Aruba ClearPass आणि Purple WiFi: एकत्रीकरण आणि उपयोजन मार्गदर्शक

हे मार्गदर्शक HPE Aruba ClearPass Policy Manager ला Purple WiFi प्लॅटफॉर्मसह एकत्रित करण्यासाठी संपूर्ण तांत्रिक संदर्भ प्रदान करते, ज्यामध्ये RADIUS प्रॉक्सी आर्किटेक्चर, Captive Portal कॉन्फिगरेशन आणि डायनॅमिक VLAN रोल मॅपिंग समाविष्ट आहे. हे Aruba-हेवी वातावरणातील IT व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्ससाठी डिझाइन केले आहे ज्यांना अतिथी प्रमाणीकरण आणि विश्लेषणासाठी Purple तैनात करताना NAC साठी ClearPass राखून ठेवण्याची आवश्यकता आहे. या एकत्रीकरणाची अंमलबजावणी केल्याने एक महत्त्वपूर्ण व्हेंडर गॅप बंद होतो, ज्यामुळे Purple च्या मार्केट-लीडिंग अभ्यागत बुद्धिमत्ता क्षमतांसह एंटरप्राइझ-ग्रेड सुरक्षा आणि अनुपालन सक्षम होते.

📖 9 मिनिट वाचन📝 2,154 शब्द🔧 2 सोडवलेली उदाहरणे❓ 4 सराव प्रश्न📚 9 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा

HPE Aruba ClearPass ला Purple WiFi प्लॅटफॉर्मसह एकत्रित करण्यावरील या तांत्रिक ब्रीफिंगमध्ये आपले स्वागत आहे. मी तुमचा होस्ट आहे, आणि आज आम्ही ClearPass Policy Manager च्या मजबूत नेटवर्क ऍक्सेस कंट्रोलला Purple च्या उद्योग-अग्रणी अतिथी WiFi आणि विश्लेषण क्षमतांसह एकत्रित करण्याच्या आर्किटेक्चर, उपयोजन धोरणे आणि ऑपरेशनल फायद्यांबद्दल सखोल माहिती घेणार आहोत.

मोठ्या प्रमाणावरील स्थळे व्यवस्थापित करणाऱ्या IT व्यवस्थापक, नेटवर्क आर्किटेक्ट्स आणि CTO साठी — मग ती एक विस्तीर्ण रिटेल चेन असो, उच्च-घनतेचे स्टेडियम असो किंवा जटिल हेल्थकेअर कॅम्पस असो — सुरक्षित, विभागलेला आणि अंतर्दृष्टीपूर्ण वायरलेस ऍक्सेस प्रदान करणे सर्वोपरि आहे. संदर्भ-जागरूक धोरण अंमलबजावणी आणि कॉर्पोरेट उपकरणांसाठी 802.1X प्रमाणीकरणामध्ये ClearPass अभूतपूर्व आहे. तथापि, जेव्हा अतिथी ऑनबोर्डिंग, Captive Portals आणि अभ्यागत डेटामधून कृती करण्यायोग्य विपणन विश्लेषणे काढण्याची वेळ येते, तेव्हा Purple निर्विवाद नेता आहे.

आज आपण ज्या मुख्य प्रश्नाचे उत्तर देत आहोत तो म्हणजे: NAC आणि डायनॅमिक रोल-आधारित VLAN असाइनमेंटसाठी ClearPass राखून ठेवून, Captive Portal म्हणून Purple वापरण्यासाठी तुम्ही ClearPass कसे कॉन्फिगर कराल? चला तर मग पाहूया.

प्रथम, आपण आर्किटेक्चर स्थापित करूया. उच्च स्तरावर, हे एकत्रीकरण मानक RADIUS प्रोटोकॉल आणि HTTP रीडायरेक्ट यंत्रणेवर अवलंबून असते. तुमचे Aruba मोबिलिटी कंट्रोलर्स किंवा इन्स्टंट ऍक्सेस पॉइंट्स अतिथी SSID प्रसारित करतात. जेव्हा एखादे अप्रमाणित उपकरण कनेक्ट होते, तेव्हा कंट्रोलर HTTP ट्रॅफिक अडवतो आणि वापरकर्त्याच्या ब्राउझरला Purple Captive Portal वर रीडायरेक्ट करतो. हा रीडायरेक्ट योग्यरित्या मिळवण्यासाठी पहिला महत्त्वाचा भाग आहे.

आता, वापरकर्ता Purple द्वारे प्रमाणित करतो. हे Facebook किंवा Google द्वारे सोशल लॉगिन, कस्टम ईमेल आणि पासवर्ड फॉर्म किंवा OpenRoaming देखील असू शकते, जिथे Purple Connect परवान्याअंतर्गत विनामूल्य ओळख प्रदाता म्हणून कार्य करते. एकदा Purple ने वापरकर्त्याला प्रमाणित केले की, ते कंट्रोलरला साखळीद्वारे RADIUS ऍक्सेस-ॲक्सेप्ट संदेश परत पाठवते, जे नंतर नेटवर्क ऍक्सेस मंजूर करते.

परंतु येथेच ClearPass आवश्यक बनते. Aruba कंट्रोलरने थेट Purple च्या RADIUS सर्व्हरशी बोलण्याऐवजी, तुम्ही ClearPass ला मध्यभागी RADIUS प्रॉक्सी म्हणून समाविष्ट करता. कंट्रोलर सर्व RADIUS विनंत्या ClearPass ला पाठवतो. ClearPass विनंतीचे मूल्यांकन करते आणि, जर ती तुमच्या अतिथी सर्व्हिस राउटिंग पॉलिसीशी जुळत असेल, तर ती Purple च्या क्लाउड RADIUS सर्व्हरवर फॉरवर्ड करते. Purple प्रतिसाद देते, आणि ClearPass तो प्रतिसाद कंट्रोलरला परत पाठवते, परंतु महत्त्वाचे म्हणजे, असे करण्यापूर्वी ते स्वतःचे धोरण गुणधर्म जोडू शकते.

हे प्रॉक्सी आर्किटेक्चर तुम्हाला दोन्ही जगातील सर्वोत्तम देते. ClearPass तुमच्या नेटवर्कवरील प्रत्येक प्रमाणीकरण इव्हेंटचा, कॉर्पोरेट आणि अतिथी दोन्हीचा संपूर्ण ऑडिट लॉग राखते. तुम्हाला सुरक्षा ऑपरेशन्ससाठी सिंगल पेन ऑफ ग्लास मिळतो. आणि तुमची विद्यमान NAC गुंतवणूक न बदलता Purple वापरकर्ता-फेसिंग अनुभव आणि विश्लेषणे हाताळते.

चला डायनॅमिक VLAN असाइनमेंटबद्दल बोलूया, कारण येथेच गोष्टी खरोखर शक्तिशाली बनतात — आणि जर ते काळजी घेत नसतील तर बहुतांश उपयोजने अडचणीत येतात.

ClearPass भूमिका (Roles) आणि एन्फोर्समेंट प्रोफाइल्स (Enforcement Profiles) नावाची संकल्पना वापरते. जेव्हा प्रमाणीकरण विनंती येते, तेव्हा ClearPass संदर्भाचे मूल्यांकन करते: वापरकर्ता कोण आहे, ते कोणत्या उपकरणावर आहेत, वेळ काय आहे, ते कोणत्या स्थानावरून कनेक्ट होत आहेत? या घटकांवर आधारित, ते एक भूमिका नियुक्त करते. सामान्य अतिथीसाठी, ते ROLE_GUEST असू शकते. VIP साठी, ते ROLE_VIP असू शकते. कंत्राटदारासाठी, ROLE_CONTRACTOR.

ही भूमिका नंतर एका एन्फोर्समेंट प्रोफाइलवर मॅप केली जाते, जी Aruba कंट्रोलरला परत करण्यासाठी विशिष्ट RADIUS गुणधर्म परिभाषित करते. येथील सर्वात महत्त्वाचा गुणधर्म म्हणजे Aruba-User-Role व्हेंडर-स्पेसिफिक ॲट्रिब्युट, किंवा VSA. हे कंट्रोलरला वायरलेस बाजूने वापरकर्त्याला नेमक्या कोणत्या भूमिकेत ठेवायचे हे सांगते.

Aruba कंट्रोलरवर, प्रत्येक भूमिका विशिष्ट VLAN आणि फायरवॉल धोरणांच्या संचाशी मॅप करते. त्यामुळे ROLE_GUEST VLAN 20 शी मॅप करते, फक्त-इंटरनेट ऍक्सेस आणि 10 मेगाबिट प्रति सेकंद बँडविड्थ मर्यादेसह. ROLE_VIP 50 मेगाबिट मर्यादेसह VLAN 40 शी मॅप करते. ROLE_IOT VLAN 30 शी मॅप करते, इंटरनेट ऍक्सेस नसलेला पूर्णपणे वेगळा विभाग, फक्त स्मार्ट उपकरणांसाठी स्थानिक कनेक्टिव्हिटी.

हे सेगमेंटेशन केवळ चांगली सराव नाही — ही एक अनुपालन आवश्यकता आहे. PCI DSS अंतर्गत, कार्डधारक डेटाला स्पर्श करणारे कोणतेही नेटवर्क अतिथी नेटवर्कपासून वेगळे केले जाणे आवश्यक आहे. GDPR अंतर्गत, तुम्हाला हे दाखवून देणे आवश्यक आहे की अतिथी पोर्टलद्वारे संकलित केलेला वैयक्तिक डेटा योग्यरित्या हाताळला जातो आणि अतिथी ट्रॅफिक तुमच्या कॉर्पोरेट इन्फ्रास्ट्रक्चरमधून जाऊ शकत नाही.

आता, मी तुम्हाला एका वास्तविक-जगातील परिस्थितीबद्दल सांगतो. एका मोठ्या हॉटेल चेनमध्ये अनेक मालमत्तांमध्ये 500 खोल्या आहेत. त्यांच्याकडे प्रत्येक साइटवर Aruba कंट्रोलर्स आहेत, ClearPass मध्यवर्तीरित्या तैनात केले आहे, आणि त्यांना अतिथी WiFi साठी Purple रोल आउट करायचे आहे.

उपयोजन असे दिसते. प्रति साइट दोन SSID: Hotel_Corp आणि Hotel_Guest. Hotel_Corp प्रमाणपत्रांसह 802.1X वापरते, ClearPass द्वारे ॲक्टिव्ह डिरेक्टरीविरुद्ध प्रमाणित केले जाते. Hotel_Guest हा एक खुला SSID आहे जो Purple Captive Portal ट्रिगर करतो.

ClearPass मध्ये, ते दोन सेवा तयार करतात. सेवा एक Hotel_Corp शी जुळते आणि 802.1X प्रमाणीकरण स्थानिक पातळीवर हाताळते. सेवा दोन Hotel_Guest शी जुळते आणि Purple ला विनंत्या प्रॉक्सी करण्यासाठी RADIUS राउटिंग पॉलिसी वापरते. सेवा दोनसाठी एन्फोर्समेंट पॉलिसी guest-authenticated चे Aruba-User-Role परत करते, जे कंट्रोलरवरील VLAN 20 शी मॅप करते.

IoT उपकरणांसाठी — स्मार्ट टीव्ही, थर्मोस्टॅट्स, डोअर लॉक — ते MAC-आधारित प्रमाणीकरणासह तिसरा SSID, Hotel_IoT वापरतात. ClearPass त्याच्या OUI वापरून उपकरणाचे प्रोफाइल करते आणि ROLE_IOT नियुक्त करते, त्याला VLAN 30 मध्ये टाकते.

परिणाम? कर्मचाऱ्यांना पूर्ण कॉर्पोरेट ऍक्सेस मिळतो. अतिथींना सोशल लॉगिन आणि मार्केटिंग ऑप्ट-इनसह ब्रँडेड, आकर्षक पोर्टल अनुभव मिळतो. IoT उपकरणे वेगळी केली जातात. आणि IT टीमला ClearPass च्या ऍक्सेस ट्रॅकरमध्ये तिन्ही वापरकर्ता प्रकारांमध्ये संपूर्ण दृश्यमानता असते.

आता आपण धोक्यांबद्दल बोलूया, कारण असे अनेक आहेत जे तुम्ही तयार नसल्यास तुम्हाला पकडतील.

क्रमांक एक: वॉल्ड गार्डन. Captive Portal अपयशाचा हा सर्वात सामान्य स्रोत आहे. उपकरण प्रमाणित होण्यापूर्वी, Aruba कंट्रोलर केवळ पूर्व-परिभाषित गंतव्यस्थानांच्या सूचीमध्ये ट्रॅफिकला परवानगी देतो — वॉल्ड गार्डन. जर Purple ची पोर्टल URL, त्याचे बॅकएंड API एंडपॉइंट्स आणि सोशल लॉगिन प्रदाता डोमेन त्या सूचीमध्ये नसतील, तर पोर्टल लोड होणार नाही. तुम्हाला ही सूची सक्रियपणे राखण्याची आवश्यकता आहे. Facebook आणि Google सारखे सोशल लॉगिन प्रदाता त्यांचे IP श्रेणी आणि CDN डोमेन वारंवार बदलतात. वॉल्ड गार्डनला एक जिवंत कॉन्फिगरेशन माना.

क्रमांक दोन: RADIUS टाइमआउट्स. बहुतांश Aruba कंट्रोलर्सवरील डीफॉल्ट RADIUS टाइमआउट तीन सेकंद आहे. प्रॉक्सी आर्किटेक्चरमध्ये, विनंती AP कडून कंट्रोलरकडे, ClearPass कडे, इंटरनेटवरून Purple च्या क्लाउड RADIUS कडे आणि परत प्रवास करते. गर्दीच्या नेटवर्कवर, ती राऊंड ट्रिप सहजपणे तीन सेकंदांपेक्षा जास्त होऊ शकते. तुमचा टाइमआउट किमान दहा सेकंदांपर्यंत वाढवा आणि रिट्राय लॉजिक कॉन्फिगर करा.

क्रमांक तीन: शेअर्ड सिक्रेट जुळत नसणे. यामुळे सायलेंट फेल्युअर होतात ज्यांचे निदान करणे अत्यंत कठीण असते. Aruba कंट्रोलर आणि ClearPass मधील शेअर्ड सिक्रेट तंतोतंत जुळले पाहिजे. ClearPass आणि Purple च्या RADIUS सर्व्हरमधील शेअर्ड सिक्रेट देखील तंतोतंत जुळले पाहिजे. एका अक्षराच्या फरकामुळे अंतिम वापरकर्त्याला कोणताही अर्थपूर्ण त्रुटी संदेश न देता प्रमाणीकरण अयशस्वी होईल. हे नेहमी दोनदा तपासा.

क्रमांक चार: भूमिकेच्या नावाची केस सेन्सिटिव्हिटी. ClearPass द्वारे परत केलेले Aruba-User-Role VSA Aruba कंट्रोलरवर परिभाषित केलेल्या भूमिकेच्या नावाशी — कॅपिटलायझेशनसह — तंतोतंत जुळले पाहिजे. जर ClearPass ने guest-authenticated परत केले परंतु कंट्रोलरवर Guest-Authenticated परिभाषित केले असेल, तर वापरकर्ता डीफॉल्ट भूमिकेत परत येईल, जी सामान्यतः इंटरनेट ऍक्सेस नसलेली लॉगऑन भूमिका असते.

क्रमांक पाच: RADIUS अकाउंटिंग. अनेक उपयोजने प्रमाणीकरण प्रॉक्सींग योग्यरित्या कॉन्फिगर करतात परंतु अकाउंटिंग देखील प्रॉक्सी करायला विसरतात. Purple सत्र कालावधी, डेटा वापर ट्रॅक करण्यासाठी आणि त्याचे विश्लेषण डॅशबोर्ड भरण्यासाठी RADIUS अकाउंटिंग डेटा वापरते. जर अकाउंटिंग Purple कडे प्रवाहित होत नसेल, तर तुमचे विश्लेषण अपूर्ण असेल.

चला रॅपिड-फायर प्रश्न विभागाकडे वळूया.

मी कर्मचारी आणि अतिथी दोघांसाठी एकच SSID वापरू शकतो का? होय, तुम्ही करू शकता. एकाच SSID वर 802.1X आणि MAC-Auth दोन्ही हाताळण्यासाठी ClearPass कॉन्फिगर करा. ट्रॅफिक प्रकार वेगळे करण्यासाठी आणि त्यानुसार राउट करण्यासाठी सर्व्हिस रूल्स वापरा. हे व्यवस्थापित करणे अधिक जटिल आहे परंतु SSID प्रसार कमी करते.

Purple चेंज ऑफ ऑथोरायझेशनला समर्थन देते का? होय. CoA कंट्रोलरला वापरकर्त्याला पुन्हा कनेक्ट न करता त्यांचे सत्र डायनॅमिकरित्या अपडेट करण्यास अनुमती देते. हे वेळ-मर्यादित ऍक्सेस किंवा टियर अपग्रेडसाठी उपयुक्त आहे.

मी हे एकत्रीकरण पूर्ण मोबिलिटी कंट्रोलरऐवजी Aruba Instant सह वापरू शकतो का? होय, Aruba Instant बाह्य RADIUS सर्व्हर आणि Captive Portal रीडायरेक्टला समर्थन देते. कॉन्फिगरेशन थोडे वेगळे आहे परंतु तत्त्वे समान आहेत.

हे एकत्रीकरण WPA3 सह कार्य करते का? होय. वैयक्तिक नेटवर्कसाठी WPA3-SAE आणि 802.1X साठी WPA3-Enterprise दोन्ही समर्थित आहेत. Captive Portals वापरणाऱ्या अतिथी नेटवर्कसाठी, WPA3-SAE किंवा Opportunistic Wireless Encryption सह खुला SSID हे सामान्य पर्याय आहेत.

आजच्या ब्रीफिंगचा सारांश देण्यासाठी. ClearPass आणि Purple एकत्रीकरण हे एक RADIUS प्रॉक्सी आर्किटेक्चर आहे. ClearPass सर्व नेटवर्क ऍक्सेससाठी तुमचा केंद्रीय धोरण निर्णय बिंदू राहते. Purple अतिथी-फेसिंग अनुभव आणि विश्लेषणे हाताळते. Aruba कंट्रोलर डायनॅमिक VLAN असाइनमेंटद्वारे परिणामी धोरणे लागू करतो. तीन सर्वात महत्त्वाचे कॉन्फिगरेशन घटक म्हणजे वॉल्ड गार्डन, RADIUS टाइमआउट्स आणि भूमिकेच्या नावाची सुसंगतता. ते योग्य करा, आणि तुमच्याकडे एक मजबूत, अनुपालन करणारे आणि व्यावसायिकदृष्ट्या मौल्यवान अतिथी WiFi उपयोजन असेल.

ऐकल्याबद्दल धन्यवाद. जर तुम्हाला हे अधिक एक्सप्लोर करायचे असेल, तर तुमच्या विशिष्ट उपयोजनाबद्दल सोल्यूशन्स आर्किटेक्टशी बोलण्यासाठी purple.ai ला भेट द्या.

महत्वाचे मुद्दे

✓हे एकत्रीकरण RADIUS प्रॉक्सी आर्किटेक्चर वापरते: Aruba कंट्रोलर सर्व RADIUS विनंत्या ClearPass ला पाठवतो, जे कॉर्पोरेट 802.1X स्थानिक पातळीवर हाताळताना अतिथी प्रमाणीकरण Purple च्या क्लाउड RADIUS सर्व्हरवर राउट करते.
✓ClearPass सर्व नेटवर्क ऍक्सेससाठी केंद्रीय धोरण निर्णय बिंदू राहते, एक युनिफाइड ऑडिट ट्रेल राखून ठेवते जे PCI DSS आणि GDPR अनुपालन आवश्यकता पूर्ण करते.
✓डायनॅमिक VLAN असाइनमेंट ClearPass रोल मॅपिंग आणि Aruba-User-Role VSA द्वारे साध्य केले जाते, जे एकाच SSID वर अतिथी, कर्मचारी, IoT उपकरणे आणि VIP चे सुरक्षित सेगमेंटेशन सक्षम करते.
✓वॉल्ड गार्डन हा सर्वात ऑपरेशनलदृष्ट्या संवेदनशील कॉन्फिगरेशन घटक आहे — त्यात Purple चे पोर्टल डोमेन, सोशल लॉगिन प्रदाता एंडपॉइंट्स आणि OS-स्तरीय Captive Portal शोध URL समाविष्ट असणे आवश्यक आहे.
✓Purple च्या क्लाउड इन्फ्रास्ट्रक्चरवरील अतिरिक्त नेटवर्क हॉप सामावून घेण्यासाठी Aruba कंट्रोलरवरील RADIUS टाइमआउट किमान 10 सेकंदांपर्यंत वाढवा.
✓RADIUS अकाउंटिंग प्रमाणीकरणासह Purple ला प्रॉक्सी केले जाणे आवश्यक आहे — त्याशिवाय, Purple चे विश्लेषण डॅशबोर्ड अपूर्ण सत्र डेटा दर्शवतील.
✓हे एकत्रीकरण Aruba-हेवी एंटरप्राइझसाठी एक महत्त्वपूर्ण व्हेंडर गॅप बंद करते, विद्यमान ClearPass NAC गुंतवणूक न बदलता Purple चे प्रगत अतिथी विश्लेषण आणि विपणन क्षमता सक्षम करते.

कार्यकारी सारांश

HPE Aruba इन्फ्रास्ट्रक्चरमध्ये मोठ्या प्रमाणावर गुंतवणूक केलेल्या एंटरप्राइझ वातावरणासाठी, अखंड आणि डेटा-समृद्ध अतिथी WiFi अनुभव प्रदान करताना जटिल नेटवर्क ऍक्सेस धोरणे व्यवस्थापित करणे हे एक महत्त्वपूर्ण आर्किटेक्चरल आव्हान आहे. कॉर्पोरेट उपकरणांसाठी नेटवर्क ऍक्सेस कंट्रोल (NAC) आणि IEEE 802.1X प्रमाणीकरणामध्ये ClearPass Policy Manager उत्कृष्ट असला तरी, स्थळ ऑपरेटरना Purple WiFi द्वारे प्रदान केलेल्या प्रगत Captive Portal, विश्लेषण आणि विपणन क्षमतांची वाढती आवश्यकता आहे.

हे मार्गदर्शक RADIUS प्रॉक्सी मॉडेल वापरून Purple WiFi सह Aruba ClearPass एकत्रित करण्यासाठी आर्किटेक्चर आणि उपयोजन धोरणाचा तपशील देते. अतिथी प्रमाणीकरण विनंत्या Purple च्या RADIUS-as-a-Service कडे प्रॉक्सी करण्यासाठी ClearPass कॉन्फिगर करून, संस्था केंद्रीकृत सुरक्षा धोरणे राखू शकतात, डायनॅमिक रोल-आधारित VLAN असाइनमेंट लागू करू शकतात आणि एकाच वेळी Purple च्या मजबूत अभ्यागत अंतर्दृष्टी प्लॅटफॉर्मचा लाभ घेऊ शकतात. हे एकत्रीकरण Retail , Hospitality , Healthcare , आणि Transport हबमधील मोठ्या प्रमाणावरील उपयोजनांसाठी महत्त्वपूर्ण आहे जेथे अनुपालन, सुरक्षा आणि ग्राहक प्रतिबद्धता तडजोडीशिवाय एकत्र असणे आवश्यक आहे. याचा परिणाम अशा उपयोजनात होतो जिथे ClearPass निर्णय घेते, Purple गुंतवून ठेवते आणि Aruba लागू करते.

तांत्रिक सखोल माहिती

आर्किटेक्चर विहंगावलोकन

हे एकत्रीकरण RFC 2865 (RADIUS) आणि RFC 5176 (डायनॅमिक ऑथोरायझेशन एक्स्टेंशन्स) द्वारे समर्थित मानक RADIUS प्रॉक्सी आर्किटेक्चरवर अवलंबून आहे. Aruba मोबिलिटी कंट्रोलर किंवा इन्स्टंट AP क्लस्टर सर्व SSID साठी त्याचा प्राथमिक RADIUS सर्व्हर म्हणून ClearPass वापरण्यासाठी कॉन्फिगर केले आहे. ClearPass ॲक्टिव्ह डिरेक्टरी किंवा अंतर्गत प्रमाणपत्र प्राधिकरणाविरुद्ध कॉर्पोरेट 802.1X प्रमाणीकरण स्थानिक पातळीवर हाताळते, परंतु अतिथी प्रमाणीकरण विनंत्या Purple च्या क्लाउड RADIUS सर्व्हरवर फॉरवर्ड करण्यासाठी RADIUS सर्व्हिस राउटिंग धोरणासह कॉन्फिगर केले आहे.

हे आर्किटेक्चर अतिथी अनुभव स्तर पूर्णपणे Purple कडे सोपवताना केंद्रीय धोरण निर्णय बिंदू म्हणून ClearPass मधील गुंतवणूक जतन करते. प्रत्येक प्रमाणीकरण इव्हेंट — कॉर्पोरेट किंवा अतिथी — ClearPass च्या ऍक्सेस ट्रॅकरमध्ये लॉग केला जातो, जो PCI DSS v4.0 आणि GDPR कलम 30 (प्रक्रिया क्रियाकलापांच्या नोंदी) अंतर्गत अनुपालन आवश्यकता पूर्ण करणारा युनिफाइड ऑडिट ट्रेल प्रदान करतो.

प्रमाणीकरण प्रवाह: टप्प्याटप्प्याने

सुरुवातीचे उपयोजन आणि त्यानंतरच्या समस्यानिवारण या दोन्हींसाठी घटनांचा अचूक क्रम समजून घेणे आवश्यक आहे. अतिथी उपकरणासाठी प्रवाह खालीलप्रमाणे आहे.

पायरी	घटक	कृती
1	अतिथी उपकरण	खुल्या अतिथी SSID शी जोडले जाते
2	Aruba कंट्रोलर	प्री-ऑथ IP नियुक्त करतो आणि उपकरणाला लॉगऑन भूमिकेत ठेवतो
3	अतिथी उपकरण	HTTP विनंती पाठवते (उदा., http://example.com )
4	Aruba कंट्रोलर	अडवतो आणि Purple पोर्टल URL वर HTTP 302 रीडायरेक्ट करतो
5	अतिथी उपकरण	वॉल्ड गार्डनद्वारे Purple Captive Portal लोड करते
6	अतिथी वापरकर्ता	प्रमाणित करतो (सोशल लॉगिन, फॉर्म किंवा OpenRoaming)
7	Purple प्लॅटफॉर्म	Aruba कंट्रोलरला RADIUS ऍक्सेस-रिक्वेस्ट पाठवतो
8	Aruba कंट्रोलर	ClearPass ला RADIUS विनंती फॉरवर्ड करतो
9	ClearPass	अतिथी सेवा नियमाशी जुळतो, Purple RADIUS ला प्रॉक्सी करतो
10	Purple RADIUS	ऍक्सेस-ॲक्सेप्ट परत करतो
11	ClearPass	Aruba VSA (User-Role) जोडतो, ॲक्सेप्ट फॉरवर्ड करतो
12	Aruba कंट्रोलर	उपकरणाला पोस्ट-ऑथ भूमिकेत हलवतो, अतिथी VLAN नियुक्त करतो

Captive Portal शोध यंत्रणेचे वर्तन — विशेषतः Apple चे Captive Network Assistant (CNA), Android ची कनेक्टिव्हिटी तपासणी आणि Microsoft NCSI — पोर्टल योग्यरित्या लोड होते की नाही यावर थेट परिणाम करते. या OS-स्तरीय वर्तनांच्या तपशीलवार माहितीसाठी, Apple CNA, Android Connectivity Check, Microsoft NCSI: How Captive Portal Detection Actually Works पहा.

डायनॅमिक VLAN असाइनमेंट आणि ClearPass रोल मॅपिंग

PCI DSS अनुपालन आणि मजबूत सुरक्षा आर्किटेक्चरसाठी नेटवर्क सेगमेंटेशन ही एक तडजोड न करण्यायोग्य आवश्यकता आहे. ClearPass त्याच्या रोल मॅपिंग आणि एन्फोर्समेंट प्रोफाइल फ्रेमवर्कद्वारे डायनॅमिक VLAN असाइनमेंट सक्षम करते.

जेव्हा ClearPass प्रमाणीकरण विनंतीवर प्रक्रिया करते, तेव्हा ते संदर्भात्मक गुणधर्मांचे मूल्यांकन करते — वापरकर्ता ओळख, उपकरणाचा प्रकार (DHCP फिंगरप्रिंटिंग किंवा HTTP User-Agent द्वारे प्रोफाइल केलेले), दिवसाची वेळ आणि कनेक्शन स्थान — आणि एक भूमिका (Role) नियुक्त करते. ही भूमिका नंतर एका एन्फोर्समेंट प्रोफाइलवर मॅप केली जाते जी Aruba कंट्रोलरला विशिष्ट RADIUS गुणधर्म परत करते, सर्वात महत्त्वाचे म्हणजे Aruba-User-Role व्हेंडर-स्पेसिफिक ॲट्रिब्युट (VSA, व्हेंडर ID 14823, ॲट्रिब्युट 1).

Aruba कंट्रोलर प्रत्येक User-Role ला एका VLAN आणि स्टेटफुल फायरवॉल धोरणांच्या संचाशी मॅप करतो. मोठ्या स्थळासाठी एक प्रातिनिधिक सेगमेंटेशन मॉडेल खाली दर्शविले आहे.

वापरकर्ता प्रकार	ClearPass भूमिका	VLAN	बँडविड्थ धोरण	फायरवॉल धोरण
कॉर्पोरेट कर्मचारी	ROLE_CORP	10	100 Mbps	पूर्ण अंतर्गत ऍक्सेस
सामान्य अतिथी	ROLE_GUEST	20	10 Mbps	फक्त इंटरनेट
IoT उपकरण	ROLE_IOT	30	5 Mbps	फक्त स्थानिक, इंटरनेट नाही
VIP / प्रीमियम अतिथी	ROLE_VIP	40	50 Mbps	इंटरनेट + निवडक सेवा
कंत्राटदार	ROLE_CONTRACTOR	50	20 Mbps	मर्यादित अंतर्गत ऍक्सेस

ClearPass मध्ये RADIUS प्रॉक्सी कॉन्फिगरेशन

ClearPass Policy Manager मधील RADIUS प्रॉक्सी कॉन्फिगरेशनसाठी तीन घटकांची आवश्यकता आहे: एक RADIUS प्रॉक्सी टार्गेट (Purple चे RADIUS सर्व्हर एंडपॉइंट्स परिभाषित करणे), एक सर्व्हिस राउटिंग पॉलिसी (कोणत्या विनंत्या प्रॉक्सी करायच्या हे परिभाषित करणे), आणि एक एन्फोर्समेंट प्रोफाइल (परतीच्या मार्गावर जोडण्यासाठी VSA परिभाषित करणे).

प्रॉक्सी टार्गेट Administration > External Servers > RADIUS Servers अंतर्गत कॉन्फिगर केले आहे. Purple चे RADIUS IP पत्ते (हार्डवेअर > RADIUS सेटिंग्ज अंतर्गत Purple पोर्टलवरून उपलब्ध), शेअर्ड सिक्रेट, आणि ऑथेंटिकेशन पोर्ट (UDP 1812) आणि अकाउंटिंग पोर्ट (UDP 1813) जोडा.

सेवा Configuration > Services अंतर्गत कॉन्फिगर केली आहे. RADIUS प्रॉक्सी म्हणून सेट केलेल्या प्रकारासह नवीन सेवा तयार करा. सर्व्हिस रूल्स अंतर्गत, अतिथी ट्रॅफिक ओळखण्यासाठी Called-Station-ID (SSID नाव) किंवा NAS-Identifier शी जुळणारी अट जोडा. ऑथेंटिकेशन अंतर्गत, वर तयार केलेले RADIUS प्रॉक्सी टार्गेट निवडा.

सर्वात महत्त्वाचे म्हणजे, RADIUS अकाउंटिंग देखील Purple ला प्रॉक्सी केले आहे याची खात्री करा. Purple त्याच्या WiFi Analytics प्लॅटफॉर्ममध्ये सत्र कालावधी, डेटा वापर आणि रिअल-टाइम उपस्थिती डेटा भरण्यासाठी अकाउंटिंग डेटा (Acct-Start, Acct-Interim-Update, Acct-Stop) वापरते. अकाउंटिंग वगळणे ही एक सामान्य उपयोजन त्रुटी आहे ज्यामुळे विश्लेषण डॅशबोर्ड अपूर्ण राहतात.

अंमलबजावणी मार्गदर्शक

टप्पा 1: Aruba कंट्रोलर कॉन्फिगरेशन

पायरी 1 — ClearPass ला RADIUS सर्व्हर म्हणून परिभाषित करा. Configuration > Security > Authentication Servers वर जा. ClearPass चे प्राथमिक आणि दुय्यम IP पत्ते जोडा. शेअर्ड सिक्रेट, ऑथेंटिकेशन पोर्ट (1812) आणि अकाउंटिंग पोर्ट (1813) सेट करा. Purple च्या क्लाउड इन्फ्रास्ट्रक्चरवरील प्रॉक्सी हॉप लक्षात घेण्यासाठी टाइमआउट 10 सेकंद आणि रिट्राय 3 वर कॉन्फिगर करा.

पायरी 2 — अतिथी SSID कॉन्फिगर करा. अतिथी ऍक्सेससाठी नवीन SSID प्रोफाइल तयार करा. सुरक्षा मोड Open किंवा WPA3-SAE (GDPR अनुपालनासाठी शिफारस केलेले) वर सेट करा. AAA प्रोफाइल अंतर्गत, प्रारंभिक भूमिका पूर्व-परिभाषित लॉगऑन भूमिकेवर सेट करा ज्यामध्ये फक्त वॉल्ड गार्डन ऍक्सेस आहे.

पायरी 3 — Captive Portal प्रोफाइल कॉन्फिगर करा. Purple च्या स्प्लॅश पेज URL कडे निर्देशित करणारे Captive Portal प्रोफाइल तयार करा. ही URL Locations > [Your Venue] > Splash Page URL अंतर्गत Purple पोर्टलवरून प्राप्त केली जाते. प्रमाणीकरणानंतर मूळ URL वर रीडायरेक्ट करण्याचा पर्याय सक्षम करा.

पायरी 4 — वॉल्ड गार्डन कॉन्फिगर करा. ही सर्वात ऑपरेशनलदृष्ट्या संवेदनशील पायरी आहे. वॉल्ड गार्डनमध्ये Purple चे पोर्टल डोमेन, CDN एंडपॉइंट्स आणि सर्व सोशल लॉगिन प्रदाता डोमेन समाविष्ट असणे आवश्यक आहे. किमान, खालील समाविष्ट करा:

*.purple.ai आणि *.purple-portal.com
*.facebook.com, *.fbcdn.net (Facebook लॉगिनसाठी)
*.google.com, *.googleapis.com (Google लॉगिनसाठी)
Apple चे CNA चेक एंडपॉइंट: captive.apple.com
Microsoft NCSI: www.msftconnecttest.com

पायरी 5 — पोस्ट-ऑथ भूमिका परिभाषित करा. ClearPass प्रमाणीकरणानंतर नियुक्त करेल अशा भूमिका तयार करा (उदा., guest-authenticated). प्रत्येक भूमिका एका VLAN आणि फक्त-इंटरनेट ऍक्सेसला परवानगी देणाऱ्या फायरवॉल धोरणाशी मॅप करते.

टप्पा 2: ClearPass पॉलिसी मॅनेजर कॉन्फिगरेशन

पायरी 1 — Aruba कंट्रोलर्स नेटवर्क डिव्हाइसेस म्हणून जोडा. Configuration > Network > Devices अंतर्गत, प्रत्येक Aruba कंट्रोलर त्याच्या मॅनेजमेंट IP, शेअर्ड सिक्रेट आणि व्हेंडर (Aruba Networks) सह जोडा.

पायरी 2 — Purple ला RADIUS प्रॉक्सी टार्गेट म्हणून जोडा. Administration > External Servers > RADIUS Servers अंतर्गत, Purple पोर्टलमध्ये प्रदान केलेल्या शेअर्ड सिक्रेटसह Purple चे RADIUS एंडपॉइंट्स जोडा.

पायरी 3 — अतिथी प्रमाणीकरण सेवा तयार करा. Configuration > Services अंतर्गत, नवीन सेवा तयार करा. सेवा प्रकार RADIUS प्रॉक्सी वर सेट करा. अतिथी SSID शी जुळण्यासाठी सर्व्हिस रूल्स कॉन्फिगर करा (उदा., Called-Station-SSID EQUALS GuestWiFi). ऑथेंटिकेशन अंतर्गत, Purple RADIUS प्रॉक्सी टार्गेट निवडा.

पायरी 4 — एन्फोर्समेंट प्रोफाइल तयार करा. Configuration > Enforcement > Profiles अंतर्गत, RADIUS एन्फोर्समेंट प्रोफाइल तयार करा. guest-authenticated मूल्यासह Aruba-User-Role गुणधर्म जोडा. हे Aruba कंट्रोलरला वापरकर्त्याला पोस्ट-ऑथ अतिथी भूमिकेत हलविण्याची सूचना देते.

पायरी 5 — अकाउंटिंग प्रॉक्सी कॉन्फिगर करा. सेवा Purple च्या अकाउंटिंग सर्व्हरवर (UDP 1813) RADIUS अकाउंटिंग प्रॉक्सी करण्यासाठी देखील कॉन्फिगर केली असल्याची खात्री करा.

टप्पा 3: Purple प्लॅटफॉर्म कॉन्फिगरेशन

पायरी 1 — हार्डवेअरची नोंदणी करा. Purple पोर्टलमध्ये, Locations > Hardware वर जा. Aruba कंट्रोलरचा सार्वजनिक IP पत्ता किंवा NAS-Identifier जोडा. हे Purple ला योग्य स्थळाशी प्रमाणीकरण विनंत्या जोडण्याची परवानगी देते.

पायरी 2 — स्प्लॅश पेज कॉन्फिगर करा. Purple च्या पोर्टल बिल्डरचा वापर करून Captive Portal अनुभव डिझाइन करा. GDPR च्या अनुपालनामध्ये प्रमाणीकरण पद्धती, अटी व शर्ती आणि विपणन ऑप्ट-इन फील्ड कॉन्फिगर करा.

पायरी 3 — RADIUS क्रेडेन्शियल्स मिळवा. Locations > [Venue] > RADIUS Settings अंतर्गत, RADIUS सर्व्हर IP पत्ते, शेअर्ड सिक्रेट आणि पोर्ट्स मिळवा. ClearPass प्रॉक्सी टार्गेट कॉन्फिगरेशनमध्ये ही मूल्ये वापरा.

सर्वोत्तम पद्धती

वॉल्ड गार्डन देखभाल. वॉल्ड गार्डनला एक जिवंत कॉन्फिगरेशन माना. सोशल लॉगिन प्रदाता त्यांचे CDN डोमेन आणि IP श्रेणी नियमितपणे अपडेट करतात. त्रैमासिक पुनरावलोकन प्रक्रिया स्थापित करा आणि प्रमुख प्रदात्यांकडून बदल सूचनांची सदस्यता घ्या.

RADIUS रिडंडंसी. फेलओव्हरसाठी ClearPass मध्ये Purple चे दोन्ही RADIUS सर्व्हर IP कॉन्फिगर करा. त्याचप्रमाणे, प्रमाणीकरण मार्गातील सिंगल पॉईंट ऑफ फेल्युअर दूर करण्यासाठी सबस्क्रायबर/पब्लिशर क्लस्टरमध्ये ClearPass तैनात करा.

अकाउंटिंग इंटिग्रिटी. प्रत्येक सत्रासाठी Purple द्वारे RADIUS अकाउंटिंग स्टॉप रेकॉर्ड प्राप्त होत असल्याची पडताळणी करा. अनाथ सत्रे (स्टॉपशिवाय स्टार्ट) नेटवर्क समस्या दर्शवतात आणि विश्लेषण डेटा तिरपा करतील.

802.1X साठी प्रमाणपत्र व्यवस्थापन. EAP-TLS किंवा PEAP वापरणाऱ्या कॉर्पोरेट SSID साठी, सर्व्हर प्रमाणपत्रे कालबाह्य होण्यापूर्वीच नूतनीकरण केली आहेत याची खात्री करा. कालबाह्य झालेले प्रमाणपत्र सर्व कॉर्पोरेट उपकरणांना एकाच वेळी लॉक आउट करेल — ही एक उच्च-प्रभावी घटना आहे.

IoT उपकरण प्रोफाइलिंग. OUI आणि DHCP फिंगरप्रिंटद्वारे IoT उपकरणांचे स्वयंचलितपणे वर्गीकरण करण्यासाठी ClearPass Device Insight किंवा अंगभूत प्रोफाइलिंग इंजिनचा लाभ घ्या. हे मॅन्युअल MAC पत्ता व्यवस्थापनाशिवाय स्वयंचलित VLAN असाइनमेंट सक्षम करते.

GDPR अनुपालन. अतिथी प्रमाणीकरणादरम्यान Purple वैयक्तिक डेटा (ईमेल, नाव, सोशल प्रोफाइल) कॅप्चर करते. तुमच्या Purple स्प्लॅश पेजमध्ये अनुपालन करणारी गोपनीयता सूचना समाविष्ट असल्याची आणि Purple पोर्टलवरील डेटा धारणा धोरणे तुमच्या संस्थेच्या GDPR दायित्वांशी संरेखित असल्याची खात्री करा.

समस्यानिवारण आणि जोखीम कमी करणे

Captive Portal प्रदर्शित होत नाही

लक्षण: क्लायंट अतिथी SSID शी कनेक्ट होतो परंतु कोणतेही पोर्टल दिसत नाही; उपकरण "Connected, no internet" दर्शवते.

निदान: पोर्टल URL साठी DNS क्वेरी रिझॉल्व्ह होत आहेत आणि HTTP ट्रॅफिक अडवले जात आहे याची पडताळणी करण्यासाठी कंट्रोलर अपलिंकवर पॅकेट कॅप्चर वापरा. CNA/NCSI चेक एंडपॉइंट्स वॉल्ड गार्डनमध्ये आहेत का ते तपासा.

उपाय: वॉल्ड गार्डनमध्ये गहाळ डोमेन जोडा. Captive Portal प्रोफाइल अतिथी SSID AAA प्रोफाइलशी योग्यरित्या संबंधित असल्याची पडताळणी करा.

सायलेंट ऑथेंटिकेशन फेल्युअर

लक्षण: वापरकर्ता पोर्टल फॉर्म पूर्ण करतो, परंतु नेटवर्क ऍक्सेस नाकारला जातो. ClearPass ऍक्सेस ट्रॅकर ऍक्सेस-रिजेक्ट दर्शवतो.

निदान: ऍक्सेस ट्रॅकर एंट्री उघडा आणि प्रमाणीकरण अपयशाचे कारण तपासा. RADIUS शेअर्ड सिक्रेट जुळत नसणे, Purple RADIUS सर्व्हर अनरिचेबल असणे किंवा चुकीच्या सेवेशी जुळणारा चुकीचा सर्व्हिस रूल ही सामान्य कारणे आहेत.

उपाय: Aruba कंट्रोलर-टू-ClearPass आणि ClearPass-टू-Purple या दोन्ही टप्प्यांवर शेअर्ड सिक्रेट्सची पडताळणी करा. radtest वापरून ClearPass सर्व्हरवरून Purple RADIUS रिचेबिलिटीची चाचणी घ्या.

चुकीचे VLAN असाइनमेंट

लक्षण: अतिथी यशस्वीरित्या प्रमाणित होतो परंतु कॉर्पोरेट सबनेट (VLAN 10) मध्ये IP पत्ता प्राप्त करतो.

उपाय: ClearPass एन्फोर्समेंट प्रोफाइलमधील Aruba-User-Role मूल्य Aruba कंट्रोलरवर परिभाषित केलेल्या भूमिकेच्या नावाशी तंतोतंत जुळत असल्याची (केससह) पडताळणी करा. VSA पाठवला जात असल्याची पुष्टी करण्यासाठी ClearPass ऍक्सेस ट्रॅकर आउटपुट ॲट्रिब्युट्स तपासा.

RADIUS टाइमआउट त्रुटी

लक्षण: प्रमाणीकरण अधूनमधून अयशस्वी होते, विशेषतः लोड असताना. ऍक्सेस ट्रॅकर टाइमआउट त्रुटी दर्शवतो.

उपाय: Aruba कंट्रोलरवरील RADIUS सर्व्हर टाइमआउट 10 सेकंदांपर्यंत वाढवा. UDP पोर्ट 1812 आणि 1813 उघडे आहेत आणि ClearPass आणि Purple च्या क्लाउड इन्फ्रास्ट्रक्चरमधील फायरवॉलवर रेट लिमिटिंगच्या अधीन नाहीत याची पडताळणी करा.

ROI आणि व्यावसायिक प्रभाव

हे एकात्मिक आर्किटेक्चर तैनात केल्याने IT, सुरक्षा आणि व्यावसायिक कार्यांमध्ये मोजता येण्याजोगे परतावे मिळतात. सुरक्षा आणि अनुपालनाच्या दृष्टीकोनातून, ClearPass मधील सर्व प्रमाणीकरण इव्हेंट्सचे केंद्रीकरण केल्याने एक युनिफाइड ऑडिट ट्रेल मिळतो जो PCI DSS आणि GDPR अनुपालन अहवाल सुलभ करतो. डायनॅमिक VLAN सेगमेंटेशन कॉर्पोरेट इन्फ्रास्ट्रक्चरमधून अतिथी ट्रॅफिक जाण्याचा धोका दूर करते, ज्यामुळे हल्ल्याचा पृष्ठभाग थेट कमी होतो.

व्यावसायिक दृष्टीकोनातून, Purple चा Guest WiFi प्लॅटफॉर्म अतिथी नेटवर्कला कॉस्ट सेंटरमधून फर्स्ट-पार्टी डेटा ॲसेटमध्ये रूपांतरित करतो. प्रत्येक प्रमाणित अतिथी सत्र ऑप्ट-इन मार्केटिंग डेटा व्युत्पन्न करते — ईमेल पत्ते, भेटीची वारंवारता, ड्वेल टाइम आणि उपकरणाचा प्रकार — जो थेट CRM आणि मार्केटिंग ऑटोमेशन प्लॅटफॉर्ममध्ये फीड होतो. विद्यमान Aruba इन्फ्रास्ट्रक्चरच्या बरोबरीने Purple तैनात करणारी स्थळे सातत्याने ईमेल सूची वाढ, पुनरावृत्ती भेट दर आणि मोहीम रूपांतरणामध्ये मोजता येण्याजोग्या सुधारणा नोंदवतात.

हे एकत्रीकरण विद्यमान ClearPass परवाने किंवा Aruba हार्डवेअर बदलण्याची आवश्यकता देखील दूर करते, ज्यामुळे ते विद्यमान इन्फ्रास्ट्रक्चर गुंतवणुकीत कमी-जोखीम, उच्च-परतावा देणारी भर बनते. एकाधिक साइट्स व्यवस्थापित करणाऱ्या संस्थांसाठी — रिटेल चेन, हॉटेल ग्रुप किंवा युनिव्हर्सिटी कॅम्पस — Purple चे केंद्रीकृत व्यवस्थापन पोर्टल क्रॉस-साइट विश्लेषणे प्रदान करते जे केवळ ClearPass देऊ शकत नाही.

ज्या वातावरणात भौतिक अभ्यागतांचे वर्तन समजून घेणे नेटवर्क सुरक्षेइतकेच महत्त्वाचे आहे — जसे की मोठे रिटेल फ्लोअर्स किंवा ट्रान्सपोर्ट हब — Purple चे विश्लेषण कनेक्टिव्हिटी मेट्रिक्सच्या बरोबरीने अवकाशीय बुद्धिमत्ता प्रदान करण्यासाठी Indoor Positioning System डेटासह नैसर्गिकरित्या एकत्रित होते.

महत्वाच्या व्याख्या

RADIUS प्रॉक्सी

एक कॉन्फिगरेशन जेथे RADIUS सर्व्हर (ClearPass) SSID नाव किंवा NAS-Identifier सारख्या विशिष्ट जुळणाऱ्या निकषांवर आधारित प्रमाणीकरण विनंत्या दुसऱ्या RADIUS सर्व्हरवर (Purple) फॉरवर्ड करतो.

जेव्हा एखाद्या संस्थेला अतिथी प्रमाणीकरणासाठी तृतीय-पक्ष क्लाउड सेवेचा वापर करताना अंतर्गत एकच NAC सोल्यूशन राखायचे असते तेव्हा वापरले जाते. प्रॉक्सी प्रमाणीकरण निर्णय Purple कडे सोपवताना ClearPass मध्ये केंद्रीय ऑडिट लॉग जतन करते.

चेंज ऑफ ऑथोरायझेशन (CoA)

RFC 5176 मध्ये परिभाषित केलेला RADIUS विस्तार जो RADIUS सर्व्हरला क्लायंटला डिस्कनेक्ट न करता सक्रिय क्लायंट कनेक्शनचे सत्र अधिकृतता गुणधर्म डायनॅमिकरित्या सुधारित करण्यास अनुमती देतो.

Captive Portal उपयोजनांसाठी महत्त्वपूर्ण. वापरकर्त्याने पोर्टल फॉर्म पूर्ण केल्यावर CoA Purple ला Aruba कंट्रोलरला वापरकर्त्याला पूर्व-प्रमाणीकरण लॉगऑन भूमिकेतून पोस्ट-प्रमाणीकरण अतिथी भूमिकेत हलविण्याचे संकेत देण्यास अनुमती देते.

वॉल्ड गार्डन

Aruba कंट्रोलरवरील पूर्व-प्रमाणीकरण ऍक्सेस कंट्रोल लिस्ट जी अप्रमाणित उपकरणांना Captive Portal कार्य करण्यासाठी आवश्यक असलेल्या विशिष्ट IP पत्ते आणि डोमेनपर्यंत पोहोचण्याची परवानगी देते.

जर उपकरण पोर्टल URL, सोशल लॉगिन प्रदाता एंडपॉइंट्स किंवा OS-स्तरीय Captive Portal शोध URL (Apple CNA, Microsoft NCSI) पर्यंत पोहोचू शकत नसेल, तर पोर्टल लोड होणार नाही. Captive Portal उपयोजन अपयशाचा हा सर्वात सामान्य स्रोत आहे.

व्हेंडर-स्पेसिफिक ॲट्रिब्युट (VSA)

मालकीच्या सूचनांसह मानक RADIUS प्रोटोकॉल वाढविण्यासाठी नेटवर्क उपकरण विक्रेत्यांद्वारे (Aruba साठी व्हेंडर ID 14823) परिभाषित केलेले कस्टम RADIUS गुणधर्म.

Aruba-User-Role VSA (ॲट्रिब्युट 1) ही प्राथमिक यंत्रणा आहे ज्याद्वारे ClearPass Aruba कंट्रोलरला प्रमाणित वापरकर्त्याला कोणती भूमिका नियुक्त करायची याची सूचना देते. मूल्य कंट्रोलरवर परिभाषित केलेल्या भूमिकेशी तंतोतंत जुळले पाहिजे.

डायनॅमिक VLAN असाइनमेंट

वापरकर्ता किंवा उपकरणाला ते कनेक्ट केलेल्या भौतिक पोर्ट किंवा SSID ऐवजी त्यांच्या प्रमाणित ओळखीवर किंवा नियुक्त केलेल्या भूमिकेवर आधारित विशिष्ट VLAN मध्ये ठेवण्याची प्रक्रिया.

स्थळ ऑपरेटरना एकच अतिथी SSID प्रसारित करण्यास सक्षम करते आणि सामान्य अतिथी, VIP अतिथी, IoT उपकरणे आणि कंत्राटदारांना वेगळ्या, वेगळ्या नेटवर्क सेगमेंटवर सुरक्षितपणे विभागते — PCI DSS अनुपालनासाठी एक आवश्यकता.

एन्फोर्समेंट प्रोफाइल

एक ClearPass कॉन्फिगरेशन ऑब्जेक्ट जे नेटवर्क उपकरणाला परत करण्यासाठी विशिष्ट RADIUS गुणधर्म आणि मूल्ये परिभाषित करते जेव्हा एखादे उपकरण प्रमाणीकरण सेवेशी यशस्वीरित्या जुळते.

येथे 'जर अतिथी असेल, तर अतिथी भूमिका नियुक्त करा' हे व्यावसायिक तर्क Aruba कंट्रोलरला पाठवलेल्या विशिष्ट RADIUS VSA मध्ये अनुवादित केले जाते. चुकीचे कॉन्फिगर केलेले एन्फोर्समेंट प्रोफाइल हे चुकीच्या VLAN असाइनमेंटचे एक सामान्य कारण आहे.

कॅप्टिव्ह नेटवर्क असिस्टंट (CNA)

iOS, macOS, Android आणि Windows मध्ये अंगभूत मिनी-ब्राउझर जो ज्ञात एंडपॉइंट्सवर HTTP विनंत्या करून स्वयंचलितपणे Captive Portal शोधतो आणि वापरकर्त्याला प्रमाणित करण्यास प्रवृत्त करतो.

विशिष्ट उपकरण प्रकारांवर पोर्टल प्रदर्शन समस्यांचे निवारण करण्यासाठी CNA वर्तन समजून घेणे आवश्यक आहे. CNA एंडपॉइंट्स (captive.apple.com, www.msftconnecttest.com) वॉल्ड गार्डनमध्ये असणे आवश्यक आहे.

ऍक्सेस ट्रॅकर

ClearPass Policy Manager मधील रिअल-टाइम डायग्नोस्टिक टूल जे विनंती गुणधर्म, जुळलेली सेवा, लागू केलेले एन्फोर्समेंट प्रोफाइल आणि परिणामासह प्रत्येक RADIUS प्रमाणीकरण आणि अकाउंटिंग इव्हेंट लॉग करते.

प्रमाणीकरण अपयश किंवा चुकीच्या भूमिका असाइनमेंटचे निवारण करताना सल्लामसलत करण्यासाठी पहिले निदान साधन. हे ClearPass ला काय प्राप्त झाले, त्याने कोणता निर्णय घेतला आणि त्याने नेटवर्क उपकरणाला काय परत केले याची संपूर्ण नोंद प्रदान करते.

RADIUS-as-a-Service (RaaS)

एक क्लाउड-वितरित RADIUS प्रमाणीकरण सेवा जिथे RADIUS सर्व्हर इन्फ्रास्ट्रक्चर ऑन-प्रिमाइसेस ऐवजी तृतीय-पक्ष प्रदात्याद्वारे व्यवस्थापित आणि होस्ट केले जाते.

Purple चे RADIUS-as-a-Service स्थळांना अतिथी प्रमाणीकरणासाठी स्वतःचे RADIUS इन्फ्रास्ट्रक्चर तैनात आणि व्यवस्थापित करण्याची आवश्यकता दूर करते, तसेच या मार्गदर्शकामध्ये वर्णन केलेल्या प्रॉक्सी आर्किटेक्चरद्वारे ClearPass सारख्या विद्यमान ऑन-प्रिमाइसेस NAC सोल्यूशन्ससह एकत्रित होते.

सोडवलेली उदाहरणे

Aruba कंट्रोलर्स आणि मध्यवर्तीरित्या तैनात ClearPass असलेल्या 500-खोल्यांच्या हॉटेल ग्रुपला कर्मचाऱ्यांसाठी सुरक्षित 802.1X WiFi, अतिथींसाठी ब्रँडेड Captive Portal आणि IoT उपकरणांसाठी (स्मार्ट टीव्ही, थर्मोस्टॅट्स, डोअर लॉक) वेगळी कनेक्टिव्हिटी प्रदान करणे आवश्यक आहे. त्यांनी प्रमाणीकरण प्रवाहाचे आर्किटेक्चर कसे करावे?

तीन SSID तैनात करा: Hotel_Corp (802.1X, WPA2-Enterprise), Hotel_Guest (Captive Portal रीडायरेक्टसह खुला SSID), आणि Hotel_IoT (MAC-आधारित प्रमाणीकरणासह खुला SSID). तिन्ही SSID RADIUS सर्व्हर म्हणून ClearPass कडे निर्देशित करतात. ClearPass मध्ये, तीन सेवा तयार करा: सेवा 1 Hotel_Corp शी जुळते आणि PEAP-MSCHAPv2 द्वारे ॲक्टिव्ह डिरेक्टरीविरुद्ध प्रमाणित करते, ROLE_CORP (VLAN 10, पूर्ण अंतर्गत ऍक्सेस) परत करते. सेवा 2 Hotel_Guest शी जुळते आणि Purple च्या RADIUS सर्व्हरवर विनंत्या प्रॉक्सी करण्यासाठी RADIUS राउटिंग पॉलिसी वापरते; एन्फोर्समेंट प्रोफाइल Aruba-User-Role = guest-authenticated (VLAN 20, फक्त इंटरनेट, 10 Mbps) परत करते. सेवा 3 Hotel_IoT शी जुळते आणि OUI द्वारे उपकरणांचे वर्गीकरण करण्यासाठी ClearPass डिव्हाइस प्रोफाइलिंग वापरते; एन्फोर्समेंट प्रोफाइल ROLE_IOT (VLAN 30, फक्त स्थानिक, इंटरनेट नाही) परत करते. Aruba कंट्रोलरवरील वॉल्ड गार्डनमध्ये Purple चे पोर्टल डोमेन, Facebook, Google आणि Apple चे CNA एंडपॉइंट समाविष्ट आहेत.

परीक्षकाचे भाष्य: हे आर्किटेक्चर ClearPass ला सिंगल पॉलिसी डिसिजन पॉईंट म्हणून राखून तीन प्रमाणीकरण मार्ग योग्यरित्या वेगळे करते. मुख्य डिझाइन निर्णय म्हणजे Aruba कंट्रोलरला थेट Purple शी बोलण्यासाठी कॉन्फिगर करण्याऐवजी अतिथी ट्रॅफिकसाठी RADIUS प्रॉक्सी वापरणे — हे ClearPass मध्ये युनिफाइड ऑडिट ट्रेल जतन करते आणि संस्थेला Aruba कॉन्फिगरेशन न बदलता भविष्यात अतिथी सत्रांवर अतिरिक्त ClearPass धोरणे (उदा., वेळेचे निर्बंध) लागू करण्यास अनुमती देते.

एक रिटेल चेन 120 स्टोअर्समध्ये Purple रोल आउट करत आहे, जे सर्व Aruba Instant AP चालवत आहेत. अतिथी प्रमाणीकरण लेटन्सी जास्त आहे आणि पोर्टल ड्रॉप-ऑफ होत आहेत. प्राथमिक तपासणी दर्शवते की RADIUS टाइमआउट डीफॉल्ट 3 सेकंदांवर सेट केला आहे.

सर्व Aruba Instant APs वरील RADIUS सर्व्हर टाइमआउट 10 सेकंदांपर्यंत वाढवा आणि 3 रिट्राय कॉन्फिगर करा. फेलओव्हर प्रदान करण्यासाठी Instant AP कॉन्फिगरेशनमध्ये प्राथमिक आणि दुय्यम सर्व्हर म्हणून Purple चे दोन्ही RADIUS सर्व्हर IP तैनात करा. सर्व सोशल लॉगिन प्रदाता डोमेन समाविष्ट आहेत याची खात्री करण्यासाठी वॉल्ड गार्डन कॉन्फिगरेशनचे पुनरावलोकन करा, कारण अपूर्ण वॉल्ड गार्डन्समुळे पोर्टल पृष्ठ हळू किंवा अंशतः लोड होते, ज्यामुळे लेटन्सी वाढते. Purple ला सत्र डेटा प्राप्त होईल याची खात्री करण्यासाठी Instant APs वर RADIUS अकाउंटिंग सक्षम करा. शेवटी, प्रमाणीकरण फॉर्म प्रदर्शित होण्यापूर्वी लोड होणाऱ्या बाह्य संसाधन कॉल्सची (फॉन्ट, प्रतिमा) संख्या कमी करण्यासाठी Purple पोर्टल डिझाइनचे पुनरावलोकन करा.

परीक्षकाचे भाष्य: 3-सेकंद डीफॉल्ट टाइमआउट हा प्रॉक्सी आर्किटेक्चरमधील अधूनमधून येणाऱ्या अपयशांचा एक सामान्य स्रोत आहे. विनंती AP कडून Purple च्या क्लाउडवर आणि परत प्रवास करते, आणि गर्दीच्या किंवा उच्च-लेटन्सी WAN लिंकवर हे सहजपणे 3 सेकंदांपेक्षा जास्त होऊ शकते. टाइमआउट वाढवणे हा तात्काळ उपाय आहे, परंतु मूळ कारणाच्या तपासणीमध्ये ClearPass-टू-Purple नेटवर्क मार्ग इष्टतम आहे की नाही आणि Purple चे RADIUS सर्व्हर ClearPass उपयोजनाच्या भौगोलिकदृष्ट्या जवळ आहेत की नाही हे देखील तपासले पाहिजे.

सराव प्रश्न

Q1. तुमच्या उपयोजनासाठी अतिथींनी Facebook लॉगिनद्वारे प्रमाणीकरण करणे आवश्यक आहे. Purple पोर्टल लोड होते, परंतु जेव्हा वापरकर्ते Facebook बटणावर टॅप करतात, तेव्हा पृष्ठ टाइम आउट होते आणि त्रुटी परत करते. कॉर्पोरेट 802.1X प्रमाणीकरण योग्यरित्या कार्य करत आहे. याचे सर्वात संभाव्य कारण काय आहे आणि तुम्ही त्याचे निराकरण कसे कराल?

टीप: उपकरणाने प्रमाणीकरण पूर्ण करण्यापूर्वी त्याला कशात प्रवेश करण्याची परवानगी आहे याचा विचार करा. पोर्टल पृष्ठ लोड झाले, त्यामुळे पोर्टल डोमेन वॉल्ड गार्डनमध्ये आहे — परंतु पोर्टलला कॉल करण्यासाठी आवश्यक असलेल्या संसाधनांचे काय?

नमुना उत्तर पहा

Aruba कंट्रोलरवरील वॉल्ड गार्डन कॉन्फिगरेशनमध्ये आवश्यक Facebook प्रमाणीकरण डोमेन आणि CDN एंडपॉइंट्स (*.facebook.com, *.fbcdn.net, *.facebook.net) गहाळ आहेत. Facebook च्या OAuth सर्व्हरवरील पूर्व-प्रमाणीकरण ट्रॅफिक कंट्रोलरच्या डीफॉल्ट-डिनाय धोरणाद्वारे अवरोधित केले जात आहे. उपाय: वॉल्ड गार्डनमध्ये गहाळ Facebook डोमेन जोडा. Google लॉगिन देखील ऑफर केले असल्यास Google चे डोमेन समाविष्ट असल्याची पडताळणी करा. कोणतेही अतिरिक्त अवरोधित डोमेन ओळखण्यासाठी चाचणी उपकरणावरून ब्राउझर डेव्हलपर टूल्स नेटवर्क ट्रेस वापरा.

Q2. तुम्हाला कॉर्पोरेट कर्मचारी (802.1X) आणि अतिथी (Purple द्वारे Captive Portal) या दोन्हींसाठी एकच SSID ('VenueWiFi') वापरायचा आहे. दोन प्रमाणीकरण प्रकार योग्यरित्या वेगळे करण्यासाठी आणि राउट करण्यासाठी तुम्ही ClearPass कसे कॉन्फिगर कराल?

टीप: ClearPass सेवा प्राधान्यक्रमाने जुळवल्या जातात. RADIUS प्रोटोकॉल स्तरावर 802.1X आणि MAC-Auth विनंत्या कशा भिन्न आहेत आणि सर्व्हिस रूल्स या फरकाचा कसा फायदा घेऊ शकतात याचा विचार करा.

नमुना उत्तर पहा

दोन ClearPass सेवा तयार करा, दोन्ही 'VenueWiFi' SSID शी जुळणाऱ्या. सेवा 1 (उच्च प्राधान्य) 802.1X विनंत्या ओळखून, RADIUS गुणधर्म 'Service-Type EQUALS Framed-User' किंवा EAP गुणधर्मांच्या उपस्थितीशी जुळणारा सर्व्हिस रूल वापरते. हे ॲक्टिव्ह डिरेक्टरीविरुद्ध प्रमाणित करते आणि ROLE_CORP परत करते. सेवा 2 (कमी प्राधान्य) MAC-Auth विनंत्यांशी जुळते (Service-Type EQUALS Call-Check किंवा Authenticate-Only). हे Purple ला विनंती प्रॉक्सी करण्यासाठी RADIUS राउटिंग पॉलिसी वापरते. सेवा 2 साठी एन्फोर्समेंट प्रोफाइल पूर्व-ऑथ लॉगऑन भूमिका परत करते, ज्यामुळे Captive Portal ट्रिगर होते. जेव्हा Purple पोस्ट-प्रमाणीकरण RADIUS विनंती पाठवते, तेव्हा ती सेवा 2 शी जुळते आणि अतिथी-प्रमाणित भूमिका परत करते.

Q3. अतिथी प्रमाणीकरण यशस्वी झाले आहे — Purple डॅशबोर्ड वापरकर्त्याला सक्रिय म्हणून दर्शवतो आणि ClearPass ऍक्सेस ट्रॅकर ऍक्सेस-ॲक्सेप्ट दर्शवतो. तथापि, वापरकर्ता इंटरनेटवर प्रवेश करू शकत नाही आणि Aruba कंट्रोलर दर्शवतो की वापरकर्ता अद्याप 'लॉगऑन' भूमिकेत आहे. दोन सर्वात संभाव्य कारणे कोणती आहेत?

टीप: प्रमाणीकरण यशस्वी झाले आणि ClearPass ने ॲक्सेप्ट पाठवले. त्यामुळे समस्या ClearPass ने परत पाठवलेल्या गोष्टीत किंवा Aruba कंट्रोलरने त्याचा अर्थ कसा लावला यात आहे.

नमुना उत्तर पहा

कारण 1: ClearPass एन्फोर्समेंट प्रोफाइल Aruba-User-Role VSA परत करण्यासाठी कॉन्फिगर केलेले नाही, किंवा रिक्त मूल्य परत करत आहे. एन्फोर्समेंट प्रोफाइल तपासा आणि VSA स्पष्टपणे सेट केल्याची पडताळणी करा. कारण 2: ClearPass द्वारे परत केलेले Aruba-User-Role मूल्य Aruba कंट्रोलरवर परिभाषित केलेल्या भूमिकेशी तंतोतंत जुळत नाही (कॅपिटलायझेशनसह). उदाहरणार्थ, ClearPass 'guest-authenticated' परत करते परंतु कंट्रोलरवर 'Guest-Authenticated' परिभाषित केले आहे. उपाय: ClearPass ऍक्सेस ट्रॅकर एंट्री उघडा, आउटपुट ॲट्रिब्युट्स विभाग विस्तृत करा आणि Aruba-User-Role मूल्याची पडताळणी करा. नंतर Configuration > Roles अंतर्गत Aruba कंट्रोलरवर परिभाषित केलेल्या भूमिकेच्या नावांशी या मूल्याचा संदर्भ घ्या.

Q4. एका स्टेडियम स्थळाला टायर्ड अतिथी WiFi ऑफर करायचे आहे: 5 Mbps आणि अनिवार्य पोर्टल प्रमाणीकरणासह एक विनामूल्य टियर, आणि पूर्व-नोंदणी केलेल्या तिकीट धारकांसाठी 50 Mbps सह प्रीमियम टियर. दोन्ही टियर समान SSID वापरतात. तुम्ही ClearPass आणि Purple वापरून याचे आर्किटेक्चर कसे कराल?

टीप: ClearPass प्रमाणीकरणानंतर दोन वापरकर्ता प्रकारांमध्ये कसा फरक करू शकतो आणि हा फरक सक्षम करण्यासाठी Purple ClearPass ला ओळख माहिती कशी देऊ शकते याचा विचार करा.

नमुना उत्तर पहा

वापरकर्ता नोंदणीकृत तिकीट धारक आहे की नाही हे दर्शविणारा वापरकर्ता गुणधर्म (उदा., कस्टम RADIUS गुणधर्म किंवा क्लास गुणधर्म) पास करण्यासाठी Purple कॉन्फिगर करा. ClearPass मध्ये, एक रोल मॅपिंग पॉलिसी तयार करा जी हा गुणधर्म तपासते: जर उपस्थित आणि वैध असेल, तर ROLE_VIP नियुक्त करा; अन्यथा ROLE_GUEST नियुक्त करा. दोन एन्फोर्समेंट प्रोफाइल तयार करा: ROLE_GUEST Aruba-User-Role = guest-standard (VLAN 20, 5 Mbps बँडविड्थ करार) परत करते; ROLE_VIP Aruba-User-Role = guest-premium (VLAN 40, 50 Mbps) परत करते. Aruba कंट्रोलरवर, योग्य VLAN आणि बँडविड्थ करारांसह दोन्ही भूमिका परिभाषित करा. हा दृष्टिकोन वापरकर्त्याच्या ओळखीवर आधारित विभेदित सेवा स्तर प्रदान करताना एकच SSID आणि एकच Purple पोर्टल वापरतो.

या मालिकेमध्ये पुढे वाचा

DrayTek Vigor राउटर आणि ऍक्सेस पॉईंट्सचे Purple WiFi सोबत एकत्रीकरण

हे मार्गदर्शक DrayTek Vigor राउटर आणि VigorAP ऍक्सेस पॉईंट्सना Purple च्या क्लाउड प्लॅटफॉर्मसह एकत्रित करण्यासाठी टप्प्याटप्प्याने तांत्रिक सूचना प्रदान करते. यामध्ये Guest WiFi साठी DrayTek Captive Portal कॉन्फिगरेशन, सुरक्षित Staff WiFi साठी 802.1X ऑथेंटिकेशन, Walled Garden सेटअप आणि डायनॅमिक VLAN असाइनमेंटसह मल्टी-टेनंट नेटवर्क सेगमेंटेशनसाठी DrayTek Multiple PSK (PPSK) कॉन्फिगरेशन समाविष्ट आहे. हे हॉस्पिटॅलिटी, रिटेल आणि मल्टी-टेनंट ठिकाणी Purple तैनात करणाऱ्या IT इंस्टॉलर्स आणि SMB नेटवर्क प्रशासकांसाठी डिझाइन केले आहे.

Purple WiFi सह Zyxel Nebula Cloud आणि USG Integration

हे तांत्रिक संदर्भ मार्गदर्शक Zyxel Nebula Cloud आणि USG Flex Firewalls चे Purple WiFi प्लॅटफॉर्मसोबतच्या एंड-टू-एंड Integration बद्दल माहिती देते. हे गेस्ट Captive Portal रिडायरेक्शन, RADIUS ऑथेंटिकेशन, Walled Garden सेटअप, 802.1X वापरून सुरक्षित Staff WiFi, आणि डायनॅमिक VLAN असाइनमेंटसह Zyxel Private Pre-Shared Keys (PPSK) वापरून मल्टी-टेनंट नेटवर्क सेगमेंटेशनसाठी टप्प्याटप्प्याने कॉन्फिगरेशन सूचना प्रदान करते. हॉस्पिटॅलिटी, रिटेल आणि मल्टी-टेनंट ठिकाणी WiFi तैनात करणारे IT मॅनेजर्स, MSPs आणि नेटवर्क आर्किटेक्ट्सना PCI DSS, IEEE 802.1X आणि GDPR सह उद्योग मानकांवर आधारित कृतीयोग्य मार्गदर्शन मिळेल.

Alcatel-Lucent Enterprise (ALE) OmniAccess चे Purple WiFi सोबत एकत्रीकरण

हे मार्गदर्शक Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar ॲक्सेस पॉइंट्स आणि Purple WiFi मधील तांत्रिक एकत्रीकरणाचा तपशील देते. यामध्ये Captive Portal रिडायरेक्शन, RADIUS ऑथेंटिकेशन, Walled Garden कॉन्फिगरेशन, सुरक्षित 802.1X Staff WiFi, आणि प्रायव्हेट प्री-शेअर्ड की (PPSK) सह डायनॅमिक VLAN स्टिअरिंग वापरून मल्टी-टेनंट WiFi सेगमेंटेशन समाविष्ट आहे - जे IT व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्सना ALE हार्डवेअरवर आयडेंटिटी-बेस्ड नेटवर्क्स तैनात करण्यासाठी एक संपूर्ण, कृतीयोग्य संदर्भ प्रदान करते.