কীভাবে একটি Captive Portal লগইন সরাবেন (এবং কখন আপনার এটি করা উচিত)
This authoritative guide explores the technical architecture, use cases, and implementation strategies for removing or bypassing captive portal logins. Designed for senior IT professionals, it provides actionable insights on when to utilize MAC authentication bypass, 802.1X, and OpenRoaming to streamline access while maintaining security and data collection.
🎧 এই গাইডটি শুনুন
ট্রান্সক্রিপ্ট দেখুন
কার্যনির্বাহী সারাংশ
এন্টারপ্রাইজ আইটি লিডার এবং ভেন্যু অপারেটরদের জন্য, Captive Portal লগইন দীর্ঘকাল ধরে একটি প্রয়োজনীয় সমস্যা হিসেবে বিবেচিত হয়ে আসছে। এটি পরিষেবার শর্তাবলী গ্রহণ, আইনি সম্মতি এবং ফার্স্ট-পার্টি ডেটা সংগ্রহের জন্য একটি গুরুত্বপূর্ণ চেকপয়েন্ট প্রদান করে। তবে, যেসব পরিবেশে নিরবচ্ছিন্ন কানেক্টিভিটিকে অগ্রাধিকার দেওয়া হয়—যেমন কর্পোরেট ক্যাম্পাস, ভিআইপি হসপিটালিটি জোন এবং বড় পরিসরের পাবলিক ভেন্যু—সেখানে ব্যবহারকারীদের একটি ওয়েব-ভিত্তিক অথেনটিকেশন ফ্লো-এর মধ্য দিয়ে যেতে বাধ্য করা হলে তা অগ্রহণযোগ্য লেটেন্সি এবং ব্যবহারকারীর হতাশা তৈরি করতে পারে।
এই গাইডে নির্দিষ্ট ব্যবহারকারী গোষ্ঠীর জন্য Captive Portal বাইপাস করা বা সম্পূর্ণভাবে সরিয়ে ফেলার প্রযুক্তিগত প্রক্রিয়াগুলো বিস্তারিতভাবে আলোচনা করা হয়েছে। MAC অথেনটিকেশন বাইপাস (MAB), IEEE 802.1X, মোবাইল ডিভাইস ম্যানেজমেন্ট (MDM) ইন্টিগ্রেশন এবং OpenRoaming-এর মতো নিরবচ্ছিন্ন অথেনটিকেশন ফ্রেমওয়ার্ক ব্যবহার করে, নেটওয়ার্ক আর্কিটেক্টরা একটি হাইব্রিড অ্যাক্সেস মডেল ডিজাইন করতে পারেন। এই পদ্ধতিটি নিশ্চিত করে যে পরিচিত ডিভাইস, কর্পোরেট এন্ডপয়েন্ট এবং বিশ্বস্ত গ্রাহকরা তাৎক্ষণিকভাবে কানেক্ট হতে পারে, যেখানে অপরিচিত অতিথিদের প্রাথমিক অনবোর্ডিং এবং ডেটা ক্যাপচারের জন্য এখনও একটি Guest WiFi পোর্টালের মাধ্যমে রাউট করা হয়। আমরা ডিপ্লয়মেন্ট আর্কিটেকচার, নিরাপত্তার প্রভাব এবং কীভাবে Purple-এর আইডেন্টিটি প্রোভাইডার সক্ষমতা এই উন্নত অ্যাক্সেস কৌশলগুলোকে সহজতর করে তা অন্বেষণ করব।
প্রযুক্তিগত গভীর বিশ্লেষণ
একটি Captive Portal লগইন সরানোর জন্য অথেনটিকেশন মেকানিজমকে লেয়ার ৭ (অ্যাপ্লিকেশন/ওয়েব) থেকে লেয়ার ২ (ডেটা লিংক)-এ নামিয়ে আনা বা নিরবচ্ছিন্ন আইডেন্টিটি ফেডারেশন ব্যবহার করা প্রয়োজন। আর্কিটেকচারটিকে অবশ্যই এমন ডিভাইসগুলোর মধ্যে ডায়নামিকভাবে পার্থক্য করতে হবে যেগুলোর জন্য একটি পোর্টাল প্রয়োজন এবং যেগুলোর এটি বাইপাস করা উচিত।
১. MAC অথেনটিকেশন বাইপাস (MAB)
MAB একটি নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল (NAC) সিস্টেম বা RADIUS সার্ভারকে তাদের MAC অ্যাড্রেসের ওপর ভিত্তি করে ডিভাইসগুলোকে অথেনটিকেট করার অনুমতি দেয়। যখন কোনো ডিভাইস অ্যাক্সেস পয়েন্টের সাথে যুক্ত হয়, তখন কন্ট্রোলার MAC অ্যাড্রেস যুক্ত একটি RADIUS Access-Request পাঠায়। যদি অ্যাড্রেসটি অনুমোদিত ডেটাবেসে (যেমন Purple-এর পরিচিত ভিজিটর ডেটাবেস) বিদ্যমান থাকে, তবে RADIUS সার্ভার একটি Access-Accept রিটার্ন করে এবং কন্ট্রোলার HTTP/HTTPS ট্রাফিককে কোনো Captive Portal-এ রিডাইরেক্ট না করেই ডিভাইসটিকে নেটওয়ার্কে যুক্ত করে।
আর্কিটেকচার ফ্লো: ১. ডিভাইস অ্যাসোসিয়েশন ২. কন্ট্রোলার ইন্টারসেপ্ট করে এবং RADIUS-এ MAC পাঠায় ৩. RADIUS এন্ডপয়েন্ট ডেটাবেস চেক করে ৪. VLAN অ্যাসাইনমেন্ট বা ব্যান্ডউইথ থ্রটলিংয়ের জন্য ঐচ্ছিক ভেন্ডর-স্পেসিফিক অ্যাট্রিবিউট (VSAs) সহ Access-Accept রিটার্ন করা হয়।
MAC র্যান্ডমাইজেশন সম্পর্কিত নোট: আধুনিক মোবাইল অপারেটিং সিস্টেমগুলো (iOS 14+, Android 10+) ডিফল্টভাবে র্যান্ডমাইজড MAC অ্যাড্রেস ব্যবহার করে। ফিরে আসা অতিথিদের জন্য MAB নির্ভরযোগ্যভাবে কাজ করার জন্য, ভেন্যুকে অবশ্যই ব্যবহারকারীদের সেই নির্দিষ্ট SSID-এর জন্য প্রাইভেট অ্যাড্রেসিং নিষ্ক্রিয় করতে উৎসাহিত করতে হবে, অথবা সিস্টেমটিকে প্রোফাইল-ভিত্তিক অথেনটিকেশনের (যেমন Passpoint/Hotspot 2.0) ওপর নির্ভর করতে হবে।
২. IEEE 802.1X এবং WPA3-Enterprise
কর্পোরেট ডিভাইস বা স্টাফ নেটওয়ার্কের জন্য, 802.1X শক্তিশালী পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল প্রদান করে। ডিভাইসগুলো EAP (Extensible Authentication Protocol) ব্যবহার করে অথেনটিকেট করে, সাধারণত EAP-TLS (সার্টিফিকেট-ভিত্তিক) বা PEAP (ক্রেডেনশিয়াল-ভিত্তিক)।
যখন ডিভাইসগুলো MDM-এর মাধ্যমে এনরোল করা হয়, তখন সার্টিফিকেটগুলো স্বয়ংক্রিয়ভাবে পুশ করা যেতে পারে। এই ডিভাইসগুলো একটি সুরক্ষিত SSID-এর সাথে কানেক্ট হয় এবং যেকোনো পোর্টাল ইনফ্রাস্ট্রাকচারকে সম্পূর্ণভাবে বাইপাস করে। এটি কর্পোরেট অফিস ডিপ্লয়মেন্ট এবং রিটেইল ও হসপিটালিটি -তে ব্যাক-অফিস অপারেশনের জন্য স্ট্যান্ডার্ড।
৩. Passpoint (Hotspot 2.0) এবং OpenRoaming
Passpoint WiFi-এর জন্য সেলুলারের মতো রোমিং সক্ষম করে। ইনস্টল করা প্রোফাইল (ক্রেডেনশিয়াল বা সার্টিফিকেট) সহ ডিভাইসগুলো ব্যবহারকারীর হস্তক্ষেপ ছাড়াই স্বয়ংক্রিয়ভাবে Passpoint-সক্ষম নেটওয়ার্কগুলোতে অথেনটিকেট করে। ওয়্যারলেস ব্রডব্যান্ড অ্যালায়েন্স (WBA)-এর একটি উদ্যোগ OpenRoaming, আইডেন্টিটি প্রোভাইডার এবং নেটওয়ার্ক প্রোভাইডারদের একত্রিত করে।
Purple কানেক্ট লাইসেন্সের অধীনে OpenRoaming-এর জন্য একটি বিনামূল্যের আইডেন্টিটি প্রোভাইডার হিসেবে কাজ করে। যখন কোনো ব্যবহারকারী একবার Purple পোর্টালের মাধ্যমে অথেনটিকেট করে এবং OpenRoaming প্রোফাইল ডাউনলোড করে, তখন তাদের ডিভাইসটি বিশ্বব্যাপী যেকোনো OpenRoaming-সক্ষম নেটওয়ার্কের সাথে স্বয়ংক্রিয়ভাবে কানেক্ট হবে, যা Captive Portal-গুলোকে সম্পূর্ণভাবে বাইপাস করে এবং একইসাথে ভেন্যুকে RADIUS অ্যাকাউন্টিংয়ের মাধ্যমে সেশন লগ করার অনুমতি দেয়।
বাস্তবায়ন নির্দেশিকা
একটি হাইব্রিড পোর্টাল/বাইপাস আর্কিটেকচার ডিপ্লয় করার জন্য WLAN কন্ট্রোলার, RADIUS সার্ভার এবং আইডেন্টিটি ম্যানেজমেন্ট প্ল্যাটফর্মের মধ্যে সমন্বয় প্রয়োজন।
ধাপ ১: ব্যবহারকারী গোষ্ঠী নির্ধারণ করুন
কোন গ্রুপগুলোর বাইপাস প্রয়োজন তা চিহ্নিত করুন:
- কর্পোরেট/স্টাফ ডিভাইস: একটি 802.1X SSID-তে রাউট করুন।
- IoT/হেডলেস ডিভাইস: একটি ডেডিকেটেড লুকানো SSID বা ডায়নামিক VLAN অ্যাসাইনমেন্টে MAB ব্যবহার করুন।
- লয়্যালটি মেম্বার/ভিআইপি: গেস্ট SSID-তে MAC ক্যাশিং (MAB) ব্যবহার করুন বা Passpoint প্রোফাইল ডিপ্লয় করুন।
- সাধারণ অতিথি: স্ট্যান্ডার্ড Captive Portal-এর মাধ্যমে রাউট করুন।
ধাপ ২: MAC ক্যাশিং কনফিগার করুন (ফিরে আসা ভিজিটর বাইপাস)
ফিরে আসা অতিথিদের জন্য Captive Portal লগইন সরাতে: ১. এক্সটার্নাল RADIUS অথেনটিকেশন (যেমন, Purple-এর RADIUS সার্ভার) ব্যবহার করার জন্য WLAN কন্ট্রোলার কনফিগার করুন। ২. গেস্ট SSID-তে MAC অথেনটিকেশন বাইপাস চালু করুন। ৩. Purple WiFi Analytics ড্যাশবোর্ডে, "Seamless Login" বা MAC ক্যাশিংয়ের সময়কাল (যেমন, ৩০ দিন, ৩৬৫ দিন) কনফিগার করুন। ৪. যখন কোনো ব্যবহারকারী পোর্টালের মাধ্যমে অথেনটিকেট করে, তখন Purple তাদের MAC অ্যাড্রেস স্টোর করে। ৫. ক্যাশিং উইন্ডোর মধ্যে পরবর্তী ভিজিটগুলোতে, কন্ট্রোলার MAB সম্পাদন করে, Purple একটি Access-Accept রিটার্ন করে এবং ব্যবহারকারী তাৎক্ষণিকভাবে কানেক্ট হয়।
ধাপ ৩: MDM ইন্টিগ্রেশন বাস্তবায়ন করুন
ম্যানেজড ডিভাইসগুলোর জন্য: ১. WPA3-Enterprise কনফিগারেশন এবং ক্লায়েন্ট সার্টিফিকেট ধারণকারী একটি WiFi প্রোফাইল ডিপ্লয় করতে আপনার MDM (Intune, Jamf, Workspace ONE) কনফিগার করুন। ২. নিশ্চিত করুন যে RADIUS সার্ভারটি ইস্যুকারী সার্টিফিকেট অথরিটিকে (CA) বিশ্বাস করার জন্য কনফিগার করা হয়েছে। ৩. ডিভাইসগুলো গেস্ট পোর্টালের সম্মুখীন না হয়েই নীরবে কানেক্ট হবে।
সর্বোত্তম অনুশীলন
আপনার অথেনটিকেশন আর্কিটেকচার ডিজাইন করার সময়, এই ভেন্ডর-নিরপেক্ষ সর্বোত্তম অনুশীলনগুলো মেনে চলুন:
- ডায়নামিক VLAN-এর মাধ্যমে ট্রাফিক সেগমেন্ট করুন: একাধিক SSID ব্রডকাস্ট করার পরিবর্তে (যা এয়ারটাইম দক্ষতা হ্রাস করে), একটি একক SSID ব্রডকাস্ট করুন এবং ব্যবহারকারীদের তাদের অথেনটিকেশন পদ্ধতির ওপর ভিত্তি করে বিভিন্ন VLAN-এ (যেমন, গেস্ট VLAN, স্টাফ VLAN, IoT VLAN) অ্যাসাইন করতে RADIUS VSA ব্যবহার করুন। এটি WiFi অনবোর্ডিং এবং Captive Portal-এর সর্বোত্তম অনুশীলন -এ আরও বিস্তারিতভাবে আলোচনা করা হয়েছে।
- MAC র্যান্ডমাইজেশন ম্যানেজ করুন: যদি MAB-এর ওপর নির্ভর করেন, তবে ভেন্যুর নেটওয়ার্কের জন্য কীভাবে MAC র্যান্ডমাইজেশন নিষ্ক্রিয় করতে হয় সে সম্পর্কে ভিআইপি বা স্টাফদের শিক্ষিত করুন। আরও ভালো হয়, দীর্ঘমেয়াদী লয়্যালটি ব্যবহারকারীদের জন্য Passpoint প্রোফাইলে ট্রানজিশন করুন।
- RADIUS লেটেন্সি মনিটর করুন: MAB অ্যাসোসিয়েশন প্রক্রিয়ায় লেটেন্সি যোগ করে। নিশ্চিত করুন যে আপনার RADIUS সার্ভারগুলো ভৌগলিকভাবে কাছাকাছি রয়েছে বা অথেনটিকেশনের সময় ৫০০ মিলিসেকেন্ডের নিচে রাখতে ক্লাউড-এজ নোডগুলো ব্যবহার করুন।
- সেশন লিমিট প্রয়োগ করুন: পোর্টাল বাইপাস করার সময়ও, পর্যায়ক্রমিকভাবে পুনরায় অথেনটিকেট করতে বাধ্য করার জন্য RADIUS Session-Timeout অ্যাট্রিবিউট ব্যবহার করুন, যা কমপ্লায়েন্স এবং নির্ভুল অ্যানালিটিক্স ট্র্যাকিং নিশ্চিত করে।
ট্রাবলশুটিং এবং ঝুঁকি প্রশমন
পোর্টালটি সরিয়ে ফেললে নির্দিষ্ট কিছু ফেইলিওর মোড তৈরি হতে পারে। নেটওয়ার্ক অ্যাডমিনিস্ট্রেটরদের অবশ্যই নিচের বিষয়গুলো মনিটর করতে হবে:
১. MAC র্যান্ডমাইজেশনের কারণে MAB ফেইলিওর লক্ষণ: ফিরে আসা ব্যবহারকারী যাদের পোর্টাল বাইপাস করার কথা, তারা পুনরায় লগইন করতে বাধ্য হন। কারণ: ডিভাইসটি নেটওয়ার্কের জন্য একটি নতুন র্যান্ডমাইজড MAC অ্যাড্রেস তৈরি করেছে। প্রশমন: প্রোফাইল-ভিত্তিক অথেনটিকেশনে (Passpoint) শিফট করুন অথবা উন্নত অভিজ্ঞতার জন্য কীভাবে প্রাইভেট অ্যাড্রেসিং নিষ্ক্রিয় করতে হয় তা ব্যাখ্যা করে একটি Captive Portal মেসেজ বাস্তবায়ন করুন।
২. RADIUS টাইমআউট সমস্যা লক্ষণ: ডিভাইসগুলো সম্পূর্ণভাবে কানেক্ট হতে ব্যর্থ হয় বা পোর্টালটি উপস্থিত হওয়ার আগে দীর্ঘ বিলম্বের সম্মুখীন হয়। কারণ: পোর্টাল রিডাইরেক্টে ফলব্যাক করার আগে কন্ট্রোলারটি একটি আনরিচেবল RADIUS সার্ভার থেকে MAB রেসপন্সের জন্য অপেক্ষা করছে। প্রশমন: কন্ট্রোলারে অ্যাগ্রেসিভ RADIUS টাইমআউট এবং রিট্রাই সেটিংস (যেমন, ২ সেকেন্ড, ২ রিট্রাই) কনফিগার করুন এবং নিশ্চিত করুন যে ফলব্যাক মেকানিজমগুলো কার্যকর রয়েছে।
৩. স্টেল (Stale) সেশন ডেটা লক্ষণ: অ্যানালিটিক্সে দেখা যায় ব্যবহারকারীরা একবারে কয়েক দিন ধরে কানেক্টেড আছেন। কারণ: পোর্টাল বাইপাস করার অর্থ হলো ব্যবহারকারীরা এক্সপ্লিসিট লগইন ইভেন্ট ট্রিগার করেন না, এবং যদি অ্যাকাউন্টিং আপডেট ব্যর্থ হয়, তবে সেশনগুলোকে অসীম বলে মনে হয়। প্রশমন: কন্ট্রোলারে Interim-Update অ্যাকাউন্টিং চালু করুন এবং কঠোর আইডল টাইমআউট প্রয়োগ করুন।
ROI এবং ব্যবসায়িক প্রভাব
একটি Captive Portal লগইন সরানোর সিদ্ধান্তে অবশ্যই ব্যবহারকারীর অভিজ্ঞতা এবং ডেটা অর্জনের লক্ষ্যগুলোর মধ্যে ভারসাম্য বজায় রাখতে হবে।
ট্রান্সপোর্ট হাবের মতো পরিবেশের জন্য, কানেকশনের বাধা কমানো সরাসরি গ্রাহক সন্তুষ্টি স্কোর (CSAT) উন্নত করে। OpenRoaming বা MAC ক্যাশিং বাস্তবায়নের মাধ্যমে, ভেন্যুগুলো WiFi কানেক্টিভিটি সম্পর্কিত সাপোর্ট টিকিট ৪০-৬০% হ্রাস পেতে দেখতে পারে।
তদুপরি, আধুনিক ব্যবসার জন্য কোর SD WAN-এর সুবিধাগুলো -এর সাথে বাইপাস মেকানিজমগুলোকে একীভূত করা নিশ্চিত করে যে অথেনটিকেটেড কর্পোরেট ডিভাইসগুলোর ট্রাফিককে অগ্রাধিকার দেওয়া হয় এবং নিরাপদে রাউট করা হয়, যেখানে গেস্ট ট্রাফিককে আলাদা করা হয় এবং ব্যান্ডউইথ-সীমিত করা হয়, যা সামগ্রিক নেটওয়ার্ক ROI-কে অপ্টিমাইজ করে।
Purple-এর শক্তিশালী আইডেন্টিটি ম্যানেজমেন্ট এবং অ্যানালিটিক্স ব্যবহার করে, প্রতিষ্ঠানগুলো Captive Portal লগইন সরিয়ে ফেলার পরও ভিজিটরদের আচরণের ওপর গ্র্যানুলার ভিজিবিলিটি বজায় রাখতে পারে, যা নিশ্চিত করে যে মার্কেটিং টিমগুলো এখনও তাদের প্রয়োজনীয় ডেটা পায় এবং আইটি একটি বাধাহীন নেটওয়ার্ক অভিজ্ঞতা প্রদান করে।
মূল শব্দ ও সংজ্ঞা
Captive Portal
A web page that a user of a public access network is obliged to view and interact with before access is granted.
The primary mechanism for guest onboarding, data capture, and terms acceptance.
MAC Authentication Bypass (MAB)
A process where a network device uses the client's MAC address as the username and password for RADIUS authentication.
Used to allow headless devices or returning visitors to connect without interacting with a portal.
IEEE 802.1X
An IEEE Standard for port-based Network Access Control, providing an authentication mechanism to devices wishing to attach to a LAN or WLAN.
The standard for secure, portal-less access for corporate and MDM-enrolled devices.
OpenRoaming
A roaming federation service enabling automatic and secure WiFi connections across different networks without captive portals.
Provides cellular-like roaming for WiFi users, with Purple acting as a free identity provider.
Passpoint (Hotspot 2.0)
A Wi-Fi Alliance specification that streamlines network access and roaming, allowing devices to automatically discover and connect to networks.
The underlying technology that enables OpenRoaming and secure profile-based authentication.
RADIUS
Remote Authentication Dial-In User Service, a networking protocol that provides centralized Authentication, Authorization, and Accounting (AAA).
The core protocol used by the WLAN controller to communicate with Purple's identity platform for MAB and accounting.
VSA (Vendor-Specific Attribute)
Custom attributes in a RADIUS message used to pass vendor-specific configuration data, such as VLAN IDs or bandwidth limits.
Used to dynamically assign users to specific network segments after authentication.
MAC Randomization
A privacy feature in modern OSs that generates a random MAC address for each WiFi network to prevent tracking.
A significant challenge for MAB-based portal bypass, requiring users to disable it for reliable recognition.
কেস স্টাডিজ
A 500-room luxury hotel wants VIP guests (loyalty tier members) to connect to the WiFi automatically without seeing the captive portal, while standard guests must accept terms and conditions.
The IT team implements a single SSID with MAC Authentication Bypass (MAB) pointing to Purple's RADIUS. When a standard guest connects, MAB fails (MAC not in VIP database), and they are routed to the portal. When they log in, the PMS integration checks their loyalty status. If they are a VIP, Purple updates their MAC address in the authorized database. On their next visit, the controller performs MAB, Purple returns Access-Accept, and the VIP connects instantly without a portal.
A retail chain needs to deploy 1,000 barcode scanners across 50 stores. The scanners lack web browsers and cannot navigate a captive portal.
The network architect deploys WPA3-Enterprise (802.1X) for the scanners. The MDM platform pushes a unique client certificate to each scanner. The scanners connect to a hidden 'Ops' SSID, authenticate via EAP-TLS against the corporate RADIUS server, and bypass the portal infrastructure entirely.
দৃশ্যপট বিশ্লেষণ
Q1. A large conference center wants to provide seamless WiFi access to attendees who downloaded the event app, bypassing the standard captive portal. What is the most robust technical approach?
💡 ইঙ্গিত:Consider the impact of MAC randomization on temporary event attendees.
প্রস্তাবিত পদ্ধতি দেখুন
Integrate a Passpoint (Hotspot 2.0) profile into the event app. When attendees download the app, the profile is installed on their device. When they arrive at the venue, their device automatically authenticates securely via 802.1X using the profile credentials, completely bypassing the captive portal. This avoids the unreliability of MAC Authentication Bypass (MAB) caused by MAC randomization on modern smartphones.
Q2. You are deploying a new WLAN for a corporate campus. Employees complain about having to log into a captive portal every morning. How do you resolve this while maintaining security?
💡 ইঙ্গিত:Employees use corporate-managed laptops and smartphones.
প্রস্তাবিত পদ্ধতি দেখুন
Migrate corporate devices from the portal-based SSID to an 802.1X (WPA3-Enterprise) SSID. Use the company's Mobile Device Management (MDM) solution to push unique client certificates to all managed devices. Configure the RADIUS server to authenticate these certificates (EAP-TLS). Devices will connect silently and securely without user interaction.
Q3. A stadium wants to use MAC caching to allow season ticket holders to bypass the portal on subsequent visits. What communication strategy must accompany this technical deployment?
💡 ইঙ্গিত:Why might MAC caching fail for iOS and Android users?
প্রস্তাবিত পদ্ধতি দেখুন
The stadium must implement a communication campaign (e.g., on the initial captive portal success page or via email) instructing season ticket holders to disable 'Private Wi-Fi Address' (MAC randomization) specifically for the stadium's SSID. If users do not disable this feature, their device will generate a new MAC address on future visits, defeating the MAC caching mechanism and forcing them back to the portal.
