পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
ব্রিফিংয়ে আপনাকে স্বাগত জানাই। আজ, আমরা Purple প্ল্যাটফর্মের সাথে Arista Cognitive Wi-Fi-এর একীকরণ বিশ্লেষণ করছি। এটি একটি সিনিয়র কনসালটেন্ট ব্রিফিং, যার মূল লক্ষ্য হলো এন্টারপ্রাইজ নেটওয়ার্ক আর্কিটেক্ট এবং ক্লাউড সিস্টেম অ্যাডমিনিস্ট্রেটর যারা প্রথমবারেই এটি সঠিকভাবে মোতায়েন করতে চান।
চলুন পরিস্থিতিটি বিস্তারিত জেনে নিই। CloudVision Cognitive Unified Edge প্ল্যাটফর্মের মাধ্যমে পরিচালিত Arista Cognitive Wi-Fi হলো একটি ক্লাউড-পরিচালিত ওয়্যারলেস পরিকাঠামো যা এন্টারপ্রাইজ-গ্রেড গেস্ট এবং স্টাফ নেটওয়ার্ক মোতায়েনকে সমর্থন করে। Purple হলো একটি হার্ডওয়্যার-নিরপেক্ষ ক্লাউড ওভারলে যা গেস্ট পোর্টাল, আইডেন্টিটি ক্যাপচার, RADIUS অথেন্টিকেশন এবং অ্যানালিটিক্স লেয়ার প্রদান করে। যখন আপনি এই দুটিকে একত্রিত করেন, তখন আপনি একটি সম্পূর্ণ, কমপ্লায়েন্ট এবং বাণিজ্যিকভাবে মূল্যবান গেস্ট WiFi আর্কিটেকচার পাবেন। চলুন এর কার্যপ্রণালীগুলো জেনে নিই।
প্রথম যে বিষয়টি বুঝতে হবে তা হলো Captive Portal অনবোর্ডিং ফ্লো। যখন একটি গেস্ট ডিভাইস Arista অ্যাক্সেস পয়েন্টের ওপেন গেস্ট SSID-এর সাথে সংযুক্ত হয়, তখন AP অবিলম্বে সেই ডিভাইসটিকে একটি প্রি-অথেন্টিকেশন VLAN-এ স্থানান্তরিত করে। এই অবস্থায়, ডিভাইসের একটি DHCP-অ্যাসাইন করা IP অ্যাড্রেস থাকে, তবে এর DNS এবং HTTP ট্রাফিক অত্যন্ত সীমাবদ্ধ থাকে। ডিভাইসের অপারেটিং সিস্টেম, তা iOS, Android, বা Windows যাই হোক না কেন, একটি Captive Portal ডিটেকশন প্রোব সম্পাদন করে। iOS captive.apple.com-এ একটি HTTP রিকোয়েস্ট পাঠায়। Android connectivitycheck.gstatic.com-এ প্রোব পাঠায়। Arista AP এই রিকোয়েস্টটি ইন্টারসেপ্ট করে এবং একটি 302 রিডাইরেক্ট রিটার্ন করে, যা ডিভাইসটিকে Purple স্প্ল্যাশ পেজ URL-এ নির্দেশ করে।
এখন, এখানেই বেশিরভাগ মোতায়েন ভুল হয়ে যায়। সেই রিডাইরেক্ট কাজ করার জন্য এবং স্প্ল্যাশ পেজটি সফলভাবে রেন্ডার করার জন্য, আপনাকে Arista CV-CUE-তে Walled Garden সঠিকভাবে কনফিগার করতে হবে। Walled Garden হলো একটি সুনির্দিষ্ট অ্যালাউ-লিস্ট। প্রি-অথেন্টিকেশন অবস্থায়, ডিফল্টরূপে সমস্ত ট্রাফিক ড্রপ করা হয়। পোর্টাল লোড করার জন্য প্রয়োজনীয় প্রতিটি ডোমেন আপনাকে অবশ্যই হোয়াইটলিস্ট করতে হবে। অন্ততপক্ষে, তার মানে মূল Purple ডোমেনগুলি: region1.purpleportal.net, venuewifi.com এবং cloudfront.net। আপনি যদি Google Workspace-এর মাধ্যমে সোশ্যাল লগইন অফার করেন, তবে আপনাকে অবশ্যই accounts.google.com এবং এর সাথে সম্পর্কিত CDN রেঞ্জগুলি যুক্ত করতে হবে। Facebook-এর জন্য, আপনার facebook.com, fbcdn.net এবং akamaihd.net প্রয়োজন। এর মধ্যে যেকোনো একটি মিস করলেই গেস্টরা একটি খালি স্ক্রিন বা স্পিনিং লগইন বোতাম দেখতে পাবেন। তারা চলে যাবেন, এবং আপনি ডেটা ক্যাপচারের সুযোগটি হারাবেন।
আমি আপনাকে CV-CUE-তে RADIUS কনফিগারেশন প্রক্রিয়াটি বুঝিয়ে দিই। Configure-এ যান, তারপর Network Profiles, তারপর RADIUS-এ যান। Add RADIUS Server-এ ক্লিক করুন। Purple-এর প্রাইমারি RADIUS সার্ভার IP অ্যাড্রেস লিখুন, Authentication Port 1812-এ সেট করুন, Accounting Port 1813-এ সেট করুন এবং Purple দ্বারা প্রদত্ত শেয়ার্ড সিক্রেটটি প্রবেশ করান। সেকেন্ডারি সার্ভারের জন্যও এটি পুনরাবৃত্তি করুন। এই রিডান্ডেন্সি অত্যন্ত গুরুত্বপূর্ণ। প্রাইমারি সার্ভারে পৌঁছানো না গেলে, সেকেন্ডারি সার্ভার গেস্ট অ্যাক্সেসে কোনো বাধা ছাড়াই নিয়ন্ত্রণ গ্রহণ করে।RADIUS প্রোফাইলগুলি সেভ হয়ে গেলে, Configure-এ যান, তারপর WiFi, তারপর SSID-এ যান এবং Add New SSID-এ ক্লিক করুন। আপনার SSID-এর নাম দিন, টাইপটি Guest-এ সেট করুন এবং Security ট্যাবের অধীনে সিকিউরিটি লেভেলটি Open-এ সেট করুন। একটি Captive Portal ডেপ্লয়মেন্টের জন্য এটি সঠিক। Captive Portal ট্যাবের অধীনে, Captive Portal চেকবক্সটি এনেবল করুন, Cloud Hosted ড্রপ-ডাউন থেকে Third-Party Hosted নির্বাচন করুন এবং With RADIUS Authentication বক্সটি চেক করুন। Purple Splash Page-এর URL-টি Splash Page URL ফিল্ডে পেস্ট করুন। এটি সাধারণত https://region1.purpleportal.net/access/ ফরম্যাটে থাকে। শেয়ার্ড সিক্রেটটি লিখুন। তারপর, Websites that users can access before login সেকশনে আপনার Walled Garden ডোমেনগুলি যোগ করুন। Called Station ID ফরম্যাটটি percent-m-এ সেট করুন, যা MAC অ্যাড্রেসটি Purple-এর প্রত্যাশিত ফরম্যাটে পাঠায়। Accounting Interval-টি ২ মিনিটে সেট করুন। HTTPS Redirection চেকবক্সটি ক্লিয়ার করুন। SSID-টি সেভ করুন। এটি কয়েক মিনিটের মধ্যে আপনার Arista AP-গুলিতে প্রোপাগেট হয়ে যাবে।
এখন আসুন গেস্ট Purple পোর্টালে তাদের ডিটেইলস সাবমিট করার পর কী ঘটে তা নিয়ে আলোচনা করা যাক। Purple এখানে RADIUS সার্ভার হিসেবে কাজ করে। এটি আইডেন্টিটি ভ্যালিডেট করে, কনসেন্ট ক্যাপচার করে এবং Arista AP-তে একটি RADIUS Access-Accept মেসেজ ফেরত পাঠায়। কিন্তু এখানে গুরুত্বপূর্ণ বিষয়টি হলো: সেই Access-Accept মেসেজে RFC 3576-এ ডিফাইন করা Change of Authorisation অ্যাট্রিবিউট থাকে। এই অ্যাট্রিবিউটগুলি Arista AP-কে নির্দেশ দেয় যেন তারা সেই নির্দিষ্ট ক্লায়েন্টকে রেস্ট্রিক্টেড প্রি-অথেন্টিকেশন স্টেট থেকে ডাইনামিকভাবে ফুল ইন্টারনেট অ্যাক্সেস সহ পোস্ট-অথেন্টিকেশন VLAN-এ ট্রানজিশন করায়। একই সাথে, AP-টি ১৮১৩ পোর্টে Purple-এর কাছে একটি RADIUS Accounting-Start মেসেজ পাঠায়। এটি সেশন টাইমার চালু করে এবং সেশনের সময়কালের ডেটা Purple অ্যানালিটিক্স ড্যাশবোর্ডে ফিড করে।
আসুন আরও অ্যাডভান্সড ইউজ কেসের দিকে যাওয়া যাক: Arista Private Pre-Shared Keys বা PPSK ব্যবহার করে Multi-Tenant WiFi। কোওয়ার্কিং স্পেস, রিটেইল মল, রেসিডেন্সিয়াল বিল্ডিং বা এমন যেকোনো এনভায়রনমেন্টের জন্য এটিই আপনার প্রয়োজনীয় আর্কিটেকচার যেখানে আপনার একাধিক আলাদা ইউজার গ্রুপ রয়েছে যাদের জন্য কঠোর নেটওয়ার্ক আইসোলেশন প্রয়োজন।
ঐতিহ্যগত পদ্ধতির সমস্যা হলো প্রতিটি টেন্যান্টের জন্য আলাদা SSID ব্রডকাস্ট করা হলে তা ব্যাপক RF ওভারহেড তৈরি করে। প্রতিটি SSID-এর জন্য বিকন ফ্রেমের প্রয়োজন হয়। ২০ জন টেন্যান্টের একটি ঘন এনভায়রনমেন্টে, ২০টি SSID এয়ারটাইম কনজিউম করবে। PPSK অত্যন্ত চমৎকারভাবে এর সমাধান করে। আপনি একটি সিঙ্গেল SSID ব্রডকাস্ট করবেন। কিন্তু Purple পোর্টালে, প্রতিটি টেন্যান্টের জন্য একটি ইউনিক পাসফ্রেজ অ্যাসাইন করা থাকে। কোনো ইউজার কানেক্ট করার সময়, Arista AP সেই পাসফ্রেজটি Purple RADIUS সার্ভারের সাথে অথেন্টিকেট করে। Purple পাসফ্রেজটি চেক করে, অ্যাসোসিয়েটেড টেন্যান্টকে আইডেন্টিফাই করে এবং একটি Access-Accept মেসেজ রিটার্ন করে। তবে সবচেয়ে গুরুত্বপূর্ণ বিষয় হলো, এটি তিনটি RADIUS অ্যাট্রিবিউট অ্যাপেন্ড করে: Tunnel-Type, যা VLAN-এ সেট করা থাকে; Tunnel-Medium-Type, যা 802-এ সেট করা থাকে; এবং Tunnel-Private-Group-ID, যা টেন্যান্টের নির্দিষ্ট VLAN ID-তে সেট করা থাকে। Arista AP এই অ্যাট্রিবিউটগুলি রিড করে এবং ডাইনামিকভাবে ক্লায়েন্টকে সঠিক VLAN-এ স্টিয়ার করে। টেন্যান্ট A, তাদের পাসফ্রেজ ব্যবহার করে VLAN 100-এ প্রবেশ করে। টেন্যান্ট B প্রবেশ করে VLAN 200-এ। তারা লেয়ার ২-এ সম্পূর্ণভাবে আইসোলেটেড থাকে। তারা একে অপরের ডিভাইস, প্রিন্টার বা সার্ভার দেখতে পায় না।এটিই বাস্তবে Identity-Based Networking। পাসফ্রেজের পরিচয় নেটওয়ার্ক সেগমেন্ট নির্ধারণ করে। এটি Purple-এর মাধ্যমে কেন্দ্রীয়ভাবে পরিচালিত হয়, তাই যখন কোনও ভাড়াটিয়া চলে যায়, আপনি Purple পোর্টালে তাদের পাসফ্রেজ বাতিল করে দেন এবং অবিলম্বে অ্যাক্সেস বন্ধ হয়ে যায়। Arista ইনফ্রাস্ট্রাকচারে কোনও পরিবর্তনের প্রয়োজন নেই।
এখন, আসুন IEEE 802.1X ব্যবহার করে Secure Staff WiFi কভার করা যাক। আপনার কর্মীদের SSID-এর জন্য, আপনার কোনও শেয়ার্ড পাসফ্রেজ ব্যবহার করা উচিত নয়। আপনার EAP, Extensible Authentication Protocol সহ 802.1X ব্যবহার করা উচিত। CV-CUE-তে, একটি নতুন কর্পোরেট SSID তৈরি করুন। Security ট্যাবের অধীনে, WPA2-Enterprise বা WPA3-Enterprise নির্বাচন করুন। আপনার RADIUS প্রোফাইল নির্বাচন করুন, যা আপনার কর্পোরেট আইডেন্টিটি প্রোভাইডারকে নির্দেশ করবে, যেমন Microsoft Entra ID বা Okta। যখন কোনও কর্মী সংযুক্ত হন, তাদের ডিভাইসটি Arista AP-তে ক্রেডেনশিয়াল উপস্থাপন করে, যা EAP-এর মাধ্যমে সেগুলিকে RADIUS সার্ভারে ফরোয়ার্ড করে। আইডেন্টিটি প্রোভাইডার ক্রেডেনশিয়ালগুলি যাচাই করে এবং একটি Access-Accept রিটার্ন করে। EAP-TLS ব্যবহার করে সার্টিফিকেট-ভিত্তিক অথেন্টিকেশনের জন্য, ডিভাইসটি ব্যবহারকারীর নাম এবং পাসওয়ার্ডের পরিবর্তে একটি ক্লায়েন্ট সার্টিফিকেট উপস্থাপন করে, যা আক্রমণ ভেক্টর হিসেবে ক্রেডেনশিয়াল চুরি সম্পূর্ণরূপে দূর করে।
আমাকে Arista Cloud WIPS ইন্টিগ্রেশনটি সমাধান করতে দিন। Arista-এর Wireless Intrusion Prevention System ব্যাকগ্রাউন্ডে কাজ করে, যা অননুমোদিত অ্যাক্সেস পয়েন্ট এবং অননুমোদিত ক্লায়েন্টদের সন্ধান করে। CV-CUE-তে, Configure, তারপর WIPS, তারপর Automatic Intrusion Prevention-এ যান। আপনি প্রিভেনশন লেভেল Degrade থেকে Block পর্যন্ত কনফিগার করতে পারেন। এন্টারপ্রাইজ ডেপ্লয়মেন্টের জন্য, আমরা প্রারম্ভিক বিন্দু হিসেবে Disrupt লেভেল সুপারিশ করি, যা সম্পূর্ণ ব্লক না করেই অননুমোদিত যোগাযোগ ব্যাহত করে, ফলে ফলস পজিটিভের ঝুঁকি হ্রাস পায়। আপনার Configure, তারপর Device, তারপর Access Point-এর অধীনে Security ট্যাবটি নির্বাচন করে VLAN মনিটরিং কনফিগার করা উচিত। SSID VLAN Monitoring সক্ষম করুন যাতে AP-গুলি অননুমোদিত কার্যকলাপের জন্য তাদের নির্ধারিত VLAN-গুলি সক্রিয়ভাবে পর্যবেক্ষণ করে।
এখন, এড়ানোর জন্য কয়েকটি ইমপ্লিমেন্টেশন ত্রুটি। প্রথমত, DHCP পুল নিঃশেষ হওয়া। রিটেইল স্টোর বা স্টেডিয়ামের মতো উচ্চ-ফুটফল পরিবেশে, ডিভাইসগুলি সংক্ষিপ্ত সময়ের জন্য সংযুক্ত হয় এবং চলে যায়। আপনার আইডল টাইমআউট খুব বেশি সেট করা থাকলে, সেই সেশনগুলি সক্রিয় থাকে এবং IP অ্যাড্রেসগুলি ধরে রাখে। রিটেইলের জন্য CV-CUE-তে আইডল টাইমআউট ১০ মিনিট এবং ইভেন্ট ভেন্যুগুলির জন্য ৫ মিনিট পর্যন্ত কম সেট করুন। এটি আগ্রাসীভাবে IP-গুলি পুনরুদ্ধার করে এবং পুলটি নিঃশেষ হওয়া প্রতিরোধ করে।
দ্বিতীয়ত, MAC অ্যাড্রেস র্যান্ডমাইজেশন। iOS 14 এবং Android 10 থেকে, ডিভাইসগুলি ডিফল্টরূপে প্রতি SSID-তে তাদের MAC অ্যাড্রেস র্যান্ডমাইজ করে। এটি এমন যে কোনও আর্কিটেকচারকে ভেঙে দেয় যা ফিরে আসা অতিথিদের সনাক্ত করতে MAC অ্যাড্রেসের উপর নির্ভর করে। সঠিক প্রতিক্রিয়া হলো আপনার আইডেন্টিটি মডেলটিকে অথেন্টিকেটেড ক্রেডেনশিয়ালে স্থানান্তরিত করা, যেমন Purple পোর্টালের মাধ্যমে নেওয়া ইমেল অ্যাড্রেস বা সোশ্যাল লগইন। পোর্টাল ছাড়াই নির্বিঘ্ন পুনর্সংযোগের জন্য, দীর্ঘমেয়াদী মাইগ্রেশন পাথ হলো Passpoint, যা Hotspot 2.0 নামেও পরিচিত, যা সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন ব্যবহার করে এবং Captive Portal সম্পূর্ণরূপে দূর করে।তৃতীয়ত, HTTPS রিডাইরেকশন। CV-CUE-তে Captive Portal কনফিগার করার সময়, HTTPS Redirection চেকবক্সটি খালি রাখা নিশ্চিত করুন। Purple স্বাধীনভাবে HTTPS সেশন পরিচালনা করে। Arista সাইডে HTTPS রিডাইরেকশন সক্ষম করলে সার্টিফিকেট অমিল সংক্রান্ত ত্রুটি হতে পারে যা পোর্টাল লোড হতে বাধা দেয়।
আসুন সাধারণ পরিস্থিতিগুলির উপর একটি দ্রুত প্রশ্নোত্তর পর্ব শুরু করা যাক।
প্রশ্ন: একজন গেস্টের পোর্টাল পেজে একটি ফাঁকা স্ক্রিন দেখাচ্ছে। আপনি প্রথমে কোথায় পরীক্ষা করবেন? উত্তর: Walled Garden। একটি অনুপস্থিত ডোমেইন প্রায় সব সময়ই এর কারণ হয়ে থাকে। CV-CUE-তে সব Purple ডোমেইন এবং প্রাসঙ্গিক আইডেন্টিটি প্রোভাইডার CDN ডোমেইনগুলি হোয়াইটলিস্ট করা আছে কিনা তা পরীক্ষা করুন।
প্রশ্ন: PPSK ব্যবহারকারীরা সবাই ডিফল্ট VLAN-এ চলে যাচ্ছেন। সমস্যাটি কী? উত্তর: Purple RADIUS সার্ভার Tunnel-Private-Group-ID অ্যাট্রিবিউট ফেরত দিচ্ছে না। CV-CUE ট্রাবলশুটিং লগে RADIUS রেসপন্স পরীক্ষা করুন এবং Purple পোর্টালে VLAN ম্যাপিং যাচাই করুন।
প্রশ্ন: Purple-এ RADIUS অ্যাকাউন্ট্রিং ডেটা শূন্য সেকেন্ডের সেশন দেখাচ্ছে। সমস্যাটি কী? উত্তর: অ্যাকাউন্ট্রিং পোর্টটি সম্ভবত ভুলভাবে কনফিগার করা হয়েছে বা ব্লক করা হয়েছে। Arista AP এবং Purple RADIUS সার্ভারগুলির মধ্যে ফায়ারওয়ালে পোর্ট ১৮১৩ খোলা আছে কিনা এবং SSID সেটিংসে অ্যাকাউন্ট্রিং ইন্টারভাল ২ মিনিটে সেট করা আছে কিনা তা যাচাই করুন।
এই ব্রিফিংয়ের মূল বিষয়গুলি সংক্ষেপে বলতে গেলে। এক: Walled Garden হলো একটি সুনির্দিষ্ট অনুমতি তালিকা। এটিকে একটি পুনরাবৃত্তিমূলক অপারেশনাল কাজ হিসাবে বজায় রাখুন, একবারের সেটআপ হিসাবে নয়। দুই: RADIUS Change of Authorization হলো এমন একটি মেকানিজম যা অ্যাক্সেস প্রদান করে। এটি ছাড়া, পোর্টালটি সম্পন্ন হলেও গেস্ট ব্লকড থাকবে। তিন: Purple RADIUS-এর সাথে Arista PPSK একটি একক SSID-এ মাল্টি-টেন্যান্ট আইসোলেশনের জন্য ডায়নামিক VLAN স্টিয়ারিং সক্ষম করে, যা বিকন ওভারহেড দূর করে। চার: ল্যাটারাল মুভমেন্ট প্রতিরোধ করতে গেস্ট SSID-এ সর্বদা ক্লায়েন্ট আইসোলেশন সক্ষম করুন। পাঁচ: সঠিক অ্যানালিটিক্স-এর জন্য MAC অ্যাড্রেস র্যান্ডমাইজেশনের ক্ষেত্রে আইডেন্টিটি-ভিত্তিক প্রমাণীকরণে রূপান্তর প্রয়োজন। ছয়: সঠিক ইন্টিগ্রেশন GDPR সম্মতির প্রয়োজনীয়তা পূরণ করে এবং ফার্স্ট-পার্টি ডেটা সংগ্রহ করে যা সরাসরি মার্কেটিং ROI বাড়ায়।
আপনার পরবর্তী পদক্ষেপগুলি: Purple পোর্টাল হার্ডওয়্যার কনফিগারেশন পেজ থেকে Purple RADIUS সার্ভারের IP অ্যাড্রেস এবং শেয়ার্ড সিক্রেটগুলি সংগ্রহ করুন। CV-CUE-তে RADIUS প্রোফাইলগুলি কনফিগার করুন। আপনার Walled Garden ডোমেইন তালিকা তৈরি করুন। আপনার গেস্ট SSID ডেপ্লয় করুন। প্রোডাকশনে রোল আউট করার আগে একটি মোবাইল ডিভাইস থেকে সম্পূর্ণ প্রমাণীকরণ ফ্লো পরীক্ষা করুন। এবং আপনি যদি মাল্টি-টেন্যান্ট এনভায়রনমেন্ট ডেপ্লয় করেন, তাহলে PPSK পাসফ্রেজগুলি কনফিগার করার আগে Purple-এ আপনার টেন্যান্ট VLAN IDগুলি ম্যাপ করুন।
এর মাধ্যমেই এই প্রযুক্তিগত ব্রিফিংটি শেষ হচ্ছে। শোনার জন্য আপনাকে ধন্যবাদ।
