मुख्य मजकुराकडे जा
मराठी

SonicWall TZ आणि SonicWave चे Purple WiFi सोबत इंटिग्रेशन

हा तांत्रिक संदर्भ SonicWall TZ फायरवॉल्स आणि SonicWave APs चे Purple WiFi प्लॅटफॉर्मसह इंटिग्रेशन तपशीलवार सांगतो. हे captive portal रिडायरेक्शन, walled garden अपवाद, 802.1X ऑथेंटिकेशन आणि प्रायव्हेट प्री-शेअर्ड की (PPSK) वापरून डायनॅमिक VLAN स्टीअरिंगसाठी कृतीयोग्य कॉन्फिगरेशन पायऱ्या प्रदान करते.

📖 6 मिनिट वाचन📝 1,263 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
PURPLE WIFI सोबत SONICWALL TZ आणि SONICWAVE CHE इंटिग्रेशन Purple WiFi इंटेलिजन्स प्लॅटफॉर्म - तांत्रिक माहिती मालिका कालावधी: साधारणपणे १० मिनिटे आवाज: UK इंग्लिश, वरिष्ठ सल्लागाराचा टोन - आत्मविश्वासू, संभाषणात्मक, अधिकारयुक्त --- विभाग १: ओळख आणि संदर्भ (साधारणपणे १ मिनिट) Purple तांत्रिक माहिती मालिकेत आपले स्वागत आहे. आज आपण एंटरप्राइझ WiFi क्षेत्रातील अधिक तांत्रिकदृष्ट्या गुंतागुंतीच्या इंटिग्रेशन्सपैकी एकाचा आढावा घेत आहोत: SonicWall TZ फायरवॉल्स आणि SonicWave ॲक्सेस पॉइंट्स, जे गेस्ट ऑथेंटिकेशन, स्टाफ ॲक्सेस कंट्रोल आणि मल्टी-टेनंट नेटवर्क आयसोलेशनसाठी Purple सोबत तैनात केले आहेत. जर तुम्ही आयटी सुरक्षा अभियंता किंवा हॉटेल, रिटेल चेन्स, कॉन्फरन्स सेंटर्स किंवा मिश्र-वापर विकसित क्षेत्रांचे व्यवस्थापन करणारे MSP असाल - तर ही माहिती तुमच्यासाठी आहे. आपण आर्किटेक्चर, कॉन्फिगरेशनचे टप्पे आणि जिथे तैनाती (deployment) चुकते अशा ठिकाणांचा वेगाने आढावा घेणार आहोत. SonicWall हा SMB आणि मिड-मार्केट क्षेत्रात एक उत्तम पर्याय आहे. TZ सिरीजचे फायरवॉल्स मोठ्या प्रमाणावर तैनात केले जातात आणि SonicWave APs हे SonicOS आणि वायरलेस नेटवर्क मॅनेजरद्वारे नेटिव्हली इंटिग्रेट होतात. जेव्हा तुम्ही वरून Purple जोडता, तेव्हा तुम्हाला ब्रँडेड स्प्लॅश पेजेस, RADIUS-आधारित ऑथेंटिकेशन आणि फर्स्ट-पार्टी डेटा कॅप्चरसह क्लाउड-मॅनेज्ड गेस्ट WiFi स्तर मिळतो - आणि तेही तुमची सध्याची SonicWall इन्फ्रास्ट्रक्चर न बदलता. चला, आर्किटेक्चर समजून घेऊया. --- विभाग २: सखोल तांत्रिक माहिती (साधारणपणे ५ मिनिटे) येथे चार वेगळे युज केसेस आहेत आणि प्रत्येकाचा कॉन्फिगरेशन मार्ग वेगळा आहे. Captive Portal रिडायरेक्शनसह गेस्ट WiFi. Walled Garden अपवाद. 802.1X वापरून सुरक्षित स्टाफ WiFi. आणि डायनॅमिक VLAN स्टीयरिंगसह SonicWall प्रायव्हेट प्री-शेअर्ड की - PPSK - वापरून मल्टी-टेनंट आयसोलेशन. चला गेस्ट WiFi आणि SonicWall captive portal पासून सुरुवात करूया. SonicOS एक्सटर्नल captive portal रिडायरेक्ट्स हाताळण्यासाठी 'लाइटवेट हॉटस्पॉट मेसेजिंग' - LHM - नावाचे मेकॅनिझम वापरते. जेव्हा एखादा गेस्ट तुमच्या गेस्ट SSID शी कनेक्ट होतो आणि ब्राउझर उघडतो, तेव्हा SonicWall तो HTTP रिक्वेस्ट इंटरसेप्ट करते आणि ती Purple च्या स्प्लॅश पेज URL कडे रिडायरेक्ट करते. गेस्ट Purple च्या प्लॅटफॉर्मवर ऑथेंटिकेट करतो - सोशल लॉगिन, ईमेल किंवा क्लिक-थ्रूद्वारे - आणि Purple टीसीपी पोर्ट ४०४३ (TCP port 4043) वर SonicWall कडे LHM ऑथरायझेशन परत पाठवते. त्यानंतर SonicWall त्या डिव्हाइसच्या MAC ॲड्रेससाठी इंटरनेट ॲक्सेस सुरू करते. SonicOS 7.x मधील कॉन्फिगरेशन याप्रमाणे काम करते. प्रथम, Object वर जा, नंतर Match Objects, आणि नंतर Zones वर जा. तुमच्या गेस्ट WiFi ला नियुक्त केलेले झोन एडिट करा - सहसा WLAN किंवा कस्टम झोन. Guest Services अंतर्गत, "Enable Guest Services" आणि "External Guest Authentication" दोन्ही सक्षम करा. नंतर Configure, Guest Services, General वर जा. Client Redirect Protocol ला HTTP वर सेट करा. वेब सर्व्हर ॲड्रेस म्हणून Purple च्या पोर्टलचा होस्टनेम प्रविष्ट करा - जे portal.purple.ai आहे. रिडायरेक्ट पाथ तुमच्या व्हेन्यूच्या विशिष्ट स्प्लॅश पेज URL वर सेट करा, जी Purple द्वारे व्हेन्यू डॅशबोर्डमध्ये दिली जाते. पोर्ट ४०४३ आहे. Auth Pages टॅबवर, लॉगिन URL हे Purple च्या बाह्य पोर्टल URL वर सेट करा. तुम्हाला सेशन संपुष्टात आणायचे असल्यास लॉगआउट URL सेट करा. Advanced टॅबवर, तुम्हाला HTTPS-फर्स्ट डिव्हाइसेसना सपोर्ट करायचा असल्यास फक्त "Allow unauthenticated users to access HTTPS sites" सक्षम करा - परंतु लक्षात ठेवा यामुळे रिडायरेक्ट अंमलबजावणी कमकुवत होते. एकदा सेव्ह केल्यावर, SonicOS स्वयंचलितपणे NAT पॉलिसी आणि TCP 4043 ला परवानगी देणारा WAN-to-WAN ॲक्सेस नियम तयार करते. हे ऑटो-जनरेट केलेले नियम हटवू नका. यामुळेच LHM हँडशेक पूर्ण होऊ शकतो. आता, Walled Garden कॉन्फिगरेशन. गेस्टचे प्रमाणीकरण होण्यापूर्वी, स्प्लॅश पेज काम करण्यासाठी त्यांच्या डिव्हाइसला विशिष्ट डोमेन्सपर्यंत पोहोचणे आवश्यक आहे. Purple चे प्लॅटफॉर्म स्वतःच्या CDN आणि API एंडपॉइंट्सवर अवलंबून असते. OS चे Captive Portal डिटेक्शन प्रोब्स - iOS डिव्हाइसेससाठी captive.apple.com, Android साठी connectivitycheck.gstatic.com, आणि Windows साठी msftconnecttest.com - हे सर्व व्हाइटलिस्ट केलेले असणे आवश्यक आहे. तुम्ही सोशल लॉगिन ऑफर करत असल्यास, Google साठी accounts.google.com, oauth2.googleapis.com, apis.google.com, आणि gstatic.com जोडा. तुम्ही Facebook लॉगिन ऑफर करत असल्यास www.facebook.com, graph.facebook.com, connect.facebook.net, आणि fbcdn.net CDN डोमेन जोडा. SonicOS मध्ये, हे FQDN ॲड्रेस ऑब्जेक्ट्स म्हणून Object, Match Objects, Addresses अंतर्गत जोडा. त्यानंतर गेस्ट झोनमध्ये ॲक्सेस नियम तयार करा जे अप्रमाणित डिव्हाइसेसना या FQDNs पर्यंत पोहोचण्याची परवानगी देतात. स्टॅटिक IP एंट्रीज ऐवजी डायनॅमिक DNS रिझोल्यूशन वापरा - SonicOS नियमित अंतराने FQDN ऑब्जेक्ट्स रिझॉल्व्ह करते - कारण CDN IP रेंजेस बदलत राहतात. आता, 802.1X सह सुरक्षित स्टाफ WiFi कडे वळूया. येथेच SonicWave APs आणि Purple चे RADIUS सर्व्हर एकत्र काम करतात. SonicWave AP हे 802.1X एक्सचेंजमध्ये ऑथेंटिकेटर म्हणून काम करते. सप्लिकंट हे स्टाफचे डिव्हाइस आहे. Purple चे RADIUS सर्व्हर हे ऑथेंटिकेशन सर्व्हर आहे. तुम्ही निवडलेली EAP पद्धत तुमच्या आयडेंटिटी प्रोव्हाइडरवर अवलंबून असते. तुम्ही Microsoft Entra ID किंवा Okta वापरत असल्यास, PEAP-MSCHAPv2 हा सर्वात सामान्य पर्याय आहे कारण तो युझरनेम आणि पासवर्ड क्रेडेंशियल्ससह काम करतो. तुम्ही डिव्हाइस सर्टिफिकेट्स उपयोजित केले असल्यास - जे व्यवस्थापित डिव्हाइसेससाठी शिफारस केलेले आहे - तर EAP-TLS वापरा. Wireless Network Manager मध्ये, Policies, Policy Hierarchy वर जा, तुमची AP पॉलिसी निवडा आणि 802.1X टॅबवर क्लिक करा. Purple च्या RADIUS सेटिंग्ज विभागांतर्गत तुमच्या Purple व्हेन्यू डॅशबोर्डमध्ये उपलब्ध असलेला Purple चा RADIUS सर्व्हर IP ॲड्रेस प्रविष्ट करा. शेअर्ड सिक्रेट Purple द्वारे जनरेट केले जाते आणि ते दोन्ही बाजूंना तंतोतंत जुळले पाहिजे. ऑथेंटिकेशन पोर्ट १८१२ आणि अकाउंटिंग पोर्ट १८१३ वर सेट करा. EAP सेटिंग्जसाठी, तुमच्या आयडेंटिटी प्रोव्हाइडर कॉन्फिगरेशनशी जुळणारी पद्धत निवडा. Purple च्या बाजूने, कर्मचारी प्रमाणीकरणासाठी (staff authentication) RADIUS पॉलिसी तयार करा. कर्मचारी SSID चा एका विशिष्ट VLAN शी मॅप करा - उदाहरणार्थ, कर्मचाऱ्यांसाठी VLAN 200. Purple चा RADIUS सर्व्हर तीन मानक गुणधर्मांचा (standard attributes) वापर करून VLAN असाइनमेंट रिटर्न करतो: Tunnel-Type हा VLAN वर सेट केलेला असतो, Tunnel-Medium-Type हा 802 वर सेट केलेला असतो आणि Tunnel-Private-Group-ID हा स्ट्रिंग म्हणून VLAN ID वर सेट केलेला असतो - म्हणजेच VLAN 200 साठी "200". SonicWall फायरवॉल आणि SonicWave AP या गुणधर्मांचा आदर करतात आणि प्रमाणित कर्मचारी डिव्हाइसला स्वयंचलितपणे योग्य VLAN मध्ये समाविष्ट करतात. आता, आर्किटेक्चरच्या दृष्टीने सर्वात मनोरंजक केस: PPSK आणि मल्टी-टेनंट आयसोलेशन. Private Pre-Shared Keys तुम्हाला एकच SSID चालवण्याची आणि प्रत्येक भाडेकरू (tenant), रहिवासी किंवा वापरकर्ता गटाला एक युनिक पासफ्रेज असाइन करण्याची परवानगी देतात. जेव्हा एखादे डिव्हाइस विशिष्ट PPSK चा वापर करून कनेक्ट होते, तेव्हा SonicWave AP ती की प्रमाणीकरणासाठी Purple च्या RADIUS सर्व्हरकडे पाठवतो. Purple ती की शोधते, संबंधित भाडेकरू किंवा वापरकर्ता गट ओळखते आणि Tunnel-Private-Group-ID गुणधर्माद्वारे योग्य VLAN असाइनमेंट रिटर्न करते. त्यानंतर SonicWall त्या डिव्हाइसला योग्य VLAN मध्ये वळवते - जे त्याच SSID वरील इतर भाडेकरूंपासून पूर्णपणे आयसोलेटेड असते. हेच प्रत्यक्षात आयडेंटिटी-बेस्ड नेटवर्किंग (Identity-Based Networking) आहे. तुम्ही प्रति भाडेकरू SSID मॅनेज करत नाही आहात. तुम्ही प्रति भाडेकरू आयडेंटिटी मॅनेज करत आहात. दहा रिटेल युनिट्स असलेल्या मिक्स-यूज डेव्हलपमेंटमध्ये, संपूर्ण इमारतीमध्ये एकच SSID ब्रॉडकास्ट होतो. प्रत्येक भाडेकरूला स्वतःचा PPSK मिळतो. प्रत्येक PPSK एका समर्पित VLAN आणि सबनेटशी मॅप होतो. भाडेकरू A चे डिव्हाइसेस भाडेकरू B चा ट्रॅफिक कधीही पाहू शकत नाहीत, जरी ते समान फिजिकल ॲक्सेस पॉइंट्स शेअर करत असले तरीही. SonicOS मधील PPSK कॉन्फिगरेशनसाठी SSID वर RADIUS-आधारित PPSK मोड आवश्यक असतो. Wireless Network Manager मध्ये, SSID एडिट करा, सिक्युरिटी मोड WPA2-Enterprise with PPSK वर सेट करा आणि RADIUS सर्व्हरला Purple कडे पॉइंट करा. Purple हे PPSK-ते-VLAN मॅपिंग टेबल मध्यवर्तीरित्या मॅनेज करते. जेव्हा तुम्ही नवीन भाडेकरू जोडता, तेव्हा तुम्ही Purple मध्ये नवीन PPSK तयार करता, त्याला एक VLAN असाइन करता आणि फायरवॉल कॉन्फिगरेशनला स्पर्श न करता तो बदल त्या ठिकाणच्या सर्व SonicWave APs वर लागू होतो. --- SEGMENT 3: IMPLEMENTATION RECOMMENDATIONS AND PITFALLS (approximately 2 minutes) मला तुम्हाला SonicWall आणि Purple डिप्लॉयमेंटमध्ये सामान्यतः चुकीच्या होणाऱ्या तीन गोष्टी सांगू द्या. पहिली: LHM पोर्ट. TCP 4043 हा WAN कडून SonicWall च्या WAN इंटरफेससाठी उघडा असणे आवश्यक आहे. जर तुमच्या ISP किंवा अपस्ट्रीम फायरवॉलने हा पोर्ट ब्लॉक केला, तर LHM ऑथोरायझेशन हँडशेक कधीही पूर्ण होत नाही आणि अतिथी प्रमाणित झाल्यानंतरही स्प्लॅश पेजवर अडकून राहतात. त्यांना Purple च्या बाजूने यशस्वी लॉगिन दिसते, परंतु SonicWall ला कधीही ऑथोरायझेशन सिग्नल मिळत नाही. गो-लाइव्ह होण्यापूर्वी बाह्य IP वरून पोर्ट 4043 वर telnet किंवा curl चेक करून याची चाचणी घ्या. दुसरी: FQDN ऑब्जेक्ट रिझोल्यूशन टायमिंग. SonicOS बूट झाल्यावर आणि त्यानंतर एका कॉन्फिगर करण्यायोग्य अंतराने FQDN ॲड्रेस ऑब्जेक्ट्स रिझोल्व्ह करते. जर तुम्ही नवीन वॉल्ड गार्डन डोमेन जोडले आणि रिझोल्यूशन अजून रिफ्रेश झाले नसेल, तर अप्रमाणित डिव्हाइसेस तिथपर्यंत पोहोचू शकत नाहीत. नवीन FQDN ऑब्जेक्ट्स जोडल्यानंतर मॅन्युअल रिफ्रेश सक्तीने करा किंवा हाय-ट्रॅफिक डिप्लॉयमेंटमध्ये DNS रिफ्रेश इंटरव्हल ६० सेकंदांवर सेट करा. तिसरे: VLAN सब-इंटरफेस कॉन्फिगरेशन. RADIUS द्वारे डायनॅमिक VLAN असाइनमेंट केवळ तेव्हाच कार्य करते जेव्हा पहिले डिव्हाइस प्रमाणित होण्यापूर्वी लक्ष्यित VLANs SonicWall वर सब-इंटरफेस म्हणून अस्तित्वात असतात. जर RADIUS प्रतिसाद Tunnel-Private-Group-ID 110 परत करत असेल परंतु VLAN 110 SonicWall वर सब-इंटरफेस म्हणून अस्तित्वात नसेल, तर डिव्हाइस एकतर वगळले जाते किंवा डीफॉल्ट VLAN वर परत जाते. RADIUS VLAN असाइनमेंट सक्षम करण्यापूर्वी सर्व VLAN सब-इंटरफेस तयार करा आणि त्यांची चाचणी घ्या. अनेक ठिकाणे व्यवस्थापित करणाऱ्या MSPs साठी, Purple चे क्लाउड डॅशबोर्ड तुम्हाला RADIUS पॉलिसी, PPSK टेबल्स आणि स्प्लॅश पेज कॉन्फिगरेशन केंद्रीयकृत पद्धतीने व्यवस्थापित करू देते. तुम्ही एकाच इंटरफेसवरून सर्व ठिकाणांवर कॉन्फिगरेशन बदल लागू करू शकता. क्लाउड ओव्हरले दृष्टिकोनाचा हाच ऑपरेशनल फायदा आहे - SonicWall हार्डवेअर त्याच्या जागेवरच राहते आणि Purple त्यावरील ओळख आणि पॉलिसी स्तर हाताळते. --- विभाग ४: रॅपिड-फायर प्रश्नोत्तरे (साधारण १ मिनिट) काही प्रश्न जे वारंवार समोर येतात. "मी SonicWave APs स्टँडअलोन मोडमध्ये Purple सोबत वापरू शकतो का?" होय, परंतु तुम्ही काही कार्यक्षमता गमावाल. स्टँडअलोन मोडमध्ये, SonicWave APs त्यांचे स्वतःचे RADIUS कॉन्फिगरेशन स्थानिक पातळीवर व्यवस्थापित करतात. तुम्ही तरीही त्यांना 802.1X साठी Purple च्या RADIUS सर्व्हरकडे निर्देशित करू शकता. परंतु डायनॅमिक VLAN असाइनमेंटसह PPSK साठी, तुम्हाला RADIUS प्रॉक्सी म्हणून SonicWall TZ ची किंवा मध्यवर्तीरित्या AP पॉलिसी व्यवस्थापित करणाऱ्या वायरलेस नेटवर्क मॅनेजरची आवश्यकता असेल. "Purple SonicWave वर WPA3 ला सपोर्ट करते का?" SonicWave वरील WPA3 सपोर्ट फर्मवेअर व्हर्जन आणि AP मॉडेलवर अवलंबून असतो. SonicWave 600 सिरीज APs WPA3 ला सपोर्ट करतात. Captive Portal वापराच्या प्रकरणांसाठी, अपॉर्च्युनिस्टिक वायरलेस एन्क्रिप्शनसह WPA3 हे Purple च्या LHM रीडायरेक्ट फ्लोशी सुसंगत आहे, परंतु मोठ्या प्रमाणावर तैनात करण्यापूर्वी तुमच्या विशिष्ट फर्मवेअर व्हर्जनवर चाचणी घ्या. "स्प्लॅश पेजद्वारे गोळा केलेल्या अतिथींच्या डेटासाठी Purple GDPR चे कसे पालन करते?" Purple हे ISO 27001 प्रमाणित, GDPR सुसंगत आणि सायबर एसेन्शियल्स प्रमाणित आहे. स्प्लॅश पेजवर कॉन्फिगर करण्यायोग्य ऑप्ट-इन चेकबॉक्ससह संमती घेतली जाते. Purple तुमच्या डेटा रिटेंशन पॉलिसीनुसार फर्स्ट-पार्टी डेटा संग्रहित करते. अतिथी Purple च्या सेल्फ-सर्व्हिस पोर्टलद्वारे त्यांच्या डेटामध्ये प्रवेश करू शकतात आणि तो हटवू शकतात. "डायनॅमिक VLAN असाइनमेंटसाठी Purple कोणते RADIUS ॲट्रिब्युट्स परत करते?" तीन ॲट्रिब्युट्स: VLAN व्हॅल्यूसह Tunnel-Type, 802 व्हॅल्यूसह Tunnel-Medium-Type, आणि स्ट्रिंग म्हणून VLAN ID सह Tunnel-Private-Group-ID. हे SonicOS आणि SonicWave द्वारे समर्थित मानक RFC 2868 ॲट्रिब्युट्स आहेत. --- विभाग ५: सारांश आणि पुढील पावले (साधारण १ मिनिट) सारांश सांगायचा तर. SonicWall TZ फायरवॉल्स आणि SonicWave APs दोन प्राथमिक यंत्रणांद्वारे Purple सोबत समाकलित होतात: अतिथी Captive Portal रीडायरेक्शनसाठी LHM, आणि 802.1X कर्मचारी प्रमाणीकरण आणि PPSK-आधारित मल्टी-टेनंट आयसोलेशनसाठी RADIUS. मुख्य कॉन्फिगरेशन पावले पुढीलप्रमाणे आहेत: अतिथी झोनवर एक्सटर्नल गेस्ट ऑथेंटिकेशन सक्षम करा, पोर्ट 4043 वर Purple पोर्टल URL कॉन्फिगर करा, तुमचे वॉल्ड गार्डन FQDN ऑब्जेक्ट्स तयार करा, वायरलेस नेटवर्क मॅनेजरमध्ये SonicWave AP पॉलिसीवर RADIUS कॉन्फिगर करा आणि डायनॅमिक VLAN असाइनमेंट सक्षम करण्यापूर्वी तुमच्या SonicWall वर तुमचे VLAN सब-इंटरफेस तयार करा. मल्टी-टेनंट डिप्लॉयमेंट्ससाठी, RADIUS-आधारित VLAN स्टीयरिंगसह PPSK हे वापरण्यासाठी योग्य आर्किटेक्चर आहे. एक SSID, AP चा एक संच, आणि ओळख-आधारित VLAN असाइनमेंटद्वारे पूर्ण टेनंट आयसोलेशन. जर तुम्ही डिप्लॉयमेंटचे नियोजन करत असाल किंवा सध्याच्या डिप्लॉयमेंटचे पुनरावलोकन करत असाल, तर Purple ची तांत्रिक टीम ठिकाण-विशिष्ट RADIUS कॉन्फिगरेशन फाइल्स आणि वॉल्ड गार्डन डोमेन लिस्ट प्रदान करू शकते. Purple प्लॅटफॉर्म ८०,००० लाईव्ह ठिकाणांना सपोर्ट करतो आणि २०२४ मध्ये ४४० दशलक्ष लॉगइनवर प्रक्रिया केली आहे - आम्ही आज समाविष्ट केलेले इंटिग्रेशन पॅटर्न मोठ्या प्रमाणावर सिद्ध झाले आहेत. ऐकल्याबद्दल धन्यवाद. स्टेप-बाय-स्टेप कॉन्फिगरेशन टेबल्स आणि Mermaid आर्किटेक्चर डायग्राम्ससह संपूर्ण लिखित मार्गदर्शिका Purple वेबसाइटवर उपलब्ध आहे. --- स्क्रिप्ट समाप्त

header_image.png

执行摘要

将 SonicWall 网络基础设施与 Purple 的云覆盖层集成,可提供企业级访问控制以及先进的第一方数据捕获。本指南涵盖了四个不同用例的技术实现:具有 Captive Portal 重定向的访客 WiFi、Walled Garden 例外情况、使用 802.1X 的安全员工 WiFi,以及使用具有动态 VLAN 引导的 SonicWall 私有预共享密钥 (PPSK) 的多租户隔离。

我们每年在超过 80,000 个活跃场所处理 4.4 亿次登录。下面详述的架构已在酒店、零售和公共部门环境中得到大规模验证。它允许您保留现有的 SonicWall 硬件,同时将身份管理、Splash 页面托管和 RADIUS 身份验证卸载到 Purple 云。

技术深挖

该集成依赖于两种主要机制:用于 Captive Portal 重定向的轻量级热点消息传递 (LHM),以及用于 802.1X 和 PPSK 身份验证的 RADIUS。

通过 LHM 进行 Captive Portal 重定向

SonicOS 使用 LHM 处理外部 captive portal 重定向。当未通过身份验证的访客设备尝试访问互联网时,SonicWall TZ 防火墙会拦截 HTTP 请求,并将客户端重定向到 Purple 托管的 splash 页面。访客完成身份验证流程(例如,社交登录、表单填写)。然后,Purple 通过 TCP 端口 4043 向 SonicWall 发送回 LHM 授权数据包。收到此数据包后,SonicWall 将更新其内部访问控制列表,允许该设备的 MAC 地址访问互联网。

architecture_overview.png

Walled Garden 架构

在身份验证之前,访客设备将保留在受限区域中。Walled Garden 是允许设备访问以渲染 splash 页面并完成登录过程的特定完全限定域名 (FQDN) 集合。这包括 Purple 的 CDN (cdn.purple.ai)、身份验证 API (api.purple.ai) 以及 Google Workspace、Microsoft Entra ID 和 Meta 等第三方身份提供商所需的域名。

SonicOS 使用 FQDN 地址对象实现 walled garden。防火墙对这些对象执行动态 DNS 解析,并自动更新允许的 IP 范围。这至关重要,因为身份提供商和 CDN 使用动态 IP 分配;静态 IP 白名单将不可避免地失效。

安全员工 WiFi 和 802.1X

对于员工网络,SonicWave AP 充当 802.1X 认证器,将请求代理至 Purple 的 RADIUS 服务器。我们建议对使用证书的托管设备使用 EAP-TLS,或针对 Microsoft Entra ID 等目录使用 PEAP-MSCHAPv2 进行用户名/密码认证。认证成功后,Purple 会返回标准的 RADIUS 属性(Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID),以将设备动态分配给正确的员工 VLAN。

使用 PPSK 的多租户隔离

基于身份的网络(Identity-Based Networks)消除了对复杂多 SSID 部署的需求。使用 SonicWall PPSK,单个 SSID(例如“Multi-Tenant-WiFi”)可在整个场馆内广播。每个租户都会收到一个唯一的密码。当设备使用特定的 PPSK 进行关联时,SonicWave AP 会向 Purple 的 RADIUS 服务器验证该密钥。Purple 识别该租户并返回关联的 VLAN ID。然后,SonicWall 将流量引导至隔离的租户 VLAN 中。

ppsk_vlan_diagram.png

实施指南

1. 配置 SonicWall Captive Portal (LHM)

要在运行 SonicOS 7.x 的 SonicWall TZ 系列上配置外部 Captive Portal:

  1. 导航至 Object > Match Objects > Zones。编辑分配给您的访客网络的区域(例如 WLAN)。
  2. Guest Services 选项卡下,启用 Enable Guest ServicesExternal Guest Authentication
  3. 导航至 Configure > Guest Services > General
  4. Client Redirect Protocol 设置为 HTTP
  5. Web Server 地址设置为 portal.purple.ai
  6. Port 设置为 4043
  7. Auth Pages 选项卡下,将 Login URL 设置为 Purple 场馆控制面板中提供的特定展示页面 URL。
  8. 保存配置。SonicOS 将自动生成 NAT 策略和 WAN 到 WAN 的访问规则以允许 TCP 端口 4043。请勿修改这些自动生成的规则。

2. 构建 Walled Garden

为所需的域名创建 FQDN 地址对象,并将它们添加到地址组中。将此组应用于访客区域中的允许规则。

所需的 Purple 域名:

  • *.purple.ai
  • *.purpleportal.net

操作系统 Captive Portal 探测:

  • captive.apple.com (iOS/macOS)
  • connectivitycheck.gstatic.com (Android)
  • msftconnecttest.com (Windows)

常见的社交登录域名 (Google):

  • accounts.google.com
  • oauth2.googleapis.com
  • apis.google.com
  • *.gstatic.com

3. 为 SonicWave AP 配置 RADIUS

要通过 Wireless Network Manager 将 SonicWave AP 与 Purple RADIUS 集成:

  1. 导航至 Policies > Policy Hierarchy 并选择您的 AP 策略。
  2. 选择 802.1X 选项卡。
  3. 输入 Purple RADIUS 服务器 IP 地址(可在您的 Purple 控制面板中找到)。
  4. 输入由 Purple 生成的共享密钥。
  5. Authentication Port 设置为 1812,将 Accounting Port 设置为 1813
  6. 根据您的身份提供商选择合适的 EAP 方法。

4. 配置动态 VLAN 引导

在启用动态分配之前,确保目标 VLAN 作为子接口存在于 SonicWall TZ 防火墙上。

在 Purple 控制面板中,将用户组或 PPSK 映射到目标 VLAN ID。Purple 在成功验证后将返回以下属性:

  • Tunnel-Type = VLAN (13)
  • Tunnel-Medium-Type = 802 (6)
  • Tunnel-Private-Group-ID = [VLAN ID](例如,"110")

最佳实践

  • 测试 LHM 端口可见性:必须能够从互联网访问 SonicWall WAN 接口的 TCP 端口 4043。在上线前使用外部端口扫描器对此进行测试。如果 ISP 阻止了此端口,授权数据包将丢失,访客将一直受阻于展示页面。
  • 预先配置 VLAN 子接口:如果在验证事件发生之前未在 SonicWall 上配置目标 VLAN 子接口,动态 VLAN 引导将静默失败。设备将退回到默认的未标记 VLAN。
  • 强制基于 Web 的 OAuth:确保您的展示页面配置强制执行基于 Web 的 OAuth 流程。深层链接到原生社交媒体应用(例如 Facebook iOS 应用)通常会中断 Captive Portal 流程,因为原生应用流量会被 Walled Garden 阻止。
  • 优化 DNS 刷新间隔:SonicOS 会定期解析 FQDN 对象。在体育场或交通枢纽等高周转环境中,请将 Walled Garden 对象的 DNS 刷新间隔设置为 60 秒,以确保准确跟踪 CDN IP 更改。

故障排除与风险缓解

现象:访客完成了展示页面登录,但无法访问互联网。 原因:TCP 4043 上的 LHM 授权数据包未到达 SonicWall。 解决方法:验证自动生成的 WAN 到 WAN 访问规则是否存在。检查上游 ISP 路由器是否有端口阻止。确保 SonicWall WAN IP 在 Purple 控制面板中正确注册。

现象:展示页面加载失败,或社交登录按钮返回 CORS 错误。 原因:Walled Garden 配置不完整。 解决方法:在未验证状态下连接测试设备。使用浏览器开发者工具(Network 选项卡)识别被阻止的 HTTPS 请求。在 SonicOS 中将失败的域名添加为 FQDN 地址对象。

现象:员工设备通过 802.1X 进行身份验证,但从默认 VLAN 而不是分配的 VLAN 获取 IP 地址。 原因:SonicWall 上不存在目标 VLAN 子接口,或者 RADIUS 属性格式错误。 解决方法:验证 VLAN 子接口是否处于活动状态。检查 Purple RADIUS 日志以确认 Tunnel-Private-Group-ID 是否作为与 VLAN ID 匹配的字符串值发送。

ROI 与业务影响

将 SonicWall 基础设施与 Purple 一起部署,可将标准的网络成本中心转变为可衡量的业务资产。

对于拥有200个网点的零售连锁店,从通用的预共享密钥过渡到品牌化的 Captive Portal,通常会在六个月内使已知客户画像增加40%。这些第一方数据可直接集成至CRM系统,从而推动精准营销活动并增加回头客流量。

在联合办公空间或学生公寓等多租户环境中,支持动态VLAN引导的PPSK消除了为每个租户管理专用硬件的运营开销。您只需部署一个物理网络,并根据身份进行逻辑划分。这在降低高达60%硬件资本支出的同时,还能保持严格符合ISO 27001标准的网络隔离。

महत्वाच्या व्याख्या

Lightweight Hotspot Messaging (LHM)

बाह्य Captive Portals शी संवाद साधण्यासाठी SonicWall द्वारे वापरला जाणारा प्रोटोकॉल. हा रिडायरेक्ट आणि ऑथरायझेशन हँडशेक हाताळतो.

Purple सारख्या क्लाउड-व्यवस्थापित अतिथी WiFi प्लॅटफॉर्मसह SonicOS समाकलित करण्यासाठी आवश्यक.

Walled Garden

डोमेन किंवा आयपी (IP) पत्त्यांचा एक विशिष्ट संच ज्यांना अनधिकृत (unauthenticated) उपकरणांना ॲक्सेस करण्याची परवानगी असते.

अतिथी उपकरणांना पूर्ण इंटरनेट ॲक्सेस मिळण्यापूर्वी स्प्लॅश पेज लोड करण्यासाठी, CDNs ॲक्सेस करण्यासाठी आणि सोशल लॉगिन OAuth प्रवाह पूर्ण करण्यासाठी अत्यंत आवश्यक.

Private Pre-Shared Key (PPSK)

एक सुरक्षा पद्धत जिथे एकाच SSID वर एकापेक्षा जास्त अनन्य पासफ्रेजेस वैध असतात, ज्यामध्ये प्रत्येक पासफ्रेज विशिष्ट वापरकर्त्याशी किंवा पॉलिसीशी जोडलेली असते.

मल्टी-टेनंट वातावरणात एकापेक्षा जास्त SSIDs ब्रॉडकास्ट न करता ट्रॅफिक वेगळे करण्यासाठी वापरले जाते.

Captive Network Assistant (CNA)

अंगभूत OS मेकॅनिझम (iOS, Android, Windows वर) जे captive portal शोधते आणि ऑथेंटिकेशनसाठी स्वयंचलितपणे मर्यादित ब्राउझर विंडो उघडते.

जर OS प्रोब डोमेन (उदा. captive.apple.com) हे walled garden मध्ये नसतील, तर CNA ट्रिगर होणार नाही आणि अतिथींना वाटेल की WiFi खराब झाले आहे.

Dynamic VLAN Steering

एखाद्या उपकरणाला ते ज्या SSID शी जोडलेले आहे त्याऐवजी त्याच्या ओळखीच्या किंवा क्रेडेन्शियल्सच्या आधारे विशिष्ट VLAN वर नियुक्त करण्याची प्रक्रिया.

SonicWall ला Tunnel-Private-Group-ID ॲट्रिब्यूट परत करणाऱ्या Purple RADIUS द्वारे व्यवस्थापित केले जाते.

FQDN Address Object

स्थिर आयपी (IP) पत्त्याऐवजी फुल्ली क्वालिफाइड डोमेन नेम (Fully Qualified Domain Name) वर आधारित फायरवॉल ऑब्जेक्ट.

SonicOS या ऑब्जेक्ट्सचे डायनॅमिकपणे रिझोल्यूशन करते, ज्यामुळे ते मजबूत walled garden कॉन्फिगरेशनसाठी आवश्यक बनतात.

Identity-Based Network

एक नेटवर्क आर्किटेक्चर जिथे ॲक्सेस पॉलिसी आणि वर्गीकरण भौतिक पोर्ट किंवा SSIDs ऐवजी ऑथेंटिकेट केलेल्या वापरकर्त्यावर किंवा उपकरणावर आधारित लागू केले जाते.

Purple RADIUS ला SonicWall PPSK आणि 802.1X सोबत एकत्रित करून मिळवले जाते.

Tunnel-Private-Group-ID

कनेक्ट करणाऱ्या उपकरणासाठी VLAN ID निर्दिष्ट करण्यासाठी वापरले जाणारे मानक RFC 2868 RADIUS ॲट्रिब्यूट.

SonicWall ला उपकरणाला स्टीअर (दिशा निर्देशित) करण्याची सूचना देण्यासाठी Purple द्वारे स्ट्रिंग मूल्य (उदा. "100") म्हणून परत केले जाणे आवश्यक आहे.

सोडवलेली उदाहरणे

एका १५० खोल्यांच्या हॉटेलला (Premier Inn) स्प्लॅश पेजद्वारे विनावूल्य Guest WiFi आणि हाऊसकीपिंग उपकरणांसाठी सुरक्षित Staff WiFi नेटवर्क प्रदान करणे आवश्यक आहे. त्यांच्याकडे SonicWall TZ570 आणि ४० SonicWave APs आहेत. त्यांनी या ट्रॅफिकचे वर्गीकरण कसे करावे?

दोन SSIDs तैनात करा. SSID 1: VLAN 100 वर मॅप केलेले 'Guest-WiFi'. TCP 4043 वरील portal.purple.ai ला निर्देशित करणाऱ्या External Guest Authentication साठी SonicWall WLAN झोन कॉन्फिगर करा. Purple आणि सोशल लॉगिनसाठी walled garden FQDNs कॉन्फिगर करा. SSID 2: 802.1X वापरून VLAN 200 वर मॅप केलेले 'Staff-WiFi'. SonicWave AP पॉलिसी Purple च्या RADIUS सर्व्हरवर निर्देशित करा. MAC address bypass (MAB) किंवा PEAP-MSCHAPv2 द्वारे हाऊसकीपिंग उपकरणांचे ऑथेंटिकेशन करण्यासाठी Purple कॉन्फिगर करा, जे Tunnel-Private-Group-ID '200' परत करेल.

परीक्षकाचे भाष्य: हा दृष्टिकोन अविश्वासू अतिथी ट्रॅफिकला ऑपरेशनल सिस्टीमपासून काटेकोरपणे वेगळे करतो. captive portal आणि RADIUS ऑथेंटिकेशन या दोन्हीसाठी Purple वापरल्याने ओळख व्यवस्थापन (identity management) केंद्रीकृत होते. हेडलेस उपकरणांसाठी (जसे की क्लिनिंग कार्ट्स) MAB योग्य आहे, तर 802.1X कर्मचाऱ्यांचे फोन सुरक्षित करते.

एक कोवर्किंग स्पेस एका ओपन-प्लॅन ऑफिसचा वापर करणाऱ्या १५ वेगवेगळ्या कंपन्यांचे व्यवस्थापन करते. त्यांना त्यांच्या SonicWave APs वरून १५ वेगवेगळे SSIDs ब्रॉडकास्ट न करता प्रत्येक कंपनीसाठी सुरक्षित, वेगळे नेटवर्क प्रदान करायचे आहे.

PPSK सह WPA2-Enterprise वापरून 'Workspace-Secure' नावाचे एकच SSID तैनात करा. SonicWall TZ फायरवॉलवर १५ VLAN सब-इंटरफेस तयार करा (उदा. VLANs 101-115). Purple डॅशबोर्डमध्ये, प्रत्येक कंपनीसाठी एक युनिक PPSK जनरेट करा आणि ते त्यांच्या विशिष्ट VLAN ID वर मॅप करा. जेव्हा एखादा युझर त्यांच्या कंपनीचे PPSK वापरून कनेक्ट करतो, तेव्हा Purple RADIUS संबंधित Tunnel-Private-Group-ID परत करतो आणि SonicWall त्या उपकरणाला आयसोलेटेड VLAN मध्ये निर्देशित करते.

परीक्षकाचे भाष्य: हे ओळख-आधारित (Identity-Based) नेटवर्क डिझाइन उत्तम प्रकारे स्केल होते. १५ SSIDs ब्रॉडकास्ट केल्याने गंभीर मॅनेजमेंट फ्रेम ओव्हरहेड होईल आणि WiFi कामगिरी खराब होईल. PPSK मल्टिपल SSIDs च्या RF पेनल्टीशिवाय युनिक क्रेडेंशियल्सची सुरक्षा आणि समर्पित VLANs चे पृथक्करण प्रदान करते.

सराव प्रश्न

Q1. तुम्ही External Guest Authentication साठी SonicWall गेस्ट झोन कॉन्फिगर केला आहे आणि वेब सर्व्हर portal.purple.ai वर सेट केला आहे. अतिथी स्प्लॅश पेजवर रीडायरेक्ट होतात आणि यशस्वीरित्या लॉग इन करू शकतात, परंतु त्यांना कधीही इंटरनेटचा ॲक्सेस मिळत नाही. याचे सर्वात संभाव्य कारण काय आहे?

टीप: प्रमाणीकरण (authentication) यशस्वी झाले आहे हे Purple द्वारे SonicWall ला कसे कळवले जाते याचा विचार करा.

नमुना उत्तर पहा

LHM ऑथरायझेशन पॅकेट ब्लॉक केले जात आहे. Purple कडून यशस्वी सिग्नल प्राप्त करण्यासाठी SonicWall WAN इंटरफेसवर TCP पोर्ट 4043 उघडा असणे आवश्यक आहे. पोर्ट ब्लॉकिंगसाठी अपस्ट्रीम फायरवॉल किंवा ISP कॉन्फिगरेशन तपासा.

Q2. एका ठिकाणाला त्यांच्या स्प्लॅश पेजवर Facebook लॉगिन ऑफर करायचे आहे. तुम्ही walled garden FQDN ॲड्रेस ग्रुपमध्ये www.facebook.com जोडता. अतिथी तक्रार करतात की Facebook लॉगिन पेज लोड होते, परंतु स्टायलिंग बिघडलेले आहे आणि लॉगिन बटण काम करत नाही.

टीप: आधुनिक वेब ॲप्लिकेशन्स मल्टिपल डोमेन्समधून ॲसेट्स लोड करतात.

नमुना उत्तर पहा

walled garden अपूर्ण आहे. तुम्ही Facebook चे CSS, JavaScript आणि API कॉल्स सर्व्ह करणारे डोमेन्स देखील व्हाईटलिस्ट केले पाहिजेत, विशेषतः graph.facebook.com, connect.facebook.net आणि CDN डोमेन (उदा. *.fbcdn.net).

Q3. तुम्ही मल्टी-टेनंट ऑफिससाठी PPSK उपयोजित (deploy) करत आहात. तुम्ही PPSK सह WPA2-Enterprise साठी SSID कॉन्फिगर करता आणि RADIUS सर्व्हर Purple कडे निर्देशित करता. तुम्ही Purple मध्ये VLAN 50 वर मॅप केलेली PPSK तयार करता. जेव्हा एखादा वापरकर्ता त्या PPSK सह कनेक्ट करतो, तेव्हा त्यांना VLAN 50 ऐवजी VLAN 10 कडून IP ॲड्रेस मिळतो. असे का?

टीप: RADIUS विनंती पूर्ण होण्यापूर्वी ट्रॅफिक कुठे पाठवायचे हे SonicWall ला माहित असणे आवश्यक आहे.

नमुना उत्तर पहा

VLAN 50 हे SonicWall TZ फायरवॉलवर सब-इंटरफेस म्हणून तयार केलेले नाही. डायनॅमिक VLAN स्टिअरिंगसाठी लक्ष्यित VLAN फायरवॉलवर आधीपासून अस्तित्वात असणे आवश्यक आहे; जर ते नसेल, तर डिव्हाइस डीफॉल्ट अनटॅग केलेल्या VLAN वर (या प्रकरणात, VLAN 10) परत जाते.

या मालिकेमध्ये पुढे वाचा

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

हा अधिकृत मार्गदर्शक Cisco Catalyst 9800 WLCs चे Purple WiFi सोबतच्या स्टेप-बाय-स्टेप इंटिग्रेशनची तपशीलवार माहिती देतो. यामध्ये गेस्ट कॅप्टिव्ह पोर्टल्ससाठी External Web Authentication, सुरक्षित कर्मचारी ऍक्सेससाठी 802.1X EAP-TLS, आणि मल्टी-टेनंट डायनॅमिक VLAN सेगमेंटेशनसाठी Cisco iPSK कव्हर केले आहे.

मार्गदर्शिका वाचा →

CommScope Ruckus चे Purple WiFi सोबत एकत्रीकरण: सेटअप आणि कॉन्फिगरेशन मार्गदर्शिका

हे तांत्रिक संदर्भ मार्गदर्शक Purple WiFi सोबत CommScope Ruckus आर्किटेक्चर समाकलित करण्यासाठी एक अधिकृत कॉन्फिगरेशन प्लेबुक प्रदान करते. यात Guest WiFi Captive Portals, 802.1X द्वारे सुरक्षित Staff WiFi, आणि Ruckus Dynamic PSK वापरून Multi-Tenant नेटवर्क अलगाव (network isolation) साठी चरण-दर-चरण उपयोजनांची तपशीलवार माहिती दिली आहे.

मार्गदर्शिका वाचा →

Allied Telesis Access Points चे Purple WiFi सोबत एकत्रीकरण

हे मार्गदर्शक Allied Telesis TQ-Series access points ला Purple WiFi सोबत एकत्रित करण्यासाठी एक सर्वसमावेशक कॉन्फिगरेशन प्लेबुक प्रदान करते. यामध्ये बाह्य Captive Portal रिडायरेक्शन, 802.1X RADIUS ऑथेंटिकेशन आणि सुरक्षित मल्टी-टेनंट डिप्लॉयमेंट्ससाठी Private Pre-Shared Keys (PPSK) वापरून डायनॅमिक VLAN स्टिअरिंग समाविष्ट आहे.

मार्गदर्शिका वाचा →