS एट्रिब्यूट्स भी भेजता है। वे एट्रिब्यूट्स हैं: Tunnel-Type, जिसे VLAN पर सेट किया गया है; Tunnel-Medium-Type, जिसे 802 पर सेट किया गया है; और Tunnel-Private-Group-ID, जिसे लक्षित VLAN ID पर सेट किया गया है। WLC इन एट्रिब्यूट्स को प्रोसेस करता है और डिवाइस को सही अलग किए गए नेटवर्क सेगमेंट पर रखता है। iPSK उपभोक्ता सरलता के साथ एंटरप्राइज सेगमेंटेशन प्रदान करता है। अब आइए कार्यान्वयन सिफारिशों और उन कमियों पर चर्चा करें जिन्हें हम प्रोडक्शन डिप्लॉयमेंट में सबसे अधिक बार देखते हैं। गेस्ट डिप्लॉयमेंट में विफलता का सबसे आम बिंदु वॉल्ड गार्डन ACL है। यदि अतिथि कनेक्ट होते हैं लेकिन स्प्लैश पेज दिखाई नहीं देता है, तो पहले अपने DNS कॉन्फ़िगरेशन की जांच करें। यदि आपका प्री-ऑथेंटिकेशन ACL, UDP पोर्ट 53 को ब्लॉक करता है, तो क्लाइंट डोमेन नामों को हल नहीं कर सकता है। ऑपरेटिंग सिस्टम कैप्टिव पोर्टल मिनी-ब्राउज़र को ट्रिगर नहीं करेगा, और अतिथि को No Internet त्रुटि दिखाई देगी। अपने वॉल्ड गार्डन ACL में हमेशा स्पष्ट रूप से DNS ट्रैफ़िक की अनुमति दें। यह हमारे सामने आने वाली सबसे आम एकल सहायता समस्या है। दूसरा नुकसान स्टाफ डिप्लॉयमेंट में है। यदि आप EAP-TLS के बजाय PEAP-MSCHAPv2 डिप्लॉय करना चुनते हैं, क्योंकि आपके पास अभी तक सर्टिफिकेट वितरित करने के लिए कोई MDM समाधान नहीं है, तो आपको अपने क्लाइंट डिवाइसों को स्पष्ट रूप से RADIUS सर्वर सर्टिफिकेट को सत्यापित करने के लिए कॉन्फ़िगर करना होगा। इसका मतलब है कि WiFi प्रोफाइल में भरोसा करने के लिए सटीक सर्टिफिकेट अथॉरिटी और अपेक्षित सर्वर नाम निर्दिष्ट करना। यदि आप इसे मैन्युअल रूप से कॉन्फ़िगर करने के लिए अंतिम यूजर पर छोड़ देते हैं, तो एक हमलावर एक दुष्ट एक्सेस पॉइंट शुरू कर सकता है, एक फर्जी सर्टिफिकेट प्रस्तुत कर सकता है, और कॉर्पोरेट क्रेडेंशियल चुरा सकता है। यह कोई सैद्धांतिक हमला नहीं है। यह एक अच्छी तरह से प्रलेखित वास्तविक दुनिया का खतरा है। Windows डिवाइसों के लिए Group Policy के माध्यम से और macOS और मोबाइल डिवाइसों के लिए MDM प्रोफाइल के माध्यम से सर्टिफिकेट सत्यापन लागू करें। तीसरा नुकसान iPSK डिप्लॉयमेंट में है। यदि कोई क्लाइंट कनेक्ट होता है लेकिन गलत VLAN प्राप्त करता है, या पूरी तरह से कनेक्ट होने में विफल रहता है, तो सबसे संभावित कारण यह है कि Tunnel-Private-Group-ID एट्रिब्यूट में निर्दिष्ट लक्षित VLAN ID, WLC पर मौजूद नहीं है। RADIUS सर्वर द्वारा क्लाइंट्स को इसमें निर्देशित करने से पहले कंट्रोलर पर VLAN का निर्माण और सक्रिय होना आवश्यक है। यह सत्यापित करने के लिए कि RADIUS सर्वर से एट्रिब्यूट्स सही ढंग से प्राप्त हो रहे हैं, WLC पर debug radius कमांड का उपयोग करें। अब आइए उन प्रश्नों पर एक त्वरित प्रश्न और उत्तर सत्र करें जिन्हें हम सबसे अधिक बार सुनते हैं। प्रश्न एक: क्या मैं IoT डिवाइसों के लिए iPSK के बजाय MAC Authentication Bypass का उपयोग कर सकता हूँ? आप कर सकते हैं, लेकिन आपको नहीं करना चाहिए। MAC एड्रेस प्लेनटेक्स्ट में ब्रॉडकास्ट होते हैं और इन्हें आसानी से स्पूफ किया जा सकता है। MAC Authentication Bypass डिवाइस की पहचान प्रदान करता है, सुरक्षा नहीं। iPSK हेडलेस डिवाइसों के लिए वास्तविक क्रिप्टोग्राफिक सुरक्षा प्रदान करता है। यदि डिवाइस किसी भी रूप में PSK का समर्थन करता है, तो iPSK का उपयोग करें। प्रश्न दो: क्या Purple, Cisco Catalyst 9800 IOS-XE कंट्रोलर्स का समर्थन करता है? हाँ। Purple आधुनिक Catalyst 9800 IOS-XE कंट्रोलर्स के साथ-साथ लीगेसी AireOS WLCs का भी पूरी तरह से समर्थन करता है। दोनों प्लेटफॉर्म के लिए RADIUS और Change of Authorization एकीकरण पूरी तरह से सत्यापित है। प्रश्न तीन: मैं RADIUS सर्वर रिडंडेंसी को कैसे संभालूँ? हमेशा अपनी WLC AAA मेथड सूचियों में बाहरी और आंतरिक दोनों RADIUS सर्वर कॉन्फ़िगर करें। यदि प्राइमरी कॉन्फ़िगर किए गए टाइमआउट के भीतर प्रतिक्रिया नहीं देता है, तो WLC स्वचालित रूप से सेकेंडरी सर्वर पर फेलओवर कर देगा। Purple ठीक इसी उद्देश्य के लिए दो RADIUS सर्वर IP एड्रेस प्रदान करता है। प्रोडक्शन वातावरण में कभी भी एकल RADIUS सर्वर डिप्लॉय न करें। प्रश्न चार: Purple किन RADIUS पोर्ट नंबरों का उपयोग करता है? Purple ऑथेंटिकेशन के लिए UDP पोर्ट 1812 और अकाउंटिंग के लिए UDP पोर्ट 1813 का उपयोग करता है। ये RADIUS के लिए IANA-पंजीकृत मानक पोर्ट हैं, जैसा कि RFC 2865 और RFC 2866 में परिभाषित है। आज की ब्रीफिंग के मुख्य निष्कर्षों को संक्षेप में प्रस्तुत करने के लिए। अपने वर्तमान वायरलेस आर्केटेक्चर का ऑडिट करें। यदि आप कर्मचारियों के लिए साझा पासवर्ड का उपयोग कर रहे हैं, तो 802.1X पर माइग्रेशन की योजना बनाएं। यदि आप विभिन्न किरायेदारों के लिए कई SSIDs ब्रॉडकास्ट कर रहे हैं, तो Cisco iPSK का उपयोग करके उन्हें समेकित करें। यदि आपका Guest WiFi केवल बिना डेटा कैप्चर वाला एक ओपन नेटवर्क है, तो फर्स्ट-पार्टी डेटा एकत्र करने, मार्केटिंग निवेश पर रिटर्न (ROI) बढ़ाने और GDPR और PCI-DSS आवश्यकताओं का अनुपालन सुनिश्चित करने के लिए इसे Purple के साथ एकीकृत करें। Cisco के एंटरप्राइज-ग्रेड इन्फ्रास्ट्रक्चर को Purple के क्लाउड ओवरले के साथ जोड़कर, आप अपने वेन्यू पर सुरक्षित, खंडित (segmented) और बुद्धिमान कनेक्टिविटी प्रदान करते हैं। Purple 80,000 से अधिक लाइव वेन्यू में काम करता है और इसने 2024 में 440 मिलियन लॉगिन दर्ज किए हैं। यह प्लेटफॉर्म हार्डवेयर-अज्ञेयवादी (hardware-agnostic), ISO 27001 प्रमाणित और एंटरप्राइज स्केल के लिए निर्मित है। आपका अगला कदम स्पष्ट है। Purple वेबसाइट पर पूर्ण चरण-दर-चरण कॉन्फ़िगरेशन गाइड की समीक्षा करें, Purple पोर्टल से अपने RADIUS सर्वर क्रेडेंशियल्स प्राप्त करें, और आज ही अपने Cisco WLC के साथ एकीकरण शुरू करें। विस्तृत कॉन्फ़िगरेशन गाइड और हार्डवेयर-विशिष्ट दस्तावेज़ीकरण के लिए, support dot purple dot ai पर Purple सपोर्ट पोर्टल पर जाएं। इस Purple टेक्निकल ब्रीफिंग को सुनने के लिए धन्यवाद। अगली बार तक, सुरक्षित रहें।

header_image.png

कार्यकारी सारांश

एंटरप्राइज वायरलेस नेटवर्क को एक साथ अलग-अलग यूजर समूहों को सेवाएं देनी चाहिए: वे अतिथि जिन्हें बिना किसी बाधा के इंटरनेट एक्सेस की आवश्यकता है, वे कर्मचारी जिन्हें कॉर्पोरेट संसाधनों तक सुरक्षित एक्सेस की आवश्यकता है, और हेडलेस या किरायेदार (tenant) डिवाइस जिन्हें एक-दूसरे से अलगाव (isolation) की आवश्यकता है। इनमें से किसी भी समूह के लिए एकल साझा Pre-Shared Key पर भरोसा करना एक सुरक्षा जोखिम है। एक भी क्रेडेंशियल लीक होने से पूरा सेगमेंट खतरे में पड़ जाता है, और एक्सेस वापस लेने के लिए एक ग्लोबल पासवर्ड बदलना पड़ता है जिससे नेटवर्क पर मौजूद हर डिवाइस बाधित होती है।

यह गाइड Cisco Wireless LAN Controllers (WLC) और Catalyst 9800 सीरीज हार्डवेयर के Purple के क्लाउड ओवरले के साथ एकीकरण का विवरण देती है। हम तीन अलग-अलग ऑथेंटिकेशन स्तरों के लिए चरण-दर-चरण कॉन्फ़िगरेशन प्रदान करते हैं: Purple द्वारा संचालित कैप्टिव पोर्टल रीडायरेक्शन के साथ एक ओपन Guest WiFi नेटवर्क, 802.1X EAP-TLS सर्टिफिकेट ऑथेंटिकेशन का उपयोग करने वाला एक सुरक्षित Staff WiFi नेटवर्क, और डायनेमिक VLAN असाइनमेंट के साथ Cisco Identity Pre-Shared Keys (iPSK) का उपयोग करने वाला एक मल्टी-टेनेंट WiFi वातावरण। इस आर्किटेक्चर को लागू करके, आप कॉर्पोरेट संसाधनों को विज़िटर ट्रैफ़िक से अलग करते हैं, पहचान-आधारित एक्सेस कंट्रोल को ऑटोमेट करते हैं, और Purple के WiFi Analytics प्लेटफॉर्म के माध्यम से फर्स्ट-पार्टी डेटा कैप्चर करते हैं। Purple 80,000+ से अधिक लाइव वेन्यू में काम करता है और इसने 2024 में 440 मिलियन लॉगिन दर्ज किए हैं (Purple का आंतरिक डेटा), जो इसे बड़े पैमाने पर Cisco इन्फ्रास्ट्रक्चर के लिए एक प्रमाणित क्लाउड ओवरले बनाता है।

तकनीकी गहन विश्लेषण: थ्री-टियर आर्किटेक्चर

Cisco हार्डवेयर पर एक आधुनिक एंटरप्राइज वायरलेस डिप्लॉयमेंट को अलग-अलग सुरक्षा और एक्सेस आवश्यकताओं वाले विभिन्न यूजर प्रोफाइल की जरूरतों को पूरा करना चाहिए। Cisco WLC और Purple के बीच एकीकरण एक ही Catalyst 9800 कंट्रोलर से प्रबंधित, विभिन्न ऑथेंटिकेशन तंत्रों के माध्यम से इन प्रोफाइल को सेवा देने के लिए एक एकीकृत हार्डवेयर फुटप्रिंट को सक्षम बनाता है।

architecture_overview.png

टियर 1: Guest WiFi - Central Web Authentication (CWA)

Hospitality और Retail वातावरण में आने वाले विज़िटर्स के लिए, उद्देश्य अनुपालन डेटा कैप्चर के साथ-साथ बिना किसी बाधा के ऑनबोर्डिंग प्रदान करना है। यह Central Web Authentication (CWA) के साथ जुड़े एक ओपन SSID का उपयोग करके प्राप्त किया जाता है। जब कोई अतिथि कनेक्ट होता है, तो Cisco WLC एक प्री-ऑथेंटिकेशन एक्सेस कंट्रोल लिस्ट (ACL) लागू करता है - जिसे वॉल्ड गार्डन (walled garden) कहा जाता है। यह ACL सामान्य इंटरनेट ट्रैफ़िक को ब्लॉक करता है जबकि Purple के कैप्टिव पोर्टल डोमेन, DNS और सोशल लॉगिन एंडपॉइंट्स के ट्रैफ़िक की अनुमति देता है।

जब अतिथि ब्राउज़ करने का प्रयास करता है, तो WLC HTTP अनुरोध को रोकता है और Purple स्प्लैश पेज पर रीडायरेक्ट करता है। अतिथि अपने चुने हुए तरीके (सोशल लॉगिन, ईमेल रजिस्ट्रेशन, या वाउचर कोड) के माध्यम से ऑथेंटिकेट करता है। इसके बाद Purple RADIUS सर्वर के रूप में कार्य करता है, और WLC को वापस एक RADIUS Change of Authorization (CoA) संदेश भेजता है। CoA, WLC को क्लाइंट को प्री-ऑथेंटिकेशन स्थिति से हटाकर एक अलग guest VLAN पर पोस्ट-ऑथेंटिकेशन स्थिति में ले जाने का निर्देश देता है, जिससे इंटरनेट एक्सेस मिलता है। प्रत्येक लॉगिन Purple के एनालिटिक्स प्लेटफॉर्म में दर्ज किया जाता है, जिससे GDPR और CCPA के अनुपालन में फर्स्ट-पार्टी डेटा कैप्चर होता है।

टियर 2: Staff WiFi - 802.1X EAP-TLS

कॉर्पोरेट डिवाइसों को उच्चतम स्तर की सुरक्षा की आवश्यकता होती है। IEEE 802.1X पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल (PNAC) को परिभाषित करता है, और जब इसे EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) के साथ जोड़ा जाता है, तो यह सर्टिफिकेट-आधारित ऑथेंटिकेशन प्रदान करता है जो पासवर्ड की आवश्यकता को पूरी तरह से समाप्त कर देता है। डिजिटल सर्टिफिकेट कॉर्पोरेट डिवाइसों पर मोबाइल डिवाइस मैनेजमेंट (MDM) - Microsoft Intune, Jamf, या समकक्ष के माध्यम से डिप्लॉय किए जाते हैं। Cisco WLC ऑथेंटिकेटर के रूप में कार्य करता है, जो सप्लिकेंट (डिवाइस) और RADIUS सर्वर के बीच EAP संदेशों को पास करता है। RADIUS सर्वर सर्टिफिकेट को सत्यापित करता है और वैकल्पिक VLAN असाइनमेंट एट्रिब्यूट के साथ Access-Accept वापस करता है।

चूंकि ऑथेंटिकेशन पासवर्ड के बजाय सर्टिफिकेट पर निर्भर करता है, इसलिए चोरी करने के लिए कोई क्रेडेंशियल नहीं होते हैं। यदि कोई डिवाइस खो जाती है या कोई कर्मचारी नौकरी छोड़ देता है, तो आप सर्टिफिकेट को रद्द कर देते हैं। इससे अन्य किसी भी यूजर को बाधित किए बिना एक्सेस तुरंत समाप्त हो जाता है। WPA3 और ज़ीरो ट्रस्ट सहित एंटरप्राइज सुरक्षा मानकों के व्यापक विवरण के लिए, Enterprise WiFi Security: A Complete Guide for 2026 पर हमारी गाइड देखें।

टियर 3: मल्टी-टेनेंट WiFi - Cisco iPSK और डायनेमिक VLAN असाइनमेंट

छात्र आवास, कोवर्किंग स्पेस, या रिटेल मॉल जैसे वातावरण में, आपको दर्जनों SSIDs ब्रॉडकास्ट किए बिना विभिन्न किरायेदारों के लिए निजी, खंडित (segmented) नेटवर्क की आवश्यकता होती है। Cisco Identity PSK (iPSK) इसे हल करता है। सभी किरायेदार एक ही SSID से कनेक्ट होते हैं। WLC प्रत्येक कनेक्ट होने वाले डिवाइस के लिए RADIUS सर्वर को एक MAC ऑथेंटिकेशन अनुरोध भेजता है। RADIUS सर्वर उस किरायेदार के लिए विशिष्ट PSK को cisco-av-pair एट्रिब्यूट के रूप में वापस करता है, साथ ही क्लाइंट को सही VLAN में डायनेमिक रूप से असाइन करने के लिए मानक IETF RADIUS एट्रिब्यूट्स भी भेजता है।

ipsk_vlan_diagram.png

डायनेमिक VLAN असाइनमेंट को संचालित करने वाले तीन IETF RADIUS एट्रिब्यूट्स हैं:

RADIUS एट्रिब्यूट ID मान
Tunnel-Type 64 VLAN
Tunnel-Medium-Type 65 802
Tunnel-Private-Group-ID 81 लक्षित VLAN ID (जैसे, 31)

Tunnel-Private-Group-ID को एक स्ट्रिंग के रूप में एनकोड किया जाता है, जैसा कि RFC 2868 में परिभाषित है। असाइनमेंट सफल होने के लिए VLAN ID का WLC पर मौजूद होना आवश्यक है।

कार्यान्वयन गाइड: Cisco Catalyst 9800 WLC कॉन्फ़िगरेशन

निम्नलिखित चरण Guest WiFi रीडायरेक्शन के लिए Purple के साथ एकीकृत करने के लिए IOS-XE चलाने वाले Cisco Catalyst 9800 WLC के कॉन्फ़िगरेशन का विवरण देते हैं। लीगेसी AireOS WLC डिप्लॉयमेंट के लिए, समकक्ष सेटिंग्स Purple सपोर्ट पोर्टल पर उपलब्ध हैं।

चरण 1: RADIUS ऑथेंटिकेशन और अकाउंटिंग कॉन्फ़िगर करें

अतिथि ऑथेंटिकेशन और सेशन अकाउंटिंग को संभालने के लिए आपको WLC को Purple के RADIUS सर्वर पर निर्देशित करना होगा।

  1. Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add पर जाएं।
  2. प्राइमरी Purple RADIUS सर्वर का IP एड्रेस दर्ज करें, auth-port को 1812, acct-port को 1813 पर सेट करें, और Purple पोर्टल से प्राप्त शेयर्ड सीक्रेट (shared secret) दर्ज करें।
  3. Support for CoA को सक्षम करें - कैप्टिव पोर्टल रीडायरेक्शन के लिए यह अनिवार्य है।
  4. सेकेंडरी Purple RADIUS सर्वर के लिए भी यही दोहराएं।
  5. RADIUS > Server Groups > + Add पर जाएं और दोनों सर्वरों को शामिल करने वाला एक ग्रुप बनाएं।
  6. AAA Method List > Authorization > + Add पर जाएं, Type को network पर सेट करें, और इसे RADIUS सर्वर ग्रुप पर निर्देशित करें।
  7. AAA Method List > Accounting > + Add पर जाएं, Type को identity पर सेट करें, और इसे उसी ग्रुप पर निर्देशित करें।

IOS-XE पर समकक्ष CLI कमांड इस प्रकार हैं:

radius server Purple-Primary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
radius server Purple-Secondary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
aaa group server radius Purple-RADIUS-Group
 server name Purple-Primary
 server name Purple-Secondary
!
aaa authorization network Purple-Authz group Purple-RADIUS-Group
aaa accounting identity Purple-Acct start-stop group Purple-RADIUS-Group

चरण 2: प्री-ऑथेंटिकेशन ACL (वॉल्ड गार्डन) को परिभाषित करें

प्री-ऑथेंटिकेशन ACL यूजर के ऑथेंटिकेट होने से पहले Purple के स्प्लैश पेज और आवश्यक सेवाओं के लिए ट्रैफ़िक की अनुमति देता है। इसे वॉल्ड गार्डन कहा जाता है।

  1. Configuration > Security > ACL > + Add पर जाएं।
  2. Purple_Guest_Walled_Garden नाम से एक IPv4 Extended ACL बनाएं।
  3. WLC मैनेजमेंट IP और RADIUS सर्वर IPs के ट्रैफ़िक को अस्वीकार (deny) करने के लिए नियम जोड़ें।
  4. अपने DNS सर्वरों के लिए DNS (UDP पोर्ट 53) की अनुमति (permit) देने के लिए नियम जोड़ें।
  5. Purple के वॉल्ड गार्डन IP रेंज और डोमेन के ट्रैफ़िक की अनुमति (permit) देने के लिए नियम जोड़ें (अपने विशिष्ट हार्डवेयर प्रकार के लिए वर्तमान सूची Purple सपोर्ट पोर्टल से प्राप्त करें)।
  6. एक अंतिम permit ip any any नियम जोड़ें - WLC पोर्टल प्रोसेसिंग के लिए अनुमत ट्रैफ़िक को CPU पर रीडायरेक्ट करेगा।

चरण 3: गेस्ट WLAN कॉन्फ़िगर करें

  1. Configuration > Tags & Profiles > WLANs > + Add पर जाएं।
  2. अपने चुने हुए SSID के साथ Guest-WiFi नाम से एक WLAN बनाएं।
  3. Security > Layer 2 के अंतर्गत, सुरक्षा को None (Open) पर सेट करें।
  4. Security > Layer 3 के अंतर्गत, Web Policy को सक्षम करें और Web Auth प्रकार को External पर सेट करें।
  5. रीडायरेक्ट फ़ील्ड में अपना Purple एक्सेस URL दर्ज करें।
  6. Purple_Guest_Walled_Garden ACL लागू करें।
  7. Security > AAA Servers के अंतर्गत, Authentication और Accounting दोनों के लिए Purple RADIUS सर्वर असाइन करें।

चरण 4: पॉलिसी प्रोफाइल कॉन्फ़िगर करें

  1. Configuration > Tags & Profiles > Policy > + Add पर जाएं।
  2. Access Policies के अंतर्गत, VLAN 20 (या अपना निर्दिष्ट गेस्ट VLAN) असाइन करें।
  3. Advanced के अंतर्गत, Allow AAA Override और NAC State को सक्षम करें।
  4. Purple अकाउंटिंग मेथड लिस्ट असाइन करें।

CLI समकक्ष:

wireless profile policy Guest-Policy
 aaa-override
 nac
 vlan 20
 accounting-list Purple-Acct
 no shutdown
!
wireless tag policy Guest-Policy-Tag
 wlan Guest-WiFi policy Guest-Policy

चरण 5: मल्टी-टेनेंट या IoT डिप्लॉयमेंट के लिए iPSK कॉन्फ़िगर करें

iPSK के लिए, WLAN कॉन्फ़िगरेशन गेस्ट सेटअप से भिन्न होता है। WLAN, MAC फ़िल्टरिंग सक्षम के साथ WPA2-PSK का उपयोग करता है, और RADIUS सर्वर से प्रति-क्लाइंट PSK और VLAN को स्वीकार करने के लिए पॉलिसी प्रोफाइल में AAA Override सक्रिय होता है।

wlan Tenant-WiFi 2 Tenant-WiFi
 mac-filtering Purple-Authz
 security wpa psk set-key ascii 0 DefaultKey123
 no security wpa akm dot1x
 security wpa akm psk
 peer-blocking allow-private-group
 no shutdown
!
wireless profile policy Tenant-Policy
 aaa-override
 accounting-list Purple-Acct
 vlan 30
 no shutdown

RADIUS सर्वर (Purple या आपके RADIUS प्लेटफॉर्म में कॉन्फ़िगर किया गया) प्रत्येक किरायेदार समूह के लिए निम्नलिखित एट्रिब्यूट्स वापस करता है:

cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID =

सर्वोत्तम प्रथाएं

स्थापित मानकों का पालन आपके डिप्लॉयमेंट में स्थिरता, सुरक्षा और नियामक अनुपालन सुनिश्चित करता है।

सख्त सर्टिफिकेट सत्यापन लागू करें। 802.1X को डिप्लॉय करते समय, अपने RADIUS सर्वर के सर्टिफिकेट अथॉरिटी पर स्पष्ट रूप से भरोसा करने और अपेक्षित सर्वर नाम निर्दिष्ट करने के लिए MDM के माध्यम से क्लाइंट डिवाइसों को कॉन्फ़िगर करें। ऐसा न करने पर क्लाइंट्स पर दुष्ट एक्सेस पॉइंट (rogue access point) हमलों का खतरा बना रहता है, जहां एक हमलावर क्रेडेंशियल चुराने के लिए एक फर्जी सर्टिफिकेट प्रस्तुत करता है। यह एक अनिवार्य आवश्यकता है, कोई सिफारिश नहीं।

नेटवर्क लेयर पर गेस्ट ट्रैफ़िक को अलग करें। Guest WiFi एक समर्पित VLAN पर समाप्त होना चाहिए जो सभी कॉर्पोरेट संसाधनों से फ़ायरवॉल द्वारा सुरक्षित हो। PCI DSS 4.0 के लिए आवश्यक है कि कार्डधारक डेटा वातावरण सार्वजनिक नेटवर्क से अलग हो। VLAN 20 पर मौजूद किसी अतिथि के पास VLAN 10 पर कॉर्पोरेट नेटवर्क के लिए कोई रूट नहीं होना चाहिए।

IoT डिवाइसों के लिए iPSK का उपयोग करें, न कि MAC Authentication Bypass का। MAC एड्रेस प्लेनटेक्स्ट में ब्रॉडकास्ट होते हैं और इन्हें आसानी से स्पूफ (spoof) किया जा सकता है। iPSK हेडलेस डिवाइसों के लिए क्रिप्टोग्राफिक सुरक्षा प्रदान करता है। डिस्प्ले और IoT डिवाइस वायरलेस प्रोटोकॉल के साथ कैसे इंटरैक्ट करते हैं, इस पर मार्गदर्शन के लिए, What Is Wireless Display: Protocols & Best Practices 2026 देखें।

उपयोग की स्पष्ट शर्तें परिभाषित करें। आपके कैप्टिव पोर्टल को एक्सेस देने से पहले उपयोग की शर्तों का समझौता प्रस्तुत करना चाहिए। यह डेटा संग्रह के लिए एक GDPR आवश्यकता है और नेटवर्क उपयोग नीतियों के लिए एक कानूनी आवश्यकता है। आंतरिक स्टाफ नेटवर्क के लिए, Staff WiFi Terms and Conditions: Legal and Compliance Essentials देखें।

RADIUS रिडंडेंसी डिप्लॉय करें। हमेशा एक प्राइमरी और सेकेंडरी RADIUS सर्वर कॉन्फ़िगर करें। Purple इस उद्देश्य के लिए दो सर्वर IP एड्रेस प्रदान करता है। एकल RADIUS सर्वर की विफलता सभी अतिथि लॉगिन को रोक देगी।

समस्या निवारण और जोखिम न्यूनीकरण

सावधानीपूर्वक कॉन्फ़िगरेशन के बाद भी, एकीकरण संबंधी समस्याएं आ सकती हैं। आगे बढ़ने से पहले सबसे आम विफलता मोड को व्यवस्थित रूप से हल करें।

समस्या: अतिथि कनेक्ट होते हैं लेकिन स्प्लैश पेज दिखाई नहीं देता है।

यह सबसे आम समस्या है। प्री-ऑथेंटिकेशन ACL, DNS को ब्लॉक कर रहा है। DNS के बिना, क्लाइंट प्रारंभिक HTTP अनुरोध को हल (resolve) नहीं कर सकता है, और ऑपरेटिंग सिस्टम कैप्टिव पोर्टल मिनी-ब्राउज़र को ट्रिगर नहीं करेगा। सत्यापित करें कि वॉल्ड गार्डन ACL में आपके DNS सर्वरों के लिए UDP पोर्ट 53 की अनुमति है। WLC पर, यह पुष्टि करने के लिए show wireless client summary चलाएं कि क्लाइंट Run के बजाय Webauth Pending स्थिति में है।

समस्या: iPSK क्लाइंट कनेक्ट होने में विफल रहते हैं या गलत VLAN पर पहुंच जाते हैं।

Tunnel-Private-Group-ID में निर्दिष्ट VLAN, WLC पर मौजूद नहीं है, या cisco-av-pair एट्रिब्यूट्स विकृत (malformed) हैं। रॉ RADIUS प्रतिक्रिया का निरीक्षण करने के लिए WLC पर debug radius all चलाएं। सत्यापित करें कि VLAN ID Configuration > Layer 2 > VLAN > VLAN List के अंतर्गत बनाई गई है।

समस्या: 802.1X स्टाफ क्लाइंट रुक-रुक कर ऑथेंटिकेट होने में विफल रहते हैं।

यह आमतौर पर RADIUS सर्वर टाइमआउट या क्लाइंट पर सर्टिफिकेट ट्रस्ट की समस्या होती है। Access-Reject संदेशों के लिए RADIUS सर्वर लॉग की जांच करें। Windows क्लाइंट्स पर, सत्यापित करें कि WiFi प्रोफाइल सर्वर सर्टिफिकेट को सत्यापित करने के लिए कॉन्फ़िगर किया गया है और सही विश्वसनीय CA निर्दिष्ट करता है।

समस्या: Purple से प्राप्त CoA को WLC द्वारा प्रोसेस नहीं किया जा रहा है।

CoA शेयर्ड सीक्रेट WLC पर कॉन्फ़िगर किए गए RADIUS शेयर्ड सीक्रेट से मेल खाना चाहिए। IOS-XE 17.4 और बाद के संस्करणों पर, CoA कुंजी को शेयर्ड सीक्रेट से अलग कॉन्फ़िगर किया जाता है। सत्यापित करें कि दोनों Purple पोर्टल के मानों से मेल खाते हैं।

ROI और व्यावसायिक प्रभाव

बुनियादी PSK नेटवर्क से Purple के साथ एक संरचित, पहचान-आधारित आर्किटेक्चर पर संक्रमण Hospitality , Retail , Healthcare , और Transport वर्टिकल में मापने योग्य व्यावसायिक परिणाम प्रदान करता है।

पहला, यह आर्किटेक्चर साझा पासवर्ड प्रबंधित करने की परिचालन लागत को समाप्त करता है। जब कर्मचारी नौकरी छोड़ते हैं, तो आप उनका सर्टिफिकेट रद्द कर देते हैं। आपको ग्लोबल पासवर्ड बदलने और परिसर के हर डिवाइस को अपडेट करने की आवश्यकता नहीं होती है। दूसरा, Purple के कैप्टिव पोर्टल के साथ एकीकरण एक IT लागत केंद्र को राजस्व चालक में बदल देता है। Purple का प्लेटफॉर्म हर लॉगिन पर अनुपालन योग्य फर्स्ट-पार्टी डेटा कैप्चर करता है, जिससे ऑटोमेटेड मार्केटिंग अभियान और विज़िटर एनालिटिक्स सक्षम होते हैं। Purple नेटवर्क पर एकत्र किए गए 29 बिलियन डेटा पॉइंट्स (Purple का आंतरिक डेटा) के साथ, यह प्लेटफॉर्म विज़िटर के व्यवहार, ठहरने के समय (dwell time) और वापसी की दरों में व्यावहारिक अंतर्दृष्टि प्रदान करता है।

विज़िटर की संतुष्टि को समझने के लिए सर्वेक्षण चलाने वाले वेन्यू ऑपरेटरों के लिए, Purple प्लेटफॉर्म सीधे अनुसंधान वर्कफ़्लो के साथ एकीकृत होता है। कैप्टिव पोर्टल के माध्यम से दिए जाने वाले प्रभावी वेन्यू सर्वेक्षणों की संरचना पर मार्गदर्शन के लिए Design of a Survey: A Practical Guide for Venues देखें।

Cisco के एंटरप्राइज-ग्रेड हार्डवेयर को Purple के क्लाउड ओवरले के साथ एकीकृत करके, आप एक सुरक्षित, स्केलेबल नेटवर्क प्राप्त करते हैं जो वेन्यू के व्यावसायिक उद्देश्यों में सक्रिय रूप से योगदान देता है। Purple ISO 27001 प्रमाणित, GDPR और CCPA अनुपालन, Cyber Essentials प्रमाणित, और B Corp प्रमाणित है - जो एंटरप्राइज खरीद टीमों की अनुपालन आवश्यकताओं को पूरा करता है।

मुख्य परिभाषाएं

RADIUS

रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस। एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क एक्सेस के लिए केंद्रीकृत Authentication, Authorization, और Accounting (AAA) प्रबंधन प्रदान करता है। RFC 2865 और RFC 2866 में परिभाषित।

IT टीमें क्रेडेंशियल्स को RADIUS सर्वर पर फॉरवर्ड करने के लिए Cisco WLC को कॉन्फ़िगर करती हैं, जो उन्हें एक डायरेक्टरी के खिलाफ जांचता है और पॉलिसी एट्रिब्यूट्स के साथ Access-Accept या Access-Reject प्रतिक्रिया वापस करता है।

Captive portal

एक वेब पेज जिसे सार्वजनिक-एक्सेस नेटवर्क के यूजर को इंटरनेट एक्सेस दिए जाने से पहले देखना और उसके साथ इंटरैक्ट करना आवश्यक होता है। नेटवर्क एक्सेस डिवाइस द्वारा HTTP रीडायरेक्शन के माध्यम से कार्यान्वित।

इंटरनेट एक्सेस की अनुमति देने से पहले विज़िटर डेटा कैप्चर करने, उपयोग की शर्तें प्रस्तुत करने, या ब्रांडेड सामग्री प्रदर्शित करने के लिए Guest WiFi डिप्लॉयमेंट में उपयोग किया जाता है। Purple होस्टेड कैप्टिव पोर्टल इन्फ्रास्ट्रक्चर प्रदान करता है।

iPSK (Identity Pre-Shared Key)

एक Cisco विशेषता जो समान SSID पर विभिन्न यूजर्स या डिवाइस समूहों को विशिष्ट Pre-Shared Keys असाइन करने की अनुमति देती है, जिसमें PSK को RADIUS सर्वर द्वारा प्रति-क्लाइंट डिलीवर किया जाता है।

IoT डिवाइसों या मल्टी-टेनेंट वातावरणों के लिए आवश्यक जहां 802.1X व्यवहार्य नहीं है लेकिन नेटवर्क सेगमेंटेशन की आवश्यकता है। कई SSIDs ब्रॉडकास्ट करने की आवश्यकता को समाप्त करता है।

IEEE 802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल (PNAC) के लिए एक IEEE मानक। यह एक ऑथेंटिकेशन तंत्र प्रदान करता है जो डिवाइस से सभी डेटा ट्रैफ़िक को तब तक ब्लॉक करता है जब तक कि RADIUS सर्वर ने प्राधिकरण की पुष्टि न कर दी हो।

एंटरप्राइज Staff WiFi की नींव, यह सुनिश्चित करती है कि केवल वैध क्रेडेंशियल्स या सर्टिफिकेट वाले अधिकृत कॉर्पोरेट डिवाइस ही आंतरिक संसाधनों तक पहुंच सकें।

EAP-TLS

एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल - ट्रांसपोर्ट लेयर सिक्योरिटी। एक सर्टिफिकेट-आधारित ऑथेंटिकेशन विधि जिसके लिए RADIUS सर्वर और क्लाइंट डिवाइस दोनों पर डिजिटल सर्टिफिकेट की आवश्यकता होती, जिससे पासवर्ड पूरी तरह से समाप्त हो जाते हैं।

कॉर्पोरेट डिवाइसों को ऑथेंटिकेट करने का सबसे सुरक्षित तरीका। सर्टिफिकेट MDM के माध्यम से डिप्लॉय किए जाते हैं। साझा पासवर्ड बदलने के बजाय सर्टिफिकेट को अमान्य करके एक्सेस रद्द कर दिया जाता है।

Walled garden

एक सीमित नेटवर्क वातावरण जो यूजर के पूरी तरह से ऑथेंटिकेट होने से पहले वेब सामग्री तक उसकी पहुंच को नियंत्रित करता है। WLC पर प्री-ऑथेंटिकेशन ACL के रूप में कार्यान्वित।

अतिथि को पूर्ण इंटरनेट एक्सेस दिए जाने से पहले Purple स्प्लैश पेज, DNS और सोशल लॉगिन प्रदाताओं तक पहुंच की अनुमति देने के लिए Cisco WLC पर कॉन्फ़िगर किया गया।

Dynamic VLAN assignment

ऑथेंटिकेशन के समय वापस किए गए RADIUS प्राधिकरण एट्रिब्यूट्स के आधार पर कनेक्टेड डिवाइस को स्वचालित रूप से एक विशिष्ट वर्चुअल LAN पर रखने की प्रक्रिया।

यह सुनिश्चित करता है कि स्टाफ, अतिथि और IoT डिवाइस कनेक्शन होने पर स्वचालित रूप से अलग नेटवर्क सेगमेंट पर रखे जाएं, बिना प्रति डिवाइस मैन्युअल कॉन्फ़िगरेशन के।

Change of Authorization (CoA)

एक RADIUS एक्सटेंशन (RFC 5176) जो RADIUS सर्वर को पहले से कनेक्टेड क्लाइंट के सेशन प्राधिकरण एट्रिब्यूट्स को डायनेमिक रूप से संशोधित करने की अनुमति देता है।

कैप्टिव पोर्टल्स के लिए आवश्यक। एक बार जब अतिथि Purple स्प्लैश पेज पर ऑथेंटिकेट हो जाता है, तो Purple क्लाइंट को प्री-ऑथेंटिकेशन वॉल्ड गार्डन स्थिति से पूर्ण इंटरनेट एक्सेस में बदलने के लिए WLC को एक CoA संदेश भेजता है।

Central Web Authentication (CWA)

एक Cisco ऑथेंटिकेशन विधि जहां RADIUS सर्वर (WLC के बजाय) वेब ऑथेंटिकेशन पोर्टल को होस्ट करता है या उस पर रीडायरेक्ट करता है, जिससे क्लाउड-होस्टेड कैप्टिव पोर्टल समाधान सक्षम होते हैं।

Cisco WLC को Purple के क्लाउड-होस्टेड कैप्टिव पोर्टल के साथ एकीकृत करने के लिए उपयोग किया जाता है, जिससे Purple को अतिथि ऑथेंटिकेशन अनुभव और डेटा कैप्चर प्रबंधित करने की अनुमति मिलती है।

हल किए गए उदाहरण

एक बड़े शॉपिंग सेंटर को एकल Cisco Catalyst 9800 WLC और एकल ब्रॉडकास्ट SSID का उपयोग करके 50 रिटेल किरायेदारों को सुरक्षित, निजी WiFi प्रदान करने की आवश्यकता है। प्रत्येक किरायेदार को हर दूसरे किरायेदार के डिवाइसों से अलग रखा जाना चाहिए। वे 50 अलग-अलग SSIDs ब्रॉडकास्ट किए बिना इसे कैसे प्राप्त कर सकते हैं?

IT टीम Cisco iPSK डिप्लॉय करती है। वे WPA2-PSK और MAC फ़िल्टरिंग सक्षम के साथ 'Mall-Tenant-WiFi' नाम से एक एकल SSID कॉन्फ़िगर करते हैं। RADIUS सर्वर में, वे 50 एंडपॉइंट आइडेंटिटी ग्रुप बनाते हैं, प्रति किरायेदार एक ग्रुप। प्रत्येक ग्रुप को cisco-av-pair psk= एट्रिब्यूट के माध्यम से एक विशिष्ट PSK और IETF Tunnel-Private-Group-ID एट्रिब्यूट के माध्यम से एक विशिष्ट VLAN ID असाइन की जाती है। जब किसी रिटेल किरायेदार का पॉइंट-ऑफ-सेल डिवाइस उनके विशिष्ट पासवर्ड का उपयोग करके कनेक्ट होता है, तो WLC RADIUS सर्वर को एक MAC ऑथेंटिकेशन अनुरोध भेजता है। सर्वर MAC एड्रेस को किरायेदार के ग्रुप से मिलाता है और PSK और VLAN असाइनमेंट वापस करता है। WLC एट्रिब्यूट्स को प्रोसेस करता है, PSK को सत्यापित करता है, और डिवाइस को किरायेदार के अलग किए गए VLAN पर रखता है। peer-blocking allow-private-group सेटिंग यह सुनिश्चित करती है कि समान PSK साझा करने वाले डिवाइस एक-दूसरे के साथ संवाद कर सकें, जबकि विभिन्न PSKs पर मौजूद डिवाइसों को आपस में संवाद करने से ब्लॉक कर दिया जाता है।

परीक्षक की टिप्पणी: यह दृष्टिकोण कुशलतापूर्वक स्केल करता है। 50 अलग-अलग SSIDs ब्रॉडकास्ट करने से घने वातावरण में गंभीर को-चैनल व्यवधान (co-channel interference) होगा और हर यूजर के लिए प्रदर्शन खराब होगा। प्रत्येक अतिरिक्त SSID मैनेजमेंट फ्रेम के साथ एयरटाइम की खपत करता है। iPSK एक नेटवर्क की RF दक्षता के साथ 50 अलग-अलग नेटवर्क की सुरक्षा और सेगमेंटेशन प्रदान करता है। इसका नुकसान यह है कि RADIUS सर्वर एक महत्वपूर्ण निर्भरता बन जाता है - सुनिश्चित करें कि यह अत्यधिक उपलब्ध (highly available) हो।

एक 300 कमरों वाली Premier Inn प्रॉपर्टी स्थानीय WLC गेस्ट अकाउंट्स से Purple के क्लाउड कैप्टिव पोर्टल पर माइग्रेट कर रही है। कॉन्फ़िगरेशन लागू होने के बाद, अतिथि रिपोर्ट करते हैं कि वे WiFi SSID से कनेक्ट होते हैं, एक IP एड्रेस प्राप्त करते हैं, लेकिन उनके डिवाइस 'No Internet' दिखाते हैं और स्प्लैश पेज कभी दिखाई नहीं देता है। नैदानिक (diagnostic) प्रक्रिया क्या है?

चरण 1: show wireless client detail <mac-address> का उपयोग करके WLC पर क्लाइंट स्थिति सत्यापित करें। क्लाइंट 'Webauth Pending' स्थिति में होना चाहिए। यदि यह 'Run' दिखाता है, तो प्री-ऑथेंटिकेशन ACL सही ढंग से लागू नहीं है। चरण 2: प्री-ऑथेंटिकेशन ACL की जांच करें। इस लक्षण का सबसे आम कारण यह है कि ACL, DNS (UDP पोर्ट 53) को ब्लॉक करता है। DNS के बिना, क्लाइंट किसी भी डोमेन को हल (resolve) नहीं कर सकता है, और OS कैप्टिव पोर्टल डिटेक्शन तंत्र चुपचाप विफल हो जाता है। वेन्यू के DNS सर्वर IPs के लिए UDP पोर्ट 53 के लिए एक स्पष्ट अनुमति नियम जोड़ें। चरण 3: सत्यापित करें कि ACL में Purple वॉल्ड गार्डन डोमेन की अनुमति है। क्लाइंट ऑथेंटिकेशन से पहले Purple स्प्लैश पेज URL तक पहुंचने में सक्षम होना चाहिए। चरण 4: पुष्टि करें कि WLC वर्चुअल IP एड्रेस को डिफॉल्ट 1.1.1.1 से बदलकर एक नॉन-रूट करने योग्य एड्रेस जैसे कि 192.0.2.1 कर दिया गया है, क्योंकि डिफॉल्ट एड्रेस वैध इंटरनेट ट्रैफ़िक के साथ संघर्ष कर सकता है।

परीक्षक की टिप्पणी: बिना रीडायरेक्ट के 'No Internet' का लक्षण लगभग हमेशा DNS या वॉल्ड गार्डन ACL की समस्या होती है। आधुनिक ऑपरेटिंग सिस्टम (iOS, Android, Windows, macOS) ज्ञात URLs पर HTTP अनुरोध करके कैप्टिव पोर्टल डिटेक्शन का उपयोग करते हैं। यदि DNS विफल हो जाता है, तो ये अनुरोध नहीं किए जा सकते हैं, और OS कभी भी कैप्टिव पोर्टल ब्राउज़र को ट्रिगर नहीं करता है। प्री-ऑथेंटिकेशन ACL में हमेशा DNS की अनुमति दें - यह हमारे द्वारा देखी जाने वाली सबसे आम डिप्लॉयमेंट त्रुटि है।

अभ्यास प्रश्न

Q1. आप Cisco Catalyst 9800 WLCs का उपयोग करके 40 रिटेल शाखाओं में Staff WiFi डिप्लॉय कर रहे हैं। आप 802.1X का उपयोग करना चाहते हैं, लेकिन कंपनी के पास अभी तक कर्मचारियों के स्मार्टफोन में सर्टिफिकेट वितरित करने के लिए कोई MDM समाधान नहीं है। सबसे सुरक्षित व्यवहार्य दृष्टिकोण क्या है, और आपको कौन सा जोखिम न्यूनीकरण लागू करना चाहिए?

संकेत: सर्टिफिकेट का विकल्प उपलब्ध न होने पर क्रेडेंशियल सुरक्षा और डिप्लॉयमेंट व्यवहार्यता के बीच संतुलन पर विचार करें। वैकल्पिक विधि से उत्पन्न होने वाले विशिष्ट जोखिम पर ध्यान केंद्रित करें।

मॉडल उत्तर देखें

एक अंतरिम उपाय के रूप में PEAP-MSCHAPv2 डिप्लॉय करें। हालांकि यह EAP-TLS जितना सुरक्षित नहीं है, यह एक TLS टनल के भीतर एन्क्रिप्टेड पासवर्ड ऑथेंटिकेशन प्रदान करता है। महत्वपूर्ण जोखिम न्यूनीकरण हर क्लाइंट डिवाइस पर सर्वर सर्टिफिकेट सत्यापन लागू करना है। Windows लैपटॉप के लिए, एक Group Policy Object डिप्लॉय करें जो WiFi प्रोफाइल में सटीक विश्वसनीय सर्टिफिकेट अथॉरिटी और अपेक्षित RADIUS सर्वर नाम निर्दिष्ट करता है। iOS और Android डिवाइसों के लिए, ईमेल या हल्के MDM-मुक्त टूल के माध्यम से एक WiFi कॉन्फ़िगरेशन प्रोफाइल वितरित करें जो सर्टिफिकेट सत्यापन लागू करता है। इसके बिना, एक हमलावर फर्जी सर्टिफिकेट के साथ एक दुष्ट एक्सेस पॉइंट डिप्लॉय कर सकता है और क्रेडेंशियल चुरा सकता है। जैसे ही MDM उपलब्ध हो, EAP-TLS पर माइग्रेशन की योजना बनाएं।

Q2. एक स्टेडियम IT निदेशक को मीडिया ब्रॉडकास्टर्स, टिकटिंग टर्मिनल्स और HVAC IoT सेंसर को अलग-अलग नेटवर्क पर विभाजित करने की आवश्यकता है। IoT सेंसर 802.1X का समर्थन नहीं करते हैं। तीनों समूहों को WiFi का उपयोग करना चाहिए। WLC को कैसे कॉन्फ़िगर किया जाना चाहिए?

संकेत: एक ऐसे समाधान की तलाश करें जो हेडलेस डिवाइसों पर एंटरप्राइज सप्लिकेंट्स की आवश्यकता के बिना प्रति डिवाइस समूह विशिष्ट क्रेडेंशियल और VLAN असाइनमेंट प्रदान करता है।

मॉडल उत्तर देखें

वेन्यू संचालन के लिए एकल SSID के साथ Cisco iPSK लागू करें। RADIUS सर्वर में तीन एंडपॉइंट आइडेंटिटी ग्रुप बनाएं: Broadcasters, Ticketing, और HVAC। प्रत्येक ग्रुप को cisco-av-pair के माध्यम से एक विशिष्ट PSK और Tunnel-Private-Group-ID के माध्यम से एक विशिष्ट VLAN ID असाइन करें। WLC WLAN को WPA2-PSK, MAC फ़िल्टरिंग सक्षम और AAA Override सक्रिय के साथ कॉन्फ़िगर करें। Broadcasters को PSK-A और VLAN 31 प्राप्त होता है, टिकटिंग को PSK-B और VLAN 32 प्राप्त होता है, और HVAC सेंसर को PSK-C और VLAN 33 प्राप्त होता है। peer-blocking को allow-private-group पर सेट करें ताकि एक ही ग्रुप के डिवाइस संवाद कर सकें (जैसे, टिकटिंग टर्मिनल अपने सर्वर से), जबकि क्रॉस-ग्रुप संचार ब्लॉक रहे। यह MAC Authentication Bypass से बचाता है, जिसे आसानी से स्पूफ किया जा सकता है।

Q3. एक कॉन्फ्रेंस सेंटर में Guest WiFi डिप्लॉयमेंट के दौरान, क्लाइंट SSID से कनेक्ट होते हैं और एक IP एड्रेस प्राप्त करते हैं, लेकिन कैप्टिव पोर्टल रीडायरेक्ट कभी नहीं होता है। वॉल्ड गार्डन ACL सभी Purple IP श्रेणियों के ट्रैफ़िक की अनुमति देता है। सबसे संभावित अनुपलब्ध कॉन्फ़िगरेशन तत्व क्या है, और आप इसे कैसे सत्यापित करते हैं?

संकेत: क्लाइंट डिवाइस द्वारा HTTP अनुरोध किए जाने से पहले आवश्यक प्रोटोकॉल के बारे में सोचें।

मॉडल उत्तर देखें

सबसे संभावित कारण यह है कि प्री-ऑथेंटिकेशन ACL, DNS ट्रैफ़िक (UDP पोर्ट 53) को ब्लॉक करता है। इससे पहले कि कोई क्लाइंट डिवाइस वह HTTP अनुरोध कर सके जिसे WLC रीडायरेक्ट को ट्रिगर करने के लिए रोकता है, उसे DNS के माध्यम से डोमेन नाम को हल करना होगा। आधुनिक OS कैप्टिव पोर्टल डिटेक्शन तंत्र (Apple का captive.apple.com, Microsoft का www.msftconnecttest.com , Google का connectivitycheck.gstatic.com) सभी को DNS रिज़ॉल्यूशन की आवश्यकता होती है। सत्यापित करने के लिए: WLC पर 'show wireless client detail ' चलाएं और पुष्टि करें कि क्लाइंट 'Webauth Pending' स्थिति में है। फिर यह देखने के लिए ACL हिट काउंटर्स की समीक्षा करें कि क्या DNS ट्रैफ़िक को अस्वीकार किया जा रहा है। वॉल्ड गार्डन ACL में वेन्यू के DNS सर्वर IPs के लिए UDP पोर्ट 53 के लिए एक स्पष्ट अनुमति नियम जोड़कर इसे ठीक करें।

इस श्रृंखला में आगे पढ़ें

Purple WiFi के साथ Grandstream GWN Access Points का एकीकरण

यह आधिकारिक तकनीकी संदर्भ गाइड विस्तार से बताती है कि Grandstream GWN access points को Purple के Guest WiFi और एनालिटिक्स प्लेटफॉर्म के साथ कैसे एकीकृत किया जाए। यह Grandstream कैप्टिव पोर्टल कॉन्फ़िगरेशन, RADIUS AAA सेटिंग्स, walled garden सेटअप, डायनेमिक VLAN स्टीयरिंग के साथ सुरक्षित स्टाफ 802.1X प्रमाणीकरण, और मल्टी-टेनेंट PPSK विभाजन को कवर करता है - जो बड़े पैमाने पर अतिथि और स्टाफ WiFi तैनात करने वाले MSPs और आईटी टीमों के लिए व्यावहारिक, चरण-दर-चरण मार्गदर्शन प्रदान करता है।

गाइड पढ़ें →

Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर एकीकरण

यह गाइड Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर को तैनात करने के लिए संपूर्ण एकीकरण प्लेबुक प्रदान करती है। इसमें CoovaChilli कैप्टिव पोर्टल कॉन्फ़िगरेशन, iptables वॉल्ड गार्डन प्रबंधन, hostapd के साथ 802.1X सुरक्षित स्टाफ WiFi, और डायनेमिक VLAN असाइनमेंट के साथ मल्टी-टेनेंट PPSK सेगमेंटेशन शामिल है - जो IT टीमों को किसी भी OpenWrt-सक्षम हार्डवेयर पर पहचान-आधारित नेटवर्क बनाने के लिए आवश्यक सटीक कॉन्फ़िगरेशन चरण प्रदान करता है।

गाइड पढ़ें →

Purple WiFi के साथ Huawei AirEngine और CloudCampus एकीकरण

यह गाइड Huawei AirEngine एक्सेस पॉइंट्स और iMaster NCE-Campus को Purple WiFi के साथ एकीकृत करने के लिए चरण-दर-चरण निर्देश प्रदान करती है। इसमें एंटरप्राइज नेटवर्क के लिए कैप्टिव पोर्टल कॉन्फ़िगरेशन, 802.1X स्टाफ प्रमाणीकरण और PPSK डायनेमिक VLAN स्टीयरिंग शामिल है।

गाइड पढ़ें →