पॉडकास्ट ट्रांसक्रिप्ट देखें
SONICWALL TZ AND SONICWAVE INTEGRATION WITH PURPLE WIFI
Purple WiFi Intelligence Platform - Technical Briefing Series
अवधि: लगभग 10 मिनट
आवाज: यूके इंग्लिश, सीनियर कंसलटेंट टोन - आत्मविश्वासी, संवादात्मक, आधिकारिक
---
सेगमेंट 1: परिचय और संदर्भ (लगभग 1 मिनट)
Purple टेक्निकल ब्रीफिंग सीरीज में आपका स्वागत है। आज हम एंटरप्राइज WiFi क्षेत्र में अधिक तकनीकी रूप से शामिल इंटीग्रेशन में से एक को कवर कर रहे हैं: SonicWall TZ फायरवॉल और SonicWave एक्सेस पॉइंट, जिन्हें गेस्ट ऑथेंटिकेशन, स्टाफ एक्सेस कंट्रोल और मल्टी-टेनेंट नेटवर्क आइसोलेशन के लिए Purple के साथ तैनात किया गया है।
यदि आप एक आईटी सुरक्षा इंजीनियर हैं या एक MSP हैं जो वेन्यू - होटल, रिटेल चेन, कॉन्फ्रेंस सेंटर, या मिश्रित-उपयोग वाले डेवेलपमेंट्स - का प्रबंधन करते हैं, तो यह ब्रीफिंग आपके लिए है। हम आर्किटेक्चर, कॉन्फ़िगरेशन चरणों और उन स्थानों के बारे में तेजी से बात करेंगे जहां पर डिप्लॉयमेंट में गड़बड़ी होती है।
SonicWall एसएमबी और मिड-मार्केट क्षेत्र में एक मजबूत विकल्प है। TZ सीरीज फायरवॉल व्यापक रूप से तैनात किए गए हैं, और SonicWave APs मूल रूप से SonicOS और वायरलेस नेटवर्क मैनेजर के माध्यम से इंटीग्रेट होते हैं। जब आप इसके ऊपर Purple जोड़ते हैं, तो आपको ब्रांडेड स्प्लैश पेज, RADIUS-आधारित ऑथेंटिकेशन और फर्स्ट-पार्टी डेटा कैप्चर के साथ एक क्लाउड-मैनेज्ड गेस्ट WiFi लेयर मिलती है - वह भी आपके मौजूदा SonicWall इन्फ्रास्ट्रक्चर को बदले बिना।
आइए आर्किटेक्चर को समझते हैं।
---
सेगमेंट 2: तकनीकी गहराई (लगभग 5 मिनट)
यहाँ कवर करने के लिए चार अलग-अलग उपयोग के मामले हैं, और प्रत्येक के पास एक अलग कॉन्फ़िगरेशन पथ है। कैप्टिव पोर्टल रीडायरेक्शन के साथ गेस्ट WiFi। वॉल्ड गार्डन अपवाद। 802.1X का उपयोग करके सुरक्षित स्टाफ WiFi। और डायनेमिक VLAN स्टीयरिंग के साथ SonicWall प्राइवेट प्री-शेयर्ड कीज़ - PPSK - का उपयोग करके मल्टी-टेनेंट आइसोलेशन।
आइए गेस्ट WiFi और SonicWall कैप्टिव पोर्टल से शुरुआत करें।
SonicOS बाहरी कैप्टिव पोर्टल रीडायरेक्ट को संभालने के लिए लाइटवेट हॉटस्पॉट मैसेजिंग - LHM - नामक एक तंत्र का उपयोग करता है। जब कोई गेस्ट आपके गेस्ट SSID से जुड़ता है और ब्राउज़र खोलता है, तो SonicWall उस HTTP अनुरोध को रोकता है और इसे Purple के स्प्लैश पेज URL पर रीडायरेक्ट करता है। गेस्ट Purple के प्लेटफॉर्म पर ऑथेंटिकेट करता है - सोशल लॉगिन, ईमेल, या क्लिक-थ्रू के माध्यम से - और Purple टीसीपी पोर्ट 4043 पर SonicWall को एक LHM प्राधिकरण वापस भेजता है। इसके बाद SonicWall उस डिवाइस के मैक एड्रेस के लिए इंटरनेट एक्सेस खोल देता है।
SonicOS 7.x में कॉन्फ़िगरेशन इस तरह काम करता है। सबसे पहले, ऑब्जेक्ट, फिर मैच ऑब्जेक्ट्स, फिर ज़ोन पर जाएं। अपने गेस्ट WiFi को सौंपे गए ज़ोन को संपादित करें - आमतौर पर एक WLAN या कस्टम ज़ोन। गेस्ट सर्विसेज के अंतर्गत, "Enable Guest Services" और "External Guest Authentication" दोनों को सक्षम करें। फिर कॉन्फ़िगर, गेस्ट सर्विसेज, जनरल पर जाएं। क्लाइंट रीडायरेक्ट प्रोटोकॉल को HTTP पर सेट करें। वेब सर्वर एड्रेस के रूप में Purple के पोर्टल होस्टनाम को दर्ज करें - जो कि portal.purple.ai है। रीडायरेक्ट पाथ को अपने वेन्यू के विशिष्ट स्प्लैश पेज URL पर सेट करें, जिसे Purple वेन्यू डैशबोर्ड में प्रदान करता है। पोर्ट 4043 है।Auth Pages टैब पर, लॉगिन URL को Purple के बाहरी पोर्टल URL पर सेट करें। यदि आप सेशन समाप्त होने की प्रक्रिया को संभालना चाहते हैं, तो लॉगआउट URL सेट करें। Advanced टैब पर, "Allow unauthenticated users to access HTTPS sites" को केवल तभी सक्षम करें जब आपको HTTPS-first उपकरणों का समर्थन करने की आवश्यकता हो - लेकिन ध्यान रखें कि इससे रीडायरेक्ट प्रवर्तन कमजोर हो जाता है।
एक बार सहेजने के बाद, SonicOS स्वचालित रूप से एक NAT पॉलिसी और TCP 4043 की अनुमति देने वाला WAN-to-WAN एक्सेस नियम बनाता है। इन स्वचालित रूप से उत्पन्न नियमों को न हटाएं। ये वही नियम हैं जो LHM हैंडशेक को पूरा करने की अनुमति देते हैं।
अब, Walled Garden कॉन्फ़िगरेशन।
अतिथि के प्रमाणित होने से पहले, स्प्लैश पेज को काम करने योग्य बनाने के लिए उनके डिवाइस को कुछ डोमेन तक पहुंचने की आवश्यकता होती है। Purple का प्लेटफ़ॉर्म अपने स्वयं के CDN और API एंडपॉइंट्स पर निर्भर करता है। OS Captive Portal डिटेक्शन प्रोब - iOS उपकरणों के लिए captive.apple.com, Android के लिए connectivitycheck.gstatic.com, और Windows के लिए msftconnecttest.com - सभी को व्हाइटलिस्ट किया जाना चाहिए। यदि आप सोशल लॉगिन की पेशकश कर रहे हैं, तो Google के लिए accounts.google.com, oauth2.googleapis.com, apis.google.com, और gstatic.com जोड़ें। यदि आप Facebook लॉगिन की पेशकश कर रहे हैं, तो www.facebook.com, graph.facebook.com, connect.facebook.net, और fbcdn.net CDN डोमेन जोड़ें।
SonicOS में, इन्हें Object, Match Objects, Addresses के अंतर्गत FQDN एड्रेस ऑब्जेक्ट्स के रूप में जोड़ें। फिर गेस्ट ज़ोन में एक्सेस नियम बनाएं जो अप्रमाणित उपकरणों को इन FQDNs तक पहुंचने की अनुमति देते हैं। स्थिर IP प्रविष्टियों के बजाय डायनेमिक DNS रिज़ॉल्यूशन का उपयोग करें - SonicOS नियमित अंतराल पर FQDN ऑब्जेक्ट्स को रिज़ॉल्व करता है - क्योंकि CDN IP रेंज बदलने पर ये बदल जाएंगे।
आगे बढ़ते हैं Secure Staff WiFi और 802.1X पर।
यह वह जगह है जहां SonicWave APs और Purple का RADIUS सर्वर एक साथ काम करते हैं। SonicWave AP, 802.1X एक्सचेंज में ऑथेंटिकेटर के रूप में कार्य करता है। सप्लिकेंट स्टाफ डिवाइस है। Purple का RADIUS सर्वर ऑथेंटिकेशन सर्वर है। आपके द्वारा चुनी जाने वाली EAP विधि आपके आइडेंटिटी प्रोवाइडर पर निर्भर करती है। यदि आप Microsoft Entra ID या Okta का उपयोग कर रहे हैं, तो PEAP-MSCHAPv2 सबसे आम विकल्प है क्योंकि यह उपयोगकर्ता नाम और पासवर्ड क्रेडेंशियल के साथ काम करता है। यदि आपने डिवाइस सर्टिफिकेट तैनात किए हैं - जो प्रबंधित उपकरणों के लिए अनुशंसित दृष्टिकोण है - तो EAP-TLS का उपयोग करें।
Wireless Network Manager में, Policies, Policy Hierarchy पर जाएं, अपनी AP पॉलिसी चुनें, और 802.1X टैब पर क्लिक करें। Purple का RADIUS सर्वर IP एड्रेस दर्ज करें - जो आपके Purple वेन्यू डैशबोर्ड में RADIUS सेटिंग्स सेक्शन के अंतर्गत उपलब्ध है। शेयर्ड सीक्रेट Purple द्वारा जनरेट किया जाता है और दोनों पक्षों में बिल्कुल मेल खाना चाहिए। ऑथेंटिकेशन पोर्ट को 1812 और अकाउंटिंग पोर्ट को 1813 पर सेट करें। EAP सेटिंग्स के लिए, वह विधि चुनें जो आपके आइडेंटिटी प्रोवाइडर कॉन्फ़िगरेशन से मेल खाती हो।Purple की तरफ, स्टाफ प्रमाणीकरण (authentication) के लिए एक RADIUS पॉलिसी बनाएं। स्टाफ SSID को एक विशिष्ट VLAN से मैप करें - उदाहरण के लिए, स्टाफ के लिए VLAN 200। Purple का RADIUS सर्वर तीन मानक विशेषताओं (attributes) का उपयोग करके VLAN असाइनमेंट लौटाता है: Tunnel-Type को VLAN पर सेट, Tunnel-Medium-Type को 802 पर, और Tunnel-Private-Group-ID को एक स्ट्रिंग के रूप में VLAN ID पर सेट किया जाता है - इसलिए VLAN 200 के लिए "200"। SonicWall फ़ायरवॉल और SonicWave AP इन विशेषताओं का सम्मान करते हैं और प्रमाणित स्टाफ डिवाइस को स्वचालित रूप से सही VLAN में रख देते हैं।
अब, सबसे संरचनात्मक रूप से दिलचस्प उपयोग का मामला (use case): PPSK और मल्टी-टेनेंट अलगाव (isolation)।
Private Pre-Shared Keys आपको एक एकल SSID चलाने और प्रत्येक टेनेंट, निवासी या उपयोगकर्ता समूह को एक अद्वितीय पासफ़्रेज़ असाइन करने की अनुमति देते हैं। जब कोई डिवाइस किसी विशिष्ट PPSK का उपयोग करके कनेक्ट होता है, तो SonicWave AP सत्यापन के लिए उस कुंजी को Purple के RADIUS सर्वर पर भेजता है। Purple कुंजी को खोजता है, संबद्ध टेनेंट या उपयोगकर्ता समूह की पहचान करता है, और Tunnel-Private-Group-ID विशेषता के माध्यम से उचित VLAN असाइनमेंट लौटाता है। SonicWall फिर उस डिवाइस को सही VLAN में निर्देशित करता है - जो उसी SSID पर अन्य टेनेंट्स से पूरी तरह से अलग (isolated) है।
यह व्यवहार में आइडेंटिटी-बेस्ड नेटवर्किंग है। आप प्रति टेनेंट SSIDs का प्रबंधन नहीं कर रहे हैं। आप प्रति टेनेंट पहचानों का प्रबंधन कर रहे हैं। दस रिटेल इकाइयों वाले मिश्रित-उपयोग वाले विकास में, एक SSID पूरी इमारत में ब्रॉडकास्ट होता है। प्रत्येक टेनेंट को अपना स्वयं का PPSK मिलता है। प्रत्येक PPSK एक समर्पित VLAN और सबनेट पर मैप होता है। टेनेंट A के डिवाइस कभी भी टेनेंट B के ट्रैफ़िक को नहीं देखते हैं, भले ही वे एक ही भौतिक एक्सेस पॉइंट साझा कर रहे हों।
SonicOS में PPSK कॉन्फ़िगरेशन के लिए SSID पर RADIUS-आधारित PPSK मोड की आवश्यकता होती है। वायरलेस नेटवर्क मैनेजर में, SSID को संपादित करें, सुरक्षा मोड को PPSK के साथ WPA2-Enterprise पर सेट करें, और RADIUS सर्वर को Purple पर इंगित करें। Purple केंद्रीय रूप से PPSK-से-VLAN मैपिंग टेबल को अधिकृत करता है। जब आप एक नया टेनेंट जोड़ते हैं, तो आप Purple में एक नया PPSK बनाते हैं, इसे एक VLAN असाइन करते हैं, और फ़ायरवॉल कॉन्फ़िगरेशन को छुए बिना वह परिवर्तन उस स्थल के सभी SonicWave APs में फैल जाता है।
---
SEGMENT 3: IMPLEMENTATION RECOMMENDATIONS AND PITFALLS (लगभग 2 मिनट)
मैं आपको वे तीन चीजें बताता हूं जो SonicWall और Purple परिनियोजन (deployments) में सबसे अधिक गलत होती हैं।
पहला: LHM पोर्ट। TCP 4043 WAN से SonicWall के WAN इंटरफ़ेस तक खुला होना चाहिए। यदि आपका ISP या अपस्ट्रीम फ़ायरवॉल इस पोर्ट को ब्लॉक करता है, तो LHM प्राधिकरण हैंडशेक कभी पूरा नहीं होता है, और मेहमान प्रमाणित होने के बाद स्प्लैश पेज पर फंस जाते हैं। वे Purple की तरफ एक सफल लॉगिन देखते हैं, लेकिन SonicWall को कभी भी प्राधिकरण संकेत प्राप्त नहीं होता है। गो-लाइव से पहले एक बाहरी IP से पोर्ट 4043 पर telnet या curl चेक के साथ इसका परीक्षण करें।
दूसरा: FQDN ऑब्जेक्ट रिज़ॉल्यूशन समय। SonicOS बूट पर और फिर एक कॉन्फ़िगर करने योग्य अंतराल पर FQDN एड्रेस ऑब्जेक्ट्स को रिज़ॉल्व करता है। यदि आप एक नया वॉल्ड गार्डन डोमेन जोड़ते हैं और रिज़ॉल्यूशन अभी तक रीफ़्रेश नहीं हुआ है, तो अप्रमाणित डिवाइस उस तक नहीं पहुंच सकते हैं। नए FQDN ऑब्जेक्ट जोड़ने के बाद मैन्युअल रीफ़्रेश के लिए बाध्य करें, या उच्च-ट्रैफ़िक वाले परिनियोजनों में DNS रीफ़्रेश अंतराल को 60 सेकंड पर सेट करें।
तीसरा: VLAN सब-इंटरफ़ेस कॉन्फ़िगरेशन। RADIUS के माध्यम से डायनेमिक VLAN असाइनमेंट केवल तभी काम करता है जब पहले डिवाइस के प्रमाणित होने से पहले SonicWall पर सब-इंटरफ़ेस के रूप में लक्षित VLAN मौजूद हों। यदि कोई RADIUS प्रतिक्रिया Tunnel-Private-Group-ID 110 लौटाती है लेकिन SonicWall पर सब-इंटरफ़ेस के रूप में VLAN 110 मौजूद नहीं है, तो डिवाइस या तो ड्रॉप हो जाता है या डिफ़ॉल्ट VLAN पर वापस आ जाता है। RADIUS VLAN असाइनमेंट सक्षम करने से पहले सभी VLAN सब-इंटरफ़ेस बनाएं और उनका परीक्षण करें।
कई स्थानों का प्रबंधन करने वाले MSPs के लिए, Purple का क्लाउड डैशबोर्ड आपको RADIUS नीतियों, PPSK तालिकाओं और स्पैश पेज कॉन्फ़िगरेशन को केंद्रीय रूप से प्रबंधित करने की अनुमति देता है। आप एक ही इंटरफ़ेस से सभी स्थानों पर कॉन्फ़िगरेशन परिवर्तनों को पुश कर सकते हैं। क्लाउड ओवरले दृष्टिकोण का यही परिचालन लाभ है - SonicWall हार्डवेयर अपने स्थान पर रहता है, और Purple उसके ऊपर पहचान और नीति परत को संभालता है।
- - -
खंड 4: त्वरित प्रश्नोत्तर (लगभग 1 मिनट)
कुछ प्रश्न जो नियमित रूप से सामने आते हैं।
"क्या मैं Purple के साथ स्टैंडअलोन मोड में SonicWave APs का उपयोग कर सकता हूँ?" हाँ, लेकिन आप कुछ कार्यक्षमता खो देते हैं। स्टैंडअलोन मोड में, SonicWave APs स्थानीय स्तर पर अपने स्वयं के RADIUS कॉन्फ़िगरेशन को प्रबंधित करते हैं। आप अभी भी उन्हें 802.1X के लिए Purple के RADIUS सर्वर पर इंगित कर सकते हैं। लेकिन डायनेमिक VLAN असाइनमेंट के साथ PPSK के लिए, आपको RADIUS प्रॉक्सी के रूप में SonicWall TZ या AP नीति को केंद्रीय रूप से प्रबंधित करने वाले वायरलेस नेटवर्क मैनेजर की आवश्यकता होगी।
"क्या Purple, SonicWave पर WPA3 का समर्थन करता है?" SonicWave पर WPA3 समर्थन फ़र्मवेयर संस्करण और AP मॉडल पर निर्भर करता है। SonicWave 600 श्रृंखला के APs WPA3 का समर्थन करते हैं। Captive Portal उपयोग के मामलों के लिए, ऑपर्च्यूनिस्टिक वायरलेस एन्क्रिप्शन के साथ WPA3, Purple के LHM रीडायरेक्ट फ्लो के साथ संगत है, लेकिन बड़े पैमाने पर तैनात करने से पहले अपने विशिष्ट फ़र्मवेयर संस्करण पर परीक्षण करें।
"Purple, स्पैश पेज के माध्यम से एकत्र किए गए अतिथि डेटा के लिए GDPR को कैसे संभालता है?" Purple ISO 27001 प्रमाणित, GDPR अनुपालन और Cyber Essentials प्रमाणित है। सहमति को कॉन्फ़िगर करने योग्य ऑप्ट-इन चेकबॉक्स के साथ स्पैश पेज पर कैप्चर किया जाता है। Purple आपकी डेटा प्रतिधारण नीति के अनुरूप प्रथम-पक्ष डेटा संग्रहीत करता है। अतिथि Purple के स्व-सेवा पोर्टल के माध्यम से अपने डेटा तक पहुंच सकते हैं और उसे हटा सकते हैं।
"डायनेमिक VLAN असाइनमेंट के लिए Purple कौन से RADIUS गुण लौटाता है?" तीन गुण: Tunnel-Type मूल्य VLAN के साथ, Tunnel-Medium-Type मूल्य 802 के साथ, और Tunnel-Private-Group-ID एक स्ट्रिंग के रूप में VLAN ID के साथ। ये SonicOS और SonicWave द्वारा समर्थित मानक RFC 2868 गुण हैं।
- - -
खंड 5: सारांश और अगले कदम (लगभग 1 मिनट)
संक्षेप में। SonicWall TZ फ़ायरवॉल और SonicWave APs दो प्राथमिक तंत्रों के माध्यम से Purple के साथ एकीकृत होते हैं: अतिथि Captive Portal रीडायरेक्शन के लिए LHM, और 802.1X कर्मचारी प्रमाणीकरण और PPSK-आधारित मल्टी-टेनेंट अलगाव के लिए RADIUS। मुख्य कॉन्फ़िगरेशन चरण हैं: अतिथि ज़ोन पर बाहरी अतिथि प्रमाणीकरण सक्षम करें, पोर्ट 4043 पर Purple पोर्टल URL कॉन्फ़िगर करें, अपने वॉल्ड गार्डन FQDN ऑब्जेक्ट बनाएं, वायरलेस नेटवर्क मैनेजर में SonicWave AP नीति पर RADIUS कॉन्फ़िगर करें, और डायनेमिक VLAN असाइनमेंट सक्षम करने से पहले SonicWall पर अपने VLAN सब-इंटरफ़ेस बनाएं।मल्टी-टेनेंट डिप्लॉयमेंट के लिए, RADIUS-आधारित VLAN स्टीयरिंग के साथ PPSK उपयोग करने योग्य उपयुक्त आर्किटेक्चर है। एक SSID, APs का एक सेट, और पहचान-आधारित VLAN असाइनमेंट के माध्यम से पूर्ण टेनेंट आइसोलेशन।
यदि आप एक डिप्लॉयमेंट की योजना बना रहे हैं या किसी मौजूदा की समीक्षा कर रहे हैं, तो Purple की टेक्निकल टीम वेन्यू-विशिष्ट RADIUS कॉन्फ़िगरेशन फ़ाइलें और वॉल्ड गार्डन डोमेन सूचियां प्रदान कर सकती है। Purple प्लेटफ़ॉर्म 80,000 लाइव वेन्यू का समर्थन करता है और 2024 में 440 मिलियन लॉगिन प्रोसेस कर चुका है - आज हमने जिन इंटीग्रेशन पैटर्न को कवर किया है वे बड़े पैमाने पर प्रमाणित हैं।
सुनने के लिए धन्यवाद। चरण-दर-चरण कॉन्फ़िगरेशन टेबल और Mermaid आर्किटेक्चर डायग्राम के साथ पूरी लिखित गाइड Purple वेबसाइट पर उपलब्ध है।
---
स्क्रिप्ट समाप्त
