मुख्य सामग्री पर जाएं
हिन्दी

Sophos Firewall और Access Points का Purple WiFi के साथ एकीकरण

यह गाइड Sophos Firewall (XG/XGS) और Sophos AP6/APX एक्सेस पॉइंट्स के Purple WiFi के साथ तकनीकी एकीकरण का विवरण देती है। इसमें बाहरी कैप्टिव पोर्टल रीडायरेक्शन, RADIUS प्रमाणीकरण और अकाउंटिंग कॉन्फ़िगरेशन, Walled Garden सेटअप, स्टाफ WiFi के लिए 802.1X, और आतिथ्य, खुदरा और सार्वजनिक क्षेत्र के स्थानों पर सुरक्षित मल्टी-टेनेंट नेटवर्क अलगाव के लिए Sophos PPSK का उपयोग करके डायनेमिक VLAN असाइनमेंट शामिल है।

📖 9 मिनट का पाठ📝 2,208 शब्द🔧 2 हल किए गए उदाहरण4 अभ्यास प्रश्न📚 9 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
Purple आर्किटेक्चर ब्रीफिंग में आपका स्वागत है। आज हम एंटरप्राइज़ नेटवर्क के लिए एक महत्वपूर्ण एकीकरण पर चर्चा कर रहे हैं: Sophos इन्फ्रास्ट्रक्चर, विशेष रूप से Sophos AP6 और APX एक्सेस पॉइंट्स और Sophos XG और XGS फ़ायरवॉल के साथ Purple WiFi को तैनात करना। यदि आप एक IT मैनेजर, नेटवर्क आर्किटेक्ट, या CTO हैं जो किसी स्थान का प्रबंधन कर रहे हैं, चाहे वह खुदरा श्रृंखला हो, स्टेडियम हो, या अस्पताल हो, तो यह सत्र आपको इन दो शक्तिशाली प्लेटफ़ॉर्मों को एक साथ निर्बाध रूप से काम करने के लिए व्यावहारिक खाका (actionable blueprint) देने के लिए डिज़ाइन किया गया है। आइए संदर्भ स्थापित करें। Sophos अपनी मजबूत सुरक्षा स्थिति के लिए प्रसिद्ध है। Sophos Firewall उपकरण डीप पैकेट इंस्पेक्शन और सिंक्रोनाइज़्ड सुरक्षा प्रदान करते हैं। हालांकि, जब Guest WiFi की बात आती है, तो आप केवल सुरक्षा नहीं चाहते हैं। आप व्यावसायिक मूल्य चाहते हैं। आप जनसांख्यिकीय डेटा कैप्चर करना चाहते हैं, विज़िटर के व्यवहार को समझना चाहते हैं, और मार्केटिंग निवेश पर रिटर्न (ROI) प्राप्त करना चाहते हैं। यहीं पर Purple काम आता है। Purple को एक बाहरी कैप्टिव पोर्टल के रूप में एकीकृत करके, आप गेस्ट आइडेंटिटी मैनेजमेंट, GDPR सहमति और सोशल लॉगिन के भारी काम को Purple के क्लाउड RADIUS पर स्थानांतरित कर देते हैं, जबकि Sophos Firewall को वह करने देते हैं जो वह सबसे अच्छा करता है: परिधि (perimeter) को सुरक्षित करना। तो, यह वास्तव में हुड के नीचे कैसे काम करता है? आइए तकनीकी गहन विश्लेषण में उतरें। यह आर्किटेक्चर मानक RADIUS प्रोटोकॉल और HTTP रीडायरेक्शन पर निर्भर करता है। जब कोई स्थान उपयोगकर्ता Sophos AP द्वारा प्रसारित आपके ओपन Guest WiFi SSID से जुड़ता है, तो Sophos Firewall उस प्रारंभिक वेब अनुरोध को इंटरसेप्ट करता है। एक बुनियादी, स्थानीय रूप से संग्रहीत पोर्टल पेज दिखाने के बजाय, फ़ायरवॉल क्लाइंट को Purple के क्लाउड-होस्टेड स्प्लैश पेज पर रीडायरेक्ट करता है। अब, यहाँ महत्वपूर्ण अवधारणा है: Walled Garden। इस पूर्व-प्रमाणीकरण चरण के दौरान, उपयोगकर्ता के पास इंटरनेट एक्सेस नहीं होता है। लेकिन उन्हें पोर्टल ग्राफिक्स लोड करने की आवश्यकता होती है, और उन्हें लॉगिन करने के लिए Facebook या Google तक पहुँचने की आवश्यकता हो सकती है। Walled Garden, Sophos Firewall पर कॉन्फ़िगर की गई एक सख्त अनुमति सूची (allowlist) है जो इन विशिष्ट डोमेन पर ट्रैफ़िक की अनुमति देती है। एक बार जब उपयोगकर्ता प्रमाणित हो जाता है, तो Purple का प्लेटफ़ॉर्म Sophos Firewall को वापस एक RADIUS Access-Accept संदेश भेजता है। फ़ायरवॉल फिर स्विच चालू करता है, सत्र की स्थिति को प्रमाणित में बदलता है, और उपयोगकर्ता को आपकी प्रमाणीकरण-पश्चात फ़ायरवॉल नीति में डाल देता है। आइए RADIUS कॉन्फ़िगरेशन के बारे में अधिक विस्तार से बात करें, क्योंकि यहाँ सटीकता मायने रखती है। Purple आपको RADIUS क्रेडेंशियल के दो सेट प्रदान करता है: एक पोर्ट 1812 पर प्रमाणीकरण के लिए, और एक पोर्ट 1813 पर अकाउंटिंग के लिए। दोनों को कॉन्फ़िगर किया जाना चाहिए। अकाउंटिंग सर्वर वैकल्पिक नहीं है। यह वह तंत्र है जिसके द्वारा Sophos Firewall सत्र डेटा की रिपोर्ट Purple को वापस करता है, जिसमें अवधि, खपत की गई बैंडविड्थ और सत्र समाप्ति की घटनाएं शामिल हैं। सटीक अकाउंटिंग डेटा के बिना, आपका Purple एनालिटिक्स डैशबोर्ड अधूरे या गलत विज़िटर मेट्रिक्स दिखाएगा। अपने अकाउंटिंग अंतरिम अंतराल को 120 सेकंड पर सेट करें। यह वास्तविक समय की दृश्यता और नेटवर्क ओवरहेड के बीच एक अच्छा संतुलन प्रदान करता है। अब आइए एक ऐसे परिदृश्य के बारे में बात करते हैं जो एंटरप्राइज़ परिनियोजन में लगातार सामने आता है: मल्टी-टेनेंट WiFi। एक कोवर्किंग स्पेस, एक बिल्ड-टू-रेंट (BTR) आवासीय ब्लॉक, या एक छात्र आवास (PBSA) भवन के बारे में सोचें। आपके पास उपयोगकर्ताओं के कई अलग-अलग समूह हैं जिन्हें WiFi एक्सेस की आवश्यकता है, लेकिन उन्हें नेटवर्क स्तर पर एक-दूसरे से पूरी तरह से अलग होना चाहिए। प्रत्येक किरायेदार के लिए एक अलग SSID प्रसारित करना व्यावहारिक नहीं है। यह रेडियो फ्रीक्वेंसी कंजेशन पैदा करता है और प्रबंधित करने के लिए एक परिचालन दुःस्वप्न (operational nightmare) है। इसका उत्तर Sophos Private Pre-Shared Keys, या PPSK है, जो डायनेमिक VLAN असाइनमेंट के साथ संयुक्त है। यहाँ बताया गया है कि यह कैसे काम करता है। आप अपने Sophos AP6 एक्सेस पॉइंट्स पर एक एकल SSID कॉन्फ़िगर करते हैं। फिर आप प्रत्येक किरायेदार या उपयोगकर्ता समूह को एक अद्वितीय पासफ़्रेज़ जारी करते हैं। जब कोई डिवाइस कनेक्ट होता है और अपनी अनूठी कुंजी प्रस्तुत करता है, तो Sophos AP RADIUS के माध्यम से उस कुंजी को प्रमाणित करता है। RADIUS सर्वर Access-Accept संदेश में एक विशिष्ट VLAN ID विशेषता लौटाता है। AP उपयोगकर्ता के ट्रैफ़िक को उस VLAN ID के साथ गतिशील रूप से टैग करता है, जिससे वे अपने समर्पित नेटवर्क सेगमेंट पर आ जाते हैं। पहचान-आधारित नेटवर्किंग (Identity-Based Networking) क्रिया में। एक SSID, कई पृथक नेटवर्क, अतिरिक्त प्रसारणों से शून्य रेडियो फ्रीक्वेंसी ओवरहेड। इस आर्किटेक्चर का एक महत्वपूर्ण अनुपालन लाभ भी है। PCI-DSS आवश्यकताओं के तहत, Guest WiFi नेटवर्क को कार्डधारक डेटा को संभालने वाले किसी भी नेटवर्क सेगमेंट से पूरी तरह से अलग होना चाहिए। गेस्ट SSID को एक समर्पित VLAN पर रखकर और सभी RFC 1918 निजी IP स्पेस गंतव्यों को ब्लॉक करने के लिए Sophos Firewall पर सख्त फ़ायरवॉल नीतियां लागू करके, आप इस आवश्यकता को स्पष्ट रूप से पूरा करते हैं। Purple, जो 80,000 से अधिक लाइव स्थानों पर काम करता है और जिसने 2024 में 440 मिलियन लॉगिन प्रोसेस किए हैं, ISO 27001 प्रमाणित, GDPR अनुपालन और Cyber Essentials प्रमाणित है, इसलिए अनुपालन की कहानी पहचान परत (identity layer) तक भी फैली हुई है। अब आइए कार्यान्वयन सिफारिशों पर आगे बढ़ें। जब आप इसे सेट कर रहे होते हैं, तो आपको IP असाइनमेंट के संबंध में एक महत्वपूर्ण निर्णय लेना होता है: NAT मोड बनाम Bridge मोड। यदि आप लगभग पचास से सौ समवर्ती गेस्ट कनेक्शन वाली एक छोटी खुदरा शाखा को तैनात कर रहे हैं, तो NAT मोड पूरी तरह से पर्याप्त है। Sophos AP एक समर्पित आंतरिक सबनेट से मेहमानों को DHCP पते सौंपता है और ट्रैफ़िक बाहर निकलने पर उनका अनुवाद (translate) करता है। इट इज़ सिंपल और इसके लिए न्यूनतम अतिरिक्त बुनियादी ढांचे की आवश्यकता होती है। लेकिन यदि आप एक उच्च-घनत्व वाले वातावरण को तैनात कर रहे हैं, जैसे कि पांच सौ कमरों का होटल, कई समवर्ती आयोजनों वाला एक सम्मेलन केंद्र, या एक स्टेडियम, तो आपको Bridge मोड का उपयोग करना चाहिए। Bridge मोड में, Sophos AP गेस्ट ट्रैफ़िक को सीधे एक समर्पित VLAN पर भेजता है, जिससे आपके कोर एंटरप्राइज़ DHCP सर्वर लोड को संभाल सकते हैं। यह पीक कनेक्शन इवेंट के दौरान एक्सेस पॉइंट या फ़ायरवॉल को DHCP अड़चन बनने से रोकता है। Bridge मोड यह भी सुनिश्चित करता है कि Purple प्लेटफ़ॉर्म वास्तविक क्लाइंट IP पता देखे, जो सटीक एनालिटिक्स और समस्या निवारण के लिए महत्वपूर्ण है। आइए चरण-दर-चरण कॉन्फ़िगरेशन अनुक्रम के बारे में बात करें, क्योंकि यहाँ क्रम मायने रखता है। Purple पोर्टल से शुरुआत करें। अपने RADIUS सर्वर क्रेडेंशियल प्राप्त करें: सर्वर IP पते, साझा रहस्य, कैप्टिव पोर्टल URL और रीडायरेक्ट URL। Sophos कॉन्फ़िगरेशन को छूने से पहले ये चार महत्वपूर्ण जानकारियां हैं जिनकी आपको आवश्यकता है। फिर, Sophos Central या अपने स्थानीय फ़ायरवॉल प्रबंधन इंटरफ़ेस पर जाएँ। पहले अपने RADIUS सर्वर को परिभाषित करें, 1812 पर प्रमाणीकरण, 1813 पर अकाउंटिंग। फिर Hotspot Settings के अंतर्गत अपना Walled Garden कॉन्फ़िगर करें। इसके बाद, अपना गेस्ट SSID बनाएं, एन्क्रिप्शन को Open पर सेट करें, कैप्टिव पोर्टल को सक्षम करें, और Purple पोर्टल URL दर्ज करें। और अंत में, अपने प्रमाणीकरण-पश्चात फ़ायरवॉल नियमों को परिभाषित करें। विशेष रूप से Walled Garden के लिए, आपको न्यूनतम रूप से निम्नलिखित डोमेन की अनुमति देनी होगी: Purple पोर्टल डोमेन, आमतौर पर region1.purpleportal.net; venuewifi.com; और कोई भी सोशल लॉगिन डोमेन जिसका आपके मेहमान उपयोग करेंगे, जैसे कि facebook.com, accounts.google.com, और उनके संबद्ध CDN डोमेन। यदि आप पहचान संघ (identity federation) के लिए Microsoft Entra ID या Okta का उपयोग कर रहे हैं, तो उन डोमेन को भी शामिल किया जाना चाहिए। कमियों (pitfalls) के बारे में क्या? परिनियोजन आमतौर पर कहाँ गलत होते हैं? बिना किसी संदेह के, नंबर एक समस्या अधूरा Walled Garden है। यदि कोई गेस्ट कनेक्ट होता है और उसे खाली स्क्रीन या कनेक्शन टाइमआउट मिलता है, तो इसका लगभग हमेशा मतलब यह होता है कि Sophos Firewall प्रमाणीकरण से पहले Purple की CSS फ़ाइलों, JavaScript संपत्तियों, या सोशल लॉगिन API तक पहुंच को ब्लॉक कर रहा है। आपको यह सुनिश्चित करना होगा कि उस पूर्व-प्रमाणीकरण नीति में प्रत्येक आवश्यक डोमेन को स्पष्ट रूप से अनुमति दी गई है। Purple आवश्यक डोमेन की एक व्यापक सूची प्रदान करता है। इसका पूरा उपयोग करें। इसके अलावा, DNS को न भूलें। अप्रमाणित क्लाइंट को DNS प्रश्नों को हल करने की अनुमति दी जानी चाहिए, अन्यथा रीडायरेक्ट काम नहीं करेगा। डिवाइस को पेज लोड करने का प्रयास करने से पहले ही Purple पोर्टल होस्टनाम को हल करने की आवश्यकता होती है। दूसरा सबसे आम नुकसान प्रमाणपत्र त्रुटियां हैं। सुनिश्चित करें कि आपका Sophos Firewall रीडायरेक्शन इंटरफ़ेस के लिए एक वैध, सार्वजनिक रूप से विश्वसनीय SSL प्रमाणपत्र प्रस्तुत कर रहा है। यदि आप डिफ़ॉल्ट स्व-हस्ताक्षरित प्रमाणपत्र का उपयोग करते हैं, तो आधुनिक iPhones और Android डिवाइस महत्वपूर्ण सुरक्षा चेतावनियाँ देंगे, और आपके मेहमान कनेक्शन को पूरी तरह से छोड़ देंगे। यह आतिथ्य (hospitality) वातावरण में एक विशेष रूप से गंभीर समस्या है जहाँ अतिथि अनुभव सर्वोपरि है। तीसरा नुकसान RADIUS टाइमआउट त्रुटियां हैं। यदि पोर्टल लोड होता है लेकिन प्रमाणीकरण लगातार विफल रहता है, तो सत्यापित करें कि आपके Sophos कॉन्फ़िगरेशन और Purple पोर्टल के बीच साझा रहस्य बिल्कुल मेल खाते हैं। एक भी अक्षर का अंतर होने पर सभी प्रमाणीकरण प्रयास चुपचाप विफल हो जाएंगे। यह भी सत्यापित करें कि कोई मध्यवर्ती फ़ायरवॉल आपके Sophos इन्फ्रास्ट्रक्चर और Purple के क्लाउड RADIUS सर्वर के बीच UDP पोर्ट 1812 और 1813 को ब्लॉक नहीं कर रहा है। आइए ग्राहकों से मिलने वाले सबसे आम सवालों के आधार पर एक रैपिड-फायर प्रश्न और उत्तर सत्र के साथ समाप्त करें। प्रश्न एक: क्या Purple का उपयोग करने से मेरी Sophos Firewall सुरक्षा नीतियां बायपास हो जाती हैं? बिल्कुल नहीं। Purple प्रमाणीकरण और पहचान कैप्चर को संभालता है। एक बार प्रमाणित होने के बाद, सभी गेस्ट ट्रैफ़िक आपके Sophos Firewall की प्रमाणीकरण-पश्चात नीति के माध्यम से प्रवाहित होते हैं। यह बिल्कुल वही जगह है जहाँ आप वेब फ़िल्टरिंग लागू करते हैं, पीयर-टू-पीयर ट्रैफ़िक को ब्लॉक करते हैं, और बैंडविड्थ को आकार देते हैं। इसे इस तरह सोचें: लॉगिन की अनुमति देने के लिए पूर्व-प्रमाणीकरण उदार है; नेटवर्क की सुरक्षा के लिए प्रमाणीकरण-पश्चात दंडात्मक है। प्रश्न दो: क्या मुझे स्थानीय RADIUS सर्वर तैनात करने की आवश्यकता है? नहीं। Purple RADIUS-as-a-Service प्रदान करता है। आप Sophos APs को सीधे Purple के क्लाउड RADIUS IP पतों पर इंगित करने के लिए कॉन्फ़िगर करते हैं। गेस्ट नेटवर्क के लिए FreeRADIUS या Windows NPS को तैनात करने और बनाए रखने की कोई आवश्यकता नहीं है। प्रश्न तीन: क्या मैं Sophos AP6 और पुरानी APX सीरीज़ दोनों के साथ Purple का उपयोग कर सकता हूँ? हाँ। दोनों हार्डवेयर पीढ़ियों में एकीकरण दृष्टिकोण सुसंगत है। हालांकि, ध्यान दें कि Sophos ने APX सीरीज़ के लिए 31 दिसंबर, 2027 की एंड-ऑफ-लाइफ तिथि की घोषणा की है। यदि आप एक नए परिनियोजन की योजना बना रहे हैं, तो AP6 सीरीज़ में निवेश करें, जो Wi-Fi 6 और Wi-Fi 6E का समर्थन करती है। प्रश्न चार: क्या GDPR अनुपालन के बारे में क्या? Purple पोर्टल स्तर पर स्पष्ट सहमति कैप्चर करता है, प्रमाणीकरण से पहले आपके नियम और शर्तें और डेटा प्रोसेसिंग नोटिस प्रस्तुत करता है। यह सहमति डेटा Purple प्लेटफ़ॉर्म के भीतर संग्रहीत किया जाता है और ऑडिट योग्य है। Sophos Firewall की भूमिका विशुद्ध रूप से नेटवर्क प्रवर्तन (network enforcement) है। आज की ब्रीफिंग के मुख्य निष्कर्षों को संक्षेप में प्रस्तुत करने के लिए। पहला: अपने स्टाफ और गेस्ट SSIDs को पूरी तरह से अलग करें। स्टाफ WPA2-Enterprise के साथ 802.1X पर। मेहमान बाहरी कैप्टिव पोर्टल के साथ Purple पर। दूसरा: अपने Walled Garden को सावधानीपूर्वक कॉन्फ़िगर करें। यह सबसे आम विफलता बिंदु और सबसे महत्वपूर्ण पूर्व-प्रमाणीकरण कॉन्फ़िगरेशन तत्व है। तीसरा: DHCP अड़चनों से बचने और सटीक क्लाइंट IP दृश्यता सुनिश्चित करने के लिए किसी भी उच्च-घनत्व वाले परिनियोजन के लिए Bridge मोड का उपयोग करें। चौथा: RADIUS प्रमाणीकरण और अकाउंटिंग सर्वर दोनों को कॉन्फ़िगर करें। यदि आप सार्थक एनालिटिक्स चाहते हैं तो अकाउंटिंग वैकल्पिक नहीं है। पांचवां: डायनेमिक VLAN असाइनमेंट के साथ पहचान-आधारित नेटवर्किंग को सक्षम करने के लिए मल्टी-टेनेंट वातावरण के लिए Sophos PPSK का लाभ उठाएं। एक SSID, कई पृथक नेटवर्क। छठा: प्रमाणीकरण के बाद Sophos सुरक्षा नीतियों को सख्ती से लागू करें। वेब फ़िल्टरिंग, एप्लिकेशन नियंत्रण और बैंडविड्थ शेपिंग सभी को प्रमाणीकरण-पश्चात फ़ायरवॉल नीति में लागू किया जाना चाहिए। इस एकीकरण को सही ढंग से निष्पादित करके, आप Guest WiFi को एक लागत केंद्र से एक अनुपालन, सुरक्षित और राजस्व उत्पन्न करने वाली संपत्ति में बदल देते हैं। Sophos सुरक्षा गहराई और Purple की मार्केटिंग इंटेलिजेंस का संयोजन किसी भी स्थान ऑपरेटर के लिए वास्तव में शक्तिशाली है जो अपने अतिथि अनुभव और डेटा रणनीति को गंभीरता से लेना चाहता है। Purple आर्किटेक्चर ब्रीफिंग सुनने के लिए धन्यवाद। यदि आप अपनी विशिष्ट परिनियोजन आवश्यकताओं पर चर्चा करना चाहते हैं, तो समाधान टीम से बात करने के लिए purple.ai पर जाएँ।

header_image.png

कार्यकारी सारांश

यदि आप Sophos इन्फ्रास्ट्रक्चर चलाते हैं और आपको Guest WiFi तैनात करने की आवश्यकता है जो फर्स्ट-पार्टी डेटा कैप्चर करता है, तो यह गाइड आपको सटीक कॉन्फ़िगरेशन चरण प्रदान करती है। Purple एक बाहरी कैप्टिव पोर्टल के रूप में Sophos Firewall (XG और XGS सीरीज़) और Sophos AP6/APX एक्सेस पॉइंट्स के साथ एकीकृत होता है, जिससे गेस्ट आइडेंटिटी मैनेजमेंट, GDPR सहमति कैप्चर और सोशल लॉगिन हैंडलिंग का काम Purple के क्लाउड RADIUS पर स्थानांतरित हो जाता है। आपका Sophos Firewall सभी ट्रैफ़िक पर डीप पैकेट इंस्पेक्शन और यूनिफाइड थ्रेट मैनेजमेंट लागू करना जारी रखता है। परिणाम: एक अनुपालन और खंडित नेटवर्क जहां मेहमान एक ब्रांडेड Purple स्प्लैश पेज के माध्यम से प्रमाणित होते हैं, कर्मचारी WPA2-Enterprise के साथ 802.1X के माध्यम से कनेक्ट होते हैं, और मल्टी-टेनेंट वातावरण डायनेमिक VLAN असाइनमेंट के लिए Sophos Private Pre-Shared Keys (PPSK) का उपयोग करते हैं। Purple 80,000+ से अधिक लाइव स्थानों पर काम करता है और इसने 2024 में 440 मिलियन लॉगिन प्रोसेस किए हैं (Purple आंतरिक डेटा, 2024)। यह ISO 27001 प्रमाणित, GDPR अनुपालन और Cyber Essentials प्रमाणित है।

तकनीकी गहन विश्लेषण

रीडायरेक्ट कैसे काम करता है

यह एकीकरण मानक RADIUS प्रोटोकॉल और HTTP रीडायरेक्शन का उपयोग करता है। जब कोई स्थान उपयोगकर्ता Sophos AP6 या APX एक्सेस पॉइंट पर आपके ओपन Guest WiFi SSID से जुड़ता है, तो Sophos Firewall उस अप्रमाणित डिवाइस से पहले HTTP अनुरोध को इंटरसेप्ट करता है। स्थानीय रूप से संग्रहीत लॉगिन पेज दिखाने के बजाय, फ़ायरवॉल Purple के क्लाउड-होस्टेड स्प्लैश पेज URL पर 302 रीडायरेक्ट जारी करता है - आमतौर पर https://region1.purpleportal.net/access/ प्रारूप में।

इस पूर्व-प्रमाणीकरण चरण के दौरान, डिवाइस एक Walled Garden के अंदर रहता है: उन डोमेन की एक सख्त अनुमति सूची (allowlist) जिन तक अप्रमाणित डिवाइस पहुँच सकते हैं। इस अनुमति सूची में Purple की पोर्टल संपत्तियां, कोई भी सोशल लॉगिन प्रदाता (Facebook, Google, LinkedIn), और आपके द्वारा उपयोग किए जाने वाले कोई भी पहचान संघ (identity federation) एंडपॉइंट, जैसे कि Microsoft Entra ID या Okta शामिल होने चाहिए। एक बार जब उपयोगकर्ता Purple स्प्लैश पेज पर प्रमाणीकरण पूरा कर लेता है, तो Purple का क्लाउड RADIUS Sophos Firewall को एक RADIUS Access-Accept संदेश भेजता है। फ़ायरवॉल सत्र की स्थिति को प्रमाणित के रूप में अपडेट करता है और आपकी प्रमाणीकरण-पश्चात सुरक्षा नीति लागू करता है।

RADIUS प्रमाणीकरण और अकाउंटिंग

Purple RADIUS-as-a-Service प्रदान करता है। आपको गेस्ट नेटवर्क के लिए FreeRADIUS, Windows NPS, या किसी स्थानीय RADIUS इन्फ्रास्ट्रक्चर को तैनात करने की आवश्यकता नहीं है। Sophos Firewall को सीधे Purple के क्लाउड RADIUS IP पतों पर इंगित करने के लिए कॉन्फ़िगर करें।

दो RADIUS कार्यों की आवश्यकता है:

कार्य प्रोटोकॉल पोर्ट उद्देश्य
प्रमाणीकरण UDP 1812 अतिथि क्रेडेंशियल को मान्य करता है और Access-Accept या Access-Reject लौटाता है
अकाउंटिंग UDP 1813 सत्र शुरू होने, अंतरिम अपडेट और सत्र समाप्त होने की रिपोर्ट Purple को देता है

अकाउंटिंग वैकल्पिक नहीं है। यह वह तंत्र है जिसके द्वारा Sophos Firewall सत्र की अवधि, खपत की गई बैंडविड्थ और सत्र समाप्ति की घटनाओं की रिपोर्ट Purple को वापस करता है। अकाउंटिंग डेटा के बिना, आपका WiFi Analytics डैशबोर्ड अधूरे विज़िटर मेट्रिक्स दिखाएगा। वास्तविक समय की दृश्यता और नेटवर्क ओवरहेड के बीच एक अच्छा संतुलन बनाने के लिए अकाउंटिंग अंतरिम अंतराल को 120 सेकंड पर सेट करें।

आपके Sophos कॉन्फ़िगरेशन और Purple पोर्टल के बीच RADIUS साझा रहस्य बिल्कुल मेल खाना चाहिए। एक भी अक्षर का अंतर होने पर प्रमाणीकरण चुपचाप विफल हो जाता magnetism है।

Walled Garden कॉन्फ़िगरेशन

Walled Garden सबसे महत्वपूर्ण पूर्व-प्रमाणीकरण कॉन्फ़िगरेशन तत्व है और परिनियोजन विफलताओं का सबसे आम कारण है। इसे Sophos Firewall पर Wireless > Hotspot Settings के अंतर्गत कॉन्फ़िगर करें।

आपको न्यूनतम रूप से निम्नलिखित डोमेन की अनुमति देनी होगी:

श्रेणी अनुमति देने योग्य डोमेन
Purple कोर region1.purpleportal.net, venuewifi.com, cloudfront.net
भुगतान (यदि लागू हो) stripe.com
मौसम विजेट (यदि उपयोग किया जाता है) openweathermap.org
Facebook लॉगिन facebook.com, fbcdn.net, connect.facebook.net, akamaihd.net
Google लॉगिन accounts.google.com, googleapis.com, gstatic.com
LinkedIn लॉगिन linkedin.com, licdn.net, licdn.com
Microsoft Entra ID login.microsoftonline.com, login.microsoft.com

अप्रमाणित क्लाइंट के लिए हमेशा DNS रिज़ॉल्यूशन (UDP पोर्ट 53) की अनुमति दें। DNS के बिना, डिवाइस Purple पोर्टल होस्टनाम को रिज़ॉल्व नहीं कर सकते हैं और रीडायरेक्ट शुरू होने से पहले ही विफल हो जाता है।

स्टाफ WiFi के लिए 802.1X

स्टाफ WiFi के लिए, WPA2-Enterprise या WPA3-Enterprise के साथ 802.1X (IEEE 802.1X पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल) का उपयोग करें। अपने आंतरिक RADIUS सर्वर या Microsoft Entra ID जैसे क्लाउड पहचान प्रदाता के खिलाफ EAP-TLS (प्रमाणपत्र-आधारित) या PEAP-MSCHAPv2 (उपयोगकर्ता नाम/पासवर्ड) का उपयोग करने के लिए Sophos AP को कॉन्फ़िगर करें।

RADIUS सर्वर प्रमाणित स्टाफ उपकरणों को सही आंतरिक VLAN पर रखने के लिए VLAN असाइनमेंट विशेषताएँ लौटाता है। यह वही डायनेमिक VLAN तंत्र है जिसका वर्णन नीचे PPSK के लिए किया गया है, जो एंटरप्राइज़ प्रमाणीकरण पर लागू होता है।

स्टाफ WiFi SSID और VLAN को गेस्ट WiFi SSID और VLAN से पूरी तरह से अलग रखें। गेस्ट ट्रैफ़िक को कभी भी प्रबंधन या कॉर्पोरेट सबनेट पर ब्रिज न करें। यदि कोई नेटवर्क सेगमेंट कार्डधारक डेटा को संभालता है तो यह अलगाव एक PCI-DSS आवश्यकता है।

मल्टी-टेनेंट वातावरण के लिए Sophos PPSK और डायनेमिक VLAN असाइनमेंट

मल्टी-टेनेंट वातावरणों में - जैसे कि कोवर्किंग स्पेस, BTR आवासीय ब्लॉक, PBSA, या खुदरा रियायतें - आपको प्रत्येक किरायेदार के लिए एक अलग SSID प्रसारित किए बिना नेटवर्क स्तर पर विभिन्न उपयोगकर्ता समूहों को अलग करने की आवश्यकता होती है। कई SSID प्रसारित करने से रेडियो फ्रीक्वेंसी ओवरहेड बढ़ जाता है और प्रबंधन जटिल हो जाता है।

Sophos AP6 एक्सेस पॉइंट PPSK (Private Pre-Shared Key) का समर्थन करते हैं, जिसे आइडेंटिटी PSK या प्रति-उपयोगकर्ता PSK भी कहा जाता है। PPSK एक एकल SSID को कई अद्वितीय पासफ़्रेज़ स्वीकार करने की अनुमति देता है, जिनमें से प्रत्येक RADIUS विशेषताओं के माध्यम से एक विशिष्ट VLAN पर मैप किया जाता है।

डायनेमिक VLAN असाइनमेंट प्रवाह निम्नानुसार काम करता:

  1. एक निवासी या सदस्य एकल साझा SSID से जुड़ता है और अपना अद्वितीय PPSK दर्ज करता है।
  2. Sophos AP कॉन्फ़िगर किए गए RADIUS सर्वर को एक RADIUS Access-Request भेजता है, जिसमें क्रेडेंशियल के रूप में PPSK शामिल होता है।
  3. RADIUS सर्वर PPSK को मान्य करता है और निम्नलिखित VLAN विशेषताओं के साथ एक Access-Accept लौटाता है:
    • Tunnel-Type = VLAN (मान 13)
    • Tunnel-Medium-Type = IEEE-802 (मान 6)
    • Tunnel-Private-Group-ID = `` (जैसे, 100)
  4. Sophos AP डिवाइस के ट्रैफ़िक को लौटाए गए VLAN ID के साथ टैग करता है, जिससे यह सही पृथक नेटवर्क सेगमेंट पर आ जाता है।

यह पहचान-आधारित नेटवर्किंग (Identity-Based Networking) है: एक SSID, कई पृथक VLAN, जो उपयोगकर्ता के अद्वितीय क्रेडेंशियल द्वारा संचालित होते हैं।

ppsk_vlan_diagram.png

architecture_overview.png

कार्यान्वयन गाइड

चरण 1: Purple क्रेडेंशियल प्राप्त करें

Purple पोर्टल पर लॉग इन करें। Management > Locations > [Your Venue] > Hardware > Add Hardware पर जाएं। हार्डवेयर प्रकार के रूप में Sophos चुनें। पोर्टल प्रदर्शित करता है:

  • प्राथमिक और माध्यमिक RADIUS सर्वर IP पते
  • RADIUS साझा रहस्य
  • कैप्टिव पोर्टल URL (जैसे, https://region1.purpleportal.net/access/)
  • रीडायरेक्ट URL (जैसे, https://region1.purpleportal.net/access/?res=success)
  • पूर्ण Walled Garden डोमेन सूची

आगे बढ़ने से पहले चारों मानों को नोट कर लें।

चरण 2: Sophos Firewall पर RADIUS सर्वर कॉन्फ़िगर करें

Sophos Firewall पर Authentication > Servers पर जाएं (या AP-प्रबंधित कॉन्फ़िगरेशन के लिए Sophos Central > Wireless > SSIDs > [SSID] > Advanced Settings पर जाएं)।

  1. एक नया RADIUS सर्वर प्रविष्टि बनाने के लिए Add पर क्लिक करें।
  2. Server IP को प्राथमिक Purple RADIUS IP पते पर सेट करें।
  3. Authentication port को 1812 पर सेट करें।
  4. Accounting port को 1813 पर सेट करें।
  5. Purple पोर्टल से प्राप्त Shared secret दर्ज करें।
  6. माध्यमिक Purple RADIUS सर्वर के लिए इसे दोहराएं।

Sophos Central के माध्यम से प्रबंधित Sophos AP6 के लिए, SSID के Advanced Settings > Backend authentication अनुभाग के अंतर्गत RADIUS सर्वर को कॉन्फ़िगर करें।

चरण 3: Walled Garden कॉन्फ़िगर करें

Sophos Firewall पर Wireless > Hotspot Settings पर जाएं।

  1. Walled garden के अंतर्गत, Add new item पर क्लिक करें।
  2. Purple द्वारा प्रदान की गई सूची से प्रत्येक डोमेन जोड़ें।
  3. सुनिश्चित करें कि पूर्व-प्रमाणीकरण फ़ायरवॉल नियम के माध्यम से अप्रमाणित क्लाइंट के लिए DNS (UDP पोर्ट 53) की अनुमति है।
  4. Apply पर क्लिक करें।

चरण 4: गेस्ट SSID बनाएं

Wireless > Wireless Settings > SSIDs (या Sophos Central > Wireless > SSIDs) पर जाएं।

  1. Add SSID पर क्लिक करें।
  2. Encryption mode को Open (कोई प्री-शेयर्ड की नहीं) पर सेट करें।
  3. Advanced Settings > Captive portal के अंतर्गत, कैप्टिव पोर्टल को सक्षम करें।
  4. प्रमाणीकरण प्रकार के रूप में Backend authentication चुनें।
  5. Purple RADIUS सर्वर IP, पोर्ट 1812, और साझा रहस्य दर्ज करें।
  6. Redirect URL को Purple स्प्लैश पेज URL पर सेट करें।
  7. SSID को एक समर्पित गेस्ट VLAN (जैसे, VLAN 100) में असाइन करें।
  8. गेस्ट-टू-गेस्ट ट्रैफ़िक को रोकने के लिए Client isolation सक्षम करें।

चरण 5: प्रमाणीकरण-पश्चात फ़ायरवॉल नियम बनाएं

Rules and policies > Firewall rules पर जाएं।

  1. गेस्ट VLAN से WAN ज़ोन में ट्रैफ़िक की अनुमति देने वाला नियम बनाएं।
  2. दुर्भावनापूर्ण श्रेणियों को ब्लॉक करने के लिए वेब फ़िल्टरिंग लागू करें।
  3. प्रति उपयोगकर्ता बैंडविड्थ को सीमित करने के लिए ट्रैफ़िक शेपिंग लागू करें (अनुशंसित: गेस्ट नेटवर्क के लिए 10 Mbps डाउन, 5 Mbps अप)।
  4. गेस्ट VLAN से POS सिस्टम, PMS, या कॉर्पोरेट संसाधनों वाले किसी भी आंतरिक VLAN में सभी ट्रैफ़िक को स्पष्ट रूप से ब्लॉक करें।

चरण 6: मल्टी-टेनेंट वातावरण के लिए PPSK कॉन्फ़िगर करें (वैकल्पिक)

  1. Sophos Central में, एक WPA2-Personal SSID बनाएं।
  2. SSID की उन्नत सेटिंग्स के अंतर्गत RADIUS VLAN assignment सक्षम करें।
  3. PPSK क्रेडेंशियल स्वीकार करने और प्रति उपयोगकर्ता समूह उपयुक्त VLAN विशेषताएँ वापस करने के लिए RADIUS सर्वर को कॉन्फ़िगर करें।
  4. Purple पोर्टल या अपने RADIUS प्रबंधन इंटरफ़ेस के माध्यम से प्रत्येक किरायेदार समूह को अद्वितीय PPSK जारी करें।

सर्वोत्तम प्रथाएं

लेयर 2 और लेयर 3 पर ट्रैफ़िक को अलग करें। हमेशा Guest WiFi को एक समर्पित VLAN पर रखें। आंतरिक सेगमेंट पर RFC 1918 एड्रेस स्पेस में गेस्ट VLAN से सभी ट्रैफ़िक को ब्लॉक करने के लिए स्पष्ट फ़ायरवॉल नियम बनाएं। यह PCI-DSS नेटवर्क सेगमेंटेशन आवश्यकताओं को पूरा करता है और गेस्ट डिवाइस के साथ समझौता होने की स्थिति में लेटरल मूवमेंट को रोकता है।

उच्च-घनत्व वाले परिनियोजन के लिए Bridge मोड का उपयोग करें। 200 से अधिक समवर्ती गेस्ट कनेक्शन वाले वातावरणों में - जैसे होटल, स्टेडियम, सम्मेलन केंद्र - गेस्ट SSID को Bridge मोड में कॉन्फ़िगर करें। यह ट्रैफ़िक को एंटरप्राइज़ DHCP सर्वर द्वारा नियंत्रित VLAN पर भेजता है, जिससे Sophos AP या फ़ायरवॉल DHCP अड़चन बनने से बच जाता है। 70% ऑक्यूपेंसी वाले 500 कमरों के होटल में प्रति गेस्ट दो डिवाइस होने पर एक साथ लगभग 700 DHCP लीज उत्पन्न होते हैं। एंटरप्राइज़ DHCP इसे संभालता है; ऑन-बोर्ड AP DHCP नहीं।

सार्वजनिक रूप से विश्वसनीय SSL प्रमाणपत्र का उपयोग करें। रीडायरेक्शन इंटरफ़ेस के लिए सार्वजनिक CA द्वारा हस्ताक्षरित प्रमाणपत्र प्रस्तुत करने के लिए Sophos Firewall को कॉन्फ़िगर करें। स्व-हस्ताक्षरित प्रमाणपत्र iOS और Android पर ब्राउज़र सुरक्षा चेतावनियाँ उत्पन्न करते हैं, जिससे पोर्टल छोड़ने की दर बढ़ जाती है। यह आतिथ्य वातावरण में विशेष रूप से महत्वपूर्ण है जहां अतिथि अनुभव सीधे समीक्षा स्कोर को प्रभावित करता है।

RADIUS प्रमाणीकरण और अकाउंटिंग दोनों को कॉन्फ़िगर करें। प्रमाणीकरण (पोर्ट 1812) एक्सेस प्रदान करता है। अकाउंटिंग (पोर्ट 1813) उपयोग को ट्रैक करता है। Purple के एनालिटिक्स के सही ढंग से काम करने के लिए दोनों आवश्यक हैं। अकाउंटिंग डेटा Purple डैशबोर्ड में सत्र की अवधि के मेट्रिक्स, बैंडविड्थ रिपोर्ट और बार-बार आने वाले विज़िटर की पहचान को संचालित करता है।

गो-लाइव से पहले अपने Walled Garden की योजना बनाएं। प्रोडक्शन में तैनात करने से पहले कम से कम एक iOS डिवाइस और एक Android डिवाइस पर पोर्टल का परीक्षण करें। दोनों प्लेटफ़ॉर्म में अलग-अलग कैप्टिव पोर्टल डिटेक्शन मैकेनिज्म होते हैं और अधूरे Walled Garden कॉन्फ़िगरेशन के साथ अलग तरह से व्यवहार कर सकते हैं। पूर्व-प्रमाणीकरण चरण के दौरान किसी भी ब्लॉक किए गए डोमेन की पहचान करने के लिए Sophos Firewall पर पैकेट कैप्चर का उपयोग करें।

प्रमाणीकरण के बाद Sophos Synchronized Security लागू करें। Sophos AP6 एक्सेस पॉइंट Synchronized Security का समर्थन करते हैं, जो Sophos Endpoint Protection के साथ एकीकृत होता है। यदि किसी गेस्ट डिवाइस की पहचान खतरे में पड़े (लाल Security Heartbeat स्थिति) के रूप में की जाती है, तो AP स्वचालित रूप से उस डिवाइस को Walled Garden तक सीमित कर सकता है, जिससे मैन्युअल हस्तक्षेप के बिना इसे इंटरनेट से अलग किया जा सकता है। यह स्वास्थ्य सेवा और खुदरा वातावरण के लिए एक महत्वपूर्ण सुरक्षा नियंत्रण है।

व्यापक एंटरप्राइज़ WiFi सुरक्षा संदर्भ के लिए, हमारी गाइड Enterprise WiFi Security: A Complete Guide for 2026 देखें।

समस्या निवारण और जोखिम शमन

लक्षण: पोर्टल पेज लोड होने में विफल रहता है (खाली स्क्रीन या टाइमआउट) कारण: अधूरा Walled Garden। Sophos Firewall प्रमाणीकरण से पहले Purple की CSS/JS संपत्तियों या सोशल लॉगिन API तक पहुंच को ब्लॉक कर रहा है। समाधान: गेस्ट VLAN के लिए Sophos Firewall पर पैकेट कैप्चर सक्षम करें। ब्लॉक किए गए डोमेन की पहचान करें। उन्हें Walled Garden में जोड़ें। सत्यापित करें कि पूर्व-प्रमाणीकरण में DNS की अनुमति है।

लक्षण: पोर्टल लोड होता है लेकिन प्रमाणीकरण हमेशा विफल रहता है कारण: RADIUS साझा रहस्य बेमेल है, या UDP पोर्ट 1812/1813 ब्लॉक हैं। समाधान: Sophos कॉन्फ़िगरेशन और Purple पोर्टल दोनों में साझा रहस्य को अक्षर-दर-अक्षर सत्यापित करें। UDP पहुंच की पुष्टि करने के लिए Sophos CLI से nmap -sU -p 1812,1813 का उपयोग करें।

लक्षण: एनालिटिक्स शून्य सत्र अवधि और कोई बैंडविड्थ डेटा नहीं दिखाते हैं कारण: RADIUS अकाउंटिंग कॉन्फ़िगर नहीं है या ब्लॉक है। समाधान: सत्यापित करें कि अकाउंटिंग सर्वर पोर्ट 1813 पर सही साझा रहस्य के साथ कॉन्फ़िगर किया गया है। जांचें कि कोई मध्यवर्ती ACL आउटबाउंड UDP 1813 को ब्लॉक नहीं कर रहा है।

लक्षण: गेस्ट डिवाइस पर प्रमाणपत्र चेतावनी कारण: Sophos Firewall रीडायरेक्ट इंटरफ़ेस के लिए स्व-हस्ताक्षरित प्रमाणपत्र का उपयोग कर रहा है। समाधान: Sophos Firewall पर एक सार्वजनिक CA (Let's Encrypt, DigiCert, या समान) द्वारा हस्ताक्षरित प्रमाणपत्र अपलोड करें और इसे Wireless > Hotspot Settings के अंतर्गत लॉगिन पेज प्रमाणपत्र के रूप में असाइन करें।

लक्षण: PPSK उपयोगकर्ता गलत VLAN पर पहुँचते हैं कारण: RADIUS VLAN विशेषताएँ सही ढंग से कॉन्फ़िगर नहीं हैं, या Sophos AP डायनेमिक VLAN असाइनमेंट स्वीकार नहीं कर रहा है। समाधान: सत्यापित करें कि RADIUS सर्वर Tunnel-Type = 13, Tunnel-Medium-Type = 6, और Tunnel-Private-Group-ID = लौटाता है। पुष्टि करें कि Sophos Central में SSID पर RADIUS VLAN असाइनमेंट सक्षम है।

ROI और व्यावसायिक प्रभाव

Sophos इन्फ्रास्ट्रक्चर पर Purple को तैनात करने से Guest WiFi एक उपयोगिता लागत से फर्स्ट-पार्टी डेटा एसेट में बदल जाता है। इसका व्यावसायिक मामला सीधा है।

70% ऑक्यूपेंसी पर चलने वाला 200 कमरों का होटल, जहां औसत प्रवास 1.8 रातों का है, Purple के सचेत-विकल्प ऑप्ट-इन पोर्टल के माध्यम से प्रति वर्ष लगभग 50,000 सत्यापित अतिथि प्रोफाइल उत्पन्न करेगा। प्रत्येक प्रोफ़ाइल में नाम, ईमेल पता, जनसांख्यिकीय डेटा और विज़िट इतिहास शामिल होता है। यह डेटा सीधे ईमेल मार्केटिंग अभियानों में जाता है, जिससे सीधे बुकिंग और खाद्य एवं पेय राजस्व में औसत दर्जे की वृद्धि होती है।

खुदरा वातावरण के लिए, Purple के एनालिटिक्स ड्वेल टाइम, बार-बार आने की आवृत्ति और पीक फुटफॉल अवधि की पहचान करते हैं। 50 स्थानों वाली एक खुदरा श्रृंखला इस डेटा का उपयोग स्टाफिंग को अनुकूलित करने, प्रचार समय को समायोजित करने और विज़िट आवृत्ति पर इन-स्टोर इवेंट्स के प्रभाव को मापने के लिए कर सकती है।

सार्वजनिक क्षेत्र और परिवहन ऑपरेटरों के लिए, Purple ऑडिट योग्य GDPR सहमति रिकॉर्ड प्रदान करता है और आवश्यक सेवाओं के ऑपरेटरों के लिए यूके के नेटवर्क और सूचना प्रणाली (NIS) नियमों के अनुपालन का समर्थन करता है।

Purple का 99.999% अपटाइम SLA यह सुनिश्चित करता है कि अतिथि प्रमाणीकरण सेवा आपके नेटवर्क के लिए विफलता का एकल बिंदु न बने। क्लाउड RADIUS आर्किटेक्चर का अर्थ है कि बनाए रखने, पैच करने या बदलने के लिए कोई ऑन-प्रिमाइसेस प्रमाणीकरण सर्वर नहीं है।

संबंधित एकीकरण मार्गदर्शन के लिए, Alta Labs Integration with Purple WiFi: Setup and Captive Portal Configuration गाइड देखें।

मुख्य परिभाषाएं

Captive portal

एक वेब पेज जो उपयोगकर्ता के प्रारंभिक HTTP अनुरोध को इंटरसेप्ट करता है और इंटरनेट एक्सेस देने से पहले बातचीत (प्रमाणीकरण, सहमति, या भुगतान) की आवश्यकता होती है।

Guest WiFi के लिए प्राथमिक इंटरफ़ेस। Purple क्लाउड में कैप्टिव पोर्टल को होस्ट करता है; Sophos Firewall अप्रमाणित क्लाइंट को इस पर रीडायरेक्ट करता है।

Walled Garden

डोमेन और IP पतों की एक सख्त अनुमति सूची (allowlist) जिसे अप्रमाणित डिवाइस पोर्टल प्रमाणीकरण पूरा करने से पहले एक्सेस कर सकते हैं।

इसमें Purple के पोर्टल डोमेन, सोशल लॉगिन प्रदाता और कोई भी पहचान संघ (identity federation) एंडपॉइंट शामिल होने चाहिए। एक अधूरा Walled Garden पोर्टल लोड विफलताओं का सबसे आम कारण है।

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क से जुड़ने वाले उपयोगकर्ताओं के लिए केंद्रीकृत प्रमाणीकरण, प्राधिकरण और अकाउंटिंग प्रदान करता है। प्रमाणीकरण के लिए UDP पोर्ट 1812 और अकाउंटिंग के लिए 1813 का उपयोग करता है।

Purple RADIUS-as-a-Service प्रदान करता है। Sophos Firewall और APs मेहमानों को प्रमाणित करने और सत्र डेटा की रिपोर्ट करने के लिए Purple के क्लाउड RADIUS के साथ संवाद करते हैं।

RADIUS accounting

RADIUS का वह घटक जो नेटवर्क उपयोग मेट्रिक्स को ट्रैक करता है, जिसमें सत्र शुरू होने का समय, अवधि, स्थानांतरित बाइट्स और सत्र समाप्ति का कारण शामिल है।

Purple के WiFi Analytics के लिए आवश्यक। पोर्ट 1813 पर अकाउंटिंग डेटा के बिना, Purple डैशबोर्ड में सत्र की अवधि और बैंडविड्थ मेट्रिक्स अनुपलब्ध होते हैं।

PPSK (Private Pre-Shared Key)

एक WiFi सुरक्षा सुविधा जो एक एकल SSID को कई अद्वितीय पासफ़्रेज़ स्वीकार करने की अनुमति देती है, जिनमें से प्रत्येक आमतौर पर RADIUS के माध्यम से एक विशिष्ट VLAN या नीति पर मैप किया जाता है।

मल्टी-टेनेंट WiFi परिनियोजन में कई SSIDs प्रसारित किए बिना प्रति-उपयोगकर्ता या प्रति-समूह नेटवर्क अलगाव प्रदान करने के लिए उपयोग किया जाता है। Sophos AP6 डायनेमिक VLAN असाइनमेंट के साथ PPSK का समर्थन करता है।

Dynamic VLAN assignment

एक प्रक्रिया जहां RADIUS सर्वर एक्सेस पॉइंट को Access-Accept संदेश में Tunnel-Type, Tunnel-Medium-Type, और Tunnel-Private-Group-ID विशेषताओं को वापस करके एक प्रमाणित उपयोगकर्ता को एक विशिष्ट VLAN पर रखने का निर्देश देता है।

पहचान-आधारित नेटवर्क (Identity-Based Networks) को सक्षम बनाता है। उपयोगकर्ताओं को उनके क्रेडेंशियल के आधार पर सही नेटवर्क सेगमेंट में रखा जाता है, चाहे वे किसी भी भौतिक AP से कनेक्ट हों।

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक। LAN या WLAN से जुड़ने वाले उपकरणों के लिए एक प्रमाणीकरण ढांचा प्रदान करता है, जिसके लिए एक सप्लीकेंट (क्लाइंट), ऑथेंटिकेटर (AP या स्विच), और प्रमाणीकरण सर्वर (RADIUS) की आवश्यकता होती है।

स्टाफ WiFi के लिए एंटरप्राइज़ मानक। Sophos AP6, EAP-TLS या PEAP-MSCHAPv2 का उपयोग करके WPA2-Enterprise और WPA3-Enterprise के साथ 802.1X का समर्थन करता है।

Bridge mode

एक नेटवर्क कॉन्फ़िगरेशन जहां एक्सेस पॉइंट वायरलेस क्लाइंट ट्रैफ़िक को सीधे वायर्ड LAN पर टैग किए गए VLAN फ्रेम के रूप में पास करता है, बिना NAT या स्थानीय DHCP किए।

उच्च-घनत्व वाले परिनियोजन के लिए अनुशंसित। DHCP को एंटरप्राइज़ सर्वर पर स्थानांतरित करता है और यह सुनिश्चित करता है कि सटीक एनालिटिक्स के लिए Purple को वास्तविक क्लाइंट IP पता प्राप्त हो।

First-party data

आपके अपने चैनलों के माध्यम से सीधे उपयोगकर्ताओं से एकत्र की गई जानकारी, जो आपके स्वामित्व में है, तीसरे पक्षों के साथ साझा नहीं की जाती है या उनसे प्राप्त नहीं की जाती है।

Purple Guest WiFi का प्राथमिक व्यावसायिक मूल्य। कैप्टिव पोर्टल पर सचेत-विकल्प ऑप्ट-इन के माध्यम से कैप्चर किया गया, यह डेटा GDPR-अनुपालन है और तीसरे पक्ष के कुकीज़ से स्वतंत्र है।

हल किए गए उदाहरण

एक 300 कमरों वाले होटल ने Sophos Central के माध्यम से प्रबंधित Sophos AP6 एक्सेस पॉइंट तैनात किए हैं। उन्हें मेहमानों को एक ब्रांडेड Purple स्प्लैश पेज के माध्यम से प्रमाणित करने की आवश्यकता है और PCI-DSS अनुपालन बनाए रखने के लिए गेस्ट नेटवर्क को VLAN 20 पर प्रॉपर्टी मैनेजमेंट सिस्टम (PMS) से पूरी तरह से अलग करने की आवश्यकता है। होटल को पीक पीरियड्स के दौरान 600 तक समवर्ती गेस्ट कनेक्शन की उम्मीद है।

  1. Sophos Central में, Open एन्क्रिप्शन के साथ 'Hotel Guest WiFi' नाम से एक समर्पित गेस्ट SSID बनाएं। 2. कोर नेटवर्क DHCP सर्वर के माध्यम से 600-डिवाइस DHCP लोड को संभालने के लिए SSID को Bridge मोड में VLAN 100 पर असाइन करें। 3. Advanced Settings के अंतर्गत कैप्टिव पोर्टल को सक्षम करें और Backend authentication चुनें। 4. पोर्ट 1812 पर Purple RADIUS सर्वर IP और Purple पोर्टल से साझा रहस्य दर्ज करें। 5. region1.purpleportal.net, venuewifi.com और सभी सोशल लॉगिन डोमेन की अनुमति देने के लिए Walled Garden को कॉन्फ़िगर करें। 6. Sophos Firewall पर, वेब फ़िल्टरिंग लागू करके VLAN 100 से WAN ज़ोन में ट्रैफ़िक की अनुमति देने वाला फ़ायरवॉल नियम बनाएं। 7. VLAN 100 से VLAN 20 (PMS नेटवर्क) तक के सभी ट्रैफ़िक को ब्लॉक करने वाला एक स्पष्ट DENY नियम बनाएं। 8. 120 सेकंड के अंतरिम अंतराल के साथ पोर्ट 1813 पर RADIUS अकाउंटिंग कॉन्फ़िगर करें। 9. रीडायरेक्ट इंटरफ़ेस के लिए Sophos Firewall पर एक सार्वजनिक रूप से विश्वसनीय SSL प्रमाणपत्र अपलोड करें। 10. गो-लाइव से पहले iOS और Android दोनों पर परीक्षण करें।
परीक्षक की टिप्पणी: यहाँ Bridge मोड आवश्यक है। 600 समवर्ती कनेक्शनों पर, ऑन-बोर्ड AP DHCP अभिभूत हो जाएगा। VLAN 100 से VLAN 20 तक का स्पष्ट DENY नियम PCI-DSS नेटवर्क सेगमेंटेशन आवश्यकताओं को पूरा करता है। सार्वजनिक रूप से विश्वसनीय प्रमाणपत्र iOS 14+ और Android 10+ को सुरक्षा चेतावनियाँ प्रदर्शित करने से रोकता है जो पोर्टल छोड़ने की दर को बढ़ा सकती हैं। Purple के एनालिटिक्स के काम करने के लिए अकाउंटिंग को कॉन्फ़िगर करना गैर-परक्राम्य है।

एक कोवर्किंग स्पेस ऑपरेटर तीन मंजिलों पर 15 किरायेदार कंपनियों का प्रबंधन करता है। प्रत्येक कंपनी को अपने स्वयं के पृथक नेटवर्क सेगमेंट की आवश्यकता होती है। वे वर्तमान में 15 अलग-अलग SSID प्रसारित करते हैं, जिससे महत्वपूर्ण RF कंजेशन होता है। वे किरायेदारों के बीच सख्त लेयर 2 अलगाव बनाए रखते हुए Sophos AP6 एक्सेस पॉइंट्स का उपयोग करके एक एकल SSID में समेकित करना चाहते हैं।

  1. प्रत्येक किरायेदार कंपनी को एक अद्वितीय VLAN असाइन करें (जैसे, VLANs 200-214)। 2. Sophos Central में, 'CoWork WiFi' नाम से एक एकल WPA2-Personal SSID बनाएं। 3. SSID पर RADIUS VLAN असाइनमेंट सक्षम करें। 4. प्रति किरायेदार एक अद्वितीय PPSK संग्रहीत करने और प्रमाणीकरण पर उपयुक्त VLAN विशेषताओं को वापस करने के लिए RADIUS सर्वर (Purple का क्लाउड RADIUS या एक एकीकृत निर्देशिका) कॉन्फ़िगर करें। 5. प्रत्येक किरायेदार कंपनी को Purple पोर्टल के माध्यम से उनका अद्वितीय PPSK जारी करें। 6. Sophos Firewall पर, किरायेदार VLAN के बीच सभी ट्रैफ़िक को ब्लॉक करने के लिए इंटर-VLAN फ़ायरवॉल नियम कॉन्फ़िगर करें। प्रत्येक VLAN को केवल इंटरनेट तक पहुंच की अनुमति दें। 7. साझा सेवाओं (जैसे, एक साझा प्रिंटर) की आवश्यकता वाले किरायेदारों के लिए, केवल उन विशिष्ट संसाधनों के लिए स्पष्ट अनुमति नियम बनाएं।
परीक्षक की टिप्पणी: 15 SSID से एक में समेकित करने से प्रति AP प्रति सेकंड 15 बीकन फ्रेम का RF ओवरहेड समाप्त हो जाता है। डायनेमिक VLAN असाइनमेंट के साथ PPSK नेटवर्क लेयर पर अलग SSIDs के समान ही अलगाव प्रदान करता है। मुख्य जोखिम RADIUS सर्वर की उपलब्धता है: यदि RADIUS सर्वर अनुपलब्ध है, तो कोई भी किरायेदार कनेक्ट नहीं हो सकता है। इसे कम करने के लिए एक माध्यमिक Purple RADIUS सर्वर तैनात करें और इसे Sophos Central में फ़ॉलबैक के रूप में कॉन्फ़िगर करें।

अभ्यास प्रश्न

Q1. एक खुदरा श्रृंखला ने 50 स्टोरों में Sophos AP6 एक्सेस पॉइंट तैनात किए हैं। खरीदार रिपोर्ट करते हैं कि Purple स्प्लैश पेज को लोड होने में 30 सेकंड से अधिक का समय लगता है, या पूरी तरह से टाइमआउट हो जाता है। IT टीम ने पुष्टि की है कि RADIUS प्रमाणीकरण सही ढंग से कॉन्फ़िगर किया गया है। इसका सबसे संभावित कारण क्या है और आप इसे कैसे हल करते हैं?

संकेत: विचार करें कि उपयोगकर्ता के प्रमाणीकरण चरण तक पहुँचने से पहले क्या होता है।

मॉडल उत्तर देखें

Walled Garden अधूरा है। Sophos Firewall प्रमाणीकरण से पहले Purple की CSS और JavaScript संपत्तियों, या सोशल लॉगिन CDN डोमेन तक पहुंच को ब्लॉक कर रहा है। गेस्ट VLAN के लिए Sophos Firewall पर पैकेट कैप्चर सक्षम करें और अप्रमाणित क्लाइंट से ब्लॉक किए गए ट्रैफ़िक को फ़िल्टर करें। ब्लॉक किए गए डोमेन की पहचान करें और उन्हें Wireless > Hotspot Settings के अंतर्गत Walled Garden में जोड़ें। यह भी सत्यापित करें कि पूर्व-प्रमाणीकरण में DNS (UDP पोर्ट 53) की अनुमति है। DNS रिज़ॉल्यूशन के बिना, डिवाइस Purple पोर्टल होस्टनाम को रिज़ॉल्व नहीं कर सकता है और रीडायरेक्ट तुरंत विफल हो जाता है।

Q2. आप Sophos AP6 एक्सेस पॉइंट्स का उपयोग करके 5,000 सीटों वाले स्टेडियम के लिए Guest WiFi परिनियोजन डिजाइन कर रहे हैं। आयोजन स्थल को इवेंट के दौरान 4,000 समवर्ती प्रशंसक कनेक्शन की उम्मीद है। क्या आपको गेस्ट SSID को NAT मोड या Bridge मोड में कॉन्फ़िगर करना चाहिए? अपने निर्णय का औचित्य सिद्ध करें।

संकेत: 4,000 एक साथ कनेक्शनों द्वारा उत्पन्न DHCP लोड पर विचार करें।

मॉडल उत्तर देखें

Bridge मोड। 4,000 समवर्ती कनेक्शनों पर, NAT मोड Sophos APs या फ़ायरवॉल के ऑन-बोर्ड DHCP सर्वर को अभिभूत कर देगा। Bridge मोड में, APs गेस्ट ट्रैफ़िक को सीधे एक समर्पित VLAN पर भेजते हैं, और एंटरप्राइज़ DHCP सर्वर IP पता असाइनमेंट को संभालते हैं। यह DHCP थकावट को रोकता है और यह सुनिश्चित करता है कि सटीक एनालिटिक्स के लिए Purple प्लेटफ़ॉर्म को वास्तविक क्लाइंट IP पता प्राप्त हो। Bridge मोड NAT मोड की तुलना में अधिक थ्रूपुट भी प्रदान करता है, जो उच्च-घनत्व वाले इवेंट वातावरण के लिए महत्वपूर्ण है। अपेक्षित पीक लोड के लिए पर्याप्त पतों के साथ कोर नेटवर्क पर एक DHCP स्कोप कॉन्फ़िगर करें, साथ ही 20% बफर भी रखें।

Q3. आपका Purple Analytics डैशबोर्ड लॉगिन की सही संख्या दिखाता है, लेकिन सभी सत्र अवधियों को शून्य मिनट के रूप में रिपोर्ट किया जाता है और बैंडविड्थ उपयोग को ट्रैक नहीं किया जाता है। गेस्ट पोर्टल सही ढंग से काम कर रहा है और मेहमान इंटरनेट ब्राउज़ कर सकते हैं। कौन सा कॉन्फ़िगरेशन तत्व गायब है?

संकेत: प्रमाणीकरण पहुंच प्रदान करता है। पहुंच प्रदान किए जाने के बाद उपयोग को क्या ट्रैक करता है?

मॉडल उत्तर देखें

RADIUS अकाउंटिंग कॉन्फ़िगर नहीं है या ब्लॉक की जा रही है। पोर्ट 1812 पर प्रमाणीकरण इंटरनेट एक्सेस प्रदान करता है, लेकिन पोर्ट 1813 पर अकाउंटिंग वह तंत्र है जो सत्र की अवधि और बैंडविड्थ डेटा की रिपोर्ट Purple को वापस करता है। यह पुष्टि करने के लिए Sophos Firewall कॉन्फ़िगरेशन की जांच करें कि अकाउंटिंग सर्वर पोर्ट 1813 पर सही साझा रहस्य के साथ Purple RADIUS IP पर सेट है। फिर सत्यापित करें कि Sophos Firewall और Purple के क्लाउड RADIUS सर्वर के बीच किसी भी मध्यवर्ती ACL या फ़ायरवॉल नियम द्वारा UDP पोर्ट 1813 ब्लॉक नहीं है। यह पुष्टि करने के लिए पैकेट कैप्चर का उपयोग करें कि अकाउंटिंग पैकेट Sophos Firewall से बाहर जा रहे हैं और प्रतिक्रियाएं प्राप्त कर रहे हैं।

Q4. एक कोवर्किंग स्पेस ऑपरेटर अपनी 20 किरायेदार कंपनियों में से प्रत्येक को एक पृथक नेटवर्क सेगमेंट देने के लिए Sophos PPSK का उपयोग करना चाहता है। कॉन्फ़िगरेशन के बाद, सभी PPSK उपयोगकर्ता सफलतापूर्वक कनेक्ट होते हैं लेकिन वे सभी एक ही VLAN पर पहुँचते हैं, चाहे वे किसी भी PPSK का उपयोग करें। सबसे संभावित कारण क्या है?

संकेत: इस बारे में सोचें कि RADIUS सर्वर को क्या वापस करने की आवश्यकता है और AP को क्या स्वीकार करने की आवश्यकता है।

मॉडल उत्तर देखें

इसके दो संभावित कारण हैं। पहला, RADIUS सर्वर Access-Accept संदेश में सही VLAN विशेषताएँ नहीं लौटा रहा है। सत्यापित करें कि RADIUS सर्वर प्रत्येक PPSK के लिए Tunnel-Type = 13 (VLAN), Tunnel-Medium-Type = 6 (IEEE-802), and Tunnel-Private-Group-ID = सही VLAN ID लौटाता है। दूसरा, Sophos Central में SSID पर RADIUS VLAN असाइनमेंट सक्षम नहीं हो सकता है। SSID की Advanced Settings पर जाएं और पुष्टि करें कि RADIUS VLAN असाइनमेंट चालू (toggled on) है। Access-Accept संदेशों का निरीक्षण करने और पुष्टि करने के लिए कि VLAN विशेषताएँ मौजूद हैं और सही ढंग से स्वरूपित हैं, RADIUS डिबग लॉग या पैकेट कैप्चर का उपयोग करें।

इस श्रृंखला में आगे पढ़ें

Purple WiFi के साथ Grandstream GWN Access Points का एकीकरण

यह आधिकारिक तकनीकी संदर्भ गाइड विस्तार से बताती है कि Grandstream GWN access points को Purple के Guest WiFi और एनालिटिक्स प्लेटफॉर्म के साथ कैसे एकीकृत किया जाए। यह Grandstream कैप्टिव पोर्टल कॉन्फ़िगरेशन, RADIUS AAA सेटिंग्स, walled garden सेटअप, डायनेमिक VLAN स्टीयरिंग के साथ सुरक्षित स्टाफ 802.1X प्रमाणीकरण, और मल्टी-टेनेंट PPSK विभाजन को कवर करता है - जो बड़े पैमाने पर अतिथि और स्टाफ WiFi तैनात करने वाले MSPs और आईटी टीमों के लिए व्यावहारिक, चरण-दर-चरण मार्गदर्शन प्रदान करता है।

गाइड पढ़ें →

Cisco WLC और Catalyst एकीकरण Purple WiFi के साथ: चरण-दर-चरण अतिथि एक्सेस गाइड

यह गाइड Purple के साथ Cisco WLC और Catalyst 9800 Wireless के चरण-दर-चरण एकीकरण का विवरण देती है, जिसमें Central Web Authentication के माध्यम से Guest WiFi कैप्टिव पोर्टल रीडायरेक्शन, 802.1X EAP-TLS का उपयोग करके सुरक्षित Staff WiFi, और डायनेमिक VLAN असाइनमेंट के साथ Cisco Identity Pre-Shared Keys (iPSK) का उपयोग करके मल्टी-टेनेंट सेगमेंटेशन शामिल है। यह उन एंटरप्राइज नेटवर्क आर्किटेक्ट्स और IT सुरक्षा निदेशकों के लिए लिखी गई है जो हॉस्पिटैलिटी, रिटेल और बड़े सार्वजनिक वेन्यू में Cisco इन्फ्रास्ट्रक्चर को डिप्लॉय कर रहे हैं।

गाइड पढ़ें →

Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर एकीकरण

यह गाइड Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर को तैनात करने के लिए संपूर्ण एकीकरण प्लेबुक प्रदान करती है। इसमें CoovaChilli कैप्टिव पोर्टल कॉन्फ़िगरेशन, iptables वॉल्ड गार्डन प्रबंधन, hostapd के साथ 802.1X सुरक्षित स्टाफ WiFi, और डायनेमिक VLAN असाइनमेंट के साथ मल्टी-टेनेंट PPSK सेगमेंटेशन शामिल है - जो IT टीमों को किसी भी OpenWrt-सक्षम हार्डवेयर पर पहचान-आधारित नेटवर्क बनाने के लिए आवश्यक सटीक कॉन्फ़िगरेशन चरण प्रदान करता है।

गाइड पढ़ें →