मुख्य मजकुराकडे जा
मराठी

एंटरप्राइझ गेस्ट WiFi सेटअप मार्गदर्शिका: VLAN सेगमेंटेशन, सुरक्षा आणि Captive Portals

ही मार्गदर्शिका एंटरप्राइझ गेस्ट WiFi उपयोजनासाठी एक तांत्रिक ब्ल्यूप्रिंट प्रदान करते, ज्यामध्ये VLAN सेगमेंटेशन, सुरक्षा प्रोटोकॉल आणि captive portal आर्किटेक्चरवर लक्ष केंद्रित केले आहे. हे क्लिष्ट ठिकाणांवर ट्रॅफिक कसे वेगळे करावे, एन्क्रिप्शन मानके कशी लागू करावीत आणि सुरक्षितपणे फर्स्ट-पार्टी डेटा कसा गोळा करावा याचे तपशील देते.

📖 4 मिनिट वाचन📝 854 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
एंटरप्राइझ Guest WiFi सेटअप मार्गदर्शिका: VLAN सेगमेंटेशन, सुरक्षा आणि Captive Portals. IT मॅनेजर्स, नेटवर्क आर्किटेक्ट्स आणि व्हेन्यू ऑपरेशन्स डायरेक्टर्ससाठी Purple चे तांत्रिक मार्गदर्शन. प्रस्तावना आणि संदर्भ. स्वागत आहे. जर तुम्ही एखादे हॉटेल, रिटेल इस्टेट, स्टेडियम किंवा अशा कोणत्याही ठिकाणाचे व्यवस्थापन पाहत असाल जेथे सामान्य नागरिक तुमच्या WiFi ला कनेक्ट होतात, तर हे मार्गदर्शन तुमच्यासाठी आहे. आम्ही योग्यरित्या आर्किटेक्ट केलेल्या गेस्ट WiFi डिप्लॉयमेंटच्या तीन मुख्य स्तंभांचा समावेश करणार आहोत: VLAN सेगमेंटेशन, सुरक्षा मानके आणि captive portal डिझाइन. यात कोणताही सिद्धांत नाही - हे केवळ व्यावहारिक, कृतीयोग्य मार्गदर्शन आहे जे तुम्ही तुमच्या पुढील इन्फ्रास्ट्रक्चर रिव्ह्यूमध्ये वापरू शकता. प्रथम मला संदर्भ स्पष्ट करू द्या. गेस्ट WiFi आता केवळ एक अतिरिक्त सुविधा राहिलेली नाही. ही एकOperational गरज आहे आणि योग्य प्रकारे अंमलबजावणी केल्यास, फर्स्ट-पार्टी ग्राहक डेटाचा एक महत्त्वपूर्ण स्रोत आहे. Purple जागतिक स्तरावर ८०,००० पेक्षा जास्त थेट कार्यरत ठिकाणांवर काम करते आणि केवळ २०२४ मध्ये आम्ही ४४० दशलक्ष लॉगइन्स प्रविष्ट केले आहेत. या डिप्लॉयमेंट्समधून आम्हाला दिसणारे पॅटर्न एक अतिशय स्पष्ट गोष्ट सांगतात: जे व्हेन्यूज गेस्ट WiFi कडे केवळ वरवर पाहण्याऐवजी एक गंभीर इन्फ्रास्ट्रक्चर प्रोजेक्ट म्हणून पाहतात, तेच सुरक्षेच्या घटना टाळतात, GDPR चे पालन करतात आणि प्रत्यक्षात त्यांनी गोळा केलेल्या डेटावरून व्यवसाय मूल्य मिळवतात. तर. चला सुरुवात करूया. तांत्रिक सखोल विश्लेषण. भाग एक: VLAN सेगमेंटेशन. VLAN (व्हर्च्युअल लोकल एरिया नेटवर्क) हे तुमच्या भौतिक नेटवर्कचे लॉजिकल विभाजन आहे. याचा विचार एकाच रस्त्यावर वेगवेगळ्या लेन्स (लेन) तयार करण्यासारखा करा. अतिथी (गेस्ट) एका लेनमधून प्रवास करतात. कर्मचारी दुसऱ्या लेनमधून प्रवास करतात. तुमची कॉर्पोरेट सिस्टीम तिसऱ्या लेनमधून प्रवास करते. या लेन्स एकमेकांना छेदत नाहीत. हे महत्त्वाचे का आहे? VLAN सेगमेंटेशनशिवाय, तुमच्या WiFi वरील अतिथीचे डिव्हाइस तुमच्या पॉइंट-ऑफ-सेल टर्मिनल्स, बॅक-ऑफिस सर्व्हर्स किंवा प्रॉपर्टी मॅनेजमेंट सिस्टीम सारख्याच नेटवर्क सेगमेंटवर असते. हा एक गंभीर सुरक्षा धोका आहे. एखादे तडजोड केलेले (compromised) अतिथी डिव्हाइस किंवा तुमच्या नेटवर्कची जाणीवपूर्वक तपासणी करणारा एखादा संशयास्पद घटक, अशा सिस्टीमपर्यंत पोहोचू शकतो ज्यांच्याशी त्यांचा कोणताही संबंध नसावा. प्रमाणित पद्धत म्हणजे प्रत्येक ट्रॅफिक प्रकाराला स्वतःचा VLAN ID नियुक्त करणे. गेस्ट WiFi साठी VLAN 10, कर्मचाऱ्यांसाठी VLAN 20, कॉर्पोरेट इन्फ्रास्ट्रक्चरसाठी VLAN 30. हे विशिष्ट क्रमांक काहीही असू शकतात, परंतु त्यांच्यातील वेगळेपणा महत्त्वाचा आहे. प्रत्येक VLAN ला स्वतःचा IP सबनेट, स्वतःची DHCP व्याप्ती (scope) आणि स्वतःचे फायरवॉल धोरण मिळते. गेस्ट ट्रॅफिक थेट इंटरनेटवर जाते. ते तुमच्या अंतर्गत नेटवर्कला कधीही स्पर्श करत नाही. हार्डवेअरच्या बाजूने, याला सर्व प्रमुख एंटरप्राइझ ॲक्सेस पॉइंट विक्रेत्यांद्वारे मूळ सपोर्ट (natively supported) मिळतो: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet. यांपैकी प्रत्येक प्लॅटफॉर्म तुम्हाला एखादा SSID एका VLAN टॅगशी मॅप करण्याची परवानगी देतो आणि तुमच्या स्टॅकमधील प्रत्येक मॅनेज्ड स्विच ट्रॅफिकला मुख्य गाभ्यापर्यंत (core) पूर्णपणे वेगळे ठेवण्यासाठी त्या टॅगचा आदर करेल.एक कॉन्फिगरेशन तपशील हायलाइट करणे महत्त्वाचे आहे: client isolation (क्लायंट आयसोलेशन). गेस्ट VLAN मध्ये, तुम्हाला गेस्ट डिव्हाइसेसना एकमेकांशी संवाद साधण्यापासून रोखायचे आहे. एका गेस्टचा लॅपटॉप दुसऱ्या गेस्टचा फोन पाहण्यास सक्षम नसावा. तुमच्या ॲक्सेस पॉईंट्सवर client isolation सक्षम करा. बऱ्याच एंटरप्राइझ मॅनेजमेंट कन्सोलमध्ये हा एकच चेकबॉक्स आहे, आणि याद्वारे तुम्ही पीअर-टू-पीअर हल्ल्यांचा संपूर्ण प्रकारच नष्ट करता. भाग दोन: सुरक्षा मानके. चला एन्क्रिप्शनबद्दल बोलूया. WPA3, Wi-Fi Protected Access 3, हे सध्याचे मानक आहे, ज्याला Wi-Fi Alliance ने मान्यता दिली आहे. गेस्ट नेटवर्कसाठी, संबंधित मोड WPA3-SAE आहे, जो जुन्या WPA2-PSK हँडशेकच्या ऐवजी अधिक सुरक्षित अशा Simultaneous Authentication of Equals प्रोटोकॉलचा वापर करतो. यामुळे कॅप्चर केलेल्या हँडशेकवरील ऑफलाइन डिक्शनरी हल्ले नाहीसे होतात. जर तुमचे हार्डवेअर याला सपोर्ट करत असेल, आणि गेल्या तीन वर्षांत खरेदी केलेले कोणतेही हार्डवेअर नक्कीच करत असेल, तर WPA3 तैनात करा. स्टाफ आणि कॉर्पोरेट नेटवर्कसाठी, योग्य मानक 802.1X आहे, जे पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठीचे IEEE फ्रेमवर्क आहे. 802.1X मध्ये नेटवर्क ॲक्सेस मिळण्यापूर्वी प्रत्येक डिव्हाइसला RADIUS (Remote Authentication Dial-In User Service) सर्व्हरद्वारे ऑथेंटिकेट करणे आवश्यक असते. हा ऑथेंटिकेशन एक्सचेंज EAP (Extensible Authentication Protocol) चा वापर करतो, ज्यामध्ये सर्वात सामान्य एंटरप्राइझ प्रकार EAP-TLS (जे परस्पर सर्टिफिकेट-आधारित ऑथेंटिकेशन वापरते) आणि PEAP (जे TLS टनेलमध्ये युझरनेम-आणि-पासवर्ड एक्सचेंज सुरक्षित करते) हे आहेत. EAP-TLS हा अधिक मजबूत पर्याय आहे. यासाठी प्रत्येक डिव्हाइसवर क्लायंट सर्टिफिकेट आवश्यक असते, याचा अर्थ हे सर्टिफिकेट जारी करण्यासाठी आणि व्यवस्थापित करण्यासाठी तुम्हाला PKI (Public Key Infrastructure) ची आवश्यकता असते. Microsoft Entra ID किंवा Okta असलेल्या मोठ्या एंटरप्राइझ तैनातींसाठी, हे तुमच्या अस्तित्वात असलेल्या सर्टिफिकेट ऑथॉरिटीसोबत सुरळीतपणे समाकलित होते. PEAP तैनात करणे सोपे आहे आणि तरीही सामायिक केलेल्या पासवर्डपेक्षा लक्षणीयरीत्या अधिक सुरक्षित आहे. गेस्ट नेटवर्कसाठी, 802.1X सामान्यतः अव्यवहार्य असते. गेस्टकडे कॉर्पोरेट सर्टिफिकेट्स नसतात. यासाठी पर्याय म्हणजे iPSK किंवा PPSK: इंडिविज्युअल किंवा प्रायव्हेट प्री-शेअर्ड की. प्रत्येक गेस्ट सेशनला एक युनिक की मिळते, याचा अर्थ तुम्ही प्रत्येकाचा पासवर्ड न बदलता एका सेशनचा ॲक्सेस रद्द करू शकता. Purple चे प्लॅटफॉर्म हे पूर्णपणे स्वयंचलित करते: जेव्हा एखादा गेस्ट Captive Portal द्वारे ऑथेंटिकेट करतो, तेव्हा सिस्टीम स्वयंचलितपणे एक युनिक सेशन की तयार करते आणि ती नियुक्त करते. आता, कम्प्लायन्स. जर तुमचे ठिकाण नेटवर्कच्या आसपास कोठेही कार्ड पेमेंट प्रक्रियेत गुंतलेले असेल, तर PCI DSS (Payment Card Industry Data Security Standard) लागू होते. आवश्यकता १.३ कार्डधारक डेटा पर्यावरण आणि इतर सर्व सिस्टीम दरम्यान नेटवर्क सेगमेंटेशन अनिवार्य करते. योग्यरित्या कॉन्फिगर केलेले गेस्ट VLAN ही आवश्यकता पूर्ण करते, बशर्ते तुम्ही सेगमेंटेशनचे दस्तऐवजीकरण केले असेल आणि तुमच्या वार्षिक मूल्यांकनात त्याचा समावेश केला असेल. Captive Portal वर तुम्ही गोळा करत असलेल्या वैयक्तिक डेटावर GDPR लागू होतो: नाव, ईमेल पत्ता, मार्केटिंग संमती. आम्ही Captive Portal विभागात यावर परत येऊ. भाग तीन: Captive Portals. Captive Portal हे असे वेब पेज आहे जे पाहुणे जेव्हा पहिल्यांदा तुमच्या WiFi ला जोडतात, तेव्हा त्यांना इंटरनेट प्रवेश देण्यापूर्वी त्यांच्या ब्राउझरला अडवते. हे एक असे माध्यम आहे ज्याद्वारे तुम्ही संमती आणि ओळख डेटा गोळा करता. हे तांत्रिकदृष्ट्या कसे कार्य करते ते येथे दिले आहे. जेव्हा एखादा पाहुणा तुमच्या SSID शी जोडतो, तेव्हा त्यांचे डिव्हाइस पूर्व-प्रमाणीकरण (pre-authentication) स्थितीत ठेवले जाते. DNS क्वेरी सोडवल्या जातात, परंतु सर्व HTTP ट्रॅफिक पोर्टलच्या IP पत्त्यावर पुनर्निर्देशित केले जाते. पाहुण्यांना तुमचे ब्रँडेड लॉगिन पेज दिसते. एकदा त्यांनी ईमेल, सोशल लॉगिन किंवा SMS पडताळणीद्वारे स्वतःचे प्रमाणीकरण केले की, RADIUS सर्व्हर किंवा WiFi कंट्रोलर त्यांचा MAC पत्ता अधिकृत म्हणून चिन्हांकित करतो आणि इंटरनेट प्रवेश सुरू करतो. प्रमाणीकरणाच्या अनेक पद्धती उपलब्ध आहेत. ईमेल नोंदणी ही सर्वात सामान्य आहे आणि याद्वारे थेट सत्यापित ईमेल पत्ता मिळवला जातो. Google, Facebook किंवा Apple द्वारे सोशल लॉगिन करणे सोपे आहे परंतु ते पाहुण्यांचे सोशल खाते सक्रिय असण्यावर अवलंबून असते. SMS पडताळणी तुमच्या डेटासेटमध्ये फोन नंबर जोडते. अधिक सुरक्षित वातावरणासाठी, तुम्ही Purple च्या Verify ॲड-ऑनद्वारे ओळख पडताळणीची आवश्यकता ठेवू शकता, जे सरकारी ओळखपत्रांची तपासणी करते. येथे GDPR चा पैलू अत्यंत महत्त्वाचा आहे. तुम्ही पोर्टलवर गोळा करत असलेल्या प्रत्येक डेटा पॉईंटसाठी कायदेशीर आधार आवश्यक असतो. मार्केटिंग संवादांसाठी, तो आधार स्पष्ट संमती असतो: एक जागरूक-निवडीचा ऑप्ट-इन, आधीच टिक केलेले बॉक्स नाही. तुमच्या पोर्टलने स्पष्ट, सोप्या भाषेतील संमती विधाने सादर केली पाहिजेत, तुमच्या गोपनीयता धोरणाची लिंक दिली पाहिजे आणि दिलेल्या संमतीची वेळ (timestamp) आणि आवृत्तीची नोंद ठेवली पाहिजे. Purple चे प्लॅटफॉर्म हे सर्व स्वयंचलितपणे साठवते आणि संपूर्ण ऑडिट ट्रेल प्रदान करते, जे तुमच्यावर कधी चौकशीची वेळ आल्यास डेटा संरक्षण प्राधिकरण तंतोतंत मागेल. अनुपालन आणि डेटा गुणवत्ता या दोन्हीवर लक्षणीय परिणाम करणारे एक डिझाइन तत्त्व: पोर्टल सोपे ठेवा. तुम्ही जोडलेले प्रत्येक अतिरिक्त फील्ड पूर्ण होण्याचे दर कमी करते. नाव आणि ईमेल, सोबत स्पष्ट मार्केटिंग संमती चेकबॉक्स, हे बहुतांश ठिकाणांसाठी योग्य संतुलन आहे. ३५ कोटी अद्वितीय वापरकर्त्यांमधील Purple चा डेटा दर्शवतो की, तीन किंवा त्याहून कमी फील्ड असलेल्या पोर्टलचे रूपांतरण दर पाच किंवा त्याहून अधिक फील्ड असलेल्या पोर्टलपेक्षा लक्षणीयरीत्या जास्त असतात. अमलबजावणीच्या शिफारसी आणि त्रुटी. मी तुम्हाला व्यावहारिक शिफारसी देतो आणि त्यानंतर आम्हाला वारंवार आढळणाऱ्या सामान्य चुकांवर प्रकाश टाकतो. नवीन उपयोजनासाठी (deployment), या क्रमाने काम करा. सर्वात आधी, कोणत्याही हार्डवेअरला स्पर्श करण्यापूर्वी तुमचे VLAN आर्किटेक्चर डिझाइन करा. तुमच्या ठिकाणी कोणत्या प्रकारचे ट्रॅफिक अस्तित्वात आहे याचा नकाशा तयार करा, VLAN आयडी नियुक्त करा, सबनेट्स परिभाषित करा आणि विभागांमधील फायरवॉल नियम दस्तऐवजीकरण करा. दुसरे, इंटर-VLAN राउटिंग धोरणे लागू करण्यासाठी तुमचे मुख्य स्विच आणि राउटर कॉन्फिगर करा. पाहुण्यांच्या ट्रॅफिकसाठी इंटरनेटचा डीफॉल्ट मार्ग असावा आणि इतर सर्व गोष्टींसाठी 'नाकारणे' (deny-all) नियम असावा. तिसरे, प्रत्येक SSID ला योग्य VLAN शी मॅप करण्यासाठी तुमचे ॲक्सेस पॉइंट्स कॉन्फिगर करा. चौथे, तुमचे Captive Portal उपयोजित करा आणि थेट लाइव्ह जाण्यापूर्वी संपूर्ण प्रमाणीकरण प्रवाहाची शेवटपर्यंत चाचणी घ्या. पाचवे, पाहुण्यांच्या VLAN वरील डिव्हाइस कोणत्याही अंतर्गत IP पत्त्यापर्यंत पोहोचू शकत नाही याची खात्री करण्यासाठी पेनिट्रेशन टेस्ट किंवा किमान मॅन्युअल पडताळणी करा. सर्वात सामान्य चुका. नंबर एक: क्लायंट आयसोलेशन (client isolation) सक्षम करण्यास विसरणे. पाहुणे एकमेकांचे डिव्हाइसेस पाहू शकतात, जी एक प्रायव्हसीची समस्या आहे आणि संभाव्य सायबर हल्ल्याचा मार्ग ठरू शकते. नंबर दोन: बदल न करता वर्षानुवर्षे गेस्ट WiFi साठी तीच प्री-शेअर्ड की (pre-shared key) वापरणे. जर ती की लीक झाली, तर तुमच्या नेटवर्कशी कनेक्ट झालेल्या प्रत्येक डिव्हाइसकडे ती पोहोचते. iPSK किंवा PPSK वापरा आणि की बदलणे स्वयंचलित करा. नंबर तीन: योग्य GDPR संमती यंत्रणेशिवाय Captive Portal तैनात करणे. हा कोणताही काल्पनिक धोका नाही. युरोपमधील नियामकांनी नेमक्या याच कारणासाठी दंड ठोठावले आहेत. नंबर चार: सेशन डेटा लॉग न करणे. सुरक्षा घटनेला प्रतिसाद देण्यासाठी, तुम्हाला कोणत्या वेळी कोणत्या MAC ॲड्रेसला कोणता IP ॲड्रेस नियुक्त केला होता हे माहित असणे आवश्यक आहे. तुमच्या RADIUS सर्व्हरने किंवा WiFi कंट्रोलरने हे लॉग केले पाहिजे आणि तुम्ही ते किमान ९० दिवस जतन करून ठेवले पाहिजे. नंबर पाच: गेस्ट WiFi बँडविड्थ अमर्यादित मानणे. गेस्ट VLAN वर प्रति-वापरकर्ता बँडविड्थ मर्यादा सेट करा. त्याशिवाय, टॉरंट क्लायंट चालवणारा एकच पाहुणा संपूर्ण ठिकाणच्या इतरांचा अनुभव खराब करू शकतो. रॅपिड-फायर प्रश्न आणि उत्तरे. प्रश्न: मला पाहुण्यांसाठी स्वतंत्र फिजिकल नेटवर्कची आवश्यकता आहे की VLAN सेगमेंटेशन पुरेसे आहे? उत्तर: जोपर्यंत तुमचे स्विचेस आणि ॲक्सेस पॉइंट्स एंटरप्राइझ-ग्रेडचे आहेत आणि योग्यरित्या कॉन्फिगर केलेले आहेत, तोपर्यंत बहुतांश उपयोजनांसाठी VLAN सेगमेंटेशन पुरेसे आहे. ग्राहक किंवा प्रोझ्युमर हार्डवेअरमध्ये कधीकधी अपूर्ण VLAN सपोर्ट असतो. स्वतंत्र फिजिकल केबल्स टाकण्याऐवजी एंटरप्राइझ हार्डवेअर वापरण्याचे हे एक कारण आहे. प्रश्न: मी स्टाफ WiFi प्रमाणेच त्याच ॲक्सेस पॉइंट्सवर गेस्ट WiFi चालवू शकतो का? उत्तर: होय. एंटरप्राइझ ॲक्सेस पॉइंट्स एकाधिक SSIDs ना सपोर्ट करतात, जे प्रत्येक वेगळ्या VLAN शी मॅप केलेले असतात. एकच Cisco Meraki किंवा HPE Aruba ॲक्सेस पॉइंट एकाच वेळी चार किंवा अधिक SSIDs ब्रॉडकास्ट करू शकतो, त्यातील प्रत्येकाचे स्वतंत्र सुरक्षा धोरण असू शकते. प्रश्न: छोट्या ठिकाणासाठी किमान आवश्यक सुरक्षा कॉन्फिगरेशन काय आहे? उत्तर: गेस्ट आणि अंतर्गत ट्रॅफिकमधील VLAN वेगळे करणे, गेस्ट SSID वर WPA3, क्लायंट आयसोलेशन सक्षम करणे आणि GDPR-सुसंगत संमती संकलनासह Captive Portal. हे मूलभूत गोष्टी कव्हर करते. प्रश्न: Purple सध्याच्या हार्डवेअरशी कसे समाकलित (integrate) होते? उत्तर: Purple हे हार्डवेअर-अज्ञेयवादी (hardware-agnostic) आहे. आम्ही Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet उपयोजनांवर क्लाउड ओव्हरले म्हणून काम करतो. तुम्ही तुमची सध्याची पायाभूत सुविधा कायम ठेवून त्यावर Purple चे Captive Portal, ॲनालिटिक्स आणि मार्केटिंग ऑटोमेशन जोडू शकता. सारांश आणि पुढील पावले. थोडक्यात सांगायचे तर. योग्य गेस्ट WiFi आर्किटेक्चरमध्ये तीन न बदलता येणारे घटक असतात. तुमच्या अंतर्गत नेटवर्कपासून गेस्ट ट्रॅफिक वेगळे करण्यासाठी VLAN सेगमेंटेशन. मजबूत कूटबद्धीकरण (encryption) आणि प्रमाणीकरण मानक: गेस्टसाठी WPA3 आणि स्टाफसाठी EAP-TLS सह 802.1X. आणि पूर्ण GDPR सुसंगततेसह ओळख डेटा गोळा करणारे Captive Portal. या तीन गोष्टी योग्य प्रकारे करा, आणि तुम्हाला असे नेटवर्क मिळेल जे सुरक्षित, सुसंगत असेल आणि फर्स्ट-पार्टी डेटा जनरेट करेल जो तुमची मार्केटिंग टीम प्रत्यक्षात वापरू शकेल. तुम्हाला अधिक तपशीलात जाणून घ्यायचे असल्यास, Purple चे प्लॅटफॉर्म या सर्वांमध्ये captive portal, ॲनालिटिक्स आणि मार्केटिंग ऑटोमेशन लेयर हाताळते. आम्ही ८०,००० पेक्षा जास्त ठिकाणी कार्यरत आहोत, आम्ही ISO 27001 प्रमाणित, GDPR आणि CCPA चे पालन करणारे आहोत, आणि आम्ही ९९.९९९% अपटाइम राखतो. या भागाच्या खाली लिंक केलेले मार्गदर्शक विशिष्ट हार्डवेअर इंटिग्रेशन्स आणि प्रगत कॉन्फिगरेशन्स कव्हर करतात. ऐकल्याबद्दल धन्यवाद. तुमच्याकडे काही प्रश्न असल्यास, Purple ची टीम purple.ai वर उपलब्ध आहे.

header_image.png

कार्यकारी सारांश (Executive Summary)

एंटरप्राइझ गेस्ट WiFi तैनात करणे हा एक इन्फ्रास्ट्रक्चर प्रकल्प आहे, कोणताही नंतरचा विचार नाही. जेव्हा ८०,०००+ हून अधिक लाइव्ह ठिकाणे दरवर्षी ४४ कोटी लॉगीनसह एका प्लॅटफॉर्मवर विश्वास ठेवतात, तेव्हा डेटा एक कठोर वास्तव उघड करतो: योग्य आर्किटेक्चर सुरक्षा भंगांना प्रतिबंधित करते आणि GDPR-सुसंगत डेटा कॅप्चर करण्यास सक्षम करते. हे मार्गदर्शक VLAN सेगमेंटेशन, WPA3 एन्क्रिप्शन आणि सुसंगत Captive Portal चा वापर करून सुरक्षितपणे गेस्ट WiFi सेट करण्यासाठी तांत्रिक गरजा तपशीलवार सांगते. आपण कॉर्पोरेट सिस्टम्सपासून गेस्ट ट्रॅफिक वेगळे कसे करावे, ओळख-आधारित प्रवेश नियंत्रणे कशी लागू करावीत आणि फर्स्ट-पार्टी डेटा संकलनाद्वारे मोजता येण्याजोगे व्यावसायिक मूल्य कसे मिळवावे हे शिकाल.

सखोल तांत्रिक विश्लेषण (Technical Deep-Dive)

VLAN सेगमेंटेशन आर्किटेक्चर (VLAN Segmentation Architecture)

एक व्हर्च्युअल लोकल एरिया नेटवर्क (VLAN) डेटा लिंक लेयरवर ट्रॅफिक वेगळे करते. सेगमेंटेशनशिवाय, पाहुण्यांचे डिव्हाइस तुमच्या पॉइंट-ऑफ-सेल टर्मिनल्स आणि प्रॉपर्टी मॅनेजमेंट सिस्टम्स सारख्याच नेटवर्कवर राहते. हे PCI DSS च्या नियम १.३ चे उल्लंघन करते आणि अंतर्गत इन्फ्रास्ट्रक्चरला लॅटरल मुव्हमेंटच्या धोक्यात आणते.

मानक एंटरप्राइझ आर्किटेक्चर विशिष्ट ट्रॅफिक प्रकारांना भिन्न VLAN आयडी (IDs) नियुक्त करते. उदाहरणार्थ, VLAN १० गेस्ट WiFi हाताळते, VLAN २० स्टाफ नेटवर्क हाताळते आणि VLAN ३० कॉर्पोरेट इन्फ्रास्ट्रक्चर हाताळते. प्रत्येक VLAN त्याच्या स्वत: च्या IP सबनेट आणि DHCP कक्षेमध्ये कार्य करते. गेस्ट ट्रॅफिक थेट इंटरनेटवर मार्गस्थ (route) होते; ते कधीही अंतर्गत राउटिंग टेबल्सना स्पर्श करत नाही.

vlan_architecture_overview.png

हार्डवेअर-अज्ञेयवादी (Hardware-agnostic) उपयोजन ही एक मानक पद्धत आहे. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet कडून मिळणारे ऍक्सेस पॉइंट्स मूळत: SSIDs ना VLAN टॅग्जशी मॅप करतात. मॅनेज्ड स्विचेस या टॅगचा आदर करतात आणि कोर नेटवर्कद्वारे आयसोलेशन राखतात.

गेस्ट VLAN मध्ये, क्लायंट आयसोलेशन (client isolation) अनिवार्य आहे. ही सेटिंग पाहुण्यांच्या उपकरणांना एकमेकांशी संवाद साधण्यापासून रोखते, ज्यामुळे पीअर-टू-पीअर हल्ल्यांचे मार्ग संपुष्टात येतात.

सुरक्षा आणि एन्क्रिप्शन मानके (Security and Encryption Standards)

Wi-Fi अलायन्स आधुनिक उपयोजनांसाठी WPA3 अनिवार्य करते. गेस्ट नेटवर्कसाठी, WPA3-SAE (Simultaneous Authentication of Equals) हे असुरक्षित WPA2-PSK हँडशेकची जागा घेते, ज्यामुळे ऑफलाइन डिक्शनरी हल्ले कमी होतात.

कर्मचारी नेटवर्कसाठी, 802.1X हे पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल प्रदान करते. डिव्हाइसेस EAP-TLS (प्रमाणपत्र-आधारित) किंवा PEAP (TLS टनेल अंतर्गत क्रेडेन्शियल-आधारित) वापरून RADIUS सर्व्हरवर ऑथेंटिकेट होतात. EAP-TLS साठी Public Key Infrastructure (PKI) आवश्यक असते, जे Microsoft Entra ID किंवा Okta सारख्या ओळख प्रदात्यांसह (identity providers) जोडले जाते.

पाहुण्यांकडे (Guests) कॉर्पोरेट प्रमाणपत्रे नसतात, ज्यामुळे सार्वजनिक प्रवेशासाठी 802.1X व्यावहारिक ठरत नाही. यासाठी सुरक्षित पर्याय म्हणजे iPSK किंवा PPSK (individual किंवा private pre-shared keys) आहे. प्रत्येक सेशनला एक युनिक की मिळते, ज्यामुळे प्रशासक जागतिक पासवर्ड न बदलता वैयक्तिक प्रवेश रद्द करू शकतात. Purple हे त्यांच्या Captive Portal इंटिग्रेशनद्वारे स्वयंचलित करते.

Captive Portal आणि डेटा कॅप्चर

एक Captive Portal अनऑथेंटिकेट केलेल्या डिव्हाइसेसकडून येणाऱ्या HTTP विनंत्या अडवून त्यांना ब्रँडेड लॉगिन पेजवर रिडायरेक्ट करते. ही यंत्रणा वापराच्या अटी लागू करते आणि ओळख डेटा कॅप्चर करते.

captive_portal_flow.png

ऑथेंटिकेशनच्या पद्धती डेटाची गुणवत्ता ठरवतात. ईमेल नोंदणी थेट संपर्क तपशील कॅप्चर करते. सोशल लॉगिन (Google Workspace, Facebook) घर्षण कमी करते. SMS पडताळणी फोन नंबर वैध करते. उच्च-सुरक्षा वातावरणासाठी, Purple चे Verify ॲड-ऑन सरकारी ओळखपत्रांचे (ID) दस्तऐवज प्रमाणित करते.

GDPR अनुपालनासाठी मार्केटिंग कम्युनिकेशन्सकरिता स्पष्ट, जाणीवपूर्वक निवडलेल्या संमतीची (opt-ins) आवश्यकता असते. पोर्टलने टाइमस्टॅम्प, IP ॲड्रेस, MAC ॲड्रेस आणि विशिष्ट संमती आवृत्तीची नोंद ठेवली पाहिजे. Purple हे स्वयंचलितपणे प्रोसेस करते आणि संपूर्ण ऑडिट ट्रेल प्रदान करते. आकडेवारी दर्शवते की तीन किंवा त्यापेक्षा कमी फील्ड असलेल्या पोर्टल्सचा पूर्ण होण्याचा दर लक्षणीयरीत्या जास्त असतो.

अंमलबजावणी मार्गदर्शक (Implementation Guide)

डिपार्टमेंटसाठी या क्रमाचे अनुसरण करा:

  1. आर्किटेक्चर डिझाइन करा: हार्डवेअरला स्पर्श करण्यापूर्वी ट्रॅफिकचे प्रकार मॅप करा, VLAN IDs नियुक्त करा, सबनेट्स परिभाषित करा आणि फायरवॉल नियम दस्तऐवजीकरण करा.
  2. कोअर राउटिंग कॉन्फिगर करा: इंटर-VLAN राउटिंग पॉलिसी सेट करा. Guest ट्रॅफिकसाठी इंटरनेटचा डिफॉल्ट मार्ग आणि अंतर्गत सबनेट्ससाठी 'deny-all' नियम आवश्यक आहे.
  3. ॲक्सेस पॉईंट्स कॉन्फिगर करा: Guest SSID ला नियुक्त केलेल्या VLAN शी मॅप करा आणि क्लायंट आयसोलेशन सक्षम करा.
  4. Captive Portal तैनात करा: पोर्टलला तुमच्या RADIUS सर्व्हरशी समाकलित (integrate) करा आणि GDPR-सुसंगत संमती फील्ड कॉन्फिगर करा.
  5. चाचणी आणि पडताळणी: guest VLAN वरील डिव्हाइसेस अंतर्गत IP ॲड्रेसना पिंग करू शकत नाहीत याची खात्री करण्यासाठी पेनिट्रेशन टेस्ट चालवा.

सर्वोत्तम पद्धती (Best Practices)

  • की रोटेशन स्वयंचलित करा: स्टॅटिक प्री-शेअर्ड की ऐवजी स्वयंचलित iPSK जनरेशन वापरा.
  • बँडविड्थ मर्यादित करा: नेटवर्कचा दर्जा खालावू नये म्हणून guest VLAN वर प्रति-वापरकर्ता बँडविड्थ मर्यादा लागू करा.
  • सेशन डेटा लॉग करा: सुरक्षा घटनांच्या प्रतिसादाला मदत करण्यासाठी कमीत कमी 90 दिवसांसाठी DHCP आणि RADIUS लॉग्स जतन करा.
  • पोर्टल्स साधे ठेवा: Captive Portal फॉर्म केवळ नाव, ईमेल आणि स्पष्ट संमती चेकबॉक्सपुरते मर्यादित ठेवा.

ट्रबलशूटिंग आणि जोखीम कमी करणे (Troubleshooting & Risk Mitigation)

लक्षण: अतिथींना IP ॲड्रेस मिळतात परंतु ते इंटरनेट किंवा captive portal वापरू शकत नाहीत. निवारण: अतिथी VLAN वरील DNS रिझोल्यूशन तपासा. captive portal चे रिडायरेक्ट हे DNS इंटरसेप्शनवर अवलंबून असते. फायरवॉलचे नियम DNS (पोर्ट ५३) आणि HTTP/HTTPS (पोर्ट ८०/४४३) च्या आउटबाउंड ट्रॅफिकला परवानगी देतात याची खात्री करा.

लक्षण: अतिथींचे डिव्हाइसेस एकमेकांना पिंग (ping) करू शकतात. निवारण: ॲक्सेस पॉइंट किंवा कंट्रोलरवर क्लायंट आयसोलेशन (Client isolation) निष्क्रिय केले आहे. पीअर-टू-पीअर (peer-to-peer) हल्ले रोखण्यासाठी ते त्वरित सक्रिय करा.

ROI आणि व्यावसायिक प्रभाव

योग्य प्रकारे तयार केलेले अतिथी WiFi नेटवर्क हे खर्चाच्या स्रोताला महसूल देणाऱ्या स्त्रोतामध्ये रूपांतरित करते. नियमांनुसार काम करणाऱ्या captive portal द्वारे फर्स्ट-पार्टी डेटा गोळा करून, विविध ठिकाणे (venues) उपयुक्त मार्केटिंग डेटाबेस तयार करू शकतात. Purple चे प्लॅटफॉर्म या डेटाला CRM सिस्टीम्ससोबत जोडते, ज्यामुळे भेटींची वारंवारता, थांबलेला वेळ (dwell time) आणि डेमोग्राफिक प्रोफाइल्सच्या आधारे लक्ष्यित मोहिमा (targeted campaigns) चालवणे शक्य होते.

IT विभागासाठी, याचा ROI हा जोखमीमधील घट या स्वरूपात मोजला जातो. VLAN सेगमेंटेशन आणि iPSK डिप्लॉयमेंटमुळे सार्वजनिक ॲक्सेस पॉइंट्सवरून सुरू होणाऱ्या अंतर्गत नेटवर्कमधील सुरक्षा भंगांचे मुख्य मार्ग बंद होतात.

संबंधित संसाधने

महत्वाच्या व्याख्या

VLAN (Virtual Local Area Network)

भौतिक नेटवर्कचे एक लॉजिकल विभाजन जे ट्रॅफिक प्रवाहांना वेगळे करते.

अतिथी उपकरणांना कॉर्पोरेट प्रणालींपासून वेगळे ठेवण्यासाठी वापरले जाते, जेणेकरून लॅटरल मूव्हमेंट रोखता येईल आणि अनुपालन आवश्यकता पूर्ण होतील.

Captive Portal

एक वेब पृष्ठ जे नेटवर्क प्रवेश देण्यापूर्वी अप्रमाणित वापरकर्त्यांना अडवते.

फर्स्ट-पार्टी डेटा गोळा करण्यासाठी, सेवा अटी लागू करण्यासाठी आणि GDPR संमती सुरक्षित करण्यासाठी प्राथमिक यंत्रणा.

Client Isolation

एक वायरलेस नेटवर्क सेटिंग जी एकाच SSID वरील उपकरणांना एकमेकांशी संवाद साधण्यापासून रोखते.

पीअर-टू-पीअर हल्ले रोखण्यासाठी आणि वापरकर्त्याच्या गोपनीयतेचे रक्षण करण्यासाठी अतिथी नेटवर्कसाठी आवश्यक.

RADIUS

रिमोट ऑथेंटिकेशन डायल-इन युझर सर्व्हिस; केंद्रीकृत प्रमाणीकरण आणि अकाउंटिंगसाठी एक प्रोटोकॉल.

नेटवर्क प्रवेशाला परवानगी देण्यापूर्वी Captive Portal किंवा 802.1X सप्लिकंटकडून वापरकर्ता क्रेडेन्शियल्स प्रमाणित करते.

802.1X

पोर्ट-आधारित नेटवर्क प्रवेश नियंत्रणासाठी एक IEEE मानक.

प्रवेश देण्यापूर्वी ओळख पडताळणी (प्रमाणपत्रे किंवा क्रेडेन्शियल्सद्वारे) आवश्यक करण्यासाठी कर्मचारी नेटवर्कवर वापरले जाते.

iPSK / PPSK

वैयक्तिक किंवा खाजगी प्री-शेअर्ड की; प्रत्येक क्लायंट सत्राला एक अद्वितीय एन्क्रिप्शन की नियुक्त करते.

अतिथी नेटवर्कवरील स्थिर जागतिक पासवर्ड बदलून प्रशासकांना एकल सत्र सुरक्षितपणे रद्द करण्याची परवानगी देते.

WPA3-SAE

Simultaneous Authentication of Equals चा वापर करणारे आधुनिक एन्क्रिप्शन मानक.

अतिथी नेटवर्क हँडशेकचे ऑफलाइन डिक्शनरी हल्ल्यांपासून रक्षण करते.

First-Party Data

वापरकर्त्याच्या स्पष्ट संमतीने थेट त्यांच्याकडून गोळा केलेली माहिती.

Captive Portal द्वारे व्युत्पन्न केलेले प्राथमिक व्यावसायिक मूल्य, जे CRM एकत्रीकरण आणि मार्केटिंगसाठी वापरले जाते.

सोडवलेली उदाहरणे

एक २०० खोल्यांच्या हॉटेलला नवीन IP-आधारित प्रॉपर्टी मॅनेजमेंट सिस्टम (PMS) आणि कर्मचाऱ्यांच्या टॅब्लेटसह गेस्ट WiFi उपयोजित करायचे आहे. नेटवर्कचे विभाजन (segmentation) कसे केले पाहिजे?

तीन स्वतंत्र VLAN उपयोजित करा. गेस्ट WiFi साठी VLAN 10 (192.168.10.0/24), क्लायंट आयसोलेशन सक्षम करून थेट इंटरनेटवर राउट केलेले. कर्मचाऱ्यांच्या टॅब्लेटसाठी VLAN 20 (192.168.20.0/24), जे Microsoft Entra ID विरुद्ध 802.1X PEAP प्रमाणीकरणाद्वारे सुरक्षित केलेले असेल. PMS आणि अंतर्गत सर्व्हरसाठी VLAN 30 (192.168.30.0/24). VLAN 10 कडून VLAN 20 आणि 30 कडे जाणारे सर्व ट्रॅफिक ब्लॉक करण्यासाठी मुख्य फायरवॉल कॉन्फिगर करा.

परीक्षकाचे भाष्य: हे आर्किटेक्चर PCI DSS सेगमेंटेशन आवश्यकता पूर्ण करते आणि तडजोड झालेल्या अतिथी उपकरणांपासून PMS चे रक्षण करते. कर्मचाऱ्यांसाठी 802.1X वापरल्याने अंतर्गत प्रणालींसाठी ओळख-आधारित प्रवेश नियंत्रण (identity-based access control) सुनिश्चित होते.

एका स्टेडियमला WiFi शी कनेक्ट होणाऱ्या चाहत्यांकडून मार्केटिंग डेटा गोळा करायचा आहे, परंतु मागील प्रयत्नांमुळे लॉगिनचे प्रमाण कमी झाले आणि GDPR च्या तक्रारी आल्या.

जास्तीत जास्त दोन इनपुट फील्ड असलेले Captive Portal उपयोजित करा: नाव आणि ईमेल. मार्केटिंग संमतीसाठी एक जागरूक-निवड (conscious-choice) ऑप्ट-इन चेकबॉक्स लागू करा, जो सेवा अटींच्या मंजुरीपासून स्पष्टपणे वेगळा असेल. ऑडिट ट्रेलसाठी MAC पत्ता, टाइमस्टॅम्प आणि संमती आवृत्ती स्वयंचलितपणे नोंदवण्यासाठी Purple वापरा.

परीक्षकाचे भाष्य: पोर्टलवरील अडथळे कमी केल्याने डेटा संकलनाचे प्रमाण वाढते. सेवा अटींपासून मार्केटिंग संमती वेगळी केल्याने GDPR चे पालन सुनिश्चित होते, कारण यामुळे ही संमती कोणत्याही अटीशिवाय, मुक्तपणे दिली गेल्याचे सिद्ध होते.

सराव प्रश्न

Q1. तुम्ही रिटेल साखळीच्या गेस्ट WiFi चे ऑडिट करत आहात. नेटवर्कमध्ये पावतीवर (receipt) छापलेला एकच WPA2-PSK पासवर्ड वापरला आहे. मुख्य सुरक्षा आणि व्यावसायिक धोके कोणते आहेत आणि तुम्ही त्यांचे निराकरण कसे कराल?

टीप: एंक्रिप्शन असुरक्षितता आणि डेटा संकलन (data capture) च्या संधी या दोन्ही गोष्टींचा विचार करा.

नमुना उत्तर पहा

यामध्ये दोन प्रकारचे धोके आहेत. सुरक्षा: स्टॅटिक WPA2-PSK हे डिक्शनरी हल्ल्यांना बळी पडू शकते आणि पावती असलेल्या कोणाकडेही याचा कायमचा ऍक्सेस असतो. व्यवसाय: वेन्यू कोणतेही फर्स्ट-पार्टी डेटा संकलन करत नाही. निराकरण: डेटा संकलनासाठी Captive Portal सह ओपन नेटवर्क तैनात करा, ज्याला युनिक सेशन की व्युत्पन्न करण्यासाठी iPSK चा आधार असेल आणि SSID एका वेगळ्या गेस्ट VLAN शी मॅप केले असल्याचे सुनिश्चित करा.

Q2. एक वेन्यू ऑपरेटर त्यांचा डेटाबेस वाढवण्यासाठी Captive Portal वरील मार्केटिंग संमतीचा (consent) बॉक्स आधीच टिक (pre-tick) करू इच्छितो. तुम्ही त्यांना काय सल्ला द्याल?

टीप: डेटा प्रक्रियेच्या कायदेशीर आधारासाठी GDPR आवश्यकतांचा संदर्भ घ्या.

नमुना उत्तर पहा

त्यांना त्वरित नकार देण्याचा सल्ला द्या. GDPR अंतर्गत, संमती ही जागरूकपणे निवडलेला पर्याय (opt-in) असायला हवी. आधीच टिक केलेले बॉक्स कायदेशीररित्या अवैध आहेत आणि त्यामुळे वेन्यूला मोठा नियामक दंड होऊ शकतो. त्याऐवजी, कायदेशीर नोंदणी दर वाढवण्यासाठी फील्ड्सची संख्या कमी करून पोर्टल डिझाइन ऑप्टिमाइझ करा.

Q3. VLAN 10 वरील एखादे गेस्ट डिव्हाइस VLAN 30 वरील प्रिंटरमध्ये ऍक्सेस मिळवण्याचा प्रयत्न करते. कोअर स्विच रहदारी यशस्वीरित्या रूट करतो. कोणते कॉन्फिगरेशन गहाळ आहे?

टीप: VLANs ब्रॉडकास्ट डोमेन विभक्त करतात, परंतु त्यांच्यामधील रहदारीवर (traffic) काय नियंत्रण ठेवते?

नमुना उत्तर पहा

कोअर फायरवॉल किंवा लेयर 3 स्विचवरील इंटर-VLAN राउटिंग पॉलिसी चुकीची कॉन्फिगर केली आहे. गेस्ट VLAN इंटरफेसवर 'deny-all' चा नियम लागू करणे आवश्यक आहे, जो बाहेरील इंटरनेट रहदारीला परवानगी देत असताना कोणत्याही अंतर्गत सबनेटसाठी (जसे की VLAN 30) जाणाऱ्या रहदारीला ब्लॉक करेल.

या मालिकेमध्ये पुढे वाचा

Starlink वर Captive Portal कसे सेट करावे: दुर्गम आणि सागरी ठिकाणांसाठी एक मार्गदर्शिका

ही मार्गदर्शिका मूळ Starlink हार्डवेअरला बायपास कसे करावे आणि एंटरप्राइझ राउटिंग उपकरणांचा वापर करून क्लाउड-व्यवस्थापित captive portal कसे समाकलित करावे याबद्दल तपशीलवार माहिती देते. तुम्ही CGNAT मर्यादांवर मात कशी करावी, VLAN विभाजन कसे लागू करावे, सॅटेलाइट बँडविड्थ मर्यादा कशा व्यवस्थापित कराव्यात आणि नियामक अनुपालन कसे सुनिश्चित करावे हे शिकाल.

मार्गदर्शिका वाचा →

Captive Portal सर्वोत्तम पद्धती: उच्च रूपांतरण आणि अनुपालनासाठी डिझाइन

हे तांत्रिक मार्गदर्शक IT व्यवस्थापक, नेटवर्क आर्किटेक्ट्स आणि वेन्यू ऑपरेशन्स डायरेक्टर्सना नेटवर्क सुरक्षा आणि उच्च युझर रूपांतरण यांचा समतोल राखणारे captive portals तैनात करण्यासाठी एक संपूर्ण ब्ल्यूप्रिंट प्रदान करते. यामध्ये VLAN विभागणी आणि RADIUS प्रमाणीकरणापासून ते GDPR-सुसंगत संमती डिझाइन आणि प्रमाणीकरण पद्धत निवडीपर्यंतच्या संपूर्ण आर्किटेक्चरचा समावेश आहे. २०२४ मधील ८०,०००+ वेन्यू आणि ४४० दशलक्ष लॉगइन्सवरील Purple च्या ऑपरेशनल अनुभवातून घेतलेली, प्रत्येक शिफारस प्रत्यक्ष उपयोजन (deployment) डेटावर आधारित आहे.

मार्गदर्शिका वाचा →

कमाल नेटवर्क सुरक्षा आणि युझर कन्व्हर्जनसाठी Captive Portals कसे ऑप्टिमाइझ करावे

हे मार्गदर्शक एंटरप्राइझ ठिकाणांवर captive portals ऑप्टिमाइझ करण्यासाठी संपूर्ण तांत्रिक ब्ल्यूप्रिंट प्रदान करते, ज्यामध्ये नेटवर्क सेगमेंटेशन आर्किटेक्चर, ऑथेंटिकेशन पद्धतीची निवड, GDPR-सुसंगत संमती डिझाइन आणि कन्व्हर्जन ऑप्टिमायझेशन समाविष्ट आहे. हे हॉटेल्स, रिटेल चेन्स, स्टेडियम आणि सार्वजनिक क्षेत्रातील संस्थांमधील आयटी मॅनेजर्स, नेटवर्क आर्किटेक्ट्स आणि CTOs साठी लिहिले गेले आहे ज्यांना नेटवर्क सुरक्षा आणि फर्स्ट-पार्टी डेटा कॅप्चर यामध्ये समतोल राखायचा आहे. Purple हे २०२४ मध्ये ४४ कोटींहून अधिक लॉगिनसह ८०,०००+ पेक्षा जास्त ठिकाणी captive portal इन्फ्रास्ट्रक्चर चालवते आणि येथील फ्रेमवर्क तो ऑपरेशनल अनुभव दर्शवतात.

मार्गदर्शिका वाचा →