मुख्य मजकुराकडे जा
मराठी

Aruba ClearPass vs. Purple WiFi: वैशिष्ट्यांची तुलना आणि को-डिप्लॉयमेंट

Aruba ClearPass आणि Purple WiFi च्या को-डिप्लॉयमेंट आर्किटेक्चरची सविस्तर माहिती देणारी एक व्यापक तांत्रिक मार्गदर्शिका. यामध्ये RADIUS प्रॉक्सी कॉन्फिगरेशन, डायनॅमिक VLAN असाइनमेंट आणि एंटरप्राइझ NAC सोबत सुरक्षित, अ‍ॅनालिटिक्स-चालित अतिथी नेटवर्क प्रदान करण्यासाठी सर्वोत्तम पद्धतींचा समावेश आहे.

📖 6 मिनिट वाचन📝 1,499 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
आत्मविश्वासू, अधिकृत आणि संभाषणात्मक सुरात ब्रिटीश इंग्रजीमध्ये बोला. तुम्ही क्लायंटला माहिती देणारे वरिष्ठ नेटवर्क सल्लागार आहात. मोजलेला वेग, स्पष्ट उच्चार, व्यावसायिक पण ताठर नाही. अधिक प्रभावासाठी अधूनमधून नैसर्गिक विराम: या Purple तांत्रिक ब्रीफिंगमध्ये आपले स्वागत आहे. मी तुमचा होस्ट आहे, आणि आज आपण अशा प्रश्नावर चर्चा करणार आहोत जो आपण काम करत असलेल्या जवळजवळ प्रत्येक एंटरप्राइझ वायरलेस प्रोजेक्टमध्ये समोर येतो: जेव्हा तुमच्याकडे आधीपासूनच Aruba ClearPass तैनात असते, तेव्हा Purple WiFi कुठे बसते, आणि दोन्ही प्रणाल्या एकत्रितपणे कशा कार्य करतात? [medium pause] हा काही सैद्धांतिक वादविवाद नाही. जर तुम्ही हॉटेल समूह, रिटेल साखळी किंवा स्टेडियम ऑपरेटरमधील IT मॅनेजर, नेटवर्क आर्किटेक्ट किंवा सुरक्षा अभियंता असाल, तर हा एक असा निर्णय आहे जो तुम्हाला या तिमाहीत घ्यावा लागू शकतो. चला तर मग, सुरुवात करूया. [medium pause] परिचय आणि संदर्भ. [short pause] प्रथम, प्रत्येक प्लॅटफॉर्म नेमका कशासाठी डिझाइन केला आहे याबद्दल स्पष्ट होऊ या. Aruba ClearPass Policy Manager हे एक Network Access Control प्लॅटफॉर्म आहे. त्याचे काम उपकरणांचे आणि वापरकर्त्यांचे प्रमाणीकरण करणे, एंडपॉइंट स्थितीचे मूल्यांकन करणे आणि तुमच्या संपूर्ण नेटवर्कवर प्रवेश धोरण लागू करणे हे आहे. हे 802.1X हाताळते, जे पोर्ट-आधारित नेटवर्क प्रवेश नियंत्रणासाठी IEEE मानक आहे, ज्यामध्ये प्रमाणपत्रे असलेले EAP-TLS आणि युझरनेम आणि पासवर्ड असलेले PEAP यांसारख्या EAP पद्धतींचा वापर केला जातो. हे Microsoft Entra ID, Okta आणि इतर ओळख प्रदात्यांसह समाकलित होते. हे उपकरणांचे प्रोफाइल तयार करते, ते तुमच्या सुरक्षा धोरणाशी सुसंगत आहेत की नाही हे तपासते आणि त्यांना योग्य नेटवर्क भूमिका नियुक्त करते. कॉर्पोरेट उपकरणांसाठी, ClearPass उत्कृष्ट आहे. हे नेमके याच वापरासाठी तयार केले गेले आहे. [medium pause] Purple WiFi हे पूर्णपणे वेगळे आहे. Purple हे क्लाउड-आधारित अतिथी WiFi इंटेलिजन्स प्लॅटफॉर्म आहे. त्याचे काम ब्रँडेड Captive Portal द्वारे अभ्यागतांचे प्रमाणीकरण करणे, GDPR-सुसंगत संमती प्रवाहांद्वारे फर्स्ट-पार्टी डेटा गोळा करणे आणि तो डेटा तुमच्या मार्केटिंग आणि विश्लेषण स्टॅकमध्ये पाठवणे हे आहे. Purple जगभरातील ८०,००० पेक्षा जास्त ठिकाणी कार्यरत आहे आणि केवळ २०२४ मध्येच ४४ कोटी लॉगइन्स प्रविष्ट केले आहेत. हे CRMs आणि मार्केटिंग ऑटोमेशन प्लॅटफॉर्मसह ४०० हून अधिक कनेक्टर्सशी समाकलित होते. अतिथी नेटवर्कसाठी, Purple तज्ञ आहे. [medium pause] बहुतेक संस्थांना भेडसावणारी समस्या म्हणजे ते दोन्ही कामे करण्यासाठी एकाच प्लॅटफॉर्मचा वापर करण्याचा प्रयत्न करतात. ते एकतर ClearPass ला त्यांचे अतिथी पोर्टल चालवण्यास सांगतात, जे ते करू शकते परंतु तितक्या प्रभावीपणे नाही, किंवा ते त्यांच्या विद्यमान NAC गुंतवणुकीचा विचार न करता Purple तैनात करतात. योग्य उत्तर एक सह-तैनाती (co-deployment) आर्किटेक्चर आहे जिथे प्रत्येक प्लॅटफॉर्म त्याचे सर्वोत्तम कार्य करतो. [medium pause] तांत्रिक सखोल विश्लेषण. [short pause] मी तुम्हाला आर्किटेक्चर समजावून सांगतो. सह-तैनातीमध्ये, तुमचे Aruba Mobility Controller किंवा Aruba Instant ऍक्सेस पॉइंट्स एकाधिक SSIDs प्रसारित करतात. सहसा तीन: एक कॉर्पोरेट उपकरणांसाठी, एक अतिथींसाठी आणि एक IoT साठी. या SSID डिझाइन पॅटर्नबद्दल अधिक माहितीसाठी, Purple ने "Three SSIDs to rule them all" नावाचे तपशीलवार मार्गदर्शक प्रकाशित केले आहे, जे मी तुम्हाला या ब्रीफिंगसोबत वाचण्याची शिफारस करेन. [medium pause] कॉर्पोरेट SSID हे EAP-TLS सह 802.1X वापरते. ClearPass Onboard द्वारे प्रोव्हिजन केलेल्या प्रमाणपत्रांचा वापर करून डिव्हाइसेस ऑथेंटिकेट होतात, जे ClearPass चे इन-बिल्ट सर्टिफिकेट एनरोलमेंट आणि डिव्हाइस प्रोव्हिजनिंग मॉड्यूल आहे. ClearPass डिव्हाइसची स्थिती तपासते, प्रमाणपत्र पडताळते, Active Directory किंवा Microsoft Entra ID ला क्वेरी करते आणि डिव्हाइसला योग्य VLAN वर नियुक्त करते. कॉर्पोरेटसाठी साधारणपणे VLAN 10. हा संपूर्ण फ्लो ClearPass च्या अंतर्गतच राहतो. यात Purple चा समावेश नसतो. [medium pause] गेस्ट SSID वर खरे इंटिग्रेशन होते. जेव्हा एखादा व्हिजिटर गेस्ट SSID शी कनेक्ट होतो, तेव्हा Aruba कंट्रोलर त्यांचे HTTP ट्रॅफिक अडवतो आणि त्यांच्या ब्राउझरला Purple च्या Captive Portal वर रिडायरेक्ट करतो. व्हिजिटर Purple च्या माध्यमातून ऑथेंटिकेट होतो, कदाचित Google द्वारे सोशल लॉगिन, कस्टम ईमेल फॉर्म किंवा OpenRoaming वापरून, जिथे Purple हे Connect लायसन्स अंतर्गत विनामूल्य आयडेंटिटी प्रोव्हाइडर म्हणून काम करते. एकदा Purple ने व्हिजिटरची पडताळणी केली की, ते कंट्रोलरला RADIUS Access-Accept मेसेज परत पाठवते, जे इंटरनेट ॲक्सेस मंजूर करते. [medium pause] आता, मुख्य आर्किटेक्चरल निर्णय हा आहे की तुम्ही कंट्रोलर आणि Purple च्या दरम्यान ClearPass ला RADIUS प्रॉक्सी म्हणून समाविष्ट करता, की कंट्रोलर थेट Purple च्या RADIUS सर्व्हरशी संवाद साधतो. बहुतांश एंटरप्राइझ डिप्लॉयमेंटसाठी, प्रॉक्सी मॉडेल हा योग्य पर्याय आहे. ते का, ते खालीलप्रमाणे आहे. [medium pause] प्रॉक्सी म्हणून ClearPass सह, तुमच्या नेटवर्कवरील कॉर्पोरेट आणि गेस्ट दोन्ही प्रत्येक ऑथेंटिकेशन इव्हेंट ClearPass मधून वाहतो. तुम्हाला एकच ऑडिट ट्रेल मिळतो. तुमच्या सिक्युरिटी ऑपरेशन्स टीमला सर्व काही एकाच ठिकाणी दिसते. कंट्रोलरला प्रतिसाद परत पाठवण्यापूर्वी ClearPass स्वतःचे पॉलिसी ॲट्रिब्युट्स जोडू शकते, ज्यामुळे रोलच्या आधारावर डायनॅमिक VLAN असाइनमेंट सक्षम होते. आणि तुम्ही गेस्ट सेशन्सवर अतिरिक्त पॉलिसी लागू करण्याची क्षमता राखून ठेवता, जसे की बँडविड्थ मर्यादा किंवा वेळ-आधारित ॲक्सेस निर्बंध. आत्मविश्वासू, अधिकृत आणि संभाषण कौशल्याने युक्त अशा ब्रिटिश इंग्रजीमध्ये बोला. तुम्ही क्लायंटला माहिती देणारे सिनियर नेटवर्क कन्सल्टंट आहात. मोजलेला वेग, स्पष्ट शब्दरचना, व्यावसायिक पण रुक्ष नाही: ClearPass मधील प्रॉक्सी कॉन्फिगरेशन सोपे आहे. तुम्ही एक RADIUS Routing Policy तयार करता जी NAS आयडेंटिफायर किंवा कॉल्ड स्टेशन ID द्वारे गेस्ट SSID शी जुळते. त्या पॉलिसीशी जुळणाऱ्या विनंत्या Purple च्या क्लाउड RADIUS सर्व्हरकडे फॉरवर्ड केल्या जातात. Purple प्रतिसाद देते, ClearPass हे Aruba-User-Role व्हेंडर-स्पेसिफिक ॲट्रिब्युट जोडते आणि कंट्रोलर गेस्टला केवळ इंटरनेट-ॲक्सेस असलेल्या VLAN 20 मध्ये ठेवतो. [medium pause] IoT डिव्हाइसेससाठी, तिसरा SSID हा MAC ऑथेंटिकेशन बायपास वापरतो. ClearPass त्याच्या OUI चा वापर करून डिव्हाइसचे प्रोफाइल बनवते, जे उत्पादक ओळखणारे MAC ॲड्रेसचे पहिले सहा कॅरेक्टर्स असतात आणि त्याला ROLE_IOT वर नियुक्त करते, जे VLAN 30 ला मॅप करते. या VLAN ला इंटरनेट ॲक्सेस नसतो, फक्त लोकल कनेक्टिव्हिटी असते. तुमचे स्मार्ट टीव्ही, थर्मोस्टॅट्स आणि डोअर लॉक्स हे कॉर्पोरेट आणि गेस्ट दोन्ही ट्रॅफिकपासून पूर्णपणे वेगळे केले जातात. [medium pause] चला कंप्लायन्सबद्दल बोलूया, कारण येथेच हे आर्किटेक्चर स्वतःची उपयुक्तता सिद्ध करते. PCI DSS अंतर्गत, कार्डधारकाच्या डेटाला स्पर्श करणारा कोणताही नेटवर्क विभाग गेस्ट नेटवर्क्सपासून वेगळा असणे आवश्यक आहे. या आर्किटेक्चरमधील VLAN सेगमेंटेशन ती आवश्यकता पूर्ण करते. GDPR अंतर्गत, Purple चे Captive Portal जाणीवपूर्वक केलेल्या निवडीच्या (conscious-choice opt-ins) माध्यमातून संमती गोळा करण्याचे काम हाताळते, ज्याचा अर्थ असा आहे की अभ्यागत त्यांचा डेटा डीफॉल्टनुसार गोळा होऊ देण्याऐवजी तो शेअर करणे स्वतः सक्रियपणे निवडतात. Purple हे ISO 27001 प्रमाणित, GDPR सुसंगत आहे आणि त्याकडे Cyber Essentials प्रमाणपत्र आहे. तुमच्या सुरक्षा टीमला कंप्लायन्स रिपोर्टिंगसाठी आवश्यक असलेला ऑडिट ट्रेल ClearPass प्रदान करते. [medium pause] अंमलबजावणीच्या शिफारसी आणि संभाव्य धोके. [short pause] या डिप्लॉयमेंटमध्ये सामान्यतः चुकीच्या घडणाऱ्या पाच गोष्टी आणि त्या कशा टाळायच्या, हे मी तुम्हाला सांगतो. [medium pause] क्रमांक एक: walled garden. अभ्यागताचे प्रमाणीकरण (authenticate) होण्यापूर्वी, Aruba कंट्रोलर फक्त पूर्वनिर्धारित गंतव्यस्थानांच्या सूचीवर ट्रॅफिकला अनुमती देतो. जर Purple चे पोर्टल डोमेन्स, त्याचे CDN एंडपॉइंट्स आणि सोशल लॉगिन प्रदाता डोमेन्स त्या सूचीमध्ये नसतील, तर पोर्टल लोड होणार नाही. तुम्ही इनेबल करत असलेल्या कोणत्याही सोशल लॉगिन प्रदात्यांसाठी star dot purple dot ai, star dot cloudfront dot net आणि OAuth डोमेन्स समाविष्ट करणे आवश्यक आहे. Google, Facebook, Apple आणि Microsoft Entra ID या सर्वांचे स्वतःचे डोमेन्स संच आहेत. Walled garden कडे एक जिवंत कॉन्फिगरेशन (living configuration) म्हणून पहा, कारण सोशल लॉगिन प्रदाता त्यांचे CDN डोमेन्स वेळोवेळी बदलत असतात. [medium pause] क्रमांक दोन: RADIUS टाइमआउट्स. बहुतेक Aruba कंट्रोलर्सवर डीफॉल्ट RADIUS टाइमआउट तीन सेकंद असतो. प्रॉक्सी आर्किटेक्चरमध्ये, विनंती (request) ऍक्सेस पॉइंटपासून कंट्रोलरकडे, ClearPass कडे, इंटरनेटद्वारे Purple च्या क्लाउड RADIUS कडे आणि परत जाते. गर्दी असलेल्या नेटवर्कवर, त्या राउंड ट्रिपला तीन सेकंदांपेक्षा जास्त वेळ लागू शकतो. तुमचा टाइमआउट किमान दहा सेकंदांवर सेट करा आणि किमान दोन रिट्रायसह रिट्राय लॉजिक कॉन्फिगर करा. [medium pause] क्रमांक तीन: shared secret विसंगती. Aruba कंट्रोलर आणि ClearPass मधील shared secret तंतोतंत जुळले पाहिजे. ClearPass आणि Purple च्या RADIUS सर्व्हरमधील shared secret देखील तंतोतंत जुळले पाहिजे. एका सिंगल कॅरेक्टरच्या फरकामुळे अभ्यागताला कोणताही अर्थपूर्ण त्रुटी संदेश न मिळता मूक प्रमाणीकरण अपयश (silent authentication failures) येते. नेहमी यांची अक्षरा-अक्षराने पडताळणी करा. [medium pause] क्रमांक चार: रोल नेम केस सेन्सिटिव्हिटी (case sensitivity). ClearPass द्वारे परत केलेले Aruba-User-Role ॲट्रिब्यूट कॅपिटलायझेशनसह Aruba कंट्रोलरवर परिभाषित केलेल्या रोल नेमशी तंतोतंत जुळले पाहिजे. जर ClearPass ने "guest-authenticated" परत केले परंतु कंट्रोलरवर "Guest-Authenticated" परिभाषित असेल, तर अभ्यागत इंटरनेट प्रवेश नसलेल्या डीफॉल्ट लॉगऑन रोलवर परत जातो. [medium pause] क्रमांक पाच: RADIUS accounting. बरेच डिप्लॉयमेंट्स ऑथेंटिकेशन प्रॉक्सिंग योग्यरित्या कॉन्फिगर करतात परंतु अकाउंटिंग देखील प्रॉक्सी करण्यास विसरतात. Purple सेशनचा कालावधी, डेटा वापर ट्रॅक करण्यासाठी आणि त्याचे ॲनालिटिक्स डॅशबोर्ड भरण्यासाठी RADIUS accounting डेटा वापरते. जर अकाउंटिंग Purple कडे फ्लो होत नसेल, तर तुमचे फूटफॉल ॲनालिटिक्स आणि ड्वेल टाइम रिपोर्ट अपूर्ण राहतील. [medium pause] रॅपिड-फायर प्रश्न. [short pause] मी हे पूर्ण Mobility Controller ऐवजी Aruba Instant वर चालवू शकतो का? होय. Aruba Instant बाह्य RADIUS सर्व्हर्स आणि Captive Portal रिडायरेक्टला सपोर्ट करते. कॉन्फिगरेशन थोडे वेगळे आहे परंतु तत्त्वे समान आहेत. [medium pause] Purple Change of Authorisation ला सपोर्ट करते का? होय. CoA कंट्रोलरला अभ्यागताच्या (visitor's) सेशनला पुन्हा कनेक्ट न करता डायनॅमिकली अपडेट करण्याची परवानगी देते. हे मर्यादित-वेळेच्या ॲक्सेससाठी किंवा टियर अपग्रेडसाठी उपयुक्त आहे. [medium pause] हे WPA3 सह कार्य करते का? होय. वैयक्तिक नेटवर्कसाठी WPA3-SAE आणि 802.1X साठी WPA3-Enterprise या दोन्हीला सपोर्ट आहे. Captive Portal वापरणाऱ्या गेस्ट नेटवर्कसाठी, WPA3-SAE किंवा Opportunistic Wireless Encryption असलेला ओपन SSID हे सामान्य पर्याय आहेत. [medium pause] मी कर्मचारी आणि पाहुणे (guests) दोघांसाठी एकच SSID वापरू शकतो का? तुम्ही वापरू शकता, परंतु यामुळे गुंतागुंत वाढते. ClearPass एकाच SSID वर 802.1X आणि MAC ऑथेंटिकेशन दोन्ही हाताळते, ट्रॅफिकचे प्रकार वेगळे करण्यासाठी आणि त्यानुसार मार्गस्थ (route) करण्यासाठी सर्व्हिस रूल्स वापरते. बहुतेक ठिकाणांसाठी (venues), स्वतंत्र SSIDs हा अधिक चांगला पर्याय आहे. [medium pause] सारांश आणि पुढील पायऱ्या. [short pause] ClearPass आणि Purple हे एकमेकांना पूरक आहेत, प्रतिस्पर्धी नाहीत. ClearPass हे तुमचे पॉलिसी इंजिन आहे: 802.1X, एंडपॉइंट पोश्चर, सर्टिफिकेट मॅनेजमेंट आणि युनिफाइड ऑडिट ट्रेल. Purple हे तुमचे गेस्ट इंटेलिजन्स प्लॅटफॉर्म आहे: ब्रँडेड Captive Portal, GDPR-सुसंगत डेटा कॅप्चर, फूटफॉल ॲनालिटिक्स आणि मार्केटिंग ऑटोमेशन. [medium pause] सह-डिप्लॉयमेंट (co-deployment) आर्किटेक्चर ClearPass ला RADIUS प्रॉक्सी म्हणून वापरते. सर्व ऑथेंटिकेशन विनंत्या ClearPass मधून फ्लो होतात. गेस्ट विनंत्या Purple च्या क्लाउड RADIUS कडे रूट केल्या जातात. कॉर्पोरेट विनंत्या स्थानिक पातळीवर ClearPass द्वारे हाताळल्या जातात. Aruba कंट्रोलर डायनॅमिक VLAN असाइनमेंटद्वारे परिणामी पॉलिसी लागू करतो. [medium pause] तुम्ही योग्यरित्या सेट केले पाहिजेत असे तीन कॉन्फिगरेशन घटक म्हणजे: वॉल्ड गार्डन (walled garden), RADIUS टाइमआउट्स आणि रोल नेम कन्सिस्टन्सी. हे योग्यरित्या मिळवा, आणि तुमच्याकडे एक सुसंगत, व्यावसायिकदृष्ट्या मौल्यवान गेस्ट WiFi डिप्लॉयमेंट असेल जे तुमच्या कॉर्पोरेट सुरक्षा स्थितीशी तजोड करत नाही. [medium pause] तुमच्या पुढील पायऱ्यांसाठी: Purple डॅशबोर्डवरून तुमचे Purple व्हेन्यू RADIUS क्रेडेंशियल मिळवा, सोबतच्या लिखित मार्गदर्शकातील वॉल्ड गार्डन संदर्भ सूचीचे पुनरावलोकन करा, आणि प्रोडक्शनमध्ये रोल आउट करण्यापूर्वी एका समर्पित चाचणी डिव्हाइससह संपूर्ण ऑथेंटिकेशन प्रवाहाची चाचणी घ्या. जर तुम्ही एकाधिक साइट्सवर डिप्लॉय करत असाल, तर Purple चे मल्टी-साइट मॅनेजमेंट कन्सोल तुम्हाला एकाच इंटरफेसवरून तुमच्या संपूर्ण इस्टेटमधील Captive Portal कॉन्फिगरेशन, ब्रँडिंग आणि ॲनालिटिक्स व्यवस्थापित करू देते. [medium pause] ऐकल्याबद्दल धन्यवाद. आपल्या विशिष्ट डिप्लॉयमेंटबद्दल सोल्यूशन्स आर्किटेक्टशी बोलण्यासाठी purple dot ai ला भेट द्या.

header_image.png

कार्यकारी सारांश

HPE Aruba इन्फ्रास्ट्रक्चरमध्ये मोठ्या प्रमाणावर गुंतवणूक केलेल्या एंटरप्राइझ वातावरणासाठी, अखंड, डेटा-समृद्ध अतिथी WiFi अनुभव प्रदान करताना जटिल नेटवर्क प्रवेश धोरणे व्यवस्थापित करणे एक महत्त्वपूर्ण आर्किटेक्चरल आव्हान सादर करते. Aruba ClearPass पॉलिसी व्यवस्थापक कॉर्पोरेट उपकरणांसाठी नेटवर्क ऍक्सेस कंट्रोल (NAC) आणि 802.1X सुरक्षिततेमध्ये उत्कृष्ट असला तरी, त्याच्या अंगभूत Captive Portal मध्ये आधुनिक ठिकाणांसाठी आवश्यक असलेल्या प्रगत विपणन ऑटोमेशन आणि विश्लेषणेचा अभाव आहे. हे मार्गदर्शक ClearPass सोबत Purple WiFi कसे समाकलित करावे हे तपशीलवार सांगते, ज्यामुळे प्रत्येक प्लॅटफॉर्मला त्यांच्या मुख्य सामर्थ्यावर लक्ष केंद्रित करणे शक्य होते.

ClearPass ला RADIUS प्रॉक्सी म्हणून उपयोजित करून, आपण कॉर्पोरेट आणि IoT उपकरणांसाठी युनिफाइड सुरक्षा ऑडिट ट्रेल आणि डायनॅमिक VLAN असाइनमेंट राखता, तर अतिथी ऑनबोर्डिंग अनुभव Purple कडे सोपवता. हा दृष्टिकोन GDPR-सुसंगत फर्स्ट-पार्टी डेटा कॅप्चर, तपशीलवार फूटफॉल विश्लेषणे आणि ४०० हून अधिक विपणन कनेक्टर्ससह एकत्रीकरण सक्षम करतो—तुमच्या विद्यमान Aruba NAC गुंतवणुकीला न बदलता. हा दस्तऐवज या सह-उपयोजनासाठी तांत्रिक ब्ल्यूप्रिंट प्रदान करतो, ज्यामध्ये आर्किटेक्चर, कॉन्फिगरेशन त्रुटी आणि सर्वोत्तम पद्धतींचा समावेश आहे.

तांत्रिक सखोल विश्लेषण

Aruba ClearPass आणि Purple WiFi चे एकत्रीकरण मानक RADIUS प्रोटोकॉल आणि HTTP रीडायरेक्ट मेकॅनिझमवर अवलंबून आहे, जे RADIUS प्रॉक्सी आर्किटेक्चरभोवती संरचित आहे. हे डिझाइन हे सुनिश्चित करते की ClearPass सर्व नेटवर्क प्रवेशासाठी केंद्रीय धोरण निर्णय बिंदू राहील, तर Purple अतिथी-अनुकूल Captive Portal आणि डेटा संकलन व्यवस्थापित करते.

मुख्य आर्किटेक्चर

मानक सह-उपयोजनामध्ये, तुमचे Aruba मोबिलिटी कंट्रोलर्स किंवा Aruba इन्स्टंट ऍक्सेस पॉइंट्स एकाधिक SSIDs ब्रॉडकास्ट करतात. एक सामान्य डिझाइन पॅटर्न, जसे की Three SSIDs to rule them all: the WiFi design for guest, staff and IoT मध्ये वर्णन केले आहे, तीन समर्पित नेटवर्क वापरतो:

  1. Corporate SSID: EAP-TLS सह 802.1X वापरते. ClearPass Onboard द्वारे तरतूद केलेल्या प्रमाणपत्रांचा वापर करून उपकरणे प्रमाणीकृत होतात. ClearPass उपकरणाच्या स्थितीचे मूल्यांकन करते, Microsoft Entra ID किंवा Active Directory कडे चौकशी करते आणि उपकरणाला कॉर्पोरेट VLAN (उदा. VLAN 10) मध्ये नियुक्त करते. या फ्लोमध्ये Purple समाविष्ट नाही.
  2. IoT SSID: MAC ऑथेंटिकेशन बायपास (MAB) वापरते. ClearPass उपकरणाच्या ऑर्गनायझेशनली युनिक आयडेंटिफायर (OUI) चा वापर करून त्याचे प्रोफाइल तयार करते आणि त्याला इंटरनेट प्रवेश नसलेल्या एका वेगळ्या IoT VLAN (उदा. VLAN 30) मध्ये नियुक्त करते.
  3. Guest SSID: हे एक ओपन किंवा अपॉर्चुनिस्टिक वायरलेस एन्क्रिप्शन (OWE) नेटवर्क आहे जे Purple Captive Portal ट्रिगर करते. architecture_overview.png

RADIUS Proxy फ्लो

जेव्हा एखादा अभ्यागत (visitor) गेस्ट SSID शी कनेक्ट होतो आणि ब्राउझर उघडतो, तेव्हा Aruba कंट्रोलर HTTP ट्रॅफिक अडवतो आणि सेशन Purple Captive Portal URL कडे रिडायरेक्ट करतो. अभ्यागत सोशल लॉगिन, कस्टम फॉर्म किंवा OpenRoaming (जिथे Purple, Connect प्लॅन अंतर्गत मोफत आयडेंटिटी प्रोव्हाइडर म्हणून काम करते) चा वापर करून Purple द्वारे ऑथेंटिकेट करतो.

एकदा Purple ने अभ्यागताला प्रमाणित (validate) केले की, ते RADIUS Access-Accept संदेश पाठवते. तथापि, Aruba कंट्रोलर थेट Purple च्या क्लाउड RADIUS सर्व्हरशी संपर्क साधण्याऐवजी, ClearPass ला RADIUS proxy म्हणून समाविष्ट केले जाते:

  1. Aruba कंट्रोलर सर्व RADIUS विनंत्या (requests) ClearPass कडे पाठवतो.
  2. ClearPass त्याच्या सेवा नियमांच्या (Service Rules) विरुद्ध विनंतीचे मूल्यमापन करते. जर विनंती गेस्ट SSID शी जुळत असेल (Called-Station-Id किंवा NAS आयडेंटिफायरद्वारे ओळखली जाणारी), तर RADIUS Routing Policy ही विनंती Purple च्या RADIUS सर्व्हरकडे फॉरवर्ड करते.
  3. Purple एक Access-Accept संदेशासह प्रतिसाद देते.
  4. ClearPass ला हा प्रतिसाद मिळतो आणि तो स्वतःची Enforcement Policy लागू करतो, कंट्रोलरकडे अंतिम प्रतिसाद फॉरवर्ड करण्यापूर्वी विशिष्ट Vendor-Specific Attributes (VSAs) जोडतो.

डायनॅमिक रोल-आधारित VLAN असाइनमेंट

या आर्किटेक्चरमधील सर्वात महत्त्वाची VSA म्हणजे Aruba-User-Role आहे. जेव्हा ClearPass, Access-Accept संदेश कंट्रोलरकडे फॉरवर्ड करते, तेव्हा वायरलेस नेटवर्कवर अभ्यागताने कोणती नेमकी भूमिका घ्यावी हे स्पष्ट करण्यासाठी ते या ॲट्रिब्यूटचा समावेश करते.

उदाहरणार्थ, ClearPass Aruba-User-Role = guest-authenticated परत करू शकते. Aruba कंट्रोलरवर, हा रोल VLAN 20 शी मॅप केला जातो, जो इंटरनेट प्रवेशाची परवानगी देणाऱ्या परंतु अंतर्गत कॉर्पोरेट सबनेटसाठी राउटिंग ब्लॉक करणाऱ्या फायरवॉल पॉलिसीसह कॉन्फिगर केलेला असतो. PCI DSS [1] सारख्या मानकांचे पालन करण्यासाठी हे सेगमेंटेशन आवश्यक आहे.

comparison_chart.png

अंमलबजावणी मार्गदर्शिका (Implementation Guide)

हे आर्किटेक्चर तैनात करण्यासाठी Aruba इन्फ्रास्ट्रक्चर आणि ClearPass दोन्हीवर अचूक कॉन्फिगरेशन आवश्यक आहे. हे इंटिग्रेशन स्थापित करण्यासाठी खालील विक्रेता-तटस्थ (vendor-neutral) पायऱ्यांचे अनुसरण करा.

पायरी १: ClearPass मध्ये Purple RADIUS सर्व्हर कॉन्फिगर करा

ClearPass मधील Configuration > Network > Devices वर जा आणि Purple चे प्राथमिक आणि दुय्यम RADIUS सर्व्हर नेटवर्क डिव्हाइस म्हणून जोडा. तुम्हाला तुमच्या Purple व्हेन्यू कॉन्फिगरेशन डॅशबोर्डमध्ये दिलेले IP ॲड्रेस आणि शेअर केलेला सिक्रेट कोड (shared secret) आवश्यक असेल.

पायरी २: RADIUS Routing Policy तयार करा

ClearPass मध्ये एक नवीन RADIUS Routing Policy तयार करा. ही पॉलिसी कोणत्या परिस्थितींमध्ये विनंत्या (requests) Purple कडे प्रॉक्सी केल्या जातील हे निश्चित करेल. पायरी १ मध्ये तुम्ही कॉन्फिगर केलेल्या Purple RADIUS सर्व्हरवर प्राथमिक आणि बॅकअप डेस्टिनेशन सेट करा.

पायरी ३: गेस्ट सर्व्हिस व्याख्यात करा

गेस्ट ऑथेंटिकेशनसाठी ClearPass मध्ये एक नवीन सर्व्हिस (Service) तयार करा.

  • Type: RADIUS Enforcement (Generic)
  • सर्व्हिस नियम: तुमच्या गेस्ट SSID नाव असलेल्या Radius:IETF:Called-Station-Id शी जुळवा.
  • राउटिंग पॉलिसी: पायरी २ मध्ये तयार केलेली पॉलिसी निवडा.
  • एंफोर्समेंट पॉलिसी: अरुबा कंट्रोलरवरील तुमच्या गेस्ट रोलशी संबंधित असलेल्या व्हॅल्यूसह Aruba-User-Role VSA परत करण्यासाठी पॉलिसी कॉन्फिगर करा.

पायरी ४: कंट्रोलरवर वॉल्ड गार्डन कॉन्फिगर करा

वॉल्ड गार्डन ही अशा डोमेन्सची सूची आहे जिथपर्यंत एखादे डिव्हाइस ऑथेंटिकेशनपूर्वी पोहोचू शकते. हे अरुबा कंट्रोलरवर (किंवा ArubaOS 10 मधील ॲक्सेस नियमांद्वारे) कॉन्फिगर केले जाते. आपण Purple च्या मुख्य डोमेन्सचा समावेश करणे आवश्यक आहे:

  • *.purple.ai
  • *.cloudfront.net
  • *.venuewifi.com

जर तुम्ही सोशल लॉगिन सक्षम करत असाल, तर तुम्ही प्रत्येक प्रदात्यासाठी OAuth डोमेन्स देखील जोडले पाहिजेत (उदा. *.facebook.com, *.google.com, *.microsoftonline.com).

पायरी ५: RADIUS अकाऊंटिंग कॉन्फिगर करा

RADIUS अकाऊंटिंग देखील ClearPass द्वारे Purple कडे प्रॉक्सी केले जात असल्याची खात्री करा. Purple हे सेशनचा कालावधी ट्रॅक करण्यासाठी आणि त्याचे WiFi Analytics डॅशबोर्ड भरण्यासाठी अकाऊंटिंग डेटा (Acct-Start, Acct-Interim-Update, Acct-Stop) वापरते. अरुबा कंट्रोलरवर अकाऊंटिंग अंतराल ५ मिनिटांवर सेट करा.

सर्वोत्तम पद्धती

मजबूत आणि सुसंगत उपयोजन सुनिश्चित करण्यासाठी, खालील उद्योग-मानक शिफारसींचे पालन करा.

  • रहदारीचे काटेकोरपणे विभाजन करा: कॉर्पोरेट संसाधनांचा कोणताही मार्ग नसलेल्या समर्पित VLAN वर गेस्ट ट्रॅफिक नेहमी ठेवा. PCI DSS आणि सामान्य नेटवर्क सुरक्षेसाठी ही एक मूलभूत आवश्यकता आहे.
  • प्रॉक्सी अकाऊंटिंग डेटा: RADIUS अकाऊंटिंगकडे दुर्लक्ष करू नका. जर अकाऊंटिंग पॅकेट्स Purple पर्यंत पोहोचले नाहीत, तर तुमचे फूटफॉल ॲनालिटिक्स आणि ड्वेल टाइम रिपोर्ट अपूर्ण राहतील.
  • WISPr सक्षम करा: अरुबा कंट्रोलरच्या captive portal प्रोफाइलवर, WISPr (Wireless Internet Service Provider roaming) सक्षम असल्याची खात्री करा. हा प्रोटोकॉल मोबाईल ऑपरेटिंग सिस्टम्सना captive portal स्वयंचलितपणे शोधण्याची आणि लॉगिन स्क्रीन अखंडपणे दाखवण्याची परवानगी देतो.
  • सचेत-निवड ऑप्ट-इन्स वापरा: GDPR चे पालन करण्यासाठी, तुमचे Purple पोर्टल मार्केटिंग कम्युनिकेशन्ससाठी आधीच टिक केलेल्या बॉक्सऐवजी किंवा गृहीत धरलेल्या संमतीऐवजी स्पष्ट ऑप्ट-इन चेकबॉक्स वापरण्यासाठी कॉन्फिगर करा [2].

त्रुटी निवारण आणि जोखीम कमी करणे

काळजीपूर्वक कॉन्फिगरेशन करूनही, इंटिग्रेशन्स अयशस्वी होऊ शकतात. येथे सर्वात सामान्य बिघाड मोड आणि ते कसे सोडवायचे ते दिले आहे.

वॉल्ड गार्डन चुकीचे कॉन्फिगरेशन

भेट देणाऱ्याच्या डिव्हाइसवर captive portal लोड होण्यात अयशस्वी झाल्यास, त्याचे कारण जवळजवळ नेहमीच वॉल्ड गार्डन असते. सोशल लॉगिन प्रदाते वारंवार त्यांच्या CDN IP श्रेणी आणि डोमेन नावे अपडेट करतात. वॉल्ड गार्डनला सतत बदलणारे कॉन्फिगरेशन समजा. जर एखादे विशिष्ट सोशल लॉगिन अयशस्वी झाले, तर डिव्हाइस कोणत्या डोमेनवर पोहोचण्याचा प्रयत्न करत आहे हे शोधण्यासाठी पॅकेट कॅप्चर वापरा आणि ते अनुमती सूचीमध्ये जोडा.

RADIUS टाइमआउट त्रुटी

बऱ्याच Aruba कंट्रोलर्सवरील डीफॉल्ट RADIUS टाइमआउट ३ सेकंद असतो. प्रॉक्सी आर्किटेक्चरमध्ये, ऑथेंटिकेशन विनंती AP कडून कंट्रोलरकडे, ClearPass कडे, इंटरनेटद्वारे Purple च्या क्लाउड इन्फ्रास्ट्रक्चरकडे आणि परत जाणे आवश्यक आहे. गर्दी असलेल्या नेटवर्कवर, ही राऊंड ट्रिप सहजपणे ३ सेकंदांपेक्षा जास्त असू शकते, ज्यामुळे कंट्रोलर विनंती नाकारू शकतो. Aruba कंट्रोलरवरील RADIUS टाइमआउट किमान १० सेकंदांपर्यंत वाढवा आणि रीट्राय लॉजिक कॉन्फिगर करा.

शेअर्ड सिक्रेट न जुळणे

सुरक्षेसाठी RADIUS शेअर्ड सिक्रेट्सवर अवलंबून असते. जर Aruba कंट्रोलर आणि ClearPass मधील, किंवा ClearPass आणि Purple मधील शेअर्ड सिक्रेट तंतोतंत जुळले नाही, तर ऑथेंटिकेशन गुपचूप अयशस्वी होईल. अभ्यागताला कोणताही अर्थपूर्ण त्रुटी संदेश दाखवला जाणार नाही. ऑथेंटिकेशन अयशस्वी होत असल्यास नेहमी हे सिक्रेट्स एकेक अक्षराने तपासून पहा.

रोल नावातील कॅपिटलायझेशन संवेदनशीलता

ClearPass द्वारे परत केलेल्या Aruba-User-Role VSA चे मूल्य Aruba कंट्रोलरवर परिभाषित केलेल्या रोल नावाशी तंतोतंत जुळले पाहिजे, ज्यामध्ये कॅपिटलायझेशनचा समावेश आहे. जर ClearPass ने guest-authenticated परत केले परंतु कंट्रोलरला Guest-Authenticated हवे असेल, तर अभ्यागत डीफॉल्ट लॉगऑन रोलवर परत जाईल आणि त्याला इंटरनेट ॲक्सेस मिळणार नाही.

ROI आणि व्यावसायिक प्रभाव

मूलभूत स्थानिक Captive Portal च्या ऐवजी Purple WiFi चा वापर केल्याने एकाधिक विभागांमध्ये मोजण्यायोग्य व्यावसायिक मूल्य निर्माण होते.

  • मार्केटिंग प्रभाव: पोर्टलद्वारे फर्स्ट-पार्टी डेटा कॅप्चर करून, ठिकाणांच्या मार्केटिंग डेटाबेसमध्ये लक्षणीय वाढ दिसून येते. उदाहरणार्थ, Harrods ने लॉयल्टी प्रोग्राम साइन-अप वाढवण्यासाठी Purple चा वापर करून ५७ पट मार्केटिंग ROI प्राप्त केला [३].
  • ऑपरेशनल कार्यक्षमता: RADIUS प्रॉक्सी आर्किटेक्चर IT वरील ऑपरेशनल भार कमी करते. सुरक्षा टीम्स सर्व नेटवर्क ॲक्सेस इव्हेंटसाठी ClearPass मध्ये एकच केंद्रीय डॅशबोर्ड (single pane of glass) व्यवस्थापित करतात, ज्यामुळे अनुपालन रिपोर्टिंग आणि ट्रबलशूटिंग सुलभ होते.
  • मॉनेटायझेशन: वाहतूक किंवा आतिथ्य क्षेत्रातील ठिकाणांसाठी, Purple स्तरित (tiered) बँडविड्थ मॉडेल्स सक्षम करते. AGS एअरपोर्ट्सने मोफत मूलभूत स्तरासोबत सशुल्क प्रीमियम WiFi स्तर लागू करून ८४२% ROI निर्माण केला [४].

हे सह-डिप्लॉयमेंट लागू करून, तुम्ही तुमच्या गेस्ट नेटवर्कला एका खर्च केंद्रातून महसूल देणाऱ्या मालमत्तेमध्ये रूपांतरित करता, आणि त्याच वेळी एंटरप्राइझ IT साठी आवश्यक असलेली कठोर सुरक्षा स्थिती राखता.

संदर्भ

[१] PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard." [२] Information Commissioner's Office (ICO). "Guide to the General Data Protection Regulation (GDPR)." [३] Purple. "Harrods Guest WiFi Case Study." [४] Purple. "AGS Airports Guest WiFi Case Study."

महत्वाच्या व्याख्या

RADIUS प्रॉक्सी

असे आर्किटेक्चर जिथे एक इंटरमीडिएट सर्व्हर (ClearPass) नेटवर्क डिव्हाइस (Aruba कंट्रोलर) कडून ऑथेंटिकेशन विनंत्या प्राप्त करतो आणि त्या योग्य बॅकएंड सर्व्हर (Purple) कडे फॉरवर्ड करतो, ज्यामुळे प्रॉक्सीला ट्रॅफिकची तपासणी, लॉग किंवा त्यामध्ये बदल करण्याची परवानगी मिळते.

ClearPass मध्ये सिंगल सिक्युरिटी ऑडिट ट्रेल राखण्यासाठी वापरले जाते, तर दुसरीकडे Purple ला अतिथी ऑथेंटिकेशन हाताळण्याची परवानगी दिली जाते.

वॉल्ड गार्डन

एक मर्यादित पर्यावरण जे नेटवर्कवर पूर्णपणे ऑथेंटिकेट होण्यापूर्वी वापरकर्त्याच्या वेब सामग्रीवरील प्रवेशावर नियंत्रण ठेवते.

Captive Portal साठी अत्यंत आवश्यक; लॉगिन पेज लोड होण्यासाठी वॉल्ड गार्डनने पोर्टलच्या होस्टिंग डोमेन्स आणि सोशल लॉगिन प्रदात्यांना प्रवेश दिला पाहिजे.

वेंडर-स्पेसिफिक अ‍ॅट्रिब्यूट (VSA)

RADIUS प्रोटोकॉलमधील सानुकूल (custom) डेटा फील्ड्स जे हार्डवेअर वेंडर्सना मानक RADIUS RFCs मध्ये परिभाषित न केलेल्या मालकीच्या (proprietary) वैशिष्ट्यांना सपोर्ट करण्याची परवानगी देतात.

ClearPass अतिथी वापरकर्त्याला नक्की कोणती फायरवॉल भूमिका आणि VLAN असाइन करायचे हे Aruba कंट्रोलरला सांगण्यासाठी 'Aruba-User-Role' VSA चा वापर करते.

802.1X

पोर्ट-आधारित नेटवर्क ऍक्सेस कंट्रोलसाठी एक IEEE मानक जे LAN किंवा WLAN शी कनेक्ट होऊ इच्छिणाऱ्या उपकरणांना ऑथेंटिकेशन यंत्रणा प्रदान करते.

कॉर्पोरेट डिव्हाइसेस सुरक्षित करण्यासाठी ClearPass द्वारे वापरला जाणारा प्राथमिक प्रोटोकॉल, सहसा प्रमाणपत्रांसह EAP-TLS वापरतो.

Captive Portal

एक वेब पृष्ठ जे सार्वजनिक-प्रवेश नेटवर्कच्या वापरकर्त्याला प्रवेश मिळण्यापूर्वी पाहणे आणि त्यावर संवाद साधणे बंधनकारक असते.

अभ्यागतांचा डेटा गोळा करण्यासाठी, ब्रँडिंग प्रदर्शित करण्यासाठी आणि मार्केटिंग संमती मिळविण्यासाठी Purple Captive Portal इंटरफेस प्रदान करते.

MAC ऑथेंटिकेशन बायपास (MAB)

एक तंत्रज्ञान जे उपकरणाच्या MAC पत्त्याचा वापर करून त्याला नेटवर्कवर ऑथेंटिकेट करते जेव्हा ते उपकरण 802.1X सप्लिकंट्सला सपोर्ट करत नाही.

ClearPass द्वारे स्मार्ट टीव्ही किंवा थर्मोस्टॅट्स सारख्या स्क्रीन नसलेल्या IoT उपकरणांचे प्रोफाइलिंग आणि ऑथेंटिकेशन करण्यासाठी वापरले जाते, ज्यामुळे त्यांना वेगळ्या VLAN मध्ये ठेवले जाते.

डायनॅमिक VLAN असाइनमेंट

उपकरण ज्या SSID शी कनेक्ट झाले आहे त्याऐवजी त्याच्या ऑथेंटिकेशन क्रेडेंशियल्स किंवा भूमिकेच्या आधारे त्याला स्वयंचलितपणे एका विशिष्ट व्हर्च्युअल लोकल एरिया नेटवर्कवर असाइन करण्याची प्रक्रिया.

एकाच भौतिक नेटवर्क इन्फ्रास्ट्रक्चरला कॉर्पोरेट, अतिथी आणि IoT ट्रॅफिक सुरक्षितपणे विभाजित करण्याची परवानगी देते.

WISPr

वायरलेस इंटरनेट सेवा प्रदाता रोमिंग; एक प्रोटोकॉल जो डिव्हाइसना स्वयंचलितपणे Captive Portal शोधण्याची अनुमती देतो.

Aruba कंट्रोलरवर सक्षम केले पाहिजे जेणेकरून अतिथी WiFi शी कनेक्ट करताना मोबाइल डिव्हाइसवर Purple लॉगिन स्क्रीन स्वयंचलितपणे पॉप अप होईल.

सोडवलेली उदाहरणे

एका ५०० खोल्यांच्या हॉटेलला कर्मचाऱ्यांसाठी सुरक्षित कॉर्पोरेट WiFi आणि अभ्यागतांसाठी ब्रँडेड, डेटा-कॅप्चरिंग गेस्ट पोर्टल डिप्लॉय करायचे आहे, ज्यासाठी विद्यमान Aruba कंट्रोलर्स आणि ClearPass चा वापर करायचा आहे.

दोन SSID डिप्लॉय करा: 'Hotel_Corp' आणि 'Hotel_Guest'. ClearPass द्वारे Active Directory च्या विरूद्ध 802.1X ऑथेंटिकेशनसाठी 'Hotel_Corp' कॉन्फिगर करा, आणि कर्मचाऱ्यांना VLAN 10 मध्ये असाइन करा. Purple Captive Portal कडे रिडायरेक्ट करणारे ओपन नेटवर्क म्हणून 'Hotel_Guest' कॉन्फिगर करा. गेस्ट SSID साठी RADIUS प्रॉक्सी म्हणून ClearPass सेटअप करा, जे विनंत्या Purple कडे फॉरवर्ड करेल. यशस्वी Purple ऑथेंटिकेशननंतर 'Aruba-User-Role' VSA परत पाठवण्यासाठी ClearPass कॉन्फिगर करा, ज्यामुळे अतिथींना एका वेगळ्या VLAN 20 मध्ये असाइन केले जाईल.

परीक्षकाचे भाष्य: हा दृष्टिकोन कॉर्पोरेट आणि अतिथी ट्रॅफिकला पूर्णपणे वेगळे करतो, ज्यामुळे PCI DSS आवश्यकता पूर्ण होतात. हे 802.1X मधील उत्कृष्टतेसाठी ClearPass चा फायदा घेते आणि गेस्ट पोर्टल व अ‍ॅनालिटिक्सचे काम Purple कडे सोपवते, ज्यामुळे दोन स्वतंत्र NAC सोल्यूशन्सची आवश्यकता उरत नाही.

अभ्यागत गेस्ट SSID शी कनेक्ट होत आहेत, परंतु त्यांच्या उपकरणांवर Purple Captive Portal पेज लोड होण्यास अपयशी ठरत आहे.

Aruba कंट्रोलरवरील वॉल्ड गार्डन कॉन्फिगरेशनचे पुनरावलोकन करा आणि ते अपडेट करा. Purple चे मुख्य डोमेन्स (*.purple.ai, *.cloudfront.net, *.venuewifi.com) स्पष्टपणे मंजूर (allowed) असल्याची खात्री करा. सोशल लॉगिन सक्षम असल्यास, सर्व आवश्यक OAuth डोमेन्स (उदा. *.facebook.com, *.google.com) देखील प्री-ऑथेंटिकेशन अलोवलिस्टमध्ये समाविष्ट असल्याची पडताळणी करा.

परीक्षकाचे भाष्य: वॉल्ड गार्डनचे चुकीचे कॉन्फिगरेशन हे Captive Portal अपयशांचे सर्वात सामान्य कारण आहे. नेटवर्कवर पूर्णपणे ऑथेंटिकेट होण्यापूर्वी उपकरणांना पोर्टल होस्टिंग इन्फ्रास्ट्रक्चर आणि CDN पर्यंत पोहोचता आले पाहिजे.

सराव प्रश्न

Q1. तुम्ही Purple कडे अतिथी ऑथेंटिकेशन प्रॉक्सी करण्यासाठी ClearPass कॉन्फिगर केले आहे. अतिथी Purple पोर्टलवर यशस्वीरित्या ऑथेंटिकेट करतो, परंतु Aruba कंट्रोलर त्यांना इच्छित 'guest-access' रोल ऐवजी इंटरनेट ॲक्सेस नसलेल्या डीफॉल्ट 'logon' रोलमध्ये ठेवतो. सर्वात संभाव्य कॉन्फिगरेशन त्रुटी कोणती आहे?

टीप: ClearPass कंट्रोलरला रोल असाइनमेंट कशी संप्रेषित करते ते तपासा.

नमुना उत्तर पहा

रोल नावाच्या केस-सेन्सिटिव्हिटीमध्ये विसंगती आहे. ClearPass द्वारे परत केलेल्या Aruba-User-Role VSA चे मूल्य Aruba कंट्रोलरवर परिभाषित केलेल्या रोल नावाशी तंतोतंत जुळले पाहिजे. जर स्पेलिंगमध्ये किंवा केसमध्ये विसंगती असेल (उदा. 'Guest-Access' विरुद्ध 'guest-access'), तर कंट्रोलर रोल ओळखणार नाही आणि वापरकर्त्याला डीफॉल्ट प्रतिबंधित स्थितीत टाकेल.

Q2. एका रिटेल चेनला अतिथी ॲनालिटिक्ससाठी Purple WiFi तैनात करायचे आहे परंतु त्यांच्या सुरक्षा टीमचा असा आग्रह आहे की अनुपालनासाठी सर्व नेटवर्क ऑथेंटिकेशन इव्हेंट त्यांच्या सध्याच्या Aruba ClearPass सिस्टममध्ये मध्यवर्ती ठिकाणी लॉग केले जावेत. आर्किटेक्चर कसे डिझाइन केले जावे?

टीप: ॲक्सेस पॉइंट्स, ClearPass आणि Purple दरम्यान RADIUS ट्रॅफिक कसा वाहतो याचा विचार करा.

नमुना उत्तर पहा

RADIUS प्रॉक्सी आर्किटेक्चर लागू करा. सर्व RADIUS विनंत्या ClearPass कडे पाठवण्यासाठी Aruba कंट्रोलर्स कॉन्फिगर करा. ClearPass मध्ये, एक राउटिंग पॉलिसी तयार करा जी अतिथी SSID कडून Purple च्या क्लाउड RADIUS सर्व्हरकडे विनंत्या फॉरवर्ड करते. हे सुनिश्चित करते की Purple अतिथी पोर्टल आणि ॲनालिटिक्स हाताळते, तर ClearPass सर्व ऑथेंटिकेशन इव्हेंटचा संपूर्ण, केंद्रीकृत ऑडिट ट्रेल राखते.

Q3. एकत्रीकरण तैनात केल्यानंतर, मार्केटिंग टीमने अहवाल दिला की Purple ॲनालिटिक्स डॅशबोर्ड अभ्यागतांच्या 'ड्वेल टाइम' साठी शून्य डेटा दर्शवत आहे, जरी अतिथी यशस्वीरित्या कनेक्ट होत आहेत आणि इंटरनेट वापरत आहेत. कोणती कॉन्फिगरेशन पायरी सुटली आहे?

टीप: ड्वेल टाइम (थांबण्याचा वेळ) च्या गणनेसाठी केवळ सुरुवातीचे ऑथेंटिकेशन नव्हे, तर सेशनच्या स्थितीबद्दल सतत अपडेट्स आवश्यक असतात.

नमुना उत्तर पहा

RADIUS अकाउंटिंग Purple कडे प्रॉक्सी केले जात नाही आहे. ऑथेंटिकेशन प्रॉक्सी वापरकर्त्यांना नेटवर्कवर येण्याची परवानगी देत असले तरी, सेशनचा कालावधी आणि ड्वेल टाइम मोजण्यासाठी Purple ला RADIUS अकाउंटिंग पॅकेट्स (Acct-Start, Acct-Interim-Update, Acct-Stop) आवश्यक असतात. तुम्ही हे सुनिश्चित केले पाहिजे की ClearPass Purple कडे अकाउंटिंग डेटा प्रॉक्सी करण्यासाठी कॉन्फिगर केले आहे आणि कंट्रोलर अंतरिम अपडेट्स (उदा. दर ५ मिनिटांनी) पाठवण्यासाठी सेट केला आहे.

या मालिकेमध्ये पुढे वाचा

Server RADIUS: व्यवसायांसाठी एक सर्वसमावेशक मार्गदर्शिका

ही मार्गदर्शिका IT व्यवस्थापक, नेटवर्क आर्किटेक्ट आणि CTOs ना एंटरप्राइझ WiFi साठी server RADIUS ऑथेंटिकेशनवर एक निश्चित तांत्रिक संदर्भ प्रदान करते. यामध्ये AAA फ्रेमवर्क, 802.1X आर्किटेक्चर, EAP पद्धत निवड, क्लाउड विरुद्ध ऑन-प्रिमाइसेस डिप्लॉयमेंटचे फायदे-तोटे आणि डायनॅमिक VLAN असाइनमेंट समाविष्ट आहे. आदरातिथ्य (hospitality), रिटेल, इव्हेंट्स आणि सार्वजनिक क्षेत्रातील वेन्यू ऑपरेटर्सना असुरक्षित प्री-शेअर्ड की वरून सुरक्षित, ओळख-आधारित (identity-driven) नेटवर्क ऍक्सेस कंट्रोल आर्किटेक्चरमध्ये स्थलांतरित होण्यासाठी आवश्यक असणारे अंमलबजावणी मार्गदर्शन, वास्तविक जगातील केस स्टडीज आणि निर्णय घेण्याची फ्रेमवर्क मिळतील.

मार्गदर्शिका वाचा →

Cisco ISE विरुद्ध Purple WiFi: ते कसे तुलना करतात आणि एकत्र काम करतात

हे मार्गदर्शक स्पष्ट करते की Cisco ISE आणि Purple WiFi हे एंटरप्राइझ नेटवर्कमध्ये वेगळ्या पण पूरक भूमिका कशा बजावतात. सुरक्षित 802.1X कॉर्पोरेट ॲक्सेससाठी Cisco ISE कसे वापरावे आणि GDPR-सुसंगत अतिथी WiFi, मार्केटिंग ॲनालिटिक्स आणि CRM इंटिग्रेशनसाठी Purple चा कसा फायदा घ्यावा, हे यामध्ये तपशीलवार दिले आहे.

मार्गदर्शिका वाचा →

EAP-TLS vs EAP-TTLS: आपण कोणते प्रमाणपत्र-आधारित WiFi प्रोटोकॉल निवडावे?

हे मार्गदर्शक IEEE 802.1X अंतर्गत एंटरप्राइझ WiFi प्रमाणीकरणासाठी EAP-TLS आणि EAP-TTLS ची अंतिम तुलना प्रदान करते. हे परस्पर प्रमाणपत्र प्रमाणीकरण आणि केवळ-सर्व्हर प्रमाणपत्र टनेलिंगमधील आर्किटेक्चरल फरक स्पष्ट करते आणि IT व्यवस्थापक, नेटवर्क आर्किटेक्ट आणि CISOs यांना डिव्हाइस व्यवस्थापन क्षमता आणि अनुपालन आवश्यकतांवर आधारित स्पष्ट निर्णय फ्रेमवर्क देते. Purple कर्मचारी WiFi साठी EAP-TLS आणि EAP-TTLS दोन्ही प्रमाणीकरण मार्गांना समर्थन देते, आणि हे मार्गदर्शक संस्थांना कोणत्याही एका दृष्टिकोनाचा स्वीकार करण्यापूर्वी त्यांच्या पायाभूत सुविधांमधील तडजोड समजून घेण्यास मदत करते.

मार्गदर्शिका वाचा →