Saltar para o conteúdo principal
Português

Captive Portal for Ruckus

Este guia de referência técnica fornece um manual de integração oficial para implementar captive portals externos em arquiteturas CommScope Ruckus SmartZone e Unleashed. Orienta os engenheiros de rede através de configurações passo a passo para WLANs de Convidados, redirecionamento WISPr, definições de servidor RADIUS AAA e exceções de Walled Garden para fornecer uma solução de guest WiFi segura e de alta densidade.

📖 14 min de leitura📝 3,327 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo à Série de Briefings Técnicos da Purple. Sou o vosso anfitrião e hoje vamos abordar algo que surge em quase todas as implementações de WiFi empresarial que vemos — a configuração de um Captive Portal nos controladores Ruckus SmartZone e Ruckus Unleashed. Quer seja um MSP a implementar WiFi para convidados numa cadeia de hotéis, um responsável de TI de hotelaria a lançar uma nova propriedade ou um engenheiro de redes sem fios a integrar a plataforma da Purple com uma infraestrutura Ruckus, este episódio é para si. Vamos a isso. --- Primeiro — por que razão a integração do Captive Portal da Ruckus é importante? A Ruckus, agora sob a alçada da CommScope, é uma das plataformas de WiFi empresarial dominantes a nível global. O SmartZone, em particular, é o controlador de eleição para ambientes de alta densidade — estádios, centros de convenções, grandes hotéis e cadeias de retalho. Quando está a implementar WiFi para convidados a essa escala, precisa de mais do que apenas um SSID aberto. Precisa de um fluxo de autenticação estruturado, captura de dados em conformidade com o GDPR e a capacidade de enviar esses dados de convidados para a sua stack de marketing. É exatamente aí que entra uma plataforma externa de Captive Portal como a Purple. A arquitetura aqui é um fluxo de hotspot baseado em WISPr. WISPr significa Wireless Internet Service Provider roaming — é um padrão da indústria que define como um controlador sem fios intercepta tráfego HTTP não autenticado e o redireciona para um portal externo. O convidado liga-se ao seu SSID, o seu dispositivo envia um pedido HTTP, o controlador SmartZone intercepta-o e emite um redirecionamento HTTP 302 para o URL do seu portal externo. O convidado autentica-se — seja através de login social, e-mail, SMS ou um formulário personalizado — e, em seguida, o portal comunica de volta com o controlador através da Northbound Interface, ou NBI, para conceder o acesso. Limpo, baseado em padrões e altamente fiável quando configurado corretamente. --- Agora vamos entrar na configuração técnica. Vou começar pelo SmartZone e, depois, abordar as diferenças para o Unleashed. No SmartZone — e isto aplica-se tanto a implementações físicas SZ300 como virtuais vSZ —, a configuração tem quatro componentes principais: o perfil do servidor de autenticação RADIUS, o perfil do servidor de accounting RADIUS, o perfil do portal Hotspot WISPr e a própria WLAN. Comece pelos seus servidores RADIUS. Navegue até Services and Profiles e, depois, Authentication. Crie um novo perfil de servidor AAA. Defina o Service Protocol como RADIUS. O IP do seu servidor primário e o segredo partilhado serão fornecidos pelo seu fornecedor do portal — no caso da Purple, estes estão documentados na consola de administração do portal Purple. Porta 1812 para autenticação. Configure sempre um servidor RADIUS de cópia de segurança para resiliência — porta 1812 também no secundário. Depois, faça o mesmo para o accounting em Services and Profiles, Accounting — porta 1813, mesmo segredo partilhado. A seguir, o perfil Hotspot WISPr. Aceda a Services and Profiles, Hotspots and Portals, e selecione o separador Hotspot WISPr. Crie um novo perfil. Defina o Login URL para External, e introduza o URL de redirecionamento do seu portal — este é o URL para o qual os seus convidados serão enviados antes de se autenticarem. Defina a Start Page para redirecionar para um URL pós-autenticação, normalmente uma página de sucesso ou a página inicial do seu espaço. Agora, o Walled Garden. É aqui que muitos engenheiros se baralham. O Walled Garden define quais os domínios e endereços IP que um convidado pode aceder antes de se autenticar. Precisa de incluir o domínio do seu portal, quaisquer domínios de CDN ou de recursos que o seu portal carregue, e os endpoints padrão de deteção de Captive Portal do SO. No SmartZone, os wildcards são suportados utilizando o formato asterisco-ponto — por exemplo, star-dot-purple-dot-ai. Essa entrada única cobre todos os subdomínios. Também precisa de incluir os domínios de deteção de Captive Portal da Apple — captive.apple.com — e os endpoints de verificação de conectividade da Google para evitar que o mini-browser CNA se comporte mal em dispositivos iOS e Android. Um passo crítico que é fácil de esquecer: por predefinição, o SmartZone encripta o endereço MAC e o endereço IP que passa para o portal externo no URL de redirecionamento. O fornecedor do seu portal precisa de ver o endereço MAC real do cliente para realizar a gestão de sessão baseada em MAC. Deve desativar isto através do CLI. Aceda por SSH ao seu SmartZone, entre no modo de configuração e execute: no encrypt-mac-ip. É só isto — um comando, mas é um bloqueador se o ignorar. A Northbound Interface é a outra peça. Esta é a API que permite à plataforma do seu portal comunicar de volta com o SmartZone para conceder ou negar o acesso após a autenticação. Ative-a em Administration, External Services, WISPr Northbound Interface. Defina um nome de utilizador e palavra-passe, e forneça essas credenciais ao fornecedor do seu portal. A NBI corre na porta TCP 9080 para HTTP e 9443 para HTTPS — certifique-se de que a sua firewall permite ligações de entrada da gama de IPs da plataforma do seu portal para estas portas. Finalmente, crie a sua WLAN. Defina o Authentication Type para Hotspot WISPr, selecione o seu perfil de portal e atribua os seus serviços de autenticação e faturação RADIUS. Defina o NAS ID para User-defined se o fornecedor do seu portal exigir um valor específico, defina o Called Station ID para AP MAC e ative o Single Session ID. Esta última definição garante que a sessão de um convidado está associada a um único registo de sessão do controlador, o que é importante para uma faturação precisa. --- Agora para o Unleashed. A arquitetura é fundamentalmente diferente — o Unleashed é um modelo distribuído e sem controlador, onde um AP atua como master. A configuração reside em Admin and Services, Services, Hotspot Services. Os passos são amplamente semelhantes — criar um serviço de Hotspot, configurar o URL do seu portal externo, configurar o seu servidor de autenticação AAA, adicionar as suas entradas de Walled Garden — mas existem diferenças fundamentais. Primeiro, não há requisito de Northbound Interface no Unleashed. O modelo de comunicação do portal é mais simples. Segundo, a encriptação do endereço MAC não é aplicada por predefinição no Unleashed, pelo que não necessita do comando CLI. Terceiro, o walled garden do Unleashed aceita entradas ao nível do domínio em vez da sintaxe completa de wildcard — por isso, introduziria purple.ai em vez de star-dot-purple.ai. Verifique a documentação do seu fornecedor para saber o formato exato que exigem. O Unleashed escala até cerca de 50 pontos de acesso, tornando-o adequado para hotéis de média dimensão, filiais de retalho e implementações em PMEs. Para qualquer dimensão superior — grupos hoteleiros com várias propriedades, estádios, grandes superfícies comerciais — o SmartZone é a plataforma certa. --- Deixe-me abordar os dois modos de falha mais comuns que vejo no terreno. O primeiro é a configuração incorreta do walled garden. Se a página do seu portal não carregar após o redirecionamento, a primeira coisa a verificar é se todos os domínios a que a página do seu portal faz referência estão no walled garden. As páginas de portal modernas carregam recursos de múltiplos domínios de CDN, scripts de analítica, SDKs de login social. Se algum destes estiver bloqueado antes da autenticação, a página não irá carregar ou carregará com erros. Utilize as ferramentas de programador do seu navegador num dispositivo de teste ligado ao SSID de convidados para identificar quais os pedidos que estão a ser bloqueados. O segundo é o problema de conectividade NBI. Se os convidados conseguem ver o portal e autenticar-se, mas nunca obtêm acesso à internet, a causa provável é que o SmartZone não consegue receber o callback NBI da sua plataforma de portal. Verifique se as portas 9080 e 9443 estão abertas para entrada no IP de gestão do SmartZone a partir da gama de IPs do seu fornecedor de portal. Verifique também se as credenciais NBI que configurou coincidem com as que o seu fornecedor de portal tem registadas. Um terceiro que vale a pena mencionar — o Apple CNA, o Captive Network Assistant. No iOS, quando um dispositivo se liga a uma rede, envia um teste para captive.apple.com. Se esse teste obtiver uma resposta diferente de 200, o iOS abre o mini-navegador. Se o captive.apple.com estiver no seu walled garden, o teste é bem-sucedido, o iOS pensa que há internet e o CNA não aparece. Isso parece algo positivo, mas significa que os seus convidados não verão o portal automaticamente. Precisa de decidir: quer que o CNA apareça ou quer que os convidados abram um navegador manualmente? A maioria das implementações em hotelaria mantém o captive.apple.com fora do walled garden para acionar o CNA. --- Perguntas rápidas. Três perguntas que me fazem constantemente. Preciso de uma VLAN para a minha WLAN de convidados? Sim. Isole sempre o tráfego de convidados numa VLAN dedicada. Isto é tanto um requisito de segurança como uma consideração de conformidade com o PCI DSS se o seu espaço processar pagamentos com cartão na mesma rede. Posso utilizar a Purple com a Ruckus Cloud em vez do SmartZone? Sim, mas o caminho de configuração é diferente — encontra-se em Redes WiFi, definições de Acesso de Convidados. Os princípios de configuração do walled garden e do RADIUS são os mesmos. O Purple suporta implementações multi-zona SmartZone? Sim. A integração do Purple lida com ambientes SmartZone multi-zona, e pode definir o âmbito das configurações do portal para zonas individuais para diferentes locais ou pisos. --- Para concluir. A integração do Captive Portal Ruckus SmartZone com o Purple é um modelo de implementação maduro e bem documentado que fornece autenticação de convidados fiável à escala. Os pontos-chave de configuração são: RADIUS nas portas 1812 e 1813 com um servidor de cópia de segurança, o perfil Hotspot WISPr com um URL de início de sessão externo, um walled garden corretamente dimensionado utilizando entradas wildcard, o comando CLI no encrypt-mac-ip e a Northbound Interface ativada com as credenciais corretas. Acerte nestes cinco pontos e terá uma base sólida. Para implementações Unleashed, aplicam-se os mesmos princípios com um modelo de configuração mais simples e sem requisitos de NBI. Se está a implementar o Purple em Ruckus e deseja validar a sua configuração antes do lançamento, a equipa de integração técnica do Purple pode guiá-lo através de uma lista de verificação pré-lançamento. A plataforma Purple também fornece análises em tempo real sobre os tempos de carregamento do portal, taxas de sucesso de autenticação e dados de sessão — dando-lhe a visibilidade para detetar problemas antes que os seus convidados o façam. Obrigado por ouvir. No próximo episódio iremos cobrir a autenticação 802.1X com Cloud RADIUS — outra integração que combina bem com o Ruckus SmartZone para acesso de convidados corporativos. Até lá.

📚 Parte da nossa série principal: Multi-Tenant WiFi

header_image.png

कार्यकारी सारांश (Executive Summary)

एंटरप्राइझ स्थळांमध्ये हाय-परफॉर्मन्स गेस्ट वायरलेस नेटवर्क तैनात करण्यासाठी अखंड वापरकर्ता अनुभव आणि मजबूत तांत्रिक सुरक्षा यांच्यात अचूक संतुलन राखणे आवश्यक आहे. CommScope Ruckus आर्किटेक्चर वापरणाऱ्या संस्थांसाठी—ज्यामध्ये हाय-डेन्सिटी स्टेडियम आणि कन्व्हेन्शन सेंटर्सपासून ते विस्तीर्ण रिटेल इस्टेट आणि हॉस्पिटॅलिटी ग्रुप्सचा समावेश आहे—Captive Portal हा वापरकर्ता ऑनबोर्डिंग, अनुपालन अंमलबजावणी आणि फर्स्ट-पार्टी डेटा कॅप्चर करण्यासाठी प्राथमिक गेटवे म्हणून काम करतो.

हे मार्गदर्शक बाह्य Captive Portals ला Ruckus SmartZone आणि Ruckus Unleashed कंट्रोलर्ससह एकत्रित करण्यासाठी एक अधिकृत, टप्प्याटप्प्याने काम करणारी नियमावली प्रदान करते. उद्योग-मानक Wireless Internet Service Provider roaming (WISPr) प्रोटोकॉलचा वापर करून, नेटवर्क इंजिनिअर्स विश्वसनीय रिडायरेक्शन, सुरक्षित Remote Authentication Dial-In User Service (RADIUS) ऑथेंटिकेशन आणि तपशीलवार Walled Garden कॉन्फिगरेशन लागू करू शकतात.

जेव्हा हे Purple च्या Guest WiFi आणि WiFi Analytics प्लॅटफॉर्मसह जोडले जाते, तेव्हा हे एकत्रीकरण स्थळ चालकांना महत्त्वाचे अभ्यागत डेमोग्राफिक्स कॅप्चर करण्यास, आंतरराष्ट्रीय डेटा नियमांचे (जसे की GDPR आणि PCI DSS) पालन करण्यास आणि शक्तिशाली मार्केटिंग ऑटोमेशन अनलॉक करण्यास अनुमती देते. Hospitality आणि Transport हबमध्ये सेंट्रलाइज्ड व्हर्च्युअल स्मार्टझोन (vSZ) आर्किटेक्चर तैनात करणे असो, किंवा Retail वातावरणात डिस्ट्रिब्युटेड AP-आधारित Unleashed नेटवर्क असो, हा तांत्रिक संदर्भ एक लवचिक, हाय-थ्रूपुट डिप्लॉयमेंट सुनिश्चित करतो.

तांत्रिक सखोल विश्लेषण (Technical Deep-Dive)

अत्यंत स्केलेबल गेस्ट नेटवर्क तैनात करण्यासाठी, इंजिनिअर्सना Captive Portal फ्लो नियंत्रित करणाऱ्या मूलभूत कम्युनिकेशन मानकांना समजून घेणे आवश्यक आहे. Ruckus आर्किटेक्चर क्लायंट रिडायरेक्शन आणि ऑथेंटिकेशनची बोलणी करण्यासाठी WISPr 2.0 मानकांचा वापर करतात. WISPr हे परिभाषित करते की वायरलेस ॲक्सेस पॉइंट (AP) किंवा कंट्रोलर अनऑथेंटिकेटेड HTTP/HTTPS ट्रॅफिक कसे अडवतो आणि क्लायंट ब्राउझरला बाह्य पोर्टल वेब सर्व्हरवर कसे रिडायरेक्ट करतो.

WISPr ऑथेंटिकेशन फ्लो

बाह्य Captive Portal रिडायरेक्शन प्रक्रिया नेटवर्क व्यवहारांच्या कठोर अनुक्रमाचे अनुसरण करते. अपस्ट्रीम फायरवॉल पॉलिसींचे ट्रबलशूटिंग आणि कॉन्फिगरेशन करण्यासाठी हा फ्लो समजून घेणे आवश्यक आहे:

  1. असोसिएशन (Association): गेस्ट क्लायंट खुल्या, अनइन्क्रिप्टेड गेस्ट SSID शी जोडला जातो. AP DHCP द्वारे क्लायंटला IP ॲड्रेस नियुक्त करतो.
  2. HTTP प्रोब (HTTP Probe): इंटरनेट प्रवेशाची पडताळणी करण्यासाठी क्लायंट ऑपरेटिंग सिस्टम HTTP प्रोब सुरू करते (उदा. Apple चा Captive Network Assistant प्रोब captive.apple.com वर किंवा Android चा कनेक्टिव्हिटी चेक connectivitycheck.gstatic.com वर).
  3. HTTP 302 Redirect: Ruckus AP किंवा SmartZone कंट्रोलर या अनधिकृत HTTP विनंतीला अडवतो. तो HTTP 302 Redirect सह प्रतिसाद देतो, क्लायंटच्या ब्राउझरला बाह्य पोर्टल URL वर (उदा. Purple चे लॉगिन पृष्ठ) फॉरवर्ड करतो. या रीडायरेक्ट URL मध्ये महत्त्वाचे क्वेरी पॅरामीटर्स जोडले जातात, ज्यामध्ये क्लायंटचा MAC पत्ता (client_mac), IP पत्ता (client_ip), AP MAC पत्ता (ap_mac), आणि कंट्रोलरचा Northbound Interface IP (nbiIP) समाविष्ट असतो.
  4. Portal Rendering: क्लायंट ब्राउझर बाह्य पोर्टल पृष्ठ लोड करतो. पोर्टल डोमेन आणि त्याच्याशी संबंधित मालमत्तांवरील अनधिकृत ट्रॅफिकला कंट्रोलरच्या Walled Garden पॉलिसीद्वारे परवानगी दिली जाते.
  5. User Authentication: वापरकर्ता पोर्टलवर लॉगिन आवश्यकता पूर्ण करतो (उदा. सोशल साइन-ऑन, SMS नोंदणी, फॉर्म सबमिशन).
  6. RADIUS Access-Request: बाह्य पोर्टल प्लॅटफॉर्म, RADIUS क्लायंट म्हणून काम करत, कॉन्फिगर केलेल्या RADIUS Authentication Server कडे (जसे की Purple ची Cloud RADIUS इन्फ्रास्ट्रक्चर) Access-Request पाठवतो.
  7. RADIUS Access-Accept: RADIUS सर्व्हर क्रेडेंशियल्स सत्यापित करतो आणि Ruckus कंट्रोलरला सेशन पॅरामीटर्स (उदा. सेशन टाइमआउट, बँडविड्थ मर्यादा) असलेले Access-Accept पॅकेट परत करतो.
  8. NBI Callback: बाह्य पोर्टल WISPr क्रेडेंशियल्सचा वापर करून Ruckus कंट्रोलरच्या Northbound Interface (NBI) ला API कॉल करते, ज्यामुळे कंट्रोलरला क्लायंटचा MAC पत्ता अधिकृत करण्याची सूचना मिळते.
  9. Internet Access: कंट्रोलर क्लायंटची स्थिती "Authenticated" वर बदलतो, ज्यामुळे कॉन्फिगर केलेल्या सेशन पॉलिसींच्या अधीन राहून पूर्ण इंटरनेट प्रवेश मिळतो.

architecture_overview.png

मुख्य आर्किटेक्चर तुलना

ठिकाणाच्या प्रमाणावर अवलंबून, संस्था CommScope Ruckus SmartZone (एंटरप्राइझ-स्केल, कंट्रोलर-आधारित) किंवा Ruckus Unleashed (वितरित, कंट्रोलर-विरहित) आर्किटेक्चर तैनात करतात. दोन्ही WISPr-आधारित बाह्य Captive Portals ला सपोर्ट करत असले तरी, त्यांचे मूळ कॉन्फिगरेशन मार्ग आणि क्षमता लक्षणीयरीत्या भिन्न आहेत:

तांत्रिक वैशिष्ट्य Ruckus SmartZone (vSZ / SZ144 / SZ300) Ruckus Unleashed (वितरित AP)
कंट्रोलर आर्किटेक्चर १०,००० पर्यंत APs व्यवस्थापित करणारे केंद्रीकृत भौतिक किंवा आभासी उपकरण. ५० पर्यंत APs व्यवस्थापित करणारे वितरित मास्टर-मेंबर AP आर्किटेक्चर.
कॉन्फिगरेशन मार्ग Services > Hotspots & Portals > Hotspot (WISPr) Admin & Services > Services > Hotspot Services
API कॉलबॅक पद्धत TCP पोर्ट्स ९०८०/९४४३ द्वारे Northbound Interface (NBI). बाह्य API कॉलबॅकशिवाय थेट RADIUS/स्थानिक प्रमाणीकरण.
MAC पत्ता एन्क्रिप्शन डीफॉल्टनुसार सक्षम; CLI द्वारे अक्षम करणे आवश्यक आहे (no encrypt-mac-ip). डीफॉल्टनुसार अक्षम; MAC पत्ते प्लेन टेक्स्टमध्ये पाठवले जातात.
Walled Garden Wildcards पूर्ण वाईल्डकार्ड फॉरमॅटिंगला सपोर्ट करते (उदा., *.purple.ai). डोमेन-स्तरीय एंट्रीजला सपोर्ट करते (उदा., purple.ai).
RADIUS Proxy Support "Proxy (SZ Authenticator)" किंवा थेट AAA द्वारे सपोर्टेड. थेट AAA Server कॉन्फिगरेशनद्वारे सपोर्टेड.
Target Deployments स्टेडियम, मोठी हॉटेल्स, Transport हब्स, Healthcare कॅम्पसेस. मिड-मार्केट हॉटेल्स, Retail स्टोअर्स, Schools .

अंमलबजावणी मार्गदर्शिका (Implementation Guide)

ही टप्प्याटप्प्याने दिलेली अंमलबजावणी मार्गदर्शिका नेटवर्क इंजिनिअर्सना Ruckus SmartZone आणि Ruckus Unleashed कंट्रोलर्सवर बाह्य Captive Portal कॉन्फिगर करण्याची प्रक्रिया समजावून सांगते.

भाग A: Ruckus SmartZone कॉन्फिगरेशन

टप्पा १: RADIUS AAA Servers कॉन्फिगर करा

बाह्य डेटाबेसवर अतिथी युजर्सचे प्रमाणीकरण (authenticate) करण्यासाठी, तुम्ही प्रथम RADIUS Authentication आणि Accounting सर्व्हर्स परिभाषित केले पाहिजेत.

  1. Services & Profiles > Authentication वर जा आणि Proxy (SZ Authenticator) टॅब निवडा.
  2. तुमचा लक्ष्यित Zone निवडा आणि Create वर क्लिक करा.
  3. खालील पॅरामीटर्स कॉन्फिगर करा:
    • Name: Purple_RADIUS_Auth
    • Service Protocol: RADIUS
    • Primary Server IP: तुमच्या Purple Admin Console मध्ये दिलेला IP ॲड्रेस प्रविष्ट करा.
    • Port: 1812
    • Shared Secret: तुमचे Purple RADIUS Shared Secret प्रविष्ट करा.
    • Backup RADIUS: Enabled (हाय अ‍ॅव्हेलेबिलिटीसाठी दुय्यम IP, Port 1812 आणि तेच shared secret कॉन्फिगर करा).
  4. सेव्ह करण्यासाठी OK वर क्लिक करा.
  5. Services & Profiles > Accounting वर जा आणि Proxy (SZ Authenticator) टॅब अंतर्गत Create वर क्लिक करा.
  6. खालील पॅरामीटर्स कॉन्फिगर करा:
    • Name: Purple_RADIUS_Acct
    • Service Protocol: RADIUS Accounting
    • Primary Server IP: तुमच्या Purple Admin Console मध्ये दिलेला IP ॲड्रेस प्रविष्ट करा.
    • Port: 1813
    • Shared Secret: तुमचे Purple RADIUS Shared Secret प्रविष्ट करा.
    • Backup RADIUS: Enabled (दुय्यम IP, Port 1813 आणि तेच shared secret कॉन्फिगर करा).
  7. सेव्ह करण्यासाठी OK वर क्लिक करा.

टप्पा २: Hotspot WISPr Portal Profile कॉन्फिगर करा

Hotspot WISPr प्रोफाइल रिडायरेक्शन वर्तन आणि Walled Garden नियम परिभाषित करते.

  1. Services & Profiles > Hotspots & Portals > Hotspot (WISPr) वर जा.
  2. तुमचा लक्ष्यित Zone निवडा आणि Create वर क्लिक करा.
  3. General Options विभागात, खालील कॉन्फिगर करा:
    • Portal Name: Purple_WISPr_Portal
    • WISPr Smart Client Support: None
    • Login URL: External निवडा आणि Purple द्वारे प्रदान केलेले प्राथमिक रिडायरेक्ट URL प्रविष्ट करा (उदा., https://login.purple.ai/start).
    • Redirect MAC Format: AA:BB:CC:DD:EE:FF (हा फॉरमॅट Purple च्या डेटाबेस पार्सिंगसाठी अत्यंत महत्त्वाचा आहे).
  4. Start Page विभागात, खालील कॉन्फिगर करा:
    • Redirect to the following URL निवडा आणि प्रविष्ट करा: https://login.purple.ai/success.php
  5. Session Options विभागात, खालील कॉन्फिगर करा:
    • Session Timeout: 1440 मिनिटे (२४ तास, किंवा तुमच्या कॉर्पोरेट पॉलिसीनुसार ठेवा).
    • Grace Period: 60 मिनिटे (वापरकर्त्यांना पुन्हा-प्रमाणित न करता १ तासाच्या आत पुन्हा कनेक्ट होण्याची परवानगी देते).
  6. प्रोफाइल सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी ३: Walled Garden अपवाद परिभाषित करा

Walled Garden अप्रमाणित क्लायंटना DNS रिझॉल्व्ह करण्याची आणि स्प्लॅश पेज लोड करण्यासाठी व प्रमाणित करण्यासाठी आवश्यक असलेल्या विशिष्ट डोमेन्समधून मालमत्ता डाउनलोड करण्याची परवानगी देते.

  1. तुमच्या नवीन तयार केलेल्या Purple_WISPr_Portal प्रोफाइलमध्ये सुधारणा करा.
  2. खाली स्क्रोल करा आणि Walled Garden विभाग विस्तृत करण्यासाठी + चिन्हावर क्लिक करा.
  3. खालील अनिवार्य डोमेन्स जोडा. लक्षात ठेवा की Ruckus SmartZone ला *.domain.com या वाइल्डकार्ड फॉरमॅटची आवश्यकता असते:
    • *.purple.ai (मुख्य पोर्टल आणि रिडायरेक्शन डोमेन)
    • *.cloudfront.net (स्टाईलशीट आणि JavaScript मालमत्ता लोड करण्यासाठी CDN)
    • *.apple.com आणि captive.apple.com (Apple Captive Network Assistant वर्तन व्यवस्थापित करण्यासाठी)
    • *.googleapis.com आणि *.gstatic.com (Google API आणि मालमत्ता वितरणासाठी)
  4. तुम्ही सोशल लॉगिन सक्षम केल्यास कोणतेही सोशल मीडिया डोमेन्स जोडा (उदा. Facebook लॉगिनसाठी *.facebook.com, *.facebook.net).
  5. सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी ४: गेस्ट वायरलेस LAN (WLAN) कॉन्फिगर करा

आता, RADIUS सर्व्हर आणि Hotspot प्रोफाइल एका नवीन SSID शी बाइंड करा.

  1. Wireless LANs वर जा आणि तुमचे लक्ष्य Zone निवडा.
  2. नवीन WLAN तयार करण्यासाठी Create वर क्लिक करा.
  3. General Options कॉन्फिगर करा:
    • नाव: Guest_WiFi
    • SSID: !Free_Venue_WiFi
  4. Security Options कॉन्फिगर करा:
    • Authentication Type: Hotspot (WISPr)
    • Method: Open
    • Encryption Options: None
  5. Hotspot Portal विभाग विस्तृत करा:
    • Hotspot (WISPr) Portal: Purple_WISPr_Portal निवडा.
    • Authentication Service: Purple_RADIUS_Auth निवडा.
    • Accounting Service: Purple_RADIUS_Acct निवडा.
    • Send Interim Update: 5 मिनिटांवर सेट करा (रिअल-टाइम सेशन ट्रॅकिंगसाठी आवश्यक).
  6. RADIUS Options विस्तृत करा:
    • NAS ID: User-defined वर सेट करा आणि तुमचा Purple-नियुक्त ठिकाण (venue) ID प्रविष्ट करा.
    • Called Station ID: AP MAC निवडा.
    • Single Session ID: ON (APs मध्ये सेशन डुप्लिकेशन प्रतिबंधित करते).
  7. WLAN तैनात करण्यासाठी OK वर क्लिक करा.

पायरी ५: WISPr Northbound Interface (NBI) सक्षम करा

NBI मुळे Purple ला क्लायंटना अधिकृत करण्यासाठी SmartZone शी परत संवाद साधण्याची परवानगी मिळते.

  1. Administration > External Services > WISPr Northbound Interface वर जा.
  2. Enable Northbound Interface support या बॉक्सवर खूण करा.
  3. एक Username आणि Password परिभाषित करा (उदा. purple_nbi / SecureNbiPassword123!).
  4. हे क्रेडेंशियल्स Purple ॲडमिन कन्सोलमध्ये Integrations > Ruckus SmartZone अंतर्गत प्रविष्ट करा.

पायरी ६: MAC/IP एन्क्रिप्शन अक्षम करा (महत्त्वाची CLI पायरी)

डीफॉल्टनुसार, SmartZone रिडायरेक्ट URL मधील MAC पत्ते एन्क्रिप्ट करते. Purple ला क्लायंटचे MAC वाचता यावेत यासाठी तुम्ही हे अक्षम केले पाहिजे.

  1. तुमच्या SmartZone कंट्रोलर मॅनेजमेंट IP वर SSH सेशन उघडा.
  2. तुमच्या प्रशासक क्रेडेंशियल्ससह लॉग इन करा.
  3. खालील कमांड्स कार्यान्वित करा:
    ruckus> enable
ruckus# config
ruckus(config)# no encrypt-mac-ip
ruckus(config)# end
ruckus# write memory

भाग B: Ruckus Unleashed कॉन्फिगरेशन

कंट्रोलर-लेस Unleashed आर्किटेक्चर वापरणाऱ्या लहान ठिकाणांसाठी, मास्टर AP वेब इंटरफेसद्वारे Captive Portal कॉन्फिगर करा.

पायरी 1: AAA सर्व्हर्स परिभाषित करा

  1. Admin & Services > Services > AAA Servers वर जा.
  2. RADIUS ऑथेंटिकेशन सर्व्हर जोडण्यासाठी Create New वर क्लिक करा:
    • Name: Purple_Auth
    • Type: RADIUS
    • IP Address: Purple चा RADIUS IP प्रविष्ट करा.
    • Port: 1812
    • Shared Secret: तुमचा Purple RADIUS Shared Secret प्रविष्ट करा.
  3. OK वर क्लिक करा.
  4. RADIUS अकाउंटिंग सर्व्हर जोडण्यासाठी Create New वर क्लिक करा:
    • Name: Purple_Acct
    • Type: RADIUS Accounting
    • IP Address: Purple चा RADIUS IP प्रविष्ट करा.
    • Port: 1813
    • Shared Secret: तुमचा Purple RADIUS Shared Secret प्रविष्ट करा.
  5. OK वर क्लिक करा.

पायरी 2: Hotspot सेवा कॉन्फिगर करा

  1. Admin & Services > Services > Hotspot Services वर जा.
  2. Create New वर क्लिक करा.
  3. General टॅब अंतर्गत:
    • Name: Purple_Hotspot
    • Login URL: तुमची Purple रीडायरेक्ट URL प्रविष्ट करा.
    • Start Page: Redirect to the following URL निवडा आणि https://login.purple.ai/success.php प्रविष्ट करा.
  4. Authentication टॅब अंतर्गत:
    • Authentication Server: Purple_Auth निवडा.
    • Accounting Server: Purple_Acct निवडा.
    • Interim Update: 5 मिनिटांवर सेट करा.
  5. Walled Garden टॅब अंतर्गत:
    • डोमेन-स्तरीय नोंदी जोडा (उदा. purple.ai, cloudfront.net, gstatic.com). लक्षात ठेवा की Unleashed ला एस्टरिस्क वाईल्डकार्ड (*) उपसर्गाची आवश्यकता नसते; मानक डोमेन-स्तरीय मॅचिंग स्वयंचलितपणे लागू केले जाते.
  6. सेव्ह करण्यासाठी OK वर क्लिक करा.

पायरी 3: WLAN ला Hotspot सेवा लागू करा

  1. Wi-Fi Networks वर जा आणि Create वर क्लिक करा.
  2. Name आणि SSID तुमच्या गेस्ट नेटवर्कच्या नावावर सेट करा.
  3. Usage Type हे Hotspot Service वर सेट करा.
  4. सेवांच्या सूचीमधून Purple_Hotspot निवडा.
  5. सर्व Unleashed APs वर SSID प्रकाशित करण्यासाठी OK वर क्लिक करा.

comparison_chart.png

सर्वोत्तम पद्धती (Best Practices)

कमाल कार्यक्षमता, सुरक्षा आणि नियामक अनुपालन सुनिश्चित करण्यासाठी, नेटवर्क आर्किटेक्ट्सनी खालील उद्योग-मानक सर्वोत्तम पद्धती लागू केल्या पाहिजेत:

1. ग्रॅन्युलर गेस्ट VLAN सेगमेंटेशन

गेस्ट ट्रॅफिक कधीही नेटिव्ह किंवा मॅनेजमेंट VLAN वर मॅप करू नका. गेस्ट क्लायंट्सना नेहमी एका समर्पित, नॉन-राउटेबल VLAN (उदा. VLAN 100) वर वेगळे ठेवा. कॉर्पोरेट सबनेट्स, पॉइंट-ऑफ-सेल (POS) सिस्टीम्स आणि IoT इन्फ्रास्ट्रक्चरपर्यंत गेस्ट ट्रॅफिक पोहोचण्यापासून रोखण्यासाठी अपस्ट्रीम स्विच किंवा फायरवॉलवर कडक ॲक्सेस कंट्रोल लिस्ट्स (ACLs) लागू करा. हे सेगमेंटेशन PCI DSS अनुपालनासाठी एक मुख्य आवश्यकता आहे.

2. हाय-डेन्सिटी RF ऑप्टिमायझेशन

स्टेडियम, कॉन्फरन्स सेंटर्स आणि मोठ्या रिटेल हब सारख्या हाय-डेन्सिटी वातावरणात, RF ट्यूनिंग अत्यंत आवश्यक आहे. क्लायंट्सना जलद गतीवर जाण्यास भाग पाडण्यासाठी आणि एअरटाइममधील स्पर्धा कमी करण्यासाठी कमी लेगसी डेटा दर अक्षम करा (उदा. १२ Mbps पेक्षा कमी ८०२.११b दर अक्षम करा). ड्युअल-बँड क्लायंट डिव्हाइसेसना ५ GHz आणि ६ GHz स्पेक्ट्रमवर निर्देशित करण्यासाठी Band Steering सक्षम करा, जेणेकरून अत्यंत गर्दीचा २.४ GHz बँड लेगसी डिव्हाइसेससाठी सुरक्षित राहील.

३. डायनॅमिक Walled Garden व्यवस्थापन

तुमचा Walled Garden शक्य तितका मर्यादित ठेवा. अतिशय सवलत देणारे walled gardens (जसे की १७२.२१७.०.०/१६ सारखे मोठे IP सबनेट्स जोडणे) अनधिकृत वापरकर्त्यांना Captive Portal बायपास करण्याची आणि लॉग इन न करता बाह्य सेवांवर (जसे की Google Search किंवा YouTube) प्रवेश करण्याची परवानगी देऊ शकतात. तुमच्या walled garden डोमेन्सचे नियमितपणे ऑडिट करा, विशेषतः नवीन सोशल लॉगिन प्रदाते सक्षम केल्यानंतर.

४. सुरक्षित सत्र (Session) व्यवस्थापन

योग्य सत्र कालबाह्यता (उदा. १४४० मिनिटे / २४ तास) आणि वाढीव कालावधी (उदा. ६० मिनिटे) सेट करा. योग्यरित्या कॉन्फिगर केलेला वाढीव कालावधी वापरकर्त्यांना तात्पुरते WiFi कव्हरेज गमावल्यास (उदा. हॉटेलच्या लॉबीबाहेर पाऊल ठेवल्यास) पुन्हा लॉग इन करण्याची सक्ती न करता अखंडपणे कनेक्ट होण्याची परवानगी देऊन "पोर्टल थकवा" टाळतो.

५. नियामक अनुपालन आणि सुरक्षा

सार्वजनिक अतिथी WiFi तैनात केल्याने ठिकाणे कायदेशीर जोखमीच्या कक्षेत येतात. तुमचे Captive Portal एकत्रीकरण स्थानिक नियमांचे पालन करत असल्याची खात्री करा:

  • GDPR / CCPA: स्प्लॅश पेज स्पष्ट सेवा अटी आणि गोपनीयता धोरणे प्रदर्शित करत असल्याची खात्री करा, ज्यासाठी विपणन संप्रेषणांसाठी सक्रिय संमती आवश्यक आहे.
  • WPA3-Transition Mode: अतिथी नेटवर्क सामान्यतः खुले असले तरी, क्लायंट आणि AP मधील वायरलेस ट्रॅफिक एन्क्रिप्ट करण्यासाठी Opportunistic Wireless Encryption (OWE) सह WPA3-Transition मोड सक्षम करण्याचा विचार करा, जेणेकरून अतिथींचे पॅसिव्ह इव्हसड्रॉपिंग (गुप्तपणे ऐकणे) पासून संरक्षण होईल.
  • वेब सामग्री फिल्टरिंग: अतिथी VLAN वरील दुर्भावनापूर्ण डोमेन्स, प्रौढ सामग्री आणि बेकायदेशीर फाइल-शेअरिंग ट्रॅफिक ब्लॉक करण्यासाठी अपस्ट्रीम DNS सर्व्हर्स (जसे की Cisco Umbrella किंवा Cloudflare Families) कॉन्फिगर केले पाहिजेत.

ट्रबलशूटिंग आणि जोखीम कमी करणे

Ruckus हार्डवेअरवर बाह्य Captive Portals तैनात करताना, अभियंत्यांना सामान्यतः कॉन्फिगरेशन आणि नेटवर्क पाथ समस्यांच्या एका विशिष्ट संचाचा सामना करावा लागतो. उपयोजन अडथळे सोडवण्यासाठी या संरचित ट्रबलशूटिंग फ्रेमवर्कचा वापर करा.

सामान्य बिघाड मोड आणि निराकरण मार्ग

समस्या १: अतिथी डिव्हाइसेस Captive Portal पृष्ठावर रीडायरेक्ट होत नाहीत.

  • मूळ कारण A: DNS रिझोल्यूशन अयशस्वी. अनधिकृत क्लायंट रीडायरेक्शनपूर्वी DNS क्वेरी सोडवण्यास सक्षम असणे आवश्यक आहे. जर क्लायंट login.purple.ai सोडवू शकला नाही, तर रीडायरेक्ट अयशस्वी होईल.
    • निराकरण: अतिथी VLAN ला नियुक्त केलेली DHCP व्याप्ती वैध, सार्वजनिक DNS सर्व्हर्स (उदा. १.१.१.१ किंवा ८.८.८.८) प्रदान करत असल्याची पडताळणी करा. अपस्ट्रीम फायरवॉल अतिथी सबनेटमधून इंटरनेट प्री-ऑथेंटिकेशनसाठी UDP पोर्ट ५३ ट्रॅफिकला अनुमती देत असल्याची खात्री करा.
  • मूळ कारण B: फायरवॉल पोर्ट ९०८०/९४४३ ब्लॉक करत आहे. SmartZone ला स्प्लॅश पेज लोड करण्यासाठी विशिष्ट पोर्ट्स उघडे असणे आवश्यक आहे.
    • निराकरण: कोणत्याही स्थानिक फायरवॉलद्वारे TCP पोर्ट 9080 (HTTP) किंवा 9443 (HTTPS) ला परवानगी असल्याची खात्री करा.
  • मूळ कारण C: Walled Garden चे चुकीचे कॉन्फिगरेशन. रीडायरेक्ट URL स्वतःच ब्लॉक केली असू शकते.
    • निराकरण: Hotspot WISPr Walled Garden मध्ये *.purple.ai स्पष्टपणे परिभाषित केले असल्याची खात्री करा.

समस्या 2: अतिथी लॉगिन पेज पाहू शकतात आणि पूर्ण करू शकतात, परंतु "Connect" वर क्लिक केल्यानंतर इंटरनेटचा वापर करू शकत नाहीत.

  • मूळ कारण A: NBI कम्युनिकेशन अयशस्वी. बाह्य पोर्टल SmartZone कंट्रोलरला ऑथोरायझेशन API कॉल परत पाठवू शकत नाही.
    • निराकरण: SmartZone चा Northbound Interface (NBI) सक्षम असल्याची आणि Purple ॲडमिन कन्सोलमध्ये प्रविष्ट केलेली क्रेडेन्शियल्स कंट्रोलर कॉन्फिगरेशनशी जुळत असल्याची पडताळणी करा. तुमची एज फायरवॉल Purple च्या पब्लिक IP रेंजमधून SmartZone मॅनेजमेंट IP कडे येणाऱ्या इनबाउंड TCP पोर्ट 9080 (किंवा 9443) ट्रॅफिकला परवानगी देते याची खात्री करा.
  • मूळ कारण B: RADIUS ऑथेंटिकेशन अयशस्वी. कंट्रोलर RADIUS Access-Accept नाकारत आहे किंवा तो प्राप्त झालेला नाही.
    • निराकरण: SmartZone वरील Services & Profiles > Authentication वर जा, तुमचा RADIUS सर्व्हर निवडा आणि Test AAA वर क्लिक करा. कनेक्टिव्हिटीची पडताळणी करण्यासाठी चाचणी क्रेडेन्शियल्स प्रविष्ट करा. चाचणी अयशस्वी झाल्यास, RADIUS IP, पोर्ट 1812 आणि Shared Secret ची पडताळणी करा. तुमच्या एज फायरवॉलवर UDP पोर्ट 1812 आणि 1813 ला आउटबाउंड परवानगी असल्याची खात्री करा.

समस्या 3: Apple iOS डिव्हाइसेस Captive Network Assistant (CNA) मिनी-ब्राउझर स्वयंचलितपणे प्रदर्शित करत नाहीत.

  • मूळ कारण: Apple CNA बायपास सक्षम आहे किंवा Walled Garden खूप शिथिल आहे. जर Apple च्या चाचणी डोमेनला walled garden मध्ये परवानगी दिली असेल, तर iOS गृहीत धरते की त्याला थेट इंटरनेट ॲक्सेस आहे आणि ते CNA दाबून टाकते.
    • निराकरण: तुम्हाला CNA दिसण्यास भाग पाडायचे असल्यास तुमच्या walled garden मध्ये captive.apple.com पूर्णपणे बायपास केलेले नाही याची खात्री करा. याउलट, तुमचे धोरण CNA बायपास करण्याचे आणि वापरकर्त्यांना मानक ब्राउझर उघडण्यास भाग पाडण्याचे असल्यास, WLAN कॉन्फिगरेशनमध्ये Bypass CNA ON असल्याचे सुनिश्चित करा.

नेटवर्क पोर्ट आणि प्रोटोकॉल आवश्यकता

Ruckus कंट्रोलर, क्लायंट डिव्हाइसेस आणि बाह्य पोर्टल दरम्यान अखंड संवाद सुनिश्चित करण्यासाठी, तुमच्या नेटवर्क फायरवॉलवर खालील पोर्ट्सना परवानगी असल्याची पडताळणी करा:

स्त्रोत गंतव्य प्रोटोकॉल पोर्ट उद्देश
Guest Subnet Public DNS UDP 53 प्री-ऑथेंटिकेशन DNS रिझोल्यूशन.
Guest Subnet SmartZone Controller TCP 9080 / 9443 Captive Portal रीडायरेक्शन आणि WISPr वेब ऑथेंटिकेशन.
SmartZone Controller Purple RADIUS Servers UDP 1812 RADIUS ऑथेंटिकेशन ट्रॅफिक.
SmartZone Controller Purple RADIUS Servers UDP 1813 RADIUS अकाउंटिंग / सेशन ट्रॅकिंग.
Purple Portal Cloud SmartZone Controller TCP 9080 / 9443 इनबाउंड Northbound Interface (NBI) API कॉलबॅक.

ROI आणि व्यावसायिक प्रभाव

नेटवर्क इंजिनिअर्स पॅकेट फ्लो आणि पोर्ट कॉन्फिगरेशनवर लक्ष केंद्रित करत असताना, IT डायरेक्टर्स आणि CTOs नी एंटरप्राइझ गेस्ट WiFi मधील गुंतवणुकीचे समर्थन केले पाहिजे. Ruckus हाय-डेन्सिटी हार्डवेअरला Purple's WiFi Analytics प्लॅटफॉर्मसह एकत्रित केल्याने कॉस्ट-सेंटर नेटवर्कचे रूपांतर एका उच्च-मूल्य व्यवसाय मालमत्तेत होते, ज्यामुळे मोजता येण्याजोगा रिटर्न ऑन इन्व्हेस्टमेंट (ROI) मिळतो.

1. मोठ्या प्रमाणावर फर्स्ट-पार्टी डेटा कॅप्चर

Retail आणि Hospitality सारख्या उद्योगांमध्ये, ग्राहकांची डेमोग्राफिक्स समजून घेणे हा व्यवसाय वाढीचा मुख्य चालक आहे. एक मानक ओपन SSID कोणताही अभ्यागत डेटा कॅप्चर करत नाही. Purple चे Captive Portal लागू करून, ठिकाणे सरासरी २५% ते ४०% लॉगिन पूर्णता दर प्राप्त करतात. हे ऑपरेटर्सना कायदेशीररित्या सत्यापित ईमेल पत्ते, फोन नंबर आणि सोशल प्रोफाईल कॅप्चर करण्याची परवानगी देते.

2. हायपर-लोकलाइज्ड मार्केटिंग आणि एंगेजमेंट

Ruckus च्या अचूक लोकेशन सेवांना Purple च्या मार्केटिंग इंजिनसह जोडून, ठिकाणे प्रत्यक्ष उपस्थितीवर आधारित स्वयंचलित, रिअल-टाइम मोहिमा सुरू करू शकतात. उदाहरणार्थ, एखादा रिटेल ब्रँड १५ मिनिटांपेक्षा जास्त काळ विशिष्ट विभागात ब्राउझिंग करत असलेल्या पाहुण्याला लक्ष्यित SMS कूपन पाठवू शकतो, किंवा एखादे हॉटेल पाहुण्याने लॉबी WiFi शी कनेक्ट केल्यानंतर लगेचच स्पा सेवा बुक करण्यासाठी लिंकसह स्वागत ईमेल पाठवू शकते.

3. ऑपरेशनल कार्यक्षमता आणि ठिकाणाचे इनसाइट्स

Captive Portals ना लोकेशन ॲनालिटिक्ससह एकत्रित केल्याने शक्तिशाली ऑपरेशनल इंटेलिजन्स मिळतो. ठिकाणाचे डायरेक्टर्स खालील गोष्टींचे निरीक्षण करू शकतात:

  • फूटफॉल आणि ड्वेल टाइम: अभ्यागतांची अचूक संख्या, ते किती वेळ थांबतात आणि प्रत्यक्ष जागेतील त्यांचा मार्ग मोजा.
  • लॉयल्टी आणि रिटर्न रेट्स: मार्केटिंग मोहिमा आणि ऑपरेशनल बदलांच्या प्रभावाचे मूल्यांकन करण्यासाठी नवीन विरुद्ध परत येणारे अभ्यागत ओळखा.
  • कर्मचारी ऑप्टिमायझेशन: रिअल-टाइम अभ्यागत डेन्सिटी मॅपसह कर्मचाऱ्यांच्या पातळीची सांगड घाला, ज्यामुळे ऑफ-पीक अवर्समध्ये ओव्हरहेड कमी होतो आणि पीक अवर्समध्ये ग्राहक सेवा सुधारते.

बिझनेस इम्पॅक्ट मॅट्रिक्स

खालील तक्ता Ruckus आणि Purple एकात्मिक गेस्ट WiFi नेटवर्कच्या तैनातीनंतर मुख्य व्हर्टिकल्समधील सामान्य व्यावसायिक परिणाम दर्शवतो:

ठिकाण व्हर्टिकल प्राथमिक व्यावसायिक आव्हान Ruckus + Purple सोल्यूशन मोजता येणारा व्यावसायिक प्रभाव
Hospitality (हॉटेल्स, रिसॉर्ट्स) उच्च गेस्ट ऑनबोर्डिंग घर्षण; कमी थेट बुकिंग दर; कमी रिव्ह्यू प्रमाण. अखंड WISPr ऑनबोर्डिंग; TripAdvisor शी लिंक केलेले स्वयंचलित पोस्ट-स्टे ईमेल ट्रिगर्स. थेट बुकिंगमध्ये २०% वाढ; सकारात्मक ऑनलाइन रिव्ह्यू प्रमाणात ३५% वाढ.
Retail (मॉल्स, फ्लॅगशिप स्टोअर्स) प्रत्यक्ष अभ्यागतांच्या प्रवासाचा मागोवा घेण्यास असमर्थता; कमी लॉयल्टी प्रोग्राम नोंदणी. स्प्लॅश पेजद्वारे डेमोग्राफिक डेटा कॅप्चर करा; प्रत्यक्ष मार्ग आणि ड्वेल टाइमचा मागोवा घ्या. लॉयल्टी डेटाबेसमध्ये १५% वाढ; लक्ष्यित SMS द्वारे सरासरी बास्केट आकारात १०% वाढ.
वाहतूक (विमानतळ, रेल्वे स्थानके) प्रचंड गर्दी; क्लिष्ट बहु-भाषिक प्रवासी ऑनबोर्डिंग. हाय-डेन्सिटी Ruckus AP परफॉर्मन्स; फ्लाइट ट्रॅकिंगसह बहु-भाषिक Captive Portal. कनेक्शन-संबंधित सपोर्ट तिकिटांमध्ये ४०% घट; रिटेल कन्सेशन खर्चात २५% वाढ.
आरोग्य सेवा (रुग्णालये, दवाखाने) कडक सुरक्षा अनुपालन; अतिथी प्रवेशासाठी उच्च प्रशासकीय ओव्हरहेड. स्वतंत्र Guest VLAN; सुरक्षित सेल्फ-रजिस्ट्रेशन पोर्टल; NAC solutions सह एकत्रीकरण. HIPAA आणि PCI DSS चे १००% अनुपालन; आयटी हेल्पडेस्क तिकीट व्हॉल्यूममध्ये ३०% घट.

वायरलेस इंजिनिअरिंगमधील तांत्रिक उत्कृष्टतेला धोरणात्मक व्यावसायिक उद्दिष्टांशी जोडून, Ruckus आणि Purple चे एकत्रीकरण एक सुरक्षित, अनुपालन करणारे आणि अत्यंत फायदेशीर एंटरप्राइझ नेटवर्क इन्फ्रास्ट्रक्चर प्रदान करते.

संदर्भ

Definições Principais

WISPr (Wireless Internet Service Provider roaming)

Um rascunho de protocolo desenvolvido pela Wi-Fi Alliance que permite a clientes inteligentes e navegadores web autenticarem-se automaticamente num hotspot sem fios utilizando redirecionamento XML ou HTTP 302 padronizado.

Utilizado como o protocolo de redirecionamento principal nos controladores Ruckus para encaminhar dispositivos de convidados não autenticados para plataformas externas de Captive Portal.

Northbound Interface (NBI)

Uma API exposta pelo controlador Ruckus SmartZone que permite a portais web externos enviar callbacks de autorização, instruindo o controlador a conceder acesso à internet a um endereço MAC de cliente específico.

Deve ser ativada na porta TCP 9080 (HTTP) ou 9443 (HTTPS) para permitir que a Purple autorize sessões de convidados após o início de sessão bem-sucedido.

Walled Garden

Uma lista de endereços IP, subredes ou nomes de domínio aos quais os clientes convidados não autenticados têm permissão para aceder antes da autenticação.

Deve ser configurado com o domínio do portal, CDNs e endpoints de deteção de captive portal do sistema operativo para garantir que a splash page carrega corretamente.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que opera nas portas UDP 1812 (Autenticação) e 1813 (Accounting) que fornece gestão centralizada de Autenticação, Autorização e Contabilização (AAA) para utilizadores.

Os controladores Ruckus encaminham os dados de sessão dos clientes para os servidores RADIUS da Purple para validar credenciais e monitorizar a duração das sessões.

CNA (Captive Network Assistant)

Um navegador leve e limitado integrado em sistemas operativos (como Apple iOS/macOS e Android) que é iniciado automaticamente quando é detetada uma rede aberta com um Captive Portal ativo.

Pode ser contornado nas definições de WLAN se os engenheiros pretenderem forçar os convidados a abrir manualmente um navegador completo para concluir a autenticação.

Interim Accounting Update

Uma mensagem RADIUS periódica enviada pelo controlador sem fios para o servidor RADIUS para atualizar o estado da sessão ativa, o consumo de largura de banda e o tempo de ligação.

Deve ser definido para 5 minutos na configuração WLAN da Ruckus para garantir que o painel da Purple apresenta análises precisas em tempo real.

Client Isolation

Uma funcionalidade de segurança configurada no controlador sem fios que impede os clientes sem fios ligados ao mesmo AP ou SSID de comunicarem diretamente entre si.

Essencial para redes WiFi de convidados para proteger os utilizadores de spoofing de ARP local, ataques man-in-the-middle e varrimento não autorizado de dispositivos.

WPA3-Transition Mode

Uma configuração de segurança que permite a dispositivos mais antigos compatíveis com WPA2 e a dispositivos mais recentes compatíveis com WPA3 ligarem-se ao mesmo SSID em simultâneo.

Pode ser implementado em redes de convidados com Opportunistic Wireless Encryption (OWE) para fornecer encriptação over-the-air para SSIDs abertos sem necessidade de palavra-passe.

Exemplos Práticos

Um centro de conferências de alta densidade que implementa o Ruckus SmartZone (vSZ) necessita de implementar uma rede WiFi de convidados utilizando o Captive Portal da Purple. A rede deve suportar até 5.000 sessões simultâneas, isolar o tráfego de convidados das sub-redes corporativas e suportar autenticação por login social.

  1. Configure uma VLAN 200 dedicada a convidados nos switches principais e mapeie-a para a Ruckus AP Zone. Defina um escopo DHCP com servidores DNS públicos (ex.: 1.1.1.1, 8.8.8.8) e um tempo de concessão curto (2 horas) para acomodar a elevada rotação.
  2. No SmartZone, navegue para Services & Profiles > Authentication > Proxy (SZ Authenticator) e crie servidores RADIUS primários/secundários a apontar para os IPs de Cloud RADIUS da Purple na Porta 1812 com o segredo partilhado fornecido.
  3. Crie servidores RADIUS Accounting a apontar para os IPs de Accounting da Purple na Porta 1813. Defina o intervalo de atualização provisório para 5 minutos para monitorizar as sessões ativas com precisão.
  4. Crie um Perfil de Hotspot WISPr Portal. Defina o URL de Login como 'External' com o URL de redirecionamento da Purple. Adicione exceções de wildcard de walled garden para '.purple.ai', '.cloudfront.net' e domínios de redes sociais (ex.: '*.facebook.com').
  5. Crie o WLAN de convidados. Defina o Tipo de Autenticação para Hotspot (WISPr), selecione o perfil de Hotspot recém-criado e associe os serviços de autenticação e accounting RADIUS. Defina o Called Station ID para 'AP MAC' e ative o 'Single Session ID'.
  6. Aceda ao CLI do SmartZone via SSH e execute 'no encrypt-mac-ip' para passar endereços MAC originais para o portal. Ative a Interface Northbound (NBI) do WISPr no controlador e introduza as credenciais na consola de administração do portal Purple para ativar os callbacks de autorização NBI.
Comentário do Examinador: Esta arquitetura é altamente resiliente e conforme. A utilização de uma VLAN 200 dedicada cumpre os requisitos de segmentação PCI DSS. O tempo de concessão curto do DHCP de 2 horas evita o esgotamento de endereços IP em cenários de alta densidade. A ativação do accounting RADIUS com uma atualização provisória de 5 minutos garante que o local tenha uma monitorização de sessões em tempo real, permitindo à Purple monitorizar com precisão o consumo de largura de banda. A desativação da encriptação de endereços MAC via CLI é um passo crítico; sem ela, o portal receberia MACs com hash e falharia na correlação de sessões. A configuração de callback NBI é a única forma segura de autorizar clientes no Ruckus SmartZone sem criar loops de autenticação local.

Um hotel boutique de média dimensão com 45 quartos pretende implementar WiFi de convidados com uma splash page externa utilizando APs Ruckus Unleashed. Necessitam de uma configuração leve e sem controlador que não exija gestão por CLI ou uma porta API NBI exposta para a internet.

  1. Inicie sessão na interface web do AP mestre Unleashed. Vá a Admin & Services > Services > AAA Servers e crie entradas de servidor RADIUS Authentication (Porta 1812) e Accounting (Porta 1813) a apontar para a infraestrutura Cloud RADIUS da Purple.
  2. Navegue para Admin & Services > Services > Hotspot Services e clique em Create New. Nomeie o serviço como 'Purple_Hotel_Hotspot'.
  3. No separador General, defina o URL de Login para o URL de redirecionamento do portal Purple. Defina a Start Page para redirecionar para ' https://login.purple.ai/success.php '.
  4. No separador Authentication, selecione os servidores RADIUS recém-criados. Defina o intervalo de atualização provisório de accounting para 5 minutos.
  5. No separador Walled Garden, adicione os domínios necessários como entradas ao nível do domínio (ex.: 'purple.ai', 'cloudfront.net', 'gstatic.com'). Note que o Unleashed não exige nem suporta o prefixo wildcard de asterisco (*.domain.com).
  6. Vá a Wi-Fi Networks, clique em Create e defina o nome do SSID (ex.: 'Hotel_Guest_WiFi'). Defina o Usage Type para 'Hotspot Service' e selecione 'Purple_Hotel_Hotspot' na lista pendente. Guarde a configuração para sincronizar automaticamente o SSID em todos os 45 APs Unleashed.
Comentário do Examinador: Para implementações em PMEs e mercado médio com menos de 50 APs, o Ruckus Unleashed oferece uma arquitetura distribuída altamente económica. Como o Unleashed não aplica encriptação de endereços MAC por predefinição, o passo de CLI necessário no SmartZone é ignorado. Além disso, o Unleashed não requer um callback de Interface Northbound (NBI) para autorização; em vez disso, a autorização do cliente é negociada diretamente através de transações RADIUS padrão entre o AP mestre e o servidor RADIUS. Isto simplifica a configuração da firewall, uma vez que não é necessário abrir portas de entrada (como 9080/9443) para o controlador a partir da internet.

Perguntas de Prática

Q1. Um engenheiro configurou uma integração de Captive Portal Ruckus SmartZone. Quando os utilizadores se ligam ao WiFi de convidados, são redirecionados para a página de login. No entanto, após introduzirem as suas credenciais e clicarem em 'Ligar', são imediatamente redirecionados de volta para a página de login num loop infinito. Qual é a causa mais provável deste problema e como deve ser resolvido?

Dica: Foque-se na comunicação entre a cloud do portal e o controlador SmartZone após a conclusão da autenticação.

Ver resposta modelo

A causa mais provável é uma falha no callback do WISPr Northbound Interface (NBI) ou uma incompatibilidade de autenticação RADIUS. Quando o utilizador clica em 'Ligar', o portal autentica o utilizador e tenta enviar um callback NBI para o controlador SmartZone na porta TCP 9080 ou 9443 para autorizar o endereço MAC do cliente. Se a firewall de borda bloquear esta porta de entrada, ou se as credenciais NBI introduzidas na consola do portal não corresponderem às definições do controlador, o controlador nunca autoriza o cliente. Consequentemente, quando o cliente tenta aceder novamente à internet, o controlador intercetará o tráfego e redirecioná-lo-á de volta para o portal. Para resolver isto: 1) Verifique se a porta TCP 9443 (ou 9080) está aberta para entrada na firewall de borda a partir do intervalo de IPs do portal para o IP de gestão do SmartZone. 2) Verifique a configuração NBI do SmartZone em Administration > WISPr Northbound Interface e confirme se o nome de utilizador e a palavra-passe correspondem ao que está configurado na consola de administração do portal. 3) Teste a conectividade RADIUS no SmartZone em Services & Profiles > Authentication > Test AAA para garantir que o segredo partilhado está correto.

Q2. Durante a implementação de uma rede WiFi de convidados num cluster Ruckus Unleashed, vários convidados relatam que a splash page carrega com imagens e estilos quebrados, e as opções de login social não funcionam. Outros convidados em dispositivos diferentes não conseguem sequer carregar a splash page. Qual é o erro de configuração mais provável?

Dica: Analise a diferença entre os domínios que carregam com sucesso e os que falham na pré-autenticação.

Ver resposta modelo

A causa mais provável é um Walled Garden mal configurado ou incompleto. Os clientes não autenticados estão impedidos de aceder a quaisquer destinos na internet, exceto os explicitamente definidos no Walled Garden. Se a splash page carrega com estilos e imagens quebrados, significa que o navegador está impedido de descarregar esses recursos de CDNs externas. Se as opções de login social falharem, significa que os endpoints de autenticação do fornecedor social (por exemplo, URLs de OAuth do Facebook ou Google) estão bloqueados. Para resolver isto: 1) Audite as entradas do Walled Garden na configuração do Unleashed Hotspot Service. 2) Certifique-se de que todos os domínios de CDN utilizados pelo portal (como '.cloudfront.net') e domínios principais do portal (como 'purple.ai') são adicionados. 3) Se o login social estiver ativado, adicione os domínios específicos do fornecedor social (por exemplo, '.facebook.com', '.facebook.net', '.google.com'). 4) Note que o Unleashed utiliza correspondência ao nível do domínio, pelo que não deve incluir o prefixo wildcard com asterisco (por exemplo, utilize 'purple.ai' em vez de '*.purple.ai').

Q3. Um engenheiro de redes sem fios está a migrar uma rede WiFi de convidados de um Ruckus Unleashed para um controlador Virtual SmartZone (vSZ) centralizado. Copia a lista do Walled Garden exatamente como estava configurada no Unleashed: 'purple.ai', 'cloudfront.net', 'apple.com'. No entanto, após a migração, os clientes na rede vSZ não conseguem carregar a splash page. Qual é a diferença de sintaxe que causou esta falha?

Dica: Reveja as regras específicas de formatação de wildcards para o Ruckus SmartZone em comparação com o Ruckus Unleashed.

Ver resposta modelo

A falha é causada por uma diferença de sintaxe na forma como as duas plataformas analisam as entradas do Walled Garden. O Ruckus Unleashed aplica correspondência automática ao nível do domínio, o que significa que introduzir 'purple.ai' cobre automaticamente todos os subdomínios (como 'login.purple.ai' ou 'assets.purple.ai'). No entanto, o Ruckus SmartZone não aplica correspondência automática de subdomínios; requer uma formatação explícita de wildcard utilizando o prefixo de asterisco (por exemplo, '.purple.ai'). Se o engenheiro introduziu 'purple.ai' no SmartZone, o controlador permitiria o tráfego apenas para o domínio raiz, impedindo o cliente de carregar a página de login real em 'login.purple.ai'. Para resolver isto, o engenheiro deve editar o perfil Hotspot WISPr no SmartZone e atualizar as entradas do Walled Garden para utilizar o formato correto: '.purple.ai', '.cloudfront.net' e '.apple.com'.

Continue a ler esta série

Integração do Cisco WLC e Catalyst com a Purple WiFi: Guia de Acesso de Convidados Passo a Passo

Este guia de referência detalha a integração passo a passo de Cisco Catalyst 9800 WLCs com a Purple WiFi. Abrange a External Web Authentication para portais cativos de convidados, 802.1X EAP-TLS para acesso seguro de funcionários e Cisco iPSK for segmentação de VLAN dinâmica multi-tenant.

Ler o guia →

Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Este guia de referência técnica fornece um manual de configuração autoritativo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK.

Ler o guia →

Integração de Access Points Allied Telesis com Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar access points Allied Telesis da Série TQ com o Purple WiFi. Abrange o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implementações multi-tenant seguras.

Ler o guia →