नेटवर्कवरील SSID ची संख्या कमी करणे हा हळूहळू एक स्पर्धात्मक खेळ बनला आहे. कोणत्याही नेटवर्किंग फोरममध्ये थोडा वेळ घालवा आणि तुम्हाला तीव्र मते, विक्रेत्यांचे ढोबळ नियम आणि किती संख्या जास्त आहे याबद्दल अधूनमधून होणारे वाद पाहायला मिळतील. काही जण म्हणतात की प्रत्येक रेडिओवर ती तीन किंवा चार ठेवावी. काही जण म्हणतात की आधुनिक ॲक्सेस पॉइंट्स कोणतीही अडचण न येता यापेक्षा बरेच जास्त हाताळू शकतात. याचे मार्गदर्शन खरोखरच भिन्न आहे, कारण खरे उत्तर तुमच्या उपयोजनावर (deployment) अवलंबून असते.
आमचा दृष्टिकोन असा आहे. बीकन्सद्वारे (beacons) वापरला जाणारा एअरटाइम हा वास्तविक असतो, परंतु जेव्हा तुमच्याकडे एकाच चॅनेलवर ओव्हरलॅप होणारे अनेक ॲक्सेस पॉइंट्स असतात तेव्हाच ती एक समस्या बनते. जर तुमचे APs योग्य अंतरावर असतील आणि त्यांच्यात सह-चॅनेल (co-channel) ओव्हरलॅप नगण्य असेल, तर तुम्ही अनेक SSIDs सुरक्षितपणे चालवू शकता. काहीही बदलण्यापूर्वी, आमच्या beacon आणि SSID ओव्हरहेड कॅल्क्युलेटर मध्ये तुमचे स्वतःचे आकडे टाका आणि प्रत्यक्ष स्थिती तपासा.
असे असले तरी, आम्हाला नीटनेटकेपणा देखील आवडतो. कामगिरीवरील परिणाम नगण्य असला तरीही, एका वेळी एका नेटवर्कने वाढलेली SSID ची सूची दस्तऐवजीकरण करणे, सुरक्षित करणे आणि पुढील अभियंत्याकडे सुपूर्द करणे कठीण होते. त्यामुळे तुम्हाला हे एकत्रित करायचे असल्यास, आम्ही शिफारस करत असलेली रचना खालीलप्रमाणे आहे: तीन SSIDs, ज्यातील प्रत्येक प्रमाणीकरणाच्या (authentication) पद्धतीशी मॅप केलेला असेल आणि बाकी सर्व काही VLANs द्वारे हाताळले जाईल.
एअरटाइमचा भार कुठे खरोखर जाणवतो आणि कुठे नाही
प्रत्येक रेडिओवरील प्रत्येक SSID सेकंदाला अनेक वेळा बीकन फ्रेम्स पाठवतो, अगदी कमीत कमी अनिवार्य मूलभूत दराने, मग एकही क्लायंट कनेक्ट असो किंवा नसो. तो खर्च प्रति चॅनेल असतो. स्वतःच्या स्वतंत्र चॅनेलवर मोजके SSIDs प्रसारित करणारा एक ॲक्सेस पॉइंट ही फारशी समस्या नसते. खरी अडचण तेव्हा सुरू होते जेव्हा एकाच चॅनेलवर अनेक ॲक्सेस पॉइंट्स असतात आणि ते एकमेकांचे सिग्नल मिळवू शकतात: त्यांचे बीकन्स आता एकाच एअरटाइमसाठी स्पर्धा करतात आणि त्या प्रत्येकावरील प्रत्येक SSID वर ओव्हरहेड वाढत जातो.
त्यामुळे मुख्य बदलणारा घटक म्हणजे सह-चॅनेल ओव्हरलॅप, केवळ मूळ SSID संख्या नाही. 2.4 GHz वर अनेक ओव्हरलॅपिंग सेल्स, 1 Mbps चा मूलभूत दर आणि आठ SSIDs असलेले दाट उपयोजन थ्रूपुटला खरोखरच कमी करू शकते. तेच आठ SSIDs चालवणारे आणि योग्य अंतरावर असलेले मोजके APs पूर्णपणे व्यवस्थित काम करू शकतात. हे केवळ वैयक्तिक मताऐवजी मोजता येण्याजोगे आहे: आमचे ओव्हरहेड कॅल्क्युलेटर तुमचे प्रति रेडिओ SSIDs, बीकन इंटरव्हल आणि मूलभूत दर विचारात घेते आणि तुमचे बीकन्स वापरत असलेल्या चॅनेल एअरटाइमची टक्केवारी दर्शवते. २% पेक्षा कमी असणे उत्तम आहे, २% ते ६% कडे लक्ष देणे आवश्यक आहे, आणि ६% पेक्षा जास्त असल्यास समस्या सुरू होते. उपाय शोधण्यापूर्वी तुमचे आकडे तपासा.
नीटनेटकेपणाचे महत्त्व
समजा कॅल्क्युलेटर तुम्हाला सांगते की तुम्ही सुरक्षित मर्यादेमध्ये आहात. तरीही SSID चे एकत्रीकरण करण्याचे काही कारण आहे का? आम्हाला असे वाटते की त्याचे कारण नक्कीच आहे, आणि त्याचा एअरटाइमशी काहीही संबंध नाही. SSID ही एक ऑथेंटिकेशन सीमा (authentication boundary) आहे, सेगमेंटेशन सीमा नाही. जेव्हा तुम्ही प्रत्येक नवीन गरजेसाठी नवीन SSID तयार करता—एक बिलाच्या मशीनसाठी (tills), एक प्रिंटरसाठी, एक डिजिटल साईनसाठी, एक कंत्राटदारांसाठी—तेव्हा शेवटी तुमच्याकडे एक मोठी आणि विखुरलेली यादी तयार होते, जिथे कोणत्या नेटवर्कचे काय काम आहे, कोणत्या कीज (keys) अजूनही वापरात आहेत किंवा नवीन डिव्हाइस कुठे जोडायचे, हे कोणालाही नक्की समजून येत नाही. ते कमी करून फक्त तीन SSID वर आणा, जे प्रत्येकी ओळख सिद्ध करण्याच्या स्पष्ट पद्धतीशी जोडलेले असतील, आणि नेटवर्क स्वतःच स्वतःचे दस्तऐवजीकरण करू लागेल. तुम्ही VLANs आणि फायरवॉल पॉलिसीच्या मदतीने बिलाची मशीन्स, कॅमेरे आणि रहिवासी यांना एकमेकांपासून वेगळे करू शकता, आणि जेव्हा एखाद्या डिव्हाइसच्या समूहाला खरोखरच वेगळ्या ऑथेंटिकेशन पद्धतीची गरज असते, केवळ तेव्हाच स्वतंत्र SSID चालवू शकता. आणि अशा फक्त तीनच पद्धती आहेत.
SSID 1: Captive Portal असलेले ओपन गेस्ट नेटवर्क
व्हिजिटर नेटवर्क ओपन असते, त्यामुळे कोणतेही डिव्हाइस प्री-शेअर्ड की (pre-shared key) शिवाय जोडले जाऊ शकते आणि एक captive portal साइन-इनची प्रक्रिया हाताळते. ब्रँडेड स्प्लॅश पेज, जाणीवपूर्वक दिलेली संमती (conscious-choice opt-in), सोशल मीडिया किंवा ईमेल किंवा SMS लॉगिन, आणि त्यानंतर तुमच्या बॅक ऑफिसला न दिसणाऱ्या एका वेगळ्या VLAN वरून इंटरनेटचा वापर.
हे एक असे नेटवर्क आहे जे अशा फोनसाठी देखील चालले पाहिजे जो यापूर्वी कधीही त्या ठिकाणी वापरला गेला नाही, त्यामुळे यामध्ये ब्राउझरशिवाय इतर कोणत्याही गोष्टीची अट नसते. यामधूनच व्यावसायिक मूल्य देखील मिळते: कनेकट केल्याच्या क्षणी कॅप्चर केलेला, संमती असलेला, GDPR-compliant फर्स्ट-पार्टी डेटा थेट तुमच्या CRM मध्ये पाठवला जातो. Purple हे ८०,००० पेक्षा जास्त ठिकाणी Guest WiFi म्हणून चालवते, आणि त्यामागे कितीही भाडेकरू किंवा झोन असले तरीही ते एकच SSID राहते.
SSID 2: कर्मचारी आणि सुरक्षित पाहुण्यांसाठी WPA2/3-Enterprise
दुसरे SSID हे एन्क्रिप्टेड आणि ओळखीवर आधारित (identity-based) असते. हे RADIUS द्वारे समर्थित 802.1X सह WPA2/3-Enterprise वर चालते आणि ते एकाच ब्रॉडकास्टवर दोन घटकांसाठी काम करते: तुमचे कर्मचारी आणि तुमचे विश्वसनीय पाहुणे.
यामध्ये एकाच SSID ला दोन कामे करण्याची सुविधा मिळते. जेव्हा एखादे डिव्हाइस ऑथेंटिकेट होते, तेव्हा RADIUS केवळ हो किंवा नाही एवढेच सांगत नाही, तर ती ओळख ज्या VLAN ची आहे, तो VLAN परत मिळवून देते. कर्मचारी त्यांच्या सध्याच्या Microsoft Entra ID, Okta, किंवा Google Workspace क्रेडेंशियलचा वापर करून एकदाच साइन इन करतात, ज्यामध्ये मॅनेज्ड लॅपटॉपसाठी EAP-TLS आणि जुन्या डिव्हाइसेससाठी PEAP चा वापर केला जातो, आणि ते थेट स्टाफ VLAN वर पोहोचतात. कंत्राटदार किंवा दीर्घकाळ राहणारे पाहुणे त्यांना दिलेल्या क्रेडेंशियलद्वारे ऑथेंटिकेट करतात आणि एका स्वतंत्र, लॉक केलेल्या VLAN वर पोहोचतात. एकच SSID, एकच एन्क्रिप्शन, दोन पूर्णपणे वेगळी नेटवर्क्स, जे कनेक्शनच्या वेळी ओळखीनुसार ठरवले जातात.
हाच फरक आहे व्हाईटबोर्डवरील शेअर केलेल्या पासवर्डमध्ये आणि योग्य ऍक्सेस कंट्रोलमध्ये. जेव्हा एखादी व्यक्ती संस्था सोडते, तेव्हा तुम्ही त्यांना आयडेंटिटी प्रोव्हाइडरमध्ये डिसेबल करता आणि त्यांचे WiFi ऍक्सेस त्याच दिवशी थांबतो - संपूर्ण इमारतीची की (key) बदलण्याची किंवा नको असलेल्या उपकरणांना ट्रस्टेड ठेवण्याची कोणतीही गरज उरत नाही. Purple हे क्लाउड RADIUS सह Staff WiFi म्हणून प्रदान करते, आणि पासवर्ड काढून टाकल्यानंतर IT टीम्सना सामान्यतः WiFi सपोर्ट तिकिटांमध्ये सुमारे ८०% घट दिसते. हे ISO 27001 प्रमाणित आहे आणि तुमच्याकडे आधीपासून असलेल्या ऍक्सेस पॉईंट्ससह कार्य करते.
SSID 3: tills, screens, printers, आणि IoT साठी xPSK
तिसरा SSID अशा प्रत्येक गोष्टीसाठी आहे जी Captive Portal रन करू शकत नाही आणि 802.1X करू शकत नाही: कार्ड टर्मिनल्स, डिजिटल साइनेज, लेबल आणि रिसीप्ट प्रिंटर्स, बिल्डिंग सेन्सर्स, स्मार्ट टीव्ही आणि इतर सर्व IoT उपकरणे. या उपकरणांमध्ये कोणताही ब्राउझर आणि सप्लिकंट नसतो, परंतु ते प्री-शेअर की स्टोअर करू शकतात, त्यामुळे सर्वांसाठी एकच सामायिक पासवर्ड असण्याऐवजी प्रत्येक उपकरणासाठी स्वतंत्र की हाच यावर उपाय आहे.
प्रत्येक मोठ्या व्हेंडरचे यासाठी स्वतःचे वेगळे नाव आहे. Cisco Meraki याला iPSK म्हणते, HPE Aruba याला MPSK म्हणते, Ruckus याला DPSK म्हणते, आणि Juniper Mist आणि Ubiquiti UniFi हे प्रति-उपकरण किंवा मल्टिपल प्री-शेअर्ड की म्हणून दर्शवतात. या सर्वांसाठी सर्वसमावेशक संज्ञा xPSK आहे. प्रत्येक बाबतीत याची यंत्रणा सारखीच असते: एक SSID, अनेक युनिक की, प्रत्येक की विशिष्ट उपकरणाशी किंवा मालकाशी जोडलेली असते आणि एका विशिष्ट VLAN शी पिन केलेली असते.
त्यामुळे पेमेंट टर्मिनल्सना अशी की मिळते जी त्यांना PCI-सेगमेंटेड VLAN वर आणते, सायनेजला अशी की मिळते जी लॅटरल ऍक्सेस नसलेल्या कंटेंट VLAN वर आणते, आणि नवीन IoT सेन्सरला त्याची स्वतःची वेगळी की मिळते जी तुम्ही इतर कोणत्याही गोष्टीला स्पर्श न करता स्वतंत्रपणे रिव्होक करू शकता. एखादी की लीक झाल्यास, तुम्ही फक्त ती एकच की बदलू शकता. तुम्हाला संपूर्ण नेटवर्क कधीही बंद करावे लागत नाही. रेसिडेन्शियल आणि मल्टी-टेनंट साइट्समध्ये हे त्याच आयडेंटिटी प्री-शेअर्ड की मॉडेलवर काम करते जे प्रत्येक रहिवाशाच्या उपकरणाला स्वतःच्या स्वतंत्र बबलमध्ये ठेवते - याचे सविस्तर वर्णन आमच्या multi-tenant WiFi guide मध्ये दिले आहे.
तीन SSIDs सर्व काही कसे कव्हर करतात
थेट कोणत्याही उपकरणाचे स्थान शोधण्यासाठी या तीन प्रश्नांपैकी एकाशी जुळवून पहा:
- हे एखादे वेब पेज उघडू शकते का आणि ते एखादे अनट्रस्टेड व्हिजिटर आहे का? Captive Portal सह ओपन गेस्ट SSID.
- हे तुम्ही व्यवस्थापित करत असलेल्या आयडेंटिटी असलेल्या व्यक्तीच्या मालकीचे आहे का? WPA2/3-Enterprise SSID, आयडेंटिटीनुसार VLAN.
- हे असे हेडलेस उपकरण आहे का जे फक्त की स्टोअर करू शकते? xPSK SSID, की नुसार VLAN.
बाकी सर्व काही सेगमेंटेशन आहे, आणि सेगमेंटेशन हे VLAN चे काम आहे. व्हॉईस, CCTV, पेमेंट्स, सायनेज, बिल्डिंग मॅनेजमेंट आणि प्रति-टेनंट आयसोलेशन हे सर्व या तीन SSIDs च्या मागे VLAN म्हणून कार्यरत असतात, जे RADIUS ॲट्रिब्युट्सद्वारे किंवा उपकरणाने सादर केलेल्या की द्वारे नियंत्रित केले जातात. यामुळे तुम्हाला दहा SSIDs सह मिळणारे प्रत्येक सेपरेशन मिळते, आणि त्याची यादी इतकी लहान असते की पुढील इंजिनिअरला ती एका दृष्टीक्षेपात समजू शकते.
SSIDs कमी केल्याने खरोखरच परफॉर्मन्स सुधारतो का?
कधीकधी, आणि प्रामुख्याने जेव्हा को-चॅनेल ओव्हरलॅप जास्त असतो. तुमच्याकडे चॅनेल शेअर करणारे अनेक ॲक्सेस पॉइंट्स असल्यास, आठ किंवा दहा SSID वरून तीनवर आणल्यास प्रत्येक ओव्हरलॅपिंग रेडिओवरील बीकन फ्रेम्स प्रमाणात कमी होतात, आणि मूळ दर वाढवल्याने बीकन वेगाने ट्रान्समिट होतात ज्यामुळे बचत वाढते. तुमचे APs क्वचितच ओव्हरलॅप होत असल्यास, फायदा नगण्य आहे आणि नीटनेटकेपणा हे ते करण्याचे अधिक चांगले कारण आहे. कोणत्याही परिस्थितीत, ओव्हरहेड कॅल्क्युलेटर द्वारे तुमचे आधीचे आणि नंतरचे आकडे तपासा जेणेकरून तुम्ही ढोबळ अंदाजाऐवजी पुराव्यांच्या आधारे निर्णय घेऊ शकाल.
गेस्ट, IoT आणि कर्मचाऱ्यांसाठी वेगवेगळ्या सुरक्षेच्या आवश्यकतेचे काय?
त्यांना वेगवेगळ्या सुरक्षेची गरज नक्कीच असते आणि म्हणूनच एक ऐवजी तीन SSID आहेत. प्रत्येक SSID ही एक स्वतंत्र ऑथेंटिकेशन पद्धत आहे - पोर्टलसह ओपन, 802.1X, आणि प्रति-डिव्हाइस की - हीच गोष्ट स्वतंत्र ब्रॉडकास्टचे समर्थन करते. एकाच पद्धतीमधील विश्वासाचे विविध स्तर अधिक SSID जोडून नाही, तर VLAN आणि फायरवॉल पॉलिसीद्वारे व्यवस्थापित केले जातात. तुम्हाला विखुरलेल्या पध्दतीपेक्षा अधिक कठोर आयसोलेशन मिळते, कारण प्रत्येक सीमा कर्मचाऱ्यांचा पासवर्ड कोणालाच माहीत नाही अशी आशा करण्याऐवजी आयडेंटिटी किंवा की द्वारे लागू केली जाते.
थोडक्यात सांगायचे तर
तुमची SSID संख्या तुमच्या एअरटाइमचा वापर करत आहे की नाही हे मुख्यत्वे तुमचे ॲक्सेस पॉइंट्स किती ओव्हरलॅप होतात यावर अवलंबून असते, त्यामुळे वाईट परिस्थिती गृहीत धरण्यापूर्वी कॅल्क्युलेटर तपासा. परंतु अतिरिक्त SSID तयार करणे सोपे आहे आणि नीटनेटके नेटवर्क चालवणे सोपे असते, म्हणून जेव्हा तुम्ही एकत्रिकरण करता, तेव्हा प्रत्येक SSID ला ऑथेंटिकेशनच्या पद्धतीशी जोडा आणि इतर सर्व फरक VLAN कडे सोपवा. एखाद्या ठिकाणासाठी केवळ तीनची आवश्यकता असते: पोर्टलसह ओपन गेस्ट, लोकांसाठी WPA2/3-Enterprise, उपकरणांसाठी xPSK. हे Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi आणि इतरांवर काम करते, कारण जर तुमचे ॲक्सेस पॉइंट्स RADIUS बोलत असतील, तर Purple त्यांच्यासोबत काम करते.
कोणतेही सेगमेंटेशन न गमावता वाढलेली SSID यादी कमी करण्यासाठी मदत हवी आहे? तज्ञांशी बोला आणि आम्ही तुमच्या उपकरणांना त्या तीन नेटवर्कवर मॅप करू जे त्यांना कव्हर करतात.
