पॉडकास्ट ट्रान्सक्रिप्ट पहा
Purple तांत्रिक माहिती पत्रक मालिकेत आपले स्वागत आहे. मी तुमचा होस्ट आहे आणि आज आम्ही एका अशा विषयावर चर्चा करत आहोत जो आम्ही काम करत असलेल्या जवळपास प्रत्येक कॉर्पोरेट अतिथी WiFi उपयोजनावर समोर येतो: Cisco Meraki MR ऍक्सेस पॉईंट्सवर Captive Portal कॉन्फिगर करणे, आणि विशेषतः RADIUS प्रमाणीकरण वापरून Purple च्या क्लाउड प्लॅटफॉर्मसह ते कसे समाकलित करावे. तुम्ही नवीन आदरातिथ्य क्लायंटला ऑनबोर्ड करणारे MSP असाल किंवा रिटेल साखळीतील इन-हाउस नेटवर्क आर्किटेक्ट असाल, हा एपिसोड तुम्हाला अचूक कॉन्फिगरेशन पायऱ्या आणि त्यामागील कारणे स्पष्ट करेल.
चला पार्श्वभूमी समजून घेऊया. तुमच्याकडे एक ठिकाण आहे - ते हॉटेल, कॉन्फरन्स सेंटर, स्टेडियम किंवा रिटेल पार्क असू शकते - जिथे Meraki डॅशबोर्डद्वारे व्यवस्थापित केलेले Cisco Meraki MR ऍक्सेस पॉईंट्स कार्यरत आहेत. उद्दिष्ट एक ब्रँडेड अतिथी WiFi अनुभव उपयोजित करणे हा आहे जो फर्स्ट-पार्टी डेटा संकलित करेल, सेवा अटींची स्वीकृती लागू करेल आणि विपणन प्लॅटफॉर्मवर विश्लेषणे पाठवेल. Purple ची रचना नेमकी याचसाठी केली आहे आणि जागतिक स्तरावर Meraki हे आमच्या सर्वात सामान्य हार्डवेअर उपयोजनांपैकी एक आहे.
आता, तुम्ही एकही सेटिंग बदलण्यापूर्वी समजून घेण्याचा मुख्य आर्किटेक्चरल मुद्दा हा आहे: Cisco Meraki वर, स्प्लॅश पेजसाठी RADIUS प्रमाणीकरण स्थानिक पातळीवर ऍक्सेस पॉईंटद्वारे प्रक्रिया केले जात नाही. RADIUS ऍक्सेस-रिक्वेस्ट Meraki क्लाउडवरून - म्हणजे डॅशबोर्ड इन्फ्रास्ट्रक्चरवरून - पाठवली जाते, तुमच्या LAN वरील AP कडून नाही. हा एक महत्त्वपूर्ण फरक आहे जो बऱ्याच अभियंत्यांना त्यांच्या पहिल्या Meraki उपयोजनादरम्यान गोंधळात टाकतो. याचा अर्थ असा की तुमचा RADIUS सर्व्हर, या प्रकरणात Purple चा क्लाउड RADIUS एंडपॉईंट, इंटरनेटवरून पोहोचण्यायोग्य असणे आवश्यक आहे आणि तुमच्या फायरवॉल नियमांनी केवळ तुमच्या स्थानिक AP सबनेटमधूनच नव्हे, तर Meraki च्या डॅशबोर्ड IP रेंजमधून येणाऱ्या ट्रॅफिकला परवानगी देणे आवश्यक आहे. तुम्हाला सध्याच्या डॅशबोर्ड IP रेंज तुमच्या Meraki डॅशबोर्डमध्ये Help आणि नंतर Firewall Info अंतर्गत मिळतील.
चला, आता कॉन्फिगरेशन सुरू करूया. लाइव्ह उपयोजनात तुम्ही ज्या क्रमाने हे कराल, त्याच क्रमाने मी तुम्हाला या पायऱ्या समजावून सांगतो.
पायरी एक: SSID कॉन्फिगरेशन. Meraki डॅशबोर्डमध्ये, Wireless, नंतर Configure, आणि मग SSIDs वर जा. अतिथी प्रवेशासाठी तुम्हाला वापरायचा असलेला SSID स्लॉट निवडा. त्याला एक स्पष्ट नाव द्या - जसे की GuestWiFi किंवा VenueName अंडरस्कोर Guest. Association requirements अंतर्गत, Security पर्यायामध्ये Open, no encryption निवडा. हे योग्य आणि हेतुपुरस्सर आहे - अतिथींसाठी सुरक्षा स्तर कॅप्टिव्ह पोर्टल आणि RADIUS प्रमाणीकरणाद्वारे हाताळला जातो, WPA एन्क्रिप्शनद्वारे नाही. तुम्ही PCI-DSS वातावरणात उपयोजन करत असल्यास, तुम्हाला अतिथी ट्रॅफिक त्याच्या स्वतःच्या स्वतंत्र VLAN वर वेगळे ठेवल्याची खात्री करावी लागेल, जे आम्ही लवकरच कव्हर करू.
पायरी दोन: Splash page आणि ऑथेंटिकेशन. तुमच्या SSID च्या Access Control पेजवर खाली स्क्रोल करून Splash page सेक्शनवर जा. याला Sign-on with वर सेट करा आणि ड्रॉपडाउनमधून my RADIUS server निवडा. हा तो महत्त्वाचा सेटिंग आहे जो Meraki ला नेटवर्क ॲक्सेस देण्यापूर्वी युजर्सना बाह्य RADIUS सर्वरद्वारे ऑथेंटिकेट करण्याचे निर्देश देतो. त्याच्या खाली, तुम्हाला Captive portal strength चा पर्याय दिसेल. याला Block all access until sign-on is complete वर सेट करा. यामुळेच walled garden लागू होतो — याशिवाय, अतिथी पोर्टलला पूर्णपणे बायपास करू शकतात.
पायरी तीन: RADIUS सर्वर कॉन्फिगरेशन. RADIUS सेक्शनच्या खाली, Add server वर क्लिक करा. तुम्हाला तुमच्या Purple अकाउंटमधील तीन गोष्टींची आवश्यकता असेल: RADIUS सर्वर IP ॲड्रेस किंवा FQDN, ऑथेंटिकेशन पोर्ट जो UDP 1812 आहे आणि शेअर्ड सिक्रेट (shared secret). Purple हे पोर्टलच्या वेन्यू कॉन्फिगरेशन सेक्शनमध्ये प्रदान करते. प्रॉडक्शन डिप्लॉयमेंटमध्ये रेडंडन्सीसाठी, तुम्ही दुय्यम RADIUS सर्वर जोडला पाहिजे — Purple एक फेलओव्हर एंडपॉईंट प्रदान करते. जर तुम्हाला सेशन डेटा Purple च्या ॲनालिटिक्स इंजिनमध्ये पाठवायचा असेल तर अकाउंटिंग पोर्ट UDP 1813 वर सेट करा, ज्या वेन्यूमध्ये ड्वेल टाइम (dwell time) आणि सेशन कालावधी हे महत्त्वाचे मेट्रिक्स आहेत तिथे मी याची जोरदार शिफारस करेन.
RADIUS ॲट्रिब्युट्सबद्दल एक महत्त्वाची नोंद. Meraki, RADIUS Access-Accept रिस्पॉन्समध्ये परत आलेल्या Session-Timeout ॲट्रिब्युटचा स्वीकार करतो. पुन्हा ऑथेंटिकेशन आवश्यक होण्यापूर्वी अतिथी सेशन किती वेळ चालेल हे नियंत्रित करण्यासाठी Purple याचा वापर करते. हॉटेलसाठी, तुम्ही हे 86,400 सेकंद - म्हणजे 24 तास सेट करू शकता. कॉफी शॉपसाठी, साधारण 3,600 सेकंद, म्हणजे एक तास अधिक योग्य आहे. Idle-Timeout ॲट्रिब्युट देखील स्वीकारला जातो, परंतु केवळ RADIUS अकाउंटिंग सक्षम असल्यास. हे निष्क्रिय सेशन्स डिस्कनेक्ट करते, जे हाय-डेन्सिटी वेन्यूजमध्ये कॅपॅसिटी मॅनेजमेंटसाठी महत्त्वाचे आहे.
पायरी चार: Splash page URL. Wireless वर जा, नंतर Configure वर आणि नंतर Splash page वर जा. ड्रॉपडाउनमधून तुमचा अतिथी SSID निवडा. Custom splash URL ला तुमच्या वेन्यूच्या Purple पोर्टल URL वर सेट करा. ही ती URL आहे ज्यावर Meraki अनऑथेंटिकेटेड क्लायंट्सना रिडायरेक्ट करेल. Meraki या URL ला क्वेरी पॅरामीटर्स जोडते - ज्यामध्ये login_url पॅरामीटर समाविष्ट असतो - ज्याचा वापर Purple ऑथेंटिकेशन हँडशेक पूर्ण करण्यासाठी करते. हे पॅरामीटर्स बदलू नका किंवा काढून टाकू नका.
पायरी पाच: walled garden. इथेच बहुतेक डिप्लॉयमेंट्समध्ये समस्या निर्माण होतात. walled garden ही अशा डोमेन्स आणि IP रेंजेसची सूची आहे जिथे अतिथी डिव्हाइस ऑथेंटिकेट होण्यापूर्वी पोहोचू शकते. योग्य एंट्रीजशिवाय, कॅप्टिव्ह पोर्टल पेज स्वतः लोड होणार नाही, कारण ब्राउझरला Purple CDN आणि सोशल लॉगिन प्रोव्हाइडर्सपर्यंत पोहोचण्यापासून ब्लॉक केले जाईल.
तुमच्या अतिथी SSID साठी Access Control वर परत जा. Walled garden ला Walled garden is enabled वर सेट करा. Walled garden ranges फील्डमध्ये, तुम्हाला खालील गोष्टी जोडण्याची आवश्यकता आहे. प्रथम, Purple प्लॅटफॉर्म डोमेन्स: star dot purple dot ai, आणि star dot venuewifi dot com. दुसरे, Purple द्वारे पोर्टल ॲसेट सर्व्ह करण्यासाठी वापरले जाणारे CDN डोमेन्स: star dot cloudfront dot net, आणि star dot akamaihd dot net. तिसरे, Meraki रिडायरेक्ट इन्फ्रास्ट्रक्चर: star dot network-auth dot com. चौथे, जर तुम्ही सोशल लॉगिन पर्याय ऑफर करत असाल, तर तुम्हाला संबंधित OAuth डोमेन्सची आवश्यकता असेल. Google साठी: accounts dot google dot com, star dot googleapis dot com, star dot gstatic dot com. Facebook साठी: star dot facebook dot com, star dot fbcdn dot net, आणि connect dot facebook dot net. Twitter किंवा X साठी: star dot twitter dot com आणि star dot twimg dot com.
Meraki त्यांच्या walled garden मध्ये वाइल्डकार्ड डोमेन्स कसे हाताळते याबद्दल एक महत्त्वाची नोंद. Meraki ॲस्टरिक्स प्रिफिक्स वापरून वाइल्डकार्ड एंट्रीजचे समर्थन करते, उदाहरणार्थ star dot cloudfront dot net. तथापि, हे DNS - आधारित मॅच आहे - Meraki डोमेन रिझॉल्व्ह करते आणि परिणामी IP ॲड्रेसना अनुमती देते. याचा अर्थ असा की CloudFront किंवा Akamai सारख्या CDN प्रदात्यांसाठी, जिथे रिझॉल्व्ह केलेले IPs वारंवार बदलू शकतात, तुम्ही स्टॅटिक IP रेंज ऐवजी डोमेन वाइल्डकार्ड वापरावे. स्टॅटिक IP एंट्रीज Purple च्या RADIUS एंडपॉइंट्ससाठी योग्य आहेत, जे स्थिर आहेत, परंतु CDN ट्रॅफिकसाठी नाहीत.
आता मी थेट काम केलेल्या दोन प्रत्यक्ष उदाहरणांबद्दल बोलूया.
पहिले म्हणजे UK मधील ३५० खोल्यांचे हॉटेल. हा क्लायंट तीन इमारतींमध्ये Meraki MR46 ॲक्सेस पॉइंट्स चालवत होता, ज्यामध्ये गर्दीच्या वेळी सुमारे ४०० समवर्ती अतिथी डिव्हाइसेस असायचे. सुरुवातीच्या उपयोजनामध्ये क्लिक-थ्रू स्प्लॅश पेज वापरले गेले होते - कोणताही RADIUS नाही, फक्त अटींची स्वीकृती. अडचण अशी होती की त्यांना कोण कनेक्ट करत आहे याबद्दल कोणतीही माहिती नव्हती, ईमेल कॅप्चर नव्हता आणि मुक्कामानंतर मार्केटिंग मोहिमा चालवण्याचा कोणताही मार्ग नव्हता. आम्ही त्यांना RADIUS-आधारित साइन-ऑनसह Purple वर स्थलांतरित केले. कॉन्फिगरेशन सोपे होते, परंतु अडचण अशी होती की त्यांच्या अपस्ट्रीम फायरवॉलने स्थानिक सबनेटच्या बाहेरील कशासाठीही पोर्ट १८१२ वरील आउटबाउंड UDP ब्लॉक केले होते. एकदा आम्ही Meraki डॅशबोर्ड IP रेंज फायरवॉल अलो-लिस्टमध्ये जोडल्यानंतर, प्रमाणीकरण त्वरित कार्य करू लागले. उपयोजनानंतर, हॉटेलने पहिल्या महिन्यात कनेक्ट होणाऱ्या अंदाजे ६८ टक्के अतिथींचे ईमेल पत्ते कॅप्चर केले आणि त्यांच्या मार्केटिंग टीमने री-एंगेजमेंट मोहीम चालवली ज्यामुळे थेट बुकिंगमध्ये लक्षणीय वाढ झाली.
दुसरी परिस्थिती ४५ स्टोअर्स असलेली एक रिटेल चेन आहे, ज्यातील प्रत्येक स्टोअरमध्ये Meraki MR33 ॲक्सेस पॉइंट्स कार्यरत आहेत. येथील आव्हान स्केलेबिलिटी आणि सुसंगततेचे होते. अचूक RADIUS सेटिंग्ज आणि वॉल्ड गार्डन लिस्टसह ४५ SSIDs मॅन्युअली कॉन्फिगर करणे त्रुटी-प्रवण आणि वेळखाऊ ठरू शकले असते. यासाठी Meraki च्या टेम्पलेट-आधारित कॉन्फिगरेशनचा वापर करणे हा उपाय होता. आम्ही योग्य SSID, RADIUS आणि वॉल्ड गार्डन सेटिंग्जसह एकच नेटवर्क टेम्पलेट तयार केले, आणि नंतर सर्व ४५ स्टोअर नेटवर्क्स त्या टेम्पलेटशी जोडले. कोणताही बदल - जसे की, वॉल्ड गार्डनमध्ये नवीन सोशल लॉगिन प्रदाता जोडणे - टेम्पलेटमध्ये एकदाच केला जातो आणि तो सर्व स्टोअर्सवर आपोआप लागू होतो. त्यानंतर Purple च्या ॲनालिटिक्सने सर्व स्टोअर्समधील फूटफॉल आणि ड्वेल टाइम डेटा एकत्रित केला, ज्यामुळे रिटेल ऑपरेशन्स टीमला स्टोअरनुसार, प्रदेशानुसार आणि दिवसाच्या वेळेनुसार पाहुण्यांच्या वर्तनाचा एकाच डॅशबोर्डवर व्ह्यू मिळाला.
मला तुम्हाला तीन सोपे नियम सांगू द्या जे प्रत्येक Meraki Captive Portal डिप्लॉयमेंटवर तुमचा वेळ वाचवतील.
नियम एक: तुम्ही RADIUS कॉन्फिगर करण्यापूर्वी नेहमी Meraki डॅशबोर्ड IP रेंज तपासा. या रेंज वेळोवेळी बदलतात आणि जर तुमचा फायरवॉल त्यांना ब्लॉक करत असेल, तर वापरकर्त्याच्या बाजूने ऑथेंटिकेशन अयशस्वी होईल - त्यांना फक्त पोर्टल पेज हँग झालेले दिसेल. तुम्ही लाईव्ह जाण्यापूर्वी कनेक्टिव्हिटीची पडताळणी करण्यासाठी ॲक्सेस कंट्रोल अंतर्गत डॅशबोर्डमधील अंगभूत RADIUS चाचणी टूलचा वापर करा.
नियम दोन: कोणत्याही CDN-होस्ट केलेल्या कंटेंटसाठी वॉल्ड गार्डनमध्ये डोमेन वाईल्डकार्ड वापरा, IP रेंज नाही. CDN IP रेंज मोठ्या असतात आणि वारंवार बदलतात. वाईल्डकार्ड डोमेन नोंद राखणे सोपे आणि अधिक विश्वासार्ह आहे.
नियम तीन: तुम्हाला अद्याप गरज नाही असे वाटत असले तरीही पोर्ट १८१३ वर RADIUS अकाऊंटिंग सक्षम करा. डिस्कनेक्शनच्या समस्यांचे निवारण करण्यासाठी आणि तुमच्या ॲनालिटिक्स प्लॅटफॉर्मवर अचूक ड्वेल टाइम मेट्रिक्स पाठवण्यासाठी सेशन डेटा मौल्यवान आहे. हे सक्षम करण्यासाठी काहीही खर्च येत नाही आणि नंतरच्या टप्प्यावर ते जोडणे खूप कठीण असते.
आता, मला नियमितपणे विचारले जाणारे काही जलद प्रश्न.
मी Purple ऐवजी Meraki चे अंगभूत स्प्लॅश पेज वापरू शकतो का? होय, परंतु तुम्ही डेटा कॅप्चर, ॲनालिटिक्स, मार्केटिंग ऑटोमेशन आणि GDPR-सुसंगत संमती व्यवस्थापन गमावाल. मूलभूत क्लिक-थ्रूसाठी अंगभूत स्प्लॅश ठीक आहे, परंतु तो गेस्ट इंटेलिजन्स प्लॅटफॉर्म नाही.
हे कॉन्फिगरेशन Meraki MX फायरवॉल तसेच MR ॲक्सेस पॉइंट्सवर काम करते का? RADIUS स्प्लॅश पेज कॉन्फिगरेशनला MR ॲक्सेस पॉइंट्सवर सपोर्ट आहे. MX अप्लायन्सेस क्लायंट VPN ऑथेंटिकेशन वेगळ्या पद्धतीने हाताळतात. विशेषतः गेस्ट WiFi साठी, तुम्ही MR SSIDs कॉन्फिगर करत आहात.
WPA3 बद्दल काय? Meraki MR ॲक्सेस पॉइंट्स एंटरप्राइझ SSIDs वर WPA3 ला सपोर्ट करतात. गेस्ट Captive Portal डिप्लॉयमेंटसाठी, SSID सामान्यतः Open असतो, त्यामुळे WPA3 थेट लागू होत नाही. तथापि, जर तुम्ही तुमच्या Captive Portal SSID सोबत Passpoint किंवा OpenRoaming SSID डिप्लॉय करत असाल - ज्याला Purple सपोर्ट करते - तर तो SSID 802.1X सह WPA3-Enterprise वापरतो आणि तिथेच WPA3 सुसंगत ठरतो.
थोडक्यात सांगायचे तर: Cisco Meraki आणि Purple चे एकत्रीकरण अत्यंत चाचणी केलेले आणि विश्वासार्ह आहे, पण त्यासाठी तीन गोष्टींवर लक्ष देणे आवश्यक आहे: RADIUS सोर्स IP राउटिंग, walled garden ची पूर्णता, आणि सेशन टाईमआऊट कॉन्फिगरेशन. या तीन गोष्टी अचूक करा आणि डिप्लॉयमेंट सोपी होईल. व्यवसाय प्रकरणाचा उद्देश स्पष्ट आहे - जे लोक डेटा कॅप्चरसह योग्यरित्या कॉन्फिगर केलेले गेस्ट WiFi प्लॅटफॉर्म डिप्लॉय करतात, त्यांना मार्केटिंग एंगेजमेंट आणि ऑपरेशनल इनसाइटमध्ये सातत्याने मोजता येण्याजोगा परतावा मिळतो.
जर तुम्हाला अधिक सखोल माहिती हवी असेल, तर क्लाउड RADIUS सह 802.1X ऑथेंटिकेशन लागू करण्याबाबतचे Purple चे मार्गदर्शक आणि Purple ब्लॉगवरील आमचे Cisco Wireless AP डिप्लॉयमेंट मार्गदर्शक पहा. दोन्ही लिंक्स शो नोट्समध्ये दिल्या आहेत.
ऐकल्याबद्दल धन्यवाद. तुमच्याकडे एखादी विशिष्ट डिप्लॉयमेंट परिस्थिती असेल ज्यावर आम्ही चर्चा करावी असे तुम्हाला वाटत असल्यास, Purple च्या तांत्रिक टीमशी संपर्क साधा. पुढच्या एपिसोडमध्ये भेटूया.
