Purple WiFi-এর সাথে Grandstream GWN Access Points-এর ইন্টিগ্রেশন
এই নির্ভরযোগ্য প্রযুক্তিগত রেফারেন্স গাইডটিতে Grandstream GWN access points-এর সাথে Purple-এর Guest WiFi এবং অ্যানালিটিক্স প্ল্যাটফর্ম কীভাবে ইন্টিগ্রেট করতে হয় তা বিস্তারিতভাবে আলোচনা করা হয়েছে। এতে Grandstream captive portal কনফিগারেশন, RADIUS AAA সেটিংস, walled garden সেটআপ, ডাইনামিক VLAN স্টিয়ারিং সহ সুরক্ষিত স্টাফ 802.1X অথেন্টিকেশন এবং মাল্টি-টেন্যান্ট PPSK সেগমেন্টেশন অন্তর্ভুক্ত রয়েছে - যা স্কেলে গেস্ট এবং স্টাফ WiFi স্থাপনকারী MSP এবং IT টিমগুলোর জন্য কার্যকর, ধাপে ধাপে নির্দেশিকা প্রদান করে।
এই গাইডটি শুনুন
পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
執行摘要
在企業級場域部署高效能無線網路,需要在無縫的使用者體驗與強大的技術安全之間取得平衡。對於使用 Grandstream GWN 架構的組織(涵蓋飯店、零售業到多租戶物業)而言,Grandstream Captive Portal 是使用者互動與存取控制的主要閘道。本指南提供逐步操作手冊,協助您將 Grandstream GWN 存取點與 Purple 的 Guest WiFi 和 WiFi Analytics 平台進行整合。
透過從基本的預共用金鑰升級為基於 RADIUS 的驗證與身分識別網路(Identity-Based Networks),您可以為訪客、員工和租戶提供安全且區隔的存取權限。本指南涵蓋關鍵的設定元件:RADIUS AAA 設定、HTTP 302 重新導向、圍牆花園(walled garden)例外規則、動態 VLAN 導向,以及 Private Pre-Shared Key (PPSK) 多租戶隔離。Purple 在全球超過 80,000 個實體場域運作,並在 2024 年處理了 4.4 億次登入(Purple 內部數據),證實該平台具備成熟的大規模運作能力。
技術深度解析
整合架構
Grandstream GWN 硬體與 Purple 之間的整合仰賴業界標準的 RADIUS 和 HTTP 重新導向協定。當使用者連線至訪客 SSID 時,GWN 存取點會攔截其初始 HTTP 請求,並向 Purple 託管的 Captive Portal URL 發送 HTTP 302 重新導向。使用者透過電子郵件、社群媒體登入、簡訊或自訂表單完成驗證後,Purple 會驗證該工作階段,並透過 UDP 連接埠 1812 將 RADIUS Access-Accept 封包傳回存取點,進而授予網路存取權限。RADIUS Accounting 則在 UDP 連接埠 1813 上執行,為 GDPR 和 PCI DSS 合規性提供完整的工作階段稽核軌跡。
Grandstream GWN 存取點可透過兩種平台之一進行管理。GWN Manager 是安裝在 Linux 或 Windows 伺服器上的地端控制器,適用於單一場域部署以及有數據主權需求的組織。GDMS Networking(前身為 GWN.Cloud)是 Grandstream 的雲端託管管理平台,深受需要從單一介面管理多個場域的 MSP 喜愛。這兩個平台提供完全相同的 Captive Portal 和 SSID 設定選項。
針對員工和租戶網路,架構則轉向 IEEE 802.1X 和 PPSK。在 802.1X 部署中,存取點充當驗證器,在連線裝置與 Purple 的 RADIUS 伺服器之間代理可延伸驗證協定(EAP)訊息。Purple 會比對其目錄驗證憑證,並可傳回廠商特定屬性(VSA)以動態將裝置導向至特定的 VLAN。這就是實務中的身分識別網路:單一 SSID、多個網路區段,完全由使用者身分決定。
針對多租戶環境,Grandstream 的 PPSK 功能允許單一 SSID 支援多個不重複的密碼。與 RADIUS 後端整合時,存取點會將輸入的 PSK 傳送至 Purple 進行驗證,從而實現集中式憑證管理和動態網路區隔,而無需廣播數十個 SSID。搭配 RADIUS 後端的 PPSK 功能需要在 GWN76xx 系列上使用 GWN 韌體版本 1.0.19 或更高版本。
用於動態 VLAN 導向的 RADIUS 屬性
動態 VLAN 指派是由 Access-Accept 封包中傳回的三個標準 IETF RADIUS 屬性所控制。這些屬性必須在 Purple 的 RADIUS 使用者設定檔中針對每個角色或租戶進行設定:
| 屬性 | 值 | 說明 |
|---|---|---|
| Tunnel-Type (64) | 13 (VLAN) | 將通道類型指定為 VLAN |
| Tunnel-Medium-Type (65) | 6 (IEEE-802) | 將介質指定為 IEEE 802 |
| Tunnel-Private-Group-ID (81) | 例如 "20" | 目標 VLAN ID(字串格式) |
Access-Accept 回應中必須同時存在這三個屬性。若缺少任何一個,GWN 存取點將忽略 VLAN 導向指令,並將裝置置於預設 VLAN 中。
實作指南
步驟 1:設定 Captive Portal 策略
無論您使用 GWN Manager 還是 GDMS Networking,請導覽至 Captive Portal > Policy List 並建立新策略。下表彙整了 Purple 整合所需的設定:
| 欄位 | 值 | 備註 |
|---|---|---|
| Policy Name | Purple-Guest-Portal | 使用具描述性的名稱 |
| Authentication Type | RADIUS Server | 啟用 RADIUS 驗證流程 |
| RADIUS Server Address | [來自 Purple 管理主控台] | 主要 RADIUS IP |
| RADIUS Server Port | 1812 | 標準 RADIUS 驗證連接埠 |
| RADIUS Server Secret | [來自 Purple 管理主控台] | 完整複製並貼上 |
| RADIUS Auth Method | PAP | Purple Captive Portal 所需 |
| Landing Page | Redirect to External Page | 啟用外部入口網站重新導向 |
| Redirect URL | [來自 Purple 管理主控台] | 您專屬的入口網站 URL |
| Expiration | 24h(飯店)/ 4h(零售) | 配合您的工作階段策略 |
| Failsafe Mode | Enabled | 若無法連線至 RADIUS 則授予存取權限 |
啟用 Failsafe Mode。如果 GWN 存取點無法連線至 Purple 的 RADIUS 伺服器,容錯安全模式將授予網際網路存取權限,而非阻擋所有訪客。對於飯店和零售業部署,短暫的 RADIUS 中斷應不應導致所有訪客失去連線。
步驟 2:設定 Walled Garden
Walled Garden 定義了裝置在進行驗證前可以存取的網域。未設定完整的 Walled Garden 是導致 Portal 頁面載入失敗最常見的原因。在 GWN Manager 中,Walled Garden 是在 Captive Portal 策略下的 Pre-Authentication Rules 中進行設定。
您至少必須包含:Purple Portal 網域 (portal.purple.ai)、CDN 資源網域 (*.cloudfront.net) 以及 Google 的連線檢查端點 (connectivitycheck.gstatic.com)。若要使用社群媒體登入,請新增相關社群平台的網域。
針對 captive.apple.com 的處理是刻意設計的。排除它可以讓裝置連線時自動觸發 iOS Captive Network Assistant (CNA) 迷你瀏覽器。如果您希望訪客手動開啟瀏覽器,則將其納入。對於大多數 旅宿業 部署,將其排除能提供更好的訪客體驗。
請使用位於 support.purple.ai 的 Purple 動態 Walled Garden 產生器。從硬體清單中選擇 Grandstream,選擇您的驗證方式,該工具就會產生您所需的確切網域清單。請勿手動建立此清單。
步驟 3:將 Captive Portal 與訪客 SSID 關聯
導覽至 SSID 設定並編輯您的訪客網路。啟用 Captive Portal 功能並選擇您建立的策略。將 SSID 指派給您指定的訪客 VLAN(通常慣用 VLAN 10)。啟用 Client Isolation(用戶端隔離)以防止訪客裝置互相通訊 — 這是任何處理刷卡交易的場所的基本安全要求,也是 PCI DSS 的考量因素。
步驟 4:使用 802.1X 設定安全的員工 WiFi
為員工建立一個獨立的 SSID。將安全模式設定為 WPA2-Enterprise 以啟用 IEEE 802.1X。將 RADIUS 伺服器設定指向 Port 1812 上的 Purple,並在 Port 1813 上啟用 RADIUS Accounting。此記帳數據提供了 GDPR 合規性和安全性事件回應所需的稽核軌跡。
針對 EAP 方法,請根據您的裝置管理能力進行選擇。EAP-TLS 使用雙向憑證驗證 — 這是最安全的選項,能完全消除憑證被盜的風險,但需要行動裝置管理平台(Microsoft Intune 或 Jamf)將憑證推送到裝置。PEAP 在加密的 TLS 通道內使用使用者名稱和密碼,對於 BYOD 環境較易部署,但需要對員工進行憑證警告相關的培訓。
在 SSID 設定中啟用 Dynamic VLAN。Purple 的 RADIUS 伺服器將回傳三個通道屬性,以將每個通過驗證的裝置引導至其指定的 VLAN。IT 員工進入 VLAN 20,管理階層進入 VLAN 21,POS 終端機進入 VLAN 40 — 全部來自同一個 SSID,完全由身分驅動。
如需有關員工網路策略的進一步指引,請參閱 員工 WiFi 條款與細則:法律與合規要點 。
步驟 5:設定多租戶 PPSK
針對多租戶環境,建立一個使用 WPA2-Personal 安全性的 SSID 並啟用 PPSK。若要使用 Purple 作為 PPSK 驗證的 RADIUS 後端,請在 SSID 的 PPSK 區段中設定 RADIUS 伺服器設定。Purple 會管理 PSK 資料庫、驗證每個金鑰並回傳適當的 VLAN 指派。
每個租戶都會收到一個專屬密碼。當他們連線時,AP 會將 PSK 傳送給 Purple,Purple 則回傳正確的 VLAN ID。租戶 A 進入 VLAN 31,租戶 B 進入 VLAN 32。他們共用相同的 SSID,但在網路層完全隔離。當租戶搬離時,直接在 Purple 的管理主控台中撤銷其憑證。存取權限會立即終止,無需重新設定 AP。
如需深入瞭解企業級 WiFi 安全架構,請參閱 企業級 WiFi 安全性:2026 年完整指南 。
最佳實踐
務必設定 RADIUS Accounting。 在訪客和員工 SSID 的 Port 1813 上啟用記帳。記帳數據能為 Purple 的分析儀表板提供工作階段持續時間和造訪頻率,並提供 GDPR 要求的稽核軌跡。若沒有記帳,您只有驗證記錄,而沒有工作階段記錄。
複製並貼上共用金鑰。 RADIUS 共用金鑰不相符會導致無線基地台靜默丟棄封包。AP 會判定為逾時,而非驗證失敗。這是新部署中最常見的設定錯誤。請直接從 Purple 管理主控台複製金鑰。
使用 Purple 的 Walled Garden 產生器。 現代 Portal 頁面會從多個 CDN 網域、社群媒體登入 SDK 和分析指令碼載入資源。手動建立 Walled Garden 並不可靠。support.purple.ai 上的產生器會根據您的驗證方式納入所有必要的網域。
在無線基地台端隔離訪客流量。 用戶端隔離(Client Isolation)是任何訪客 SSID 不可妥協的基本要求。它能防止訪客裝置之間的橫向移動,且對於在相同網路基礎架構上處理刷卡交易的場所而言,是 PCI DSS 的合規要求。
在部署結合 RADIUS 的 PPSK 之前驗證韌體。 結合 RADIUS 後端的 PPSK 需要 GWN 韌體 1.0.19 或更高版本。執行過時的韌體是 PPSK 部署中出現非預期行為最常見的原因。請在部署前檢查韌體版本,而非部署後。
對於 零售業 部署,請確保您的訪客 SSID VLAN 與任何付款網路區段設有防火牆隔離。對於 醫療保健 環境,請確保患者或訪客 WiFi 與臨床系統隔離。對於 交通運輸 樞紐,請考慮與平均停留時間相符的工作階段過期策略。
疑難排解與風險緩釋
症狀:Splash Page 無法載入,回傳「無法連線至網站」錯誤。 Walled Garden 封鎖了 Portal 頁面的資源。請連線測試裝置,開啟瀏覽器開發者工具,檢查網路(Network)分頁,並找出被封鎖的要求。新增將失敗的網域新增至 Captive Portal 策略中的預先驗證規則(Pre-Authentication Rules)。
症狀:訪客已通過驗證,但存取點(AP)逾時並拒絕網際網路存取。 可能是防火牆阻擋了從 AP 的管理 VLAN 到 Purple 的 RADIUS IP 範圍的外網 UDP 1812 流量,或者是共享金鑰(shared secret)不相符。請先檢查防火牆規則。接著確認雙方的共享金鑰完全一致。
症狀:員工裝置進入了預設 VLAN,而非其獲分配的 VLAN。 SSID 設定中的「啟用動態 VLAN(Enable Dynamic VLAN)」核取方塊未勾選。這是一個很容易被忽略的單一核取方塊。第二個原因則是共享金鑰不相符,導致 AP 默默忽略了 RADIUS 回應。
症狀:iOS 裝置未顯示 Captive Portal 迷你瀏覽器。
captive.apple.com 網域被包含在圍牆花園(walled garden)中。iOS 裝置在連線時會探測此網域。如果收到 200 回應,它會判定網際網路已可存取,因而不會觸發 CNA。請將其從圍牆花園中移除,以恢復自動 CNA 行為。
症狀:PPSK 租戶進入了錯誤的 VLAN。
請確認 GWN 韌體版本為 1.0.19 或更高版本。確認 PPSK RADIUS 後端已啟用且共享金鑰相符。檢查 Purple 的 PSK RADIUS 使用者設定檔是否傳回正確的 Tunnel-Private-Group-ID 屬性。
投資報酬率(ROI)與業務影響
將 Grandstream GWN 硬體與 Purple 整合,能將 WiFi 從沉沒成本轉化為可衡量的企業資產。透過將一般開放式網路替換為經身分驗證的 Captive Portal,場域得以收集第一方數據並推動會員計畫成長。Purple 已在其網路中收集了 290 億個數據點(Purple 內部數據),為營運商提供了衡量自身表現的基準。
在 旅宿業 環境中,Purple 的分析功能可讓訪客造訪頻率、停留時間和同意訂閱率(opt-in rates)一目了然。使用 Purple Engage 方案的飯店營運商可以針對回訪訪客進行細分,以開展精準行銷活動,進而提高直接訂房率並減少對 OTA(線上旅行社)的依賴。在 零售業 環境中,來自 WiFi 數據的人流量分析能讓店長將客流模式與銷售業績進行關聯分析。
802.1X 和 PPSK 的實施透過自動化網路存取控制,降低了 IT 服務台的維運開銷。免除共享密碼消除了定期更換密碼的營運成本,也降低了憑證共享的安全風險。對於多租戶營運商而言,PPSK 搭配 Purple 的集中式管理,意味著啟用新租戶只需幾分鐘,而非數小時。
Purple 的 99.999% 可用性(Purple 內部數據)以及 ISO 27001、GDPR、CCPA 和 Cyber Essentials 認證,意味著該平台符合最嚴苛的企業與公共部門營運商的合規要求。如需完整了解訪客 WiFi 分析功能,請參閱 WiFi Analytics 。
মূল সংজ্ঞাসমূহ
Captive Portal
একটি ওয়েব পেজ যা কোনো সংযুক্ত ডিভাইস থেকে আনঅথেন্টিকেটেড HTTP ট্রাফিককে ইন্টারসেপ্ট করে, ব্যবহারকারীকে ইন্টারনেট অ্যাক্সেস দেওয়ার আগে ইন্টারঅ্যাক্ট বা অথেন্টিকেট করতে বাধ্য করে। Grandstream captive portal ব্যবহারকারীদের একটি বাহ্যিক পোর্টাল URL-এ পাঠাতে HTTP 302 রিডাইরেকশন ব্যবহার করে।
পাবলিক ভেন্যুতে গেস্ট ডেটা ক্যাপচার, টার্মস অফ সার্ভিস গ্রহণ এবং অ্যাক্সেস নিয়ন্ত্রণের প্রাথমিক প্রক্রিয়া।
RADIUS
Remote Authentication Dial-In User Service; UDP-এর ওপর চালিত একটি নেটওয়ার্কিং প্রোটোকল যা সেন্ট্রালাইজড Authentication, Authorization, এবং Accounting (AAA) ম্যানেজমেন্ট প্রদান করে। অথেন্টিকেশন পোর্ট 1812-এ এবং অ্যাকাউন্টিং পোর্ট 1813-এ চলে।
ব্যাকএন্ড ইঞ্জিন যা captive portals এবং 802.1X এন্টারপ্রাইজ নেটওয়ার্ক উভয়ের জন্য ক্রেডেনশিয়াল যাচাই করে। Purple RADIUS সার্ভার পরিচালনা করে যার সাথে GWN access points সরাসরি যোগাযোগ করে।
Walled garden
IP অ্যাড্রেস এবং ডোমেনের একটি পূর্বনির্ধারিত তালিকা যা একটি ডিভাইস captive portal অথেন্টিকেশন প্রক্রিয়া সম্পন্ন করার আগে অ্যাক্সেস করতে পারে। এটি GWN Manager-এ Pre-Authentication Rules হিসেবে কনফিগার করা হয়।
ডিভাইসগুলোকে পোর্টাল পেজের অ্যাসেট, CDN রিসোর্স, সোশ্যাল লগইন এন্ডপয়েন্ট এবং OS captive portal ডিটেকশন প্রোব লোড করার অনুমতি দেওয়ার জন্য অপরিহার্য।
IEEE 802.1X
পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস নিয়ন্ত্রণের জন্য একটি IEEE স্ট্যান্ডার্ড যা LAN বা WLAN-এ সংযুক্ত ডিভাইসগুলোর জন্য একটি অথেন্টিকেশন মেকানিজম প্রদান করে। এটি access point (authenticator)-এর মাধ্যমে ডিভাইস (supplicant) এবং RADIUS সার্ভার (authentication server)-এর মধ্যে ক্রেডেনশিয়াল আদান-প্রদান করতে EAP ব্যবহার করে।
সুরক্ষিত স্টাফ এবং কর্পোরেট WiFi অ্যাক্সেসের জন্য শেয়ার্ড পাসওয়ার্ডের পরিবর্তে প্রতি-ব্যবহারকারী ক্রেডেনশিয়াল দিয়ে প্রতিস্থাপন করে। GDPR এবং PCI DSS কমপ্লায়েন্ট স্টাফ নেটওয়ার্কের জন্য এটি প্রয়োজনীয়।
PPSK
Private Pre-Shared Key; একটি ফিচার যা একটি একক SSID-কে একাধিক অনন্য পাসওয়ার্ড সমর্থন করার অনুমতি দেয়, যার প্রতিটি নির্দিষ্ট নেটওয়ার্ক পলিসি বা VLAN-এর সাথে যুক্ত থাকে। Grandstream GWN লোকাল স্টোরেজ বা RADIUS ব্যাকএন্ড ভ্যালিডেশন সহ PPSK সমর্থন করে।
অ্যাপার্টমেন্ট, কোওয়ার্কিং স্পেস এবং সার্ভিসড অফিসের মতো মাল্টি-টেন্যান্ট পরিবেশে একাধিক SSID ব্রডকাস্ট না করে ব্যবহারকারীদের আইসোলেট করতে ব্যবহৃত হয়।
Dynamic VLAN assignment
এমন একটি প্রক্রিয়া যেখানে একটি RADIUS সার্ভার একটি অথেন্টিকেটেড ডিভাইসকে একটি নির্দিষ্ট VLAN-এ স্টিয়ার করতে Access-Accept প্যাকেটে তিনটি নির্দিষ্ট অ্যাট্রিবিউট (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) রিটার্ন করে। এটি GWN SSID সেটিংসে স্পষ্টভাবে চালু করতে হবে।
IT টিমগুলোকে বিভিন্ন ব্যবহারকারী গ্রুপ, বিভাগ বা টেন্যান্টের জন্য কঠোর নেটওয়ার্ক সেগমেন্টেশন বজায় রেখে SSID-গুলোকে একত্রিত করার অনুমতি দেয়।
Client isolation
একটি ওয়্যারলেস সিকিউরিটি ফিচার যা একই access point-এ সংযুক্ত ডিভাইসগুলোকে লেয়ার ২-এ একে অপরের সাথে সরাসরি যোগাযোগ করতে বাধা দেয়।
গেস্ট নেটওয়ার্কের জন্য একটি বাধ্যতামূলক কনফিগারেশন যা ব্যবহারকারীদের পিয়ার-টু-পিয়ার আক্রমণ থেকে রক্ষা করে এবং কার্ড পেমেন্ট প্রসেস করা ভেন্যুগুলোর জন্য PCI DSS প্রয়োজনীয়তা পূরণ করে।
EAP-PEAP
Protected Extensible Authentication Protocol; একটি 802.1X EAP পদ্ধতি যা একটি ইউজারনেম এবং পাসওয়ার্ড ব্যবহার করে একটি এনক্রিপ্ট করা TLS টানেলের মধ্যে অথেন্টিকেশন এক্সচেঞ্জকে এনক্যাপসুলেট করে। বাইরের TLS টানেলটি ভেতরের ক্রেডেনশিয়ালগুলোকে ইন্টারসেপশন থেকে রক্ষা করে।
সাধারণত BYOD স্টাফ নেটওয়ার্কের জন্য ব্যবহৃত হয় যেখানে ক্লায়েন্ট সার্টিফিকেট (EAP-TLS) স্থাপন করা অপারেশনালভাবে সম্ভব নয়। রোগ (rogue) AP আক্রমণ প্রতিরোধ করতে সার্টিফিকেট ভ্যালিডেশনের ওপর স্টাফদের প্রশিক্ষণের প্রয়োজন হয়।
Failsafe mode
একটি GWN captive portal সেটিং যা কানেক্ট করা ডিভাইসগুলোকে ইন্টারনেট অ্যাক্সেস মঞ্জুর করে যদি access point-টি কনফিগার করা RADIUS সার্ভারে পৌঁছাতে না পারে। এটি RADIUS বিভ্রাটের কারণে সমস্ত গেস্ট অ্যাক্সেস ব্লক হওয়া প্রতিরোধ করে।
হসপিটালিটি এবং রিটেইল স্থাপনার জন্য প্রস্তাবিত যেখানে গেস্ট কানেক্টিভিটি ব্যবসার জন্য অত্যন্ত গুরুত্বপূর্ণ এবং একটি সংক্ষিপ্ত RADIUS বিঘ্ন যেন সম্পূর্ণ পরিষেবা বিভ্রাটের কারণ না হয়।
GWN Manager
GWN সিরিজের access points-এর জন্য Grandstream-এর অন-প্রিমিস, এন্টারপ্রাইজ-গ্রেড ম্যানেজমেন্ট প্ল্যাটফর্ম। একটি লোকাল Linux বা Windows সার্ভারে ইনস্টল করা এই প্ল্যাটফর্মটি সম্পূর্ণ captive portal, SSID, RADIUS এবং PPSK কনফিগারেশন প্রদান করে।
একক-সাইট স্থাপনা এবং ডেটা সার্বভৌমত্বের প্রয়োজনীয়তা রয়েছে এমন সংস্থাগুলোর জন্য পছন্দের। GDMS Networking হলো ক্লাউড-হোস্টেড সমতুল্য যা মাল্টি-সাইট MSP স্থাপনার জন্য ব্যবহৃত হয়।
সমাধানকৃত উদাহরণসমূহ
একটি ১২০-রুমের হোটেলের জন্য অতিথিদের জন্য একটি ব্র্যান্ডেড গেস্ট পোর্টাল, হাউসকিপিং এবং ফ্রন্ট ডেস্কের জন্য বিভাগ-স্তরের VLAN সেগমেন্টেশন সহ একটি সুরক্ষিত স্টাফ নেটওয়ার্ক এবং প্রপার্টি ম্যানেজমেন্ট সিস্টেমের জন্য একটি পৃথক ম্যানেজমেন্ট VLAN স্থাপন করা প্রয়োজন। হোটেলটি GDMS Networking-এর মাধ্যমে পরিচালিত Grandstream GWN7660 access points ব্যবহার করে।
GDMS Networking-এ তিনটি SSID কনফিগার করুন। প্রথমত, VLAN 10-এ অ্যাসাইন করা 'Guest WiFi' তৈরি করুন। Authentication Type হিসেবে RADIUS Server সেট করে একটি captive portal পলিসি তৈরি করুন, যা Purple অ্যাডমিন কনসোল থেকে প্রাপ্ত শেয়ার্ড সিক্রেট সহ পোর্ট 1812-এ Purple-এর RADIUS IP-কে নির্দেশ করবে। Landing Page-টিকে Purple পোর্টাল URL সহ Redirect to External Page-এ সেট করুন। Failsafe Mode এবং Client Isolation চালু করুন। দ্বিতীয়ত, WPA2-Enterprise (802.1X) সিকিউরিটি সহ 'Staff WiFi' তৈরি করুন। পোর্ট 1812-এ RADIUS এবং পোর্ট 1813-এ Accounting কনফিগার করুন। Dynamic VLAN চালু করুন। Purple-এর ডিরেক্টরিতে, হাউসকিপিং অ্যাকাউন্টগুলোকে Tunnel-Private-Group-ID = 21 এবং ফ্রন্ট ডেস্ক অ্যাকাউন্টগুলোকে VLAN 20 রিটার্ন করার জন্য কনফিগার করুন। তৃতীয়ত, PMS টার্মিনালগুলোর জন্য WPA2-Personal সহ VLAN 30-এ একটি লুকানো 'Management' SSID তৈরি করুন। iOS CNA ট্রিগার করার জন্য captive.apple.com বাদ দিয়ে Purple-এর জেনারেটর টুল ব্যবহার করে walled garden তৈরি করুন।
একটি ৪০-ইউনিটের বিল্ড-টু-রেন্ট অ্যাপার্টমেন্ট ব্লকের প্রতিটি টেন্যান্টের জন্য আইসোলেটেড নেটওয়ার্ক অ্যাক্সেস প্রয়োজন, সাথে কোনো টেন্যান্ট চলে গেলে তাৎক্ষণিকভাবে অ্যাক্সেস বাতিল করার সুবিধা থাকতে হবে। অপারেটর অন-প্রিমিস GWN Manager সহ GWN7630 access points ব্যবহার করেন এবং বিল্ডিংয়ে দৃশ্যমান SSID-এর সংখ্যা ন্যূনতম রাখতে চান।
WPA2-Personal সিকিউরিটি সহ 'BuildingConnect' নামে একটি একক SSID স্থাপন করুন এবং RADIUS ব্যাকএন্ড সহ PPSK চালু করুন। নিশ্চিত করুন যে GWN ফার্মওয়্যার সংস্করণ 1.0.19 বা তার বেশি। PPSK সেকশনে RADIUS সার্ভার সেটিংস কনফিগার করুন যাতে এটি Purple-কে নির্দেশ করে। Purple-এর অ্যাডমিন কনসোলে, ৪০টি অনন্য PSK ক্রেডেনশিয়াল তৈরি করুন, যার প্রতিটি একটি VLAN-এর সাথে ম্যাপ করা থাকবে (যেমন, ইউনিট ১০১-এর জন্য VLAN 101, ইউনিট ১০২-এর জন্য VLAN 102)। যখন কোনো বাসিন্দা তাদের ইউনিটের পাসওয়ার্ড ব্যবহার করে কানেক্ট করবেন, তখন GWN AP সেই PSK-টি Purple-এ পাঠাবে, যা এটি যাচাই করবে এবং Tunnel-Private-Group-ID = 101 রিটার্ন করবে। বাসিন্দা তার আইসোলেটেড VLAN-এ প্রবেশ করবেন। যখন কোনো বাসিন্দা চলে যাবেন, তখন Purple-এর অ্যাডমিন কনসোলে ক্রেডেনশিয়ালটি বাতিল করে দিন। কোনো AP পুনর্কনফিগারেশন ছাড়াই অ্যাক্সেস তাৎক্ষণিকভাবে বন্ধ হয়ে যাবে।
অনুশীলনী প্রশ্নসমূহ
Q1. আপনি সঠিক Purple RADIUS IP এবং শেয়ার্ড সিক্রেট সহ GWN Manager-এ captive portal পলিসি কনফিগার করেছেন, কিন্তু গেস্টরা SSID-এ কানেক্ট করার পর তাদের ব্রাউজার খোলার সময় 'site cannot be reached' ত্রুটি রিপোর্ট করছেন। এর সবচেয়ে সম্ভাব্য কারণ কী এবং আপনি কীভাবে এটি নির্ণয় করবেন?
ইঙ্গিত: পোর্টালের মাধ্যমে অথেন্টিকেট করার আগে একটি ডিভাইস কোন ডোমেনগুলো অ্যাক্সেস করতে পারে তা কী নিয়ন্ত্রণ করে তা বিবেচনা করুন।
মডেল উত্তর দেখুন
walled garden (Pre-Authentication Rules) অসম্পূর্ণ বা ভুলভাবে কনফিগার করা হয়েছে। access point-টি ডিভাইসটিকে Purple পোর্টাল ডোমেন বা পোর্টাল পেজ লোড করা CDN অ্যাসেটগুলোতে পৌঁছাতে বাধা দিচ্ছে। নির্ণয় করতে: গেস্ট SSID-এ একটি টেস্ট ডিভাইস কানেক্ট করুন, ব্রাউজার ডেভেলপার টুলস খুলুন, নেটওয়ার্ক ট্যাবে যান এবং পোর্টাল URL লোড করার চেষ্টা করুন। কোন রিকোয়েস্টগুলো কানেকশন ত্রুটি রিটার্ন করছে তা চিহ্নিত করুন। সেই ডোমেনগুলোকে Pre-Authentication Rules-এ যোগ করুন। Grandstream হার্ডওয়্যারের জন্য সম্পূর্ণ ডোমেন তালিকা তৈরি করতে support.purple.ai-এ Purple-এর walled garden জেনারেটর ব্যবহার করুন।
Q2. আপনার হোটেল চায় iOS গেস্টরা ম্যানুয়ালি ব্রাউজার খোলার প্রয়োজন ছাড়াই গেস্ট WiFi-এ কানেক্ট করার সাথে সাথে স্বয়ংক্রিয়ভাবে captive portal মিনি-ব্রাউজারটি দেখতে পাক। এটি অর্জন করতে আপনি কীভাবে walled garden কনফিগার করবেন?
ইঙ্গিত: প্রথমবার কানেক্ট করার সময় iOS কীভাবে নির্ধারণ করে যে একটি নেটওয়ার্কে ইন্টারনেট অ্যাক্সেস আছে কিনা তা বিবেচনা করুন।
মডেল উত্তর দেখুন
আপনাকে অবশ্যই walled garden থেকে captive.apple.com বাদ দিতে হবে। যখন একটি iOS ডিভাইস কোনো নেটওয়ার্কে কানেক্ট হয়, তখন এটি captive.apple.com পরীক্ষা করে। যদি পরীক্ষাটি একটি 200 OK রেসপন্স পায় (যার অর্থ ডোমেনটি অ্যাক্সেসযোগ্য), iOS ধরে নেয় যে নেটওয়ার্কটিতে ইন্টারনেট অ্যাক্সেস রয়েছে এবং Captive Network Assistant মিনি-ব্রাউজারটি ট্রিগার করে না। যদি পরীক্ষাটি ব্লক বা রিডাইরেক্ট করা হয়, iOS নেটওয়ার্কটিকে captive হিসেবে সনাক্ত করে এবং স্বয়ংক্রিয়ভাবে CNA খোলে। walled garden-এর বাইরে captive.apple.com রাখার মাধ্যমে, পরীক্ষাটি ইন্টারসেপ্ট এবং রিডাইরেক্ট করা হয়, যা স্বয়ংক্রিয়ভাবে CNA ট্রিগার করে।
Q3. একজন স্টাফ সদস্য তাদের ক্রেডেনশিয়াল ব্যবহার করে 802.1X SSID-এ কানেক্ট করেছেন। Purple-এর অথেন্টিকেশন লগ সঠিক VLAN 20 অ্যাট্রিবিউট সহ একটি সফল Access-Accept রেসপন্স দেখাচ্ছে। তবে, স্টাফ সদস্যকে VLAN 1 (ডিফল্ট)-এ রাখা হয়েছে। কোন GWN Manager সেটিং পরীক্ষা করা প্রয়োজন?
ইঙ্গিত: RADIUS সার্ভারটি সঠিকভাবে ব্যবহারকারীকে অথরাইজ করছে এবং VLAN অ্যাট্রিবিউটগুলো রিটার্ন করছে। সমস্যাটি access point-এর দিকে।
মডেল উত্তর দেখুন
GWN Manager-এর SSID সেটিংসে 'Enable Dynamic VLAN' চেকবক্সটি টিক দেওয়া নেই। এমনকি যখন Purple Access-Accept প্যাকেটে সঠিক Tunnel-Type, Tunnel-Medium-Type এবং Tunnel-Private-Group-ID অ্যাট্রিবিউটগুলো রিটার্ন করে, তখনও Dynamic VLAN স্পষ্টভাবে চালু না থাকলে GWN access point সেগুলো উপেক্ষা করবে। SSID কনফিগারেশনে যান, Dynamic VLAN সেটিংটি খুঁজুন, এটি চালু করুন এবং সেভ করুন। এর ফলে স্টাফ সদস্য তার পরবর্তী সংযোগে সঠিক VLAN-এ প্রবেশ করতে পারবেন।
Q4. একজন বিল্ড-টু-রেন্ট অপারেটর ফার্মওয়্যার 1.0.17 চালিত তাদের Grandstream GWN7630 access points-এ RADIUS ব্যাকএন্ড হিসেবে Purple-এর সাথে PPSK স্থাপন করতে চান। একজন টেন্যান্ট রিপোর্ট করেছেন যে তারা SSID-এ কানেক্ট করতে পারছেন কিন্তু ভুল VLAN-এ স্থান পেয়েছেন। আপনার প্রথমে কী পরীক্ষা করা উচিত?
ইঙ্গিত: এখানে দুটি সম্ভাব্য কারণ রয়েছে: একটি হলো ফার্মওয়্যার সংস্করণের সমস্যা, অন্যটি হলো কনফিগারেশনের সমস্যা।
মডেল উত্তর দেখুন
প্রথমে ফার্মওয়্যার সংস্করণটি পরীক্ষা করতে হবে। RADIUS ব্যাকএন্ড সহ PPSK-এর জন্য GWN76xx সিরিজে GWN ফার্মওয়্যার 1.0.19 বা তার বেশি প্রয়োজন। ফার্মওয়্যার 1.0.17 সম্ভবত RADIUS-ব্যাকড PPSK VLAN অ্যাসাইনমেন্ট সঠিকভাবে সমর্থন করে না। আরও ট্রাবলশুটিং করার আগে ফার্মওয়্যারটি 1.0.19 বা তার বেশিতে আপগ্রেড করুন। যদি ফার্মওয়্যারটি সঠিক হয়, তবে যাচাই করুন যে SSID সেটিংসে PPSK RADIUS ব্যাকএন্ড চালু আছে কিনা, শেয়ার্ড সিক্রেটটি Purple-এর কনফিগারেশনের সাথে মেলে কিনা এবং নির্দিষ্ট PSK-এর জন্য Purple-এর RADIUS ইউজার প্রোফাইল সঠিক Tunnel-Private-Group-ID অ্যাট্রিবিউট রিটার্ন করছে কিনা।
এই সিরিজে পড়া চালিয়ে যান
Purple WiFi -এর সাথে Cisco WLC এবং Catalyst ইন্টিগ্রেশন: ধাপে ধাপে গেস্ট অ্যাক্সেস গাইড
এই প্রামাণিক নির্দেশিকাটিতে Purple WiFi -এর সাথে Cisco Catalyst 9800 WLCs -এর ধাপে ধাপে ইন্টিগ্রেশনের বিস্তারিত বিবরণ দেওয়া হয়েছে। এতে গেস্ট Captive Portal -এর জন্য External Web Authentication, নিরাপদ কর্মীদের অ্যাক্সেসের জন্য 802.1X EAP-TLS, এবং মাল্টি-টেন্যান্ট ডাইনামিক VLAN সেগমেন্টেশনের জন্য Cisco iPSK কভার করা হয়েছে।
Purple WiFi-এর সাথে CommScope Ruckus ইন্টিগ্রেশন: সেটআপ এবং কনফিগারেশন গাইড
এই টেকনিক্যাল রেফারেন্স গাইডটি Purple WiFi-এর সাথে CommScope Ruckus আর্কিটেকচার ইন্টিগ্রেট করার জন্য একটি নির্ভরযোগ্য কনফিগারেশন প্লেবুক প্রদান করে। এটি গেস্ট WiFi Captive Portal, 802.1X-এর মাধ্যমে সিকিউর স্টাফ WiFi এবং Ruckus ডাইনামিক PSK ব্যবহার করে মাল্টি-টেন্যান্ট নেটওয়ার্ক আইসোলেশনের জন্য ধাপে ধাপে ডেপ্লয়মেন্টের বিবরণ দেয়।
Purple WiFi-এর সাথে Allied Telesis Access Points ইন্টিগ্রেশন
এই গাইডটি Purple WiFi-এর সাথে Allied Telesis TQ-Series access points ইন্টিগ্রেট করার জন্য একটি ব্যাপক কনফিগারেশন প্লেবুক প্রদান করে। এটি নিরাপদ মাল্টি-টেন্যান্ট ডেপ্লয়মেন্টের জন্য এক্সটার্নাল Captive Portal রিডাইরেকশন, 802.1X RADIUS অথেন্টিকেশন এবং প্রাইভেট প্রি-শেয়ার্ড কি (PPSK) ব্যবহার করে ডাইনামিক VLAN স্টিয়ারিং কভার করে।