सर्वांवर नियंत्रण ठेवण्यासाठी तीन SSIDs: अतिथी, Passpoint, आणि IoT WiFi सेटअप मार्गदर्शक

Purple च्या तांत्रिक माहिती मालिकेमध्ये आपले स्वागत आहे. आज आपण थ्री-SSID WiFi डिझाइनबद्दल जाणून घेणार आहोत - हे असे नेटवर्क आर्किटेक्चर आहे जे अतिथी प्रवेश (guest access), सुरक्षित स्वयंचलित ऑनबोर्डिंग आणि IoT डिव्हाइस व्यवस्थापन या सर्वांना तीन विशिष्ट उद्देशांसाठी तयार केलेल्या वायरलेस नेटवर्क अंतर्गत एकत्रित करते. जर तुम्ही हॉटेल, रिटेल इस्टेट, स्टेडियम किंवा कॉन्फरन्स सेंटरमध्ये WiFi चालवत असाल, तर २०२५ आणि त्यानंतर तुम्ही हेच डिझाइन तैनात (deploy) केले पाहिजे. [medium pause] प्रथम मला संदर्भ स्पष्ट करू द्या. आम्हाला आढळणाऱ्या बहुतांश ठिकाणी अजूनही फार-फार तर दोन SSIDs वापरले जातात - एक अतिथी (guest) नेटवर्क आणि दुसरे ढोबळमानाने कर्मचारी (staff) नेटवर्क म्हणून ओळखले जाणारे. अडचण अशी आहे की त्या दोन नेटवर्कवरच सर्व काही चालते. कार्ड टर्मिनल्स आणि अतिथींचे स्मार्टफोन्स एकाच सेगमेंटवर असतात. कंत्राटदार तुमच्या डिजिटल साईनएजसारख्याच SSID शी कनेक्ट होतात. IoT सेन्सर्स आणि व्हिडिओ स्ट्रीमिंग करणारे भेट देणारे युजर्स एकाच बँडविड्थचा वापर करतात. ही कोणतीही सुरक्षित रचना नाही, तर हे एक दायित्व (liability) आहे. थ्री-SSID डिझाइन प्रत्येक प्रकारच्या डिव्हाइस आणि युझरला त्यांचे स्वतःचे समर्पित नेटवर्क, स्वतःचे VLAN आणि स्वतःची प्रमाणीकरण (authentication) पद्धत देऊन ही समस्या सोडवते. तीन SSIDs. तीन VLANs. एक सुसंगत सुरक्षा आर्किटेक्चर. [medium pause] चला, आपण यातील प्रत्येकाची सविस्तर माहिती घेऊया. SSID क्रमांक एक म्हणजे तुमचे ओपन Guest WiFi आहे. हे पारंपारिक Captive Portal नेटवर्क आहे - जे तुमच्या भेट देणाऱ्यांना त्यांचा फोन उघडल्यावर आणि कनेक्ट केल्यावर दिसते. हे ओपन असते, म्हणजेच कोणताही प्री-शेअर्ड की (pre-shared key) नसतो, कारण तुम्हाला कनेक्शनच्या वेळी कोणतीही अडचण नको असते. याचे प्रमाणीकरण (authentication) हे पोर्टल लेयरवर होते. भेट देणारा युझर कनेक्ट होतो, त्याला स्प्लॅश पेजवर रिडायरेक्ट केले जाते, तो तुमच्या सेवा अटी (terms of service) स्वीकारतो आणि पर्याय म्हणून ईमेल पत्ता किंवा फोन नंबर देतो. GDPR अनुपालनासाठी (compliance) ही त्यांची स्वतःहून दिलेली संमती (opt-in) असते. Purple चे प्लॅटफॉर्म हे मूळ स्वरूपात हाताळते - पोर्टल फर्स्ट-पार्टी डेटा गोळा करते, संमतीची टाइमस्टॅम्प नोंदवते आणि सेशनला VLAN 10 शी मॅप करते, जे तुमचे अतिथी (guest) सेगमेंट आहे. VLAN 10 ला फक्त इंटरनेट ॲक्सेस मिळतो. ते तुमच्या POS सिस्टम्स, तुमच्या बॅक-ऑफिस सर्व्हर्स किंवा इतर कोणत्याही अंतर्गत संसाधनांपर्यंत पोहोचू शकत नाही. फायरवॉलचे नियम काठावर (edge) त्याची अंमलबजावणी करतात. अनुपालनाच्या (compliance) दृष्टिकोनातून, हा SSID सर्वात महत्त्वाचे काम करतो. GDPR च्या नियमांनुसार तुम्ही संमती, प्रक्रियेचा कायदेशीर आधार आणि टाइमस्टॅम्प नोंदवणे आवश्यक आहे. Purple हे सर्व स्वयंचलितपणे लॉग करते. जर तुम्ही PCI DSS अंतर्गत येणाऱ्या ठिकाणी असाल - उदाहरणार्थ, इन-रूम पेमेंट टर्मिनल्स असलेले हॉटेल - तर अतिथी (guest) SSID कोणत्याही कार्डधारक डेटा वातावरणापासून (cardholder data environment) पूर्णपणे विलग असणे आवश्यक आहे. VLAN सेगमेंटेशन*सह इंटर-VLAN फायरवॉल पॉलिसी हे साध्य करते. [medium pause] SSID क्रमांक दोन हे तुमचे Passpoint नेटवर्क आहे, ज्याला Hotspot 2.0 म्हणूनही ओळखले जाते. येथेच हे डिझाइन खरोखरच मनोरंजक बनते. Passpoint हे एक IEEE 802.11u मानक आहे जे डिव्हाइसला कोणत्याही युझर परस्परसंवादाशिवाय (user interaction) स्वयंचलितपणे WiFi नेटवर्क शोधण्यास, प्रमाणित करण्यास आणि कनेक्ट करण्यास अनुमती देते. कोणतेही पोर्टल नाही. पासवर्ड विचारला जात नाही. डिव्हाइस बॅकग्राउंडमध्ये EAP (Extensible Authentication Protocol) वापरून प्रमाणीकरण पूर्ण करते आणि पहिल्या पॅकेटपासूनच एनक्रिप्टेड पद्धतीने कनेक्ट होते.एखादे डिव्हाइस कनेक्ट कसे करायचे हे कसे ओळखते? त्यावर Passpoint प्रोफाइल इंस्टॉल केलेले असते. Purple सह, ते प्रोफाइल Purple ॲपद्वारे किंवा तुम्ही तुमच्या स्वतःच्या ब्रँडेड ॲपमध्ये एम्बेड केलेल्या SDK द्वारे दिले जाते. जेव्हा एखादा परत येणारा अभ्यागत तुमच्या ठिकाणी येतो, तेव्हा त्यांचे डिव्हाइस तुमच्या Passpoint SSID ला ANQP प्रतिसाद ब्रॉडकास्ट करताना पाहते, इंस्टॉल केलेल्या प्रोफाइलशी त्याची तुलना करते आणि स्वयंचलितपणे कनेक्ट होते. या संपूर्ण प्रक्रियेला दोन सेकंदांपेक्षा कमी वेळ लागतो. वापरकर्ता त्यांच्या फोनला कधीही स्पर्श करत नाही. ऑथेंटिकेशन फ्लो तुमच्या कॉन्फिगरेशननुसार, PEAP सह EAP-TLS किंवा EAP-TTLS वापरतो. डिव्हाइस तुमच्या RADIUS सर्व्हरसमोर क्रेडेंशियल सादर करते - Purple क्लाउडमध्ये तो RADIUS सर्व्हर म्हणून काम करते - आणि सर्व्हर VLAN असाइनमेंट ॲट्रिब्युटसह RADIUS Access-Accept परत करतो. ते ॲट्रिब्युट ॲक्सेस पॉइंटला ते सेशन कोणत्या VLAN वर ठेवायचे हे सांगते. त्यामुळे लॉयल्टी ॲप वापरणारा वापरकर्ता VLAN 20 वर जाऊ शकतो, ज्याला तुमच्या लॉयल्टी प्लॅटफॉर्मवर आणि अधिक समृद्ध कंटेंटवर ॲक्सेस असतो. वेगळ्या क्रेडेंशियलसह समान Passpoint SSID वापरणारा कर्मचारी VLAN 30 वर जातो, ज्याला अंतर्गत सिस्टमवर ॲक्सेस असतो. एक SSID. डायनॅमिक VLAN असाइनमेंट. प्रत्येक आयडेंटिटीनुसार पॉलिसी लागू केली जाते. [medium pause] SSID क्रमांक तीन हे तुमचे xPSK नेटवर्क आहे. xPSK ही iPSK, PPSK, DPSK आणि MPSK चा समावेश करणारी एक व्यापक संज्ञा आहे - या सर्व प्रत्येक-डिव्हाइस किंवा प्रत्येक-ग्रुप प्री-शेअर्ड की च्या समान संकल्पनेच्या आवृत्त्या आहेत. ही कल्पना अगदी सोपी आहे: तुमच्या IoT डिव्हाइसेस आणि कंत्राटदारांसाठी एकच शेअर्ड पासवर्ड असण्याऐवजी, प्रत्येक डिव्हाइस किंवा ग्रुपला स्वतःची युनिक की मिळते. ती की एका विशिष्ट VLAN शी मॅप करते. जेव्हा एखादे कार्ड टर्मिनल त्याच्या की सह कनेक्ट होते, तेव्हा ते VLAN 40 वर जाते, जे तुमचे PCI-स्कोप पेमेंट नेटवर्क आहे. जेव्हा डिजिटल साइनेज प्लेयर त्याच्या की सह कनेक्ट होतो, तो VLAN 50 वर जातो, ज्याला तुमच्या कंटेंट मॅनेजमेंट सर्व्हरचा ॲक्सेस असतो परंतु इतर कशाचाही नसतो. जेव्हा एखादा कंत्राटदार तात्पुरत्या की सह कनेक्ट होतो, तो VLAN 60 वर जातो, ज्याला इंटरनेट ॲक्सेस असतो आणि अंतर्गत कशाचाही ॲक्सेस नसतो. जेव्हा तुम्ही त्या कंत्राटदाराची की रद्द करता, तेव्हा ते नेटवर्कमधून लगेच बाहेर पडतात. प्रत्येक डिव्हाइसवर पासवर्ड बदलण्याची आवश्यकता नसते. xPSK मागील यंत्रणा वेंडरनुसार बदलते. Cisco Meraki वर, याला iPSK - Identity PSK - म्हटले जाते आणि ते RADIUS द्वारे काम करते. HPE Aruba वर, याच्या समतुल्य MPSK आहे, जे देखील RADIUS-चालित आहे. Ruckus याला DPSK - Dynamic PSK म्हणते. Juniper Mist हे Mist च्या क्लाउड डॅशबोर्डद्वारे डायनॅमिक VLAN असाइनमेंटसह PPSK वापरते. Ubiquiti UniFi अलीकडील फर्मवेअर आवृत्त्यांमध्ये प्रत्येक-क्लायंट VLAN असाइनमेंटसह नेटवर्क ॲक्सेस कंट्रोलला सपोर्ट करते. Purple क्लाउड RADIUS प्रदाता म्हणून या पाचही प्लॅटफॉर्मसह इंटिग्रेट होते. [medium pause] आता आपण इम्प्लीमेंटेशनच्या क्रमाबद्दल बोलूया. हा क्रम महत्त्वाचा आहे. वायरलेस कॉन्फिगरेशनला स्पर्श करण्यापूर्वी तुमच्या VLAN डिझाइनपासून सुरुवात करा. प्रथम स्विच लेयरवर तुमचे VLAN परिभाषित करा. कोणतेही डिव्हाइस कनेक्ट होण्यापूर्वी तुमची इंटर-VLAN राउटिंग पॉलिसी कॉन्फिगर करा आणि फायरवॉलवर लॉक करा. ही सर्वात सामान्य चूक आहे जी आपण पाहतो: टीम्स आधी वायरलेस कॉन्फिगर करतात आणि नंतर VLAN सेगमेंटेशन पूर्वलक्षीपणे लागू करण्याचा प्रयत्न करतात. हे उलट पद्धतीने करा. दुसरे, आपले RADIUS सर्व्हर कॉन्फिगर करा. Purple च्या प्लॅटफॉर्ममध्ये, RADIUS कॉन्फिगरेशन विभागावर जा, आपले सर्व्हर क्रेडेंशियल्स जनरेट करा आणि प्राथमिक आणि दुय्यम IP पत्ते, ऑथेंटिकेशन पोर्ट - साधारणपणे 1812 - आणि शेअर्ड सिक्रेट नोंदवून घ्या. तिसरे, आपले SSIDs तयार करा. गेस्ट SSID साठी, सिक्युरिटी 'open' वर सेट करा, Captive Portal रीडायरेक्ट सक्षम करा आणि रीडायरेक्ट URL ला तुमच्या Purple पोर्टलकडे निर्देशित करा. Passpoint SSID साठी, 802.11u सक्षम करा आणि तुमचे ANQP घटक - तुमचे NAI Realm, तुम्ही OpenRoaming मध्ये सहभागी असल्यास तुमचे Roaming Consortium OI, आणि तुमची ठिकाणाची माहिती कॉन्फिगर करा. सिक्युरिटी प्रकार म्हणून WPA2-Enterprise किंवा WPA3-Enterprise सेट करा. xPSK SSID साठी, वेंडर-विशिष्ट MPSK किंवा DPSK सेटिंग्ज कॉन्फिगर करा आणि ऑथेंटिकेशनला तुमच्या Purple RADIUS एंडपॉईंटकडे निर्देशित करा. चौथे, गेस्ट SSID साठी तुमचे walled garden कॉन्फिगर करा. यामध्ये Purple चे पोर्टल डोमेन्स, तुमचे DNS रिझॉल्व्हर आणि iOS आणि Android वापरत असलेले Captive Portal डिटेक्शन एंडपॉइंट्स - Apple चे captivedetect.apple.com आणि Google चे connectivitycheck.gstatic.com समाविष्ट करा. [medium pause] दोन वास्तविक उदाहरणे. सेंट्रल लंडनमधील एका ३५० खोल्यांच्या हॉटेलने HPE Aruba हार्डवेअरवर चालणाऱ्या २८ ॲक्सेस पॉइंट्सवर हे आर्किटेक्चर तैनात केले. तैनातीपूर्वी, कार्ड टर्मिनल्स गेस्ट उपकरणांसह एकच नेटवर्क सेगमेंट शेअर करत होते - जे PCI अनुपालनाचे उल्लंघन होते. तीन-SSID च्या नवीन डिझाईनने कार्ड टर्मिनल्स एका समर्पित VLAN वर हलवले, ज्यामध्ये पेमेंट प्रोसेसरला फक्त आउटबाउंड HTTPS ची परवानगी देणारे फायरवॉल नियम होते. पुढील सायकलमध्ये PCI ऑडिट यशस्वीरित्या पास झाले. पहिल्या तीन महिन्यांत गेस्ट डेटा कॅप्चर ३४% ने वाढले कारण पोर्टलचा अनुभव अधिक वेगवान होता आणि ऑप्ट-इन फ्लो अधिक सुलभ होता. यूकेमधील ८० स्टोअर्स असलेल्या एका रिटेल चेनने त्यांच्या प्रति-स्टोअर SSID ची संख्या सरासरी ४.२ वरून तीनवर आणली. EPOS टर्मिनल्स आणि साइनेज हे xPSK SSID वर हलवण्यात आले, ज्याच्या प्रति-डिव्हाइस की चे केंद्रीय व्यवस्थापन Purple द्वारे केले जाते. कर्मचारी EAP-TTLS द्वारे त्यांचे Microsoft Entra ID क्रेडेंशियल्स वापरून Passpoint SSID कडे वळले. आयटी टीमने रोलआउटनंतर पहिल्या तिमाहीत WiFi-संबंधित सपोर्ट तिकिटांमध्ये ६०% घट झाल्याची नोंद केली. [medium pause] काळजी घेण्यासाठी काही अंमलबजावणीतील त्रुटी. RADIUS टाइमआउट कॉन्फिगरेशन: जर तुमचे ॲक्सेस पॉइंट्स कॉन्फिगर केलेल्या टाइमआउटमध्ये Purple RADIUS सर्व्हरपर्यंत पोहोचू शकले नाहीत, तर ते कनेक्शन नाकारतील. नेहमी प्राथमिक आणि दुय्यम दोन्ही RADIUS सर्व्हर पत्ते कॉन्फिगर करा. Trunk पोर्ट्सवर VLAN टॅगिंग: प्रत्येक ॲक्सेस पॉइंट अपलिंक पोर्ट हा एक trunk म्हणून कॉन्फिगर केला पाहिजे जो तुमचे SSIDs वापरत असलेले सर्व VLAN वाहून नेईल. कंट्रोलरवर VLAN कॉन्फिगर करणे परंतु स्विच पोर्टवरील trunk मध्ये ते जोडायला विसरणे ही एक सामान्य चूक आहे. Passpoint ANQP कॉन्फिगरेशन: NAI Realm सूची डिव्हाइसवर स्थापित केलेल्या Passpoint प्रोफाइलशी तंतोतंत जुळली पाहिजे. तफावत असल्यास शोध दरम्यान डिव्हाइसेस तुमचे नेटवर्क वगळतील. प्रॉडक्शनमध्ये रोल आउट करण्यापूर्वी आधीपासून माहित असलेल्या चांगल्या डिव्हाइससह चाचणी करा. xPSK की रोटेशन: कॉन्ट्रॅक्टर कीजसाठी प्रोव्हिजनिंगच्या वेळीच एक्स्पायरी डेट सेट केलेली असावी. Purple चे डॅशबोर्ड तुम्हाला नेटवर्कवरील इतर कोणत्याही डिव्हाइसला प्रभावित न करता वैयक्तिक कीज रिव्होक (रद्द) करण्याची परवानगी देते. [medium pause] रॅपिड-फायर प्रश्न. मी एकाच ॲक्सेस पॉइंटवर तिन्ही SSIDs चालवू शकतो का? होय. बीकन ओव्हरहेड कमी करण्यासाठी प्रति ॲक्सेस पॉइंट एकूण SSID संख्या सहा किंवा त्यापेक्षा कमी ठेवा. Passpoint साठी विशिष्ट ॲपची आवश्यकता आहे का? Purple सोबत, यासाठी एकतर Purple ॲप किंवा तुमच्या स्वतःच्या ब्रँडेड ॲपमध्ये समाकलित केलेल्या SDK ची आवश्यकता असते. SDK बॅकग्राउंडमध्ये प्रोफाइल प्रोव्हिजनिंग शांतपणे हाताळते. xPSK हे कार्ड टर्मिनल्ससाठी PCI सुसंगत (compliant) आहे का? होय, बशर्ते पेमेंट डिव्हाइस ट्रॅफिक वाहून नेणारे VLAN योग्यरित्या विभाजित केलेले असावे आणि फायरवॉल नियम केवळ पेमेंट प्रोसेसरला आवश्यक असलेल्या ट्रॅफिकलाच मर्यादित करत असावेत. गेस्ट SSID पोर्टल बंद पडल्यास काय होईल? ॲक्सेस पॉइंट कंट्रोलरवर फॉलबॅक रीडायरेक्ट किंवा स्थानिक स्प्लॅश पेज कॉन्फिगर करा. Purple चे प्लॅटफॉर्म ९९.९९९% अपटाइमवर चालते, परंतु सुरक्षिततेच्या दृष्टीने बेल्ट-अँड-ब्रेसेस कॉन्फिगरेशन सराव नेहमीच चांगला असतो. [medium pause] थोडक्यात सांगायचे तर. थ्री-SSID डिझाइन तुम्हाला डेटा कॅप्चरसाठी सुसंगत Captive Portal असलेले गेस्ट नेटवर्क, डायनॅमिक VLAN असाइनमेंटसह Purple ॲप किंवा SDK द्वारे स्वयंचलित सुरक्षित ऑनबोर्डिंगसाठी Passpoint नेटवर्क, आणि विशिष्ट VLAN ला मॅप केलेल्या प्रति-डिव्हाइस कीज अंतर्गत IoT डिव्हाइसेस, कार्ड टर्मिनल्स, डिजिटल साइनेज, कॉन्ट्रॅक्टर्स आणि BYOD एकत्रित करणारे xPSK नेटवर्क प्रदान करते. याचा परिणाम अधिक स्पष्ट सुरक्षा स्थिती, उत्तम अभ्यागत अनुभव आणि खऱ्या अर्थाने मोठ्या प्रमाणावर व्यवस्थापित करण्यायोग्य नेटवर्कमध्ये होतो. तुमच्या VLAN डिझाइनसह प्रारंभ करा, RADIUS कॉन्फिगर करा, तुमचे SSIDs तयार करा आणि तुमचे वॉल्ड गार्डन सेट करा. Purple ची ऑनबोर्डिंग टीम तुम्हाला तुमच्या विशिष्ट हार्डवेअर प्लॅटफॉर्मसाठी कॉन्फिगरेशन प्रक्रियेत मार्गदर्शन करू शकते. पूर्ण लेखी मार्गदर्शिका purple.ai वर उपलब्ध आहे. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist आणि Ubiquiti UniFi साठी व्हेंडर-विशिष्ट तपशीलांसह स्टेप-बाय-स्टेप कॉन्फिगरेशन संदर्भासाठी "three SSIDs to rule them all" शोधा. ऐकल्याबद्दल धन्यवाद.