Alcatel-Lucent OmniAccess Stellar এবং গেস্ট WiFi: Purple এর সাথে captive portal সেটআপ

Purple-এর টেকনিক্যাল ব্রিফিংয়ে আপনাকে স্বাগতম। আজ আমরা Purple WiFi-এর সাথে Alcatel-Lucent Enterprise OmniAccess Stellar ইন্টিগ্রেশন কভার করছি। এই ব্রিফিংটি IT ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং ভেন্যু অপারেশন ডিরেক্টরদের জন্য যাদের নিরাপদ, স্কেলেবল এবং বুদ্ধিমান ওয়্যারলেস নেটওয়ার্ক স্থাপন করা প্রয়োজন। আসুন প্রেক্ষাপট দিয়ে শুরু করা যাক। আপনার একটি ভেন্যু আছে। হয়তো একটি হোটেল, একটি রিটেল চেইন, বা একটি স্টেডিয়াম। আপনি ALE OmniAccess হার্ডওয়্যারে বিনিয়োগ করেছেন। এখন আপনাকে সেই ইনফ্রাস্ট্রাকচার থেকে ব্যবসায়িক মূল্য বের করতে হবে। আপনাকে ফার্স্ট-পার্টি ডেটা ক্যাপচার করতে হবে, আপনার ব্যবহারকারীদের নিরাপদে সেগমেন্ট করতে হবে এবং একটি নিরবচ্ছিন্ন অনবোর্ডিং অভিজ্ঞতা প্রদান করতে হবে। সেখানেই Purple ক্লাউড ওভারলে কাজ করে। Purple বিশ্বজুড়ে ৮০,০০০-এরও বেশি লাইভ ভেন্যুতে কাজ করে এবং ২০২৪ সালে ৪৪০ মিলিয়নেরও বেশি লগইন প্রসেস করেছে। এটি হার্ডওয়্যার-অ্যাগনস্টিক, যার অর্থ কোনো হার্ডওয়্যার প্রতিস্থাপন ছাড়াই এটি আপনার বিদ্যমান ALE ইনফ্রাস্ট্রাকচারের ওপর কাজ করতে পারে। সম্পূর্ণ অথেন্টিকেশন এবং ডেটা-ক্যাপচার লজিক Purple ক্লাউডে থাকে। এই ইন্টিগ্রেশনের মূল ভিত্তি হলো RADIUS। যখন একজন অতিথি আপনার ভেন্যুতে প্রবেশ করেন এবং ওপেন গেস্ট WiFi SSID-এর সাথে সংযুক্ত হন, তখন ALE AP তাদের ওয়েব ট্রাফিক ইন্টারসেপ্ট করে। তাদের সরাসরি ইন্টারনেটে যেতে দেওয়ার পরিবর্তে, এটি তাদের ব্রাউজারকে একটি Purple-হোস্টেড Captive Portal-এ রিডাইরেক্ট করে। এটি আপনার স্প্ল্যাশ পেজ। এখানে আপনি আপনার ব্র্যান্ড প্রদর্শন করেন, ইমেল অ্যাড্রেস সংগ্রহ করেন বা Facebook, LinkedIn, বা Google-এর মাধ্যমে সোশ্যাল লগইন অফার করেন। একবার ব্যবহারকারী তাদের বিশদ বিবরণ সাবমিট করলে, Purple ক্লাউড RADIUS সার্ভার তাদের অথেন্টিকেট করে এবং ALE AP-তে একটি Access-Accept মেসেজ ফেরত পাঠায়। AP তখন ফায়ারওয়াল নিয়মগুলি সরিয়ে দেয় এবং ইন্টারনেট অ্যাক্সেস মঞ্জুর করে। সম্পূর্ণ প্রক্রিয়াটি তিন সেকেন্ডের কম সময় নেয়। এখন, টেকনিক্যাল বিশদ বিবরণে যাওয়া যাক। আমরা আসলে এটি কীভাবে কনফিগার করব? প্রথমে, আপনাকে আপনার OmniVista বা Stellar ম্যানেজমেন্ট ইন্টারফেসে RADIUS সার্ভার সেটিংস কনফিগার করতে হবে। আপনি Purple RADIUS IP অ্যাড্রেসগুলি ইনপুট করবেন, অথেন্টিকেশন পোর্ট ১৮১২ এবং অ্যাকাউন্টিং পোর্ট ১৮১৩-এ সেট করবেন। অত্যন্ত গুরুত্বপূর্ণ বিষয় হলো, ৩০০ সেকেন্ডের ব্যবধানে RADIUS Accounting সক্ষম করা আছে তা নিশ্চিত করুন। এটিই অ্যানালিটিক্স এবং কমপ্লায়েন্স লগিংয়ের জন্য সেশন ডেটা Purple-এ ফেরত পাঠায়। পরেরটি হলো Walled Garden। এটি অনেক ডেপ্লয়মেন্টের ক্ষেত্রে সমস্যা তৈরি করে। একজন ব্যবহারকারী অথেন্টিকেট হওয়ার আগে, তাদের কোনো ইন্টারনেট অ্যাক্সেস থাকে না। কিন্তু লগইন করার জন্য তাদের Purple পোর্টালে পৌঁছানো প্রয়োজন। আপনার প্রি-অথেন্টিকেশন অ্যাক্সেস লিস্টে অবশ্যই Purple ডোমেইনগুলিকে হোয়াইটলিস্ট করতে হবে। প্রধান ডোমেইনগুলি হলো region1.purpleportal.net, venuewifi.com, এবং cloudfront.net। আপনি যদি Facebook বা LinkedIn লগইন ব্যবহার করেন, তবে আপনাকে তাদের ডোমেইনগুলিও হোয়াইটলিস্ট করতে হবে। Walled Garden ভুল হলে, Captive Portal লোড হবে না। ব্যস। SSID কনফিগারেশনের জন্য, একটি নতুন ওয়্যারলেস নেটওয়ার্ক তৈরি করুন, সিকিউরিটি লেভেল Open-এ সেট করুন এবং External Captive Portal অপশনটি সক্ষম করুন। রিডাইরেক্ট URL-টিকে আপনার নির্দিষ্ট Purple স্প্ল্যাশ পেজ URL-এ নির্দেশ করুন, যা আপনি আপনার ভেন্যুর হার্ডওয়্যার সেটিংসের অধীনে Purple পোর্টালে পাবেন।আসুন একটি আরও উন্নত পরিস্থিতিতে এগিয়ে যাই: Multi-Tenant WiFi। একটি সহ-কর্মক্ষেত্র (coworking space) বা ছাত্রাবাসের কথা কল্পনা করুন। আপনার একাধিক ভাড়াটে রয়েছে যাদের নিজস্ব সুরক্ষিত, বিচ্ছিন্ন নেটওয়ার্ক প্রয়োজন। আপনি ২০টি আলাদা SSID প্রচার করতে চান না। এটি আপনার RF পারফরম্যান্স নষ্ট করে এবং একটি খারাপ ব্যবহারকারীর অভিজ্ঞতা তৈরি করে। এর সমাধান হলো PPSK - Private Pre-Shared Keys - এর সাথে ডাইনামিক VLAN স্টিয়ারিং-এর সমন্বয়। আপনি একটি সুরক্ষিত SSID প্রচার করেন। কিন্তু প্রতিটি ভাড়াটে একটি অনন্য পাসফ্রেজ পায়। যখন Tenant A তাদের পাসফ্রেজ প্রবেশ করায়, তখন ALE AP সেই অনুরোধটি Purple RADIUS সার্ভারে পাঠায়। Purple পাসফ্রেজটি সনাক্ত করে, ব্যবহারকারীকে প্রমাণীকরণ করে এবং একটি Access-Accept বার্তা ফেরত পাঠায়। কিন্তু এখানে গুরুত্বপূর্ণ অংশটি রয়েছে। সেই বার্তার মধ্যে নির্দিষ্ট RADIUS অ্যাট্রিবিউট অন্তর্ভুক্ত থাকে। Tunnel-Type-এর জন্য Attribute 64, যা VLAN-এর জন্য 13-এ সেট করা থাকে। Tunnel-Medium-Type-এর জন্য Attribute 65, যা Ethernet-এর জন্য 6-এ সেট করা থাকে। এবং Attribute 81, যা হলো Tunnel-Private-Group-ID, যাতে প্রকৃত VLAN ID থাকে। ALE AP এটি গ্রহণ করে এবং Tenant A-কে সরাসরি VLAN 30-এ নিয়ে যায়। যখন Tenant B অন্য একটি পাসফ্রেজ দিয়ে লগ ইন করে, তারা VLAN 40-এ পৌঁছায়। একটি SSID, সম্পূর্ণ Layer 2 বিচ্ছিন্নতা। এটিই ব্যবহারিক ক্ষেত্রে আইডেন্টিটি-ভিত্তিক নেটওয়ার্কিং। আসুন একটি বাস্তব উদাহরণ দেখে নেওয়া যাক। একটি ২০০ কক্ষের হোটেল তাদের বিদ্যমান ALE OmniAccess Stellar AP জুড়ে এই আর্কিটেকচারটি স্থাপন করেছে। তাদের হোটেলের অতিথি, ব্যাক-অফিস স্টাফ এবং নিচতলার একটি রেস্তোরাঁকে তিনটি সম্পূর্ণ পৃথক নেটওয়ার্ক সেগমেন্ট হিসেবে পরিষেবা দেওয়ার প্রয়োজন ছিল। তিনটি SSID স্থাপন করার পরিবর্তে, তারা ডাইনামিক VLAN স্টিয়ারিং সহ PPSK ব্যবহার করেছে। এর ফলে তাদের আগের মাল্টি-SSID পদ্ধতির তুলনায় একটি মাত্র SSID, তিনটি বিচ্ছিন্ন VLAN এবং ম্যানেজমেন্ট ওভারহেড উল্লেখযোগ্যভাবে হ্রাস পেয়েছে। এখন আসুন বাস্তবায়নের সুপারিশ এবং সম্ভাব্য ত্রুটিগুলি নিয়ে আলোচনা করা যাক। প্রথমত, একটি হার্ডওয়্যার-নিরপেক্ষ ডিজাইন বজায় রাখুন। আপনার পলিসিগুলি Purple-এ তৈরি করুন, স্থানীয় কন্ট্রোলারে নয়। এটি আপনাকে পরবর্তীতে আপনার নিরাপত্তা পলিসিগুলি নতুন করে স্ক্র্যাচ থেকে তৈরি না করেই হার্ডওয়্যার ভেন্ডর স্কেল বা পরিবর্তন করার সুবিধা দেয়। দ্বিতীয়ত, ফার্মওয়্যার সংস্করণের দিকে নজর রাখুন। নিশ্চিত করুন যে আপনার ALE AP-গুলি এমন ফার্মওয়্যার চালাচ্ছে যা RADIUS-এর মাধ্যমে ডাইনামিক VLAN অ্যাসাইনমেন্টকে স্পষ্টভাবে সমর্থন করে। পুরোনো Stellar ফার্মওয়্যার সংস্করণগুলি Tunnel-Private-Group-ID অ্যাট্রিবিউটটি সম্পূর্ণরূপে সমর্থন নাও করতে পারে। মোতায়েন করার আগে ALE রিলিজ নোটগুলি পরীক্ষা করে নিন। তৃতীয়ত, DNS আপনার বন্ধু এবং আপনার শত্রু উভয়ই হতে পারে। যদি আপনার Captive Portal প্রদর্শিত না হয়, তবে প্রথমে আপনার DHCP স্কোপ পরীক্ষা করুন। ক্লায়েন্ট যদি একটি বৈধ DNS সার্ভার না পায়, তবে তারা পোর্টাল URL-টি রিজলভ করতে পারে না এবং সম্পূর্ণ প্রক্রিয়াটি বন্ধ হয়ে যায়। Captive Portal মোতায়েনের ক্ষেত্রে এটিই সবচেয়ে সাধারণ সাপোর্ট সমস্যা। চতুর্থত, 802.1X ব্যবহার করে সুরক্ষিত স্টাফ WiFi-এর জন্য, বেশিরভাগ পরিবেশের জন্য MSCHAPv2 সহ PEAP ব্যবহার করুন, অথবা সার্টিফিকেট-ভিত্তিক মোতায়েনের জন্য EAP-TLS ব্যবহার করুন। Purple RADIUS সার্ভার উভয়কেই সমর্থন করে। স্টাফ ডিভাইসগুলি Microsoft Entra ID বা Okta-র বিপরীতে প্রমাণীকরণ করে এবং RADIUS সার্ভার স্টাফ নেটওয়ার্ক সেগমেন্টের জন্য উপযুক্ত VLAN অ্যাসাইনমেন্ট ফেরত দেয়। আসুন একটি দ্রুত প্রশ্নোত্তর সেশন করা যাক। প্রশ্ন: আমি কি একটি খুচরা বিক্রয় পরিবেশে PCI-DSS কমপ্লায়েন্সের জন্য এই ইন্টিগ্রেশনটি ব্যবহার করতে পারি? উত্তর: হ্যাঁ। ডাইনামিক VLAN স্টিয়ারিং ব্যবহার করে, আপনি নিশ্চিত করতে পারেন যে পয়েন্ট-অফ-সেল ডিভাইসগুলো সর্বদা একটি বিচ্ছিন্ন VLAN-এ থাকে, যা গেস্ট ট্র্যাফিক থেকে সম্পূর্ণ আলাদা। এটি PCI-DSS 4.0-এর অধীনে নেটওয়ার্ক সেগমেন্টেশনের প্রয়োজনীয়তা পূরণ করে। প্রশ্ন: Purple-এর কি অন-সাইটে কোনো হার্ডওয়্যার অ্যাপ্লায়েন্সের প্রয়োজন হয়? উত্তর: না। Purple একটি ক্লাউড ওভারলে। এটি ইন্টারনেটের মাধ্যমে স্ট্যান্ডার্ড RADIUS ব্যবহার করে আপনার বিদ্যমান ALE হার্ডওয়্যারের সাথে সরাসরি যোগাযোগ করে। এখানে র্যাক এবং স্ট্যাক করার মতো কিছু নেই। প্রশ্ন: Purple ক্লাউড নাগালের বাইরে চলে গেলে কী হবে? উত্তর: আপনি ALE AP-তে একটি ফলব্যাক পলিসি কনফিগার করতে পারেন। গেস্ট নেটওয়ার্কের জন্য, আপনি ফলব্যাক হিসেবে ওপেন অ্যাক্সেসের অনুমতি দিতে পারেন। স্টাফ নেটওয়ার্কের জন্য, নিরাপত্তা বজায় রাখতে একটি ডিনাই-অল (deny-all) ফলব্যাক কনফিগার করুন। প্রশ্ন: আমি কি ইন্টিগ্রেশন থেকে অ্যানালিটিক্স ডেটা সংগ্রহ করতে পারি? উত্তর: হ্যাঁ। প্রতিটি প্রমাণীকৃত (authenticated) সেশন Purple প্ল্যাটফর্মে একটি ভিজিটর প্রোফাইল তৈরি করে। আপনি রেজিস্ট্রেশন ফর্ম থেকে ডোয়েল টাইম (dwell time), ভিজিটের ফ্রিকোয়েন্সি, ডিভাইসের ধরন এবং ডেমোগ্রাফিক ডেটা পেয়ে যাবেন। এটি Purple-এর ৪০০-এর বেশি কানেক্টরের লাইব্রেরির মাধ্যমে সরাসরি আপনার CRM-এ চলে যায়। আজকের ব্রিফিংয়ের মূল বিষয়গুলো সংক্ষেপে নিচে দেওয়া হলো। এক: Purple-এর সাথে ALE OmniAccess ইন্টিগ্রেশন পোর্ট 1812 এবং 1813-এ স্ট্যান্ডার্ড RADIUS ব্যবহার করে। কোনো মালিকানাধীন প্রোটোকলের প্রয়োজন নেই। দুই: Walled Garden অত্যন্ত গুরুত্বপূর্ণ। এটি ভুল হলে Captive Portal লোড হবে না। অন্য সবকিছুর আগে Purple ডোমেনগুলোকে হোয়াইটলিস্ট করুন। তিন: ডাইনামিক VLAN স্টিয়ারিং সহ PPSK হলো মাল্টি-টেন্যান্ট পরিবেশের জন্য সঠিক আর্কিটেকচার। একটি SSID, অনন্য পাসফ্রেজ এবং প্রতি টেন্যান্টের জন্য আলাদা VLAN। চার: ডাইনামিক VLAN অ্যাসাইনমেন্টের জন্য RADIUS অ্যাট্রিবিউট 64, 65 এবং 81 প্রয়োজন। এর মধ্যে যেকোনো একটির অনুপস্থিতিতে স্টিয়ারিং ব্যর্থ হয়। পাঁচ: Purple হার্ডওয়্যার-নিরপেক্ষ। আপনার পলিসিগুলো ক্লাউডে থাকে, কন্ট্রোলারে নয়। এটি আপনাকে বিভিন্ন হার্ডওয়্যার ভেন্ডরের সাথে স্কেল করার নমনীয়তা দেয়। আপনার পরবর্তী কাজ হলো আপনার Purple পোর্টালে লগ ইন করা, আপনার ভেন্যু-র হার্ডওয়্যার সেটিংসে যাওয়া এবং আপনার নির্দিষ্ট RADIUS ক্রেডেনশিয়াল ও স্প্ল্যাশ পেজ URL সংগ্রহ করা। তারপর আপনার ALE OmniAccess ইনফ্রাস্ট্রাকচারকে Purple ক্লাউডের সাথে সংযুক্ত করতে এই গাইডের কনফিগারেশন ধাপগুলো অনুসরণ করুন। এই Purple টেকনিক্যাল ব্রিফিং শোনার জন্য ধন্যবাদ। আরও তথ্যের জন্য, purple.ai ভিজিট করুন।