মূল কন্টেন্টে যান
বাংলা

এন্টারপ্রাইজ নেটওয়ার্ক কন্ট্রোলারে Captive Portal রিডাইরেকশন কনফিগার করা

এই নির্ভরযোগ্য নির্দেশিকাটিতে এন্টারপ্রাইজ নেটওয়ার্ক কন্ট্রোলারে captive portal রিডাইরেকশন ইমপ্লিমেন্ট করার জন্য প্রয়োজনীয় টেকনিক্যাল আর্কিটেকচার এবং ভেন্ডর-নির্দিষ্ট কনফিগারেশন ধাপগুলো বিস্তারিতভাবে বর্ণনা করা হয়েছে। এটি IT টিমের জন্য ওয়াল্ড গার্ডেন কনফিগার করা, RADIUS অথেন্টিকেশন ইন্টিগ্রেট করা এবং GDPR ও PCI DSS-এর সাথে কমপ্লায়েন্স নিশ্চিত করার বিষয়ে কার্যকরী দিকনির্দেশনা প্রদান করে।

📖 6 মিনিট পাঠ📝 1,397 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
Purple Technical Briefing-এ আপনাকে স্বাগতম। আমি আপনার হোস্ট, এবং আগামী দশ মিনিটে আমরা এন্টারপ্রাইজ WiFi-এর সবচেয়ে বেশি অনুসন্ধান করা কিন্তু সবচেয়ে কম নথিবদ্ধ করা একটি বিষয়ে সরাসরি আলোচনা করব: নেটওয়ার্ক কন্ট্রোলারে captive portal রিডাইরেকশন কনফিগার করা। আপনি যদি কখনো "configurar controlador portal cautivo" লিখে অনুসন্ধান করে খালি হাতে ফিরে আসেন, তবে এই ব্রিফিংটিই আপনার প্রয়োজন ছিল। আমরা পুরো বিষয়টি আলোচনা করব - টেকনিক্যাল আর্কিটেকচার, প্রতিটি কন্ট্রোলারের জন্য ধাপে ধাপে কনফিগারেশন, কমপ্লায়েন্সের প্রয়োজনীয়তা এবং বাস্তব জীবনের সেই সমস্যাগুলো যা অভিজ্ঞ নেটওয়ার্ক টিমকেও বিপদে ফেলে দেয়। চলুন শুরু করা যাক। একটি captive portal হলো এমন একটি মেকানিজম যা আপনার WiFi নেটওয়ার্কে সংযুক্ত হওয়ার পর কোনো গেস্ট ডিভাইসের প্রথম HTTP বা HTTPS রিকোয়েস্টটি ইন্টারসেপ্ট করে এবং ইন্টারনেট অ্যাক্সেস দেওয়ার আগে এটিকে একটি ব্র্যান্ডেড স্প্ল্যাশ পেজে রিডাইরেক্ট করে। সেই স্প্ল্যাশ পেজটি সোশ্যাল লগইন, একটি ফর্ম সাবমিশন, সাধারণ ক্লিক-থ্রু শর্তাবলী গ্রহণ, অথবা RADIUS-সমর্থিত ক্রেডেনশিয়াল চেক করার জন্য অনুরোধ করতে পারে। রিডাইরেকশন নিজেই কন্ট্রোলার স্তরে পরিচালিত হয় - কোনো অ্যাক্সেস পয়েন্ট বা ফায়ারওয়ালে নয়। কন্ট্রোলারটি অপ্রমাণিত ক্লায়েন্টের ট্রাফিক ইন্টারসেপ্ট করে, একটি প্রি-অথেন্টিকেশন অ্যাক্সেস কন্ট্রোল লিস্ট প্রয়োগ করে - যাকে আমরা walled garden বলি - এবং ক্লায়েন্টের ব্রাউজারটিকে আপনার পোর্টাল URL-এ রিডাইরেক্ট করে। বাণিজ্যিকভাবে এটি কেন গুরুত্বপূর্ণ? তিনটি কারণ রয়েছে। প্রথমত, কমপ্লায়েন্স। GDPR-এর অধীনে, ভিজিটরদের কাছ থেকে ব্যক্তিগত ডেটা সংগ্রহ করার আগে আপনাকে স্পষ্ট, সুনির্দিষ্ট সম্মতি নিতে হবে। একটি সঠিকভাবে কনফিগার করা captive portal হলো আপনার সম্মতি নেওয়ার মেকানিজম। এটি ছাড়া, আপনি কোনো আইনি ভিত্তি ছাড়াই ডেটা সংগ্রহ করছেন - যা একটি রেগুলেটরি ঝুঁকি তৈরি করে। দ্বিতীয়ত, নিরাপত্তা। কোনো প্রমাণীকরণ ছাড়া একটি ওপেন SSID বড় ধরনের দায়বদ্ধতা তৈরি করে। captive portal রিডাইরেকশন, VLAN সেগমেন্টেশন এবং একটি RADIUS সার্ভারের সমন্বয়ে আপনাকে প্রতি সেশনের জবাবদিহিতা প্রদান করে। আপনি জানতে পারেন কে, কখন এবং কোন ডিভাইস থেকে সংযুক্ত হয়েছে। can-তৃতীয়ত, বিজনেস ইন্টেলিজেন্স। প্রতিটি প্রমাণীকৃত সেশন হলো একটি ফার্স্ট-পার্টি ডেটা পয়েন্ট। Purple প্রতি বছর ৮০,০০০টি ভেন্যু জুড়ে ৪৪০ মিলিয়ন লগইন প্রসেস করে। এই ডেটা - যেমন ডুয়েলিং টাইম, ভিজিটের ফ্রিকোয়েন্সি, ডেমোগ্রাফিক সিগন্যাল - কেবল তখনই পাওয়া সম্ভব যদি আপনার captive portal সঠিকভাবে ক্যাপচার এবং ট্রান্সমিট করার জন্য কনফিগার করা থাকে। এবার আমি আপনাকে ধাপে ধাপে রিডাইরেক্ট ফ্লোটি বুঝিয়ে দিচ্ছি। ধাপ এক: একটি গেস্ট ডিভাইস আপনার গেস্ট SSID-এর সাথে যুক্ত হয়। কন্ট্রোলারটি এটিকে DHCP-এর মাধ্যমে একটি IP অ্যাড্রেস বরাদ্দ করে তবে এটিকে একটি সীমাবদ্ধ প্রি-অথেন্টিকেশন স্টেটে রাখে। DNS এবং আপনার স্পষ্টভাবে অনুমতি দেওয়া walled garden ডোমেনগুলো ছাড়া বাকি সব ট্রাফিক ব্লক করা থাকে। ধাপ দুই: গেস্ট ব্রাউজার খোলে। তাদের HTTP রিকোয়েস্টটি কন্ট্রোলারে পৌঁছায়। কন্ট্রোলার এটি ইন্টারসেপ্ট করে এবং আপনার পোর্টাল URL-এ একটি 302 রিডাইরেক্ট ইস্যু করে। এটিই হলো মূল রিডাইরেক্ট মেকানিজম। ধাপ তিন: গেস্টের ব্রাউজার আপনার স্প্ল্যাশ পেজটি লোড করে, যা কন্ট্রোলারে নিজেই হোস্ট করা থাকে অথবা এন্টারপ্রাইজ ডেপ্লয়মেন্টের ক্ষেত্রে সাধারণত Purple-এর মতো একটি এক্সটার্নাল ক্লাউড প্ল্যাটফর্মে হোস্ট করা হয়।চতুর্থ ধাপ: অতিথি প্রমাণীকরণ করেন - সোশ্যাল লগইন, ফর্ম বা ক্রেডেনশিয়ালের মাধ্যমে। পোর্টালটি কন্ট্রোলারে একটি অথরাইজেশন সিগন্যাল ফেরত পাঠায়, সাধারণত একটি RADIUS Access-Accept মেসেজ বা একটি MAC অথরাইজেশন বাইপাসের মাধ্যমে। পঞ্চম ধাপ: কন্ট্রোলার ক্লায়েন্টকে প্রি-অথেন্টিকেশন VLAN থেকে পোস্ট-অথেন্টিকেশন VLAN-এ স্থানান্তরিত করে, রিডাইরেক্ট নিয়মটি সরিয়ে দেয় এবং ইন্টারনেট অ্যাক্সেস প্রদান করে। এই পাঁচ ধাপের প্রবাহটি সমস্ত প্রধান কন্ট্রোলার প্ল্যাটফর্ম জুড়ে সামঞ্জস্যপূর্ণ। যা ভিন্ন তা হলো আপনি কীভাবে Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi এবং অন্যান্যগুলোতে প্রতিটি ধাপ কনফিগার করবেন। চলুন প্রধান প্ল্যাটফর্মগুলো দেখে নেওয়া যাক। Cisco Meraki। Meraki সম্পূর্ণভাবে Meraki ড্যাশবোর্ডের মাধ্যমে কনফিগার করা একটি কাস্টম স্প্ল্যাশ পেজ ব্যবহার করে - এতে কোনো CLI নেই। Wireless-এ যান, তারপর Access Control-এ যান, আপনার গেস্ট SSID নির্বাচন করুন, স্প্ল্যাশ পেজটি "Sign-on with my RADIUS server" বা "Click-through" হিসেবে সেট করুন, তারপর Custom Splash URL ফিল্ডে আপনার এক্সটার্নাল পোর্টাল URL লিখুন। ওয়াল্ড গার্ডেনটি Advanced Splash Settings সেকশনে কনফিগার করা হয় - আপনি আপনার পোর্টাল সার্ভারের IP অ্যাড্রেসগুলো যোগ করেন যাতে অতিথি প্রমাণীকরণের আগে স্প্ল্যাশ পেজে পৌঁছাতে পারেন। RADIUS সার্ভারের বিবরণ RADIUS সেকশনে যায়: পোর্ট 1812-এ অথেন্টিকেশন, পোর্ট 1813-এ অ্যাকাউন্টিং। HPE Aruba। ArubaOS-এ, আপনি AAA সেকশনের অধীনে একটি Captive Portal প্রোফাইল কনফিগার করেন, যেখানে লগইন URL, আপনার RADIUS সার্ভারকে নির্দেশকারী সার্ভার গ্রুপ এবং রিডাইরেক্ট URL নির্দিষ্ট করেন। এরপর আপনি ভার্চুয়াল AP প্রোফাইলের মাধ্যমে আপনার SSID-এ সেই প্রোফাইলটি প্রয়োগ করেন। প্রি-অথেন্টিকেশন রোল - যাকে Aruba "logon" রোল বলে - এতে সেই ACL থাকে যা DNS, DHCP এবং আপনার পোর্টাল সার্ভারের IP রেঞ্জে অ্যাক্সেসের অনুমতি দেয়। পোস্ট-অথেন্টিকেশন শেষে, কন্ট্রোলার "authenticated" রোলটি বরাদ্দ করে, যা সম্পূর্ণ ইন্টারনেট অ্যাক্সেসের অনুমতি দেয়। Ruckus SmartZone মূলত Captive Portal স্থাপনের জন্য একটি Hotspot WLAN টাইপ ব্যবহার করে। WLAN কনফিগারেশনের অধীনে, WLAN টাইপটি Hotspot হিসেবে সেট করুন, তারপর পোর্টাল URL, অথেন্টিকেশন ও অ্যাকাউন্টিংয়ের জন্য RADIUS সার্ভার এবং ওয়াল্ড গার্ডেন এন্ট্রিগুলো কনফিগার করুন। Northbound Portal Interface পোর্টাল এবং কন্ট্রোলারের মধ্যে MAC অথরাইজেশন প্রবাহ পরিচালনা করে। Juniper Mist একটি ক্লাউড-নেটিভ পদ্ধতি ব্যবহার করে। Network, তারপর WLANs-এর অধীনে, একটি গেস্ট WLAN তৈরি করুন এবং পোর্টাল টাইপটি "External Captive Portal" সেট করুন। আপনার পোর্টাল URL লিখুন এবং RADIUS সার্ভারের বিবরণ কনফিগার করুন। Mist ক্লায়েন্ট MAC, AP MAC এবং SSID নাম URL প্যারামিটার হিসেবে পোর্টালে পাঠায়। Ubiquiti UniFi। UniFi Network Controller-এ, Settings, তারপর WiFi-তে যান, আপনার গেস্ট নেটওয়ার্ক নির্বাচন করুন এবং Advanced Options-এর অধীনে হটস্পট পোর্টাল সক্রিয় করতে Guest Policy সেট করুন। পোর্টাল টাইপটি "External" সেট করুন এবং আপনার পোর্টাল URL লিখুন। Profiles, তারপর RADIUS-এর অধীনে RADIUS সার্ভার কনফিগার করুন। Captive Portal স্থাপনের ক্ষেত্রে ওয়াল্ড গার্ডেন হলো সবচেয়ে ভুল কনফিগার করা উপাদান। এটি ভুল হলে আপনার অতিথিরা আপনার স্প্ল্যাশ পেজের পরিবর্তে একটি ব্রাউজার ত্রুটি দেখতে পাবেন।walled garden-এ ন্যূনতম নিম্নলিখিত বিষয়গুলোর অনুমতি থাকতে হবে: আপনার পোর্টাল সার্ভারের IP অ্যাড্রেস বা ডোমেন, আপনার RADIUS সার্ভারের IP অ্যাড্রেস, পোর্ট ৫৩-তে DNS রেজোলিউশন এবং পোর্ট ৬৭ ও ৬৮-এ DHCP। যদি আপনার পোর্টালটি কোনো CDN থেকে অ্যাসেট (যেমন- ফন্ট, ছবি, JavaScript) লোড করে, তবে সেই CDN ডোমেনগুলোকেও walled garden-এর অন্তর্ভুক্ত করতে হবে। Purple ডিপ্লয়মেন্টের জন্য, আমরা অনবোর্ডিংয়ের সময় হোয়াইটলিস্ট করার জন্য নির্দিষ্ট IP রেঞ্জ এবং ডোমেন প্রদান করি। সবচেয়ে সাধারণ ব্যর্থতার কারণ হলো এমন একটি পোর্টাল যা HTML ফ্রেম লোড করে কিন্তু ছবি রেন্ডার করতে বা JavaScript এক্সিকিউট করতে ব্যর্থ হয়, কারণ CDN ডোমেনগুলো walled garden থেকে বাদ পড়ে যায়। এখানে দুটি কমপ্লায়েন্স স্ট্যান্ডার্ড সবচেয়ে গুরুত্বপূর্ণ: GDPR এবং PCI DSS। GDPR-এর অধীনে, আপনার captive portal-কে ব্যক্তিগত তথ্য সংগ্রহের আগে একটি স্পষ্ট, নির্দিষ্ট সম্মতি প্রক্রিয়া প্রদর্শন করতে হবে। এর অর্থ হলো WiFi অ্যাক্সেস এবং মার্কেটিং সম্মতির জন্য আলাদা, আনটিকড (unticked) চেকবক্স থাকতে হবে। আপনি এগুলোকে একসাথে বান্ডেল করতে পারবেন না। অডিট করার উদ্দেশ্যে সম্মতির রেকর্ডটি সংরক্ষণ এবং পুনরুদ্ধারযোগ্য হতে হবে। Purple-এর প্ল্যাটফর্ম এটি স্বয়ংক্রিয়ভাবে পরিচালনা করে এবং প্রতিটি অথেন্টিকেটেড সেশনের বিপরীতে সম্মতির রেকর্ড সংরক্ষণ করে। PCI DSS-এর অধীনে, আপনার ভেন্যুতে যদি কার্ড পেমেন্ট প্রসেস করা হয়, তবে আপনার গেস্ট WiFi নেটওয়ার্কটি অবশ্যই আপনার পেমেন্ট কার্ড এনভায়রনমেন্ট থেকে সম্পূর্ণ আলাদা হতে হবে। এর অর্থ হলো একটি ডেডিকেটেড গেস্ট VLAN, যেখানে ফায়ারওয়াল নিয়মের মাধ্যমে গেস্ট সেগমেন্ট এবং আপনার POS নেটওয়ার্কের মধ্যে যেকোনো ধরনের রাউটিং প্রতিরোধ করা হয়। PCI DSS সংস্করণ ৪.০, যা ২০২৪ সালের মার্চ মাসে বাধ্যতামূলক হয়েছে, সেখানে প্রতি ছয় মাসে অন্তত একবার নেটওয়ার্ক সেগমেন্টেশন টেস্টিং করা প্রয়োজন। আপনাকে দুটি সুনির্দিষ্ট উদাহরণ দেওয়া যাক। প্রথম সিনারিও: Cisco Meraki চালিত একটি ৩৫০-রুমের হোটেল। হোটেলটি তাদের লয়্যালটি প্রোগ্রামের জন্য ইমেল ঠিকানা সংগ্রহ করতে একটি বেসিক ক্লিক-থ্রু পোর্টালের পরিবর্তে একটি ব্র্যান্ডেড গেস্ট এক্সপেরিয়েন্স চালু করতে চায়। কনফিগারেশন: শুধুমাত্র ইন্টারনেট অ্যাক্সেস সহ একটি পৃথক VLAN-এ একটি ডেডিকেটেড গেস্ট SSID তৈরি করুন। Meraki স্প্ল্যাশ পেজটিকে Purple-এর পোর্টাল URL-এ পয়েন্ট করার জন্য কনফিগার করুন। Purple-এর RADIUS সার্ভারের বিবরণ ব্যবহার করে RADIUS অথেন্টিকেশন সেট আপ করুন। Purple-এর IP রেঞ্জ দিয়ে walled garden কনফিগার করুন। Purple ড্যাশবোর্ডে, নাম, ইমেল এবং রুম নম্বর সংগ্রহ করার জন্য একটি ফর্ম এবং স্পষ্ট GDPR সম্মতি চেকবক্স সহ একটি ব্র্যান্ডেড স্প্ল্যাশ পেজ তৈরি করুন। Purple CRM কানেক্টরটিকে হোটেলের মার্কেটিং প্ল্যাটফর্মের সাথে সংযুক্ত করুন। Premier Inn তাদের সমস্ত সম্পত্তিতে এই মডেলটি প্রয়োগ করেছে এবং WiFi-এর মাধ্যমে যুক্ত হওয়া গেস্টদের কাছ থেকে সরাসরি বুকিংয়ের হারে পরিমাপযোগ্য বৃদ্ধি লক্ষ্য করেছে।পরিস্থিতি দুই: একটি আঞ্চলিক রিটেল চেইন যাতে ৪০টি স্টোর রয়েছে এবং HPE Aruba রান করছে। রিটেলারটির সমস্ত সাইট জুড়ে একটি সামঞ্জস্যপূর্ণ গেস্ট WiFi অভিজ্ঞতা প্রয়োজন, সাথে স্টোরের পারফরম্যান্স তুলনা করার জন্য ফুটফল অ্যানালিটিক্স। একটি একক ড্যাশবোর্ড থেকে সমস্ত ৪০টি সাইট পরিচালনা করতে Aruba Central ডিপ্লয় করুন। Purple-এর দিকে নির্দেশ করে একটি এক্সটার্নাল Captive Portal সহ একটি গেস্ট WLAN টেমপ্লেট কনফিগার করুন। Aruba Central-এর গ্রুপ পলিসি ফিচার ব্যবহার করে সমস্ত সাইট জুড়ে টেমপ্লেটটি প্রয়োগ করুন। Purple-এ, একটি একক পোর্টাল টেমপ্লেট কনফিগার করুন যা প্রতিটি ভেন্যু-ভিত্তিক অ্যানালিটিক্স ড্যাশবোর্ড সহ সমস্ত ভেন্যুতে প্রযোজ্য হবে। ওয়ালড গার্ডেন এবং RADIUS কনফিগারেশন টেমপ্লেটে একবার সংজ্ঞায়িত করা হয় এবং স্বয়ংক্রিয়ভাবে প্রচার করা হয়। ফলাফল: IT টিম একটি কনসোল থেকে ৪০টি সাইট পরিচালনা করে। মার্কেটিং টিম প্রতি স্টোরের ফুটফল ডেটা, ডওয়েল টাইম অ্যানালিসিস এবং রিপিট ভিজিট রেট পায় - সবই একটি একক Purple ড্যাশবোর্ড থেকে। চারটি ত্রুটি যা আমি বারবার দেখি। এক: HTTPS ইন্টারসেপশন ব্যর্থতা। আধুনিক ব্রাউজার এবং মোবাইল অপারেটিং সিস্টেমগুলি captive portals সনাক্ত করতে HTTPS প্রোব ব্যবহার করে। যদি আপনার কন্ট্রোলার HTTPS ট্রাফিক ইন্টারসেপ্ট করতে না পারে - যার জন্য রিডাইরেক্ট ডোমেনের জন্য একটি বৈধ সার্টিফিকেট প্রয়োজন - তাহলে প্রোবটি নীরবে ব্যর্থ হয় এবং গেস্ট কোনো রিডাইরেক্ট দেখতে পান না। সমাধান: একটি বিশ্বস্ত সার্টিফিকেট সহ আপনার কন্ট্রোলারের ভার্চুয়াল ইন্টারফেস কনফিগার করুন, অথবা আপনার গেস্ট SSID-এ শুধুমাত্র HTTP-only প্রোব ব্যবহার করুন। দুই: DNS লিকেজ। যদি আপনার প্রি-অথেনটিকেশন ACL অনিয়ন্ত্রিত DNS অনুমতি দেয়, তবে গেস্টরা captive portal সম্পূর্ণরূপে বাইপাস করতে DNS টানেলিং ব্যবহার করতে পারেন। DNS শুধুমাত্র আপনার মনোনীত রিজলভারের মধ্যে সীমাবদ্ধ করুন। তিন: সেশন টাইমআউট অমিল। যদি আপনার কন্ট্রোলার সেশন টাইমআউট আপনার পোর্টালের সেশন টোকেনের বৈধতার চেয়ে কম হয়, তবে গেস্টরা সেশনের মাঝপথেই পোর্টালে রিডাইরেক্ট হয়ে যান। এই মানগুলি সারিবদ্ধ করুন - সাধারণত হসপিটালিটির জন্য ২৪ ঘণ্টা, রিটেলের জন্য আট ঘণ্টা। চার: অ্যাকাউন্টিং অনুপস্থিত থাকা। RADIUS অ্যাকাউন্টিং - Accounting-Start এবং Accounting-Stop মেসেজগুলি - এর মাধ্যমেই আপনার পোর্টাল জানতে পারে যে একটি সেশন শেষ হয়েছে। অ্যাকাউন্টিং কনফিগার করা না থাকলে, আপনার পোর্টালের সেশন রেকর্ডগুলি ভুল হবে এবং আপনার অ্যানালিটিক্স নির্ভরযোগ্য হবে না। দ্রুত প্রশ্ন, দ্রুত উত্তর। আমি কি যেকোনো কন্ট্রোলারের সাথে একটি এক্সটার্নাল পোর্টাল ব্যবহার করতে পারি? হ্যাঁ, যদি কন্ট্রোলারটি এক্সটার্নাল captive portal রিডাইরেক্ট সমর্থন করে - যা আমরা আলোচনা করেছি এমন সমস্ত প্ল্যাটফর্ম করে থাকে। একটি captive portal চালানোর জন্য কি আমার একটি RADIUS সার্ভার প্রয়োজন? সবসময় নয়। সহজ ক্লিক-থ্রু পোর্টালগুলি সম্পূর্ণ RADIUS সার্ভার ছাড়াই MAC অথরাইজেশন বাইপাস ব্যবহার করতে পারে। তবে ক্রিডেনশিয়াল-ভিত্তিক বা সোশ্যাল লগইন পোর্টালগুলির জন্য, RADIUS হল স্ট্যান্ডার্ড মেকানিজম। captive portal কি WPA3-এর সাথে কাজ করে? হ্যাঁ। WPA3 ওয়্যারলেস এনক্রিপশন লেয়ার পরিচালনা করে। Captive portal অথেনটিকেশন লেয়ার পরিচালনা করে। এগুলি স্বাধীনভাবে কাজ করে এবং সম্পূর্ণরূপে সামঞ্জস্যপূর্ণ। Purple কীভাবে আমার বিদ্যমান কন্ট্রোলারের সাথে একীভূত (integrate) হয়? Purple একটি বহিরাগত পোর্টাল সার্ভার হিসেবে কাজ করে। আপনি আপনার কন্ট্রোলারের স্প্ল্যাশ URL-টিকে Purple-এর পোর্টাল এন্ডপয়েন্টে নির্দেশ করেন, Purple-এর IP রেঞ্জ সহ ওয়াল্ড গার্ডেন (walled garden) কনফিগার করেন এবং Purple-এর সার্ভার বিবরণ ব্যবহার করে RADIUS সেট আপ করেন। আপনি Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, বা Ubiquiti UniFi ব্যবহার করছেন কিনা তা নির্বিশেষে একীকরণের প্রক্রিয়াটি একই। সংক্ষেপে বলতে গেলে। Captive Portal রিডাইরেকশন কন্ট্রোলার স্তরে কনফিগার করা হয়, অ্যাক্সেস পয়েন্টে নয়। মূল উপাদানগুলো হলো: আপনার পোর্টালের দিকে নির্দেশকারী স্প্ল্যাশ URL, আপনার পোর্টাল সার্ভারে অ্যাক্সেসের অনুমতি প্রদানকারী ওয়াল্ড গার্ডেন, প্রমাণীকরণ (authentication) এবং অ্যাকাউন্টিংয়ের জন্য RADIUS, এবং নেটওয়ার্ক আইসোলেশনের জন্য VLAN সেগমেন্টেশন। কনফিগারেশন ধাপগুলো ভেন্ডর অনুযায়ী ভিন্ন হতে পারে তবে আর্কিটেকচারটি সামঞ্জস্যপূর্ণ। কমপ্লায়েন্সের জন্য, আপনার পোর্টালকে অবশ্যই GDPR-সম্মত সম্মতি গ্রহণ (consent capture) এবং PCI DSS-সম্মত নেটওয়ার্ক সেগমেন্টেশন বাস্তবায়ন করতে হবে। WPA3 হলো ওয়্যারলেস এনক্রিপশনের বর্তমান স্ট্যান্ডার্ড এবং যেকোনো নতুন স্থাপনার (deployment) ক্ষেত্রে এটি আপনার বেসলাইন স্পেসিফিকেশন হওয়া উচিত। Purple স্বাভাবিকভাবেই Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, এবং Fortinet-এর সাথে একীভূত হয়। ২০২৪ সালে ৮০,০০০টি ভেন্যু এবং ৪৪০ মিলিয়ন লগইনের ভিত্তিতে, প্ল্যাটফর্মটি ডিজাইনগতভাবেই হার্ডওয়্যার-অ্যাগনস্টিক - আপনার কন্ট্রোলার নির্বাচন ফার্স্ট-পার্টি গেস্ট ডেটা সংগ্রহ করতে বা অ্যানালিটিক্স চালাতে আপনার ক্ষমতাকে সীমাবদ্ধ করে না। আপনার পরবর্তী পদক্ষেপ: এই গাইডে থাকা ওয়াল্ড গার্ডেন এবং RADIUS অ্যাকাউন্টিং চেকলিস্টের সাথে আপনার বর্তমান কন্ট্রোলার কনফিগারেশনটি পর্যালোচনা করুন। আপনি যদি একটি নতুন গেস্ট WiFi নেটওয়ার্ক স্থাপন করেন, তবে আপনার কন্ট্রোলার প্ল্যাটফর্মের ভেন্ডর-নির্দিষ্ট কনফিগারেশন ধাপগুলো দিয়ে শুরু করুন এবং Purple-কে আপনার বহিরাগত পোর্টাল হিসেবে সংযুক্ত করুন। শোনার জন্য ধন্যবাদ। এটি ছিল Purple টেকনিক্যাল ব্রিফিং।

header_image.png

এক্সিকিউটিভ সামারি

একটি এন্টারপ্রাইজ নেটওয়ার্ক কন্ট্রোলারে captive portal রিডাইরেক্ট কনফিগার করা নিরাপদ এবং কমপ্লায়েন্ট গেস্ট WiFi প্রদানের একটি মৌলিক প্রয়োজনীয়তা। সঠিকভাবে কনফিগার করা হলে, কন্ট্রোলারটি অপ্রমাণিত ক্লায়েন্ট ট্র্যাফিককে ইন্টারসেপ্ট করে এবং একটি এক্সটার্নাল পোর্টালে একটি HTTP 302 রিডাইরেক্ট ইস্যু করে, যা অথেন্টিকেশন, কনসেন্ট ক্যাপচার এবং নেটওয়ার্ক সেগমেন্টেশন সক্ষম করে। ভুলভাবে কনফিগার করা হলে, এর ফলে নীরবে সংযোগ ব্যর্থতা, ব্রাউজার সিকিউরিটি সতর্কতা এবং কমপ্লায়েন্স সংক্রান্ত ঝুঁকি তৈরি হতে পারে।

এই গাইডটি Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist এবং Ubiquiti UniFi জুড়ে এক্সটার্নাল captive portals মোতায়েন করার জন্য প্রয়োজনীয় টেকনিক্যাল আর্কিটেকচার এবং ভেন্ডর-নির্দিষ্ট কনফিগারেশন পদক্ষেপগুলো প্রদান করে। আমরা রিডাইরেক্ট ফ্লো-এর মেকানিজম, ওয়াল্ড গার্ডেন (walled garden) কনফিগারেশনের জন্য সুনির্দিষ্ট প্রয়োজনীয়তা এবং অথেন্টিকেশন ও অ্যাকাউন্টিংয়ের জন্য RADIUS-এর ইন্টিগ্রেশনের বিস্তারিত বর্ণনা করেছি। এই ধাপগুলো অনুসরণ করে, আপনি নিশ্চিত করতে পারেন যে আপনার গেস্ট নেটওয়ার্ক PCI DSS সেগমেন্টেশনের প্রয়োজনীয়তা পূরণ করে, স্পষ্ট GDPR সম্মতি গ্রহণ করে এবং ফার্স্ট-পার্টি ডেটা নিরাপদে Purple-এর মতো প্ল্যাটফর্মে রাউট করে।

টেকনিক্যাল ডিপ-ডাইভ

captive portal রিডাইরেক্ট মেকানিজমটি নেটওয়ার্ক কন্ট্রোলার স্তরে কাজ করে। একটি ক্লায়েন্ট ডিভাইসকে ইন্টারসেপ্ট, অথেন্টিকেট এবং অথরাইজ করতে এটি নেটওয়ার্ক স্টেট পরিবর্তনের একটি নির্দিষ্ট সিকোয়েন্সের উপর নির্ভর করে।

architecture_overview.png

দ্য রিডাইরেক্ট ফ্লো

  1. অ্যাসোসিয়েশন এবং DHCP: একটি গেস্ট ডিভাইস গেস্ট SSID-এর সাথে যুক্ত হয়। কন্ট্রোলারটি DHCP-এর মাধ্যমে একটি IP অ্যাড্রেস বরাদ্দ করে কিন্তু ক্লায়েন্টকে একটি সীমাবদ্ধ প্রি-অথেন্টিকেশন স্টেটে (প্রায়শই একটি নির্দিষ্ট প্রি-auth VLAN বা রোলে ম্যাপ করা হয়) রাখে।
  2. ওয়াল্ড গার্ডেন প্রয়োগ করা (Walled Garden Enforcement): এই প্রি-অথেন্টিকেশন স্টেটে, DNS (পোর্ট ৫৩), DHCP (পোর্ট ৬৭ এবং ৬৮), এবং অ্যাক্সেস কন্ট্রোল লিস্ট (ACL)-এ সংজ্ঞায়িত নির্দিষ্ট IP অ্যাড্রেস বা ডোমেনের উদ্দেশ্যে পাঠানো ট্র্যাফিক ছাড়া সমস্ত আউটবাউন্ড ট্র্যাফিক ড্রপ করা হয়। এই ACL-টি ওয়াল্ড গার্ডেন (walled garden) নামে পরিচিত।
  3. ইন্টারসেপশন এবং রিডাইরেক্ট: গেস্ট যখন একটি ব্রাউজার খোলে এবং একটি HTTP রিকোয়েস্ট শুরু করে, তখন কন্ট্রোলারটি রিকোয়েস্টটি ইন্টারসেপ্ট করে। ট্র্যাফিক ইন্টারনেটে রাউট করার পরিবর্তে, কন্ট্রোলার একটি HTTP 302 Found স্ট্যাটাস কোড দিয়ে প্রতিক্রিয়া জানায়, যা ব্রাউজারটিকে আপনার এক্সটার্নাল captive portal URL-এ রিডাইরেক্ট করে। আধুনিক অপারেটিং সিস্টেমগুলো এই রিডাইরেক্ট সনাক্ত করতে এবং একটি সিউডো-ব্রাউজার ট্রিগার করতে স্বয়ংক্রিয় HTTPS প্রোব (যেমন Apple's Captive Network Assistant) ব্যবহার করে।4. Authentication: অতিথি এক্সটার্নাল পোর্টালে (যেমন, Purple) হোস্ট করা স্প্ল্যাশ পেজের সাথে ইন্টারঅ্যাক্ট করে। এর মধ্যে একটি সোশ্যাল লগইন, একটি ফর্ম সাবমিশন, বা একটি সহজ ক্লিক-থ্রু অন্তর্ভুক্ত থাকতে পারে। সম্পন্ন হওয়ার পরে, সেশনটি অনুমোদন করার জন্য পোর্টাল কন্ট্রোলারের সাথে যোগাযোগ করে।
  4. Authorisation and Accounting: অনুমোদনের সিগন্যালটি সাধারণত একটি RADIUS Access-Accept মেসেজ বা বিক্রেতা-নির্দিষ্ট API-এর মাধ্যমে পাঠানো হয়। কন্ট্রোলার এই সিগন্যালটি পায়, ক্লায়েন্টকে পোস্ট-অথেন্টিকেশন স্টেটে (প্রায়শই একটি ভিন্ন VLAN) নিয়ে যায়, রিডাইরেক্ট রুলটি সরিয়ে দেয় এবং ইন্টারনেট অ্যাক্সেস মঞ্জুর করে। কন্ট্রোলার তখন সেশনের সময়কাল এবং ডেটা ব্যবহার রেকর্ড করতে একটি RADIUS Accounting-Start মেসেজ পাঠায়।

Implementation Guide

মৌলিক আর্কিটেকচারটি সমস্ত বিক্রেতার ক্ষেত্রে সামঞ্জস্যপূর্ণ, তবে কনফিগারেশন সিনট্যাক্স উল্লেখযোগ্যভাবে পরিবর্তিত হয়। নিচে শীর্ষস্থানীয় এন্টারপ্রাইজ প্ল্যাটফর্মগুলির পদক্ষেপগুলি দেওয়া হল।

vendor_comparison_chart.png

Cisco Meraki

Cisco Meraki সম্পূর্ণভাবে Meraki ড্যাশবোর্ডের মাধ্যমে Captive Portal কনফিগার করে।

  1. Wireless > Access Control-এ যান এবং আপনার গেস্ট SSID সিলেক্ট করুন।
  2. Splash page-এর অধীনে, Sign-on with my RADIUS server (শংসাপত্র-ভিত্তিক অ্যাক্সেসের জন্য) অথবা Click-through সিলেক্ট করুন।
  3. Custom Splash URL ফিল্ডে, Purple দ্বারা প্রদান করা আপনার বাহ্যিক পোর্টাল URLটি লিখুন।
  4. RADIUS-এর অধীনে, অথেন্টিকেশন (পোর্ট 1812) এবং অ্যাকাউন্টিং (পোর্ট 1813) উভয়ের জন্য প্রাইমারি এবং সেকেন্ডারি RADIUS সার্ভারের IP অ্যাড্রেস এবং শেয়ার্ড সিক্রেটটি লিখুন।
  5. ওয়াল্ড গার্ডেন কনফিগার করতে Advanced Splash Settings-এ যান। আপনার পোর্টাল সার্ভার এবং প্রয়োজনীয় যেকোনো CDN-এর IP অ্যাড্রেস বা ডোমেন যোগ করুন।

HPE Aruba

Aruba কনফিগারেশনে একটি Captive Portal প্রোফাইল সংজ্ঞায়িত করা এবং এটি একটি রোলে প্রয়োগ করা জড়িত।

  1. ArubaOS-এ, Configuration > Authentication > L3 Authentication-এ যান।
  2. একটি নতুন Captive Portal Authentication Profile তৈরি করুন। আপনার Purple স্প্ল্যাশ পেজ নির্দেশকারী Login URL লিখুন।
  3. আপনার RADIUS সার্ভার ধারণকারী একটি Server Group তৈরি করুন এবং এটি Captive Portal প্রোফাইলে অ্যাসাইন করুন।
  4. Configuration > Security > Roles-এ যান। প্রি-অথেন্টিকেশন রোলটি (প্রায়শই logon নামে পরিচিত) এডিট করুন। নিশ্চিত করুন যে ACL আপনার ওয়াল্ড গার্ডেন IP অ্যাড্রেসগুলিতে DHCP, DNS এবং HTTP/HTTPS ট্রাফিকের অনুমতি দেয় এবং অন্য সমস্ত HTTP ট্রাফিকের উপর Captive Portal প্রোফাইল প্রয়োগ করে।
  5. গেস্ট SSID-এর জন্য আপনার AAA প্রোফাইলে প্রাথমিক রোল হিসেবে logon রোলটি অ্যাসাইন করুন।

Ruckus SmartZone

Ruckus uses a specific WLAN type for hotspot deployments.

  1. Navigate to WLANs and create a new WLAN. Set the WLAN Type to Hotspot (WISPr).
  2. Under Authentication Options, select External RADIUS Server and input your server details for both authentication and accounting.
  3. Under Hotspot Portal, select External and enter your portal URL.
  4. Configure the Walled Garden by adding the necessary IP addresses or domains.
  5. Ruckus relies on its Northbound Portal Interface (NPI) to handle the authorisation flow, which requires configuring the NPI settings to allow communication from your portal server.

Ubiquiti UniFi

UniFi provides a straightforward interface for external portals.

  1. In the UniFi Network Controller, go to Settings > WiFi and select your guest network.
  2. Under Advanced Options, enable the Guest Policy.
  3. Go to Settings > Guest Control. Under Portal Type, select External Portal Server and enter your portal URL.
  4. Under Access Control, add the required IP addresses to the Pre-Authorization Access list (the walled garden).
  5. Configure the RADIUS server details under Profiles > RADIUS and apply the profile to the guest network.

Best Practices

1. Walled Garden Configuration

The walled garden is the most critical point of failure in captive portal deployments. If the walled garden is incomplete, the guest's browser will fail to load the splash page, resulting in a blank screen or a timeout error.

You must explicitly permit access to:

  • The primary portal server IP addresses or domains.
  • The RADIUS server IP addresses.
  • Any Content Delivery Networks (CDNs) used by the portal to load fonts, images, or JavaScript.
  • Identity provider domains if using social login (e.g., facebook.com, google.com).

2. Network Segmentation for PCI DSS

If your venue processes card payments, PCI DSS compliance requires strict isolation of the guest network from the cardholder data environment. Do not rely solely on SSID separation. You must configure a dedicated guest VLAN at the controller or switch level, with firewall rules that explicitly deny routing between the guest VLAN and any internal corporate or Point of Sale (POS) networks.

3. RADIUS Accounting

Always configure RADIUS accounting. While MAC authorisation bypass can grant access, RADIUS accounting (Accounting-Start and Accounting-Stop messages) is required to accurately track session duration and data usage. Without accounting, your analytics platform will report inaccurate dwell times and concurrent user counts.

Troubleshooting & Risk Mitigation

HTTPS Interception Failures

আধুনিক অপারেটিং সিস্টেমগুলো captive portals সনাক্ত করতে HTTPS প্রোব ব্যবহার করে। কন্ট্রোলার যদি কোনো HTTPS অনুরোধকে ইন্টারসেপ্ট করে কিন্তু রিডাইরেক্টের জন্য একটি অবৈধ বা অবিশ্বাস্য SSL সার্টিফিকেট প্রদান করে, তবে ব্রাউজার একটি গুরুতর নিরাপত্তা সতর্কতা প্রদর্শন করবে (যেমন, "Your connection is not private") এবং রিডাইরেক্টটি ব্লক করবে। এটি এড়াতে, আপনার কন্ট্রোলারের ভার্চুয়াল ইন্টারফেসের জন্য একটি বৈধ, জনসমক্ষে বিশ্বস্ত SSL সার্টিফিকেট প্রোভিশন করা নিশ্চিত করুন, অথবা প্রাথমিক রিডাইরেক্টের জন্য কন্ট্রোলারটিকে শুধুমাত্র HTTP ট্র্যাফিক ইন্টারসেপ্ট করার জন্য কনফিগার করুন।

DNS Leakage

যদি প্রি-অথেনটিকেশন ACL অনিয়ন্ত্রিত আউটবাউন্ড DNS ট্র্যাফিক অনুমোদন করে, তবে দক্ষ ব্যবহারকারীরা captive portal বাইপাস করতে এবং অথেনটিকেশন ছাড়াই ইন্টারনেট অ্যাক্সেস করতে DNS টানেলিং ব্যবহার করতে পারেন। প্রি-অথেনটিকেশন রোলে আউটবাউন্ড DNS ট্র্যাফিককে শুধুমাত্র আপনার নির্দিষ্ট করা DNS রিজলভারগুলোতে সীমাবদ্ধ করে এবং অন্যান্য সমস্ত পোর্ট ৫৩ (port 53) ট্র্যাফিক ব্লক করে এটি প্রতিরোধ করুন।

Session Timeout Mismatches

ওয়্যারলেস কন্ট্রোলারে কনফিগার করা সেশন টাইমআউট যদি এক্সটার্নাল পোর্টালে সংজ্ঞায়িত সেশনের বৈধতার মেয়াদের চেয়ে কম হয়, তবে অতিথিরা আকস্মিকভাবে বিচ্ছিন্ন হয়ে যাবেন এবং তাদের পুনরায় অথেনটিকেট করতে বাধ্য করা হবে। কন্ট্রোলারের আইডল টাইমআউট এবং অ্যাবসোলিউট সেশন টাইমআউট যেন কাঙ্ক্ষিত অতিথি অভিজ্ঞতার সাথে সামঞ্জস্যপূর্ণ হয় তা নিশ্চিত করুন (যেমন, হসপিটালিটি পরিবেশের জন্য ২৪ ঘণ্টা, রিটেইলের জন্য ৮ ঘণ্টা)।

ROI & Business Impact

একটি সঠিকভাবে কনফিগার করা captive portal মোতায়েন করা গেস্ট WiFi-কে একটি পরিচালন ব্যয় থেকে একটি কৌশলগত সম্পদে রূপান্তরিত করে। এন্টারপ্রাইজ কন্ট্রোলারগুলোকে Purple-এর মতো একটি ইন্টেলিজেন্স লেয়ারের সাথে একীভূত করে, ভেন্যুগুলো সুস্পষ্ট GDPR সম্মতি গ্রহণ করতে এবং মূল্যবান ফার্স্ট-পার্টি ডেটা সংগ্রহ করতে পারে।

Purple বার্ষিকভাবে ৮০,০০০ ভেন্যুতে ৪৪০ মিলিয়ন লগইন প্রসেস করে। এই ডেটা সরাসরি CRM প্ল্যাটফর্মগুলোতে পাঠানো হয়, যা প্রকৃত শারীরিক পরিদর্শনের উপর ভিত্তি করে টার্গেটেড মার্কেটিং ক্যাম্পেইন পরিচালনার সুবিধা দেয়। উদাহরণস্বরূপ, রিটেইল অপারেটররা ফুটফল এবং পুনরাবৃত্ত পরিদর্শনের হার পরিমাপ করতে পারেন, অন্যদিকে হসপিটালিটি ভেন্যুগুলো অতিথিদের থাকার পরে তাদের সাথে যোগাযোগ বজায় রেখে সরাসরি বুকিং বাড়াতে পারে। ROI পরিমাপ করা হয় বর্ধিত কাস্টমার লাইফটাইম ভ্যালু, সঠিক ফুটফল অ্যানালিটিক্সের মাধ্যমে উন্নত পরিচালন দক্ষতা এবং স্বয়ংক্রিয় কমপ্লায়েন্স ম্যানেজমেন্টের মাধ্যমে নিয়ন্ত্রক ঝুঁকি হ্রাসের ভিত্তিতে।

মূল সংজ্ঞাসমূহ

Captive Portal

একটি ওয়েব পেজ যা অথেন্টিকেট না হওয়া নেটওয়ার্ক ট্রাফিককে বাধা দেয় এবং ইন্টারনেট অ্যাক্সেস দেওয়ার আগে ব্যবহারকারীর ইন্টারঅ্যাকশন—যেমন শর্তাবলী স্বীকার করা বা ক্রেডেনশিয়াল প্রদান করার দাবি করে।

সিকিউরিটি পলিসি প্রয়োগ করতে, ফার্স্ট-পার্টি ডেটা সংগ্রহ করতে এবং রেগুলেটরি কমপ্লায়েন্স নিশ্চিত করতে এন্টারপ্রাইজ নেটওয়ার্কে ব্যবহৃত হয়।

Walled Garden

অথেন্টিকেট না হওয়া ক্লায়েন্টদের উপর প্রয়োগ করা একটি অ্যাক্সেস কন্ট্রোল লিস্ট (ACL), যা শুধুমাত্র captive portal লোড করার জন্য প্রয়োজনীয় নির্দিষ্ট IP অ্যাড্রেস বা ডোমেনে অ্যাক্সেসের অনুমতি দেয়।

স্প্ল্যাশ পেজটি সঠিকভাবে লোড হচ্ছে কিনা তা নিশ্চিত করার জন্য অত্যন্ত গুরুত্বপূর্ণ; ওয়াল্ড গার্ডেনে CDN ডোমেন বাদ পড়লে পোর্টালটি সঠিকভাবে রেন্ডার হবে না।

RADIUS

রিমোট অথেন্টিকেশন ডায়াল-ইন ইউজার সার্ভিস। একটি নেটওয়ার্কিং প্রোটোকল যা সেন্ট্রালাইজড অথেন্টিকেশন, অথরাইজেশন এবং অ্যাকাউন্টিং (AAA) ম্যানেজমেন্ট প্রদান করে।

একটি এক্সটার্নাল ডেটাবেসের বিপরীতে গেস্ট ক্রেডেনশিয়াল যাচাই করতে এবং সেশন মেট্রিক্স লগ করতে নেটওয়ার্ক কন্ট্রোলার দ্বারা ব্যবহৃত হয়।

VLAN Segmentation

ট্রাফিক আলাদা করতে একটি ফিজিক্যাল নেটওয়ার্ককে একাধিক লজিক্যাল নেটওয়ার্কে বিভক্ত করার প্রক্রিয়া।

PCI DSS কমপ্লায়েন্সের জন্য এটি বাধ্যতামূলক যাতে গেস্ট WiFi ট্রাফিক পেমেন্ট কার্ড এনভায়রনমেন্টে রাউট হতে না পারে।

HTTP 302 Redirect

একটি স্ট্যান্ডার্ড HTTP রেসপন্স স্ট্যাটাস কোড যা নির্দেশ করে যে অনুরোধ করা রিসোর্সটি সাময়িকভাবে একটি ভিন্ন URL-এ স্থানান্তরিত হয়েছে।

গেস্টের প্রাথমিক ওয়েব রিকোয়েস্ট ইন্টারসেপ্ট করতে এবং তাদের ব্রাউজারকে স্প্ল্যাশ পেজে রিডাইরেক্ট করতে নেটওয়ার্ক কন্ট্রোলার দ্বারা ব্যবহৃত মেকানিজম।

IEEE 802.1X

পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস নিয়ন্ত্রণের জন্য একটি IEEE স্ট্যান্ডার্ড, যা নেটওয়ার্কে অ্যাক্সেস পাওয়ার আগে ডিভাইসগুলিকে প্রমাণীকরণ করতে বাধ্য করে।

প্রতিটি কানেকশন আলাদাভাবে অথেন্টিকেট করা নিশ্চিত করার মাধ্যমে এন্টারপ্রাইজ-গ্রেড সিকিউরিটি প্রদান করে, যা প্রায়শই একটি RADIUS সার্ভার দ্বারা সমর্থিত হয়।

WPA3-Enterprise

সর্বাধুনিক Wi-Fi নিরাপত্তা প্রোটোকল, যা শক্তিশালী এনক্রিপশন প্রদান করে এবং 802.1X প্রমাণীকরণ বাধ্যতামূলক করে।

অফলাইন ডিকশনারি অ্যাটাক থেকে রক্ষা করতে এবং ডেটার গোপনীয়তা নিশ্চিত করতে নিরাপদ এন্টারপ্রাইজ ডেপ্লয়মেন্টের জন্য প্রস্তাবিত।

MAC Authorisation Bypass (MAB)

স্পষ্ট ব্যবহারকারী ক্রেডেনশিয়ালের প্রয়োজন না রেখে ক্লায়েন্ট ডিভাইসের MAC অ্যাড্রেসের উপর ভিত্তি করে নেটওয়ার্ক অ্যাক্সেস দেওয়ার একটি পদ্ধতি।

সাধারণত ক্লিক-থ্রু Captive Portal-এ ব্যবহৃত হয় যেখানে ব্যবহারকারী পরিষেবার শর্তাবলী স্বীকার করার পরে পোর্টালটি MAC অ্যাড্রেস রেজিস্টার করে।

সমাধানকৃত উদাহরণসমূহ

একটি ৩৫০-রুমের হোটেলের জন্য একটি ব্র্যান্ডেড গেস্ট WiFi পোর্টাল ডেপ্লয় করা প্রয়োজন যা তাদের লয়্যালটি প্রোগ্রামের জন্য ইমেল অ্যাড্রেস সংগ্রহ করবে, GDPR কমপ্লায়েন্স নিশ্চিত করবে এবং গেস্ট ট্রাফিককে কর্পোরেট নেটওয়ার্ক থেকে আলাদা রাখবে।

IT টিম Cisco Meraki AP ডেপ্লয় করে এবং VLAN 100-এ একটি ডেডিকেটেড গেস্ট SSID কনফিগার করে। Meraki ড্যাশবোর্ডে, তারা স্প্ল্যাশ পেজটি 'Sign-on with my RADIUS server'-এ সেট করে এবং Purple-এর পোর্টাল URL এন্টার করে। তারা ওয়াল্ড গার্ডেনে Purple-এর IP রেঞ্জ এবং CDN ডোমেন অন্তর্ভুক্ত করার জন্য কনফিগার করে। VLAN 100-এ ফায়ারওয়াল রুল প্রয়োগ করা হয়, যা PCI DSS কমপ্লায়েন্স নিশ্চিত করতে কর্পোরেট VLAN-এ রাউটিং ব্লক করে। Purple প্ল্যাটফর্মে, একটি ডেটা ক্যাপচার ফর্ম এবং সুনির্দিষ্ট GDPR সম্মতি চেকবক্স সহ একটি ব্র্যান্ডেড পোর্টাল তৈরি করা হয়। সংগৃহীত ইমেলগুলো সরাসরি হোটেলের মার্কেটিং প্ল্যাটফর্মে সিঙ্ক করতে Purple CRM কানেক্টরটি কনফিগার করা হয়েছে।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি সফলভাবে টেকনিক্যাল এবং ব্যবসায়িক উভয় প্রয়োজনীয়তাই পূরণ করে। VLAN সেগমেন্টেশন নিরাপত্তা এবং কমপ্লায়েন্স নিশ্চিত করে, যেখানে Purple-এর সাথে ইন্টিগ্রেশন প্রয়োজনীয় সম্মতি ক্যাপচার এবং CRM সিঙ্ক্রোনাইজেশন প্রদান করে। RADIUS-এর ব্যবহার সঠিক সেশন ট্র্যাকিং নিশ্চিত করে।

৪০টি স্টোর সহ একটি আঞ্চলিক রিটেইল চেইনের সমস্ত লোকেশনে একটি সামঞ্জস্যপূর্ণ গেস্ট WiFi অভিজ্ঞতার প্রয়োজন, যার সাথে সেন্ট্রালাইজড ম্যানেজমেন্ট এবং স্টোর-লেভেল ফুটফল অ্যানালিটিক্স থাকবে।

রিটেইলার Aruba Central-এর মাধ্যমে পরিচালিত HPE Aruba AP ডেপ্লয় করে। Purple-কে নির্দেশ করে একটি এক্সটার্নাল captive portal সহ একটি সিঙ্গেল গেস্ট WLAN টেমপ্লেট তৈরি করা হয়। প্রি-অথেন্টিকেশন রোলটি প্রয়োজনীয় ওয়াল্ড গার্ডেন ACL দ্বারা কনফিগার করা হয়। এই টেমপ্লেটটি Aruba Central-এর গ্রুপ পলিসি ব্যবহার করে সমস্ত ৪০টি সাইটে প্রয়োগ করা হয়। Purple-এ একটি ইউনিফাইড পোর্টাল ডিজাইন ডেপ্লয় করা হয়েছে, যেখানে প্রতিটি আলাদা স্টোর লোকেশন অনুযায়ী ডেটা সেগমেন্ট করতে অ্যানালিটিক্স ড্যাশবোর্ড কনফিগার করা হয়েছে।

পরীক্ষকের মন্তব্য: Aruba Central-এর টেমপ্লেট-ভিত্তিক কনফিগারেশন ব্যবহারের ফলে ৪০টি সাইটে কনফিগারেশন সংক্রান্ত কোনো অমিল থাকে না। Purple-এর সাথে ইন্টিগ্রেশন মার্কেটিং টিমকে একটি সিঙ্গেল ইন্টারফেস থেকে সম্পূর্ণ এস্টেটের ফুটফল এবং ডোয়েল টাইমের মতো মেট্রিক্স তুলনা করার সুবিধা দেয়, যা একটি হার্ডওয়্যার-অ্যাগনস্টিক ইন্টেলিজেন্স লেয়ারের গুরুত্ব প্রমাণ করে।

অনুশীলনী প্রশ্নসমূহ

Q1. একটি ভেন্যু থেকে জানানো হয়েছে যে WiFi-এ সংযুক্ত হওয়া অতিথিরা ব্র্যান্ডেড স্প্ল্যাশ পেজের পরিবর্তে একটি ফাঁকা স্ক্রিন দেখছেন। পোর্টালটি Google Fonts-এ হোস্ট করা কাস্টম ফন্ট ব্যবহার করে। সবচেয়ে সম্ভাব্য কনফিগারেশন ত্রুটি কোনটি?

ইঙ্গিত: ব্যবহারকারী প্রমাণীকরণের আগে কোন ট্রাফিক অনুমোদিত তা বিবেচনা করুন।

মডেল উত্তর দেখুন

Walled garden-টি অসম্পূর্ণ। Google Fonts CDN ডোমেনগুলি প্রাক-প্রমাণীকরণ ACL-এ যোগ করা হয়নি। কন্ট্রোলার ফন্ট লোড করার অনুরোধটি ব্লক করছে, যার ফলে পেজ রেন্ডার ব্যর্থ হচ্ছে।

Q2. PCI DSS মেনে চলার জন্য, একজন IT ম্যানেজার কর্পোরেট নেটওয়ার্কের মতো একই সাবনেটে 'Guest_WiFi' নামে একটি নতুন SSID তৈরি করেছেন। এটি কি যথেষ্ট?

ইঙ্গিত: PCI DSS-এর জন্য কার্ডহোল্ডার ডেটা পরিবেশ আলাদা করা প্রয়োজন।

মডেল উত্তর দেখুন

না। একই সাবনেটে একটি পৃথক SSID তৈরি করলে নেটওয়ার্ক আইসোলেশন হয় না। গেস্ট নেটওয়ার্কটিকে অবশ্যই একটি ডেডিকেটেড VLAN-এ রাখতে হবে এবং ফায়ারওয়াল নিয়মের মাধ্যমে কর্পোরেট বা POS নেটওয়ার্কের রাউটিং স্পষ্টভাবে ব্লক করতে হবে।

Q3. একটি রিটেইল চেইন লক্ষ্য করেছে যে তাদের অ্যানালিটিক্স ড্যাশবোর্ড প্রতিদিন ১,০০০টি প্রমাণীকরণ দেখাচ্ছে, কিন্তু গড় বসবাসের সময় (dwell time) মেট্রিকটি অনুপস্থিত বা শূন্য। কোন কনফিগারেশন ধাপটি বাদ পড়েছে?

ইঙ্গিত: কোন প্রোটোকলটি সেশন সময়কাল ট্র্যাক করার জন্য দায়ী?

মডেল উত্তর দেখুন

কন্ট্রোলারে RADIUS Accounting কনফিগার করা হয়নি। Accounting-Start এবং Accounting-Stop মেসেজ ছাড়া, অ্যানালিটিক্স প্ল্যাটফর্ম সেশনের সময়কাল গণনা করতে পারে না।

এই সিরিজে পড়া চালিয়ে যান

Starlink-এ কীভাবে একটি Captive Portal সেট আপ করবেন: দূরবর্তী এবং সামুদ্রিক ভেন্যুগুলোর জন্য একটি নির্দেশিকা

এই নির্দেশিকাটিতে কীভাবে নেটিভ Starlink হার্ডওয়্যার বাইপাস করতে হয় এবং এন্টারপ্রাইজ রাউটিং সরঞ্জাম ব্যবহার করে একটি ক্লাউড-পরিচালিত captive portal সংহত করতে হয় তা বিস্তারিতভাবে আলোচনা করা হয়েছে। আপনি কীভাবে CGNAT সীমাবদ্ধতা কাটিয়ে উঠবেন, VLAN সেগমেন্টেশন প্রয়োগ করবেন, স্যাটেলাইট ব্যান্ডউইথ সীমাবদ্ধতা পরিচালনা করবেন এবং নিয়ন্ত্রক সম্মতি নিশ্চিত করবেন তা শিখবেন।

গাইডটি পড়ুন →

Captive Portal-এর সর্বোত্তম অনুশীলনসমূহ: উচ্চ কনভার্সন এবং কমপ্লায়েন্সের জন্য ডিজাইন

এই টেকনিক্যাল গাইডটি IT ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং ভেন্যু অপারেশন ডিরেক্টরদের জন্য নেটওয়ার্ক সিকিউরিটির সাথে উচ্চ ইউজার কনভার্সনের ভারসাম্য বজায় রেখে captive portals স্থাপনের একটি সম্পূর্ণ ব্লুপ্রিন্ট প্রদান করে। এটি VLAN সেগমেন্টেশন এবং RADIUS অথেন্টিকেশন থেকে শুরু করে GDPR-সম্মত সম্মতি (consent) ডিজাইন এবং অথেন্টিকেশন পদ্ধতি নির্বাচন পর্যন্ত সম্পূর্ণ আর্কিটেকচার কভার করে। ২০২৪ সালে ৮০,০০০-এরও বেশি ভেন্যু এবং ৪৪০ মিলিয়ন লগইনে Purple-এর অপারেশনাল অভিজ্ঞতা থেকে নেওয়া প্রতিটি সুপারিশ বাস্তব ডিপ্লয়মেন্ট ডেটার ওপর ভিত্তি করে তৈরি।

গাইডটি পড়ুন →

সর্বোচ্চ নেটওয়ার্ক নিরাপত্তা এবং ব্যবহারকারী রূপান্তরের জন্য কীভাবে Captive Portals অপ্টিমাইজ করবেন

এই নির্দেশিকাটি এন্টারপ্রাইজ ভেন্যু জুড়ে captive portals অপ্টিমাইজ করার জন্য একটি সম্পূর্ণ প্রযুক্তিগত ব্লুপ্রিন্ট প্রদান করে, যার মধ্যে নেটওয়ার্ক সেগমেন্টেশন আর্কিটেকচার, প্রমাণীকরণ পদ্ধতি নির্বাচন, GDPR-সম্মত সম্মতি ডিজাইন এবং রূপান্তর অপ্টিমাইজেশন অন্তর্ভুক্ত রয়েছে। এটি হোটেল, রিটেইল চেইন, স্টেডিয়াম এবং পাবলিক-সেক্টর সংস্থাগুলির আইটি ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং CTO-দের জন্য লেখা হয়েছে যাদের ফার্স্ট-পার্টি ডেটা সংগ্রহের সাথে নেটওয়ার্ক নিরাপত্তার ভারসাম্য বজায় রাখতে হবে। Purple ২০২৪ সালে ৪৪০ মিলিয়ন লগইন সহ ৮০,০০০+ ভেন্যুতে captive portal অবকাঠামো পরিচালনা করে এবং এখানকার ফ্রেমওয়ার্কগুলি সেই কর্মক্ষম অভিজ্ঞতারই প্রতিফলন ঘটায়।

গাইডটি পড়ুন →