मुख्य सामग्री पर जाएं
हिन्दी

Purple WiFi के साथ Allied Telesis Access Points का एकीकरण

यह गाइड Allied Telesis TQ-Series एक्सेस पॉइंट्स को Purple WiFi के साथ एकीकृत करने के लिए एक व्यापक कॉन्फ़िगरेशन प्लेबुक प्रदान करती है। इसमें सुरक्षित मल्टी-टेनेंट परिनियोजन के लिए बाहरी कैप्टिव पोर्टल रीडायरेक्शन, 802.1X RADIUS प्रमाणीकरण, और Private Pre-Shared Keys (PPSK) का उपयोग करके डायनेमिक VLAN स्टीयरिंग शामिल है।

📖 5 मिनट का पाठ📝 1,067 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
आप एक निजी ब्रीफिंग में क्लाइंट के IT निदेशक से बात कर रहे एक वरिष्ठ नेटवर्क सलाहकार हैं। आत्मविश्वास से भरे, आधिकारिक, संवादात्मक लहजे में बात करें। मापी गई गति, स्पष्ट उच्चारण। कोई फालतू शब्द नहीं। जोर देने के लिए बीच-बीच में स्वाभाविक ठहराव: Allied Telesis TQ-Series एक्सेस पॉइंट्स को Purple WiFi के साथ एकीकृत करने पर इस तकनीकी ब्रीफिंग में आपका स्वागत है। मैं आपको गेस्ट कैप्टिव पोर्टल रीडायरेक्शन से लेकर मल्टी-टेनेंट PPSK अलगाव तक, पूरे परिनियोजन परिदृश्य के बारे में बताऊंगा। इसके अंत तक, आपके पास एक स्पष्ट कार्यान्वयन रोडमैप होगा। [medium pause] आइए संदर्भ से शुरू करें। Allied Telesis TQ-Series का उत्पादन करता है, जिसमें TQ5403 और TQ6702 GEN2 WiFi 6 एक्सेस पॉइंट्स शामिल हैं। ये AlliedWare Plus फर्मवेयर पर चलने वाले एंटरप्राइज-ग्रेड AP हैं, और इन्हें हॉस्पिटैलिटी, रिटेल और सार्वजनिक क्षेत्र के वातावरण में व्यापक रूप से तैनात किया गया है। Purple एक हार्डवेयर-अज्ञेयवादी (hardware-agnostic) क्लाउड ओवरले प्लेटफॉर्म है जो 80,000 से अधिक स्थानों पर काम कर रहा है और जिसने 2024 में 440 मिलियन लॉगिन संभाले हैं। इन दोनों प्लेटफार्मों के बीच एकीकरण साफ, मानकों पर आधारित और उत्पादन के लिए तैयार है। [medium pause] अब, पहली चीज़ जिसे अधिकांश IT टीमों को कॉन्फ़िगर करने की आवश्यकता होती है, वह है गेस्ट कैप्टिव पोर्टल रीडायरेक्शन। Allied Telesis AP तीन कैप्टिव पोर्टल मोड का समर्थन करता है: क्लिक-थ्रू, RADIUS प्रमाणीकरण, और बाहरी पेज रीडायरेक्ट। Purple एकीकरण के लिए, आप External Page Redirect मोड का उपयोग करेंगे। व्यावहारिक रूप से यह कैसे काम करता है, यहाँ बताया गया है। आप AP के डिवाइस GUI में लॉग इन करते हैं, Wireless पर जाते हैं, प्रासंगिक VAP का चयन करते हैं, Advanced Settings पर जाते हैं, फिर Security टैब पर जाते हैं। कैप्टिव पोर्टल को External Page Redirect पर सेट करें। External Page URL फ़ील्ड में, आप अपने Purple डैशबोर्ड में प्रदान किया गया Purple स्प्लैश पेज URL दर्ज करते हैं। यह वह URL है जिस पर आपके मेहमान पहली बार कनेक्ट होने पर पहुंचेंगे। [short pause] अब, AP प्रत्येक नए क्लाइंट से पहले HTTP या HTTPS पैकेट को रोकता है और उस ट्रैफ़िक को आपके Purple स्प्लैश पेज पर रीडायरेक्ट करता है। मेहमान Purple के माध्यम से प्रमाणित होता है, और Purple का RADIUS सर्वर AP को वापस एक Access-Accept भेजता है। AP फिर नेटवर्क एक्सेस प्रदान करता है। [medium pause] RADIUS कॉन्फ़िगरेशन के लिए, Purple आपको एक RADIUS सर्वर IP पता, एक साझा रहस्य (shared secret), और प्रमाणीकरण पोर्ट प्रदान करता है, जो UDP 1812 है। अकाउंटिंग UDP 1813 पर चलती है। आप इन्हें AP GUI में Network Services, फिर RADIUS के अंतर्गत कॉन्फ़िगर करते हैं। NAS identifier को AP के प्रबंधन IP या एक वर्णनात्मक होस्टनाम पर सेट किया जाना चाहिए। Purple का RADIUS as a Service प्रमाणीकरण बैकएंड को संभालता है, इसलिए आपको अपना खुद का RADIUS इन्फ्रास्ट्रक्चर चलाने की आवश्यकता नहीं है। [short pause] एक चीज़ जो सही होनी चाहिए वह है Walled Garden। मेहमान के प्रमाणित होने से पहले, AP व्हाइटलिस्ट किए गए गंतव्यों को छोड़कर सभी ट्रैफ़िक को ब्लॉक कर देता है। आपको Walled Garden में Purple के प्लेटफ़ॉर्म डोमेन जोड़ने होंगे ताकि स्प्लैश पेज सही ढंग से लोड हो सके। कम से कम, Purple स्प्लैश पेज डोमेन, एसेट के लिए Purple द्वारा उपयोग किए जाने वाले किसी भी CDN एंडपॉइंट और आपके द्वारा सक्षम किए गए किसी भी सोशल लॉगिन प्रदाता, जैसे कि Google या Facebook को व्हाइटलिस्ट करें। आप इसे Walled Garden के तहत उसी VAP Advanced Settings पैनल में कॉन्फ़िगर करते हैं। [medium pause] आइए 802.1X का उपयोग करके Staff WiFi पर आगे बढ़ें। यह वह जगह है जहाँ आप एक अलग VAP पर WPA Enterprise कॉन्फ़िगर करते हैं। AP GUI में, Security ड्रॉपडाउन से WPA Enterprise चुनें, फिर RADIUS Authentication Group को अपने बाहरी RADIUS सर्वर की ओर इंगित करें, जो इस मामले में Purple की SecurePass सेवा या आपका अपना Microsoft Entra ID या Okta-समर्थित RADIUS है। स्टाफ डिवाइस EAP-PEAP के साथ MSCHAPv2 का उपयोग करके, या उच्च सुरक्षा वाले वातावरण के लिए प्रमाणपत्रों के साथ EAP-TLS का उपयोग करके प्रमाणित होते हैं। AP 802.1X प्रमाणक के रूप में कार्य करता है, क्रेडेंशियल्स को RADIUS सर्वर पर अग्रेषित करता है और प्रतिक्रिया को लागू करता है। [short pause] स्टाफ नेटवर्क पर डायनेमिक VLAN असाइनमेंट के लिए, आप VAP की Advanced Security सेटिंग्स में Dynamic VLAN को सक्षम करते हैं। जब RADIUS सर्वर एक Access-Accept लौटाता है, तो इसमें तीन मानक एट्रिब्यूट्स शामिल होते हैं: Tunnel-Type को VLAN पर सेट किया गया है, Tunnel-Medium-Type को IEEE 802 पर सेट किया गया है, और Tunnel-Private-Group-Id को VLAN ID पर सेट किया गया है। AP इन एट्रिब्यूट्स को पढ़ता है और प्रमाणित डिवाइस को स्वचालित रूप से सही VLAN पर रखता है। यह RFC 3580 में परिभाषित तंत्र है और यह Allied Telesis हार्डवेयर पर लगातार काम करता है। [medium pause] अब मल्टी-टेनेंट परिनियोजन के लिए सबसे दिलचस्प क्षमता के बारे में बात करते हैं: Allied Telesis PPSK, या Private Pre-Shared Key। इसे कभी-कभी अन्य प्लेटफार्मों पर iPSK भी कहा जाता है। अवधारणा सीधी है। आपके पास एक ही SSID है, लेकिन प्रत्येक टेनेंट या उपयोगकर्ता समूह को एक अद्वितीय पासफ़्रेज़ मिलता है। जब कोई डिवाइस कनेक्ट होता है, तो AP उस पासफ़्रेज़ को RADIUS Access-Request में पासवर्ड फ़ील्ड के रूप में RADIUS सर्वर पर भेजता है। RADIUS सर्वर पासफ़्रेज़ को उपयोगकर्ता रिकॉर्ड से मिलाता है, और उस टेनेंट के लिए VLAN निर्दिष्ट करने वाले Tunnel-Private-Group-Id एट्रिब्यूट के साथ एक Access-Accept लौटाता है। [short pause] तो एक मिश्रित उपयोग वाली इमारत में, रिटेल यूनिट में टेनेंट A अपने पासफ़्रेज़ के साथ कनेक्ट होता है और VLAN 100 पर पहुंचता है। भूतल पर स्थित रेस्तरां एक अलग पासफ़्रेज़ का उपयोग करता है और VLAN 300 पर पहुंचता है। इमारत का गेस्ट WiFi तीसरे पासफ़्रेज़ का उपयोग करता है और VLAN 400 पर पहुंचता है जहाँ Purple का कैप्टिव पोर्टल सक्रिय है। यह सब एक ही SSID पर चलता है। कोई SSID प्रसार नहीं। साफ, स्केलेबल और प्रबंधित करने में आसान। [medium pause] Purple की तरफ, आप Purple डैशबोर्ड में या RADIUS as a Service इंटरफ़ेस के माध्यम से PPSK उपयोगकर्ता रिकॉर्ड कॉन्फ़िगर करते हैं। प्रत्येक टेनेंट को एक VLAN ID से मैप किया गया एक अद्वितीय पासफ़्रेज़ मिलता है। Purple का RADIUS सर्वर मिलान को संभालता है और सही Tunnel-Private-Group-Id लौटाता है। जब आपको किसी टेनेंट की पहुंच रद्द करने की आवश्यकता होती है, तो आप Purple में उनके PPSK रिकॉर्ड को हटा या अक्षम कर देते हैं। AP अगले प्रमाणीकरण प्रयास पर परिवर्तन को लागू करता है। [medium pause] मुझे आपको दो वास्तविक दुनिया के परिदृश्य देने दें जहाँ यह मायने रखता है। पहला, एक 250 कमरों वाला कॉन्फ्रेंस होटल। होटल तीन नेटवर्क चलाता है: Purple स्प्लैश पेज और सोशल लॉगिन के साथ गेस्ट WiFi, Microsoft Entra ID के माध्यम से Active Directory से जुड़ा 802.1X पर स्टाफ WiFi, और कार्यक्रमों के लिए एक कॉन्फ्रेंस डेलिगेट नेटवर्क। Allied Telesis TQ6702 GEN2 APs अलग-अलग VLAN के साथ अलग-अलग VAP पर इन तीनों को संभालते हैं। Purple गेस्ट स्प्लैश पेज का प्रबंधन करता है, होटल के CRM के लिए प्रथम-पक्ष डेटा एकत्र करता है, और चरम उपयोग अवधि पर विश्लेषण प्रदान करता है। होटल की IT टीम साइट पर एक अलग RADIUS सर्वर बनाए रखे बिना Purple के SecurePass के माध्यम से स्टाफ नेटवर्क का प्रबंधन करती है। [short pause] दूसरा परिदृश्य: 12 स्वतंत्र किरायेदारों वाला एक रिटेल पार्क। मकान मालिक प्रत्येक टेनेंट को एक दूसरे के ट्रैफ़िक तक पहुँच दिए बिना सेवा के रूप में WiFi की पेशकश करना चाहता है। वे एक ही SSID के साथ पूरी साइट पर Allied Telesis APs तैनात करते हैं। प्रत्येक टेनेंट को एक अद्वितीय PPSK प्राप्त होता है। Purple का RADIUS सर्वर प्रत्येक PPSK को एक समर्पित VLAN से मैप करता है। मकान मालिक Purple में एक नया PPSK रिकॉर्ड बनाकर और टेनेंट को पासफ़्रेज़ सौंपकर दस मिनट से कम समय में एक नए टेनेंट को ऑनबोर्ड कर सकता है। किसी AP पुनर्रचना की आवश्यकता नहीं है। [medium pause] अब, बचने के लिए कुछ गलतियाँ। सबसे आम समस्या जो हम देखते हैं वह है गलत तरीके से कॉन्फ़िगर किए गए Walled Gardens। यदि आप Purple CDN एंडपॉइंट को व्हाइटलिस्ट करना भूल जाते हैं, तो स्प्लैश पेज आंशिक रूप से लोड होगा या कुछ उपकरणों पर विफल हो जाएगा। लाइव होने से पहले एक नए डिवाइस के साथ परीक्षण करें जिसमें कोई कैश्ड DNS न हो। दूसरा, RADIUS साझा रहस्य (shared secret) बेमेल होना। AP पर कॉन्फ़िगर किया गया रहस्य Purple के RADIUS सर्वर कॉन्फ़िगरेशन में रहस्य से बिल्कुल मेल खाना चाहिए। एक भी वर्ण का अंतर मूक प्रमाणीकरण विफलताओं का कारण बनता है। रहस्य उत्पन्न करने और संग्रहीत करने के लिए पासवर्ड मैनेजर का उपयोग करें। तीसरा, Dynamic VLAN का सक्षम न होना। Allied Telesis APs पर, WPA Enterprise सक्रिय होने पर भी Dynamic VLAN डिफ़ॉल्ट रूप से अक्षम रहता है। आपको इसे VAP Advanced Security सेटिंग्स में स्पष्ट रूप से सक्षम करना होगा। हम इसे नियमित रूप से छूटते हुए देखते हैं। चौथा, PPSK और MAC प्रमाणीकरण संघर्ष। यदि आपके पास PPSK के समान VAP पर MAC प्रमाणीकरण सक्षम है, तो प्रमाणीकरण का क्रम मायने रखता है। यह पुष्टि करने के लिए कि किस विधि को प्राथमिकता मिलती है, अपने फर्मवेयर संस्करण के लिए AP दस्तावेज़ की जांच करें। [medium pause] IT टीमों से मुझे मिलने वाले त्वरित प्रश्न। क्या मैं एक ही परिनियोजन पर गेस्ट कैप्टिव पोर्टल और स्टाफ 802.1X दोनों के लिए Purple के RADIUS सर्वर का उपयोग कर सकता हूँ? हाँ। Purple का RADIUS as a Service दोनों प्रमाणीकरण प्रवाहों का समर्थन करता है। आप प्रत्येक उपयोग के मामले के लिए Purple में अलग RADIUS समूह या नीतियां कॉन्फ़िगर करते हैं। क्या Allied Telesis APs कैप्टिव पोर्टल के साथ WPA3 का समर्थन करते हैं? फर्मवेयर 5.5.4-2.3 या बाद के संस्करण पर चलने वाला TQ6702 GEN2 WPA3 CCMP सिफर का समर्थन करता है। हालांकि, बाहरी रीडायरेक्ट के साथ कैप्टिव पोर्टल आमतौर पर एक ओपन या WPA2 Personal SSID पर चलता है। स्टाफ 802.1X WPA3 Enterprise का उपयोग कर सकता है। यदि Purple RADIUS सर्वर अनुपलब्ध हो तो क्या होगा? AP नए प्रमाणीकरण प्रयासों को अस्वीकार कर देगा। मौजूदा सत्र तब तक जारी रहते हैं जब तक वे समाप्त नहीं हो जाते। आपको रेडंडेंसी के लिए AP के RADIUS समूह में एक माध्यमिक RADIUS सर्वर कॉन्फ़िगर करना चाहिए। Purple का प्लेटफ़ॉर्म 99.999% अपटाइम बनाए रखता है, लेकिन गहराई से सुरक्षा (defence in depth) एक अच्छी प्रथा है। [medium pause] संक्षेप में। Allied Telesis TQ-Series APs तीन प्राथमिक तंत्रों के माध्यम से Purple के साथ एकीकृत होते हैं: गेस्ट WiFi के लिए बाहरी कैप्टिव पोर्टल रीडायरेक्ट, स्टाफ 802.1X के लिए RADIUS के साथ WPA Enterprise, और मल्टी-टेनेंट अलगाव के लिए डायनेमिक VLAN के साथ PPSK। जिन RADIUS एट्रिब्यूट्स की आपको आवश्यकता है वे हैं Tunnel-Type VLAN, Tunnel-Medium-Type IEEE 802, और VLAN ID ले जाने वाला Tunnel-Private-Group-Id। Purple, RADIUS as a Service बैकएंड, स्प्लैश पेज प्लेटफॉर्म और एनालिटिक्स लेयर प्रदान करता है। [short pause] आपके अगले कदम: अपने डैशबोर्ड से Purple RADIUS क्रेडेंशियल्स प्राप्त करें, अपने गेस्ट VAP पर बाहरी पेज रीडायरेक्ट को कॉन्फ़िगर करें, Walled Garden प्रविष्टियां जोड़ें, अपने स्टाफ VAP पर Dynamic VLAN सक्षम करें, और लाइव होने से पहले प्रत्येक नेटवर्क सेगमेंट के लिए एक परीक्षण प्रमाणीकरण चलाएं। यदि आप मल्टी-टेनेंट के लिए PPSK तैनात कर रहे हैं, तो शुरू करने से पहले अपनी VLAN नंबरिंग योजना की योजना बनाएं, क्योंकि किरायेदारों के लाइव होने के बाद VLAN ID बदलने के लिए समन्वय की आवश्यकता होती है। [medium pause] यह ब्रीफिंग समाप्त होती है। पूर्ण चरण-दर-चरण कॉन्फ़िगरेशन संदर्भ, Mermaid आर्किटेक्चर आरेख, और RADIUS एट्रिब्यूट तालिका के लिए, लिखित गाइड देखें। आपके समय के लिए धन्यवाद।

header_image.png

執行摘要

將 Allied Telesis TQ 系列無線基地台與 Purple 搭配部署,可提供具備高擴充性、安全且高度可配置的網路架構。本整合手冊詳細說明了訪客 WiFi 的外部 Captive Portal 重新導向配置、員工 WiFi 的 802.1X 驗證,以及多租戶網路隔離的私有預共用金鑰 (PPSK) 對應。透過將 Allied Telesis 硬體與 Purple 的 RADIUS 即服務(RADIUS as a Service)結合,您可以集中管理身分識別,而無需在本地部署 RADIUS 伺服器。本指南涵蓋了動態 VLAN 導向所需的特定 RADIUS 屬性、實現無縫登入頁面投遞的 Walled Garden 配置,以及在旅宿、零售和公共部門環境中擴展身分導向網路的最佳實作指南。

技術深入剖析

Allied Telesis 無線基地台(例如 TQ6702 GEN2 與 TQ5403)搭載 AlliedWare Plus 韌體。它們支援強大的企業功能,包括 WPA3、Passpoint (Hotspot 2.0) 以及完整的 RADIUS 整合。與 Purple 整合時,無線基地台充當網路存取伺服器 (NAS) 和 802.1X 驗證器,而 Purple 則作為雲端託管的 RADIUS 伺服器與 Captive Portal 提供者。

訪客 Captive Portal 重新導向

針對訪客 WiFi,無線基地台會攔截未經驗證的用戶端流量,並將 HTTP/HTTPS 請求重新導向至 Purple 登入頁面。這需要將 Captive Portal 模式配置為 External Page Redirect

當訪客連線時,無線基地台會參考其 Walled Garden 配置。Walled Garden 必須將 Purple 的網域、CDN 端點以及任何配置的社群登入提供者(例如 Google Workspace 或 Microsoft Entra ID)加入白名單。訪客在登入頁面上完成驗證流程後,Purple 的 RADIUS 伺服器會向無線基地台傳送 RADIUS Access-Accept 訊息(UDP 連接埠 1812),隨後無線基地台將授予完整的網路存取權限。

透過 RADIUS 進行動態 VLAN 導向

動態 VLAN 分配對於網路分割至關重要。使用 WPA 企業版配置員工 WiFi 時,無線基地台會將 EAP 認證資料轉發至 Purple 的 SecurePass RADIUS 服務。

驗證成功後,Purple RADIUS 伺服器會傳回一個 Access-Accept 封包,其中包含 RFC 3580 中定義的三個標準 IETF RADIUS 屬性:

  1. Tunnel-Type (Attribute 64):設定為 VLAN (13)。
  2. Tunnel-Medium-Type (Attribute 65):設定為 IEEE-802 (6)。
  3. Tunnel-Private-Group-Id (Attribute 81):設定為分配的 VLAN ID(例如 20)。

Allied Telesis AP 會讀取這些屬性,並動態將用戶端裝置分配到指定的 VLAN。**注意:**必須在 Allied Telesis GUI 內的 VAP 進階安全設定中,明確啟用動態 VLAN。

architecture_overview.png

使用 PPSK 的多租戶隔離

個人預共用金鑰 (PPSK) 允許您使用單一 SSID,同時為不同的使用者或租戶分配不同的密碼。這在多住戶單元 (MDU)、共享工作空間和零售園區中非常有效。

當裝置使用特定的 PPSK 進行關聯時,存取點會將密碼傳送到 Purple RADIUS 伺服器。Purple 會將該密碼對應到特定的租戶設定檔,並傳回 Tunnel-Private-Group-Id 屬性。這會將租戶的裝置引導至其專屬的 VLAN,在不廣播多個 SSID 的情況下確保 Layer 2 隔離。

ppsk_vlan_diagram.png

實作指南

請依照以下步驟設定 Allied Telesis 存取點以進行 Purple 整合。

步驟 1:設定 RADIUS 伺服器設定檔

  1. 登入 Allied Telesis AP 裝置 GUI。
  2. 導覽至 Network Services > RADIUS
  3. 使用 Purple 儀表板中提供的 IP 地址新增一個外部 RADIUS 伺服器。
  4. 將驗證連接埠設定為 1812,計費連接埠設定為 1813
  5. 輸入 Purple 提供的確切共用金鑰 (Shared Secret)。
  6. 設定 NAS 識別碼 (NAS Identifier) 以符合 AP 的管理 IP 或主機名稱。
  7. 將帳戶模式設定為 Start-Interim-Stop,並設定 10 分鐘的臨時更新間隔。

步驟 2:設定訪客 WiFi (Captive Portal)

  1. 導覽至 Wireless > Radio1 (或 Radio2)。
  2. 針對目標 VAP (例如 VAP0) 點擊 Edit
  3. 設定 SSID 名稱 (例如 "Guest WiFi")。
  4. 前往 Advanced Settings > Security 頁籤。
  5. 將 Captive Portal 設定為 External Page Redirect
  6. 在 External Page URL 欄位中輸入 Purple 的展示頁面 (splash page) URL。
  7. 在 Walled Garden 下,新增所需的 Purple 網域和社群登入 IP。

步驟 3:設定員工 WiFi (802.1X 和動態 VLAN)

  1. 編輯用於員工 WiFi 的獨立 VAP。
  2. 將安全性設定為 WPA Enterprise
  3. 從 RADIUS Authentication Group 下拉式選單中選擇 Purple RADIUS 伺服器設定檔。
  4. 前往 Advanced Settings > Security
  5. 啟用 Dynamic VLAN
  6. 確保後端網路交換器已設定為將動態分配的 VLAN 幹線 (trunk) 傳輸至 AP 連接埠。

步驟 4:為多租戶設定 PPSK

  1. 編輯預計用於多租戶的 VAP。
  2. 啟用 PPSK (通常與 MAC 驗證或特定的 WPA 設定結合使用,具體取決於韌體版本)。
  3. 確保已選取 RADIUS 伺服器設定檔。
  4. 在 Purple 儀表板中,建立 PPSK 使用者記錄,並將每個密碼對應到正確的 VLAN ID。## 最佳做法
  • Walled Garden 維護:定期審查並更新 Walled Garden 條目。社群登入提供商經常變更其 IP 範圍和 CDN 網域。
  • 備援:務必在 AP 的 RADIUS 群組中設定主要和次要 Purple RADIUS 伺服器 IP 位址,以確保高可用性。
  • 韌體更新:保持 AlliedWare Plus 韌體更新。WPA3 CCMP 支援和進階 PPSK 功能需要 5.5.4-2.3 或更新版本。
  • VLAN Trunking:驗證連接至存取點 (AP) 的交換器連接埠是否已設定為 802.1Q trunk,並允許所有可能由 RADIUS 伺服器動態分配的 VLAN。

疑難排解與風險緩釋

  • 無聲驗證失敗:如果裝置無法連線至 802.1X 或 PPSK 網路,請驗證 RADIUS 共用金鑰。不相符會導致 AP 無聲丟棄 Access-Reject 封包。
  • 歡迎頁面無法載入:如果 Captive Portal 重新導向陷入迴圈或無法載入資源,很可能是 Walled Garden 缺少必要的網域。請檢查瀏覽器的開發者主控台以識別被封鎖的要求。
  • 用戶端被分配到錯誤的 VLAN:如果動態 VLAN 引導失敗,請檢查 VAP 上是否已明確啟用動態 VLAN。使用封包擷取來驗證 Purple 是否有傳回 Tunnel-Private-Group-Id 屬性。

ROI 與商業影響

將 Allied Telesis 與 Purple 整合,可將基礎無線連線轉換為智慧型、數據驅動的平台。

對於 IT 團隊而言,透過 Purple RADIUS 服務進行集中驗證,可消除在邊緣端管理本地 RADIUS 伺服器和 Active Directory 整合的日常開銷。使用 PPSK 可減少 SSID 開銷,從而提高 RF 效能並簡化租戶上架流程。

對於場地營運而言,Captive Portal 可收集經驗證的第一方數據,進而推動 CRM 成長並實現精準行銷。憑藉在 Purple 平台上收集的超過 290 億個數據點,場地業者可獲得有關訪客行為、停留時間和空間利用率的具體分析,直接支援商業目標。

मुख्य परिभाषाएं

PPSK (Private Pre-Shared Key)

एक सुरक्षा तंत्र जहां एक ही SSID पर कई अद्वितीय पासफ़्रेज़ का उपयोग किया जा सकता है, जिसमें प्रत्येक पासफ़्रेज़ विशिष्ट नेटवर्क नीतियों या VLAN से मैप होता है।

मल्टी-टेनेंट वातावरण में कई SSID प्रसारित किए बिना सुरक्षित, पृथक नेटवर्क एक्सेस प्रदान करने के लिए उपयोग किया जाता है।

Tunnel-Private-Group-Id

RFC 2868 में परिभाषित RADIUS एट्रिब्यूट 81, जिसका उपयोग उस VLAN ID को निर्दिष्ट करने के लिए किया जाता है जिसे सफल प्रमाणीकरण पर किसी उपयोगकर्ता या डिवाइस को असाइन किया जाना चाहिए।

802.1X और PPSK दोनों परिनियोजन में डायनेमिक VLAN स्टीयरिंग के लिए आवश्यक।

Walled Garden

एक प्रतिबंधित नेटवर्क वातावरण जो अप्रमाणित उपयोगकर्ताओं को IP पतों या डोमेन की एक विशिष्ट व्हाइटलिस्ट तक पहुंच की अनुमति देता है।

कैप्टिव पोर्टल के लिए आवश्यक है ताकि डिवाइस स्प्लैश पेज लोड कर सकें और पूर्ण इंटरनेट एक्सेस प्राप्त करने से पहले सोशल लॉगिन प्रदाताओं के माध्यम से प्रमाणित हो सकें।

RADIUS as a Service

एक तीसरे पक्ष (जैसे Purple) द्वारा प्रबंधित क्लाउड-होस्टेड RADIUS इन्फ्रास्ट्रक्चर, जो ऑन-प्रिमाइसेस प्रमाणीकरण सर्वर की आवश्यकता को समाप्त करता है।

क्लाउड में पहचान प्रबंधन को केंद्रीकृत करके वितरित स्थानों के लिए 802.1X परिनियोजन को सरल बनाता है।

Captive Portal

एक वेब पेज जिसे उपयोगकर्ताओं को सार्वजनिक WiFi नेटवर्क तक पहुंच प्रदान करने से पहले देखने और इंटरैक्ट करने के लिए बाध्य किया जाता है।

प्रथम-पक्ष डेटा कैप्चर करने, सेवा की शर्तों को लागू करने और स्थान की ब्रांडिंग प्रदर्शित करने के लिए उपयोग किया जाता है।

VAP (Virtual Access Point)

एक भौतिक एक्सेस पॉइंट के भीतर एक तार्किक इकाई जो अपना स्वयं का SSID प्रसारित करती है और अपनी सुरक्षा और नीति कॉन्फ़िगरेशन बनाए रखती है।

एक एकल Allied Telesis AP को एक साथ Guest WiFi, Staff WiFi और IoT कनेक्टिविटी प्रदान करने की अनुमति देता है।

EAP-PEAP

प्रोटेक्टेड एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल, एक एन्क्रिप्टेड TLS टनल के भीतर प्रमाणीकरण क्रेडेंशियल प्रसारित करने का एक सुरक्षित तरीका।

एक निर्देशिका (directory) के विरुद्ध उपयोगकर्ता नाम और पासवर्ड सत्यापित करते समय Staff WiFi (802.1X) के लिए उपयोग किया जाने वाला सबसे आम प्रमाणीकरण प्रोटोकॉल।

Access-Accept

सर्वर द्वारा प्रमाणक (AP) को भेजा गया एक मानक RADIUS पैकेट जो दर्शाता है कि प्रमाणीकरण सफल रहा।

नेटवर्क नीति लागू करने के लिए अक्सर अतिरिक्त एट्रिब्यूट्स, जैसे VLAN असाइनमेंट या बैंडविड्थ सीमाएं शामिल होती हैं।

हल किए गए उदाहरण

एक 250 कमरों वाले होटल को एक सुरक्षित स्टाफ नेटवर्क और एक ब्रांडेड गेस्ट नेटवर्क तैनात करने की आवश्यकता है। IT टीम स्थानीय RADIUS सर्वर को तैनात किए बिना Microsoft Entra ID के माध्यम से स्टाफ एक्सेस का प्रबंधन करना चाहती है, जबकि मेहमानों को एक कैप्टिव पोर्टल के माध्यम से नियमों और शर्तों को स्वीकार करना होगा।

Allied Telesis TQ6702 GEN2 APs तैनात करें। VAP0 को एक ओपन नेटवर्क के रूप में कॉन्फ़िगर करें जिसमें कैप्टिव पोर्टल को 'External Page Redirect' पर सेट किया गया हो, जो Purple स्प्लैश पेज URL की ओर इशारा करता हो। VAP1 को WPA Enterprise के साथ कॉन्फ़िगर करें, RADIUS Authentication Group को Purple के SecurePass RADIUS सर्वर की ओर इंगित करें। क्लाउड में Microsoft Entra ID के साथ Purple SecurePass को एकीकृत करें। VAP1 पर डायनेमिक VLAN सक्षम करें ताकि सफल EAP प्रमाणीकरण पर कर्मचारियों को स्वचालित रूप से आंतरिक VLAN पर निर्देशित किया जा सके।

परीक्षक की टिप्पणी: यह दृष्टिकोण Purple का उपयोग क्लाउड आइडेंटिटी ब्रोकर के रूप में करता है। यह मानक-आधारित 802.1X और डायनेमिक VLAN असाइनमेंट का उपयोग करके गेस्ट और स्टाफ ट्रैफ़िक के बीच सख्त लेयर 2 अलगाव को बनाए रखते हुए ऑन-प्रिमाइसेस RADIUS इन्फ्रास्ट्रक्चर को समाप्त करता है।

एक रिटेल पार्क का मालिक एकल हार्डवेयर परिनियोजन का उपयोग करके 12 स्वतंत्र रिटेल इकाइयों को WiFi प्रदान करना चाहता है। प्रत्येक इकाई को अपने स्वयं के सुरक्षित, पृथक नेटवर्क सेगमेंट की आवश्यकता होती है।

Allied Telesis APs पर एक एकल SSID (जैसे, 'Retail-Park-Secure') कॉन्फ़िगर करें। PPSK (Private Pre-Shared Key) सक्षम करें और प्रमाणीकरण को Purple RADIUS सर्वर की ओर इंगित करें। Purple डैशबोर्ड में, प्रत्येक रिटेल इकाई के लिए एक अद्वितीय पासफ़्रेज़ उत्पन्न करें और इसे एक विशिष्ट VLAN ID (जैसे, यूनिट 1 = VLAN 101, यूनिट 2 = VLAN 102) से मैप करें। जब कोई डिवाइस कनेक्ट होता है, तो AP पासफ़्रेज़ को Purple को भेजता है, जो Tunnel-Private-Group-Id एट्रिब्यूट लौटाता है, जिससे डिवाइस सही टेनेंट VLAN पर निर्देशित होता है।

परीक्षक की टिप्पणी: PPSK SSID के प्रसार को रोकता है, जो RF प्रदर्शन को कम करता है। यह 802.1X की एंटरप्राइज सुरक्षा और सेगमेंटेशन प्रदान करते हुए एक साधारण WPA2/WPA3 व्यक्तिगत पासवर्ड का उपयोगकर्ता अनुभव प्रदान करता है।

अभ्यास प्रश्न

Q1. एक स्थान रिपोर्ट करता है कि Android डिवाइस Guest WiFi से कनेक्ट हो सकते हैं और स्प्लैश पेज देख सकते हैं, लेकिन Apple iOS डिवाइस एक खाली सफेद स्क्रीन दिखाते हैं। सबसे संभावित कॉन्फ़िगरेशन समस्या क्या है?

संकेत: विचार करें कि विभिन्न ऑपरेटिंग सिस्टम कैप्टिव पोर्टल का पता कैसे लगाते हैं और उन्हें किन डोमेन तक पहुंचने की आवश्यकता होती है।

मॉडल उत्तर देखें

Walled Garden में संभवतः उन विशिष्ट डोमेन की कमी है जिनका उपयोग Apple कैप्टिव पोर्टल का पता लगाने के लिए करता है (जैसे, captive.apple.com)। यदि AP प्रमाणीकरण से पहले इन डोमेन को ब्लॉक करता है, तो iOS कैप्टिव नेटवर्क असिस्टेंट मिनी-ब्राउज़र को सही ढंग से ट्रिगर नहीं कर सकता है।

Q2. आपने AP पर WPA Enterprise कॉन्फ़िगर किया है और इसे Purple के RADIUS सर्वर की ओर इंगित किया है। RADIUS लॉग सफल प्रमाणीकरण (Access-Accept) दिखाते हैं, लेकिन क्लाइंट डिवाइस को अपेक्षित VLAN पर IP पता प्राप्त नहीं होता है। दो सबसे संभावित कारण क्या हैं?

संकेत: AP कॉन्फ़िगरेशन और भौतिक स्विच पोर्ट कॉन्फ़िगरेशन दोनों की जांच करें।

मॉडल उत्तर देखें
  1. Allied Telesis AP पर VAP Advanced Security सेटिंग्स में 'Dynamic VLAN' सक्षम नहीं है। 2. AP को जोड़ने वाला स्विच पोर्ट 802.1Q ट्रंक के रूप में कॉन्फ़िगर नहीं किया गया है, या लक्षित VLAN को ट्रंक पर अनुमति नहीं है, जिससे DHCP ट्रैफ़िक क्लाइंट तक नहीं पहुंच पाता है।

Q3. एक रिटेल पार्क 50 किरायेदारों के लिए PPSK तैनात करना चाहता है। वे पूछते हैं कि क्या उन्हें 50 अलग-अलग VAP बनाने चाहिए या एकल VAP का उपयोग करना चाहिए। आपकी क्या सिफारिश है और क्यों?

संकेत: वायरलेस एयरटाइम पर प्रबंधन फ़्रेम (management frames) के प्रभाव पर विचार करें।

मॉडल उत्तर देखें

PPSK के साथ एकल VAP का उपयोग करने की अनुशंसा की जाती है। 50 अलग-अलग SSID प्रसारित करने से अत्यधिक बीकन फ़्रेम और प्रबंधन ओवरहेड उत्पन्न होता है, जिससे RF प्रदर्शन और उपलब्ध एयरटाइम गंभीर रूप से प्रभावित होता है। PPSK के साथ एक एकल SSID बिना किसी RF नुकसान के डायनेमिक VLAN असाइनमेंट के माध्यम से समान लेयर 2 अलगाव प्रदान करता है।

इस श्रृंखला में आगे पढ़ें

Cisco WLC और Catalyst का Purple WiFi के साथ एकीकरण: चरण-दर-चरण गेस्ट एक्सेस गाइड

यह आधिकारिक गाइड Cisco Catalyst 9800 WLCs के Purple WiFi के साथ चरण-दर-चरण एकीकरण का विवरण देती है। इसमें गेस्ट Captive Portal के लिए External Web Authentication, सुरक्षित स्टाफ एक्सेस के लिए 802.1X EAP-TLS, और मल्टी-टेनेंट डायनेमिक VLAN सेगमेंटेशन के लिए Cisco iPSK शामिल है।

गाइड पढ़ें →

Purple WiFi के साथ CommScope Ruckus एकीकरण: सेटअप और कॉन्फ़िगरेशन गाइड

यह तकनीकी संदर्भ मार्गदर्शिका CommScope Ruckus आर्किटेक्चर को Purple WiFi के साथ एकीकृत करने के लिए एक आधिकारिक कॉन्फ़िगरेशन प्लेबुक प्रदान करती है। यह Guest WiFi कैप्टिव पोर्टल, 802.1X के माध्यम से सुरक्षित स्टाफ WiFi, और Ruckus Dynamic PSK का उपयोग करके मल्टी-टेनेंट नेटवर्क आइसोलेशन के लिए चरण-दर-चरण परिनियोजन का विवरण देती है।

गाइड पढ़ें →

Purple WiFi के साथ Grandstream GWN एक्सेस पॉइंट्स का एकीकरण

यह आधिकारिक तकनीकी संदर्भ मार्गदर्शिका विस्तार से बताती है कि Grandstream GWN एक्सेस पॉइंट्स को Purple के Guest WiFi और एनालिटिक्स प्लेटफॉर्म के साथ कैसे एकीकृत किया जाए। यह Grandstream कैप्टिव पोर्टल कॉन्फ़िगरेशन, RADIUS AAA सेटिंग्स, walled garden सेटअप, डायनेमिक VLAN स्टीयरिंग के साथ सुरक्षित स्टाफ 802.1X प्रमाणीकरण, और मल्टी-टेनेंट PPSK सेगमेंटेशन को कवर करता है - जो बड़े पैमाने पर गेस्ट और स्टाफ WiFi तैनात करने वाले MSPs और आईटी टीमों के लिए व्यावहारिक, चरण-दर-चरण मार्गदर्शन प्रदान करता है।

गाइड पढ़ें →