跳至主要内容
简体中文

Aruba ClearPass vs. Purple WiFi: 比较功能与协同部署

一份全面的技术指南,详细介绍了 Aruba ClearPass 和 Purple WiFi 的协同部署架构。内容涵盖 RADIUS 代理配置、动态 VLAN 分配,以及在企业级 NAC 旁部署安全且由数据分析驱动的访客网络的最佳实践。

📖 6 分钟阅读📝 1,499 🔧 2 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
请以自信、权威且口语化的英式英语口吻进行发言。您是一位正在向客户做简报的高级网络顾问。语速适中,吐字清晰,专业而不生硬。偶尔有自然的停顿以示强调: 欢迎来到本次 Purple 技术简报。我是主持人,今天我们将探讨一个在我们服务的几乎每一个企业无线项目中都会遇到的问题:当您已经部署了 Aruba ClearPass 时,Purple WiFi 应该处于什么位置,以及这两个系统如何协同工作? [medium pause] 这绝非理论层面的讨论。如果您是酒店集团、零售连锁或体育场馆运营商的 IT 经理、网络架构师或安全工程师,这可能是您在本季度需要做出的决策。那么,让我们正式开始吧。 [medium pause] 引言与背景。 [short pause] 首先,让我们明确每个平台的设计初衷。Aruba ClearPass Policy Manager 是一个网络准入控制平台。它的职责是对设备和用户进行身份验证、评估终端合规状态,并在您的整个网络中执行访问策略。它支持 802.1X(基于端口的网络准入控制的 IEEE 标准),并使用 EAP 方法,例如带证书的 EAP-TLS 和带用户名及密码的 PEAP。它与 Microsoft Entra ID、Okta 以及其他身份提供商集成。它能对设备进行画像,检查它们是否符合您的安全策略,并为其分配正确的网络角色。对于企业设备,ClearPass 表现卓越。它正是为此类用例而设计的。 [medium pause] 而 Purple WiFi 则完全不同。Purple 是一个基于云的访客 WiFi 智能平台。它的职责是通过品牌化的 Captive Portal 对访客进行身份验证,通过符合 GDPR 合规要求的授权流程捕获第一手数据,并将这些数据输入到您的营销和分析技术栈中。Purple 在全球 80,000 多个场所运行,仅在 2024 年就处理了 4.4 亿次登录。它集成了 400 多个连接器,包括 CRM 和营销自动化平台。对于访客网络,Purple 是真正的专家。 [medium pause] 大多数组织面临的问题是,他们试图用一个平台来完成这两项工作。他们要么让 ClearPass 来运行访客门户(它确实可以做到,但不够优雅),要么在部署 Purple 时没有考虑它如何与现有的 NAC 投资共存。正确的解决方案是采用联合部署架构,让每个平台各司其职、各展所长。 [medium pause] 技术深度解析。 [short pause] 让我带您了解一下该架构。在联合部署中,您的 Aruba Mobility Controller 或 Aruba Instant 接入点会广播多个 SSID。通常为三个:一个用于企业设备,一个用于访客,一个用于物联网(IoT)。关于这种 SSID 设计模式的更多信息,Purple 发布了一份名为《Three SSIDs to rule them all》的详细指南,我建议您与本简报结合阅读。 [medium pause] 企业 SSID 使用基于 EAP-TLS 的 802.1X 认证。设备使用通过 ClearPass Onboard 分发的证书进行身份验证,ClearPass Onboard 是 ClearPass 内置的证书注册和设备配置模块。ClearPass 会检查设备状态、验证证书、查询 Active Directory 或 Microsoft Entra ID,并将设备分配到相应的 VLAN。企业网络通常分配到 VLAN 10。这整个流程都在 ClearPass 内部完成,不涉及 Purple。 [medium pause] 访客 SSID 才是集成发生的地方。当访客连接到访客 SSID 时,Aruba 控制器会拦截其 HTTP 流量,并将他们的浏览器重定向到 Purple 的 captive portal。访客通过 Purple 进行身份验证,可能使用 Google 社交登录、自定义电子邮件表单或 OpenRoaming(在 Connect 许可下,Purple 作为免费的身份提供商)。一旦 Purple 验证了访客,它会向控制器发送一个 RADIUS Access-Accept 消息,从而授予互联网访问权限。 [medium pause] 现在,关键的架构决策是:您是将 ClearPass 作为 RADIUS 代理插入到控制器和 Purple 之间,还是让控制器直接与 Purple 的 RADIUS 服务器通信。对于大多数企业部署来说,代理模式是正确的选择。原因如下。 [medium pause] 将 ClearPass 作为 RADIUS 代理后,您网络上的每一次身份验证事件(无论是企业还是访客)都会通过 ClearPass。您将获得单一的审计轨迹。您的安全运营团队可以在一个地方查看所有内容。ClearPass 可以在向控制器返回响应之前附加自己的策略属性,从而实现基于角色的动态 VLAN 分配。而且,您保留了对访客会话实施附加策略的能力,例如带宽限制或基于时间的访问限制。 以自信、权威且口语化的语气说话。您是一位正在向客户进行简要汇报的资深网络顾问。节奏沉稳,吐字清晰,专业而不生硬: ClearPass 中的代理配置非常简单。您可以创建一个 RADIUS 路由策略,通过 NAS 标识符或主叫站 ID 来匹配访客 SSID。匹配该策略的请求将被转发到 Purple 的云端 RADIUS 服务器。Purple 做出响应,ClearPass 附加 Aruba-User-Role 厂商特定属性,然后控制器将访客放入仅允许访问互联网的 VLAN 20 中。 [medium pause] 对于物联网设备,第三个 SSID 使用 MAC 认证绕过。ClearPass 使用设备的 OUI(MAC 地址的前六个字符,用于识别制造商)对设备进行画像,并将其分配给映射到 VLAN 30 的 ROLE_IOT。此 VLAN 无法访问互联网,仅具有本地连接。您的智能电视、温控器和门锁将与企业和访客流量完全隔离。 [medium pause] 谈谈合规性,因为这是该架构发挥价值的地方。在 PCI DSS 下,任何接触持卡人数据的网络段都必须与访客网络隔离。此架构中的 VLAN 细分满足了该要求。在 GDPR 框架下,Purple 的 Captive Portal 通过有意识的选择加入(opt-ins)来处理同意收集,这意味着访问者是主动选择分享他们的数据,而不是默认被收集。Purple 已通过 ISO 27001 认证、符合 GDPR,并持有 Cyber Essentials 认证。ClearPass 则提供了安全团队进行合规性报告所需的审计跟踪。 [medium pause] 实施建议与陷阱。 [short pause] 让我为您介绍在此部署中最常出现的五个问题以及如何避免它们。 [medium pause] 第一:围墙花园(Walled Garden)。在访问者进行身份验证之前,Aruba 控制器仅允许流量访问预定义的终端列表。如果 Purple 的 portal 域名、其 CDN 端点以及社交登录提供商的域名不在该列表中,则 portal 将无法加载。您需要将 star dot purple dot ai、star dot cloudfront dot net 以及您启用的任何社交登录提供商的 OAuth 域名包含在内。Google、Facebook、Apple 和 Microsoft Entra ID 都有各自的一套域名。请将围墙花园视为一个动态配置,因为社交登录提供商会定期更改其 CDN 域名。 [medium pause] 第二:RADIUS 超时。大多数 Aruba 控制器上的默认 RADIUS 超时时间为三秒。在代理架构中,请求从接入点发送到控制器、到 ClearPass,再跨越互联网到达 Purple 的云端 RADIUS,然后返回。在拥堵的网络中,该往返时间可能会超过三秒。请将超时时间设置为至少十秒,并配置至少重试两次的重试逻辑。 [medium pause] 第三:共享密钥不匹配。Aruba 控制器与 ClearPass 之间的共享密钥必须完全一致。ClearPass 与 Purple 的 RADIUS 服务器之间的共享密钥也必须完全一致。单个字符的差异就会导致静默身份验证失败,且不会向访问者显示任何有意义的错误消息。请务必逐字验证。 [medium pause] 第四:角色名称大小写敏感。ClearPass 返回的 Aruba-User-Role 属性必须与 Aruba 控制器上定义的角色名称完全匹配,包括大小写。如果 ClearPass 返回 guest-authenticated,但控制器定义的是 Guest-Authenticated,则访问者将退回到默认的登录(logon)角色,从而无法访问互联网。 [medium pause] 第五:RADIUS 计费。许多部署正确配置了身份验证代理,但忘记了同时代理计费。Purple 使用 RADIUS 计费数据来跟踪会话时长、数据使用情况,并填充其分析仪表板。如果计费数据没有流向 Purple,您的客流量分析和停留时间报告将不完整。 [medium pause] 快速提问。 [short pause] 我可以在 Aruba Instant 上运行它,而不是完整的 Mobility Controller 吗?是的。Aruba Instant 支持外部 RADIUS 服务器和 Captive Portal 重定向。配置略有不同,但原理完全相同。 [medium pause] Purple 支持授权变更(Change of Authorisation)吗?是的。CoA 允许控制器动态更新访客的会话,而无需他们重新连接。这对于限时访问或层级升级非常有用。 [medium pause] 这支持 WPA3 吗?是的。支持用于个人网络的 WPA3-SAE 和用于 802.1X 的 WPA3-Enterprise。对于使用 Captive Portal 的访客网络,通常选择 WPA3-SAE 或带有机会性无线加密(Opportunistic Wireless Encryption)的开放 SSID。 [medium pause] 我可以对员工和访客使用同一个 SSID 吗?可以,但这会增加复杂性。ClearPass 在同一个 SSID 上处理 802.1X 和 MAC 身份验证,使用服务规则来区分流量类型并进行相应路由。对于大多数场所,独立的 SSID 是更干净的选择。 [medium pause] 总结与后续步骤。 [short pause] ClearPass 和 Purple 是互补的,而不是竞争关系。ClearPass 是您针对企业设备的策略引擎:802.1X、终端合规性评估、证书管理和统一审计追踪。Purple 是您的访客智能平台:品牌化的 Captive Portal、符合 GDPR 的数据捕获、客流量分析和营销自动化。 [medium pause] 联合部署架构将 ClearPass 用作 RADIUS 代理。所有身份验证请求都通过 ClearPass。访客请求被路由到 Purple 的云端 RADIUS。企业请求由 ClearPass 本地处理。Aruba 控制器通过动态 VLAN 分配来执行生成的策略。 [medium pause] 您必须配置正确的三个要素是:围墙花园(walled garden)、RADIUS 超时和角色名称一致性。做好这些,您就拥有了一个合规、具有商业价值的访客 WiFi 部署,且不会危及您的企业安全状况。 [medium pause] 您的后续步骤:从 Purple 控制面板中获取您的 Purple 场所 RADIUS 凭证,查看随附书面指南中的围墙花园参考列表,并在部署到生产环境之前使用专用测试设备测试完整的身份验证流程。如果您要跨多个站点部署,Purple 的多站点管理控制台允许您从单一界面管理整个资产的 Captive Portal 配置、品牌和分析。 [medium pause] 感谢您的收听。请访问 purple dot ai,与解决方案架构师讨论您的具体部署。

header_image.png

कार्यकारी सारांश

HPE Aruba इन्फ्रास्ट्रक्चरमध्ये मोठ्या प्रमाणावर गुंतवणूक केलेल्या एंटरप्राइझ वातावरणासाठी, अखंड, डेटा-समृद्ध अतिथी WiFi अनुभव प्रदान करताना जटिल नेटवर्क प्रवेश धोरणे व्यवस्थापित करणे एक महत्त्वपूर्ण आर्किटेक्चरल आव्हान सादर करते. Aruba ClearPass पॉलिसी व्यवस्थापक कॉर्पोरेट उपकरणांसाठी नेटवर्क ऍक्सेस कंट्रोल (NAC) आणि 802.1X सुरक्षिततेमध्ये उत्कृष्ट असला तरी, त्याच्या अंगभूत Captive Portal मध्ये आधुनिक ठिकाणांसाठी आवश्यक असलेल्या प्रगत विपणन ऑटोमेशन आणि विश्लेषणेचा अभाव आहे. हे मार्गदर्शक ClearPass सोबत Purple WiFi कसे समाकलित करावे हे तपशीलवार सांगते, ज्यामुळे प्रत्येक प्लॅटफॉर्मला त्यांच्या मुख्य सामर्थ्यावर लक्ष केंद्रित करणे शक्य होते.

ClearPass ला RADIUS प्रॉक्सी म्हणून उपयोजित करून, आपण कॉर्पोरेट आणि IoT उपकरणांसाठी युनिफाइड सुरक्षा ऑडिट ट्रेल आणि डायनॅमिक VLAN असाइनमेंट राखता, तर अतिथी ऑनबोर्डिंग अनुभव Purple कडे सोपवता. हा दृष्टिकोन GDPR-सुसंगत फर्स्ट-पार्टी डेटा कॅप्चर, तपशीलवार फूटफॉल विश्लेषणे आणि ४०० हून अधिक विपणन कनेक्टर्ससह एकत्रीकरण सक्षम करतो—तुमच्या विद्यमान Aruba NAC गुंतवणुकीला न बदलता. हा दस्तऐवज या सह-उपयोजनासाठी तांत्रिक ब्ल्यूप्रिंट प्रदान करतो, ज्यामध्ये आर्किटेक्चर, कॉन्फिगरेशन त्रुटी आणि सर्वोत्तम पद्धतींचा समावेश आहे.

तांत्रिक सखोल विश्लेषण

Aruba ClearPass आणि Purple WiFi चे एकत्रीकरण मानक RADIUS प्रोटोकॉल आणि HTTP रीडायरेक्ट मेकॅनिझमवर अवलंबून आहे, जे RADIUS प्रॉक्सी आर्किटेक्चरभोवती संरचित आहे. हे डिझाइन हे सुनिश्चित करते की ClearPass सर्व नेटवर्क प्रवेशासाठी केंद्रीय धोरण निर्णय बिंदू राहील, तर Purple अतिथी-अनुकूल Captive Portal आणि डेटा संकलन व्यवस्थापित करते.

मुख्य आर्किटेक्चर

मानक सह-उपयोजनामध्ये, तुमचे Aruba मोबिलिटी कंट्रोलर्स किंवा Aruba इन्स्टंट ऍक्सेस पॉइंट्स एकाधिक SSIDs ब्रॉडकास्ट करतात. एक सामान्य डिझाइन पॅटर्न, जसे की Three SSIDs to rule them all: the WiFi design for guest, staff and IoT मध्ये वर्णन केले आहे, तीन समर्पित नेटवर्क वापरतो:

  1. Corporate SSID: EAP-TLS सह 802.1X वापरते. ClearPass Onboard द्वारे तरतूद केलेल्या प्रमाणपत्रांचा वापर करून उपकरणे प्रमाणीकृत होतात. ClearPass उपकरणाच्या स्थितीचे मूल्यांकन करते, Microsoft Entra ID किंवा Active Directory कडे चौकशी करते आणि उपकरणाला कॉर्पोरेट VLAN (उदा. VLAN 10) मध्ये नियुक्त करते. या फ्लोमध्ये Purple समाविष्ट नाही.
  2. IoT SSID: MAC ऑथेंटिकेशन बायपास (MAB) वापरते. ClearPass उपकरणाच्या ऑर्गनायझेशनली युनिक आयडेंटिफायर (OUI) चा वापर करून त्याचे प्रोफाइल तयार करते आणि त्याला इंटरनेट प्रवेश नसलेल्या एका वेगळ्या IoT VLAN (उदा. VLAN 30) मध्ये नियुक्त करते.
  3. Guest SSID: हे एक ओपन किंवा अपॉर्चुनिस्टिक वायरलेस एन्क्रिप्शन (OWE) नेटवर्क आहे जे Purple Captive Portal ट्रिगर करते. architecture_overview.png

RADIUS Proxy फ्लो

जेव्हा एखादा अभ्यागत (visitor) गेस्ट SSID शी कनेक्ट होतो आणि ब्राउझर उघडतो, तेव्हा Aruba कंट्रोलर HTTP ट्रॅफिक अडवतो आणि सेशन Purple Captive Portal URL कडे रिडायरेक्ट करतो. अभ्यागत सोशल लॉगिन, कस्टम फॉर्म किंवा OpenRoaming (जिथे Purple, Connect प्लॅन अंतर्गत मोफत आयडेंटिटी प्रोव्हाइडर म्हणून काम करते) चा वापर करून Purple द्वारे ऑथेंटिकेट करतो.

एकदा Purple ने अभ्यागताला प्रमाणित (validate) केले की, ते RADIUS Access-Accept संदेश पाठवते. तथापि, Aruba कंट्रोलर थेट Purple च्या क्लाउड RADIUS सर्व्हरशी संपर्क साधण्याऐवजी, ClearPass ला RADIUS proxy म्हणून समाविष्ट केले जाते:

  1. Aruba कंट्रोलर सर्व RADIUS विनंत्या (requests) ClearPass कडे पाठवतो.
  2. ClearPass त्याच्या सेवा नियमांच्या (Service Rules) विरुद्ध विनंतीचे मूल्यमापन करते. जर विनंती गेस्ट SSID शी जुळत असेल (Called-Station-Id किंवा NAS आयडेंटिफायरद्वारे ओळखली जाणारी), तर RADIUS Routing Policy ही विनंती Purple च्या RADIUS सर्व्हरकडे फॉरवर्ड करते.
  3. Purple एक Access-Accept संदेशासह प्रतिसाद देते.
  4. ClearPass ला हा प्रतिसाद मिळतो आणि तो स्वतःची Enforcement Policy लागू करतो, कंट्रोलरकडे अंतिम प्रतिसाद फॉरवर्ड करण्यापूर्वी विशिष्ट Vendor-Specific Attributes (VSAs) जोडतो.

डायनॅमिक रोल-आधारित VLAN असाइनमेंट

या आर्किटेक्चरमधील सर्वात महत्त्वाची VSA म्हणजे Aruba-User-Role आहे. जेव्हा ClearPass, Access-Accept संदेश कंट्रोलरकडे फॉरवर्ड करते, तेव्हा वायरलेस नेटवर्कवर अभ्यागताने कोणती नेमकी भूमिका घ्यावी हे स्पष्ट करण्यासाठी ते या ॲट्रिब्यूटचा समावेश करते.

उदाहरणार्थ, ClearPass Aruba-User-Role = guest-authenticated परत करू शकते. Aruba कंट्रोलरवर, हा रोल VLAN 20 शी मॅप केला जातो, जो इंटरनेट प्रवेशाची परवानगी देणाऱ्या परंतु अंतर्गत कॉर्पोरेट सबनेटसाठी राउटिंग ब्लॉक करणाऱ्या फायरवॉल पॉलिसीसह कॉन्फिगर केलेला असतो. PCI DSS [1] सारख्या मानकांचे पालन करण्यासाठी हे सेगमेंटेशन आवश्यक आहे.

comparison_chart.png

अंमलबजावणी मार्गदर्शिका (Implementation Guide)

हे आर्किटेक्चर तैनात करण्यासाठी Aruba इन्फ्रास्ट्रक्चर आणि ClearPass दोन्हीवर अचूक कॉन्फिगरेशन आवश्यक आहे. हे इंटिग्रेशन स्थापित करण्यासाठी खालील विक्रेता-तटस्थ (vendor-neutral) पायऱ्यांचे अनुसरण करा.

पायरी १: ClearPass मध्ये Purple RADIUS सर्व्हर कॉन्फिगर करा

ClearPass मधील Configuration > Network > Devices वर जा आणि Purple चे प्राथमिक आणि दुय्यम RADIUS सर्व्हर नेटवर्क डिव्हाइस म्हणून जोडा. तुम्हाला तुमच्या Purple व्हेन्यू कॉन्फिगरेशन डॅशबोर्डमध्ये दिलेले IP ॲड्रेस आणि शेअर केलेला सिक्रेट कोड (shared secret) आवश्यक असेल.

पायरी २: RADIUS Routing Policy तयार करा

ClearPass मध्ये एक नवीन RADIUS Routing Policy तयार करा. ही पॉलिसी कोणत्या परिस्थितींमध्ये विनंत्या (requests) Purple कडे प्रॉक्सी केल्या जातील हे निश्चित करेल. पायरी १ मध्ये तुम्ही कॉन्फिगर केलेल्या Purple RADIUS सर्व्हरवर प्राथमिक आणि बॅकअप डेस्टिनेशन सेट करा.

पायरी ३: गेस्ट सर्व्हिस व्याख्यात करा

गेस्ट ऑथेंटिकेशनसाठी ClearPass मध्ये एक नवीन सर्व्हिस (Service) तयार करा.

  • Type: RADIUS Enforcement (Generic)
  • सर्व्हिस नियम: तुमच्या गेस्ट SSID नाव असलेल्या Radius:IETF:Called-Station-Id शी जुळवा.
  • राउटिंग पॉलिसी: पायरी २ मध्ये तयार केलेली पॉलिसी निवडा.
  • एंफोर्समेंट पॉलिसी: अरुबा कंट्रोलरवरील तुमच्या गेस्ट रोलशी संबंधित असलेल्या व्हॅल्यूसह Aruba-User-Role VSA परत करण्यासाठी पॉलिसी कॉन्फिगर करा.

पायरी ४: कंट्रोलरवर वॉल्ड गार्डन कॉन्फिगर करा

वॉल्ड गार्डन ही अशा डोमेन्सची सूची आहे जिथपर्यंत एखादे डिव्हाइस ऑथेंटिकेशनपूर्वी पोहोचू शकते. हे अरुबा कंट्रोलरवर (किंवा ArubaOS 10 मधील ॲक्सेस नियमांद्वारे) कॉन्फिगर केले जाते. आपण Purple च्या मुख्य डोमेन्सचा समावेश करणे आवश्यक आहे:

  • *.purple.ai
  • *.cloudfront.net
  • *.venuewifi.com

जर तुम्ही सोशल लॉगिन सक्षम करत असाल, तर तुम्ही प्रत्येक प्रदात्यासाठी OAuth डोमेन्स देखील जोडले पाहिजेत (उदा. *.facebook.com, *.google.com, *.microsoftonline.com).

पायरी ५: RADIUS अकाऊंटिंग कॉन्फिगर करा

RADIUS अकाऊंटिंग देखील ClearPass द्वारे Purple कडे प्रॉक्सी केले जात असल्याची खात्री करा. Purple हे सेशनचा कालावधी ट्रॅक करण्यासाठी आणि त्याचे WiFi Analytics डॅशबोर्ड भरण्यासाठी अकाऊंटिंग डेटा (Acct-Start, Acct-Interim-Update, Acct-Stop) वापरते. अरुबा कंट्रोलरवर अकाऊंटिंग अंतराल ५ मिनिटांवर सेट करा.

सर्वोत्तम पद्धती

मजबूत आणि सुसंगत उपयोजन सुनिश्चित करण्यासाठी, खालील उद्योग-मानक शिफारसींचे पालन करा.

  • रहदारीचे काटेकोरपणे विभाजन करा: कॉर्पोरेट संसाधनांचा कोणताही मार्ग नसलेल्या समर्पित VLAN वर गेस्ट ट्रॅफिक नेहमी ठेवा. PCI DSS आणि सामान्य नेटवर्क सुरक्षेसाठी ही एक मूलभूत आवश्यकता आहे.
  • प्रॉक्सी अकाऊंटिंग डेटा: RADIUS अकाऊंटिंगकडे दुर्लक्ष करू नका. जर अकाऊंटिंग पॅकेट्स Purple पर्यंत पोहोचले नाहीत, तर तुमचे फूटफॉल ॲनालिटिक्स आणि ड्वेल टाइम रिपोर्ट अपूर्ण राहतील.
  • WISPr सक्षम करा: अरुबा कंट्रोलरच्या captive portal प्रोफाइलवर, WISPr (Wireless Internet Service Provider roaming) सक्षम असल्याची खात्री करा. हा प्रोटोकॉल मोबाईल ऑपरेटिंग सिस्टम्सना captive portal स्वयंचलितपणे शोधण्याची आणि लॉगिन स्क्रीन अखंडपणे दाखवण्याची परवानगी देतो.
  • सचेत-निवड ऑप्ट-इन्स वापरा: GDPR चे पालन करण्यासाठी, तुमचे Purple पोर्टल मार्केटिंग कम्युनिकेशन्ससाठी आधीच टिक केलेल्या बॉक्सऐवजी किंवा गृहीत धरलेल्या संमतीऐवजी स्पष्ट ऑप्ट-इन चेकबॉक्स वापरण्यासाठी कॉन्फिगर करा [2].

त्रुटी निवारण आणि जोखीम कमी करणे

काळजीपूर्वक कॉन्फिगरेशन करूनही, इंटिग्रेशन्स अयशस्वी होऊ शकतात. येथे सर्वात सामान्य बिघाड मोड आणि ते कसे सोडवायचे ते दिले आहे.

वॉल्ड गार्डन चुकीचे कॉन्फिगरेशन

भेट देणाऱ्याच्या डिव्हाइसवर captive portal लोड होण्यात अयशस्वी झाल्यास, त्याचे कारण जवळजवळ नेहमीच वॉल्ड गार्डन असते. सोशल लॉगिन प्रदाते वारंवार त्यांच्या CDN IP श्रेणी आणि डोमेन नावे अपडेट करतात. वॉल्ड गार्डनला सतत बदलणारे कॉन्फिगरेशन समजा. जर एखादे विशिष्ट सोशल लॉगिन अयशस्वी झाले, तर डिव्हाइस कोणत्या डोमेनवर पोहोचण्याचा प्रयत्न करत आहे हे शोधण्यासाठी पॅकेट कॅप्चर वापरा आणि ते अनुमती सूचीमध्ये जोडा.

RADIUS टाइमआउट त्रुटी

बऱ्याच Aruba कंट्रोलर्सवरील डीफॉल्ट RADIUS टाइमआउट ३ सेकंद असतो. प्रॉक्सी आर्किटेक्चरमध्ये, ऑथेंटिकेशन विनंती AP कडून कंट्रोलरकडे, ClearPass कडे, इंटरनेटद्वारे Purple च्या क्लाउड इन्फ्रास्ट्रक्चरकडे आणि परत जाणे आवश्यक आहे. गर्दी असलेल्या नेटवर्कवर, ही राऊंड ट्रिप सहजपणे ३ सेकंदांपेक्षा जास्त असू शकते, ज्यामुळे कंट्रोलर विनंती नाकारू शकतो. Aruba कंट्रोलरवरील RADIUS टाइमआउट किमान १० सेकंदांपर्यंत वाढवा आणि रीट्राय लॉजिक कॉन्फिगर करा.

शेअर्ड सिक्रेट न जुळणे

सुरक्षेसाठी RADIUS शेअर्ड सिक्रेट्सवर अवलंबून असते. जर Aruba कंट्रोलर आणि ClearPass मधील, किंवा ClearPass आणि Purple मधील शेअर्ड सिक्रेट तंतोतंत जुळले नाही, तर ऑथेंटिकेशन गुपचूप अयशस्वी होईल. अभ्यागताला कोणताही अर्थपूर्ण त्रुटी संदेश दाखवला जाणार नाही. ऑथेंटिकेशन अयशस्वी होत असल्यास नेहमी हे सिक्रेट्स एकेक अक्षराने तपासून पहा.

रोल नावातील कॅपिटलायझेशन संवेदनशीलता

ClearPass द्वारे परत केलेल्या Aruba-User-Role VSA चे मूल्य Aruba कंट्रोलरवर परिभाषित केलेल्या रोल नावाशी तंतोतंत जुळले पाहिजे, ज्यामध्ये कॅपिटलायझेशनचा समावेश आहे. जर ClearPass ने guest-authenticated परत केले परंतु कंट्रोलरला Guest-Authenticated हवे असेल, तर अभ्यागत डीफॉल्ट लॉगऑन रोलवर परत जाईल आणि त्याला इंटरनेट ॲक्सेस मिळणार नाही.

ROI आणि व्यावसायिक प्रभाव

मूलभूत स्थानिक Captive Portal च्या ऐवजी Purple WiFi चा वापर केल्याने एकाधिक विभागांमध्ये मोजण्यायोग्य व्यावसायिक मूल्य निर्माण होते.

  • मार्केटिंग प्रभाव: पोर्टलद्वारे फर्स्ट-पार्टी डेटा कॅप्चर करून, ठिकाणांच्या मार्केटिंग डेटाबेसमध्ये लक्षणीय वाढ दिसून येते. उदाहरणार्थ, Harrods ने लॉयल्टी प्रोग्राम साइन-अप वाढवण्यासाठी Purple चा वापर करून ५७ पट मार्केटिंग ROI प्राप्त केला [३].
  • ऑपरेशनल कार्यक्षमता: RADIUS प्रॉक्सी आर्किटेक्चर IT वरील ऑपरेशनल भार कमी करते. सुरक्षा टीम्स सर्व नेटवर्क ॲक्सेस इव्हेंटसाठी ClearPass मध्ये एकच केंद्रीय डॅशबोर्ड (single pane of glass) व्यवस्थापित करतात, ज्यामुळे अनुपालन रिपोर्टिंग आणि ट्रबलशूटिंग सुलभ होते.
  • मॉनेटायझेशन: वाहतूक किंवा आतिथ्य क्षेत्रातील ठिकाणांसाठी, Purple स्तरित (tiered) बँडविड्थ मॉडेल्स सक्षम करते. AGS एअरपोर्ट्सने मोफत मूलभूत स्तरासोबत सशुल्क प्रीमियम WiFi स्तर लागू करून ८४२% ROI निर्माण केला [४].

हे सह-डिप्लॉयमेंट लागू करून, तुम्ही तुमच्या गेस्ट नेटवर्कला एका खर्च केंद्रातून महसूल देणाऱ्या मालमत्तेमध्ये रूपांतरित करता, आणि त्याच वेळी एंटरप्राइझ IT साठी आवश्यक असलेली कठोर सुरक्षा स्थिती राखता.

संदर्भ

[१] PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard." [२] Information Commissioner's Office (ICO). "Guide to the General Data Protection Regulation (GDPR)." [३] Purple. "Harrods Guest WiFi Case Study." [४] Purple. "AGS Airports Guest WiFi Case Study."

关键定义

RADIUS 代理

一种架构,其中中间服务器 (ClearPass) 接收来自网络设备 (Aruba 控制器) 的身份验证请求,并将其转发给相应的后端服务器 (Purple),允许代理对流量进行检查、记录或修改。

用于在 ClearPass 中维护单一的安全审计轨迹,同时允许 Purple 处理访客身份验证。

Walled Garden

在用户在网络上进行完全身份验证之前,控制用户访问网页内容的受限环境。

对 Captive Portal 至关重要;Walled Garden 必须允许访问门户的托管域名和社交登录提供商,以便加载登录页面。

厂商特定属性 (VSA)

RADIUS 协议内的自定义数据字段,允许硬件厂商支持标准 RADIUS RFC 中未定义的高级专有功能。

ClearPass 使用 'Aruba-User-Role' VSA 来告知 Aruba 控制器具体要为访客用户分配哪种防火墙角色和 VLAN。

802.1X

一种基于端口的网络访问控制 IEEE 标准,为希望连接到 LAN 或 WLAN 的设备提供身份验证机制。

ClearPass 用于保护企业设备安全的主要协议,通常结合证书使用 EAP-TLS。

Captive Portal

公共访问网络用户在获得访问权限之前必须查看并与之交互的网页。

Purple 提供 Captive Portal 界面来捕获访客数据、展示品牌并收集营销同意。

MAC 身份验证旁路 (MAB)

当设备不支持 802.1X 客户端时,使用设备的 MAC 地址在网络上对其进行身份验证的技术。

ClearPass 用来对智能电视或温控器等无界面的 IoT 设备进行画像和身份验证,并将其放入隔离的 VLAN 中。

动态 VLAN 分配

根据设备凭据或角色自动将设备分配到特定的虚拟局域网(VLAN)的过程,而不是根据其连接的 SSID。

允许单一物理网络基础设施安全地划分企业、访客和 IoT 流量。

WISPr

无线因特网服务提供商漫游;一种允许设备自动检测 Captive Portal 的协议。

必须在 Aruba 控制器上启用此功能,以便移动设备在连接到访客 WiFi 时自动弹出 Purple 登录页面。

应用实例

一家拥有 500 间客房的酒店需要利用现有的 Aruba 控制器和 ClearPass,为员工部署安全的企​​业级 WiFi,并为访客部署一个带品牌标识、可收集数据的访客 Captive Portal。

部署两个 SSID:'Hotel_Corp' 和 'Hotel_Guest'。将 'Hotel_Corp' 配置为通过 ClearPass 针对 Active Directory 进行 802.1X 身份验证,并将员工分配到 VLAN 10。将 'Hotel_Guest' 配置为开放网络,并重定向到 Purple Captive Portal。将 ClearPass 设置为访客 SSID 的 RADIUS 代理,将请求转发给 Purple。配置 ClearPass 在 Purple 身份验证成功后返回 'Aruba-User-Role' VSA,将访客分配到隔离的 VLAN 20。

考官评语: 此方法完美地隔离了企业和访客流量,满足了 PCI DSS 要求。它利用了 ClearPass 在 802.1X 方面的优势,同时将访客门户和分析功能分流给 Purple,避免了需要两套独立 NAC 解决方案的麻烦。

访客正在连接到访客 SSID,但其设备上无法加载 Purple Captive Portal 页面。

检查并更新 Aruba 控制器上的 Walled Garden 配置。确保明确允许 Purple 的核心域名(.purple.ai、.cloudfront.net、*.venuewifi.com)。如果启用了社交媒体登录,请验证预身份验证白名单中是否也包含所有必要的 OAuth 域名(例如 .facebook.com、.google.com)。

考官评语: Walled Garden 配置错误是 Captive Portal 故障最常见的原因。设备必须能够先访问门户托管基础设施和 CDN,然后才能在网络上进行完全身份验证。

练习题

Q1. 您已配置 ClearPass 将访客身份验证代理到 Purple。访客在 Purple 门户上成功通过身份验证,但 Aruba 控制器将他们放入默认的 “logon” 角色,无法访问互联网,而不是预期的 “guest-access” 角色。最可能的配置错误是什么?

提示:检查 ClearPass 如何将角色分配通信回控制器。

查看标准答案

角色名称的大小写不匹配。ClearPass 返回的 Aruba-User-Role VSA 值必须与 Aruba 控制器上定义的角色名称完全匹配。如果存在拼写错误或大小写不匹配(例如 “Guest-Access” 与 “guest-access”),控制器将无法识别该角色,并将用户放入默认的受限状态。

Q2. 一家零售连锁店希望部署 Purple WiFi 以进行访客分析,但其安全团队坚持认为,出于合规性考虑,所有网络身份验证事件都必须集中记录在他们现有的 Aruba ClearPass 系统中。应该如何设计这种架构?

提示:考虑 RADIUS 流量如何在接入点、ClearPass 和 Purple 之间流动。

查看标准答案

实施 RADIUS 代理架构。配置 Aruba 控制器将所有 RADIUS 请求发送到 ClearPass。在 ClearPass 中,创建一个路由策略,将来自访客 SSID 的请求转发到 Purple 的云端 RADIUS 服务器。这可确保 Purple 处理访客门户和分析,同时 ClearPass 保持所有身份验证事件的完整、集中审计轨迹。

Q3. 部署集成后,营销团队报告说,尽管访客已成功连接并使用互联网,但 Purple 分析仪表板显示的访客“停留时间”数据为零。漏掉了哪个配置步骤?

提示:停留时间计算需要会话状态的持续更新,而不仅仅是初始身份验证。

查看标准答案

RADIUS 计费(accounting)没有被代理到 Purple。虽然身份验证代理允许用户接入网络,但 Purple 需要 RADIUS 计费数据包(Acct-StartAcct-Interim-UpdateAcct-Stop)来计算会话时长和停留时间。您必须确保 ClearPass 配置为向 Purple 代理计费数据,且控制器设置为发送临时更新(例如每 5 分钟一次)。

继续阅读本系列

Server RADIUS:面向企业的全面指南

本指南为 IT 经理、网络架构师和 CTO 提供关于企业 WiFi 的 server RADIUS 身份验证的权威技术参考。它涵盖了 AAA 框架、802.1X 架构、EAP 方法选择、云端与本地部署的权衡以及动态 VLAN 分配。酒店、零售、活动和公共部门的场所运营商将获得可行的实施指导、真实案例研究以及从不安全的预共享密钥迁移到安全的、身份驱动的网络访问控制架构所需的决策框架。

阅读指南 →

Cisco ISE 对比 Purple WiFi:如何比较以及如何协同工作

本指南阐述了 Cisco ISE 和 Purple WiFi 在企业网络中如何承担不同但互补的角色。它详细介绍了如何使用 Cisco ISE 进行安全的 802.1X 企业级访问,同时利用 Purple 进行符合 GDPR 要求的客用 WiFi、营销分析和 CRM 集成。

阅读指南 →

EAP-TLS 与 EAP-TTLS:您应该选择哪种基于证书的 WiFi 协议?

本指南针对 IEEE 802.1X 下的企业 WiFi 身份验证,对 EAP-TLS 和 EAP-TTLS 进行了权威的直接对比。它解释了双向证书身份验证与仅服务器证书隧道之间的架构差异,并根据设备管理能力和合规要求为 IT 经理、网络架构师和 CISO 提供了清晰的决策框架。Purple 在员工 WiFi 中同时支持 EAP-TLS 和 EAP-TTLS 身份验证路径,本指南旨在帮助组织在确定采用哪种方案之前了解基础设施的权衡取舍。

阅读指南 →