Cisco Catalyst WLC and guest WiFi: Purple सोबत captive portal सेटअप

Purple च्या तांत्रिक ब्रिफिंग मालिकेत आपले स्वागत आहे. आज आपण अशा विषयावर चर्चा करणार आहोत जो हॉस्पिटॅलिटी, रिटेल किंवा मोठ्या प्रमाणावर असलेल्या वेन्यूजमधील काम करणाऱ्या प्रत्येक एंटरप्राइझ नेटवर्क आर्किटेक्टच्या डेस्कवर येतो: Cisco Wireless LAN Controllers आणि Catalyst वायरलेस इन्फ्रास्ट्रक्चरला Purple च्या Guest WiFi प्लॅटफॉर्मसह इंटिग्रेट करणे. जर तुम्ही Cisco Catalyst 9800 सिरीज कंट्रोलर्स, किंवा जुने AireOS प्लॅटफॉर्म वापरत असाल, आणि तुम्हाला एक कंप्लायंट, सेगमेंटेड, अ‍ॅनालिटिक्स-चालित गेस्ट नेटवर्क प्रदान करायचे असेल, तर हे ब्रिफिंग तुमच्यासाठीच आहे. [medium pause] चला, कॉन्टेक्स्टपासून सुरुवात करूया. Purple जागतिक स्तरावर 80,000 पेक्षा जास्त लाईव्ह वेन्यूजमध्ये कार्यरत आहे, आणि एंटरप्राइझ एनव्हायर्नमेंट्समध्ये Cisco हा अग्रगण्य वायरलेस इन्फ्रास्ट्रक्चर विक्रेता आहे. या दोन्ही प्लॅटफॉर्म्सना एकत्र व्यवस्थितपणे काम करायला लावणे अवघड नाही, परंतु त्यासाठी तुम्हाला सुरुवातीलाच योग्य आर्किटेक्चरल निर्णय घ्यावे लागतील. जर ते चुकले, तर तुम्ही रिडायरेक्ट लूप्स, VLAN मिसमॅच आणि RADIUS टाईमआउट्स ट्रबलशूट करण्यात आठवडे घालवाल. जर ते बरोबर आले, तर तुमच्याकडे असे नेटवर्क असेल जे गेस्ट, कर्मचारी आणि IoT डिव्हाइसेसना स्वयंचलितपणे सेगमेंट करते, कंप्लायंट पद्धतीने फर्स्ट-पार्टी डेटा गोळा करते आणि मॅन्युअल हस्तक्षेपाशिवाय शेकडो साईट्सवर स्केल करते. [medium pause] तर आता आर्किटेक्चरमध्ये प्रवेश करूया. [short pause] जेव्हा एखादा गेस्ट Cisco डिप्लोयमेंटवर तुमच्या WiFi नेटवर्कशी कनेक्ट होतो, तेव्हा इंटरनेटवर पोहोचण्यापूर्वी तीन गोष्टी घडणे आवश्यक असते. पहिली म्हणजे, Cisco Catalyst 9800 WLC ला तो सुरुवातीचा HTTP रिक्वेस्ट इंटरसेप्ट करावा लागेल आणि क्लायंटला Purple च्या Captive Portal वर रिडायरेक्ट करावे लागेल. दुसरी म्हणजे, Purple च्या पोर्टलला युझरला ऑथेंटिकेट करावे लागेल, मग ते सोशल लॉगिन, ईमेल, SMS किंवा सोप्या अटी व शर्तींच्या मंजुरीद्वारे असो. तिसरी म्हणजे, Purple च्या RADIUS सर्व्हरला WLC ला परत सिग्नल द्यावा लागेल की युझर ऑथराइज्ड आहे, आणि पर्यायाने त्यांना एका विशिष्ट VLAN वर असाइन करावे लागेल. [medium pause] पहिली पायरी हाताळणाऱ्या मेकॅनिझमला External Web Authentication, किंवा EWA म्हणतात. Catalyst 9800 वर, तुम्ही एक वेब ऑथेंटिकेशन पॅरामीटर मॅप कॉन्फिगर करता जो Purple च्या स्पॅश पेज URL कडे निर्देशित करतो. WLC अनऑथेंटिकेटेड क्लायंट्स कडून येणारा सर्व HTTP ट्रॅफिक इंटरसेप्ट करतो आणि त्या URL वर 302 रिडायरेक्ट जारी करतो. तुम्हाला प्री-ऑथेंटिकेशन ACL कॉन्फिगर करावे लागेल किंवा 9800 चे URL फिल्टर फीचर वापरावे लागेल, जेणेकरून Purple च्या पोर्टल IP ॲड्रेसेसना व्हाईटलिस्ट करता येईल आणि क्लायंट ऑथराइज्ड होण्यापूर्वी प्रत्यक्ष स्पॅश पेजवर पोहोचू शकतील. Purple त्याच्या पोर्टलसाठी दोन IP ॲड्रेसेस प्रदान करते, आणि तुम्हाला तुमच्या प्री-ऑथ ACL मध्ये या दोन्हीची परवानगी देणे आवश्यक आहे. [medium pause] Catalyst 9800 साठी कॉन्फिगरेशन सिक्वेन्स खालीलप्रमाणे आहे. प्रथम, पॅरामीटर मॅप तयार करा. नंतर Purple च्या डोमेनला प्री-ऑथेंटिकेशनची परवानगी देण्यासाठी तुमचे URL फिल्टर कॉन्फिगर करा. हे तुमच्या WLAN पॉलिसी प्रोफाइलवर लागू करा, Layer 2 सिक्युरिटी None वर सेट करा, Layer 3 वर Web Policy सक्षम करा, आणि ते तुमच्या पॅरामीटर मॅपकडे निर्देशित करा. [medium pause] आता, RADIUS बद्दल पाहूया. या आर्किटेक्चरमध्ये Purple हे RADIUS सर्व्हर म्हणून काम करते. तुम्ही WLC ला Purple च्या RADIUS एंडपॉइंटशी कनेक्ट करण्यासाठी कॉन्फिगर करता, जे तुम्हाला Purple डॅशबोर्डमध्ये तुमच्या वेन्यूच्या नेटवर्क सेटिंग्जमध्ये मिळेल. शेअर्ड सिक्रेट प्रत्येक वेन्यूसाठी जनरेट केले जाते. Catalyst 9800 वर, Configuration, Security, AAA, Servers वर जा आणि अचूक IP आणि शेअर्ड सिक्रेटसह Purple चे RADIUS सर्व्हर जोडा. त्यानंतर एक सर्व्हर ग्रुप, ऑथेंटिकेशन मेथड लिस्ट तयार करा आणि ती तुमच्या WLAN वर लागू करा. [medium pause] एक गोष्ट ज्यामध्ये लोक सहसा अडकतात: 9800 वर, तुम्ही ग्लोबल वेब ऑथ पॅरामीटर मॅपमध्ये व्हर्च्युअल IP ॲड्रेस देखील कॉन्फिगर केला पाहिजे. व्हर्च्युअल IPv4 ॲड्रेस म्हणून 192.0.2.1 वापरा. तुम्ही हे वगळल्यास, क्लायंट काहीवेळा Purple च्या पोर्टलऐवजी अंतर्गत पोर्टलवर रीडायरेक्ट होतात आणि असे का होत आहे याचा विचार करण्यात तुमची दुपार वाया जाऊ शकते. [medium pause] आता 802.1X सह Staff WiFi कडे वळूया. [short pause] स्टाफ नेटवर्कसाठी, तुम्हाला EAP-TLS वापरून सर्टिफिकेट-बेस्ड ऑथेंटिकेशन हवे असेल, किंवा ज्या वातावरणात सर्टिफिकेट डिप्लॉयमेंट शक्य नाही तिथे किमान MSCHAPv2 सह PEAP वापरावे लागेल. Catalyst 9800 वर, स्टाफसाठी स्वतंत्र WLAN तयार करा, लेयर 2 सिक्युरिटी WPA2 Enterprise वर सेट करा आणि ऑथेंटिकेशन तुमच्या RADIUS सर्व्हरकडे निर्देशित करा. जर तुम्ही आयडेंटिटी प्रोव्हायडर म्हणून Microsoft Entra ID किंवा Okta वापरत असाल, तर Purple चे SecurePass ॲड-ऑन RADIUS प्रॉक्सी म्हणून काम करते, जे 802.1X ऑथेंटिकेशन विनंत्यांचे आयडेंटिटी प्रोव्हायडर लुकअपमध्ये रूपांतर करते. याचा अर्थ स्टाफ ऑथेंटिकेशनसाठी तुम्हाला स्वतंत्र ऑन-प्रिमाइसेस RADIUS सर्व्हरची आवश्यकता नाही. Purple हे EAP टर्मिनेशन हाताळते आणि आयडेंटिटी पडताळणी तुमच्या आयडेंटिटी प्रोव्हायडरकडे पाठवते. [medium pause] विशेषतः EAP-TLS साठी, तुम्हाला Microsoft Intune, Jamf किंवा तत्सम MDM प्लॅटफॉर्मद्वारे स्टाफ डिव्हाइसवर क्लायंट सर्टिफिकेट्स डिप्लॉय करावी लागतील. सर्टिफिकेट चेन Purple च्या RADIUS सर्व्हरद्वारे ट्रस्टेड असणे आवश्यक आहे, ज्याचा अर्थ तुमचे रूट CA सर्टिफिकेट Purple डॅशबोर्डवर अपलोड करणे होय. एकदा ते सेट झाल्यावर, स्टाफ डिव्हाइसेस कोणत्याही पासवर्ड प्रॉम्प्टशिवाय, किंवा स्पॅश पेजेसशिवाय शांतपणे ऑथेंटिकेट होतात. युझर कनेक्ट होतो, सर्टिफिकेट व्हॅलिडेट होते आणि ते काही सेकंदात स्टाफ VLAN वर येतात. [medium pause] आता, तो भाग ज्यामध्ये बहुतांश आर्किटेक्ट्सना खरोखर रस वाटतो: Cisco Identity PSK, किंवा iPSK. [short pause] iPSK अशा विशिष्ट समस्येचे निराकरण करते जी मल्टी-टेनंट वातावरणात सतत उद्भवते. ३०० खोल्या असलेले हॉटेल, ५० स्टोअर्स असलेली रिटेल इस्टेट किंवा २०० अपार्टमेंट्स असलेली बिल्ड-टू-रेंट डेव्हलपमेंट विचारात घ्या. तुम्हाला एकच SSID हवा असतो, परंतु तुम्हाला प्रत्येक टेनंट, प्रत्येक खोली किंवा प्रत्येक डिव्हाइस ग्रुप त्याच्या स्वतःच्या VLAN वर वेगळा हवा असतो. पारंपारिक उपाय म्हणजे प्रत्येक टेनंटसाठी स्वतंत्र SSID तयार करणे, ज्याचे स्केलिंग करणे कठीण असते आणि ज्यामुळे रेडिओ फ्रिक्वेन्सीमध्ये अडथळा निर्माण होतो. iPSK तुम्हाला एकच SSID देते जिथे प्रत्येक क्लायंट किंवा क्लायंटच्या ग्रुपकडे एक युनिक प्री-शेअर्ड की असते आणि RADIUS सर्व्हर त्या कीला विशिष्ट VLAN शी मॅप करतो. [medium pause] हे तांत्रिकदृष्ट्या कसे कार्य करते ते येथे आहे. जेव्हा एखादा क्लायंट SSID शी जोडला जातो, तेव्हा Catalyst 9800 WLC क्लायंटच्या MAC ॲड्रेससह Purple च्या RADIUS सर्व्हरला RADIUS Access-Request पाठवतो. Purple चा RADIUS सर्व्हर त्याच्या iPSK डेटाबेसमध्ये तो MAC ॲड्रेस शोधतो, संबंधित PSK आणि VLAN असाइनमेंट शोधतो आणि PSK सह Cisco AV-pair आणि VLAN असाइनमेंटसाठी IETF टनेल ॲट्रिब्युट्स असलेला RADIUS Access-Accept परत करतो. WLC परत आलेला PSK वापरून WPA2 फोर-वे हँडशेक पूर्ण करतो आणि नंतर क्लायंटला नियुक्त केलेल्या VLAN वर ठेवतो. [medium pause] डायनॅमिक VLAN असाइनमेंटसाठी तुम्हाला आवश्यक असलेले तीन RADIUS ॲट्रिब्युट्स आहेत: IETF ॲट्रिब्युट 64, Tunnel-Type, जो 13 च्या व्हॅल्यूसह VLAN वर सेट असावा. IETF ॲट्रिब्युट 65, Tunnel-Medium-Type, जो 6 च्या व्हॅल्यूसह 802 वर सेट असावा. आणि IETF ॲट्रिब्युट 81, Tunnel-Private-Group-ID, जो स्ट्रिंग म्हणून VLAN ID वर सेट असावा. RADIUS Access-Accept मध्ये एकत्र पाठवलेले हे तीन ॲट्रिब्युट्स WLC ला नेमके कोणते VLAN नियुक्त करायचे ते सांगतात. WLC वर VLAN आधीपासूनच डायनॅमिक इंटरफेस म्हणून अस्तित्वात असणे आवश्यक आहे, आणि अपलिंक स्विच पोर्ट सर्व संबंधित VLAN वाहून नेणारा ट्रंक म्हणून कॉन्फिगर केलेला असणे आवश्यक आहे. [medium pause] WLC बाजूने, iPSK WLAN वर MAC फिल्टरिंग सक्षम करा, AAA Override सक्षम करा आणि लेयर 2 सुरक्षा WPA2-PSK वर सेट करा. तुम्ही WLAN वर कॉन्फिगर केलेला ग्लोबल PSK केवळ फॉलबॅक म्हणून काम करतो. Purple च्या iPSK डेटाबेसमध्ये ज्या क्लायंटचा MAC ॲड्रेस नोंदणीकृत आहे अशा कोणत्याही क्लायंटसाठी RADIUS-परत केलेल्या PSK ला प्राधान्य दिले जाते. न नोंदणीकृत डिव्हाइसेससाठी, तुम्ही तुमच्या पॉलिसीनुसार एकतर ॲक्सेस नाकारू शकता किंवा ग्लोबल PSK चा वापर करू शकता. [medium pause] हे स्पष्ट करण्यासाठी मी तुम्हाला दोन रिअल-वर्ल्ड उदाहरणे देतो. [short pause] पहिले उदाहरण: 200 खोल्यांचे हॉटेल. हॉटेलला पाहुण्यांसाठी केवळ इंटरनेट ॲक्सेससह VLAN 10 हवा आहे, कर्मचाऱ्यांसाठी प्रॉपर्टी मॅनेजमेंट सिस्टीमच्या ॲक्सेससह VLAN 20 हवा आहे आणि IoT डिव्हाइसेस, दरवाजाचे लॉक, थर्मोस्टॅट्स, CCTV साठी इंटरनेट ॲक्सेसशिवाय VLAN 30 हवा आहे. ते Cisco 9100 सिरीज ॲक्सेस पॉईंट्ससह Cisco Catalyst 9800 कंट्रोलर्स चालवत आहेत. [medium pause] आर्किटेक्चर: WLC वर तीन पॉलिसी प्रोफाईल्स, प्रत्येक VLAN साठी एक. Purple कडे निर्देशित करणाऱ्या External Web Authentication चा वापर करून पाहुण्यांसाठी एकच SSID. Microsoft Entra ID च्या विरुद्ध Purple SecurePass द्वारे ऑथेंटिकेट केलेल्या, EAP-TLS सह WPA2 Enterprise वापरणाऱ्या कर्मचाऱ्यांसाठी स्वतंत्र SSID. आणि IoT डिव्हाइसेससाठी iPSK, ज्यामध्ये प्रत्येक डिव्हाइसचा MAC ॲड्रेस Purple च्या पोर्टलमध्ये नोंदणीकृत आहे आणि VLAN 30 वर नियुक्त केलेला आहे. हॉटेलची प्रॉपर्टी मॅनेजमेंट सिस्टीम Purple च्या API द्वारे नवीन IoT डिव्हाइसेस प्रोव्हिजन करते, त्यामुळे जेव्हा नवीन दरवाजाचे लॉक स्थापित केले जाते, तेव्हा त्याचा MAC ॲड्रेस आपोआप नोंदणीकृत होतो आणि योग्य VLAN वर नियुक्त केला जातो. कोणत्याही मॅन्युअल RADIUS कॉन्फिगरेशनची आवश्यकता नाही. [medium pause] दुसरे उदाहरण: 80 स्टोअर्स असलेली रिटेल साखळी. प्रत्येक स्टोअरमध्ये गेस्ट WiFi नेटवर्क, स्टाफ नेटवर्क आणि पेमेंट टर्मिनल्ससाठी नेटवर्क आहे. PCI DSS चे पालन करण्यासाठी पेमेंट टर्मिनल नेटवर्क गेस्ट नेटवर्कपासून पूर्णपणे वेगळे असणे आवश्यक आहे. रिटेलर प्रत्येक साइटवर Cisco Catalyst 9800-L कंट्रोलर्स वापरतात, जे Cisco Catalyst Centre द्वारे मध्यवर्ती पद्धतीने व्यवस्थापित केले जातात. [medium pause] Purple हे क्लाउड ओव्हरले म्हणून काम करते. प्रत्येक स्टोअरचे WLC Purple च्या RADIUS सर्व्हरच्या तपशीलांसह कॉन्फिगर केले जाते. गेस्ट ऑथेंटिकेशनसाठी ईमेल कॅप्चर असलेल्या ब्रँडेड स्प्लॅश पेजचा वापर केला जातो, जेथून फर्स्ट-पार्टी डेटा Purple च्या ॲनालिटिक्स प्लॅटफॉर्मवर पाठवला जातो. स्टाफ ऑथेंटिकेशनसाठी Active Directory विरुद्ध Purple SecurePass द्वारे PEAP चा वापर केला जातो. पेमेंट टर्मिनल्स डेडिकेटेड VLAN सह iPSK चा वापर करतात, आणि प्री-ऑथ ACL पेमेंट VLAN आणि गेस्ट VLAN मधील कोणत्याही ट्रॅफिकला स्पष्टपणे ब्लॉक करते, ज्यामुळे नेटवर्क सेगमेंटेशनसाठी असणारी PCI-DSS आवश्यकता 1.3 पूर्ण होते. [medium pause] आता संभाव्य अडचणींबद्दल बोलूया. [short pause] सर्वात सामान्य चूक म्हणजे रिडायरेक्ट लूप होय. हे तेव्हा घडते जेव्हा प्री-ऑथ ACL मध्ये Purple च्या पोर्टल IP ॲड्रेसेसची योग्य व्हाईटलिस्ट तयार नसते, त्यामुळे WLC क्लायंटला Purple च्या पोर्टलवर रिडायरेक्ट करतो, पण ACL मुळे ब्लॉक असल्यामुळे क्लायंट पोर्टलवर पोहोचू शकत नाही, आणि परिणामी WLC पुन्हा पुन्हा रिडायरेक्ट करत राहतो. उपाय: तुमच्या URL फिल्टर किंवा प्री-ऑथ ACL मध्ये Purple च्या दोन्ही पोर्टल IP ॲड्रेसेसचा समावेश असल्याची खात्री करा आणि प्री-ऑथेंटिकेशनमध्ये DNS रिझोल्यूशनला परवानगी असल्याचे तपासा. [medium pause] दुसरी सामान्य समस्या म्हणजे VLAN मिसमॅच. RADIUS सर्व्हर असा VLAN ID परत करतो जो WLC वर डायनॅमिक इंटरफेस म्हणून अस्तित्वात नसतो. त्यानंतर WLC क्लायंटला मूळ VLAN वर पाठवतो, जो सहसा मॅनेजमेंट VLAN असतो. हा सुरक्षेचा धोका आहे. उपाय: डिप्लॉय करण्यापूर्वी, तुमच्या WLC डायनॅमिक इंटरफेसचे Purple च्या RADIUS पॉलिसीजमध्ये कॉन्फिगर केलेल्या VLAN IDs सोबत ऑडिट करा. ते अगदी तंतोतंत जुळले पाहिजेत. [medium pause] तिसरी अडचण: EAP-TLS डिप्लॉयमेंट्समध्ये सर्टिफिकेट ट्रस्ट अयशस्वी होणे. जर क्लायंटची सर्टिफिकेट चेन Purple च्या RADIUS सर्व्हरद्वारे विश्वसनीय नसेल, तर वापरकर्त्याच्या बाजूने ऑथेंटिकेशन कोणतीही सूचना न मिळता अयशस्वी होते. ते फक्त कनेक्ट करू शकत नाहीत. उपाय: क्लायंट सर्टिफिकेट्स लागू करण्यापूर्वी तुमचे रूट CA आणि कोणतेही इंटरमीडिएट CA सर्टिफिकेट्स Purple च्या SecurePass कॉन्फिगरेशनमध्ये अपलोड करा. संपूर्ण ताफ्यात लागू करण्यापूर्वी एकाच डिव्हाइसवर चाचणी घ्या. [medium pause] द्रुत प्रश्नोत्तरे. [short pause] मी WLC ऐवजी Cisco Meraki सोबत Purple वापरू शकतो का? होय. Cisco Meraki कडे स्वतःची कॅप्टिव्ह पोर्टल इंटिग्रेशन यंत्रणा आहे आणि Purple त्याला नेटिव्हली सपोर्ट करते. RADIUS कॉन्फिगरेशन समान आहे पण यासाठी WLC कमांड लाइन ऐवजी Meraki चे डॅशबोर्ड वापरले जाते. [short pause] Purple Cisco वर WPA3 ला सपोर्ट करते का? होय. Cisco Catalyst 9800 वर IOS-XE 17.3 आणि त्यापुढील व्हर्जनवर WPA3-SAE समर्थित आहे. Purple चे RADIUS इंटिग्रेशन WPA3 सोबत देखील अगदी समान पद्धतीने काम करते. [short pause] RADIUS टाइमआउटची शिफारस काय आहे? तुमच्या प्रायमरी RADIUS सर्व्हरचा टाइमआउट दोन रिट्रायसह तीन सेकंदांवर सेट करा. फेलओव्हरसाठी सेकंडरी RADIUS सर्व्हर कॉन्फिगर करा. Purple एंटरप्राइझ ग्राहकांसाठी रिडंडंट RADIUS एंडपॉइंट्स प्रदान करते. [short pause] मी Purple सोबत Cisco ISE वापरू शकतो का? होय. काही संस्था पोश्चर असेसमेंट आणि डिव्हाइस प्रोफाइलिंगसाठी ISE वापरतात, तर गेस्ट पोर्टल आणि ॲनालिटिक्ससाठी Purple वापरतात. हे दोन्ही RADIUS सर्व्हर स्वतंत्र WLANs वर कॉन्फिगर केले जातात. [medium pause] थोडक्यात सांगायचे तर. [short pause] Cisco WLC आणि Catalyst वायरलेस इन्फ्रास्ट्रक्चर पाहुण्यांच्या captive portal रिडायरेक्शनसाठी External Web Authentication, Purple SecurePass द्वारे कर्मचारी प्रमाणीकरणासाठी 802.1X EAP-TLS किंवा PEAP, आणि मल्टि-टेनंट आणि IoT विभागणीसाठी डायनॅमिक VLAN असाइनमेंटसह Cisco iPSK चा वापर करून Purple सोबत सहज समाकलित होते. Tunnel-Type, Tunnel-Medium-Type आणि Tunnel-Private-Group-ID हे तीन RADIUS VLAN ॲट्रिब्युट्स डायनॅमिक विभागणी कार्यन्वित करणारी मुख्य यंत्रणा आहेत. मोठ्या प्रमाणावर उपयोजन करण्यापूर्वी तुमचे pre-auth ACLs योग्य सेट करा, RADIUS आणि WLC मधील तुमचे VLAN IDs जुळवून घ्या आणि सर्टिफिकेट ट्रस्ट चेन्सची चाचणी घ्या. [medium pause] Purple ८०,००० पेक्षा जास्त ठिकाणी कार्यरत असून २०२४ मध्ये ४४० दशलक्ष लॉगइन्स प्रोसेस करण्यात आले आहेत. Cisco इंटिग्रेशन हे जागतिक स्तरावर आमच्या सर्वात जास्त डिप्लॉय केलेल्या कॉन्फिगरेशनपैकी एक आहे. तुम्हाला सुरुवात करायची असल्यास, Purple डॅशबोर्ड तुम्हाला प्रत्येक ठिकाणानुसार RADIUS कॉन्फिगरेशनसाठी मार्गदर्शन करतो, आणि आमची इंटिग्रेशन टीम एंटरप्राइझ डिप्लॉयमेंटसाठी उपलब्ध आहे. [medium pause] या ब्रीफिंगसाठी एवढेच. ऐकल्याबद्दल धन्यवाद.