মূল কন্টেন্টে যান
বাংলা

Aruba ClearPass এবং Purple WiFi: ইন্টিগ্রেশন এবং ডিপ্লয়মেন্ট গাইড

এই গাইডটি HPE Aruba ClearPass Policy Manager-কে Purple WiFi প্ল্যাটফর্মের সাথে ইন্টিগ্রেট করার জন্য একটি সম্পূর্ণ টেকনিক্যাল রেফারেন্স প্রদান করে, যেখানে RADIUS প্রক্সি আর্কিটেকচার, Captive Portal কনফিগারেশন এবং ডায়নামিক VLAN রোল ম্যাপিং কভার করা হয়েছে। এটি Aruba-নির্ভর পরিবেশের IT ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য ডিজাইন করা হয়েছে যাদের NAC-এর জন্য ClearPass বজায় রাখার পাশাপাশি গেস্ট প্রমাণীকরণ এবং অ্যানালিটিক্সের জন্য Purple ডিপ্লয় করতে হবে। এই ইন্টিগ্রেশন বাস্তবায়ন করা একটি গুরুত্বপূর্ণ ভেন্ডর গ্যাপ পূরণ করে, যা Purple-এর মার্কেট-লিডিং ভিজিটর ইন্টেলিজেন্স সক্ষমতার পাশাপাশি এন্টারপ্রাইজ-গ্রেড সিকিউরিটি এবং কমপ্লায়েন্স সক্ষম করে।

📖 9 মিনিট পাঠ📝 2,154 শব্দ🔧 2 সমাধানকৃত উদাহরণ4 অনুশীলনী প্রশ্ন📚 9 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
HPE Aruba ClearPass-কে Purple WiFi প্ল্যাটফর্মের সাথে ইন্টিগ্রেট করার এই টেকনিক্যাল ব্রিফিংয়ে আপনাকে স্বাগতম। আমি আপনাদের হোস্ট, এবং আজ আমরা ClearPass Policy Manager-এর শক্তিশালী নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের সাথে Purple-এর ইন্ডাস্ট্রি-লিডিং গেস্ট WiFi এবং অ্যানালিটিক্স সক্ষমতাগুলিকে একত্রিত করার আর্কিটেকচার, ডিপ্লয়মেন্ট কৌশল এবং অপারেশনাল সুবিধাগুলি নিয়ে গভীরভাবে আলোচনা করব। IT ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং বড় আকারের ভেন্যু পরিচালনাকারী CTO-দের জন্য — তা সে একটি বিস্তৃত রিটেইল চেইন, একটি হাই-ডেনসিটি স্টেডিয়াম, বা একটি জটিল হেলথকেয়ার ক্যাম্পাস যাই হোক না কেন — সুরক্ষিত, সেগমেন্টেড এবং ইনসাইটফুল ওয়্যারলেস অ্যাক্সেস প্রদান করা সর্বাগ্রে গুরুত্বপূর্ণ। ClearPass কর্পোরেট ডিভাইসগুলির জন্য কনটেক্সট-অ্যাওয়ার পলিসি এনফোর্সমেন্ট এবং 802.1X প্রমাণীকরণে অসাধারণ। তবে, যখন গেস্ট অনবোর্ডিং, Captive Portal এবং ভিজিটর ডেটা থেকে অ্যাকশনেবল মার্কেটিং অ্যানালিটিক্স বের করার কথা আসে, তখন Purple হলো অবিসংবাদিত লিডার। আজ আমরা যে মূল প্রশ্নটির উত্তর দিচ্ছি তা হলো: NAC এবং ডায়নামিক রোল-ভিত্তিক VLAN অ্যাসাইনমেন্টের জন্য ClearPass বজায় রেখে Captive Portal হিসেবে Purple ব্যবহার করার জন্য আপনি কীভাবে ClearPass কনফিগার করবেন? চলুন শুরু করা যাক। প্রথমে, আসুন আর্কিটেকচারটি প্রতিষ্ঠা করি। উচ্চ স্তরে, ইন্টিগ্রেশনটি স্ট্যান্ডার্ড RADIUS প্রোটোকল এবং HTTP রিডাইরেক্ট মেকানিজমের উপর নির্ভর করে। আপনার Aruba Mobility Controller বা Instant Access Point-গুলি গেস্ট SSID ব্রডকাস্ট করে। যখন একটি প্রমাণীকরণহীন ডিভাইস কানেক্ট হয়, তখন কন্ট্রোলার HTTP ট্রাফিক ইন্টারসেপ্ট করে এবং ব্যবহারকারীর ব্রাউজারকে Purple Captive Portal-এ রিডাইরেক্ট করে। এই রিডাইরেক্টটি হলো প্রথম গুরুত্বপূর্ণ অংশ যা সঠিকভাবে করতে হবে। এখন, ব্যবহারকারী Purple-এর মাধ্যমে প্রমাণীকরণ করে। এটি Facebook বা Google-এর মাধ্যমে একটি সোশ্যাল লগইন, একটি কাস্টম ইমেইল এবং পাসওয়ার্ড ফর্ম, বা এমনকি OpenRoaming হতে পারে, যেখানে Purple Connect লাইসেন্সের অধীনে একটি ফ্রি আইডেন্টিটি প্রোভাইডার হিসেবে কাজ করে। একবার Purple ব্যবহারকারীকে যাচাই করার পরে, এটি চেইনের মাধ্যমে কন্ট্রোলারে একটি RADIUS Access-Accept মেসেজ ফেরত পাঠায়, যা তারপর নেটওয়ার্ক অ্যাক্সেস প্রদান করে। কিন্তু এখানেই ClearPass অপরিহার্য হয়ে ওঠে। Aruba কন্ট্রোলার সরাসরি Purple-এর RADIUS সার্ভারের সাথে কথা বলার পরিবর্তে, আপনি মাঝখানে একটি RADIUS প্রক্সি হিসেবে ClearPass-কে ইনসার্ট করেন। কন্ট্রোলার সমস্ত RADIUS রিকোয়েস্ট ClearPass-এ পাঠায়। ClearPass রিকোয়েস্টটি মূল্যায়ন করে এবং, যদি এটি আপনার গেস্ট সার্ভিস রাউটিং পলিসির সাথে ম্যাচ করে, তবে এটি Purple-এর ক্লাউড RADIUS সার্ভারগুলিতে ফরোয়ার্ড করে। Purple রেসপন্স করে, এবং ClearPass সেই রেসপন্সটি কন্ট্রোলারে ফেরত পাঠায়, কিন্তু গুরুত্বপূর্ণভাবে, এটি করার আগে এটি তার নিজস্ব পলিসি অ্যাট্রিবিউটগুলি যুক্ত করতে পারে। এই প্রক্সি আর্কিটেকচার আপনাকে উভয় জগতের সেরাটি দেয়। ClearPass আপনার নেটওয়ার্কে প্রতিটি প্রমাণীকরণ ইভেন্টের একটি সম্পূর্ণ অডিট লগ বজায় রাখে, কর্পোরেট এবং গেস্ট উভয়ই। আপনি সিকিউরিটি অপারেশনের জন্য একটি সিঙ্গেল প্যান অফ গ্লাস পান। এবং Purple আপনার বিদ্যমান NAC বিনিয়োগ প্রতিস্থাপনের প্রয়োজন ছাড়াই ব্যবহারকারী-মুখী অভিজ্ঞতা এবং অ্যানালিটিক্স পরিচালনা করে। আসুন ডায়নামিক VLAN অ্যাসাইনমেন্ট নিয়ে কথা বলি, কারণ এখানেই জিনিসগুলি সত্যিই শক্তিশালী হয়ে ওঠে — এবং এখানেই বেশিরভাগ ডিপ্লয়মেন্ট সমস্যায় পড়ে যদি তারা সতর্ক না হয়। ClearPass রোল এবং এনফোর্সমেন্ট প্রোফাইল নামক একটি কনসেপ্ট ব্যবহার করে। যখন একটি প্রমাণীকরণের অনুরোধ আসে, তখন ClearPass কনটেক্সট মূল্যায়ন করে: ব্যবহারকারী কে, তারা কোন ডিভাইসে আছে, সময় কত, তারা কোন অবস্থান থেকে কানেক্ট করছে? এই বিষয়গুলির উপর ভিত্তি করে, এটি একটি রোল অ্যাসাইন করে। একজন স্ট্যান্ডার্ড গেস্টের জন্য, এটি ROLE_GUEST হতে পারে। একজন VIP-এর জন্য, এটি ROLE_VIP হতে পারে। একজন কন্ট্রাক্টরের জন্য, ROLE_CONTRACTOR। এই রোলটি তারপর একটি এনফোর্সমেন্ট প্রোফাইলে ম্যাপ করা হয়, যা Aruba কন্ট্রোলারে রিটার্ন করার জন্য নির্দিষ্ট RADIUS অ্যাট্রিবিউটগুলিকে সংজ্ঞায়িত করে। এখানকার সবচেয়ে গুরুত্বপূর্ণ অ্যাট্রিবিউট হলো Aruba-User-Role ভেন্ডর-স্পেসিফিক অ্যাট্রিবিউট, বা VSA। এটি কন্ট্রোলারকে বলে দেয় যে ওয়্যারলেস সাইডে ব্যবহারকারীকে ঠিক কোন রোলে রাখতে হবে। Aruba কন্ট্রোলারে, প্রতিটি রোল একটি নির্দিষ্ট VLAN এবং এক সেট ফায়ারওয়াল পলিসিতে ম্যাপ করে। তাই ROLE_GUEST VLAN 20-তে ম্যাপ করে, যেখানে শুধুমাত্র ইন্টারনেট অ্যাক্সেস এবং 10 মেগাবিট প্রতি সেকেন্ড ব্যান্ডউইথ লিমিট রয়েছে। ROLE_VIP VLAN 40-তে ম্যাপ করে, যেখানে 50 মেগাবিট লিমিট রয়েছে। ROLE_IOT VLAN 30-তে ম্যাপ করে, যা ইন্টারনেট অ্যাক্সেস ছাড়াই একটি সম্পূর্ণ আইসোলেটেড সেগমেন্ট, শুধুমাত্র স্মার্ট ডিভাইসগুলির জন্য লোকাল কানেক্টিভিটি। এই সেগমেন্টেশনটি কেবল একটি ভালো প্র্যাকটিস নয় — এটি একটি কমপ্লায়েন্স প্রয়োজনীয়তা। PCI DSS-এর অধীনে, কার্ডহোল্ডার ডেটা স্পর্শ করে এমন যেকোনো নেটওয়ার্ককে গেস্ট নেটওয়ার্ক থেকে আইসোলেট করতে হবে। GDPR-এর অধীনে, আপনাকে অবশ্যই প্রমাণ করতে সক্ষম হতে হবে যে গেস্ট পোর্টালের মাধ্যমে সংগৃহীত ব্যক্তিগত ডেটা যথাযথভাবে পরিচালনা করা হয় এবং গেস্ট ট্রাফিক আপনার কর্পোরেট ইনফ্রাস্ট্রাকচার অতিক্রম করতে পারে না। এখন, আমি আপনাকে একটি বাস্তব-জগতের দৃশ্যকল্পের মধ্য দিয়ে নিয়ে যাচ্ছি। একাধিক প্রপার্টি জুড়ে ৫০০টি রুম সহ একটি বড় হোটেল চেইন। প্রতিটি সাইটে তাদের Aruba কন্ট্রোলার রয়েছে, ClearPass কেন্দ্রীয়ভাবে ডিপ্লয় করা হয়েছে, এবং তারা গেস্ট WiFi-এর জন্য Purple রোল আউট করতে চায়। ডিপ্লয়মেন্টটি দেখতে এরকম। প্রতি সাইটে দুটি SSID: Hotel_Corp এবং Hotel_Guest। Hotel_Corp সার্টিফিকেট সহ 802.1X ব্যবহার করে, যা ClearPass-এর মাধ্যমে অ্যাক্টিভ ডিরেক্টরির বিপরীতে প্রমাণীকৃত। Hotel_Guest হলো একটি ওপেন SSID যা Purple Captive Portal ট্রিগার করে। ClearPass-এ, তারা দুটি সার্ভিস তৈরি করে। সার্ভিস ওয়ান Hotel_Corp-এর সাথে ম্যাচ করে এবং স্থানীয়ভাবে 802.1X প্রমাণীকরণ পরিচালনা করে। সার্ভিস টু Hotel_Guest-এর সাথে ম্যাচ করে এবং Purple-এ রিকোয়েস্ট প্রক্সি করতে একটি RADIUS রাউটিং পলিসি ব্যবহার করে। সার্ভিস টু-এর এনফোর্সমেন্ট পলিসি guest-authenticated-এর Aruba-User-Role রিটার্ন করে, যা কন্ট্রোলারে VLAN 20-তে ম্যাপ করে। IoT ডিভাইসগুলির জন্য — স্মার্ট টিভি, থার্মোস্ট্যাট, ডোর লক — তারা MAC-ভিত্তিক প্রমাণীকরণ সহ একটি তৃতীয় SSID, Hotel_IoT ব্যবহার করে। ClearPass এর OUI ব্যবহার করে ডিভাইসটিকে প্রোফাইল করে এবং ROLE_IOT অ্যাসাইন করে, এটিকে VLAN 30-তে ড্রপ করে। ফলাফল? স্টাফরা সম্পূর্ণ কর্পোরেট অ্যাক্সেস পায়। গেস্টরা সোশ্যাল লগইন এবং মার্কেটিং অপ্ট-ইন সহ একটি ব্র্যান্ডেড, এনগেজিং পোর্টাল অভিজ্ঞতা পায়। IoT ডিভাইসগুলি আইসোলেটেড থাকে। এবং IT টিমের ClearPass-এর Access Tracker-এ তিনটি ব্যবহারকারীর ধরন জুড়েই সম্পূর্ণ ভিজিবিলিটি থাকে। এখন আসুন পিটফলগুলি নিয়ে কথা বলি, কারণ এমন বেশ কয়েকটি রয়েছে যা আপনি প্রস্তুত না থাকলে আপনাকে সমস্যায় ফেলবে। এক নম্বর: ওয়াল্ড গার্ডেন। এটি Captive Portal ব্যর্থতার সবচেয়ে সাধারণ উৎস। একটি ডিভাইস প্রমাণীকৃত হওয়ার আগে, Aruba কন্ট্রোলার শুধুমাত্র গন্তব্যগুলির একটি পূর্ব-নির্ধারিত তালিকায় ট্রাফিকের অনুমতি দেয় — ওয়াল্ড গার্ডেন। যদি Purple-এর পোর্টাল URL, এর ব্যাকএন্ড API এন্ডপয়েন্ট এবং সোশ্যাল লগইন প্রোভাইডার ডোমেইনগুলি সেই তালিকায় না থাকে, তবে পোর্টালটি লোড হবে না। আপনাকে সক্রিয়ভাবে এই তালিকাটি বজায় রাখতে হবে। Facebook এবং Google-এর মতো সোশ্যাল লগইন প্রোভাইডাররা নিয়মিত তাদের IP রেঞ্জ এবং CDN ডোমেইন পরিবর্তন করে। ওয়াল্ড গার্ডেনকে একটি জীবন্ত কনফিগারেশন হিসেবে বিবেচনা করুন। দুই নম্বর: RADIUS টাইমআউট। বেশিরভাগ Aruba কন্ট্রোলারে ডিফল্ট RADIUS টাইমআউট হলো তিন সেকেন্ড। একটি প্রক্সি আর্কিটেকচারে, রিকোয়েস্টটি AP থেকে কন্ট্রোলারে, ClearPass-এ, ইন্টারনেট জুড়ে Purple-এর ক্লাউড RADIUS-এ যায় এবং ফিরে আসে। একটি কনজেস্টেড নেটওয়ার্কে, সেই রাউন্ড ট্রিপ সহজেই তিন সেকেন্ড অতিক্রম করতে পারে। আপনার টাইমআউট কমপক্ষে দশ সেকেন্ডে বাড়ান এবং রিট্রাই লজিক কনফিগার করুন। তিন নম্বর: শেয়ার্ড সিক্রেট অমিল। এটি সাইলেন্ট ফেইলিওর ঘটায় যা ডায়াগনস করা কুখ্যাতভাবে কঠিন। Aruba কন্ট্রোলার এবং ClearPass-এর মধ্যে শেয়ার্ড সিক্রেট অবশ্যই হুবহু মিলতে হবে। ClearPass এবং Purple-এর RADIUS সার্ভারগুলির মধ্যে শেয়ার্ড সিক্রেটও হুবহু মিলতে হবে। একটি মাত্র অক্ষরের পার্থক্য এন্ড ইউজারের কাছে কোনো অর্থপূর্ণ এরর মেসেজ ছাড়াই প্রমাণীকরণ ব্যর্থ হওয়ার কারণ হবে। সর্বদা এগুলি দুবার চেক করুন। চার নম্বর: রোল নামের কেস সেনসিটিভিটি। ClearPass দ্বারা রিটার্ন করা Aruba-User-Role VSA অবশ্যই Aruba কন্ট্রোলারে সংজ্ঞায়িত রোল নামের সাথে হুবহু মিলতে হবে — ক্যাপিটালাইজেশন সহ। যদি ClearPass guest-authenticated রিটার্ন করে কিন্তু কন্ট্রোলারে Guest-Authenticated সংজ্ঞায়িত করা থাকে, তবে ব্যবহারকারী ডিফল্ট রোলে ফিরে যাবে, যা সাধারণত ইন্টারনেট অ্যাক্সেস ছাড়াই লগন রোল। পাঁচ নম্বর: RADIUS অ্যাকাউন্টিং। অনেক ডিপ্লয়মেন্ট প্রমাণীকরণ প্রক্সি করা সঠিকভাবে কনফিগার করে কিন্তু অ্যাকাউন্টিংও প্রক্সি করতে ভুলে যায়। Purple সেশনের সময়কাল, ডেটা ব্যবহার ট্র্যাক করতে এবং এর অ্যানালিটিক্স ড্যাশবোর্ডগুলি পপুলেট করতে RADIUS অ্যাকাউন্টিং ডেটা ব্যবহার করে। যদি অ্যাকাউন্টিং Purple-এ প্রবাহিত না হয়, তবে আপনার অ্যানালিটিক্স অসম্পূর্ণ হবে। আসুন র‍্যাপিড-ফায়ার প্রশ্ন সেকশনে চলে যাই। আমি কি এমপ্লয়ি এবং গেস্ট উভয়ের জন্য একটি একক SSID ব্যবহার করতে পারি? হ্যাঁ, আপনি পারেন। একই SSID-তে 802.1X এবং MAC-Auth উভয়ই পরিচালনা করতে ClearPass কনফিগার করুন। ট্রাফিকের ধরন আলাদা করতে এবং সেই অনুযায়ী রাউট করতে Service Rules ব্যবহার করুন। এটি পরিচালনা করা আরও জটিল কিন্তু SSID প্রলিফারেশন কমায়। Purple কি Change of Authorization সমর্থন করে? হ্যাঁ। CoA কন্ট্রোলারকে ব্যবহারকারীকে রিকানেক্ট করার প্রয়োজন ছাড়াই ডায়নামিকভাবে একটি ব্যবহারকারীর সেশন আপডেট করার অনুমতি দেয়। এটি সময়-সীমিত অ্যাক্সেস বা টিয়ার আপগ্রেডের জন্য দরকারী। আমি কি একটি সম্পূর্ণ Mobility Controller-এর পরিবর্তে Aruba Instant-এর সাথে এই ইন্টিগ্রেশনটি ব্যবহার করতে পারি? হ্যাঁ, Aruba Instant এক্সটার্নাল RADIUS সার্ভার এবং Captive Portal রিডাইরেক্ট সমর্থন করে। কনফিগারেশনটি কিছুটা আলাদা তবে নীতিগুলি অভিন্ন। এই ইন্টিগ্রেশন কি WPA3-এর সাথে কাজ করে? হ্যাঁ। ব্যক্তিগত নেটওয়ার্কের জন্য WPA3-SAE এবং 802.1X-এর জন্য WPA3-Enterprise উভয়ই সমর্থিত। Captive Portal ব্যবহার করা গেস্ট নেটওয়ার্কগুলির জন্য, WPA3-SAE বা Opportunistic Wireless Encryption সহ একটি ওপেন SSID হলো সাধারণ পছন্দ। আজকের ব্রিফিংয়ের সারসংক্ষেপ করতে। ClearPass এবং Purple ইন্টিগ্রেশন হলো একটি RADIUS প্রক্সি আর্কিটেকচার। ClearPass সমস্ত নেটওয়ার্ক অ্যাক্সেসের জন্য আপনার কেন্দ্রীয় পলিসি সিদ্ধান্তের পয়েন্ট হিসেবে রয়ে গেছে। Purple গেস্ট-মুখী অভিজ্ঞতা এবং অ্যানালিটিক্স পরিচালনা করে। Aruba কন্ট্রোলার ডায়নামিক VLAN অ্যাসাইনমেন্টের মাধ্যমে ফলস্বরূপ পলিসিগুলি প্রয়োগ করে। তিনটি সবচেয়ে গুরুত্বপূর্ণ কনফিগারেশন উপাদান হলো ওয়াল্ড গার্ডেন, RADIUS টাইমআউট এবং রোল নামের সামঞ্জস্য। এগুলি সঠিকভাবে করুন, এবং আপনার কাছে একটি শক্তিশালী, কমপ্লায়েন্ট এবং বাণিজ্যিকভাবে মূল্যবান গেস্ট WiFi ডিপ্লয়মেন্ট থাকবে। শোনার জন্য ধন্যবাদ। আপনি যদি এটি আরও অন্বেষণ করতে চান, তবে আপনার নির্দিষ্ট ডিপ্লয়মেন্ট সম্পর্কে একজন সলিউশন আর্কিটেক্টের সাথে কথা বলতে purple.ai-তে যান।

header_image.png

এক্সিকিউটিভ সামারি

যেসব এন্টারপ্রাইজ পরিবেশে HPE Aruba ইনফ্রাস্ট্রাকচারে প্রচুর বিনিয়োগ করা হয়েছে, সেখানে একটি নিরবচ্ছিন্ন, ডেটা-সমৃদ্ধ গেস্ট WiFi অভিজ্ঞতা প্রদানের পাশাপাশি জটিল নেটওয়ার্ক অ্যাক্সেস পলিসি পরিচালনা করা একটি উল্লেখযোগ্য আর্কিটেকচারাল চ্যালেঞ্জ তৈরি করে। যদিও ClearPass Policy Manager কর্পোরেট ডিভাইসগুলির জন্য Network Access Control (NAC) এবং IEEE 802.1X প্রমাণীকরণে পারদর্শী, ভেন্যু অপারেটরদের ক্রমবর্ধমানভাবে Purple WiFi দ্বারা প্রদত্ত উন্নত Captive Portal, অ্যানালিটিক্স এবং মার্কেটিং সক্ষমতাগুলির প্রয়োজন হয়。

এই গাইডটি একটি RADIUS প্রক্সি মডেল ব্যবহার করে Purple WiFi-এর সাথে Aruba ClearPass-কে ইন্টিগ্রেট করার আর্কিটেকচার এবং ডিপ্লয়মেন্ট কৌশল বিস্তারিতভাবে বর্ণনা করে। Purple-এর RADIUS-as-a-Service-এ গেস্ট প্রমাণীকরণের অনুরোধগুলি প্রক্সি করার জন্য ClearPass কনফিগার করার মাধ্যমে, সংস্থাগুলি কেন্দ্রীভূত নিরাপত্তা পলিসি বজায় রাখতে পারে, ডায়নামিক রোল-ভিত্তিক VLAN অ্যাসাইনমেন্ট প্রয়োগ করতে পারে এবং একই সাথে Purple-এর শক্তিশালী ভিজিটর ইনসাইট প্ল্যাটফর্মের সুবিধা নিতে পারে। এই ইন্টিগ্রেশনটি Retail , Hospitality , Healthcare , এবং Transport হাবগুলিতে বড় আকারের ডিপ্লয়মেন্টের জন্য অত্যন্ত গুরুত্বপূর্ণ, যেখানে কমপ্লায়েন্স, নিরাপত্তা এবং কাস্টমার এনগেজমেন্ট কোনো আপস ছাড়াই একসাথে থাকা আবশ্যক। এর ফলাফল হলো এমন একটি ডিপ্লয়মেন্ট যেখানে ClearPass সিদ্ধান্ত নেয়, Purple এনগেজ করে এবং Aruba প্রয়োগ করে।

টেকনিক্যাল ডিপ-ডাইভ

আর্কিটেকচার ওভারভিউ

এই ইন্টিগ্রেশনটি RFC 2865 (RADIUS) এবং RFC 5176 (Dynamic Authorisation Extensions) দ্বারা সমর্থিত একটি স্ট্যান্ডার্ড RADIUS প্রক্সি আর্কিটেকচারের উপর নির্ভর করে। Aruba Mobility Controller বা Instant AP ক্লাস্টারকে সমস্ত SSID-এর জন্য এর প্রাথমিক RADIUS সার্ভার হিসেবে ClearPass ব্যবহার করার জন্য কনফিগার করা হয়। ClearPass অ্যাক্টিভ ডিরেক্টরি বা একটি অভ্যন্তরীণ সার্টিফিকেট অথরিটির বিপরীতে স্থানীয়ভাবে কর্পোরেট 802.1X প্রমাণীকরণ পরিচালনা করে, তবে Purple-এর ক্লাউড RADIUS সার্ভারগুলিতে গেস্ট প্রমাণীকরণের অনুরোধগুলি ফরোয়ার্ড করার জন্য একটি RADIUS সার্ভিস রাউটিং পলিসির সাথে কনফিগার করা হয়।

architecture_overview.png

এই আর্কিটেকচারটি কেন্দ্রীয় পলিসি সিদ্ধান্তের পয়েন্ট হিসেবে ClearPass-এ বিনিয়োগ সংরক্ষণ করে এবং গেস্ট অভিজ্ঞতার স্তরটি সম্পূর্ণভাবে Purple-এর কাছে অর্পণ করে। প্রতিটি প্রমাণীকরণ ইভেন্ট — কর্পোরেট বা গেস্ট — ClearPass-এর Access Tracker-এ লগ করা হয়, যা একটি ইউনিফাইড অডিট ট্রেইল প্রদান করে এবং PCI DSS v4.0 এবং GDPR আর্টিকেল 30 (প্রসেসিং অ্যাক্টিভিটির রেকর্ড)-এর অধীনে কমপ্লায়েন্সের প্রয়োজনীয়তা পূরণ করে।

প্রমাণীকরণ ফ্লো: ধাপে ধাপে

প্রাথমিক ডিপ্লয়মেন্ট এবং পরবর্তী ট্রাবলশুটিং উভয়ের জন্যই ইভেন্টগুলির সুনির্দিষ্ট ক্রম বোঝা অপরিহার্য। একটি গেস্ট ডিভাইসের জন্য ফ্লো নিচে দেওয়া হলো।

ধাপ অ্যাক্টর অ্যাকশন
গেস্ট ডিভাইস ওপেন গেস্ট SSID-এর সাথে যুক্ত হয়
Aruba Controller প্রি-অথেন্টিকেশন IP অ্যাসাইন করে এবং ডিভাইসটিকে লগন রোলে রাখে
গেস্ট ডিভাইস HTTP রিকোয়েস্ট পাঠায় (যেমন, http://example.com )
Aruba Controller ইন্টারসেপ্ট করে এবং Purple পোর্টাল URL-এ HTTP 302 রিডাইরেক্ট করে
গেস্ট ডিভাইস ওয়াল্ড গার্ডেনের মাধ্যমে Purple Captive Portal লোড করে
গেস্ট ইউজার প্রমাণীকরণ করে (সোশ্যাল লগইন, ফর্ম, বা OpenRoaming)
Purple প্ল্যাটফর্ম Aruba Controller-এ RADIUS Access-Request পাঠায়
Aruba Controller ClearPass-এ RADIUS রিকোয়েস্ট ফরোয়ার্ড করে
ClearPass গেস্ট সার্ভিস রুল ম্যাচ করে, Purple RADIUS-এ প্রক্সি করে
১০ Purple RADIUS Access-Accept রিটার্ন করে
১১ ClearPass Aruba VSA (User-Role) যুক্ত করে, Accept ফরোয়ার্ড করে
১২ Aruba Controller ডিভাইসটিকে পোস্ট-অথেন্টিকেশন রোলে নিয়ে যায়, গেস্ট VLAN অ্যাসাইন করে

Captive Portal ডিটেকশন মেকানিজমের আচরণ — বিশেষ করে Apple-এর Captive Network Assistant (CNA), Android-এর কানেক্টিভিটি চেক এবং Microsoft NCSI — পোর্টালটি সঠিকভাবে লোড হবে কি না তার উপর সরাসরি প্রভাব ফেলে। এই OS-স্তরের আচরণগুলির বিস্তারিত ব্যাখ্যার জন্য, Apple CNA, Android Connectivity Check, Microsoft NCSI: How Captive Portal Detection Actually Works দেখুন।

ডায়নামিক VLAN অ্যাসাইনমেন্ট এবং ClearPass রোল ম্যাপিং

নেটওয়ার্ক সেগমেন্টেশন হলো PCI DSS কমপ্লায়েন্স এবং সুদৃঢ় সিকিউরিটি আর্কিটেকচারের জন্য একটি অপরিহার্য প্রয়োজনীয়তা। ClearPass এর রোল ম্যাপিং এবং এনফোর্সমেন্ট প্রোফাইল ফ্রেমওয়ার্কের মাধ্যমে ডায়নামিক VLAN অ্যাসাইনমেন্ট সক্ষম করে।

vlan_role_mapping.png

যখন ClearPass একটি প্রমাণীকরণের অনুরোধ প্রক্রিয়া করে, তখন এটি প্রাসঙ্গিক অ্যাট্রিবিউটগুলি মূল্যায়ন করে — ব্যবহারকারীর পরিচয়, ডিভাইসের ধরন (DHCP ফিঙ্গারপ্রিন্টিং বা HTTP User-Agent-এর মাধ্যমে প্রোফাইল করা), দিনের সময় এবং সংযোগের অবস্থান — এবং একটি রোল অ্যাসাইন করে। এই রোলটি তারপর একটি এনফোর্সমেন্ট প্রোফাইলে ম্যাপ করা হয় যা Aruba কন্ট্রোলারে নির্দিষ্ট RADIUS অ্যাট্রিবিউটগুলি রিটার্ন করে, যার মধ্যে সবচেয়ে গুরুত্বপূর্ণ হলো Aruba-User-Role ভেন্ডর-স্পেসিফিক অ্যাট্রিবিউট (VSA, Vendor ID 14823, Attribute 1)।

Aruba কন্ট্রোলার প্রতিটি User-Role-কে একটি VLAN এবং এক সেট স্টেটফুল ফায়ারওয়াল পলিসিতে ম্যাপ করে। একটি বড় ভেন্যুর জন্য একটি প্রতিনিধিত্বমূলক সেগমেন্টেশন মডেল নিচে দেখানো হলো।

ইউজার টাইপ ClearPass রোল VLAN ব্যান্ডউইথ পলিসি ফায়ারওয়াল পলিসি
কর্পোরেট এমপ্লয়ি ROLE_CORP 10 100 Mbps সম্পূর্ণ ইন্টারনাল অ্যাক্সেস
স্ট্যান্ডার্ড গেস্ট ROLE_GUEST 20 10 Mbps শুধুমাত্র ইন্টারনেট
IoT ডিভাইস ROLE_IOT 30 5 Mbps শুধুমাত্র লোকাল, ইন্টারনেট নেই
VIP / প্রিমিয়াম গেস্ট ROLE_VIP 40 50 Mbps ইন্টারনেট + নির্বাচিত সার্ভিস
কন্ট্রাক্টর ROLE_CONTRACTOR 50 20 Mbps সীমিত ইন্টারনাল অ্যাক্সেস

ClearPass-এ RADIUS প্রক্সি কনফিগারেশন

ClearPass Policy Manager-এ RADIUS প্রক্সি কনফিগারেশনের জন্য তিনটি উপাদানের প্রয়োজন: একটি RADIUS প্রক্সি টার্গেট (Purple-এর RADIUS সার্ভার এন্ডপয়েন্টগুলি সংজ্ঞায়িত করে), একটি সার্ভিস রাউটিং পলিসি (কোন রিকোয়েস্টগুলি প্রক্সি করতে হবে তা সংজ্ঞায়িত করে), এবং একটি এনফোর্সমেন্ট প্রোফাইল (রিটার্ন পাথে যুক্ত করার জন্য VSA-গুলি সংজ্ঞায়িত করে)।

প্রক্সি টার্গেটটি Administration > External Servers > RADIUS Servers-এর অধীনে কনফিগার করা হয়। Purple-এর RADIUS IP অ্যাড্রেসগুলি (Hardware > RADIUS Settings-এর অধীনে Purple পোর্টাল থেকে উপলব্ধ), শেয়ার্ড সিক্রেট, এবং প্রমাণীকরণ পোর্ট (UDP 1812) ও অ্যাকাউন্টিং পোর্ট (UDP 1813) যোগ করুন。

সার্ভিসটি Configuration > Services-এর অধীনে কনফিগার করা হয়। RADIUS Proxy হিসেবে টাইপ সেট করে একটি নতুন সার্ভিস তৈরি করুন। Service Rules-এর অধীনে, গেস্ট ট্রাফিক শনাক্ত করতে Called-Station-ID (SSID নাম) বা NAS-Identifier-এর সাথে মিলে যায় এমন একটি শর্ত যোগ করুন। Authentication-এর অধীনে, উপরে তৈরি করা RADIUS প্রক্সি টার্গেটটি নির্বাচন করুন।

গুরুত্বপূর্ণভাবে, নিশ্চিত করুন যে RADIUS অ্যাকাউন্টিংও Purple-এ প্রক্সি করা হয়েছে। Purple তার WiFi Analytics প্ল্যাটফর্মে সেশনের সময়কাল, ডেটা ব্যবহার এবং রিয়েল-টাইম উপস্থিতির ডেটা পপুলেট করতে অ্যাকাউন্টিং ডেটা (Acct-Start, Acct-Interim-Update, Acct-Stop) ব্যবহার করে। অ্যাকাউন্টিং বাদ দেওয়া একটি সাধারণ ডিপ্লয়মেন্ট ত্রুটি যার ফলে অ্যানালিটিক্স ড্যাশবোর্ডগুলি অসম্পূর্ণ থেকে যায়।

ইমপ্লিমেন্টেশন গাইড

ফেজ ১: Aruba কন্ট্রোলার কনফিগারেশন

ধাপ ১ — ClearPass-কে RADIUS সার্ভার হিসেবে সংজ্ঞায়িত করুন। Configuration > Security > Authentication Servers-এ নেভিগেট করুন। ClearPass-এর প্রাইমারি এবং সেকেন্ডারি IP অ্যাড্রেস যোগ করুন। শেয়ার্ড সিক্রেট, প্রমাণীকরণ পোর্ট (1812) এবং অ্যাকাউন্টিং পোর্ট (1813) সেট করুন। Purple-এর ক্লাউড ইনফ্রাস্ট্রাকচারে প্রক্সি হপের জন্য টাইমআউট 10 সেকেন্ড এবং রিট্রাই 3-এ কনফিগার করুন।

ধাপ ২ — গেস্ট SSID কনফিগার করুন। গেস্ট অ্যাক্সেসের জন্য একটি নতুন SSID প্রোফাইল তৈরি করুন। সিকিউরিটি মোড Open বা WPA3-SAE-তে সেট করুন (GDPR কমপ্লায়েন্সের জন্য প্রস্তাবিত)। AAA প্রোফাইলের অধীনে, প্রাথমিক রোলটিকে একটি পূর্ব-নির্ধারিত লগন রোলে সেট করুন যেখানে শুধুমাত্র ওয়াল্ড গার্ডেন অ্যাক্সেস রয়েছে।

ধাপ ৩ — Captive Portal প্রোফাইল কনফিগার করুন। Purple-এর স্প্ল্যাশ পেজ URL নির্দেশ করে এমন একটি Captive Portal প্রোফাইল তৈরি করুন। এই URL-টি Purple পোর্টাল থেকে Locations > [Your Venue] > Splash Page URL-এর অধীনে পাওয়া যায়। প্রমাণীকরণের পরে মূল URL-এ রিডাইরেক্ট করার অপশনটি এনাবল করুন。

ধাপ ৪ — ওয়াল্ড গার্ডেন কনফিগার করুন। এটি অপারেশনাল দিক থেকে সবচেয়ে সংবেদনশীল ধাপ। ওয়াল্ড গার্ডেনে অবশ্যই Purple-এর পোর্টাল ডোমেইন, CDN এন্ডপয়েন্ট এবং সমস্ত সোশ্যাল লগইন প্রোভাইডার ডোমেইন অন্তর্ভুক্ত থাকতে হবে। অন্ততপক্ষে, অন্তর্ভুক্ত করুন:

  • *.purple.ai এবং *.purple-portal.com
  • *.facebook.com, *.fbcdn.net (Facebook লগইনের জন্য)
  • *.google.com, *.googleapis.com (Google লগইনের জন্য)
  • Apple-এর CNA চেক এন্ডপয়েন্ট: captive.apple.com
  • Microsoft NCSI: www.msftconnecttest.com

ধাপ ৫ — পোস্ট-অথেন্টিকেশন রোল সংজ্ঞায়িত করুন। প্রমাণীকরণের পরে ClearPass যে রোলগুলি অ্যাসাইন করবে তা তৈরি করুন (যেমন, guest-authenticated)। প্রতিটি রোল একটি VLAN এবং একটি ফায়ারওয়াল পলিসিতে ম্যাপ করে যা শুধুমাত্র ইন্টারনেট অ্যাক্সেসের অনুমতি দেয়।

ফেজ ২: ClearPass Policy Manager কনফিগারেশন

ধাপ ১ — নেটওয়ার্ক ডিভাইস হিসেবে Aruba কন্ট্রোলার যোগ করুন। Configuration > Network > Devices-এর অধীনে, প্রতিটি Aruba কন্ট্রোলারকে এর ম্যানেজমেন্ট IP, শেয়ার্ড সিক্রেট এবং ভেন্ডর (Aruba Networks) সহ যোগ করুন।

ধাপ ২ — RADIUS প্রক্সি টার্গেট হিসেবে Purple যোগ করুন। Administration > External Servers > RADIUS Servers-এর অধীনে, Purple পোর্টালে দেওয়া শেয়ার্ড সিক্রেট সহ Purple-এর RADIUS এন্ডপয়েন্টগুলি যোগ করুন।

ধাপ ৩ — গেস্ট অথেন্টিকেশন সার্ভিস তৈরি করুন। Configuration > Services-এর অধীনে, একটি নতুন সার্ভিস তৈরি করুন। সার্ভিস টাইপ RADIUS Proxy-তে সেট করুন। গেস্ট SSID-এর সাথে ম্যাচ করার জন্য Service Rules কনফিগার করুন (যেমন, Called-Station-SSID EQUALS GuestWiFi)। Authentication-এর অধীনে, Purple RADIUS প্রক্সি টার্গেট নির্বাচন করুন।

ধাপ ৪ — এনফোর্সমেন্ট প্রোফাইল তৈরি করুন। Configuration > Enforcement > Profiles-এর অধীনে, একটি RADIUS এনফোর্সমেন্ট প্রোফাইল তৈরি করুন। guest-authenticated ভ্যালু সহ Aruba-User-Role অ্যাট্রিবিউট যোগ করুন। এটি Aruba কন্ট্রোলারকে ব্যবহারকারীকে পোস্ট-অথেন্টিকেশন গেস্ট রোলে নিয়ে যাওয়ার নির্দেশ দেয়।

ধাপ ৫ — অ্যাকাউন্টিং প্রক্সি কনফিগার করুন। নিশ্চিত করুন যে সার্ভিসটি Purple-এর অ্যাকাউন্টিং সার্ভারে (UDP 1813) RADIUS অ্যাকাউন্টিং প্রক্সি করার জন্যও কনফিগার করা হয়েছে।

ফেজ ৩: Purple প্ল্যাটফর্ম কনফিগারেশন

ধাপ ১ — হার্ডওয়্যার রেজিস্টার করুন। Purple পোর্টালে, Locations > Hardware-এ নেভিগেট করুন। Aruba কন্ট্রোলারের পাবলিক IP অ্যাড্রেস বা NAS-Identifier যোগ করুন। এটি Purple-কে সঠিক ভেন্যুর সাথে প্রমাণীকরণের অনুরোধগুলিকে যুক্ত করার অনুমতি দেয়।

ধাপ ২ — স্প্ল্যাশ পেজ কনফিগার করুন। Purple-এর পোর্টাল বিল্ডার ব্যবহার করে Captive Portal অভিজ্ঞতা ডিজাইন করুন। GDPR-এর সাথে সঙ্গতি রেখে প্রমাণীকরণ পদ্ধতি, শর্তাবলী এবং মার্কেটিং অপ্ট-ইন ফিল্ডগুলি কনফিগার করুন।

ধাপ ৩ — RADIUS ক্রেডেনশিয়াল সংগ্রহ করুন। Locations > [Venue] > RADIUS Settings-এর অধীনে, RADIUS সার্ভারের IP অ্যাড্রেস, শেয়ার্ড সিক্রেট এবং পোর্টগুলি সংগ্রহ করুন। ClearPass প্রক্সি টার্গেট কনফিগারেশনে এই ভ্যালুগুলি ব্যবহার করুন।

বেস্ট প্র্যাকটিস

ওয়াল্ড গার্ডেন মেইনটেন্যান্স। ওয়াল্ড গার্ডেনকে একটি জীবন্ত কনফিগারেশন হিসেবে বিবেচনা করুন। সোশ্যাল লগইন প্রোভাইডাররা নিয়মিত তাদের CDN ডোমেইন এবং IP রেঞ্জ আপডেট করে। একটি ত্রৈমাসিক রিভিউ প্রক্রিয়া স্থাপন করুন এবং প্রধান প্রোভাইডারদের কাছ থেকে পরিবর্তন সংক্রান্ত নোটিফিকেশন সাবস্ক্রাইব করুন।

RADIUS রিডান্ডেন্সি। ফেইলওভারের জন্য ClearPass-এ Purple-এর উভয় RADIUS সার্ভার IP কনফিগার করুন। একইভাবে, প্রমাণীকরণ পাথে সিঙ্গেল পয়েন্ট অফ ফেইলিওর দূর করতে একটি সাবস্ক্রাইবার/পাবলিশার ক্লাস্টারে ClearPass ডিপ্লয় করুন।

অ্যাকাউন্টিং ইন্টিগ্রিটি। যাচাই করুন যে প্রতিটি সেশনের জন্য Purple দ্বারা RADIUS Accounting Stop রেকর্ডগুলি গ্রহণ করা হচ্ছে। অরফ্যানড সেশন (Stop ছাড়া Start) একটি নেটওয়ার্ক সমস্যা নির্দেশ করে এবং অ্যানালিটিক্স ডেটাকে বিকৃত করবে।

802.1X-এর জন্য সার্টিফিকেট ম্যানেজমেন্ট। EAP-TLS বা PEAP ব্যবহার করা কর্পোরেট SSID-গুলির জন্য, মেয়াদ শেষ হওয়ার আগেই সার্ভার সার্টিফিকেটগুলি রিনিউ করা নিশ্চিত করুন। একটি মেয়াদোত্তীর্ণ সার্টিফিকেট একই সাথে সমস্ত কর্পোরেট ডিভাইসকে লক আউট করে দেবে — যা একটি উচ্চ-প্রভাবশালী ঘটনা।

IoT ডিভাইস প্রোফাইলিং। OUI এবং DHCP ফিঙ্গারপ্রিন্টের মাধ্যমে স্বয়ংক্রিয়ভাবে IoT ডিভাইসগুলিকে শ্রেণিবদ্ধ করতে ClearPass Device Insight বা বিল্ট-ইন প্রোফাইলিং ইঞ্জিন ব্যবহার করুন। এটি ম্যানুয়াল MAC অ্যাড্রেস ম্যানেজমেন্ট ছাড়াই স্বয়ংক্রিয় VLAN অ্যাসাইনমেন্ট সক্ষম করে।

GDPR কমপ্লায়েন্স। গেস্ট প্রমাণীকরণের সময় Purple ব্যক্তিগত ডেটা (ইমেইল, নাম, সোশ্যাল প্রোফাইল) ক্যাপচার করে। নিশ্চিত করুন যে আপনার Purple স্প্ল্যাশ পেজে একটি কমপ্লায়েন্ট প্রাইভেসি নোটিশ অন্তর্ভুক্ত রয়েছে এবং Purple পোর্টালে ডেটা রিটেনশন পলিসিগুলি আপনার সংস্থার GDPR বাধ্যবাধকতার সাথে সামঞ্জস্যপূর্ণ।

ট্রাবলশুটিং এবং রিস্ক মিটিগেশন

Captive Portal প্রদর্শিত হচ্ছে না

লক্ষণ: ক্লায়েন্ট গেস্ট SSID-এর সাথে কানেক্ট হয় কিন্তু কোনো পোর্টাল প্রদর্শিত হয় না; ডিভাইসটি "Connected, no internet" দেখায়।

ডায়াগনসিস: পোর্টাল URL-এর জন্য DNS কোয়েরিগুলি রিজলভ হচ্ছে কি না এবং HTTP ট্রাফিক ইন্টারসেপ্ট করা হচ্ছে কি না তা যাচাই করতে কন্ট্রোলার আপলিঙ্কে একটি প্যাকেট ক্যাপচার ব্যবহার করুন। CNA/NCSI চেক এন্ডপয়েন্টগুলি ওয়াল্ড গার্ডেনে আছে কি না তা চেক করুন।

সমাধান: ওয়াল্ড গার্ডেনে মিসিং ডোমেইনগুলি যোগ করুন। Captive Portal প্রোফাইলটি গেস্ট SSID AAA প্রোফাইলের সাথে সঠিকভাবে যুক্ত আছে কি না তা যাচাই করুন।

সাইলেন্ট অথেন্টিকেশন ফেইলিওর

লক্ষণ: ব্যবহারকারী পোর্টাল ফর্মটি পূরণ করে, কিন্তু নেটওয়ার্ক অ্যাক্সেস ডিনাই করা হয়। ClearPass Access Tracker একটি Access-Reject দেখায়।

ডায়াগনসিস: Access Tracker এন্ট্রি খুলুন এবং প্রমাণীকরণ ব্যর্থতার কারণ পরীক্ষা করুন। সাধারণ কারণগুলি হলো RADIUS শেয়ার্ড সিক্রেট অমিল, Purple RADIUS সার্ভার আনরিচেবল, অথবা ভুল সার্ভিসের সাথে ম্যাচ করা একটি ভুল Service Rule।

সমাধান: Aruba কন্ট্রোলার-থেকে-ClearPass এবং ClearPass-থেকে-Purple উভয় লেগেই শেয়ার্ড সিক্রেট যাচাই করুন। radtest ব্যবহার করে ClearPass সার্ভার থেকে Purple RADIUS রিচেবিলিটি পরীক্ষা করুন।

ভুল VLAN অ্যাসাইনমেন্ট

লক্ষণ: গেস্ট সফলভাবে প্রমাণীকরণ করে কিন্তু কর্পোরেট সাবনেটে (VLAN 10) একটি IP অ্যাড্রেস পায়।

সমাধান: যাচাই করুন যে ClearPass এনফোর্সমেন্ট প্রোফাইলে Aruba-User-Role ভ্যালুটি Aruba কন্ট্রোলারে সংজ্ঞায়িত রোল নামের সাথে হুবহু মেলে (কেস সহ)। VSA পাঠানো হচ্ছে কি না তা নিশ্চিত করতে ClearPass Access Tracker আউটপুট অ্যাট্রিবিউটগুলি চেক করুন।

RADIUS টাইমআউট এরর

লক্ষণ: প্রমাণীকরণ মাঝে মাঝে ব্যর্থ হয়, বিশেষ করে লোডের অধীনে। Access Tracker টাইমআউট এরর দেখায়।

সমাধান: Aruba কন্ট্রোলারে RADIUS সার্ভার টাইমআউট 10 সেকেন্ডে বাড়ান। যাচাই করুন যে UDP পোর্ট 1812 এবং 1813 খোলা আছে এবং ClearPass ও Purple-এর ক্লাউড ইনফ্রাস্ট্রাকচারের মধ্যে ফায়ারওয়ালে রেট লিমিটিংয়ের অধীন নয়।

ROI এবং বিজনেস ইমপ্যাক্ট

এই ইন্টিগ্রেটেড আর্কিটেকচার ডিপ্লয় করার ফলে IT, সিকিউরিটি এবং কমার্শিয়াল ফাংশন জুড়ে পরিমাপযোগ্য রিটার্ন পাওয়া যায়। সিকিউরিটি এবং কমপ্লায়েন্সের দৃষ্টিকোণ থেকে, ClearPass-এ সমস্ত প্রমাণীকরণ ইভেন্ট কেন্দ্রীভূত করা একটি ইউনিফাইড অডিট ট্রেইল প্রদান করে যা PCI DSS এবং GDPR কমপ্লায়েন্স রিপোর্টিংকে সহজ করে। ডায়নামিক VLAN সেগমেন্টেশন কর্পোরেট ইনফ্রাস্ট্রাকচার অতিক্রমকারী গেস্ট ট্রাফিকের ঝুঁকি দূর করে, যা সরাসরি অ্যাটাক সারফেস কমিয়ে দেয়।

কমার্শিয়াল দৃষ্টিকোণ থেকে, Purple-এর Guest WiFi প্ল্যাটফর্ম গেস্ট নেটওয়ার্ককে একটি কস্ট সেন্টার থেকে ফার্স্ট-পার্টি ডেটা অ্যাসেটে রূপান্তরিত করে। প্রতিটি প্রমাণীকৃত গেস্ট সেশন অপ্ট-ইন মার্কেটিং ডেটা তৈরি করে — ইমেইল অ্যাড্রেস, ভিজিটের ফ্রিকোয়েন্সি, ডুয়েল টাইম এবং ডিভাইসের ধরন — যা সরাসরি CRM এবং মার্কেটিং অটোমেশন প্ল্যাটফর্মগুলিতে ফিড করে। বিদ্যমান Aruba ইনফ্রাস্ট্রাকচারের পাশাপাশি Purple ডিপ্লয় করা ভেন্যুগুলি ধারাবাহিকভাবে ইমেইল লিস্ট বৃদ্ধি, রিপিট ভিজিট রেট এবং ক্যাম্পেইন কনভার্শনে পরিমাপযোগ্য উন্নতির রিপোর্ট করে।

এই ইন্টিগ্রেশনটি বিদ্যমান ClearPass লাইসেন্স বা Aruba হার্ডওয়্যার প্রতিস্থাপনের প্রয়োজনীয়তাও দূর করে, যা এটিকে বিদ্যমান ইনফ্রাস্ট্রাকচার বিনিয়োগের জন্য একটি কম-ঝুঁকিপূর্ণ, উচ্চ-রিটার্ন সংযোজন করে তোলে। একাধিক সাইট পরিচালনা করা সংস্থাগুলির জন্য — একটি রিটেইল চেইন, একটি হোটেল গ্রুপ, বা একটি ইউনিভার্সিটি ক্যাম্পাস — Purple-এর সেন্ট্রালাইজড ম্যানেজমেন্ট পোর্টাল ক্রস-সাইট অ্যানালিটিক্স প্রদান করে যা শুধুমাত্র ClearPass দিতে পারে না।

যেসব পরিবেশে নেটওয়ার্ক সিকিউরিটির মতোই ফিজিক্যাল ভিজিটরদের আচরণ বোঝা গুরুত্বপূর্ণ — যেমন বড় রিটেইল ফ্লোর বা ট্রান্সপোর্ট হাব — সেখানে Purple-এর অ্যানালিটিক্স কানেক্টিভিটি মেট্রিক্সের পাশাপাশি স্পেশিয়াল ইন্টেলিজেন্স প্রদান করতে Indoor Positioning System ডেটার সাথে স্বাভাবিকভাবেই ইন্টিগ্রেট করে।

মূল সংজ্ঞাসমূহ

RADIUS প্রক্সি

একটি কনফিগারেশন যেখানে একটি RADIUS সার্ভার (ClearPass) নির্দিষ্ট ম্যাচিং মানদণ্ডের উপর ভিত্তি করে, যেমন SSID নাম বা NAS-Identifier, অন্য একটি RADIUS সার্ভারে (Purple) প্রমাণীকরণের অনুরোধগুলি ফরোয়ার্ড করে।

যখন কোনো সংস্থা গেস্ট প্রমাণীকরণের জন্য থার্ড-পার্টি ক্লাউড সার্ভিস ব্যবহার করার পাশাপাশি অভ্যন্তরীণভাবে একটি একক NAC সলিউশন বজায় রাখতে চায় তখন এটি ব্যবহৃত হয়। প্রক্সিটি ClearPass-এ সেন্ট্রাল অডিট লগ সংরক্ষণ করে এবং প্রমাণীকরণের সিদ্ধান্তটি Purple-এর কাছে অর্পণ করে।

Change of Authorization (CoA)

RFC 5176-এ সংজ্ঞায়িত একটি RADIUS এক্সটেনশন যা একটি RADIUS সার্ভারকে ক্লায়েন্টকে ডিসকানেক্ট করার প্রয়োজন ছাড়াই একটি সক্রিয় ক্লায়েন্ট সংযোগের সেশন অথরাইজেশন অ্যাট্রিবিউটগুলিকে ডায়নামিকভাবে পরিবর্তন করার অনুমতি দেয়।

Captive Portal ডিপ্লয়মেন্টের জন্য অত্যন্ত গুরুত্বপূর্ণ। ব্যবহারকারী পোর্টাল ফর্মটি পূরণ করার মুহূর্তেই CoA Purple-কে Aruba কন্ট্রোলারকে সিগন্যাল দেওয়ার অনুমতি দেয় যাতে ব্যবহারকারীকে প্রি-অথেন্টিকেশন লগন রোল থেকে পোস্ট-অথেন্টিকেশন গেস্ট রোলে স্থানান্তর করা যায়।

ওয়াল্ড গার্ডেন

Aruba কন্ট্রোলারে একটি প্রি-অথেন্টিকেশন অ্যাক্সেস কন্ট্রোল লিস্ট যা প্রমাণীকরণহীন ডিভাইসগুলিকে Captive Portal কাজ করার জন্য প্রয়োজনীয় নির্দিষ্ট IP অ্যাড্রেস এবং ডোমেইনগুলিতে পৌঁছানোর অনুমতি দেয়।

যদি ডিভাইসটি পোর্টাল URL, সোশ্যাল লগইন প্রোভাইডার এন্ডপয়েন্ট, বা OS-স্তরের Captive Portal ডিটেকশন URL-গুলিতে (Apple CNA, Microsoft NCSI) পৌঁছাতে না পারে, তবে পোর্টালটি লোড হতে ব্যর্থ হবে। এটি Captive Portal ডিপ্লয়মেন্ট ব্যর্থতার সবচেয়ে সাধারণ উৎস।

ভেন্ডর-স্পেসিফিক অ্যাট্রিবিউট (VSA)

প্রোপাইটারি নির্দেশাবলীর সাহায্যে স্ট্যান্ডার্ড RADIUS প্রোটোকলকে প্রসারিত করতে নেটওয়ার্ক ইকুইপমেন্ট ভেন্ডরদের দ্বারা সংজ্ঞায়িত কাস্টম RADIUS অ্যাট্রিবিউট (Aruba-এর জন্য Vendor ID 14823)।

Aruba-User-Role VSA (Attribute 1) হলো প্রাথমিক মেকানিজম যার মাধ্যমে ClearPass Aruba কন্ট্রোলারকে নির্দেশ দেয় যে একজন প্রমাণীকৃত ব্যবহারকারীকে কোন রোল অ্যাসাইন করতে হবে। ভ্যালুটি অবশ্যই কন্ট্রোলারে সংজ্ঞায়িত একটি রোলের সাথে হুবহু মিলতে হবে।

ডায়নামিক VLAN অ্যাসাইনমেন্ট

ব্যবহারকারী বা ডিভাইসটিকে তারা যে ফিজিক্যাল পোর্ট বা SSID-এর সাথে সংযুক্ত হয়েছে তার পরিবর্তে তাদের প্রমাণীকৃত পরিচয় বা অ্যাসাইন করা রোলের উপর ভিত্তি করে একটি নির্দিষ্ট VLAN-এ রাখার প্রক্রিয়া।

ভেন্যু অপারেটরদের একটি একক গেস্ট SSID ব্রডকাস্ট করতে সক্ষম করে এবং একই সাথে স্ট্যান্ডার্ড গেস্ট, VIP গেস্ট, IoT ডিভাইস এবং কন্ট্রাক্টরদের আলাদা, আইসোলেটেড নেটওয়ার্ক সেগমেন্টে নিরাপদে সেগমেন্ট করে — যা PCI DSS কমপ্লায়েন্সের জন্য একটি প্রয়োজনীয়তা।

এনফোর্সমেন্ট প্রোফাইল

একটি ClearPass কনফিগারেশন অবজেক্ট যা একটি ডিভাইস সফলভাবে একটি প্রমাণীকরণ সার্ভিসের সাথে ম্যাচ করলে নেটওয়ার্ক ডিভাইসে রিটার্ন করার জন্য নির্দিষ্ট RADIUS অ্যাট্রিবিউট এবং ভ্যালুগুলিকে সংজ্ঞায়িত করে।

এখানেই 'যদি গেস্ট হয়, তবে গেস্ট রোল অ্যাসাইন করো' বিজনেস লজিকটি Aruba কন্ট্রোলারে পাঠানো নির্দিষ্ট RADIUS VSA-তে অনুবাদ করা হয়। একটি ভুলভাবে কনফিগার করা এনফোর্সমেন্ট প্রোফাইল হলো ভুল VLAN অ্যাসাইনমেন্টের একটি সাধারণ কারণ।

Captive Network Assistant (CNA)

iOS, macOS, Android এবং Windows-এ বিল্ট-ইন মিনি-ব্রাউজার যা পরিচিত এন্ডপয়েন্টগুলিতে HTTP রিকোয়েস্ট করে স্বয়ংক্রিয়ভাবে একটি Captive Portal শনাক্ত করে এবং ব্যবহারকারীকে প্রমাণীকরণ করার জন্য প্রম্পট করে।

নির্দিষ্ট ডিভাইসের ধরনে পোর্টাল ডিসপ্লে সমস্যাগুলির ট্রাবলশুটিংয়ের জন্য CNA আচরণ বোঝা অপরিহার্য। CNA এন্ডপয়েন্টগুলি (captive.apple.com, www.msftconnecttest.com) অবশ্যই ওয়াল্ড গার্ডেনে থাকতে হবে।

Access Tracker

ClearPass Policy Manager-এর মধ্যে রিয়েল-টাইম ডায়াগনস্টিক টুল যা রিকোয়েস্ট অ্যাট্রিবিউট, ম্যাচ করা সার্ভিস, প্রয়োগ করা এনফোর্সমেন্ট প্রোফাইল এবং ফলাফল সহ প্রতিটি RADIUS প্রমাণীকরণ এবং অ্যাকাউন্টিং ইভেন্ট লগ করে।

প্রমাণীকরণ ব্যর্থতা বা ভুল রোল অ্যাসাইনমেন্টের ট্রাবলশুটিং করার সময় পরামর্শ করার জন্য প্রথম ডায়াগনস্টিক টুল। এটি ClearPass কী পেয়েছে, কী সিদ্ধান্ত নিয়েছে এবং নেটওয়ার্ক ডিভাইসে কী রিটার্ন করেছে তার একটি সম্পূর্ণ রেকর্ড প্রদান করে।

RADIUS-as-a-Service (RaaS)

একটি ক্লাউড-ডেলিভার্ড RADIUS প্রমাণীকরণ সার্ভিস যেখানে RADIUS সার্ভার ইনফ্রাস্ট্রাকচার অন-প্রিমিসেসের পরিবর্তে একটি থার্ড-পার্টি প্রোভাইডার দ্বারা পরিচালিত এবং হোস্ট করা হয়।

Purple-এর RADIUS-as-a-Service ভেন্যুগুলির জন্য গেস্ট প্রমাণীকরণের জন্য তাদের নিজস্ব RADIUS ইনফ্রাস্ট্রাকচার ডিপ্লয় এবং পরিচালনা করার প্রয়োজনীয়তা দূর করে, এবং এই গাইডে বর্ণিত প্রক্সি আর্কিটেকচারের মাধ্যমে ClearPass-এর মতো বিদ্যমান অন-প্রিমিসেস NAC সলিউশনগুলির সাথে ইন্টিগ্রেট করে।

সমাধানকৃত উদাহরণসমূহ

Aruba কন্ট্রোলার এবং কেন্দ্রীয়ভাবে ডিপ্লয় করা ClearPass সহ একটি ৫০০-রুমের হোটেল গ্রুপের স্টাফদের জন্য সুরক্ষিত 802.1X WiFi, গেস্টদের জন্য একটি ব্র্যান্ডেড Captive Portal এবং IoT ডিভাইসগুলির (স্মার্ট টিভি, থার্মোস্ট্যাট, ডোর লক) জন্য আইসোলেটেড কানেক্টিভিটি প্রদান করা প্রয়োজন। তাদের প্রমাণীকরণ ফ্লো কীভাবে আর্কিটেক্ট করা উচিত?

তিনটি SSID ডিপ্লয় করুন: Hotel_Corp (802.1X, WPA2-Enterprise), Hotel_Guest (Captive Portal রিডাইরেক্ট সহ ওপেন SSID), এবং Hotel_IoT (MAC-ভিত্তিক প্রমাণীকরণ সহ ওপেন SSID)। তিনটি SSID-ই RADIUS সার্ভার হিসেবে ClearPass-কে নির্দেশ করে। ClearPass-এ, তিনটি সার্ভিস তৈরি করুন: Service 1 Hotel_Corp-এর সাথে ম্যাচ করে এবং PEAP-MSCHAPv2-এর মাধ্যমে অ্যাক্টিভ ডিরেক্টরির বিপরীতে প্রমাণীকরণ করে, ROLE_CORP (VLAN 10, সম্পূর্ণ ইন্টারনাল অ্যাক্সেস) রিটার্ন করে। Service 2 Hotel_Guest-এর সাথে ম্যাচ করে এবং Purple-এর RADIUS সার্ভারগুলিতে রিকোয়েস্ট প্রক্সি করতে একটি RADIUS রাউটিং পলিসি ব্যবহার করে; এনফোর্সমেন্ট প্রোফাইল Aruba-User-Role = guest-authenticated (VLAN 20, শুধুমাত্র ইন্টারনেট, 10 Mbps) রিটার্ন করে। Service 3 Hotel_IoT-এর সাথে ম্যাচ করে এবং OUI দ্বারা ডিভাইসগুলিকে শ্রেণিবদ্ধ করতে ClearPass Device Profiling ব্যবহার করে; এনফোর্সমেন্ট প্রোফাইল ROLE_IOT (VLAN 30, শুধুমাত্র লোকাল, ইন্টারনেট নেই) রিটার্ন করে। Aruba কন্ট্রোলারের ওয়াল্ড গার্ডেনে Purple-এর পোর্টাল ডোমেইন, Facebook, Google এবং Apple-এর CNA এন্ডপয়েন্ট অন্তর্ভুক্ত থাকে।

পরীক্ষকের মন্তব্য: এই আর্কিটেকচারটি ClearPass-কে একক পলিসি সিদ্ধান্তের পয়েন্ট হিসেবে বজায় রেখে তিনটি প্রমাণীকরণ পাথকে সঠিকভাবে আলাদা করে। মূল ডিজাইনের সিদ্ধান্তটি হলো Aruba কন্ট্রোলারকে সরাসরি Purple-এর সাথে কথা বলার জন্য কনফিগার করার পরিবর্তে গেস্ট ট্রাফিকের জন্য RADIUS প্রক্সি ব্যবহার করা — এটি ClearPass-এ ইউনিফাইড অডিট ট্রেইল সংরক্ষণ করে এবং সংস্থাকে Aruba কনফিগারেশন পরিবর্তন না করেই ভবিষ্যতে গেস্ট সেশনগুলিতে অতিরিক্ত ClearPass পলিসি (যেমন, দিনের সময়ের বিধিনিষেধ) প্রয়োগ করার অনুমতি দেয়।

একটি রিটেইল চেইন ১২০টি স্টোর জুড়ে Purple রোল আউট করছে, যার সবকটিতেই Aruba Instant AP চলছে। গেস্ট প্রমাণীকরণের ল্যাটেন্সি বেশি এবং পোর্টাল ড্রপ-অফ ঘটছে। প্রাথমিক তদন্তে দেখা গেছে যে RADIUS টাইমআউট ডিফল্ট 3 সেকেন্ডে সেট করা আছে।

সমস্ত Aruba Instant AP-তে RADIUS সার্ভার টাইমআউট 10 সেকেন্ডে বাড়ান এবং 3টি রিট্রাই কনফিগার করুন। ফেইলওভার প্রদানের জন্য Instant AP কনফিগারেশনে প্রাইমারি এবং সেকেন্ডারি সার্ভার হিসেবে Purple-এর উভয় RADIUS সার্ভার IP ডিপ্লয় করুন। সমস্ত সোশ্যাল লগইন প্রোভাইডার ডোমেইন অন্তর্ভুক্ত আছে কি না তা নিশ্চিত করতে ওয়াল্ড গার্ডেন কনফিগারেশন রিভিউ করুন, কারণ অসম্পূর্ণ ওয়াল্ড গার্ডেনের কারণে পোর্টাল পেজটি ধীরে ধীরে বা আংশিকভাবে লোড হয়, যা অনুভূত ল্যাটেন্সি বাড়িয়ে দেয়। Purple যাতে সেশন ডেটা পায় তা নিশ্চিত করতে Instant AP-গুলিতে RADIUS অ্যাকাউন্টিং এনাবল করুন। সবশেষে, প্রমাণীকরণ ফর্মটি প্রদর্শিত হওয়ার আগে লোড হওয়া এক্সটার্নাল রিসোর্স কলের (ফন্ট, ইমেজ) সংখ্যা কমানোর জন্য Purple পোর্টাল ডিজাইনটি রিভিউ করুন।

পরীক্ষকের মন্তব্য: 3-সেকেন্ডের ডিফল্ট টাইমআউট প্রক্সি আর্কিটেকচারগুলিতে মাঝে মাঝে ব্যর্থতার একটি সাধারণ উৎস। রিকোয়েস্টটি AP থেকে Purple-এর ক্লাউডে যায় এবং ফিরে আসে, এবং একটি কনজেস্টেড বা হাই-ল্যাটেন্সি WAN লিঙ্কে এটি সহজেই 3 সেকেন্ড অতিক্রম করতে পারে। টাইমআউট বাড়ানো হলো তাৎক্ষণিক সমাধান, তবে মূল কারণের তদন্তে ClearPass-থেকে-Purple নেটওয়ার্ক পাথটি অপ্টিমাল কি না এবং Purple-এর RADIUS সার্ভারগুলি ভৌগোলিকভাবে ClearPass ডিপ্লয়মেন্টের কাছাকাছি কি না তাও পরীক্ষা করা উচিত।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনার ডিপ্লয়মেন্টে গেস্টদের Facebook লগইনের মাধ্যমে প্রমাণীকরণ করা প্রয়োজন। Purple পোর্টাল লোড হয়, কিন্তু ব্যবহারকারীরা যখন Facebook বোতামে ট্যাপ করে, তখন পেজটি টাইম আউট হয়ে যায় এবং একটি এরর রিটার্ন করে। কর্পোরেট 802.1X প্রমাণীকরণ সঠিকভাবে কাজ করছে। এর সবচেয়ে সম্ভাব্য কারণ কী এবং আপনি কীভাবে এটি সমাধান করবেন?

ইঙ্গিত: প্রমাণীকরণ সম্পন্ন করার আগে ডিভাইসটিকে কী অ্যাক্সেস করার অনুমতি দেওয়া হয়েছে তা বিবেচনা করুন। পোর্টাল পেজটি লোড হয়েছে, তাই পোর্টাল ডোমেইনটি ওয়াল্ড গার্ডেনে রয়েছে — কিন্তু পোর্টালটির যে রিসোর্সগুলিকে কল করতে হবে সেগুলির কী হবে?

মডেল উত্তর দেখুন

Aruba কন্ট্রোলারে ওয়াল্ড গার্ডেন কনফিগারেশনে প্রয়োজনীয় Facebook প্রমাণীকরণ ডোমেইন এবং CDN এন্ডপয়েন্টগুলি (*.facebook.com, *.fbcdn.net, *.facebook.net) অনুপস্থিত। Facebook-এর OAuth সার্ভারগুলিতে প্রি-অথেন্টিকেশন ট্রাফিক কন্ট্রোলারের ডিফল্ট-ডিনাই পলিসি দ্বারা ব্লক করা হচ্ছে। সমাধান: ওয়াল্ড গার্ডেনে মিসিং Facebook ডোমেইনগুলি যোগ করুন। যদি Google লগইনও অফার করা হয় তবে Google-এর ডোমেইনগুলি অন্তর্ভুক্ত আছে কি না তাও যাচাই করুন। কোনো অতিরিক্ত ব্লক করা ডোমেইন শনাক্ত করতে একটি টেস্ট ডিভাইস থেকে ব্রাউজার ডেভেলপার টুলস নেটওয়ার্ক ট্রেস ব্যবহার করুন।

Q2. আপনি কর্পোরেট এমপ্লয়ি (802.1X) এবং গেস্ট (Purple-এর মাধ্যমে Captive Portal) উভয়ের জন্য একটি একক SSID ('VenueWiFi') ব্যবহার করতে চান। দুটি প্রমাণীকরণের ধরনকে সঠিকভাবে আলাদা করতে এবং রাউট করতে আপনি কীভাবে ClearPass কনফিগার করবেন?

ইঙ্গিত: ClearPass সার্ভিসগুলি প্রায়োরিটি অর্ডারে ম্যাচ করা হয়। RADIUS প্রোটোকল স্তরে 802.1X এবং MAC-Auth রিকোয়েস্টগুলি কীভাবে আলাদা, এবং Service Rules কীভাবে এই পার্থক্যটিকে কাজে লাগাতে পারে তা বিবেচনা করুন।

মডেল উত্তর দেখুন

দুটি ClearPass সার্ভিস তৈরি করুন, উভয়ই SSID 'VenueWiFi'-এর সাথে ম্যাচ করে। Service 1 (উচ্চতর প্রায়োরিটি) RADIUS অ্যাট্রিবিউট 'Service-Type EQUALS Framed-User' বা EAP অ্যাট্রিবিউটের উপস্থিতির উপর ম্যাচ করা একটি Service Rule ব্যবহার করে, যা 802.1X রিকোয়েস্টগুলিকে শনাক্ত করে। এটি অ্যাক্টিভ ডিরেক্টরির বিপরীতে প্রমাণীকরণ করে এবং ROLE_CORP রিটার্ন করে। Service 2 (নিম্নতর প্রায়োরিটি) MAC-Auth রিকোয়েস্টগুলির সাথে ম্যাচ করে (Service-Type EQUALS Call-Check বা Authenticate-Only)। এটি Purple-এ রিকোয়েস্ট প্রক্সি করতে একটি RADIUS রাউটিং পলিসি ব্যবহার করে। Service 2-এর এনফোর্সমেন্ট প্রোফাইল প্রি-অথেন্টিকেশন লগন রোল রিটার্ন করে, যা Captive Portal ট্রিগার করে। যখন Purple পোস্ট-অথেন্টিকেশন RADIUS রিকোয়েস্ট পাঠায়, তখন এটি Service 2 দ্বারা ম্যাচ হয় এবং guest-authenticated রোল রিটার্ন করে।

Q3. গেস্ট প্রমাণীকরণ সফল হয়েছে — Purple ড্যাশবোর্ড ব্যবহারকারীকে সক্রিয় হিসেবে দেখায় এবং ClearPass Access Tracker একটি Access-Accept দেখায়। তবে, ব্যবহারকারী ইন্টারনেট অ্যাক্সেস করতে পারে না এবং Aruba কন্ট্রোলার দেখায় যে ব্যবহারকারী এখনও 'logon' রোলে রয়েছে। এর দুটি সবচেয়ে সম্ভাব্য কারণ কী?

ইঙ্গিত: প্রমাণীকরণ সফল হয়েছে এবং ClearPass একটি Accept পাঠিয়েছে। তাই সমস্যাটি হলো ClearPass কী ফেরত পাঠিয়েছে, বা Aruba কন্ট্রোলার এটিকে কীভাবে ব্যাখ্যা করেছে তার মধ্যে।

মডেল উত্তর দেখুন

কারণ ১: ClearPass এনফোর্সমেন্ট প্রোফাইলটি Aruba-User-Role VSA রিটার্ন করার জন্য কনফিগার করা নেই, অথবা একটি খালি ভ্যালু রিটার্ন করছে। এনফোর্সমেন্ট প্রোফাইল চেক করুন এবং যাচাই করুন যে VSA স্পষ্টভাবে সেট করা আছে। কারণ ২: ClearPass দ্বারা রিটার্ন করা Aruba-User-Role ভ্যালুটি Aruba কন্ট্রোলারে সংজ্ঞায়িত একটি রোলের সাথে হুবহু মেলে না (ক্যাপিটালাইজেশন সহ)। উদাহরণস্বরূপ, ClearPass 'guest-authenticated' রিটার্ন করে কিন্তু কন্ট্রোলারে 'Guest-Authenticated' সংজ্ঞায়িত করা আছে। সমাধান: ClearPass Access Tracker এন্ট্রি খুলুন, Output Attributes সেকশনটি প্রসারিত করুন এবং Aruba-User-Role ভ্যালু যাচাই করুন। তারপর Configuration > Roles-এর অধীনে Aruba কন্ট্রোলারে সংজ্ঞায়িত রোল নামগুলির বিপরীতে এই ভ্যালুটিকে ক্রস-রেফারেন্স করুন।

Q4. একটি স্টেডিয়াম ভেন্যু টিয়ার্ড গেস্ট WiFi অফার করতে চায়: 5 Mbps এবং বাধ্যতামূলক পোর্টাল প্রমাণীকরণ সহ একটি ফ্রি টিয়ার, এবং প্রি-রেজিস্টার করা টিকিট হোল্ডারদের জন্য 50 Mbps সহ একটি প্রিমিয়াম টিয়ার। উভয় টিয়ার একই SSID ব্যবহার করে। ClearPass এবং Purple ব্যবহার করে আপনি কীভাবে এটি আর্কিটেক্ট করবেন?

ইঙ্গিত: প্রমাণীকরণের পরে ClearPass কীভাবে দুটি ব্যবহারকারীর ধরনের মধ্যে পার্থক্য করতে পারে এবং এই পার্থক্যটি সক্ষম করতে Purple কীভাবে ClearPass-এ পরিচয়ের তথ্য পাস করতে পারে সে সম্পর্কে চিন্তা করুন।

মডেল উত্তর দেখুন

ব্যবহারকারী একজন নিবন্ধিত টিকিট হোল্ডার কি না তা নির্দেশ করে এমন একটি ইউজার অ্যাট্রিবিউট (যেমন, একটি কাস্টম RADIUS অ্যাট্রিবিউট বা Class অ্যাট্রিবিউট) পাস করার জন্য Purple কনফিগার করুন। ClearPass-এ, একটি Role Mapping Policy তৈরি করুন যা এই অ্যাট্রিবিউটটি চেক করে: যদি উপস্থিত এবং বৈধ হয়, তবে ROLE_VIP অ্যাসাইন করুন; অন্যথায় ROLE_GUEST অ্যাসাইন করুন। দুটি এনফোর্সমেন্ট প্রোফাইল তৈরি করুন: ROLE_GUEST রিটার্ন করে Aruba-User-Role = guest-standard (VLAN 20, 5 Mbps ব্যান্ডউইথ কন্ট্রাক্ট); ROLE_VIP রিটার্ন করে Aruba-User-Role = guest-premium (VLAN 40, 50 Mbps)। Aruba কন্ট্রোলারে, উপযুক্ত VLAN এবং ব্যান্ডউইথ কন্ট্রাক্ট সহ উভয় রোল সংজ্ঞায়িত করুন। এই পদ্ধতিটি ব্যবহারকারীর পরিচয়ের উপর ভিত্তি করে ডিফারেনশিয়েটেড সার্ভিস লেভেল প্রদান করার সময় একটি একক SSID এবং একক Purple পোর্টাল ব্যবহার করে।

এই সিরিজে পড়া চালিয়ে যান

Purple WiFi-এর সাথে Grandstream GWN Access Points ইন্টিগ্রেশন

এই নির্ভরযোগ্য প্রযুক্তিগত নির্দেশিকাটিতে বিস্তারিত আলোচনা করা হয়েছে কীভাবে Grandstream GWN access points-কে Purple-এর Guest WiFi এবং অ্যানালিটিক্স প্ল্যাটফর্মের সাথে ইন্টিগ্রেট করা যায়। এতে Grandstream captive portal কনফিগারেশন, RADIUS AAA সেটিংস, walled garden সেটআপ, ডাইনামিক VLAN স্টিয়ারিং সহ নিরাপদ স্টাফ 802.1X অথেনটিকেশন এবং মাল্টি-টেন্যান্ট PPSK সেগমেন্টেশন অন্তর্ভুক্ত রয়েছে - যা বৃহৎ পরিসরে গেস্ট এবং স্টাফ WiFi স্থাপনকারী MSP এবং IT টিমগুলোর জন্য কার্যকর, ধাপে ধাপে নির্দেশনা প্রদান করে।

গাইডটি পড়ুন →

Purple WiFi-এর সাথে OpenWrt কাস্টম ফার্মওয়্যার ইন্টিগ্রেশন

এই গাইডটি Purple WiFi-এর সাথে OpenWrt কাস্টম ফার্মওয়্যার স্থাপনের জন্য সম্পূর্ণ ইন্টিগ্রেশন প্লেবুক প্রদান করে। এতে CoovaChilli captive portal কনফিগারেশন, iptables walled garden ম্যানেজমেন্ট, hostapd-এর মাধ্যমে 802.1X সুরক্ষিত স্টাফ WiFi এবং ডাইনামিক VLAN অ্যাসাইনমেন্ট সহ মাল্টি-টেন্যান্ট PPSK সেগমেন্টেশন কভার করা হয়েছে - যা IT টিমগুলোকে যেকোনো OpenWrt-সক্ষম হার্ডওয়্যারে একটি আইডেন্টিটি-ভিত্তিক নেটওয়ার্ক তৈরি করার জন্য প্রয়োজনীয় সঠিক কনফিগারেশন ধাপগুলো প্রদান করে।

গাইডটি পড়ুন →

Purple WiFi-এর সাথে Cambium Networks cnPilot এবং cnMaestro ইন্টিগ্রেশন

এই নির্ভরযোগ্য নির্দেশিকাটি Purple WiFi ইন্টেলিজেন্স প্ল্যাটফর্মের সাথে Cambium Networks cnPilot অ্যাক্সেস পয়েন্ট এবং cnMaestro ক্লাউড কন্ট্রোলারের ইন্টিগ্রেশনের বিস্তারিত বিবরণ দেয়। এতে আর্কিটেকচার, Captive Portal কনফিগারেশন, ওয়াল্ড গার্ডেন প্রয়োজনীয়তা, 802.1X স্টাফ WiFi এবং মাল্টি-টেন্যান্ট পরিবেশের জন্য Cambium ePSK ব্যবহার করে ডাইনামিক VLAN সেগমেন্টেশন অন্তর্ভুক্ত রয়েছে।

গাইডটি পড়ুন →