Allied Telesis TQ Series AP and guest WiFi: Purple सोबत captive portal सेटअप

तुम्ही एका खाजगी ब्रिफिंगमध्ये क्लायंटच्या IT संचालकांशी बोलत असलेले ज्येष्ठ नेटवर्क कन्सल्टंट आहात. आत्मविश्वासू, अधिकृत आणि संभाषणात्मक सुरात बोला. मोजलेला वेग, स्पष्ट शब्दोच्चार. कोणतेही निरर्थक शब्द नकोत. संदर्भावर भर देण्यासाठी आवश्यकतेनुसार नैसर्गिक विराम घ्या: Allied Telesis TQ-Series ऍक्सेस पॉइंट्सचे Purple WiFi सोबत एकत्रीकरण (integration) करण्याबाबतच्या या तांत्रिक ब्रीफिंगमध्ये आपले स्वागत आहे. मी तुम्हाला अतिथी Captive Portal रिडायरेक्शनपासून ते मल्टी-टेनंट PPSK आयसोलेशनपर्यंतच्या संपूर्ण डिप्लॉयमेंटच्या टप्प्यांची माहिती देणार आहे. याच्या समाप्तीपर्यंत, तुमच्याकडे अंमलबजावणीचा एक स्पष्ट रोडमॅप असेल. [medium pause] चला आधी पार्श्वभूमी समजून घेऊया. Allied Telesis हे TQ-Series चे उत्पादन करते, ज्यामध्ये TQ5403 आणि TQ6702 GEN2 Wi-Fi 6 ऍक्सेस पॉइंट्स समाविष्ट आहेत. हे AlliedWare Plus फर्मवेअरवर चालणारे एंटरप्राइझ-ग्रेड APs आहेत आणि ते आदरातिथ्य, किरकोळ विक्री (retail) आणि सार्वजनिक क्षेत्रातील वातावरणात मोठ्या प्रमाणावर तैनात केले जातात. Purple हे हार्डवेअर-स्वतंत्र क्लाउड ओव्हरले प्लॅटफॉर्म आहे जे ८०,००० हून अधिक ठिकाणी कार्यरत आहे आणि २०२४ मध्ये याने ४४ कोटी लॉगिन्स हाताळले आहेत. या दोन्ही प्लॅटफॉर्ममधील एकत्रीकरण अत्यंत सुटसुटीत, मानकांवर आधारित आणि उत्पादनासाठी सज्ज आहे. [medium pause] आता, बहुतांश IT टीम्सना सर्वप्रथम अतिथी Captive Portal रिडायरेक्शन कॉन्फिगर करावे लागते. Allied Telesis AP तीन Captive Portal मोडला सपोर्ट करतो: क्लिक-थ्रू, RADIUS ऑथेंटिकेशन आणि एक्सटर्नल पेज रिडायरेक्ट. Purple एकत्रीकरणासाठी, तुम्ही External Page Redirect मोड वापराल. व्यावहारिकदृष्ट्या हे कसे कार्य करते ते येथे दिले आहे. तुम्ही AP च्या डिव्हाइस GUI मध्ये लॉग इन करा, Wireless वर जा, संबंधित VAP निवडा, Advanced Settings वर जा आणि नंतर Security टॅब निवडा. तेथे Captive Portal ला External Page Redirect वर सेट करा. External Page URL फील्डमध्ये, तुम्ही तुमच्या Purple डॅशबोर्डमध्ये दिलेली Purple स्प्लॅश पेज URL एंटर करा. ही तीच URL आहे जी तुमच्या पाहुण्यांना पहिल्यांदा कनेक्ट झाल्यावर दिसेल. [short pause] आता, AP प्रत्येक नवीन क्लायंटकडून पहिला HTTP किंवा HTTPS पॅकेट अडवतो (intercept) आणि त्या ट्रॅफिकला तुमच्या Purple स्प्लॅश पेजवर रिडायरेक्ट करतो. अतिथी Purple द्वारे ऑथेंटिकेट करतो आणि Purple चे RADIUS सर्व्हर AP ला पुन्हा Access-Accept पाठवतो. त्यानंतर AP नेटवर्क प्रवेश मंजूर करतो. [medium pause] RADIUS कॉन्फिगरेशनसाठी, Purple तुम्हाला RADIUS सर्व्हर IP ऍड्रेस, एक शेअर्ड सिक्रेट आणि ऑथेंटिकेशन पोर्ट प्रदान करते, जे UDP 1812 आहे. अकाउटिंग UDP 1813 वर चालते. तुम्ही AP GUI मधील Network Services आणि नंतर RADIUS अंतर्गत हे कॉन्फिगर करू शकता. NAS आयडेंटिफायर AP च्या मॅनेजमेंट IP वर किंवा वर्णनात्मक होस्टनेमवर सेट केलेला असावा. Purple चे RADIUS-as-a-Service ऑथेंटिकेशन बॅकएंड हाताळते, त्यामुळे तुम्हाला स्वतःची RADIUS इन्फ्रास्ट्रक्चर चालवण्याची गरज नाही. [short pause] एक गोष्ट योग्यरित्या सेट करणे आवश्यक आहे ती म्हणजे Walled Garden. अतिथी प्रमाणीकरण (authenticates) करण्यापूर्वी, AP हा व्हाईटलिस्ट केलेल्या ठिकाणांव्यतिरिक्त इतर सर्व ट्रॅफिक ब्लॉक करतो. स्प्लॅश पेज योग्यरित्या लोड होण्यासाठी तुम्हाला Walled Garden मध्ये Purple चे प्लॅटफॉर्म डोमेन्स जोडणे आवश्यक आहे. किमानपक्षी, Purple चे स्प्लॅश पेज डोमेन, Purple द्वारे ॲसेट्ससाठी वापरले जाणारे कोणतेही CDN एंडपॉइंट्स आणि तुम्ही सक्षम केलेले कोणतेही सोशल लॉगिन प्रदाते, जसे की Google किंवा Facebook व्हाईटलिस्ट करा. तुम्ही हे Walled Garden अंतर्गत त्याच VAP Advanced Settings पॅनेलमध्ये कॉन्फिगर करू शकता. [medium pause] आता 802.1X वापरून Staff WiFi कडे वळूया. येथे तुम्ही एका वेगळ्या VAP वर WPA Enterprise कॉन्फिगर करता. AP GUI मध्ये, Security ड्रॉपडाउनमधून WPA Enterprise निवडा, नंतर RADIUS Authentication Group ला तुमच्या बाह्य RADIUS सर्व्हरकडे निर्देशित करा, जो या प्रकरणात Purple ची SecurePass सेवा किंवा तुमचे स्वतःचे Microsoft Entra ID किंवा Okta-backed RADIUS आहे. कर्मचाऱ्यांची डिव्हाइसेस EAP-PEAP सह MSCHAPv2 वापरून, किंवा उच्च सुरक्षितता वातावरणासाठी सर्टिफिकेट्ससह EAP-TLS वापरून प्रमाणीकृत होतात. AP हा 802.1X ऑथेंटिकेटर म्हणून काम करतो, क्रेडेंशियल्स RADIUS सर्व्हरकडे फॉरवर्ड करतो आणि प्रतिसादाची अंमलबजावणी करतो. [short pause] स्टाफ नेटवर्कवर डायनॅमिक VLAN असाइनमेंटसाठी, तुम्ही VAP च्या Advanced Security सेटिंग्जमध्ये Dynamic VLAN सक्षम करता. जेव्हा RADIUS सर्व्हर Access-Accept रिटर्न करतो, तेव्हा त्यामध्ये तीन मानक गुणधर्म (attributes) समाविष्ट असतात: Tunnel-Type हा VLAN वर सेट केलेला असतो, Tunnel-Medium-Type हा IEEE 802 वर सेट केलेला असतो, आणि Tunnel-Private-Group-Id हा VLAN ID वर सेट केलेला असतो. AP हे गुणधर्म वाचतो आणि प्रमाणीकृत डिव्हाइसला स्वयंचलितपणे योग्य VLAN वर ठेवतो. ही RFC 3580 मध्ये परिभाषित केलेली यंत्रणा आहे आणि ती Allied Telesis हार्डवेअरवर सातत्याने कार्य करते. [medium pause] आता मल्टी-टेनंट डिप्लॉयमेंट्ससाठी सर्वात रंजक क्षमतेबद्दल बोलूया: Allied Telesis PPSK, किंवा Private Pre-Shared Key. इतर प्लॅटफॉर्मवर याला कधीकधी iPSK म्हटले जाते. ही संकल्पना अगदी सोपी आहे. तुमच्याकडे एकच SSID असतो, परंतु प्रत्येक भाडेकरूला (tenant) किंवा वापरकर्ता गटाला एक अद्वितीय पासफ्रेज मिळतो. जेव्हा एखादे डिव्हाइस कनेक्ट होते, तेव्हा AP तो पासफ्रेज RADIUS Access-Request मधील पासवर्ड फील्ड म्हणून RADIUS सर्व्हरकडे पाठवतो. RADIUS सर्व्हर तो पासफ्रेज वापरकर्ता रेकॉर्डशी मॅच करतो, आणि त्या भाडेकरूसाठी VLAN निर्दिष्ट करणार्‍या Tunnel-Private-Group-Id गुणधर्मासह Access-Accept रिटर्न करतो. [short pause] त्यामुळे एका संमिश्र-वापर इमारतीमध्ये, रिटेल युनिटमधील Tenant A त्यांच्या पासफ्रेजसह कनेक्ट होतो आणि VLAN 100 वर पोहोचतो. तळमजल्यावरील रेस्टॉरंट वेगळा पासफ्रेज वापरते आणि VLAN 300 वर पोहोचते. इमारतीचे गेस्ट WiFi तिसरा पासफ्रेज वापरते आणि VLAN 400 वर पोहोचते जिथे Purple चे Captive Portal सक्रिय आहे. हे सर्व एकाच SSID वर चालते. कोणतीही SSID ची गर्दी नाही. सुटसुटीत, स्केलेबल आणि व्यवस्थापित करण्यास सोपे. [medium pause] Purple च्या बाजूने, तुम्ही Purple डॅशबोर्डमध्ये किंवा RADIUS-as-a-Service इंटरफेसद्वारे PPSK वापरकर्ता रेकॉर्ड्स कॉन्फिगर करता. प्रत्येक भाडेकरूला (tenant) VLAN ID शी मॅप केलेला एक युनिक पासफ्रेज मिळतो. Purple चे RADIUS सर्व्हर मॅचिंग हाताळते आणि योग्य Tunnel-Private-Group-Id परत करते. जेव्हा तुम्हाला एखाद्या भाडेकरूचा प्रवेश रद्द करायचा असतो, तेव्हा तुम्ही Purple मधील त्यांचे PPSK रेकॉर्ड हटवता किंवा निष्क्रिय करता. AP पुढील ऑथेंटिकेशनच्या प्रयत्नात हा बदल लागू करतो. [medium pause] याचे महत्त्व दर्शवणारे दोन वास्तविक-जगातील प्रसंग मी तुम्हाला सांगतो. पहिला प्रसंग, २५० खोल्यांचे एक कॉन्फरन्स हॉटेल. हे हॉटेल तीन नेटवर्क्स चालवते: Purple स्प्लॅश पेज आणि सोशल लॉगिनसह गेस्ट WiFi, Microsoft Entra ID द्वारे Active Directory शी जोडलेले 802.1X वरील स्टाफ WiFi, आणि इव्हेंट्ससाठी कॉन्फरन्स डेलिगेट नेटवर्क. Allied Telesis TQ6702 GEN2 APs हे तिन्ही वेगवेगळ्या VLANs सह स्वतंत्र VAPs वर हाताळतात. Purple गेस्ट स्प्लॅश पेज व्यवस्थापित करते, हॉटेलच्या CRM साठी फर्स्ट-पार्टी डेटा गोळा करते आणि पीक वापर कालावधीचे विश्लेषण प्रदान करते. हॉटेलची IT टीम ऑन-साइट स्वतंत्र RADIUS सर्व्हर न ठेवता Purple च्या SecurePass द्वारे स्टाफ नेटवर्क व्यवस्थापित करते. [short pause] दुसरा प्रसंग: १२ स्वतंत्र भाडेकरू असलेले एक रिटेल पार्क. जमीनदाराला प्रत्येक भाडेकरूला एकमेकांच्या ट्रॅफिकचा प्रवेश न देता WiFi ही एक सेवा (WiFi as a service) म्हणून द्यायची आहे. ते संपूर्ण साइटवर एकाच SSID सह Allied Telesis APs तैनात करतात. प्रत्येक भाडेकरूला एक युनिक PPSK मिळतो. Purple चे RADIUS सर्व्हर प्रत्येक PPSK ला एका समर्पित VLAN शी मॅप करते. जमीनदार Purple मध्ये नवीन PPSK रेकॉर्ड तयार करून आणि पासफ्रेज भाडेकरूला देऊन दहा मिनिटांपेक्षा कमी वेळेत नवीन भाडेकरूला ऑनबोर्ड करू शकतो. यासाठी कोणत्याही AP रीकॉन्फिगरेशनची आवश्यकता नसते. [medium pause] आता, काही टाळायच्या चुका. आम्ही पाहत असलेली सर्वात सामान्य समस्या म्हणजे चुकीचे कॉन्फिगर केलेले वॉल्ड गार्डन्स (walled gardens). तुम्ही Purple CDN एंडपॉइंट व्हाईटलिस्ट करायला विसरल्यास, स्प्लॅश पेज अंशतः लोड होईल किंवा काही उपकरणांवर अयशस्वी होईल. लाइव्ह जाण्यापूर्वी कॅश केलेले DNS नसलेल्या नवीन उपकरणासह चाचणी करा. दुसरे, RADIUS शेअर सिक्रेट न जुळणे. AP वर कॉन्फिगर केलेले सिक्रेट Purple च्या RADIUS सर्व्हर कॉन्फिगरेशनमधील सिक्रेटशी तंतोतंत जुळले पाहिजे. एका सिंगल कॅरेक्टरच्या फरकाने देखील ऑथेंटिकेशन शांतपणे अयशस्वी होते. सिक्रेट तयार करण्यासाठी आणि स्टोअर करण्यासाठी पासवर्ड मॅनेजर वापरा. तिसरे, Dynamic VLAN सक्षम न होणे. Allied Telesis APs वर, WPA Enterprise सक्रिय असताना देखील Dynamic VLAN डीफॉल्टनुसार निष्क्रिय असते. तुम्हाला VAP Advanced Security सेटिंग्जमध्ये ते स्पष्टपणे सक्षम करावे लागेल. आम्ही हे नियमितपणे विसरलेले पाहतो. चौथे, PPSK आणि MAC ऑथेंटिकेशन संघर्ष. तुमच्याकडे PPSK सारख्याच VAP वर MAC ऑथेंटिकेशन सक्षम असल्यास, ऑथेंटिकेशनचा क्रम महत्त्वाचा ठरतो. कोणत्या पद्धतीला प्राधान्य मिळते हे कन्फर्म करण्यासाठी तुमच्या फर्मवेअर आवृत्तीसाठी AP डॉक्युमेंटेशन तपासा. [medium pause] IT टीम्सकडून मला मिळणारे काही झटपट प्रश्न. मी एकाच डिप्लॉयमेंटवर गेस्ट Captive Portal आणि स्टाफ 802.1X दोन्हीसाठी Purple चे RADIUS सर्व्हर वापरू शकतो का? होय. Purple चे RADIUS-as-a-Service दोन्ही ऑथेंटिकेशन फ्लोला सपोर्ट करते. तुम्ही प्रत्येक युज केससाठी Purple मध्ये स्वतंत्र RADIUS ग्रुप्स किंवा पॉलिसीज कॉन्फिगर करू शकता. Allied Telesis APs captive portal सह WPA3 ला सपोर्ट करतात का? firmware 5.5.4-2.3 किंवा त्यानंतरची आवृत्ती रन करणारे TQ6702 GEN2 हे WPA3 CCMP सायफरला सपोर्ट करते. तथापि, एक्स्टर्नल रिडायरेक्टसह captive portal सहसा ओपन किंवा WPA2 Personal SSID वर चालते. स्टाफ 802.1X साठी WPA3 Enterprise वापरले जाऊ शकते. जर Purple RADIUS सर्व्हर अनरीचेबल असेल तर काय होते? AP नवीन ऑथेंटिकेशनचे प्रयत्न नाकारेल. सध्याचे सुरू असलेले सेशन्स त्यांचा टाईम आऊट होईपर्यंत सुरू राहतील. रिडंडन्सीसाठी तुम्ही AP च्या RADIUS ग्रुपमध्ये दुय्यम RADIUS सर्व्हर कॉन्फिगर केला पाहिजे. Purple चे प्लॅटफॉर्म 99.999% अपटाईम राखते, परंतु सखोल संरक्षण ही एक चांगली पद्धत आहे. [medium pause] थोडक्यात सांगायचे तर, Allied Telesis TQ-Series APs हे Purple सोबत तीन मुख्य यंत्रणांद्वारे समाकलित होतात: गेस्ट WiFi साठी एक्स्टर्नल captive portal रिडायरेक्ट, स्टाफ 802.1X साठी RADIUS सह WPA Enterprise, आणि मल्टी-टेनंट आयसोलेशनसाठी डायनॅमिक VLAN सह PPSK. तुम्हाला आवश्यक असलेले RADIUS ॲट्रिब्युट्स म्हणजे Tunnel-Type VLAN, Tunnel-Medium-Type IEEE 802, आणि VLAN ID असलेले Tunnel-Private-Group-Id हे आहेत. Purple हे RADIUS-as-a-Service बॅकएंड, स्प्लॅश पेज प्लॅटफॉर्म आणि ॲनालिटिक्स लेयर प्रदान करते. [short pause] तुमची पुढील पावले: तुमच्या डॅशबोर्डवरून Purple RADIUS क्रेडेंशियल मिळवा, तुमच्या गेस्ट VAP वर एक्स्टर्नल पेज रिडायरेक्ट कॉन्फिगर करा, वॉल्ड गार्डन एंट्रीज जोडा, तुमच्या स्टाफ VAP वर Dynamic VLAN सक्षम करा आणि लाईव्ह जाण्यापूर्वी प्रत्येक नेटवर्क सेगमेंटसाठी चाचणी ऑथेंटिकेशन रन करा. जर तुम्ही मल्टी-टेनंटसाठी PPSK डिप्लॉय करत असाल, तर सुरू करण्यापूर्वी तुमच्या VLAN नंबरिंग स्कीमचे नियोजन करा, कारण टेनंट्स लाईव्ह झाल्यानंतर VLAN IDs बदलण्यासाठी समन्वयाची आवश्यकता असते. [medium pause] हा आजचा ब्रीफिंग आहे. संपूर्ण टप्प्याटप्प्याने कॉन्फिगरेशन संदर्भ, Mermaid आर्किटेक्चर डायग्राम आणि RADIUS ॲट्रिब्युट टेबलसाठी, लिखित मार्गदर्शिका पहा. आपल्या वेळेबद्दल धन्यवाद.