Passpoint और OpenRoaming: संपूर्ण गाइड
यह तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi नेटवर्क के भीतर Passpoint (हॉटस्पॉट 2.0) और WBA OpenRoaming फ्रेमवर्क का एक व्यापक विश्लेषण प्रदान करती है। यह सुरक्षित, निर्बाध अतिथि कनेक्टिविटी स्थापित करने के लिए आवश्यक बुनियादी ऑथेंटिकेशन प्रोटोकॉल, आर्किटेक्चरल घटकों और परिनियोजन रणनीतियों का विवरण देती है। नेटवर्क आर्किटेक्ट और IT लीडर्स सीखेंगे कि कैसे इन मानकों को डिज़ाइन, लागू और ट्रबलशूट किया जाए ताकि एंटरप्राइज़-ग्रेड सुरक्षा बनाए रखते हुए मैनुअल लॉगिन बाधाओं को समाप्त किया जा सके।
📚 हमारी मुख्य श्रृंखला का हिस्सा: मल्टी-टेनेंट WiFi →
- कार्यकारी सारांश
- तकनीकी गहन विश्लेषण
- 802.11u खोज प्रक्रिया
- OpenRoaming फ़ेडरेशन आर्किटेक्चर
- कार्यान्वयन गाइड
- चरण 1: नेटवर्क इन्फ्रास्ट्रक्चर ऑडिट
- चरण 2: फ़ायरवॉल कॉन्फ़िगरेशन
- चरण 3: प्रमाणपत्र प्राप्ति
- चरण 4: वायरलेस कंट्रोलर कॉन्फ़िगरेशन
- चरण 5: RADIUS/RadSec प्रॉक्सी सेटअप
- सर्वोत्तम प्रथाएं
- समस्या निवारण और जोखिम शमन
- सामान्य विफलता के प्रकार और समाधान
- ROI और व्यावसायिक प्रभाव
- परिचालन दक्षता
- सुरक्षा स्थिति
- डेटा इंटेलिजेंस

कार्यकारी सारांश
एंटरप्राइज कनेक्टिविटी की मांगें मैन्युअल, captive-portal-आधारित गेस्ट एक्सेस से बदलकर ऑटोमेटेड, सुरक्षित और घर्षण रहित ऑनबोर्डिंग पर आ गई हैं। Passpoint (जिसे Wi-Fi Alliance द्वारा Hotspot 2.0 के रूप में परिभाषित किया गया है) और OpenRoaming (Wireless Broadband Alliance द्वारा संचालित) इस बदलाव के मानकीकरण का प्रतिनिधित्व करते हैं। IEEE 802.11u प्रोटोकॉल और WPA3-Enterprise सुरक्षा का उपयोग करके, ये तकनीकें मोबाइल उपकरणों को बिना किसी यूजर हस्तक्षेप के स्वचालित रूप से सुरक्षित WiFi नेटवर्क की खोज, प्रमाणित और कनेक्ट करने की अनुमति देती हैं।
यह गाइड बड़े पैमाने के वेन्यू, रिटेल परिवेशों और कॉर्पोरेट परिसरों में इन तकनीकों को तैनात करने की योजना बना रहे नेटवर्क आर्किटेक्ट्स और IT निदेशकों के लिए एक आधिकारिक संदर्भ के रूप में कार्य करती है। हम अंतर्निहित क्रिप्टोग्राफ़िक हैंडशेक, फ़ेडरेशन आर्किटेक्चर और इन मानकों को मौजूदा वायरलेस इन्फ्रास्ट्रक्चर में एकीकृत करने के लिए आवश्यक व्यावहारिक कॉन्फ़िगरेशन चरणों की जांच करते हैं। इन फ्रेमवर्क को अपनाकर, संगठन अपने वायरलेस सुरक्षा स्तर को महत्वपूर्ण रूप से बढ़ाते हुए पारंपरिक गेस्ट पोर्टल की बाधाओं को समाप्त कर सकते हैं।
तकनीकी गहन विश्लेषण
Passpoint और OpenRoaming को समझने के लिए, सबसे पहले उनके संचालन को नियंत्रित करने वाले अंतर्निहित प्रोटोकॉल का विश्लेषण करना होगा। Passpoint के मूल में IEEE 802.11u है, जो 802.11 मानक का एक संशोधन है जो वायरलेस उपकरणों को कनेक्शन स्थापित करने से पहले नेटवर्क सेवाओं की खोज करने में सक्षम बनाता है।
ऐतिहासिक रूप से, एक क्लाइंट डिवाइस को नेटवर्क की क्षमताओं की जांच करने से पहले एक एक्सेस पॉइंट (AP) से जुड़ना और एक IP पता प्राप्त करना होता था। 802.11u के साथ, यह खोज Access Network Query Protocol (ANQP) प्रश्नों का उपयोग करके प्री-एसोसिएशन स्थिति में होती है।
802.11u खोज प्रक्रिया
जब एक Passpoint-सक्षम डिवाइस एयरवेव्स को स्कैन करता है, तो यह एक इंटरवर्किंग एलिमेंट वाले बीकन का पता लगाता है। यह एलिमेंट संकेत देता है कि AP 802.11u का समर्थन करता है और अपने नेटवर्क प्रकार (जैसे, निजी, मुफ्त सार्वजनिक, सशुल्क सार्वजनिक) का विज्ञापन करता है। क्लाइंट डिवाइस फिर विशिष्ट मापदंडों का अनुरोध करने के लिए एक ANQP क्वेरी भेजता है, जैसे:
- Roaming Consortium Organisation Identifiers (OIs): IEEE द्वारा सौंपे गए विश्व स्तर पर अद्वितीय पहचानकर्ता जो विशिष्ट रोमिंग भागीदारों या फ़ेडरेशन का प्रतिनिधित्व करते हैं।
- वेन्यू का नाम और वेन्यू समूह: भौतिक स्थान का वर्णन करने वाला मेटाडेटा (जैसे, "टर्मिनल 2" या "स्टेडियम")।
- IP पता प्रकार उपलब्धता: इस बारे में जानकारी कि क्या IPv4 या IPv6 उपलब्ध है, और क्या NAT लागू है।
यदि क्लाइंट डिवाइस के पास एक मेल खाने वाला Roaming Consortium OI वाला प्रोफ़ाइल है, तो यह यूजर को संकेत दिए बिना प्रमाणीकरण प्रक्रिया शुरू करता है।
OpenRoaming फ़ेडरेशन आर्किटेक्चर
OpenRoaming, Passpoint के शीर्ष पर एक वैश्विक फ़ेडरेशन परत के रूप में कार्य करता है। यह Wireless Broadband Alliance (WBA) द्वारा प्रबंधित एक सुरक्षित पब्लिक की इन्फ्रास्ट्रक्चर (PKI) स्थापित करता है। यह फ़ेडरेशन पहचान प्रदाताओं (IDPs) - जैसे मोबाइल नेटवर्क ऑपरेटर, डिवाइस निर्माता (Apple, Google), और एंटरप्राइज पहचान प्रणाली - को नेटवर्क प्रदाताओं के साथ सुरक्षित रूप से पीयर करने की अनुमति देता है।प्रमाणीकरण WPA3-Enterprise (या लीगेसी अनुकूलता के लिए WPA2-Enterprise) का उपयोग करके Protected Extensible Authentication Protocol (PEAP) या Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) के साथ निष्पादित किया जाता है। AP एक प्रमाणीकर्ता के रूप में कार्य करता है, जो EAP पैकेटों को RADIUS (रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस) या RadSec (TLS पर RADIUS) पैकेटों में समाहित करता है और उन्हें पहचान प्रदाता को अग्रेषित करता है।
सार्वजनिक इंटरनेट पर स्थानीय नेटवर्क के RADIUS प्रॉक्सी और वैश्विक IDPs के बीच संचार को सुरक्षित करने के लिए OpenRoaming में RadSec अनिवार्य है। RadSec TCP पोर्ट 2083 और TLS एन्क्रिप्शन का उपयोग करता है, जिससे यह सुनिश्चित होता है कि मध्यवर्ती पारगमन प्रदाताओं के माध्यम से पारगमन के दौरान उपयोगकर्ता क्रेडेंशियल और प्रमाणीकरण विशेषताएँ गोपनीय रहें।
कार्यान्वयन गाइड
Passpoint और OpenRoaming को तैनात करने के लिए वायरलेस कंट्रोलर (WLC), RADIUS इन्फ्रास्ट्रक्चर, और DNS/फ़ायरवॉल कॉन्फ़िगरेशन में एक व्यवस्थित दृष्टिकोण की आवश्यकता होती है।
चरण 1: नेटवर्क इन्फ्रास्ट्रक्चर ऑडिट
सुनिश्चित करें कि आपके APs और WLCs 802.11u और Passpoint रिलीज़ 2 या 3 का समर्थन करते हैं। सत्यापित करें कि आपका RADIUS सर्वर RadSec (RFC 6614) का समर्थन करता है। यदि आपका पुराना RADIUS सर्वर RadSec का समर्थन नहीं करता है, तो आपको अपने DMZ में एक RadSec प्रॉक्सी (जैसे FreeRADIUS या एक समर्पित गेटवे) तैनात करना होगा।
चरण 2: फ़ायरवॉल कॉन्फ़िगरेशन
OpenRoaming RadSec प्रॉक्सी सर्वर के लिए आउटबाउंड TCP पोर्ट 2083 खोलें। सुनिश्चित करें कि आपके RADIUS सर्वर पर DNS रिज़ॉल्यूशन सही ढंग से कॉन्फ़िगर किया गया है, क्योंकि RadSec उपयुक्त IDP का पता लगाने के लिए डायनेमिक डेलिगेशन डिस्कवरी सिस्टम (DDDS) और NAPTR रिकॉर्ड पर निर्भर करता है।
चरण 3: प्रमाणपत्र प्राप्ति
एक अधिकृत प्रमाणपत्र प्राधिकरण (CA) से WBA-स्वीकृत RadSec प्रमाणपत्र प्राप्त करें। यह प्रमाणपत्र आपके स्थानीय RadSec प्रॉक्सी और OpenRoaming फेडरेशन ब्रोकरों के बीच पारस्परिक TLS (mTLS) प्रमाणीकरण के लिए महत्वपूर्ण है।
चरण 4: वायरलेस कंट्रोलर कॉन्फ़िगरेशन
- एक सुरक्षित SSID बनाएं: WPA3-Enterprise (या WPA2/WPA3 ट्रांज़िशन मोड) का उपयोग करने के लिए एक नया SSID कॉन्फ़िगर करें या मौजूदा को संशोधित करें।
- 802.11u (इंटरवर्किंग) सक्षम करें: SSID पर इंटरवर्किंग सुविधा सक्षम करें।
- HESSID कॉन्फ़िगर करें: नेटवर्क समूह की विशिष्ट पहचान करने के लिए होमोजेनियस ESSID सेट करें, जो आमतौर पर AP रेडियो में से एक का MAC पता होता है।
- Roaming Consortium OIs जोड़ें: OpenRoaming Roaming Consortium OIs जोड़ें। मानक OIs हैं:
5A-03-BE-00-00(सेटलमेंट-फ्री, Google, Apple, या मोबाइल ऑपरेटरों द्वारा सत्यापित पहचान)5A-03-BE-00-01(सेटल्ड, वाणिज्यिक रोमिंग समझौतों के लिए)
- ANQP पैरामीटर कॉन्फ़िगर करें: स्थान का नाम, स्थान समूह, और नेटवर्क प्रकार परिभाषित करें।
चरण 5: RADIUS/RadSec प्रॉक्सी सेटअप
अपने स्थानीय RADIUS सर्वर को RadSec प्रॉक्सी के रूप में कार्य करने के लिए कॉन्फ़िगर करें। रूटिंग नियम परिभाषित करें जो OpenRoaming OIs या विशिष्ट क्षेत्र पैटर्न वाले प्रमाणीकरण अनुरोधों को OpenRoaming RadSec गेटवे पर अग्रेषित करते हैं।
सर्वोत्तम प्रथाएं
एक स्थिर और उच्च-प्रदर्शन वाले परिनियोजन को सुनिश्चित करने के लिए, निम्नलिखित उद्योग-मानक अनुशंसाओं का पालन करें:
- SSID समेकन: Passpoint या OpenRoaming के लिए कोई समर्पित SSID न बनाएं। इसके बजाय, उन्हें एक ही, सुरक्षित एंटरप्राइज SSID पर संयोजित करें। यह बीकन ओवरहेड को कम करता है और मूल्यवान एयरटाइम को बचाता है।
- सर्टिफिकेट प्रबंधन: अपने RadSec सर्टिफिकेट के लिए स्वचालित सर्टिफिकेट रिन्यूअल प्रक्रियाएं लागू करें। एक एक्सपायर्ड सर्टिफिकेट तुरंत सभी OpenRoaming ऑथेंटिकेशन को रोक देगा।
- चैनल प्लानिंग: चूंकि Passpoint प्री-एसोसिएशन ANQP एक्सचेंजों पर निर्भर करता है, इसलिए क्लाइंट डिवाइस स्कैनिंग और क्वेरी करने में अधिक समय बिताते हैं। टकराव को कम करने और त्वरित जांच प्रतिक्रियाओं को सुनिश्चित करने के लिए अपने 5 GHz और 6 GHz चैनल प्लानिंग को अनुकूलित करें।
- Realm फ़िल्टरिंग: फेडरेशन नेटवर्क पर अनावश्यक ऑथेंटिकेशन ट्रैफ़िक को बाढ़ की तरह आने से रोकने के लिए अपने RadSec प्रॉक्सी पर सख्त Realm फ़िल्टरिंग लागू करें। केवल उन्हीं अनुरोधों को आगे बढ़ाएं जो मान्य OpenRoaming पैटर्न से मेल खाते हों।
- उपयोगकर्ता अनुभव संरेखण: सुनिश्चित करें कि आपके भौतिक स्थान के साइनबोर्ड और डिजिटल मार्केटिंग सामग्रियां उपयोगकर्ताओं को सूचित करती हैं कि वे OpenRoaming के माध्यम से स्वचालित रूप से कनेक्ट हो सकते हैं, जिससे अनएन्क्रिप्टेड ओपन SSIDs पर निर्भरता कम हो जाती है।
समस्या निवारण और जोखिम शमन
सामान्य विफलता के प्रकार और समाधान
समस्या: क्लाइंट डिवाइस स्वचालित रूप से कनेक्ट होने में विफल रहते हैं
- मूल कारण: WLC पर Roaming Consortium OIs का गायब होना या गलत कॉन्फ़िगर होना, या क्लाइंट डिवाइस में सही प्रोफ़ाइल इंस्टॉल न होना।
- शमन: बीकन और प्रोब रिस्पॉन्स फ्रेम को कैप्चर करने के लिए पैकेट विश्लेषक का उपयोग करें। सत्यापित करें कि 802.11u इंटरवर्किंग एलिमेंट में सही OIs शामिल हैं। सुनिश्चित करें कि क्लाइंट प्रोफ़ाइल को MDM या प्रोविज़निंग पोर्टल के माध्यम से सही ढंग से प्रोविज़न किया गया है।
समस्या: RadSec कनेक्शन विफलताएं
- मूल कारण: फ़ायरवॉल TCP पोर्ट 2083 को ब्लॉक कर रहा है, या अमान्य/एक्सपायर्ड RadSec सर्टिफिकेट।
- शमन: RADIUS प्रॉक्सी के WAN इंटरफ़ेस पर पैकेट कैप्चर करें। सत्यापित करें कि TLS हैंडशेक सफलतापूर्वक पूरा हो गया है। सर्टिफिकेट निरसन सूची (CRL) स्थिति की जाँच करें।
समस्या: ऑथेंटिकेशन के दौरान उच्च विलंबता (high latency)
- मूल कारण: भौगोलिक रूप से दूर स्थित IDPs या NAPTR रिकॉर्ड के लिए धीमा DNS रिज़ॉल्यूशन।
- शमन: DNS रिकॉर्ड्स की लोकल कैशिंग लागू करें और सुनिश्चित करें कि आपके RADIUS प्रॉक्सी के पास क्षेत्रीय OpenRoaming हब के लिए कम-विलंबता वाले मार्ग हैं।
ROI और व्यावसायिक प्रभाव
Passpoint और OpenRoaming पर संक्रमण तीन प्राथमिक क्षेत्रों में मापने योग्य व्यावसायिक मूल्य प्रदान करता है: परिचालन दक्षता, सुरक्षा स्थिति, और डेटा इंटेलिजेंस।
परिचालन दक्षता
कनेक्शन प्रक्रिया को स्वचालित करके, वेन्यूज को अतिथि WiFi से संबंधित सहायता टिकटों में महत्वपूर्ण कमी का अनुभव होता है। फ्रंट-डेस्क कर्मचारी और IT हेल्पडेस्क Captive Portal विफलताओं और पासवर्ड समस्याओं के समाधान में कम समय बिताते हैं।
सुरक्षा स्थिति
पारंपरिक ओपन गेस्ट नेटवर्क उपयोगकर्ताओं को ईव्सड्रॉपिंग और मैन-इन-द-मिडल हमलों के प्रति संवेदनशील बनाते हैं। Passpoint एंटरप्राइज-ग्रेड एन्क्रिप्शन (WPA2/WPA3-Enterprise) को अनिवार्य बनाता है, जिससे सभी ओवर-द-एयर ट्रैफ़िक सुरक्षित रहता है। यह उपयोगकर्ता और वेन्यू दोनों को डेटा उल्लंघन से जुड़े दायित्वों से बचाता है।
डेटा इंटेलिजेंस
जब Purple जैसे प्लेटफॉर्म के साथ एकीकृत किया जाता है, तो Passpoint वेन्यू को वापस आने वाले विज़िटर्स को आसानी से पहचानने की अनुमति देता है। चूंकि डिवाइस स्वचालित रूप से कनेक्ट होता है, इसलिए वेन्यू उपयोगकर्ता को बार-बार ब्राउज़र खोलने और लॉग इन करने की आवश्यकता के बिना सटीक ड्वेल टाइम और विज़िट फ़्रीक्वेंसी मेट्रिक्स कैप्चर कर लेता है। यह निरंतर डेटा स्ट्रीम अत्यधिक लक्षित, रीयल-टाइम एंगेजमेंट रणनीतियों को सक्षम बनाती है।
मुख्य परिभाषाएं
Passpoint
एक Wi-Fi Alliance सर्टिफिकेशन प्रोग्राम (Hotspot 2.0 पर आधारित) जो मोबाइल डिवाइस को एंटरप्राइज-ग्रेड सुरक्षा के साथ WiFi नेटवर्क को स्वचालित रूप से खोजने और उनसे कनेक्ट करने में सक्षम बनाता है।
यह निर्बाध गेस्ट ऑनबोर्डिंग के लिए तकनीकी आधार बनाता है।
OpenRoaming
Wireless Broadband Alliance (WBA) द्वारा बनाया गया एक वैश्विक रोमिंग फ़ेडरेशन जो उपयोगकर्ताओं को विश्वसनीय पहचान का उपयोग करके सुरक्षित और स्वचालित रूप से WiFi नेटवर्क से कनेक्ट करने की अनुमति देता है।
यह Passpoint के ऊपर पॉलिसी और पहचान परत के रूप में कार्य करता है।
ANQP
एक्सेस नेटवर्क क्वेरी प्रोटोकॉल। मोबाइल डिवाइस द्वारा AP से जुड़ने से पहले नेटवर्क क्षमताओं की खोज करने के लिए उपयोग किया जाने वाला एक क्वेरी-रिस्पॉन्स प्रोटोकॉल।
802.11u में प्री-असोसिएशन खोज के लिए महत्वपूर्ण।
802.11u
IEEE 802.11 मानक में एक संशोधन जो बाहरी नेटवर्क के साथ इंटरवर्किंग के लिए सुविधाएँ जोड़ता है, जिससे प्री-असोसिएशन खोज सक्षम होती है।
भौतिक और MAC लेयर मानक जो Passpoint को संभव बनाता है।
RadSec
RADIUS over TLS (RFC 6614)। एक प्रोटोकॉल जो RADIUS पैकेट को TCP पर एक TLS टनल के भीतर एनकैप्सुलेट करके सुरक्षित करता है।
सार्वजनिक इंटरनेट पर प्रमाणीकरण ट्रैफ़िक को सुरक्षित करने के लिए OpenRoaming के लिए अनिवार्य।
Roaming Consortium OI
रोमिंग कंसोर्टियम ऑर्गनाइजेशन आइडेंटिफायर। एक विशिष्ट हेक्स आइडेंटिफायर जो IEEE द्वारा किसी विशिष्ट रोमिंग फ़ेडरेशन या पार्टनर की पहचान करने के लिए असाइन किया जाता है।
AP द्वारा यह विज्ञापन देने के लिए उपयोग किया जाता है कि वे कौन से रोमिंग क्रेडेंशियल स्वीकार करते हैं।
HESSID
होमोजीनियस ESSID। AP पर कॉन्फ़िगर किया गया एक 48-बिट MAC एड्रेस जो एक ही नेटवर्क या स्थान से संबंधित AP के समूह की पहचान करता है।
क्लाइंट डिवाइस को यह समझने में मदद करता है कि एकाधिक AP एक ही एडमिनिस्ट्रेटिव डोमेन से संबंधित हैं।
EAP-TLS
एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल-ट्रांसपोर्ट लेयर सिक्योरिटी। एक प्रमाणीकरण प्रोटोकॉल जो आपसी प्रमाणीकरण के लिए डिजिटल प्रमाणपत्रों का उपयोग करता है।
Passpoint द्वारा समर्थित सबसे सुरक्षित प्रमाणीकरण विधि।
हल किए गए उदाहरण
एक बड़े पैमाने के स्टेडियम परिनियोजन के लिए मौजूदा कॉर्पोरेट SSID के साथ OpenRoaming (सेटलमेंट-फ्री) का समर्थन करने के लिए Cisco Catalyst 9800 वायरलेस कंट्रोलर को कॉन्फ़िगर करने की आवश्यकता होती है। नेटवर्क आर्किटेक्ट को यह सुनिश्चित करना चाहिए कि क्लाइंट डिवाइस स्वचालित रूप से सही Roaming Consortium OI का उपयोग करके नेटवर्क की खोज करें और उससे कनेक्ट हों।
इसे Cisco Catalyst 9800 WLC पर लागू करने के लिए, इन कॉन्फ़िगरेशन चरणों का पालन करें:
- ANQP सर्वर प्रोफ़ाइल को परिभाषित करें:
wireless profile anqp openroaming-anqp-profile
venue-name english "Stadium Main Bowl"
venue-group assembly venue-type arena
network-auth-type redirect-url "https://portal.purple.ai"
ip-type ipv4-nat ipv6-no-address
- Roaming Consortium प्रोफ़ाइल बनाएं और OpenRoaming सेटलमेंट-फ्री OI (5A-03-BE-00-00) जोड़ें:
wireless profile roaming openroaming-roaming-profile
roaming-consortium-oi 5A03BE0000
- Hotspot 2.0 (Passpoint) प्रोफ़ाइल को कॉन्फ़िगर करें:
wireless profile hotspot openroaming-hotspot-profile
anqp-server-profile openroaming-anqp-profile
roaming-consortium-profile openroaming-roaming-profile
hessid 00:11:22:33:44:55
- हॉटस्पॉट प्रोफ़ाइल को लक्षित WLAN प्रोफ़ाइल पर लागू करें:
wlan openroaming-wlan 1 openroaming-ssid
security wpa wpa3
security wpa akm eap
hotspot-profile openroaming-hotspot-profile
no shutdown
- CLI का उपयोग करके कॉन्फ़िगरेशन को सत्यापित करें:
show wireless profile hotspot detailed openroaming-hotspot-profile
एक मल्टी-साइट रिटेल चेन पारंपरिक Captive Portal से हाइब्रिड मॉडल में माइग्रेट करना चाहती है। वे सहज कनेक्शन के लिए OpenRoaming का उपयोग करना चाहते हैं, साथ ही विज़िटर व्यवहार को ट्रैक करने और ड्वेल टाइम के आधार पर लक्षित अभियान चलाने के लिए Purple के एनालिटिक्स प्लेटफ़ॉर्म का उपयोग करना चाहते हैं।
समाधान के लिए OpenRoaming फ़ेडरेशन को ऑथेंटिकेशन अनुरोध रूट करने के लिए एक RadSec प्रॉक्सी को कॉन्फ़िगर करने की आवश्यकता होती है, साथ ही साथ Purple क्लाउड प्लेटफ़ॉर्म पर एकाउंटिंग डेटा भेजने की भी आवश्यकता होती है।
- OpenRoaming गेटवे के साथ TLS कनेक्शन स्थापित करने के लिए स्थानीय RadSec प्रॉक्सी (जैसे, FreeRADIUS) को कॉन्फ़िगर करें:
home_server openroaming_radsec {
type = auth+acct
ipaddr = radsec.openroaming.org
port = 2083
proto = tcp
tls {
private_key_file = /etc/raddb/certs/radsec.key
certificate_file = /etc/raddb/certs/radsec.pem
ca_file = /etc/raddb/certs/wba_ca.pem
}
}
- एकाउंटिंग पैकेट को डुप्लिकेट करने और उन्हें Purple के RADIUS एकाउंटिंग एंडपॉइंट पर अग्रेषित करने के लिए एकाउंटिंग सर्वर को कॉन्फ़िगर करें:
home_server purple_accounting {
type = acct
ipaddr = acct.purpleportal.net
port = 1813
secret = PurpleSharedSecret
}
realm openroaming {
auth_pool = openroaming_radsec
acct_pool = purple_accounting
}
- WLC पर, सुनिश्चित करें कि RADIUS एकाउंटिंग सक्षम है और प्रत्येक 300 सेकंड में अंतरिम अपडेट भेजने के लिए कॉन्फ़िगर किया गया है। यह सुनिश्चित करता है कि Purple को निरंतर ड्वेल टाइम डेटा प्राप्त हो, भले ही उपयोगकर्ता सक्रिय रूप से ब्राउज़र न खोले।
अभ्यास प्रश्न
Q1. एक नेटवर्क इंजीनियर देखता है कि Android डिवाइस स्वचालित रूप से OpenRoaming SSID से कनेक्ट हो रहे हैं, लेकिन iOS डिवाइस उपयोगकर्ताओं को मैन्युअल रूप से नेटवर्क चुनने के लिए कह रहे हैं। इस व्यवहार का सबसे संभावित कारण क्या है?
संकेत: विचार करें कि विभिन्न मोबाइल ऑपरेटिंग सिस्टम पर प्रोफाइल कैसे प्रोविज़न्ड और ट्रस्टेड होते हैं।
मॉडल उत्तर देखें
सबसे संभावित कारण यह है कि iOS डिवाइस में आवश्यक OpenRoaming प्रोफ़ाइल इंस्टॉल नहीं है, या प्रोफ़ाइल का प्रमाणपत्र पेलोड iOS द्वारा विश्वसनीय नहीं है। Android डिवाइस अक्सर डिवाइस निर्माताओं या कैरियर कॉन्फ़िगरेशन से प्री-इंस्टॉल OpenRoaming प्रोफ़ाइल के साथ आते हैं। रूट CA पर भरोसा करने और SSID के साथ Roaming Consortium OI को जोड़ने के लिए iOS को MDM, प्रोविज़निंग ऐप, या Purple जैसे पोर्टल के माध्यम से स्पष्ट प्रोफ़ाइल इंस्टॉलेशन की आवश्यकता होती है।
Q2. एक RadSec प्रॉक्सी के WAN इंटरफ़ेस पर पैकेट कैप्चर के दौरान, आप पोर्ट 2083 पर भेजे गए TCP SYN पैकेट देखते हैं, लेकिन कोई SYN-ACK प्राप्त नहीं होता है। आपको समस्या निवारण के क्या कदम उठाने चाहिए?
संकेत: नेटवर्क पाथ और फ़ायरवॉल कॉन्फ़िगरेशन पर ध्यान केंद्रित करें।
मॉडल उत्तर देखें
- सत्यापित करें कि आउटबाउंड फ़ायरवॉल नीति RadSec प्रॉक्सी IP से गंतव्य OpenRoaming गेटवे तक TCP पोर्ट 2083 ट्रैफ़िक की अनुमति देती है।
- जांचें कि क्या कोई मध्यवर्ती सुरक्षा उपकरण (जैसे IPS या डीप पैकेट निरीक्षण फ़ायरवॉल) ट्रैफ़िक को ब्लॉक या ड्रॉप कर रहा है।
- पुष्टि करें कि DNS NAPTR रिकॉर्ड के माध्यम से रिज़ॉल्व किया गया गंतव्य IP पता सही और सुलभ है।
- यह पहचानने के लिए ट्रेसरूट करें कि ट्रांज़िट पाथ में पैकेट ड्रॉप कहाँ हो रहा है।
Q3. Passpoint और OpenRoaming को तैनात करते समय SSID समेकन को एक सर्वोत्तम अभ्यास क्यों माना जाता है, और इस अनुशंसा को अनदेखा करने का तकनीकी प्रभाव क्या है?
संकेत: एयरटाइम दक्षता और बीकन ओवरहेड के बारे में सोचें।
मॉडल उत्तर देखें
SSID समेकन (consolidation) महत्वपूर्ण है क्योंकि AP पर कॉन्फ़िगर किए गए प्रत्येक SSID को अपने स्वयं के बीकन फ्रेम प्रसारित करने होते हैं, आमतौर पर सबसे कम समर्थित अनिवार्य डेटा दर पर। Passpoint/OpenRoaming के लिए एक समर्पित SSID बनाने से बीकन ओवरहेड बढ़ जाता है, जिससे मूल्यवान एयरटाइम की खपत होती है और समग्र नेटवर्क क्षमता कम हो जाती है। Passpoint को मौजूदा सुरक्षित एंटरप्राइज SSID पर समेकित करके, AP मौजूदा बीकन फ्रेम के भीतर 802.11u मापदंडों का विज्ञापन करता है, जिससे एयरटाइम सुरक्षित रहता है और इष्टतम चैनल दक्षता बनी रहती है।
इस श्रृंखला में आगे पढ़ें
अतिथि और स्टाफ WiFi नेटवर्क के लिए RADIUS ऑथेंटिकेशन को कॉन्फ़िगर करना
यह तकनीकी संदर्भ गाइड एंटरप्राइज़ अतिथि और स्टाफ WiFi नेटवर्क के लिए RADIUS ऑथेंटिकेशन के आर्किटेक्चर, कॉन्फ़िगरेशन और डिप्लॉयमेंट की रूपरेखा तैयार करती है। यह नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को सुरक्षित, स्केलेबल वायरलेस एक्सेस कंट्रोल सिस्टम बनाने के लिए आवश्यक सटीक प्रोटोकॉल, सुरक्षा मानक और ट्रबलशूटिंग कार्यप्रणाली प्रदान करती है।
उच्च शिक्षा में सुरक्षित BYOD और नेटवर्क नामांकन के लिए SCEP को कैसे लागू करें
यह तकनीकी मार्गदर्शिका नेटवर्क आर्किटेक्ट्स और IT प्रबंधकों को उच्च शिक्षा परिसर नेटवर्क को सुरक्षित करने के लिए SCEP-आधारित प्रमाणपत्र नामांकन को तैनात करने के लिए एक वेंडर-न्यूट्रल ब्लूप्रिंट प्रदान करती है। यह विवरण देती है कि पासवर्ड-आधारित PEAP से 802.1X EAP-TLS पर कैसे माइग्रेट करें, BYOD ऑनबोर्डिंग को स्वचालित करें, और मजबूत VLAN सेगमेंटेशन लागू करें।
Server RADIUS: व्यवसायों के लिए एक व्यापक गाइड
यह गाइड IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और CTOs को एंटरप्राइज WiFi के लिए server RADIUS प्रमाणीकरण पर एक निश्चित तकनीकी संदर्भ प्रदान करती है। इसमें AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP विधि चयन, क्लाउड बनाम ऑन-प्रिमाइसेस डिप्लॉयमेंट के बीच समझौता, और डायनेमिक VLAN असाइनमेंट शामिल हैं। हॉस्पिटैलिटी, रिटेल, इवेंट्स और सार्वजनिक क्षेत्र के वेन्यू ऑपरेटरों को इसमें व्यावहारिक कार्यान्वयन मार्गदर्शन, वास्तविक दुनिया के केस स्टडीज और असुरक्षित प्री-शेयर्ड कीज़ से एक सुरक्षित, पहचान-आधारित नेटवर्क एक्सेस कंट्रोल आर्किटेक्चर पर माइग्रेट करने के लिए आवश्यक निर्णय फ्रेमवर्क मिलेंगे।