मुख्य मजकुराकडे जा
मराठी

Cisco WLC आणि Catalyst चे Purple WiFi सह एकत्रीकरण: स्टेप-बाय-स्टेप गेस्ट ॲक्सेस मार्गदर्शिका

या मार्गदर्शिकेत Cisco WLC आणि Catalyst 9800 Wireless चे Purple सोबत स्टेप-बाय-स्टेप एकत्रीकरण सविस्तर स्पष्ट केले आहे, ज्यामध्ये सेंट्रल वेब ऑथेंटिकेशनद्वारे Guest WiFi captive portal रिडायरेक्शन, 802.1X EAP-TLS वापरून सुरक्षित स्टाफ WiFi आणि डायनॅमिक VLAN असाइनमेंटसह Cisco आयडेंटिटी प्री-शेअर्ड की (iPSK) वापरून मल्टी-टेनंट सेगमेंटेशन समाविष्ट आहे. हे हॉस्पिटॅलिटी, रिटेल आणि मोठ्या सार्वजनिक ठिकाणांवर Cisco इन्फ्रास्ट्रक्चर तैनात करणाऱ्या एंटरप्राइझ नेटवर्क आर्किटेक्ट्स आणि IT सुरक्षा संचालकांसाठी लिहिले गेले आहे.

📖 9 मिनिट वाचन📝 2,116 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 9 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
Purple Technical Briefing मध्ये आपले स्वागत आहे. मी तुमचा होस्ट आहे, आणि आज आपण एंटरप्राइझ नेटवर्क आर्किटेक्ट्ससाठी एक निश्चित डिप्लॉयमेंट सिनॅरियो कव्हर करत आहोत: Cisco Wireless LAN Controllers आणि Catalyst 9800 हार्डवेअरला Purple WiFi प्लॅटफॉर्मसह समाकलित (integrate) करणे. जर तुम्ही हॉटेल चेन, रिटेल नेटवर्क किंवा मोठ्या सार्वजनिक ठिकाणांचे IT व्यवस्थापन करत असाल, तर तुम्हाला माहित आहे की बेसिक प्री-शेअर्ड कीजवर अवलंबून राहणे हा एक अस्वीकार्य सुरक्षा धोका आहे. आज, आम्ही तुमचे नेटवर्क विभागण्यासाठी, तुमच्या कर्मचाऱ्यांना सुरक्षित करण्यासाठी आणि तुमच्या गेस्ट WiFi ला डेटा-चालित मालमत्तेत रूपांतरित करण्यासाठी चरण-दर-चरण आर्किटेक्चरची रूपरेषा मांडू. चला आधी संदर्भ स्थापित करूया. एंटरप्राइझ वायरलेस वातावरणाने तीन स्वतंत्र प्रोफाइल्स हाताळणे आवश्यक आहे: गेस्ट्स, स्टाफ, आणि हेडलेस किंवा टेनंट डिव्हाइसेस. तुम्ही त्यांना सारखीच वागणूक देऊ शकत नाही आणि त्यांच्यासाठी तुम्ही वीस वेगवेगळे SSIDs ब्रॉडकास्ट करू शकत नाही. याचे समाधान म्हणजे एकाच Cisco Catalyst 9800 Wireless LAN Controller वर विविध ऑथेंटिकेशन मेकॅनिझमचा वापर करून युनिफाइड हार्डवेअर फूटप्रिंट तयार करणे. आता तांत्रिक आर्किटेक्चरचा सखोल अभ्यास करूया. पहिली पायरी म्हणजे गेस्ट WiFi. येथे मुख्य उद्दिष्ट म्हणजे डेटा कॅप्चरसह लो-फ्रिक्शन ॲक्सेस देणे आहे. आम्ही हे एका ओपन SSID आणि सेंट्रल वेब ऑथेंटिकेशन (CWA) वापरून साध्य करतो. जेव्हा एखादा गेस्ट कनेक्ट होतो, तेव्हा Cisco WLC एक प्री-ऑथेंटिकेशन ॲक्सेस कंट्रोल लिस्ट लागू करते. हे तुमचे वॉर्ड गार्डन आहे. हे सामान्य इंटरनेट ॲक्सेस ब्लॉक करते परंतु Purple च्या डोमेन्स आणि आवश्यक सेवांच्या ट्रॅफिकला परवानगी देते. जेव्हा गेस्ट ब्राउझ करण्याचा प्रयत्न करतो, तेव्हा WLC HTTP विनंती इंटरसेप्ट करते आणि त्यांना Purple Captive Portal स्प्लॅश पेजवर रीडायरेक्ट करते. एकदा त्यांनी ऑथेंटिकेट केले की, कदाचित रजिस्ट्रेशन फॉर्म, सोशल लॉगिन किंवा वन-टाइम कोडद्वारे, Purple हे RADIUS सर्व्हर म्हणून काम करते. हे WLC ला Change of Authorization मेसेज पाठवते, ज्याला CoA म्हणतात. यामुळे क्लायंट एका आयसोलेटेड गेस्ट VLAN वर हलवला जातो आणि इंटरनेट ॲक्सेस मंजूर केला जातो. हा संपूर्ण फ्लो स्वयंचलित आहे आणि प्रत्येक लॉगिन Purple च्या ॲनालिटिक्स प्लॅटफॉर्मवर रेकॉर्ड केले जाते. दुसरी पायरी म्हणजे स्टाफ WiFi. कॉर्पोरेट डिव्हाइसेससाठी, आम्ही 802.1X ऑथेंटिकेशन अनिवार्य करतो. विशेषतः, EAP-TLS, ज्याचा अर्थ एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल ट्रान्सपोर्ट लेयर सिक्युरिटी आहे. ही पद्धत तुमच्या मोबाईल डिव्हाइस मॅनेजमेंट प्लॅटफॉर्म (उदा. Microsoft Intune, Jamf किंवा इतर सोल्यूशन) द्वारे कॉर्पोरेट डिव्हाइसेसवर स्थापित केलेल्या डिजिटल प्रमाणपत्रांचा (certificates) वापर करते. WLC हा ऑथेंटिकेटर म्हणून काम करतो, आणि RADIUS सर्व्हरकडे EAP मेसेजेस पाठवतो. आम्ही प्रमाणपत्रे वापरत असल्यामुळे, चोरीला जाण्यासाठी कोणताही पासवर्ड नसतो. एखादे डिव्हाइस हरवल्यास किंवा कर्मचाऱ्याने नोकरी सोडल्यास, तुम्ही प्रमाणपत्र रद्द करता. जागतिक पासवर्ड न बदलता किंवा इतर कोणालाही त्रास न देता ॲक्सेस त्वरित समाप्त केला जातो. EAP-TLS हे एंटरप्राइझ सुरक्षेसाठी गोल्ड स्टँडर्ड आहे. तिसरा स्तर म्हणजे Multi-Tenant किंवा IoT WiFi. रिटेल मॉलचे भाडेकरू, कोवर्किंग स्पेसचे सदस्य, किंवा 802.1X ला सपोर्ट न करणारे स्मार्ट बिल्डिंग सेन्सर्स याचा विचार करा. यासाठी, आम्ही Cisco Identity PSK, किंवा iPSK तैनात करतो. प्रत्येकजण एकाच SSID शी कनेक्ट होतो, परंतु RADIUS सर्व्हर त्यांच्या MAC ॲड्रेसच्या आधारे प्रत्येक भाडेकरूला एक युनिक पासवर्ड आणि युनिक VLAN वाटप करतो. जेव्हा एखाद्या भाडेकरूचे डिव्हाइस कनेक्ट होते, तेव्हा WLC RADIUS सर्व्हरकडे MAC ऑथेंटिकेशन विनंती पाठवतो. सर्व्हर त्या भाडेकरूसाठी विशिष्ट PSK Cisco AV-Pair ॲट्रिब्यूट म्हणून परत करतो, सोबतच क्लायंटला अचूक VLAN मध्ये डायनॅमिकली नियुक्त करण्यासाठी तीन मानक IETF RADIUS ॲट्रिब्यूट्स पाठवतो. ते ॲट्रिब्यूट्स आहेत: Tunnel-Type, जे VLAN वर सेट केले जाते; Tunnel-Medium-Type, जे 802 वर सेट केले जाते; आणि Tunnel-Private-Group-ID, जे लक्ष्यित VLAN ID वर सेट केले जाते. WLC या ॲट्रिब्यूट्सवर प्रक्रिया करतो आणि डिव्हाइसला योग्य त्या विलग केलेल्या नेटवर्क सेगमेंटमध्ये समाविष्ट करतो. iPSK ग्राहकांसाठीच्या साधेपणासह एंटरप्राइझ सेगमेंटेशन प्रदान करते. आता इम्प्लीमेंटेशन शिफारसी आणि प्रोडक्शन डिप्लॉयमेंट्समध्ये वारंवार आढळणाऱ्या त्रुटींबद्दल चर्चा करूया. गेस्ट डिप्लॉयमेंट्समधील अपयशाचे सर्वात सामान्य कारण म्हणजे वॉल्ड गार्डन ACL आहे. जर पाहुणे कनेक्ट झाले परंतु स्पॅश पेज दिसत नसेल, तर आधी तुमचे DNS कॉन्फिगरेशन तपासा. जर तुमचे प्री-ऑथेंटिकेशन ACL UDP पोर्ट ५३ ब्लॉक करत असेल, तर क्लायंट डोमेन नेम रिझॉल्व्ह करू शकत नाही. ऑपरेटिंग सिस्टम Captive Portal मिनी-ब्राउझर ट्रिगर करणार नाही, आणि पाहुण्यांना 'No Internet' एरर दिसेल. तुमच्या वॉल्ड गार्डन ACL मध्ये नेहमी स्पष्टपणे DNS ट्रॅफिकला परवानगी द्या. ही आम्हाला वारंवार जाणवणारी सर्वात सामान्य सपोर्ट समस्या आहे. दुसरी त्रुटी स्टाफ डिप्लॉयमेंट्समध्ये असते. जर तुम्ही सर्टिफिकेट्स वितरित करण्यासाठी तुमच्याकडे अजून MDM सोल्यूशन नसल्यामुळे EAP-TLS ऐवजी PEAP-MSCHAPv2 डिप्लॉय करण्याचे निवडले, तर तुम्ही तुमच्या क्लायंट डिव्हाइसेसना RADIUS सर्व्हर सर्टिफिकेट स्पष्टपणे व्हॅलिडेट करण्यासाठी कॉन्फिगर केले पाहिजे. याचा अर्थ WiFi प्रोफाइलमध्ये विश्वास ठेवण्यासाठी अचूक सर्टिफिकेट ऑथॉरिटी आणि अपेक्षित सर्व्हरचे नाव निर्दिष्ट करणे होय. जर तुम्ही हे अंतिम युझरवर मॅन्युअली कॉन्फिगर करण्यासाठी सोडले, तर एखादा हॅकर बनावट ॲक्सेस पॉइंट तयार करू शकतो, फसवे सर्टिफिकेट सादर करू शकतो आणि कॉर्पोरेट क्रेडेंशियल्स मिळवू शकतो. हा केवळ सैद्धांतिक हल्ला नाही. हा एक चांगला दस्तऐवजीकरण केलेला वास्तविक जगातील धोका आहे. Windows डिव्हाइसेससाठी ग्रुप पॉलिसीद्वारे आणि macOS व मोबाईल डिव्हाइसेससाठी MDM प्रोफाइल्सद्वारे सर्टिफिकेट व्हॅलिडेशन सक्तीचे करा. तिसरी त्रुटी iPSK डिप्लॉयमेंट्समध्ये आहे. जर एखादा क्लायंट कनेक्ट झाला परंतु त्याला चुकीचे VLAN मिळाले, किंवा तो पूर्णपणे कनेक्ट होण्यास अपयशी ठरला, तर सर्वात संभाव्य कारण म्हणजे Tunnel-Private-Group-ID ॲट्रिब्यूटमध्ये निर्दिष्ट केलेला लक्ष्यित VLAN ID WLC वर अस्तित्वात नसणे हे आहे. RADIUS सर्व्हर क्लायंटला त्यामध्ये नेण्यापूर्वी कंट्रोलरवर VLAN तयार केलेले आणि सक्रिय असणे आवश्यक आहे. RADIUS सर्व्हरकडून ॲट्रिब्यूट्स योग्यरित्या प्राप्त होत आहेत की नाही हे सत्यापित करण्यासाठी WLC वर 'debug radius' कमांड वापरा. आता आम्हाला वारंवार विचारल्या जाणाऱ्या प्रश्नांवर एक जलद प्रश्न आणि उत्तर सत्र घेऊया. प्रश्न पहिला: मी IoT डिव्हाइसेससाठी iPSK ऐवजी MAC Authentication Bypass वापरू शकतो का? तुम्ही करू शकता, पण तुम्ही तसे करू नये. MAC पत्ते प्लेनटेक्स्ट (plaintext) मध्ये ब्रॉडकास्ट केले जातात आणि त्यांना स्पूफ करणे अगदी सोपे आहे. MAC Authentication Bypass केवळ डिव्हाइसची ओळख प्रदान करते, सुरक्षा नाही. iPSK हे हेडलेस डिव्हाइसेससाठी खरी क्रिप्टोग्राफिक सुरक्षा प्रदान करते. जर डिव्हाइस कोणत्याही प्रकारच्या PSK ला सपोर्ट करत असेल, तर iPSK वापरा. प्रश्न दुसरा: Purple हे Cisco Catalyst 9800 IOS-XE कंट्रोलर्सना सपोर्ट करते का? होय. Purple आधुनिक Catalyst 9800 IOS-XE कंट्रोलर्स तसेच जुन्या AireOS WLCs ना पूर्णपणे सपोर्ट करते. RADIUS आणि Change of Authorization इंटिग्रेशन दोन्ही प्लॅटफॉर्मसाठी पूर्णपणे प्रमाणित आहे. प्रश्न तिसरा: मी RADIUS सर्व्हर रिडंडन्सी कशी हाताळू? तुमच्या WLC AAA मेथड लिस्टमध्ये नेहमी प्रायमरी आणि सेकंडरी दोन्ही RADIUS सर्व्हर कॉन्फिगर करा. जर प्रायमरी सर्व्हर कॉन्फिगर केलेल्या टाईमआऊटमध्ये प्रतिसाद देत नसेल, तर WLC आपोआप सेकंडरी सर्व्हरवर फेलओव्हर करेल. Purple याच हेतूसाठी दोन RADIUS सर्व्हर IP पत्ते प्रदान करते. प्रॉडक्शन एन्व्हायरनमेंटमध्ये कधीही एकच RADIUS सर्व्हर तैनात करू नका. प्रश्न चौथा: Purple कोणते RADIUS पोर्ट नंबर वापरते? Purple ऑथेंटिकेशनसाठी UDP पोर्ट 1812 आणि अकाउंटिंगसाठी UDP पोर्ट 1813 वापरते. हे RFC 2865 आणि RFC 2866 मध्ये परिभाषित केल्यानुसार RADIUS साठीचे IANA-नोंदणीकृत मानक पोर्ट आहेत. आजच्या ब्रीफिंगमधील मुख्य मुद्द्यांचा सारांश सांगायचा तर. तुमच्या सध्याच्या वायरलेस आर्किटेक्चरचे ऑडिट करा. जर तुम्ही कर्मचाऱ्यांसाठी शेअर्ड पासवर्ड वापरत असाल, तर 802.1X वर स्थलांतरित होण्याचे नियोजन करा. जर तुम्ही वेगवेगळ्या भाडेकरूंसाठी (tenants) मल्टिपल SSIDs ब्रॉडकास्ट करत असाल, तर Cisco iPSK चा वापर करून त्यांचे एकत्रीकरण करा. जर तुमचे गेस्ट WiFi केवळ डेटा कॅप्चर नसलेले एक ओपन नेटवर्क असेल, तर फर्स्ट-पार्टी डेटा गोळा करण्यासाठी, मार्केटिंगवरील गुंतवणुकीचा परतावा वाढवण्यासाठी आणि GDPR आणि PCI DSS आवश्यकतांचे पालन सुनिश्चित करण्यासाठी ते Purple सोबत इंटिग्रेट करा. Cisco च्या एंटरप्राइझ-ग्रेड इन्फ्रास्ट्रक्चरला Purple च्या क्लाउड ओव्हरलेसोबत जोडून, तुम्ही तुमच्या वेन्यूवर सुरक्षित, विभागलेली आणि इंटेलिजेंट कनेक्टिव्हिटी प्रदान करता. Purple 80,000 पेक्षा जास्त लाईव्ह वेन्यूजवर कार्यरत आहे आणि 2024 मध्ये 440 दशलक्ष लॉगइन्सची नोंद झाली आहे. हे प्लॅटफॉर्म हार्डवेअर-अज्ञेयवादी (hardware-agnostic) आहे, ISO 27001 प्रमाणित आहे आणि एंटरप्राइझ स्केलसाठी तयार केले आहे. तुमची पुढील पायरी स्पष्ट आहे. Purple वेबसाइटवरील संपूर्ण स्टेप-बाय-स्टेप कॉन्फिगरेशन मार्गदर्शकाचे पुनरावलोकन करा, Purple पोर्टलवरून तुमचे RADIUS सर्व्हर क्रेडेंशियल्स मिळवा आणि आजच तुमच्या Cisco WLC सोबत इंटिग्रेशन सुरू करा. तपशीलवार कॉन्फिगरेशन मार्गदर्शक आणि हार्डवेअर-विशिष्ट दस्तऐवजांसाठी, support dot purple dot ai वर Purple सपोर्ट पोर्टलला भेट द्या. हे Purple टेक्निकल ब्रीफिंग ऐकल्याबद्दल धन्यवाद. पुढील वेळेपर्यंत, सुरक्षित राहा.

header_image.png

कार्यकारी सारांश (Executive summary)

एंटरप्राइझ वायरलेस नेटवर्कने विविध वापरकर्ता गटांना एकाच वेळी सेवा देणे आवश्यक आहे: ज्या पाहुण्यांना कोणत्याही अडथळ्याशिवाय इंटरनेट प्रवेश हवा आहे, ज्या कर्मचाऱ्यांना कॉर्पोरेट संसाधनांमध्ये सुरक्षित प्रवेश हवा आहे, आणि हेडलेस किंवा भाडेकरू डिव्हाइसेस ज्यांना एकमेकांपासून विलग ठेवणे आवश्यक आहे. यापैकी कोणत्याही गटासाठी एका सामायिक प्री-शेअर्ड की (Pre-Shared Key) वर अवलंबून राहणे ही सुरक्षिततेची मोठी त्रुटी आहे. केवळ एक क्रेडेंशियल लीक झाल्यास संपूर्ण विभाग असुरक्षित होतो, आणि प्रवेश रद्द करण्यासाठी जागतिक पासवर्ड बदलावा लागतो ज्यामुळे नेटवर्कवरील प्रत्येक डिव्हाइसमध्ये व्यत्यय येतो.

हे मार्गदर्शक Cisco Wireless LAN Controllers (WLC) आणि Catalyst 9800 मालिका हार्डवेअरचे Purple च्या क्लाउड ओव्हरलेसह एकत्रीकरण सविस्तरपणे स्पष्ट करते. आम्ही तीन वेगवेगळ्या ऑथेंटिकेशन स्तरांसाठी चरण-दर-चरण कॉन्फिगरेशन प्रदान करतो: Purple द्वारे समर्थित Captive Portal रिडायरेक्शनसह एक मुक्त Guest WiFi नेटवर्क, 802.1X EAP-TLS प्रमाणपत्र ऑथेंटिकेशन वापरणारे सुरक्षित स्टाफ WiFi नेटवर्क, आणि डायनॅमिक VLAN असाइनमेंटसह Cisco आयडेंटिटी प्री-शेअर्ड की (iPSK) वापरणारे मल्टी-भाडेकरू WiFi वातावरण. हे आर्किटेक्चर लागू करून, आपण कॉर्पोरेट संसाधने पाहुण्यांच्या रहदारीपासून सुरक्षितपणे वेगळी करू शकता, ओळख-आधारित प्रवेश नियंत्रण स्वयंचलित करू शकता आणि Purple च्या WiFi Analytics प्लॅटफॉर्मद्वारे फर्स्ट-पार्टी डेटा गोळा करू शकता. Purple 80,000+ पेक्षा जास्त थेट कार्यरत ठिकाणांवर काम करते आणि 2024 मध्ये 440 दशलक्ष लॉगइन्सची नोंद केली आहे (Purple अंतर्गत डेटा), ज्यामुळे ते मोठ्या प्रमाणावर Cisco पायाभूत सुविधांसाठी एक सिद्ध क्लाउड ओव्हरले बनते.

तांत्रिक सखोल विश्लेषण: त्रि-स्तरीय आर्किटेक्चर (Three-tier architecture)

Cisco हार्डवेअरवरील आधुनिक एंटरप्राइझ वायरलेस उपयोजनाने विविध सुरक्षा आणि प्रवेश आवश्यकता असलेल्या वेगवेगळ्या वापरकर्ता प्रोफाइल्सना सेवा देणे आवश्यक आहे. Cisco WLC आणि Purple मधील एकत्रीकरण एकाच Catalyst 9800 कंट्रोलरवरून व्यवस्थापित केलेल्या भिन्न ऑथेंटिकेशन प्रणालींद्वारे या प्रोफाइल्सना सेवा देण्यासाठी एकात्मिक हार्डवेअर फूटप्रिंट सक्षम करते.

architecture_overview.png

स्तर १: Guest WiFi - सेंट्रल वेब ऑथेंटिकेशन (CWA)

Hospitality आणि Retail वातावरणातील अभ्यागतांसाठी, मुख्य उद्दिष्ट म्हणजे सुलभ ऑनबोर्डिंग आणि नियमांनुसार डेटा मिळवणे हे आहे. हे ओपन SSID आणि सेंट्रल वेब ऑथेंटिकेशन (CWA) च्या संयोजनाद्वारे साध्य केले जाते. जेव्हा एखादा अतिथी कनेक्ट होतो, तेव्हा Cisco WLC पूर्व-ऑथेंटिकेशन ॲक्सेस कंट्रोल लिस्ट (ACL) - वॉल्ड गार्डन लागू करते. ही ACL सामान्य इंटरनेट रहदारीला ब्लॉक करते आणि Purple च्या Captive Portal डोमेन, DNS आणि सोशल लॉगइन एंडपॉइंट्सच्या रहदारीला परवानगी देते. जेव्हा अतिथी ब्राउझ करण्याचा प्रयत्न करतो, तेव्हा WLC HTTP विनंती अडवतो आणि Purple स्प्लॅश पेजवर रीडायरेक्ट करतो. अतिथी त्यांच्या निवडलेल्या पद्धतीने (सोशल लॉगिन, ईमेल नोंदणी किंवा व्हाउचर कोड) प्रमाणीकरण करतो. त्यानंतर Purple हे RADIUS सर्व्हर म्हणून कार्य करते आणि WLC ला RADIUS चेंज ऑफ ऑथरायझेशन (CoA) संदेश परत पाठवते. CoA हे WLC ला क्लायंटला प्री-ऑथेंटिकेशन स्टेटमधून आयसोलेटेड गेस्ट VLAN वरील पोस्ट-ऑथेंटिकेशन स्टेटमध्ये हलवण्याचे निर्देश देते, ज्यामुळे इंटरनेट प्रवेश मिळतो. प्रत्येक लॉगिन Purple च्या ॲनालिटिक्स प्लॅटफॉर्मवर नोंदवले जाते, जे GDPR आणि CCPA च्या अनुपालनात फर्स्ट-पार्टी डेटा गोळा करते.

Tier 2: Staff WiFi - 802.1X EAP-TLS

कॉर्पोरेट डिव्हाइसेसना सर्वोच्च पातळीवरील सुरक्षेची आवश्यकता असते. IEEE 802.1X हे पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल (PNAC) परिभाषित करते आणि जेव्हा ते EAP-TLS (एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल - ट्रान्सपोर्ट लेयर सिक्युरिटी) सह जोडले जाते, तेव्हा ते सर्टिफिकेट-आधारित प्रमाणीकरण प्रदान करते ज्यामुळे पासवर्डची गरज पूर्णपणे संपुष्टात येते. डिजिटल सर्टिफिकेट्स कॉर्पोरेट डिव्हाइसेसवर मोबाईल डिव्हाइस मॅनेजमेंट (MDM) - Microsoft Intune, Jamf किंवा समतुल्य - द्वारे तैनात केले जातात. Cisco WLC हे ऑथेंटिकेटर म्हणून काम करते, जे सप्लिकंट (डिव्हाइस) आणि RADIUS सर्व्हर दरम्यान EAP संदेश पाठवते. RADIUS सर्व्हर सर्टिफिकेट प्रमाणित करतो आणि पर्यायी VLAN असाइनमेंट वैशिष्ट्यांसह Access-Accept परत पाठवतो.

प्रमाणीकरण पासवर्डऐवजी सर्टिफिकेट्सवर अवलंबून असल्याने, चोरीला जाण्यासारखे कोणतेही क्रेडेंशियल्स नसतात. एखादे डिव्हाइस हरवल्यास किंवा कर्मचाऱ्याने नोकरी सोडल्यास, तुम्ही सर्टिफिकेट रद्द करता. इतर कोणत्याही वापरकर्त्याला अडथळा न आणता प्रवेश त्वरित समाप्त होतो. WPA3 आणि झिरो ट्रस्टसह कॉर्पोरेट सुरक्षा मानकांच्या सर्वसमावेशक माहितीसाठी, आमचे Enterprise WiFi Security: A Complete Guide for 2026 हे मार्गदर्शक पहा.

Tier 3: Multi-Tenant WiFi - Cisco iPSK आणि डायनॅमिक VLAN असाइनमेंट

विद्यार्थी वसतिगृहे, को-वर्किंग स्पेस किंवा रिटेल मॉल्स सारख्या वातावरणात, तुम्हाला डझनभर SSIDs ब्रॉडकास्ट न करता वेगवेगळ्या भाडेकरूंसाठी खाजगी, विभागलेले नेटवर्क्स हवे असतात. Cisco आयडेंटिटी PSK (iPSK) यावर उपाय शोधते. सर्व भाडेकरू एकाच SSID शी कनेक्ट होतात. WLC प्रत्येक कनेक्ट होणाऱ्या डिव्हाइससाठी RADIUS सर्व्हरला MAC प्रमाणीकरण विनंती पाठवते. RADIUS सर्व्हर त्या भाडेकरूसाठी विशिष्ट PSK ला cisco-av-pair गुणधर्म म्हणून परत करतो, सोबतच क्लायंटला अचूक VLAN मध्ये डायनॅमिकली नियुक्त करण्यासाठी मानक IETF RADIUS गुणधर्म पाठवतो.

ipsk_vlan_diagram.png

डायनॅमिक VLAN असाइनमेंट चालवणारे तीन IETF RADIUS गुणधर्म खालीलप्रमाणे आहेत:

RADIUS Attribute ID Value
Tunnel-Type 64 VLAN
Tunnel-Medium-Type 65 802
Tunnel-Private-Group-ID 81 Target VLAN ID (उदा. 31)

RFC 2868 मध्ये परिभाषित केल्याप्रमाणे, Tunnel-Private-Group-ID हे स्ट्रिंग म्हणून एन्कोड केले जाते. असाइनमेंट यशस्वी होण्यासाठी VLAN ID हा WLC वर असणे आवश्यक आहे.

अंमलबजावणी मार्गदर्शक: Cisco Catalyst 9800 WLC कॉन्फिगरेशन

Cisco Catalyst 9800 WLC (जे IOS-XE वर कार्यरत आहे) ला Guest WiFi रिडायरेक्शनसाठी Purple सोबत समाकलित करण्याच्या चरणांचा तपशील खालीलप्रमाणे आहे. जुन्या पद्धतीच्या AireOS WLC उपयोजनांसाठी (deployments), समतुल्य सेटिंग्ज Purple सपोर्ट पोर्टलवर उपलब्ध आहेत.

पायरी 1: RADIUS ऑथेंटिकेशन आणि अकाउंटिंग कॉन्फिगर करा

गेस्ट ऑथेंटिकेशन आणि सेशन अकाउंटिंग हाताळण्यासाठी तुम्ही WLC ला Purple च्या RADIUS सर्व्हरशी जोडणे आवश्यक आहे.

  1. Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add वर जा.
  2. प्रायमरी Purple RADIUS सर्व्हरचा IP ॲड्रेस प्रविष्ट करा, auth-port ला 1812, acct-port ला 1813 वर सेट करा आणि Purple पोर्टलवरील शेअर्ड सिक्रेट (shared secret) प्रविष्ट करा.
  3. Support for CoA सक्षम करा - Captive Portal रिडायरेक्शनसाठी हे अनिवार्य आहे.
  4. दुय्यम (secondary) Purple RADIUS सर्व्हरसाठी हीच प्रक्रिया पुन्हा करा.
  5. RADIUS > Server Groups > + Add वर जा आणि दोन्ही सर्व्हर्स समाविष्ट असलेला एक ग्रुप तयार करा.
  6. AAA Method List > Authorization > + Add वर जा, Type ला network वर सेट करा आणि त्याला RADIUS सर्व्हर ग्रुपशी जोडा.
  7. AAA Method List > Accounting > + Add वर जा, Type ला identity वर सेट करा आणि त्याला त्याच ग्रुपशी जोडा.

IOS-XE वरील समतुल्य CLI कमांड्स खालीलप्रमाणे आहेत:

radius server Purple-Primary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
radius server Purple-Secondary
 address ipv4  auth-port 1812 acct-port 1813
 key 0 
!
aaa group server radius Purple-RADIUS-Group
 server name Purple-Primary
 server name Purple-Secondary
!
aaa authorization network Purple-Authz group Purple-RADIUS-Group
aaa accounting identity Purple-Acct start-stop group Purple-RADIUS-Group

पायरी 2: प्री-ऑथेंटिकेशन ACL (walled garden) परिभाषित करा

प्री-ऑथेंटिकेशन ACL वापरकर्त्याचे ऑथेंटिकेशन होण्यापूर्वी Purple च्या स्प्लॅश पेज आणि आवश्यक सेवांवरील ट्रॅफिकला अनुमती देते. यालाच walled garden म्हणतात.

  1. Configuration > Security > ACL > + Add वर जा.
  2. Purple_Guest_Walled_Garden नावाचे IPv4 Extended ACL तयार करा.
  3. WLC मॅनेजमेंट IP आणि RADIUS सर्व्हर IPs वरील ट्रॅफिक deny (नकार देणारे) करण्यासाठीचे नियम जोडा.
  4. तुमच्या DNS सर्व्हर्सवर DNS (UDP पोर्ट 53) ला permit (अनुमती देणारे) नियम जोडा.
  5. Purple च्या walled garden IP रेंज आणि डोमेन्सवरील ट्रॅफिकला permit करणारे नियम जोडा (तुमच्या विशिष्ट हार्डवेअर प्रकारासाठी Purple सपोर्ट पोर्टलवरून सध्याची सूची मिळवा).
  6. एक अंतिम permit ip any any नियम जोडा - WLC अनुमती दिलेल्या ट्रॅफिकला पोर्टल प्रोसेसिंगसाठी CPU कडे रिडायरेक्ट करेल.

पायरी 3: गेस्ट WLAN कॉन्फिगर करा

  1. Configuration > Tags & Profiles > WLANs > + Add वर जा.
  2. तुमच्या पसंतीच्या SSID सह Guest-WiFi नावाचे WLAN तयार करा.
  3. Security > Layer 2 अंतर्गत, सुरक्षा None (Open) वर सेट करा.
  4. Security > Layer 3 अंतर्गत, Web Policy सक्षम करा आणि Web Auth प्रकार External वर सेट करा.
  5. रिडायरेक्ट फील्डमध्ये तुमचा Purple ॲक्सेस URL प्रविष्ट करा.
  6. Purple_Guest_Walled_Garden ACL लागू करा.
  7. Security > AAA Servers अंतर्गत, ऑथेंटिकेशन आणि अकाउंटिंग या दोन्हीसाठी Purple RADIUS सर्व्हर्स नियुक्त करा.

पायरी 4: Policy Profile कॉन्फिगर करा

  1. Configuration > Tags & Profiles > Policy > + Add वर जा.
  2. Access Policies अंतर्गत, VLAN 20 (किंवा आपला नियुक्त गेस्ट VLAN) असाइन करा.
  3. Advanced अंतर्गत, Allow AAA Override आणि NAC State सक्षम करा.
  4. Purple अकाउन्टिंग मेथड लिस्ट असाइन करा.

याचा CLI पर्याय:

wireless profile policy Guest-Policy
 aaa-override
 nac
 vlan 20
 accounting-list Purple-Acct
 no shutdown
!
wireless tag policy Guest-Policy-Tag
 wlan Guest-WiFi policy Guest-Policy

पायरी 5: मल्टी-टेनंट किंवा IoT डिप्लॉयमेंटसाठी iPSK कॉन्फिगर करा

iPSK साठी, WLAN कॉन्फिगरेशन हे गेस्ट सेटअपपेक्षा वेगळे असते. WLAN हे MAC फिल्टरिंग सक्षम करून WPA2-PSK वापरते, आणि RADIUS सर्व्हरकडून प्रति-क्लायंट PSK आणि VLAN स्वीकारण्यासाठी Policy Profile चे AAA Override सक्रिय असते.

wlan Tenant-WiFi 2 Tenant-WiFi
 mac-filtering Purple-Authz
 security wpa psk set-key ascii 0 DefaultKey123
 no security wpa akm dot1x
 security wpa akm psk
 peer-blocking allow-private-group
 no shutdown
!
wireless profile policy Tenant-Policy
 aaa-override
 accounting-list Purple-Acct
 vlan 30
 no shutdown

RADIUS सर्व्हर (Purple किंवा आपल्या RADIUS प्लॅटफॉर्ममध्ये कॉन्फिगर केलेला) प्रत्येक भाडेकरू (tenant) ग्रुपसाठी खालील ॲट्रिब्युट्स रिटर्न करतो:

cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=
Tunnel-Type = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID =

सर्वोत्तम पद्धती (Best practices)

प्रस्थापित मानकांचे पालन केल्याने आपल्या डिप्लॉयमेंटमध्ये स्थिरता, सुरक्षा आणि नियामक अनुपालन सुनिश्चित होते.

कडक प्रमाणपत्र प्रमाणीकरण (certificate validation) लागू करा. 802.1X डिप्लॉय करताना, आपल्या RADIUS सर्व्हरच्या सर्टिफिकेट ऑथॉरिटीवर स्पष्टपणे विश्वास ठेवण्यासाठी आणि अपेक्षित सर्व्हरचे नाव निर्दिष्ट करण्यासाठी MDM द्वारे क्लायंट डिव्हाइसेस कॉन्फिगर करा. हे लागू न केल्यास क्लायंट रोग ॲक्सेस पॉइंट (rogue access point) हल्ल्यांना बळी पडू शकतात, जेथे आक्रमणकर्ता क्रेडेंशियल चोरण्यासाठी बनावट प्रमाणपत्र सादर करतो. ही एक कडक आवश्यकता आहे, केवळ शिफारस नाही.

नेटवर्क लेयरवर गेस्ट ट्रॅफिक वेगळे करा. गेस्ट WiFi चे टर्मिनल एका समर्पित VLAN वर असले पाहिजे जे सर्व कॉर्पोरेट संसाधनांपासून फायरवॉलद्वारे सुरक्षित असेल. PCI DSS 4.0 नुसार कार्डधारक डेटा वातावरण सार्वजनिक नेटवर्कपासून वेगळे असणे आवश्यक आहे. VLAN 20 वरील गेस्ट युझरला VLAN 10 वरील कॉर्पोरेट नेटवर्कचा कोणताही मार्ग (route) मिळता कामा नये.

IoT डिव्हाइसेससाठी iPSK वापरा, MAC Authentication Bypass नाही. MAC ॲड्रेस हे प्लेनटेक्स्टमध्ये ब्रॉडकास्ट केले जातात आणि ते स्पूफ (spoof) करणे सोपे असते. iPSK हे हेडलेस डिव्हाइसेससाठी क्रिप्टोग्राफिक सुरक्षा प्रदान करते. डिस्प्ले आणि IoT डिव्हाइसेस वायरलेस प्रोटोकॉलशी कसे संवाद साधतात याच्या मार्गदर्शनासाठी, What Is Wireless Display: Protocols & Best Practices 2026 पहा.

वापराच्या स्पष्ट अटी (terms of use) निश्चित करा. आपल्या Captive Portal ने प्रवेश देण्यापूर्वी वापराच्या अटींचा करार सादर करणे आवश्यक आहे. डेटा गोळा करण्यासाठी ही एक GDPR आवश्यकता आहे आणि नेटवर्क वापर धोरणांसाठी कायदेशीर गरज आहे. अंतर्गत कर्मचारी नेटवर्कसाठी, Staff WiFi Terms and Conditions: Legal and Compliance Essentials चा सल्ला घ्या. RADIUS रिडंडंसी लागू करा. नेहमी प्रायमरी आणि सेकंडरी RADIUS सर्व्हर कॉन्फिगर करा. Purple या उद्देशासाठी दोन सर्व्हर आयपी (IP) पत्ते प्रदान करते. एक जरी RADIUS सर्व्हर निकामी झाला, तरी सर्व गेस्ट लॉगिन थांबतील.

ट्रबलशूटिंग आणि जोखीम निवारण

काळजीपूर्वक कॉन्फिगरेशन केल्यानंतरही, इंटिग्रेशनच्या समस्या उद्भवू शकतात. समस्येचे निवारण पुढील स्तरावर नेण्यापूर्वी अत्यंत सामान्य त्रुटींचे पद्धतशीरपणे निवारण करा.

समस्या: गेस्ट कनेक्ट होतात परंतु स्प्लॅश पेज दिसत नाही.

ही सर्वात सामान्य समस्या आहे. प्री-ऑथेंटिकेशन ACL हे DNS ब्लॉक करत असते. DNS शिवाय, क्लायंट सुरुवातीच्या HTTP विनंतीचे (request) निवारण करू शकत नाही आणि ऑपरेटिंग सिस्टम Captive Portal मिनी-ब्राउझर ट्रिगर करणार नाही. वॉल गार्डन ACL मध्ये तुमच्या DNS सर्व्हर्ससाठी UDP पोर्ट ५३ ला परवानगी दिली आहे याची खात्री करा. WLC वर, क्लायंट Run ऐवजी Webauth Pending स्थितीत असल्याची खात्री करण्यासाठी show wireless client summary रन करा.

समस्या: iPSK क्लायंट कनेक्ट होण्यात अयशस्वी होतात किंवा चुकीच्या VLAN वर जातात.

Tunnel-Private-Group-ID मध्ये नमूद केलेले VLAN हे WLC वर अस्तित्वात नाही, किंवा cisco-av-pair ॲट्रिब्युट्समध्ये त्रुटी आहे. मूळ RADIUS प्रतिसाद तपासण्यासाठी WLC वर debug radius all रन करा. Configuration > Layer 2 > VLAN > VLAN List अंतर्गत VLAN ID तयार केला असल्याची खात्री करा.

समस्या: 802.1X कर्मचारी क्लायंट्स वेळोवेळी ऑथेंटिकेट होण्यास अयशस्वी ठरतात.

हे सहसा RADIUS सर्व्हर टाइमआउट किंवा क्लायंटवरील सर्टिफिकेट ट्रस्टच्या समस्येमुळे होते. Access-Reject मेसेजेससाठी RADIUS सर्व्हर लॉग्स तपासा. Windows क्लायंटवर, WiFi प्रोफाइल सर्व्हर सर्टिफिकेटचे प्रमाणीकरण करण्यासाठी कॉन्फिगर केले आहे आणि योग्य विश्वसनीय CA नमूद केला आहे याची खात्री करा.

समस्या: Purple कडून येणाऱ्या CoA वर WLC द्वारे प्रक्रिया केली जात नाही.

CoA शेअर्ड सिक्रेट हे WLC वर कॉन्फिगर केलेल्या RADIUS शेअर्ड सिक्रेटशी जुळले पाहिजे. IOS-XE १७.४ आणि त्यानंतरच्या आवृत्त्यांवर, CoA की ही शेअर्ड सिक्रेटपेक्षा स्वतंत्रपणे कॉन्फिगर केली जाते. दोन्ही की Purple पोर्टल मधील मूल्यांशी जुळत असल्याची खात्री करा.

ROI आणि व्यावसायिक प्रभाव

मूलभूत PSK नेटवर्कवरून Purple च्या सहाय्याने एका सुव्यवस्थित, ओळख-आधारित (identity-based) आर्किटेक्चरवर स्थलांतरित केल्याने Hospitality , Retail , Healthcare , आणि Transport या क्षेत्रांमध्ये मोजण्यायोग्य व्यावसायिक परिणाम मिळतात.

पहिले म्हणजे, हे आर्किटेक्चर सामायिक पासवर्ड व्यवस्थापित करण्याचा ऑपरेशनल खर्च काढून टाकते. जेव्हा कर्मचारी नोकरी सोडतात, तेव्हा तुम्ही त्यांचे सर्टिफिकेट रद्द करता. तुम्हाला जागतिक पासवर्ड बदलण्याची आणि इस्टेटवरील प्रत्येक डिव्हाइस अपडेट करण्याची आवश्यकता नसते. दुसरे म्हणजे, Purple च्या Captive Portal सह इंटिग्रेशन हे IT खर्च केंद्राला महसूल मिळवून देणाऱ्या माध्यमात बदलते. Purple चे प्लॅटफॉर्म प्रत्येक लॉगिनवर सुसंगत फर्स्ट-पार्टी डेटा गोळा करते, ज्यामुळे स्वयंचलित विपणन (marketing) मोहिमा आणि अभ्यागत विश्लेषण (visitor analytics) सक्षम होते. Purple नेटवर्कवर गोळा केलेल्या २९ अब्ज डेटा पॉइंट्सच्या सहाय्याने (Purple अंतर्गत डेटा), हे प्लॅटफॉर्म अभ्यागतांचे वर्तन, थांबण्याचा वेळ (dwell time) आणि परत येण्याचा दर याविषयी महत्त्वपूर्ण अंतर्दृष्टी प्रदान करते.व्हिजिटरच्या समाधानाचा स्तर समजून घेण्यासाठी सर्वेक्षण चालवणाऱ्या व्हेन्यू ऑपरेटरसाठी, Purple प्लॅटफॉर्म थेट रिसर्च वर्कफ्लोसह समाकलित होतो. Captive Portal द्वारे वितरित केलेली प्रभावी व्हेन्यू सर्वेक्षणे तयार करण्याच्या मार्गदर्शनासाठी Design of a Survey: A Practical Guide for Venues पहा.

Cisco च्या एंटरप्राइझ-ग्रेड हार्डवेअरला Purple च्या क्लाउड ओव्हरलेसह समाकलित करून, तुम्ही एक सुरक्षित, स्केलेबल नेटवर्क प्राप्त करता जे व्हेन्यूच्या व्यावसायिक उद्दिष्टांमध्ये सक्रियपणे योगदान देते. Purple हे ISO 27001 प्रमाणित, GDPR आणि CCPA चे पालन करणारे, Cyber Essentials प्रमाणित आणि B Corp प्रमाणित आहे - जे एंटरप्राइझ खरेदी टीमच्या अनुपालन आवश्यकतांची पूर्तता करते.

महत्वाच्या व्याख्या

RADIUS

Remote Authentication Dial-In User Service. एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क ॲक्सेससाठी केंद्रीकृत Authentication, Authorization, आणि Accounting (AAA) व्यवस्थापन प्रदान करतो. RFC 2865 आणि RFC 2866 मध्ये परिभाषित.

IT टीम्स क्लायंटची क्रेडेन्शियल्स RADIUS सर्व्हरकडे फॉरवर्ड करण्यासाठी Cisco WLC कॉन्फिगर करतात, जो डिरेक्टरीमध्ये त्यांची तपासणी करतो आणि पॉलिसी ॲट्रिब्युट्ससह Access-Accept किंवा Access-Reject प्रतिसाद देतो.

Captive Portal

एक वेब पेज जे सार्वजनिक-ॲक्सेस नेटवर्कच्या वापरकर्त्याने इंटरनेट ॲक्सेस मिळण्यापूर्वी पाहणे आणि त्यावर संवाद साधणे आवश्यक आहे. नेटवर्क ॲक्सेस डिव्हाइसद्वारे HTTP रिडायरेक्शनच्या माध्यमातून अमलात आणले जाते.

इंटरनेट ॲक्सेस देण्यापूर्वी अभ्यागतांचा डेटा कॅप्चर करण्यासाठी, वापराच्या अटी सादर करण्यासाठी किंवा ब्रँडेड सामग्री प्रदर्शित करण्यासाठी Guest WiFi डिप्लॉयमेंट्समध्ये वापरला जातो. Purple होस्टेड Captive Portal इन्फ्रास्ट्रक्चर प्रदान करते.

iPSK (Identity Pre-Shared Key)

एक Cisco वैशिष्ट्य जे एकाच SSID वरील वेगवेगळ्या वापरकर्त्यांना किंवा डिव्हाइस ग्रुप्सना युनिक Pre-Shared Keys नियुक्त करण्याची अनुमती देते, ज्यामध्ये PSK RADIUS सर्व्हरद्वारे प्रति-क्लायंट वितरित केला जातो.

IoT डिव्हाइसेस किंवा मल्टी-टेनंट वातावरणासाठी अत्यंत आवश्यक जेथे 802.1X व्यवहार्य नाही परंतु नेटवर्क सेगमेंटेशन आवश्यक आहे. एकापेक्षा जास्त SSIDs ब्रॉडकास्ट करण्याची आवश्यकता काढून टाकते.

IEEE 802.1X

पोर्ट-आधारित Network Access Control (PNAC) साठीचा एक IEEE मानक. हा एक ऑथेंटिकेशन मेकॅनिझम प्रदान करतो जो RADIUS सर्व्हरने ऑथरायझेशनची पुष्टी करेपर्यंत डिव्हाइसवरील सर्व डेटा ट्रॅफिक ब्लॉक करतो.

एंटरप्राइझ Staff WiFi चा पाया, जो केवळ वैध क्रेडेन्शियल्स किंवा सर्टिफिकेट्स असलेल्या अधिकृत कॉर्पोरेट डिव्हाइसेसना अंतर्गत रिसोर्सेसमध्ये ॲक्सेस मिळण्याची खात्री देतो.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. एक सर्टिफिकेट-आधारित ऑथेंटिकेशन पद्धत ज्यासाठी RADIUS सर्व्हर आणि क्लायंट डिव्हाइस दोन्हीवर डिजिटल सर्टिफिकेट्स असणे आवश्यक असते, ज्यामुळे पासवर्डची गरज पूर्णपणे संपुष्टात येते.

कॉर्पोरेट डिव्हाइसेस ऑथेंटिकेट करण्याची सर्वात सुरक्षित पद्धत. MDM द्वारे सर्टिफिकेट्स डिप्लॉय केले जातात. शेअर केलेला पासवर्ड बदलून नाही, तर सर्टिफिकेट अवैध करून ॲक्सेस रद्द केला जातो.

Walled garden

एक मर्यादित नेटवर्क वातावरण जे वापरकर्त्याने पूर्णपणे ऑथेंटिकेट करण्यापूर्वी त्याच्या वेब सामग्रीच्या ॲक्सेसवर नियंत्रण ठेवते. WLC वर प्री-ऑथेंटिकेशन ACL म्हणून अमलात आणले जाते.

पाहुण्याला पूर्ण इंटरनेट ॲक्सेस देण्यापूर्वी Purple splash page, DNS, आणि सोशल लॉगिन प्रोव्हाइडर्सना ॲक्सेस देण्याकरिता Cisco WLC वर कॉन्फिगर केले जाते.

Dynamic VLAN assignment

ऑथेंटिकेशनच्या वेळी परत मिळालेल्या RADIUS ऑथरायझेशन ॲट्रिब्युट्सवर आधारित विशिष्ट Virtual LAN वर कनेक्ट केलेले डिव्हाइस स्वयंचलितपणे ठेवण्याची प्रक्रिया.

प्रत्येक डिव्हाइससाठी मॅन्युअल कॉन्फिगरेशन न करता, कनेक्शन झाल्यावर स्टाफ, पाहुणे आणि IoT डिव्हाइसेस आपोआप स्वतंत्र नेटवर्क सेगमेंट्समध्ये ठेवले जातील याची खात्री करते.

Change of Authorization (CoA)

एक RADIUS एक्स्टेंशन (RFC 5176) जे RADIUS सर्व्हरला आधीच कनेक्ट केलेल्या क्लायंटचे सेशन ऑथरायझेशन ॲट्रिब्युट्स डायनॅमिकपणे मॉडिफाय करण्याची अनुमती देते.

Captive Portals साठी आवश्यक. पाहुण्याने Purple splash page वर ऑथेंटिकेट केल्यानंतर, क्लायंटला प्री-ऑथेंटिकेशन walled garden स्टेटमधून पूर्ण इंटरनेट ॲक्सेसमध्ये ट्रान्झिशन करण्यासाठी Purple द्वारे WLC ला CoA मेसेज पाठवला जातो.

Central Web Authentication (CWA)

एक Cisco ऑथेंटिकेशन पद्धत जिथे RADIUS सर्व्हर (WLC ऐवजी) वेब ऑथेंटिकेशन पोर्टल होस्ट करतो किंवा त्यावर रिडायरेक्ट करतो, ज्यामुळे क्लाउड-होस्टेड Captive Portal सोल्यूशन्स सक्षम होतात.

Cisco WLC ला Purple च्या क्लाउड-होस्टेड Captive Portal सोबत इंटिग्रेट करण्यासाठी वापरले जाते, ज्यामुळे Purple ला गेस्ट ऑथेंटिकेशन अनुभव आणि डेटा कॅप्चर व्यवस्थापित करण्याची अनुमती मिळते.

सोडवलेली उदाहरणे

एका मोठ्या शॉपिंग सेंटरला एकाच Cisco Catalyst 9800 WLC आणि एकाच ब्रॉडकास्ट SSID चा वापर करून ५० रिटेल भाडेकरूंना सुरक्षित, खाजगी WiFi प्रदान करायचे आहे. प्रत्येक भाडेकरू इतर सर्व भाडेकरूंच्या डिव्हाइसेसपासून वेगळा असला पाहिजे. ५० स्वतंत्र SSIDs ब्रॉडकास्ट न करता ते हे कसे साध्य करू शकतात?

IT टीम Cisco iPSK तैनात करते. ते WPA2-PSK आणि MAC फिल्टरिंग सुरू असलेले 'Mall-Tenant-WiFi' नावाचे एकच SSID कॉन्फिगर करतात. RADIUS सर्व्हरमध्ये, ते प्रत्येक भाडेकरूसाठी एक, अशा ५० एंडपॉईंट आयडेंटिटी ग्रुप्स तयार करतात. प्रत्येक ग्रुपला cisco-av-pair psk= ॲट्रिब्यूटद्वारे एक युनिक PSK आणि IETF Tunnel-Private-Group-ID ॲट्रिब्यूटद्वारे एक युनिक VLAN ID नियुक्त केला जातो. जेव्हा एखाद्या रिटेल भाडेकरूचे पॉईंट-ऑफ-सेल डिव्हाइस त्यांच्या विशिष्ट पासवर्डचा वापर करून कनेक्ट होते, तेव्हा WLC RADIUS सर्व्हरला MAC ऑथेंटिकेशन रिक्वेस्ट पाठवते. सर्व्हर त्या MAC ॲड्रेसची भाडेकरूच्या ग्रुपशी पडताळणी करतो आणि PSK आणि VLAN असाइनमेंट परत करतो. WLC ॲट्रिब्यूट्सवर प्रक्रिया करते, PSK सत्यापित करते आणि डिव्हाइसला भाडेकरूच्या वेगळ्या VLAN वर ठेवते. peer-blocking allow-private-group सेटिंग हे सुनिश्चित करते की एकाच PSK मधील डिव्हाइसेस एकमेकांशी संवाद साधू शकतात, तर वेगवेगळ्या PSK वरील डिव्हाइसेसमधील संवादाला ब्लॉक केले जाते.

परीक्षकाचे भाष्य: हा दृष्टिकोन कार्यक्षमतेने स्केल होतो. ५० स्वतंत्र SSIDs ब्रॉडकास्ट केल्याने दाट वातावरणात गंभीर को-चॅनल हस्तक्षेप होईल आणि प्रत्येक वापरकर्त्याची कामगिरी खालावेल. प्रत्येक अतिरिक्त SSID व्यवस्थापन फ्रेमसह एअरटाइम वापरतो. iPSK एका नेटवर्कच्या RF कार्यक्षमतेसह ५० स्वतंत्र नेटवर्कची सुरक्षा आणि सेगमेंटेशन प्रदान करते. यातील तडजोड एवढीच आहे की RADIUS सर्व्हर अत्यंत महत्त्वाचा अवलंबित्व बनतो - तो नेहमी उपलब्ध (highly available) असल्याची खात्री करा.

एक ३०० खोल्यांची Premier Inn प्रॉपर्टी स्थानिक WLC गेस्ट अकाउंट्सवरून Purple च्या क्लाउड captive portal वर स्थलांतरित होत आहे. कॉन्फिगरेशन लागू केल्यावर, अतिथी सांगतात की ते WiFi SSID शी कनेक्ट होतात, त्यांना IP ॲड्रेस मिळतो, परंतु त्यांच्या डिव्हाइसेसवर 'No Internet' दिसते आणि स्प्लॅश पेज कधीही दिसत नाही. याची डायग्नोस्टिक प्रक्रिया काय आहे?

पायरी १: show wireless client detail <mac-address> वापरून WLC वरील क्लायंट स्टेट तपासा. क्लायंट 'Webauth Pending' स्टेटमध्ये असावा. जर तो 'Run' दाखवत असेल, तर प्री-ऑथेंटिकेशन ACL योग्यरित्या लागू केलेले नाही. पायरी २: प्री-ऑथेंटिकेशन ACL तपासा. या समस्येचे सर्वात सामान्य कारण म्हणजे ACL हे DNS (UDP पोर्ट ५३) ब्लॉक करते. DNS शिवाय, क्लायंट कोणत्याही डोमेनचे नाव शोधू (resolve) शकत नाही आणि OS ची captive portal डिटेक्शन सिस्टम शांतपणे अपयशी ठरते. ठिकाणाच्या DNS सर्व्हर IPs साठी UDP पोर्ट ५३ साठी स्पष्ट परवानगी देणारा (permit) नियम जोडा. पायरी ३: ACL मध्ये Purple वॉल्ड गार्डन डोमेनना परवानगी असल्याची खात्री करा. ऑथेंटिकेशन होण्यापूर्वी क्लायंटला Purple स्प्लॅश पेज URL पर्यंत पोहोचता आले पाहिजे. पायरी ४: WLC व्हर्च्युअल IP ॲड्रेस डीफॉल्ट १.१.१.१ वरून बदलून १९२.०.२.१ सारख्या नॉन-रूट करण्यायोग्य ॲड्रेसवर बदलला असल्याची खात्री करा, कारण डीफॉल्ट ॲड्रेस अधिकृत इंटरनेट ट्रॅफिकमध्ये व्यत्यय आणू शकतो.

परीक्षकाचे भाष्य: रिडायरेक्ट न होता 'No Internet' दिसण्याची समस्या ही जवळजवळ नेहमीच DNS किंवा वॉल्ड गार्डन ACL ची समस्या असते. आधुनिक ऑपरेटिंग सिस्टम्स (iOS, Android, Windows, macOS) ज्ञात URLs वर HTTP विनंत्या पाठवून captive portal शोधतात. DNS अयशस्वी झाल्यास, या विनंत्या केल्या जाऊ शकत नाहीत आणि OS कधीही captive portal ब्राउझर ट्रिगर करत नाही. प्री-ऑथेंटिकेशन ACL मध्ये नेहमी DNS ला परवानगी द्या - ही आम्ही पाहत असलेली सर्वात सामान्य तैनातीतील चूक आहे.

सराव प्रश्न

Q1. तुम्ही Cisco Catalyst 9800 WLCs चा वापर करून ४० रिटेल शाखांमध्ये Staff WiFi उपयोजित करत आहात. तुम्हाला 802.1X वापरायचे आहे, परंतु कर्मचाऱ्यांच्या स्मार्टफोनवर प्रमाणपत्रे वितरीत करण्यासाठी कंपनीकडे अद्याप MDM सोल्यूशन नाही. सर्वात सुरक्षित व्यावहारिक दृष्टिकोन कोणता आहे आणि आपण कोणते जोखीम शमन अंमलात आणले पाहिजे?

टीप: प्रमाणपत्रे अजून उपलब्ध नसताना क्रेडेन्शियल सुरक्षा आणि उपयोजन व्यवहार्यता यांच्यातील संतुलनाचा विचार करा. पर्यायी पद्धतीमुळे उद्भवणाऱ्या विशिष्ट धोक्यावर लक्ष केंद्रित करा.

नमुना उत्तर पहा

तात्पुरती उपाययोजना म्हणून PEAP-MSCHAPv2 उपयोजित करा. हे EAP-TLS इतके सुरक्षित नसले तरी, ते TLS टनेलमध्ये एनक्रिप्टेड पासवर्ड प्रमाणीकरण प्रदान करते. प्रत्येक क्लायंट डिव्हाइसवर सर्व्हर प्रमाणपत्र प्रमाणीकरण सक्तीचे करणे हे महत्त्वपूर्ण जोखीम शमन आहे. Windows लॅपटॉपसाठी, एक ग्रुप पॉलिसी ऑब्जेक्ट उपयोजित करा जो WiFi प्रोफाइलमध्ये अचूक विश्वसनीय प्रमाणपत्र प्राधिकरण (Certificate Authority) आणि अपेक्षित RADIUS सर्व्हरचे नाव निर्दिष्ट करेल. iOS आणि Android डिव्हाइसेससाठी, ईमेल किंवा हलक्या वजनाच्या MDM-मुक्त साधनाद्वारे WiFi कॉन्फिगरेशन प्रोफाइल वितरीत करा जे प्रमाणपत्र प्रमाणीकरण सक्तीचे करते. याशिवाय, एखादा आक्रमणकर्ता फसव्या प्रमाणपत्रासह बनावट ऍक्सेस पॉइंट उपयोजित करू शकतो आणि क्रेडेन्शियल्स चोरू शकतो. MDM उपलब्ध होताच EAP-TLS कडे स्थलांतरित होण्याचे नियोजन करा.

Q2. एका स्टेडियमच्या IT संचालकाला मीडिया ब्रॉडकास्टर्स, तिकीट टर्मिनल्स आणि HVAC IoT सेन्सर्सना स्वतंत्र वेगळ्या नेटवर्कवर विभाजित करणे आवश्यक आहे. IoT सेन्सर्स 802.1X ला समर्थन देत नाहीत. तिन्ही गटांनी WiFi वापरणे आवश्यक आहे. WLC चे कॉन्फिगरेशन कसे केले पाहिजे?

टीप: अशा समाधानाचा शोध घ्या जे हेडलेस उपकरणांवर एंटरप्राइझ सप्लिकंट्सची आवश्यकता नसताना प्रति डिव्हाइस ग्रुप अनन्य क्रेडेन्शियल्स आणि VLAN असाइनमेंट प्रदान करते.

नमुना उत्तर पहा

व्हिन्यू ऑपरेशन्ससाठी एकाच SSID सह Cisco iPSK अंमलात आणा. RADIUS सर्व्हरमध्ये तीन एंडपॉइंट आयडेंटिटी ग्रुप तयार करा: ब्रॉडकास्टर्स, तिकीटिंग आणि HVAC. cisco-av-pair द्वारे प्रत्येक ग्रुपला एक युनिक PSK आणि Tunnel-Private-Group-ID द्वारे युनिक VLAN ID नियुक्त करा. WLC WLAN ला WPA2-PSK सह कॉन्फिगर करा, MAC फिल्टरिंग सक्षम करा आणि AAA Override सक्रिय करा. ब्रॉडकास्टर्सना PSK-A आणि VLAN 31, तिकीटिंगला PSK-B आणि VLAN 32 आणि HVAC सेन्सर्सना PSK-C आणि VLAN 33 प्राप्त होतात. peer-blocking ला allow-private-group वर सेट करा जेणेकरून एकाच ग्रुपमधील डिव्हाइसेस एकमेकांशी संवाद साधू शकतील (उदा. तिकीट टर्मिनल्स त्यांच्या सर्व्हरशी), तर क्रॉस-ग्रुप संवादास प्रतिबंध केला जाईल. यामुळे MAC Authentication Bypass टाळता येतो, ज्याचे सहज बनावतीकरण (spoofing) केले जाऊ शकते.

Q3. कॉन्फरन्स सेंटरमध्ये Guest WiFi उपयोजनादरम्यान, क्लायंट SSID शी कनेक्ट होतात आणि त्यांना IP पत्ता प्राप्त होतो, परंतु Captive Portal रिडायरेक्ट कधीच होत नाही. वॉल्ड गार्डन ACL सर्व Purple IP श्रेणींना ट्रॅफिकची अनुमती देते. सर्वात संभाव्य गहाळ कॉन्फिगरेशन घटक कोणता आहे आणि तुम्ही ते कसे सत्यापित कराल?

टीप: क्लायंट डिव्हाइसद्वारे HTTP विनंती केली जाण्यापूर्वी आवश्यक असलेल्या प्रोटोकॉलचा विचार करा.

नमुना उत्तर पहा

सर्वात संभाव्य कारण म्हणजे प्री-ऑथेंटिकेशन ACL द्वारे DNS ट्रॅफिक (UDP पोर्ट ५३) ब्लॉक केले जाते. क्लायंट डिव्हाइस रिडायरेक्ट ट्रिगर करण्यासाठी WLC ज्या HTTP विनंतीला अडवते, ती विनंती करण्यापूर्वी क्लायंटने DNS द्वारे डोमेन नाव रिझॉल्व्ह करणे आवश्यक आहे. आधुनिक OS Captive Portal शोध यंत्रणा (Apple चे captive.apple.com, Microsoft चे www.msftconnecttest.com , Google चे connectivitycheck.gstatic.com) या सर्वांना DNS रिझोल्यूशन आवश्यक आहे. सत्यापित करण्यासाठी: WLC वर 'show wireless client detail ' चालवा आणि क्लायंट 'Webauth Pending' स्थितीत असल्याची खात्री करा. त्यानंतर DNS ट्रॅफिक नाकारले जात आहे की नाही हे पाहण्यासाठी ACL हिट काउंटर्सचे पुनरावलोकन करा. वॉल्ड गार्डन ACL मधील व्हिन्यूच्या DNS सर्व्हर IPs साठी UDP पोर्ट ५३ साठी स्पष्ट परवानगी नियम (permit rule) जोडून याचे निवारण करा.

या मालिकेमध्ये पुढे वाचा

CommScope Ruckus चे Purple WiFi सोबत एकत्रीकरण: सेटअप आणि कॉन्फिगरेशन मार्गदर्शिका

हे तांत्रिक संदर्भ मार्गदर्शक Purple WiFi सोबत CommScope Ruckus आर्किटेक्चर समाकलित करण्यासाठी एक अधिकृत कॉन्फिगरेशन प्लेबुक प्रदान करते. यात Guest WiFi Captive Portals, 802.1X द्वारे सुरक्षित Staff WiFi, आणि Ruckus Dynamic PSK वापरून Multi-Tenant नेटवर्क अलगाव (network isolation) साठी चरण-दर-चरण उपयोजनांची तपशीलवार माहिती दिली आहे.

मार्गदर्शिका वाचा →

Allied Telesis Access Points चे Purple WiFi सोबत एकत्रीकरण

हे मार्गदर्शक Allied Telesis TQ-Series access points ला Purple WiFi सोबत एकत्रित करण्यासाठी एक सर्वसमावेशक कॉन्फिगरेशन प्लेबुक प्रदान करते. यामध्ये बाह्य Captive Portal रिडायरेक्शन, 802.1X RADIUS ऑथेंटिकेशन आणि सुरक्षित मल्टी-टेनंट डिप्लॉयमेंट्ससाठी Private Pre-Shared Keys (PPSK) वापरून डायनॅमिक VLAN स्टिअरिंग समाविष्ट आहे.

मार्गदर्शिका वाचा →

Purple WiFi सोबत Grandstream GWN ऍक्सेस पॉइंट्सचे एकत्रीकरण (Integration)

हे अधिकृत तांत्रिक संदर्भाचे मार्गदर्शक Grandstream GWN ऍक्सेस पॉइंट्सला Purple च्या Guest WiFi आणि ॲनालिटिक्स प्लॅटफॉर्मसह कसे समाकलित करावे हे तपशीलवार स्पष्ट करते. यामध्ये Grandstream Captive Portal कॉन्फिगरेशन, RADIUS AAA सेटिंग्ज, वॉल्ड गार्डन सेटअप, डायनॅमिक VLAN स्टिअरिंगसह सुरक्षित कर्मचारी 802.1X प्रमाणीकरण (Authentication), आणि मल्टी-टेनंट PPSK विभागणी समाविष्ट आहे - जे MSPs आणि IT टीम्सना मोठ्या प्रमाणावर अतिथी आणि कर्मचारी WiFi तैनात करण्यासाठी टप्प्याटप्प्याने कृतीयोग्य मार्गदर्शन प्रदान करते.

मार्गदर्शिका वाचा →