मुख्य मजकुराकडे जा
मराठी

NETGEAR Insight आणि Enterprise Access Points चे Purple WiFi सोबत एकत्रीकरण

हे मार्गदर्शक IT व्यवस्थापकांना NETGEAR Insight आणि WAX एंटरप्राइझ ॲक्सेस पॉइंट्सचे Purple WiFi सोबत एकत्रीकरण करण्यासाठी एक निश्चित तांत्रिक रोडमॅप प्रदान करते. यामध्ये Guest captive portals, 802.1X कर्मचारी नेटवर्क आणि PPSK व डायनॅमिक VLAN असाइनमेंट वापरून मल्टी-टेनंट सेगमेंटेशन यांसारख्या आवश्यक कॉन्फिगरेशन्सचा समावेश आहे.

📖 6 मिनिट वाचन📝 1,295 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
Purple च्या तांत्रिक ब्रीफिंगमध्ये आपले स्वागत आहे. आज आपण अशा विषयावर बोलत आहोत जो हॉस्पिटॅलिटी, रिटेल आणि मल्टी-टेनंट ठिकाणांमधील IT व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्ससोबतच्या आमच्या संभाषणांमध्ये वारंवार येतो: NETGEAR Insight आणि WAX सिरीजच्या ॲक्सेस पॉइंट्सचे Purple WiFi सोबत एकत्रीकरण कसे करावे. जर तुम्ही हॉटेल, रिटेल पार्क, कॉन्फरन्स सेंटर किंवा मिश्र-वापर डेव्हलपमेंट चालवत असाल, तर हे ब्रीफिंग थेट तुमच्या पुढील डिप्लॉयमेंट निर्णयाशी संबंधित आहे. चला पार्श्वभूमी समजून घेऊया. NETGEAR ची WAX सिरीज - WAX610, WAX620 आणि WAX630 - हे WiFi 6 ॲक्सेस पॉइंट्स आहेत जे Insight क्लाउड प्लॅटफॉर्मद्वारे व्यवस्थापित केले जातात. ते प्रति रेडिओ आठ स्वतंत्र SSIDs, WPA3 एन्क्रिप्शन आणि WAX630 वर सहा गिगाबिट्सपर्यंतच्या थ्रूपुटला सपोर्ट करतात. ते PoE-सक्षम, छतावर बसवता येण्याजोगे आहेत आणि Insight क्लाउड पोर्टलद्वारे एकाच स्क्रीनवरून व्यवस्थापित केले जातात. IT इन्स्टॉलर किंवा SMB नेटवर्क ॲडमिनिस्ट्रेटरसाठी, हे Cisco Meraki किंवा HPE Aruba च्या तुलनेत खूपच कमी किमतीत उपलब्ध असणारे खरोखरच सक्षम प्लॅटफॉर्म आहे. Purple हे हार्डवेअर-अज्ञेयवादी (hardware-agnostic) क्लाउड ओव्हरले आहे. आम्ही तुमच्या सध्याच्या इन्फ्रास्ट्रक्चरवर काम करतो आणि अतिथी अनुभव स्तर (guest experience layer), डेटा कॅप्चर स्तर आणि ॲनालिटिक्स स्तर जोडतो. आम्ही २०२४ मध्ये ८०,००० थेट ठिकाणांवर ४४ कोटी लॉगइन्सवर प्रक्रिया केली आहे. NETGEAR Insight सोबतचे एकत्रीकरण सोपे आणि सुस्पष्ट आहे, आणि यामध्ये चार वेगवेगळ्या वापराच्या प्रकरणांचा (use cases) समावेश आहे ज्यांबद्दल आपण आज चर्चा करणार आहोत. आता आपण तांत्रिक सखोल विश्लेषणाकडे वळूया. चार वापराची प्रकरणे आहेत: Purple captive portal सह Guest WiFi, 802.1X वापरून सुरक्षित Staff WiFi, NETGEAR चे PPSK वैशिष्ट्य वापरून Multi-Tenant सेगमेंटेशन, आणि आयडेंटिटी-बेस्ड नेटवर्क्ससाठी RADIUS द्वारे डायनॅमिक VLAN असाइनमेंट. वापराचे पहिले प्रकरण: Purple captive portal सह Guest WiFi. ही सर्वात सामान्य सुरुवात आहे. तुम्ही NETGEAR Insight मध्ये एक समर्पित Guest SSID तयार करता आणि ते ओपन नेटवर्क म्हणून कॉन्फिगर करता. मुख्य कॉन्फिगरेशन SSID सेटिंग्जमधील Captive Portal विभागात आहे. तुम्ही External Captive Portal निवडता आणि Purple प्रदान करत असलेली Splash Page URL पेस्ट करता. त्यानंतर, तुम्ही ऑथेंटिकेशन प्रकार कॉन्फिगर करता. बऱ्याच Purple डिप्लॉयमेंट्ससाठी, तुम्ही RADIUS ऑथेंटिकेशन निवडाल. Purple तुम्हाला प्रायमरी RADIUS सर्व्हर IP ॲड्रेस, ऑथेंटिकेशनसाठी पोर्ट १८१२ आणि अकाउंटिंगसाठी पोर्ट १८१३ आणि एक सामायिक सिक्रेट (shared secret) प्रदान करते. तुम्ही ते NETGEAR Insight External Captive Portal कॉन्फिगरेशनमध्ये पेस्ट करता. तुम्ही NAS Identifier देखील सेट करता - ही एक स्ट्रिंग आहे जी या विशिष्ट ॲक्सेस पॉइंट किंवा ठिकाणाची RADIUS सर्व्हरकडे ओळख पटवून देते. तुमच्या ठिकाणाचे नाव आणि लोकेशन कोड यांसारखे अर्थपूर्ण काहीतरी वापरा. walled garden हा असा भाग आहे जिथे बहुतेक इन्स्टॉलर्सची चूक होते. अतिथी ऑथेंटिकेट होण्यापूर्वी, त्यांच्या उपकरणाला Purple स्प्लॅश पेज, ऑथेंटिकेशन सर्व्हर्स आणि तुम्ही सक्षम केलेल्या कोणत्याही सोशल लॉगिन प्रदात्यांपर्यंत पोहोचता आले पाहिजे. NETGEAR Insight मध्ये External Captive Portal कॉन्फिगरेशनमध्ये एक समर्पित Walled Garden विभाग आहे जिथे तुम्ही या URLs जोडता. Purple चे सपोर्ट डॉक्युमेंटेशन व्हाईटलिस्ट करायच्या डोमेन्सची अचूक यादी प्रदान करते. हे चुकल्यास अतिथींना तुमच्या ब्रँडेड पोर्टलऐवजी रिकामे पेज दिसेल. एकदा कॉन्फिगर केल्यावर, फ्लो याप्रमाणे काम करतो: अतिथी Hotel Guest SSID शी कनेक्ट होतो. ॲक्सेस पॉइंट त्यांच्या पहिल्या HTTP विनंतीला अडवतो आणि त्यांना Purple स्प्लॅश पेजवर रिडायरेक्ट करतो. अतिथीला तुमचे ब्रँडेड पोर्टल दिसते, ते अटी मान्य करतात आणि पर्यायीपणे त्यांचा ईमेल पत्ता देतात किंवा सोशल मीडियाद्वारे लॉग इन करतात. Purple चा RADIUS सर्व्हर ॲक्सेस पॉइंटला Access-Accept मेसेज पाठवतो आणि अतिथीला इंटरनेट ॲक्सेस दिला जातो. Purple संमती डेटा कॅप्चर करते, सेशन लॉग करते आणि तो डेटा तुमच्या Purple ॲनालिटिक्स डॅशबोर्डमध्ये येतो. वापराचे दुसरे प्रकरण: 802.1X वापरून सुरक्षित Staff WiFi. येथे तुम्ही सामायिक पासवर्डचा वापर पूर्णपणे बंद करता. कर्मचारी नेटवर्कसाठी, प्री-शेअर्ड की ही एक जोखीम असते - जेव्हा एखादा कर्मचारी नोकरी सोडतो, तेव्हा तुम्हाला प्रत्येकासाठी पासवर्ड बदलावा लागतो. IEEE 802.1X मानकामध्ये परिभाषित केलेले 802.1X प्रत्येक वापरकर्त्याला वैयक्तिक क्रेडेंशियल देते. जेव्हा ते नोकरी सोडतात, तेव्हा तुम्ही तुमच्या डिरेक्टरीमध्ये त्यांचे खाते निष्क्रिय करता आणि त्यांचा ॲक्सेस त्वरित रद्द केला जातो. NETGEAR Insight मध्ये, तुम्ही WPA2 Enterprise किंवा WPA3 Enterprise सुरक्षेसह एक स्वतंत्र Staff SSID कॉन्फिगर करता. ॲक्सेस पॉइंट ऑथेंटिकेटर म्हणून काम करतो, जो Extensible Authentication Protocol (EAP) मेसेज RADIUS सर्व्हरकडे पाठवतो. RADIUS सर्व्हर तुमच्या डिरेक्टरीच्या (उदा. Microsoft Entra ID किंवा Okta) तुलनेत क्रेडेंशियल्सची पडताळणी करतो आणि ऑथरायझेशनचा निर्णय देतो. डीफॉल्ट री-ऑथेंटिकेशन इंटरव्हल ३,६०० सेकंद - एक तास - आहे, जो बऱ्याच ठिकाणांसाठी योग्य आहे. SMB डिप्लॉयमेंट्समध्ये सर्वात सामान्य EAP पद्धत PEAP-MSCHAPv2 आहे, जी एक एनक्रिप्टेड टनेल तयार करण्यासाठी सर्व्हर-साइड सर्टिफिकेट वापरते ज्यामध्ये वापरकर्ता त्यांच्या Active Directory युझरनेम आणि पासवर्डसह ऑथेंटिकेट करतो. EAP-TLS अधिक सुरक्षित आहे - हे दोन्ही बाजूंनी सर्टिफिकेट्स वापरते - परंतु यासाठी PKI इन्फ्रास्ट्रक्चर आणि उपकरणांवर सर्टिफिकेट्स पाठवण्यासाठी MDM ची आवश्यकता असते. एक महत्त्वाचा मुद्दा: प्रत्येक क्लायंट डिव्हाइसवर सर्टिफिकेट व्हॅलिडेशन सक्तीचे करा. RADIUS सर्व्हरच्या सर्टिफिकेटची पडताळणी करण्यासाठी ग्रुप पॉलिसी ऑब्जेक्ट्सद्वारे तुमचे Windows डिव्हाइसेस आणि MDM प्रोफाइलद्वारे तुमचे मोबाईल डिव्हाइसेस कॉन्फिगर करा. जर तुम्ही ही पायरी वगळली, तर डिव्हाइसेस बनावट ॲक्सेस पॉइंट हल्ल्यांना बळी पडू शकतात जिथे हल्लेखोर बनावट सर्टिफिकेट दाखवून क्रेडेंशियल्स चोरू शकतो. वापराचे तिसरे प्रकरण: मल्टी-टेनंट ठिकाणांसाठी NETGEAR PPSK. Private Pre-Shared Key हे रिटेल पार्क, मिश्र-वापर डेव्हलपमेंट आणि को-वर्किंग स्पेस मधील एका विशिष्ट समस्येचे निराकरण करते. तुमच्याकडे एकाच भौतिक WiFi इन्फ्रास्ट्रक्चरचा वापर करणारे अनेक भाडेकरू आहेत. तुम्हाला प्रत्येक भाडेकरूसाठी स्वतंत्र SSIDs चालवायचे नाहीत - यामुळे रेडिओ फ्रिक्वेन्सीमध्ये अडथळा निर्माण होतो आणि व्यवस्थापन कठीण होते. परंतु तुम्ही प्रत्येकाला एकच पासवर्ड देखील देऊ शकत नाही, कारण तसे केल्यास भाडेकरू A ला भाडेकरू B चा ट्रॅफिक दिसू शकतो. PPSK हे अत्यंत हुशारीने सोडवते. तुम्ही एकच SSID तयार करता आणि NETGEAR Insight मध्ये Wireless, Settings, Advanced, Multi PSK Settings अंतर्गत एकाधिक प्री-शेअर्ड की तयार करता. प्रत्येक की एका विशिष्ट VLAN शी संबंधित असते. भाडेकरू A ला एक युनिक १६-अक्षरी पासवर्ड मिळतो जो VLAN ३० वर मॅप होतो. भाडेकरू B ला वेगळा पासवर्ड मिळतो जो VLAN ४० वर मॅप होतो. व्यवस्थापन टीमला तिसरा पासवर्ड मिळतो जो VLAN २० वर मॅप होतो, ज्याला व्यवस्थापन प्रणालींचा ॲक्सेस असतो. जेव्हा भाडेकरू A ची उपकरणे त्यांच्या पासवर्डचा वापर करून कनेक्ट होतात, तेव्हा ॲक्सेस पॉइंट त्यांना आपोआप VLAN ३० वर ठेवतो. त्यांना VLAN ४० किंवा VLAN २० वरील कोणताही ट्रॅफिक दिसत नाही. भाडेकरूच्या दृष्टीकोनातून, त्यांच्याकडे फक्त एक WiFi पासवर्ड असतो. नेटवर्क प्रशासक म्हणून तुमच्या दृष्टीकोनातून, तुमच्याकडे अतिरिक्त हार्डवेअरशिवाय भाडेकरूंमध्ये पूर्ण ट्रॅफिक आयसोलेशन असते. जाणून घेण्यासारख्या दोन महत्त्वाच्या मर्यादा आहेत. पहिली, NETGEAR Insight मधील PPSK साठी WPA2 Personal किंवा WPA2 Personal Mixed एन्क्रिप्शन आवश्यक आहे. हे ६ GHz बँडवर काम करत नाही. दुसरी, PPSK एकाच SSID वर captive portal सोबत एकत्र केले जाऊ शकत नाही. जर तुम्हाला दोन्ही हवे असतील, तर तुम्हाला दोन स्वतंत्र SSIDs हवे असतील - जे ठीक आहे, कारण WAX सिरीजचे ॲक्सेस पॉइंट्स आठ SSIDs पर्यंत सपोर्ट करतात. वापराचे चौथे प्रकरण: RADIUS द्वारे डायनॅमिक VLAN असाइनमेंट. हे सर्वात प्रगत कॉन्फिगरेशन आहे आणि हेच Purple च्या Identity-Based Networks क्षमतेला आधार देते. पासवर्ड किंवा SSID ला VLAN स्टॅटिकली नियुक्त करण्याऐवजी, ऑथेंटिकेट कोण करत आहे याच्या आधारे कोणता VLAN नियुक्त करायचा हे RADIUS सर्व्हर ठरवतो. ही यंत्रणा तीन मानक RADIUS ॲट्रिब्युट्स वापरते: Tunnel-Type, जे VLAN साठी मूल्य १३ वर सेट केले पाहिजे; Tunnel-Medium-Type, जे IEEE 802 साठी मूल्य ६ वर सेट केले पाहिजे; आणि Tunnel-Private-Group-ID, जे VLAN ID ला स्ट्रिंग म्हणून वाहून नेते. जेव्हा एखादा वापरकर्ता यशस्वीरित्या ऑथेंटिकेट होतो, तेव्हा RADIUS सर्व्हर हे तीन ॲट्रिब्युट्स Access-Accept मेसेजमध्ये परत करतो. ॲक्सेस पॉइंट ते वाचतो आणि क्लायंटला निर्दिष्ट VLAN वर ठेवतो. प्रत्यक्षात, याचा अर्थ असा आहे की तुमच्याकडे एकच WPA2 Enterprise SSID असू शकते जिथे हॉटेल व्यवस्थापक ऑथेंटिकेट करतो आणि प्रॉपर्टी मॅनेजमेंट सिस्टमच्या ॲक्सेससह VLAN २० वर पोहोचतो, फ्रंट डेस्क एजंट ऑथेंटिकेट करतो आणि केवळ चेक-इन सिस्टमच्या ॲक्सेससह VLAN २१ वर पोहोचतो, आणि कंत्राटदार ऑथेंटिकेट करतो आणि केवळ इंटरनेट ॲक्सेससह VLAN ५० वर पोहोचतो. सर्व काही एकाच SSID वरून होते, जे Active Directory ग्रुप मेंबरशिपच्या आधारे RADIUS सर्व्हरद्वारे आपोआप लागू केले जाते. आता अंमलबजावणीच्या शिफारसी आणि संभाव्य त्रुटींबद्दल बोलूया. पहिली त्रुटी म्हणजे walled garden. प्रत्येक बाह्य captive portal डिप्लॉयमेंट किमान एकदा तरी walled garden मुळे अयशस्वी होते. याचे लक्षण म्हणजे अतिथी SSID शी कनेक्ट होतात परंतु त्यांना स्प्लॅश पेजऐवजी ब्राउझर एरर दिसते. यावर पद्धतशीर उपाय आहे: Purple चे सपोर्ट डॉक्युमेंटेशन उघडा, walled garden च्या सूचीमधील प्रत्येक डोमेन कॉपी करा आणि ते NETGEAR Insight च्या Walled Garden विभागात पेस्ट करा. क्रेडेंशियल्स सेव्ह नसलेल्या उपकरणासह चाचणी करा. दुसरी त्रुटी म्हणजे RADIUS रीचेबिलिटी. NETGEAR ॲक्सेस पॉइंट तुमच्या RADIUS सर्व्हरपर्यंत पोहोचणे आवश्यक आहे. RADIUS ऑथेंटिकेशनसाठी UDP पोर्ट १८१२ आणि अकाउंटिंगसाठी UDP पोर्ट १८१३ वापरते. ॲक्सेस पॉइंट व्यवस्थापन IP वरून RADIUS सर्व्हर IP कडे हे पोर्ट्स उघडा. लाइव्ह जाण्यापूर्वी RADIUS चाचणी साधनासह चाचणी करा. तिसरी त्रुटी म्हणजे PPSK आणि captive portal मधील संघर्ष. NETGEAR Insight एकाच SSID वर PPSK आणि captive portal ला अनुमती देत नाही. जर तुम्हाला दोन्ही हवे असतील, तर दोन SSIDs तयार करा. त्यांना स्पष्ट नावे द्या - एक PPSK भाडेकरूंसाठी आणि एक captive portal अतिथींसाठी. चौथी त्रुटी म्हणजे 802.1X क्लायंटवरील सर्टिफिकेट व्हॅलिडेशन. प्रत्येक Windows डिव्हाइसला एका ग्रुप पॉलिसी ऑब्जेक्टची आवश्यकता असते जी विश्वसनीय सर्टिफिकेट ऑथॉरिटी आणि अपेक्षित RADIUS सर्व्हरचे नाव निर्दिष्ट करते. प्रत्येक मोबाईल डिव्हाइसला समान सेटिंग्जसह MDM प्रोफाइलची आवश्यकता असते. याशिवाय, एखादा वापरकर्ता नकळत बनावट ॲक्सेस पॉइंटवर ऑथेंटिकेट करू शकतो आणि त्याचे Active Directory क्रेडेंशियल्स देऊ शकतो. आता रॅपिड-फायर प्रश्न आणि उत्तर सत्रासाठी. प्रश्न एक: मी RADIUS सर्व्हरशिवाय NETGEAR Insight सोबत Purple वापरू शकतो का? होय, अतिथी captive portal डिप्लॉयमेंट्ससाठी, तुम्ही RADIUS ऐवजी Purple का वेब ऑथेंटिकेशन मोड वापरू शकता. ॲक्सेस पॉइंट HTTP द्वारे स्प्लॅश पेजवर रिडायरेक्ट करतो आणि Purple वेब सेशनद्वारे ऑथेंटिकेशन हाताळते. RADIUS तुम्हाला अधिक नियंत्रण आणि चांगला अकाउंटिंग डेटा देते, परंतु मूलभूत अतिथी पोर्टल डिप्लॉयमेंट्ससाठी ते अनिवार्य नाही. प्रश्न दोन: मी NETGEAR Insight मध्ये किती PPSK की तयार करू शकतो? NETGEAR Insight WAX सिरीजच्या ॲक्सेस पॉइंट्सवर प्रति SSID ६४ PPSK की पर्यंत सपोर्ट करते. बहुतेक मल्टी-टेनंट ठिकाणांसाठी, हे पुरेसे आहे. तुमच्याकडे ६४ पेक्षा जास्त भाडेकरू असल्यास, तुम्हाला त्याऐवजी RADIUS-आधारित डायनॅमिक VLAN सोल्यूशनकडे जावे लागेल. प्रश्न तीन: NETGEAR Insight 802.1X साठी WPA3 Enterprise ला सपोर्ट करते का? होय, WAX सिरीजचे ॲक्सेस पॉइंट्स WPA3 Enterprise ला सपोर्ट करतात. बहुतेक SMB डिप्लॉयमेंट्ससाठी, WPA2 Enterprise पुरेसे आहे आणि त्याची क्लायंट डिव्हाइस सुसंगतता (compatibility) अधिक आहे. संवेदनशील डेटा हाताळणाऱ्या वातावरणासाठी, जसे की आरोग्य सेवा किंवा वित्तीय सेवा, WPA3 Enterprise चा विचार करणे योग्य आहे. प्रश्न चार: जर Purple RADIUS सर्व्हर अनरीचेबल (unreachable) झाला तर काय होईल? NETGEAR Insight External Captive Portal कॉन्फिगरेशनमध्ये फेल्सेफ (failsafe) पर्यायाला सपोर्ट करते. जर तुम्ही फेल्सेफ सक्षम केले, तर captive portal सर्व्हर्स अनरीचेबल असले तरीही अतिथींना थोड्या काळासाठी इंटरनेट ॲक्सेस दिला जातो. Purple आमच्या इन्फ्रास्ट्रक्चरमध्ये ९९.९९९% अपटाइम राखते, परंतु कोणत्याही प्रोडक्शन डिप्लॉयमेंटसाठी फेल्सेफ सक्षम करणे ही चांगली पद्धत आहे. आजच्या ब्रीफिंगमधील मुख्य मुद्दे थोडक्यात सांगायचे तर. NETGEAR WAX सिरीजचे ॲक्सेस पॉइंट्स NETGEAR Insight मधील External Captive Portal यंत्रणेद्वारे Purple सोबत एकत्रित होतात. तुम्ही Insight क्लाउड पोर्टलमध्ये स्प्लॅश पेज URL, RADIUS सर्व्हर क्रेडेंशियल्स आणि walled garden डोमेन्स कॉन्फिगर करता. कर्मचारी नेटवर्कसाठी, 802.1X सह WPA2 Enterprise वापरा आणि प्रत्येक क्लायंट डिव्हाइसवर सर्टिफिकेट व्हॅलिडेशन सक्तीचे करा. मल्टी-टेनंट ठिकाणांसाठी, NETGEAR चे PPSK वैशिष्ट्य तुम्हाला ६४ युनिक की सह एकाच SSID वरून प्रति-भाडेकरू VLAN आयसोलेशन देते. सर्वात प्रगत डिप्लॉयमेंट्ससाठी, RADIUS ॲट्रिब्युट्सद्वारे डायनॅमिक VLAN असाइनमेंट तुम्हाला आयडेंटिटी-आधारित नेटवर्क सेगमेंटेशन देते जे वापरकर्ता कुठून कनेक्ट होत आहे यावर नाही, तर कोण कनेक्ट होत आहे यावर आधारित असते. जर तुम्ही Purple सोबत NETGEAR डिप्लॉयमेंटचे नियोजन करत असाल, तर पुढील पायरी म्हणजे Purple च्या सपोर्ट टीमकडून तुमचे Purple RADIUS क्रेडेंशियल्स आणि walled garden डोमेन सूचीची विनंती करणे आणि प्रोडक्शनमध्ये आणण्यापूर्वी स्टेजिंग SSID वर captive portal रिडायरेक्टची चाचणी घेणे. एकदा तुमच्याकडे ते क्रेडेंशियल्स आले की कॉन्फिगरेशनला ३० मिनिटांपेक्षा कमी वेळ लागतो. Purple चे तांत्रिक ब्रीफिंग ऐकल्याबद्दल धन्यवाद. टप्प्याटप्प्याने कॉन्फिगरेशन तपशील आणि उदाहरणांसह संपूर्ण लिखित मार्गदर्शकासाठी, purple.ai ला भेट द्या.

header_image.png

Executive Summary

Relying on pre-shared keys for enterprise WiFi access is a significant security liability. A single compromised credential exposes the entire network, and revoking access requires changing the password for every device. This guide provides IT managers and network architects with a definitive roadmap for integrating NETGEAR Insight and WAX series enterprise access points with Purple.

We detail four core deployment architectures: Guest WiFi with a captive portal, Secure Staff WiFi using 802.1X, Multi-Tenant segmentation via NETGEAR Private Pre-Shared Keys (PPSK), and Identity-Based Networks using dynamic VLAN assignment. Whether you operate Hospitality venues, Retail spaces, or public-sector environments, these configurations eliminate shared passwords, enforce strict network segmentation, and capture actionable WiFi Analytics .

Listen to our technical briefing podcast below for a comprehensive overview of the architecture and common deployment pitfalls.

Technical Deep-Dive

NETGEAR WAX series access points (WAX610, WAX620, WAX630) are cloud-managed WiFi 6 devices designed for high-density environments. Managed via the NETGEAR Insight portal, they support up to eight separate SSIDs per radio, WPA3 encryption, and multi-gigabit throughput. Purple acts as a hardware-agnostic cloud overlay, integrating with NETGEAR Insight to deliver enterprise-grade access control and data capture.

1. Guest WiFi with Captive Portal

For public-facing environments, you must deploy an External Captive Portal. This configuration intercepts guest HTTP requests and redirects them to a Purple-hosted splash page.

Architecture:

  1. Access Point: NETGEAR WAX access point broadcasts an open or WPA2 Personal Guest SSID.
  2. Walled Garden: NETGEAR Insight permits pre-authentication traffic to Purple's servers and social login providers.
  3. Authentication: Purple handles the user session via RADIUS or HTTP web authentication.

When a guest connects, they are presented with a branded portal. Upon accepting the terms and providing details, Purple's RADIUS server returns an Access-Accept message, granting internet access. This approach guarantees compliance with data privacy regulations like GDPR while capturing valuable first-party data.

2. Secure Staff WiFi (802.1X)

Pre-shared keys are unacceptable for staff networks. You must implement IEEE 802.1X authentication. In this model, every user has an individual credential. When an employee departs, you disable their directory account, and their access is revoked instantly.

In NETGEAR Insight, you configure a Staff SSID with WPA2 Enterprise or WPA3 Enterprise security. The access point acts as the authenticator, relaying Extensible Authentication Protocol (EAP) messages to the RADIUS server. The RADIUS server validates the credentials against your directory (e.g., Microsoft Entra ID or Okta) and returns the authorisation decision.

3. Multi-Tenant Segmentation (PPSK)

Mixed-use developments and retail parks face a specific challenge: multiple tenants sharing physical WiFi infrastructure. Deploying separate SSIDs for each tenant creates radio frequency congestion. Providing a single shared password compromises security.

NETGEAR Private Pre-Shared Key (PPSK) solves this. You broadcast a single SSID. In NETGEAR Insight, you generate unique passwords for each tenant. Crucially, each password maps to a specific VLAN.

ppsk_vlan_infographic.png

When a device connects using the retail unit's password, the access point places it on the isolated retail VLAN. When venue management connects using their password, they land on the management VLAN. You achieve complete traffic isolation with zero additional hardware. Note that PPSK requires WPA2 Personal and cannot be combined with a captive portal on the same SSID.

4. Dynamic VLAN Assignment via RADIUS

For sophisticated Identity-Based Networks, you must use dynamic VLAN assignment. Instead of statically assigning a VLAN to an SSID or a password, the RADIUS server dictates the VLAN based on the user's directory profile.

The RADIUS server returns three standard attributes in the Access-Accept message:

  • [64] Tunnel-Type = 13 (VLAN)
  • [65] Tunnel-Medium-Type = 6 (802)
  • [81] Tunnel-Private-Group-ID = [VLAN ID]

A single WPA2 Enterprise SSID can serve the entire organisation. A hotel manager authenticates and lands on VLAN 20. A front desk agent lands on VLAN 21. A contractor lands on VLAN 50. The network adapts to the identity of the user. For a broader look at securing your environment, review our Enterprise WiFi Security: A Complete Guide for 2026 .

architecture_overview.png

Implementation Guide

Follow these steps to deploy NETGEAR Insight with Purple Guest WiFi .

Step 1: Configure the Guest SSID

  1. Log in to the NETGEAR Insight Cloud Portal.
  2. Select your network location and navigate to Wireless > Settings.
  3. Create a new SSID (e.g., "Venue Guest WiFi").
  4. Select Captive Portal and choose External Captive Portal.

Step 2: Configure the Captive Portal

  1. In the Splash Page URL field, enter the URL provided by Purple.
  2. Select the Radius radio button.
  3. Enter the Primary Authentication Server IP, port (1812), and shared secret provided by Purple.
  4. Enter the Primary Accounting Server IP, port (1813), and shared secret.
  5. Set a descriptive NAS-Identifier (e.g., "London-Retail-01").

Step 3: Configure the Walled Garden

This is the most critical step. If the walled garden is incorrect, guests will see a blank screen.

  1. Scroll to the Walled Garden section in the Captive Portal settings.
  2. Add every domain provided in Purple's integration documentation. This includes Purple's CDN domains, authentication servers, and any enabled social login providers (e.g., Facebook, Google).
  3. Click Save.

Step 4: Verify RADIUS Reachability

Ensure your firewall permits UDP ports 1812 and 1813 outbound from the access point management IP addresses to the Purple RADIUS servers.

Best Practices

  • Enforce Certificate Validation: For 802.1X deployments, you must enforce strict certificate validation on all client devices via Group Policy Objects (GPO) or Mobile Device Management (MDM). If clients do not validate the RADIUS server certificate, they are vulnerable to rogue access point attacks.
  • Isolate Management Traffic: Always place access point management IP addresses on a dedicated management VLAN, isolated from guest and staff traffic.
  • Enable Failsafe: In the NETGEAR Insight Captive Portal settings, enable the FailSafe option. If the RADIUS servers become unreachable, guests are granted temporary internet access, preventing a total WiFi outage.
  • Separate SSIDs for PPSK: Because NETGEAR Insight does not support PPSK and Captive Portal on the same SSID, you must create dedicated SSIDs (e.g., "Venue-Guest" and "Venue-Tenant").

Troubleshooting & Risk Mitigation

Symptom: Guests connect to the SSID but the splash page does not load.

  • Cause: Incomplete Walled Garden configuration.
  • Resolution: Verify that all Purple domains and social login domains are entered correctly in the NETGEAR Insight Walled Garden settings. Test with a device that has no cached credentials.

Symptom: Staff devices fail to authenticate via 802.1X.

  • Cause: RADIUS timeout or incorrect shared secret.
  • Resolution: Verify that UDP ports 1812 and 1813 are open outbound. Confirm the shared secret matches exactly between the NETGEAR Insight portal and the RADIUS server. Check the RADIUS server logs for Access-Reject messages.

Symptom: PPSK clients are placed on the wrong VLAN.

  • Cause: Incorrect VLAN mapping or missing VLAN configuration on the switch.
  • Resolution: Ensure the VLAN is created in NETGEAR Insight under Wired settings. Verify the Multi PSK Settings map the correct password to the correct VLAN ID. Ensure the switch port connecting the access point is configured as a trunk port allowing the target VLAN.

ROI & Business Impact

Deploying NETGEAR Insight with Purple transforms your wireless infrastructure from a cost centre into a revenue-generating asset. By implementing Identity-Based Networks and captive portals, you achieve:

  • Reduced IT Overhead: PPSK and 802.1X eliminate the need to manually manage shared passwords or dispatch engineers for routine access changes.
  • Actionable Analytics: Capture demographic data, dwell times, and return rates to optimise venue operations and tenant mix.
  • Marketing ROI: Build a high-intent, GDPR-compliant CRM database. Venues typically see a significant reduction in customer acquisition costs when leveraging first-party data collected via WiFi.
  • Enhanced Security: Dynamic VLAN assignment isolates IoT devices, point-of-sale systems, and guest traffic, significantly reducing the attack surface and ensuring PCI DSS compliance.

महत्वाच्या व्याख्या

802.1X

पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी एक IEEE मानक जे LAN किंवा WLAN ला कनेक्ट करू इच्छिणाऱ्या उपकरणांना ऑथेंटिकेशन यंत्रणा प्रदान करते.

एंटरप्राइझ सुरक्षेसाठी आवश्यक; सामायिक पासवर्डच्या जागी वैयक्तिक वापरकर्ता क्रेडेंशियल्स आणते.

Captive Portal

एक वेब पेज जे सार्वजनिक ॲक्सेस नेटवर्कच्या वापरकर्त्याला ॲक्सेस मिळण्यापूर्वी पाहणे आणि त्यावर प्रक्रिया करणे बंधनकारक असते.

फर्स्ट-पार्टी डेटा कॅप्चर करण्यासाठी आणि सेवा अटींच्या मंजुरीची खात्री करण्यासाठी Purple द्वारे वापरले जाते.

PPSK (Private Pre-Shared Key)

एकाच SSID वर एकाधिक युनिक पासवर्ड वापरण्याची परवानगी देणारे वैशिष्ट्य, जिथे प्रत्येक पासवर्ड वापरकर्त्याला विशिष्ट VLAN वर नियुक्त करतो.

मल्टी-टेनंट इमारतींसाठी किंवा एकाधिक SSIDs तयार न करता IoT उपकरणांना वेगळे करण्यासाठी आदर्श.

RADIUS

रिमोट ऑथेंटिकेशन डायल-इन युझर सर्व्हिस (Remote Authentication Dial-In User Service); एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत ऑथेंटिकेशन, ऑथरायझेशन आणि अकाउंटिंग (AAA) व्यवस्थापन प्रदान करतो.

मुख्य सर्व्हर जो क्रेडेंशियल्सची पडताळणी करतो आणि NETGEAR AP ला ॲक्सेस द्यायचा की नाही हे सांगतो.

Walled Garden

एक मर्यादित वातावरण जे पूर्ण ऑथेंटिकेशन होण्यापूर्वी वापरकर्त्याच्या वेब सामग्री आणि सेवांच्या ॲक्सेसवर नियंत्रण ठेवते.

उपकरणांना Purple स्प्लॅश पेज आणि सोशल लॉगिन प्रदात्यांपर्यंत पोहोचू देण्यासाठी NETGEAR Insight मध्ये कॉन्फिगर करणे आवश्यक आहे.

Dynamic VLAN Assignment

अशी प्रक्रिया जिथे RADIUS सर्व्हर ॲक्सेस पॉइंटला ऑथेंटिकेट केलेल्या वापरकर्त्याला त्याच्या ओळखीच्या आधारे विशिष्ट VLAN वर ठेवण्याची सूचना देतो.

आयडेंटिटी-बेस्ड नेटवर्क्स सक्षम करते, ज्यामुळे एकच SSID एकाधिक विभागांना सुरक्षितपणे सेवा देऊ शकतो.

NAS-Identifier

नेटवर्क ॲक्सेस सर्व्हर आयडेंटिफायर (Network Access Server Identifier); RADIUS ॲक्सेस विनंतीचा स्रोत ओळखण्यासाठी वापरली जाणारी स्ट्रिंग.

NETGEAR Insight मध्ये कॉन्फिगर केले जाते जेणेकरून वापरकर्ता कोणत्या ठिकाणाहून किंवा ॲक्सेस पॉइंटवरून कनेक्ट होत आहे हे Purple ला समजते.

EAP-TLS

एक्सटेन्सिबल ऑथेंटिकेशन प्रोटोकॉल - ट्रान्सपोर्ट लेयर सिक्युरिटी (Extensible Authentication Protocol - Transport Layer Security); क्लायंट आणि सर्व्हर दोन्हीवर डिजिटल सर्टिफिकेट्सची आवश्यकता असणारी ऑथेंटिकेशन पद्धत.

सर्वात सुरक्षित 802.1X पद्धत, जी पासवर्ड पूर्णपणे काढून टाकते, जरी सर्टिफिकेट्स तैनात करण्यासाठी MDM ची आवश्यकता असते.

सोडवलेली उदाहरणे

एका ४०-युनिटच्या रिटेल पार्कला प्रत्येक भाडेकरूच्या (tenant) पॉइंट-ऑफ-सेल सिस्टीमसाठी सुरक्षित, वेगळे WiFi आणि खरेदीदारांसाठी ब्रँडेड सार्वजनिक WiFi नेटवर्क प्रदान करायचे आहे. त्यांनी NETGEAR WAX630 ॲक्सेस पॉइंट्स तैनात केले आहेत. नेटवर्क कसे कॉन्फिगर केले जावे?

NETGEAR Insight मध्ये दोन SSIDs तयार करा. SSID 1: 'RetailPark-Guest'. हे Purple च्या स्प्लॅश पेजकडे निर्देशित करणाऱ्या External Captive Portal सह कॉन्फिगर करा, ज्यामध्ये RADIUS ऑथेंटिकेशन आणि सर्वसमावेशक वॉल्ड गार्डन (walled garden) असेल. हे VLAN 10 (केवळ इंटरनेट) वर मॅप करा. SSID 2: 'RetailPark-Tenants'. हे WPA2 Personal सह कॉन्फिगर करा आणि Multi PSK (PPSK) सक्षम करा. ४० युनिक पासवर्ड तयार करा. भाडेकरू A चा पासवर्ड VLAN 101 वर, भाडेकरू B चा VLAN 102 वर मॅप करा, इत्यादी. कोअर स्विच सर्व VLANs ला ॲक्सेस पॉइंट्सवर ट्रंक करत असल्याची खात्री करा.

परीक्षकाचे भाष्य: हा दृष्टिकोन सुरक्षा आणि वापरकर्ता अनुभव यांचा उत्तम समतोल राखतो. SSIDs वेगळे करून, आपण PPSK आणि captive portals एकत्र न करण्याच्या NETGEAR च्या मर्यादेवर मात करतो. PPSK कॉन्फिगरेशन PCI अनुपालनासाठी (compliance) शून्य क्रॉस-टेनंट दृश्यमानता सुनिश्चित करते, तर Purple पोर्टल खरेदीदारांचा डेटा कॅप्चर करते.

एका कॉर्पोरेट मुख्यालयाला सामायिक केलेल्या WPA2 पासवर्डचा वापर बंद करायचा आहे. त्यांच्या कर्मचाऱ्यांनी त्यांच्या Microsoft Entra ID क्रेडेंशियल्ससह ऑथेंटिकेट करणे आवश्यक आहे आणि त्यांना फायनान्स टीम VLAN 50 वर आणि मार्केटिंग टीम VLAN 60 वर हवी आहे.

WPA2 Enterprise साठी कॉन्फिगर केलेले एकच 'Corporate-Secure' SSID तैनात करा. NETGEAR Insight RADIUS सेटिंग्ज Entra ID सह एकत्रित केलेल्या RADIUS सर्व्हरकडे निर्देशित करा. वापरकर्त्याच्या डिरेक्टरी ग्रुप मेंबरशिपच्या आधारे मानक टनेल ॲट्रिब्युट्स (Tunnel-Type=13, Tunnel-Medium-Type=6, Tunnel-Private-Group-ID=50 किंवा 60) परत करण्यासाठी RADIUS सर्व्हर कॉन्फिगर करा. MDM द्वारे सर्व कॉर्पोरेट लॅपटॉपवर सर्टिफिकेट व्हॅलिडेशन सक्तीचे करा.

परीक्षकाचे भाष्य: हे खरे आयडेंटिटी-बेस्ड नेटवर्किंग (Identity-Based Networking) दर्शवते. ॲक्सेस पॉइंट RADIUS प्रतिसादाच्या आधारे डायनॅमिकली VLAN नियुक्त करतो. महत्त्वाचे म्हणजे, सर्टिफिकेट व्हॅलिडेशन सक्तीचे केल्याने बनावट AP (rogue AP) हल्ल्यांना प्रतिबंध होतो, जे एंटरप्राइझ सुरक्षेसाठी अनिवार्य आहे.

सराव प्रश्न

Q1. तुम्ही NETGEAR WAX620 वर Purple captive portal तैनात केले आहे. अतिथी WiFi शी कनेक्ट करू शकतात, परंतु त्यांच्या ब्राउझरमध्ये स्प्लॅश पेजऐवजी 'Cannot reach destination' एरर दिसते. सर्वात संभाव्य कॉन्फिगरेशन त्रुटी कोणती आहे?

टीप: बाह्य सर्व्हरपर्यंत पोहोचण्यासाठी अतिथी पूर्णपणे ऑथेंटिकेट होण्यापूर्वी काय घडले पाहिजे याचा विचार करा.

नमुना उत्तर पहा

Walled Garden चुकीच्या पद्धतीने कॉन्फिगर केले आहे किंवा अपूर्ण आहे. NETGEAR ॲक्सेस पॉइंट Purple च्या सर्व्हरवरील सुरुवातीच्या ट्रॅफिकला ब्लॉक करत आहे. तुम्ही सर्व आवश्यक Purple CDN डोमेन्स, ऑथेंटिकेशन URLs आणि सोशल लॉगिन डोमेन्स Insight पोर्टलवरील Walled Garden च्या सूचीमध्ये जोडल्याची खात्री केली पाहिजे.

Q2. एका ठिकाणासाठी अतिथी captive portal आणि १० वेगवेगळ्या रिटेल भाडेकरूंसाठी सुरक्षित, स्वतंत्र WiFi दोन्ही आवश्यक आहे. त्यांना RF इंटरफेरन्स कमी करायचा आहे. तुम्ही NETGEAR ॲक्सेस पॉइंट्स कसे कॉन्फिगर कराल?

टीप: NETGEAR Insight मध्ये captive portals आणि PPSK एकत्र करण्याबाबत विशिष्ट मर्यादा आहेत.

नमुना उत्तर पहा

तुम्ही नेमके दोन SSIDs तयार केले पाहिजेत. NETGEAR एकाच SSID वर PPSK आणि Captive Portal ला सपोर्ट करत नाही. Purple कडे निर्देशित करणाऱ्या External Captive Portal सह 'Venue-Guest' तयार करा. WPA2 Personal सह 'Venue-Retail' तयार करा आणि १० युनिक पासवर्डसह Multi PSK (PPSK) कॉन्फिगर करा, ज्यातील प्रत्येक पासवर्ड वेगवेगळ्या VLAN वर मॅप होईल.

Q3. 802.1X वापरून कर्मचाऱ्यांसाठी डायनॅमिक VLAN असाइनमेंट कॉन्फिगर करताना, सर्व्हरने Access-Accept मेसेजमध्ये कोणते तीन RADIUS ॲट्रिब्युट्स परत केले पाहिजेत?

टीप: टनेल कॉन्फिगरेशनसाठी RFC 2868 मानक ॲट्रिब्युट्सचा विचार करा.

नमुना उत्तर पहा

RADIUS सर्व्हरने हे परत केले पाहिजे: [64] Tunnel-Type = 13 (VLAN), [65] Tunnel-Medium-Type = 6 (802), आणि [81] Tunnel-Private-Group-ID = [विशिष्ट VLAN ID स्ट्रिंग].

या मालिकेमध्ये पुढे वाचा

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

हा अधिकृत मार्गदर्शक Cisco Catalyst 9800 WLCs चे Purple WiFi सोबतच्या स्टेप-बाय-स्टेप इंटिग्रेशनची तपशीलवार माहिती देतो. यामध्ये गेस्ट कॅप्टिव्ह पोर्टल्ससाठी External Web Authentication, सुरक्षित कर्मचारी ऍक्सेससाठी 802.1X EAP-TLS, आणि मल्टी-टेनंट डायनॅमिक VLAN सेगमेंटेशनसाठी Cisco iPSK कव्हर केले आहे.

मार्गदर्शिका वाचा →

CommScope Ruckus चे Purple WiFi सोबत एकत्रीकरण: सेटअप आणि कॉन्फिगरेशन मार्गदर्शिका

हे तांत्रिक संदर्भ मार्गदर्शक Purple WiFi सोबत CommScope Ruckus आर्किटेक्चर समाकलित करण्यासाठी एक अधिकृत कॉन्फिगरेशन प्लेबुक प्रदान करते. यात Guest WiFi Captive Portals, 802.1X द्वारे सुरक्षित Staff WiFi, आणि Ruckus Dynamic PSK वापरून Multi-Tenant नेटवर्क अलगाव (network isolation) साठी चरण-दर-चरण उपयोजनांची तपशीलवार माहिती दिली आहे.

मार्गदर्शिका वाचा →

Allied Telesis Access Points चे Purple WiFi सोबत एकत्रीकरण

हे मार्गदर्शक Allied Telesis TQ-Series access points ला Purple WiFi सोबत एकत्रित करण्यासाठी एक सर्वसमावेशक कॉन्फिगरेशन प्लेबुक प्रदान करते. यामध्ये बाह्य Captive Portal रिडायरेक्शन, 802.1X RADIUS ऑथेंटिकेशन आणि सुरक्षित मल्टी-टेनंट डिप्लॉयमेंट्ससाठी Private Pre-Shared Keys (PPSK) वापरून डायनॅमिक VLAN स्टिअरिंग समाविष्ट आहे.

मार्गदर्शिका वाचा →