विक्रेता द्वारा प्रति-डिवाइस PSK: iPSK, DPSK, MPSK और PPSK की तुलना (और WPA3 सपोर्ट)

विक्रेता द्वारा प्रति-डिवाइस PSK: iPSK, DPSK, MPSK और PPSK की तुलना, और WPA3 सपोर्ट। एक Purple तकनीकी ब्रीफिंग। परिचय और संदर्भ। Purple तकनीकी ब्रीफिंग श्रृंखला में स्वागत है। मैं आपको एंटरप्राइज़ WiFi में वर्तमान में सबसे व्यावहारिक रूप से महत्वपूर्ण - और अक्सर गलत समझे जाने वाले - विषयों में से एक के बारे में बताने जा रहा हूँ: प्रति-डिवाइस प्री-शेयर्ड कीज़। विशेष रूप से, हम तुलना करने जा रहे हैं कि प्रत्येक प्रमुख विक्रेता इस क्षमता को कैसे लागू करता है, वे इसे क्या कहते हैं, यह वास्तव में कैसे काम करता है, और - महत्वपूर्ण रूप से - जब आप WPA3 पर जाने का प्रयास करते हैं तो क्या होता है। यदि आप एक IT प्रबंधक, नेटवर्क आर्किटेक्ट, या वेन्यू ऑपरेशंस डायरेक्टर हैं जो किसी होटल परिसर, रिटेल चेन, स्टेडियम या सार्वजनिक क्षेत्र के परिसर में WiFi चला रहे हैं, तो यह ब्रीफिंग आपके लिए है। आपने शायद पहले से ही इन संक्षिप्त नामों को सुना होगा: iPSK, DPSK, MPSK, PPSK। ये सभी एक ही अवधारणा को संदर्भित करते हैं - एक ही SSID पर प्रत्येक डिवाइस या उपयोगकर्ता को उसका अपना अनूठा पासवर्ड देना - लेकिन इम्प्लीमेंटेशन काफी भिन्न होते हैं, और जब आप अपने अगले बुनियादी ढांचे के नवीनीकरण की योजना बना रहे होते हैं तो वे अंतर मायने रखते हैं। आइए बुनियादी बातों से शुरू करें, फिर प्रत्येक विक्रेता के बारे में जानें, और WPA3 के उस प्रश्न के साथ समाप्त करें जिससे हर कोई वर्तमान में जूझ रहा है। तकनीकी गहन विश्लेषण। तो प्रति-डिवाइस PSK क्या है, और यह क्यों मौजूद है? पारंपरिक WPA2-Personal पूरे SSID के लिए एक ही साझा पासफ़्रेज़ का उपयोग करता है। आपके अतिथि नेटवर्क पर हर कोई एक ही पासवर्ड का उपयोग करता है। इससे दो समस्याएं पैदा होती हैं। पहला, आप सभी के लिए पासवर्ड बदले बिना किसी एक डिवाइस के लिए एक्सेस को निरस्त नहीं कर सकते। दूसरा, आपके पास कोई प्रति-डिवाइस दृश्यता या नीति प्रवर्तन नहीं होता है। प्रति-डिवाइस PSK दोनों को हल करता है। प्रत्येक डिवाइस या उपयोगकर्ता को एक अद्वितीय क्रेडेंशियल मिलता है। आप दूसरों को प्रभावित किए बिना एक को निरस्त कर सकते हैं। आप प्रति की (key) अलग-अलग VLAN, बैंडविड्थ नीतियां या एक्सेस शेड्यूल असाइन कर सकते हैं। यह WPA2-Personal की सादगी और पूर्ण 802.1X एंटरप्राइज़ प्रमाणीकरण की जटिलता के बीच का मध्य मार्ग है। आइए अब देखें कि प्रत्येक विक्रेता इसे कैसे लागू करता है। Cisco Meraki इसे iPSK - Identity Pre-Shared Key कहता है। Meraki दो मोड का समर्थन करता है। RADIUS के बिना, आप सीधे Meraki डैशबोर्ड में अधिकतम पांच अद्वितीय PSK कॉन्फ़िगर करते हैं, जिनमें से प्रत्येक एक VLAN पर मैप होता है। इसे सेट करना त्वरित है और इसके लिए किसी बाहरी बुनियादी ढांचे की आवश्यकता नहीं होती है। RADIUS के साथ - आमतौर पर Cisco ISE - आप हजारों कीज़ तक स्केल कर सकते हैं। क्लाइंट जुड़ता है, AP RADIUS सर्वर को MAC एड्रेस और एक PSK हिंट भेजता है, सर्वर सही प्रति-डिवाइस की (key) लौटाता है, और मानक WPA2 फोर-वे हैंडशेक उस की (key) का उपयोग पेयरवाइज मास्टर की (Pairwise Master Key) के रूप में करके पूरा होता है। यहाँ मुख्य बात यह है कि RADIUS सर्वर लुकअप कर रहा है, AP नहीं। AP केवल एक्सचेंज की सुविधा प्रदान करता है। HPE Aruba इसे MPSK - Multiple Pre-Shared Key कहता है। Aruba Central और Aruba Instant दो मोड में MPSK का समर्थन करते हैं: MPSK Local, जहां कीज़ कंट्रोलर या AP क्लस्टर पर स्टोर की जाती हैं, और ClearPass के साथ MPSK, जो Aruba का RADIUS और पॉलिसी इंजन है। ClearPass हजारों कीज़ रख सकता है, डायनेमिक VLAN असाइन कर सकता है, और प्रति की (key) भूमिका-आधारित नीतियां लागू कर सकता है। प्रमाणीकरण प्रवाह अनिवार्य रूप से Meraki के RADIUS मोड के समान है - MAC-आधारित लुकअप फोर-वे हैंडशेक से पहले प्रति-डिवाइस की (key) लौटाता है। Ruckus - जो अब CommScope का हिस्सा है - इसे DPSK, Dynamic Pre-Shared Key कहता है। यह यकीनन बाजार में सबसे परिपक्व इम्प्लीमेंटेशन में से एक है। Ruckus DPSK शुरुआती SmartZone के दिनों से उपलब्ध है। लोकल मोड में, DPSK सेवा कंट्रोलर पर चलती है और की (key) डेटाबेस रखती है। RADIUS मोड में, यह Cloudpath के साथ एकीकृत होती है, जो Ruckus का अपना नेटवर्क एक्सेस कंट्रोल प्लेटफॉर्म है। जो बात Ruckus को उल्लेखनीय बनाती है वह है DPSK3 - DPSK का उनका WPA3 एक्सटेंशन, जिस पर हम जल्द ही वापस आएंगे। DPSK3 फ़र्मवेयर 7.0 या बाद के संस्करण पर चलने वाले WiFi 6, 6E और 7 एक्सेस पॉइंट्स पर उपलब्ध है, और यह WPA2 स्लैश WPA3 मिक्स्ड मोड में काम करता है। Juniper Mist इसे PPSK - Private Pre-Shared Key - या कभी-कभी Multi-PSK कहता है। Mist क्लाउड में, Mist संगठन या साइट की (key) डेटाबेस में कीज़ स्टोर करता है, जिसकी सीमा प्रति साइट 5,000 कीज़ है। कीज़ प्रति उपयोगकर्ता, प्रति डिवाइस या प्रति समूह असाइन की जा सकती हैं। Mist अपनी Access Assurance सेवा - क्लाउड-नेटिव NAC - के साथ भी एकीकृत होता है, जो RADIUS-आधारित PSK लुकअप जोड़ता है। महत्वपूर्ण रूप से, Juniper ने Access Assurance के माध्यम से WPA3 RADIUS PSK सपोर्ट की घोषणा की है, जिससे एक ही WPA3-Personal SSID कई पासफ़्रेज़ की सेवा कर सकता है। यह बाजार में अधिक प्रगतिशील इम्प्लीमेंटेशन में से एक है। Extreme Networks - जिसने Aerohive का अधिग्रहण किया था - इसे ExtremeCloud IQ के माध्यम से PPSK, Private Pre-Shared Key कहता है। Extreme का इम्प्लीमेंटेशन AP पर ही स्थानीय की (key) स्टोरेज का समर्थन करता है, जो सीमित कनेक्टिविटी वाले शाखा या दूरस्थ साइटों के लिए उपयोगी है। इट आल्सो सपोर्ट्स RADIUS-आधारित लुकअप वाया ExtremeCloud IQ की क्लाउड RADIUS सेवा। MAC बाइंडिंग उपलब्ध है, जो अतिरिक्त सुरक्षा के लिए PPSK को एक विशिष्ट डिवाइस MAC एड्रेस से जोड़ती है। Fortinet इसे MPSK, Multiple Pre-Shared Key कहता है, जिसे FortiAP और FortiGate वायरलेस कंट्रोलर के माध्यम से प्रबंधित किया जाता है। Fortinet का इम्प्लीमेंटेशन उल्लेखनीय है क्योंकि यह स्पष्ट रूप से अपने MPSK प्रोफाइल में WPA3-SAE और WPA3-SAE ट्रांज़िशन सुरक्षा मोड का समर्थन करता है - FortiAP फ़र्मवेयर 8.0 के अनुसार। आप WPA3-SAE कीज़ के साथ एक MPSK प्रोफ़ाइल बना सकते हैं, उन्हें VAP में असाइन कर सकते हैं, और प्रति की (key) डायनेमिक VLAN असाइनमेंट सक्षम कर सकते हैं। यह आज उपलब्ध अधिक स्पष्ट WPA3 MPSK इम्प्लीमेंटेशन में से एक है। Ubiquiti UniFi इसे Private Pre-Shared Keys, या Private PSK कहता है। UniFi का इम्प्लीमेंटेशन केवल स्थानीय है - कीज़ UniFi Network कंट्रोलर में स्टोर की जाती हैं, न कि किसी बाहरी RADIUS सर्वर में। आप प्रति की (key) अलग-अलग VLAN असाइन कर सकते हैं और प्रति की (key) क्लाइंट सीमाएं निर्धारित कर सकते हैं। महत्वपूर्ण सीमा: 2026 के मध्य तक, UniFi Private PSK केवल 2.4 GHz और 5 GHz पर WPA2 नेटवर्क पर काम करता है। WPA3 और 6 GHz समर्थित नहीं हैं। छोटे स्तर पर तैनाती के लिए यह ठीक है, लेकिन बड़े पैमाने पर UniFi संपत्ति के लिए प्रतिबद्ध होने से पहले यह जानने योग्य बाधा है। अब, WPA3 का प्रश्न। यह वह जगह है जहाँ यह तकनीकी रूप से दिलचस्प हो जाता है। WPA2-Personal फोर-वे हैंडशेक का उपयोग करता है। क्लाइंट और AP एक साझा पेयरवाइज मास्टर की (Pairwise Master Key) से एक पेयरवाइज ट्रांजिएंट की (Pairwise Transient Key) प्राप्त करते हैं, जो स्वयं पासफ़्रेज़ से प्राप्त होती है। चूंकि PMK व्युत्पत्ति (derivation) RADIUS लुकअप के बाद होती है, इसलिए AP उस बिंदु पर प्रति-डिवाइस की (key) को प्रतिस्थापित कर सकता है। मानक को इससे कोई फर्क नहीं पड़ता - यह केवल एक वैध PMK देखता है। WPA3-Personal फोर-वे हैंडशेक को SAE - साइमल्टेनियस ऑथेंटिकेशन ऑफ इक्वल्स से बदल देता है। SAE एक डिफी-हेलमैन-आधारित प्रोटोकॉल है। एसोसिएशन पूरा होने से पहले दोनों पक्ष पासफ़्रेज़ से प्राप्त एक साझा पासवर्ड तत्व के लिए प्रतिबद्ध होते हैं। महत्वपूर्ण अंतर: SAE एक्सचेंज शुरू होने से पहले दोनों पक्षों को पासवर्ड पता होना चाहिए। प्रोटोकॉल में ऐसा कोई बिंदु नहीं है जहां एक RADIUS सर्वर प्रति डिवाइस एक अलग की (key) इंजेक्ट कर सके। AP और क्लाइंट पहले से ही एकल साझा मूल्य के साथ एक क्रिप्टोग्राफिक नृत्य (cryptographic dance) कर रहे होते हैं। यही कारण है कि WPA3 वर्तमान में अपने मानक रूप में प्रति SSID केवल एक की (key) की अनुमति देता है। यह कोई फ़र्मवेयर सीमा नहीं है। यह एक प्रोटोकॉल बाधा है। समाधान तीन श्रेणियों में आते हैं। पहला, WPA3 ट्रांज़िशन मोड - जिसे WPA2 स्लैश WPA3 मिक्स्ड मोड भी कहा जाता है। SSID WPA2-PSK और WPA3-SAE दोनों का विज्ञापन करता है। WPA2 क्लाइंट फोर-वे हैंडशेक का उपयोग करते हैं और RADIUS के माध्यम से प्रति-डिवाइस कीज़ प्राप्त कर सकते हैं। WPA3 क्लाइंट एकल साझा पासवर्ड के साथ SAE का उपयोग करते हैं। यह आज सबसे व्यापक रूप से तैनात दृष्टिकोण है और Cisco Meraki, HPE Aruba, Ruckus और अन्य द्वारा समर्थित है। दूसरा, मालिकाना एक्सटेंशन। Ruckus DPSK3 इसका सबसे स्पष्ट उदाहरण है। RADIUS बैकएंड के रूप में Cloudpath के साथ WPA2 स्लैश WPA3 मिक्स्ड मोड में चलकर, DPSK3 WPA3-सक्षम उपकरणों को SAE का उपयोग करने की अनुमति देता है जबकि सिस्टम Cloudpath एकीकरण के माध्यम से प्रति-डिवाइस की (key) बाइंडिंग का प्रबंधन करता है। Juniper का Access Assurance WPA3 RADIUS PSK भी इसी तरह का दृष्टिकोण अपनाता है। WPA3-SAE ट्रांज़िशन मोड के साथ Fortinet का MPSK आपको एक ही MPSK प्रोफ़ाइल में WPA2-Personal और WPA3-SAE कीज़ को मिलाने की अनुमति देता है। तीसरा, 802.1X पर जाना। प्रबंधित एंडपॉइंट्स के लिए - कॉर्पोरेट लैपटॉप, स्टाफ डिवाइस, कुछ भी जिस पर आप प्रमाणपत्र पुश कर सकते हैं - EAP-TLS के साथ WPA3-Enterprise इसका स्पष्ट उत्तर है। यह WPA3 और 6 GHz के साथ पूरी तरह से संगत है, प्रति-डिवाइस पहचान प्रदान करता है, और Microsoft Entra ID, Okta और Google Workspace के साथ एकीकृत होता है। इसका नुकसान तैनाती की जटिलता और प्रमाणपत्र बुनियादी ढांचे की आवश्यकता है। इम्प्लीमेंटेशन सिफारिशें और नुकसान। तो आपको वास्तव में क्या करना चाहिए? यदि आप अतिथि उपकरणों, IoT सेंसर और स्टाफ उपकरणों के मिश्रण के साथ एक होटल परिसर चला रहे हैं, तो 2026 में व्यावहारिक उत्तर एक हाइब्रिड SSID डिज़ाइन है। पुराने IoT और अतिथि उपकरणों के लिए प्रति-डिवाइस PSK के साथ एक WPA2-Personal SSID बनाए रखें। आपके द्वारा नियंत्रित स्टाफ उपकरणों के लिए एक WPA3-Enterprise SSID चलाएं। अपने SSID की संख्या को विभाजित किए बिना WPA2 और WPA3 दोनों क्लाइंट का समर्थन करने के लिए अपने प्राथमिक अतिथि SSID पर ट्रांज़िशन मोड का उपयोग करें। यदि आप Ruckus पर हैं और WiFi 6 या नया हार्डवेयर चला रहे हैं, तो Cloudpath के साथ WPA2 स्लैश WPA3 मिक्स्ड मोड में DPSK3 का मूल्यांकन करने योग्य है। यह आपको आज उपलब्ध मूल WPA3 प्रति-डिवाइस PSK के सबसे करीब की चीज़ प्रदान करता है। यदि आप Fortinet पर हैं, तो WPA3-SAE ट्रांज़िशन के साथ MPSK प्रोफ़ाइल को कॉन्फ़िगर करना सीधा है और आपको एक स्पष्ट माइग्रेशन पथ प्रदान करता है। यदि आप UniFi पर हैं, तो अपने हितधारकों को स्पष्ट रूप से बताएं कि Private PSK केवल-WPA2 है। 6 GHz रेडियो के साथ WiFi 6E या WiFi 7 तैनात करने वाले स्थानों के लिए, आपको उस बैंड के लिए एक अलग प्रमाणीकरण रणनीति की आवश्यकता होगी। सबसे बड़ा नुकसान जो हम देखते हैं वह यह है कि टीमें यह मान लेती हैं कि किसी मौजूदा प्रति-डिवाइस PSK SSID पर WPA3 सक्षम करने से यह काम करने लगेगा। ऐसा नहीं होगा। पहले एक पायलट साइट में परीक्षण करें। अपने AP फ़र्मवेयर संस्करणों की जाँच करें - उदाहरण के लिए, Ruckus पर DPSK3 के लिए फ़र्मवेयर 7.0 या बाद के संस्करण की आवश्यकता होती है। और अपने RADIUS सर्वर की संगतता की जाँच करें - मिक्स्ड मोड में Ruckus DPSK3 के लिए विशेष रूप से Cloudpath की आवश्यकता होती है, न कि किसी सामान्य RADIUS सर्वर की। दूसरा नुकसान की (key) का अनावश्यक प्रसार है। जवाबदेही के लिए प्रति-डिवाइस PSK उत्कृष्ट है, लेकिन केवल तभी जब आपके पास उपकरणों को सेवा से हटाए जाने पर कीज़ को निरस्त करने की प्रक्रिया हो। लाइफसाइकिल प्रबंधन के बिना, आपके पास हजारों अनाथ कीज़ बचेंगी और कोई ऑडिट ट्रेल नहीं होगा। पहले दिन से ही अपने की (key) प्रोविज़निंग को अपने डिवाइस प्रबंधन वर्कफ़्लो के साथ एकीकृत करें। त्वरित प्रश्न और उत्तर। क्या मैं 6 GHz SSID पर प्रति-डिवाइस PSK का उपयोग कर सकता हूँ? नहीं। 6 GHz केवल-WPA3 को अनिवार्य करता है, और WPA3 मूल रूप से प्रति-डिवाइस PSK का समर्थन नहीं करता है। उन उपकरणों के लिए 802.1X या एक अलग 2.4 स्लैश 5 GHz SSID का उपयोग करें जिन्हें प्रति-डिवाइस PSK की आवश्यकता होती है। क्या प्रति-डिवाइस PSK PCI-DSS आवश्यकताओं को पूरा करता है? WPA2 पर प्रति-डिवाइस PSK PCI-DSS 4.0 नेटवर्क सेगमेंटेशन आवश्यकताओं को पूरा कर सकता है यदि प्रत्येक की (key) एक पृथक VLAN पर मैप होती है। लेकिन PCI-DSS कार्डधारक डेटा वातावरण के लिए 802.1X की दृढ़ता से अनुशंसा करता है। अपने QSA से जाँच करें। प्रति SSID कीज़ की अधिकतम संख्या क्या है? यह काफी भिन्न होता है। ISE के साथ Cisco Meraki बहुत बड़ी तैनाती का समर्थन करता है। Ruckus DPSK हजारों कीज़ का समर्थन करता है। Juniper Mist प्रति साइट 5,000 पर सीमित है। UniFi प्रभावी रूप से कंट्रोलर मेमोरी द्वारा सीमित है। अपने विशिष्ट फ़र्मवेयर संस्करण के लिए हमेशा विक्रेता के दस्तावेज़ों की जाँच करें। Purple इसमें कैसे फिट बैठता है? Purple आपके मौजूदा हार्डवेयर के ऊपर एक क्लाउड ओवरले के रूप में बैठता है। हम Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme और Fortinet के साथ एकीकृत होते हैं। Guest WiFi और Staff WiFi तैनाती के लिए, Purple पहचान परत (identity layer) - प्रमाणीकरण, डेटा कैप्चर, सहमति प्रबंधन - को संभालता है और RADIUS या API के माध्यम से आपके हार्डवेयर को उचित VLAN या नीति असाइनमेंट वापस भेजता है। आप अपना मौजूदा प्रति-डिवाइस PSK बुनियादी ढांचा बनाए रखते हैं; Purple इसके ऊपर पहचान और विश्लेषण परत जोड़ता है। सारांश और अगले चरण। आइए इसे संक्षेप में समझें। प्रति-डिवाइस PSK - चाहे आप इसे iPSK, DPSK, MPSK, या PPSK कहें - सभी प्रमुख एंटरप्राइज़ WiFi विक्रेताओं में एक परिपक्व, अच्छी तरह से समर्थित क्षमता है। इम्प्लीमेंटेशन इस बात में भिन्न होते हैं कि कीज़ कहाँ स्टोर की जाती हैं, वे कैसे स्केल करती हैं, और वे RADIUS के साथ कैसे एकीकृत होती हैं। WPA3 का SAE प्रोटोकॉल प्रति-डिवाइस PSK के लिए एक वास्तविक तकनीकी बाधा उत्पन्न करता है। मानक मूल रूप से इसका समर्थन नहीं करता है। आज व्यावहारिक उत्तर ट्रांज़िशन मोड, DPSK3 जैसे मालिकाना एक्सटेंशन, या इसका समर्थन करने वाले उपकरणों के लिए 802.1X पर जाना हैं। विक्रेता-दर-विक्रेता सारांश: Cisco Meraki iPSK RADIUS मोड में ISE के साथ अच्छा काम करता है; WPA3 सपोर्ट ट्रांज़िशन मोड के माध्यम से है। ClearPass के साथ HPE Aruba MPSK अत्यधिक स्केलेबल है; WPA3 MPSK सक्रिय विकास में है। Ruckus DPSK3 उपलब्ध सबसे परिपक्व WPA3 प्रति-डिवाइस PSK समाधान है। Juniper Mist Access Assurance WPA3 RADIUS PSK जोड़ता है। Fortinet MPSK स्पष्ट रूप से अपने MPSK प्रोफाइल में WPA3-SAE का समर्थन करता है। Extreme PPSK स्थानीय और RADIUS मोड के लिए मजबूत है। UniFi Private PSK केवल-WPA2 और केवल-स्थानीय है। आपके अगले कदमों के लिए: अपने वर्तमान प्रति-डिवाइस PSK परिनियोजन का ऑडिट करें, पहचानें कि कौन से डिवाइस WPA3-सक्षम हैं, और एक हाइब्रिड SSID रणनीति डिज़ाइन करें जो दोनों की सेवा करे। यदि आप हार्डवेयर नवीनीकरण की योजना बना रहे हैं, तो पुष्ट DPSK3 या WPA3 MPSK समर्थन वाले WiFi 6 या WiFi 7 AP को प्राथमिकता दें। यदि आप यह समझना चाहते हैं कि Purple आपके प्रति-डिवाइस PSK परिनियोजन के शीर्ष पर पहचान प्रबंधन और विश्लेषण जोड़ने के लिए आपके विशिष्ट हार्डवेयर विक्रेता के साथ कैसे एकीकृत होता है, तो purple.ai पर जाएं या अपनी खाता टीम से बात करें। इस ब्रीफिंग के लिए बस इतना ही। सुनने के लिए धन्यवाद।