পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
Purple টেকনিক্যাল ব্রিফিং সিরিজে আপনাকে স্বাগতম। আমি আপনার হোস্ট এবং আজ আমরা এমন একটি বিষয় আলোচনা করছি যা আমাদের কাজ করা প্রায় প্রতিটি এন্টারপ্রাইজ গেস্ট WiFi ডেপ্লয়মেন্টেই দেখা যায়: Cisco Meraki MR অ্যাক্সেস পয়েন্টগুলিতে একটি captive portal কনফিগার করা এবং বিশেষভাবে RADIUS অথেন্টিকেশন ব্যবহার করে কীভাবে এটিকে Purple-এর ক্লাউড প্ল্যাটফর্মের সাথে একীভূত করা যায়। আপনি কোনও নতুন হসপিটালিটি ক্লায়েন্টকে অনবোর্ড করার কাজে নিয়োজিত MSP হন বা কোনও রিটেল চেইনের ইন-হাউস নেটওয়ার্ক আর্কিটেক্ট হন, এই এপিসোডটি আপনাকে সুনির্দিষ্ট কনফিগারেশন স্টেপ এবং প্রতিটি স্টেপের পেছনের কারণগুলি বিশদভাবে জানাবে।
চলুন পরিস্থিতিটি একটু বুঝে নেওয়া যাক। আপনার কাছে একটি ভেন্যু আছে - এটি একটি হোটেল, একটি কনফারেন্স সেন্টার, একটি স্টেডিয়াম, বা একটি রিটেল পার্ক হতে পারে - যেখানে Meraki Dashboard-এর মাধ্যমে পরিচালিত Cisco Meraki MR অ্যাক্সেস পয়েন্টগুলি চলছে। উদ্দেশ্য হলো একটি ব্র্যান্ডেড গেস্ট WiFi অভিজ্ঞতা ডেপ্লয় করা যা ফার্স্ট-পার্টি ডেটা সংগ্রহ করে, ব্যবহারের শর্তাবলীর (terms of service) সম্মতি কার্যকর করে এবং একটি মার্কেটিং প্ল্যাটফর্মে অ্যানালিটিক্স ডেটা পাঠায়। Purple ঠিক এই কাজটি করার জন্যই তৈরি করা হয়েছে, এবং বিশ্বব্যাপী আমাদের সবচেয়ে সাধারণ হার্ডওয়্যার ডেপ্লয়মেন্টগুলির মধ্যে Meraki অন্যতম।
এখন, একটি সিঙ্গেল সেটিং স্পর্শ করার আগে বোঝার মতো মূল আর্কিটেকচারাল বিষয়টি হলো: Cisco Meraki-তে, একটি স্প্ল্যাশ পেজের জন্য RADIUS অথেন্টিকেশন অ্যাক্সেস পয়েন্ট দ্বারা লোকালি প্রসেস করা হয় না। RADIUS Access-Request-টি Meraki ক্লাউড থেকে - অর্থাৎ Dashboard ইনফ্রাস্ট্রাকচার থেকে আসে - আপনার LAN-এর AP থেকে নয়। এটি একটি গুরুত্বপূর্ণ পার্থক্য যা অনেক ইঞ্জিনিয়ারকে তাদের প্রথম Meraki ডেপ্লয়মেন্টের সময় বিভ্রান্তিতে ফেলে। এর অর্থ হলো আপনার RADIUS সার্ভার, এক্ষেত্রে Purple-এর ক্লাউড RADIUS এন্ডপয়েন্ট, ইন্টারনেট থেকে অ্যাক্সেসযোগ্য হতে হবে এবং আপনার ফায়ারওয়াল নিয়মে শুধুমাত্র আপনার লোকাল AP সাবনেট নয়, Meraki-র Dashboard IP রেঞ্জ থেকে আসা ট্রাফিকও অনুমতি দিতে হবে। আপনি আপনার Meraki Dashboard-এর Help, তারপর Firewall Info-এর অধীনে বর্তমান Dashboard IP রেঞ্জগুলি খুঁজে পাবেন।
ঠিক আছে, এবার কনফিগারেশনে যাওয়া যাক। একটি লাইভ ডেপ্লয়মেন্টে আপনি যেভাবে কাজ করবেন, সেই অনুযায়ী আমি আপনাকে স্টেপগুলো বিস্তারিত জানাব।
স্টেপ ওয়ান: SSID কনফিগারেশন। Meraki Dashboard-এ, Wireless, তারপর Configure, তারপর SSIDs-এ নেভিগেট করুন। গেস্ট অ্যাক্সেসের জন্য আপনি যে SSID স্লটটি ব্যবহার করতে চান সেটি সিলেক্ট করুন। এটিকে একটি স্পষ্ট নাম দিন - যেমন GuestWiFi বা VenueName আন্ডারস্কোর Guest। Association requirements-এর অধীনে, Security-টি Open, no encryption-এ সেট করুন। এটি সঠিক এবং উদ্দেশ্যপ্রণোদিত - গেস্টদের জন্য সিকিউরিটি লেয়ারটি captive portal এবং RADIUS অথেন্টিকেশন দ্বারা পরিচালিত হয়, WPA এনক্রিপশন দ্বারা নয়। আপনি যদি একটি PCI-DSS পরিবেশে ডেপ্লয় করেন, তবে আপনি নিশ্চিত করতে চাইবেন যে গেস্ট ট্রাফিক তার নিজস্ব VLAN-এ আইসোলেট করা আছে, যা আমরা শীঘ্রই কভার করব।ধাপ দুই: Splash page এবং প্রমাণীকরণ। আপনার SSID-এর Access Control পেজে থাকাকালীনই, স্ক্রোল করে নিচের দিকে Splash page সেকশনে যান। এটি Sign-on with-এ সেট করুন এবং ড্রপডাউন থেকে my RADIUS server সিলেক্ট করুন। এটি হলো সেই গুরুত্বপূর্ণ সেটিং যা Meraki-কে নেটওয়ার্ক অ্যাক্সেস দেওয়ার আগে একটি এক্সটার্নাল RADIUS সার্ভারের সাথে ব্যবহারকারীদের প্রমাণীকরণ করার নির্দেশ দেয়। এর ঠিক নিচে, আপনি Captive portal strength অপশনটি দেখতে পাবেন। এটি Block all access until sign-on is complete-এ সেট করুন। এটিই মূলত walled garden কার্যকর করে - এটি ছাড়া, গেস্টরা পোর্টালটি সম্পূর্ণ এড়িয়ে চলে যেতে পারত।
ধাপ তিন: RADIUS সার্ভার কনফিগারেশন। RADIUS সেকশনের অধীনে, Add server-এ ক্লিক করুন। আপনার Purple অ্যাকাউন্ট থেকে তিনটি তথ্যের প্রয়োজন হবে: RADIUS সার্ভার IP অ্যাড্রেস বা FQDN, প্রমাণীকরণ পোর্ট যা হলো UDP 1812, এবং shared secret। Purple পোর্টালের venue configuration সেকশনে এই তথ্যগুলো প্রদান করে। প্রোডাকশন ডেপ্লয়মেন্টে রিডানডেন্সির জন্য, আপনার একটি সেকেন্ডারি RADIUS সার্ভার যোগ করা উচিত - Purple একটি ফেইলওভার এন্ডপয়েন্ট প্রদান করে। আপনি যদি সেশন ডেটা Purple-এর অ্যানালিটিক্স ইঞ্জিনে পাঠাতে চান, তবে অ্যাকাউন্টিং পোর্টটি UDP 1813-এ সেট করুন, আমি যেকোনো ভেন্যুর জন্য এটি জোরালোভাবে সুপারিশ করব যেখানে ডুয়েল টাইম এবং সেশনের সময়কাল গুরুত্বপূর্ণ মেট্রিক।
RADIUS অ্যাট্রিবিউট সম্পর্কে একটি সংক্ষিপ্ত নোট। Meraki RADIUS Access-Accept রেসপন্সে ফেরত আসা Session-Timeout অ্যাট্রিবিউটকে সম্মান করে। পুনরায় প্রমাণীকরণের প্রয়োজন হওয়ার আগে একটি গেস্ট সেশন কতক্ষণ স্থায়ী হবে তা নিয়ন্ত্রণ করতে Purple এটি ব্যবহার করে। একটি হোটেলের জন্য, আপনি এটি 86,400 সেকেন্ড - অর্থাৎ 24 ঘণ্টা সেট করতে পারেন। একটি কফি শপের জন্য, 3,600 সেকেন্ডের মতো কিছু, অর্থাৎ এক ঘণ্টা, আরও উপযুক্ত। Idle-Timeout অ্যাট্রিবিউটটিও গ্রাহ্য করা হয়, তবে শুধুমাত্র তখনই যদি RADIUS অ্যাকাউন্টিং সক্ষম করা থাকে। এটি নিষ্ক্রিয় সেশনগুলোকে ডিসকানেক্ট করে দেয়, যা উচ্চ-ঘনত্বের ভেন্যুগুলোতে ক্যাপাসিটি ম্যানেজমেন্টের জন্য গুরুত্বপূর্ণ।
ধাপ চার: Splash page URL। Wireless, এরপর Configure, তারপর Splash page-এ নেভিগেট করুন। ড্রপডাউন থেকে আপনার গেস্ট SSID সিলেক্ট করুন। Custom splash URL-টি আপনার ভেন্যুর জন্য নির্ধারিত Purple পোর্টাল URL-এ সেট করুন। এটি সেই URL যেখানে Meraki অপ্রমাণিত ক্লায়েন্টদের রিডাইরেক্ট করবে। Meraki এই URL-এর সাথে কোয়েরি প্যারামিটার যুক্ত করে - যার মধ্যে একটি login_url প্যারামিটার থাকে - যা Purple প্রমাণীকরণ হ্যান্ডশেক সম্পন্ন করতে ব্যবহার করে। এই প্যারামিটারগুলো পরিবর্তন বা বাদ দেবেন না।
ধাপ পাঁচ: walled garden। এখানেই বেশিরভাগ ডেপ্লয়মেন্টে সমস্যা দেখা দেয়। walled garden হলো ডোমেন এবং IP রেঞ্জের তালিকা যা একজন গেস্ট ডিভাইস প্রমাণীকরণের আগেই অ্যাক্সেস করতে পারে। সঠিক এন্ট্রিগুলো ছাড়া, ক্যাশ করা ক্যাপটিভ পোর্টাল পেজটি লোড হবে না, কারণ ব্রাউজারটিকে Purple CDN এবং সোশ্যাল লগইন প্রোভাইডারদের কাছে পৌঁছানো থেকে ব্লক করা হবে।
আপনার গেস্ট SSID-এর জন্য Access Control-এ ফিরে যান। Walled garden-টি Walled garden is enabled-এ সেট করুন। Walled garden ranges ফিল্ডে আপনাকে নিচের বিষয়গুলো যোগ করতে হবে। প্রথমত, Purple প্ল্যাটফর্ম ডোমেনগুলো: star dot purple dot ai এবং star dot venuewifi dot com। দ্বিতীয়ত, CDN ডোমেনগুলো যা Purple পোর্টাল অ্যাসেট পরিবেশন করতে ব্যবহার করে: star dot cloudfront dot net এবং star dot akamaihd dot net। তৃতীয়ত, Meraki রিডাইরেক্ট ইনফ্রাস্ট্রাকচার: star dot network-auth dot com। চতুর্থত, আপনি যদি সোশ্যাল লগইন অপশন অফার করেন, তবে আপনার প্রাসঙ্গিক OAuth ডোমেনগুলোর প্রয়োজন হবে। Google-এর জন্য: accounts dot google dot com, star dot googleapis dot com, star dot gstatic dot com। Facebook-এর জন্য: star dot facebook dot com, star dot fbcdn dot net এবং connect dot facebook dot net। Twitter বা X-এর জন্য: star dot twitter dot com এবং star dot twimg dot com।
walled garden-এ Meraki কীভাবে ওয়াইল্ডকার্ড ডোমেনগুলো পরিচালনা করে সে সম্পর্কে একটি গুরুত্বপূর্ণ নোট। Meraki অ্যাসটেরিস্ক প্রিফিক্স ব্যবহার করে ওয়াইল্ডকার্ড এন্ট্রি সমর্থন করে, উদাহরণস্বরূপ star dot cloudfront dot net। তবে, এটি একটি DNS-ভিত্তিক ম্যাচ - Meraki ডোমেনটি সমাধান করে এবং এর ফলে প্রাপ্ত IP অ্যাড্রেসগুলোর অনুমতি দেয়। এর মানে হলো CloudFront বা Akamai-এর মতো CDN প্রদানকারীদের ক্ষেত্রে, যেখানে সমাধান করা IP ঘন ঘন পরিবর্তিত হতে পারে, সেখানে আপনার স্ট্যাটিক IP রেঞ্জের পরিবর্তে ডোমেন ওয়াইল্ডকার্ড ব্যবহার করা উচিত। Purple-এর RADIUS এন্ডপয়েন্টগুলোর জন্য স্ট্যাটিক IP এন্ট্রিগুলো ঠিক আছে, যা স্থিতিশীল, কিন্তু CDN ট্রাফিকের জন্য নয়।
এখন আসুন বাস্তব জীবনের দুটি দৃশ্যপট নিয়ে কথা বলি যেগুলোতে আমি সরাসরি কাজ করেছি।
প্রথমটি হলো যুক্তরাজ্যের একটি ৩৫০ রুমের হোটেল। ক্লায়েন্ট তিনটি বিল্ডিং জুড়ে Meraki MR46 অ্যাক্সেস পয়েন্ট চালাচ্ছিল, যেখানে ব্যস্ত সময়ে প্রায় ৪০০টি সমসাময়িক গেস্ট ডিভাইস সংযুক্ত থাকত। প্রাথমিক ডেপ্লয়মেন্টে একটি ক্লিক-থ্রু স্প্ল্যাশ পেজ ব্যবহার করা হয়েছিল - কোনো RADIUS ছিল না, কেবল শর্তাবলী গ্রহণ করা হতো। সমস্যাটি ছিল কে সংযোগ করছে সে সম্পর্কে তাদের কোনো ধারণা ছিল না, কোনো ইমেল ক্যাপচার করা হতো না এবং থাকার পরে কোনো মার্কেটিং ক্যাম্পেইন চালানোর উপায় ছিল না। আমরা তাদের RADIUS-ভিত্তিক সাইন-অন সহ Purple-এ স্থানান্তরিত করেছি। কনফিগারেশনটি সহজ ছিল, তবে সমস্যাটি ছিল তাদের আপস্ট্রিম ফায়ারওয়াল স্থানীয় সাবনেটের বাইরের যেকোনো কিছুর জন্য পোর্ট 1812-এ আউটবাউন্ড UDP ব্লক করছিল। একবার আমরা ফায়ারওয়াল অ্যালাউ-লিস্টে Meraki ড্যাশবোর্ড IP রেঞ্জ যোগ করার পরে, অথেন্টিকেশন অবিলম্বে কাজ শুরু করে। ডেপ্লয়মেন্টের পরে, হোটেলটি প্রথম মাসে সংযোগকারী অতিথিদের প্রায় ৬৮ শতাংশের কাছ থেকে ইমেল অ্যাড্রেস ক্যাপচার করেছে এবং তাদের মার্কেটিং টিম একটি রি-এনগেজমেন্ট ক্যাম্পেইন চালিয়েছে যা সরাসরি বুকিংয়ে পরিমাপযোগ্য বৃদ্ধি এনেছে।দ্বিতীয় দৃশ্যপটটি হলো ৪৫টি স্টোর বিশিষ্ট একটি রিটেল চেইন, যার প্রতিটিতে Meraki MR33 অ্যাক্সেস পয়েন্ট চলছে। এখানে চ্যালেঞ্জটি ছিল স্কেল এবং ধারাবাহিকতা। সঠিক RADIUS সেটিংস এবং ওয়াল্ড গার্ডেন তালিকা সহ ৪৫টি SSID ম্যানুয়ালি কনফিগার করা ত্রুটিপূর্ণ এবং সময়সাপেক্ষ হতে পারে। এর সমাধান ছিল Meraki-এর টেমপ্লেট-ভিত্তিক কনফিগারেশন ব্যবহার করা। আমরা সঠিক SSID, RADIUS এবং ওয়াল্ড গার্ডেন সেটিংস সহ একটি একক নেটওয়ার্ক টেমপ্লেট তৈরি করেছি, তারপর সমস্ত ৪৫টি স্টোর নেটওয়ার্ককে সেই টেমপ্লেটের সাথে যুক্ত করেছি। যেকোনো পরিবর্তন - যেমন, ওয়াল্ড গার্ডেনে একটি নতুন সোশ্যাল লগইন প্রদানকারী যোগ করা - টেমপ্লেটে একবার করা হয় এবং স্বয়ংক্রিয়ভাবে সমস্ত স্টোরে ছড়িয়ে পড়ে। এরপর Purple-এর অ্যানালিটিক্স সমস্ত স্টোর জুড়ে ফুটফল এবং ডোয়েল টাইমের ডেটা একত্রিত করে, যা রিটেল অপারেশন টিমকে স্টোর, অঞ্চল এবং দিনের সময় অনুযায়ী গেস্ট আচরণের একটি একক ড্যাশবোর্ড ভিউ প্রদান করে।
আমাকে তিনটি থাম্ব রুল বলতে দিন যা প্রতিটি Meraki Captive Portal ডেপ্লয়মেন্টে আপনার সময় বাঁচাবে।
নিয়ম এক: RADIUS কনফিগার করার আগে সর্বদা Meraki ড্যাশবোর্ড IP রেঞ্জ চেক করুন। রেঞ্জগুলি মাঝে মাঝে পরিবর্তিত হয়, এবং যদি আপনার ফায়ারওয়াল সেগুলি ব্লক করে, তবে ব্যবহারকারীর দৃষ্টিকোণ থেকে প্রমাণীকরণ নীরবেই ব্যর্থ হবে - তারা কেবল পোর্টাল পৃষ্ঠাটি হ্যাং হতে দেখবে। লাইভ করার আগে কানেক্টিভিটি যাচাই করতে অ্যাক্সেস কন্ট্রোলের অধীনে ড্যাশবোর্ডে বিল্ট-ইন RADIUS টেস্ট টুল ব্যবহার করুন।
নিয়ম দুই: যেকোনো CDN-হোস্টেড কন্টেন্টের জন্য ওয়াল্ড গার্ডেনে ডোমেন ওয়াইল্ডকার্ড ব্যবহার করুন, IP রেঞ্জ নয়। CDN IP রেঞ্জগুলি বিশাল এবং ঘন ঘন পরিবর্তিত হয়। একটি ওয়াইল্ডকার্ড ডোমেন এন্ট্রি আরও রক্ষণাবেক্ষণযোগ্য এবং নির্ভরযোগ্য।
নিয়ম তিন: পোর্ট ১৮১৩-এ RADIUS অ্যাকাউন্টিং সক্ষম করুন এমনকি যদি আপনি মনে করেন যে এটি আপনার এখনও প্রয়োজন নেই। সংযোগ বিচ্ছিন্ন হওয়ার সমস্যাগুলি সমাধান করার জন্য এবং আপনার অ্যানালিটিক্স প্ল্যাটফর্মে সঠিক ডোয়েল টাইম মেট্রিক্স ফিড করার জন্য সেশন ডেটা মূল্যবান। এটি সক্ষম করতে কোনো খরচ হয় না এবং পরে এটি যুক্ত করা খুব কঠিন।
এখন, কয়েকটি দ্রুত প্রশ্ন যা আমাকে নিয়মিত জিজ্ঞাসা করা হয়।
আমি কি Purple-এর পরিবর্তে Meraki-এর বিল্ট-ইন স্প্ল্যাশ পৃষ্ঠা ব্যবহার করতে পারি? হ্যাঁ, কিন্তু আপনি ডেটা ক্যাপচার, অ্যানালিটিক্স, মার্কেটিং অটোমেশন এবং GDPR-সম্মত সম্মতি ব্যবস্থাপনা হারাবেন। বিল্ট-ইন স্প্ল্যাশ একটি সাধারণ ক্লিক-থ্রু-এর জন্য ঠিক আছে, কিন্তু এটি কোনো গেস্ট ইন্টেলিজেন্স প্ল্যাটফর্ম নয়।
এই কনফিগারেশন কি Meraki MX ফায়ারওয়ালের পাশাপাশি MR অ্যাক্সেস পয়েন্টেও কাজ করে? RADIUS স্প্ল্যাশ পৃষ্ঠা কনফিগারেশন MR অ্যাক্সেস পয়েন্টগুলিতে সমর্থিত। MX অ্যাপ্লায়েন্সগুলি ক্লায়েন্ট VPN প্রমাণীকরণ ভিন্নভাবে পরিচালনা করে। নির্দিষ্টভাবে গেস্ট WiFi-এর জন্য, আপনি MR SSIDগুলি কনফিগার করছেন।
WPA3 সম্পর্কে কী বলা যায়? Meraki MR অ্যাক্সেস পয়েন্টগুলি এন্টারপ্রাইজ SSID-এ WPA3 সমর্থন করে। গেস্ট Captive Portal ডেপ্লয়মেন্টের জন্য, SSID সাধারণত Open থাকে, তাই WPA3 সরাসরি প্রযোজ্য হয় না। তবে, আপনি যদি আপনার Captive Portal SSID-এর পাশাপাশি একটি Passpoint বা OpenRoaming SSID ডেপ্লয় করেন - যা Purple সমর্থন করে - সেই SSID-টি 802.1X সহ WPA3-Enterprise ব্যবহার করে, এবং এখানেই WPA3 প্রাসঙ্গিক হয়ে ওঠে।
সংক্ষেপে: Cisco Meraki এবং Purple ইন্টিগ্রেশনটি সুপরীক্ষিত এবং নির্ভরযোগ্য, তবে এর জন্য তিনটি বিষয়ের প্রতি মনোযোগ দেওয়া প্রয়োজন: RADIUS সোর্স IP রাউটিং, walled garden-এর সম্পূর্ণতা, এবং সেশন টাইমআউট কনফিগারেশন। এই তিনটি ঠিকঠাক করুন এবং ডেপ্লয়মেন্টটি সহজ হয়ে যাবে। ব্যবসায়িক সুবিধা স্পষ্ট - যে সমস্ত ভেন্যু ডেটা ক্যাপচার সহ একটি সঠিকভাবে কনফিগার করা গেস্ট WiFi প্ল্যাটফর্ম ডেপ্লয় করে, তারা মার্কেটিং এনগেজমেন্ট এবং অপারেশনাল ইনসাইটে ক্রমাগত পরিমাপযোগ্য রিটার্ন দেখতে পায়।
আপনি যদি আরও বিস্তারিত জানতে চান, তবে ক্লাউড RADIUS-এর সাথে 802.1X অথেন্টিকেশন ইমপ্লিমেন্ট করার বিষয়ে Purple-এর গাইড এবং Purple ব্লগে আমাদের Cisco ওয়্যারলেস AP ডেপ্লয়মেন্ট গাইডটি দেখতে পারেন। উভয়ই শো নোটে লিঙ্ক করা রয়েছে।
শোনার জন্য ধন্যবাদ। আপনার যদি কোনো নির্দিষ্ট ডেপ্লয়মেন্ট সিনারিও থাকে যা আপনি চান যে আমরা কভার করি, তবে Purple টেকনিক্যাল টিমের সাথে যোগাযোগ করুন। পরবর্তী পর্বে আবার দেখা হবে।
