Allied Telesis TQ Series AP এবং গেস্ট WiFi: Purple এর সাথে captive portal সেটআপ

আপনি একজন সিনিয়র নেটওয়ার্ক কনসালট্যান্ট যিনি একটি ব্যক্তিগত ব্রিফিংয়ে ক্লায়েন্টের আইটি ডিরেক্টরের সাথে কথা বলছেন। আত্মবিশ্বাসী, কর্তৃত্বপূর্ণ, কথোপকথনের সুরে কথা বলুন। পরিমাপিত গতি, স্পষ্ট উচ্চারণ। কোনো অপ্রয়োজনীয় শব্দ ব্যবহার করবেন না। জোর দেওয়ার জন্য মাঝে মাঝে স্বাভাবিক বিরতি নিন: Allied Telesis TQ-Series অ্যাক্সেস পয়েন্টগুলিকে Purple WiFi-এর সাথে ইন্টিগ্রেট করার বিষয়ে এই প্রযুক্তিগত ব্রিফিংয়ে আপনাকে স্বাগত জানাই। আমি আপনাকে গেস্ট Captive Portal রিডাইরেকশন থেকে শুরু করে মাল্টি-টেন্যান্ট PPSK আইসোলেশন পর্যন্ত সম্পূর্ণ ডেপ্লয়মেন্টের রূপরেখা বিশদভাবে জানাব। এই আলোচনার শেষে, আপনার কাছে একটি স্পষ্ট ইমপ্লিমেন্টেশন রোডম্যাপ থাকবে। [medium pause] আসুন প্রেক্ষাপট থেকে শুরু করি। Allied Telesis TQ-Series উৎপাদন করে, যার মধ্যে TQ5403 এবং TQ6702 GEN2 Wi-Fi 6 অ্যাক্সেস পয়েন্ট অন্তর্ভুক্ত রয়েছে। এগুলি হল AlliedWare Plus ফার্মওয়্যারে চালিত এন্টারপ্রাইজ-গ্রেড AP, এবং এগুলি হসপিটালিটি, রিটেইল এবং পাবলিক সেক্টর জুড়ে ব্যাপকভাবে ব্যবহৃত হচ্ছে। Purple হল একটি হার্ডওয়্যার-স্বাধীন ক্লাউড ওভারলে প্ল্যাটফর্ম যা 80,000-এর বেশি ভেন্যুতে কাজ করছে এবং 2024 সালে 440 মিলিয়ন লগইন পরিচালনা করেছে। এই দুটি প্ল্যাটফর্মের মধ্যকার ইন্টিগ্রেশন অত্যন্ত পরিচ্ছন্ন, স্ট্যান্ডার্ডস-ভিত্তিক এবং প্রোডাকশন-রেডি। [medium pause] এখন, বেশিরভাগ আইটি টিমকে প্রথম যে জিনিসটি কনফিগার করতে হয় তা হল গেস্ট Captive Portal রিডাইরেকশন। Allied Telesis AP তিনটি Captive Portal মোড সমর্থন করে: ক্লিক-থ্রু, RADIUS অথেন্টিকেশন এবং এক্সটার্নাল পেজ রিডাইরেক্ট। Purple ইন্টিগ্রেশনের জন্য, আপনি External Page Redirect মোড ব্যবহার করবেন। এটি বাস্তবে কীভাবে কাজ করে তা এখানে দেওয়া হল। আপনি AP-এর ডিভাইস GUI-তে লগ ইন করুন, Wireless-এ যান, প্রাসঙ্গিক VAP নির্বাচন করুন, Advanced Settings-এ যান, তারপর Security ট্যাবে যান। Captive Portal-কে External Page Redirect-এ সেট করুন। External Page URL ফিল্ডে, আপনার Purple ড্যাশবোর্ডে দেওয়া Purple স্প্ল্যাশ পেজ URL লিখুন। এটিই সেই URL যা আপনার গেস্টরা প্রথমবার সংযোগ করার সময় দেখতে পাবেন। [short pause] এখন, AP প্রতিটি নতুন ক্লায়েন্টের থেকে প্রথম HTTP বা HTTPS প্যাকেটটি ইন্টারসেপ্ট করে এবং সেই ট্রাফিককে আপনার Purple স্প্ল্যাশ পেজে রিডাইরেক্ট করে। গেস্ট Purple-এর মাধ্যমে প্রমাণীকরণ সম্পন্ন করেন এবং Purple-এর RADIUS সার্ভার AP-তে একটি Access-Accept পাঠায়। এরপর AP নেটওয়ার্ক অ্যাক্সেস মঞ্জুর করে। [medium pause] RADIUS কনফিগারেশনের জন্য, Purple আপনাকে একটি RADIUS সার্ভার IP ঠিকানা, একটি শেয়ার্ড সিক্রেট এবং অথেন্টিকেশন পোর্ট সরবরাহ করে, যা হল UDP 1812। অ্যাকাউন্টিং চলে UDP 1813 পোর্টে। আপনি AP GUI-তে Network Services, তারপর RADIUS-এর অধীনে এগুলি কনফিগার করবেন। NAS আইডেন্টিফায়ারটি AP-এর ম্যানেজমেন্ট IP বা একটি বর্ণনামূলক হোস্টনামে সেট করা উচিত। Purple-এর RADIUS-as-a-Service ব্যাকএন্ডে অথেন্টিকেশন পরিচালনা করে, তাই আপনার নিজস্ব RADIUS ইনফ্রাস্ট্রাকচার চালানোর প্রয়োজন নেই। [short pause] একটি বিষয় সঠিকভাবে করা দরকার তা হলো Walled Garden। একজন গেস্ট প্রমাণীকরণ করার আগে, AP হোয়াইটলিস্ট করা গন্তব্য ছাড়া সমস্ত ট্রাফিক ব্লক করে। স্প্ল্যাশ পেজটি সঠিকভাবে লোড হওয়ার জন্য আপনাকে Walled Garden-এ Purple-এর প্ল্যাটফর্ম ডোমেনগুলি যোগ করতে হবে। অন্ততপক্ষে, Purple স্প্ল্যাশ পেজ ডোমেন, Purple সম্পদের জন্য ব্যবহার করে এমন যেকোনো CDN এন্ডপয়েন্ট এবং আপনার সক্রিয় করা যেকোনো সোশ্যাল লগইন প্রোভাইডার, যেমন Google বা Facebook হোয়াইটলিস্ট করুন। আপনি এটি Walled Garden-এর অধীনে একই VAP Advanced Settings প্যানেলে কনফিগার করতে পারেন। [medium pause] আসুন 802.1X ব্যবহার করে স্টাফ WiFi-এ চলে যাই। এখানে আপনি একটি পৃথক VAP-এ WPA Enterprise কনফিগার করবেন। AP GUI-তে, Security ড্রপডাউন থেকে WPA Enterprise নির্বাচন করুন, তারপর RADIUS Authentication Group-কে আপনার বাহ্যিক RADIUS সার্ভারের দিকে নির্দেশ করুন, যা এই ক্ষেত্রে Purple-এর SecurePass পরিষেবা বা আপনার নিজস্ব Microsoft Entra ID বা Okta-backed RADIUS। স্টাফ ডিভাইসগুলি EAP-PEAP-এর সাথে MSCHAPv2 ব্যবহার করে বা উচ্চতর সুরক্ষার পরিবেশের জন্য সার্টিফিকেট সহ EAP-TLS ব্যবহার করে প্রমাণীকরণ করে। AP 802.1X অথেনটিকেটর হিসেবে কাজ করে, RADIUS সার্ভারে ক্রেডেনশিয়াল ফরওয়ার্ড করে এবং প্রতিক্রিয়া কার্যকর করে। [short pause] স্টাফ নেটওয়ার্কে ডাইনামিক VLAN অ্যাসাইনমেন্টের জন্য, আপনি VAP-এর Advanced Security সেটিংস-এ Dynamic VLAN সক্ষম করুন। যখন RADIUS সার্ভার একটি Access-Accept প্রদান করে, তখন এটি তিনটি স্ট্যান্ডার্ড অ্যাট্রিবিউট অন্তর্ভুক্ত করে: Tunnel-Type সেট করা থাকে VLAN-এ, Tunnel-Medium-Type সেট করা থাকে IEEE 802-এ, এবং Tunnel-Private-Group-Id সেট করা থাকে VLAN ID-তে। AP এই অ্যাট্রিবিউটগুলি পড়ে এবং স্বয়ংক্রিয়ভাবে প্রমাণীকৃত ডিভাইসটিকে সঠিক VLAN-এ স্থাপন করে। এটি RFC 3580-এ সংজ্ঞায়িত মেকানিজম এবং এটি Allied Telesis হার্ডওয়্যার জুড়ে ধারাবাহিকভাবে কাজ করে। [medium pause] এখন মাল্টি-টেন্যান্ট ডেপ্লয়মেন্টের জন্য সবচেয়ে আকর্ষণীয় ক্ষমতা সম্পর্কে কথা বলা যাক: Allied Telesis PPSK, বা Private Pre-Shared Key। এটিকে অন্য প্ল্যাটফর্মে কখনও কখনও iPSK বলা হয়। ধারণাটি সহজ। আপনার একটি মাত্র SSID আছে, কিন্তু প্রতিটি টেন্যান্ট বা ব্যবহারকারী গ্রুপ একটি অনন্য পাসফ্রেজ পায়। যখন একটি ডিভাইস সংযুক্ত হয়, AP সেই পাসফ্রেজটিকে RADIUS Access-Request-এ পাসওয়ার্ড ফিল্ড হিসাবে RADIUS সার্ভারে পাঠায়। RADIUS সার্ভার পাসফ্রেজটিকে একটি ব্যবহারকারী রেকর্ডের সাথে মেলাত করে এবং সেই টেন্যান্টের জন্য VLAN নির্দিষ্ট করে একটি Tunnel-Private-Group-Id অ্যাট্রিবিউট সহ Access-Accept প্রদান করে। [short pause] তাই একটি মিশ্র-ব্যবহারের ভবনে, রিটেইল ইউনিটে থাকা Tenant A তাদের পাসফ্রেজ দিয়ে সংযুক্ত হয় এবং VLAN 100-এ পৌঁছায়। নিচতলার রেস্তোরাঁটি একটি ভিন্ন পাসফ্রেজ ব্যবহার করে এবং VLAN 300-এ পৌঁছায়। ভবনের গেস্ট WiFi একটি তৃতীয় পাসফ্রেজ ব্যবহার করে এবং VLAN 400-এ পৌঁছায় যেখানে Purple-এর Captive Portal সক্রিয় থাকে। এই সমস্ত কিছু একটি SSID-তে চলে। কোনো SSID প্রসারিত হয় না। পরিষ্কার, পরিমাপযোগ্য এবং পরিচালনা করা সহজ। [medium pause] Purple এর দিকে, আপনি Purple ড্যাশবোর্ডে বা RADIUS-as-a-Service ইন্টারফেসের মাধ্যমে PPSK ব্যবহারকারীর রেকর্ড কনফিগার করেন। প্রতিটি ভাড়াটে একটি অনন্য পাসফ্রেজ পায় যা একটি VLAN ID-র সাথে ম্যাপ করা থাকে। Purple এর RADIUS সার্ভার ম্যাচিং পরিচালনা করে এবং সঠিক Tunnel-Private-Group-Id ফেরত পাঠায়। যখন আপনার কোনো ভাড়াটের অ্যাক্সেস প্রত্যাহার করার প্রয়োজন হয়, তখন আপনি Purple-এ তাদের PPSK রেকর্ডটি ডিলিট বা নিষ্ক্রিয় করে দেন। AP পরবর্তী প্রমাণীকরণ (authentication) প্রচেষ্টায় পরিবর্তনটি কার্যকর করে। [medium pause] আপনাকে দুটি বাস্তব-ক্ষেত্রের দৃশ্যপট জানাই যেখানে এটি অত্যন্ত গুরুত্বপূর্ণ। প্রথমত, একটি ২৫০-রুমের কনফারেন্স হোটেল। হোটেলটি তিনটি নেটওয়ার্ক পরিচালনা করে: Purple স্প্ল্যাশ পেজ এবং সোশ্যাল লগইন সহ গেস্ট WiFi, Microsoft Entra ID-র মাধ্যমে অ্যাক্টিভ ডিরেক্টরির সাথে যুক্ত 802.1X-এ স্টাফ WiFi, এবং ইভেন্টের জন্য একটি কনফারেন্স ডেলিগেট নেটওয়ার্ক। Allied Telesis TQ6702 GEN2 AP-গুলি আলাদা VLAN সহ পৃথক VAP-এ এই তিনটিই পরিচালনা করে। Purple গেস্ট স্প্ল্যাশ পেজ পরিচালনা করে, হোটেলের CRM-এর জন্য ফার্স্ট-পার্টি ডেটা সংগ্রহ করে এবং পিক ব্যবহারের সময়কাল সম্পর্কে অ্যানালিটিক্স প্রদান করে। হোটেলের IT টিম অন-সাইটে কোনো আলাদা RADIUS সার্ভার রক্ষণাবেক্ষণ না করেই Purple এর SecurePass-এর মাধ্যমে স্টাফ নেটওয়ার্ক পরিচালনা করে। [short pause] দ্বিতীয় দৃশ্যপট: ১২টি স্বাধীন ভাড়াটে সহ একটি রিটেইল পার্ক। ল্যান্ডলর্ড প্রতিটি ভাড়াটেকে তাদের নিজস্ব ট্র্যাফিকের অ্যাক্সেস অন্যকে না দিয়ে WiFi-as-a-service অফার করতে চান। তারা একটি একক SSID সহ সাইট জুড়ে Allied Telesis AP স্থাপন করেছেন। প্রতিটি ভাড়াটে একটি অনন্য PPSK পায়। Purple এর RADIUS সার্ভার প্রতিটি PPSK-কে একটি ডেডিকেটেড VLAN-এ ম্যাপ করে। ল্যান্ডলর্ড Purple-এ একটি নতুন PPSK রেকর্ড তৈরি করে এবং পাসফ্রেজটি ভাড়াটের হাতে দিয়ে দশ মিনিটেরও কম সময়ে একজন নতুন ভাড়াটেকে অনবোর্ড করতে পারেন। কোনো AP রিকনফিগারেশনের প্রয়োজন নেই। [medium pause] এখন, কিছু সাধারণ ভুল যা এড়িয়ে চলা উচিত। সবচেয়ে সাধারণ যে সমস্যাটি আমরা দেখি তা হলো ভুলভাবে কনফিগার করা ওয়াল্ড গার্ডেন (walled gardens)। আপনি যদি কোনো Purple CDN এন্ডপয়েন্টকে হোয়াইটলিস্ট করতে ভুলে যান, তবে স্প্ল্যাশ পেজটি আংশিকভাবে লোড হবে বা নির্দিষ্ট কিছু ডিভাইসে ব্যর্থ হবে। লাইভ করার আগে কোনো ক্যাশড DNS না থাকা একটি নতুন ডিভাইস দিয়ে পরীক্ষা করুন। দ্বিতীয়ত, RADIUS শেয়ার্ড সিক্রেট অমিল। AP-তে কনফিগার করা সিক্রেটটি অবশ্যই Purple এর RADIUS সার্ভার কনফিগারেশনের সিক্রেটের সাথে হুবহু মিলতে হবে। একটি মাত্র অক্ষরের পার্থক্যের কারণেও নীরব প্রমাণীকরণ ব্যর্থতা (silent authentication failure) ঘটে। সিক্রেট জেনারেট এবং স্টোর করতে একটি পাসওয়ার্ড ম্যানেজার ব্যবহার করুন। তৃতীয়ত, ডায়নামিক VLAN সক্ষম না হওয়া। Allied Telesis AP-গুলিতে, WPA Enterprise সক্রিয় থাকলেও ডায়নামিক VLAN ডিফল্টভাবে নিষ্ক্রিয় থাকে। আপনাকে VAP অ্যাডভান্সড সিকিউরিটি সেটিংসে এটি স্পষ্টভাবে সক্ষম করতে হবে। আমরা এটি নিয়মিত মিস হতে দেখি। চতুর্থত, PPSK এবং MAC প্রমাণীকরণের দ্বন্দ্ব। আপনার যদি PPSK-এর মতো একই VAP-এ MAC প্রমাণীকরণ সক্ষম থাকে, তবে প্রমাণীকরণের ক্রমটি গুরুত্বপূর্ণ। কোন পদ্ধতিটি অগ্রাধিকার পাবে তা নিশ্চিত করতে আপনার ফার্মওয়্যার সংস্করণের জন্য AP ডকুমেন্টেশন দেখুন। [medium pause] IT টিমের কাছ থেকে পাওয়া কিছু চটজলদি প্রশ্ন। আমি কি একই ডিপ্লয়মেন্টে গেস্ট Captive Portal এবং স্টাফ 802.1X উভয়ের জন্যই Purple এর RADIUS সার্ভার ব্যবহার করতে পারি? হ্যাঁ। Purple এর RADIUS-as-a-Service উভয় প্রমাণীকরণ প্রবাহকেই সমর্থন করে। আপনি প্রতিটি ব্যবহারের ক্ষেত্রের জন্য Purple-এ আলাদা RADIUS গ্রুপ বা পলিসি কনফিগার করতে পারেন।Allied Telesis APগুলি কি captive portal সহ WPA3 সমর্থন করে? 5.5.4-2.3 বা তার পরবর্তী সংস্করণের ফার্মওয়্যার চালিত TQ6702 GEN2, WPA3 CCMP সাইফার সমর্থন করে। তবে, এক্সটার্নাল রিডাইরেক্ট সহ captive portal সাধারণত একটি ওপেন বা WPA2 Personal SSID-এ চলে। স্টাফ 802.1X, WPA3 Enterprise ব্যবহার করতে পারে। যদি Purple RADIUS সার্ভার অ্যাক্সেস করা না যায় তবে কী হবে? AP নতুন অথেন্টিকেশন চেষ্টাগুলো প্রত্যাখ্যান করবে। বিদ্যমান সেশনগুলি টাইম আউট না হওয়া পর্যন্ত চলতে থাকবে। রিডান্ডেন্সির জন্য আপনার AP-এর RADIUS গ্রুপে একটি সেকেন্ডারি RADIUS সার্ভার কনফিগার করা উচিত। Purple-এর প্ল্যাটফর্ম ৯৯.৯৯৯% আপটাইম বজায় রাখে, তবে ডিফেন্স ইন ডেপ্থ একটি ভালো অভ্যাস। [medium pause] সংক্ষেপে বলতে গেলে। Allied Telesis TQ-Series APগুলি তিনটি প্রধান মেকানিজমের মাধ্যমে Purple-এর সাথে ইন্টিগ্রেট করে: গেস্ট WiFi-এর জন্য এক্সটার্নাল captive portal রিডাইরেক্ট, স্টাফ 802.1X-এর জন্য RADIUS সহ WPA Enterprise, এবং মাল্টি-টেন্যান্ট আইসোলেশনের জন্য ডায়নামিক VLAN সহ PPSK। আপনার প্রয়োজনীয় RADIUS অ্যাট্রিবিউটগুলি হলো Tunnel-Type VLAN, Tunnel-Medium-Type IEEE 802, এবং Tunnel-Private-Group-Id যা VLAN ID বহন করে। Purple মূলত RADIUS-as-a-Service ব্যাকএন্ড, স্প্ল্যাশ পেজ প্ল্যাটফর্ম এবং অ্যানালিটিক্স লেয়ার প্রদান করে। [short pause] আপনার পরবর্তী পদক্ষেপগুলি: আপনার ড্যাশবোর্ড থেকে Purple RADIUS ক্রেডেনশিয়ালগুলি সংগ্রহ করুন, আপনার গেস্ট VAP-এ এক্সটার্নাল পেজ রিডাইরেক্ট কনফিগার করুন, ওয়াল্ড গার্ডেন এন্ট্রিগুলি যোগ করুন, আপনার স্টাফ VAP-এ ডায়নামিক VLAN সক্ষম করুন এবং লাইভ করার আগে প্রতিটি নেটওয়ার্ক সেগমেন্টের জন্য একটি টেস্ট অথেন্টিকেশন রান করুন। আপনি যদি মাল্টি-টেন্যান্টের জন্য PPSK স্থাপন করেন, তবে কাজ শুরু করার আগে আপনার VLAN নম্বরিং স্কিমটি পরিকল্পনা করুন, কারণ টেন্যান্টরা লাইভ হওয়ার পর VLAN ID পরিবর্তন করার জন্য সমন্বয়ের প্রয়োজন হয়। [medium pause] এটাই ছিল ব্রিফিং। সম্পূর্ণ ধাপে ধাপে কনফিগারেশন নির্দেশিকা, Mermaid আর্কিটেকচার ডায়াগ্রাম এবং RADIUS অ্যাট্রিবিউট টেবিলের জন্য লিখিত গাইডটি দেখুন। আপনার সময়ের জন্য ধন্যবাদ।