Cisco Meraki साठी Captive Portal
Cisco Meraki MR access points ला Purple च्या क्लाउड captive portal सोबत समाकलित करण्यासाठी एक अधिकृत, मध्यम-स्तरीय तांत्रिक संदर्भ मार्गदर्शिका. यामध्ये टप्प्याटप्प्याने Meraki Dashboard कॉन्फिगरेशन, RADIUS सर्व्हर सेटिंग्ज (ports 1812/1813), walled garden वाईल्डकार्ड डोमेन अपवाद आणि उच्च-कार्यक्षमता असलेल्या अतिथी WiFi उपयोजनांसाठी सेशन टाईमआऊट पॅरामीटर्स समाविष्ट आहेत.
हे मार्गदर्शक ऐका
पॉडकास्ट ट्रान्सक्रिप्ट पहा
📚 आमच्या मुख्य मालिकेचा भाग: Multi-Tenant WiFi →
执行摘要
本权威参考指南提供了一个全面的、分步的配置框架,用于将 Cisco Meraki 无线网络与 Purple 基于云的 captive portal 进行集成。本文件专为 IT 经理、网络架构师和托管服务提供商 (MSP) 设计,详细介绍了在 Meraki Dashboard 中部署安全、高性能访客 WiFi 解决方案所需的精确配置 [1]。
通过将访客智能层与硬件解耦,企业场所可以利用 Purple 经过认证的 Guest WiFi 和 WiFi Analytics 平台来捕获丰富的、符合 GDPR 的第一方数据,同时确保网络完整性和合规性 [2]。本指南解决了关键的集成参数,包括跨不同实体场所(如 Retail (零售)、 Healthcare (医疗保健)、 Hospitality (酒店)和 Transport (交通)枢纽)的 RADIUS 认证(端口 1812/1813)、围墙花园域名例外、CDN 通配符解析以及访客重定向机制。
技术深度剖析
为了成功将 Cisco Meraki MR 接入点 (AP) 与 Purple 等外部 captive portal 集成,网络工程师必须了解底层的控制面和数据面架构。与传统的本地无线控制器(其 RADIUS 认证请求源自物理控制器或单个 AP)不同,Cisco Meraki 采用云管理架构 [1]。
控制面与数据面分离
当访客客户端关联到为外部 captive portal 配置的开放 SSID 时,Meraki MR AP 会将客户端置于预认证状态。在此状态下,除了 DNS 查询、DHCP 以及发往 Walled Garden [3] 中明确定义的 IP 地址或主机名的流量外,所有流量都会被阻止。
实际的 RADIUS Access-Request 消息并非由本地 Meraki MR AP 生成。相反,它们源自 Cisco Meraki Dashboard 云端基础设施 [1]。这是一个至关重要的架构区别:
> "展示页面的 RADIUS 访问请求消息将源自控制面板,而不是源自本地 Meraki 设备。因此,此处无法指定 RADIUS 服务器的私有局域网 IP 地址。" [1]
因此,保护您的 RADIUS 服务器的上游防火墙必须允许来自整个 Meraki Dashboard 出站 IP 范围块的入站流量,这些范围是动态的且因地区而异 [1]。这些范围可以通过 Meraki Dashboard 在 Help > Firewall info 下动态获取 [1]。
RADIUS 认证协议 (PAP)
对于登录展示页面认证,Meraki 使用密码认证协议 (PAP) [1]。虽然 PAP 在历史上是未加密的,但 Meraki-Purple 集成通过多层加密降低了安全风险:
- 客户端到云端加密:访客客户端直接与 Purple 托管的 captive portal 建立安全的 HTTPS (SSL/TLS) 会话。凭据(例如社交登录令牌、电子邮件表单)在从客户端浏览器传输到 Purple 服务器的过程中被加密 [1]。
- RADIUS 共享密钥加密:当 Meraki 云向 Purple 的云端 RADIUS 服务器发送 RADIUS Access-Request 时,它会根据 RFC 2865 使用配置的 RADIUS Shared Secret 和标准 XOR 函数对用户密码进行加密 [1]。这确保了明文凭据绝不会通过公共互联网传输。
支持的 RADIUS 属性
Meraki 云和 Purple 云端 RADIUS 在认证握手期间交换几个关键属性,以执行会话参数和策略:
| RADIUS 属性 | 类型 | 方向 | 描述与实际应用背景 |
|---|---|---|---|
| User-Name | String | Request | 访客用户的标识符(例如电子邮件地址、MAC 地址)[1]。 |
| User-Password | String | Request | 加密的用户密码或会话令牌 [1]。 |
| Called-Station-ID | String | Request | 格式为 AP_MAC:SSID_NAME(例如 AA-BB-CC-DD-EE-FF:GuestWiFi)。对于基于位置的策略路由至关重要 [1]。 |
| Calling-Station-ID | String | Request | 客户端的物理 MAC 地址(例如 11-22-33-44-55-66)。用于设备跟踪和会话恢复 [1]。 |
| Session-Timeout | Integer | Accept | 以秒为单位的最大会话持续时间。过期后,客户端将被重定向回 captive portal [1]。 |
| Idle-Timeout | Integer | Accept | 以秒为单位的最大空闲时间。如果没有数据传输,会话将被终止。需要 RADIUS 计费 [1]。 |
| Filter-Id | String | Accept | 传递要应用于客户端的特定 Meraki 组策略名称(例如限制带宽或阻止特定类别)[1]。 |
实施指南
此分步配置演练概述了如何将 Cisco Meraki MR 接入点与 Purple 的外部 captive portal 进行集成。
步骤 1:配置 SSID 访问控制
在 Meraki Dashboard 中导航至 Wireless > Configure > Access control [1]。选择您的目标访客 SSID 并配置以下参数:
- Association Requirements:设置为 Open (no encryption) [1]。这可确保无摩擦的接入体验。如果您需要加密的访客传输,请考虑实施部署 Passpoint / Hotspot 2.0 with Cloud RADIUS [4]。
- Splash Page:选择 Sign-on with 并从下拉菜单中选择 my RADIUS server [1]。
- RADIUS Servers:点击 Add server 并输入 Purple 的 Cloud RADIUS 主和备用端点 [1]:
- Host IP:
116.203.120.121(主)和195.201.123.149(备) - Port:
1812(认证)[1] - Secret:[您的 Purple 共享密钥]
- Host IP:
- RADIUS Accounting:设置为 RADIUS accounting is enabled 并添加计费服务器:
- Host IP:
116.203.120.121(主)和195.201.123.149(备) - Port:
1813(计费) - Secret:[您的 Purple 共享密钥]
- Host IP:
- Captive Portal Strength:选择 Block all access until sign-on is complete [1]。这会严格强制客户端在通过 splash page 之前无法访问互联网。
步骤 2:配置自定义 Splash Page URL
导航至 Wireless > Configure > Splash page [1]。选择您的访客 SSID 并配置:
- Custom Splash URL:选择 Or point to a custom URL 并输入 Purple 重定向 URL:
https://login.venuewifi.com/ip/v2/meraki
- Splash Page Redirect:设置为 The URL they were trying to fetch 或将他们重定向到特定的着陆页(例如,您场所的主页)[3]。
步骤 3:配置 Walled Garden 域名例外
为确保访客客户端能够加载 Captive Portal、从内容分发网络 (CDN) 下载资源并完成社交媒体认证(例如 Google 或 Facebook OAuth),您必须启用并配置 Walled Garden [3]。
返回导航至 Wireless > Configure > Access control 并找到 Walled Garden 区域 [1]。
- 将 Walled Garden 设置为 Walled garden is enabled [1]。
- 在 Walled garden ranges 字段中,输入所需的 FQDN 和通配符域名 [1]。
Meraki 如何处理通配符和 CDN 流量
Cisco Meraki MR 无线接入点支持在 walled garden 中使用星号前缀(例如 *.purple.ai)的通配符域名 [1]。然而,了解其底层机制至关重要:
- 基于 DNS 的白名单:Meraki AP 会拦截客户端的 DNS 请求。当客户端请求与 walled garden 中的条目匹配的域名时,AP 会将该域名解析为其当前的 IP 地址,并临时允许客户端与该 IP 进行通信 [3]。
- 动态 CDN IP:像 Amazon CloudFront (
*.cloudfront.net) 和 Akamai (*.akamaihd.net) 这样的 CDN 会解析为高度动态、地理分布且频繁变化的 IP 地址。Meraki 基于 DNS 的白名单通过实时解析域名来无缝处理这一问题。切勿在您的 walled garden 中为 CDN 资源使用静态 IP 地址,因为这会导致门户资源间歇性加载失败。
最佳实践
为确保高可用性、安全性和最佳用户体验,请遵循以下行业标准的部署最佳实践:
1. 网络分段与 VLAN 隔离
切勿将访客流量直接桥接到您的企业局域网(LAN)。配置您的 Meraki MR AP,使用专用的 Guest VLAN(例如 VLAN 30)标记访客流量 [4]。确保此 VLAN 终止于上游防火墙上的 DMZ 或独立的虚拟路由和转发 (VRF) 实例。这可以降低横向移动风险,并确保符合 PCI DSS 和 GDPR 等安全标准 [2] [4]。
2. 配置故障转移与会话恢复能力
网络链路可能会发生故障。为了防止在认证服务器宕机期间访客被锁定而无法访问互联网,请在 Meraki Dashboard 中配置 RADIUS Failover Policy:
- Failover Policy:设置为 Deny access 以获得最大安全性,或者如果在宕机期间保持访客连接的优先级高于数据捕获,则设置为 Allow access。
- Secondary Servers:始终配置主和备用 RADIUS 服务器,以分担负载并提供自动故障转移 [1]。
3. 实施会话与空闲超时
通过配置适当的超时参数来管理您的无线频谱和 DHCP 池租约 [1]:
- Session Timeout:对于酒店/款待环境,设置为 1440 分钟(24 小时),允许访客在整个停留期间保持连接,而无需频繁重新认证 [1]。对于零售或公共交通,将其缩短至 120 分钟(2 小时),以鼓励新的互动并释放 DHCP 租约。
- Idle Timeout:设置为 15 分钟。如果客户端设备进入睡眠状态或离开场所,AP 将终止会话并回收网络资源 [1]。
故障排除与风险缓解
在 Cisco Meraki 上部署外部 Captive Portal 时,工程师通常会遇到三种主要的故障模式。使用此诊断矩阵可快速隔离并解决问题:
| 现象 | 根本原因 | 诊断步骤 | 解决办法 |
|---|---|---|---|
| Splash page 无法加载;浏览器显示“连接超时”。 | 上游防火墙正在阻止指向 Purple 的 CDN 的出站 DNS 或 HTTP/HTTPS 流量 [1]。 | 尝试从同一 VLAN 上的有线设备解析 login.venuewifi.com。 |
确保访客 VLAN 具有访问公共 DNS (UDP 53) 和 HTTP/HTTPS (TCP 80/443) 的出站权限。 |
| Splash page 已加载,但用户凭据认证失败。 | 上游防火墙正在阻止源自 Meraki Cloud 的 RADIUS 流量 [1]。 | 使用 Meraki Dashboard 中 Access Control 下的 RADIUS Test 工具 [1]。 | 将 Meraki Dashboard 的出站 IP 范围(可在 Help > Firewall info 下找到)添加到防火墙针对 UDP 端口 1812 和 1813 的出站允许列表中 [1]。 |
| 社交登录(例如 Google OAuth)失败,并出现重定向错误。 | 缺少所需的 OAuth 辅助域名 | Meraki Walled Garden 中的 ns [1]。 | 检查客户端设备上的浏览器控制台,查看是否有被拦截的资源加载。 |
投资回报率 (ROI) 与业务影响
将 Cisco Meraki 与 Purple 集成,可将访客 WiFi 从成本中心转变为战略性业务资产。通过将企业级硬件与先进的分析技术相结合,企业可以在多个维度上实现可衡量的回报:
- 数据变现与营销触达:通过获取经验证的电子邮件地址和社交账号信息,场所可以构建一个干净、合规的第一方客户数据库 [2]。这些数据可直接导入客户关系管理 (CRM) 和营销自动化系统,从而实现高度精准、本地化的营销活动。
- 运营效率:通过 Purple 实现的自动化入网流程减轻了前台和 IT 支持人员的负担。在酒店及餐饮环境中,这意味着更少关于 WiFi 连接的客户投诉,以及更低的运营开销。
- 先进的人流量分析:通过将 Meraki 的位置 API 与 Purple 的分析引擎相结合,场所运营商可以深入了解访客行为,包括人流量、停留时间、回头率和客流高峰时段 [2]。这些数据有助于在人员配置、店铺布局和房地产估值方面做出明智的决策。
参考资料
महत्वाच्या व्याख्या
Captive Portal
एक वेब पृष्ठ जे Wi-Fi नेटवर्कच्या नवीन कनेक्ट केलेल्या वापरकर्त्यांना नेटवर्क संसाधनांमध्ये व्यापक प्रवेश मिळण्यापूर्वी प्रदर्शित केले जाते.
इंटरनेट प्रवेश देण्यापूर्वी सेवा अटी लागू करण्यासाठी, वापरकर्त्याचा डेटा गोळा करण्यासाठी आणि RADIUS द्वारे पाहुण्यांचे प्रमाणीकरण करण्यासाठी ठिकाणांद्वारे वापरले जाते.
RADIUS (Remote Authentication Dial-In User Service)
एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा कनेक्ट करणाऱ्या आणि वापरणाऱ्या वापरकर्त्यांसाठी केंद्रीकृत प्रमाणीकरण, अधिकृतता आणि लेखा (AAA) व्यवस्थापन प्रदान करतो.
पाहुण्यांच्या क्रेडेंशियल्सची पडताळणी करण्यासाठी आणि नेटवर्क प्रवेश अधिकृत करण्यासाठी Meraki APs Purple च्या क्लाउड RADIUS सर्व्हरची चौकशी करतात.
Walled Garden
IP पत्ते किंवा डोमेन नावांचा एक मर्यादित संच ज्यामध्ये अप्रमाणित पाहुण्या क्लायंटना Captive Portal साइन-ऑन प्रक्रिया पूर्ण करण्यापूर्वी प्रवेश करण्याची परवानगी दिली जाते.
क्लायंटना होस्ट केलेल्या स्प्लॅश पृष्ठावर पोहोचण्याची, CDNs मधून CSS/JS मालमत्ता डाउनलोड करण्याची आणि सोशल लॉगिन OAuth एंडपॉइंट्सशी संवाद साधण्याची परवानगी देण्यासाठी अत्यंत महत्त्वाचे आहे.
Session-Timeout
एक RFC 2865 RADIUS विशेषता जी पुन्हा-प्रमाणीकरण आवश्यक होण्यापूर्वी वापरकर्ता सत्र सक्रिय राहू शकणाऱ्या सेकंदांची कमाल संख्या निर्दिष्ट करते.
पाहुणा किती वेळ लॉग इन राहतो हे नियंत्रित करण्यासाठी Access-Accept पॅकेटमध्ये Purple RADIUS द्वारे परत केले जाते (उदा. हॉटेलमधील पाहुण्यांसाठी २४ तास).
Idle-Timeout
एक RADIUS विशेषता जी वापरकर्त्याचे सत्र समाप्त होण्यापूर्वी परवानगी दिलेल्या निष्क्रियतेचा (कोणताही डेटा हस्तांतरित न झालेला) कमाल कालावधी परिभाषित करते.
स्टेडियम किंवा किरकोळ स्टोअर्स सारख्या उच्च-घनतेच्या वातावरणात जुनी उपकरणे डिस्कनेक्ट करण्यासाठी आणि IP पत्ते पुन्हा मिळवण्यासाठी वापरले जाते.
PAP (Password Authentication Protocol)
वापरकर्त्याच्या क्रेडेंशियल्सची पडताळणी करण्यासाठी RADIUS द्वारे वापरला जाणारा एक साधा, न कूटबद्ध केलेला प्रमाणीकरण प्रोटोकॉल.
बाह्य स्प्लॅश पृष्ठ RADIUS प्रमाणीकरणासाठी Cisco Meraki द्वारे आवश्यक. HTTPS द्वारे क्लायंट-टू-पोर्टल ट्रान्झिट कूटबद्ध करून आणि सामायिक गुप्त की वापरून RADIUS पॅकेट पासवर्ड फील्ड कूटबद्ध करून सुरक्षा राखली जाते.
Passpoint (Hotspot 2.0)
Wi-Fi Alliance द्वारे विकसित केलेले एक उद्योग मानक जे सेल्युलर-सारखे स्वयंचलित रोमिंग आणि Wi-Fi नेटवर्कवर सुरक्षित कनेक्शन सक्षम करते.
Captive Portal शिवाय अखंड, प्रमाणपत्र-आधारित पाहुण्यांचे ऑनबोर्डिंग सक्षम करण्यासाठी Meraki MR ॲक्सेस पॉइंट्स आणि Purple द्वारे समर्थित.
CMX (Cisco Meraki Location APIs)
एक API फ्रेमवर्क जे Meraki ॲक्सेस पॉइंट्सना तृतीय-पक्ष विश्लेषण प्लॅटफॉर्मवर रिअल-टाइम स्थान आणि उपस्थिती डेटा (प्रोब विनंत्या) निर्यात करण्याची परवानगी देते.
भौतिक ठिकाणांसाठी तपशीलवार फूटफॉल, थांबण्याचा वेळ आणि परतावा दर विश्लेषण प्रदान करण्यासाठी Purple सह एकत्रित केलेले.
सोडवलेली उदाहरणे
Cisco Meraki MR46 access points वापरणाऱ्या एका ३५० खोल्यांच्या लक्झरी हॉटेलला सुरक्षित अतिथी WiFi नेटवर्क उपयोजित करायचे आहे. त्यांना अतिथींचे ईमेल गोळा करायचे आहेत, बँडविड्थ प्रति अतिथी 5 Mbps पर्यंत मर्यादित करायची आहे आणि अतिथींना दर ७ दिवसांतून एकदाच लॉग इन करावे लागेल याची खात्री करायची आहे. नेटवर्क आर्किटेक्टने Meraki Dashboard आणि RADIUS सेटिंग्ज कशा प्रकारे कॉन्फिगर कराव्यात?
- SSID सेटअप: 'Hotel_Guest' नावाचा एक ओपन SSID कॉन्फिगर करा, ज्यामध्ये स्प्लॅश पेज 'Sign-on with' आणि 'my RADIUS server' वर सेट केलेले असेल.\n2. RADIUS कॉन्फिगरेशन: Purple चे प्रायमरी (
116.203.120.121) आणि सेकंडरी (195.201.123.149) RADIUS आयपी प्रविष्ट करा. ऑथेंटिकेशन पोर्ट1812आणि अकाउंटिंग पोर्ट1813वर सेट करा. सामायिक गुपित (shared secret) कॉन्फिगर करा.\n3. टाईमआऊट पॅरामीटर्स: RADIUS सर्व्हर प्रोफाइल किंवा Purple डॅशबोर्डमध्ये, निष्क्रिय DHCP लीज परत मिळवण्यासाठी Session-Timeout ॲट्रिब्युट604800सेकंद (७ दिवस) आणि Idle-Timeout1800सेकंद (३० मिनिटे) वर सेट करा.\n4. ट्रॅफिक शेपिंग: Meraki Dashboard मधील Wireless > Configure > Firewall & traffic shaping अंतर्गत, तो SSID निवडा, ट्रॅफिक शेपिंग सक्षम करा आणि प्रति-क्लायंट मर्यादा 5 Mbps डाउनस्ट्रिम आणि 2 Mbps अपस्ट्रिम सेट करा.\n5. Walled Garden: walled garden सक्षम करा आणि ऑथेंटिकेशनपूर्वी स्प्लॅश पेज लोड होण्यासाठी*.purple.ai,*.venuewifi.comआणि आवश्यक CDN वाईल्डकार्ड्स जसे की*.cloudfront.netजोडा.
४५ स्टोअर्स असलेल्या एका राष्ट्रीय रिटेल साखळीला Meraki MR33 APs चा वापर करून सर्व ठिकाणी अतिथी WiFi उपयोजित करायचे आहे. त्यांना सुसंगत कॉन्फिगरेशन सुनिश्चित करणे, कॉर्पोरेट नेटवर्कचा ॲक्सेस ब्लॉक करणे आणि पादचाऱ्यांचे विश्लेषण (footfall analytics) गोळा करणे आवश्यक आहे. मोठ्या प्रमाणावर याची अंमलबजावणी कशी करावी?
- कॉन्फिगरेशन टेम्पलेट्स: Meraki Dashboard मध्ये एकच Network Configuration Template तयार करा. अतिथी SSID ला Purple च्या RADIUS सेटिंग्ज, walled garden डोमेन्स आणि सानुकूल स्प्लॅश URL:
https://login.venuewifi.com/ip/v2/merakiसह कॉन्फिगर करा. सर्व ४५ स्टोअर नेटवर्क्स या टेम्पलेटशी बाइंड करा.\n2. VLAN सेगमेंटेशन: प्रत्येक स्टोअरच्या स्थानिक स्विच आणि फायरवॉलवर, एक समर्पित Guest VLAN (उदा. VLAN 50) कॉन्फिगर करा. Meraki SSID सेटिंग्जमध्ये, Client IP Assignment ला 'External DHCP server' वर सेट करा आणि VLAN 50 निर्दिष्ट करा. फायरवॉल VLAN 50 कडून कॉर्पोरेट सबनेट्सकडे जाणारे सर्व राउटिंग ब्लॉक करत असल्याची खात्री करा.\n3. लोकेशन ॲनालिटिक्स: Meraki Dashboard मधील Network-wide > Configure > General अंतर्गत Meraki Scanning API (CMX) सक्षम करा. Purple Post URL आणि सिक्रेट व्हॅलिडेटर प्रविष्ट करा. यामुळे Meraki APs ला पादचारी आणि थांबण्याच्या वेळेच्या रिपोर्टिंगसाठी Purple च्या ॲनालिटिक्स इंजिनवर रिअल-टाइम प्रोब विनंती डेटा प्रवाहित करण्याची परवानगी मिळते.
सराव प्रश्न
Q1. एक नेटवर्क अभियंता Purple Captive Portal सह नवीन Meraki गेस्ट SSID तैनात करतो. अनधिकृत क्लायंट यशस्वीरित्या लॉगिन पृष्ठावर पुनर्निर्देशित केले जातात, परंतु जेव्हा ते 'Log in with Google' वापरण्याचा प्रयत्न करतात, तेव्हा पृष्ठ फिरत राहते आणि शेवटी DNS किंवा टाइमआउट त्रुटीसह अयशस्वी होते. इतर लॉगिन पद्धती (जसे की ईमेल फॉर्म) उत्तम प्रकारे काम करतात. या समस्येचे बहुधा कारण काय आहे आणि त्याचे निराकरण कसे केले पाहिजे?
टीप: RADIUS authentication पूर्ण होण्यापूर्वी Google OAuth हँडशेक पूर्ण करण्यासाठी क्लायंटच्या ब्राउझरने कोणत्या बाह्य डोमेन्सपर्यंत पोहोचणे आवश्यक आहे याचा विचार करा.
नमुना उत्तर पहा
याचे सर्वात संभाव्य कारण म्हणजे Meraki SSID च्या Walled Garden कॉन्फिगरेशनमधून Google OAuth हेल्पर डोमेन्स गहाळ आहेत. मुख्य Purple डोमेन्स आणि CDN डोमेन्सना परवानगी दिली असली तरी (ज्यामुळे स्प्लॅश पृष्ठ लोड होते), Google प्रमाणीकरण सर्व्हर AP च्या प्री-ऑथेंटिकेशन फायरवॉल नियमांद्वारे ब्लॉक केले जात आहेत. याचे निराकरण करण्यासाठी, Wireless > Configure > Access control वर जा, गेस्ट SSID निवडा आणि Walled Garden सूचीमध्ये खालील Google OAuth डोमेन्स जोडा: accounts.google.com, *.googleapis.com, *.gstatic.com, आणि *.googleusercontent.com. एकदा सेव्ह केल्यावर, AP क्लायंटला Google प्रमाणीकरण हँडशेक पूर्ण करण्याची आणि RADIUS लॉगिन पूर्ण करण्यासाठी Purple वर परत पुनर्निर्देशित करण्याची परवानगी देईल.
Q2. उच्च-घनतेच्या स्टेडियम WiFi नेटवर्कच्या पोस्ट-डिप्लॉयमेंट ऑडिट दरम्यान, IT टीमच्या लक्षात येते की गेस्ट VLAN साठीचा DHCP पूल (2048 IPs सह /21 सबनेट) इव्हेंटच्या पहिल्या २ तासांच्या आत पूर्णपणे संपून जातो, जरी सक्रिय समवर्ती कनेक्शन्स कधीही ८०० पेक्षा जास्त नसतात. RADIUS accounting सक्षम केले आहे. ही समस्या कमी करण्यासाठी नेटवर्क आर्किटेक्ट Meraki आणि RADIUS सेटिंग्ज कशा प्रकारे समायोजित करू शकतो?
टीप: उच्च-घनतेच्या तात्पुरत्या (transient) वातावरणात क्लायंट सेशन टाइमआउट्स, आयडल टाइमआउट्स आणि DHCP लीज टाइम्स यांच्यातील संबंधांचे विश्लेषण करा.
नमुना उत्तर पहा
DHCP पूल संपण्याचे कारण म्हणजे तात्पुरते क्लायंट (स्टेडियममधून थोड्या वेळासाठी जाणारे किंवा प्रवेश करणारे वापरकर्ते) कनेक्ट होतात, IP पत्ता मिळवतात आणि नंतर ठिकाण सोडून जातात. डीफॉल्ट Meraki Session-Timeout किंवा DHCP लीज वेळ खूप जास्त असल्याने, ते भौतिक डिव्हाइसेस आता उपस्थित नसले तरीही ते IP पत्ते राखीव राहतात. याचे निराकरण करण्यासाठी, आर्किटेक्टने तीन समन्वित बदल लागू केले पाहिजेत: १) DHCP लीज वेळ कमी करा: DHCP सर्व्हरवर (किंवा DHCP हाताळणाऱ्या Meraki सुरक्षा उपकरणावर), लीज वेळ १० किंवा १५ मिनिटांपर्यंत कमी करा. २) Idle Timeout कॉन्फिगर करा: पोर्ट १८१३ वर RADIUS accounting सक्षम असल्याची खात्री करा आणि RADIUS Access-Accept प्रोफाइलमध्ये १० मिनिटांचा (६०० सेकंद) Idle-Timeout कॉन्फिगर करा. हे Meraki AP ला १० मिनिटे निष्क्रिय असलेल्या कोणत्याही क्लायंटचे सेशन समाप्त करण्यास सांगते. ३) Session Timeout लहान करा: सक्रिय उपकरणांच्या वेळोवेळी पुनर्मूल्यांकनास भाग पाडण्यासाठी स्टेडियम प्रोफाइलसाठी जागतिक Session-Timeout १२० मिनिटांपर्यंत (७२०० सेकंद) कमी करा.
Q3. एक MSP Purple Captive Portal सह Meraki गेस्ट SSID कॉन्फिगर करत आहे. त्यांनी Meraki Dashboard मध्ये योग्य Purple RADIUS सर्व्हर IPs आणि पोर्ट्स (1812/1813) प्रविष्ट केले आहेत, परंतु अंगभूत RADIUS 'Test' साधनासह चाचणी करताना, सर्व ॲक्सेस पॉइंट्स सर्व्हरपर्यंत पोहोचण्यात अपयशी ठरतात. MSP पडताळणी करतो की RADIUS सामायिक गुप्त की (shared secret) योग्य आहे आणि Purple क्लाउड ऑनलाइन आहे. MSP ने बहुधा कोणते राउटिंग किंवा फायरवॉल कॉन्फिगरेशन दुर्लक्षित केले आहे?
टीप: Cisco Meraki क्लाउड-व्यवस्थापित आर्किटेक्चरमध्ये RADIUS प्रमाणीकरण विनंत्या कोठून उद्भवतात ते आठवा.
नमुना उत्तर पहा
MSP ने बहुधा स्थानिक AP सबनेट्समधून आउटबाउंड RADIUS ट्रॅफिकला अनुमती देण्यासाठी त्यांच्या स्थानिक नेटवर्क फायरवॉल कॉन्फिगर केल्या आहेत, परंतु ते विसरले की Meraki स्प्लॅश पृष्ठ उपयोजनामध्ये, RADIUS Access-Requests थेट Cisco Meraki Dashboard Cloud Infrastructure मधून उद्भवतात, स्थानिक AP मधून नाही. याचे निराकरण करण्यासाठी, MSP ने Meraki Dashboard च्या आउटबाउंड IP श्रेणी प्राप्त केल्या पाहिजेत (Meraki Dashboard मध्ये Help > Firewall info अंतर्गत आढळतात) आणि त्या Meraki Dashboard IP श्रेणी आणि Purple च्या Cloud RADIUS सर्व्हर दरम्यान पोर्ट १८१२ (प्रमाणीकरण) आणि १८१३ (अकाउंटिंग) वर इनबाउंड आणि आउटबाउंड UDP ट्रॅफिकला अनुमती देण्यासाठी त्यांच्या अपस्ट्रीम कॉर्पोरेट फायरवॉल कॉन्फिगर केल्या पाहिजेत. याव्यतिरिक्त, त्यांनी Purple पोर्टल कॉन्फिगरेशनमध्ये Meraki Dashboard IPs वैध RADIUS क्लायंट म्हणून जोडले गेल्याची खात्री केली पाहिजे.
या मालिकेमध्ये पुढे वाचा
Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide
हा अधिकृत मार्गदर्शक Cisco Catalyst 9800 WLCs चे Purple WiFi सोबतच्या स्टेप-बाय-स्टेप इंटिग्रेशनची तपशीलवार माहिती देतो. यामध्ये गेस्ट कॅप्टिव्ह पोर्टल्ससाठी External Web Authentication, सुरक्षित कर्मचारी ऍक्सेससाठी 802.1X EAP-TLS, आणि मल्टी-टेनंट डायनॅमिक VLAN सेगमेंटेशनसाठी Cisco iPSK कव्हर केले आहे.
CommScope Ruckus चे Purple WiFi सोबत एकत्रीकरण: सेटअप आणि कॉन्फिगरेशन मार्गदर्शिका
हे तांत्रिक संदर्भ मार्गदर्शक Purple WiFi सोबत CommScope Ruckus आर्किटेक्चर समाकलित करण्यासाठी एक अधिकृत कॉन्फिगरेशन प्लेबुक प्रदान करते. यात Guest WiFi Captive Portals, 802.1X द्वारे सुरक्षित Staff WiFi, आणि Ruckus Dynamic PSK वापरून Multi-Tenant नेटवर्क अलगाव (network isolation) साठी चरण-दर-चरण उपयोजनांची तपशीलवार माहिती दिली आहे.
Allied Telesis Access Points चे Purple WiFi सोबत एकत्रीकरण
हे मार्गदर्शक Allied Telesis TQ-Series access points ला Purple WiFi सोबत एकत्रित करण्यासाठी एक सर्वसमावेशक कॉन्फिगरेशन प्लेबुक प्रदान करते. यामध्ये बाह्य Captive Portal रिडायरेक्शन, 802.1X RADIUS ऑथेंटिकेशन आणि सुरक्षित मल्टी-टेनंट डिप्लॉयमेंट्ससाठी Private Pre-Shared Keys (PPSK) वापरून डायनॅमिक VLAN स्टिअरिंग समाविष्ट आहे.