HPE Aruba Instant এবং গেস্ট WiFi: Purple এর সাথে captive portal সেটআপ

HPE Aruba ClearPass-এর সাথে Purple WiFi প্ল্যাটফর্মের সংহতকরণের উপর এই প্রযুক্তিগত ব্রিফিংয়ে আপনাকে স্বাগতম। আমি আপনার হোস্ট, এবং আজ আমরা ClearPass Policy Manager-এর শক্তিশালী নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল-এর সাথে Purple-এর শিল্প-নেতৃস্থানীয় গেস্ট WiFi এবং অ্যানালিটিক্স ক্ষমতার সমন্বয়ের আর্কিটেকচার, ডেপ্লয়মেন্ট স্ট্র্যাটেজি এবং অপারেশনাল সুবিধাগুলি গভীরভাবে অন্বেষণ করব। IT ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং CTO-দের জন্য যারা বড় আকারের ভেন্যু পরিচালনা করছেন - তা কোনো বিস্তৃত রিটেল চেইন, উচ্চ-ঘনত্বের স্টেডিয়াম, বা কোনো জটিল হেলথকেয়ার ক্যাম্পাস হোক না কেন - নিরাপদ, সেগমেন্টেড এবং অন্তর্দৃষ্টিপূর্ণ ওয়্যারলেস অ্যাক্সেস প্রদান করা অত্যন্ত গুরুত্বপূর্ণ। কর্পোরেট ডিভাইসের জন্য কনটেক্সট-অ্যাওয়ার পলিসি প্রয়োগ এবং 802.1X অথেন্টিকেশনের ক্ষেত্রে ClearPass অসাধারণ। তবে, গেস্ট অনবোর্ডিং, Captive Portal এবং ভিজিটর ডেটা থেকে কার্যকর মার্কেটিং অ্যানালিটিক্স বের করার ক্ষেত্রে, Purple হলো অবিসংবাদিত লিডার। আজকে আমরা যে মূল প্রশ্নটির উত্তর খুঁজছি তা হলো: NAC এবং ডাইনামিক রোল-ভিত্তিক VLAN অ্যাসাইনমেন্টের জন্য ClearPass বজায় রেখে, Purple-কে Captive Portal হিসেবে ব্যবহার করার জন্য আপনি কীভাবে ClearPass কনফিগার করবেন? চলুন শুরু করা যাক। প্রথমে, আর্কিটেকচারটি স্থাপন করা যাক। একটি উচ্চ স্তরে, এই সংহতকরণটি স্ট্যান্ডার্ড RADIUS প্রোটোকল এবং HTTP রিডাইরেক্ট মেকানিজমের উপর নির্ভর করে। আপনার Aruba Mobility Controllers বা Instant Access Points গেস্ট SSID ব্রডকাস্ট করে। যখন একটি আনঅথেন্টিকেটেড ডিভাইস সংযোগ করে, তখন কন্ট্রোলার HTTP ট্রাফিককে বাধা দেয় এবং ব্যবহারকারীর ব্রাউজারকে Purple Captive Portal-এ রিডাইরেক্ট করে। এই রিডাইরেক্টটি সঠিকভাবে সেট আপ করা প্রথম গুরুত্বপূর্ণ ধাপ। এখন, ব্যবহারকারী Purple-এর মাধ্যমে অথেন্টিকেট করেন। এটি Facebook বা Google-এর মাধ্যমে একটি সোশ্যাল লগইন হতে পারে, একটি কাস্টম ইমেল এবং পাসওয়ার্ড ফর্ম হতে পারে, অথবা এমনকি OpenRoaming-ও হতে পারে, যেখানে Purple Connect লাইসেন্সের অধীনে একটি ফ্রি আইডেন্টিটি প্রোভাইডার হিসেবে কাজ করে। একবার Purple ব্যবহারকারীকে যাচাই করলে, এটি চেইনের মাধ্যমে কন্ট্রোলারে একটি RADIUS Access-Accept মেসেজ ফেরত পাঠায়, যা তখন নেটওয়ার্ক অ্যাক্সেস মঞ্জুর করে। কিন্তু এখানেই ClearPass অপরিহার্য হয়ে ওঠে। Aruba কন্ট্রোলার সরাসরি Purple-এর RADIUS সার্ভারের সাথে কথা বলার পরিবর্তে, আপনি মাঝখানে একটি RADIUS প্রক্সি হিসেবে ClearPass অন্তর্ভুক্ত করেন। কন্ট্রোলার সমস্ত RADIUS অনুরোধ ClearPass-এ পাঠায়। ClearPass অনুরোধটি মূল্যায়ন করে এবং এটি যদি আপনার গেস্ট সার্ভিস রাউটিং পলিসির সাথে মিলে যায়, তবে এটি Purple-এর ক্লাউড RADIUS সার্ভারে ফরোয়ার্ড করে। Purple সাড়া দেয় এবং ClearPass সেই প্রতিক্রিয়াটি কন্ট্রোলারে ফেরত পাঠায়, তবে গুরুত্বপূর্ণ বিষয় হলো, এটি করার আগে এটি তার নিজস্ব পলিসি অ্যাট্রিবিউট যুক্ত করতে পারে। এই প্রক্সি আর্কিটেকচার আপনাকে উভয় জগতের সেরা সুবিধা দেয়। ClearPass আপনার নেটওয়ার্কের কর্পোরেট এবং গেস্ট উভয়ের প্রতিটি অথেন্টিকেশন ইভেন্টের একটি সম্পূর্ণ অডিট লগ বজায় রাখে। আপনি সিকিউরিটি অপারেশনের জন্য একটি সিঙ্গেল পেইন অফ গ্লাস পান। এবং আপনার বিদ্যমান NAC ইনভেস্টমেন্ট প্রতিস্থাপন করার প্রয়োজন ছাড়াই Purple ব্যবহারকারীর মুখোমুখি অভিজ্ঞতা এবং অ্যানালিটিক্স পরিচালনা করে। আসুন ডাইনামিক VLAN অ্যাসাইনমেন্ট সম্পর্কে কথা বলি, কারণ এখানেই জিনিসগুলি সত্যিই শক্তিশালী হয়ে ওঠে - এবং যেখানে বেশিরভাগ ডেপ্লয়মেন্ট সতর্ক না হলে সমস্যার সম্মুখীন হয়।ClearPass একটি ধারণা ব্যবহার করে যাকে Roles এবং Enforcement Profiles বলা হয়। যখন একটি প্রমাণীকরণ (authentication) অনুরোধ আসে, তখন ClearPass প্রসঙ্গটি মূল্যায়ন করে: ব্যবহারকারী কে, তারা কোন ডিভাইসে আছে, সময় কত, এবং তারা কোন অবস্থান থেকে সংযোগ করছে। এই কারণগুলির উপর ভিত্তি করে, এটি একটি Role নির্ধারণ করে। একজন সাধারণ অতিথির জন্য, সেটি ROLE_GUEST হতে পারে। একজন VIP-এর জন্য, সেটি ROLE_VIP হতে পারে। একজন ঠিকাদারের (contractor) জন্য, ROLE_CONTRACTOR। এই Roleটি তারপর একটি Enforcement Profile-এর সাথে ম্যাপ করা হয়, যা Aruba কন্ট্রোলারে ফেরত পাঠানোর জন্য নির্দিষ্ট RADIUS অ্যাট্রিবিউটগুলিকে সংজ্ঞায়িত করে। এখানে সবচেয়ে গুরুত্বপূর্ণ অ্যাট্রিবিউটটি হলো Aruba-User-Role Vendor-Specific Attribute, বা VSA। এটি কন্ট্রোলারকে অবিকল বলে দেয় যে ওয়্যারলেস সাইডে ব্যবহারকারীকে কোন রোলে রাখতে হবে। Aruba কন্ট্রোলারে, প্রতিটি রোল একটি নির্দিষ্ট VLAN এবং ফায়ারওয়াল পলিসির সেটের সাথে ম্যাপ করে। তাই ROLE_GUEST ম্যাপ করে VLAN 20-এ, যেখানে শুধুমাত্র ইন্টারনেট অ্যাক্সেস এবং প্রতি সেকেন্ডে ১০ মেগাবিট ব্যান্ডউইথ সীমা থাকে। ROLE_VIP ম্যাপ করে VLAN 40-এ, ৫০ মেগাবিট সীমা সহ। ROLE_IOT ম্যাপ করে VLAN 30-এ, যা একটি সম্পূর্ণ বিচ্ছিন্ন সেগমেন্ট যেখানে কোনো ইন্টারনেট অ্যাক্সেস নেই, শুধুমাত্র স্মার্ট ডিভাইসের জন্য স্থানীয় সংযোগ রয়েছে। এই সেগমেন্টেশনটি কেবল ভালো অনুশীলনই নয় - এটি একটি কমপ্লায়েন্সের প্রয়োজনীয়তা। PCI-DSS-এর অধীনে, কার্ডধারীর ডেটা স্পর্শ করে এমন যেকোনো নেটওয়ার্ক অবশ্যই গেস্ট নেটওয়ার্ক থেকে বিচ্ছিন্ন থাকতে হবে। GDPR-এর অধীনে, আপনাকে প্রমাণ করতে সক্ষম হতে হবে যে গেস্ট পোর্টালের মাধ্যমে সংগৃহীত ব্যক্তিগত ডেটা যথাযথভাবে পরিচালনা করা হচ্ছে এবং গেস্ট ট্রাফিক আপনার কর্পোরেট অবকাঠামো অতিক্রম করতে পারবে না। এখন, আমি আপনাকে একটি বাস্তব-জগতের দৃশ্যকল্পের মাধ্যমে নিয়ে যাই: একাধিক প্রোপার্টি জুড়ে ৫০০টি রুম সহ একটি বড় হোটেল চেইন। তাদের প্রতিটি সাইটে Aruba কন্ট্রোলার রয়েছে, কেন্দ্রীয়ভাবে ClearPass নিয়োজিত আছে, এবং তারা গেস্ট WiFi-এর জন্য Purple চালু করতে চায়। ডিপ্লয়মেন্টটি দেখতে এইরকম হয়। সাইট প্রতি দুটি SSID: Hotel_Corp এবং Hotel_Guest। Hotel_Corp সার্টিফিকেটের সাথে 802.1X ব্যবহার করে, যা ClearPass-এর মাধ্যমে Active Directory-র বিরুদ্ধে প্রমাণীকৃত হয়। Hotel_Guest হলো একটি ওপেন SSID যা Purple-এর Captive Portal-কে ট্রিগার করে। ClearPass-এ, তারা দুটি Services তৈরি করে। Service One মিলে যায় Hotel_Corp-এর সাথে এবং স্থানীয়ভাবে 802.1X প্রমাণীকরণ পরিচালনা করে। Service Two মিলে যায় Hotel_Guest-এর সাথে এবং Purple-এ অনুরোধগুলি প্রক্সি করতে একটি RADIUS Routing Policy ব্যবহার করে। Service Two-এর জন্য Enforcement Policy-টি guest-authenticated-এর Aruba-User-Role ফেরত দেয়, যা কন্ট্রোলারে VLAN 20-এ ম্যাপ করে। IoT ডিভাইসগুলির জন্য - স্মার্ট টিভি, থার্মোস্ট্যাট, দরজার লক - তারা MAC-ভিত্তিক প্রমাণীকরণ সহ একটি তৃতীয় SSID, Hotel_IoT ব্যবহার করে। ClearPass ডিভাইসের OUI ব্যবহার করে প্রোফাইল তৈরি করে এবং ROLE_IOT নির্ধারণ করে, এটিকে VLAN 30-এ ফেলে দেয়। ফলাফল? কর্মীরা সম্পূর্ণ কর্পোরেট অ্যাক্সেস পান। গেস্টরা সোশ্যাল লগইন এবং মার্কেটিং অপ্ট-ইন সহ একটি ব্র্যান্ডেড, আকর্ষক পোর্টাল অভিজ্ঞতা পান। IoT ডিভাইসগুলি বিচ্ছিন্ন থাকে। এবং IT টিমের কাছে ClearPass-এর Access Tracker-এ তিনটি ব্যবহারকারীর প্রকারের উপর সম্পূর্ণ দৃশ্যমানতা থাকে। এখন আসুন সমস্যাগুলির বিষয়ে কথা বলি, কারণ এমন বেশ কয়েকটি সমস্যা রয়েছে যা আপনি প্রস্তুত না থাকলে আপনাকে অপ্রস্তুত অবস্থায় ধরে ফেলবে। এক নম্বর: walled garden। এটি captive portal ব্যর্থতার সবচেয়ে সাধারণ কারণ। ডিভাইসটি অথেন্টিকেট হওয়ার আগে, Aruba কন্ট্রোলার শুধুমাত্র পূর্ব-নির্ধারিত গন্তব্যের তালিকায় ট্রাফিক অনুমোদন করে — যা হলো walled garden। যদি Purple-এর পোর্টাল URL, এর ব্যাকএন্ড API এন্ডপয়েন্ট এবং সোশ্যাল লগইন প্রোভাইডার ডোমেনগুলো সেই তালিকায় না থাকে, তবে পোর্টালটি লোড হবে না। আপনাকে এই তালিকাটি সক্রিয়ভাবে রক্ষণাবেক্ষণ করতে হবে। Facebook এবং Google-এর মতো সোশ্যাল লগইন প্রোভাইডাররা নিয়মিত তাদের IP রেঞ্জ এবং CDN ডোমেন পরিবর্তন করে। walled garden-কে একটি লিভিং কনফিগারেশন হিসেবে বিবেচনা করুন। দুই নম্বর: RADIUS টাইমআউট। বেশিরভাগ Aruba কন্ট্রোলারে ডিফল্ট RADIUS টাইমআউট থাকে তিন সেকেন্ড। একটি প্রক্সি আর্কিটেকচারে, রিকোয়েস্টটি AP থেকে কন্ট্রোলারে, ClearPass-এ, ইন্টারনেট জুড়ে Purple-এর ক্লাউড RADIUS-এ এবং পুনরায় ফিরে আসে। একটি কনজেস্টেড নেটওয়ার্কে, সেই রাউন্ড ট্রিপটি সহজেই তিন সেকেন্ড অতিক্রম করতে পারে। আপনার টাইমআউট অন্তত দশ সেকেন্ডে বৃদ্ধি করুন এবং রিট্রাই লজিক কনফিগার করুন। তিন নম্বর: শেয়ার্ড সিক্রেট অমিল। এটি এমন নীরব ব্যর্থতার কারণ হয়ে দাঁড়ায় যা নির্ণয় করা কুখ্যাতভাবে কঠিন। Aruba কন্ট্রোলার এবং ClearPass-এর মধ্যে শেয়ার্ড সিক্রেট অবশ্যই হুবহু মিলতে হবে। ClearPass এবং Purple-এর RADIUS সার্ভারের মধ্যকার শেয়ার্ড সিক্রেটও হুবহু মিলতে হবে। একটি মাত্র অক্ষরের পার্থক্যের কারণে অথেন্টিকেশন ব্যর্থ হবে এবং শেষ ব্যবহারকারীর কাছে কোনো অর্থপূর্ণ ত্রুটি বার্তা যাবে না। এগুলো সবসময় দুবার পরীক্ষা করুন। চার নম্বর: রোল নেম কেস সেন্সিটিভিটি। ClearPass দ্বারা রিটার্ন করা Aruba-User-Role VSA অবশ্যই Aruba কন্ট্রোলারে সংজ্ঞায়িত রোল নেমের সাথে হুবহু — ক্যাপিটালাইজেশন সহ — মিলতে হবে। ClearPass যদি guest-authenticated রিটার্ন করে কিন্তু কন্ট্রোলারে Guest-Authenticated সংজ্ঞায়িত থাকে, তবে ব্যবহারকারী ডিফল্ট রোলে চলে যাবেন, যা সাধারণত ইন্টারনেট অ্যাক্সেসহীন logon রোল হয়ে থাকে। পাঁচ নম্বর: RADIUS অ্যাকাউন্টিং। অনেক ডেপ্লয়মেন্ট অথেন্টিকেশন প্রক্সিং সঠিকভাবে কনফিগার করলেও অ্যাকাউন্টিং প্রক্সি করতে ভুলে যায়। সেশন সময়কাল, ডাটা ব্যবহার ট্র্যাক করতে এবং এর অ্যানালিটিক্স ড্যাশবোর্ড পপুলেট করতে Purple RADIUS অ্যাকাউন্টিং ডাটা ব্যবহার করে। যদি অ্যাকাউন্টিং Purple-এ প্রবাহিত না হয়, তবে আপনার অ্যানালিটিক্স অসম্পূর্ণ থাকবে। আসুন র্যাপিড-ফায়ার প্রশ্ন বিভাগে যাওয়া যাক। আমি কি কর্মচারী এবং গেস্ট উভয়ের জন্য একটি একক SSID ব্যবহার করতে পারি? হ্যাঁ, আপনি পারেন। একই SSID-এ 802.1X এবং MAC-Auth উভয়ই পরিচালনা করতে ClearPass কনফিগার করুন। ট্রাফিকের ধরন আলাদা করতে এবং সেই অনুযায়ী রুট করতে সার্ভিস রুল ব্যবহার করুন। এটি পরিচালনা করা আরও জটিল কিন্তু SSID-এর সংখ্যাধিক্য হ্রাস করে। Purple কি Change of Authorisation সমর্থন করে? হ্যাঁ। CoA কন্ট্রোলারকে ব্যবহারকারীর সেশনটি পুনরায় সংযোগ করার প্রয়োজন ছাড়াই গতিশীলভাবে আপডেট করার অনুমতি দেয়। এটি সময়-সীমিত অ্যাক্সেস বা টিয়ার আপগ্রেডের জন্য উপযোগী। আমি কি একটি সম্পূর্ণ Mobility Controller-এর পরিবর্তে Aruba Instant-এর সাথে এই ইন্টিগ্রেশনটি ব্যবহার করতে পারি? হ্যাঁ, Aruba Instant বাহ্যিক RADIUS সার্ভার এবং captive portal রিডাইরেক্ট সমর্থন করে। কনফিগারেশনটি সামান্য ভিন্ন কিন্তু নীতিগুলো অভিন্ন।এই ইন্টিগ্রেশন কি WPA3 এর সাথে কাজ করে? হ্যাঁ। ব্যক্তিগত নেটওয়ার্কের জন্য WPA3-SAE এবং 802.1X এর জন্য WPA3-Enterprise উভয়ই সমর্থিত। Captive Portals ব্যবহারকারী গেস্ট নেটওয়ার্কের জন্য, WPA3-SAE বা Opportunistic Wireless Encryption সহ একটি ওপেন SSID সাধারণত ব্যবহার করা হয়। আজকের ব্রিফিং সংক্ষেপ করতে। ClearPass এবং Purple ইন্টিগ্রেশন হল একটি RADIUS প্রক্সি আর্কিটেকচার। সমস্ত নেটওয়ার্ক অ্যাক্সেসের জন্য ClearPass আপনার কেন্দ্রীয় পলিসি সিদ্ধান্ত নেওয়ার পয়েন্ট হিসেবে থাকে। Purple গেস্ট-মুখী অভিজ্ঞতা এবং অ্যানালিটিক্স পরিচালনা করে। Aruba কন্ট্রোলার ডাইনামিক VLAN অ্যাসাইনমেন্টের মাধ্যমে তৈরি হওয়া পলিসিগুলি কার্যকর করে। তিনটি সবচেয়ে গুরুত্বপূর্ণ কনফিগারেশন উপাদান হল walled garden, RADIUS টাইমআউট এবং রোলের নামের সামঞ্জস্য। এগুলো সঠিকভাবে সেট করুন, এবং আপনি একটি শক্তিশালী, অনুগত এবং বাণিজ্যিকভাবে মূল্যবান গেস্ট WiFi ডেপ্লয়মেন্ট পাবেন। শোনার জন্য ধন্যবাদ। আপনি যদি এটি আরও বিস্তারিত জানতে চান, তবে আপনার নির্দিষ্ট ডেপ্লয়মেন্ট সম্পর্কে একজন সলিউশন আর্কিটেক্টের সাথে কথা বলতে purple.ai ভিজিট করুন।