Purple WiFi के साथ DrayTek Vigor Routers और Access Points का एकीकरण
यह गाइड हॉस्पिटैलिटी, रिटेल और मल्टी-टेनेंट स्थानों में Purple को तैनात करने वाले IT इंस्टॉलरों और SMB नेटवर्क प्रशासकों के लिए DrayTek Vigor routers और VigorAP access points को Purple के क्लाउड प्लेटफॉर्म के साथ एकीकृत करने के लिए चरण-दर-चरण तकनीकी निर्देश प्रदान करती है। इसमें Guest WiFi के लिए DrayTek कैप्टिव पोर्टल कॉन्फ़िगरेशन, सुरक्षित Staff WiFi के लिए 802.1X प्रमाणीकरण, Walled Garden सेटअप, और डायनेमिक VLAN असाइनमेंट के साथ Multi-Tenant नेटवर्क विभाजन के लिए DrayTek Multiple PSK (PPSK) कॉन्फ़िगरेशन शामिल है।
इस गाइड को सुनें
पॉडकास्ट ट्रांसक्रिप्ट देखें
कार्यकारी सारांश
DrayTek Vigor routers और VigorAP access points यूके और यूरोप में हजारों SMB, रिटेल और हॉस्पिटैलिटी साइटों पर तैनात हैं। जब Purple के क्लाउड ओवरले के साथ एकीकृत किया जाता है, तो यह हार्डवेयर एक पहचान-आधारित नेटवर्क (Identity-Based Network) की नींव बन जाता है - जो एक ही प्लेटफॉर्म से फर्स्ट-पार्टी डेटा कैप्चर करता है, आंतरिक संसाधनों को सुरक्षित करता है, और मल्टी-टेनेंट ट्रैफ़िक को विभाजित करता है।
यह गाइड चार परिनियोजन (deployment) परिदृश्यों को कवर करती है: ब्रांडेड स्प्लैश पेज और RADIUS प्रमाणीकरण के साथ Guest WiFi , IEEE 802.1X Enterprise का उपयोग करके सुरक्षित Staff WiFi, प्री-ऑथेंटिकेशन ट्रैफ़िक की अनुमति देने के लिए Walled Garden कॉन्फ़िगरेशन, और डायनेमिक VLAN असाइनमेंट के साथ DrayTek की WPA2-PPSK सुविधा का उपयोग करके Multi-Tenant WiFi। Purple 99.999% अपटाइम के साथ 80,000+ लाइव स्थानों पर काम करता है और इसके पास ISO 27001, GDPR, और Cyber Essentials प्रमाणपत्र हैं - इसलिए आपके स्थान को जिन सुरक्षा और अनुपालन आवश्यकताओं का सामना करना पड़ता है, वे पहले से ही इस प्लेटफॉर्म में शामिल हैं।
समर्थित DrayTek मॉडल में Vigor 2862, 2865, 2866, 2926, 2927, 2952, 2962, 3220, और 3910 सीरीज़ शामिल हैं। Central AP Management (APM) के माध्यम से प्रबंधित सभी VigorAP access points इस एकीकरण के साथ संगत हैं।
तकनीकी गहन विश्लेषण
एकीकरण कैसे काम करता है
DrayTek और Purple एकीकरण मिलकर काम करने वाले दो तंत्रों पर निर्भर करता है: बाहरी कैप्टिव पोर्टल रीडायरेक्शन और RADIUS (रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस) प्रमाणीकरण। Purple केंद्रीकृत पहचान प्रदाता और पॉलिसी इंजन के रूप में कार्य करता है। DrayTek Vigor router नेटवर्क एक्सेस सर्वर (NAS) के रूप में कार्य करता है, जो Purple के RADIUS सर्वर द्वारा लौटाए गए एक्सेस निर्णयों को लागू करता है।
जब कोई गेस्ट WiFi SSID से कनेक्ट होता है, तो DrayTek router डिवाइस को प्री-ऑथेंटिकेशन स्थिति में रखता है। यह डिवाइस के HTTP ट्रैफ़िक को रोकता है और इसे DrayOS में Hotspot Web Portal सुविधा के माध्यम से Purple के क्लाउड-होस्टेड स्प्लैश पेज पर रीडायरेक्ट करता है। उपयोगकर्ता Purple के प्लेटफॉर्म पर लॉगिन प्रक्रिया को पूरा करता है - सोशल लॉगिन, ईमेल, SMS, या Microsoft Entra ID, Okta, या Google Workspace जैसे प्रबंधित पहचान प्रदाता का उपयोग करके। इसके बाद Purple का RADIUS सर्वर DrayTek router को एक Access-Accept संदेश लौटाता, जो इंटरनेट एक्सेस प्रदान करता है और पोर्ट 1813 पर RADIUS अकाउंटिंग शुरू करता है।
Guest WiFi और DrayTek कैप्टिव पोर्टल
DrayTek Hotspot Web Portal गेस्ट प्रमाणीकरण के लिए मुख्य तंत्र है। DrayOS में, आप एक Hotspot Profile कॉन्फ़िगर करते हैं जो पोर्टल विधि, प्रमाणीकरण सर्वर, सत्र सीमा और लैंडिंग पेज को परिभाषित करती है। पोर्टल विधि को External Server पर सेट करने से DrayOS को स्थानीय रूप से होस्ट किए गए पेज को दिखाने के बजाय अनऑथेंटिकेटेड क्लाइंट्स को एक बाहरी URL - इस मामले में, आपके Purple एक्सेस URL - पर रीडायरेक्ट करने का निर्देश मिलता है।
Hotspot Profile के भीतर RADIUS कॉन्फ़िगरेशन प्रमाणीकरण के लिए पोर्ट 1812 पर और अकाउंटिंग के लिए पोर्ट 1813 पर Purple के RADIUS सर्वर IP की ओर इशारा करता है। साझा रहस्य (shared secret) बिल्कुल वैसा ही होना चाहिए जैसा आपके Purple वेन्यू डैशबोर्ड में प्रदर्शित होता है। यहाँ बेमेल होना प्रमाणीकरण विफलताओं का सबसे आम कारण है।
सत्र प्रबंधन को Expired Time After Activation सेटिंग द्वारा नियंत्रित किया जाता है। अधिकांश हॉस्पिटैलिटी और रिटेल परिनियोजन के लिए, छह घंटे एक व्यावहारिक डिफ़ॉल्ट है। दोनों प्रणालियों में लगातार व्यवहार सुनिश्चित करने के लिए आप इसे अपने Purple सत्र टाइमआउट के साथ संरेखित कर सकते हैं।
Walled Garden कॉन्फ़िगरेशन
गेस्ट के प्रमाणित होने से पहले, उनके डिवाइस के पास कोई इंटरनेट एक्सेस नहीं होता है। हालाँकि, स्प्लैश पेज लोड करने के लिए डिवाइस का Purple के सर्वर तक पहुँचना आवश्यक है। Walled Garden - जिसे DrayTek Hotspot Profile में Dest Domain टैब के माध्यम से कॉन्फ़िगर किया जाता है - यह परिभाषित करता है कि प्रमाणीकरण से पहले कौन से डोमेन सुलभ हैं।
आपको इस सूची में Purple के प्रमाणीकरण डोमेन जोड़ने होंगे, प्रति इंडेक्स एक। यदि आप सोशल लॉगिन प्रदाताओं (जैसे Google या Facebook) या Microsoft Entra ID जैसे प्रबंधित पहचान प्रदाता का उपयोग कर रहे हैं, तो उनके डोमेन भी शामिल होने चाहिए। Walled Garden को सही ढंग से कॉन्फ़िगर न करना सबसे आम कारण है जिससे DrayTek कैप्टिव पोर्टल स्प्लैश पेज प्रदर्शित करने में विफल रहता है। Purple के सहायता दस्तावेज़ प्रत्येक लॉगिन विधि के लिए आवश्यक डोमेन की वर्तमान सूची प्रदान करते हैं।
802.1X का उपयोग करके सुरक्षित Staff WiFi
आंतरिक कर्मचारियों के लिए, कैप्टिव पोर्टल गलत उपकरण है। साझा WPA2 पासवर्ड एक सुरक्षा जोखिम हैं: जब कोई कर्मचारी नौकरी छोड़ता है, तो आपको हर डिवाइस पर पासवर्ड अपडेट करना होगा। IEEE 802.1X Enterprise प्रमाणीकरण इस समस्या को पूरी तरह से समाप्त कर देता है।
DrayOS में, Wireless LAN > Security पर जाएं और अपने स्टाफ SSID के लिए WPA2/802.1X चुनें। RADIUS Server लिंक पर क्लिक करें और Purple का सर्वर IP, पोर्ट और साझा रहस्य (shared secret) दर्ज करें। स्टाफ डिवाइस आंतरिक विधि के रूप में MS-CHAPv2 के साथ PEAP (प्रोटेक्टेड एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल) का उपयोग करके प्रमाणित होते हैं। यह एंटरप्राइज़ वायरलेस नेटवर्क से कनेक्ट होने वाले Windows, macOS, iOS, और Android डिवाइस के लिए आवश्यक कॉन्फ़िगरेशन है।
Purple पहचान स्तर पर एक्सेस को रद्द करता है। जब कोई कर्मचारी छोड़ता है, तो आप अपने पहचान प्रदाता (Microsoft Entra ID, Okta, या Google Workspace) में उनके खाते को निष्क्रिय कर देते हैं। Purple का RADIUS सर्वर तुरंत उस खाते से प्रमाणीकरण अनुरोधों को स्वीकार करना बंद कर देता है। पूरे स्थान पर कोई पासवर्ड बदलने की आवश्यकता नहीं है।
एंटरप्राइज़ वायरलेस सुरक्षा आर्किटेक्चर के बारे में अधिक जानकारी के लिए, हमारी Enterprise WiFi Security: A Complete Guide for 2026 देखें।
DrayTek Multiple PSKs के साथ Multi-Tenant नेटवर्क विभाजन
मल्टी-टेनेंट वातावरण - लीज्ड रेस्तरां या रिटेल स्पेस वाले होटल, कोवर्किंग स्पेस, छात्र आवास (PBSA), और BTR विकास - को किरायेदारों के बीच सख्त नेटवर्क अलगाव की आवश्यकता होती है। एक रियायती इकाई (concession unit) में खरीदारी करने वाले को होटल के आंतरिक नेटवर्क तक पहुँचने में सक्षम नहीं होना चाहिए, और दो रिटेल किरायेदारों को एक-दूसरे के ट्रैफ़िक को देखने में सक्षम नहीं होना चाहिए।
DrayTek इसे दो पूरक सुविधाओं के साथ संबोधित करता है: VLAN टैगिंग और WPA2-PPSK (प्राइवेट प्री-शेयर्ड की)।
Vigor router पर VLAN configuration प्रत्येक किरायेदार को एक अलग तार्किक नेटवर्क पर असाइन करता है। LAN > VLAN पर जाएं, VLAN Configuration सक्षम करें, और प्रत्येक किरायेदार खंड को एक अद्वितीय VLAN ID असाइन करें। VigorAPs से कनेक्ट होने वाले सभी LAN पोर्ट सभी प्रासंगिक VLANs के सदस्य होने चाहिए, जो प्रभावी रूप से 802.1Q ट्रंक पोर्ट के रूप में काम करते हैं। LAN > General Setup में Inter-LAN Routing Table यह नियंत्रित करती है कि क्या ट्रैफ़िक VLANs के बीच जा सकता है - किरायेदार अलगाव के लिए, इसे अक्षम किया जाना चाहिए।
VigorAP पर WPA2-PPSK प्रत्येक किरायेदार को एक अद्वितीय पासफ़्रेज़ असाइन करता है। एक्सेस पॉइंट इस पासफ़्रेज़ को डिवाइस के MAC पते से बांधता है। जब कोई डिवाइस कनेक्ट होता है, तो AP उपयोग किए गए पासफ़्रेज़ की पहचान करता है और संबंधित VLAN ID के साथ ट्रैफ़िक को टैग करता है। यह एक ही SSID को एक साथ कई अलग-अलग किरायेदार नेटवर्क की सेवा करने की अनुमति देता है, जिससे वायरलेस ओवरहेड कम होता है और अंतिम-उपयोगकर्ता अनुभव सरल होता है।
RADIUS के माध्यम से डायनेमिक VLAN असाइनमेंट
उन परिनियोजनों के लिए जहाँ VLAN असाइनमेंट एक स्थिर पासफ़्रेज़ के बजाय उपयोगकर्ता की पहचान से संचालित होना चाहिए, Purple का RADIUS सर्वर डायनेमिक VLAN स्टीयरिंग का समर्थन करता है। जब कोई उपयोगकर्ता प्रमाणित होता है, तो Purple Access-Accept संदेश में तीन RADIUS विशेषताएँ लौटाता है:
| RADIUS विशेषता | मान |
|---|---|
| Tunnel-Type | VLAN (13) |
| Tunnel-Medium-Type | IEEE-802 (6) |
| Tunnel-Private-Group-ID | VLAN ID (जैसे, "20") |
DrayTek router इन विशेषताओं को पढ़ता है और प्रमाणित क्लाइंट को निर्दिष्ट VLAN में असाइन करता है, चाहे वे किसी भी SSID से कनेक्टेड हों। यह पहचान-आधारित नेटवर्किंग (Identity-Based Networking) है: नेटवर्क खंड इस बात से निर्धारित होता है कि उपयोगकर्ता कौन है, न कि इस बात से कि उन्होंने कौन सा पासवर्ड टाइप किया है।
कार्यान्वयन गाइड
परिनियोजन-पूर्व चेकलिस्ट
शुरू करने से पहले, निम्नलिखित की पुष्टि करें:
| आइटम | आवश्यकता |
|---|---|
| DrayTek फर्मवेयर | नवीनतम स्थिर DrayOS रिलीज़ |
| Purple वेन्यू | Purple डैशबोर्ड में बनाया गया और सक्रिय |
| RADIUS क्रेडेंशियल | Purple से प्राप्त एक्सेस URL, RADIUS सर्वर IP, साझा रहस्य (shared secret), NAS पहचानकर्ता |
| VLAN योजना | Guest, Staff और प्रत्येक किरायेदार के लिए प्रलेखित VLAN IDs |
| VigorAP बैकहॉल | सभी एक्सेस पॉइंट्स के लिए वायर्ड ईथरनेट की पुष्टि की गई |
चरण 1: DrayTek router पर RADIUS कॉन्फ़िगर करें
DrayOS वेब इंटरफ़ेस में Applications > RADIUS/TACACS+ पर जाएं। External RADIUS टैब पर, प्रोफ़ाइल सक्षम करें और Purple का RADIUS सर्वर IP पता, पोर्ट (1812), और साझा रहस्य (shared secret) दर्ज करें। सहेजने के लिए OK पर क्लिक करें। इस बदलाव को लागू करने के लिए router को रीबूट करने की आवश्यकता होती है - इस चरण को न छोड़ें।
चरण 2: Hotspot Web Portal प्रोफ़ाइल बनाएं
Hotspot Web Portal > Profile Setup पर जाएं और एक उपलब्ध इंडेक्स चुनें। प्रोफ़ाइल को निम्नानुसार कॉन्फ़िगर करें:
| सेटिंग | मान |
|---|---|
| इस प्रोफ़ाइल को सक्षम करें | हाँ |
| पोर्टल विधि | External Server |
| कैप्टिव पोर्टल URL | आपका Purple एक्सेस URL |
| रीडायरेक्शन URL | http://portal.draytek.com |
| प्रमाणीकरण विधि | External RADIUS Server |
| सर्वर IP पता | Purple RADIUS सर्वर IP |
| गंतव्य पोर्ट | 1812 |
| साझा रहस्य | आपका Purple साझा रहस्य |
| अकाउंटिंग सक्षम करें | हाँ |
| अकाउंटिंग पोर्ट | 1813 |
| MAC पता प्रारूप | AA-BB-CC-DD-EE-FF |
सहेजने के लिए OK पर क्लिक करें।
चरण 3: Walled Garden कॉन्फ़िगर करें
Save and Next पर क्लिक करके Dest Domain टैब पर आगे बढ़ें। प्रत्येक आवश्यक Purple डोमेन जोड़ें, प्रति इंडेक्स एक। वर्तमान सूची के लिए सहायता दस्तावेज़ में Purple की Walled Garden डोमेन व्हाइटलिस्ट देखें। जारी रखने के लिए Save and Next पर क्लिक करें।
चरण 4: सत्र और लैंडिंग पेज सेटिंग्स कॉन्फ़िगर करें
अंतिम कॉन्फ़िगरेशन स्क्रीन पर, सेट करें:
| सेटिंग | मान |
|---|---|
| सक्रियण के बाद समाप्त होने का समय | 0 दिन, 6 घंटे, 0 मिनट (या आपकी पसंदीदा अवधि) |
| HTTPS रीडायरेक्शन | नहीं |
| कैप्टिव पोर्टल डिटेक्शन | हाँ |
| प्रमाणीकरण के बाद लैंडिंग पेज | आपका Purple रीडायरेक्ट URL |
| लागू इंटरफेस | Guest WiFi SSID(s) चुनें |
सहेजने के लिए Finish पर क्लिक करें। परीक्षण करने से पहले router को रीबूट करें।
चरण 5: नेटवर्क विभाजन के लिए VLANs कॉन्फ़िगर करें
LAN > VLAN पर जाएं और VLAN Configuration सक्षम करें। प्रत्येक नेटवर्क खंड के लिए एक VLAN प्रविष्टि बनाएं। VigorAPs से कनेक्ट होने वाले सभी LAN पोर्ट को सभी प्रासंगिक VLANs के सदस्यों के रूप में असाइन करें (ट्रंक कॉन्फ़िगरेशन)। LAN > General Setup पर जाएं और आवश्यकतानुसार क्रॉस-VLAN एक्सेस को ब्लॉक करने के लिए Inter-LAN Routing Table का उपयोग करें।
चरण 6: Staff WiFi के लिए 802.1X कॉन्फ़िगर करें
Wireless LAN > Security पर जाएं और स्टाफ SSID चुनें। सुरक्षा मोड को WPA2/802.1X पर सेट करें। RADIUS Server लिंक पर क्लिक करें और Purple का सर्वर IP, पोर्ट 1812, और साझा रहस्य दर्ज करें। कॉन्फ़िगरेशन सहेजें।
चरण 7: मल्टी-टेनेंट अलगाव के लिए PPSK कॉन्फ़िगर करें
प्रत्येक VigorAP पर, Wireless LAN > Security Settings पर जाएं और WPA2PPSK चुनें। प्रविष्टियाँ जोड़ने के लिए PPSK बटन पर क्लिक करें। प्रत्येक किरायेदार के लिए, किरायेदार के डिवाइस MAC पते और एक अद्वितीय पासफ़्रेज़ के साथ एक PPSK प्रविष्टि बनाएं। सुनिश्चित करें कि पासफ़्रेज़ आपके router कॉन्फ़िगरेशन में सही VLAN से संबद्ध है। ध्यान दें कि VigorAPs पर 2.4GHz और 5GHz के लिए PPSK प्रोफाइल अलग से प्रबंधित किए जाते हैं।
सर्वोत्तम प्रथाएं
निम्नलिखित सिफारिशें 80,000+ से अधिक स्थानों पर Purple के परिनियोजन अनुभव को दर्शाती हैं, जिसमें हॉस्पिटैलिटी , रिटेल , हेल्थकेयर , और परिवहन वातावरण शामिल हैं।
सभी VigorAPs के लिए वायर्ड बैकहॉल का उपयोग करें। वायरलेस डिस्ट्रीब्यूशन सिस्टम (WDS) और यूनिवर्सल रिपीटर मोड 802.1Q VLAN टैग पास नहीं कर सकते हैं। यदि आपको नेटवर्क विभाजन की आवश्यकता है - और किसी भी मल्टी-टेनेंट या मिश्रित-उपयोग वाले स्थान में आपको इसकी आवश्यकता होती है - तो प्रत्येक एक्सेस पॉइंट को ईथरनेट के माध्यम से router या प्रबंधित स्विच से कनेक्ट होना चाहिए।
AP-Assisted Mobility सक्षम करें। जब कोई क्लाइंट एक्सेस पॉइंट्स के बीच रोम करता है, तो 802.1X री-ऑथेंटिकेशन को तेज करने के लिए DrayTek VigorAPs प्री-ऑथेंटिकेशन और PMK कैशिंग का समर्थन करते हैं। कमजोर सिग्नल शक्ति वाले क्लाइंट्स को सक्रिय रूप से डिस्कनेक्ट करने के लिए AP-Assisted Mobility सक्षम करें, जिससे वे निकटतम AP से कनेक्ट होने के लिए मजबूर हों। यह विशेष रूप से रिटेल वातावरण में महत्वपूर्ण है जहां खरीदार लगातार पूरे स्थान में घूमते रहते हैं।
परिनियोजन से पहले अपनी VLAN योजना की योजना बनाएं। परिनियोजन के बाद VLAN IDs को बदलने के लिए router, सभी एक्सेस पॉइंट्स और पथ में किसी भी प्रबंधित स्विच को फिर से कॉन्फ़िगर करने की आवश्यकता होती है। हार्डवेयर को छूने से पहले अपनी योजना का दस्तावेजीकरण करें - Guest के लिए VLAN 10, Staff के लिए VLAN 20, किरायेदारों के लिए VLAN 30+।
DrayTek और Purple के बीच सत्र टाइमआउट को संरेखित करें। यदि DrayTek Hotspot प्रोफ़ाइल छह घंटे के बाद सत्र समाप्त करती है लेकिन Purple का सत्र 24 घंटे पर सेट है, तो उपयोगकर्ताओं को सत्र के बीच में ही स्प्लैश पेज पर रीडायरेक्ट कर दिया जाएगा। दोनों को एक ही मान पर सेट करें।
PPSK परिनियोजन के लिए MAC रैंडमाइजेशन को अक्षम करें। iOS और macOS डिवाइस डिफ़ॉल्ट रूप से निजी WiFi पते (रैंडमाइज्ड MACs) का उपयोग करते हैं। चूंकि DrayTek PPSK एक पासफ़्रेज़ को एक विशिष्ट MAC पते से बांधता है, इसलिए रैंडमाइजेशन के कारण प्रमाणीकरण विफल हो जाएगा। उपयोगकर्ताओं को अपने नेटवर्क के लिए इस सेटिंग को अक्षम करने का निर्देश दें, या अपने ऑनबोर्डिंग प्रवाह में इस प्रक्रिया का स्पष्ट रूप से दस्तावेजीकरण करें।
VigorAPs पर Band Steering का उपयोग करें। डुअल-बैंड सक्षम उपकरणों को 5GHz बैंड पर निर्देशित करने के लिए Band Steering सक्षम करें। यह 2.4GHz बैंड पर भीड़भाड़ को कम करता है और सभी कनेक्टेड उपकरणों के लिए थ्रूपुट में सुधार करता है।
एंटरप्राइज़ वायरलेस सुरक्षा आर्किटेक्चर के व्यापक दृष्टिकोण के लिए, Enterprise WiFi Security: A Complete Guide for 2026 पर हमारी गाइड देखें। यदि आप विभिन्न हार्डवेयर विक्रेताओं के साथ कई साइटों पर परिनियोजन कर रहे हैं, तो हमारी SonicWall TZ and SonicWave Integration with Purple WiFi गाइड एक यांत्रिक एकीकरण पैटर्न को कवर करती है।
समस्या निवारण और जोखिम न्यूनीकरण
स्प्लैश पेज लोड होने में विफल रहता है। सबसे आम कारण एक अधूरा Walled Garden है। सत्यापित करें कि सभी आवश्यक Purple डोमेन Dest Domain टैब में सूचीबद्ध हैं। यह भी पुष्टि करें कि गेस्ट DHCP पूल सक्रिय है और प्री-ऑथेंटिकेटेड क्लाइंट्स के लिए DNS रिज़ॉल्यूशन काम कर रहा है। एक डिवाइस को कनेक्ट करके और एक ज्ञात HTTP URL पर ब्राउज़ करने का प्रयास करके परीक्षण करें।
RADIUS प्रमाणीकरण विफल रहता है। टाइपिंग की गलतियों के लिए साझा रहस्य (shared secret) की जाँच करें - यह केस-सेंसिटिव है। पुष्टि करें कि DrayTek router के पास इंटरनेट का मार्ग है और वह पोर्ट 1812 और 1813 पर आउटबाउंड UDP ट्रैफ़िक को ब्लॉक नहीं कर रहा है। सत्यापित करें कि आपने RADIUS कॉन्फ़िगरेशन लागू करने के बाद router को रीबूट किया है। यह पहचानने के लिए कि क्या अनुरोध Purple के सर्वर तक पहुँच रहा है, प्रमाणीकरण लॉग के लिए Purple डैशबोर्ड की जाँच करें।
क्लाइंट्स गलत VLAN में असाइन किए गए। DrayTek router और VigorAPs के बीच ट्रंक पोर्ट कॉन्फ़िगरेशन को सत्यापित करें। स्विच पोर्ट को विशिष्ट VLAN टैग की अनुमति देनी चाहिए। यदि आप एक अप्रबंधित स्विच का उपयोग कर रहे हैं, तो पुष्टि करें कि यह टैग को हटाए बिना 802.1Q टैग किए गए फ्रेम को पास करता है। सही पासफ़्रेज़-टू-VLAN मैपिंग की पुष्टि करने के लिए PPSK प्रोफ़ाइल की जाँच करें।
स्टिकी क्लाइंट्स रोमिंग नहीं कर रहे हैं। यदि डिवाइस उम्मीद के मुताबिक VigorAPs के बीच रोमिंग नहीं कर रहे हैं, तो सत्यापित करें कि AP-Assisted Mobility सक्षम है और RSSI थ्रेशोल्ड आपके स्थान के लिए उचित रूप से सेट है। यह भी पुष्टि करें कि सभी VigorAPs एक ही फर्मवेयर संस्करण चला रहे हैं, क्योंकि विसंगतियां रोमिंग व्यवहार को प्रभावित कर सकती हैं।
iOS डिवाइस PPSK प्रमाणीकरण में विफल हो रहे हैं। पुष्टि करें कि उपयोगकर्ता ने Settings > WiFi > [Network Name] > Private WiFi Address में आपके विशिष्ट नेटवर्क के लिए निजी WiFi पता (Private WiFi Address) अक्षम कर दिया है। PPSK प्रोफ़ाइल में डिवाइस का वास्तविक हार्डवेयर MAC पता होना चाहिए।
ROI और व्यावसायिक प्रभाव
Purple के साथ DrayTek हार्डवेयर को तैनात करना तीन क्षेत्रों में मापने योग्य रिटर्न प्रदान करता है: परिचालन दक्षता, डेटा कैप्चर, और अनुपालन।
परिचालन दक्षता। 802.1X प्रमाणीकरण साझा WiFi पासवर्ड प्रबंधित करने के ओवरहेड को समाप्त करता है। जब स्टाफ का कोई सदस्य छोड़ता है, तो आप Microsoft Entra ID, Okta, या Google Workspace में उनके खाते को अक्षम कर देते हैं। Purple का RADIUS सर्वर तुरंत उनके क्रेडेंशियल स्वीकार करना बंद कर देता है। पूरे स्थान पर पासवर्ड बदलने की कोई आवश्यकता नहीं है। 50-साइट वाली रिटेल श्रृंखला के लिए, यह अकेले प्रति वर्ष सैकड़ों घंटे के IT ओवरहेड को समाप्त करता है।
डेटा कैप्चर और मार्केटिंग ROI। Purple कैप्टिव पोर्टल के माध्यम से कनेक्ट होने वाला प्रत्येक गेस्ट एक सत्यापित पहचान प्रदान करता है - ईमेल पता, फोन नंबर, या सोशल प्रोफाइल। यह फर्स्ट-पार्टी डेटा सीधे Purple के WiFi Analytics प्लेटफॉर्म में जाता है, जहां आप ड्वेल टाइम (dwell time), दोबारा आने की दर और अभियान जुड़ाव को ट्रैक कर सकते हैं। Purple ने अपने नेटवर्क पर 29 बिलियन डेटा पॉइंट एकत्र किए हैं। Purple के Engage प्लान का उपयोग करने वाले स्थान लक्षित पोस्ट-विज़िट संचार के माध्यम से दोबारा आने की दरों में मापने योग्य वृद्धि की रिपोर्ट करते हैं।
अनुपालन। Purple ISO 27001 प्रमाणित, GDPR और CCPA अनुपालन, और Cyber Essentials प्रमाणित है। कैप्टिव पोर्टल सचेत-विकल्प ऑप्ट-इन लागू करता, यह सुनिश्चित करते हुए कि डेटा संग्रह GDPR आवश्यकताओं को पूरा करता है। VLAN विभाजन भुगतान कार्ड वातावरण को गेस्ट ट्रैफ़िक से अलग करता है, जो PCI DSS अनुपालन का समर्थन करता है। स्वास्थ्य सेवा स्थानों के लिए, रोगी और आगंतुक नेटवर्क अलगाव डेटा हैंडलिंग पर NHS और ICO मार्गदर्शन को पूरा करता है।
स्थान के वातावरण में Purple एनालिटिक्स-आधारित निर्णय लेने को कैसे संचालित करता है, इसके विस्तृत दृष्टिकोण के लिए, हमारा WiFi Analytics प्लेटफॉर्म अवलोकन देखें।
मुख्य परिभाषाएं
कैप्टिव पोर्टल
एक वेब पेज जो उपयोगकर्ता के HTTP ट्रैफ़िक को रोकता है और नेटवर्क एक्सेस प्रदान करने से पहले इंटरैक्शन - लॉगिन, शर्तों की स्वीकृति, या डेटा सबमिशन - की आवश्यकता होती है।
DrayTek Hotspot Web Portal पर फर्स्ट-पार्टी गेस्ट डेटा कैप्चर करने के लिए Purple द्वारा उपयोग किया जाने वाला तंत्र। DrayOS में External Server पोर्टल विधि के माध्यम से कॉन्फ़िगर किया गया।
RADIUS
रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस। एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क एक्सेस के लिए केंद्रीकृत प्रमाणीकरण, प्राधिकरण और अकाउंटिंग (AAA) प्रदान करता है।
DrayTek router UDP पोर्ट 1812 पर Purple के RADIUS सर्वर को प्रमाणीकरण अनुरोध और पोर्ट 1813 पर अकाउंटिंग डेटा भेजता है। साझा रहस्य दोनों पक्षों में मेल खाना चाहिए।
802.1X
पोर्ट-आधारित नेटवर्क एक्सेस नियंत्रण के लिए एक IEEE मानक। नेटवर्क एक्सेस दिए जाने से पहले उपकरणों को RADIUS सर्वर के साथ प्रमाणित करने की आवश्यकता होती है।
DrayTek हार्डवेयर पर Staff WiFi के लिए उपयोग किया जाता है। साझा पासवर्ड को समाप्त करता है और पहचान प्रदाता के माध्यम से प्रति-उपयोगकर्ता एक्सेस रद्दीकरण सक्षम करता है।
VLAN
वर्चुअल लोकल एरिया नेटवर्क। एक तार्किक नेटवर्क खंड जो लेयर 2 पर ट्रैफ़िक को अलग करता है, भले ही डिवाइस एक ही भौतिक बुनियादी ढांचे को साझा करते हों।
Guest, Staff और किरायेदार ट्रैफ़िक को अलग करने के लिए DrayTek Vigor routers पर उपयोग किया जाता है। router और VigorAPs के बीच 802.1Q ट्रंक पोर्ट की आवश्यकता होती है।
Walled Garden
डोमेन या IP श्रेणियों का एक सेट जिसे अनऑथेंटिकेटेड उपयोगकर्ता कैप्टिव पोर्टल प्रवाह को पूरा करने से पहले एक्सेस कर सकते हैं।
DrayTek Hotspot Profile के Dest Domain टैब में कॉन्फ़िगर किया गया। इसमें Purple के प्रमाणीकरण सर्वर और लॉगिन के लिए उपयोग किए जाने वाले कोई भी पहचान प्रदाता डोमेन शामिल होने चाहिए।
PPSK
प्राइवेट प्री-शेयर्ड की। एक सुरक्षा विधि जहां प्रत्येक उपयोगकर्ता या डिवाइस को एक ही नेटवर्क पासवर्ड साझा करने के बजाय एक अद्वितीय पासफ़्रेज़ असाइन किया जाता है।
मल्टी-टेनेंट उपकरणों को विशिष्ट VLANs में असाइन करने के लिए DrayTek VigorAPs पर उपयोग किया जाता है। पासफ़्रेज़ डिवाइस के MAC पते से बंधा होता है।
AP-Assisted Mobility
एक DrayTek VigorAP सुविधा जो क्लाइंट सिग्नल शक्ति की निगरानी करती है और एक परिभाषित RSSI थ्रेशोल्ड से नीचे के क्लाइंट्स को सक्रिय रूप से डिस्कनेक्ट करती है, जिससे उन्हें करीब के एक्सेस पॉइंट पर रोम करने के लिए प्रेरित किया जाता है।
रिटेल और हॉस्पिटैलिटी परिनियोजन के लिए महत्वपूर्ण जहां उपयोगकर्ता स्थान के माध्यम से घूमते हैं। स्टिकी क्लाइंट व्यवहार को रोकता है जो कैप्टिव पोर्टल सत्रों को छोड़ने का कारण बनता है।
PEAP
प्रोटेक्टेड एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल। एक 802.1X EAP विधि जो प्रमाणीकरण एक्सचेंज को TLS टनल में समाहित करती है, जिससे पारगमन में क्रेडेंशियल्स की रक्षा होती है।
DrayTek हार्डवेयर पर Staff WiFi के लिए उपयोग की जाने वाली EAP विधि। Windows, macOS, iOS, और Android उपकरणों के लिए आंतरिक प्रमाणीकरण विधि के रूप में MS-CHAPv2 के साथ संयुक्त।
डायनेमिक VLAN असाइनमेंट
एक तंत्र जहां RADIUS सर्वर Access-Accept संदेश में VLAN विशेषताएँ लौटाता है, और नेटवर्क डिवाइस प्रमाणित क्लाइंट को स्वचालित रूप से निर्दिष्ट VLAN में असाइन करता है।
Purple का RADIUS सर्वर Tunnel-Type, Tunnel-Medium-Type, और Tunnel-Private-Group-ID विशेषताएँ लौटाता है। DrayTek router उपयोगकर्ता की पहचान के आधार पर VLAN असाइनमेंट लागू करता है।
हल किए गए उदाहरण
150 कमरों वाला एक बुटीक होटल छह VigorAP 903 access points के साथ DrayTek Vigor 2865 router तैनात कर रहा है। उन्हें डेटा कैप्चर के साथ ब्रांडेड Guest WiFi, 40 कर्मचारियों के लिए सुरक्षित Staff WiFi, और लीज पर दिए गए ग्राउंड-फ्लोर रेस्तरां के लिए एक अलग नेटवर्क प्रदान करने की आवश्यकता है। होटल के IT मैनेजर ने पहले कभी 802.1X कॉन्फ़िगर नहीं किया है।
IT मैनेजर Vigor 2865 पर तीन VLANs बनाता है: मेहमानों के लिए VLAN 10 (192.168.10.0/24), स्टाफ के लिए VLAN 20 (192.168.20.0/24), और रेस्तरां के लिए VLAN 30 (192.168.30.0/24)। तीनों खंडों के बीच इंटर-LAN रूटिंग अक्षम है। सभी छह VigorAP 903 इकाइयाँ ईथरनेट के माध्यम से जुड़ी हुई हैं और router पर Central AP Management के माध्यम से प्रबंधित की जाती हैं। तीन SSIDs प्रसारित किए जाते हैं: 'Hotel Guest' (VLAN 10, Hotspot Web Portal जो Purple की ओर इशारा करता है), 'Hotel Staff' (VLAN 20, WPA2/802.1X जो Purple RADIUS की ओर इशारा करता है), और 'Restaurant' (VLAN 30, रेस्तरां के POS उपकरणों के लिए विशिष्ट पासफ़्रेज़ के साथ WPA2-PPSK)। रेस्तरां की PPSK प्रविष्टि POS MAC पतों को VLAN 30 से बांधती है। IT मैनेजर होटल के Microsoft Entra ID टेनेंट को Purple के साथ पंजीकृत करता है, जिससे स्टाफ अपने मौजूदा कंपनी क्रेडेंशियल्स के साथ प्रमाणित हो सके। Walled Garden को सभी आवश्यक Purple डोमेन के साथ कॉन्फ़िगर किया गया है। router को रीबूट करने के बाद, IT मैनेजर प्रत्येक SSID का परीक्षण करता है और router की DHCP लीज तालिका के माध्यम से सही VLAN असाइनमेंट की पुष्टि करता है।
80 स्टोर वाली एक रिटेल श्रृंखला खराब कैप्टिव पोर्टल पूर्णता दरों का सामना कर रही है। एनालिटिक्स से पता चलता है कि Guest WiFi SSID से कनेक्ट होने वाले 40% खरीदार कभी भी स्प्लैश पेज तक नहीं पहुँच पाते हैं। श्रृंखला DrayTek Vigor 2865 routers और VigorAP 912C access points का उपयोग करती है। स्टोर के लेआउट बड़े हैं, फर्श के दोनों सिरों पर एक्सेस पॉइंट हैं।
नेटवर्क प्रशासक दो मूल कारणों की जांच करता है। पहला, वे DrayTek के केंद्रीय प्रबंधन प्लेटफॉर्म VigorACS 3 का उपयोग करके सभी 80 साइटों पर Walled Garden कॉन्फ़िगरेशन का ऑडिट करते हैं। वे पाते हैं कि 23 साइटों में आवश्यक Purple प्रमाणीकरण डोमेन में से दो गायब हैं, जिससे उन नेटवर्क पर खरीदारों के लिए स्प्लैश पेज टाइम आउट हो जाता है। वे VigorACS 3 के माध्यम से केंद्रीय रूप से Hotspot प्रोफाइल को अपडेट करते हैं। दूसरा, वे -75 dBm के RSSI थ्रेशोल्ड के साथ सभी VigorAPs पर AP-Assisted Mobility सक्षम करते हैं। यह खरीदारों के उपकरणों को स्टोर में घूमने पर निकटतम AP पर रोम करने के लिए मजबूर करता है, जिससे स्टिकी क्लाइंट की समस्या रुकती है जो प्रमाणीकरण के बीच में कैप्टिव पोर्टल सत्रों को छोड़ने का कारण बन रही थी। दोनों बदलावों के बाद, पूरे एस्टेट में पोर्टल पूर्णता दर 60% से बढ़कर 89% हो जाती है।
अभ्यास प्रश्न
Q1. आपने DrayTek Hotspot Web Portal को कॉन्फ़िगर किया है और इसे Purple एक्सेस URL की ओर निर्देशित किया है। RADIUS सेटिंग्स सही हैं। हालाँकि, जब क्लाइंट Guest WiFi SSID से कनेक्ट होते हैं, तो उनके ब्राउज़र कनेक्शन टाइमआउट की रिपोर्ट करते हैं और स्प्लैश पेज कभी लोड नहीं होता है। सबसे संभावित कारण क्या है, और इसका निदान करने का पहला चरण क्या है?
संकेत: प्री-ऑथेंटिकेशन स्थिति में क्लाइंट्स के पास अत्यधिक प्रतिबंधित नेटवर्क एक्सेस होता है। विचार करें कि प्रमाणीकरण पूरा होने से पहले router किस ट्रैफ़िक की अनुमति देता है।
मॉडल उत्तर देखें
सबसे संभावित कारण एक अधूरा या गायब Walled Garden कॉन्फ़िगरेशन है। DrayTek router अनऑथेंटिकेटेड क्लाइंट्स के सभी ट्रैफ़िक को ब्लॉक कर देता है, सिवाय उन डोमेन के जो Dest Domain टैब में स्पष्ट रूप से सूचीबद्ध हैं। यदि Purple के प्रमाणीकरण डोमेन सूचीबद्ध नहीं हैं, तो क्लाइंट का ब्राउज़र स्प्लैश पेज सर्वर तक नहीं पहुँच सकता है। पहला नैदानिक चरण Hotspot Profile पर जाना, Dest Domain टैब पर क्लिक करना और यह सत्यापित करना है कि सभी आवश्यक Purple डोमेन मौजूद हैं। सहायता दस्तावेज़ में Purple की Walled Garden डोमेन व्हाइटलिस्ट के साथ क्रॉस-रेफरेंस करें। एक माध्यमिक जाँच यह पुष्टि करना है कि प्री-ऑथेंटिकेटेड क्लाइंट्स के लिए DNS सही ढंग से रिज़ॉल्यूशन कर रहा है।
Q2. एक कोवर्किंग स्थान में 12 सदस्य कंपनियाँ एक ही DrayTek Vigor 2865 और चार VigorAP 912C access points साझा कर रही हैं। प्रत्येक कंपनी को दूसरों से अलग करने की आवश्यकता है, लेकिन स्थान प्रबंधक सदस्यों के उपकरणों पर WiFi सूची को अव्यवस्थित करने से बचने के लिए केवल एक SSID प्रसारित करना चाहता है। आप इसे कैसे डिज़ाइन करेंगे?
संकेत: विचार करें कि DrayTek एक ही SSID पर अद्वितीय पासफ़्रेज़ को कैसे संभालता है, और कंपनियों के बीच अलगाव लागू करने के लिए किस अतिरिक्त कॉन्फ़िगरेशन की आवश्यकता है।
मॉडल उत्तर देखें
एक ही SSID के साथ VigorAPs पर WPA2-PPSK कॉन्फ़िगर करें। Vigor 2865 पर 12 VLANs बनाएं, प्रति कंपनी एक। प्रत्येक कंपनी के लिए, एक PPSK प्रविष्टि बनाएं जो उस कंपनी के डिवाइस MAC पतों के साथ एक अद्वितीय पासफ़्रेज़ को बांधती है और उन्हें उनके समर्पित VLAN में असाइन करती है। क्रॉस-कंपनी ट्रैफ़िक को रोकने के लिए Inter-LAN Routing Table में इंटर-VLAN रूटिंग को अक्षम करें। प्रत्येक कंपनी के डिवाइस अपने अद्वितीय पासफ़्रेज़ का उपयोग करके एक ही SSID से कनेक्ट होते हैं, और VigorAP स्वचालित रूप से उन्हें उनके अलग VLAN में डाल देता है। कई उपकरणों वाली कंपनियों के लिए, प्रत्येक डिवाइस को अपने विशिष्ट MAC पते और साझा कंपनी पासफ़्रेज़ के साथ अपनी स्वयं की PPSK प्रविष्टि की आवश्यकता होती है।
Q3. DrayTek Vigor 2865 पर एक नियमित फर्मवेयर अपडेट के बाद, स्टाफ सदस्य रिपोर्ट करते हैं कि उनके लैपटॉप अब Staff WiFi SSID से कनेक्ट नहीं हो सकते हैं। SSID दिखाई दे रहा है, लेकिन प्रमाणीकरण विफल हो जाता है। Guest WiFi सामान्य रूप से काम करना जारी रखता है। तीन सबसे संभावित कारण क्या हैं, और आपको उनकी जांच किस क्रम में करनी चाहिए?
संकेत: Guest WiFi, Staff WiFi की तुलना में एक अलग प्रमाणीकरण तंत्र का उपयोग करता है। अलग करें कि 802.1X स्टैक की कौन सी लेयर टूट गई है।
मॉडल उत्तर देखें
तीन सबसे संभावित कारण हैं: (1) फर्मवेयर अपडेट ने WPA2/802.1X SSID के लिए RADIUS सर्वर कॉन्फ़िगरेशन को रीसेट कर दिया - Wireless LAN > Security पर जाएं, पुष्टि करें कि RADIUS सर्वर IP और साझा रहस्य अभी भी सही हैं, और यदि आप कोई बदलाव करते हैं तो रीबूट करें। (2) फर्मवेयर अपडेट ने EAP विधि या RADIUS पोर्ट सेटिंग्स को बदल दिया - सत्यापित करें कि पोर्ट 1812 अभी भी कॉन्फ़िगर है और router उस पोर्ट पर Purple के RADIUS सर्वर तक पहुँच सकता है। (3) फर्मवेयर अपडेट ने एक प्रमाणपत्र परिवर्तन पेश किया जो क्लाइंट उपकरणों पर EAP-TLS सत्यापन को विफल कर रहा है - यह देखने के लिए कि क्या अनुरोध सर्वर तक पहुँच रहे हैं, प्रमाणीकरण लॉग प्रविष्टियों के लिए Purple डैशबोर्ड की जाँच करें। इस क्रम में जाँच करें: पहले RADIUS कॉन्फ़िगरेशन (फर्मवेयर अपडेट के बाद सबसे आम), फिर RADIUS सर्वर से नेटवर्क कनेक्टिविटी, फिर प्रमाणपत्र या EAP विधि की समस्याएँ।
इस श्रृंखला में आगे पढ़ें
Purple WiFi के साथ Grandstream GWN Access Points का एकीकरण
यह आधिकारिक तकनीकी संदर्भ गाइड विस्तार से बताती है कि Grandstream GWN access points को Purple के Guest WiFi और एनालिटिक्स प्लेटफॉर्म के साथ कैसे एकीकृत किया जाए। यह Grandstream कैप्टिव पोर्टल कॉन्फ़िगरेशन, RADIUS AAA सेटिंग्स, walled garden सेटअप, डायनेमिक VLAN स्टीयरिंग के साथ सुरक्षित स्टाफ 802.1X प्रमाणीकरण, और मल्टी-टेनेंट PPSK विभाजन को कवर करता है - जो बड़े पैमाने पर अतिथि और स्टाफ WiFi तैनात करने वाले MSPs और आईटी टीमों के लिए व्यावहारिक, चरण-दर-चरण मार्गदर्शन प्रदान करता है।
Cisco WLC और Catalyst एकीकरण Purple WiFi के साथ: चरण-दर-चरण अतिथि एक्सेस गाइड
यह गाइड Purple के साथ Cisco WLC और Catalyst 9800 Wireless के चरण-दर-चरण एकीकरण का विवरण देती है, जिसमें Central Web Authentication के माध्यम से Guest WiFi कैप्टिव पोर्टल रीडायरेक्शन, 802.1X EAP-TLS का उपयोग करके सुरक्षित Staff WiFi, और डायनेमिक VLAN असाइनमेंट के साथ Cisco Identity Pre-Shared Keys (iPSK) का उपयोग करके मल्टी-टेनेंट सेगमेंटेशन शामिल है। यह उन एंटरप्राइज नेटवर्क आर्किटेक्ट्स और IT सुरक्षा निदेशकों के लिए लिखी गई है जो हॉस्पिटैलिटी, रिटेल और बड़े सार्वजनिक वेन्यू में Cisco इन्फ्रास्ट्रक्चर को डिप्लॉय कर रहे हैं।
Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर एकीकरण
यह गाइड Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर को तैनात करने के लिए संपूर्ण एकीकरण प्लेबुक प्रदान करती है। इसमें CoovaChilli कैप्टिव पोर्टल कॉन्फ़िगरेशन, iptables वॉल्ड गार्डन प्रबंधन, hostapd के साथ 802.1X सुरक्षित स्टाफ WiFi, और डायनेमिक VLAN असाइनमेंट के साथ मल्टी-टेनेंट PPSK सेगमेंटेशन शामिल है - जो IT टीमों को किसी भी OpenWrt-सक्षम हार्डवेयर पर पहचान-आधारित नेटवर्क बनाने के लिए आवश्यक सटीक कॉन्फ़िगरेशन चरण प्रदान करता है।