मुख्य मजकुराकडे जा
मराठी

Aruba साठी Captive Portal

Aruba Instant (IAP) आणि Aruba Central व्यवस्थापित ॲक्सेस पॉइंट्स कॉन्फिगर करण्यासाठी हे एक अधिकृत तांत्रिक संदर्भ मार्गदर्शक आहे जे अतिथी वापरकर्त्यांना Purple च्या उच्च-रूपांतरण करणाऱ्या, सुरक्षित बाह्य Captive Portal कडे रीडायरेक्ट करते. या मार्गदर्शकामध्ये चरण-दर-चरण अतिथी SSID सेटअप, बाह्य Captive Portal रीडायरेक्शन, RADIUS सर्व्हर ऑथेंटिकेशन आणि अकाउंटिंग पॅरामीटर्स, वॉल्ड गार्डन अपवाद सूची आणि WISPr सपोर्ट समाविष्ट आहे.

📖 11 मिनिट वाचन📝 2,686 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
ARUBA साठी CAPTIVE PORTAL: एंटरप्राइझ गेस्ट WIFI साठी PURPLE चे एकत्रीकरण एक Purple तांत्रिक माहितीपत्रक — साधारणपणे १० मिनिटे [प्रस्तावना आणि संदर्भ — साधारणपणे १ मिनिट] Purple तांत्रिक माहितीपत्रक मालिकेमध्ये आपले स्वागत आहे. मी तुमचा होस्ट आहे, आणि आज आपण अशा विषयावर बोलणार आहोत जो आपल्या प्रत्येक एंटरप्राइझ वायरलेस डिप्लॉयमेंटच्या संभाषणात येतो: Aruba इन्फ्रास्ट्रक्चरवर Captive Portal कसे कॉन्फिगर करायचे, आणि विशेषतः, त्या पोर्टलला Purple च्या गेस्ट WiFi इंटेलिजन्स प्लॅटफॉर्मशी कसे जोडायचे. जर तुम्ही Aruba Instant APs चालवत असाल, किंवा तुम्ही Aruba Central द्वारे ॲक्सेस पॉइंट्सचा समूह व्यवस्थापित करत असाल, तर हा एपिसोड तुमच्यासाठी आहे. आपण वेगाने पुढे जाऊ — हे एक प्रॅक्टिशनर माहितीपत्रक आहे, व्याख्यान नाही — त्यामुळे मी असे गृहीत धरतो की तुम्हाला WLAN कॉन्फिगरेशन स्क्रीन माहित आहे आणि तुम्हाला RADIUS ऑथेंटिकेशनच्या मूलभूत गोष्टी समजतात. आपण सोडवत असलेली मुख्य समस्या ही आहे: Aruba चे अंगभूत गेस्ट पोर्टल कार्यक्षम आहे, परंतु ते मर्यादित आहे. ते तुम्हाला मार्केटिंग डेटा कॅप्चर, GDPR-सुसंगत संमतीचे प्रवाह, किंवा एंटरप्राइझ ठिकाणांना आवश्यक असलेले रिअल-टाइम ॲनालिटिक्स देत नाही. त्याला Purple च्या बाह्य Captive Portal ने बदलणे हा योग्य आर्किटेक्चरल निर्णय आहे, आणि आज मी तुम्हाला हे नक्की कसे करायचे ते समजावून सांगेन. [तांत्रिक सखोल विश्लेषण — साधारणपणे ५ मिनिटे] चला आर्किटेक्चरपासून सुरुवात करूया. जेव्हा एखादा गेस्ट तुमच्या Aruba SSID शी कनेक्ट होतो आणि ब्राउझर उघडतो, तेव्हा AP तो HTTP विनंती TCP पोर्ट 80 वर अडवतो आणि त्याला बाह्य पोर्टल URL वर रिडायरेक्ट करतो — या प्रकरणात, Purple चे क्लाउड-होस्ट केलेले स्प्लॅश पेज. गेस्ट Purple च्या पोर्टलद्वारे ऑथेंटिकेट करतो, जे नंतर UDP पोर्ट 1812 वर Purple च्या RADIUS सर्व्हरना RADIUS Access-Request पाठवते. यशस्वी झाल्यावर, RADIUS सर्व्हर Access-Accept संदेश परत करतो आणि AP क्लायंटला पूर्ण इंटरनेट ॲक्सेस देतो. संपूर्ण सेशन दरम्यान UDP पोर्ट 1813 वर अकाउंटिंग रेकॉर्ड पाठवले जातात. हा मूलभूत प्रवाह आहे. आता आपण कॉन्फिगरेशन पाहूया. तुम्ही दोन मॅनेजमेंट प्लेन्ससह काम करत असण्याची शक्यता आहे: Aruba Instant, जे ArubaOS 8.x वर चालणारे ऑन-प्रिमाइसेस व्हर्च्युअल कंट्रोलर मॉडेल आहे, आणि Aruba Central, जे HPE चे क्लाउड मॅनेजमेंट प्लॅटफॉर्म आहे. कॉन्फिगरेशनच्या पायऱ्या संकल्पनेत समान आहेत परंतु सेटिंग्ज कुठे शोधायच्या यामध्ये फरक आहे. ArubaOS 8 वरील Aruba Instant पासून सुरुवात करूया. प्रथम, तुम्ही तुमचा RADIUS सर्व्हर कॉन्फिगर कराल. Security वर जा, नंतर Authentication Server निवडा, आणि New वर क्लिक करा. तुम्हाला Purple च्या प्लॅटफॉर्मवरून चार माहितीचे तुकडे हवे असतील: प्रायमरी सर्व्हर IP ॲड्रेस, ऑथेंटिकेशन पोर्ट — सहसा 1812 — अकाउंटिंग पोर्ट — सहसा 1813 — आणि शेअर्ड सिक्रेट. Purple हे तुमच्या व्हेन्यू कॉन्फिगरेशन डॅशबोर्डमध्ये प्रदान करते. लवचिकतेसाठी (resilience) एक सेकंडरी सर्व्हर जोडा; Purple मल्टि-रिजन RADIUS इन्फ्रास्ट्रक्चर चालवते, त्यामुळे तुमच्याकडे भौगोलिकदृष्ट्या योग्य बॅकअप असेल. पुढे, External Captive Portal प्रोफाइल तयार करा. Security वर जा, नंतर Captive Portal वर जा, New वर क्लिक करा आणि Type ला External वर सेट करा. तुमच्या Purple वेन्यू कॉन्फिगरेशनमधून स्प्लॅश पेज URL प्रविष्ट करा — हा एक Purple-होस्ट केलेला HTTPS एंडपॉइंट असेल. पोर्ट 443 वर सेट करा, Use HTTPS सक्षम करा आणि महत्त्वाचे म्हणजे, WISPr फील्ड Enabled वर सेट करा. WISPr — म्हणजेच Wireless Internet Service Provider roaming — हा तो प्रोटोकॉल आहे जो उपकरणांना captive portal आपोआप शोधण्याची आणि ते योग्यरित्या प्रदर्शित करण्याची अनुमती देतो, विशेषतः पार्श्वभूमीत captive portal शोधणाऱ्या iOS आणि Android उपकरणांवर. WISPr सक्षम केल्याशिवाय, काही उपकरणे पोर्टल स्वयंचलितपणे ट्रिगर करण्यात अयशस्वी ठरतील. आता, Guest SSID. एक नवीन WLAN तयार करा, Primary Usage ला Guest वर सेट करा आणि Security टॅबमध्ये, Splash Page Type ला External — RADIUS Server वर सेट करा. तुम्ही नुकतेच तयार केलेले captive portal प्रोफाइल आणि RADIUS सर्व्हर नियुक्त करा. Reauth Interval एका वाजवी वेळेवर सेट करा — 1440 मिनिटे, म्हणजेच 24 तास, हा आदरातिथ्य (hospitality) वातावरणासाठी एक सामान्य पर्याय आहे. जर तुम्हाला परत येणाऱ्या पाहुण्यांनी त्या कालावधीत पुढील भेटींवर पोर्टल बायपास करावे असे वाटत असेल, तर MAC प्रमाणीकरण (authentication) सक्षम करा. AOS-8 वरील Aruba Central साठी, प्रवाह मूलतः सारखाच आहे परंतु Devices, Config, WLANs अंतर्गत WLAN विझार्डद्वारे त्यात प्रवेश केला जातो. Security Level ला Visitors वर, Type ला External Captive Portal वर सेट करा आणि Purple स्प्लॅश URL सह एक नवीन captive portal प्रोफाइल तयार करा. तुमचे प्राथमिक आणि दुय्यम RADIUS सर्व्हर जोडा, अकाउंटिंग सक्षम करा आणि अकाउंटिंग interval पाच मिनिटांवर सेट करा. हा interval महत्त्वाचा आहे — हे अचूक ड्वेल टाइम (dwell time) आणि सहभाग अहवालासाठी Purple च्या अ‍ॅनालिटिक्स प्लॅटफॉर्मला नियमित सत्र अपडेट्स मिळण्याची खात्री देते. AOS-10 वर, जे क्लाउड-फर्स्ट आर्किटेक्चर आहे, एक महत्त्वाचा फरक आहे: वॉल्ड गार्डन (walled garden) आता WLAN Security टॅबमध्ये कॉन्फिगर केलेले नाही. त्याऐवजी, तुम्ही ते Access Rules द्वारे कॉन्फिगर करता. तुम्ही एक प्री-ऑथेंटिकेशन भूमिका (role) तयार करता — त्याला Guest Logon नाव द्या — आणि वॉल्ड गार्डन व्हाईटलिस्ट मधील प्रत्येक डोमेनसाठी परवानगी देणारे (allow) नियम जोडा. नंतर तुम्ही ती भूमिका SSID वर Pre-Authentication Role म्हणून नियुक्त करा. वॉल्ड गार्डनच्या संदर्भात — इथेच बहुतेक उपयोजन (deployments) चुकतात. वॉल्ड गार्डन ही अशा डोमेन्सची यादी आहे जिथपर्यंत अप्रमाणित पाहुणे पोर्टल प्रवाह पूर्ण करण्यापूर्वी पोहोचू शकतात. या नोंदींशिवाय, पोर्टल स्वतः लोड होणार नाही, कारण पाहुण्याचे उपकरण स्प्लॅश पेजची संसाधने डाउनलोड करण्यासाठी Purple CDN पर्यंत पोहोचू शकत नाही. अनिवार्य Purple नोंदी आहेत: star dot purple dot ai, star dot cloudfront dot net, आणि star dot venuewifi dot com. तुम्ही सोशल लॉगिन — Google, Facebook, Apple, Microsoft — वापरत असल्यास, तुम्हाला प्रत्येक प्रदात्यासाठी संबंधित OAuth डोमेन जोडणे आवश्यक आहे. Google साठी star dot google dot com, star dot googleapis dot com, आणि star dot gstatic dot com आवश्यक आहे. Facebook साठी star dot facebook dot com, star dot fbcdn dot net, आणि connect dot facebook dot net आवश्यक आहे. Apple साइन-इनसाठी star dot apple dot com आणि appleid dot apple dot com आवश्यक आहे. Microsoft Entra ID साठी star dot microsoft dot com आणि star dot microsoftonline dot com आवश्यक आहे. एक गोष्ट लक्षात घेण्यासारखी आहे: Aruba वर, तुम्ही captive portal प्रोफाइलमध्ये Automatic URL Whitelisting सक्षम करू शकता. हे वैशिष्ट्य पोर्टल पेज संदर्भित करत असलेल्या URLs ला डायनॅमिकली व्हाइटलिस्ट करते. हे फॉलबॅक (पर्यायी व्यवस्था) म्हणून उपयुक्त आहे, परंतु मी प्रोडक्शनमध्ये स्वयंचलित व्हाइटलिस्टिंगवर अवलंबून राहण्याऐवजी वॉल्ड गार्डन (walled garden) स्पष्टपणे कॉन्फिगर करण्याची शिफारस करेन — हे अधिक प्रेडिक्टेबल (अंदाजास योग्य) आणि ऑडिट करण्यासाठी सोपे आहे. चला विशेषतः RADIUS पॅरामीटर्सबद्दल बोलूया. Purple वापरत असलेले मुख्य ॲट्रिब्युट्स (attributes) आहेत: NAS-IP-Address, जो तुमचा AP किंवा कंट्रोलर ओळखतो; Called-Station-Id, ज्यामध्ये MAC-address:SSID-name या फॉरमॅटमध्ये BSSID आणि SSID असतो — Purple याचा वापर विशिष्ट ठिकाणांशी (venues) आणि ॲक्सेस पॉईंट्सशी सेशन्स मॅप करण्यासाठी करते; आणि Calling-Station-Id, जो क्लायंटचा MAC ॲड्रेस असतो. अकाउंटिंगच्या बाजूने, Acct-Session-Id युनिक सेशन आयडेंटिफायर प्रदान करतो, आणि Acct-Status-Type मध्ये Start, Interim-Update, आणि Stop इव्हेंट्स असतात. तुमचे Aruba कॉन्फिगरेशन हे तिन्ही अकाउंटिंग इव्हेंट प्रकार पाठवत असल्याची खात्री करा — काही डिप्लॉयमेंट्स फक्त Start आणि Stop पाठवतात, ज्याचा अर्थ असा होतो की अचूक ड्वेल टाईम (dwell time) गणनेसाठी आवश्यक असलेला अंतरिम सेशन डेटा Purple च्या ॲनालिटिक्समधून सुटतो. [अमलबजावणीच्या शिफारसी आणि त्रुटी — अंदाजे २ मिनिटे] हे डिप्लॉय करणाऱ्या कोणत्याही क्लायंटला मी देईन अशा व्यावहारिक शिफारसी मी तुम्हाला सांगतो. पहिले: लाईव्ह जाण्यापूर्वी नेहमी एका समर्पित (dedicated) चाचणी उपकरणासह (test device) चाचणी करा. गेस्ट SSID शी कनेक्ट करा, ब्राउझरमध्ये एखादी HTTP URL उघडा — HTTPS नाही — आणि रिडायरेक्ट योग्यरित्या कार्य करत असल्याची खात्री करा. जर तुम्ही थेट HTTPS वर गेलात, तर रिडायरेक्ट कार्य करणार नाही कारण AP एन्क्रिप्टेड ट्रॅफिक इंटरसेप्ट करू शकत नाही. आम्हाला येणाऱ्या सपोर्ट कॉल्समध्ये ही पहिल्या क्रमांकाची समस्या असते. दुसरे: फायरवॉल नियम (firewall rules). तुमच्या AP मॅनेजमेंट VLAN किंवा कंट्रोलरला पोर्ट्स १८१२ आणि १८१३ वरील Purple च्या RADIUS सर्व्हर IPs साठी आउटबाउंड UDP ॲक्सेसची आवश्यकता आहे. जर तुमच्या APs आणि इंटरनेट दरम्यान स्टेटफुल फायरवॉल असेल, तर ती या UDP फ्लोज् (flows) ला परवानगी देत असल्याची खात्री करा. RADIUS हे कनेक्शनलेस (connectionless) आहे, त्यामुळे काही फायरवॉल्सना स्टेटफुल इन्स्पेक्शनवर अवलंबून राहण्याऐवजी स्पष्ट नियमांची (explicit rules) गरज असते. तिसरे: सर्टिफिकेट ट्रस्ट (certificate trust). जेव्हा तुम्ही स्प्लॅश पेजची (splash page) URL HTTPS म्हणून कॉन्फिगर करता, तेव्हा AP ने Purple च्या पोर्टल सर्व्हरद्वारे सादर केलेल्या सर्टिफिकेटवर विश्वास ठेवणे आवश्यक असते. Aruba Central वर, HTTPS वर पोर्टल रिडायरेक्ट अचूकपणे काम करण्यापूर्वी तुम्हाला जागतिक सेटिंग्जमध्ये (global settings) एक विश्वसनीय CA सर्टिफिकेट इंपोर्ट करावे लागेल. Purple हे मोठ्या प्रमाणावर विश्वसनीय असलेल्या CA कडून मिळालेली सर्टिफिकेट्स वापरते, परंतु तुमच्या वातावरणात (environment) याची पडताळणी करणे योग्य ठरेल. चौथे: VLAN सेगमेंटेशन (VLAN segmentation). तुमचा गेस्ट SSID हा एका समर्पित (dedicated) VLAN वर असावा जो तुमच्या कॉर्पोरेट नेटवर्कपासून वेगळा (isolated) असेल. ही सुरक्षेची आवश्यकता देखील आहे — PCI DSS 3.2.1 नुसार कार्डधारकांच्या डेटा वातावरणासाठी नेटवर्क सेगमेंटेशन आवश्यक आहे — आणि captive portal च्या कार्यक्षमतेसाठी ही एक व्यावहारिक गरज देखील आहे. गेस्ट VLAN कडे इंटरनेट ॲक्सेस असावा परंतु अंतर्गत संसाधनांचा (internal resources) कोणताही मार्ग नसावा. पाचवे: WISPr सेटिंग. मी हे आधी नमूद केले आहे परंतु पुन्हा सांगणे आवश्यक आहे. WISPr सक्षम करा. त्याशिवाय, विशेषतः iOS डिव्हाइसेस captive portal स्वयंचलितपणे शोधू शकणार नाहीत, आणि पाहुण्यांना (guests) संभ्रमाचा अनुभव येईल जिथे ते कनेक्टेड असल्याचे दिसेल परंतु त्यांच्याकडे इंटरनेट ॲक्सेस नसेल. [झटपट प्रश्नोत्तरे — साधारण १ मिनिट] मला वारंवार विचारल्या जाणाऱ्या प्रश्नांचा आढावा घेऊ द्या. मी Aruba Instant On — हा लहान व्यवसायाचा उत्पादन — Purple सोबत वापरू शकतो का? होय, काही मर्यादांसह. Instant On बाह्य captive portals ना सपोर्ट करते, परंतु कॉन्फिगरेशन इंटरफेस पूर्ण Aruba Central पेक्षा अधिक मर्यादित आहे. Purple कडे एक समर्पित Instant On इंटिग्रेशन मार्गदर्शक आहे. कृप्टेड RADIUS साठी Purple RadSec ला सपोर्ट करते का? होय. Purple अशा डिप्लॉयमेंटसाठी TLS वरील RADIUS — RadSec — ला सपोर्ट करते जिथे RADIUS ट्रॅफिक असुरक्षित नेटवर्कमधून जाते. क्लाउड-व्यवस्थापित डिप्लॉयमेंट्ससाठी हे वाढत्या प्रमाणात संबंधित आहे जिथे RADIUS एक्सचेंज सार्वजनिक इंटरनेट ओलांडते. जर Purple पोर्टल पोहोचण्यायोग्य नसेल तर काय होईल? तुम्ही Captive Portal Failure सेटिंग एकतर Deny Internet — जे सुरक्षित डिफॉल्ट आहे — किंवा Allow Internet वर कॉन्फिगर करू शकता, जे फॉलबॅक ओपन ॲक्सेस मोड प्रदान करते. बहुतांश एंटरप्राइझ ठिकाणांसाठी, Deny Internet हा योग्य पर्याय आहे. मी एकाच Aruba इन्फ्रास्ट्रक्चरवर वेगवेगळ्या Purple ठिकाणांसह एकापेक्षा जास्त SSIDs चालवू शकतो का? नक्कीच. प्रत्येक SSID ला त्याचे स्वतःचे captive portal प्रोफाईल मिळते जे वेगळ्या Purple ठिकाणच्या URL कडे निर्देश करते. Called-Station-Id RADIUS ॲट्रिब्यूटमध्ये SSID नाव असते, ज्याचा वापर Purple योग्य ठिकाणच्या कॉन्फिगरेशनकडे सेशन रूट करण्यासाठी करते. [सारांश आणि पुढील पायऱ्या — साधारण १ मिनिट] चला तर हे सर्व एकत्र करूया. Aruba इन्फ्रास्ट्रक्चरवर बाह्य captive portal म्हणून Purple डिप्लॉय करणे हा एक अत्यंत लोकप्रिय इंटिग्रेशन मार्ग आहे. महत्त्वाच्या पायऱ्या आहेत: तुमचे RADIUS सर्व्हर्स Purple च्या क्रेडेंशियल्ससह कॉन्फिगर करा, WISPr सुरू करून तुमच्या Purple स्प्लॅश URL कडे निर्देश करणारे बाह्य captive portal प्रोफाईल तयार करा, एक्सटर्नल RADIUS सर्व्हर स्प्लॅश प्रकारासह तुमचा गेस्ट SSID तयार करा, आणि तुमच्या वॉल्ड गार्डनला Purple कोर डोमेन्स आणि तुम्ही सुरू करत असलेल्या कोणत्याही सोशल लॉगिन प्रदाता डोमेन्ससह कॉन्फिगर करा. लक्षात ठेवण्यासारखा AOS-10 मधील फरक म्हणजे वॉल्ड गार्डन कॉन्फिगरेशन WLAN Security टॅबऐवजी Access Rules वर जाते. व्यावसायिक दृष्टीकोनातून, Aruba च्या बेसिक स्थानिक पोर्टलला Purple ने बदलल्याने तुम्हाला GDPR-सुसंगत डेटा कॅप्चर, रिअल-टाइम लोकेशन ॲनालिटिक्स, डेमोग्राफिक रिपोर्टिंग आणि मार्केटिंग ऑटोमेशन मिळते — तेही तुमच्या मालकीच्या त्याच WiFi इन्फ्रास्ट्रक्चरवरून. तुमच्या पुढील पायऱ्यांसाठी: Purple डॅशबोर्डवरून तुमचे Purple ठिकाणचे RADIUS क्रेडेंशियल्स मिळवा, सोबतच्या लिखित मार्गदर्शकातील कॉन्फिगरेशन चेकलिस्ट तपासा, आणि प्रोडक्शनमध्ये रोल आउट करण्यापूर्वी एका समर्पित डिव्हाइससह चाचणी करा. तुम्ही एकाधिक साईट्सवर डिप्लॉय करत असल्यास, Purple चे मल्टी-साईट मॅनेजमेंट कन्सोल तुम्हाला एकाच इंटरफेसवरून तुमच्या संपूर्ण मालमत्तेत captive portal कॉन्फिगरेशन, ब्रँडिंग आणि ॲनालिटिक्स व्यवस्थापित करू देते. ऐकल्याबद्दल धन्यवाद. संपूर्ण लिखित मार्गदर्शक, कॉन्फिगरेशन टेबल्स आणि वॉल्ड गार्डन संदर्भ सूची purple dot ai वर उपलब्ध आहेत. पुन्हा भेटू. [स्क्रिप्ट समाप्त]

📚 आमच्या मुख्य मालिकेचा भाग: मल्टी-टेनंट WiFi

header_image.png

Executive Summary

For enterprise wireless engineers, network architects, and venue operations directors, deploying a robust guest wireless infrastructure is no longer just about providing basic internet access. Modern venues require a solution that balances strict network security, regulatory compliance, and a high-converting guest experience. While HPE Aruba's native captive portal capabilities are highly reliable, they lack the sophisticated marketing data capture, global multi-site scalability, and real-time location and demographic analytics required by enterprise venues in hospitality, retail, and public sectors.

By integrating Purple directly with Aruba Instant (IAP) or Aruba Central managed access points, organisations can replace basic local splash pages with a secure, highly-scalable, global guest portal. This integration leverages standard network protocols, including Remote Authentication Dial-In User Service (RADIUS) and Wireless Internet Service Provider roaming (WISPr), to deliver seamless, secure, and brand-consistent onboarding. This technical reference guide provides the exact configuration parameters, architectural diagrams, and troubleshooting workflows required to successfully deploy Purple on Aruba infrastructure.

Technical Deep-Dive

The integration of Purple with Aruba wireless infrastructure relies on a standard external captive portal redirect and RADIUS authentication flow. This architecture ensures that user authentication and traffic accounting are handled securely in the cloud, while local access points enforce access control and quality of service (QoS) policies.

The Captive Portal Redirect Flow

When an unauthenticated client associates with the guest Service Set Identifier (SSID), the Aruba access point intercepts the client's initial HTTP request (typically TCP port 80) and performs a HTTP 302 redirect to Purple's cloud-hosted splash page.

+--------------+             +-----------------+             +------------------+             +------------------+
| Guest Device |             |  Aruba AP / AP  |             |  Purple Captive  |             |  Purple RADIUS   |
|   (Client)   |             |  (Central/IAP)  |             |  Portal (Cloud)  |             |  Server (Cloud)  |
+--------------+             +-----------------+             +------------------+             +------------------+
       |                              |                               |                                |
       |-- 1. Associates to SSID ---->|                               |                                |
       |                              |                               |                                |
       |-- 2. HTTP Request (TCP 80) ->|                               |                                |
       |                              |-- 3. HTTP 302 Redirect ------>|                                |
       |<-- 4. Presents Splash Page ----------------------------------|                                |
       |                              |                               |                                |
       |-- 5. Submits Login Form ------------------------------------>|                                |
       |                              |                               |-- 6. RADIUS Access-Request --->|
       |                              |<-- 7. RADIUS Access-Accept ------------------------------------|
       |                              |      (with Session Timeout)   |                                |
       |<-- 8. Internet Granted ------|                               |                                |
       |                              |                               |                                |
       |                              |-- 9. RADIUS Accounting Start --------------------------------->|
       |                              |-- 10. RADIUS Accounting Interim (every 5 min) ---------------->|

architecture_overview.png

RADIUS Authentication and Accounting Parameters

Once the guest submits their credentials or completes a social login on the Purple splash page, the Purple portal backend communicates with the local Aruba access point or controller to initiate RADIUS authentication. The Aruba AP acts as the Network Access Server (NAS) and sends a RADIUS Access-Request to Purple's cloud RADIUS servers on UDP port 1812.

To ensure accurate session tracking, policy enforcement, and reporting, the following RADIUS attributes must be exchanged:

Attribute Name Attribute ID Description Practical Context
NAS-IP-Address 4 The management IP address of the Aruba virtual controller or AP. Identifies the physical hardware originating the authentication request.
Calling-Station-Id 31 The MAC address of the client device (typically formatted as XX-XX-XX-XX-XX-XX). Used by Purple to track unique devices and enforce MAC caching for returning guests.
Called-Station-Id 30 The MAC address of the AP radio (BSSID) combined with the SSID name (formatted as MAC:SSID). Crucial for Purple to identify the exact physical venue and specific SSID the user is connecting to.
Acct-Session-Id 44 A unique identifier generated by the AP for each client session. Links authentication events with subsequent accounting start, interim, and stop records.
Acct-Status-Type 40 Indicates the type of accounting record: Start (1), Stop (2), or Interim-Update (3). Enables real-time tracking of active sessions and accurate dwell-time calculations.
Acct-Interim-Interval 85 Specifies the frequency (in seconds) of interim accounting updates sent by the AP. Must be set to 300 seconds (5 minutes) to ensure Purple's analytics dashboard displays accurate real-time data.

The Walled Garden (Exception List) Architecture

Before a user is authenticated, the Aruba AP restricts all traffic except for destinations explicitly defined in the Walled Garden (or exception list). Because Purple's portal is cloud-hosted and relies on external identity providers (such as Google, Facebook, and Apple) for social authentication, the AP must allow unauthenticated clients to resolve DNS and communicate with these external domains.

If any required domain is omitted from the walled garden, the guest will experience a blank page, broken CSS, missing images, or a complete timeout during the login flow.

walled_garden_infographic.png

Implementation Guide

Deploying Purple on Aruba wireless infrastructure can be achieved via Aruba Instant (IAP) running ArubaOS 8.x (on-premises virtual-controller mode) or Aruba Central (cloud-managed AOS-8 or AOS-10).

Aruba Instant (IAP) Configuration (ArubaOS 8.x)

Step 1: Configure RADIUS Servers

  1. Log in to the Aruba Instant AP virtual controller web interface.
  2. Navigate to Security > Authentication Server and click New.
  3. Configure the Primary RADIUS Server with the following parameters:
    • Name: Purple_Primary
    • IP Address: 34.94.146.135
    • Auth Port: 1812
    • Acct Port: 1813
    • Shared Key: [Provided in your Purple Venue Dashboard]
  4. Click OK to save.
  5. Click New again to configure the Secondary RADIUS Server:
    • Name: Purple_Secondary
    • IP Address: 34.94.183.201
    • Auth Port: 1812
    • Acct Port: 1813
    • Shared Key: [Provided in your Purple Venue Dashboard]
  6. Click OK to save.

Step 2: Create the Captive Portal Profile

  1. Navigate to Security > Captive Portal and click New.
  2. Configure the profile with the following settings:
    • Name: Purple_Portal
    • Type: External
    • IP or Hostname: portal.venuewifi.com
    • URL: /
    • Port: 443
    • Use HTTPS: Enabled
    • Redirect URL: https://portal.venuewifi.com
    • WISPr: Enabled (Crucial for auto-triggering the portal on iOS and Android devices)
  3. Click OK to save.

Step 3: Configure the Walled Garden Whitelist

  1. In the Security > Captive Portal menu, select your newly created Purple_Portal profile.
  2. Under the Walled Garden section, click the link to open the whitelist configuration.
  3. Add the following core Purple domains:
    • *.purple.ai
    • *.cloudfront.net
    • *.venuewifi.com
  4. If social login is enabled, add the respective domains (e.g., *.google.com, *.facebook.com, *.apple.com).
  5. Click Save.

Step 4: Create and Configure the Guest SSID

  1. Navigate to Network > New to start the WLAN wizard.
  2. On the WLAN Settings tab:
    • Name (SSID): Guest-WiFi
    • Primary Usage: Guest
    • Click Next.
  3. On the VLAN tab, configure IP and VLAN assignment according to your network architecture (typically Client IP assignment: Network Assigned on a dedicated guest VLAN). Click Next.
  4. On the Security tab:
    • Splash Page Type: External
    • Captive Portal Profile: Select Purple_Portal
    • Auth Server 1: Select Purple_Primary
    • Auth Server 2: Select Purple_Secondary
    • Reauth Interval: 1440 (24 hours, or as per venue policy)
    • Accounting: Enabled
    • Accounting Interval: 5 minutes
  5. Click Next to proceed to the Access tab. Ensure the default guest rule allows DHCP and DNS pre-authentication, then click Finish.

Aruba Central Configuration (AOS-8 and AOS-10)

Aruba Central AOS-8

  1. Navigate to Devices under the Manage section of your group in Aruba Central.
  2. Click Config (gear icon) on the top right, then go to the WLANs tab and click + Add SSID.
  3. In Step 1: General, enter the SSID name (e.g., Guest-WiFi) and click Next.
  4. In Step 2: VLANs, configure your guest VLAN mapping and click Next.
  5. In Step 3: Security:
    • Set Security Level to Visitors.
    • Set Type to External Captive Portal.
    • Ensure Key Management is set to Open (do not use Enhanced Open/OWE for standard guest portals as it can cause client compatibility issues).
    • Click the + icon next to Captive Portal Profile to add a new profile:
      • Name: Purple_Central_Portal
      • IP or Hostname: portal.venuewifi.com
      • URL: /
      • Port: 443
      • Redirect URL: https://portal.venuewifi.com
      • Use HTTPS: True
      • Captive Portal Failure: Deny Internet (Recommended for security compliance)
    • Click Save.
    • Click the + icon next to Primary Server and Secondary Server to add the Purple RADIUS servers using the IPs 34.94.146.135 and 34.94.183.201 respectively, with ports 1812 (Auth) and 1813 (Acct).
    • Expand Advanced Settings, scroll to Accounting, select Use authentication servers, and set Accounting Interval to 5 minutes.
  6. Scroll down to the Walled Garden section, click + Add, and input the required Purple and social login domains.
  7. Click Save Settings.

Aruba Central AOS-10

In AOS-10, the walled garden configuration moves from the WLAN Security tab to Access Rules.

  1. Follow the same SSID and RADIUS configuration steps as AOS-8 above.
  2. In the SSID wizard, navigate to the Access tab.
  3. Click + Add Role and create a pre-authentication role named Purple_Pre_Auth.
  4. In the rules editor for this role, configure explicit Allow rules for DNS, DHCP, and the required walled garden domains (e.g., *.purple.ai, *.venuewifi.com).
  5. Scroll down to Assign Pre-Authentication Role, enable the option, and select Purple_Pre_Auth from the dropdown.
  6. The post-authorisation role (typically matching the SSID name) should remain configured with Allow any to all destinations or your specific corporate access policies.
  7. Click Save Settings.

Best Practices

To ensure maximum performance, security, and compliance, network architects must adhere to the following industry standards and vendor-neutral best practices when deploying captive portals on Aruba and Purple.

1. Secure Certificate Management

Aruba access points must present a valid, trusted SSL/TLS certificate during the captive portal redirect flow.

  • Avoid Self-Signed Certificates: If the AP presents a self-signed certificate, modern browsers will display a highly visible "Your connection is not private" warning, severely damaging guest trust and reducing conversion rates.
  • Deploy a Trusted CA Certificate: Upload a wildcard certificate from a globally recognised Certificate Authority (CA) to your Aruba Central global settings or Instant virtual controllers. Ensure that the intermediate and root certificates are combined into a single file to complete the trust chain.

2. Network Segmentation and Compliance

Guest traffic must be kept entirely separate from corporate and administrative traffic to mitigate security risks and ensure compliance with industry standards.

  • VLAN Isolation: Map the guest SSID to a dedicated, non-routable VLAN. Use Access Control Lists (ACLs) on the upstream core switch or firewall to prevent any routing between the guest VLAN and internal corporate subnets.
  • PCI DSS Compliance: If your venue processes card payments (e.g., retail point-of-sale), network segmentation is a mandatory requirement under PCI DSS Requirement 1.2 [3]. Guest WiFi must be physically or logically isolated from the Cardholder Data Environment (CDE).
  • GDPR and Data Privacy: Ensure that the Purple portal is configured to display explicit, un-ticked consent checkboxes for marketing opt-ins, meeting the strict requirements of the General Data Protection Regulation (GDPR) [4].

3. Optimising WISPr and Captive Portal Detection

Modern mobile operating systems use active probing to detect captive portals immediately upon association.

  • Enable WISPr: Always ensure that WISPr support is enabled in your Aruba captive portal profile. This protocol passes XML-formatted metadata to the client operating system, allowing iOS (Captive Network Assistant) and Android (Captive Portal Login) to gracefully launch the login screen in a dedicated browser window.
  • Prevent "Enhanced Open" (OWE) Issues: While Opportunistic Wireless Encryption (OWE) provides encryption on open networks, many legacy client devices do not support it. For public guest networks, stick to standard Open key management to maximise device compatibility.

Troubleshooting & Risk Mitigation

Even with meticulous planning, captive portal deployments can encounter common failure modes. The following troubleshooting matrix provides immediate, actionable steps for wireless engineers.

Captive Portal Troubleshooting Matrix

Symptom Probable Cause Diagnostic Steps Actionable Solution
Guest associates but the splash page does not load (Timeout/Blank Page). Missing or incomplete Walled Garden configuration. Attempt to ping portal.venuewifi.com from a wired device on the same VLAN. Check if the device is trying to load external resources (e.g., social login scripts) that are blocked. Explicitly add *.purple.ai, *.venuewifi.com, and *.cloudfront.net to the Aruba walled garden. Verify that DNS resolution is allowed in the pre-auth role.
Guest is redirected but browser displays an SSL/TLS Certificate Warning. The Aruba AP is presenting an untrusted or self-signed certificate for the local redirect page. Inspect the browser certificate details to see which certificate is being presented. Upload a valid, trusted SSL certificate signed by a public CA to the Aruba virtual controller or Central global settings.
Guest completes the login form but is not granted internet access (Redirect Loop). RADIUS communication failure between the Aruba AP and Purple servers. Check the Aruba virtual controller logs for RADIUS timeouts or access-rejects. Run show auth-survivability or check firewall logs. Verify that outbound UDP ports 1812 (Auth) and 1813 (Acct) are open on your perimeter firewall. Ensure the RADIUS shared secret matches exactly on both Purple and Aruba.
The captive portal does not auto-popup on iOS or Android devices. WISPr is disabled, or the AP is blocking the operating system's captive portal detection URLs. Verify if the device can access the internet without logging in, or if it remains connected with "No Internet" and no popup. Enable WISPr in the Aruba captive portal profile. Ensure that captive portal detection URLs (e.g., captive.apple.com, connectivitycheck.gstatic.com) are not blocked by custom pre-auth ACLs.
Real-time dwell-time analytics are inaccurate or missing in Purple. RADIUS Accounting is disabled or the accounting interval is set too high. Check the AP configuration to see if accounting is enabled and inspect the interval. Enable RADIUS Accounting on the Aruba SSID. Set the Accounting Interval to exactly 5 minutes (300 seconds) to ensure regular session updates.

ROI & Business Impact

Transitioning from a basic, local captive portal to an enterprise-grade WiFi intelligence platform like Purple delivers measurable business outcomes across operations, marketing, and network management.

Operational Efficiency and Scalability

Managing individual local captive portals across hundreds of retail stores, hotels, or public venues is an administrative bottleneck. Purple provides a centralised, cloud-managed console that allows IT teams to deploy, update, and audit captive portal configurations globally with a single click. This reduces configuration drift, ensures consistent branding, and slashes administrative overhead by up to 60%.

Data Monetisation and Marketing ROI

For industries like Retail and Hospitality, guest WiFi is a powerful channel for customer acquisition and engagement. Purple replaces anonymous connections with rich demographic profiles.

  • Direct Integration: Purple integrates with CRM and marketing automation platforms to trigger real-time, context-aware campaigns. For example, a retail venue can trigger a personalised discount SMS the moment a loyalty customer connects to the guest WiFi.
  • Measurable Footfall Analytics: By analysing RADIUS accounting data and BSSID associations, Purple provides highly accurate dwell-time, return-rate, and path-analysis reporting. This data enables venue operations directors to optimise staffing levels, evaluate window display effectiveness, and measure the direct ROI of marketing campaigns.

Cost-Benefit Analysis: Native Aruba vs. Purple Integration

Feature / Metric Native Aruba Local Portal Aruba + Purple Integration Business Impact
Centralised Multi-Site Management Limited. Requires individual configuration per virtual controller or complex Central group mapping. Fully Centralised. Manage thousands of venues and SSIDs from a single cloud dashboard. Reduces IT overhead and eliminates configuration drift across distributed estates.
Data Capture & Compliance Basic form capture. No built-in GDPR/CCPA consent validation workflows. Enterprise-grade. Automated, legally-compliant consent tracking with real-time API sync to CRMs. Mitigates legal risk and ensures compliance with global privacy regulations [4].
Social Authentication Requires custom external web development and manual API maintenance. Out-of-the-box support for Google, Facebook, Apple, Microsoft, LinkedIn, and SMS. Increases conversion rates by up to 40% through friction-free login options.
Analytics & Reporting Basic session logs (IP, MAC, connect time). No demographic or behaviour tracking. Rich analytics: age, gender, dwell-time, return rates, heatmaps, and cross-venue roaming. Drives marketing ROI and provides actionable business intelligence for operations.

महत्वाच्या व्याख्या

Captive Portal

एक वेब पृष्ठ जे Wi-Fi नेटवर्कच्या नवीन कनेक्ट केलेल्या वापरकर्त्यांना नेटवर्क संसाधनांमध्ये व्यापक प्रवेश मिळण्यापूर्वी प्रदर्शित केले जाते.

अतिथी डेटा कॅप्चर करण्यासाठी, सेवा अटी लागू करण्यासाठी आणि ब्रँडेड विपणन सामग्री प्रदर्शित करण्यासाठी वापरले जाते.

RADIUS (Remote Authentication Dial-In User Service)

एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा कनेक्ट करणाऱ्या आणि वापरणाऱ्या वापरकर्त्यांसाठी केंद्रीकृत प्रमाणीकरण (Authentication), अधिकृतता (Authorization) आणि लेखांकन (Accounting) (AAA) व्यवस्थापन प्रदान करतो.

Purple बाह्य RADIUS सर्व्हर म्हणून कार्य करते, अतिथींचे प्रमाणीकरण करते आणि त्यांच्या सत्र कालावधीचा मागोवा घेते.

WISPr (Wireless Internet Service Provider roaming)

एक मसुदा प्रोटोकॉल जो स्वतंत्र वायरलेस इंटरनेट सेवा प्रदात्यांना सामान्य लॉगिन पोर्टल वापरून वापरकर्त्यांना एकमेकांच्या नेटवर्कवर रोमिंग करण्याची परवानगी देतो.

Aruba AP वर WISPr सक्षम केल्याने आधुनिक स्मार्टफोन स्वयंचलितपणे Captive Portal शोधू शकतात आणि सिस्टम-नेटिव्ह विंडोमध्ये स्प्लॅश पृष्ठ प्रदर्शित करू शकतात.

Walled Garden

वेबसाइट्स किंवा डोमेन्सचा एक मर्यादित संच ज्यामध्ये अप्रमाणित वापरकर्त्याला Captive Portal लॉगिन प्रक्रिया पूर्ण करण्यापूर्वी प्रवेश करण्याची परवानगी दिली जाते.

प्रमाणित होण्यापूर्वी अतिथींना स्प्लॅश पृष्ठ मालमत्ता (CSS, JS, प्रतिमा) लोड करण्याची आणि सोशल लॉगिन प्रदात्यांमध्ये (Google, Facebook) प्रवेश करण्याची परवानगी देण्यासाठी महत्त्वपूर्ण आहे.

BSSID (Basic Service Set Identifier)

विशिष्ट SSID साठी वायरलेस ॲक्सेस पॉइंटच्या रेडिओ इंटरफेसचा MAC पत्ता.

RADIUS Called-Station-Id गुणधर्मामध्ये पाठवले जाते, ज्यामुळे Purple ला वापरकर्त्याचे भौतिक स्थान विशिष्ट AP शी मॅप करण्याची अनुमती मिळते.

NAS-IP-Address

RADIUS विनंतीची उत्पत्ती करणाऱ्या नेटवर्क ॲक्सेस सर्व्हरचा (Aruba AP किंवा कंट्रोलर) IP पत्ता.

कोणते भौतिक हार्डवेअर प्रमाणीकरणाची विनंती करत आहे हे ओळखण्यासाठी RADIUS पॅकेट्समध्ये वापरले जाते.

RadSec

TCP वर ट्रान्सपोर्ट लेयर सिक्युरिटी (TLS) वापरून RADIUS व्यवहार सुरक्षित करणारा प्रोटोकॉल.

स्थानिक AP आणि Purple च्या क्लाउड दरम्यानच्या असुरक्षित सार्वजनिक नेटवर्कवरून जाताना RADIUS प्रमाणीकरण आणि लेखांकन ट्रॅफिक कूटबद्ध करण्यासाठी वापरले जाते.

Enhanced Open (OWE)

Wi-Fi प्रमाणित इझी कनेक्टचा विस्तार जो पासवर्डशिवाय ओपन नेटवर्कवर वायरलेस ट्रान्समिशनचे कूटबद्धीकरण प्रदान करतो.

जुन्या अतिथी उपकरणांसह सुसंगतता समस्या उद्भवू शकतात; सार्वजनिक Captive Portals साठी मानक ओपन सुरक्षा शिफारस केली जाते.

सोडवलेली उदाहरणे

एक एंटरप्राइझ वायरलेस इंजिनिअर १५० स्टोअर्स असलेल्या राष्ट्रीय रिटेल साखळीत गेस्ट WiFi तैनात करत आहे. प्रत्येक स्टोअरमध्ये Aruba Central द्वारे व्यवस्थापित केलेले ३-५ Aruba Instant APs आहेत. मार्केटिंग टीमला Facebook आणि Google सोशल लॉगिन पर्यायांसह ब्रँडेड Captive Portal ची आवश्यकता आहे, आणि अनुपालन (compliance) टीमने अशी सक्ती केली आहे की गेस्ट ट्रॅफिक स्टोअरच्या पॉइंट-ऑफ-सेल (PoS) नेटवर्कपासून पूर्णपणे वेगळे असले पाहिजे. याचे आर्किटेक्चर आणि कॉन्फिगरेशन कसे केले पाहिजे?

१. नेटवर्क सेगमेंटेशन (Network Segmentation): Aruba APs वरील VLAN १०० ला गेस्ट SSID मॅप करा. लोकल स्विच पोर्ट्स ट्रंक पोर्ट्स म्हणून कॉन्फिगर करा, ज्यामुळे VLAN १०० ला परवानगी मिळेल. स्टोअरच्या गेटवे फायरवॉलवर, DHCP स्कोप आणि आउटबाउंड-ओनली NAT पॉलिसीसह VLAN १०० कॉन्फिगर करा. VLAN १०० कडून PoS VLAN (VLAN १०) कडे जाणारे सर्व ट्रॅफिक ड्रॉप करण्यासाठी फायरवॉलवर ACL लागू करा. २. Aruba Central मध्ये RADIUS आणि पोर्टल कॉन्फिगरेशन: VLAN १०० वर 'Store-Guest' नावाचे नवीन SSID तयार करा. सिक्युरिटी 'Visitors' वर आणि स्प्लॅश पेज 'External Captive Portal' वर सेट करा. १८१२/१८१३ पोर्ट्ससह Purple चे प्रायमरी RADIUS सर्व्हर (34.94.146.135) आणि सेकंडरी सर्व्हर (34.94.183.201) जोडा. ५ मिनिटांच्या इंटरव्हलसह RADIUS Accounting सक्षम करा. ३. वल्ड गार्डन (Walled Garden): खालील गोष्टी समाविष्ट करण्यासाठी Aruba Central मध्ये वल्ड गार्डन कॉन्फिगर करा: *.purple.ai, *.venuewifi.com, *.cloudfront.net (Purple कोरसाठी), आणि सोशल लॉगिन डोमेन्स: *.google.com, *.googleapis.com, *.gstatic.com (Google साठी) आणि *.facebook.com, *.fbcdn.net, connect.facebook.net (Facebook साठी). ४. टेस्टिंग: 'Store-Guest' शी एक चाचणी डिव्हाइस कनेक्ट करा, DHCP VLAN १०० वर IP असाइन करत असल्याची खात्री करा, ब्राउझर HTTPS द्वारे Purple पोर्टलवर रिडायरेक्ट होत असल्याची पुष्टी करा, Facebook लॉगिन पूर्ण करा आणि अंतर्गत PoS रिसोर्सेस पूर्णपणे अगम्य असताना इंटरनेट ऍक्सेस मिळत असल्याची खात्री करा.

परीक्षकाचे भाष्य: हा दृष्टिकोन अत्यंत प्रभावी आहे कारण तो सुरक्षितता आणि वापरकर्ता अनुभव दोन्ही गोष्टींकडे लक्ष देतो. फिजिकल स्विच आणि गेटवे फायरवॉलवर VLAN आयसोलेशन वापरल्याने मजबूत PCI DSS अनुपालन सुनिश्चित होते, ज्यामुळे गेस्ट डिव्हाइसेस CDE पर्यंत पोहोचण्यापासून रोखले जातात. वल्ड गार्डनमध्ये सोशल लॉगिन डोमेन्स स्पष्टपणे परिभाषित करणे महत्त्वपूर्ण आहे; 'Automatic URL Whitelisting' वर अवलंबून राहिल्यास काहीवेळा सोशल प्रोव्हाइडरने त्यांचे CDN सबडोमेन्स डायनॅमिकली बदलल्यास तात्पुरते अपयश येऊ शकते. RADIUS अकाउंटिंग इंटरव्हल ५ मिनिटांवर सेट केल्याने AP च्या CPU वर ओव्हरलोड न पडता मार्केटिंग टीमला उच्च-गुणवत्तेचे ड्वेल-टाइम (dwell-time) अ‍ॅनालिटिक्स मिळतात.

५०,००० आसनांचे स्टेडियम ठिकाण उच्च-घनतेच्या AP-५५५ ऍक्सेस पॉइंट्ससह AOS-१० वर Aruba Central चालवत आहे. इव्हेंटच्या पीक अवर्स दरम्यान, हजारो वापरकर्ते एकाच वेळी गेस्ट WiFi शी कनेक्ट करण्याचा प्रयत्न करतात. आयटी डायरेक्टरला व्हर्च्युअल कंट्रोलरवर Captive Portal रिडायरेक्टच्या परफॉर्मन्सच्या परिणामाबद्दल काळजी वाटत आहे आणि त्यांना ऑथेंटिकेशन प्रक्रिया शक्य तितकी जलद आणि लवचिक असावी अशी खात्री करायची आहे. कोणते प्रगत कॉन्फिगरेशन्स लागू केले जावेत?

१. प्री-ऑथेंटिकेशन रोल (AOS-१०): AOS-१० मध्ये, 'Stadium-Pre-Auth' नावाचा एक समर्पित प्री-ऑथेंटिकेशन रोल कॉन्फिगर करा. DHCP (UDP 67-68), DNS (UDP 53) आणि Purple वल्ड गार्डन डोमेन्सवरील आउटबाउंड ट्रॅफिकला परवानगी देणारा ACL लागू करा. SSID सेटिंग्जमध्ये हा रोल 'Pre-Authentication Role' म्हणून असाइन करा. यामुळे पॅकेट फिल्टरिंगचा लोड सेंट्रल कंट्रोलरवरून वैयक्तिक APs वर विभागला जातो. २. RADIUS लोड बॅलन्सिंग: Aruba Central मध्ये, प्रायमरी आणि सेकंडरी Purple RADIUS सर्व्हरवर RADIUS लोड बॅलन्सिंग सक्षम करा. हे पीक इनग्रेस विंडोज दरम्यान ऑथेंटिकेशन लोड समान रीतीने वितरीत करते. ३. सर्व्हर ऑफलोड: Captive Portal प्रोफाइल सेटिंग्जमध्ये 'Server Offload' सक्षम करा. हे नॉन-ब्राउझर क्लायंट अ‍ॅप्लिकेशन्स (जसे की बॅकग्राउंड मोबाईल अ‍ॅप्स, सिस्टम अपडेट्स किंवा IoT डिव्हाइसेस) वारंवार एक्सटर्नल Captive Portal वर रिडायरेक्ट होण्यापासून रोखते, ज्यामुळे AP CPU सायकल्स आणि WAN बँडविड्थची बचत होते. ४. Captive Portal फेल्युअर पॉलिसी: 'Captive Portal Failure' ला 'Deny Internet' वर सेट करा. 'Allow Internet' हे ग्राहकांसाठी अनुकूल वाटत असले तरी, अत्यंत गंभीर नेटवर्क इव्हेंट दरम्यान यामुळे अनियंत्रित ओपन ऍक्सेस मिळू शकतो, ज्यामुळे सुरक्षा नियंत्रणे बायपास होतात आणि DHCP पूल संपतात.

परीक्षकाचे भाष्य: स्टेडियमसारख्या उच्च-घनतेच्या वातावरणासाठी डिस्ट्रिब्युटेड प्रोसेसिंग मॉडेलची आवश्यकता असते. AOS-१० मधील ऍक्सेस नियमांद्वारे वल्ड गार्डन कॉन्फिगर केल्याने हे सुनिश्चित होते की ऍक्सेस कंट्रोल लिस्ट गेटवेवर टनेल करण्याऐवजी AP च्या हार्डवेअर-अ‍ॅक्सिलरेटेड डेटा पाथमध्ये स्थानिक पातळीवर संकलित आणि कार्यान्वित केल्या जातात. स्टेडियम डिप्लॉयमेंटसाठी सर्व्हर ऑफलोड सक्षम करणे ही एक इंडस्ट्री-स्टँडर्ड सर्वोत्तम पद्धत आहे; हजारो लॉक केलेल्या फोन्सवरील बॅकग्राउंड अ‍ॅप्स एकाच वेळी त्यांच्या संबंधित क्लाउड सर्व्हरवर पोहोचण्याचा प्रयत्न करत असताना उद्भवणाऱ्या 'Captive Portal Storm' चा प्रभाव यामुळे कमी होतो.

सराव प्रश्न

Q1. एक नेटवर्क अभियंता Aruba Instant AP क्लस्टरवर नवीन अतिथी SSID कॉन्फिगर करतो. चाचणी करताना, ते SSID शी जोडतात, परंतु ब्रँडेड Purple स्प्लॅश पृष्ठाऐवजी, त्यांना ब्राउझर टाइमआउट एरर दिसते. या समस्येचे सर्वात संभाव्य कारण काय आहे आणि कोणती ट्रबलशूटिंग पावले उचलली पाहिजेत?

टीप: प्रमाणीकरण करण्यापूर्वी क्लायंट डिव्हाइसला क्लाउड-होस्ट केलेल्या स्प्लॅश पृष्ठापर्यंत पोहोचण्यासाठी काय आवश्यक आहे याचा विचार करा.

नमुना उत्तर पहा

सर्वात संभाव्य कारण म्हणजे गहाळ किंवा अपूर्ण Walled Garden कॉन्फिगरेशन, किंवा DNS रिझोल्यूशन समस्या. प्रमाणीकरणापूर्वी, AP केवळ व्हाइटलिस्ट केलेल्या डोमेन व्यतिरिक्त इतर सर्व रहदारी ब्लॉक करतो. जर Purple डोमेन (*.purple.ai, *.venuewifi.com, *.cloudfront.net) Walled Garden मध्ये नसतील, तर क्लायंट स्प्लॅश पृष्ठ लोड करू शकत नाही. ट्रबलशूटिंग पावले: 1. क्लायंट डिव्हाइसला DHCP द्वारे वैध IP पत्ता आणि DNS सर्व्हर मिळाला आहे याची खात्री करा. 2. DNS कार्यरत असल्याची पुष्टी करण्यासाठी त्याच VLAN वरील वायर्ड डिव्हाइसवरून 'portal.venuewifi.com' रिझॉल्व्ह करण्याचा प्रयत्न करा. 3. Walled Garden व्हाइटलिस्ट सक्रिय आहे आणि त्यात सर्व आवश्यक Purple डोमेन समाविष्ट आहेत याची खात्री करण्यासाठी Aruba AP कॉन्फिगरेशन तपासा. 4. पूर्व-प्रमाणीकरण भूमिका DNS सर्व्हरवर DNS रहदारीला (UDP पोर्ट 53) अनुमती देते याची खात्री करा.

Q2. एका मोठ्या कन्व्हेन्शन सेंटरमध्ये Purple अतिथी WiFi च्या रोलआउट दरम्यान, IT टीमने कळवले की अतिथी डिव्हाइसेस यशस्वीरित्या कनेक्ट होतात, परंतु त्यांना दर 15 मिनिटांनी पुन्हा लॉग इन करण्यास सांगितले जाते. अतिथींनी 24 तासांपर्यंत लॉग इन राहावे अशी अपेक्षित वर्तणूक आहे. याचे निराकरण करण्यासाठी कोणत्या Aruba आणि Purple कॉन्फिगरेशन पॅरामीटर्सची तपासणी केली पाहिजे?

टीप: सत्र लाइफटाइम आणि पुन्हा-प्रमाणीकरण अंतराल नियंत्रित करणारे पॅरामीटर्स पहा.

नमुना उत्तर पहा

ही समस्या सत्र टाइमआउट किंवा पुन्हा-प्रमाणीकरण अंतराल सेटिंग्जमधील विसंगतीमुळे उद्भवते. याचे निराकरण करण्यासाठी: 1. Aruba SSID सुरक्षा टॅबवरील 'Reauth Interval' तपासा; ते 15 मिनिटांऐवजी 1440 मिनिटे (24 तास) सेट केले पाहिजे. 2. Access-Accept संदेशामध्ये Purple RADIUS सर्व्हरद्वारे परत केलेले 'Session Timeout' विशेषता तपासा. जर Purple कमी सत्र लाइफटाइमसह कॉन्फिगर केले असेल, तर ते पुन्हा-प्रमाणीकरण करण्यास भाग पाडेल. 3. Aruba SSID वर MAC Authentication सक्षम असल्याची खात्री करा. हे AP ला परत येणाऱ्या अतिथींना 24 तासांच्या विंडो दरम्यान पुन्हा स्प्लॅश पृष्ठाची विनंती न करता Purple च्या डेटाबेसद्वारे त्यांच्या MAC पत्त्याचा वापर करून स्वयंचलितपणे प्रमाणित करण्यास अनुमती देते.

Q3. एक सार्वजनिक क्षेत्रातील संस्था AOS-10 वर Aruba Central चा वापर करून एकाधिक ग्रंथालयांमध्ये अतिथी WiFi तैनात करत आहे. सुरक्षा धोरणानुसार सर्व अतिथी रहदारी हवेत कूटबद्ध (encrypted) असणे बंधनकारक आहे, परंतु ग्रंथालय संचालकांना अखंड, अडथळा विरहित लॉगिन अनुभव हवा आहे. वायरलेस आर्किटेक्ट Aruba आणि Purple चा वापर करून दोन्ही गरजा कशा साध्य करू शकतात?

टीप: Open, OWE (Enhanced Open), आणि WPA2/WPA3-Enterprise मधील फरक आणि ते कॅप्टिव्ह पोर्टलशी कसे संवाद साधतात याचा विचार करा.

नमुना उत्तर पहा

हवेतील एन्क्रिप्शन आणि अखंड Captive Portal अनुभव दोन्ही साध्य करण्यासाठी, आर्किटेक्टने 'Enhanced Open' (Opportunistic Wireless Encryption - OWE) सोबत ट्रान्झिशन मोड तैनात केला पाहिजे, जर जुन्या डिव्हाइस सुसंगततेची आवश्यकता असेल. Enhanced Open पूर्व-सामायिक की ची आवश्यकता नसताना क्लायंट आणि AP मधील वायरलेस कनेक्शन कूटबद्ध करते, ज्यामुळे अतिथींचे निष्क्रीय गुप्तहेरीपासून (passive eavesdropping) रक्षण होते. 1. Aruba Central मध्ये सुरक्षा पातळी 'Visitors' आणि की व्यवस्थापन 'Enhanced Open' वर सेट करून अतिथी SSID कॉन्फिगर करा. 2. WPA3 OWE ला समर्थन न देणाऱ्या जुन्या उपकरणांना समर्थन देण्यासाठी 'OWE Transition Mode' सक्षम करा आणि त्याला मानक Open अतिथी SSID शी संबद्ध करा. 3. नेहमीप्रमाणे Purple कडे निर्देशित करणारे बाह्य Captive Portal प्रोफाइल कॉन्फिगर करा. हे संयोजन सुनिश्चित करते की आधुनिक उपकरणांना स्वयंचलितपणे कूटबद्ध वायरलेस ट्रान्सपोर्ट मिळते, तरीही डेटा संकलन आणि अनुपालनासाठी Purple स्प्लॅश पृष्ठावर पुनर्निर्देशित केले जाते.

या मालिकेमध्ये पुढे वाचा

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

हा अधिकृत मार्गदर्शक Cisco Catalyst 9800 WLCs चे Purple WiFi सोबतच्या स्टेप-बाय-स्टेप इंटिग्रेशनची तपशीलवार माहिती देतो. यामध्ये गेस्ट कॅप्टिव्ह पोर्टल्ससाठी External Web Authentication, सुरक्षित कर्मचारी ऍक्सेससाठी 802.1X EAP-TLS, आणि मल्टी-टेनंट डायनॅमिक VLAN सेगमेंटेशनसाठी Cisco iPSK कव्हर केले आहे.

मार्गदर्शिका वाचा →

CommScope Ruckus चे Purple WiFi सोबत एकत्रीकरण: सेटअप आणि कॉन्फिगरेशन मार्गदर्शिका

हे तांत्रिक संदर्भ मार्गदर्शक Purple WiFi सोबत CommScope Ruckus आर्किटेक्चर समाकलित करण्यासाठी एक अधिकृत कॉन्फिगरेशन प्लेबुक प्रदान करते. यात Guest WiFi Captive Portals, 802.1X द्वारे सुरक्षित Staff WiFi, आणि Ruckus Dynamic PSK वापरून Multi-Tenant नेटवर्क अलगाव (network isolation) साठी चरण-दर-चरण उपयोजनांची तपशीलवार माहिती दिली आहे.

मार्गदर्शिका वाचा →

Allied Telesis Access Points चे Purple WiFi सोबत एकत्रीकरण

हे मार्गदर्शक Allied Telesis TQ-Series access points ला Purple WiFi सोबत एकत्रित करण्यासाठी एक सर्वसमावेशक कॉन्फिगरेशन प्लेबुक प्रदान करते. यामध्ये बाह्य Captive Portal रिडायरेक्शन, 802.1X RADIUS ऑथेंटिकेशन आणि सुरक्षित मल्टी-टेनंट डिप्लॉयमेंट्ससाठी Private Pre-Shared Keys (PPSK) वापरून डायनॅमिक VLAN स्टिअरिंग समाविष्ट आहे.

मार्गदर्शिका वाचा →