মূল কন্টেন্টে যান

Aruba ClearPass বনাম Purple WiFi: বৈশিষ্ট্য এবং সহ-স্থাপনার তুলনা

Aruba ClearPass এবং Purple WiFi-এর সহ-স্থাপনা আর্কিটেকচারের বিস্তারিত বিবরণ সম্বলিত একটি ব্যাপক প্রযুক্তিগত নির্দেশিকা। এটিতে RADIUS প্রক্সি কনফিগারেশন, ডাইনামিক VLAN অ্যাসাইনমেন্ট এবং এন্টারপ্রাইজ NAC-এর পাশাপাশি নিরাপদ, অ্যানালিটিক্স-চালিত গেস্ট নেটওয়ার্ক প্রদানের সর্বোত্তম অনুশীলনগুলি অন্তর্ভুক্ত রয়েছে।

📖 6 মিনিট পাঠ📝 1,499 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
একটি আত্মবিশ্বাসী, কর্তৃত্বপূর্ণ এবং কথোপকথনের সুরে কথা বলুন। আপনি একজন সিনিয়র নেটওয়ার্ক কনসালট্যান্ট যিনি একজন ক্লায়েন্টকে ব্রিফ করছেন। পরিমিত গতি, স্পষ্ট উচ্চারণ, পেশাদার কিন্তু কঠোর নয়। জোর দেওয়ার জন্য মাঝে মাঝে স্বাভাবিক বিরতি: এই Purple টেকনিক্যাল ব্রিফিংয়ে আপনাকে স্বাগত জানাই। আমি আপনার হোস্ট, এবং আজ আমরা এমন একটি প্রশ্ন নিয়ে আলোচনা করছি যা আমাদের কাজ করা প্রায় প্রতিটি এন্টারপ্রাইজ ওয়্যারলেস প্রজেক্টে উঠে আসে: যখন আপনার ইতিমধ্যেই Aruba ClearPass স্থাপন করা আছে, তখন Purple WiFi কোথায় খাপ খায় এবং এই দুটি সিস্টেম কীভাবে একসাথে কাজ করে? [medium pause] এটি কোনো তাত্ত্বিক আলোচনা নয়। আপনি যদি কোনো হোটেল গ্রুপ, রিটেইল চেইন বা স্টেডিয়াম অপারেটরের IT ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট বা সিকিউরিটি ইঞ্জিনিয়ার হন, তবে এটি এমন একটি সিদ্ধান্ত যা আপনাকে এই কোয়ার্টারেই নিতে হতে পারে। তাই চলুন শুরু করা যাক। [medium pause] ভূমিকা এবং প্রেক্ষাপট। [short pause] প্রথমে, প্রতিটি প্ল্যাটফর্ম আসলে কী করার জন্য ডিজাইন করা হয়েছে সে সম্পর্কে স্পষ্ট হওয়া যাক। Aruba ClearPass পলিসি ম্যানেজার হলো একটি Network Access Control প্ল্যাটফর্ম। এর কাজ হলো ডিভাইস এবং ব্যবহারকারীদের প্রমাণীকরণ করা, এন্ডপয়েন্টের অবস্থা মূল্যায়ন করা এবং আপনার সম্পূর্ণ নেটওয়ার্ক জুড়ে অ্যাক্সেস পলিসি প্রয়োগ করা। এটি সার্টিফিকেট সহ EAP-TLS এবং ইউজারনেম ও পাসওয়ার্ড সহ PEAP-এর মতো EAP পদ্ধতিগুলি ব্যবহার করে পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস নিয়ন্ত্রণের IEEE স্ট্যান্ডার্ড 802.1X পরিচালনা করে। এটি Microsoft Entra ID, Okta এবং অন্যান্য আইডেন্টিটি প্রোভাইডারদের সাথে সংহত হয়। এটি ডিভাইসগুলির প্রোফাইল তৈরি করে, সেগুলি আপনার সিকিউরিটি পলিসি মেনে চলছে কিনা তা পরীক্ষা করে এবং সেগুলিকে সঠিক নেটওয়ার্ক রোলে অ্যাসাইন করে। কর্পোরেট ডিভাইসের জন্য, ClearPass চমৎকার। এটি ঠিক এই ব্যবহারের ক্ষেত্রের জন্যই তৈরি করা হয়েছিল। [medium pause] Purple WiFi সম্পূর্ণ ভিন্ন একটি প্ল্যাটফর্ম। Purple হলো একটি ক্লাউড-ভিত্তিক গেস্ট WiFi ইন্টেলিজেন্স প্ল্যাটফর্ম। এর কাজ হলো একটি ব্র্যান্ডেড ক্যাপটিভ পোর্টাল-এর মাধ্যমে ভিজিটরদের প্রমাণীকরণ করা, GDPR-সম্মত সম্মতি ফ্লো সহ ফার্স্ট-পার্টি ডেটা সংগ্রহ করা এবং সেই ডেটা আপনার মার্কেটিং এবং অ্যানালিটিক্স স্ট্যাকে পাঠানো। Purple বিশ্বব্যাপী ৮০,০০০-এরও বেশি ভেন্যুতে কাজ করে এবং কেবল ২০২৪ সালেই ৪৪০ মিলিয়ন লগইন প্রসেস করেছে। এটি CRM এবং মার্কেটিং অটোমেশন প্ল্যাটফর্ম সহ ৪০০টিরও বেশি কানেক্টরের সাথে সংহত হয়। গেস্ট নেটওয়ার্কের জন্য, Purple হলো বিশেষজ্ঞ। [medium pause] বেশিরভাগ প্রতিষ্ঠান যে সমস্যার মুখোমুখি হয় তা হলো তারা উভয় কাজ করার জন্য একটি একক প্ল্যাটফর্ম ব্যবহার করার চেষ্টা করে। তারা হয় ClearPass-কে তাদের গেস্ট পোর্টাল চালানোর জন্য বলে, যা এটি করতে পারে তবে খুব একটা চমৎকারভাবে নয়, অথবা তারা তাদের বিদ্যমান NAC ইনভেস্টমেন্টের পাশাপাশি এটি কীভাবে কাজ করবে তা চিন্তা না করেই Purple স্থাপন করে। সঠিক উত্তর হলো একটি সহ-স্থাপনা আর্কিটেকচার যেখানে প্রতিটি প্ল্যাটফর্ম তার সেরা কাজটি করে। [medium pause] টেকনিক্যাল ডিপ ডাইভ। [short pause] আমি আপনাকে আর্কিটেকচারটি বুঝিয়ে বলি। একটি সহ-স্থাপনায়, আপনার Aruba মোবিলিটি কন্ট্রোলার বা Aruba ইনস্ট্যান্ট অ্যাক্সেস পয়েন্টগুলি একাধিক SSID ব্রডকাস্ট করে। সাধারণত তিনটি: একটি কর্পোরেট ডিভাইসের জন্য, একটি গেস্টদের জন্য এবং একটি IoT-এর জন্য। এই SSID ডিজাইন প্যাটার্ন সম্পর্কে আরও জানতে, Purple 'Three SSIDs to rule them all' নামে একটি বিস্তারিত নির্দেশিকা প্রকাশ করেছে, যা আমি এই ব্রিফিংয়ের পাশাপাশি পড়ার পরামর্শ দেব। [medium pause] কর্পোরেট SSID-টি EAP-TLS সহ 802.1X ব্যবহার করে। ClearPass Onboard-এর মাধ্যমে প্রোভিশন করা সার্টিফিকেট ব্যবহার করে ডিভাইসগুলি প্রমাণীকরণ করে, যা ClearPass-এর বিল্ট-ইন সার্টিফিকেট এনরোলমেন্ট এবং ডিভাইস প্রোভিশনিং মডিউল। ClearPass ডিভাইসের অবস্থা পরীক্ষা করে, সার্টিফিকেট যাচাই করে, Active Directory বা Microsoft Entra ID-তে কোয়েরি করে এবং ডিভাইসটিকে উপযুক্ত VLAN-এ অ্যাসাইন করে। সাধারণত কর্পোরেটের জন্য VLAN 10। এই সম্পূর্ণ ফ্লোটি ClearPass-এর মধ্যেই থাকে। Purple এতে জড়িত নয়। [medium pause] গেস্ট SSID-এই ইন্টিগ্রেশনটি ঘটে। যখন কোনো ভিজিটর গেস্ট SSID-এ সংযুক্ত হন, তখন Aruba কন্ট্রোলার তাদের HTTP ট্রাফিক ইন্টারসেপ্ট করে এবং তাদের ব্রাউজারকে Purple-এর ক্যাপটিভ পোর্টাল-এ রিডাইরেক্ট করে। ভিজিটর Purple-এর মাধ্যমে প্রমাণীকরণ করেন, সম্ভবত Google-এর মাধ্যমে সোশ্যাল লগইন, একটি কাস্টম ইমেল ফর্ম বা OpenRoaming ব্যবহার করে, যেখানে Purple Connect লাইসেন্সের অধীনে একটি ফ্রি আইডেন্টিটি প্রোভাইডার হিসেবে কাজ করে। একবার Purple ভিজিটরকে যাচাই করলে, এটি কন্ট্রোলারে একটি RADIUS Access-Accept মেসেজ ফেরত পাঠায়, যা ইন্টারনেট অ্যাক্সেসের অনুমতি দেয়। [medium pause] এখন, মূল আর্কিটেকচারাল সিদ্ধান্ত হলো আপনি কন্ট্রোলার এবং Purple-এর মধ্যে ClearPass-কে একটি RADIUS প্রক্সি হিসেবে যুক্ত করবেন কিনা, নাকি কন্ট্রোলার সরাসরি Purple-এর RADIUS সার্ভারগুলির সাথে যোগাযোগ করবে। বেশিরভাগ এন্টারপ্রাইজ স্থাপনার জন্য, প্রক্সি মডেলটিই সঠিক পছন্দ। কেন তা এখানে ব্যাখ্যা করা হলো। [medium pause] ClearPass-কে RADIUS প্রক্সি হিসেবে ব্যবহার করলে, আপনার নেটওয়ার্কের প্রতিটি প্রমাণীকরণ ইভেন্ট, কর্পোরেট এবং গেস্ট উভয়ই, ClearPass-এর মাধ্যমে প্রবাহিত হয়। আপনি একটি একক অডিট ট্রেইল পান। আপনার সিকিউরিটি অপারেশন টিম এক জায়গায় সবকিছু দেখতে পায়। ClearPass কন্ট্রোলারে রেসপন্স ফেরত পাঠানোর আগে নিজস্ব পলিসি অ্যাট্রিবিউট যুক্ত করতে পারে, যা রোলের উপর ভিত্তি করে ডাইনামিক VLAN অ্যাসাইনমেন্ট সক্ষম করে। এবং আপনি গেস্ট সেশনগুলিতে অতিরিক্ত পলিসি প্রয়োগ করার ক্ষমতা বজায় রাখেন, যেমন ব্যান্ডউইথ সীমা বা সময়-ভিত্তিক অ্যাক্সেস নিষেধাজ্ঞা। একটি আত্মবিশ্বাসী, কর্তৃত্বপূর্ণ এবং কথোপকথনের সুরে কথা বলুন। আপনি একজন সিনিয়র নেটওয়ার্ক কনসালট্যান্ট যিনি একজন ক্লায়েন্টকে ব্রিফ করছেন। পরিমিত গতি, স্পষ্ট উচ্চারণ, পেশাদার কিন্তু কঠোর নয়: ClearPass-এ প্রক্সি কনফিগারেশন অত্যন্ত সহজ। আপনি একটি RADIUS রাউটিং পলিসি তৈরি করেন যা NAS আইডেন্টিফায়ার বা called station ID দ্বারা গেস্ট SSID-এর সাথে মেলে। সেই পলিসির সাথে মেলা রিকোয়েস্টগুলি Purple-এর ক্লাউড RADIUS সার্ভারগুলিতে ফরোয়ার্ড করা হয়। Purple সাড়া দেয়, ClearPass Aruba-User-Role ভেন্ডর-স্পেসিফিক অ্যাট্রিবিউট যুক্ত করে এবং কন্ট্রোলার গেস্টকে শুধুমাত্র ইন্টারনেট অ্যাক্সেস সহ VLAN 20-এ রাখে। [medium pause] IoT ডিভাইসগুলির জন্য, তৃতীয় SSID-টি MAC authentication bypass ব্যবহার করে। ClearPass ডিভাইসের OUI, MAC অ্যাড্রেসের প্রথম ছয়টি অক্ষর যা প্রস্তুতকারককে সনাক্ত করে, ব্যবহার করে ডিভাইসটির প্রোফাইল তৈরি করে এবং এটিকে ROLE_IOT-এ অ্যাসাইন করে, যা VLAN 30-এর সাথে ম্যাপ করা হয়। এই VLAN-এর কোনো ইন্টারনেট অ্যাক্সেস নেই, কেবল লোকাল কানেক্টিভিটি রয়েছে। আপনার স্মার্ট টিভি, থার্মোস্ট্যাট এবং দরজার লকগুলি কর্পোরেট এবং গেস্ট উভয় ট্রাফিক থেকে সম্পূর্ণরূপে বিচ্ছিন্ন থাকে। [medium pause] চলুন কমপ্লায়েন্স নিয়ে কথা বলি, কারণ এখানেই এই আর্কিটেকচারটি তার কার্যকারিতা প্রমাণ করে। PCI-DSS-এর অধীনে, কার্ডহোল্ডারের ডেটা স্পর্শ করে এমন যেকোনো নেটওয়ার্ক সেগমেন্ট অবশ্যই গেস্ট নেটওয়ার্ক থেকে বিচ্ছিন্ন থাকতে হবে। এই আর্কিটেকচারের VLAN সেগমেন্টেশন সেই প্রয়োজনীয়তা পূরণ করে। GDPR-এর অধীনে, Purple-এর ক্যাপটিভ পোর্টাল সচেতন-পছন্দের অপ্ট-ইনগুলির মাধ্যমে সম্মতি সংগ্রহ পরিচালনা করে, যার অর্থ ভিজিটররা ডিফল্টরূপে ডেটা সংগ্রহের পরিবর্তে সক্রিয়ভাবে তাদের ডেটা শেয়ার করার সিদ্ধান্ত নেন। Purple হলো ISO 27001 সার্টিফাইড, GDPR কমপ্লায়েন্ট এবং এটি Cyber Essentials সার্টিফিকেশন ধারণ করে। ClearPass সেই অডিট ট্রেইল প্রদান করে যা আপনার সিকিউরিটি টিমের কমপ্লায়েন্স রিপোর্টিংয়ের জন্য প্রয়োজন। [medium pause] বাস্তবায়ন সুপারিশ এবং ত্রুটিসমূহ। [short pause] এই স্থাপনায় সবচেয়ে বেশি যে পাঁচটি জিনিস ভুল হতে পারে এবং কীভাবে সেগুলি এড়ানো যায় তা আমি আপনাকে বলি। [medium pause] নম্বর এক: ওয়াল্ড গার্ডেন। একজন ভিজিটর প্রমাণীকরণ করার আগে, Aruba কন্ট্রোলার কেবল একটি পূর্ব-নির্ধারিত গন্তব্যের তালিকায় ট্রাফিকের অনুমতি দেয়। যদি Purple-এর পোর্টাল ডোমেন, এর CDN এন্ডপয়েন্ট এবং সোশ্যাল লগইন প্রোভাইডারের ডোমেনগুলি সেই তালিকায় না থাকে, তবে পোর্টালটি লোড হবে না। আপনাকে অবশ্যই star dot purple dot ai, star dot cloudfront dot net এবং আপনি যে সোশ্যাল লগইন প্রোভাইডারগুলি সক্ষম করছেন তাদের জন্য OAuth ডোমেনগুলি অন্তর্ভুক্ত করতে হবে। Google, Facebook, Apple এবং Microsoft Entra ID সবার নিজস্ব ডোমেন সেট রয়েছে। ওয়াল্ড গার্ডেনকে একটি পরিবর্তনশীল কনফিগারেশন হিসেবে বিবেচনা করুন, কারণ সোশ্যাল লগইন প্রোভাইডাররা পর্যায়ক্রমে তাদের CDN ডোমেন পরিবর্তন করে। [medium pause] নম্বর দুই: RADIUS টাইমআউট। বেশিরভাগ Aruba কন্ট্রোলারে ডিফল্ট RADIUS টাইমআউট হলো তিন সেকেন্ড। একটি প্রক্সি আর্কিটেকচারে, রিকোয়েস্টটি অ্যাক্সেস পয়েন্ট থেকে কন্ট্রোলারে, সেখান থেকে ClearPass-এ, ইন্টারনেটের মাধ্যমে Purple-এর ক্লাউড RADIUS-এ এবং আবার ফিরে আসে। একটি ব্যস্ত নেটওয়ার্কে, সেই রাউন্ড ট্রিপ তিন সেকেন্ড অতিক্রম করতে পারে। আপনার টাইমআউট কমপক্ষে দশ সেকেন্ড সেট করুন এবং কমপক্ষে দুটি রিট্রাই সহ রিট্রাই লজিক কনফিগার করুন। [medium pause] নম্বর তিন: শেয়ার্ড সিক্রেট অমিল। Aruba কন্ট্রোলার এবং ClearPass-এর মধ্যকার শেয়ার্ড সিক্রেট অবশ্যই হুবহু মিলতে হবে। ClearPass এবং Purple-এর RADIUS সার্ভারগুলির মধ্যকার শেয়ার্ড সিক্রেটও হুবহু মিলতে হবে। একটি মাত্র অক্ষরের পার্থক্য কোনো অর্থপূর্ণ ত্রুটি বার্তা ছাড়াই প্রমাণীকরণ ব্যর্থতার কারণ হয়। সর্বদা এগুলি অক্ষর-বাই-অক্ষর যাচাই করুন। [medium pause] নম্বর চার: রোল নামের কেস সেন্সিটিভিটি। ClearPass দ্বারা রিটার্ন করা Aruba-User-Role অ্যাট্রিবিউটটি অবশ্যই Aruba কন্ট্রোলারে সংজ্ঞায়িত রোল নামের সাথে হুবহু মিলতে হবে, যার মধ্যে ক্যাপিটালাইজেশনও অন্তর্ভুক্ত। যদি ClearPass guest-authenticated রিটার্ন করে কিন্তু কন্ট্রোলারে Guest-Authenticated সংজ্ঞায়িত থাকে, তবে ভিজিটর কোনো ইন্টারনেট অ্যাক্সেস ছাড়াই ডিফল্ট লগন রোলে ফিরে যাবেন। [medium pause] নম্বর পাঁচ: RADIUS অ্যাকাউন্টিং। অনেক স্থাপনায় প্রমাণীকরণ প্রক্সি সঠিকভাবে কনফিগার করা হলেও অ্যাকাউন্টিং প্রক্সি করতে ভুলে যান। সেশনের সময়কাল, ডেটা ব্যবহার ট্র্যাক করতে এবং এর ড্যাশবোর্ডগুলি পূরণ করতে Purple RADIUS অ্যাকাউন্টিং ডেটা ব্যবহার করে। যদি অ্যাকাউন্টিং Purple-এ প্রবাহিত না হয়, তবে আপনার ফুটফল অ্যানালিটিক্স এবং ডোয়েল টাইম রিপোর্টগুলি অসম্পূর্ণ থাকবে। [medium pause] র‌্যাপিড-ফায়ার প্রশ্ন। [short pause] আমি কি এটি একটি পূর্ণাঙ্গ মোবিলিটি কন্ট্রোলারের পরিবর্তে Aruba ইনস্ট্যান্ট-এ চালাতে পারি? হ্যাঁ। Aruba ইনস্ট্যান্ট এক্সটার্নাল RADIUS সার্ভার এবং ক্যাপটিভ পোর্টাল রিডাইরেক্ট সমর্থন করে। কনফিগারেশন কিছুটা ভিন্ন হলেও নীতিগুলি অভিন্ন। [medium pause] Purple কি Change of Authorisation সমর্থন করে? হ্যাঁ। CoA কন্ট্রোলারকে ভিজিটরের সেশনটি পুনরায় সংযোগ করার প্রয়োজন ছাড়াই ডাইনামিকভাবে আপডেট করার অনুমতি দেয়। এটি সময়-সীমিত অ্যাক্সেস বা টিয়ার আপগ্রেডের জন্য দরকারী। [medium pause] এটি কি WPA3-এর সাথে কাজ করে? হ্যাঁ। পার্সোনাল নেটওয়ার্কের জন্য WPA3-SAE এবং 802.1X-এর জন্য WPA3-Enterprise উভয়ই সমর্থিত। ক্যাপটিভ পোর্টাল ব্যবহার করে গেস্ট নেটওয়ার্কের জন্য, WPA3-SAE বা অপরচুনিস্টিক ওয়্যারলেস এনক্রিপশন সহ একটি ওপেন SSID সাধারণত বেছে নেওয়া হয়। [medium pause] আমি কি কর্মী এবং গেস্ট উভয়ের জন্য একটি একক SSID ব্যবহার করতে পারি? আপনি পারেন, তবে এটি জটিলতা বাড়ায়। ClearPass একই SSID-এ 802.1X এবং MAC প্রমাণীকরণ উভয়ই পরিচালনা করে, ট্রাফিকের ধরন আলাদা করতে এবং সেই অনুযায়ী রাউট করতে সার্ভিস রুলস ব্যবহার করে। বেশিরভাগ ভেন্যুর জন্য, পৃথক SSID ব্যবহার করা আরও পরিচ্ছন্ন সমাধান। [medium pause] সারসংক্ষেপ এবং পরবর্তী পদক্ষেপ। [short pause] ClearPass এবং Purple একে অপরের পরিপূরক, প্রতিযোগী নয়। ClearPass হলো কর্পোরেট ডিভাইসের জন্য আপনার পলিসি ইঞ্জিন: 802.1X, এন্ডপয়েন্ট পোস্টার, সার্টিফিকেট ম্যানেজমেন্ট এবং ইউনিফাইড অডিট ট্রেইল। Purple হলো আপনার গেস্ট ইন্টেলিজেন্স প্ল্যাটফর্ম: ব্র্যান্ডেড ক্যাপটিভ পোর্টাল, GDPR-সম্মত ডেটা সংগ্রহ, ফুটফল অ্যানালিটিক্স এবং মার্কেটিং অটোমেশন। [medium pause] সহ-স্থাপনা আর্কিটেকচারটি ClearPass-কে একটি RADIUS প্রক্সি হিসেবে ব্যবহার করে। সমস্ত প্রমাণীকরণ রিকোয়েস্ট ClearPass-এর মাধ্যমে প্রবাহিত হয়। গেস্ট রিকোয়েস্টগুলি Purple-এর ক্লাউড RADIUS-এ রাউট করা হয়। কর্পোরেট রিকোয়েস্টগুলি স্থানীয়ভাবে ClearPass দ্বারা পরিচালিত হয়। Aruba কন্ট্রোলার ডাইনামিক VLAN অ্যাসাইনমেন্টের মাধ্যমে ফলস্বরূপ পলিসিগুলি প্রয়োগ করে। [medium pause] আপনাকে যে তিনটি কনফিগারেশন উপাদান সঠিকভাবে সম্পন্ন করতে হবে তা হলো: ওয়াল্ড গার্ডেন, RADIUS টাইমআউট এবং রোল নামের ধারাবাহিকতা। এগুলি সঠিকভাবে করুন, এবং আপনার কাছে একটি কমপ্লায়েন্ট, বাণিজ্যিকভাবে মূল্যবান গেস্ট WiFi স্থাপনা থাকবে যা আপনার কর্পোরেট নিরাপত্তা ব্যবস্থাকে আপস করে না। [medium pause] আপনার পরবর্তী পদক্ষেপগুলির জন্য: Purple ড্যাশবোর্ড থেকে আপনার Purple ভেন্যু RADIUS ক্রেডেনশিয়ালগুলি সংগ্রহ করুন, সাথে থাকা লিখিত গাইডের ওয়াল্ড গার্ডেন রেফারেন্স তালিকাটি পর্যালোচনা করুন এবং প্রোডাকশনে চালু করার আগে একটি ডেডিকেটেড টেস্ট ডিভাইস দিয়ে সম্পূর্ণ প্রমাণীকরণ ফ্লো পরীক্ষা করুন। আপনি যদি একাধিক সাইট জুড়ে স্থাপন করেন, তবে Purple-এর মাল্টি-সাইট ম্যানেজমেন্ট কনসোল আপনাকে একটি একক ইন্টারফেস থেকে আপনার সম্পূর্ণ এস্টেট জুড়ে ক্যাপটিভ পোর্টাল কনফিগারেশন, ব্র্যান্ডিং এবং অ্যানালিটিক্স পরিচালনা করতে দেয়। [medium pause] শোনার জন্য আপনাকে ধন্যবাদ। আপনার নির্দিষ্ট স্থাপনা সম্পর্কে একজন সলিউশন আর্কিটেক্টের সাথে কথা বলতে purple dot ai ভিজিট করুন।

header_image.png

এক্সিকিউটিভ সামারি

যেসব এন্টারপ্রাইজ পরিবেশ HPE Aruba অবকাঠামোর উপর ব্যাপকভাবে নির্ভরশীল, সেগুলির জন্য একটি নির্বিঘ্ন, ডেটা-সমৃদ্ধ গেস্ট WiFi অভিজ্ঞতা প্রদানের পাশাপাশি জটিল নেটওয়ার্ক অ্যাক্সেস নীতিগুলি পরিচালনা করা একটি উল্লেখযোগ্য আর্কিটেকচারাল চ্যালেঞ্জ তৈরি করে। যদিও কর্পোরেট ডিভাইসগুলির জন্য Network Access Control (NAC) এবং 802.1X সুরক্ষায় Aruba ClearPass পলিসি ম্যানেজার অত্যন্ত পারদর্শী, তবুও এর বিল্ট-ইন ক্যাপটিভ পোর্টাল-এ প্রায়শই আধুনিক ভেন্যুগুলির জন্য প্রয়োজনীয় উন্নত মার্কেটিং অটোমেশন এবং অ্যানালিটিক্স থাকে না। এই নির্দেশিকাটি বিস্তারিতভাবে দেখায় কীভাবে ClearPass-এর সাথে Purple WiFi সংহত করতে হয়, যা প্রতিটি প্ল্যাটফর্মকে তাদের মূল শক্তির উপর ফোকাস করার সুযোগ দেয়।

ClearPass-কে একটি RADIUS প্রক্সি হিসেবে স্থাপন করে, আপনি কর্পোরেট এবং IoT ডিভাইসগুলির জন্য একটি ইউনিফাইড সিকিউরিটি অডিট ট্রেইল এবং ডাইনামিক VLAN অ্যাসাইনমেন্ট বজায় রাখতে পারেন, পাশাপাশি গেস্ট অনবোর্ডিং অভিজ্ঞতা Purple-এর উপর ছেড়ে দিতে পারেন। এই পদ্ধতিটি আপনার বিদ্যমান Aruba NAC ইনভেস্টমেন্ট প্রতিস্থাপন না করেই GDPR-সম্মত ফার্স্ট-পার্টি ডেটা সংগ্রহ, বিস্তারিত ফুটফল অ্যানালিটিক্স এবং ৪০০টিরও বেশি মার্কেটিং কানেক্টরের সাথে ইন্টিগ্রেশন সক্ষম করে। এই ডকুমেন্টটি এই সহ-স্থাপনার জন্য প্রযুক্তিগত ব্লুপ্রিন্ট প্রদান করে, যার মধ্যে আর্কিটেকচার, কনফিগারেশন ওয়ার্কফ্লো এবং সর্বোত্তম অনুশীলন অন্তর্ভুক্ত রয়েছে।

টেকনিক্যাল ডিপ ডাইভ

Aruba ClearPass এবং Purple WiFi-এর ইন্টিগ্রেশন স্ট্যান্ডার্ড RADIUS প্রোটোকল এবং HTTP রিডাইরেক্ট মেকানিজমের উপর নির্ভর করে, যা একটি RADIUS প্রক্সি আর্কিটেকচারকে কেন্দ্র করে গঠিত। এই ডিজাইনটি নিশ্চিত করে যে ClearPass সমস্ত নেটওয়ার্ক অ্যাক্সেসের জন্য কেন্দ্রীয় পলিসি সিদ্ধান্ত বিন্দু হিসেবে কাজ করে, যেখানে Purple গেস্ট-মুখী ক্যাপটিভ পোর্টাল এবং ডেটা সংগ্রহ পরিচালনা করে।

কোর আর্কিটেকচার

একটি স্ট্যান্ডার্ড সহ-স্থাপনায়, আপনার Aruba মোবিলিটি কন্ট্রোলার বা Aruba ইনস্ট্যান্ট অ্যাক্সেস পয়েন্টগুলি একাধিক SSID ব্রডকাস্ট করে। একটি সাধারণ ডিজাইন প্যাটার্ন, যা Three SSIDs to rule them all: the WiFi design for guest, staff and IoT -এ বিস্তারিতভাবে বর্ণনা করা হয়েছে, তিনটি ডেডিকেটেড নেটওয়ার্ক ব্যবহার করে:

  1. কর্পোরেট SSID: EAP-TLS সহ 802.1X ব্যবহার করে। ClearPass Onboard-এর মাধ্যমে প্রোভিশন করা সার্টিফিকেট ব্যবহার করে ডিভাইসগুলি প্রমাণীকরণ করে। ClearPass ডিভাইসের অবস্থা মূল্যায়ন করে, Microsoft Entra ID বা Active Directory-তে কোয়েরি করে এবং ডিভাইসটিকে কর্পোরেট VLAN-এ (যেমন, VLAN 10) অ্যাসাইন করে। Purple এই ফ্লোতে জড়িত নয়।
  2. IoT SSID: MAC Authentication Bypass (MAB) ব্যবহার করে। ClearPass ডিভাইসের অর্গানাইজেশনালি ইউনিক আইডেন্টিফায়ার (OUI) ব্যবহার করে ডিভাইসটির প্রোফাইল তৈরি করে এবং এটিকে ইন্টারনেট অ্যাক্সেসবিহীন একটি আইসোলেটেড IoT VLAN-এ (যেমন, VLAN 30) অ্যাসাইন করে।
  3. গেস্ট SSID: একটি ওপেন বা অপরচুনিস্টিক ওয়্যারলেস এনক্রিপশন (OWE) নেটওয়ার্ক যা Purple ক্যাপটিভ পোর্টাল-কে ট্রিগার করে। architecture_overview.png

RADIUS প্রক্সি ফ্লো

যখন একটি ভিজিটর গেস্ট SSID-এ সংযুক্ত হন এবং একটি ব্রাউজার খোলেন, তখন Aruba কন্ট্রোলার HTTP ট্রাফিককে ইন্টারসেপ্ট করে এবং সেশনটিকে Purple ক্যাপটিভ পোর্টাল URL-এ রিডাইরেক্ট করে। ভিজিটর সোশ্যাল লগইন, কাস্টম ফর্ম বা OpenRoaming (যেখানে Purple Connect প্ল্যানের অধীনে একটি ফ্রি আইডেন্টিটি প্রোভাইডার হিসেবে কাজ করে) ব্যবহার করে Purple-এর মাধ্যমে প্রমাণীকরণ করেন।

একবার Purple ভিজিটরকে যাচাই করলে, এটি একটি RADIUS Access-Accept মেসেজ পাঠায়। তবে, Aruba কন্ট্রোলার সরাসরি Purple-এর ক্লাউড RADIUS সার্ভারের সাথে যোগাযোগ করার পরিবর্তে, ClearPass-কে একটি RADIUS প্রক্সি হিসেবে সংহত করা হয়:

  1. Aruba কন্ট্রোলার সমস্ত RADIUS রিকোয়েস্ট ClearPass-এ পাঠায়।
  2. ClearPass এর সার্ভিস রুলস অনুযায়ী রিকোয়েস্টটি মূল্যায়ন করে। যদি রিকোয়েস্টটি গেস্ট SSID-এর সাথে মিলে যায় (Called-Station-Id বা NAS আইডেন্টিফায়ার দ্বারা চিহ্নিত), তবে RADIUS রাউটিং পলিসি রিকোয়েস্টটিকে Purple-এর RADIUS সার্ভারগুলিতে ফরোয়ার্ড করে।
  3. Purple একটি Access-Accept মেসেজ দিয়ে সাড়া দেয়।
  4. ClearPass এই রেসপন্সটি গ্রহণ করে এবং নিজস্ব এনফোর্সমেন্ট পলিসি প্রয়োগ করে, কন্ট্রোলারে চূড়ান্ত রেসপন্স ফরোয়ার্ড করার আগে নির্দিষ্ট ভেন্ডর-স্পেসিফিক অ্যাট্রিবিউটস (VSAs) যুক্ত করে।

ডাইনামিক রোল-ভিত্তিক VLAN অ্যাসাইনমেন্ট

এই আর্কিটেকচারের মূল VSA হলো Aruba-User-Role। ClearPass যখন কন্ট্রোলারে Access-Accept মেসেজ ফরোয়ার্ড করে, তখন ওয়্যারলেস নেটওয়ার্কে ভিজিটরের ঠিক কী ভূমিকা নেওয়া উচিত তা নির্ধারণ করতে এটি এই অ্যাট্রিবিউটটি অন্তর্ভুক্ত করে।

উদাহরণস্বরূপ, ClearPass Aruba-User-Role = guest-authenticated রিটার্ন করতে পারে। Aruba কন্ট্রোলারে, এই রোলটি VLAN 20-এর সাথে ম্যাপ করা হয়, যা এমন ফায়ারওয়াল পলিসি দিয়ে কনফিগার করা থাকে যা ইন্টারনেট অ্যাক্সেসের অনুমতি দেয় কিন্তু অভ্যন্তরীণ কর্পোরেট সাবনেটগুলিতে রাউটিং ব্লক করে। PCI-DSS [১] এর মতো মানগুলির সাথে কমপ্লায়েন্সের জন্য এই সেগমেন্টেশন অপরিহার্য।

comparison_chart.png

ইমপ্লিমেন্টেশন গাইড

এই আর্কিটেকচারটি স্থাপন করার জন্য Aruba অবকাঠামো এবং ClearPass উভয় ক্ষেত্রেই সুনির্দিষ্ট কনফিগারেশন প্রয়োজন। ইন্টিগ্রেশনটি প্রতিষ্ঠা করতে এই ভেন্ডর-নিরপেক্ষ পদক্ষেপগুলি অনুসরণ করুন।

ধাপ ১: ClearPass-এ Purple RADIUS সার্ভার কনফিগার করুন

ClearPass-এ Configuration > Network > Devices-এ যান এবং Purple-এর প্রাইমারি ও সেকেন্ডারি RADIUS সার্ভারগুলিকে নেটওয়ার্ক ডিভাইস হিসেবে যুক্ত করুন। আপনার Purple ভেন্যু কনফিগারেশন ড্যাশবোর্ডে দেওয়া IP অ্যাড্রেস এবং শেয়ার্ড সিক্রেট প্রয়োজন হবে।

ধাপ ২: একটি RADIUS রাউটিং পলিসি তৈরি করুন

ClearPass-এ একটি নতুন RADIUS রাউটিং পলিসি তৈরি করুন। এই পলিসিটি নির্ধারণ করবে কোন শর্তে রিকোয়েস্টগুলি Purple-এ প্রক্সি করা হবে। প্রাইমারি এবং ব্যাকআপ ডেস্টিনেশন হিসেবে ধাপ ১-এ কনফিগার করা Purple RADIUS সার্ভারগুলি সেট করুন।

ধাপ ৩: গেস্ট সার্ভিস নির্ধারণ করুন

গেস্ট প্রমাণীকরণের জন্য ClearPass-এ একটি নতুন সার্ভিস তৈরি করুন।

  • টাইপ: RADIUS Enforcement (Generic)
  • সার্ভিস রুলস: আপনার গেস্ট SSID নাম ধারণকারী Radius:IETF:Called-Station-Id মেলান।
  • রাউটিং পলিসি: ধাপ ২-এ তৈরি করা পলিসিটি নির্বাচন করুন।
  • এনফোর্সমেন্ট পলিসি: Aruba কন্ট্রোলারে আপনার গেস্ট রোলের সাথে সামঞ্জস্যপূর্ণ মান সহ Aruba-User-Role VSA রিটার্ন করার জন্য একটি পলিসি কনফিগার করুন।

ধাপ ৪: কন্ট্রোলারে ওয়াল্ড গার্ডেন কনফিগার করুন

ওয়াল্ড গার্ডেন হলো এমন কিছু ডোমেনের তালিকা যা প্রমাণীকরণের আগে একটি ডিভাইস অ্যাক্সেস করতে পারে। এটি Aruba কন্ট্রোলারে (অথবা ArubaOS 10-এ অ্যাক্সেস নিয়মের মাধ্যমে) কনফিগার করা হয়। আপনাকে অবশ্যই Purple-এর মূল ডোমেনগুলি অন্তর্ভুক্ত করতে হবে:

  • *.purple.ai
  • *.cloudfront.net
  • *.venuewifi.com

আপনি যদি সোশ্যাল লগইন সক্ষম করেন, তবে আপনাকে অবশ্যই প্রতিটি প্রোভাইডারের জন্য OAuth ডোমেনগুলিও যুক্ত করতে হবে (যেমন *.facebook.com, *.google.com, *.microsoftonline.com)।

ধাপ ৫: RADIUS অ্যাকাউন্টিং কনফিগার করুন

নিশ্চিত করুন যে RADIUS অ্যাকাউন্টিংও ClearPass-এর মাধ্যমে Purple-এ প্রক্সি করা হচ্ছে। সেশনের সময়কাল ট্র্যাক করতে এবং এর WiFi Analytics ড্যাশবোর্ড পূরণ করতে Purple অ্যাকাউন্টিং ডেটা (Acct-Start, Acct-Interim-Update, Acct-Stop) ব্যবহার করে। Aruba কন্ট্রোলারে অ্যাকাউন্টিং ইন্টারভাল ৫ মিনিট সেট করুন।

সর্বোত্তম অনুশীলন

একটি শক্তিশালী এবং সামঞ্জস্যপূর্ণ স্থাপনা নিশ্চিত করতে, এই শিল্প-মান সুপারিশগুলি অনুসরণ করুন।

  • কঠোরভাবে ট্রাফিক আলাদা করুন: সর্বদা গেস্ট ট্রাফিককে একটি ডেডিকেটেড VLAN-এ রাখুন যেখান থেকে কর্পোরেট রিসোর্সে যাওয়ার কোনো পথ নেই। এটি PCI-DSS এবং সাধারণ নেটওয়ার্ক সুরক্ষার জন্য একটি মৌলিক প্রয়োজনীয়তা।
  • প্রক্সি অ্যাকাউন্টিং ডেটা: RADIUS অ্যাকাউন্টিংকে অবহেলা করবেন না। অ্যাকাউন্টিং প্যাকেটগুলি Purple-এ না পৌঁছালে, আপনার ফুটফল অ্যানালিটিক্স এবং ডোয়েল টাইম রিপোর্টগুলি অসম্পূর্ণ থাকবে।
  • WISPr সক্ষম করুন: Aruba কন্ট্রোলারের ক্যাপটিভ পোর্টাল প্রোফাইলে, WISPr (Wireless Internet Service Provider roaming) সক্ষম করা আছে কিনা তা নিশ্চিত করুন। এই প্রোটোকলটি মোবাইল অপারেটিং সিস্টেমগুলিকে স্বয়ংক্রিয়ভাবে ক্যাপটিভ পোর্টাল সনাক্ত করতে এবং নির্বিঘ্নে লগইন স্ক্রিন প্রদর্শন করতে দেয়।
  • অ্যাক্টিভ-চয়েস অপ্ট-ইন ব্যবহার করুন: GDPR কমপ্লায়েন্সের জন্য, আপনার Purple পোর্টালটি এমনভাবে কনফিগার করুন যাতে মার্কেটিং যোগাযোগের জন্য আগে থেকে টিক দেওয়া বক্স বা ধরে নেওয়া সম্মতির পরিবর্তে স্পষ্ট অপ্ট-ইন চেকবক্স ব্যবহার করা হয় [২]।

ট্রাবলশুটিং এবং ঝুঁকি হ্রাস

সতর্কতার সাথে কনফিগার করার পরেও ইন্টিগ্রেশন ব্যর্থ হতে পারে। এখানে সবচেয়ে সাধারণ ব্যর্থতার ধরন এবং সেগুলি কীভাবে সমাধান করা যায় তা দেওয়া হলো।

ওয়াল্ড গার্ডেন ভুল কনফিগারেশন

যদি কোনো ভিজিটরদের ডিভাইসে ক্যাপটিভ পোর্টাল লোড হতে ব্যর্থ হয়, তবে এর মূল কারণ প্রায়শই ওয়াল্ড গার্ডেন। সোশ্যাল লগইন প্রোভাইডাররা প্রায়শই তাদের CDN IP রেঞ্জ এবং ডোমেন নাম আপডেট করে। ওয়াল্ড গার্ডেনকে একটি ক্রমাগত পরিবর্তনশীল কনফিগারেশন হিসেবে বিবেচনা করুন। যদি কোনো নির্দিষ্ট সোশ্যাল লগইন ব্যর্থ হয়, তবে ডিভাইসটি কোন ডোমেনে পৌঁছানোর চেষ্টা করছে তা সনাক্ত করতে একটি প্যাকেট ক্যাপচার ব্যবহার করুন এবং এটিকে অনুমোদিত তালিকায় যুক্ত করুন।

RADIUS টাইমআউট ত্রুটি

বেশিরভাগ Aruba কন্ট্রোলারে ডিফল্ট RADIUS টাইমআউট হলো ৩ সেকেন্ড। একটি প্রক্সি আর্কিটেকচারে, প্রমাণীকরণ রিকোয়েস্টটি AP থেকে কন্ট্রোলারে, সেখান থেকে ClearPass-এ, ইন্টারনেটের মাধ্যমে Purple-এর ক্লাউড অবকাঠামোতে এবং আবার ফিরে আসতে হয়। একটি ব্যস্ত নেটওয়ার্কে, এই রাউন্ড ট্রিপ সহজেই ৩ সেকেন্ড অতিক্রম করতে পারে, যার ফলে কন্ট্রোলার রিকোয়েস্টটি ড্রপ করে দেয়। Aruba কন্ট্রোলারে RADIUS টাইমআউট কমপক্ষে ১০ সেকেন্ডে বৃদ্ধি করুন এবং রিট্রাই লজিক কনফিগার করুন।

শেয়ার্ড সিক্রেট অমিল

নিরাপত্তার জন্য RADIUS শেয়ার্ড সিক্রেটের উপর নির্ভর করে। যদি Aruba কন্ট্রোলার এবং ClearPass, অথবা ClearPass এবং Purple-এর মধ্যকার শেয়ার্ড সিক্রেট হুবহু না মেলে, তবে প্রমাণীকরণ কোনো ত্রুটি বার্তা ছাড়াই ব্যর্থ হবে। ভিজিটরকে কোনো অর্থপূর্ণ ত্রুটি বার্তা দেখানো হবে না। প্রমাণীকরণ ব্যর্থ হলে সর্বদা এই সিক্রেটগুলি অক্ষর-বাই-অক্ষর যাচাই করুন।

রোল নামের কেস সেন্সিটিভিটি

ClearPass দ্বারা রিটার্ন করা Aruba-User-Role VSA-এর মান অবশ্যই Aruba কন্ট্রোলারে সংজ্ঞায়িত রোল নামের সাথে হুবহু মিলতে হবে, যার মধ্যে কেস অন্তর্ভুক্ত। যদি ClearPass guest-authenticated রিটার্ন করে কিন্তু কন্ট্রোলার Guest-Authenticated প্রত্যাশা করে, তবে ভিজিটর ডিফল্ট লগন রোলে ফিরে যাবেন এবং ইন্টারনেট অ্যাক্সেস পাবেন না।

ROI এবং ব্যবসায়িক প্রভাব

একটি সাধারণ লোকাল ক্যাপটিভ পোর্টাল-এর পরিবর্তে Purple WiFi স্থাপন করা একাধিক বিভাগ জুড়ে পরিমাপযোগ্য ব্যবসায়িক মূল্য প্রদান করে।

  • মার্কেটিং প্রভাব: পোর্টালের মাধ্যমে ফার্স্ট-পার্টি ডেটা সংগ্রহের মাধ্যমে, ভেন্যুগুলি তাদের মার্কেটিং ডেটাবেসে উল্লেখযোগ্য বৃদ্ধি দেখতে পায়। উদাহরণস্বরূপ, Harrods তাদের লয়্যালটি প্রোগ্রামে সাইন-আপ বাড়াতে Purple ব্যবহার করে ৫৭ গুণ মার্কেটিং ROI অর্জন করেছে [৩]।
  • অপারেশনাল দক্ষতা: RADIUS প্রক্সি আর্কিটেকচার IT-এর উপর অপারেশনাল চাপ কমায়। সিকিউরিটি টিম সমস্ত নেটওয়ার্ক অ্যাক্সেস ইভেন্টের জন্য ClearPass-এ একটি একক ড্যাশবোর্ড বজায় রাখে, যা কমপ্লায়েন্স রিপোর্টিং এবং ট্রাবলশুটিংকে সহজ করে তোলে।
  • মনিটাইজেশন: transport বা hospitality খাতের ভেন্যুগুলির জন্য, Purple টিয়ার্ড ব্যান্ডউইথ মডেল সক্ষম করে। AGS Airports একটি ফ্রি বেসিক টিয়ারের পাশাপাশি একটি পেইড প্রিমিয়াম WiFi টিয়ার বাস্তবায়ন করে ৮৪২% ROI জেনারেট করেছে [৪]।

এই সহ-স্থাপনাটি বাস্তবায়নের মাধ্যমে, আপনি এন্টারপ্রাইজ IT-এর জন্য প্রয়োজনীয় কঠোর নিরাপত্তা ব্যবস্থা বজায় রেখে আপনার গেস্ট নেটওয়ার্ককে একটি কস্ট সেন্টার থেকে রাজস্ব-উৎপাদনকারী সম্পদে রূপান্তর করতে পারেন।

তথ্যসূত্র

[১] PCI Security Standards Council। "Payment Card Industry (PCI) Data Security Standard।" [২] Information Commissioner's Office (ICO)। "Guide to the General Data Protection Regulation (GDPR)।" [৩] Purple। "Harrods গেস্ট WiFi কেস স্টাডি।" [৪] Purple। "AGS Airports গেস্ট WiFi কেস স্টাডি।"

মূল সংজ্ঞাসমূহ

RADIUS প্রক্সি

এমন একটি আর্কিটেকচার যেখানে একটি মধ্যবর্তী সার্ভার (ClearPass) একটি নেটওয়ার্ক ডিভাইস (Aruba কন্ট্রোলার) থেকে প্রমাণীকরণ রিকোয়েস্ট গ্রহণ করে এবং সেগুলিকে উপযুক্ত ব্যাকএন্ড সার্ভারে (Purple) ফরোয়ার্ড করে, যা প্রক্সিকে ট্রাফিক পরিদর্শন, লগ বা সংশোধন করার অনুমতি দেয়।

Purple-কে গেস্ট প্রমাণীকরণ পরিচালনা করার অনুমতি দেওয়ার পাশাপাশি ClearPass-এ একটি একক সিকিউরিটি অডিট ট্রেইল বজায় রাখতে ব্যবহৃত হয়।

ওয়াল্ড গার্ডেন

একটি সীমিত পরিবেশ যা নেটওয়ার্কে সম্পূর্ণরূপে অনুমোদিত হওয়ার আগে ওয়েব কন্টেন্টে ব্যবহারকারীর অ্যাক্সেস নিয়ন্ত্রণ করে।

ক্যাপটিভ পোর্টাল-এর জন্য অপরিহার্য; লগইন পেজ লোড হওয়ার জন্য ওয়াল্ড গার্ডেনকে অবশ্যই পোর্টালের হোস্টিং ডোমেন এবং সোশ্যাল লগইন প্রোভাইডারদের অ্যাক্সেসের অনুমতি দিতে হবে।

ভেন্ডর-স্পেসিফিক অ্যাট্রিবিউট (VSA)

RADIUS প্রোটোকলের মধ্যে কাস্টম ডেটা ফিল্ড যা হার্ডওয়্যার ভেন্ডরদের স্ট্যান্ডার্ড RADIUS RFC-তে সংজ্ঞায়িত নয় এমন প্রোপ্রাইটরি বৈশিষ্ট্যগুলি সমর্থন করার অনুমতি দেয়।

ClearPass একজন গেস্ট ব্যবহারকারীকে ঠিক কোন ফায়ারওয়াল রোল এবং VLAN অ্যাসাইন করতে হবে তা Aruba কন্ট্রোলারকে জানাতে 'Aruba-User-Role' VSA ব্যবহার করে।

802.1X

পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস নিয়ন্ত্রণের জন্য একটি IEEE স্ট্যান্ডার্ড যা LAN বা WLAN-এ সংযুক্ত হতে চাওয়া ডিভাইসগুলিকে একটি প্রমাণীকরণ প্রক্রিয়া প্রদান করে।

কর্পোরেট ডিভাইসগুলি সুরক্ষিত করতে ClearPass দ্বারা ব্যবহৃত প্রাথমিক প্রোটোকল, যা সাধারণত সার্টিফিকেট সহ EAP-TLS ব্যবহার করে।

ক্যাপটিভ পোর্টাল

একটি ওয়েব পেজ যা কোনো পাবলিক-অ্যাক্সেস নেটওয়ার্কের ব্যবহারকারীকে অ্যাক্সেস পাওয়ার আগে দেখতে এবং ইন্টারঅ্যাক্ট করতে হয়।

ভিজিটর ডেটা সংগ্রহ করতে, ব্র্যান্ডিং প্রদর্শন করতে এবং মার্কেটিং সম্মতি সংগ্রহ করতে Purple ক্যাপটিভ পোর্টাল ইন্টারফেস প্রদান করে।

MAC Authentication Bypass (MAB)

এমন একটি কৌশল যা নেটওয়ার্কে কোনো ডিভাইসকে প্রমাণীকরণ করতে তার MAC অ্যাড্রেস ব্যবহার করে যখন ডিভাইসটি 802.1X সাপ্লিক্যান্ট সমর্থন করে না।

স্মার্ট টিভি বা থার্মোস্ট্যাটের মতো হেডলেস IoT ডিভাইসগুলির প্রোফাইল তৈরি এবং প্রমাণীকরণ করতে ClearPass দ্বারা ব্যবহৃত হয়, যা সেগুলিকে একটি আইসোলেটেড VLAN-এ রাখে।

ডাইনামিক VLAN অ্যাসাইনমেন্ট

ডিভাইসটি কোন SSID-এ সংযুক্ত হয়েছে তার পরিবর্তে তার প্রমাণীকরণ ক্রেডেনশিয়াল বা রোলের উপর ভিত্তি করে স্বয়ংক্রিয়ভাবে একটি নির্দিষ্ট ভার্চুয়াল লোকাল এরিয়া নেটওয়ার্কে অ্যাসাইন করার প্রক্রিয়া।

একটি একক ফিজিক্যাল নেটওয়ার্ক অবকাঠামোকে কর্পোরেট, গেস্ট এবং IoT ট্রাফিক নিরাপদে সেগমেন্ট করার অনুমতি দেয়।

WISPr

Wireless Internet Service Provider roaming; একটি প্রোটোকল যা ডিভাইসগুলিকে স্বয়ংক্রিয়ভাবে ক্যাপটিভ পোর্টাল সনাক্ত করতে দেয়।

Aruba কন্ট্রোলারে অবশ্যই সক্ষম থাকতে হবে যাতে গেস্ট WiFi-এ সংযোগ করার সময় মোবাইল ডিভাইসগুলিতে স্বয়ংক্রিয়ভাবে Purple লগইন স্ক্রিন পপ আপ হয়।

সমাধানকৃত উদাহরণসমূহ

বিদ্যমান Aruba কন্ট্রোলার এবং ClearPass ব্যবহার করে একটি ৫০০-রুমের হোটেলের কর্মীদের জন্য নিরাপদ কর্পোরেট WiFi এবং ভিজিটরদের জন্য একটি ব্র্যান্ডেড, ডেটা-সংগ্রহকারী গেস্ট পোর্টাল স্থাপন করা প্রয়োজন।

দুটি SSID স্থাপন করুন: 'Hotel_Corp' and 'Hotel_Guest'। ClearPass-এর মাধ্যমে Active Directory-র বিপরীতে 802.1X প্রমাণীকরণের জন্য 'Hotel_Corp' কনফিগার করুন, কর্মীদের VLAN 10-এ অ্যাসাইন করুন। 'Hotel_Guest'-কে একটি ওপেন নেটওয়ার্ক হিসেবে কনফিগার করুন যা Purple ক্যাপটিভ পোর্টাল-এ রিডাইরেক্ট করে। গেস্ট SSID-এর জন্য ClearPass-কে একটি RADIUS প্রক্সি হিসেবে সেট আপ করুন, যা Purple-এ রিকোয়েস্ট ফরোয়ার্ড করবে। সফল Purple প্রমাণীকরণের পর 'Aruba-User-Role' VSA রিটার্ন করার জন্য ClearPass কনফিগার করুন, যা গেস্টদের একটি আইসোলেটেড VLAN 20-এ অ্যাসাইন করবে।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি কর্পোরেট এবং গেস্ট ট্রাফিককে নিখুঁতভাবে আলাদা করে, যা PCI-DSS প্রয়োজনীয়তা পূরণ করে। এটি 802.1X-এ ClearPass-এর শক্তিকে কাজে লাগায় এবং গেস্ট পোর্টাল ও অ্যানালিটিক্সের দায়িত্ব Purple-এর ওপর ছেড়ে দেয়, যার ফলে দুটি পৃথক NAC সমাধানের প্রয়োজনীয়তা এড়ানো যায়।

ভিজিটররা গেস্ট SSID-এ সংযুক্ত হচ্ছেন, কিন্তু তাদের ডিভাইসে Purple ক্যাপটিভ পোর্টাল পেজটি লোড হতে ব্যর্থ হচ্ছে।

Aruba কন্ট্রোলারে ওয়াল্ড গার্ডেন কনফিগারেশন পর্যালোচনা এবং আপডেট করুন। নিশ্চিত করুন যে Purple-এর মূল ডোমেনগুলি (*.purple.ai, *.cloudfront.net, *.venuewifi.com) স্পষ্টভাবে অনুমোদিত। যদি সোশ্যাল লগইন সক্ষম থাকে, তবে যাচাই করুন যে সমস্ত প্রয়োজনীয় OAuth ডোমেনগুলিও (যেমন, *.facebook.com, *.google.com) প্রি-অথেন্টিকেশন অনুমতি তালিকায় অন্তর্ভুক্ত রয়েছে।

পরীক্ষকের মন্তব্য: ক্যাপটিভ পোর্টাল ব্যর্থতার সবচেয়ে সাধারণ কারণ হলো ওয়াল্ড গার্ডেন ভুল কনফিগারেশন। নেটওয়ার্কে সম্পূর্ণরূপে অনুমোদিত হওয়ার আগে ডিভাইসগুলিকে অবশ্যই পোর্টাল হোস্টিং অবকাঠামো এবং CDN-এ পৌঁছাতে সক্ষম হতে হবে।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনি Purple-এ গেস্ট প্রমাণীকরণ প্রক্সি করার জন্য ClearPass কনফিগার করেছেন। গেস্ট Purple পোর্টালে সফলভাবে প্রমাণীকরণ করেছেন, কিন্তু Aruba কন্ট্রোলার তাদের কাঙ্ক্ষিত 'guest-access' রোলের পরিবর্তে কোনো ইন্টারনেট অ্যাক্সেস ছাড়াই ডিফল্ট 'logon' রোলে রাখছে। সবচেয়ে সম্ভাব্য কনফিগারেশন ত্রুটি কোনটি?

ইঙ্গিত: ClearPass কীভাবে রোল অ্যাসাইনমেন্ট কন্ট্রোলারে ফেরত পাঠায় তা পরীক্ষা করুন।

মডেল উত্তর দেখুন

রোল নামের কেস সেন্সিটিভিটি মেলেনি। ClearPass দ্বারা রিটার্ন করা Aruba-User-Role VSA-এর মান অবশ্যই Aruba কন্ট্রোলারে সংজ্ঞায়িত রোল নামের সাথে হুবহু মিলতে হবে। যদি কোনো টাইপো বা কেস অমিল থাকে (যেমন, 'Guest-Access' বনাম 'guest-access'), তবে কন্ট্রোলার রোলটি সনাক্ত করতে পারবে না এবং ব্যবহারকারীকে ডিফল্ট সীমাবদ্ধ অবস্থায় ফেলে দেবে।

Q2. একটি রিটেইল চেইন গেস্ট অ্যানালিটিক্সের জন্য Purple WiFi স্থাপন করতে চায় কিন্তু তাদের সিকিউরিটি টিম জোর দিচ্ছে যে কমপ্লায়েন্সের জন্য সমস্ত নেটওয়ার্ক প্রমাণীকরণ ইভেন্ট তাদের বিদ্যমান Aruba ClearPass সিস্টেমে কেন্দ্রীয়ভাবে লগ করতে হবে। আর্কিটেকচারটি কীভাবে ডিজাইন করা উচিত?

ইঙ্গিত: অ্যাক্সেস পয়েন্ট, ClearPass এবং Purple-এর মধ্যে কীভাবে RADIUS ট্রাফিক প্রবাহিত হয় তা বিবেচনা করুন।

মডেল উত্তর দেখুন

একটি RADIUS প্রক্সি আর্কিটেকচার বাস্তবায়ন করুন। সমস্ত RADIUS রিকোয়েস্ট ClearPass-এ পাঠানোর জন্য Aruba কন্ট্রোলারগুলি কনফিগার করুন। ClearPass-এ, একটি রাউটিং পলিসি তৈরি করুন যা গেস্ট SSID থেকে আসা রিকোয়েস্টগুলিকে Purple-এর ক্লাউড RADIUS সার্ভারগুলিতে ফরোয়ার্ড করে। এটি নিশ্চিত করে যে Purple গেস্ট পোর্টাল এবং অ্যানালিটিক্স পরিচালনা করছে, যখন ClearPass সমস্ত প্রমাণীকরণ ইভেন্টের একটি সম্পূর্ণ, কেন্দ্রীয় অডিট ট্রেইল বজায় রাখে।

Q3. ইন্টিগ্রেশনটি স্থাপন করার পর, মার্কেটিং টিম রিপোর্ট করেছে যে গেস্টরা সফলভাবে সংযুক্ত হয়ে ইন্টারনেট ব্যবহার করা সত্ত্বেও Purple অ্যানালিটিক্স ড্যাশবোর্ডে ভিজিটরদের 'dwell time'-এর জন্য শূন্য ডেটা দেখাচ্ছে। কোন কনফিগারেশন ধাপটি বাদ পড়েছে?

ইঙ্গিত: ডোয়েল টাইম গণনার জন্য সেশনের অবস্থার চলমান আপডেট প্রয়োজন, কেবল প্রাথমিক প্রমাণীকরণ নয়।

মডেল উত্তর দেখুন

RADIUS অ্যাকাউন্টিং Purple-এ প্রক্সি করা হচ্ছে না। যদিও প্রমাণীকরণ প্রক্সি ব্যবহারকারীদের নেটওয়ার্কে প্রবেশের অনুমতি দেয়, সেশনের সময়কাল এবং ডোয়েল টাইম গণনা করতে Purple-এর RADIUS অ্যাকাউন্টিং প্যাকেট (Acct-Start, Acct-Interim-Update, Acct-Stop) প্রয়োজন। আপনাকে নিশ্চিত করতে হবে যে ClearPass-কে Purple-এ অ্যাকাউন্টিং ডেটা প্রক্সি করার জন্য কনফিগার করা হয়েছে এবং কন্ট্রোলারটিকে অন্তর্বর্তীকালীন আপডেট (যেমন, প্রতি ৫ মিনিটে) পাঠানোর জন্য সেট করা হয়েছে।

এই সিরিজে পড়া চালিয়ে যান

Guest এবং Staff WiFi নেটওয়ার্কের জন্য RADIUS Authentication কনফিগার করা

এই টেকনিক্যাল রেফারেন্স গাইডটি এন্টারপ্রাইজ guest এবং staff WiFi নেটওয়ার্কের জন্য RADIUS authentication-এর আর্কিটেকচার, কনফিগারেশন এবং ডিপ্লয়মেন্টের রূপরেখা প্রদান করে। এটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের সুরক্ষিত, স্কেলযোগ্য ওয়্যারলেস অ্যাক্সেস কন্ট্রোল সিস্টেম তৈরি করার জন্য প্রয়োজনীয় সঠিক প্রোটোকল, সিকিউরিটি স্ট্যান্ডার্ড এবং ট্রাবলশুটিং মেথডোলজি প্রদান করে।

গাইডটি পড়ুন →

Passpoint এবং OpenRoaming: সম্পূর্ণ নির্দেশিকা

এই প্রযুক্তিগত রেফারেন্স নির্দেশিকাটি এন্টারপ্রাইজ WiFi নেটওয়ার্কের মধ্যে Passpoint (Hotspot 2.0) এবং WBA OpenRoaming ফ্রেমওয়ার্কের একটি বিস্তৃত বিশ্লেষণ প্রদান করে। এটি একটি নিরাপদ, ঝামেলামুক্ত অতিথি সংযোগ স্থাপন করার জন্য প্রয়োজনীয় অন্তর্নিহিত প্রমাণীকরণ প্রোটোকল, আর্কিটেকচারাল উপাদান এবং স্থাপনার কৌশলগুলি বিস্তারিতভাবে বর্ণনা করে। নেটওয়ার্ক স্থপতি এবং IT লিডাররা এন্টারপ্রাইজ-গ্রেড নিরাপত্তা বজায় রেখে ম্যানুয়াল লগইন বাধাগুলি দূর করতে কীভাবে এই মানগুলি ডিজাইন, বাস্তবায়ন এবং সমস্যা সমাধান করবেন তা শিখবেন।

গাইডটি পড়ুন →

উচ্চশিক্ষায় সুরক্ষিত BYOD এবং নেটওয়ার্ক এনরোলমেন্টের জন্য কীভাবে SCEP বাস্তবায়ন করবেন

এই প্রযুক্তিগত নির্দেশিকাটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের উচ্চশিক্ষার ক্যাম্পাস নেটওয়ার্ক সুরক্ষিত করতে SCEP ভিত্তিক সার্টিফিকেট এনরোলমেন্ট স্থাপনের জন্য একটি ভেন্ডর - নিরপেক্ষ ব্লুপ্রিন্ট প্রদান করে। এটি কীভাবে পাসওয়ার্ড ভিত্তিক PEAP থেকে 802.1X EAP-TLS-এ স্থানান্তরিত হতে হবে, BYOD অনবোর্ডিং স্বয়ংক্রিয় করতে হবে এবং শক্তিশালী VLAN সেগমেন্টেশন কার্যকর করতে হবে তা বিস্তারিতভাবে বর্ণনা করে।

গাইডটি পড়ুন →