NETGEAR Enterprise AP आणि guest WiFi: Purple सोबत Captive Portal सेटअप

Purple च्या तांत्रिक माहिती पत्रकामध्ये (Technical Briefing) आपले स्वागत आहे. आज आपण अशा विषयावर बोलणार आहोत जो हॉस्पिटॅलिटी, रिटेल आणि बहु-भाडेकरू (multi-tenant) जागांमधील IT व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्स सोबतच्या आमच्या संभाषणांमध्ये वारंवार येतो: NETGEAR Insight आणि WAX सिरीज ॲक्सेस पॉइंट्सला Purple WiFi सोबत कसे एकत्रित करावे. जर तुम्ही हॉटेल, रिटेल पार्क, कॉन्फरन्स सेंटर किंवा मिश्र-वापर विकसित जागा चालवत असाल, तर ही माहिती तुमच्या पुढील नेटवर्क उपयोजनाच्या (deployment) निर्णयासाठी थेट सुसंगत आहे. चला थोडी पार्श्वभूमी समजून घेऊया. NETGEAR ची WAX सिरीज - WAX610, WAX620 आणि WAX630 - हे WiFi 6 ॲक्सेस पॉइंट्स आहेत जे Insight क्लाउड प्लॅटफॉर्मद्वारे व्यवस्थापित केले जातात. ते प्रति रेडिओ आठ स्वतंत्र SSID पर्यंत, WPA3 एन्क्रिप्शनला आणि WAX630 वर सहा गिगाबिट्स पर्यंतच्या थ्रुपुटला सपोर्ट करतात. ते PoE-संचालित, छतावर माउंट करण्यायोग्य आहेत आणि Insight क्लाउड पोर्टलद्वारे एकाच स्क्रीनवरून व्यवस्थापित केले जातात. IT इंस्टॉलर किंवा SMB नेटवर्क प्रशासकासाठी, Cisco Meraki किंवा HPE Aruba श्रेणीपेक्षा खूपच कमी किंमतीत हा खरोखरच सक्षम प्लॅटफॉर्म आहे. Purple हा एक हार्डवेअर-मुक्त (hardware-agnostic) क्लाउड ओव्हरले आहे. आम्ही तुमच्या सध्याच्या पायाभूत सुविधांवर काम करतो आणि अतिथी अनुभव स्तर (guest experience layer), डेटा कॅप्चर स्तर आणि ॲनालिटिक्स स्तर जोडतो. आम्ही 2024 मध्ये 80,000 लाइव्ह जागांवरून 440 दशलक्ष लॉगइन्स प्रविष्ट केले आहेत. NETGEAR Insight सोबतचे एकत्रीकरण अगदी सोपे आणि पूर्ण माहिती दस्तऐवजांसह उपलब्ध आहे, आणि हे आज आपण अभ्यासणार असलेल्या चार विशिष्ट वापराच्या प्रकरणांना (use cases) समाविष्ट करते. आता आपण तांत्रिक सखोल माहितीकडे वळूया. हे चार वापर प्रकार आहेत: Purple Captive Portal सह Guest WiFi, 802.1X वापरून सुरक्षित कर्मचारी WiFi, NETGEAR चे PPSK वैशिष्ट्य वापरून मल्टी-टेनंट (Multi-Tenant) विभाजन, आणि आयडेंटिटी-बेस्ड नेटवर्क्ससाठी RADIUS द्वारे डायनॅमिक VLAN असाइनमेंट. वापर प्रकार एक: Purple Captive Portal सह Guest WiFi. हा सर्वात सामान्य सुरुवातीचा टप्पा आहे. तुम्ही NETGEAR Insight मध्ये एक समर्पित Guest SSID तयार करता आणि ते एक मुक्त (open) नेटवर्क म्हणून कॉन्फिगर करता. मुख्य कॉन्फिगरेशन SSID सेटिंग्जमधील Captive Portal विभागात असते. तुम्ही External Captive Portal निवडा, आणि Purple प्रदान करत असलेली Splash Page URL तिथे पेस्ट करा. पुढे, तुम्ही ऑथेंटिकेशन प्रकार कॉन्फिगर करता. बहुतेक Purple उपयोजनांसाठी, तुम्ही RADIUS ऑथेंटिकेशन निवडाल. Purple तुम्हाला प्राथमिक RADIUS सर्व्हर IP पत्ता, ऑथेंटिकेशनसाठी पोर्ट 1812 आणि अकाउंटिंगसाठी पोर्ट 1813 आणि एक शेअर्ड सिक्रेट (shared secret) प्रदान करते. तुम्ही ते NETGEAR Insight External Captive Portal कॉन्फिगरेशनमध्ये पेस्ट करा. तुम्ही एक NAS आयडेंटिफायर देखील सेट करा - ही एक संज्ञा (string) आहे जी RADIUS सर्व्हरला हा विशिष्ट ॲक्सेस पॉइंट किंवा स्थान ओळखण्यास मदत करते. यासाठी तुमच्या जागेचे नाव आणि स्थान कोड यासारखे काहीतरी अर्थपूर्ण वापरा. वॉल्ड गार्डन (walled garden) हा असा भाग आहे जो बहुतेक इन्स्टॉलर्सना गोंधळात टाकतो. पाहुण्याने ऑथेंटिकेट करण्यापूर्वी, त्यांच्या डिव्हाइसला Purple स्प्लॅश पेज, ऑथेंटिकेशन सर्व्हर्स आणि तुम्ही सुरू केलेल्या कोणत्याही सोशल लॉगिन प्रदात्यांपर्यंत पोहोचता आले पाहिजे. NETGEAR Insight मध्ये External Captive Portal कॉन्फिगरेशनमध्ये एक समर्पित Walled Garden विभाग आहे जेथे तुम्ही हे URLs जोडता. Purple चे सपोर्ट डॉक्युमेंटेशन व्हाईटलिस्ट करण्यासाठी डोमेन्सची अचूक यादी प्रदान करते. यामध्ये चूक झाल्यास पाहुण्यांना तुमच्या ब्रँडेड पोर्टलऐवजी एक कोरे पेज दिसेल. एकदा कॉन्फिगर केल्यानंतर, फ्लो याप्रमाणे काम करतो: एक पाहुणा Hotel Guest SSID शी कनेक्ट होतो. ऍक्सेस पॉइंट त्यांच्या पहिल्या HTTP विनंतीला इंटरसेप्ट करतो आणि त्यांना Purple स्प्लॅश पेजवर रीडायरेक्ट करतो. पाहुण्याला तुमचे ब्रँडेड पोर्टल दिसते, ते अटी स्वीकारतात आणि पर्याय म्हणून त्यांचा ईमेल पत्ता देतात किंवा सोशल मीडियाद्वारे लॉग इन करतात. Purple चे RADIUS सर्व्हर ऍक्सेस पॉइंटला Access-Accept मेसेज परत पाठवते आणि पाहुण्याला इंटरनेट ऍक्सेस दिला जातो. Purple संमतीचा डेटा कॅप्चर करते, सेशन लॉग करते आणि तो डेटा तुमच्या Purple ऍनालिटिक्स डॅशबोर्डमध्ये प्रवाहित होतो. वापर प्रकरण दोन: 802.1X वापरून सुरक्षित स्टाफ WiFi. येथे तुम्ही सामायिक केलेले पासवर्ड वापरणे पूर्णपणे बंद करता. स्टाफ नेटवर्कसाठी, प्री-शेअर्ड की ही एक जोखीम असते - जेव्हा एखादा कर्मचारी नोकरी सोडतो, तेव्हा तुम्हाला प्रत्येकासाठी पासवर्ड बदलावा लागतो. IEEE 802.1X मानकामध्ये परिभाषित केलेले 802.1X, प्रत्येक वापरकर्त्याला स्वतंत्र क्रेडेंशियल देते. जेव्हा ते नोकरी सोडतात, तेव्हा तुम्ही तुमच्या डिरेक्टरीमध्ये त्यांचे खाते निष्क्रिय करता आणि त्यांचा ऍक्सेस त्वरित रद्द केला जातो. NETGEAR Insight मध्ये, तुम्ही WPA2 Enterprise सुरक्षेसह एक स्वतंत्र Staff SSID कॉन्फिगर करता. हे ऍक्सेस पॉइंटला प्री-शेअर्ड की ऐवजी 802.1X ऑथेंटिकेशन वापरण्यास सांगते. त्यानंतर तुम्ही नेटवर्क लोकेशन लेव्हलवर RADIUS सर्व्हर सेटिंग्ज कॉन्फिगर करता. नेटवर्क लोकेशन सेटिंग्जवर जा, RADIUS निवडा, 802.1X Access Authentication सक्षम करा आणि तुमचा RADIUS सर्व्हर IP, पोर्ट आणि शेअर्ड सिक्रेट प्रविष्ट करा. डीफॉल्ट री-ऑथेंटिकेशन इंटरव्हल ३,६०० सेकंद - एक तास - आहे, जो बहुतेक ठिकाणांसाठी एक वाजवी सुरुवातीचा बिंदू आहे. SMB डिप्लॉयमेंटमध्ये सर्वात सामान्य EAP पद्धत PEAP-MSCHAPv2 आहे, जी सर्व्हर-साइड सर्टिफिकेटचा वापर करून एक एन्क्रिप्टेड टनेल तयार करते ज्यामध्ये वापरकर्ता त्यांच्या Active Directory युझरनेम आणि पासवर्डसह ऑथेंटिकेट करतो. EAP-TLS अधिक सुरक्षित आहे - ते दोन्ही बाजूंना सर्टिफिकेट्स वापरते - परंतु यासाठी उपकरणांवर सर्टिफिकेट्स पाठवण्यासाठी PKI इन्फ्रास्ट्रक्चर आणि MDM ची आवश्यकता असते. एक महत्त्वाचा मुद्दा: प्रत्येक क्लायंट डिव्हाइसवर सर्टिफिकेट व्हॅलिडेशन सक्तीचे करा. RADIUS सर्व्हरचे सर्टिफिकेट व्हॅलिडेट करण्यासाठी तुमचे Windows डिव्हाइसेस Group Policy Objects द्वारे आणि तुमचे मोबाईल डिव्हाइसेस MDM प्रोफाइल्सद्वारे कॉन्फिगर करा. जर तुम्ही ही पायरी वगळली, तर डिव्हाइसेस फसव्या ऍक्सेस पॉइंट हल्ल्यांना बळी पडू शकतात जेथे हल्लेखोर बनावट सर्टिफिकेट सादर करतो आणि क्रेडेंशियल्स चोरतो.वापरण्याचे उदाहरण तीन: मल्टि-टेनंट ठिकाणांसाठी NETGEAR PPSK. प्रायव्हेट प्री-शेअर्ड की रिटेल पार्क, मिक्स-युज डेव्हलपमेंट्स आणि को-वर्किंग स्पेस मधील विशिष्ट समस्येचे निराकरण करते. तुमच्याकडे एकाच फिजिकल WiFi इन्फ्रास्ट्रक्चरचा वापर करणारे एकाधिक टेनंट्स आहेत. तुम्हाला प्रत्येक टेनंटसाठी स्वतंत्र SSIDs चालवायचे नाहीत - ज्यामुळे रेडिओ फ्रिक्वेन्सीमध्ये अडथळा निर्माण होतो आणि मॅनेजमेंट देखील कठीण होते. परंतु तुम्ही प्रत्येकाला एकच पासवर्ड देखील देऊ शकत नाही, कारण यामुळे टेनंट A ला टेनंट B चा ट्रॅफिक दिसू शकतो. PPSK याचे अत्यंत सोपे आणि उत्तम निराकरण करते. तुम्ही एकच SSID तयार करता आणि NETGEAR Insight मधील Wireless, Settings, Advanced, Multi PSK Settings अंतर्गत अनेक प्री-शेअर्ड की तयार करता. प्रत्येक की एका विशिष्ट VLAN शी जोडलेली असते. टेनंट A ला VLAN 30 शी मॅप केलेला एक युनिक 16-अक्षरी पासवर्ड मिळतो. टेनंट B ला VLAN 40 शी मॅप केलेला दुसरा पासवर्ड मिळतो. वेन्यू मॅनेजमेंट टीमला तिसरा पासवर्ड मिळतो जो VLAN 20 शी मॅप केलेला असतो, ज्याला मॅनेजमेंट सिस्टम्सचा ॲक्सेस असतो. जेव्हा टेनंट A चे डिव्हाइसेस त्यांच्या पासवर्डचा वापर करून कनेक्ट होतात, तेव्हा ॲक्सेस पॉइंट त्यांना स्वयंचलितपणे VLAN 30 वर पाठवतो. ते VLAN 40 किंवा VLAN 20 वरील कोणताही ट्रॅफिक पाहू शकत नाहीत. टेनंटच्या दृष्टीकोनातून विचार केल्यास, त्यांच्याकडे फक्त एक WiFi पासवर्ड असतो. नेटवर्क ॲडमिनिस्ट्रेटर म्हणून तुमच्या दृष्टीकोनातून विचार केल्यास, तुमच्याकडे कोणत्याही अतिरिक्त हार्डवेअरशिवाय टेनंट्समध्ये ट्रॅफिक पूर्णपणे विलग करण्याचे पर्याय उपलब्ध असतात. याबाबतच्या दोन महत्त्वाच्या मर्यादा जाणून घेणे आवश्यक आहे. पहिली म्हणजे, NETGEAR Insight मधील PPSK साठी WPA2 Personal किंवा WPA2 Personal Mixed एन्क्रिप्शनची आवश्यकता असते. हे 6 GHz बँडवर काम करत नाही. दुसरी मर्यादा म्हणजे, PPSK ला त्याच SSID वरील Captive Portal सोबत जोडता येत नाही. जर तुम्हाला या दोन्ही गोष्टींची आवश्यकता असेल, तर तुम्हाला दोन स्वतंत्र SSIDs हवे असतील - जे योग्य आहे, कारण WAX सिरीजचे ॲक्सेस पॉइंट्स आठ पर्यंत सपोर्ट करतात. वापरण्याचे उदाहरण चार: RADIUS द्वारे डायनॅमिक VLAN असाइनमेंट. हे सर्वात प्रगत कॉन्फिगरेशन आहे आणि Purple च्या आयडेंटिटी-बेस्ड नेटवर्क क्षमतेचा पाया आहे. पासवर्ड किंवा SSID ला स्टॅटिकली VLAN असाइन करण्याऐवजी, कोणता VLAN असाइन करायचा हे तुम्ही कोण ऑथेंटिकेट करत आहे या आधारे RADIUS सर्व्हरला ठरवू देता. या यंत्रणेमध्ये तीन स्टँडर्ड RADIUS ॲट्रिब्युट्सचा वापर केला जातो: Tunnel-Type, जो VLAN साठी व्हॅल्यू 13 वर सेट असणे आवश्यक आहे; Tunnel-Medium-Type, जो IEEE 802 साठी व्हॅल्यू 6 वर सेट असणे आवश्यक आहे; आणि Tunnel-Private-Group-ID, जो स्ट्रिंगच्या स्वरूपात VLAN ID वाहून नेतो. जेव्हा एखादा युझर यशस्वीरित्या ऑथेंटिकेट करतो, तेव्हा RADIUS सर्व्हर Access-Accept मेसेजमध्ये हे तीन ॲट्रिब्युट्स परत पाठवतो. ॲक्सेस पॉइंट ते वाचतो आणि क्लायंटला निर्दिष्ट VLAN वर ठेवतो. प्रत्यक्षात, याचा अर्थ असा आहे की तुमच्याकडे एकच WPA2 Enterprise SSID असू शकतो जिथे हॉटेल मॅनेजर ऑथेंटिकेट करतो आणि प्रॉपर्टी मॅनेजमेंट सिस्टम्सच्या ॲक्सेससह VLAN 20 वर पोहोचतो, फ्रंट डेस्क एजंट ऑथेंटिकेट करतो आणि फक्त चेक-इन सिस्टमच्या ॲक्सेससह VLAN 21 वर पोहोचतो, आणि कॉन्ट्रॅक्टर ऑथेंटिकेट करतो आणि फक्त इंटरनेट ॲक्सेससह VLAN 50 वर पोहोचतो. हे सर्व एकाच SSID वरून शक्य होते, आणि Active Directory ग्रुप मेंबरशिपच्या आधारे RADIUS सर्व्हरद्वारे स्वयंचलितपणे लागू केले जाते. आता, अंमलबजावणीच्या शिफारसी आणि संभाव्य चुकांबद्दल बोलूया. पहिली चूक म्हणजे walled garden. प्रत्येक बाह्य captive portal उपयोजन किमान एकदा तरी walled garden च्या पातळीवर अयशस्वी होते. याचे लक्षण म्हणजे अतिथी SSID शी कनेक्ट होतात परंतु स्प्लॅश पेज ऐवजी ब्राउझर त्रुटी पाहतात. यावर उपाय पद्धतशीर आहे: Purple मदत दस्तऐवजीकरण उघडा, walled garden सूचीमधील प्रत्येक डोमेन कॉपी करा आणि त्यांना NETGEAR Insight च्या Walled Garden विभागात पेस्ट करा. ज्या डिव्हाइसवर कोणतेही कॅश केलेले क्रेडेंशियल नाहीत अशा डिव्हाइससह चाचणी करा. दुसरी चूक म्हणजे RADIUS पोहोचक्षमता. NETGEAR ॲक्सेस पॉइंट तुमच्या RADIUS सर्व्हरपर्यंत पोहोचणे आवश्यक आहे. RADIUS प्रमाणीकरणासाठी UDP पोर्ट 1812 आणि अकाउंटिंगसाठी UDP पोर्ट 1813 वापरतो. ॲक्सेस पॉइंट मॅनेजमेंट IP वरून RADIUS सर्व्हर IP साठी ते पोर्ट्स उघडा. लाइव्ह जाण्यापूर्वी RADIUS चाचणी साधनासह चाचणी करा. तिसरी चूक म्हणजे PPSK आणि captive portal मधील संघर्ष. NETGEAR Insight एकाच SSID वर PPSK आणि captive portal ला अनुमती देत नाही. जर तुम्हाला दोन्ही आवश्यक असतील, तर दोन SSID तयार करा. त्यांना स्पष्ट नावे द्या - एक PPSK भाडेकरूंसाठी आणि दुसरी captive portal अतिथींसाठी. चौथी चूक म्हणजे 802.1X क्लायंटवर प्रमाणपत्र प्रमाणीकरण. प्रत्येक Windows डिव्हाइसला ग्रुप पॉलिसी ऑब्जेक्टची आवश्यकता असते जी विश्वसनीय प्रमाणपत्र प्राधिकरण आणि अपेक्षित RADIUS सर्व्हरचे नाव निर्दिष्ट करते. प्रत्येक मोबाइल डिव्हाइसला समान सेटिंग्जसह MDM प्रोफाइलची आवश्यकता असते. याशिवाय, वापरकर्ता नकळतपणे एखाद्या खोट्या ॲक्सेस पॉइंटवर प्रमाणित होऊ शकतो आणि त्याचे Active Directory क्रेडेंशियल सोपवू शकतो. आता वेगवान प्रश्न आणि उत्तर सत्राकडे वळूया. प्रश्न पहिला: मी RADIUS सर्व्हरशिवाय NETGEAR Insight सह Purple वापरू शकतो का? होय, अतिथी captive portal उपयोजनांसाठी, तुम्ही RADIUS ऐवजी Purple चा वेब प्रमाणीकरण मोड वापरू शकता. ॲक्सेस पॉइंट HTTP द्वारे स्प्लॅश पेजवर रीडायरेक्ट करतो आणि Purple वेब सत्राद्वारे प्रमाणीकरण हाताळते. RADIUS तुम्हाला अधिक नियंत्रण आणि चांगला अकाउंटिंग डेटा देते, परंतु मूलभूत अतिथी पोर्टल उपयोजनांसाठी ते अनिवार्य नाही. प्रश्न दुसरा: मी NETGEAR Insight मध्ये किती PPSK की तयार करू शकतो? NETGEAR Insight WAX श्रेणीतील ॲक्सेस पॉइंट्सवर प्रति SSID 64 पर्यंत PPSK की ला समर्थन देते. बहुतांश बहु-भाडेकरू ठिकाणांसाठी, हे पुरेशापेक्षा जास्त आहे. तुमच्याकडे ६४ पेक्षा जास्त भाडेकरू असल्यास, तुम्हाला त्याऐवजी RADIUS-as-a-Service आधारित डायनॅमिक VLAN सोल्यूशनकडे जावे लागेल. प्रश्न तिसरा: NETGEAR Insight 802.1X साठी WPA3 Enterprise ला समर्थन देते का? होय, WAX श्रेणीतील ॲक्सेस पॉइंट्स WPA3 Enterprise ला समर्थन देतात. बहुतेक SMB उपयोजनांसाठी, WPA2 Enterprise पुरेसे आहे आणि त्यात व्यापक क्लायंट डिव्हाइस सुसंगतता आहे. आरोग्य सेवा किंवा वित्तीय सेवा यांसारख्या संवेदनशील डेटा हाताळणाऱ्या वातावरणासाठी WPA3 Enterprise चा विचार करणे योग्य आहे. प्रश्न चार: जर Purple RADIUS सर्व्हर पोहोचण्यायोग्य नसेल तर काय होईल? NETGEAR Insight बाह्य Captive Portal कॉन्फिगरेशनमध्ये फेल्सिफ (failsafe) पर्यायाचे समर्थन करते. तुम्ही फेल्सिफ सक्षम केल्यास, Captive Portal सर्व्हर पोहोचण्यायोग्य नसले तरीही पाहुण्यांना थोड्या काळासाठी इंटरनेट प्रवेश दिला जातो. Purple आमच्या इन्फ्रास्ट्रक्चरमध्ये ९९.९९९% अपटाइम राखते, परंतु कोणत्याही प्रोडक्शन डिप्लॉयमेंटसाठी फेल्सिफ सक्षम करणे ही एक चांगली पद्धत आहे. आजच्या ब्रीफिंगमधील मुख्य मुद्दे थोडक्यात सांगायचे तर: NETGEAR WAX सिरीजचे ॲक्सेस पॉइंट्स NETGEAR Insight मधील बाह्य Captive Portal मेकॅनिझमद्वारे Purple सोबत समाकलित होतात. तुम्ही Insight Cloud Portal मध्ये स्प्लॅश पेज URL, RADIUS सर्व्हर क्रेडेंशियल्स आणि वॉल्ड गार्डन (walled garden) डोमेन्स कॉन्फिगर करता. कर्मचारी नेटवर्कसाठी, 802.1X सह WPA2 Enterprise वापरा आणि प्रत्येक क्लायंट डिव्हाइसवर प्रमाणपत्र प्रमाणीकरण लागू करा. मल्टी-टेनंट ठिकाणांसाठी, NETGEAR चे PPSK वैशिष्ट्य तुम्हाला ६४ पर्यंत युनिक की (keys) सह एकाच SSID वरून प्रति-टेनंट VLAN आयसोलेशन देते. सर्वात प्रगत डिप्लॉयमेंटसाठी, RADIUS ॲट्रिब्युट्सद्वारे डायनॅमिक VLAN असाइनमेंट तुम्हाला ओळख-आधारित (identity-driven) नेटवर्क सेगमेंटेशन देते, जे वापरकर्ते कुठून जोडत आहेत याऐवजी कोण जोडत आहे यावर आधारित जुळवून घेते. तुम्ही Purple सह NETGEAR डिप्लॉयमेंटचे नियोजन करत असल्यास, पुढील पायरी म्हणजे Purple च्या सपोर्ट टीमकडून तुमचे Purple RADIUS क्रेडेंशियल्स आणि वॉल्ड गार्डन डोमेन सूची मागवणे आणि प्रोडक्शनमध्ये रोल आउट करण्यापूर्वी स्टेजिंग SSID वर Captive Portal रीडायरेक्टची चाचणी घेणे. एकदा तुमच्याकडे ते क्रेडेंशियल्स आले की कॉन्फिगरेशनसाठी ३० मिनिटांपेक्षा कमी वेळ लागतो. Purple चे तांत्रिक ब्रीफिंग (Technical Briefing) ऐकल्याबद्दल धन्यवाद. चरण-दर-चरण कॉन्फिगरेशन तपशील आणि उदाहरणांसह संपूर्ण लेखी मार्गदर्शकासाठी, purple.ai ला भेट द्या.