मुख्य मजकुराकडे जा
मराठी

Purple WiFi सह Zyxel Nebula Cloud आणि USG Integration

हे तांत्रिक संदर्भ मार्गदर्शक Zyxel Nebula Cloud आणि USG Flex Firewalls चे Purple WiFi प्लॅटफॉर्मसोबतच्या एंड-टू-एंड Integration बद्दल माहिती देते. हे गेस्ट Captive Portal रिडायरेक्शन, RADIUS ऑथेंटिकेशन, Walled Garden सेटअप, 802.1X वापरून सुरक्षित Staff WiFi, आणि डायनॅमिक VLAN असाइनमेंटसह Zyxel Private Pre-Shared Keys (PPSK) वापरून मल्टी-टेनंट नेटवर्क सेगमेंटेशनसाठी टप्प्याटप्प्याने कॉन्फिगरेशन सूचना प्रदान करते. हॉस्पिटॅलिटी, रिटेल आणि मल्टी-टेनंट ठिकाणी WiFi तैनात करणारे IT मॅनेजर्स, MSPs आणि नेटवर्क आर्किटेक्ट्सना PCI DSS, IEEE 802.1X आणि GDPR सह उद्योग मानकांवर आधारित कृतीयोग्य मार्गदर्शन मिळेल.

📖 9 मिनिट वाचन📝 2,234 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 9 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
Welcome to the Purple Technical Briefing Series. I am your host, and today we are covering a crucial deployment scenario for IT managers and network architects: integrating Zyxel Nebula Cloud and USG Flex Firewalls with Purple WiFi. If you are deploying guest WiFi across a hotel chain, a retail estate, or a multi-tenant environment, this episode is for you. Let us get straight into the architecture. First, why this integration? Zyxel provides robust hardware, and Nebula offers centralised cloud management. But when you deploy WiFi at scale - say, across 50 retail branches or a 200-room hotel - you need more than basic connectivity. You need a structured authentication flow, compliant data capture, and dynamic network segmentation. That is where Purple comes in. We integrate with Zyxel via RADIUS and external captive portal redirection to deliver Identity-Based Networks. Let us walk through the core configuration on Zyxel Nebula. The process starts with your SSID settings. You navigate to Site-wide, Configure, Access points, and then SSID advanced settings. Here, you enable the external captive portal URL. You will input the specific Purple redirect URL provided in your Purple portal. But redirection alone is not enough; you must configure the Walled Garden. The Walled Garden defines which domains a guest device can reach before authentication. This is a common pitfall. You must whitelist the Purple portal domains, any asset CDNs, and the standard OS captive portal detection endpoints. In Nebula, you add these domains line by line. If you miss a domain, the splash page will fail to load properly, and your guests will be stuck. Next, we configure the RADIUS server. In the SSID advanced settings, you select WPA2-Enterprise with My RADIUS server, or configure MAC-based authentication depending on your flow. You enter the Purple RADIUS IP address, set the authentication port to 1812, the accounting port to 1813, and input the shared secret. Always configure the backup RADIUS server to ensure high availability. Now, let us discuss a more advanced scenario: Multi-Tenant segmentation using Zyxel Private Pre-Shared Keys, or PPSK. In environments like student accommodation or coworking spaces, you want a single SSID, but you need to isolate traffic per tenant. Zyxel PPSK allows you to issue a unique WiFi password to each user. When they connect, the Nebula controller dynamically assigns them to a specific VLAN based on that password. You configure this under Cloud Authentication by selecting DPPSK and assigning the corresponding VLAN ID. It reduces SSID overhead and significantly improves security. What about the USG Flex firewall? If you are running the gateway on-premise, you must ensure your firewall rules and zone policies align with your wireless segments. You typically create dedicated zones for Guest, Staff, and Multi-Tenant traffic. The Guest zone must only have outbound internet access, with strict rules blocking access to the LAN or DMZ zones. Let us move to implementation recommendations and common pitfalls. The most frequent issue we see is walled garden misconfiguration. If a guest connects and sees a blank page, check your whitelist. Use browser developer tools to identify blocked CDN requests. The second issue is RADIUS timeouts. Ensure your upstream firewalls allow UDP ports 1812 and 1813 outbound to the Purple cloud platform. Time for a rapid-fire Q and A. Question one: Do I need a dedicated VLAN for Guest WiFi? Answer: Yes. Always isolate guest traffic on a dedicated VLAN. This is mandatory for PCI DSS compliance if your venue processes payments on the same physical infrastructure. Question two: Can I use Purple with Zyxel standalone APs without Nebula? Answer: Yes, but managing the RADIUS and portal settings per AP is inefficient. We strongly recommend using Nebula Control Center for centralised management. Question three: How does Purple handle MAC address randomisation? Answer: Purple relies on the MAC address provided by the Zyxel controller via RADIUS accounting. While devices randomise MACs per network, they keep the same MAC for your specific SSID, allowing session persistence during their visit. To summarise: Integrating Zyxel Nebula with Purple requires precise configuration of the external captive portal URL, a comprehensive Walled Garden, and accurate RADIUS settings. For multi-tenant venues, leverage Zyxel PPSK for dynamic VLAN steering. Get these elements right, and you deliver a secure, scalable WiFi experience that captures valuable first-party data. If you are planning a deployment, review the full technical guide for step-by-step instructions and architecture diagrams. Thank you for listening, and we will see you on the next technical briefing.

header_image.png

कार्यकारी सारांश

Zyxel Nebula Cloud आणि USG Flex Firewalls हॉटेल चेनपासून ते रिटेल इस्टेट्सपर्यंत हजारो एंटरप्राइझ ठिकाणी तैनात केले आहेत. जेव्हा तुम्ही हे हार्डवेअर Purple सोबत इंटिग्रेट करता, तेव्हा तुम्ही एक सुसंगत, डेटा-कॅप्चरिंग गेस्ट ऑथेंटिकेशन लेयर जोडता जो मानक वायरलेस नेटवर्कला फर्स्ट-पार्टी डेटा ॲसेटमध्ये रूपांतरित करतो. हे मार्गदर्शक चार डिप्लॉयमेंट सिनेरियो कव्हर करते: एक्सटर्नल स्प्लॅश पेजद्वारे गेस्ट Captive Portal रिडायरेक्शन, RADIUS-आधारित ऑथेंटिकेशन आणि अकाउंटिंग, IEEE 802.1X वापरून सुरक्षित Staff WiFi, आणि Zyxel Dynamic Personal Pre-Shared Keys (DPPSK) वापरून मल्टी-टेनंट नेटवर्क सेगमेंटेशन. Purple ८०,०००+ पेक्षा जास्त लाइव्ह ठिकाणी कार्यरत आहे आणि २०२४ मध्ये ४४० दशलक्ष लॉगिन प्रक्रियेतून गेले आहेत (Purple अंतर्गत डेटा). याकडे ISO 27001, GDPR, CCPA आणि Cyber Essentials सर्टिफिकेशन्स आहेत. येथे वर्णन केलेले integration आर्किटेक्चर प्लॅटफॉर्म स्तरावर हार्डवेअर-अग्नॉस्टिक आहे, परंतु या मार्गदर्शकातील विशिष्ट कॉन्फिगरेशन पाथ आणि पॅरामीटर्स Zyxel Nebula Control Center (NCC) आणि सध्याच्या फर्मवेअरवर चालणाऱ्या USG Flex Firewalls ला लागू होतात.

एंटरप्राइझ WiFi सुरक्षा आर्किटेक्चरच्या विस्तृत दृश्यासाठी, आमचे Enterprise WiFi Security: २०२६ साठी एक संपूर्ण मार्गदर्शक पहा.

तांत्रिक सखोल विश्लेषण

Integration आर्किटेक्चर

Zyxel आणि Purple integration हे क्रमाने काम करणाऱ्या तीन मानक प्रोटोकॉलवर अवलंबून आहे: HTTP रिडायरेक्ट (Captive Portal डिटेक्शन), RADIUS ऑथेंटिकेशन (UDP 1812), आणि RADIUS अकाउंटिंग (UDP 1813). जेव्हा एखादे गेस्ट डिव्हाइस Guest WiFi SSID शी कनेक्ट होते, तेव्हा Zyxel ॲक्सेस पॉइंट पहिला HTTP रिक्वेस्ट अडवतो आणि Purple च्या एक्सटर्नल Captive Portal URL वर HTTP 302 रिडायरेक्ट जारी करतो. गेस्ट Purple स्प्लॅश पेजवर - ईमेल, सोशल लॉगिन किंवा SMS द्वारे - ऑथेंटिकेट करतो आणि Purple Zyxel कंट्रोलरला परत RADIUS Access-Accept संदेश पाठवते. कंट्रोलर इंटरनेट ॲक्सेस मंजूर करतो आणि सेशन डेटा रेकॉर्ड करण्यासाठी RADIUS Accounting Start पॅकेट्स पाठवण्यास सुरुवात करतो.

architecture_overview.png

Zyxel USG Flex Firewall वायरलेस सेगमेंट आणि WAN च्या दरम्यान असतो. हे झोन-आधारित सुरक्षा धोरणे लागू करते जे Guest, Staff आणि Multi-Tenant VLANs एकमेकांपासून आणि कॉर्पोरेट LAN पासून वेगळे करतात. Nebula Control Center हे Nebula क्लाउडवर पोर्ट 443 वर HTTPS द्वारे ॲक्सेस पॉइंट्स आणि SSID कॉन्फिगरेशनचे केंद्रीय व्यवस्थापन करते.

RADIUS पॅरामीटर्स

खालील तक्ता तुमच्या Purple ॲडमिन कन्सोलमधून तुम्हाला आवश्यक असलेल्या RADIUS कॉन्फिगरेशन पॅरामीटर्सचा सारांश देतो.

पॅरामीटर मूल्य
प्रायमरी RADIUS IP Purple ॲडमिन कन्सोलमध्ये प्रदान केलेला
सेकंडरी RADIUS IP Purple ॲडमिन कन्सोलमध्ये प्रदान केलेला
ऑथेंटिकेशन पोर्ट UDP 1812
अकाउंटिंग पोर्ट UDP 1813
शेअर्ड सिक्रेट Purple ॲडमिन कन्सोलमध्ये प्रदान केलेले
NAS आयडेंटिफायर AP MAC ॲड्रेस किंवा साइटच्या नावावर सेट करा
कॉल्ड स्टेशन ID AP MAC ॲड्रेस

नेहमी प्रायमरी आणि सेकंडरी दोन्ही RADIUS सर्व्हर कॉन्फिगर करा. एकच RADIUS एंडपॉइंट हा सिंगल पॉइंट ऑफ फेल्युअर असतो, ज्यामुळे सर्व्हर अनरिचेबल असल्यास गेस्ट लॉक आउट होतील.

Walled Garden कॉन्फिगरेशन

Walled Garden (ज्याला व्हाइटलिस्ट देखील म्हटले जाते) ऑथेंटिकेशन पूर्ण करण्यापूर्वी एखादे डिव्हाइस ज्या डोमेन्स आणि IP रेंजपर्यंत पोहोचू शकते ते परिभाषित करते. Zyxel Nebula मध्ये, तुम्ही हे Site-wide > Configure > Access points > Captive portal customisation > Captive portal advance setting अंतर्गत कॉन्फिगर करू शकता.

तुम्ही खालील श्रेणीतील नोंदी समाविष्ट करणे आवश्यक आहे:

  • Purple पोर्टल डोमेन आणि सर्व सबडोमेन्स (वाइल्डकार्ड फॉरमॅट वापरा: *.purple.ai)
  • पोर्टलचे CSS, JavaScript आणि इमेज ॲसेट्स सर्व्ह करणारे CDN डोमेन्स
  • जर तुम्ही Facebook, Google किंवा Microsoft साइन-इन सक्षम केले असेल तर सोशल लॉगिन प्रोव्हाइडर डोमेन्स
  • Apple Captive Portal डिटेक्शन: captive.apple.com
  • Google कनेक्टिव्हिटी चेक: connectivitycheck.gstatic.com
  • Microsoft NCSI: www.msftconnecttest.com

यापैकी कोणतीही नोंद गहाळ झाल्यास विशिष्ट प्रकारच्या डिव्हाइसेसवर स्प्लॅश पेज रेंडर होण्यात अडचण येईल. विशेषतः iOS डिव्हाइसेसवर जर Apple CNA एंडपॉइंट योग्यरित्या हाताळला गेला नाही, तर कोरा मिनी-ब्राउझर दिसेल.

IEEE 802.1X वापरून सुरक्षित Staff WiFi

स्टाफ नेटवर्कसाठी, तुम्ही शेअर्ड PSK वापरू नये. IEEE 802.1X (IEEE 802.1X-2020 मानकामध्ये परिभाषित) प्रति वापरकर्ता वैयक्तिक क्रेडेंशियल्स वापरून पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोल प्रदान करते. Nebula मध्ये, तुम्ही SSID सुरक्षा WPA2-Enterprise वर सेट करून आणि ऑथेंटिकेशन एकतर Nebula Cloud Authentication Server (NCAS) किंवा RADIUS प्रॉक्सीद्वारे Microsoft Entra ID किंवा Okta सारख्या बाह्य RADIUS सर्व्हरकडे निर्देशित करून हे कॉन्फिगर करू शकता.

WPA3-Enterprise डिप्लॉयमेंटसाठी, कॉन्फिगरेशन पाथ सारखाच आहे परंतु तुम्ही सुरक्षा पर्यायांमध्ये WPA3 निवडता. WPA3 प्रोटेक्टेड मॅनेजमेंट फ्रेम्स (PMF) अनिवार्य करते आणि ऑफलाइन डिक्शनरी हल्ल्यांना चांगल्या प्रकारे तोंड देण्यासाठी सायमलटेनियस ऑथेंटिकेशन ऑफ इक्वल्स (SAE) वापरते.

मल्टी-टेनंट ठिकाणांसाठी PPSK आणि डायनॅमिक VLAN असाइनमेंट

ppsk_vlan_diagram.png

Zyxel DPPSK (Dynamic Personal Pre-Shared Key) एकाच SSID ला अनेक आयसोलेटेड नेटवर्क सेगमेंट सर्व्ह करण्याची परवानगी देते. प्रत्येक वापरकर्त्याला किंवा डिव्हाइसला एक युनिक पासफ्रेज मिळतो. जेव्हा ते ऑथेंटिकेट करतात, तेव्हा Nebula कंट्रोलर तो पासफ्रेज DPPSK डेटाबेसमध्ये परिभाषित केलेल्या VLAN ID शी मॅप करतो. कोवर्किंग स्पेस, स्टुडंट अकॉमॉडेशन, बिल्ड-टू-रेंट (BTR) डेव्हलपमेंट्स आणि मल्टी-ड्वेलिंग युनिट्स (MDUs) साठी हा योग्य दृष्टिकोन आहे जिथे तुम्हाला डझनभर SSIDs ब्रॉडकास्ट न करता टेनंट आयसोलेशनची आवश्यकता असते.

DPPSK साठी Nebula Pro Pack लायसन्स आणि ॲक्सेस पॉइंट फर्मवेअर व्हर्जन 6.00 किंवा त्यापुढील आवृत्ती आवश्यक आहे. तुम्ही Nebula Control Center मध्ये Configure > Cloud authentication > DPPSK अंतर्गत DPPSK डेटाबेस कॉन्फिगर करू शकता. प्रत्येक एंट्रीमध्ये पासफ्रेज, पर्यायी एक्स्पायरी डेट, एक ईमेल ॲडवितरणासाठी पत्ता, आणि लक्ष्य VLAN ID.

एकाच वेळी अधिकृत केलेल्या DPPSK नोंदींची कमाल संख्या २,०४८ आहे. २,०४८ पेक्षा जास्त समवर्ती वापरकर्ते असलेल्या उपयोजनांसाठी, सक्रिय क्रेडेंशियल्स या मर्यादेत राहतील याची खात्री करण्यासाठी तुम्हाला कालबाह्यता तारखा काळजीपूर्वक व्यवस्थापित कराव्या लागतील.

अंमलबजावणी मार्गदर्शक

पायरी १: नेटवर्क इन्फ्रास्ट्रक्चर तयार करा

Nebula Control Center मध्ये बदल करण्यापूर्वी, USG Flex Firewall आणि डाउनस्ट्रीम स्विचेसवर तुमचे VLANs कॉन्फिगर करा.

  1. समर्पित सबनेटसह (उदाहरण: 192.168.10.0/24) एक Guest VLAN (उदाहरण: VLAN 10) तयार करा. या इंटरफेसवर DHCP सर्व्हर कॉन्फिगर करा.
  2. समर्पित सबनेटसह (उदाहरण: 192.168.20.0/24) एक Staff VLAN (उदाहरण: VLAN 20) तयार करा.
  3. मल्टी-टेनंट उपयोजनांसाठी, प्रति टेनंट अतिरिक्त VLANs तयार करा (उदाहरण: VLAN 30, 40, 50).
  4. USG Flex वर, VLAN 10 शी मॅप केलेला Guest Zone तयार करा. Guest Zone कडून WAN झोनकडे जाणाऱ्या ट्रॅफिकला अनुमती देणारे सुरक्षा धोरण तयार करा. Guest Zone कडून LAN झोनकडे जाणाऱ्या ट्रॅफिकला ब्लॉक करणारे deny-all धोरण तयार करा.
  5. Zyxel APs जोडणारे स्विच पोर्ट्स सर्व आवश्यक VLAN टॅग्ज वाहून नेणारे 802.1Q ट्रंक्स म्हणून कॉन्फिगर केले असल्याची खात्री करा.

पायरी २: Nebula Control Center मध्ये guest SSID कॉन्फिगर करा

  1. ncc.nebula.zyxel.com वर Nebula Control Center मध्ये लॉग इन करा.
  2. Site-wide > Configure > Access points > SSID settings वर जा.
  3. guest SSID सक्षम करा आणि Advanced mode टॉगल करा.
  4. लेयर २ क्लायंट आयसोलेशन सक्रिय करण्यासाठी Guest network सक्षम करा. हे अतिथी उपकरणांना एकाच SSID वर एकमेकांशी थेट संवाद साधण्यापासून रोखते.
  5. सेव्ह करा.

पायरी ३: बाह्य Captive Portal कॉन्फिगर करा

  1. Site-wide > Configure > Access points > SSID advanced settings वर जा.
  2. ड्रॉपडाउनमधून तुमचा guest SSID निवडा.
  3. Sign-in method अंतर्गत, सुरुवातीच्या रिडायरेक्टसाठी Click-to-continue निवडा, किंवा तुम्ही Purple चे RADIUS-आधारित MAC प्रमाणीकरण वापरत असल्यास My RADIUS server निवडा.
  4. Site-wide > Configure > Access points > Captive portal customisation वर जा.
  5. External captive portal URL अंतर्गत, तुमच्या Purple ॲडमिन कन्सोलमधील Purple रिडायरेक्ट URL प्रविष्ट करा. याचे स्वरूप https://[your-purple-domain]/[venue-id] असे आहे.
  6. Captive portal advance setting अंतर्गत, सर्व आवश्यक Walled Garden डोमेन्स प्रविष्ट करा.
  7. अतिथींना पोर्टल बायपास करण्यापासून रोखण्यासाठी Strict policy ला Block all access until sign-on वर सेट करा.
  8. तुमच्या ठिकाणाच्या सत्र धोरणाशी जुळण्यासाठी Reauth time सेट करा (सामान्यतः आदरातिथ्य क्षेत्रासाठी २४ तास, रिटेल लॉयल्टी प्रोग्रामसाठी ३० दिवस).
  9. सेव्ह करा.

पायरी ४: Nebula मध्ये RADIUS कॉन्फिगर करा

  1. SSID advanced settings मध्ये, Network access अंतर्गत, My RADIUS server निवडा.
  2. तुमच्या Purple ॲडमिन कन्सोलमधील Primary RADIUS server IP प्रविष्ट करा.
  3. Authentication port 1812 वर सेट करा.
  4. Shared secret प्रविष्ट करा.
  5. दुय्यम RADIUS सर्व्हरसाठी हीच प्रक्रिया पुन्हा करा.
  6. RADIUS accounting सक्षम करा आणि अकाउंटिंग पोर्ट 1813 वर सेट करा.
  7. सेव्ह करा.

पायरी ५: मल्टी-टेनंट सेगमेंटेशनसाठी DPPSK कॉन्फिगर करा

  1. Configure > Access points > SSID advanced settings वर जा.
  2. मल्टी-टेनंट SSID निवडा आणि Network access ला Dynamic personal PSK वर सेट करा.
  3. Configure > Cloud authentication > DPPSK वर जा.
  4. Add वर क्लिक करा आणि Batch create DPPSK निवडा.
  5. प्रत्येक टेनंट ग्रुपसाठी क्रेडेंशियल्सची संख्या, कालबाह्यता तारीख आणि लक्ष्य VLAN ID सेट करा.
  6. क्रेडेंशियल बॅच प्राप्त करण्यासाठी ईमेल पत्ता प्रविष्ट करा.
  7. सेव्ह करा आणि टेनंट्सना क्रेडेंशियल्स वितरित करा.

पायरी ६: उपयोजनाची पडताळणी करा

  1. चाचणी उपकरण Guest WiFi SSID शी कनेक्ट करा.
  2. उपकरण Purple स्प्लॅश पेजवर रिडायरेक्ट झाल्याची खात्री करा.
  3. प्रमाणीकरण पूर्ण करा आणि इंटरनेट प्रवेश मंजूर झाल्याची खात्री करा.
  4. Purple ॲडमिन कन्सोलमध्ये, सत्र विश्लेषक डॅशबोर्डमध्ये दिसत असल्याची पडताळणी करा.
  5. Nebula मध्ये, क्लायंट संबंधित आहे आणि योग्य VLAN वर नियुक्त केला आहे याची खात्री करण्यासाठी Access point > Monitor > Clients वर जा.
  6. टेनंट क्रेडेंशियलसह कनेक्ट करून आणि योग्य VLAN असाइनमेंटची खात्री करून DPPSK ची चाचणी घ्या.

सर्वोत्तम पद्धती

प्रत्येक प्रकारच्या ट्रॅफिकचे वर्गीकरण करा. Guest, Staff आणि IoT ट्रॅफिक प्रत्येकाने समर्पित VLAN वापरणे आवश्यक आहे. जर तुमचे ठिकाण त्याच भौतिक पायाभूत सुविधांवर कार्ड पेमेंट प्रक्रियेत आणत असेल तर हे ऐच्छिक नाही - PCI DSS v4.0 ला कार्डधारक डेटा वातावरण आणि अतिथी नेटवर्क दरम्यान नेटवर्क सेगमेंटेशन आवश्यक आहे.

RADIUS रिडंडन्सी वापरा. Nebula मध्ये प्राथमिक आणि दुय्यम दोन्ही Purple RADIUS IPs कॉन्फिगर करा. एकच RADIUS सर्व्हर निकामी झाल्यास समस्येचे निवारण होईपर्यंत सर्व अतिथी प्रमाणीकरण थांबेल.

Walled Garden चे नियमितपणे ऑडिट करा. पोर्टल विक्रेते त्यांचे CDN कॉन्फिगरेशन अपडेट करतात. उपयोजनाच्या वेळी कार्यरत असलेले डोमेन सहा महिन्यांनंतर बंद पडू शकते जर विक्रेत्याने मालमत्ता नवीन CDN वर स्थलांतरित केल्या. तुमच्या Walled Garden नोंदींचे त्रैमासिक पुनरावलोकन शेड्यूल करा.

RADIUS accounting सक्षम करा. अकाउंटिंगशिवाय, Purple सत्राचा कालावधी, डेटा वापर ट्रॅक करू शकत नाही किंवा वेळ-आधारित प्रवेश मर्यादा लागू करू शकत नाही. अकाउंटिंग डेटा WiFi Analytics डॅशबोर्डला देखील माहिती पुरवतो.

हार्डवेअर सपोर्ट करत असेल तिथे WPA3 लागू करा. २०२१ पासून रिलीज झालेले Zyxel ॲक्सेस पॉइंट्स WPA3 ला सपोर्ट करतात. Staff WiFi साठी, १९२-बिट सुरक्षा मोडसह WPA3-Enterprise हे एंटरप्राइझ वायरलेस सुरक्षेसाठी NIST SP 800-187 च्या शिफारसींशी सुसंगत आहे.

गो-लाइव्ह होण्यापूर्वी CNA वर्तनाची चाचणी घ्या. iOS वर, Captive Network Assistant (CNA) मिनी-ब्राउझरमध्ये पूर्ण ब्राउझरच्या तुलनेत मर्यादित कार्यक्षमता असते. अतिथींसाठी उपयोजित करण्यापूर्वी CNA वातावरणात तुमच्या Purple स्प्लॅश पेजची चाचणी घ्या - विशेषतः सोशल लॉगिन फ्लो आणि सानुकूल JavaScript.

आदरातिथ्य उपयोजनांसाठी, अतिथी आणि बॅक-ऑफ-हाउस नेटवर्कचे वर्गीकरण करण्याबाबतचे आमचे मार्गदर्शन देखील पहा. रिटेल वातावरणासाठी, पॉईंट-ऑफ-सेल सिस्टीमला खरेदीदार WiFi पासून वेगळे करण्यासाठी हाच PPSK दृष्टिकोन लागू होतो.

त्रुटी निवारण आणि जोखीम कमी करणे

स्प्लॅश पेज लोड होण्यात अयशस्वी

लक्षण: अतिथी SSID शी कनेक्ट होतो परंतु CNA मध्ये कोरे पान किंवा ब्राउझर त्रुटी पाहतो.

कारण: स्प्लॅश पेजसाठी आवश्यक असलेले एक किंवा अधिक डोमेन्स W मध्ये नाहीतalled Garden.

Resolution: Guest SSID शी एक चाचणी डिव्हाइस कनेक्ट करा. ब्राउझर उघडा (CNA नाही) आणि कोणत्याही HTTP URL वर जा. पोर्टलवर रिडायरेक्ट केल्यावर, ब्राउझरचे डेव्हलपर टूल्स उघडा आणि Network टॅब तपासा. 403 किंवा connection-refused एरर देणाऱ्या कोणत्याही विनंत्या ओळखा. हे डोमेन्स Nebula Walled Garden मध्ये जोडा.

Guests authenticate but do not get internet access

Symptom: अतिथी पोर्टल फॉर्म पूर्ण करतो आणि यश दर्शवणारे पेज पाहतो, परंतु इंटरनेट ब्राउझिंग अयशस्वी होते.

Cause: Zyxel कंट्रोलरला Purple कडून RADIUS Access-Accept मिळत नाही आहे, किंवा USG Flex फायरवॉल RADIUS प्रतिसादाला ब्लॉक करत आहे.

Resolution: Zyxel AP मॅनेजमेंट IP कडून Purple RADIUS सर्व्हर IP कडे आउटबाउंड UDP पोर्ट्स 1812 आणि 1813 ला परवानगी असल्याची खात्री करा. ब्लॉक केलेल्या ट्रॅफिकसाठी USG Flex सुरक्षा पॉलिसी लॉग तपासा.

RADIUS accounting data missing from Purple dashboard

Symptom: सेशन्स Nebula मध्ये दिसतात परंतु Purple ॲनालिटिक्स डॅशबोर्डवर कोणताही सेशन कालावधी डेटा दिसत नाही.

Cause: Nebula SSID कॉन्फिगरेशनमध्ये RADIUS Accounting सक्षम केलेले नाही, किंवा UDP पोर्ट 1813 ब्लॉक केले आहे.

Resolution: SSID प्रगत सेटिंग्जमध्ये RADIUS अकाउंटिंग सक्षम असल्याची खात्री करा. अकाउंटिंग पोर्ट 1813 वर सेट केले आहे आणि शेअर केलेला सिक्रेट Purple कॉन्फिगरेशनशी जुळत असल्याची पडताळणी करा.

DPPSK users assigned to wrong VLAN

Symptom: भाडेकरू त्यांच्या PPSK सह कनेक्ट होतो परंतु चुकीच्या नेटवर्क सेगमेंटवर ठेवला जातो.

Cause: DPPSK डेटाबेस एंट्री मधील VLAN ID हा स्विच ट्रंक किंवा USG Flex इंटरफेसवर कॉन्फिगर केलेल्या VLAN शी जुळत नाही.

Resolution: Nebula DPPSK डेटाबेसमधील VLAN ID चा अपस्ट्रीम स्विच आणि USG Flex वरील VLAN कॉन्फिगरेशनशी क्रॉस-रेफरन्स तपासा. AP स्विच पोर्ट हा सर्व भाडेकरू VLAN वाहून नेणारा ट्रंक असल्याची खात्री करा.

ROI & business impact

Zyxel इन्फ्रास्ट्रक्चरला Purple सोबत एकत्रित केल्याने खर्च-केंद्रित वायरलेस नेटवर्कचे रूपांतर महसूल देणाऱ्या डेटा मालमत्तेत होते. २०० खोल्यांच्या हॉटेलसाठी, WiFi लॉगिनवर अतिथींचे ईमेल पत्ते आणि मार्केटिंग संमती मिळवल्याने एक CRM डेटाबेस तयार होतो जो थेट बुकिंग मोहिमांना चालना देतो - ज्यामुळे OTA कमिशनवरील अवलंबित्व कमी होते. रिटेल चेनसाठी, Purple चे Guest WiFi प्लॅटफॉर्म फूट ट्रॅफिक ॲनालिटिक्स, ड्वेल टाइम डेटा आणि पुन्हा भेट देण्याचे दर प्रदान करते जे कर्मचारी आणि मर्चेंडायझिंगच्या निर्णयांची माहिती देतात.

मल्टी-टेनंट ऑपरेटर्ससाठी - BTR डेव्हलपमेंट्स, विद्यार्थी निवास, कोवर्किंग स्पेस - Purple सह Zyxel DPPSK तैनात केल्याने प्रति भाडेकरू स्वतंत्र SSIDs आणि क्रेडेंशियल्स व्यवस्थापित करण्याचा ऑपरेशनल ओव्हरहेड दूर होतो. डायनॅमिक VLAN असाइनमेंटसह एकच SSID आरएफ हस्तक्षेप कमी करतो, ऑनबोर्डिंग सुलभ करतो आणि अतिरिक्त इन्फ्रास्ट्रक्चरशिवाय शेकडो रहिवाशांपर्यंत स्केल करतो.

Purple चे ९९.९९९% अपटाइम SLA हे सुनिश्चित करते की प्रमाणीकरण स्तर अतिथींच्या प्रवेशासाठी अडथळा बनणार नाही. प्लॅटफॉर्मवर गोळा केलेल्या २९ अब्ज डेटा पॉइंट्ससह (Purple अंतर्गत डेटा), Purple ॲडमिन कन्सोलद्वारे वितरित केलेले ॲनालिटिक्स ठिकाणच्या ऑपरेटर्सना कृतीयोग्य माहिती प्रदान करतात जे तैनाती (deployment) च्या पहिल्या तिमाहीतच एकत्रीकरण गुंतवणुकीचे समर्थन करतात.

healthcare आणि transport वातावरणासाठी जेथे अभ्यागत WiFi ही एक नियंत्रित सेवा आहे, Purple च्या captive portal मध्ये अंगभूत असलेले GDPR-सुसंगत डेटा कॅप्चर आणि संमती व्यवस्थापन व्यवस्थापित नसलेल्या खुल्या नेटवर्कशी संबंधित अनुपालन जोखीम दूर करते.

हे देखील पहा: वेगळ्या हार्डवेअर प्लॅटफॉर्मवरील अशाच प्रकारच्या एकत्रीकरण पॅटर्नसाठी Arista Cognitive Wi-Fi चे Purple WiFi सोबत एकत्रीकरण .

महत्वाच्या व्याख्या

Captive portal

A web page that intercepts unauthenticated HTTP traffic from a connected device and requires the user to interact or authenticate before internet access is granted.

The primary mechanism Purple uses to capture guest data and enforce terms of service on Zyxel Guest WiFi networks.

Walled Garden

A list of IP addresses and domain names that a device can access before completing captive portal authentication.

Configured in Nebula under Captive portal advance setting. Must include all Purple portal domains, CDN endpoints, and OS connectivity check URLs.

RADIUS

Remote Authentication Dial-In User Service. A networking protocol providing centralised Authentication, Authorisation, and Accounting (AAA) management for network access.

Purple acts as the RADIUS server. Zyxel APs send authentication requests on UDP 1812 and accounting data on UDP 1813.

DPPSK

Dynamic Personal Pre-Shared Key. A Zyxel Nebula feature that issues unique WiFi passphrases on a single SSID, mapping each passphrase to a specific VLAN.

Used in multi-tenant venues to isolate resident or tenant traffic without broadcasting multiple SSIDs. Requires Nebula Pro Pack.

VLAN

Virtual Local Area Network. A logical network segment that isolates traffic at Layer 2, regardless of the physical switch or AP infrastructure.

Mandatory for separating Guest, Staff, and Multi-Tenant traffic. Required for PCI DSS compliance in venues that process card payments.

IEEE 802.1X

An IEEE standard for port-based network access control that uses the Extensible Authentication Protocol (EAP) to authenticate individual users or devices before granting network access.

Used for Staff WiFi in Nebula by selecting WPA2-Enterprise or WPA3-Enterprise with either the Nebula Cloud Authentication Server or an external RADIUS server.

CNA

Captive Network Assistant. The pseudo-browser that iOS and macOS devices automatically open when they detect a captive portal on a WiFi network.

Has limited JavaScript and cookie support compared to a full browser. Purple splash pages must be tested in the CNA environment before deployment.

Identity-Based Networks

A network architecture where access policies, VLAN assignments, and bandwidth limits are dynamically applied based on the authenticated identity of the user or device.

The outcome of combining Zyxel DPPSK with Purple's RADIUS platform. Each user gets the right network segment automatically at connection time.

NCC

Nebula Control Center. Zyxel's cloud-based network management platform for centrally configuring and monitoring Zyxel access points, switches, and firewalls.

All SSID, captive portal, RADIUS, and DPPSK configurations described in this guide are performed within NCC.

सोडवलेली उदाहरणे

A 200-room hotel is deploying Zyxel Nebula access points and a USG Flex 500 firewall. They need guest WiFi with a branded splash page, a separate staff network with individual credentials, and an IoT network for smart TVs and thermostats - all without broadcasting more than three SSIDs.

The IT team configures three SSIDs. The first is 'Hotel-Guest', an open SSID with the Purple external captive portal URL configured in Nebula. Guests are redirected to a branded Purple splash page where they submit their email and accept marketing consent. RADIUS authentication and accounting point to the Purple cloud platform on ports 1812 and 1813. The second SSID is 'Hotel-Staff', configured with WPA2-Enterprise and the Nebula Cloud Authentication Server. Each staff member has a unique username and password in the NCAS database, mapped to VLAN 20. The third SSID is 'Hotel-IoT', configured with DPPSK. Each smart TV and thermostat receives a unique passphrase mapped to VLAN 30. The USG Flex enforces zone policies: Guest (VLAN 10) can only reach the WAN. Staff (VLAN 20) can reach the WAN and internal management systems. IoT (VLAN 30) is restricted to specific local services only.

परीक्षकाचे भाष्य: This architecture achieves full segmentation with minimal SSID overhead. Using DPPSK for IoT devices provides device-level isolation without requiring 802.1X supplicants, which headless devices cannot support. The Purple integration on the guest SSID captures first-party data at scale while the staff SSID maintains enterprise-grade security via individual 802.1X credentials.

A coworking space operator manages 12 tenants across three floors. Each tenant needs isolated internet access and must not be able to reach other tenants' devices. The operator wants to issue WiFi credentials at move-in and revoke them at move-out, without changing the SSID or reconfiguring the APs.

The operator deploys a single 'CoWork-Connect' SSID with DPPSK enabled in Nebula. At move-in, they log in to the Nebula Control Center, navigate to Configure > Cloud authentication > DPPSK, and create a new credential for the tenant with the target VLAN ID matching that tenant's network segment. They set an expiry date matching the lease end date and email the credential to the tenant. At move-out, they delete the DPPSK entry. The credential immediately becomes invalid and the tenant's devices can no longer associate. Layer 2 isolation is enabled on the SSID to prevent cross-tenant communication even within the same VLAN.

परीक्षकाचे भाष्य: DPPSK provides a clean lifecycle management model for multi-tenant environments. The expiry date feature automates offboarding without requiring manual AP reconfiguration. The 2,048 concurrent credential limit is well within the capacity of a 12-tenant coworking space. For larger deployments, operators should plan credential rotation schedules to stay within this limit.

सराव प्रश्न

Q1. You have configured the Purple captive portal URL in Zyxel Nebula and enabled the external portal. Guests connect to the SSID but report that the splash page takes over 30 seconds to load and appears visually broken - missing images and layout. What is the most likely cause and how do you resolve it?

टीप: Consider what controls access to external resources before a guest has authenticated.

नमुना उत्तर पहा

The Walled Garden configuration is incomplete. The Purple splash page loads CSS, JavaScript, and image assets from CDN domains. If these domains are not whitelisted in the Nebula Captive portal advance setting, the AP blocks those requests before authentication is complete. Resolution: connect a test device to the Guest SSID, open a browser (not the CNA mini-browser), navigate to any HTTP URL to trigger the redirect, then open developer tools and inspect the Network tab. Identify any requests returning 403 or connection errors. Add those domains to the Nebula Walled Garden and retest.

Q2. A venue operator wants to provide isolated networks for 15 different retail tenants in a shopping centre. Their initial plan is to broadcast 15 separate SSIDs from their Zyxel APs. Why is this approach problematic, and what should they deploy instead?

टीप: Think about RF airtime and the Zyxel feature designed specifically for this use case.

नमुना उत्तर पहा

Broadcasting 15 SSIDs generates 15 sets of beacon frames per access point per second. In a dense retail environment with multiple APs, this beacon overhead consumes significant airtime and degrades throughput for all connected devices. The correct approach is to broadcast a single SSID and enable Zyxel DPPSK. Each tenant receives a unique passphrase mapped to their dedicated VLAN ID. When a tenant device connects, the Nebula controller dynamically assigns it to the correct VLAN. This achieves full traffic isolation with a single SSID and minimal RF overhead.

Q3. After deploying the Zyxel and Purple integration, guests can authenticate successfully and browse the internet. However, the Purple analytics dashboard shows zero session duration data and the time-based access limit feature is not working. What is missing from the configuration?

टीप: Authentication and session tracking use different ports and protocols.

नमुना उत्तर पहा

RADIUS Accounting is either not enabled in the Nebula SSID configuration or UDP port 1813 is blocked by the upstream firewall. Authentication (UDP 1812) is succeeding, which is why guests can connect. But without Accounting packets (Start, Interim-Update, Stop), Purple cannot track session duration, enforce time limits, or populate the analytics dashboard. Resolution: confirm RADIUS accounting is enabled in SSID advanced settings with the accounting port set to 1813 and the correct shared secret. Then verify the upstream firewall permits outbound UDP 1813 from the Zyxel AP management IP to the Purple RADIUS server IP.

या मालिकेमध्ये पुढे वाचा

DrayTek Vigor राउटर आणि ऍक्सेस पॉईंट्सचे Purple WiFi सोबत एकत्रीकरण

हे मार्गदर्शक DrayTek Vigor राउटर आणि VigorAP ऍक्सेस पॉईंट्सना Purple च्या क्लाउड प्लॅटफॉर्मसह एकत्रित करण्यासाठी टप्प्याटप्प्याने तांत्रिक सूचना प्रदान करते. यामध्ये Guest WiFi साठी DrayTek Captive Portal कॉन्फिगरेशन, सुरक्षित Staff WiFi साठी 802.1X ऑथेंटिकेशन, Walled Garden सेटअप आणि डायनॅमिक VLAN असाइनमेंटसह मल्टी-टेनंट नेटवर्क सेगमेंटेशनसाठी DrayTek Multiple PSK (PPSK) कॉन्फिगरेशन समाविष्ट आहे. हे हॉस्पिटॅलिटी, रिटेल आणि मल्टी-टेनंट ठिकाणी Purple तैनात करणाऱ्या IT इंस्टॉलर्स आणि SMB नेटवर्क प्रशासकांसाठी डिझाइन केले आहे.

मार्गदर्शिका वाचा →

Alcatel-Lucent Enterprise (ALE) OmniAccess चे Purple WiFi सोबत एकत्रीकरण

हे मार्गदर्शक Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar ॲक्सेस पॉइंट्स आणि Purple WiFi मधील तांत्रिक एकत्रीकरणाचा तपशील देते. यामध्ये Captive Portal रिडायरेक्शन, RADIUS ऑथेंटिकेशन, Walled Garden कॉन्फिगरेशन, सुरक्षित 802.1X Staff WiFi, आणि प्रायव्हेट प्री-शेअर्ड की (PPSK) सह डायनॅमिक VLAN स्टिअरिंग वापरून मल्टी-टेनंट WiFi सेगमेंटेशन समाविष्ट आहे - जे IT व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्सना ALE हार्डवेअरवर आयडेंटिटी-बेस्ड नेटवर्क्स तैनात करण्यासाठी एक संपूर्ण, कृतीयोग्य संदर्भ प्रदान करते.

मार्गदर्शिका वाचा →

Cisco Meraki साठी Captive Portal

Cisco Meraki MR ॲक्सेस पॉइंट्सला Purple च्या क्लाउड Captive Portal सोबत समाकलित करण्यासाठी एक अधिकृत, मध्यम-स्तरीय तांत्रिक संदर्भ मार्गदर्शिका. यामध्ये उच्च-कार्यक्षमता असलेल्या गेस्ट WiFi उपयोजनांसाठी टप्प्याटप्प्याने Meraki डॅशबोर्ड कॉन्फिगरेशन, RADIUS सर्व्हर सेटिंग्ज (पोर्ट्स 1812/1813), Walled Garden वाइल्डकार्ड डोमेन अपवाद आणि सेशन टाइमआउट पॅरामीटर्स समाविष्ट आहेत.

मार्गदर्शिका वाचा →