মূল কন্টেন্টে যান
বাংলা

Fortinet FortiAP এবং Purple WiFi ইন্টিগ্রেশন গাইড

Purple WiFi-এর সাথে Fortinet FortiAP এবং FortiGate ইনফ্রাস্ট্রাকচার ইন্টিগ্রেট করার জন্য একটি সুনির্দিষ্ট টেকনিক্যাল রেফারেন্স। এই গাইডটিতে হসপিটালিটি, রিটেইল এবং পাবলিক-সেক্টর এনভায়রনমেন্ট জুড়ে এন্টারপ্রাইজ ডিপ্লয়মেন্টের জন্য এক্সটার্নাল Captive Portal কনফিগারেশন, FortiAuthenticator-এর সাথে RADIUS অথেনটিকেশন কো-এক্সিস্টেন্স এবং সিকিউরিটি পলিসি ডিজাইন কভার করা হয়েছে।

📖 7 মিনিট পাঠ📝 1,552 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 9 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
Purple আর্কিটেকচার ব্রিফিং-এ স্বাগতম। আজ আমরা এন্টারপ্রাইজ নেটওয়ার্কগুলোর জন্য একটি গুরুত্বপূর্ণ ইন্টিগ্রেশন নিয়ে আলোচনা করছি: Fortinet ইনফ্রাস্ট্রাকচার, বিশেষ করে FortiAP অ্যাক্সেস পয়েন্ট এবং FortiGate ফায়ারওয়ালের পাশাপাশি Purple WiFi ডিপ্লয় করা। আপনি যদি একজন IT ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট বা কোনো ভেন্যু পরিচালনাকারী CTO হন — তা রিটেইল চেইন, স্টেডিয়াম বা হাসপাতাল যাই হোক না কেন — এই সেশনটি আপনাকে এই দুটি শক্তিশালী প্ল্যাটফর্মকে একসাথে নিরবচ্ছিন্নভাবে কাজ করানোর জন্য অ্যাকশনেবল ব্লুপ্রিন্ট দেওয়ার জন্য ডিজাইন করা হয়েছে। চলুন প্রেক্ষাপটটি সেট করা যাক। Fortinet তার শক্তিশালী সিকিউরিটি পোসচারের জন্য বিখ্যাত। FortiGate ইউনিফাইড থ্রেট ম্যানেজমেন্ট অ্যাপ্লায়েন্সগুলো গভীর, Layer 7 ট্রাফিক ইনস্পেকশন প্রদান করে। তবে, যখন গেস্ট WiFi-এর কথা আসে, তখন আপনি শুধু সিকিউরিটি চান না — আপনি বিজনেস ভ্যালু চান। আপনি ডেমোগ্রাফিক ডেটা ক্যাপচার করতে, ভিজিটরদের আচরণ বুঝতে এবং মার্কেটিং রিটার্ন অন ইনভেস্টমেন্ট ড্রাইভ করতে চান। এখানেই Purple-এর ভূমিকা। একটি এক্সটার্নাল Captive Portal হিসেবে Purple-কে ইন্টিগ্রেট করার মাধ্যমে, আপনি গেস্ট আইডেন্টিটি ম্যানেজমেন্ট, GDPR কনসেন্ট এবং সোশ্যাল লগইনের ভারী কাজগুলো Purple-এর ক্লাউড RADIUS-এ অফলোড করেন, আর FortiGate-কে তার সেরা কাজটি করতে দেন: পেরিমিটার সুরক্ষিত করা। তাহলে, এটি আসলে কীভাবে কাজ করে? চলুন টেকনিক্যাল ডিপ-ডাইভে প্রবেশ করি। এই আর্কিটেকচার স্ট্যান্ডার্ড RADIUS প্রোটোকল এবং HTTP রিডাইরেকশনের ওপর নির্ভর করে। যখন কোনো গেস্ট ডিভাইস FortiAP দ্বারা ব্রডকাস্ট করা আপনার ওপেন গেস্ট SSID-এর সাথে যুক্ত হয়, তখন FortiGate সেই প্রাথমিক ওয়েব রিকোয়েস্ট ইন্টারসেপ্ট করে। একটি বেসিক, লোকালভাবে স্টোর করা পোর্টাল পেজ সার্ভ করার পরিবর্তে, FortiGate ক্লায়েন্টকে Purple-এর ক্লাউড-হোস্টেড স্প্ল্যাশ পেজে রিডাইরেক্ট করে। এখন, এখানে একটি গুরুত্বপূর্ণ কনসেপ্ট রয়েছে: Walled Garden। এই প্রি-অথেনটিকেশন পর্যায়ে, গেস্টের ইন্টারনেট অ্যাক্সেস থাকে না। কিন্তু তাদের পোর্টাল গ্রাফিক্স লোড করতে হবে এবং লগইন করার জন্য তাদের Facebook বা Google-এ পৌঁছানোর প্রয়োজন হতে পারে। Walled Garden হলো FortiGate-এ কনফিগার করা একটি কঠোর অ্যালাউলিস্ট যা এই নির্দিষ্ট ডোমেইনগুলোতে ট্রাফিকের অনুমতি দেয়। ব্যবহারকারী অথেনটিকেট করার পর, Purple-এর প্ল্যাটফর্ম FortiGate-এ একটি RADIUS Access-Accept মেসেজ পাঠায়। এরপর FortiGate সুইচ ফ্লিপ করে, সেশন স্টেটকে অথেনটিকেটেডে পরিবর্তন করে এবং ব্যবহারকারীকে আপনার পোস্ট-অথেনটিকেশন ফায়ারওয়াল পলিসিতে ড্রপ করে। চলুন RADIUS কনফিগারেশন নিয়ে আরও বিস্তারিত কথা বলি, কারণ এখানেই নির্ভুলতা গুরুত্বপূর্ণ। Purple আপনাকে RADIUS ক্রেডেনশিয়ালের দুটি সেট প্রদান করে: একটি পোর্ট 1812-এ অথেনটিকেশনের জন্য এবং অন্যটি পোর্ট 1813-এ অ্যাকাউন্টিংয়ের জন্য। উভয়ই কনফিগার করতে হবে। অ্যাকাউন্টিং সার্ভার ঐচ্ছিক নয়। এটি এমন একটি মেকানিজম যার মাধ্যমে FortiGate সেশন ডেটা Purple-এ রিপোর্ট করে — সময়কাল, ব্যবহৃত ব্যান্ডউইথ এবং সেশন টার্মিনেশন ইভেন্ট। নির্ভুল অ্যাকাউন্টিং ডেটা ছাড়া, আপনার Purple অ্যানালিটিক্স ড্যাশবোর্ড অসম্পূর্ণ বা ভুল ভিজিটর মেট্রিক্স দেখাবে। আপনার অ্যাকাউন্টিং ইন্টারিম ইন্টারভ্যাল 120 সেকেন্ডে সেট করুন। এটি রিয়েল-টাইম ভিজিবিলিটি এবং নেটওয়ার্ক ওভারহেডের মধ্যে একটি ভালো ব্যালেন্স প্রদান করে। একটি খুব সাধারণ সিনারিওতে FortiAuthenticator জড়িত থাকে। অনেক এন্টারপ্রাইজ তাদের স্টাফ WiFi-এর জন্য FortiAuthenticator ব্যবহার করে — Active Directory-এর বিপরীতে কর্পোরেট ডিভাইসগুলোকে অথেনটিকেট করতে 802.1X এবং PEAP ব্যবহার করে। প্রশ্নটি সর্বদা থাকে: আমি কি স্টাফদের জন্য আমার FortiAuthenticator রাখতে পারি এবং গেস্টদের জন্য Purple ব্যবহার করতে পারি? এর উত্তর হলো হ্যাঁ, অবশ্যই, এবং এখানকার মূল নিয়ম হলো কঠোর সেগ্রিগেশন। আপনি FortiAuthenticator-কে পয়েন্ট করে আপনার স্টাফ SSID বজায় রাখুন। আপনি Purple-এর এক্সটার্নাল Captive Portal এবং ক্লাউড RADIUS-কে পয়েন্ট করে গেস্টদের জন্য সম্পূর্ণ আলাদা, ওপেন SSID তৈরি করুন। FortiGate SSID-এর ওপর ভিত্তি করে অথেনটিকেশন রিকোয়েস্ট রাউট করে। স্টাফ আইডেন্টিটি FortiAuthenticator-এর সাথে অন-প্রিমিস থাকে। গেস্ট আইডেন্টিটি Purple মার্কেটিং ক্লাউডে যায়। জিরো ক্রসওভার, সর্বোচ্চ সিকিউরিটি। এই আর্কিটেকচারের একটি উল্লেখযোগ্য কমপ্লায়েন্স সুবিধাও রয়েছে। PCI DSS প্রয়োজনীয়তার অধীনে, গেস্ট WiFi নেটওয়ার্কগুলোকে অবশ্যই কার্ডহোল্ডার ডেটা পরিচালনা করে এমন যেকোনো নেটওয়ার্ক সেগমেন্ট থেকে সম্পূর্ণ আইসোলেটেড হতে হবে। গেস্ট SSID-কে একটি ডেডিকেটেড VLAN-এ স্থাপন করে এবং সমস্ত RFC 1918 প্রাইভেট IP স্পেস ডেস্টিনেশন ব্লক করতে FortiGate-এ কঠোর ফায়ারওয়াল পলিসি প্রয়োগ করে, আপনি এই প্রয়োজনীয়তাটি পরিষ্কারভাবে পূরণ করতে পারেন। এখন চলুন ইমপ্লিমেন্টেশন রিকমেন্ডেশনে যাওয়া যাক। আপনি যখন এটি সেট আপ করছেন, তখন IP অ্যাসাইনমেন্টের বিষয়ে আপনাকে একটি গুরুত্বপূর্ণ সিদ্ধান্ত নিতে হবে: NAT মোড বনাম Bridge মোড。 আপনি যদি পঞ্চাশ থেকে একশ কনকারেন্ট গেস্ট কানেকশনসহ একটি ছোট রিটেইল ব্রাঞ্চ ডিপ্লয় করেন, তবে NAT মোড পুরোপুরি পর্যাপ্ত। FortiGate একটি ডেডিকেটেড ইন্টারনাল সাবনেট থেকে গেস্টদের DHCP অ্যাড্রেস প্রদান করে এবং ফায়ারওয়াল থেকে ট্রাফিক বের হওয়ার সময় সেগুলোকে ট্রান্সলেট করে। এটি সহজ এবং এর জন্য ন্যূনতম অতিরিক্ত ইনফ্রাস্ট্রাকচার প্রয়োজন। কিন্তু আপনি যদি একটি হাই-ডেনসিটি এনভায়রনমেন্ট ডিপ্লয় করেন — ধরুন, একটি পাঁচশ-রুমের হোটেল, একাধিক কনকারেন্ট ইভেন্টসহ একটি কনফারেন্স সেন্টার বা একটি স্টেডিয়াম — তবে আপনাকে অবশ্যই Bridge মোড ব্যবহার করতে হবে। Bridge মোডে, FortiAP গেস্ট ট্রাফিককে সরাসরি একটি ডেডিকেটেড VLAN-এ ড্রপ করে, যা আপনার কোর এন্টারপ্রাইজ DHCP সার্ভারগুলোকে লোড পরিচালনা করার অনুমতি দেয়। এটি পিক কানেকশন ইভেন্টের সময় FortiGate-কে DHCP বটলনেক হওয়া থেকে বাধা দেয়। Bridge মোড এটিও নিশ্চিত করে যে Purple প্ল্যাটফর্ম প্রকৃত ক্লায়েন্ট IP অ্যাড্রেস দেখতে পায়, যা নির্ভুল অ্যানালিটিক্স এবং ট্রাবলশুটিংয়ের জন্য অত্যাবশ্যক। চলুন ধাপে ধাপে কনফিগারেশন সিকোয়েন্স নিয়ে কথা বলি, কারণ এখানে ক্রমটি গুরুত্বপূর্ণ। Purple পোর্টাল থেকে শুরু করুন। আপনার RADIUS সার্ভার ক্রেডেনশিয়ালগুলো সংগ্রহ করুন — সার্ভার IP অ্যাড্রেস, শেয়ার্ড সিক্রেট, Captive Portal URL এবং রিডাইরেক্ট URL। Fortinet কনফিগারেশন স্পর্শ করার আগে আপনার এই চারটি গুরুত্বপূর্ণ তথ্যের প্রয়োজন। এরপর, FortiCloud ড্যাশবোর্ড বা আপনার FortiGate ম্যানেজমেন্ট ইন্টারফেসে যান। প্রথমে আপনার RADIUS সার্ভারগুলো ডিফাইন করুন — 1812-এ অথেনটিকেশন, 1813-এ অ্যাকাউন্টিং। তারপর আপনার গেস্ট SSID তৈরি করুন, অথেনটিকেশন Open-এ সেট করুন, এক্সটার্নাল Captive Portal এনাবল করুন এবং Purple পোর্টাল URL ও রিডাইরেক্ট URL ইনপুট করুন। আপনার Walled Garden কনফিগার করুন। এবং সবশেষে, আপনার UTM প্রোফাইলগুলোর সাথে আপনার পোস্ট-অথেনটিকেশন ফায়ারওয়াল পলিসি ডিফাইন করুন। পিটফল বা ত্রুটিগুলো সম্পর্কে কী? ডিপ্লয়মেন্টগুলো সাধারণত কোথায় ভুল হয়? নিঃসন্দেহে এক নম্বর সমস্যা হলো একটি অসম্পূর্ণ Walled Garden। যদি কোনো গেস্ট কানেক্ট করে এবং একটি ব্ল্যাঙ্ক স্ক্রিন বা কানেকশন টাইমআউট পায়, তবে এর অর্থ প্রায় সবসময়ই হলো FortiGate অথেনটিকেশনের আগে Purple-এর CSS ফাইল, JavaScript অ্যাসেট বা সোশ্যাল লগইন API-গুলোতে অ্যাক্সেস ব্লক করছে। আপনাকে অবশ্যই নিশ্চিত করতে হবে যে প্রতিটি প্রয়োজনীয় ডোমেইন সেই প্রি-অথেনটিকেশন পলিসিতে স্পষ্টভাবে অনুমোদিত। Purple প্রয়োজনীয় ডোমেইনগুলোর একটি সম্পূর্ণ তালিকা প্রদান করে — এটি সম্পূর্ণভাবে ব্যবহার করুন। এছাড়াও, DNS-এর কথা ভুলে যাবেন না। আনঅথেনটিকেটেড ক্লায়েন্টদের অবশ্যই DNS কোয়েরি রিজলভ করার অনুমতি দিতে হবে, অন্যথায় রিডাইরেক্ট কাজ করবে না। পেজটি লোড করার চেষ্টা করার আগেই ডিভাইসটিকে Purple পোর্টাল হোস্টনেম রিজলভ করতে হবে। দ্বিতীয় সবচেয়ে সাধারণ পিটফল হলো সার্টিফিকেট এরর। নিশ্চিত করুন যে আপনার FortiGate রিডাইরেকশন ইন্টারফেসের জন্য একটি ভ্যালিড, পাবলিকলি ট্রাস্টেড SSL সার্টিফিকেট প্রেজেন্ট করছে। আপনি যদি ডিফল্ট সেলফ-সাইন্ড সার্টিফিকেট ব্যবহার করেন, তবে আধুনিক iPhone এবং Android ডিভাইসগুলো উল্লেখযোগ্য সিকিউরিটি ওয়ার্নিং দেখাবে এবং আপনার গেস্টরা কানেকশনটি সম্পূর্ণভাবে পরিত্যাগ করবে। এটি হসপিটালিটি এনভায়রনমেন্টে একটি বিশেষ তীব্র সমস্যা যেখানে গেস্ট এক্সপেরিয়েন্স সবচেয়ে গুরুত্বপূর্ণ। তৃতীয় পিটফল হলো RADIUS টাইমআউট এরর। যদি পোর্টাল লোড হয় কিন্তু অথেনটিকেশন ধারাবাহিকভাবে ব্যর্থ হয়, তবে যাচাই করুন যে আপনার FortiGate কনফিগারেশন এবং Purple পোর্টালের মধ্যে শেয়ার্ড সিক্রেটগুলো হুবহু মিলে যায় কিনা। এমনকি একটি ক্যারেক্টারের পার্থক্যও সমস্ত অথেনটিকেশন প্রচেষ্টাকে সাইলেন্টলি ব্যর্থ করবে। এছাড়াও যাচাই করুন যে কোনো ইন্টারমিডিয়েট ফায়ারওয়াল আপনার Fortinet ইনফ্রাস্ট্রাকচার এবং Purple-এর ক্লাউড RADIUS সার্ভারগুলোর মধ্যে UDP পোর্ট 1812 এবং 1813 ব্লক করছে না。 ক্লায়েন্টদের কাছ থেকে আমরা সবচেয়ে বেশি যে প্রশ্নগুলো শুনি তার ওপর ভিত্তি করে একটি র‍্যাপিড-ফায়ার প্রশ্নোত্তর সেশন দিয়ে শেষ করা যাক। প্রশ্ন এক: Purple ব্যবহার করা কি আমার FortiGate সিকিউরিটি পলিসিগুলোকে বাইপাস করে? একেবারেই না। Purple অথেনটিকেশন এবং আইডেন্টিটি ক্যাপচার পরিচালনা করে। একবার অথেনটিকেট হয়ে গেলে, সমস্ত গেস্ট ট্রাফিক আপনার FortiGate-এর পোস্ট-অথেনটিকেশন পলিসির মধ্য দিয়ে প্রবাহিত হয়। ঠিক এখানেই আপনি FortiGuard Web Filtering প্রয়োগ করেন, পিয়ার-টু-পিয়ার ট্রাফিক ব্লক করেন এবং ব্যান্ডউইথ শেপ করেন। এটিকে এভাবে চিন্তা করুন: প্রি-অথেনটিকেশন লগইনের অনুমতি দেওয়ার জন্য পারমিসিভ; পোস্ট-অথেনটিকেশন নেটওয়ার্ককে রক্ষা করার জন্য পিউনিটিভ। প্রশ্ন দুই: আমার কি লোকাল RADIUS সার্ভার ডিপ্লয় করতে হবে? না। Purple RADIUS-অ্যাজ-এ-সার্ভিস প্রদান করে। আপনি FortiGate-কে সরাসরি Purple-এর ক্লাউড RADIUS IP অ্যাড্রেসগুলোতে পয়েন্ট করার জন্য কনফিগার করেন। গেস্ট নেটওয়ার্কের জন্য FreeRADIUS, Windows NPS বা অন্য কোনো লোকাল RADIUS ইনফ্রাস্ট্রাকচার ডিপ্লয় এবং রক্ষণাবেক্ষণ করার কোনো প্রয়োজন নেই। প্রশ্ন তিন: Purple কি FortiWLM-এর সাথে কাজ করতে পারে? হ্যাঁ। ইন্টিগ্রেশন পদ্ধতিটি সামঞ্জস্যপূর্ণ — FortiGate কনফিগারেশনের মতো একই লজিক্যাল সিকোয়েন্স অনুসরণ করে FortiWLM কন্ট্রোলারের মধ্যে এক্সটার্নাল Captive Portal URL, RADIUS সার্ভার ক্রেডেনশিয়াল এবং Walled Garden কনফিগার করুন। প্রশ্ন চার: GDPR কমপ্লায়েন্স সম্পর্কে কী? Purple পোর্টাল লেভেলে এক্সপ্লিসিট কনসেন্ট ক্যাপচার করে, অথেনটিকেশনের আগে আপনার টার্মস অ্যান্ড কন্ডিশনস এবং ডেটা প্রসেসিং নোটিশগুলো উপস্থাপন করে। এই কনসেন্ট ডেটা Purple প্ল্যাটফর্মের মধ্যে স্টোর করা হয় এবং এটি অডিটেবল। FortiGate-এর ভূমিকা হলো সম্পূর্ণভাবে নেটওয়ার্ক এনফোর্সমেন্ট — এটিকে সরাসরি কনসেন্ট ডেটা পরিচালনা করতে হবে না। আজকের ব্রিফিং থেকে মূল বিষয়গুলো সংক্ষেপে বলতে গেলে... প্রথমত: আপনার স্টাফ এবং গেস্ট SSID-গুলোকে সম্পূর্ণভাবে সেগ্রিগেট করুন। 802.1X-এর সাথে FortiAuthenticator-এ স্টাফ। এক্সটার্নাল Captive Portal-এর সাথে Purple-এ গেস্ট। দ্বিতীয়ত: আপনার Walled Garden নিখুঁতভাবে কনফিগার করুন। এটি সবচেয়ে সাধারণ ফেইলিওর পয়েন্ট এবং সবচেয়ে গুরুত্বপূর্ণ প্রি-অথেনটিকেশন কনফিগারেশন এলিমেন্ট। তৃতীয়ত: DHCP বটলনেক এড়াতে এবং নির্ভুল ক্লায়েন্ট IP ভিজিবিলিটি নিশ্চিত করতে যেকোনো হাই-ডেনসিটি ডিপ্লয়মেন্টের জন্য Bridge মোড ব্যবহার করুন। চতুর্থত: RADIUS অথেনটিকেশন এবং অ্যাকাউন্টিং সার্ভার উভয়ই কনফিগার করুন। আপনি যদি অর্থপূর্ণ অ্যানালিটিক্স চান তবে অ্যাকাউন্টিং ঐচ্ছিক নয়। পঞ্চমত: পোস্ট-অথেনটিকেশনে Fortinet-এর UTM ফিচারগুলো কাজে লাগান। ওয়েব ফিল্টারিং, অ্যাপ্লিকেশন কন্ট্রোল এবং ব্যান্ডউইথ শেপিং সবই পোস্ট-অথেনটিকেশন ফায়ারওয়াল পলিসিতে প্রয়োগ করা উচিত। এই ইন্টিগ্রেশনটি সঠিকভাবে সম্পাদন করার মাধ্যমে, আপনি গেস্ট WiFi-কে একটি কস্ট সেন্টার থেকে একটি কমপ্লায়েন্ট, সুরক্ষিত এবং রেভিনিউ-জেনারেটিং অ্যাসেটে রূপান্তরিত করেন। Fortinet-এর সিকিউরিটি ডেপথ এবং Purple-এর মার্কেটিং ইন্টেলিজেন্সের সমন্বয় যেকোনো ভেন্যু অপারেটরের জন্য সত্যিই শক্তিশালী যারা তাদের গেস্ট এক্সপেরিয়েন্স এবং ডেটা স্ট্র্যাটেজিকে গুরুত্ব সহকারে নিতে চান। Purple আর্কিটেকচার ব্রিফিং শোনার জন্য ধন্যবাদ। আপনি যদি আপনার নির্দিষ্ট ডিপ্লয়মেন্ট প্রয়োজনীয়তা নিয়ে আলোচনা করতে চান, তবে সলিউশন টিমের সাথে কথা বলতে purple.ai ভিজিট করুন।

header_image.png

এক্সিকিউটিভ সামারি

Fortinet ইনফ্রাস্ট্রাকচার পরিচালনাকারী এন্টারপ্রাইজ IT টিমগুলোর জন্য, কঠোর নিরাপত্তা ব্যবস্থা বজায় রেখে গেস্ট অ্যাক্সেসের জন্য এক্সটার্নাল Captive Portal ইন্টিগ্রেট করা একটি সাধারণ প্রয়োজনীয়তা। Fortinet FortiAP অ্যাক্সেস পয়েন্ট, FortiGate ইউনিফাইড থ্রেট ম্যানেজমেন্ট (UTM) অ্যাপ্লায়েন্স এবং Purple WiFi প্ল্যাটফর্মের মধ্যকার ইন্টিগ্রেশন প্রতিষ্ঠানগুলোকে কোর নেটওয়ার্ক সিকিউরিটি থেকে গেস্ট অথেনটিকেশনকে আলাদা করার সুবিধা দেয়। এই গাইডটি টেকনিক্যাল আর্কিটেক্ট এবং IT ম্যানেজারদের একটি Fortinet এনভায়রনমেন্টের মধ্যে এক্সটার্নাল Captive Portal হিসেবে Purple ডিপ্লয় করার জন্য একটি সুনির্দিষ্ট ব্লুপ্রিন্ট প্রদান করে। Purple-এর ক্লাউড RADIUS-এ গেস্ট আইডেন্টিটি ম্যানেজমেন্ট অফলোড করার মাধ্যমে, নেটওয়ার্ক টিমগুলো ট্রাফিক ইনস্পেকশনের জন্য Fortinet-এর শক্তিশালী Layer 7 সিকিউরিটি পলিসিগুলো ব্যবহার করতে পারে এবং একই সাথে ব্যবসায়িক মান বৃদ্ধির জন্য ফার্স্ট-পার্টি ডেমোগ্রাফিক ডেটা সংগ্রহ করতে পারে। ডিস্ট্রিবিউটেড রিটেইল এস্টেট বা হাই-ডেনসিটি স্টেডিয়াম—যেখানেই ডিপ্লয় করা হোক না কেন, এই আর্কিটেকচারটি একটি নিরবচ্ছিন্ন Guest WiFi অভিজ্ঞতা প্রদানের পাশাপাশি PCI DSS এবং GDPR কমপ্লায়েন্স নিশ্চিত করে。

টেকনিক্যাল ডিপ-ডাইভ

Fortinet এবং Purple-এর মধ্যকার আর্কিটেকচারাল ইন্টিগ্রেশন স্ট্যান্ডার্ড RADIUS প্রোটোকল এবং HTTP রিডাইরেকশন মেকানিজমের ওপর নির্ভর করে। যখন কোনো গেস্ট ডিভাইস FortiAP দ্বারা ব্রডকাস্ট করা নির্ধারিত ওপেন SSID-এর সাথে যুক্ত হয়, তখন FortiGate প্রাথমিক HTTP/HTTPS রিকোয়েস্ট ইন্টারসেপ্ট করে। লোকাল Captive Portal সার্ভ করার পরিবর্তে, FortiGate-কে ক্লায়েন্টকে Purple-এর ক্লাউড-হোস্টেড স্প্ল্যাশ পেজে রিডাইরেক্ট করার জন্য কনফিগার করা হয়।

এই প্রি-অথেনটিকেশন পর্যায়ে, FortiGate একটি ওয়াল্ড গার্ডেন (walled garden) প্রয়োগ করে — এটি IP অ্যাড্রেস এবং ডোমেইনগুলোর একটি কঠোর অ্যালাউলিস্ট (allowlist) যা ক্লায়েন্ট ডিভাইসকে সম্পূর্ণ ইন্টারনেট অ্যাক্সেস না দিয়েই Captive Portal অ্যাসেটগুলো লোড করতে, সোশ্যাল লগইন সম্পন্ন করতে এবং প্রয়োজনীয় পরিষেবাগুলো (যেমন DNS) অ্যাক্সেস করার অনুমতি দেয়। ব্যবহারকারী Purple পোর্টালে অথেনটিকেট করার পর, Purple প্ল্যাটফর্ম RADIUS Access-Accept মেসেজের মাধ্যমে FortiGate-এর সাথে পুনরায় যোগাযোগ করে। এরপর FortiGate ক্লায়েন্টের সেশন স্টেটকে আনঅথেনটিকেটেড থেকে অথেনটিকেটেডে পরিবর্তন করে এবং উপযুক্ত পোস্ট-অথেনটিকেশন ফায়ারওয়াল পলিসি প্রয়োগ করে।

architecture_overview.png

RADIUS কো-এক্সিস্টেন্স: Purple এবং FortiAuthenticator

Fortinet শপগুলোতে একটি সাধারণ আর্কিটেকচারাল চ্যালেঞ্জ হলো স্টাফ অথেনটিকেশনের পাশাপাশি গেস্ট অ্যাক্সেস পরিচালনা করা, বিশেষ করে যখন কর্পোরেট আইডেন্টিটির জন্য আগে থেকেই একটি FortiAuthenticator (FAC) ডিপ্লয় করা থাকে। এর জন্য প্রস্তাবিত পদ্ধতি হলো সম্পূর্ণ SSID সেগ্রিগেশন (পৃথকীকরণ)। স্টাফ ডিভাইসগুলো IEEE 802.1X (সাধারণত PEAP বা EAP-TLS) ব্যবহার করে একটি সুরক্ষিত SSID-এর সাথে কানেক্ট হয়, যা সরাসরি FortiAuthenticator-এর বিপরীতে অথেনটিকেট করা হয়। অন্যদিকে, গেস্ট ডিভাইসগুলো এক্সটার্নাল Captive Portal রিডাইরেকশনের জন্য কনফিগার করা একটি ওপেন SSID-এর সাথে কানেক্ট হয়, যা Purple-এর ক্লাউড RADIUS ইনফ্রাস্ট্রাকচারের বিপরীতে অথেনটিকেট করে।

এই পৃথকীকরণ নিশ্চিত করে যে গেস্ট আইডেন্টিটি ডেটা — যা WiFi Analytics -এর জন্য অত্যন্ত গুরুত্বপূর্ণ — সম্পূর্ণভাবে Purple প্ল্যাটফর্মের মধ্যে পরিচালিত হয়, যেখানে কর্পোরেট Active Directory ক্রেডেনশিয়ালগুলো অন-প্রিমিস FortiAuthenticator দ্বারা সুরক্ষিতভাবে প্রসেস করা হয়। FortiGate উভয় ট্রাফিক স্ট্রিমের জন্য রাউটিং এবং পলিসি এনফোর্সমেন্ট স্বাধীনভাবে পরিচালনা করে, যা গেস্ট VLAN এবং কর্পোরেট VLAN-এর মধ্যে জিরো ক্রসওভার নিশ্চিত করে। এই আর্কিটেকচারটি নেটওয়ার্ক সেগমেন্টেশনের জন্য PCI DSS প্রয়োজনীয়তাও পূরণ করে, কারণ গেস্ট ট্রাফিক যেকোনো পেমেন্ট-প্রসেসিং ইনফ্রাস্ট্রাকচার থেকে ফিজিক্যালি এবং লজিক্যালি আইসোলেটেড থাকে।

ইমপ্লিমেন্টেশন গাইড

FortiAP Purple ইন্টিগ্রেশন ডিপ্লয় করার জন্য Purple পোর্টাল এবং Fortinet ইনফ্রাস্ট্রাকচার উভয়ের মধ্যে সমন্বিত কনফিগারেশন প্রয়োজন। নিচের ধাপগুলো FortiCloud AP ম্যানেজমেন্ট ব্যবহার করে একটি সফল ডিপ্লয়মেন্টের জন্য ক্রিটিক্যাল পাথ তুলে ধরে।

ধাপ ১: নেটওয়ার্ক এবং RADIUS কনফিগারেশন

FortiCloud ড্যাশবোর্ডের মধ্যে নেটওয়ার্ক ডিফাইন করার মাধ্যমে শুরু করুন। Configure > My RADIUS Server-এ নেভিগেট করুন এবং Purple পোর্টালে দেওয়া ক্রেডেনশিয়াল ব্যবহার করে অথেনটিকেশন সার্ভার (Port 1812) এবং অ্যাকাউন্টিং সার্ভার (Port 1813) উভয়ই ডিফাইন করুন। উভয় সার্ভারই কনফিগার করতে হবে — অ্যাকাউন্টিং ঐচ্ছিক নয়। Purple সেশনের সময়কাল, ব্যান্ডউইথ ব্যবহার এবং ভিজিটর ফ্রিকোয়েন্সি মেট্রিক্স দিয়ে WiFi Analytics ড্যাশবোর্ড পপুলেট করতে RADIUS অ্যাকাউন্টিং ডেটার ওপর নির্ভর করে। রিয়েল-টাইম ভিজিবিলিটির জন্য অ্যাকাউন্টিং ইন্টারিম ইন্টারভ্যাল 120 সেকেন্ডে সেট করুন।

ধাপ ২: SSID এবং Captive Portal ডেফিনেশন

গেস্ট অ্যাক্সেসের জন্য ডেডিকেটেড একটি নতুন SSID তৈরি করুন। অথেনটিকেশন মেথড Open-এ সেট করুন এবং এক্সটার্নাল বা কাস্টম পোর্টাল অপশন নির্বাচন করে Captive Portal ফিচারটি এনাবল করুন। আপনাকে অবশ্যই Purple পোর্টাল কনফিগারেশন স্ক্রিন থেকে প্রাপ্ত ইউনিক Access URL এবং Redirect URL ইনপুট করতে হবে।

পুরো ডিপ্লয়মেন্টের মধ্যে Walled Garden কনফিগারেশন হলো সবচেয়ে সংবেদনশীল ধাপ। অথেনটিকেশনের আগে সোশ্যাল লগইন প্রোভাইডার (Facebook, Google, X) এবং প্রয়োজনীয় পোর্টাল অ্যাসেটগুলো যাতে সঠিকভাবে লোড হয় তা নিশ্চিত করতে আপনাকে অবশ্যই Purple-এর প্রয়োজনীয় ডোমেইনগুলোর সম্পূর্ণ তালিকা ইনপুট করতে হবে। Walled Garden সঠিকভাবে কনফিগার করতে ব্যর্থ হলে অথেনটিকেশন ফ্লো ভেঙে যাবে, কারণ ক্লায়েন্ট ডিভাইস প্রয়োজনীয় এক্সটার্নাল রিসোর্সগুলোতে পৌঁছাতে পারবে না। প্রি-অথেনটিকেশন পলিসিতে DNS ট্রাফিক (UDP port 53) স্পষ্টভাবে অনুমোদিত কিনা তাও নিশ্চিত করুন।

ধাপ ৩: IP অ্যাসাইনমেন্ট — NAT বনাম Bridge মোড

SSID ডিফাইন করার সময়, IP অ্যাসাইনমেন্টের জন্য আপনাকে অবশ্যই NAT মোড এবং Bridge মোডের মধ্যে যেকোনো একটি বেছে নিতে হবে।

deployment_comparison.png

NAT মোডে, FortiGate একটি ডেডিকেটেড ইন্টারনাল সাবনেট থেকে গেস্ট ডিভাইসগুলোতে DHCP অ্যাড্রেস প্রদান করে এবং ফায়ারওয়াল থেকে ট্রাফিক বের হওয়ার সময় সেই অ্যাড্রেসগুলোকে ট্রান্সলেট করে। এটি সাধারণ ডিপ্লয়মেন্ট বা ছোট Retail ব্রাঞ্চ এনভায়রনমেন্টের জন্য উপযুক্ত যেখানে FortiGate সম্পূর্ণ গেস্ট সাবনেট পরিচালনা করে।

Bridge মোডে, FortiAP গেস্ট ট্রাফিককে সরাসরি একটি নির্দিষ্ট VLAN-এ ব্রিজ করে, যা একটি এক্সটার্নাল DHCP সার্ভারকে IP অ্যাড্রেস অ্যাসাইন করার অনুমতি দেয়। হাই-ডেনসিটি এনভায়রনমেন্ট যেমন Hospitality প্রপার্টি বা Transport হাবের জন্য Bridge মোড দৃঢ়ভাবে সুপারিশ করা হয়, কারণ এটি IP অ্যাড্রেস ম্যানেজমেন্টের জন্য অধিক ফ্লেক্সিবিলিটি প্রদান করে, FortiGate-এ DHCP বটলনেক প্রতিরোধ করে এবং আরও গ্র্যানুলার অ্যানালিটিক্স ও ট্রাবলশুটিংয়ের জন্য Purple প্ল্যাটফর্মকে প্রকৃত ক্লায়েন্ট IP অ্যাড্রেস দেখার সুযোগ দেয়।

ধাপ ৪: পোস্ট-অথেনটিকেশন ফায়ারওয়াল পলিসি

অথেনটিকেশন সম্পন্ন হওয়ার পর, FortiGate-কে অবশ্যই গেস্ট VLAN-এ একটি ডেডিকেটেড পোস্ট-অথেনটিকেশন ফায়ারওয়াল পলিসি প্রয়োগ করতে হবে। কন্টেন্ট রেস্ট্রিকশন প্রয়োগ করতে এবং পিয়ার-টু-পিয়ার ট্রাফিক ব্লক করতে এই পলিসিতে FortiGuard Web Filtering এবং Application Control প্রোফাইল রেফারেন্স করা উচিত। ব্যান্ডউইথ লিমিট প্রয়োগ করতে একটি Traffic Shaper প্রোফাইল অ্যাপ্লাই করুন, যাতে কোনো একক গেস্ট ভেন্যুর আপলিংক স্যাচুরেট করতে না পারে। গেস্টরা যাতে ইন্টারনাল নেটওয়ার্ক রিসোর্স প্রোব করতে না পারে, তা নিশ্চিত করতে পলিসিটি যেন সমস্ত RFC 1918 প্রাইভেট IP স্পেস ডেস্টিনেশন স্পষ্টভাবে ব্লক করে।

বেস্ট প্র্যাকটিস

এই ইন্টিগ্রেশন আর্কিটেক্ট করার সময়, স্ট্যাবিলিটি, সিকিউরিটি এবং কমপ্লায়েন্স নিশ্চিত করতে নিচের ইন্ডাস্ট্রি-স্ট্যান্ডার্ড সুপারিশগুলো মেনে চলুন।

VLAN সেগ্রিগেশন বাধ্যতামূলক: কর্পোরেট অ্যাসেট বা পয়েন্ট-অফ-সেল সিস্টেমের মতো একই VLAN-এ কখনোই গেস্ট WiFi ডিপ্লয় করবেন না। PCI DSS কমপ্লায়েন্স বজায় রাখতে সুইচ পোর্ট লেভেলে কঠোর VLAN ট্যাগিং প্রয়োগ করতে হবে। ল্যাটারাল মুভমেন্ট প্রতিরোধ করার জন্য সমস্ত RFC 1918 প্রাইভেট IP স্পেস ডেস্টিনেশন ব্লক করে FortiGate-এর উচিত গেস্ট VLAN-এ অ্যাগ্রেসিভ ফায়ারওয়াল পলিসি প্রয়োগ করা।

সেশন টাইমার অপ্টিমাইজ করুন: DHCP লিজ টাইম এবং RADIUS অ্যাকাউন্টিং ইন্টারিম ইন্টারভ্যালগুলো যথাযথভাবে কনফিগার করুন। 120 সেকেন্ডের অ্যাকাউন্টিং ইন্টারিম ইন্টারভ্যালের সাথে 3600 সেকেন্ডের DHCP লিজ টাইম IP অ্যাড্রেস সংরক্ষণ এবং Purple ড্যাশবোর্ডের মধ্যে নির্ভুল রিয়েল-টাইম অ্যানালিটিক্স রিপোর্টিংয়ের মধ্যে একটি অপ্টিমাল ব্যালেন্স প্রদান করে।

পোস্ট-অথেনটিকেশনে Fortinet UTM ফিচারগুলো কাজে লাগান: এই ইন্টিগ্রেশনের প্রধান সুবিধা হলো অথেনটিকেশনের পরে গেস্ট ট্রাফিকে Fortinet-এর অ্যাডভান্সড সিকিউরিটি ফিচারগুলো প্রয়োগ করার ক্ষমতা। FortiGuard Web Filtering এবং Application Control ব্যবহার করার জন্য পোস্ট-অথেনটিকেশন ফায়ারওয়াল পলিসি কনফিগার করুন। এটি ক্ষতিকারক কার্যকলাপ, টরেন্টিং বা অনুপযুক্ত কন্টেন্ট অ্যাক্সেস করার জন্য গেস্টদের ভেন্যুর ব্যান্ডউইথ ব্যবহার করার ঝুঁকি হ্রাস করে, যার ফলে ভেন্যুর পাবলিক IP রেপুটেশন এবং ইন্টারনেট সার্ভিস এগ্রিমেন্ট সুরক্ষিত থাকে।

পাবলিক সার্টিফিকেট ব্যবহার করুন: নিশ্চিত করুন যে FortiGate রিডাইরেকশন ইন্টারফেসে একটি ভ্যালিড, পাবলিকলি ট্রাস্টেড SSL/TLS সার্টিফিকেট প্রেজেন্ট করে। সেলফ-সাইন্ড সার্টিফিকেটগুলো আধুনিক iOS এবং Android ডিভাইসগুলোতে সিকিউরিটি ওয়ার্নিং ট্রিগার করে, যা পোর্টালে গেস্ট অ্যাবানডনমেন্ট রেট উল্লেখযোগ্যভাবে বাড়িয়ে দেয়。

ট্রাবলশুটিং এবং রিস্ক মিটিগেশন

এমনকি নিখুঁত কনফিগারেশনের পরেও, ডিপ্লয়মেন্টে সমস্যা দেখা দিতে পারে। সাধারণ ফেইলিওর মোডগুলো বুঝতে পারলে রেজোলিউশন উল্লেখযোগ্যভাবে ত্বরান্বিত হয়।

Captive Portal লোড হতে ব্যর্থ হয়: যদি কোনো গেস্ট কানেক্ট করে কিন্তু স্প্ল্যাশ পেজটি না আসে, তবে সবচেয়ে সাধারণ কারণ হলো একটি অসম্পূর্ণ Walled Garden। যাচাই করুন যে Purple এবং যেকোনো কনফিগার করা সোশ্যাল লগইন প্রোভাইডারের জন্য প্রয়োজনীয় সমস্ত ডোমেইন প্রি-অথেনটিকেশন পলিসিতে স্পষ্টভাবে অনুমোদিত কিনা। আনঅথেনটিকেটেড ক্লায়েন্টদের জন্য DNS রেজোলিউশন সঠিকভাবে কাজ করছে কিনা তা নিশ্চিত করুন; যদি ক্লায়েন্ট Purple পোর্টাল URL রিজলভ করতে না পারে, তবে রিডাইরেক্ট সম্পূর্ণভাবে ব্যর্থ হবে।

RADIUS টাইমআউট: যদি পোর্টাল লোড হয় কিন্তু অথেনটিকেশন ধারাবাহিকভাবে ব্যর্থ হয়, তবে RADIUS কমিউনিকেশন পাথ ইনভেস্টিগেট করুন। যাচাই করুন যে FortiGate-এর এক্সটার্নাল IP অ্যাড্রেস Purple পোর্টালের রাউটার কনফিগারেশনের মধ্যে সঠিকভাবে রেজিস্টার করা আছে কিনা। নিশ্চিত করুন যে শেয়ার্ড সিক্রেটগুলো হুবহু মিলে যায় — একটি মাত্র ক্যারেক্টারের অমিল সাইলেন্ট অথেনটিকেশন ফেইলিওরের কারণ হবে — এবং Fortinet ইনফ্রাস্ট্রাকচার ও Purple-এর ক্লাউড RADIUS সার্ভারগুলোর মধ্যে কোনো ইন্টারমিডিয়েট ফায়ারওয়াল UDP পোর্ট 1812 এবং 1813 ব্লক করছে না।

সার্টিফিকেট এরর: আধুনিক মোবাইল অপারেটিং সিস্টেমগুলো Captive Portal ইন্টারসেপশনের সময় SSL/TLS সার্টিফিকেট অ্যানোমালির প্রতি অত্যন্ত সংবেদনশীল। নিশ্চিত করুন যে FortiGate একটি সেলফ-সাইন্ড ডিফল্ট সার্টিফিকেটের পরিবর্তে রিডাইরেকশন ইন্টারফেসের জন্য একটি ভ্যালিড, পাবলিকলি ট্রাস্টেড সার্টিফিকেট প্রেজেন্ট করছে। এটি উদ্বেগজনক সিকিউরিটি ওয়ার্নিং প্রতিরোধ করে যা গেস্টদের অথেনটিকেশন ফ্লো সম্পন্ন করতে বাধা দেয়।

সেশন অ্যাকাউন্টিং গ্যাপ: যদি Purple অ্যানালিটিক্স ড্যাশবোর্ড অসম্পূর্ণ সেশন ডেটা বা মিসিং ব্যান্ডউইথ মেট্রিক্স দেখায়, তবে যাচাই করুন যে RADIUS অ্যাকাউন্টিং সার্ভার (Port 1813) সঠিকভাবে কনফিগার করা হয়েছে এবং অ্যাকাউন্টিং ইন্টারিম ইন্টারভ্যাল সেট করা আছে। অ্যাকাউন্টিং ডেটা অথেনটিকেশন থেকে আলাদাভাবে পাঠানো হয় এবং এর জন্য নিজস্ব সার্ভার ডেফিনেশন প্রয়োজন।

ROI এবং বিজনেস ইমপ্যাক্ট

Fortinet এবং Purple-এর ইন্টিগ্রেশন একটি স্ট্যান্ডার্ড কস্ট-সেন্টার — গেস্ট WiFi-কে একটি পরিমাপযোগ্য ব্যবসায়িক সম্পদে রূপান্তরিত করে। Purple-এর Captive Portal ব্যবহার করে, ভেন্যুগুলো ভেরিফাইড ডেমোগ্রাফিক ডেটা এবং কন্টাক্ট ইনফরমেশন সংগ্রহ করে, যা টার্গেটেড মার্কেটিং ক্যাম্পেইন, লয়্যালটি প্রোগ্রাম গ্রোথ এবং পোস্ট-ভিজিট রি-এনগেজমেন্ট এনাবল করে। Retail বা Hospitality সেক্টরে পরিচালিত ভেন্যুগুলোর জন্য, এই ফার্স্ট-পার্টি ডেটা ক্রমশ মূল্যবান হয়ে উঠছে কারণ থার্ড-পার্টি কুকি ডেপ্রিকেশন ট্র্যাডিশনাল ডিজিটাল মার্কেটিং চ্যানেলগুলোকে সীমিত করে দিচ্ছে।

IT অপারেশনের জন্য, Purple-এর ক্লাউড RADIUS-এ গেস্ট অথেনটিকেশন অফলোড করা লোকাল ইউজার ডেটাবেস পরিচালনা, ফিজিক্যাল ভাউচার প্রিন্ট করা বা অন-প্রিমিস RADIUS ইনফ্রাস্ট্রাকচার রক্ষণাবেক্ষণের সাথে যুক্ত অ্যাডমিনিস্ট্রেটিভ ওভারহেড উল্লেখযোগ্যভাবে হ্রাস করে। Purple-এর নিরবচ্ছিন্ন অনবোর্ডিং এবং Fortinet-এর শক্তিশালী ট্রাফিক ইনস্পেকশনের সমন্বয় নিশ্চিত করে যে ভেন্যুটি একটি হাই-পারফরম্যান্স, সুরক্ষিত ইন্টারনেট অভিজ্ঞতা প্রদান করে এবং একই সাথে WiFi Analytics -এর মাধ্যমে অ্যাকশনেবল বিজনেস ইন্টেলিজেন্স তৈরি করে। এই আর্কিটেকচারটি অত্যন্ত স্কেলেবল, যা একটি একক বুটিক হোটেল থেকে শুরু করে একটি ডিস্ট্রিবিউটেড এন্টারপ্রাইজ ক্যাম্পাস পর্যন্ত সবকিছু সাপোর্ট করে এবং মার্কেটিং এনাবলমেন্ট ও অপারেশনাল এফিশিয়েন্সি উভয়ের মাধ্যমেই ধারাবাহিক ROI প্রদান করে।

মূল সংজ্ঞাসমূহ

এক্সটার্নাল Captive Portal

একটি কনফিগারেশন যেখানে নেটওয়ার্ক হার্ডওয়্যার (FortiGate/FortiAP) অ্যাপ্লায়েন্সে লোকালভাবে স্টোর করা পেজ সার্ভ করার পরিবর্তে আনঅথেনটিকেটেড ইউজার ট্রাফিককে একটি থার্ড-পার্টি ক্লাউড সার্ভারে (Purple) হোস্ট করা স্প্ল্যাশ পেজে রিডাইরেক্ট করে।

IT টিমগুলো পোর্টাল ডিজাইন, সোশ্যাল লগইন API মেইনটেন্যান্স এবং GDPR কনসেন্ট ক্যাপচার একটি বিশেষায়িত প্ল্যাটফর্মে অফলোড করতে এটি ব্যবহার করে, যা নেটওয়ার্ক টিমের অপারেশনাল ওভারহেড হ্রাস করে।

Walled Garden

IP অ্যাড্রেস, ডোমেইন এবং সাবনেটগুলোর একটি সুস্পষ্ট অ্যালাউলিস্ট যা একটি ক্লায়েন্ট ডিভাইসকে নেটওয়ার্কে সফলভাবে অথেনটিকেট করার আগে অ্যাক্সেস করার অনুমতি দেওয়া হয়।

ডিভাইসগুলোকে সম্পূর্ণ ইন্টারনেট অ্যাক্সেস পাওয়ার আগে Captive Portal গ্রাফিক্স লোড করতে, সোশ্যাল মিডিয়া লগইন প্রসেস করতে এবং DNS কোয়েরি রিজলভ করার অনুমতি দেওয়ার জন্য অত্যন্ত গুরুত্বপূর্ণ। ভুলভাবে কনফিগার করা হলে এটি Captive Portal ফেইলিওরের সবচেয়ে সাধারণ উৎস।

RADIUS অ্যাকাউন্টিং

UDP Port 1813 ব্যবহারকারী প্রোটোকল মেকানিজম যা একজন ব্যবহারকারীর সেশনের সময়কাল, ব্যান্ডউইথ ব্যবহার এবং ডেটা ট্রান্সফার ভলিউম ট্র্যাক করে এবং এই ডেটা RADIUS সার্ভারে রিপোর্ট করে।

অ্যানালিটিক্স ড্যাশবোর্ড পপুলেট করতে এবং গেস্ট সেশনে সময় বা ডেটা লিমিট প্রয়োগ করতে Purple Fortinet হার্ডওয়্যার থেকে প্রাপ্ত নির্ভুল অ্যাকাউন্টিং ডেটার ওপর নির্ভর করে। এটি অবশ্যই অথেনটিকেশন থেকে আলাদাভাবে কনফিগার করতে হবে।

FortiAuthenticator (FAC)

Fortinet-এর ডেডিকেটেড আইডেন্টিটি এবং অ্যাক্সেস ম্যানেজমেন্ট অ্যাপ্লায়েন্স, যা ইন্টারনাল স্টাফদের 802.1X নেটওয়ার্ক অথেনটিকেশন, সিঙ্গেল সাইন-অন এবং সার্টিফিকেট ম্যানেজমেন্টের জন্য ব্যবহৃত হয়।

IT ম্যানেজারদের প্রায়শই নিশ্চিত করতে হয় যে গেস্টদের জন্য Purple ডিপ্লয় করা কর্পোরেট কর্মীদের দ্বারা ব্যবহৃত বিদ্যমান FAC ইনফ্রাস্ট্রাকচারকে ব্যাহত করবে না। এর উত্তর সর্বদা SSID সেগ্রিগেশন।

Bridge মোড SSID

একটি ওয়্যারলেস কনফিগারেশন যেখানে অ্যাক্সেস পয়েন্ট একটি ট্রান্সপারেন্ট layer 2 ব্রিজ হিসেবে কাজ করে, যা NAT পারফর্ম করার পরিবর্তে ক্লায়েন্ট ট্রাফিককে সরাসরি ওয়্যার্ড নেটওয়ার্কের একটি নির্দিষ্ট VLAN-এ পাস করে।

এন্টারপ্রাইজ ডিপ্লয়মেন্টে এটি পছন্দনীয় কারণ এটি বিদ্যমান কোর DHCP সার্ভারগুলোকে IP অ্যাড্রেস পরিচালনা করার অনুমতি দেয়, FortiGate DHCP বটলনেক প্রতিরোধ করে এবং Purple অ্যানালিটিক্স প্ল্যাটফর্মে প্রকৃত ক্লায়েন্ট IP এক্সপোজ করে।

পোস্ট-অথেনটিকেশন পলিসি

ফায়ারওয়াল রুলস এবং ইউনিফাইড থ্রেট ম্যানেজমেন্ট (UTM) প্রোফাইলগুলো যা Captive Portal-এর মাধ্যমে সফলভাবে অথেনটিকেট করার পরেই কেবল ব্যবহারকারীর ট্রাফিকে প্রয়োগ করা হয়।

এখানেই নেটওয়ার্ক আর্কিটেক্টরা ভেন্যুর নেটওয়ার্ককে ক্ষতিকারক গেস্ট অ্যাক্টিভিটি থেকে রক্ষা করতে ওয়েব ফিল্টারিং, অ্যাপ্লিকেশন কন্ট্রোল এবং ব্যান্ডউইথ শেপিং প্রয়োগ করেন। Purple আইডেন্টিটি পরিচালনা করে; FortiGate এনফোর্সমেন্ট পরিচালনা করে।

IEEE 802.1X

পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের জন্য একটি IEEE স্ট্যান্ডার্ড, যা PEAP বা EAP-TLS-এর মতো EAP মেথড ব্যবহার করে LAN বা WLAN-এর সাথে যুক্ত হতে ইচ্ছুক ডিভাইসগুলোকে অথেনটিকেট করার জন্য একটি ফ্রেমওয়ার্ক প্রদান করে।

FortiAuthenticator-এর মাধ্যমে সুরক্ষিত স্টাফ অ্যাক্সেসের জন্য ব্যবহৃত হয়, যা Purple-এর মাধ্যমে গেস্টদের জন্য ব্যবহৃত ওপেন, পোর্টাল-ভিত্তিক অথেনটিকেশন থেকে আলাদা। দুটি অথেনটিকেশন মেথড পৃথক SSID-তে সহাবস্থান করে।

RADIUS-অ্যাজ-এ-সার্ভিস

Purple দ্বারা প্রদত্ত একটি ক্লাউড-হোস্টেড RADIUS ইনফ্রাস্ট্রাকচার, যা ভেন্যুগুলোর জন্য FreeRADIUS বা Windows NPS-এর মতো লোকাল RADIUS সার্ভার ডিপ্লয় এবং রক্ষণাবেক্ষণের প্রয়োজনীয়তা দূর করে।

IT টিমগুলোর জন্য ইনফ্রাস্ট্রাকচার ওভারহেড হ্রাস করে এবং একই সাথে Captive Portal প্ল্যাটফর্মের সাথে হাই অ্যাভেইলেবিলিটি এবং নিরবচ্ছিন্ন ইন্টিগ্রেশন নিশ্চিত করে। ডিস্ট্রিবিউটেড রিটেইল বা হসপিটালিটি ডিপ্লয়মেন্টের জন্য বিশেষভাবে মূল্যবান।

FortiGuard

Fortinet-এর ক্লাউড-ভিত্তিক থ্রেট ইন্টেলিজেন্স এবং কন্টেন্ট ফিল্টারিং সাবস্ক্রিপশন সার্ভিস, যা FortiGate অ্যাপ্লায়েন্সগুলোতে রিয়েল-টাইম ওয়েব ফিল্টারিং, অ্যাপ্লিকেশন কন্ট্রোল এবং ইনট্রুশন প্রিভেনশন সিগনেচার প্রদান করে।

Purple ব্যবহারকারীকে অথেনটিকেট করার পর গেস্ট ইন্টারনেট ট্রাফিক ইনস্পেক্ট এবং কন্ট্রোল করতে পোস্ট-অথেনটিকেশন ফায়ারওয়াল পলিসির মাধ্যমে প্রয়োগ করা হয়, যা ভেন্যুর নেটওয়ার্ক এবং IP রেপুটেশন রক্ষা করে।

সমাধানকৃত উদাহরণসমূহ

একটি ২০০-রুমের হোটেল বর্তমানে একটি FortiGate 100F এবং FortiAP ব্যবহার করে। তারা স্টাফদের 802.1X অথেনটিকেশনের জন্য FortiAuthenticator ব্যবহার করে। তারা মার্কেটিং ডেটা ক্যাপচার করার জন্য গেস্টদের জন্য Purple WiFi ইমপ্লিমেন্ট করতে চায়, কিন্তু IT ডিরেক্টর উদ্বিগ্ন যে গেস্ট পোর্টালটি বিদ্যমান স্টাফ অথেনটিকেশন ফ্লো-তে হস্তক্ষেপ করতে পারে।

সম্পূর্ণ SSID সেগ্রিগেশন ডিপ্লয় করুন। Port 1812-এ FortiAuthenticator RADIUS সার্ভারকে পয়েন্ট করে WPA2-Enterprise-এর জন্য কনফিগার করা বিদ্যমান Staff_WiFi SSID বজায় রাখুন। এক্সটার্নাল Captive Portal এনাবল করে একটি ওপেন নেটওয়ার্ক হিসেবে কনফিগার করা একটি নতুন, পৃথক Guest_WiFi SSID তৈরি করুন। Purple-এর স্প্ল্যাশ পেজকে পয়েন্ট করার জন্য Captive Portal URL কনফিগার করুন এবং Purple-এর ক্লাউড RADIUS সার্ভারগুলোকে (অথেনটিকেশনের জন্য Port 1812, অ্যাকাউন্টিংয়ের জন্য Port 1813) পয়েন্ট করার জন্য এই নির্দিষ্ট SSID-এর RADIUS সেটিংস কনফিগার করুন। একটি ডেডিকেটেড ফায়ারওয়াল পলিসির সাথে গেস্ট SSID-কে একটি আইসোলেটেড VLAN-এ ম্যাপ করুন। FortiGate অরিজিনেটিং SSID-এর ওপর ভিত্তি করে অথেনটিকেশন রিকোয়েস্ট রাউট করে, যা দুটি অথেনটিকেশন সিস্টেমের মধ্যে জিরো ইন্টারফারেন্স নিশ্চিত করে।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি প্রতি-SSID ভিত্তিতে অথেনটিকেশন প্যারামিটার ডিফাইন করার জন্য FortiGate-এর সক্ষমতাকে কাজে লাগায়। এটি FortiAuthenticator-এ জটিল RADIUS প্রক্সিং বা কন্ডিশনাল ফরোয়ার্ডিং রুলস ছাড়াই কো-এক্সিস্টেন্সের প্রয়োজনীয়তা চমৎকারভাবে সমাধান করে। মূল বিষয় হলো FortiGate উভয় SSID-এর জন্য ট্রাফিক পলিসি এনফোর্সমেন্ট পয়েন্ট হিসেবে কাজ করে, যেখানে আইডেন্টিটি ভেরিফিকেশন প্রতিটি ইউজার টাইপের জন্য উপযুক্ত প্ল্যাটফর্মে অর্পণ করা হয়।

একটি রিটেইল চেইন ৫০টি লোকেশন জুড়ে FortiCloud AP ডিপ্লয় করছে। তারা গেস্ট অ্যানালিটিক্সের জন্য Purple WiFi ব্যবহার করতে চায়। প্রথম সাইটে টেস্টিংয়ের সময়, গেস্ট WiFi-এর সাথে কানেক্ট করে, কিন্তু তাদের ডিভাইস Purple স্প্ল্যাশ পেজের পরিবর্তে একটি ব্ল্যাঙ্ক পেজ বা 'connection timed out' এরর প্রদর্শন করে।

IT টিমকে অবশ্যই FortiCloud AP SSID সেটিংসে Walled Garden কনফিগারেশন অডিট এবং আপডেট করতে হবে। FortiAP বর্তমানে অথেনটিকেশনের আগে Purple পোর্টাল অ্যাসেটগুলোতে ক্লায়েন্টের HTTP/HTTPS রিকোয়েস্ট ব্লক করছে। টিমকে অবশ্যই Walled Garden অ্যালাউলিস্টে Purple-এর প্রয়োজনীয় ডোমেইনগুলোর সম্পূর্ণ তালিকা — যার মধ্যে CDN এন্ডপয়েন্ট এবং সোশ্যাল লগইন প্রোভাইডার ডোমেইন অন্তর্ভুক্ত — ইনপুট করতে হবে। তাদের অবশ্যই যাচাই করতে হবে যে প্রি-অথেনটিকেশন পলিসি স্পষ্টভাবে UDP port 53-এ DNS ট্রাফিকের অনুমতি দেয়, যাতে ক্লায়েন্ট ডিভাইস পোর্টাল হোস্টনেম রিজলভ করতে পারে। প্রথম সাইটে সংশোধন করার পর, এই কনফিগারেশনটি টেমপ্লেট করা উচিত এবং সমস্ত ৫০টি লোকেশনে ধারাবাহিকভাবে প্রয়োগ করা উচিত।

পরীক্ষকের মন্তব্য: সমস্ত হার্ডওয়্যার ভেন্ডর জুড়ে Captive Portal ফেইলিওরের একক সবচেয়ে সাধারণ কারণ হলো Walled Garden মিসকনফিগারেশন। সমাধানটি সঠিকভাবে চিহ্নিত করে যে প্রি-অথেনটিকেশন ট্রাফিক স্পষ্টভাবে অনুমোদিত হতে হবে। যদি ডিভাইসটি পোর্টালের CSS, JavaScript বা সোশ্যাল লগইন API-গুলোতে পৌঁছাতে না পারে, তবে অথেনটিকেশন ফ্লো শুরু হতে পারে না। সমস্ত সাইট জুড়ে ফিক্সটি টেমপ্লেট করা একই সমস্যাকে বড় পরিসরে পুনরাবৃত্তি হওয়া থেকে বাধা দেয়।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনার ডিপ্লয়মেন্টে গেস্টদের একটি Purple স্প্ল্যাশ পেজের মাধ্যমে অথেনটিকেট করা প্রয়োজন। আপনি SSID, RADIUS সার্ভার এবং রিডাইরেক্ট URL কনফিগার করেছেন। তবে, কানেক্ট করার সময়, গেস্ট ডিভাইসগুলো অবিলম্বে 'No Internet Connection' রিপোর্ট করে এবং পোর্টালটি স্বয়ংক্রিয়ভাবে পপ আপ হতে ব্যর্থ হয়। কনফিগারেশনে সবচেয়ে সম্ভাব্য ত্রুটি কোনটি?

ইঙ্গিত: নেটওয়ার্কে সম্পূর্ণভাবে অথেনটিকেট করার আগে একটি ডিভাইসের কী ধরনের নেটওয়ার্ক অ্যাক্সেস প্রয়োজন তা বিবেচনা করুন।

মডেল উত্তর দেখুন

Walled Garden (প্রি-অথেনটিকেশন অ্যালাউলিস্ট) সম্ভবত অসম্পূর্ণ বা সম্পূর্ণ অনুপস্থিত। FortiGate সম্পূর্ণ অ্যাক্সেস দেওয়ার আগে ডিভাইসটির Purple-এর পোর্টাল ডোমেইন, সোশ্যাল লগইন API (Facebook, Google) এবং DNS রেজোলিউশন পারফর্ম করার জন্য সুস্পষ্ট অনুমতির প্রয়োজন। এটি ছাড়া, ডিভাইসের Captive Portal অ্যাসিস্ট্যান্ট পপ-আপ ট্রিগার করার জন্য টার্গেট URL-এ পৌঁছাতে পারে না। উপরন্তু, যাচাই করুন যে প্রি-অথেনটিকেশন পলিসিতে UDP port 53-এ DNS ট্রাফিক অনুমোদিত কিনা।

Q2. একটি স্টেডিয়াম ডিপ্লয়মেন্টে ইভেন্ট চলাকালীন ১৫,০০০ কনকারেন্ট গেস্ট কানেকশন প্রত্যাশিত। বর্তমান ডিজাইনে একটি একক /20 সাবনেট থেকে গেস্ট SSID-তে DHCP প্রদান করার জন্য NAT মোডে FortiGate ব্যবহার করার প্রস্তাব করা হয়েছে। কেন এই আর্কিটেকচারাল সিদ্ধান্ত অপারেশনাল সমস্যা তৈরি করতে পারে এবং এর প্রস্তাবিত বিকল্প কী?

ইঙ্গিত: FortiGate ফায়ারওয়ালে প্রসেসিং ওভারহেড এবং বড় পরিসরে DHCP লিজ চার্নের প্রভাব বিবেচনা করুন।

মডেল উত্তর দেখুন

NAT মোড ব্যবহার করলে সম্পূর্ণ DHCP প্রসেসিংয়ের বোঝা FortiGate-এর ওপর পড়ে, যা একটি ইভেন্ট চলাকালীন ১৫,০০০ ট্রানজিয়েন্ট ডিভাইসের কানেক্ট এবং ডিসকানেক্ট হওয়ার দ্রুত লিজ চার্নের সাথে লড়াই করতে পারে। একটি একক /20 সাবনেট মাত্র ৪,০৯৪টি ব্যবহারযোগ্য অ্যাড্রেস প্রদান করে, যা পিক কনকারেন্ট কানেকশনের জন্য অপর্যাপ্ত হতে পারে। উপরন্তু, NAT মোড Purple প্ল্যাটফর্ম থেকে প্রকৃত ক্লায়েন্ট IP অস্পষ্ট করে দেয়, যা অ্যানালিটিক্যাল ডেপথ সীমিত করে। প্রস্তাবিত পদ্ধতি হলো Bridge মোড, যা গেস্ট ট্রাফিককে যথাযথ আকারের অ্যাড্রেস পুলসহ একটি শক্তিশালী এক্সটার্নাল এন্টারপ্রাইজ DHCP ইনফ্রাস্ট্রাকচার দ্বারা পরিচালিত একটি ডেডিকেটেড VLAN-এ ড্রপ করে।

Q3. CISO ম্যান্ডেট দিয়েছেন যে গেস্ট WiFi ট্রাফিক ভেন্যুর মোট ইন্টারনেট ব্যান্ডউইথের ২০%-এর বেশি ব্যবহার করতে পারবে না এবং গেস্টদের পিয়ার-টু-পিয়ার ফাইল শেয়ারিং নেটওয়ার্ক অ্যাক্সেস করা থেকে বিরত রাখতে হবে। Fortinet-Purple আর্কিটেচারের কোথায় এই পলিসি প্রয়োগ করা হয় এবং এর জন্য কোন নির্দিষ্ট Fortinet ফিচারগুলো প্রয়োজন?

ইঙ্গিত: Purple দ্বারা ব্যবহারকারীর আইডেন্টিটি ভেরিফাই হওয়ার পর কোন কম্পোনেন্ট ট্রাফিক ইনস্পেকশন এবং পলিসি এনফোর্সমেন্ট পরিচালনা করে তা নির্ধারণ করুন।

মডেল উত্তর দেখুন

এই পলিসিটি গেস্ট VLAN-এ প্রয়োগ করা পোস্ট-অথেনটিকেশন ফায়ারওয়াল পলিসির মাধ্যমে FortiGate UTM অ্যাপ্লায়েন্সে প্রয়োগ করা হয়। যদিও Purple অথেনটিকেশন এবং আইডেন্টিটি ক্যাপচার পরিচালনা করে, FortiGate Layer 7 ট্রাফিক ইনস্পেকশন এবং এনফোর্সমেন্টের জন্য দায়ী থাকে। নেটওয়ার্ক টিমকে অবশ্যই P2P ক্যাটাগরিগুলো (BitTorrent, eDonkey ইত্যাদি) ব্লক করতে একটি FortiGuard Application Control প্রোফাইল কনফিগার করতে হবে এবং ২০% ব্যান্ডউইথ ক্যাপ প্রয়োগ করতে গেস্ট পলিসিতে একটি Traffic Shaper প্রোফাইল অ্যাপ্লাই করতে হবে। উভয় প্রোফাইল অবশ্যই পোস্ট-অথেনটিকেশন ফায়ারওয়াল পলিসিতে রেফারেন্স করতে হবে, প্রি-অথেনটিকেশন Walled Garden পলিসিতে নয়।

এই সিরিজে পড়া চালিয়ে যান

Purple WiFi-এর সাথে Grandstream GWN Access Points ইন্টিগ্রেশন

এই নির্ভরযোগ্য প্রযুক্তিগত নির্দেশিকাটিতে বিস্তারিত আলোচনা করা হয়েছে কীভাবে Grandstream GWN access points-কে Purple-এর Guest WiFi এবং অ্যানালিটিক্স প্ল্যাটফর্মের সাথে ইন্টিগ্রেট করা যায়। এতে Grandstream captive portal কনফিগারেশন, RADIUS AAA সেটিংস, walled garden সেটআপ, ডাইনামিক VLAN স্টিয়ারিং সহ নিরাপদ স্টাফ 802.1X অথেনটিকেশন এবং মাল্টি-টেন্যান্ট PPSK সেগমেন্টেশন অন্তর্ভুক্ত রয়েছে - যা বৃহৎ পরিসরে গেস্ট এবং স্টাফ WiFi স্থাপনকারী MSP এবং IT টিমগুলোর জন্য কার্যকর, ধাপে ধাপে নির্দেশনা প্রদান করে।

গাইডটি পড়ুন →

Purple WiFi-এর সাথে OpenWrt কাস্টম ফার্মওয়্যার ইন্টিগ্রেশন

এই গাইডটি Purple WiFi-এর সাথে OpenWrt কাস্টম ফার্মওয়্যার স্থাপনের জন্য সম্পূর্ণ ইন্টিগ্রেশন প্লেবুক প্রদান করে। এতে CoovaChilli captive portal কনফিগারেশন, iptables walled garden ম্যানেজমেন্ট, hostapd-এর মাধ্যমে 802.1X সুরক্ষিত স্টাফ WiFi এবং ডাইনামিক VLAN অ্যাসাইনমেন্ট সহ মাল্টি-টেন্যান্ট PPSK সেগমেন্টেশন কভার করা হয়েছে - যা IT টিমগুলোকে যেকোনো OpenWrt-সক্ষম হার্ডওয়্যারে একটি আইডেন্টিটি-ভিত্তিক নেটওয়ার্ক তৈরি করার জন্য প্রয়োজনীয় সঠিক কনফিগারেশন ধাপগুলো প্রদান করে।

গাইডটি পড়ুন →

Purple WiFi-এর সাথে Cambium Networks cnPilot এবং cnMaestro ইন্টিগ্রেশন

এই নির্ভরযোগ্য নির্দেশিকাটি Purple WiFi ইন্টেলিজেন্স প্ল্যাটফর্মের সাথে Cambium Networks cnPilot অ্যাক্সেস পয়েন্ট এবং cnMaestro ক্লাউড কন্ট্রোলারের ইন্টিগ্রেশনের বিস্তারিত বিবরণ দেয়। এতে আর্কিটেকচার, Captive Portal কনফিগারেশন, ওয়াল্ড গার্ডেন প্রয়োজনীয়তা, 802.1X স্টাফ WiFi এবং মাল্টি-টেন্যান্ট পরিবেশের জন্য Cambium ePSK ব্যবহার করে ডাইনামিক VLAN সেগমেন্টেশন অন্তর্ভুক্ত রয়েছে।

গাইডটি পড়ুন →