Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

हा अधिकृत मार्गदर्शक Cisco Catalyst 9800 WLCs चे Purple WiFi सोबतच्या स्टेप-बाय-स्टेप इंटिग्रेशनची तपशीलवार माहिती देतो. यामध्ये गेस्ट कॅप्टिव्ह पोर्टल्ससाठी External Web Authentication, सुरक्षित कर्मचारी ऍक्सेससाठी 802.1X EAP-TLS, आणि मल्टी-टेनंट डायनॅमिक VLAN सेगमेंटेशनसाठी Cisco iPSK कव्हर केले आहे.

📖 6 मिनिट वाचन📝 1,300 शब्द🔧 2 सोडवलेली उदाहरणे❓ 3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा

Purple च्या तांत्रिक ब्रिफिंग मालिकेत आपले स्वागत आहे. आज आपण अशा विषयावर बोलणार आहोत जो आदरातिथ्य (hospitality), किरकोळ विक्री (retail), किंवा मोठ्या प्रमाणावरील ठिकाणांवर काम करणाऱ्या जवळपास प्रत्येक एंटरप्राइझ नेटवर्क आर्किटेक्टच्या डेस्कवर येतो: Cisco Wireless LAN Controllers आणि Catalyst वायरलेस इन्फ्रास्ट्रक्चरला Purple च्या Guest WiFi प्लॅटफॉर्मसह समाकलित (integrate) करणे. जर तुम्ही Cisco Catalyst 9800 सिरीज कंट्रोलर्स, किंवा जुने AireOS प्लॅटफॉर्म चालवत असाल आणि तुम्हाला एक सुसंगत, विभागलेले, आणि ॲनालिटिक्स-चालित गेस्ट नेटवर्क प्रदान करायचे असेल, तर ही ब्रिफिंग तुमच्यासाठी आहे. [medium pause]

प्रथम संदर्भापासून सुरुवात करूया. Purple जागतिक स्तरावर 80,000 पेक्षा जास्त लाइव्ह ठिकाणांवर कार्यरत आहे, आणि Cisco हे एंटरप्राइझ वातावरणातील अग्रगण्य वायरलेस इन्फ्रास्ट्रक्चर वेंडर आहे. या दोन्ही प्लॅटफॉर्म्सना एकत्रितपणे सुरळीतपणे चालवणे कठीण नाही, परंतु त्यासाठी तुम्हाला सुरुवातीलाच योग्य आर्किटेक्चरल निर्णय घेणे आवश्यक आहे. जर ते चुकले, तर तुम्ही रीडायरेक्ट लूप्स, VLAN विसंगती आणि RADIUS टाईमआउट्सच्या त्रुटी दूर करण्यात अनेक आठवडे घालवाल. जर ते योग्य ठरले, तर तुमच्याकडे असे नेटवर्क असेल जे पाहुणे, कर्मचारी आणि IoT उपकरणांना स्वयंचलितपणे विभाजित करते, सुसंगतपणे फर्स्ट-पार्टी डेटा गोळा करते आणि मॅन्युअल हस्तक्षेपाशिवाय शेकडो साइट्सवर विस्तार करते. [medium pause]

तर आता आर्किटेक्चर समजून घेऊया. [short pause]

जेव्हा एखादा पाहुणा Cisco डिप्लॉयमेंटवरील तुमच्या WiFi नेटवर्कशी कनेक्ट होतो, तेव्हा ते इंटरनेटवर पोहोचण्यापूर्वी तीन गोष्टी घडणे आवश्यक असते. पहिली गोष्ट म्हणजे, Cisco Catalyst 9800 WLC ने सुरुवातीचा HTTP रिक्वेस्ट इंटरसेप्ट करणे आणि क्लायंटला Purple च्या captive portal कडे रीडायरेक्ट करणे आवश्यक आहे. दुसरी गोष्ट म्हणजे, Purple च्या पोर्टलने युझरचे प्रमाणीकरण (authentication) करणे आवश्यक आहे, मग ते सोशल लॉगिन, ईमेल, SMS किंवा साध्या अटी-आणि-शर्ती स्वीकारण्याद्वारे असो. तिसरी गोष्ट म्हणजे, Purple च्या RADIUS सर्व्हरने WLC ला सिग्नल पाठवून युझर अधिकृत असल्याचे कळवणे आवश्यक आहे, आणि पर्यायाने त्यांना विशिष्ट VLAN वर नियुक्त करणे आवश्यक आहे. [medium pause]

पहिल्या पायरीचे व्यवस्थापन करणाऱ्या यंत्रणेला External Web Authentication, किंवा EWA असे म्हणतात. Catalyst 9800 वर, तुम्ही वेब ऑथेंटिकेशन पॅरामीटर मॅप कॉन्फिगर करता जो Purple च्या splash page URL कडे निर्देशित करतो. WLC अप्रमाणित क्लायंटकडून येणारी सर्व HTTP ट्रॅफिक इंटरसेप्ट करतो आणि त्या URL कडे 302 रीडायरेक्ट जारी करतो. तुम्हाला प्री-ऑथेंटिकेशन ACL कॉन्फिगर करणे देखील आवश्यक असेल, किंवा 9800 च्या URL फिल्टर वैशिष्ट्याचा वापर करून Purple च्या पोर्टल IP पत्त्यांना व्हाइटलिस्ट करावे लागेल जेणेकरून क्लायंट प्रमाणित होण्यापूर्वी प्रत्यक्षात splash page पर्यंत पोहोचू शकतील. Purple त्याच्या पोर्टलसाठी दोन IP पत्ते प्रदान करते, आणि तुम्हाला तुमच्या प्री-ऑथ ACL मध्ये या दोन्ही पत्त्यांना परवानगी देणे आवश्यक आहे. [medium pause]

Catalyst 9800 साठी कॉन्फिगरेशन क्रम खालीलप्रमाणे आहे. प्रथम, पॅरामीटर मॅप तयार करा. नंतर Purple च्या डोमेनला प्री-ऑथेंटिकेशनची परवानगी देण्यासाठी तुमचे URL फिल्टर कॉन्फिगर करा. हे तुमच्या WLAN पॉलिसी प्रोफाईलवर लागू करा, Layer 2 सिक्युरिटी 'None' वर सेट करा, Layer 3 वर Web Policy सक्षम करा आणि त्यास तुमच्या पॅरामीटर मॅपकडे निर्देशित करा. [medium pause]

आता, RADIUS. या आर्किटेक्चरमध्ये Purple हे RADIUS सर्व्हर म्हणून काम करते. आपण आपल्या वेन्यूच्या नेटवर्क सेटिंग्ज अंतर्गत Purple डॅशबोर्डमध्ये शोधू शकता अशा Purple च्या RADIUS एंडपॉइंटकडे निर्देश करण्यासाठी WLC कॉन्फिगर करता. सामायिक केलेले गुपित (shared secret) प्रत्येक वेन्यूसाठी तयार केले जाते. Catalyst 9800 वर, Configuration, Security, AAA, Servers वर जा आणि योग्य IP आणि सामायिक गुपितासह Purple चे RADIUS सर्व्हर जोडा. नंतर एक सर्व्हर ग्रुप, ऑथेंटिकेशन मेथड लिस्ट तयार करा आणि ती तुमच्या WLAN वर लागू करा. [medium pause]

एक गोष्ट ज्यामध्ये लोक अडकतात: 9800 वर, आपण ग्लोबल वेब ऑथ पॅरामीटर मॅपमध्ये व्हर्च्युअल IP ॲड्रेस देखील कॉन्फिगर केला पाहिजे. व्हर्च्युअल IPv4 ॲड्रेस म्हणून 192.0.2.1 वापरा. आपण हे वगळल्यास, क्लायंट काहीवेळा Purple च्या पोर्टलऐवजी अंतर्गत पोर्टलवर रिडायरेक्ट होतात आणि असे का होत आहे हे शोधण्यात तुमची दुपार निराशेत जाईल. [medium pause]

चला 802.1X सह Staff WiFi कडे वळूया. [short pause]

स्टाफ नेटवर्कसाठी, आपल्याला EAP-TLS वापरून प्रमाणपत्र-आधारित ऑथेंटिकेशन हवे आहे, किंवा किमान ज्या वातावरणात प्रमाणपत्र तैनात करणे शक्य नाही अशा वातावरणासाठी MSCHAPv2 सह PEAP हवे आहे. Catalyst 9800 वर, स्टाफसाठी स्वतंत्र WLAN तयार करा, लेयर 2 सुरक्षा WPA2 Enterprise वर सेट करा आणि ऑथेंटिकेशन आपल्या RADIUS सर्व्हरकडे निर्देशित करा. आपण आपला आयडेंटिटी प्रोव्हाइडर म्हणून Microsoft Entra ID किंवा Okta वापरत असल्यास, Purple चे SecurePass ॲड-ऑन RADIUS प्रॉक्सी म्हणून काम करते, जे 802.1X ऑथेंटिकेशन विनंत्यांचे आयडेंटिटी प्रोव्हाइडर लुकअपमध्ये भाषांतर करते. याचा अर्थ स्टाफ ऑथेंटिकेशनसाठी आपल्याला स्वतंत्र ऑन-प्रिमाइसेस RADIUS सर्व्हरची आवश्यकता नाही. Purple हे EAP टर्मिनेशन हाताळते आणि आयडेंटिटी पडताळणी आपल्या आयडेंटिटी प्रोव्हाइडरकडे पाठवते. [medium pause]

विशेषतः EAP-TLS साठी, आपल्याला स्टाफ डिव्हाइसेसवर क्लायंट प्रमाणपत्रे तैनात करावी लागतील, मग ते Microsoft Intune, Jamf किंवा तत्सम MDM प्लॅटफॉर्मद्वारे असो. प्रमाणपत्र साखळीवर Purple च्या RADIUS सर्व्हरद्वारे विश्वास ठेवला पाहिजे, ज्याचा अर्थ आपले रूट CA प्रमाणपत्र Purple डॅशबोर्डवर अपलोड करणे आहे. एकदा ते लागू झाल्यावर, स्टाफ डिव्हाइसेस शांतपणे ऑथेंटिकेट होतात, कोणतेही पासवर्ड प्रॉम्ट्स नाही, कोणतेही स्प्लॅश पेजेस नाही. वापरकर्ता कनेक्ट होतो, प्रमाणपत्र प्रमाणित केले जाते आणि ते काही सेकंदात स्टाफ VLAN वर येतात. [medium pause]

आता, तो भाग जो बऱ्याच आर्किटेक्ट्सना खरोखरच मनोरंजक वाटतो: Cisco Identity PSK, किंवा iPSK. [short pause]

iPSK अशा विशिष्ट समस्येचे निराकरण करते जी मल्टी-टेनंट वातावरणात सतत उद्भवते. 300 खोल्यांचे हॉटेल, किंवा 50 स्टोअर्स असलेली रिटेल इस्टेट, किंवा 200 अपार्टमेंट्स असलेली बिल्ड-टू-रेंट डेव्हलपमेंट विचारात घ्या. आपल्याला एकच SSID हवा आहे, परंतु आपल्याला प्रत्येक भाडेकरू, प्रत्येक खोली किंवा प्रत्येक डिव्हाइस ग्रुप त्याच्या स्वतःच्या VLAN वर वेगळा असावा हवा आहे. पारंपारिक उत्तर प्रत्येक भाडेकरूसाठी स्वतंत्र SSID तयार करणे हे होते, जे स्केल होत नाही आणि रेडिओ फ्रिक्वेन्सीमध्ये गर्दी निर्माण करते. iPSK आपल्याला एकच SSID देते जिथे प्रत्येक क्लायंट किंवा क्लायंटच्या ग्रुपकडे एक युनिक प्री-शेअर्ड की असते आणि RADIUS सर्व्हर त्या की ला विशिष्ट VLAN शी मॅप करतो. [medium pause]
तांत्रिकदृष्ट्या हे कसे कार्य करते ते येथे दिले आहे. जेव्हा एखादा क्लायंट SSID शी जोडला जातो, तेव्हा Catalyst 9800 WLC क्लायंटच्या MAC ॲड्रेससह, Purple च्या RADIUS सर्व्हरला RADIUS Access-Request पाठवतो. Purple चा RADIUS सर्व्हर त्याच्या iPSK डेटाबेसमध्ये तो MAC ॲड्रेस शोधतो, संबंधित PSK आणि VLAN असाइनमेंट शोधतो आणि PSK सह Cisco AV-pair आणि VLAN असाइनमेंटसाठी IETF टनेल ॲट्रिब्युट्स असलेले RADIUS Access-Accept परत करतो. WLC परत मिळालेला PSK वापरून WPA2 फोर-वे हँडशेक पूर्ण करतो आणि नंतर क्लायंटला नियुक्त केलेल्या VLAN वर ठेवतो. [medium pause]

डायनॅमिक VLAN असाइनमेंटसाठी तुम्हाला आवश्यक असलेले तीन RADIUS ॲट्रिब्युट्स म्हणजे: IETF ॲट्रिब्युट 64, Tunnel-Type, जे 13 च्या मूल्यासह VLAN वर सेट केले आहे. IETF ॲट्रिब्युट 65, Tunnel-Medium-Type, जे 6 च्या मूल्यासह 802 वर सेट केले आहे. आणि IETF ॲट्रिब्युट 81, Tunnel-Private-Group-ID, जे स्ट्रिंग म्हणून VLAN ID वर सेट केले आहे. RADIUS Access-Accept मध्ये एकत्र पाठवलेले हे तीन ॲट्रिब्युट्स, WLC ला नेमका कोणता VLAN नियुक्त करायचा ते सांगतात. VLAN आधीपासूनच WLC वर डायनॅमिक इंटरफेस म्हणून अस्तित्वात असणे आवश्यक आहे आणि अपलिंक स्विच पोर्ट सर्व संबंधित VLAN वाहून नेणारा ट्रंक म्हणून कॉन्फिगर केलेला असणे आवश्यक आहे. [medium pause]

WLC बाजूने, iPSK WLAN वर MAC फिल्टरिंग सक्षम करा, AAA Override सक्षम करा आणि लेअर 2 सुरक्षा WPA2-PSK वर सेट करा. तुम्ही WLAN वर कॉन्फिगर केलेला ग्लोबल PSK केवळ फॉलबॅक म्हणून काम करतो. Purple च्या iPSK डेटाबेसमध्ये ज्या क्लायंटचा MAC ॲड्रेस नोंदणीकृत आहे अशा कोणत्याही क्लायंटसाठी RADIUS-परत मिळालेल्या PSK ला प्राधान्य दिले जाते. नोंदणी नसलेल्या डिव्हाइसेससाठी, तुम्ही तुमच्या पॉलिसीनुसार एकतर प्रवेश नकारू शकता किंवा ग्लोबल PSK वर फॉलबॅक करू शकता. [medium pause]

हे अधिक स्पष्ट करण्यासाठी मी तुम्हाला दोन वास्तविक-जगातील उदाहरणे देतो. [short pause]

पहिले उदाहरण: 200 खोल्यांचे हॉटेल. हॉटेलला हवे आहे की पाहुणे फक्त इंटरनेट प्रवेशासह VLAN 10 वर असावेत, कर्मचारी प्रॉपर्टी मॅनेजमेंट सिस्टीमच्या प्रवेशासह VLAN 20 वर असावेत आणि IoT डिव्हाइसेस, दरवाजाचे कुलूप, थर्मोस्टॅट्स, CCTV, इंटरनेट प्रवेशाशिवाय VLAN 30 वर असावेत. ते Cisco Catalyst 9800 कंट्रोलर्ससह Cisco 9100 सिरीज ॲक्सेस पॉइंट्स वापरत आहेत. [medium pause]

आर्किटेक्चर: WLC वर तीन पॉलिसी प्रोफाइल्स, प्रति VLAN एक. Purple कडे निर्देशित करणाऱ्या एक्सटर्नल वेब ऑथेंटिकेशनचा वापर करणाऱ्या पाहुण्यांसाठी एकच SSID. Microsoft Entra ID च्या विरोधात Purple SecurePass द्वारे ऑथेंटिकेट केलेल्या, EAP-TLS सह WPA2 Enterprise वापरणाऱ्या कर्मचाऱ्यांसाठी एक स्वतंत्र SSID. आणि IoT डिव्हाइसेससाठी iPSK, ज्यामध्ये प्रत्येक डिव्हाइसचा MAC ॲड्रेस Purple च्या पोर्टलमध्ये नोंदणीकृत आहे आणि VLAN 30 ला नियुक्त केला आहे. हॉटेलची प्रॉपर्टी मॅनेजमेंट सिस्टीम Purple च्या API द्वारे नवीन IoT डिव्हाइसेस प्रोव्हिजन करते, त्यामुळे जेव्हा नवीन दरवाजाचे कुलूप इन्स्टॉल केले जाते, तेव्हा त्याचा MAC ॲड्रेस आपोआप नोंदणीकृत होतो आणि योग्य VLAN ला नियुक्त केला जातो. कोणत्याही मॅन्युअल RADIUS कॉन्फिगरेशनची आवश्यकता नाही. [medium pause]

दुसरे उदाहरण: 80 स्टोअर्स असलेली रिटेल साखळी. प्रत्येक स्टोअरमध्ये अतिथी WiFi नेटवर्क, कर्मचारी नेटवर्क आणि पेमेंट टर्मिनल्ससाठी एक नेटवर्क आहे. PCI DSS पूर्ततेसाठी पेमेंट टर्मिनल नेटवर्क अतिथी नेटवर्कपासून पूर्णपणे वेगळे असणे आवश्यक आहे. रिटेलर प्रत्येक साइटवर Cisco Catalyst 9800-L कंट्रोलर्स वापरतात, जे Cisco Catalyst Centre द्वारे मध्यवर्तीरित्या व्यवस्थापित केले जातात. [medium pause]

Purple हे क्लाउड ओव्हरले म्हणून काम करते. प्रत्येक स्टोअरचे WLC Purple च्या RADIUS सर्व्हर तपशीलांसह कॉन्फिगर केले आहे. गेस्ट ऑथेंटिकेशनसाठी ईमेल कॅप्चरसह ब्रँडेड स्प्लॅश पेज वापरले जाते, जे पहिल्या-पक्षाचा डेटा Purple च्या ॲनालिटिक्स प्लॅटफॉर्मवर पाठवते. स्टाफ ऑथेंटिकेशन Purple SecurePass द्वारे Active Directory च्या विरूद्ध PEAP वापरते. पेमेंट टर्मिनल्स डेडिकेटेड VLAN सह iPSK वापरतात, आणि प्री-ऑथ ACL पेमेंट VLAN आणि गेस्ट VLAN मधील कोणत्याही ट्रॅफिकला स्पष्टपणे ब्लॉक करते, ज्यामुळे नेटवर्क सेगमेंटेशनसाठी PCI DSS ची आवश्यकता १.३ पूर्ण होते. [medium pause]

आता संभाव्य अडचणींबद्दल बोलूया. [short pause]

सर्वात सामान्य बिघाड म्हणजे रीडायरेक्ट लूप. हे तेव्हा घडते जेव्हा प्री-ऑथ ACL योग्यरित्या Purple च्या पोर्टल IP ॲड्रेसला व्हाइटलिस्ट करत नाही, त्यामुळे WLC क्लायंटला Purple च्या पोर्टलवर रीडायरेक्ट करते, परंतु ACL ने ब्लॉक केल्यामुळे क्लायंट पोर्टलवर पोहोचू शकत नाही, म्हणून WLC पुन्हा आणि अनिश्चित काळासाठी रीडायरेक्ट करते. उपाय: तुमचे URL फिल्टर किंवा प्री-ऑथ ACL मध्ये Purple च्या दोन्ही पोर्टल IP ॲड्रेसचा समावेश असल्याची पडताळणी करा आणि प्री-ऑथेंटिकेशनमध्ये DNS रिझोल्यूशनला परवानगी असल्याची खात्री करा. [medium pause]

दुसरी सामान्य समस्या म्हणजे VLAN मिसमॅच. RADIUS सर्व्हर असा VLAN ID परत करतो जो WLC वर डायनॅमिक इंटरफेस म्हणून अस्तित्वात नाही. त्यानंतर WLC क्लायंटला नेटिव्ह VLAN वर ठेवते, जे सहसा मॅनेजमेंट VLAN असते. हा एक सुरक्षिततेचा धोका आहे. उपाय: डिप्लॉय करण्यापूर्वी, Purple च्या RADIUS पॉलिसींमध्ये कॉन्फिगर केलेल्या VLAN IDs सोबत तुमच्या WLC डायनॅमिक इंटरफेसचे ऑडिट करा. ते अगदी तंतोतंत जुळले पाहिजेत. [medium pause]

तिसरी अडचण: EAP-TLS डिप्लॉयमेंटमधील सर्टिफिकेट ट्रस्ट बिघाड. जर क्लायंटच्या सर्टिफिकेट चेनवर Purple च्या RADIUS सर्व्हरद्वारे विश्वास ठेवला गेला नाही, तर युझरच्या बाजूने ऑथेंटिकेशन कोणतीही माहिती न मिळता अपयशी ठरते. ते फक्त कनेक्ट करू शकत नाहीत. उपाय: क्लायंट सर्टिफिकेट रोल आउट करण्यापूर्वी तुमचे रूट CA आणि कोणतेही इंटरमीडिएट CA सर्टिफिकेट Purple च्या SecurePass कॉन्फिगरेशनवर अपलोड करा. संपूर्ण ताफ्यात लागू करण्यापूर्वी एकाच डिव्हाइससह चाचणी करा. [medium pause]

काही त्वरित प्रश्न. [short pause]

मी WLC ऐवजी Cisco Meraki सह Purple वापरू शकतो का? होय. Cisco Meraki कडे स्वतःची कॅप्टिव्ह पोर्टल इंटिग्रेशन यंत्रणा आहे आणि Purple तिला नेटिव्हली सपोर्ट करते. RADIUS कॉन्फिगरेशन सारखेच आहे परंतु ते WLC कमांड लाईनऐवजी Meraki च्या डॅशबोर्डचा वापर करते. [short pause]

Purple हे Cisco वर WPA3 ला सपोर्ट करते का? होय. IOS-XE 17.3 आणि त्यापुढील व्हर्जनसह Cisco Catalyst 9800 वर WPA3-SAE समर्थित आहे. Purple चे RADIUS इंटिग्रेशन WPA3 सोबत तंतोतंत सारखेच काम करते. [short pause]

RADIUS टाइमआउट शिफारस काय आहे? तुमच्या प्रायमरी RADIUS सर्व्हरचा टाइमआउट दोन रिट्रायसह तीन सेकंदांवर सेट करा. फेलओव्हरसाठी सेकंडरी RADIUS सर्व्हर कॉन्फिगर करा. Purple एंटरप्राइझ ग्राहकांसाठी रिडंडंट RADIUS एंडपॉइंट्स प्रदान करते. [short pause]

मी Purple सोबत Cisco ISE वापरू शकतो का? होय. काही संस्था पोश्चर असेसमेंट आणि डिव्हाइस प्रोफाइलिंगसाठी ISE वापरतात, तर गेस्ट पोर्टल आणि ॲनालिटिक्ससाठी Purple चा वापर करतात. हे दोन RADIUS सर्व्हर वेगवेगळ्या WLANs वर कॉन्फिगर केले जातात. [medium pause]

थोडक्यात सांगायचे तर. [short pause]

Cisco WLC आणि Catalyst वायरलेस इन्फ्रास्ट्रक्चर हे पाहुण्यांच्या Captive Portal रिडायरेक्शनसाठी External Web Authentication चा वापर करून, Purple SecurePass द्वारे कर्मचारी प्रमाणीकरणासाठी 802.1X EAP-TLS किंवा PEAP, आणि मल्टी-टेनंट आणि IoT सेगमेंटेशनसाठी डायनॅमिक VLAN असाइनमेंटसह Cisco iPSK चा वापर करून Purple सोबत सहजपणे समाकलित होते. तीन RADIUS VLAN ॲट्रिब्युट्स, Tunnel-Type, Tunnel-Medium-Type, आणि Tunnel-Private-Group-ID, ही डायनॅमिक सेगमेंटेशन चालवणारी यंत्रणा आहे. तुमचे प्री-ऑथ ACLs अचूक ठेवा, RADIUS आणि WLC मधील तुमचे VLAN IDs जुळवून घ्या, आणि फ्लीट डिप्लॉयमेंट करण्यापूर्वी सर्टिफिकेट ट्रस्ट चेन्स तपासा. [medium pause]

Purple ८०,००० पेक्षा जास्त ठिकाणी कार्यरत आहे आणि २०२४ मध्ये याने ४४ कोटी लॉगइन्स प्रोसेस केले आहेत. Cisco इंटिग्रेशन हे जागतिक स्तरावर आमच्या सर्वात जास्त डिप्लॉय केलेल्या कॉन्फिगरेशनपैकी एक आहे. तुम्हाला सुरुवात करायची असल्यास, Purple डॅशबोर्ड तुम्हाला प्रत्येक ठिकाणच्या RADIUS कॉन्फिगरेशनचे मार्गदर्शन करतो, आणि आमची इंटिग्रेशन टीम एंटरप्राइझ डिप्लॉयमेंटसाठी उपलब्ध आहे. [medium pause]

या ब्रिफिंगसाठी एवढेच. ऐकल्याबद्दल धन्यवाद.

महत्वाचे मुद्दे

✓अप्रमाणित अतिथी ट्रॅफिकला Purple च्या ब्रँडेड captive portal वर रीडायरेक्ट करण्यासाठी Catalyst 9800 WLC वर External Web Authentication (EWA) वापरा.
✓रीडायरेक्ट लूप टाळण्यासाठी pre-authentication ACLs किंवा URL फिल्टर स्पष्टपणे Purple च्या पोर्टल IP ॲड्रेसला अनुमती देतात याची खात्री करा.
✓Entra ID किंवा Okta विरुद्ध थेट 802.1X EAP-TLS किंवा PEAP द्वारे कर्मचाऱ्यांचे प्रमाणीकरण करण्यासाठी क्लाउड RADIUS प्रॉक्सी म्हणून Purple SecurePass उपयोजित करा.
✓एकच SSID वापरून IoT डिव्हाइसेस आणि बहु-भाडेकरू (multi-tenant) वापरकर्त्यांना विशिष्ट VLAN वर सुरक्षितपणे विभाजित करण्यासाठी Cisco Identity PSK (iPSK) चा लाभ घ्या.
✓RADIUS-चालित डायनॅमिक VLAN असाइनमेंटला अनुमती देण्यासाठी नेहमी WLC वर 'AAA Override' सक्षम करा आणि स्थानिक पातळीवर डायनॅमिक इंटरफेस अस्तित्वात असल्याची खात्री करा.
✓प्रमाणीकरणासाठी उच्च उपलब्धता (high availability) सुनिश्चित करण्यासाठी ३-सेकंद टाइमआउट आणि २ रिट्रायसह दुय्यम RADIUS सर्व्हर कॉन्फिगर करा.

मुख्य सारांश (Executive Summary)

एंटरप्राइज वातावरणात सुरक्षित, सुसंगत आणि स्केलेबल वायरलेस नेटवर्क तैनात करण्यासाठी इन्फ्रास्ट्रक्चर आणि आयडेंटिटी प्रदात्यांमध्ये घट्ट एकत्रीकरण आवश्यक आहे. हे मार्गदर्शक Cisco Catalyst 9800 Wireless LAN Controllers (WLC) ला Purple च्या क्लाउड प्लॅटफॉर्मसह एकत्रित करण्यासाठी आवश्यक असणारे आर्किटेक्चरल निर्णय आणि कॉन्फिगरेशन स्टेप्स सविस्तर स्पष्ट करते.

गेस्ट ॲक्सेससाठी, आम्ही कॅप्टिव्ह पोर्टल रिडायरेक्शनसाठी External Web Authentication (EWA) चे विश्लेषण करतो, ज्यामुळे फर्स्ट-पार्टी डेटा कॅप्चर आणि Guest WiFi ॲनालिटिक्स सक्षम होते. स्टाफ ॲक्सेससाठी, आम्ही Microsoft Entra ID किंवा Okta ला RADIUS प्रॉक्सी म्हणून Purple SecurePass चा वापर करून 802.1X EAP-TLS आणि PEAP ऑथेंटिकेशनचे तपशील देतो. IoT आणि मल्टी-टेनंट वातावरणासाठी, आम्ही Cisco Identity PSK (iPSK) कॉन्फिगरेशनची रूपरेषा देतो, जे क्लिष्ट सर्टिफिकेट डिप्लॉयमेंटवर अवलंबून न राहता एकाच SSID वर डायनॅमिक VLAN असाइनमेंट आणि नेटवर्क सेगमेंटेशन सक्षम करते.

Purple जगभरात 80,000 पेक्षा जास्त लाईव्ह व्हेन्यूमध्ये कार्यरत आहे, ज्याने 2024 मध्ये 440 दशलक्ष लॉगीन्सची प्रक्रिया केली आहे. हे एकत्रीकरण हाय-डेन्सिटी Hospitality , Retail आणि Transport वातावरणात सिद्ध झाले आहे जिथे अपटाइम, अनुपालन (compliance) आणि अखंड वापरकर्ता अनुभव या गोष्टींशी तडजोड केली जाऊ शकत नाही.

तांत्रिक सखोल विश्लेषण: आर्किटेक्चर आणि ऑथेंटिकेशन फ्लो

१. Guest WiFi: External Web Authentication (EWA)

ब्रँडेड कॅप्टिव्ह पोर्टल प्रदान करण्यासाठी आणि WiFi Analytics साठी वापरकर्ता डेटा कॅप्चर करण्यासाठी, Cisco Catalyst 9800 WLC ने ऑथेंटिकेट न झालेला HTTP ट्रॅफिक इंटरसेप्ट केला पाहिजे आणि तो Purple च्या क्लाउड-होस्ट केलेल्या स्प्लॅश पेजवर रिडायरेक्ट केला पाहिजे. या यंत्रणेला External Web Authentication (EWA) म्हटले जाते.

ही प्रक्रिया एका विशिष्ट क्रमाने चालते:

क्लायंट ओपन किंवा Opportunistic Wireless Encryption (OWE) SSID शी जोडला जातो.
WLC क्लायंटला Webauth_reqd स्टेटमध्ये ठेवते आणि प्री-ऑथेंटिकेशन Access Control List (ACL) लागू करते.
WLC क्लायंटच्या HTTP विनंतीला इंटरसेप्ट करते आणि AP MAC ॲड्रेस, क्लायंट MAC ॲड्रेस आणि WLAN SSID सारखे पॅरामीटर्स जोडून Purple च्या स्प्लॅश पेज URL वर 302 रिडायरेक्ट जारी करते.
क्लायंट Purple पोर्टलवर ऑथेंटिकेशन प्रक्रिया पूर्ण करतो (उदा. सोशल लॉगिन, ईमेल कॅप्चर किंवा अटींची स्वीकृती).
Purple चे RADIUS सर्व्हर WLC ला Access-Accept संदेश पाठवते.
WLC क्लायंटला Run स्टेटमध्ये हलवते, आणि पोस्ट-ऑथेंटिकेशन पॉलिसीच्या आधारे इंटरनेट ॲक्सेस मंजूर करते.

२. Staff WiFi: 802.1X EAP-TLS आणि PEAP

कॉर्पोरेट डिव्हाइसेससाठी, 802.1X सह WPA2/WPA3 Enterprise सर्वात मजबूत सुरक्षा प्रदान करते. Cisco ISE सारखे ऑन-प्रिमाइसेस RADIUS सर्व्हर तैनात करण्याऐवजी, Purple SecurePass क्लाउड RADIUS प्रॉक्सी म्हणून कार्य करते. हे Extensible Authentication Protocol (EAP) टनेल समाप्त करते आणि आयडेंटिटी पडताळणी आपल्या आयडेंटिटी प्रोव्हायडरकडे (IdP) फॉरवर्ड करते, जसे की Microsoft Entra ID किंवा Google Workspace.

EAP-TLS: व्यवस्थापित कॉर्पोरेट डिव्हाइसेससाठी शिफारस केलेले. MDM (उदा. Microsoft Intune) द्वारे क्लायंट सर्टिफिकेट्स तैनात करणे आवश्यक आहे. प्रमाणीकरण सायलेंट आणि अत्यंत सुरक्षित आहे.
PEAP-MSCHAPv2: BYOD वातावरणासाठी शिफारस केलेले जेथे सर्टिफिकेट्स तैनात करणे अव्यवहार्य आहे. युजर्स त्यांच्या कॉर्पोरेट क्रेडेंशियलसह प्रमाणीकृत होतात.

3. IoT आणि Multi-Tenant: Cisco Identity PSK (iPSK)

बिल्ड टू रेंट (BTR) प्रॉपर्टीज, विद्यार्थी निवास किंवा अनेक IoT डिव्हाइसेस असलेल्या रिटेल स्टोअर्ससारख्या वातावरणात, 802.1X तैनात करणे सहसा अशक्य असते कारण डिव्हाइसेसमध्ये सप्लिकंट सपोर्ट नसतो. प्रत्येक भाडेकरू किंवा डिव्हाइस प्रकारासाठी वेगळा SSID तयार केल्याने RF कंजेशन होते.

Cisco iPSK एकाच SSID वर अनेक युनिक Pre-Shared Keys (PSKs) ला परवानगी देऊन हे सोडवते. जेव्हा एखादे डिव्हाइस असोसिएट होते, तेव्हा WLC त्याचा MAC पत्ता Purple च्या RADIUS सर्व्हरवर पाठवतो. Purple त्या विशिष्ट डिव्हाइससाठी विशिष्ट PSK आणि डायनॅमिक VLAN असाइनमेंट ॲट्रिब्युट्स परत करतो, ज्यामुळे स्विच पोर्टवर ट्रॅफिक सेगमेंट होते.

Implementation Guide

Configuring Guest Captive Portal Redirection

Catalyst 9800 WLC वर External Web Authentication कॉन्फिगर करण्यासाठी, आपण Purple च्या पोर्टलवर प्री-ऑथेंटिकेशन ट्रॅफिकला परवानगी देण्यासाठी पॅरामीटर मॅप आणि URL फिल्टर परिभाषित केले पाहिजे [1].

Step 1: Create the Web Authentication Parameter Map

आवश्यक व्हेरिएबल्स पास करून, क्लायंटना Purple पोर्टलवर रिडायरेक्ट करण्यासाठी WLC कॉन्फिगर करा. आपण व्हर्च्युअल IPv4 ॲड्रेस (सामान्यतः 192.0.2.1) जागतिक स्तरावर कॉन्फिगर केला पाहिजे.

parameter-map type webauth PURPLE-GUEST
  type consent
  timeout init-state sec 600
  redirect for-login https://portal.purple.ai
  redirect append ap-mac tag ap_mac
  redirect append wlan-ssid tag wlan
  redirect append client-mac tag client_mac
  redirect portal ipv4 
  logout-window-disabled
  success-window-disabled

Step 2: Configure the Pre-Authentication URL Filter

क्लायंट प्रमाणीकृत होण्यापूर्वी Purple च्या पोर्टलवर पोहोचणे आवश्यक आहे. 9800 WLC DNS स्नूपिंगवर आधारित इंटरसेप्ट ACL मध्ये डायनॅमिकली होल्स तयार करण्यासाठी URL फिल्टर्स वापरते.

urlfilter list PURPLE-PREAUTH
  action permit
  url portal.purple.ai

हा URL फिल्टर आपल्या WLAN पॉलिसी प्रोफाइलमध्ये प्री-ऑथेंटिकेशन ACL सेटिंग्स अंतर्गत लागू करा.

Configuring Dynamic VLAN Assignment for iPSK

वापरकर्त्यांना किंवा उपकरणांना विशिष्ट VLANs मध्ये डायनॅमिकली समाविष्ट करण्यासाठी, Purple RADIUS सर्व्हरने Access-Accept प्रतिसादामध्ये तीन विशिष्ट IETF ॲट्रिब्युट्स पाठवणे आवश्यक आहे [2].

IETF 64 (Tunnel-Type): VLAN वर सेट करा (मूल्य 13).
IETF 65 (Tunnel-Medium-Type): 802 वर सेट करा (मूल्य 6).
IETF 81 (Tunnel-Private-Group-ID): VLAN ID स्ट्रिंग म्हणून सेट करा (उदा. "10").

Catalyst 9800 WLC वर, iPSK WLAN वर खालील बाबी कॉन्फिगर केल्याची खात्री करा:

MAC Filtering सक्षम (enabled) आहे.
AAA Override सक्षम आहे (RADIUS VLAN असाइनमेंट स्वीकारण्यासाठी हे अत्यंत महत्त्वाचे आहे).
Layer 2 Security हे WPA2-PSK वर सेट आहे (कॉन्फिगर केलेले PSK हे फॉलबॅक म्हणून काम करते).

सर्वोत्तम पद्धती (Best Practices)

VLAN पडताळणी: RADIUS सर्व्हरद्वारे Tunnel-Private-Group-ID मध्ये परत आलेला VLAN ID हा WLC वर डायनॅमिक इंटरफेस म्हणून अस्तित्वात असणे आवश्यक आहे. तसे नसल्यास, WLC क्लायंटला मूळ (native) VLAN वर पाठवतो, ज्यामुळे मोठी सुरक्षा जोखीम निर्माण होते.
सर्टिफिकेट ट्रस्ट चेन्स: EAP-TLS डिप्लॉयमेंटसाठी, क्लायंट सर्टिफिकेट्स रोल आउट करण्यापूर्वी तुमचे Root CA आणि कोणतेही Intermediate CA सर्टिफिकेट्स Purple SecurePass डॅशबोर्डवर अपलोड करा. जर RADIUS सर्व्हर या चेनची पडताळणी करू शकला नाही, तर ऑथेंटिकेशन शांतपणे अयशस्वी होते.
रिडंडंट RADIUS: नेहमी दुय्यम (secondary) RADIUS सर्व्हर कॉन्फिगर करा. वापरकर्त्याला त्रास न देता जलद फेलओव्हर सुनिश्चित करण्यासाठी प्रायमरी टाइमआउट 2 रिट्रायसह 3 सेकंदांवर सेट करा.
WPA3 अवलंबन: क्लायंट उपकरणांद्वारे समर्थित असलेल्या ठिकाणी iPSK नेटवर्कसाठी WPA3-SAE वापरा. ओपन गेस्ट नेटवर्कसाठी, पासवर्डशिवाय ट्रॅफिक एन्क्रिप्ट करण्यासाठी WPA3-OWE (Opportunistic Wireless Encryption) लागू करा.

त्रुटी निवारण आणि जोखीम कमी करणे (Troubleshooting & Risk Mitigation)

बिघाड मोड (Failure Mode)	लक्षण (Symptom)	मूळ कारण (Root Cause)	कमी करण्याचा उपाय (Mitigation)
रिडायरेक्ट लूप (Redirect Loop)	क्लायंट डिव्हाइस कॅप्टिव्ह पोर्टल पेज लोड न करता सतत रिफ्रेश करत राहते.	प्री-ऑथेंटिकेशन ACL किंवा URL फिल्टर Purple च्या पोर्टल IP ॲड्रेसवर जाण्याची परवानगी देत नाही. WLC क्लायंटला रिडायरेक्ट करतो, क्लायंट पेज लोड करण्याचा प्रयत्न करतो, WLC त्याला ब्लॉक करतो आणि पुन्हा रिडायरेक्ट करतो.	`PURPLE-PREAUTH` URL फिल्टर पॉलिसी प्रोफाइलवर लागू केल्याची आणि पोर्टल डोमेनचे स्पेलिंग बरोबर असल्याची खात्री करा. प्री-ऑथसाठी DNS ट्रॅफिकला परवानगी असल्याची खात्री करा.
iPSK फॉलबॅक बिघाड	नोंदणी नसलेले IoT डिव्हाइस नेटवर्कशी कनेक्ट होते परंतु त्याला चुकीचा IP ॲड्रेस मिळतो.	डिव्हाइसचा MAC ॲड्रेस Purple च्या RADIUS डेटाबेसमध्ये नाही. WLC हा WLAN वर कॉन्फिगर केलेल्या ग्लोबल PSK वर फॉलबॅक करतो आणि डीफॉल्ट VLAN नियुक्त करतो.	Purple डॅशबोर्डमध्ये MAC ॲड्रेस तपासा. WLAN पॉलिसी प्रोफाइलला नियुक्त केलेले डीफॉल्ट VLAN हे प्रतिबंधित क्वारंटाइन नेटवर्क आहे, कॉर्पोरेट LAN नाही, याची खात्री करा.
RADIUS टाइमआउट	क्लायंटला कनेक्ट होण्यास मोठा विलंब होतो; WLC लॉग दाखवतात की RADIUS सर्व्हर अनरिचेबल आहे.	WLC आणि Purple च्या क्लाउड RADIUS एंडपॉइंट्स दरम्यानचे फायरवॉल UDP पोर्ट्स 1812 (Authentication) किंवा 1813 (Accounting) ब्लॉक करत आहेत.	आउटबाउंड फायरवॉल नियम WLC मॅनेजमेंट इंटरफेसवरून Purple च्या प्रकाशित RADIUS IP ॲड्रेसवर UDP 1812/1813 ला परवानगी देतात याची पडताळणी करा.

ROI आणि व्यावसायिक प्रभाव

Cisco आणि Purple सोबत युनिफाइड आर्किटेक्चर लागू केल्याने तीन स्तंभांमध्ये मोजण्यायोग्य व्यावसायिक मूल्य मिळते:

Operational Efficiency: मॅन्युअल VLAN प्रोव्हिजनिंग आणि मल्टिपल SSIDs च्या जागी iPSK वापरल्याने IT तिकीट व्हॉल्यूम कमी होतो. API द्वारे IoT ऑनबोर्डिंग स्वयंचलित केल्याने प्रत्येक साइटवर तंत्रज्ञांचा तासनतास वेळ वाचतो.
Compliance and Security: डायनॅमिक VLAN असाइनमेंट पेमेंट टर्मिनल्सना गेस्ट ट्रॅफिकपासून पूर्णपणे वेगळे ठेवून रिटेल वातावरणात PCI DSS चे पालन सुनिश्चित करते (आवश्यकता 1.3). EAP-TLS कर्मचाऱ्यांच्या सामायिक पासवर्डचा धोका दूर करते.
Revenue Generation: Captive portal इंटिग्रेशन एका कॉस्ट सेंटरला (Guest WiFi) मार्केटिंग मालमत्तेत रूपांतरित करते. जाणीवपूर्वक घेतलेले ऑप्ट-इन्स गोळा केल्याने फर्स्ट-पार्टी डेटाबेस तयार होतो जो लॉयल्टी मोहिमा आणि वारंवार भेटींना प्रोत्साहन देतो.

संदर्भ

[1] Cisco Systems, "Configure Spaces Captive Portal with Catalyst 9800 WLC," मे २०२५. [2] Cisco Systems, "Configure a RADIUS Server and WLC for Dynamic VLAN Assignment," सप्टेंबर २०१२.

महत्वाच्या व्याख्या

External Web Authentication (EWA)

अशी यंत्रणा जिथे Cisco WLC ऑथेंटिकेट न झालेले HTTP ट्रॅफिक इंटरसेप्ट करते आणि क्लायंटला ऑथेंटिकेशनसाठी बाह्य होस्ट केलेल्या कॅप्टिव्ह पोर्टलवर (जसे की Purple) रीडायरेक्ट करते.

WLC च्या मर्यादित अंतर्गत वेब सर्व्हरवर अवलंबून न राहता ब्रँडेड स्प्लॅश पेजेस डिलिव्हर करण्यासाठी आणि फर्स्ट-पार्टी डेटा गोळा करण्यासाठी वापरले जाते.

Identity PSK (iPSK)

एक Cisco वैशिष्ट्य जे एकाच SSID वर एकाधिक युनिक Pre-Shared Keys वापरण्याची परवानगी देते, जिथे प्रत्येक की RADIUS द्वारे विशिष्ट क्लायंट MAC ऍड्रेस आणि VLAN शी मॅप केली जाते.

IoT डिव्हाइसेस आणि मल्टी-टेनंट एनव्हायरनमेंट्स सुरक्षित ठेवण्यासाठी अत्यंत आवश्यक आहे जेथे 802.1X समर्थित नाही, ज्यामुळे एकाधिक SSIDs ची आवश्यकता कमी होते.

AAA Override

Cisco WLC वरील एक WLAN सेटिंग जी कंट्रोलरला RADIUS सर्व्हरद्वारे परत पाठवलेले पॉलिसी पॅरामीटर्स (जसे की VLAN IDs किंवा ACLs) स्वीकारण्यास भाग पाडते, ज्यामुळे स्थानिक WLAN कॉन्फिगरेशन ओव्हरराईड होते.

डायनॅमिक VLAN असाइनमेंट आणि iPSK योग्यरित्या कार्य करण्यासाठी हे सक्षम असणे आवश्यक आहे.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. एक अत्यंत सुरक्षित 802.1X ऑथेंटिकेशन पद्धत जी पासवर्ड ऐवजी परस्पर सर्टिफिकेट एक्सचेंजवर अवलंबून असते.

कर्मचारी WiFi सुरक्षिततेसाठी सर्वोत्तम मानक, ज्यासाठी कॉर्पोरेट डिव्हाइसेसवर क्लायंट सर्टिफिकेट्स डिप्लॉय करण्यासाठी MDM ची आवश्यकता असते.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol. एक 802.1X पद्धत जी TLS टनेलमध्ये ऑथेंटिकेशन प्रक्रिया एन्क्रिप्ट करते, ज्यामुळे युजर्सना युझरनेम आणि पासवर्डसह सुरक्षितपणे ऑथेंटिकेट करण्याची परवानगी मिळते.

BYOD कर्मचारी नेटवर्कसाठी वापरले जाते जेथे क्लायंट सर्टिफिकेट्स डिप्लॉय करणे शक्य नसते.

Pre-Authentication ACL

वायरलेस क्लायंट ऑथेंटिकेट होण्यापूर्वी त्यांच्यावर लागू केलेली Access Control List, जी ते कोणत्या नेटवर्क रिसोर्सेसपर्यंत पोहोचू शकतात हे तंतोतंत परिभाषित करते.

कॅप्टिव्ह पोर्टल्ससाठी अत्यंत आवश्यक; याने इतर सर्व ट्रॅफिक ब्लॉक करताना DNS आणि Purple स्प्लॅश पेज IPs च्या ऍक्सेसला परवानगी दिली पाहिजे.

Dynamic Interface

विशिष्ट VLAN ID आणि फिजिकल पोर्टशी मॅप केलेला WLC वर तयार केलेला लॉजिकल इंटरफेस.

जेव्हा RADIUS डायनॅमिक असाइनमेंटसाठी VLAN ID परत करतो, तेव्हा तो VLAN आधीपासूनच WLC वर डायनॅमिक इंटरफेस म्हणून अस्तित्वात असणे आवश्यक आहे, अन्यथा क्लायंट मूळ (नेटिव्ह) VLAN वर ड्रॉप केला जाईल.

WPA3-SAE

Simultaneous Authentication of Equals. WPA2-PSK ची आधुनिक जागा, जी फॉरवर्ड सिक्रसी आणि ऑफलाइन डिक्शनरी हल्ल्यांपासून संरक्षण प्रदान करते.

आधुनिक IoT आणि अतिथी नेटवर्क सुरक्षित करण्यासाठी Cisco Catalyst 9800 आणि Purple RADIUS द्वारे समर्थित.

सोडवलेली उदाहरणे

२०० खोल्यांच्या हॉटेलला RF कोंडी निर्माण करणारे एकाधिक SSIDs न बनवता, एकाच Cisco Catalyst 9800 WLC चा वापर करून पाहुणे, कर्मचारी आणि IoT डिव्हाइसेस (डोअर लॉक्स, थर्मोस्टॅट्स) मधील नेटवर्क ट्रॅफिकचे वर्गीकरण करायचे आहे.

Cisco iPSK वापरून एकच SSID डिप्लॉय करा. Purple च्या डॅशबोर्डमध्ये प्रत्येक IoT डिव्हाइसचा MAC ऍड्रेस रजिस्टर करा आणि प्रत्येक डिव्हाइस VLAN 30 ला असाइन करा. MAC फिल्टरिंग, AAA Override आणि WPA2-PSK सह WLC WLAN कॉन्फिगर करा. जेव्हा एखादे डोअर लॉक कनेक्ट होईल, तेव्हा Purple चे RADIUS सर्व्हर डिव्हाइसला डायनॅमिकपणे VLAN 30 वर पाठवण्यासाठी युनिक PSK आणि IETF ॲट्रिब्युट्स 64, 65, आणि 81 परत पाठवते. पाहुणे Purple च्या कॅप्टिव्ह पोर्टलकडे निर्देशित करणाऱ्या External Web Authentication सह स्वतंत्र ओपन SSID वापरतात.

परीक्षकाचे भाष्य: हा दृष्टिकोन कडक Layer 2 आयसोलेशन राखताना SSID ओव्हरहेड कमी करतो. हेडलेस IoT डिव्हाइसेससाठी iPSK वापरल्याने, 802.1X सर्टिफिकेशन्स सपोर्ट न करणाऱ्या एंडपॉइंट्सवर ते डिप्लॉय करण्याचा गुंतागुंत टाळली जाते.

८० स्टोअर्स असलेल्या एका रिटेल चेनला PCI DSS अनुपालन राखण्यासाठी पेमेंट टर्मिनल ट्रॅफिकला गेस्ट WiFi ट्रॅफिकपासून वेगळे करणे आवश्यक आहे, जे Cisco Catalyst Centre द्वारे मध्यवर्ती पद्धतीने व्यवस्थापित केले जाते.

गेस्ट SSID ला अशा प्री-ऑथेंटिकेशन ACL सह कॉन्फिगर करा जे पेमेंट टर्मिनल सबनेट (VLAN 40) साठी जाणारे ट्रॅफिक स्पष्टपणे ड्रॉप करेल. पेमेंट टर्मिनल्स ऑथेंटिकेट करण्यासाठी iPSK चा वापर करा, त्यांना Purple च्या RADIUS सर्व्हरद्वारे डायनॅमिकपणे VLAN 40 वर असाइन करा. गेस्ट ट्रॅफिक Purple कॅप्टिव्ह पोर्टलद्वारे ऑथेंटिकेट केले जाते आणि VLAN 10 वर ठेवले जाते.

परीक्षकाचे भाष्य: हे डिझाइन नेटवर्क सेगमेंटेशन लागू करून PCI DSS आवश्यकता १.३ पूर्ण करते. Purple मध्ये RADIUS पॉलिसीचे केंद्रीकरण केल्याने मॅन्युअल स्विचपोर्ट कॉन्फिगरेशनशिवाय सर्व ८० स्टोअर्समध्ये सुसंगत VLAN असाइनमेंट सुनिश्चित होते.

सराव प्रश्न

Q1. तुम्ही Catalyst 9800 WLC वर captive portal उपयोजित (deploy) करत आहात. क्लायंट SSID शी जोडले जातात, परंतु त्यांचे ब्राउझर कंटेंट लोड न करता स्प्लॅश पेज URL सतत रिफ्रेश करत राहतात. याचे सर्वात संभाव्य आर्किटेक्चरल कारण काय आहे?

टीप: प्रमाणीकरण (authentication) पूर्ण होण्यापूर्वी क्लायंटच्या स्थितीचा आणि कोणत्या ट्रॅफिकला अनुमती आहे याचा विचार करा.

नमुना उत्तर पहा

pre-authentication ACL किंवा URL फिल्टर चुकीच्या पद्धतीने कॉन्फिगर केले आहे. हे Purple च्या पोर्टल IP ॲड्रेसवर जाणाऱ्या ट्रॅफिकला ब्लॉक करत आहे. WLC ट्रॅफिक थांबवते आणि पोर्टलवर रीडायरेक्ट करते, परंतु क्लायंट ते लोड करण्यासाठी पोर्टलपर्यंत पोहोचू शकत नाही, ज्यामुळे सतत रीडायरेक्ट लूप सुरू होतो. तुम्ही स्पष्टपणे Purple च्या IP ॲड्रेसला अनुमती दिली पाहिजे किंवा पोर्टल डोमेनसाठी URL फिल्टर वापरला पाहिजे.

Q2. एक IoT डिव्हाइस iPSK द्वारे यशस्वीरित्या प्रमाणित होते आणि Purple चे RADIUS सर्व्हर VLAN 50 निर्दिष्ट करणारे IETF गुणधर्म (attributes) 64, 65, आणि 81 सह Access-Accept परत पाठवते. तथापि, ते डिव्हाइस VLAN 10 (मॅनेजमेंट VLAN) वर ठेवले जाते. असे का झाले?

टीप: RADIUS-assigned VLAN स्वीकारण्यासाठी आणि लागू करण्यासाठी स्वतः WLC वर आवश्यक असलेल्या पूर्व-अटींबद्दल विचार करा.

नमुना उत्तर पहा

एकतर WLAN प्रगत सेटिंग्जवर 'AAA Override' अक्षम (disabled) आहे, ज्यामुळे WLC, RADIUS गुणधर्मांकडे दुर्लक्ष करते, किंवा VLAN 50 हे WLC वर कॉन्फिगर केलेले डायनॅमिक इंटरफेस म्हणून अस्तित्वात नाही. नियुक्त केलेले VLAN स्थानिक पातळीवर अस्तित्वात नसल्यास, WLC मूळ/मॅनेजमेंट VLAN चा वापर करते.

Q3. एका ठिकाणाला Microsoft Entra ID चा वापर करून कर्मचाऱ्यांच्या WiFi साठी 802.1X उपयोजित करायचे आहे. त्यांच्याकडे Cisco ISE सारखे स्थानिक (on-premises) RADIUS सर्व्हर नाही. Purple प्लॅटफॉर्मचा वापर करून हे कसे साध्य करता येईल?

टीप: Purple हे EAP टनेल आणि ओळख पडताळणी कशा प्रकारे हाताळते याचा विचार करा.

नमुना उत्तर पहा

RADIUS सर्व्हर म्हणून Purple SecurePass वापरण्यासाठी WLC कॉन्फिगर करा. Purple हे क्लाउड RADIUS प्रॉक्सी म्हणून कार्य करते, जे WLC कडून येणारे EAP-TLS किंवा PEAP टनेल समाप्त करते आणि API/SAML द्वारे Microsoft Entra ID कडे ओळख पडताळणी सुरक्षितपणे पाठवते. यासाठी कोणत्याही स्थानिक RADIUS सर्व्हरची आवश्यकता नसते.

या मालिकेमध्ये पुढे वाचा

CommScope Ruckus चे Purple WiFi सोबत एकत्रीकरण: सेटअप आणि कॉन्फिगरेशन मार्गदर्शिका

हे तांत्रिक संदर्भ मार्गदर्शक Purple WiFi सोबत CommScope Ruckus आर्किटेक्चर समाकलित करण्यासाठी एक अधिकृत कॉन्फिगरेशन प्लेबुक प्रदान करते. यात Guest WiFi Captive Portals, 802.1X द्वारे सुरक्षित Staff WiFi, आणि Ruckus Dynamic PSK वापरून Multi-Tenant नेटवर्क अलगाव (network isolation) साठी चरण-दर-चरण उपयोजनांची तपशीलवार माहिती दिली आहे.

Allied Telesis Access Points चे Purple WiFi सोबत एकत्रीकरण

हे मार्गदर्शक Allied Telesis TQ-Series access points ला Purple WiFi सोबत एकत्रित करण्यासाठी एक सर्वसमावेशक कॉन्फिगरेशन प्लेबुक प्रदान करते. यामध्ये बाह्य Captive Portal रिडायरेक्शन, 802.1X RADIUS ऑथेंटिकेशन आणि सुरक्षित मल्टी-टेनंट डिप्लॉयमेंट्ससाठी Private Pre-Shared Keys (PPSK) वापरून डायनॅमिक VLAN स्टिअरिंग समाविष्ट आहे.

Purple WiFi सोबत Grandstream GWN ऍक्सेस पॉइंट्सचे एकत्रीकरण (Integration)

हे अधिकृत तांत्रिक संदर्भाचे मार्गदर्शक Grandstream GWN ऍक्सेस पॉइंट्सला Purple च्या Guest WiFi आणि ॲनालिटिक्स प्लॅटफॉर्मसह कसे समाकलित करावे हे तपशीलवार स्पष्ट करते. यामध्ये Grandstream Captive Portal कॉन्फिगरेशन, RADIUS AAA सेटिंग्ज, वॉल्ड गार्डन सेटअप, डायनॅमिक VLAN स्टिअरिंगसह सुरक्षित कर्मचारी 802.1X प्रमाणीकरण (Authentication), आणि मल्टी-टेनंट PPSK विभागणी समाविष्ट आहे - जे MSPs आणि IT टीम्सना मोठ्या प्रमाणावर अतिथी आणि कर्मचारी WiFi तैनात करण्यासाठी टप्प्याटप्प्याने कृतीयोग्य मार्गदर्शन प्रदान करते.