पॉडकास्ट ट्रान्सक्रिप्ट पहा
ब्रिफिंगमध्ये आपले स्वागत आहे. आज, आपण Arista Cognitive WiFi चे Purple प्लॅटफॉर्मसह होणाऱ्या इंटिग्रेशनचे सखोल विश्लेषण करणार आहोत. ही एक वरिष्ठ सल्लागार ब्रिफिंग आहे, ज्याचा थेट उद्देश एंटरप्राइझ नेटवर्क आर्किटेक्ट्स आणि क्लाउड सिस्टम्स ॲडमिनिस्ट्रेटर्सना मार्गदर्शन करणे आहे, ज्यांना पहिल्याच वेळी हे योग्यरित्या तैनात (deploy) करायचे आहे.
चला पार्श्वभूमी समजून घेऊया. Arista Cognitive WiFi, जे CloudVision Cognitive Unified Edge प्लॅटफॉर्मद्वारे व्यवस्थापित केले जाते, हे क्लाउड-व्यवस्थापित वायरलेस इन्फ्रास्ट्रक्चर आहे जे एंटरप्राइझ-श्रेणीतील अतिथी (guest) आणि कर्मचारी नेटवर्क तैनातीला समर्थन देते. Purple हे एक हार्डवेअर-स्वतंत्र क्लाउड ओव्हरले आहे जे guest पोर्टल, ओळख कॅप्चर, RADIUS प्रमाणीकरण आणि विश्लेषण स्तर (analytics layer) प्रदान करते. जेव्हा तुम्ही या दोघांना एकत्र करता, तेव्हा तुम्हाला एक संपूर्ण, सुसंगत आणि व्यावसायिकदृष्ट्या मूल्यवान अतिथी WiFi आर्किटेक्चर मिळते. चला याच्या तांत्रिक प्रक्रियेत प्रवेश करूया.
पहिली समजून घेण्याची गोष्ट म्हणजे Captive Portal ऑनबोर्डिंग फ्लो. जेव्हा एखादे अतिथी डिव्हाइस Arista ॲक्सेस पॉइंटवरील ओपन अतिथी SSID शी जोडले जाते, तेव्हा AP ताबडतोब त्या डिव्हाइसला प्री-ऑथेंटिकेशन VLAN मध्ये ठेवते. या स्थितीत, डिव्हाइसला DHCP-नियुक्त IP ॲड्रेस मिळतो, परंतु त्याचे DNS आणि HTTP ट्रॅफिक मोठ्या प्रमाणावर प्रतिबंधित केले जाते. डिव्हाइसची ऑपरेटिंग सिस्टम, मग ती iOS, Android किंवा Windows असो, Captive Portal शोध मोहीम (detection probe) चालवते. iOS captive.apple.com वर HTTP विनंती पाठवते. Android connectivitycheck.gstatic.com वर तपासणी करते. Arista AP ही विनंती अडवते आणि 302 रीडायरेक्ट रिटर्न करते, जे डिव्हाइसला Purple स्प्लॅश पेज URL कडे निर्देशित करते.
आता, याच ठिकाणी बहुतांश तैनातीमध्ये चुका होतात. तो रीडायरेक्ट कार्य करण्यासाठी आणि स्प्लॅश पेज प्रत्यक्षात दिसण्यासाठी, तुम्हाला Arista CV-CUE मध्ये Walled Garden योग्यरित्या कॉन्फिगर करणे आवश्यक आहे. Walled Garden ही एक स्पष्ट अनुमती-सूची (allow-list) आहे. प्री-ऑथेंटिकेशन स्थितीत, सर्व ट्रॅफिक डीफॉल्टनुसार ब्लॉक केले जाते. पोर्टल लोड करण्यासाठी आवश्यक असलेले प्रत्येक डोमेन तुम्ही व्हाईटलिस्ट केले पाहिजे. किमान, याचा अर्थ मुख्य Purple डोमेन्स आहेत: region1.purpleportal.net, venuewifi.com आणि cloudfront.net. जर तुम्ही Google Workspace द्वारे सोशल लॉगिन ऑफर करत असाल, तर तुम्ही accounts.google.com आणि त्याच्याशी संबंधित CDN श्रेणी जोडल्या पाहिजेत. Facebook साठी, तुम्हाला facebook.com, fbcdn.net आणि akamaihd.net ची आवश्यकता आहे. यापैकी एकही चुकला, तर अतिथीला रिक्त स्क्रीन किंवा फिरत असलेले लॉगिन बटण दिसेल. ते निघून जातील आणि तुम्ही डेटा कॅप्चर करण्याची संधी गमावाल.
मी तुम्हाला CV-CUE मधील RADIUS कॉन्फिगरेशन समजावून सांगतो. Configure वर जा, नंतर Network Profiles, आणि नंतर RADIUS वर जा. Add RADIUS Server वर क्लिक करा. Purple चा मुख्य RADIUS सर्व्हर IP ॲड्रेस प्रविष्ट करा, Authentication Port 1812 वर सेट करा, Accounting Port 1813 वर सेट करा आणि Purple द्वारे प्रदान केलेले शेअर्ड सिक्रेट प्रविष्ट करा. दुय्यम (secondary) सर्व्हरसाठी हीच प्रक्रिया पुन्हा करा. ही रिडंडन्सी अत्यंत महत्त्वाची आहे. मुख्य सर्व्हरपर्यंत पोहोचता येत नसेल, तर दुय्यम सर्व्हर अतिथी प्रवेशात कोणताही अडथळा न आणता कार्यभार स्वीकारतो.
एकदा RADIUS प्रोफाइल सेव्ह झाल्यानंतर, Configure वर जा, नंतर WiFi वर, नंतर SSID वर जा आणि Add New SSID वर क्लिक करा. तुमच्या SSID ला नाव द्या, त्याचा प्रकार Guest वर सेट करा आणि Security टॅब अंतर्गत, सुरक्षा स्तर Open वर सेट करा. कॅप्टिव्ह पोर्टल उपयोजनासाठी हे योग्य आहे. Captive Portal टॅब अंतर्गत, Captive Portal चेकबॉक्स सुरू करा, Cloud Hosted ड्रॉप-डाउनमधून Third-Party Hosted निवडा आणि With RADIUS Authentication बॉक्स चेक करा. Splash Page URL फील्डमध्ये Purple स्प्लॅश पेजची URL पेस्ट करा. हे सामान्यतः https://region1.purpleportal.net/access/ या फॉरमॅटमध्ये असते. शेअर केलेला सिक्रेट कोड एंटर करा. त्यानंतर, Websites that users can access before login विभागात, तुमचे Walled Garden डोमेन्स जोडा. Called Station ID फॉरमॅट percent-m वर सेट करा, ज्यामुळे MAC ॲड्रेस Purple च्या अपेक्षेनुसार फॉरमॅटमध्ये पाठवला जातो. Accounting Interval २ मिनिटांवर सेट करा. HTTPS Redirection चेकबॉक्स अनचेक करा. SSID सेव्ह करा. हे काही मिनिटांत तुमच्या Arista APs वर लागू होईल.
आता पाहुण्याने Purple पोर्टलवर आपले तपशील सबमिट केल्यानंतर काय होते याबद्दल बोलूया. Purple हे RADIUS सर्व्हर म्हणून कार्य करते. हे ओळख प्रमाणित करते, संमती कॅप्चर करते आणि Arista AP कडे RADIUS Access-Accept संदेश परत पाठवते. पण इथे सर्वात महत्त्वाचा भाग असा आहे की: त्या Access-Accept संदेशामध्ये Change of Authorisation ॲट्रिब्युट्स असतात, जे RFC 3576 मध्ये परिभाषित केलेले आहेत. हे ॲट्रिब्युट्स Arista AP ला त्या विशिष्ट क्लायंटला प्रतिबंधित पूर्व-प्रमाणीकरण (pre-authentication) स्थितीमधून पूर्ण इंटरनेट प्रवेशासह पोस्ट-प्रमाणीकरण VLAN मध्ये डायनॅमिकपणे स्थानांतरित करण्याचे निर्देश देतात. त्याच वेळी, AP पोर्ट १८१३ वर Purple ला RADIUS Accounting-Start संदेश पाठवतो. यामुळे सेशन टाइमर सुरू होतो आणि सेशन कालावधीचा डेटा Purple ॲनालिटिक्स डॅशबोर्डला पाठवला जातो.
आता आपण अधिक प्रगत वापर प्रकरणाकडे वळूया: Arista Private Pre-Shared Keys किंवा PPSK चा वापर करून Multi-Tenant WiFi. सह-कार्यक्षम जागा (coworking spaces), रिटेल मॉल्स, निवासी इमारती किंवा अशा कोणत्याही वातावरणासाठी हे आर्किटेक्चर अत्यंत योग्य आहे जिथे तुम्हाला कडक नेटवर्क विलगतेची आवश्यकता असणारे अनेक भिन्न वापरकर्ता गट व्यवस्थापित करायचे आहेत.
पारंपारिक पद्धतींमधील समस्या अशी आहे की प्रत्येक भाडेकरूसाठी (tenant) स्वतंत्र SSID ब्रॉडकास्ट केल्याने मोठ्या प्रमाणावर RF ओव्हरहेड तयार होतो. प्रत्येक SSID साठी बीकन फ्रेम्स आवश्यक असतात. २० भाडेकरू असलेल्या गर्दीच्या वातावरणात, २० SSIDs एअरटाइमचा वापर करत असतात. PPSK यावर एक सोपा आणि उत्कृष्ट उपाय प्रदान करते. तुम्ही एकच SSID ब्रॉडकास्ट करता. परंतु Purple पोर्टलमध्ये, प्रत्येक भाडेकरूला एक युनिक पासफ्रेज दिला जातो. जेव्हा एखादा वापरकर्ता कनेक्ट होतो, तेव्हा Arista AP त्या पासफ्रेजचे Purple RADIUS सर्व्हरद्वारे प्रमाणीकरण करतो. Purple तो पासफ्रेज शोधतो, संबंधित भाडेकरू ओळखतो आणि Access-Accept संदेश परत पाठवतो. पण सर्वात महत्त्वाचे म्हणजे, तो तीन RADIUS ॲट्रिब्युट्स जोडतो: Tunnel-Type, जे VLAN वर सेट असते; Tunnel-Medium-Type, जे 802 वर सेट असते; आणि Tunnel-Private-Group-ID, जे भाडेकरूच्या विशिष्ट VLAN ID वर सेट असते. Arista AP हे ॲट्रिब्युट्स वाचतो आणि डायनॅमिकपणे क्लायंटला योग्य VLAN कडे वळवतो. भाडेकरू A, त्यांचा पासफ्रेज वापरून, VLAN 100 वर पोहोचतो. भाडेकरू B, VLAN 200 वर पोहोचतो. ते Layer 2 वर पूर्णपणे विलग असतात. ते एकमेकांचे डिव्हाइसेस, प्रिंटर किंवा सर्व्हर पाहू शकत नाहीत.
हे सराव मधील Identity-Based Networking आहे. Passphrase ची ओळख नेटवर्क सेगमेंट निश्चित करते. हे Purple द्वारे मध्यवर्तीरित्या व्यवस्थापित केले जाते, त्यामुळे जेव्हा एखादा भाडेकरू (tenant) सोडतो, तेव्हा तुम्ही Purple पोर्टलमध्ये त्यांची passphrase रद्द करता आणि प्रवेश त्वरित संपुष्टात आणला जातो. Arista इन्फ्रास्ट्रक्चरवर कोणतेही बदल करण्याची आवश्यकता नाही.
आता, आपण IEEE 802.1X वापरून Secure Staff WiFi समाविष्ट करूया. तुमच्या कर्मचार्यांच्या SSID साठी, तुम्ही शेअर केलेली passphrase वापरू नये. तुम्ही EAP, Extensible Authentication Protocol सह 802.1X वापरले पाहिजे. CV-CUE मध्ये, एक नवीन Corporate SSID तयार करा. Security टॅब अंतर्गत, WPA2-Enterprise किंवा WPA3-Enterprise निवडा. तुमचे RADIUS प्रोफाइल निवडा, जे तुमच्या कॉर्पोरेट ओळख प्रदात्याकडे (identity provider), जसे की Microsoft Entra ID किंवा Okta कडे निर्देशित असावे. जेव्हा एखादा कर्मचारी कनेक्ट होतो, तेव्हा त्यांचे डिव्हाइस Arista AP कडे क्रेडेंशियल्स सादर करते, जे त्यांना EAP द्वारे RADIUS सर्व्हरकडे फॉरवर्ड करते. ओळख प्रदाता क्रेडेंशियल्स सत्यापित करतो आणि Access-Accept परत करतो. EAP-TLS वापरून प्रमाणपत्र-आधारित प्रमाणीकरणासाठी (certificate-based authentication), डिव्हाइस युझरनेम आणि पासवर्ड ऐवजी क्लायंट प्रमाणपत्र सादर करते, ज्यामुळे क्रेडेंशियल चोरीचा धोका पूर्णपणे नाहीसा होतो.
आता मी Arista Cloud WIPS इंटिग्रेशनबद्दल सांगतो. Arista ची Wireless Intrusion Prevention System बॅकग्राउंडमध्ये कार्यरत असते, जी फसव्या (rogue) ॲक्सेस पॉइंट्स आणि अनधिकृत क्लायंट्ससाठी स्कॅन करते. CV-CUE मध्ये, Configure, नंतर WIPS, आणि नंतर Automatic Intrusion Prevention वर जा. तुम्ही प्रतिबंधाची पातळी Degrade पासून ते Block पर्यंत कॉन्फिगर करू शकता. एंटरप्राइझ उपयोजनांसाठी, आम्ही सुरुवातीचा टप्पा म्हणून Disrupt पातळीची शिफारस करतो, जी अनधिकृत संवाद पूर्णपणे ब्लॉक न करता त्यात व्यत्यय आणते, ज्यामुळे फॉल्स पॉझिटिव्हचा धोका कमी होतो. तुम्ही Configure, नंतर Device, आणि नंतर Access Point वर जाऊन, Security टॅब निवडून VLAN मॉनिटरिंग देखील कॉन्फिगर केले पाहिजे. SSID VLAN Monitoring सक्षम करा जेणेकरून APs त्यांच्या नियुक्त VLANs मधील फसव्या क्रियाकलापांवर सक्रियपणे लक्ष ठेवतील.
आता, अंमलबजावणी करताना टाळण्याच्या काही त्रुटी. पहिली म्हणजे, DHCP पूल संपणे (exhaustion). रिटेल स्टोअर्स किंवा स्टेडियम्स सारख्या जास्त गर्दीच्या ठिकाणी, डिव्हाइसेस थोड्या वेळासाठी कनेक्ट होतात आणि निघून जातात. जर तुमचा आयडल टाइमआउट खूप जास्त सेट केला असेल, तर ते सेशन्स सक्रिय राहतात आणि IP ॲड्रेस राखून ठेवतात. रिटेलसाठी CV-CUE मधील आयडल टाइमआउट 10 मिनिटांवर आणि इव्हेंटच्या ठिकाणांसाठी तो 5 मिनिटांइतका कमी सेट करा. यामुळे IP क्रेडेंशियल्स वेगाने परत मिळवले जातात आणि पूल संपण्यापासून रोखला जातो.
दुसरी, MAC ॲड्रेस रँडमायझेशन. iOS 14 आणि Android 10 पासून, डिव्हाइसेस डीफॉल्टनुसार प्रत्येक SSID साठी त्यांचा MAC ॲड्रेस रँडमाइज करतात. हे परत येणाऱ्या पाहुण्यांना ओळखण्यासाठी MAC ॲड्रेसवर अवलंबून असलेल्या कोणत्याही आर्किटेक्चरला विस्कळीत करते. यासाठी योग्य उपाय म्हणजे तुमचे ओळख मॉडेल हे प्रमाणीकृत क्रेडेंशियल्स, म्हणजेच Purple पोर्टलद्वारे घेतलेले ईमेल ॲड्रेस किंवा सोशल लॉगिनवर स्थलांतरित करणे होय. पोर्टलशिवाय अखंडित रीकनेक्शनसाठी, दीर्घकालीन स्थलांतराचा मार्ग Passpoint कडे जातो, ज्याला Hotspot 2.0 देखील म्हटले जाते, जे प्रमाणपत्र-आधारित प्रमाणीकरण वापरते आणि Captive Portal पूर्णपणे काढून टाकते.
तिसरे, HTTPS रिडायरेक्शन. CV-CUE मध्ये captive portal कॉन्फिगर करताना, HTTPS रिडायरेक्शन चेकबॉक्स रिकामा असल्याची खात्री करा. Purple हे HTTPS सेशन स्वतंत्रपणे हाताळते. Arista च्या बाजूने HTTPS रिडायरेक्शन सक्षम केल्यास सर्टिफिकेट मिसमॅच एरर येऊ शकतात ज्यामुळे पोर्टल लोड होण्यापासून रोखले जाते.
चला सामान्य परिस्थितींवर काही झटपट प्रश्न आणि उत्तरे पाहूया.
प्रश्न: गेस्टच्या पोर्टल पेजवर कोरी स्क्रीन दिसत आहे. तुम्ही सर्वात आधी कुठे पाहाल? उत्तर: Walled Garden. गहाळ डोमेन हे सहसा याचे मुख्य कारण असते. सर्व Purple डोमेन्स आणि संबंधित आयडेंटिटी प्रोव्हाइडर CDN डोमेन्स CV-CUE मध्ये व्हाईटलिस्टेड असल्याची तपासा.
प्रश्न: सर्व PPSK युजर्स डीफॉल्ट VLAN वर येत आहेत. काय चूक आहे? उत्तर: Purple RADIUS सर्व्हर Tunnel-Private-Group-ID ॲट्रिब्यूट परत पाठवत नाहीये. CV-CUE ट्रबलशूटिंग लॉग्समधील RADIUS रिस्पॉन्स तपासा आणि Purple पोर्टलमध्ये VLAN मॅपिंगची पडताळणी करा.
प्रश्न: Purple मधील RADIUS अकाउंटिंग डेटा शून्य सेकंदांचे सेशन दाखवत आहे. समस्या काय आहे? उत्तर: अकाउंटिंग पोर्ट कदाचित चुकीचे कॉन्फिगर केले गेले आहे किंवा ब्लॉक झाले आहे. Arista APs आणि Purple RADIUS सर्व्हरमधील फायरवॉलवर पोर्ट 1813 उघडे असल्याची खात्री करा आणि SSID सेटिंग्जमध्ये अकाउंटिंग इंटरव्हल २ मिनिटांवर सेट केल्याची पडताळणी करा.
या ब्रिफिंगमधील मुख्य मुद्दे थोडक्यात सांगायचे तर. एक: Walled Garden ही एक स्पष्ट अलाव-लिस्ट आहे. हे एकवेळचे सेटअप न ठेवता आवर्ती ऑपरेशनल काम म्हणून हाताळा. दोन: RADIUS चेंज ऑफ ऑथरायझेशन (CoA) ही ती यंत्रणा आहे जी ॲक्सेस मंजूर करते. याशिवाय, पोर्टल पूर्ण होते पण गेस्ट ब्लॉकच राहतो. तीन: Purple RADIUS सह Arista PPSK हे एकाच SSID वर मल्टी-टेनंट आयसोलेशनसाठी डायनॅमिक VLAN स्टिअरिंग सक्षम करते, ज्यामुळे बीकन ओव्हरहेड दूर होतो. चार: लॅटरल मुव्हमेंट रोखण्यासाठी गेस्ट SSIDs वर नेहमी क्लायंट आयसोलेशन सक्षम करा. पाच: अचूक ॲनालिटिक्ससाठी MAC ॲड्रेस रँडमायझेशनला आयडेंटिटी-आधारित ऑथेंटिकेशनकडे शिफ्ट करणे आवश्यक आहे. सहा: योग्य इंटिग्रेशन GDPR संमती आवश्यकता पूर्ण करते आणि थेट मार्केटिंग ROI वाढवणारा फर्स्ट-पार्टी डेटा गोळा करते.
तुमची पुढील पावले: Purple पोर्टल हार्डवेअर कॉन्फिगरेशन पेजवरून Purple RADIUS सर्व्हर IP ॲड्रेस आणि शेअर केलेले सिक्रेट्स मिळवा. CV-CUE मध्ये RADIUS प्रोफाइल कॉन्फिगर करा. तुमची Walled Garden डोमेन लिस्ट तयार करा. तुमचा गेस्ट SSID डिप्लॉय करा. प्रोडक्शनमध्ये रोल आउट करण्यापूर्वी मोबाईल डिव्हाइसवरून संपूर्ण ऑथेंटिकेशन फ्लोची चाचणी घ्या. आणि जर तुम्ही मल्टी-टेनंट एन्व्हायरनमेंट डिप्लॉय करत असाल, तर PPSK पासफ्रेजेस कॉन्फिगर करण्यापूर्वी तुमचे टेनंट VLAN IDs Purple मध्ये मॅप करा.
या तांत्रिक ब्रिफिंगची सांगता इथेच होत आहे. ऐकल्याबद्दल धन्यवाद.
