Huawei iMaster NCE (CloudCampus) आणि अतिथी WiFi: Purple सोबत captive portal सेटअप

Purple च्या तांत्रिक मालिकेमध्ये आपले स्वागत आहे. मी तुमचा होस्ट आहे, आणि आज आपण प्रत्यक्ष क्षेत्रात पाहिल्या जाणाऱ्या अधिक प्रगत एंटरप्राइझ WiFi इंटिग्रेशन्सपैकी एकाची माहिती घेणार आहोत - Huawei AirEngine ॲक्सेस पॉइंट्स आणि CloudCampus iMaster NCE-Campus कंट्रोलर, जे अतिथी WiFi, कर्मचारी प्रमाणीकरण, आणि मल्टि-टेनंट नेटवर्क सेगमेंटेशनसाठी Purple सोबत समाकलित (integrated) केले आहे. जर तुम्ही नेटवर्क आर्किटेक्ट किंवा आयटी मॅनेजर असाल आणि Huawei इस्टेट चालवत असाल - मग ती हॉटेल ग्रुप असो, रिटेल चेन असो, कॉन्फरन्स सेंटर असो किंवा सार्वजनिक क्षेत्रातील कॅम्पस असो - तर हा एपिसोड तुमच्यासाठी आहे. आम्ही यामध्ये संपूर्ण स्टॅक कव्हर करू: captive portal रिडायरेक्शन, प्री-ऑथेंटिकेशन ACLs, 802.1X वापरून सुरक्षित स्टाफ WiFi, आणि एकाधिक टेनंट्समध्ये डायनॅमिक VLAN स्टिअरिंगसाठी Huawei चे Private Pre-Shared Key वैशिष्ट्य. चला, सुरुवात करूया. विभाग एक: संदर्भ आणि आर्किटेक्चर. Huawei चे AirEngine पोर्टफोलिओ - ज्यामध्ये 5700, 6700, 8700, आणि 9700 सिरीजचा समावेश आहे - WiFi 6 आणि WiFi 6E वर चालते, ज्यामध्ये टॉप-एंड 9700 सिरीज WiFi 7 ला सपोर्ट करते. हे अतिशय सक्षम एंटरप्राइझ ॲक्सेस पॉइंट्स आहेत. याचे मॅनेजमेंट लेयर iMaster NCE-Campus हे Huawei चे क्लाउड-आधारित नेटवर्क कंट्रोलर आहे, जे SSID प्रोव्हिजनिंग आणि RADIUS रिलेपासून ते पॉलिसी अंमलबजावणी आणि syslog फॉरवर्डिंगपर्यंत सर्व गोष्टी हाताळते. Purple यावर एक क्लाउड ओव्हरले म्हणून काम करते. आम्ही ८०,००० हून अधिक थेट वेन्यूवर कार्यरत आहोत आणि एकट्या २०२४ मध्ये आम्ही ४४० दशलक्ष लॉगइन्स प्रविष्ट केले आहेत. आम्ही हार्डवेअर-अज्ञेयवादी (hardware-agnostic) आहोत - याचा अर्थ आम्ही Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, आणि होय, Huawei AirEngine सोबत समाकलित होतो - यासाठी आम्ही तेच RADIUS आणि captive portal मानके वापरतो जे प्रत्येक एंटरप्राइझ कंट्रोलर सपोर्ट करतो. येथील इंटिग्रेशन मॉडेल अगदी सोपे आहे. iMaster NCE-Campus हे RADIUS रिले म्हणून काम करते, जे ॲक्सेस पॉइंट्सकडून येणाऱ्या ऑथेंटिकेशन विनंत्या Purple च्या RADIUS सर्व्हर्सकडे फॉरवर्ड करते. Purple ऑथेंटिकेशन लॉजिक हाताळते - मग ते अतिथी स्प्लॅश पेज असो, 802.1X क्रेडेंशियल तपासणी असो, किंवा PPSK लुकअप असो - आणि योग्य RADIUS प्रतिसाद परत पाठवते, ज्यामध्ये कोणत्याही डायनॅमिक VLAN असाइनमेंट वैशिष्ट्यांचा (attributes) समावेश असतो. विभाग दोन: अतिथी WiFi आणि captive portal कॉन्फिगरेशन. चला सर्वात सामान्य डिप्लॉयमेंटपासून सुरुवात करूया: Purple captive portal सह अतिथी WiFi. iMaster NCE-Campus मध्ये, तुम्ही Design, नंतर Network Design, आणि नंतर Template Management वर जा. तुम्ही एक RADIUS Relay Server टेम्पलेट तयार करा. त्याचे मुख्य पॅरामीटर्स खालीलप्रमाणे आहेत: ऑथेंटिकेशन सर्व्हिसला Portal ऑथेंटिकेशनवर सेट करा, ऑथेंटिकेशनसाठी UDP पोर्ट 1812 वर आणि अकाउंटिंगसाठी 1813 वर Purple चे RADIUS सर्व्हर IP ॲड्रेस जोडा, NAS आयडेंटिफायरला Device MAC वर सेट करा आणि शेअर्ड सिक्रेट कॉन्फिगर करा. Purple हे RADIUS क्रेडेंशियल्स Purple डॅशबोर्डमधील वेन्यू कॉन्फिगरेशन स्क्रीनवरून प्रदान करते. त्यानंतर, तुम्ही ACL तयार करता - हे तुमचे वॉल्ड गार्डन (Walled Garden) आहे. पाहुण्याने (guest) प्रमाणीकृत होण्यापूर्वी, त्यांनी Purple च्या स्प्लॅश पेजवर आणि कोणत्याही सहाय्यक डोमेन्सवर पोहोचणे आवश्यक आहे. तुमच्या ACL नियमांनी UDP 53 वर DNS ला परवानगी दिली पाहिजे, Purple च्या पोर्टल डोमेनवर HTTPS ला परवानगी दिली पाहिजे आणि तुम्ही सक्षम केलेल्या कोणत्याही सोशल लॉगिन प्रदात्यांना परवानगी दिली पाहिजे - उदाहरणार्थ, जर तुम्ही सोशल साइन-ऑन वापरत असाल तर Facebook चे graph API एंडपॉइंट्स. पूर्व-प्रमाणीकरणापूर्वी इतर सर्व काही नाकारले जाते. त्यानंतर तुम्ही SSID कॉन्फिगर करा. नेटवर्कचा प्रकार Open वर सेट करा, Open plus Portal authentication निवडा, प्रमाणीकरण प्रकार Relay authentication by cloud platform वर सेट करा आणि इंटरकनेक्शन मोड म्हणून RADIUS रिले निवडा. पेज पुश प्रोटोकॉल HTTPS वर सेट करा. थर्ड-पार्टी पोर्टल प्रमाणीकरण पॅरामीटर्समध्ये, Purple चा रीडायरेक्ट URL पेस्ट करा - हा स्प्लॅश पेज URL आहे जो तुम्ही Purple व्हेन्यू डॅशबोर्डवरून कॉपी करता, ज्याच्या शेवटी बदल करून Huawei-विशिष्ट पॅरामीटर्स समाविष्ट केले जातात: ap-mac, uaddress, umac, ssid, आणि redirect-url. शेवटी, iMaster NCE-Campus मध्ये एक URL टेम्पलेट तयार करा जे या पॅरामीटर नावांना Huawei ने रीडायरेक्टमध्ये पाठवलेल्या मूल्यांशी मॅप करेल. पॅरामीटर मॅपिंग आहे: redirect-url ते redirect-url, loginurl ते login-url, device-mac ते ap-mac, user-ip ते uaddress, user-mac ते umac, आणि ssid ते ssid. एकदा हे कॉन्फिगर झाल्यानंतर, पाहुणा SSID शी कनेक्ट होतो, त्याला DHCP ॲड्रेस मिळतो आणि ट्रॅफिक कंट्रोलरद्वारे इंटरसेप्ट केले जाते आणि Purple स्प्लॅश पेजवर रीडायरेक्ट केले जाते. ते प्रमाणीकृत होतात - ईमेल, सोशल लॉगिन किंवा SMS पडताळणीद्वारे - आणि Purple चे RADIUS सर्व्हर iMaster NCE-Campus ला Access-Accept परत पाठवते, जे पाहुण्याला पूर्ण इंटरनेट प्रवेश प्रदान करते. डेटाच्या दृष्टिकोनातून, Purple या टप्प्यावर फर्स्ट-पार्टी संमती डेटा कॅप्चर करते. प्रत्येक लॉगिन ही सज्ञान निवड आणि संमती असते, जी GDPR आणि CCPA चे पालन करते. तो डेटा Purple च्या ॲनालिटिक्स प्लॅटफॉर्मला पाठवला जातो, ज्यामुळे तुम्हाला सेशनचा कालावधी, डिव्हाइसचा प्रकार, परत येणाऱ्या पाहुण्यांचे प्रमाण आणि ड्वेल टाईम (dwell time) मिळतो - तेही कोणत्याही थर्ड-पार्टी ट्रॅकिंगशिवाय. विभाग तीन: 802.1X सह कर्मचारी WiFi सुरक्षित करा. आता कर्मचाऱ्यांच्या WiFi बद्दल बोलूया. हे पूर्णपणे भिन्न सुरक्षा धोरण आहे. तुम्हाला कर्मचारी पाहुण्यांच्या नेटवर्क सेगमेंटवर नको आहेत, आणि तुम्हाला सामायिक केलेले PSK पासवर्ड नको आहेत जे एखादी व्यक्ती नोकरी सोडून गेल्यावर सोबत बाहेर जातील. याचे उत्तर IEEE 802.1X-2020 मध्ये परिभाषित केलेले 802.1X प्रमाणीकरण आहे, जे EAP-TLS किंवा EAP-PEAP वापरते. iMaster NCE-Campus मध्ये, तुम्ही कर्मचाऱ्यांसाठी एक वेगळा SSID तयार करता - त्याला CorpNet म्हणूया. या SSID च्या प्रमाणीकरण प्रोफाइलमध्ये, तुम्ही प्रमाणीकरण मोड 802.1X वर सेट करा, तो Purple च्या RADIUS सर्व्हरकडे निर्देशित करा आणि AES-CCMP एन्क्रिप्शनसह सुरक्षा प्रोफाइल WPA2-Enterprise किंवा WPA3-Enterprise वर सेट करा.Purple येथे देखील RADIUS सर्व्हर म्हणून कार्य करते, परंतु आता ते तुमच्या आयडेंटिटी प्रोव्हाइडर विरुद्ध क्रेडेंशियल्स प्रमाणित करत आहे. Purple हे Microsoft Entra ID, Okta, आणि Google Workspace सोबत नेटिव्हली इंटिग्रेट होते. जेव्हा एखादा कर्मचारी CorpNet शी कनेक्ट होतो, तेव्हा त्यांचे डिव्हाइस ॲक्सेस पॉइंटला EAP क्रेडेंशियल्स पाठवते, जे RADIUS द्वारे Purple कडे रिले केले जाते, जे SCIM किंवा SAML चा वापर करून Entra ID विरुद्ध ते प्रमाणित करते. क्रेडेंशियल्स वैध असल्यास, Purple कर्मचाऱ्यांचे VLAN - समजा VLAN 20 - निर्दिष्ट करणाऱ्या RADIUS ॲट्रिब्युटसह Access-Accept परत करते. iMaster NCE-Campus क्लायंटला त्या VLAN मध्ये स्वयंचलितपणे निर्देशित करते. डायनॅमिक VLAN असाइनमेंटसाठी मुख्य RADIUS ॲट्रिब्युट्स हे आहेत: Tunnel-Type हे VLAN किंवा व्हॅल्यू 13 वर सेट केलेले, Tunnel-Medium-Type हे 802 किंवा व्हॅल्यू 6 वर सेट केलेले, आणि Tunnel-Private-Group-ID हे VLAN ID वर सेट केलेले. हे तीन ॲट्रिब्युट्स मिळून Huawei कंट्रोलरला अचूकपणे सांगतात की ऑथेंटिकेट झालेल्या क्लायंटला कोणत्या VLAN मध्ये असाइन करायचे आहे. विशेषतः EAP-TLS साठी - जे कर्मचारी ऑथेंटिकेशनसाठी सर्वोत्तम मानले जाते - तुम्हाला क्लायंट सर्टिफिकेट्सची आवश्यकता असते. Purple चे SecurePass ॲड-ऑन सर्टिफिकेट देणे आणि त्याचे लाइफसायकल मॅनेजमेंट हाताळते, जे तुमच्या अस्तित्वात असलेल्या PKI सोबत इंटिग्रेट होते किंवा लाइटवेट सर्टिफिकेट ऑथॉरिटी म्हणून काम करते. हे पासवर्ड-आधारित हल्ले पूर्णपणे काढून टाकते. पासवर्ड नाही, तर फिशिंगचा धोकाही नाही. विभाग चार: Huawei PPSK सह मल्टी-टेनंट सेगमेंटेशन. हे खरोखरच मनोरंजक आहे. जर तुम्ही एखादे मिश्र-वापराचे ठिकाण चालवत असाल - जसे की अनेक रिटेल टेनंट्स असलेले शॉपिंग सेंटर, अनेक सदस्य कंपन्या असलेले को-वर्किंग स्पेस, किंवा एकाच वेळी इव्हेंट्स आयोजित करणारे कॉन्फरन्स सेंटर - तर तुम्हाला प्रत्येकासाठी स्वतंत्र SSID तैनात न करता टेनंट्समध्ये नेटवर्क आयसोलेशन आवश्यक असते. Huawei चे PPSK वैशिष्ट्य - Private Pre-Shared Key - हे सोडवते. इतर व्हेंडर इकोसिस्टममध्ये याला कधीकधी iPSK देखील म्हटले जाते. संकल्पना अशी आहे: एक SSID, अनेक युनिक पासवर्ड्स, प्रत्येक पासवर्ड एका विशिष्ट VLAN शी मॅप केलेला असतो. टेनंट A ला पासवर्ड Alpha मिळतो, जो VLAN 30 शी मॅप होतो. टेनंट B ला पासवर्ड Beta मिळतो, जो VLAN 40 शी मॅप होतो. दोन्ही टेनंट्सना एकच SSID दिसतो, परंतु ते Layer 2 वर पूर्णपणे आयसोलेटेड असतात. Huawei CLI मध्ये, तुम्ही ppsk-user कमांड वापरून WLAN व्ह्यूमध्ये हे कॉन्फिगर करता. प्रत्येक टेनंटसाठी, तुम्ही रन करता: ppsk-user psk pass-phrase, त्यानंतर युनिक पासफ्रेज, त्यानंतर user-name, टेनंट आयडेंटिफायर, त्यानंतर vlan, VLAN ID, त्यानंतर ssid, आणि SSID चे नाव. तुम्हाला अधिक कडक नियंत्रणाची आवश्यकता असल्यास तुम्ही एक्स्पायरी डेट, मॅक्सिमम डिव्हाइस काउंट सेट करू शकता आणि विशिष्ट MAC ॲड्रेसशी बाइंड करू शकता. iMaster NCE-Campus मध्ये, PPSK लूकअप कंट्रोलरवर स्थानिक पातळीवर हाताळले जाऊ शकते, किंवा - मोठ्या प्रमाणावर तैनात करण्यासाठी - RADIUS द्वारे. जेव्हा RADIUS-backed PPSK वापरले जाते, तेव्हा Purple हे PPSK-to-VLAN मॅपिंगसाठी अधिकृत सोर्स बनते. टेनंटचे डिव्हाइस त्यांच्या युनिक पासफ्रेजसह कनेक्ट होते, कंट्रोलर पासफ्रेज क्रेडेंशियल म्हणून घेऊन Purple ला RADIUS Access-Request पाठवतो, Purple मॅपिंग शोधते, आणि तीन VLAN टनेल ॲट्रिब्युट्ससह Access-Accept परत करते. कंट्रोलर क्लायंटला योग्य VLAN मध्ये निर्देशित करतो. ही आर्किटेक्चर एकाच SSID वर शेकडो भाडेकरूंसाठी (tenants) स्केल करते. याचा अर्थ असा देखील आहे की तुम्ही कंट्रोलर कॉन्फिगरेशनला स्पर्श न करता Purple डॅशबोर्डवरून भाडेकरू क्रेडेंशियल प्रोविझिन, रोटेट आणि रिव्होक करू शकता. विभाग पाच: अंमलबजावणीमधील त्रुटी आणि त्या कशा टाळाव्यात. मी तुम्हाला Huawei आणि Purple डिप्लॉयमेंटमध्ये सामान्यतः दिसणारे तीन फेल्युअर मोड्स सांगतो. पहिले: अपूर्ण Walled Garden. अतिथी SSID ला कनेक्ट करतात, त्यांना स्प्लॅश पेजवर रीडायरेक्ट केले जाते, परंतु आवश्यक डोमेन - बऱ्याचदा CDN एंडपॉइंट किंवा सोशल लॉगिन API - प्री-ऑथ ACL द्वारे ब्लॉक केल्यामुळे पेज लोड होत नाही. यावर उपाय म्हणजे गो-लाईव्ह करण्यापूर्वी नवीन डिव्हाइसवरून स्प्लॅश पेज फ्लोची चाचणी घेणे, त्याद्वारे होणारे DNS क्वेरी आणि HTTPS कनेक्शन्स कॅप्चर करणे आणि प्रत्येक आवश्यक डोमेन ACL मध्ये जोडणे हा आहे. Purple इंटिग्रेशन दस्तऐवजीकरणामध्ये आवश्यक डोमेनची सूची प्रकाशित करते. दुसरे: RADIUS शेअर केलेल्या सिक्रेटमधील विसंगती. iMaster NCE-Campus मध्ये कॉन्फिगर केलेले सिक्रेट आणि Purple डॅशबोर्डमधील सिक्रेट तंतोतंत जुळले पाहिजे. अगदी एका वर्णाचा फरक देखील सायलेंट ऑथेंटिकेशन अपयशास कारणीभूत ठरतो - कंट्रोलर लॉग्समध्ये कोणताही उपयुक्त एरर संदेश न दाखवता Access-Reject दिसते. सिक्रेट नेहमी कॉपी-पेस्ट करा, कधीही मॅन्युअली टाईप करू नका. तिसरे: VLAN ट्रंकचे चुकीचे कॉन्फिगरेशन. RADIUS द्वारे डायनॅमिक VLAN असाइनमेंट केवळ तेव्हाच कार्य करते जेव्हा VLAN ऍक्सेस पॉइंट आणि ऍग्रिगेशन स्विचमधील अपलिंक पोर्टवर आधीपासूनच ट्रंक केलेले असते. जर स्विच इंटरफेसवरील ट्रंक अलो-पास सूचीमध्ये VLAN 20 नसेल, तर ऑथेंटिकेट झालेल्या स्टाफ क्लायंट्सना DHCP टाईमआउट मिळेल आणि ऑथेंटिकेशन अयशस्वी झाल्यासारखे वाटेल. RADIUS-असाइन केलेल्या VLAN ची चाचणी घेण्यापूर्वी तुमच्या ट्रंक कॉन्फिगरेशनचे ऑडिट करा. विभाग सहा: जलद प्रश्नोत्तरे. प्रश्न: मी क्लाउड आवृत्ती ऐवजी Huawei च्या ऑन-प्रिमाइसेस iMaster NCE-Campus डिप्लॉयमेंटसह Purple चे इन-बिल्ट RADIUS वापरू शकतो का? होय. Purple चे RADIUS सर्व्हर क्लाउड-होस्ट केलेले आहेत आणि इंटरनेटवर उपलब्ध आहेत. तुमच्या ऑन-प्रिमाइसेस iMaster NCE-Campus कंट्रोलरला Purple च्या RADIUS IP रेंजसाठी आउटबाउंड UDP 1812 आणि 1813 ची आवश्यकता आहे. Purple या IP रेंज डॅशबोर्डमध्ये वेन्यू सेटिंग्ज अंतर्गत प्रकाशित करते. प्रश्न: Huawei PPSK हे WPA3-SAE ला सपोर्ट करते का? AirEngine फर्मवेअर V600R025 नुसार, 6700 आणि 9700 सिरीजवर WPA3-SAE-PPSK सपोर्टेड आहे. PPSK SSID वर WPA3 सक्षम करण्यापूर्वी तुमची फर्मवेअर आवृत्ती तपासा. प्रश्न: Huawei हार्डवेअरवरील गेस्ट WiFi साठी Purple GDPR संमती कशी हाताळते? Purple चे स्प्लॅश पेज ऑथेंटिकेशनच्या वेळी संमती गोळा करते. संमतीची नोंद - ज्यामध्ये टाईमस्टॅम्प, IP ॲड्रेस आणि स्वीकारलेल्या विशिष्ट अटी समाविष्ट आहेत - Purple च्या प्लॅटफॉर्ममध्ये साठवली जाते आणि अनुपालन ऑडिटसाठी एक्सपोर्ट करण्यायोग्य असते. हे वापरलेल्या हार्डवेअर वेंडरचा विचार न करता लागू होते. विभाग सात: सारांश आणि पुढील पावले. संक्षिप्त पुनरावलोकन: अतिथी Captive Portal साठी RADIUS relay द्वारे, कर्मचारी WiFi साठी 802.1X द्वारे आणि multi-tenant VLAN segmentation साठी PPSK द्वारे Huawei AirEngine आणि iMaster NCE-Campus हे Purple सोबत समाकलित होतात. हे कॉन्फिगरेशन iMaster NCE-Campus मध्ये Design, Network Design, Template Management अंतर्गत RADIUS आणि ACL सेटअपसाठी, आणि Provision, Device Configuration, Site Configuration अंतर्गत SSID आणि ऑथेंटिकेशन प्रोफाइल बाइंडिंगसाठी असते. तुमची पुढील पावले: तुमच्या व्हेन्यू डॅशबोर्डवरून Purple RADIUS क्रेडेंशियल्स मिळवा, iMaster NCE-Campus मध्ये RADIUS relay सर्व्हर टेम्पलेट कॉन्फिगर करा, तुमचे Walled Garden ACL तयार करा, Open आणि Portal ऑथेंटिकेशनसह अतिथी SSID तयार करा, आणि प्रत्यक्ष वापर सुरू करण्यापूर्वी नवीन डिव्हाइससह एंड-टू-एंड चाचणी करा. जर तुम्ही multi-tenant आयसोलेशनसाठी PPSK तैनात करत असाल, तर आधी तुमच्या VLAN योजनेचे नियोजन करा - एकही PPSK युझर कॉन्फिगर करण्यापूर्वी प्रत्येक tenant VLAN एंड-टू-एंड ट्रंक केलेला असल्याची खात्री करा. CLI उदाहरणे आणि आर्किटेक्चर आकृत्यांसह संपूर्ण स्टेप-बाय-स्टेप कॉन्फिगरेशन मार्गदर्शकासाठी, Purple वेबसाइटवरील संपूर्ण लिखित मार्गदर्शक वाचा. ऐकल्याबद्दल धन्यवाद.