पॉडकास्ट ट्रांसक्रिप्ट देखें
Purple आर्किटेक्चर ब्रीफिंग में आपका स्वागत है। आज हम एंटरप्राइज़ नेटवर्क के लिए एक महत्वपूर्ण एकीकरण पर चर्चा कर रहे हैं: Sophos इन्फ्रास्ट्रक्चर, विशेष रूप से Sophos AP6 और APX एक्सेस पॉइंट्स और Sophos XG और XGS फायरवॉल के साथ Purple WiFi को तैनात करना। यदि आप एक IT मैनेजर, एक नेटवर्क आर्किटेक्ट, या किसी वेन्यू का प्रबंधन करने वाले CTO हैं, चाहे वह कोई रिटेल चेन हो, स्टेडियम हो, या अस्पताल हो, तो यह सेशन आपको इन दोनों शक्तिशाली प्लेटफॉर्म्स को एक साथ सहजता से काम करने के लिए एक व्यावहारिक ब्लूप्रिंट देने के लिए डिज़ाइन किया गया है।
आइए संदर्भ को समझते हैं। Sophos अपनी मजबूत सुरक्षा व्यवस्था के लिए प्रसिद्ध है। Sophos Firewall एप्लायंसेज डीप पैकेट इंस्पेक्शन और सिंक्रोनाइज़्ड सुरक्षा प्रदान करते हैं। हालाँकि, जब Guest WiFi की बात आती है, तो आप केवल सुरक्षा नहीं चाहते हैं। आप व्यावसायिक मूल्य चाहते हैं। आप जनसांख्यिकीय डेटा कैप्चर करना चाहते हैं, विज़िटर के व्यवहार को समझना चाहते हैं, और मार्केटिंग निवेश पर रिटर्न बढ़ाना चाहते हैं। यहीं पर Purple काम आता है। Purple को एक बाहरी कैप्टिव पोर्टल के रूप में एकीकृत करके, आप गेस्ट पहचान प्रबंधन, GDPR सहमति और सोशल लॉगिन का भारी काम Purple के क्लाउड RADIUS पर स्थानांतरित कर देते हैं, जबकि Sophos Firewall को वह काम करने देते हैं जो वह सबसे अच्छा करता है: पेरिमीटर को सुरक्षित करना।
तो, यह वास्तव में काम कैसे करता है? आइए तकनीकी गहराई में चलते हैं।
यह आर्किटेक्चर मानक RADIUS प्रोटोकॉल और HTTP रीडायरेक्शन पर निर्भर करता है। जब कोई वेन्यू उपयोगकर्ता Sophos AP द्वारा प्रसारित आपके ओपन Guest WiFi SSID से जुड़ता है, तो Sophos Firewall उस शुरुआती वेब अनुरोध को इंटरसेप्ट करता है। एक बुनियादी, स्थानीय रूप से संग्रहीत पोर्टल पेज पर ले जाने के बजाय, फायरवॉल क्लाइंट को Purple के क्लाउड-होस्टेड स्प्लैश पेज पर रीडायरेक्ट करता है।
अब, यहाँ एक महत्वपूर्ण अवधारणा है: वॉल्ड गार्डन (Walled Garden)। इस प्री-ऑथेंटिकेशन फेज के दौरान, उपयोगकर्ता के पास इंटरनेट एक्सेस नहीं होता है। लेकिन उन्हें पोर्टल ग्राफ़िक्स लोड करने की आवश्यकता होती है, और उन्हें लॉग इन करने के लिए Facebook या Google तक पहुँचने की आवश्यकता हो सकती है। वॉल्ड गार्डन Sophos Firewall पर कॉन्फ़िगर की गई एक सख्त अनुमति सूची है जो इन विशिष्ट डोमेन पर ट्रैफ़िक की अनुमति देती है। एक बार जब उपयोगकर्ता ऑथेंटिकेट हो जाता है, तो Purple का प्लेटफ़ॉर्म Sophos Firewall को वापस एक RADIUS Access-Accept संदेश भेजता है। इसके बाद फायरवॉल सेशन स्थिति को ऑथेंटिकेटेड में बदलकर स्विच को फ़्लिप करता है, और उपयोगकर्ता को आपके पोस्ट-ऑथेंटिकेशन फायरवॉल नीति में डाल देता है।
आइए RADIUS कॉन्फ़िगरेशन के बारे में अधिक विस्तार से बात करते हैं, क्योंकि यहाँ सटीकता बहुत मायने रखती है। Purple आपको RADIUS क्रेडेंशियल्स के दो सेट प्रदान करता है: एक पोर्ट 1812 पर ऑथेंटिकेशन के लिए, और एक पोर्ट 1813 पर अकाउंटिंग के लिए। दोनों को कॉन्फ़िगर किया जाना चाहिए। अकाउंटिंग सर्वर वैकल्पिक नहीं है। यह वह तंत्र है जिसके द्वारा Sophos Firewall सेशन डेटा की रिपोर्ट वापस Purple को देता है, जिसमें अवधि, उपयोग किया गया बैंडविड्थ और सेशन समाप्त होने की घटनाएं शामिल हैं। सटीक अकाउंटिंग डेटा के बिना, आपका Purple एनालिटिक्स डैशबोर्ड अधूरा या गलत विज़िटर मेट्रिक्स दिखाएगा। अपने अकाउंटिंग अंतरिम अंतराल को 120 सेकंड पर सेट करें। यह रीयल-टाइम विज़िबिलिटी और नेटवर्क ओवरहेड के बीच एक अच्छा संतुलन प्रदान करता है।
अब एक ऐसे परिदृश्य के बारे में बात करते हैं जो उद्यम परिनियोजन में लगातार सामने आता है: Multi-Tenant WiFi। एक सह-कार्यशील स्थान (coworking space), किराए के लिए बने आवासीय ब्लॉक (build-to-rent), या छात्र आवास भवन के बारे में सोचें। आपके पास उपयोगकर्ताओं के कई अलग-अलग समूह हैं जिन्हें WiFi एक्सेस की आवश्यकता है, लेकिन वे नेटवर्क स्तर पर एक-दूसरे से पूरी तरह से अलग होने चाहिए। प्रत्येक किरायेदार के लिए एक अलग SSID प्रसारित करना व्यावहारिक नहीं है। यह रेडियो फ्रीक्वेंसी कंजेशन पैदा करता है और प्रबंधित करने के लिए एक परिचालन दुःस्वप्न है।
इसका उत्तर Sophos Private Pre-Shared Keys या PPSK है, जो डायनेमिक VLAN असाइनमेंट के साथ जुड़ा हुआ है। यह इस तरह काम करता है। आप अपने Sophos AP6 एक्सेस पॉइंट्स पर एक सिंगल SSID कॉन्फ़िगर करते हैं। फिर आप प्रत्येक किरायेदार या उपयोगकर्ता समूह को एक अद्वितीय पासफ़्रेज़ जारी करते हैं। जब कोई डिवाइस कनेक्ट होता है और अपनी विशिष्ट कुंजी प्रस्तुत करता है, तो Sophos AP RADIUS के माध्यम से उस कुंजी को प्रमाणित करता है। RADIUS सर्वर Access-Accept संदेश में एक विशिष्ट VLAN ID विशेषता लौटाता है। AP गतिशील रूप से उस VLAN ID के साथ उपयोगकर्ता के ट्रैफ़िक को टैग करता है, जिससे उन्हें उनके समर्पित नेटवर्क सेगमेंट पर रख दिया जाता है। यह क्रिया में Identity-Based Networking है। एक SSID, कई पृथक नेटवर्क, और अतिरिक्त प्रसारणों से शून्य रेडियो फ्रीक्वेंसी ओवरहेड।
इस आर्किटेक्चर का एक महत्वपूर्ण अनुपालन लाभ भी है। PCI DSS आवश्यकताओं के तहत, Guest WiFi नेटवर्क को कार्डधारक डेटा को संभालने वाले किसी भी नेटवर्क सेगमेंट से पूरी तरह से अलग किया जाना चाहिए। गेस्ट SSID को एक समर्पित VLAN पर रखकर और Sophos Firewall पर सभी RFC 1918 निजी IP स्पेस गंतव्यों को ब्लॉक करने के लिए सख्त फ़ायरवॉल नीतियों को लागू करके, आप इस आवश्यकता को आसानी से पूरा करते हैं। Purple, जो 80,000 लाइव स्थानों पर काम करता है और जिसने 2024 में 440 मिलियन लॉगिन संसाधित किए हैं, ISO 27001 प्रमाणित, GDPR अनुपालन और Cyber Essentials प्रमाणित है, इसलिए अनुपालन की कहानी पहचान परत तक भी विस्तारित होती है।
अब आइए कार्यान्वयन अनुशंसाओं पर आगे बढ़ें। जब आप इसे सेट कर रहे होते हैं, तो आपको IP असाइनमेंट के संबंध में एक महत्वपूर्ण निर्णय लेना होता है: NAT मोड बनाम Bridge मोड।
यदि आप लगभग पचास से सौ समवर्ती अतिथि कनेक्शन वाले एक छोटे रिटेल आउटलेट को तैनात कर रहे हैं, तो NAT मोड पूरी तरह से पर्याप्त है। Sophos AP एक समर्पित आंतरिक सबनेट से मेहमानों को DHCP पते सौंपता है और ट्रैफ़िक के बाहर निकलने पर उनका अनुवाद करता है। यह सरल है और इसके लिए न्यूनतम अतिरिक्त बुनियादी ढांचे की आवश्यकता होती है।
लेकिन यदि आप एक उच्च-घनत्व वाले वातावरण को तैनात कर रहे हैं, जैसे कि पांच सौ कमरों वाला होटल, कई समवर्ती कार्यक्रमों वाला एक सम्मेलन केंद्र, या एक स्टेडियम, तो आपको Bridge मोड का उपयोग करना चाहिए। Bridge मोड में, Sophos AP अतिथि ट्रैफ़िक को सीधे एक समर्पित VLAN पर डाल देता है, जिससे आपके मुख्य उद्यम DHCP सर्वर लोड को संभाल सकते हैं। यह चरम कनेक्शन इवेंट्स के दौरान एक्सेस पॉइंट या फ़ायरवॉल को DHCP अड़चन बनने से रोकता है। Bridge मोड यह भी सुनिश्चित करता है कि Purple प्लेटफ़ॉर्म वास्तविक क्लाइंट IP पता देखे, जो सटीक एनालिटिक्स और समस्या निवारण के लिए अत्यंत महत्वपूर्ण है।
आइए चरण-दर-चरण कॉन्फ़िगरेशन अनुक्रम के बारे में बात करें, क्योंकि यहाँ क्रम मायने रखता है।
Purple पोर्टल में शुरुआत करें। अपने RADIUS सर्वर क्रेडेंशियल प्राप्त करें: सर्वर IP एड्रेस, साझा सीक्रेट (shared secrets), Captive Portal URL, और रीडायरेक्ट URL। Sophos कॉन्फ़िगरेशन को छूने से पहले आपको इन चार महत्वपूर्ण जानकारियों की आवश्यकता होगी।
इसके बाद, Sophos Central या अपने स्थानीय फ़ायरवॉल प्रबंधन इंटरफ़ेस पर जाएँ। सबसे पहले अपने RADIUS सर्वर को परिभाषित करें - प्रमाणीकरण (authentication) 1812 पर और अकाउंटिंग 1813 पर। फिर Hotspot Settings के तहत अपना Walled Garden कॉन्फ़िगर करें। इसके बाद, अपना गेस्ट SSID बनाएं, एन्क्रिप्शन को Open पर सेट करें, Captive Portal को सक्षम करें, और Purple पोर्टल URL दर्ज करें। और अंत में, अपने पोस्ट-ऑथेंटिकेशन फ़ायरवॉल नियमों को परिभाषित करें।
Walled Garden के लिए विशेष रूप से, आपको न्यूनतम रूप से निम्नलिखित डोमेन की अनुमति देनी होगी: Purple पोर्टल डोमेन, जो आमतौर पर region1.purpleportal.net होता है; venuewifi.com; और कोई भी सोशल लॉगिन डोमेन जो आपके मेहमान उपयोग करेंगे, जैसे कि facebook.com, accounts.google.com, और उनके संबंधित CDN डोमेन। यदि आप पहचान संघ (identity federation) के लिए Microsoft Entra ID या Okta का उपयोग कर रहे हैं, तो उन डोमेन को भी शामिल किया जाना चाहिए।
कमियों के बारे में क्या? परिनियोजन (deployments) आमतौर पर कहाँ गलत हो जाते हैं?
बिना किसी संदेह के, नंबर एक समस्या एक अपूर्ण Walled Garden है। यदि कोई अतिथि कनेक्ट होता है और उसे एक खाली स्क्रीन या कनेक्शन टाइमआउट मिलता है, तो इसका मतलब लगभग हमेशा यह होता है कि Sophos फ़ायरवॉल प्रमाणीकरण से पहले Purple की CSS फ़ाइलों, JavaScript संपत्तियों या सोशल लॉगिन API तक पहुँच को ब्लॉक कर रहा है। आपको यह सुनिश्चित करना होगा कि उस प्री-ऑथेंटिकेशन नीति में प्रत्येक आवश्यक डोमेन को स्पष्ट रूप से अनुमति दी गई है। Purple आवश्यक डोमेन की एक व्यापक सूची प्रदान करता है। इसका पूरा उपयोग करें।
साथ ही, DNS को न भूलें। अप्रमाणित क्लाइंट्स को DNS क्वेरीज़ को हल करने की अनुमति दी जानी चाहिए, अन्यथा रीडायरेक्ट काम नहीं करेगा। डिवाइस को पेज लोड करने का प्रयास करने से पहले ही Purple पोर्टल होस्टनाम को हल करना होगा।
दूसरी सबसे आम कमी सर्टिफिकेट त्रुटियां हैं। सुनिश्चित करें कि आपका Sophos फ़ायरवॉल रीडायरेक्शन इंटरफ़ेस के लिए एक वैध, सार्वजनिक रूप से विश्वसनीय SSL सर्टिफिकेट प्रस्तुत कर रहा है। यदि आप डिफ़ॉल्ट स्व-हस्ताक्षरित (self-signed) सर्टिफिकेट का उपयोग करते हैं, तो आधुनिक iPhones और Android डिवाइस महत्वपूर्ण सुरक्षा चेतावनियां देंगे, और आपके मेहमान कनेक्शन को पूरी तरह से छोड़ देंगे। यह आतिथ्य (hospitality) परिवेशों में एक विशेष रूप से गंभीर समस्या है जहाँ अतिथि अनुभव सर्वोपरि है।
तीसरी कमी RADIUS टाइमआउट त्रुटियां हैं। यदि पोर्टल लोड होता है लेकिन प्रमाणीकरण लगातार विफल रहता है, तो सत्यापित करें कि साझा सीक्रेट आपके Sophos कॉन्फ़िगरेशन और Purple पोर्टल के बीच बिल्कुल मेल खाते हैं। एक भी कैरेक्टर का अंतर सभी प्रमाणीकरण प्रयासों को चुपचाप विफल कर देगा। यह भी सत्यापित करें कि कोई मध्यवर्ती फ़ायरवॉल आपके Sophos इन्फ्रास्ट्रक्चर और Purple के क्लाउड RADIUS सर्वरों के बीच UDP पोर्ट 1812 और 1813 को ब्लॉक नहीं कर रहा है।
आइए उन सबसे आम सवालों के आधार पर एक रैपिड-फायर प्रश्न और उत्तर सत्र के साथ समाप्त करें जो हम ग्राहकों से सुनते हैं।पहला सवाल: क्या Purple का उपयोग करने से मेरी Sophos Firewall सुरक्षा नीतियां बाईपास हो जाती हैं? बिल्कुल नहीं। Purple ऑथेंटिकेशन और पहचान कैप्चर को संभालता है। एक बार ऑथेंटिकेट होने के बाद, सभी गेस्ट ट्रैफ़िक आपके Sophos Firewall की पोस्ट-ऑथेंटिकेशन नीति के माध्यम से प्रवाहित होते हैं। यह बिल्कुल वही जगह है जहाँ आप वेब फ़िल्टरिंग लागू करते हैं, पीयर-टू-पीयर ट्रैफ़िक को ब्लॉक करते हैं, और बैंडविड्थ को आकार देते हैं। इसे इस तरह समझें: लॉगिन की अनुमति देने के लिए प्री-ऑथेंटिकेशन की छूट होती है; नेटवर्क की सुरक्षा के लिए पोस्ट-ऑथेंटिकेशन दंडात्मक होता है।
दूसरा सवाल: क्या मुझे स्थानीय RADIUS सर्वर तैनात करने की आवश्यकता है? नहीं। Purple RADIUS-as-a-Service प्रदान करता है। आप Sophos APs को सीधे Purple के क्लाउड RADIUS IP एड्रेस की ओर इंगित करने के लिए कॉन्फ़िगर करते हैं। गेस्ट नेटवर्क के लिए FreeRADIUS या Windows NPS को तैनात करने और उसका रखरखाव करने की कोई आवश्यकता नहीं है।
तीसरा सवाल: क्या मैं Sophos AP6 और पुराने APX सीरीज़ दोनों के साथ Purple का उपयोग कर सकता हूँ? हाँ। दोनों हार्डवेयर पीढ़ियों में एकीकरण का दृष्टिकोण सुसंगत है। हालाँकि, ध्यान दें कि Sophos ने APX सीरीज़ के लिए 31 दिसंबर 2027 की एंड-ऑफ़-लाइफ़ तिथि की घोषणा की है। यदि आप एक नए परिनियोजन की योजना बना रहे हैं, तो AP6 सीरीज़ में निवेश करें, जो WiFi 6 और WiFi 6E का समर्थन करती है।
चौथा सवाल: GDPR अनुपालन के बारे में क्या? Purple पोर्टल स्तर पर स्पष्ट सहमति प्राप्त करता है, ऑथेंटिकेशन से पहले आपके नियम और शर्तें और डेटा प्रोसेसिंग नोटिस प्रस्तुत करता है। यह सहमति डेटा Purple प्लेटफ़ॉर्म के भीतर संग्रहीत किया जाता है और ऑडिट करने योग्य है। Sophos Firewall की भूमिका विशुद्ध रूप से नेटवर्क प्रवर्तन की है।
आज की ब्रीफिंग के मुख्य अंशों को संक्षेप में प्रस्तुत करने के लिए:
पहला: अपने स्टाफ और गेस्ट SSIDs को पूरी तरह से अलग करें। WPA2-Enterprise के साथ 802.1X पर स्टाफ। बाहरी Captive Portal के साथ Purple पर गेस्ट।
दूसरा: अपने Walled Garden को सावधानीपूर्वक कॉन्फ़िगर करें। यह सबसे आम विफलता बिंदु है और सबसे महत्वपूर्ण प्री-ऑथेंटिकेशन कॉन्फ़िगरेशन तत्व है।
तीसरा: DHCP बाधाओं से बचने और सटीक क्लाइंट IP दृश्यता सुनिश्चित करने के लिए किसी भी उच्च-घनत्व वाले परिनियोजन के लिए Bridge मोड का उपयोग करें।
चौथा: RADIUS ऑथेंटिकेशन और अकाउंटिंग सर्वर दोनों को कॉन्फ़िगर करें। यदि आप सार्थक एनालिटिक्स चाहते हैं तो अकाउंटिंग वैकल्पिक नहीं है।
पांचवां: डायनेमिक VLAN असाइनमेंट के साथ आइडेंटिटी-बेस्ड नेटवर्किंग को सक्षम करने के लिए मल्टी-टेनेंट वातावरण के लिए Sophos PPSK का लाभ उठाएं। एक SSID, कई पृथक नेटवर्क।
छठा: ऑथेंटिकेशन के बाद Sophos सुरक्षा नीतियों को सख्ती से लागू करें। वेब फ़िल्टरिंग, एप्लिकेशन नियंत्रण और बैंडविड्थ शेपिंग सभी को पोस्ट-ऑथेंटिकेशन फ़ायरवॉल नीति में लागू किया जाना चाहिए।
इस एकीकरण को सही ढंग से निष्पादित करके, आप गेस्ट WiFi को एक लागत केंद्र से एक अनुपालन, सुरक्षित और राजस्व उत्पन्न करने वाली संपत्ति में बदल देते हैं। Sophos सुरक्षा की गहराई और Purple की मार्केटिंग इंटेलिजेंस का संयोजन किसी भी वेन्यू ऑपरेटर के लिए वास्तव में शक्तिशाली है जो अपने गेस्ट अनुभव और डेटा रणनीति को गंभीरता से लेना चाहता है।
Purple आर्किटेक्चर ब्रीफिंग को सुनने के लिए धन्यवाद। यदि आप अपनी विशिष्ट परिनियोजन आवश्यकताओं पर चर्चा करना चाहते हैं, तो समाधान टीम से बात करने के लिए purple.ai पर जाएं।
