মূল কন্টেন্টে যান
বাংলা

Aruba ClearPass বনাম Purple WiFi: ফিচার এবং সহ-স্থাপনার তুলনা

Aruba ClearPass এবং Purple WiFi-এর সহ-স্থাপনা আর্কিটেকচারের বিবরণ সম্বলিত একটি ব্যাপক প্রযুক্তিগত নির্দেশিকা। এটি এন্টারপ্রাইজ NAC-এর পাশাপাশি সুরক্ষিত, অ্যানালিটিক্স-চালিত গেস্ট নেটওয়ার্ক প্রদানের জন্য RADIUS proxy কনফিগারেশন, ডায়নামিক VLAN অ্যাসাইনমেন্ট এবং সর্বোত্তম অনুশীলনগুলি কভার করে।

📖 6 মিনিট পাঠ📝 1,499 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
একটি আত্মবিশ্বাসী, কর্তৃত্বপূর্ণ এবং কথোপকথনমূলক সুরে ব্রিটিশ ইংরেজিতে কথা বলুন। আপনি একজন সিনিয়র নেটওয়ার্ক কনসালট্যান্ট যিনি ক্লায়েন্টকে ব্রিফিং করছেন। পরিমিত গতি, স্পষ্ট উচ্চারণ, পেশাদার কিন্তু অনমনীয় নয়। জোর দেওয়ার জন্য মাঝে মাঝে স্বাভাবিক বিরতি: Purple-এর এই প্রযুক্তিগত ব্রিফিংয়ে আপনাকে স্বাগত জানাই। আমি আপনার হোস্ট, এবং আজ আমরা এমন একটি প্রশ্ন কভার করছি যা আমাদের কাজ করা প্রায় প্রতিটি এন্টারপ্রাইজ ওয়্যারলেস প্রজেক্টে উঠে আসে: যখন আপনার ইতিমধ্যে Aruba ClearPass ডেপ্লয় করা থাকে, তখন Purple WiFi কোথায় ফিট করে এবং কীভাবে এই দুটি সিস্টেম একসাথে কাজ করে? [medium pause] এটি কোনও তাত্ত্বিক আলোচনা নয়। আপনি যদি কোনও হোটেল গ্রুপ, রিটেল চেইন বা স্টেডিয়াম অপারেটরের আইটি ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট বা সিকিউরিটি ইঞ্জিনিয়ার হন, তবে এটি এমন একটি সিদ্ধান্ত যা আপনাকে এই কোয়ার্টারে নিতে হতে পারে। তাই চলুন মূল বিষয়ে যাওয়া যাক। [medium pause] ভূমিকা এবং প্রেক্ষাপট। [short pause] প্রথমত, প্রতিটি প্ল্যাটফর্ম আসলে কী করার জন্য ডিজাইন করা হয়েছে সে সম্পর্কে স্পষ্ট হওয়া যাক। Aruba ClearPass Policy Manager হল একটি নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল প্ল্যাটফর্ম। এর কাজ হল ডিভাইস এবং ব্যবহারকারীদের প্রমাণীকরণ করা, এন্ডপয়েন্ট পোস্টার মূল্যায়ন করা এবং আপনার সম্পূর্ণ নেটওয়ার্ক জুড়ে অ্যাক্সেস পলিসি প্রয়োগ করা। এটি 802.1X পরিচালনা করে, যা পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের জন্য IEEE স্ট্যান্ডার্ড, যেখানে সার্টিফিকেট সহ EAP-TLS এবং ইউজারনেম ও পাসওয়ার্ড সহ PEAP-এর মতো EAP পদ্ধতি ব্যবহার করা হয়। এটি Microsoft Entra ID, Okta এবং অন্যান্য আইডেন্টিটি প্রোভাইডারদের সাথে ইন্টিগ্রেট করে। এটি ডিভাইসের প্রোফাইল তৈরি করে, সেগুলি আপনার সিকিউরিটি পলিসি মেনে চলছে কিনা তা পরীক্ষা করে এবং সেগুলিকে সঠিক নেটওয়ার্ক রোলে অ্যাসাইন করে। কর্পোরেট ডিভাইসের জন্য, ClearPass চমৎকার। এটি ঠিক এই ব্যবহারের ক্ষেত্রের জন্যই তৈরি করা হয়েছে। [medium pause] Purple WiFi সম্পূর্ণ ভিন্ন একটি বিষয়। Purple হল একটি ক্লাউড-ভিত্তিক গেস্ট WiFi ইন্টেলিজেন্স প্ল্যাটফর্ম। এর কাজ হল একটি ব্র্যান্ডেড Captive Portal-এর মাধ্যমে ভিজিটরদের প্রমাণীকরণ করা, GDPR-সম্মত সম্মতি প্রবাহের সাথে ফার্স্ট-পার্টি ডেটা সংগ্রহ করা এবং সেই ডেটা আপনার মার্কেটিং ও অ্যানালিটিক্স স্ট্যাকে সরবরাহ করা। Purple বিশ্বব্যাপী ৮০,০০০-এরও বেশি ভেন্যুতে কাজ করে এবং শুধুমাত্র ২০২৪ সালেই ৪৪০ মিলিয়ন লগইন প্রসেস করেছে। এটি CRM এবং মার্কেটিং অটোমেশন প্ল্যাটফর্ম সহ ৪০০-এরও বেশি কানেক্টরের সাথে ইন্টিগ্রেট করে। গেস্ট নেটওয়ার্কের জন্য, Purple হল স্পেশালিস্ট। [medium pause] অধিকাংশ প্রতিষ্ঠান যে সমস্যার সম্মুখীন হয় তা হল তারা উভয় কাজ করার জন্য একটি প্ল্যাটফর্ম ব্যবহার করার চেষ্টা করে। তারা হয় ClearPass-কে তাদের গেস্ট পোর্টাল চালানোর জন্য অনুরোধ করে, যা এটি করতে পারে তবে খুব মার্জিতভাবে নয়, অথবা তারা তাদের বিদ্যমান NAC ইনভেস্টমেন্টের পাশে এটি কীভাবে অবস্থান করবে তা চিন্তা না করেই Purple ডেপ্লয় করে। সঠিক উত্তর হল একটি কো-ডেপ্লয়মেন্ট আর্কিটেকচার যেখানে প্রতিটি প্ল্যাটফর্ম তার সেরা কাজটি করে। [medium pause] প্রযুক্তিগত গভীর আলোচনা। [short pause] আমি আপনাকে আর্কিটেকচারের বিবরণ দিচ্ছি। একটি কো-ডেপ্লয়মেন্টে, আপনার Aruba Mobility Controller বা Aruba Instant অ্যাক্সেস পয়েন্টগুলি একাধিক SSID ব্রডকাস্ট করে। সাধারণত তিনটি: একটি কর্পোরেট ডিভাইসের জন্য, একটি গেস্টদের জন্য এবং একটি IoT-এর জন্য। এই SSID ডিজাইন প্যাটার্ন সম্পর্কে আরও জানতে, Purple 'Three SSIDs to rule them all' নামে একটি বিস্তারিত নির্দেশিকা প্রকাশ করেছে, যা আমি এই ব্রিফিংয়ের সাথে পড়ার সুপারিশ করব। [medium pause] কর্পোরেট SSID-টি 802.1X সহ EAP-TLS ব্যবহার করে। ClearPass Onboard-এর মাধ্যমে দেওয়া সার্টিফিকেটের সাহায্যে ডিভাইসগুলো অথেন্টিকেট করে, যা হলো ClearPass-এর বিল্ট-ইন সার্টিফিকেট এনরোলমেন্ট এবং ডিভাইস প্রভিশনিং মডিউল। ClearPass ডিভাইসের সিকিউরিটি স্ট্যাটাস চেক করে, সার্টিফিকেট ভেরিফাই করে, Active Directory বা Microsoft Entra ID-তে কোয়েরি করে এবং ডিভাইসটিকে উপযুক্ত VLAN-এ অ্যাসাইন করে। সাধারণত কর্পোরেটের জন্য VLAN 10। এই সম্পূর্ণ ফ্লোটি ClearPass-এর মধ্যেই থাকে। Purple এর সাথে জড়িত নয়। [medium pause] গেস্ট SSID-তেই ইন্টিগ্রেশনটি ঘটে। যখন কোনো ভিজিটর গেস্ট SSID-তে কানেক্ট করেন, তখন Aruba কন্ট্রোলার তাদের HTTP ট্রাফিক ইন্টারসেপ্ট করে এবং তাদের ব্রাউজারকে Purple-এর Captive Portal-এ রিডাইরেক্ট করে। ভিজিটর Purple-এর মাধ্যমে অথেন্টিকেট করেন, সম্ভবত Google-এর মাধ্যমে সোশ্যাল লগইন, একটি কাস্টম ইমেল ফর্ম বা OpenRoaming ব্যবহার করে, যেখানে Purple তাদের Connect লাইসেন্সের অধীনে একটি ফ্রি আইডেন্টিটি প্রোভাইডার হিসেবে কাজ করে। একবার Purple ভিজিটরকে ভ্যালিডেট করলে, এটি কন্ট্রোলারে একটি RADIUS Access-Accept মেসেজ ফেরত পাঠায়, যা ইন্টারনেট অ্যাক্সেস মঞ্জুর করে। [medium pause] এখন, মূল আর্কিটেকচারাল সিদ্ধান্ত হলো আপনি কন্ট্রোলার এবং Purple-এর মাঝে ClearPass-কে একটি RADIUS proxy হিসেবে যুক্ত করবেন কি না, নাকি কন্ট্রোলারটি সরাসরি Purple-এর RADIUS সার্ভারের সাথে যোগাযোগ করবে। বেশিরভাগ এন্টারপ্রাইজ ডেপ্লয়মেন্টের জন্য, প্রক্সি মডেলটিই সঠিক পছন্দ। কেন তা নিচে দেওয়া হলো। [medium pause] RADIUS proxy হিসেবে ClearPass থাকলে, আপনার নেটওয়ার্কের কর্পোরেট এবং গেস্ট উভয় ধরনের প্রতিটি অথেন্টিকেশন ইভেন্ট ClearPass-এর মাধ্যমে প্রবাহিত হয়। আপনি একটি একক অডিট ট্রেইল পান। আপনার সিকিউরিটি অপারেশন টিম সবকিছু এক জায়গায় দেখতে পায়। ClearPass কন্ট্রোলারে রেসপন্স ফেরত পাঠানোর আগে নিজস্ব পলিসি অ্যাট্রিবিউট যুক্ত করতে পারে, যা রোলের ভিত্তিতে ডাইনামিক VLAN অ্যাসাইনমেন্ট সক্ষম করে। এবং আপনার গেস্ট সেশনগুলোতে অতিরিক্ত পলিসি প্রয়োগ করার ক্ষমতা বজায় থাকে, যেমন ব্যান্ডউইথ লিমিট বা সময়-ভিত্তিক অ্যাক্সেস নিষেধাজ্ঞা। ClearPass-এ প্রক্সি কনফিগারেশন খুবই সহজ। আপনি একটি RADIUS Routing Policy তৈরি করবেন যা NAS আইডেন্টিফায়ার বা কলড স্টেশন ID দ্বারা গেস্ট SSID-এর সাথে ম্যাচ করে। সেই পলিসির সাথে ম্যাচ করা রিকোয়েস্টগুলো Purple-এর ক্লাউড RADIUS সার্ভারে ফরোয়ার্ড করা হয়। Purple রেসপন্স করে, ClearPass সেখানে Aruba-User-Role ভেন্ডর-স্পেসিফিক অ্যাট্রিবিউট যুক্ত করে এবং কন্ট্রোলারটি গেস্টকে শুধুমাত্র ইন্টারনেট অ্যাক্সেস সহ VLAN 20-এ সেট করে। [medium pause] IoT ডিভাইসের জন্য, তৃতীয় SSID-টি MAC অথেন্টিকেশন বাইপাস ব্যবহার করে। ClearPass ডিভাইসটির OUI (যা প্রস্তুতকারককে সনাক্তকারী MAC অ্যাড্রেসের প্রথম ছয়টি অক্ষর) ব্যবহার করে ডিভাইসটির প্রোফাইল তৈরি করে এবং এটিকে ROLE_IOT-তে অ্যাসাইন করে, যা VLAN 30-এর সাথে ম্যাপ করা থাকে। এই VLAN-এর কোনো ইন্টারনেট অ্যাক্সেস নেই, শুধুমাত্র লোকাল কানেক্টিভিটি রয়েছে। আপনার স্মার্ট টিভি, থার্মোস্ট্যাট এবং ডোর লকগুলো কর্পোরেট এবং গেস্ট উভয় ট্রাফিক থেকে সম্পূর্ণ আলাদা থাকে। [medium pause] আসুন কমপ্লায়েন্স বা সম্মতি বিধান নিয়ে কথা বলি, কারণ এখানেই এই আর্কিটেকচারটি তার যথার্থতা প্রমাণ করে। PCI DSS-এর অধীনে, কার্ডহোল্ডারের ডেটা স্পর্শ করে এমন যেকোনো নেটওয়ার্ক সেগমেন্টকে অবশ্যই গেস্ট নেটওয়ার্ক থেকে আলাদা রাখতে হবে। এই আর্কিটেকচারের VLAN সেগমেন্টেশন সেই প্রয়োজনীয়তা পূরণ করে। GDPR-এর অধীনে, Purple-এর Captive Portal সচেতনভাবে বেছে নেওয়া অপ্ট-ইন পদ্ধতির মাধ্যমে সম্মতি সংগ্রহ পরিচালনা করে, যার অর্থ দর্শকরা ডিফল্টভাবে ডেটা সংগ্রহ করার পরিবর্তে সক্রিয়ভাবে তাদের ডেটা শেয়ার করতে পছন্দ করেন। Purple হলো ISO 27001 সার্টিফাইড, GDPR কমপ্লায়েন্ট এবং এটির Cyber Essentials সার্টিফিকেশন রয়েছে। ClearPass এমন অডিট ট্রেল প্রদান করে যা আপনার সিকিউরিটি টিমের কমপ্লায়েন্স রিপোর্টিংয়ের জন্য প্রয়োজন। [medium pause] বাস্তবায়নের সুপারিশ এবং সম্ভাব্য ত্রুটিসমূহ। [short pause] আমি আপনাকে এমন পাঁচটি বিষয় সম্পর্কে বলব যা এই ডেপ্লয়মেন্টের ক্ষেত্রে সবচেয়ে বেশি ভুল হয় এবং কীভাবে সেগুলো এড়ানো যায়। [medium pause] এক নম্বর: ওয়াল্ড গার্ডেন (walled garden)। একজন ভিজিটর অথেন্টিকেট বা যাচাই করার আগে, Aruba কন্ট্রোলার শুধুমাত্র পূর্ব-নির্ধারিত গন্তব্যের তালিকায় ট্রাফিক অনুমোদন করে। যদি Purple-এর পোর্টাল ডোমেন, এর CDN এন্ডপয়েন্ট এবং সোশ্যাল লগইন প্রোভাইডার ডোমেনগুলো সেই তালিকায় না থাকে, তবে পোর্টালটি লোড হবে না। আপনাকে star dot purple dot ai, star dot cloudfront dot net এবং আপনি যে সামাজিক লগইন প্রদানকারী ব্যবহার করছেন তার OAuth ডোমেনগুলো অন্তর্ভুক্ত করতে হবে। Google, Facebook, Apple এবং Microsoft Entra ID-এর প্রত্যেকের নিজস্ব ডোমেন সেট রয়েছে। ওয়াল্ড গার্ডেনকে একটি লাইভ কনফিগারেশন হিসেবে বিবেচনা করুন, কারণ সোশ্যাল লগইন প্রদানকারীরা পর্যায়ক্রমে তাদের CDN ডোমেন পরিবর্তন করে। [medium pause] দুই নম্বর: RADIUS টাইমআউট। বেশিরভাগ Aruba কন্ট্রোলারে ডিফল্ট RADIUS টাইমআউট থাকে তিন সেকেন্ড। একটি প্রক্সি আর্কিটেকচারে, রিকোয়েস্টটি অ্যাক্সেস পয়েন্ট থেকে কন্ট্রোলারে, সেখান থেকে ClearPass-এ, তারপর ইন্টারনেটের মাধ্যমে Purple-এর ক্লাউড RADIUS-এ যায় এবং আবার ফিরে আসে। একটি ভিড়যুক্ত নেটওয়ার্কে, সেই রাউন্ড ট্রিপটি তিন সেকেন্ডের বেশি সময় নিতে পারে। আপনার টাইমআউট অন্তত দশ সেকেন্ডে সেট করুন এবং কমপক্ষে দুটি রিট্রাই সহ রিট্রাই লজিক কনফিগার করুন। [medium pause] তিন নম্বর: শেয়ার্ড সিক্রেট অমিল (shared secret mismatches)। Aruba কন্ট্রোলার এবং ClearPass-এর মধ্যে শেয়ার্ড সিক্রেট অবশ্যই হুবহু মিলতে হবে। ClearPass এবং Purple-এর RADIUS সার্ভারের মধ্যে শেয়ার্ড সিক্রেটও হুবহু মিলতে হবে। একটি একক অক্ষরের পার্থক্যের কারণে ভিজিটরের কাছে কোনো অর্থপূর্ণ ত্রুটির বার্তা ছাড়াই নীরব অথেন্টিকেশন ব্যর্থতা ঘটে। এগুলো সবসময় অক্ষরে অক্ষরে যাচাই করুন। [medium pause] চার নম্বর: রোল নামের কেস সেন্সিটিভিটি (role name case sensitivity)। ClearPass দ্বারা রিটার্ন করা Aruba-User-Role অ্যাট্রিবিউটটি ক্যাপিটালাইজেশন সহ Aruba কন্ট্রোলারে সংজ্ঞায়িত রোল নামের সাথে হুবহু মিলতে হবে। যদি ClearPass "guest-authenticated" রিটার্ন করে কিন্তু কন্ট্রোলারে "Guest-Authenticated" সংজ্ঞায়িত থাকে, তবে ভিজিটর ইন্টারনেট অ্যাক্সেস ছাড়াই ডিফল্ট লগঅন রোলে ফিরে যান। [medium pause] ৫ নম্বর: RADIUS অ্যাকাউন্টিং। অনেক ডেপ্লয়মেন্ট অথেন্টিকেশন প্রক্সিং সঠিকভাবে কনফিগার করলেও অ্যাকাউন্টিং প্রক্সি করতে ভুলে যায়। Purple সেশন চলাকালীন সময়, ডেটা ব্যবহার ট্র্যাক করতে এবং এর অ্যানালিটিক্স ড্যাশবোর্ড আপডেট করতে RADIUS অ্যাকাউন্টিং ডেটা ব্যবহার করে। যদি অ্যাকাউন্টিং ডেটা Purple-এ না পৌঁছায়, তবে আপনার ফুটফল অ্যানালিটিক্স এবং ডোয়েল টাইম রিপোর্টগুলি অসম্পূর্ণ থেকে যাবে। [medium pause] চটজলদি প্রশ্নোত্তর। [short pause] আমি কি এটি একটি সম্পূর্ণ Mobility Controller-এর পরিবর্তে Aruba Instant-এ চালাতে পারি? হ্যাঁ। Aruba Instant এক্সটার্নাল RADIUS সার্ভার এবং captive portal রিডাইরেক্ট সমর্থন করে। কনফিগারেশন সামান্য ভিন্ন হলেও নীতিগুলো অভিন্ন। [medium pause] Purple কি Change of Authorisation সমর্থন করে? হ্যাঁ। CoA কন্ট্রোলারকে পুনরায় সংযোগ করার প্রয়োজন ছাড়াই ভিজিটরের সেশন ডায়নামিকালি আপডেট করতে দেয়। এটি সময়-সীমিত অ্যাক্সেস বা টিয়ার আপগ্রেডের জন্য দরকারী। [medium pause] এটি কি WPA3-এর সাথে কাজ করে? হ্যাঁ। ব্যক্তিগত নেটওয়ার্কের জন্য WPA3-SAE এবং 802.1X-এর জন্য WPA3-Enterprise উভয়ই সমর্থিত। captive portals ব্যবহার করা গেস্ট নেটওয়ার্কের জন্য, WPA3-SAE বা একটি ওপেন SSID সহ Opportunistic Wireless Encryption সাধারণত বেছে নেওয়া হয়। [medium pause] আমি কি কর্মচারী এবং গেস্ট উভয়ের জন্যই একটি একক SSID ব্যবহার করতে পারি? আপনি পারেন, তবে এটি জটিলতা বাড়ায়। ClearPass একই SSID-এ 802.1X এবং MAC অথেন্টিকেশন উভয়ই পরিচালনা করে, ট্রাফিকের ধরন আলাদা করতে এবং সেই অনুযায়ী রাউট করতে সার্ভিস রুল ব্যবহার করে। বেশিরভাগ ভেন্যুর জন্য, আলাদা SSID ব্যবহার করা একটি আরও সহজ ও পরিচ্ছন্ন সমাধান। [medium pause] সংক্ষেপ এবং পরবর্তী পদক্ষেপ। [short pause] ClearPass এবং Purple একে অপরের পরিপূরক, প্রতিযোগী নয়। ClearPass হলো কর্পোরেট ডিভাইসগুলোর জন্য আপনার পলিসি ইঞ্জিন: 802.1X, এন্ডপয়েন্ট পোস্টার, সার্টিফিকেট ম্যানেজমেন্ট এবং ইউনিফাইড অডিট ট্রেইল। Purple হলো আপনার গেস্ট ইন্টেলিজেন্স প্ল্যাটফর্ম: ব্র্যান্ডেড captive portal, GDPR-সম্মত ডেটা সংগ্রহ, ফুটফল অ্যানালিটিক্স এবং মার্কেটিং অটোমেশন। [medium pause] কো-ডেপ্লয়মেন্ট আর্কিটেকচার ClearPass-কে একটি RADIUS প্রক্সি হিসেবে ব্যবহার করে। সমস্ত অথেন্টিকেশন অনুরোধ ClearPass-এর মাধ্যমে প্রবাহিত হয়। গেস্টদের অনুরোধগুলো Purple-এর ক্লাউড RADIUS-এ রাউট করা হয়। কর্পোরেট অনুরোধগুলো ClearPass দ্বারা স্থানীয়ভাবে পরিচালিত হয়। Aruba কন্ট্রোলার ডায়নামিক VLAN অ্যাসাইনমেন্টের মাধ্যমে অর্জিত নীতিগুলো প্রয়োগ করে। [medium pause] যে তিনটি কনফিগারেশন উপাদান আপনাকে অবশ্যই সঠিকভাবে সম্পন্ন করতে হবে তা হলো: walled garden, RADIUS টাইমআউট এবং রোল নামের সামঞ্জস্যতা। এগুলো সঠিকভাবে করতে পারলে আপনি একটি নিয়ম-সম্মত, ব্যবসায়িকভাবে মূল্যবান গেস্ট WiFi ডেপ্লয়মেন্ট পাবেন যা আপনার কর্পোরেট সিকিউরিটিকে কোনোভাবেই প্রভাবিত করবে না। [medium pause] আপনার পরবর্তী পদক্ষেপের জন্য: Purple ড্যাশবোর্ড থেকে আপনার Purple ভেন্যু RADIUS ক্রিডেনশিয়াল সংগ্রহ করুন, সংশ্লিষ্ট লিখিত গাইডে থাকা walled garden রেফারেন্স তালিকাটি পর্যালোচনা করুন এবং প্রোডাকশনে রোল আউট করার আগে একটি ডেডিকেটেড টেস্ট ডিভাইসের সাহায্যে সম্পূর্ণ অথেন্টিকেশন প্রবাহ পরীক্ষা করুন। আপনি যদি একাধিক সাইটে এটি ডেপ্লয় করেন, তবে Purple-এর মাল্টি-সাইট ম্যানেজমেন্ট কনসোল আপনাকে একটি মাত্র ইন্টারফেস থেকেই আপনার পুরো এস্টেট জুড়ে captive portal কনফিগারেশন, ব্র্যান্ডিং এবং অ্যানালিটিক্স পরিচালনা করতে দেবে। [medium pause] শোনার জন্য ধন্যবাদ। আপনার নির্দিষ্ট ডিপ্লয়মেন্ট সম্পর্কে একজন সলিউশন আর্কিটেক্টের সাথে কথা বলতে purple dot ai ভিসিট করুন।

header_image.png

कार्यकारी सारांश

HPE Aruba इन्फ्रास्ट्रक्चरमध्ये मोठ्या प्रमाणावर गुंतवणूक केलेल्या एंटरप्राइझ वातावरणासाठी, अखंड, डेटा-समृद्ध अतिथी WiFi अनुभव प्रदान करताना जटिल नेटवर्क प्रवेश धोरणे व्यवस्थापित करणे एक महत्त्वपूर्ण आर्किटेक्चरल आव्हान सादर करते. Aruba ClearPass पॉलिसी व्यवस्थापक कॉर्पोरेट उपकरणांसाठी नेटवर्क ऍक्सेस कंट्रोल (NAC) आणि 802.1X सुरक्षिततेमध्ये उत्कृष्ट असला तरी, त्याच्या अंगभूत Captive Portal मध्ये आधुनिक ठिकाणांसाठी आवश्यक असलेल्या प्रगत विपणन ऑटोमेशन आणि विश्लेषणेचा अभाव आहे. हे मार्गदर्शक ClearPass सोबत Purple WiFi कसे समाकलित करावे हे तपशीलवार सांगते, ज्यामुळे प्रत्येक प्लॅटफॉर्मला त्यांच्या मुख्य सामर्थ्यावर लक्ष केंद्रित करणे शक्य होते.

ClearPass ला RADIUS प्रॉक्सी म्हणून उपयोजित करून, आपण कॉर्पोरेट आणि IoT उपकरणांसाठी युनिफाइड सुरक्षा ऑडिट ट्रेल आणि डायनॅमिक VLAN असाइनमेंट राखता, तर अतिथी ऑनबोर्डिंग अनुभव Purple कडे सोपवता. हा दृष्टिकोन GDPR-सुसंगत फर्स्ट-पार्टी डेटा कॅप्चर, तपशीलवार फूटफॉल विश्लेषणे आणि ४०० हून अधिक विपणन कनेक्टर्ससह एकत्रीकरण सक्षम करतो—तुमच्या विद्यमान Aruba NAC गुंतवणुकीला न बदलता. हा दस्तऐवज या सह-उपयोजनासाठी तांत्रिक ब्ल्यूप्रिंट प्रदान करतो, ज्यामध्ये आर्किटेक्चर, कॉन्फिगरेशन त्रुटी आणि सर्वोत्तम पद्धतींचा समावेश आहे.

तांत्रिक सखोल विश्लेषण

Aruba ClearPass आणि Purple WiFi चे एकत्रीकरण मानक RADIUS प्रोटोकॉल आणि HTTP रीडायरेक्ट मेकॅनिझमवर अवलंबून आहे, जे RADIUS प्रॉक्सी आर्किटेक्चरभोवती संरचित आहे. हे डिझाइन हे सुनिश्चित करते की ClearPass सर्व नेटवर्क प्रवेशासाठी केंद्रीय धोरण निर्णय बिंदू राहील, तर Purple अतिथी-अनुकूल Captive Portal आणि डेटा संकलन व्यवस्थापित करते.

मुख्य आर्किटेक्चर

मानक सह-उपयोजनामध्ये, तुमचे Aruba मोबिलिटी कंट्रोलर्स किंवा Aruba इन्स्टंट ऍक्सेस पॉइंट्स एकाधिक SSIDs ब्रॉडकास्ट करतात. एक सामान्य डिझाइन पॅटर्न, जसे की Three SSIDs to rule them all: the WiFi design for guest, staff and IoT मध्ये वर्णन केले आहे, तीन समर्पित नेटवर्क वापरतो:

  1. Corporate SSID: EAP-TLS सह 802.1X वापरते. ClearPass Onboard द्वारे तरतूद केलेल्या प्रमाणपत्रांचा वापर करून उपकरणे प्रमाणीकृत होतात. ClearPass उपकरणाच्या स्थितीचे मूल्यांकन करते, Microsoft Entra ID किंवा Active Directory कडे चौकशी करते आणि उपकरणाला कॉर्पोरेट VLAN (उदा. VLAN 10) मध्ये नियुक्त करते. या फ्लोमध्ये Purple समाविष्ट नाही.
  2. IoT SSID: MAC ऑथेंटिकेशन बायपास (MAB) वापरते. ClearPass उपकरणाच्या ऑर्गनायझेशनली युनिक आयडेंटिफायर (OUI) चा वापर करून त्याचे प्रोफाइल तयार करते आणि त्याला इंटरनेट प्रवेश नसलेल्या एका वेगळ्या IoT VLAN (उदा. VLAN 30) मध्ये नियुक्त करते.
  3. Guest SSID: हे एक ओपन किंवा अपॉर्चुनिस्टिक वायरलेस एन्क्रिप्शन (OWE) नेटवर्क आहे जे Purple Captive Portal ट्रिगर करते. architecture_overview.png

RADIUS Proxy फ्लो

जेव्हा एखादा अभ्यागत (visitor) गेस्ट SSID शी कनेक्ट होतो आणि ब्राउझर उघडतो, तेव्हा Aruba कंट्रोलर HTTP ट्रॅफिक अडवतो आणि सेशन Purple Captive Portal URL कडे रिडायरेक्ट करतो. अभ्यागत सोशल लॉगिन, कस्टम फॉर्म किंवा OpenRoaming (जिथे Purple, Connect प्लॅन अंतर्गत मोफत आयडेंटिटी प्रोव्हाइडर म्हणून काम करते) चा वापर करून Purple द्वारे ऑथेंटिकेट करतो.

एकदा Purple ने अभ्यागताला प्रमाणित (validate) केले की, ते RADIUS Access-Accept संदेश पाठवते. तथापि, Aruba कंट्रोलर थेट Purple च्या क्लाउड RADIUS सर्व्हरशी संपर्क साधण्याऐवजी, ClearPass ला RADIUS proxy म्हणून समाविष्ट केले जाते:

  1. Aruba कंट्रोलर सर्व RADIUS विनंत्या (requests) ClearPass कडे पाठवतो.
  2. ClearPass त्याच्या सेवा नियमांच्या (Service Rules) विरुद्ध विनंतीचे मूल्यमापन करते. जर विनंती गेस्ट SSID शी जुळत असेल (Called-Station-Id किंवा NAS आयडेंटिफायरद्वारे ओळखली जाणारी), तर RADIUS Routing Policy ही विनंती Purple च्या RADIUS सर्व्हरकडे फॉरवर्ड करते.
  3. Purple एक Access-Accept संदेशासह प्रतिसाद देते.
  4. ClearPass ला हा प्रतिसाद मिळतो आणि तो स्वतःची Enforcement Policy लागू करतो, कंट्रोलरकडे अंतिम प्रतिसाद फॉरवर्ड करण्यापूर्वी विशिष्ट Vendor-Specific Attributes (VSAs) जोडतो.

डायनॅमिक रोल-आधारित VLAN असाइनमेंट

या आर्किटेक्चरमधील सर्वात महत्त्वाची VSA म्हणजे Aruba-User-Role आहे. जेव्हा ClearPass, Access-Accept संदेश कंट्रोलरकडे फॉरवर्ड करते, तेव्हा वायरलेस नेटवर्कवर अभ्यागताने कोणती नेमकी भूमिका घ्यावी हे स्पष्ट करण्यासाठी ते या ॲट्रिब्यूटचा समावेश करते.

उदाहरणार्थ, ClearPass Aruba-User-Role = guest-authenticated परत करू शकते. Aruba कंट्रोलरवर, हा रोल VLAN 20 शी मॅप केला जातो, जो इंटरनेट प्रवेशाची परवानगी देणाऱ्या परंतु अंतर्गत कॉर्पोरेट सबनेटसाठी राउटिंग ब्लॉक करणाऱ्या फायरवॉल पॉलिसीसह कॉन्फिगर केलेला असतो. PCI DSS [1] सारख्या मानकांचे पालन करण्यासाठी हे सेगमेंटेशन आवश्यक आहे.

comparison_chart.png

अंमलबजावणी मार्गदर्शिका (Implementation Guide)

हे आर्किटेक्चर तैनात करण्यासाठी Aruba इन्फ्रास्ट्रक्चर आणि ClearPass दोन्हीवर अचूक कॉन्फिगरेशन आवश्यक आहे. हे इंटिग्रेशन स्थापित करण्यासाठी खालील विक्रेता-तटस्थ (vendor-neutral) पायऱ्यांचे अनुसरण करा.

पायरी १: ClearPass मध्ये Purple RADIUS सर्व्हर कॉन्फिगर करा

ClearPass मधील Configuration > Network > Devices वर जा आणि Purple चे प्राथमिक आणि दुय्यम RADIUS सर्व्हर नेटवर्क डिव्हाइस म्हणून जोडा. तुम्हाला तुमच्या Purple व्हेन्यू कॉन्फिगरेशन डॅशबोर्डमध्ये दिलेले IP ॲड्रेस आणि शेअर केलेला सिक्रेट कोड (shared secret) आवश्यक असेल.

पायरी २: RADIUS Routing Policy तयार करा

ClearPass मध्ये एक नवीन RADIUS Routing Policy तयार करा. ही पॉलिसी कोणत्या परिस्थितींमध्ये विनंत्या (requests) Purple कडे प्रॉक्सी केल्या जातील हे निश्चित करेल. पायरी १ मध्ये तुम्ही कॉन्फिगर केलेल्या Purple RADIUS सर्व्हरवर प्राथमिक आणि बॅकअप डेस्टिनेशन सेट करा.

पायरी ३: गेस्ट सर्व्हिस व्याख्यात करा

गेस्ट ऑथेंटिकेशनसाठी ClearPass मध्ये एक नवीन सर्व्हिस (Service) तयार करा.

  • Type: RADIUS Enforcement (Generic)
  • सर्व्हिस नियम: तुमच्या गेस्ट SSID नाव असलेल्या Radius:IETF:Called-Station-Id शी जुळवा.
  • राउटिंग पॉलिसी: पायरी २ मध्ये तयार केलेली पॉलिसी निवडा.
  • एंफोर्समेंट पॉलिसी: अरुबा कंट्रोलरवरील तुमच्या गेस्ट रोलशी संबंधित असलेल्या व्हॅल्यूसह Aruba-User-Role VSA परत करण्यासाठी पॉलिसी कॉन्फिगर करा.

पायरी ४: कंट्रोलरवर वॉल्ड गार्डन कॉन्फिगर करा

वॉल्ड गार्डन ही अशा डोमेन्सची सूची आहे जिथपर्यंत एखादे डिव्हाइस ऑथेंटिकेशनपूर्वी पोहोचू शकते. हे अरुबा कंट्रोलरवर (किंवा ArubaOS 10 मधील ॲक्सेस नियमांद्वारे) कॉन्फिगर केले जाते. आपण Purple च्या मुख्य डोमेन्सचा समावेश करणे आवश्यक आहे:

  • *.purple.ai
  • *.cloudfront.net
  • *.venuewifi.com

जर तुम्ही सोशल लॉगिन सक्षम करत असाल, तर तुम्ही प्रत्येक प्रदात्यासाठी OAuth डोमेन्स देखील जोडले पाहिजेत (उदा. *.facebook.com, *.google.com, *.microsoftonline.com).

पायरी ५: RADIUS अकाऊंटिंग कॉन्फिगर करा

RADIUS अकाऊंटिंग देखील ClearPass द्वारे Purple कडे प्रॉक्सी केले जात असल्याची खात्री करा. Purple हे सेशनचा कालावधी ट्रॅक करण्यासाठी आणि त्याचे WiFi Analytics डॅशबोर्ड भरण्यासाठी अकाऊंटिंग डेटा (Acct-Start, Acct-Interim-Update, Acct-Stop) वापरते. अरुबा कंट्रोलरवर अकाऊंटिंग अंतराल ५ मिनिटांवर सेट करा.

सर्वोत्तम पद्धती

मजबूत आणि सुसंगत उपयोजन सुनिश्चित करण्यासाठी, खालील उद्योग-मानक शिफारसींचे पालन करा.

  • रहदारीचे काटेकोरपणे विभाजन करा: कॉर्पोरेट संसाधनांचा कोणताही मार्ग नसलेल्या समर्पित VLAN वर गेस्ट ट्रॅफिक नेहमी ठेवा. PCI DSS आणि सामान्य नेटवर्क सुरक्षेसाठी ही एक मूलभूत आवश्यकता आहे.
  • प्रॉक्सी अकाऊंटिंग डेटा: RADIUS अकाऊंटिंगकडे दुर्लक्ष करू नका. जर अकाऊंटिंग पॅकेट्स Purple पर्यंत पोहोचले नाहीत, तर तुमचे फूटफॉल ॲनालिटिक्स आणि ड्वेल टाइम रिपोर्ट अपूर्ण राहतील.
  • WISPr सक्षम करा: अरुबा कंट्रोलरच्या captive portal प्रोफाइलवर, WISPr (Wireless Internet Service Provider roaming) सक्षम असल्याची खात्री करा. हा प्रोटोकॉल मोबाईल ऑपरेटिंग सिस्टम्सना captive portal स्वयंचलितपणे शोधण्याची आणि लॉगिन स्क्रीन अखंडपणे दाखवण्याची परवानगी देतो.
  • सचेत-निवड ऑप्ट-इन्स वापरा: GDPR चे पालन करण्यासाठी, तुमचे Purple पोर्टल मार्केटिंग कम्युनिकेशन्ससाठी आधीच टिक केलेल्या बॉक्सऐवजी किंवा गृहीत धरलेल्या संमतीऐवजी स्पष्ट ऑप्ट-इन चेकबॉक्स वापरण्यासाठी कॉन्फिगर करा [2].

त्रुटी निवारण आणि जोखीम कमी करणे

काळजीपूर्वक कॉन्फिगरेशन करूनही, इंटिग्रेशन्स अयशस्वी होऊ शकतात. येथे सर्वात सामान्य बिघाड मोड आणि ते कसे सोडवायचे ते दिले आहे.

वॉल्ड गार्डन चुकीचे कॉन्फिगरेशन

भेट देणाऱ्याच्या डिव्हाइसवर captive portal लोड होण्यात अयशस्वी झाल्यास, त्याचे कारण जवळजवळ नेहमीच वॉल्ड गार्डन असते. सोशल लॉगिन प्रदाते वारंवार त्यांच्या CDN IP श्रेणी आणि डोमेन नावे अपडेट करतात. वॉल्ड गार्डनला सतत बदलणारे कॉन्फिगरेशन समजा. जर एखादे विशिष्ट सोशल लॉगिन अयशस्वी झाले, तर डिव्हाइस कोणत्या डोमेनवर पोहोचण्याचा प्रयत्न करत आहे हे शोधण्यासाठी पॅकेट कॅप्चर वापरा आणि ते अनुमती सूचीमध्ये जोडा.

RADIUS टाइमआउट त्रुटी

बऱ्याच Aruba कंट्रोलर्सवरील डीफॉल्ट RADIUS टाइमआउट ३ सेकंद असतो. प्रॉक्सी आर्किटेक्चरमध्ये, ऑथेंटिकेशन विनंती AP कडून कंट्रोलरकडे, ClearPass कडे, इंटरनेटद्वारे Purple च्या क्लाउड इन्फ्रास्ट्रक्चरकडे आणि परत जाणे आवश्यक आहे. गर्दी असलेल्या नेटवर्कवर, ही राऊंड ट्रिप सहजपणे ३ सेकंदांपेक्षा जास्त असू शकते, ज्यामुळे कंट्रोलर विनंती नाकारू शकतो. Aruba कंट्रोलरवरील RADIUS टाइमआउट किमान १० सेकंदांपर्यंत वाढवा आणि रीट्राय लॉजिक कॉन्फिगर करा.

शेअर्ड सिक्रेट न जुळणे

सुरक्षेसाठी RADIUS शेअर्ड सिक्रेट्सवर अवलंबून असते. जर Aruba कंट्रोलर आणि ClearPass मधील, किंवा ClearPass आणि Purple मधील शेअर्ड सिक्रेट तंतोतंत जुळले नाही, तर ऑथेंटिकेशन गुपचूप अयशस्वी होईल. अभ्यागताला कोणताही अर्थपूर्ण त्रुटी संदेश दाखवला जाणार नाही. ऑथेंटिकेशन अयशस्वी होत असल्यास नेहमी हे सिक्रेट्स एकेक अक्षराने तपासून पहा.

रोल नावातील कॅपिटलायझेशन संवेदनशीलता

ClearPass द्वारे परत केलेल्या Aruba-User-Role VSA चे मूल्य Aruba कंट्रोलरवर परिभाषित केलेल्या रोल नावाशी तंतोतंत जुळले पाहिजे, ज्यामध्ये कॅपिटलायझेशनचा समावेश आहे. जर ClearPass ने guest-authenticated परत केले परंतु कंट्रोलरला Guest-Authenticated हवे असेल, तर अभ्यागत डीफॉल्ट लॉगऑन रोलवर परत जाईल आणि त्याला इंटरनेट ॲक्सेस मिळणार नाही.

ROI आणि व्यावसायिक प्रभाव

मूलभूत स्थानिक Captive Portal च्या ऐवजी Purple WiFi चा वापर केल्याने एकाधिक विभागांमध्ये मोजण्यायोग्य व्यावसायिक मूल्य निर्माण होते.

  • मार्केटिंग प्रभाव: पोर्टलद्वारे फर्स्ट-पार्टी डेटा कॅप्चर करून, ठिकाणांच्या मार्केटिंग डेटाबेसमध्ये लक्षणीय वाढ दिसून येते. उदाहरणार्थ, Harrods ने लॉयल्टी प्रोग्राम साइन-अप वाढवण्यासाठी Purple चा वापर करून ५७ पट मार्केटिंग ROI प्राप्त केला [३].
  • ऑपरेशनल कार्यक्षमता: RADIUS प्रॉक्सी आर्किटेक्चर IT वरील ऑपरेशनल भार कमी करते. सुरक्षा टीम्स सर्व नेटवर्क ॲक्सेस इव्हेंटसाठी ClearPass मध्ये एकच केंद्रीय डॅशबोर्ड (single pane of glass) व्यवस्थापित करतात, ज्यामुळे अनुपालन रिपोर्टिंग आणि ट्रबलशूटिंग सुलभ होते.
  • मॉनेटायझेशन: वाहतूक किंवा आतिथ्य क्षेत्रातील ठिकाणांसाठी, Purple स्तरित (tiered) बँडविड्थ मॉडेल्स सक्षम करते. AGS एअरपोर्ट्सने मोफत मूलभूत स्तरासोबत सशुल्क प्रीमियम WiFi स्तर लागू करून ८४२% ROI निर्माण केला [४].

हे सह-डिप्लॉयमेंट लागू करून, तुम्ही तुमच्या गेस्ट नेटवर्कला एका खर्च केंद्रातून महसूल देणाऱ्या मालमत्तेमध्ये रूपांतरित करता, आणि त्याच वेळी एंटरप्राइझ IT साठी आवश्यक असलेली कठोर सुरक्षा स्थिती राखता.

संदर्भ

[१] PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard." [२] Information Commissioner's Office (ICO). "Guide to the General Data Protection Regulation (GDPR)." [३] Purple. "Harrods Guest WiFi Case Study." [४] Purple. "AGS Airports Guest WiFi Case Study."

মূল সংজ্ঞাসমূহ

RADIUS Proxy

এমন একটি আর্কিটেকচার যেখানে একটি ইন্টারমিডিয়েট সার্ভার (ClearPass) একটি নেটওয়ার্ক ডিভাইস (Aruba কন্ট্রোলার) থেকে অথেন্টিকেশন রিকোয়েস্ট গ্রহণ করে এবং সেগুলিকে উপযুক্ত ব্যাকএন্ড সার্ভারে (Purple) ফরোয়ার্ড করে, যা প্রক্সিকে ট্রাফিক পরিদর্শন, লগ বা পরিবর্তন করার অনুমতি দেয়।

ClearPass-এ একটি একক সিকিউরিটি অডিট ট্রেইল বজায় রাখার জন্য ব্যবহৃত হয় এবং একই সাথে Purple-কে গেস্ট অথেন্টিকেশন পরিচালনা করার অনুমতি দেয়।

Walled Garden

একটি সীমিত পরিবেশ যা নেটওয়ার্কে সম্পূর্ণরূপে অথেন্টিকেট হওয়ার আগে ওয়েব কন্টেন্টে ব্যবহারকারীর অ্যাক্সেস নিয়ন্ত্রণ করে।

Captive Portal-এর জন্য অপরিহার্য; ওয়াল্ড গার্ডেনকে অবশ্যই পোর্টালের হোস্টিং ডোমেন এবং সোশ্যাল লগইন প্রদানকারীদের অ্যাক্সেস করার অনুমতি দিতে হবে যাতে লগইন পেজটি লোড হতে পারে।

Vendor-Specific Attribute (VSA)

RADIUS প্রোটোকলের মধ্যে কাস্টম ডেটা ফিল্ড যা হার্ডওয়্যার বিক্রেতাদের মালিকানাধীন ফিচারগুলি সমর্থন করার অনুমতি দেয় যা স্ট্যান্ডার্ড RADIUS RFC-তে সংজ্ঞায়িত নয়।

ClearPass 'Aruba-User-Role' VSA ব্যবহার করে Aruba কন্ট্রোলারকে ঠিক কোন ফায়ারওয়াল রোল এবং VLAN একজন গেস্ট ব্যবহারকারীকে অ্যাসাইন করতে হবে তা নির্দেশ করে।

802.1X

পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস নিয়ন্ত্রণের জন্য একটি IEEE স্ট্যান্ডার্ড যা LAN বা WLAN-এর সাথে সংযুক্ত হতে ইচ্ছুক ডিভাইসগুলির জন্য একটি অথেন্টিকেশন মেকানিজম প্রদান করে।

কর্পোরেট ডিভাইসগুলি সুরক্ষিত করতে ClearPass দ্বারা ব্যবহৃত প্রাথমিক প্রোটোকল, যা সাধারণত সার্টিফিকেট সহ EAP-TLS ব্যবহার করে।

Captive Portal

একটি ওয়েব পেজ যা একটি পাবলিক-অ্যাক্সেস নেটওয়ার্কের ব্যবহারকারীকে অ্যাক্সেস পাওয়ার আগে দেখতে এবং ইন্টারঅ্যাক্ট করতে বাধ্য করা হয়।

Purple ভিজিটরদের ডেটা ক্যাপচার করতে, ব্র্যান্ডিং প্রদর্শন করতে এবং মার্কেটিং সম্মতি সংগ্রহ করতে Captive Portal ইন্টারফেস প্রদান করে।

MAC Authentication Bypass (MAB)

এমন একটি কৌশল যা নেটওয়ার্কে একটি ডিভাইসকে অথেন্টিকেট করতে ডিভাইসের MAC অ্যাড্রেস ব্যবহার করে যখন ডিভাইসটি 802.1X সাপ্লিক্যান্ট সমর্থন করে না।

স্মার্ট টিভি বা থার্মোস্টেটের মতো হেডলেস IoT ডিভাইসগুলিকে প্রোফাইল এবং অথেন্টিকেট করতে ClearPass দ্বারা ব্যবহৃত হয়, যা সেগুলিকে একটি আইসোলেটেড VLAN-এ রাখে।

ডায়নামিক VLAN অ্যাসাইনমেন্ট

একটি ডিভাইসকে তার অথেন্টিকেশন ক্রেডেনশিয়াল বা রোলের উপর ভিত্তি করে স্বয়ংক্রিয়ভাবে একটি নির্দিষ্ট ভার্চুয়াল লোকাল এরিয়া নেটওয়ার্কে অ্যাসাইন করার প্রক্রিয়া, সেটি যে SSID-এর সাথে সংযুক্ত হয়েছে তার পরিবর্তে।

একটি একক ফিজিক্যাল নেটওয়ার্ক ইনফ্রাস্ট্রাকচারকে কর্পোরেট, গেস্ট এবং IoT ট্রাফিক নিরাপদে বিভক্ত করার অনুমতি দেয়।

WISPr

Wireless Internet Service Provider roaming; এটি এমন একটি প্রোটোকল যা ডিভাইসগুলিকে স্বয়ংক্রিয়ভাবে captive portals সনাক্ত করতে সাহায্য করে।

Aruba কন্ট্রোলারে অবশ্যই এটি সক্রিয় করতে হবে যাতে মোবাইল ডিভাইসগুলি অতিথি WiFi-এর সাথে সংযুক্ত হওয়ার সময় স্বয়ংক্রিয়ভাবে Purple লগইন স্ক্রিন পপ আপ করে।

সমাধানকৃত উদাহরণসমূহ

একটি ৫০০ রুমের হোটেলে বিদ্যমান Aruba কন্ট্রোলার এবং ClearPass ব্যবহার করে কর্মীদের জন্য সুরক্ষিত কর্পোরেট WiFi এবং দর্শকদের জন্য একটি ব্র্যান্ডেড, ডেটা-ক্যাপচারিং গেস্ট পোর্টাল স্থাপন করা প্রয়োজন।

দুটি SSID স্থাপন করুন: 'Hotel_Corp' এবং 'Hotel_Guest'। ClearPass-এর মাধ্যমে অ্যাক্টিভ ডিরেক্টরির বিপরীতে 802.1X অথেন্টিকেশনের জন্য 'Hotel_Corp' কনফিগার করুন, কর্মীদের VLAN 10-এ অ্যাসাইন করুন। 'Hotel_Guest' কে একটি ওপেন নেটওয়ার্ক হিসেবে কনফিগার করুন যা Purple Captive Portal-এ রিডাইরেক্ট করবে। গেস্ট SSID-এর জন্য ClearPass-কে একটি RADIUS proxy হিসেবে সেট আপ করুন, যা Purple-এ রিকোয়েস্ট ফরোয়ার্ড করবে। সফল Purple অথেন্টিকেশনের পর 'Aruba-User-Role' VSA রিটার্ন করার জন্য ClearPass কনফিগার করুন, যা গেস্টদের একটি আইসোলেটেড VLAN 20-এ অ্যাসাইন করবে।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি কর্পোরেট এবং গেস্ট ট্রাফিককে সম্পূর্ণ আলাদা করে, যা PCI DSS প্রয়োজনীয়তা পূরণ করে। এটি 802.1X-এর শক্তির জন্য ClearPass-কে ব্যবহার করে এবং গেস্ট পোর্টাল ও অ্যানালিটিক্সের দায়িত্ব Purple-এর ওপর ন্যস্ত করে, যা দুটি আলাদা NAC সলিউশনের প্রয়োজনীয়তা দূর করে।

দর্শকরা গেস্ট SSID-এর সাথে সংযুক্ত হচ্ছেন, কিন্তু তাদের ডিভাইসে Purple Captive Portal পেজটি লোড হতে ব্যর্থ হচ্ছে।

Aruba কন্ট্রোলারে ওয়াল্ড গার্ডেন (walled garden) কনফিগারেশন পর্যালোচনা এবং আপডেট করুন। নিশ্চিত করুন যে Purple-এর মূল ডোমেনগুলি (*.purple.ai, *.cloudfront.net, *.venuewifi.com) স্পষ্টভাবে অনুমোদিত। যদি সোশ্যাল লগইন সক্রিয় থাকে, তবে যাচাই করুন যে সমস্ত প্রয়োজনীয় OAuth ডোমেনগুলিও (যেমন, *.facebook.com, *.google.com) প্রি-অথেন্টিকেশন অনুমতি তালিকায় অন্তর্ভুক্ত রয়েছে।

পরীক্ষকের মন্তব্য: ওয়াল্ড গার্ডেন (walled garden) মিসকনফিগারেশন হলো Captive Portal ব্যর্থতার সবচেয়ে সাধারণ কারণ। নেটওয়ার্কে সম্পূর্ণরূপে অথেন্টিকেট হওয়ার আগে ডিভাইসগুলিকে অবশ্যই পোর্টাল হোস্টিং ইনফ্রাস্ট্রাকচার এবং CDN-এ পৌঁছাতে সক্ষম হতে হবে।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনি Purple-এ গেস্ট অথেনটিকেশন প্রক্সি করার জন্য ClearPass কনফিগার করেছেন। অতিথি Purple পোর্টালে সফলভাবে অথেনটিকেট করেছে, কিন্তু Aruba কন্ট্রোলার তাদের কাঙ্ক্ষিত 'guest-access' রোলের পরিবর্তে কোনো ইন্টারনেট অ্যাক্সেস ছাড়া ডিফল্ট 'logon' রোলে রাখছে। সবচেয়ে সম্ভাব্য কনফিগারেশন ত্রুটি কোনটি?

ইঙ্গিত: ClearPass কীভাবে রোল অ্যাসাইনমেন্টটি আবার কন্ট্রোলারে পাঠায় তা পরীক্ষা করুন।

মডেল উত্তর দেখুন

রোল নামের কেস সেন্সিটিভিটি (বড়হাত-ছোটহাতের অক্ষর) মেলেনি। ClearPass দ্বারা রিটার্ন করা Aruba-User-Role VSA-এর মান অবশ্যই Aruba কন্ট্রোলারে সংজ্ঞায়িত রোল নামের সাথে হুবহু মিলতে হবে। যদি কোনো টাইপো বা কেস অমিল থাকে (যেমন, 'Guest-Access' বনাম 'guest-access'), তবে কন্ট্রোলারটি রোলটিকে সনাক্ত করতে পারবে না এবং ব্যবহারকারীকে ডিফল্ট সীমাবদ্ধ অবস্থায় ফেলে দেবে।

Q2. একটি রিটেইল চেইন অতিথি অ্যানালিটিক্সের জন্য Purple WiFi ব্যবহার করতে চায় কিন্তু তাদের সিকিউরিটি টিম জোর দিচ্ছে যে কমপ্লায়েন্সের জন্য সমস্ত নেটওয়ার্ক অথেনটিকেশন ইভেন্ট তাদের বিদ্যমান Aruba ClearPass সিস্টেমে কেন্দ্রীয়ভাবে লগ করতে হবে। আর্কিটেকচারটি কীভাবে ডিজাইন করা উচিত?

ইঙ্গিত: অ্যাক্সেস পয়েন্ট, ClearPass এবং Purple-এর মধ্যে RADIUS ট্রাফিক কীভাবে প্রবাহিত হয় তা বিবেচনা করুন।

মডেল উত্তর দেখুন

একটি RADIUS প্রক্সি আর্কিটেকচার প্রয়োগ করুন। সমস্ত RADIUS অনুরোধ ClearPass-এ পাঠানোর জন্য Aruba কন্ট্রোলারগুলি কনফিগার করুন। ClearPass-এ, একটি রাউটিং পলিসি তৈরি করুন যা গেস্ট SSID থেকে অনুরোধগুলি Purple-এর ক্লাউড RADIUS সার্ভারে ফরোয়ার্ড করে। এটি নিশ্চিত করে যে Purple গেস্ট পোর্টাল এবং অ্যানালিটিক্স পরিচালনা করছে, যখন ClearPass সমস্ত অথেনটিকেশন ইভেন্টের একটি সম্পূর্ণ, কেন্দ্রীয় অডিট ট্রেইল বজায় রাখছে।

Q3. ইন্টিগ্রেশন সম্পন্ন করার পর, মার্কেটিং টিম জানাচ্ছে যে Purple অ্যানালিটিক্স ড্যাশবোর্ডে ভিজিটরদের 'dwell time'-এর জন্য কোনো ডেটা দেখাচ্ছে না, যদিও অতিথিরা সফলভাবে সংযুক্ত হচ্ছেন এবং ইন্টারনেট ব্যবহার করছেন। কোন কনফিগারেশন ধাপটি বাদ পড়েছে?

ইঙ্গিত: Dwell time গণনার জন্য সেশনের অবস্থার চলমান আপডেট প্রয়োজন, শুধুমাত্র প্রাথমিক অথেনটিকেশন নয়।

মডেল উত্তর দেখুন

RADIUS অ্যাকাউন্টিং Purple-এ প্রক্সি করা হচ্ছে না। অথেনটিকেশন প্রক্সি ব্যবহারকারীদের নেটওয়ার্কে প্রবেশ করতে দিলেও, সেশনের সময়কাল এবং dwell time গণনা করার জন্য Purple-এর RADIUS অ্যাকাউন্টিং প্যাকেট (Acct-Start, Acct-Interim-Update, Acct-Stop) প্রয়োজন। আপনাকে অবশ্যই নিশ্চিত করতে হবে যে ClearPass-কে Purple-এ অ্যাকাউন্টিং ডেটা প্রক্সি করার জন্য কনফিগার করা হয়েছে এবং কন্ট্রোলারটিকে অন্তর্বর্তী আপডেট (যেমন, প্রতি ৫ মিনিটে) পাঠাতে সেট করা হয়েছে।

এই সিরিজে পড়া চালিয়ে যান

Server RADIUS: ব্যবসার জন্য একটি বিস্তৃত নির্দেশিকা

এই নির্দেশিকাটি IT ম্যানেজার, নেটওয়ার্ক স্থপতি এবং CTO-দের এন্টারপ্রাইজ WiFi-এর জন্য server RADIUS প্রমাণীকরণ (authentication) সংক্রান্ত একটি সুনির্দিষ্ট প্রযুক্তিগত রেফারেন্স প্রদান করে। এতে AAA ফ্রেমওয়ার্ক, 802.1X আর্কিটেকচার, EAP পদ্ধতি নির্বাচন, ক্লাউড বনাম অন-প্রিমিসেস ডেপ্লয়মেন্টের সুবিধা-অসুবিধা এবং ডাইনামিক VLAN অ্যাসাইনমেন্ট অন্তর্ভুক্ত রয়েছে। আতিথেয়তা (hospitality), রিটেইল, ইভেন্ট এবং পাবলিক সেক্টর জুড়ে ভেন্যু অপারেটররা এখানে কার্যকরী বাস্তবায়ন নির্দেশিকা, বাস্তব-জগতের কেস স্টাডি এবং অনিরাপদ প্রি-শেয়ার্ড কি (PSK) থেকে একটি নিরাপদ, পরিচয়-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল আর্কিটেকচারে স্থানান্তরিত হওয়ার জন্য প্রয়োজনীয় সিদ্ধান্ত গ্রহণের ফ্রেমওয়ার্ক পাবেন।

গাইডটি পড়ুন →

Cisco ISE বনাম Purple WiFi: কীভাবে তারা তুলনা করে এবং একসাথে কাজ করে

এই নির্দেশিকাটি ব্যাখ্যা করে যে কীভাবে Cisco ISE এবং Purple WiFi এন্টারপ্রাইজ নেটওয়ার্কে আলাদা কিন্তু পরিপূরক ভূমিকা পালন করে। এটি নিরাপদ 802.1X কর্পোরেট অ্যাক্সেসের জন্য Cisco ISE কীভাবে ব্যবহার করবেন তা বিস্তারিতভাবে বর্ণনা করে, পাশাপাশি GDPR-সম্মত গেস্ট WiFi, মার্কেটিং অ্যানালিটিক্স এবং CRM ইন্টিগ্রেশনের জন্য Purple-কে কাজে লাগায়।

গাইডটি পড়ুন →

EAP-TLS বনাম EAP-TTLS: কোন সার্টিফিকেট-ভিত্তিক WiFi প্রোটোকলটি আপনার বেছে নেওয়া উচিত?

এই নির্দেশিকাটি IEEE 802.1X এর অধীনে এন্টারপ্রাইজ WiFi অথেন্টিকেশনের জন্য EAP-TLS এবং EAP-TTLS-এর একটি সুনির্দিষ্ট তুলনামূলক বিশ্লেষণ প্রদান করে। এটি মিউচুয়াল সার্টিফিকেট অথেন্টিকেশন এবং সার্ভার-অনলি সার্টিফিকেট টানেলিং-এর মধ্যে আর্কিটেকচারাল পার্থক্য ব্যাখ্যা করে এবং IT ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং CISO-দের ডিভাইস ম্যানেজমেন্ট সক্ষমতা এবং কমপ্লায়েন্স প্রয়োজনীয়তার উপর ভিত্তি করে একটি স্পষ্ট সিদ্ধান্ত গ্রহণের কাঠামো প্রদান করে। Purple স্টাফ WiFi-এর জন্য EAP-TLS এবং EAP-TTLS উভয় অথেন্টিকেশন পাথ সমর্থন করে, এবং এই নির্দেশিকাটি সংস্থাগুলিকে যেকোনো একটি পদ্ধতি প্রয়োগ করার আগে অবকাঠামো সংক্রান্ত সুবিধা-অসুবিধাগুলো বুঝতে সাহায্য করে।

গাইডটি পড়ুন →