跳至主要內容
繁體中文

Aruba ClearPass vs. Purple WiFi: 比較功能與協同部署

一份詳盡的技術指南,深入剖析 Aruba ClearPass 與 Purple WiFi 的協同部署架構。內容涵蓋 RADIUS 代理設定、動態 VLAN 分配,以及在企業級網路存取控制(NAC)旁,提供安全且具備分析功能的訪客網路之最佳實踐。

📖 6 分鐘閱讀📝 1,499 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
以自信、權威且口語化的英式英語發音。您是一位正在向客戶進行簡報的高級網路顧問。節奏適中、發音清晰、專業而不生硬。偶爾自然停頓以示強調: 歡迎來到本次 Purple 技術簡報。我是今天的主持人。今天我們要探討一個在我們處理的每個企業無線網路專案中幾乎都會遇到的問題:當您已經部署了 Aruba ClearPass 時,Purple WiFi 該如何定位?這兩個系統又是如何協同運作的? [中度停頓] 這不是一場理論性的討論。如果您是飯店集團、零售連鎖店或體育場營運商的 IT 經理、網路架構師或安全工程師,這可能是您本季需要做出的決策。讓我們開始吧。 [中度停頓] 引言與背景背景。 [短暫停頓] 首先,讓我們釐清每個平台實際設計的用途。Aruba ClearPass Policy Manager 是一個網路存取控制(NAC)平台。它的職責是驗證裝置與使用者、評估端點狀態,並在您的整個網路中執行存取策略。它處理 802.1X(這是基於連接埠之網路存取控制的 IEEE 標準),使用 EAP 方法,例如附帶憑證的 EAP-TLS 以及附帶使用者名稱和密碼的 PEAP。它與 Microsoft Entra ID、Okta 及其他身分識別提供者整合。它能剖析裝置特徵、檢查它們是否符合您的安全策略,並將其分配到正確的網路角色。對於企業內部裝置,ClearPass 表現極佳,它正是為了解決這種使用場景而建構的。 [中度停頓] Purple WiFi 則完全是另一回事。Purple 是一個雲端訪客 WiFi 智慧平台。它的職責是透過品牌專屬的 Captive Portal 驗證訪客、透過符合 GDPR 規範的同意流程獲取第一方數據,並將該數據導入您的行銷與分析系統。Purple 在全球 80,000 個場所運作,光是在 2024 年就處理了 4.4 億次登入。它與超過 400 個連接器整合,包括 CRM 和行銷自動化平台。對於訪客網路,Purple 是真正的專家。 [中度停頓] 大多數組織面臨的問題是,他們試圖使用單一平台來處理這兩項工作。他們要不就是要求 ClearPass 來運行訪客入口網站(它雖然做得到,但並不夠優雅),要不就是在部署 Purple 時,沒有思考它如何與現有的 NAC 投資並存。正確的解答是採用協同部署架構,讓每個平台各司其職,發揮所長。 [中度停頓] 技術深入探討。 [短暫停頓] 讓我帶您了解一下這個架構。在協同部署中,您的 Aruba Mobility Controller 或 Aruba Instant 無線基地台會廣播多個 SSID。通常是三個:一個用於企業裝置、一個用於訪客,另一個用於物聯網(IoT)。關於這種 SSID 設計模式的更多資訊,Purple 發布了一份名為《Three SSIDs to rule them all》的詳細指南,我建議您在閱讀本簡報時一同參考。 [中度停頓] 企業 SSID 使用 802.1X 搭配 EAP-TLS。裝置使用透過 ClearPass Onboard 佈署的憑證進行驗證,這是 ClearPass 內建的憑證註冊與裝置佈署模組。ClearPass 會檢查裝置狀態、驗證憑證、查詢 Active Directory 或 Microsoft Entra ID,並將裝置分配到適當的 VLAN。企業通常使用 VLAN 10。這整個流程都留在 ClearPass 內部。Purple 並不參與。 [medium pause] 訪客 SSID 是進行整合的地方。當訪客連線到訪客 SSID 時,Aruba 控制器會攔截其 HTTP 流量,並將其瀏覽器重新導向至 Purple 的 Captive Portal。訪客透過 Purple 進行驗證,不論是使用透過 Google 的社群登入、自訂電子郵件表單,或是 OpenRoaming(其中 Purple 在 Connect 授權下作為免費的識別身分提供者)。一旦 Purple 驗證了訪客,它就會傳送 RADIUS Access-Accept 訊息回到控制器,進而允許網際網路存取。 [medium pause] 現在,關鍵的架構決策在於,您是要將 ClearPass 作為 RADIUS 代理伺服器插入在控制器與 Purple 之間,還是讓控制器直接與 Purple 的 RADIUS 伺服器進行通訊。對於大多數企業部署而言,代理模式是正確的選擇。原因如下。 [medium pause] 將 ClearPass 作為 RADIUS 代理伺服器,您網路上的每一次驗證事件(包括企業和訪客)都會流經 ClearPass。您將獲得單一稽核追蹤。您的安全維運團隊可以在同一個地方看到所有資訊。ClearPass 可以在將回應傳回控制器之前附加其自身的原則屬性,從而實現基於角色的動態 VLAN 分配。而且您仍保留在訪客工作階段上強制執行其他原則的能力,例如頻寬限制或基於時間的存取限制。 以自信、權威且口語的語氣,使用英式英語進行說明。您是正在向客戶簡報的資深網路顧問。節奏沉穩、發音清晰、專業而不生硬: ClearPass 中的代理設定非常簡單。您建立一個 RADIUS 路由原則,透過 NAS 識別碼或呼叫站台 ID(called station ID)來比對訪客 SSID。符合該原則的要求會被轉發到 Purple 的雲端 RADIUS 伺服器。Purple 進行回應,ClearPass 附加 Aruba-User-Role 廠商專屬屬性,然後控制器將訪客放入僅有網際網路存取權限的 VLAN 20 中。 [medium pause] 針對物聯網裝置,第三個 SSID 使用 MAC 驗證旁路。ClearPass 使用裝置的 OUI(MAC 位址的前六個字元,用於識別製造商)來分析裝置特徵,並將其分配給對應到 VLAN 30 的 ROLE_IOT。此 VLAN 沒有網際網路存取權限,僅有區域網路連線能力。您的智慧電視、恆溫器和門鎖將與企業及訪客流量完全隔離。 [medium pause] 我們來談談合規性,因為這正是此架構發揮價值之處。在 PCI DSS 規範下,任何接觸持卡人資料的網路區段都必須與訪客網路隔離。此架構中的 VLAN 切割滿足了這項要求。在 GDPR 規範下,Purple 的 Captive Portal 透過「主動選擇加入(opt-ins)」來處理同意書的收集,這意味著訪客是主動選擇分享他們的資料,而不是預設被收集。Purple 已通過 ISO 27001 認證、符合 GDPR 規範,並擁有 Cyber Essentials 認證。ClearPass 提供了您的安全團隊進行合規性報告所需的稽核軌跡。 [medium pause] 實作建議與常見陷阱。 [short pause] 讓我為您說明此部署中最常出錯的五個問題,以及如何避免它們。 [medium pause] 第一點:圍牆花園(walled garden)。在訪客通過身分驗證之前,Aruba 控制器僅允許流量傳送到預先定義的目標清單。如果 Purple 的 portal 網域、其 CDN 端點以及社群登入提供商的網域不在該清單中,則 portal 將無法載入。您需要將 star dot purple dot ai、star dot cloudfront dot net 以及您所啟用的任何社群登入提供商的 OAuth 網域納入其中。Google、Facebook、Apple 和 Microsoft Entra ID 都各有其專屬的網域群組。請將圍牆花園視為一項動態配置,因為社群登入提供商會定期變更其 CDN 網域。 [medium pause] 第二點:RADIUS 逾時。大多數 Aruba 控制器上的預設 RADIUS 逾時時間為三秒。在代理架構中,請求會從存取點傳送到控制器、傳送到 ClearPass,接著透過網際網路傳送到 Purple 的雲端 RADIUS,最後再傳回。在網路擁塞的情況下,該來回時間可能會超過三秒。請將您的逾時時間設定為至少十秒,並設定至少重試兩次的重試邏輯。 [medium pause] 第三點:共享金鑰(shared secret)不符。Aruba 控制器與 ClearPass 之間的共享金鑰必須完全一致。ClearPass 與 Purple 的 RADIUS 伺服器之間的共享金鑰也必須完全一致。單一字元的差異就會導致無聲的身分驗證失敗,且不會向訪客顯示任何有意義的錯誤訊息。請務必逐字核對這些金鑰。 [medium pause] 第四點:角色名稱的大小寫敏感性。ClearPass 回傳的 Aruba-User-Role 屬性必須與 Aruba 控制器上定義的角色名稱完全相符,包括大小寫。如果 ClearPass 回傳 guest-authenticated,但控制器上定義的是 Guest-Authenticated,則訪客將退回到預設的登入角色,且無法存取網際網路。 [medium pause] 第五點:RADIUS 計帳。許多部署都正確配置了驗證代理,但忘記了同時代理計帳。Purple 使用 RADIUS 計帳數據來追蹤工作階段持續時間、數據用量,並填入其分析儀表板中。如果計帳數據沒有傳送到 Purple,您的客流量分析和停留時間報告將會不完整。 [medium pause] 快速問答。 [short pause] 我可以在 Aruba Instant 上運行這個系統,而不是完整的 Mobility Controller 嗎?可以。Aruba Instant 支援外部 RADIUS 伺服器和 Captive Portal 重新導向。配置略有不同,但原理完全相同。 [medium pause] Purple 支援 Change of Authorisation (CoA) 嗎?支援。CoA 允許控制器動態更新訪客的工作階段,而無需他們重新連線。這對於有限時間的存取或級別升級非常有用。 [medium pause] 這能與 WPA3 配合使用嗎?可以。個人網路的 WPA3-SAE 和 802.1X 的 WPA3-Enterprise 皆有支援。對於使用 Captive Portal 的訪客網路,WPA3-SAE 或具有機會性無線加密 (OWE) 的開放 SSID 是常見的選擇。 [medium pause] 我可以對員工和訪客使用單一 SSID 嗎?可以,但這會增加複雜性。ClearPass 可在同一個 SSID 上處理 802.1X 和 MAC 驗證,並使用服務規則來區分流量類型並進行相應的路由。對大多數場所而言,使用獨立的 SSID 是更乾淨的選擇。 [medium pause] 總結與後續步驟。 [short pause] ClearPass 和 Purple 是互補的,而不是競爭關係。ClearPass 是您企業設備的策略引擎:802.1X、端點安全狀態評估、憑證管理和統一稽核追蹤。Purple 是您的訪客智慧平台:品牌化的 Captive Portal、符合 GDPR 規範的數據收集、客流量分析和行銷自動化。 [medium pause] 共同部署架構將 ClearPass 用作 RADIUS 代理。所有驗證請求都流經 ClearPass。訪客請求會路由到 Purple 的雲端 RADIUS。企業請求則由 ClearPass 在本地處理。Aruba 控制器透過動態 VLAN 分配來執行生成的策略。 [medium pause] 您必須做對的三個配置要素是:Walled Garden 防火牆例外名單、RADIUS 逾時和角色名稱一致性。做好這三點,您就能擁有一個合規且具有商業價值的訪客 WiFi 部署,同時不會損害您的企業安全架構。 [medium pause] 關於您的後續步驟:從 Purple 儀表板中取得您的 Purple 場所 RADIUS 認證憑證,閱讀隨附書面指南中的 Walled Garden 參考清單,並在推廣到實際生產環境之前,使用專用的測試設備測試完整的驗證流程。如果您要部署在多個據點,Purple 的多據點管理主控台可讓您從單一介面管理整個物業的 Captive Portal 配置、品牌形象和分析。 [medium pause] 感謝您的收聽。請造訪 purple dot ai,與解決方案架構師討論您的具體部署需求。

header_image.png

कार्यकारी सारांश

HPE Aruba इन्फ्रास्ट्रक्चरमध्ये मोठ्या प्रमाणावर गुंतवणूक केलेल्या एंटरप्राइझ वातावरणासाठी, अखंड, डेटा-समृद्ध अतिथी WiFi अनुभव प्रदान करताना जटिल नेटवर्क प्रवेश धोरणे व्यवस्थापित करणे एक महत्त्वपूर्ण आर्किटेक्चरल आव्हान सादर करते. Aruba ClearPass पॉलिसी व्यवस्थापक कॉर्पोरेट उपकरणांसाठी नेटवर्क ऍक्सेस कंट्रोल (NAC) आणि 802.1X सुरक्षिततेमध्ये उत्कृष्ट असला तरी, त्याच्या अंगभूत Captive Portal मध्ये आधुनिक ठिकाणांसाठी आवश्यक असलेल्या प्रगत विपणन ऑटोमेशन आणि विश्लेषणेचा अभाव आहे. हे मार्गदर्शक ClearPass सोबत Purple WiFi कसे समाकलित करावे हे तपशीलवार सांगते, ज्यामुळे प्रत्येक प्लॅटफॉर्मला त्यांच्या मुख्य सामर्थ्यावर लक्ष केंद्रित करणे शक्य होते.

ClearPass ला RADIUS प्रॉक्सी म्हणून उपयोजित करून, आपण कॉर्पोरेट आणि IoT उपकरणांसाठी युनिफाइड सुरक्षा ऑडिट ट्रेल आणि डायनॅमिक VLAN असाइनमेंट राखता, तर अतिथी ऑनबोर्डिंग अनुभव Purple कडे सोपवता. हा दृष्टिकोन GDPR-सुसंगत फर्स्ट-पार्टी डेटा कॅप्चर, तपशीलवार फूटफॉल विश्लेषणे आणि ४०० हून अधिक विपणन कनेक्टर्ससह एकत्रीकरण सक्षम करतो—तुमच्या विद्यमान Aruba NAC गुंतवणुकीला न बदलता. हा दस्तऐवज या सह-उपयोजनासाठी तांत्रिक ब्ल्यूप्रिंट प्रदान करतो, ज्यामध्ये आर्किटेक्चर, कॉन्फिगरेशन त्रुटी आणि सर्वोत्तम पद्धतींचा समावेश आहे.

तांत्रिक सखोल विश्लेषण

Aruba ClearPass आणि Purple WiFi चे एकत्रीकरण मानक RADIUS प्रोटोकॉल आणि HTTP रीडायरेक्ट मेकॅनिझमवर अवलंबून आहे, जे RADIUS प्रॉक्सी आर्किटेक्चरभोवती संरचित आहे. हे डिझाइन हे सुनिश्चित करते की ClearPass सर्व नेटवर्क प्रवेशासाठी केंद्रीय धोरण निर्णय बिंदू राहील, तर Purple अतिथी-अनुकूल Captive Portal आणि डेटा संकलन व्यवस्थापित करते.

मुख्य आर्किटेक्चर

मानक सह-उपयोजनामध्ये, तुमचे Aruba मोबिलिटी कंट्रोलर्स किंवा Aruba इन्स्टंट ऍक्सेस पॉइंट्स एकाधिक SSIDs ब्रॉडकास्ट करतात. एक सामान्य डिझाइन पॅटर्न, जसे की Three SSIDs to rule them all: the WiFi design for guest, staff and IoT मध्ये वर्णन केले आहे, तीन समर्पित नेटवर्क वापरतो:

  1. Corporate SSID: EAP-TLS सह 802.1X वापरते. ClearPass Onboard द्वारे तरतूद केलेल्या प्रमाणपत्रांचा वापर करून उपकरणे प्रमाणीकृत होतात. ClearPass उपकरणाच्या स्थितीचे मूल्यांकन करते, Microsoft Entra ID किंवा Active Directory कडे चौकशी करते आणि उपकरणाला कॉर्पोरेट VLAN (उदा. VLAN 10) मध्ये नियुक्त करते. या फ्लोमध्ये Purple समाविष्ट नाही.
  2. IoT SSID: MAC ऑथेंटिकेशन बायपास (MAB) वापरते. ClearPass उपकरणाच्या ऑर्गनायझेशनली युनिक आयडेंटिफायर (OUI) चा वापर करून त्याचे प्रोफाइल तयार करते आणि त्याला इंटरनेट प्रवेश नसलेल्या एका वेगळ्या IoT VLAN (उदा. VLAN 30) मध्ये नियुक्त करते.
  3. Guest SSID: हे एक ओपन किंवा अपॉर्चुनिस्टिक वायरलेस एन्क्रिप्शन (OWE) नेटवर्क आहे जे Purple Captive Portal ट्रिगर करते. architecture_overview.png

RADIUS Proxy फ्लो

जेव्हा एखादा अभ्यागत (visitor) गेस्ट SSID शी कनेक्ट होतो आणि ब्राउझर उघडतो, तेव्हा Aruba कंट्रोलर HTTP ट्रॅफिक अडवतो आणि सेशन Purple Captive Portal URL कडे रिडायरेक्ट करतो. अभ्यागत सोशल लॉगिन, कस्टम फॉर्म किंवा OpenRoaming (जिथे Purple, Connect प्लॅन अंतर्गत मोफत आयडेंटिटी प्रोव्हाइडर म्हणून काम करते) चा वापर करून Purple द्वारे ऑथेंटिकेट करतो.

एकदा Purple ने अभ्यागताला प्रमाणित (validate) केले की, ते RADIUS Access-Accept संदेश पाठवते. तथापि, Aruba कंट्रोलर थेट Purple च्या क्लाउड RADIUS सर्व्हरशी संपर्क साधण्याऐवजी, ClearPass ला RADIUS proxy म्हणून समाविष्ट केले जाते:

  1. Aruba कंट्रोलर सर्व RADIUS विनंत्या (requests) ClearPass कडे पाठवतो.
  2. ClearPass त्याच्या सेवा नियमांच्या (Service Rules) विरुद्ध विनंतीचे मूल्यमापन करते. जर विनंती गेस्ट SSID शी जुळत असेल (Called-Station-Id किंवा NAS आयडेंटिफायरद्वारे ओळखली जाणारी), तर RADIUS Routing Policy ही विनंती Purple च्या RADIUS सर्व्हरकडे फॉरवर्ड करते.
  3. Purple एक Access-Accept संदेशासह प्रतिसाद देते.
  4. ClearPass ला हा प्रतिसाद मिळतो आणि तो स्वतःची Enforcement Policy लागू करतो, कंट्रोलरकडे अंतिम प्रतिसाद फॉरवर्ड करण्यापूर्वी विशिष्ट Vendor-Specific Attributes (VSAs) जोडतो.

डायनॅमिक रोल-आधारित VLAN असाइनमेंट

या आर्किटेक्चरमधील सर्वात महत्त्वाची VSA म्हणजे Aruba-User-Role आहे. जेव्हा ClearPass, Access-Accept संदेश कंट्रोलरकडे फॉरवर्ड करते, तेव्हा वायरलेस नेटवर्कवर अभ्यागताने कोणती नेमकी भूमिका घ्यावी हे स्पष्ट करण्यासाठी ते या ॲट्रिब्यूटचा समावेश करते.

उदाहरणार्थ, ClearPass Aruba-User-Role = guest-authenticated परत करू शकते. Aruba कंट्रोलरवर, हा रोल VLAN 20 शी मॅप केला जातो, जो इंटरनेट प्रवेशाची परवानगी देणाऱ्या परंतु अंतर्गत कॉर्पोरेट सबनेटसाठी राउटिंग ब्लॉक करणाऱ्या फायरवॉल पॉलिसीसह कॉन्फिगर केलेला असतो. PCI DSS [1] सारख्या मानकांचे पालन करण्यासाठी हे सेगमेंटेशन आवश्यक आहे.

comparison_chart.png

अंमलबजावणी मार्गदर्शिका (Implementation Guide)

हे आर्किटेक्चर तैनात करण्यासाठी Aruba इन्फ्रास्ट्रक्चर आणि ClearPass दोन्हीवर अचूक कॉन्फिगरेशन आवश्यक आहे. हे इंटिग्रेशन स्थापित करण्यासाठी खालील विक्रेता-तटस्थ (vendor-neutral) पायऱ्यांचे अनुसरण करा.

पायरी १: ClearPass मध्ये Purple RADIUS सर्व्हर कॉन्फिगर करा

ClearPass मधील Configuration > Network > Devices वर जा आणि Purple चे प्राथमिक आणि दुय्यम RADIUS सर्व्हर नेटवर्क डिव्हाइस म्हणून जोडा. तुम्हाला तुमच्या Purple व्हेन्यू कॉन्फिगरेशन डॅशबोर्डमध्ये दिलेले IP ॲड्रेस आणि शेअर केलेला सिक्रेट कोड (shared secret) आवश्यक असेल.

पायरी २: RADIUS Routing Policy तयार करा

ClearPass मध्ये एक नवीन RADIUS Routing Policy तयार करा. ही पॉलिसी कोणत्या परिस्थितींमध्ये विनंत्या (requests) Purple कडे प्रॉक्सी केल्या जातील हे निश्चित करेल. पायरी १ मध्ये तुम्ही कॉन्फिगर केलेल्या Purple RADIUS सर्व्हरवर प्राथमिक आणि बॅकअप डेस्टिनेशन सेट करा.

पायरी ३: गेस्ट सर्व्हिस व्याख्यात करा

गेस्ट ऑथेंटिकेशनसाठी ClearPass मध्ये एक नवीन सर्व्हिस (Service) तयार करा.

  • Type: RADIUS Enforcement (Generic)
  • सर्व्हिस नियम: तुमच्या गेस्ट SSID नाव असलेल्या Radius:IETF:Called-Station-Id शी जुळवा.
  • राउटिंग पॉलिसी: पायरी २ मध्ये तयार केलेली पॉलिसी निवडा.
  • एंफोर्समेंट पॉलिसी: अरुबा कंट्रोलरवरील तुमच्या गेस्ट रोलशी संबंधित असलेल्या व्हॅल्यूसह Aruba-User-Role VSA परत करण्यासाठी पॉलिसी कॉन्फिगर करा.

पायरी ४: कंट्रोलरवर वॉल्ड गार्डन कॉन्फिगर करा

वॉल्ड गार्डन ही अशा डोमेन्सची सूची आहे जिथपर्यंत एखादे डिव्हाइस ऑथेंटिकेशनपूर्वी पोहोचू शकते. हे अरुबा कंट्रोलरवर (किंवा ArubaOS 10 मधील ॲक्सेस नियमांद्वारे) कॉन्फिगर केले जाते. आपण Purple च्या मुख्य डोमेन्सचा समावेश करणे आवश्यक आहे:

  • *.purple.ai
  • *.cloudfront.net
  • *.venuewifi.com

जर तुम्ही सोशल लॉगिन सक्षम करत असाल, तर तुम्ही प्रत्येक प्रदात्यासाठी OAuth डोमेन्स देखील जोडले पाहिजेत (उदा. *.facebook.com, *.google.com, *.microsoftonline.com).

पायरी ५: RADIUS अकाऊंटिंग कॉन्फिगर करा

RADIUS अकाऊंटिंग देखील ClearPass द्वारे Purple कडे प्रॉक्सी केले जात असल्याची खात्री करा. Purple हे सेशनचा कालावधी ट्रॅक करण्यासाठी आणि त्याचे WiFi Analytics डॅशबोर्ड भरण्यासाठी अकाऊंटिंग डेटा (Acct-Start, Acct-Interim-Update, Acct-Stop) वापरते. अरुबा कंट्रोलरवर अकाऊंटिंग अंतराल ५ मिनिटांवर सेट करा.

सर्वोत्तम पद्धती

मजबूत आणि सुसंगत उपयोजन सुनिश्चित करण्यासाठी, खालील उद्योग-मानक शिफारसींचे पालन करा.

  • रहदारीचे काटेकोरपणे विभाजन करा: कॉर्पोरेट संसाधनांचा कोणताही मार्ग नसलेल्या समर्पित VLAN वर गेस्ट ट्रॅफिक नेहमी ठेवा. PCI DSS आणि सामान्य नेटवर्क सुरक्षेसाठी ही एक मूलभूत आवश्यकता आहे.
  • प्रॉक्सी अकाऊंटिंग डेटा: RADIUS अकाऊंटिंगकडे दुर्लक्ष करू नका. जर अकाऊंटिंग पॅकेट्स Purple पर्यंत पोहोचले नाहीत, तर तुमचे फूटफॉल ॲनालिटिक्स आणि ड्वेल टाइम रिपोर्ट अपूर्ण राहतील.
  • WISPr सक्षम करा: अरुबा कंट्रोलरच्या captive portal प्रोफाइलवर, WISPr (Wireless Internet Service Provider roaming) सक्षम असल्याची खात्री करा. हा प्रोटोकॉल मोबाईल ऑपरेटिंग सिस्टम्सना captive portal स्वयंचलितपणे शोधण्याची आणि लॉगिन स्क्रीन अखंडपणे दाखवण्याची परवानगी देतो.
  • सचेत-निवड ऑप्ट-इन्स वापरा: GDPR चे पालन करण्यासाठी, तुमचे Purple पोर्टल मार्केटिंग कम्युनिकेशन्ससाठी आधीच टिक केलेल्या बॉक्सऐवजी किंवा गृहीत धरलेल्या संमतीऐवजी स्पष्ट ऑप्ट-इन चेकबॉक्स वापरण्यासाठी कॉन्फिगर करा [2].

त्रुटी निवारण आणि जोखीम कमी करणे

काळजीपूर्वक कॉन्फिगरेशन करूनही, इंटिग्रेशन्स अयशस्वी होऊ शकतात. येथे सर्वात सामान्य बिघाड मोड आणि ते कसे सोडवायचे ते दिले आहे.

वॉल्ड गार्डन चुकीचे कॉन्फिगरेशन

भेट देणाऱ्याच्या डिव्हाइसवर captive portal लोड होण्यात अयशस्वी झाल्यास, त्याचे कारण जवळजवळ नेहमीच वॉल्ड गार्डन असते. सोशल लॉगिन प्रदाते वारंवार त्यांच्या CDN IP श्रेणी आणि डोमेन नावे अपडेट करतात. वॉल्ड गार्डनला सतत बदलणारे कॉन्फिगरेशन समजा. जर एखादे विशिष्ट सोशल लॉगिन अयशस्वी झाले, तर डिव्हाइस कोणत्या डोमेनवर पोहोचण्याचा प्रयत्न करत आहे हे शोधण्यासाठी पॅकेट कॅप्चर वापरा आणि ते अनुमती सूचीमध्ये जोडा.

RADIUS टाइमआउट त्रुटी

बऱ्याच Aruba कंट्रोलर्सवरील डीफॉल्ट RADIUS टाइमआउट ३ सेकंद असतो. प्रॉक्सी आर्किटेक्चरमध्ये, ऑथेंटिकेशन विनंती AP कडून कंट्रोलरकडे, ClearPass कडे, इंटरनेटद्वारे Purple च्या क्लाउड इन्फ्रास्ट्रक्चरकडे आणि परत जाणे आवश्यक आहे. गर्दी असलेल्या नेटवर्कवर, ही राऊंड ट्रिप सहजपणे ३ सेकंदांपेक्षा जास्त असू शकते, ज्यामुळे कंट्रोलर विनंती नाकारू शकतो. Aruba कंट्रोलरवरील RADIUS टाइमआउट किमान १० सेकंदांपर्यंत वाढवा आणि रीट्राय लॉजिक कॉन्फिगर करा.

शेअर्ड सिक्रेट न जुळणे

सुरक्षेसाठी RADIUS शेअर्ड सिक्रेट्सवर अवलंबून असते. जर Aruba कंट्रोलर आणि ClearPass मधील, किंवा ClearPass आणि Purple मधील शेअर्ड सिक्रेट तंतोतंत जुळले नाही, तर ऑथेंटिकेशन गुपचूप अयशस्वी होईल. अभ्यागताला कोणताही अर्थपूर्ण त्रुटी संदेश दाखवला जाणार नाही. ऑथेंटिकेशन अयशस्वी होत असल्यास नेहमी हे सिक्रेट्स एकेक अक्षराने तपासून पहा.

रोल नावातील कॅपिटलायझेशन संवेदनशीलता

ClearPass द्वारे परत केलेल्या Aruba-User-Role VSA चे मूल्य Aruba कंट्रोलरवर परिभाषित केलेल्या रोल नावाशी तंतोतंत जुळले पाहिजे, ज्यामध्ये कॅपिटलायझेशनचा समावेश आहे. जर ClearPass ने guest-authenticated परत केले परंतु कंट्रोलरला Guest-Authenticated हवे असेल, तर अभ्यागत डीफॉल्ट लॉगऑन रोलवर परत जाईल आणि त्याला इंटरनेट ॲक्सेस मिळणार नाही.

ROI आणि व्यावसायिक प्रभाव

मूलभूत स्थानिक Captive Portal च्या ऐवजी Purple WiFi चा वापर केल्याने एकाधिक विभागांमध्ये मोजण्यायोग्य व्यावसायिक मूल्य निर्माण होते.

  • मार्केटिंग प्रभाव: पोर्टलद्वारे फर्स्ट-पार्टी डेटा कॅप्चर करून, ठिकाणांच्या मार्केटिंग डेटाबेसमध्ये लक्षणीय वाढ दिसून येते. उदाहरणार्थ, Harrods ने लॉयल्टी प्रोग्राम साइन-अप वाढवण्यासाठी Purple चा वापर करून ५७ पट मार्केटिंग ROI प्राप्त केला [३].
  • ऑपरेशनल कार्यक्षमता: RADIUS प्रॉक्सी आर्किटेक्चर IT वरील ऑपरेशनल भार कमी करते. सुरक्षा टीम्स सर्व नेटवर्क ॲक्सेस इव्हेंटसाठी ClearPass मध्ये एकच केंद्रीय डॅशबोर्ड (single pane of glass) व्यवस्थापित करतात, ज्यामुळे अनुपालन रिपोर्टिंग आणि ट्रबलशूटिंग सुलभ होते.
  • मॉनेटायझेशन: वाहतूक किंवा आतिथ्य क्षेत्रातील ठिकाणांसाठी, Purple स्तरित (tiered) बँडविड्थ मॉडेल्स सक्षम करते. AGS एअरपोर्ट्सने मोफत मूलभूत स्तरासोबत सशुल्क प्रीमियम WiFi स्तर लागू करून ८४२% ROI निर्माण केला [४].

हे सह-डिप्लॉयमेंट लागू करून, तुम्ही तुमच्या गेस्ट नेटवर्कला एका खर्च केंद्रातून महसूल देणाऱ्या मालमत्तेमध्ये रूपांतरित करता, आणि त्याच वेळी एंटरप्राइझ IT साठी आवश्यक असलेली कठोर सुरक्षा स्थिती राखता.

संदर्भ

[१] PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard." [२] Information Commissioner's Office (ICO). "Guide to the General Data Protection Regulation (GDPR)." [३] Purple. "Harrods Guest WiFi Case Study." [४] Purple. "AGS Airports Guest WiFi Case Study."

關鍵定義

RADIUS 代理

一種架構,其中間伺服器(ClearPass)接收來自網路裝置(Aruba 控制器)的驗證請求,並將其轉發至相應的後端伺服器(Purple),使該代理伺服器能夠檢查、記錄或修改流量。

用於在 ClearPass 中保留單一安全性稽核軌跡,同時允許 Purple 處理訪客驗證。

Walled Garden

一種受限的環境,用於在使用者在網路上完全通過驗證之前,控制其對網頁內容的存取。

對於 Captive Portal 至關重要;Walled Garden 必須允許存取入口網站的代管網域和社群登入提供商,以便載入登入頁面。

廠商特定屬性 (VSA)

RADIUS 協定中的自訂資料欄位,允許硬體廠商支援標準 RADIUS RFC 中未定義的專有功能。

ClearPass 使用「Aruba-User-Role」VSA 來告知 Aruba 控制器確切要分配給訪客使用者的防火牆角色和 VLAN。

802.1X

一項用於基於連接埠之網路存取控制的 IEEE 標準,為希望連線至 LAN 或 WLAN 的裝置提供驗證機制。

ClearPass 用於保護企業裝置安全的主要協定,通常搭配使用憑證的 EAP-TLS。

Captive Portal

公共存取網路的使用者在獲得存取權限之前,必須瀏覽並進行互動的網頁。

Purple 提供 Captive Portal 介面,以收集訪客數據、展示品牌形象並取得行銷同意。

MAC 驗證旁路 (MAB)

一種在裝置不支援 802.1X 用戶端時,利用裝置的 MAC 位址在網路上對其進行驗證的技術。

ClearPass 用於對無介面的 IoT 裝置(如智慧電視或恆溫器)進行側寫與驗證,並將其放入隔離的 VLAN 中。

動態 VLAN 分配

根據裝置的驗證認證或角色,而非其連線的 SSID,自動將裝置分配到特定虛擬區域網路的程序。

允許單一實體網路基礎架構安全地隔離企業、訪客和 IoT 流量。

WISPr

無線網路服務供應商漫遊;一種允許裝置自動偵測 Captive Portal 的協定。

必須在 Aruba 控制器上啟用此功能,以便行動裝置在連接至訪客 WiFi 時,自動彈出 Purple 登入畫面。

範例

一家擁有 500 間客房的飯店需要為員工部署安全的企業級 WiFi,並利用現有的 Aruba 控制器與 ClearPass 為訪客提供一個具備資料收集功能的品牌專屬 Captive Portal。

部署兩個 SSID:「Hotel_Corp」與「Hotel_Guest」。將「Hotel_Corp」設定為透過 ClearPass 對 Active Directory 進行 802.1X 驗證,並將員工分配至 VLAN 10。將「Hotel_Guest」設定為開放網路,並導向至 Purple 的 Captive Portal。將 ClearPass 設定為訪客 SSID 的 RADIUS 代理,將請求轉發至 Purple。設定 ClearPass 在 Purple 驗證成功後返回「Aruba-User-Role」VSA,將訪客分配至隔離的 VLAN 20。

考官評語: 此方法完美隔離了企業與訪客的流量,滿足 PCI DSS 的合規要求。它發揮了 ClearPass 在 802.1X 驗證上的優勢,同時將訪客入口網頁與數據分析委外給 Purple 處理,避免了部署兩套獨立 NAC 解決方案的需求。

訪客正在連線至訪客 SSID,但其裝置上無法載入 Purple Captive Portal 頁面。

檢查並更新 Aruba 控制器上的 Walled Garden(圍牆花園)設定。確保已明確允許 Purple 的核心網域(.purple.ai、.cloudfront.net、*.venuewifi.com)。若啟用了社群登入,請確認所有必要的 OAuth 網域(例如 .facebook.com、.google.com)也已包含在預先驗證允許清單中。

考官評語: Walled Garden 設定錯誤是 Captive Portal 故障最常見的原因。裝置在網路完全通過驗證之前,必須能夠連訪入口網站的代管基礎架構和 CDN。

練習題

Q1. 您已將 ClearPass 設定為將訪客驗證代理至 Purple。訪客在 Purple 入口網站上成功完成驗證,但 Aruba 控制器卻將其歸入預設的「logon」角色且無法存取網際網路,而非預期的「guest-access」角色。最可能的設定錯誤是什麼?

提示:檢查 ClearPass 如何將角色分配回傳給控制器。

查看標準答案

角色名稱的大小寫不一致。ClearPass 回傳的 Aruba-User-Role VSA 值必須與 Aruba 控制器上定義的角色名稱完全一致。如果存在拼字錯誤或大小寫不匹配(例如「Guest-Access」與「guest-access」),控制器將無法識別該角色,並會將使用者降級至預設的受限狀態。

Q2. 某零售連鎖店希望部署 Purple WiFi 以進行訪客數據分析,但其資安團隊堅持所有網路驗證事件都必須集中記錄在現有的 Aruba ClearPass 系統中以符合法規。應如何設計此架構?

提示:考慮 RADIUS 流量如何在存取點、ClearPass 和 Purple 之間流動。

查看標準答案

實作 RADIUS 代理架構。設定 Aruba 控制器將所有 RADIUS 請求發送至 ClearPass。在 ClearPass 中,建立一條路由策略,將來自訪客 SSID 的請求轉發至 Purple 的雲端 RADIUS 伺服器。這可確保由 Purple 處理訪客入口網站和分析,同時 ClearPass 仍能維持所有驗證事件的完整、集中式稽核軌跡。

Q3. 部署整合後,行銷團隊反映 Purple 分析儀表板上的訪客「停留時間」顯示為零,即使訪客已成功連接並使用網際網路。漏掉了哪一個設定步驟?

提示:停留時間計算需要工作階段狀態的持續更新,而不僅僅是初始驗證。

查看標準答案

RADIUS 計費(accounting)未被代理至 Purple。雖然驗證代理允許使用者接入網路,但 Purple 需要 RADIUS 計費封包(Acct-StartAcct-Interim-UpdateAcct-Stop)來計算工作階段持續時間和停留時間。您必須確保 ClearPass 設定為將計費數據代理至 Purple,且控制器設定為發送過渡更新(例如,每 5 分鐘一次)。

繼續閱讀本系列

Server RADIUS: a comprehensive guide for businesses

本指南為 IT 經理、網路架構師和 CTO 提供企業級 WiFi 的 Server RADIUS 驗證權威技術參考。內容涵蓋 AAA 架構、802.1X 架構、EAP 方法選擇、雲端與地端部署權衡,以及動態 VLAN 分配。飯店、零售、活動和公共部門等場域營運商將能在此獲得實用的實作指南、真實案例研究,以及從不安全的預共用金鑰移轉至安全、識別導向之網路存取控制架構所需的決策框架。

閱讀指南 →

Cisco ISE 與 Purple WiFi:如何比較及協同工作

本指南說明 Cisco ISE 與 Purple WiFi 如何在企業網路中扮演不同但互補的角色。它詳細介紹了如何使用 Cisco ISE 進行安全的 802.1X 企業存取,同時利用 Purple 進行符合 GDPR 規範的訪客 WiFi、行銷分析和 CRM 整合。

閱讀指南 →

EAP-TLS 對決 EAP-TTLS:您應該選擇哪種基於憑證的 Wi-Fi 協定?

本指南針對 IEEE 802.1X 架構下的企業級 Wi-Fi 驗證,對 EAP-TLS 與 EAP-TTLS 進行了權威的全面對比。它解釋了雙向憑證驗證與僅伺服器憑證通道之間的架構差異,並為 IT 經理、網路架構師和 CISO 提供了一個基於裝置管理能力和合規要求的清晰決策框架。Purple 支援員工 Wi-Fi 的 EAP-TLS 和 EAP-TTLS 驗證路徑,本指南可協助企業在決定採用任一方法之前,了解基礎設施的權衡取捨。

閱讀指南 →