HPE Aruba Instant and guest WiFi: Purple सोबत captive portal सेटअप

HPE Aruba ClearPass ला Purple WiFi प्लॅटफॉर्मसह एकत्रित करण्यावरील या तांत्रिक माहिती सत्रात आपले स्वागत आहे. मी तुमचा होस्ट आहे, आणि आज आपण ClearPass Policy Manager चे मजबूत नेटवर्क ऍक्सेस कंट्रोल आणि Purple ची उद्योग - अग्रगण्य गेस्ट WiFi आणि ॲनालिटिक्स क्षमता एकत्र करण्याच्या आर्किटेक्चर, डिप्लोयमेंट स्ट्रॅटेजीज आणि ऑपरेशनल फायद्यांचा सखोल अभ्यास करत आहोत. आयटी मॅनेजर्स, नेटवर्क आर्किटेक्ट्स आणि मोठ्या प्रमाणावर असणारे व्हिन्यूज - मग ती विस्तीर्ण रिटेल चेन असो, उच्च-घनतेचे स्टेडियम असो किंवा गुंतागुंतीचे हेल्थकेअर कॅम्पस असो - व्यवस्थापित करणाऱ्या CTOs साठी सुरक्षित, विभागणीकृत आणि अंतर्दृष्टीपूर्ण वायरलेस ऍक्सेस प्रदान करणे अत्यंत महत्त्वाचे आहे. कॉर्पोरेट उपकरणांसाठी कॉन्टेक्स्ट-अवेअर पॉलिसी अंमलबजावणी आणि 802.1X ऑथेंटिकेशनसाठी ClearPass हे अभूतपूर्व आहे. तथापि, जेव्हा गेस्ट ऑनबोर्डिंग, captive portals आणि अभ्यागतांच्या डेटावरून कृती करण्यायोग्य विपणन ॲनालिटिक्स काढण्याचा विचार येतो, तेव्हा Purple हा निर्विवाद लीडर आहे. आज आपण ज्या मूळ प्रश्नाचे उत्तर शोधत आहोत तो म्हणजे: NAC आणि डायनॅमिक रोल-बेस्ड VLAN असाइनमेंटसाठी ClearPass कायम ठेवून, Purple ला captive portal म्हणून वापरण्यासाठी तुम्ही ClearPass कसे कॉन्फिगर कराल? चला यामध्ये खोलवर जाऊया. प्रथम, आर्किटेक्चर स्थापित करूया. उच्च पातळीवर, हे एकत्रीकरण मानक RADIUS प्रोटोकॉल आणि HTTP रीडायरेक्ट मेकॅनिझमवर अवलंबून असते. तुमचे Aruba मोबिलिटी कंट्रोलर्स किंवा इन्स्टंट ऍक्सेस पॉइंट्स गेस्ट SSID ब्रॉडकास्ट करतात. जेव्हा एखादे ऑथेंटिकेशन न केलेले डिव्हाइस कनेक्ट होते, तेव्हा कंट्रोलर HTTP ट्रॅफिक अडवतो आणि वापरकर्त्याच्या ब्राउझरला Purple captive portal वर रीडायरेक्ट करतो. हा रीडायरेक्ट योग्य रीतीने पूर्ण होणे हा पहिला महत्त्वाचा भाग आहे. आता, वापरकर्ता Purple द्वारे ऑथेंटिकेट करतो. हे Facebook किंवा Google द्वारे सोशल लॉगिन, सानुकूल ईमेल आणि पासवर्ड फॉर्म किंवा अगदी OpenRoaming असू शकते, जिथे Purple Connect परवान्यांतर्गत विनामूल्य ओळख प्रदाता म्हणून काम करते. एकदा Purple ने वापरकर्त्याची पडताळणी केली की, ते कंट्रोलरला परत साखळीद्वारे RADIUS Access-Accept संदेश पाठवते, जे नंतर नेटवर्क ऍक्सेस मंजूर करते. पण येथेच ClearPass आवश्यक ठरते. Aruba कंट्रोलर थेट Purple च्या RADIUS सर्व्हरशी बोलण्याऐवजी, तुम्ही ClearPass ला मध्ये RADIUS प्रॉक्सी म्हणून समाविष्ट करता. कंट्रोलर सर्व RADIUS विनंत्या ClearPass कडे पाठवतो. ClearPass विनंतीचे मूल्यांकन करते आणि जर ती तुमच्या गेस्ट सर्व्हिस राउटिंग पॉलिसीशी जुळत असेल, तर ती Purple च्या क्लाउड RADIUS सर्व्हरकडे फॉरवर्ड करते. Purple प्रतिसाद देते आणि ClearPass तो प्रतिसाद पुन्हा कंट्रोलरकडे पाठवते, परंतु महत्त्वाचे म्हणजे, असे करण्यापूर्वी ते स्वतःचे पॉलिसी ॲट्रिब्युट्स जोडू शकते. हे प्रॉक्सी आर्किटेक्चर तुम्हाला दोन्ही जगातील सर्वोत्तम गोष्टी देते. ClearPass तुमच्या नेटवर्कवरील प्रत्येक ऑथेंटिकेशन इव्हेंटचा, कॉर्पोरेट आणि गेस्ट दोन्हीचा, संपूर्ण ऑडिट लॉग ठेवते. तुम्हाला सुरक्षा ऑपरेशन्ससाठी एकच स्क्रीन मिळते. आणि तुमच्या विद्यमान NAC गुंतवणुकीला न बदलता Purple वापरकर्त्याभिमुख अनुभव आणि ॲनालिटिक्स हाताळते. चला डायनॅमिक VLAN असाइनमेंटबद्दल बोलूया, कारण येथेच गोष्टी खरोखर प्रभावी बनतात - आणि जिथे काळजी न घेतल्यास बहुतेक डिप्लोयमेंट्स अडचणीत येतात. ClearPass हे Roles आणि Enforcement Profiles नावाची संकल्पना वापरते. जेव्हा एखादी ऑथेंटिकेशन विनंती येते, तेव्हा ClearPass संदर्भाचे मूल्यांकन करते: युझर कोण आहे, ते कोणते डिव्हाइस वापरत आहेत, वेळ कोणती आहे आणि ते कोणत्या ठिकाणाहून कनेक्ट होत आहेत. या घटकांच्या आधारावर, ते एक Role नियुक्त करते. सामान्य गेस्टसाठी, ते ROLE_GUEST असू शकते. VIP साठी, ते ROLE_VIP असू शकते. कंत्राटदारासाठी, ROLE_CONTRACTOR असू शकते. हा Role नंतर एका Enforcement Profile शी मॅप केला जातो, जो Aruba कंट्रोलरला परत करण्यासाठी विशिष्ट RADIUS ॲट्रिब्युट्स परिभाषित करतो. येथील सर्वात महत्त्वाचा ॲट्रिब्युट म्हणजे Aruba-User-Role Vendor-Specific Attribute किंवा VSA. हे कंट्रोलरला नेमके सांगते की वायरलेस बाजूने युझरला कोणत्या रोलमध्ये ठेवायचे आहे. Aruba कंट्रोलरवर, प्रत्येक रोल एका विशिष्ट VLAN आणि फायरवॉल पॉलिसीच्या सेटशी मॅप केला जातो. त्यामुळे ROLE_GUEST हे VLAN 20 शी मॅप होते, ज्यामध्ये फक्त इंटरनेटचा ॲक्सेस आणि 10 megabits प्रति सेकंद बँडविड्थ मर्यादा असते. ROLE_VIP हे VLAN 40 शी मॅप होते, ज्यामध्ये 50 megabit मर्यादा असते. ROLE_IOT हे VLAN 30 शी मॅप होते, जो इंटरनेट ॲक्सेस नसलेला पूर्णपणे वेगळा केलेला विभाग आहे, ज्यामध्ये स्मार्ट डिव्हाइसेससाठी फक्त स्थानिक कनेक्टिव्हिटी असते. हे सेगमेंटेशन केवळ उत्तम सराव नाही - ती एक अनुपालन (compliance) आवश्यकता आहे. PCI DSS अंतर्गत, कार्डधारकांच्या डेटाला स्पर्श करणारे कोणतेही नेटवर्क गेस्ट नेटवर्कपासून वेगळे केले पाहिजे. GDPR अंतर्गत, तुम्हाला हे दाखवून देण्यास सक्षम असणे आवश्यक आहे की गेस्ट पोर्टलद्वारे गोळा केलेला वैयक्तिक डेटा योग्यरित्या हाताळला जातो आणि गेस्ट ट्रॅफिक तुमच्या कॉर्पोरेट इन्फ्रास्ट्रक्चरमधून जाऊ शकत नाही. आता, मी तुम्हाला एका वास्तविक परिस्थितीचे उदाहरण देतो: अनेक मालमत्तांमध्ये 500 खोल्या असलेली एक मोठी हॉटेल साखळी. त्यांच्याकडे प्रत्येक साइटवर Aruba कंट्रोलर आहेत, मध्यवर्ती ठिकाणी ClearPass तैनात केले आहे आणि त्यांना गेस्ट WiFi साठी Purple रोल आउट करायचे आहे. तैनाती याप्रमाणे दिसते. प्रति साइट दोन SSIDs: Hotel_Corp आणि Hotel_Guest. Hotel_Corp हे ClearPass द्वारे Active Directory च्या विरुद्ध ऑथेंटिकेट केलेले, प्रमाणपत्रांसह 802.1X वापरते. Hotel_Guest हे एक ओपन SSID आहे जे Purple कॅप्टिव्ह पोर्टल ट्रिगर करते. ClearPass मध्ये, ते दोन Services तयार करतात. Service One हे Hotel_Corp शी जुळते आणि 802.1X ऑथेंटिकेशन स्थानिक पातळीवर हाताळते. Service Two हे Hotel_Guest शी जुळते आणि Purple कडे विनंत्या प्रॉक्सी करण्यासाठी RADIUS Routing Policy वापरते. Service Two साठी असलेली Enforcement Policy guest-authenticated चा Aruba-User-Role परत करते, जो कंट्रोलरवरील VLAN 20 शी मॅप होतो. IoT डिव्हाइसेससाठी - स्मार्ट टीव्ही, थर्मोस्टॅट्स, डोअर लॉक्स - ते MAC-आधारित ऑथेंटिकेशनसह तिसरे SSID, Hotel_IoT वापरतात. ClearPass त्याच्या OUI चा वापर करून डिव्हाइसचे प्रोफाइल बनवते आणि ROLE_IOT नियुक्त करते, ज्यामुळे ते VLAN 30 मध्ये जाते. परिणाम? कर्मचाऱ्यांना पूर्ण कॉर्पोरेट ॲक्सेस मिळतो. गेस्टना सोशल लॉगिन आणि मार्केटिंग ऑप्ट-इन्ससह ब्रँडेड, आकर्षक पोर्टल अनुभव मिळतो. IoT डिव्हाइसेस वेगळे केले जातात. आणि IT टीमला ClearPass च्या Access Tracker मध्ये तिन्ही प्रकारच्या युझर्सवर पूर्ण नियंत्रण आणि स्पष्टता मिळते. आता आपण येणाऱ्या अडचणींबद्दल बोलूया, कारण जर तुम्ही तयार नसाल तर अशा अनेक गोष्टी आहेत ज्या तुम्हाला अडचणीत आणू शकतात. क्रमांक एक: walled garden. captive portal अयशस्वी होण्याचे हे सर्वात सामान्य कारण आहे. डिव्हाइस प्रमाणीकृत (authenticate) होण्यापूर्वी, Aruba कंट्रोलर केवळ पूर्व-निर्धारित गंतव्यस्थानांच्या सूचीमध्ये - म्हणजेच walled garden मध्ये - ट्रॅफिकला अनुमती देतो. जर Purple चे portal URL, त्याचे बॅकएंड API एंडपॉइंट्स आणि सोशल लॉगिन प्रदाता डोमेन त्या सूचीमध्ये नसतील, तर पोर्टल लोड होणार नाही. तुम्हाला ही सूची सक्रियपणे व्यवस्थापित करावी लागेल. Facebook आणि Google सारखे सोशल लॉगिन प्रदाता त्यांचे IP रेंज आणि CDN डोमेन नियमितपणे बदलतात. walled garden कडे एक जिवंत कॉन्फिगरेशन म्हणून पहा. क्रमांक दोन: RADIUS टाईमआउट्स. बहुतांश Aruba कंट्रोलरवर डीफॉल्ट RADIUS टाईमआउट तीन सेकंद असतो. प्रॉक्सी आर्किटेक्चरमध्ये, विनंती AP कडून कंट्रोलरकडे, नंतर ClearPass कडे, तिथून इंटरनेटद्वारे Purple च्या क्लाउड RADIUS कडे आणि परत प्रवास करते. गर्दी असलेल्या नेटवर्कवर, या राउंड ट्रिपला सहजपणे तीन सेकंदांपेक्षा जास्त वेळ लागू शकतो. तुमचा टाईमआउट किमान दहा सेकंदांपर्यंत वाढवा आणि पुन्हा प्रयत्न करण्याचे लॉजिक (retry logic) कॉन्फिगर करा. क्रमांक तीन: shared secret विसंगती. यामुळे असे मूक बिघाड होतात ज्यांचे निदान करणे अत्यंत कठीण असते. Aruba कंट्रोलर आणि ClearPass मधील shared secret तंतोतंत जुळले पाहिजे. ClearPass आणि Purple च्या RADIUS सर्व्हरमधील shared secret देखील तंतोतंत जुळले पाहिजे. एका सिंगल कॅरेक्टरच्या फरकामुळे देखील प्रमाणीकरण अपयशी ठरेल आणि अंतिम वापरकर्त्याला कोणताही अर्थपूर्ण त्रुटीचा संदेश दिसणार नाही. हे नेहमी पुन्हा तपासून पहा. क्रमांक चार: रोलच्या नावातील अक्षरांचे प्रकार (case sensitivity). ClearPass द्वारे परत पाठवलेले Aruba-User-Role VSA हे Aruba कंट्रोलरवर परिभाषित केलेल्या रोलच्या नावाशी - कॅपिटलायझेशनसह - तंतोतंत जुळले पाहिजे. जर ClearPass ने guest-authenticated परत केले परंतु कंट्रोलरवर Guest-Authenticated परिभाषित असेल, तर वापरकर्ता डीफॉल्ट रोलवर जाईल, जो सामान्यतः इंटरनेट प्रवेश नसलेला लॉगऑन रोल असतो. क्रमांक पाच: RADIUS अकाउंटिंग. अनेक उपयोजनांमध्ये प्रमाणीकरण प्रॉक्सी योग्यरित्या कॉन्फिगर केले जाते परंतु अकाउंटिंग प्रॉक्सी करणे विसरले जाते. Purple हे सत्र कालावधी, डेटा वापर ट्रॅक करण्यासाठी आणि त्याच्या ॲनालिटिक्स डॅशबोर्डमध्ये डेटा भरण्यासाठी RADIUS अकाउंटिंग डेटा वापरते. जर अकाउंटिंग Purple कडे जात नसेल, तर तुमचे ॲनालिटिक्स अपूर्ण राहतील. आता आपण जलद-प्रश्न उत्तरांच्या विभागाकडे वळूया. मी कर्मचारी आणि अतिथी (guests) दोघांसाठी एकच SSID वापरू शकतो का? होय, तुम्ही वापरू शकता. एकाच SSID वर 802.1X आणि MAC-Auth दोन्ही हाताळण्यासाठी ClearPass कॉन्फिगर करा. ट्रॅफिकचा प्रकार वेगळा करण्यासाठी आणि त्यानुसार मार्ग निर्देशित करण्यासाठी Service Rules वापरा. हे व्यवस्थापित करणे अधिक क्लिष्ट आहे परंतु यामुळे SSID चा प्रसार कमी होतो. Purple हे Change of Authorisation ला सपोर्ट करते का? होय. CoA कंट्रोलरला वापरकर्त्याचे सत्र पुन्हा कनेक्ट न करता डायनॅमिकपणे अपडेट करण्याची अनुमती देते. हे वेळेची मर्यादा असलेल्या प्रवेशासाठी किंवा टियर अपग्रेडसाठी उपयुक्त आहे. मी संपूर्ण Mobility Controller ऐवजी Aruba Instant सोबत हे इंटिग्रेशन वापरू शकतो का? होय, Aruba Instant बाह्य RADIUS सर्व्हर आणि captive portal रिडायरेक्टला सपोर्ट करते. याचे कॉन्फिगरेशन थोडे वेगळे आहे परंतु तत्त्वे सारखीच आहेत. हे इंटिग्रेशन WPA3 सोबत काम करते का? होय. वैयक्तिक नेटवर्कसाठी WPA3-SAE आणि 802.1X साठी WPA3-Enterprise या दोन्हीला सपोर्ट आहे. कॅप्टिव्ह पोर्टल वापरणाऱ्या गेस्ट नेटवर्क्ससाठी, WPA3-SAE किंवा ऑपर्च्युनिस्टिक वायरलेस एन्क्रिप्शन (Opportunistic Wireless Encryption) असलेले ओपन SSID हे सामान्य पर्याय आहेत. आजच्या ब्रीफिंगचा सारांश सांगायचा तर, ClearPass आणि Purple चे इंटिग्रेशन हे RADIUS प्रॉक्सी आर्किटेक्चर आहे. सर्व नेटवर्क ॲक्सेससाठी ClearPass हा तुमचा केंद्रीय पॉलिसी निर्णय बिंदू राहतो. Purple गेस्ट-फेसिंग अनुभव आणि ॲनालिटिक्स हाताळते. Aruba कंट्रोलर डायनॅमिक VLAN असाइनमेंटद्वारे परिणामी पॉलिसी लागू करतो. तीन सर्वात महत्त्वाचे कॉन्फिगरेशन घटक म्हणजे वल्ड गार्डन (walled garden), RADIUS टाइमआउट्स आणि रोल नेम कन्सिस्टन्सी (role name consistency). हे बरोबर सेट करा, आणि तुमच्याकडे एक मजबूत, सुसंगत आणि व्यावसायिकदृष्ट्या फायदेशीर गेस्ट WiFi डिप्लॉयमेंट तयार होईल. ऐकल्याबद्दल धन्यवाद. जर तुम्हाला याबद्दल अधिक माहिती हवी असेल, तर तुमच्या विशिष्ट डिप्लॉयमेंटबद्दल सोल्यूशन्स आर्किटेक्टशी बोलण्यासाठी purple.ai ला भेट द्या।