মূল কন্টেন্টে যান
বাংলা

Purple WiFi-এর সাথে Huawei AirEngine এবং CloudCampus ইন্টিগ্রেশন

এই নির্দেশিকাটি Huawei AirEngine অ্যাক্সেস পয়েন্ট এবং iMaster NCE-Campus-কে Purple WiFi-এর সাথে একীভূত করার জন্য ধাপে ধাপে নির্দেশনা প্রদান করে। এটি এন্টারপ্রাইজ নেটওয়ার্কের জন্য captive portal কনফিগারেশন, 802.1X স্টাফ প্রমাণীকরণ (authentication) এবং PPSK ডাইনামিক VLAN স্টিয়ারিং কভার করে।

📖 6 মিনিট পাঠ📝 1,408 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
Purple টেকনিক্যাল সিরিজে আপনাকে স্বাগতম। আমি আপনার হোস্ট, এবং আজ আমরা ফিল্ডে দেখতে পাওয়া আরও একটি সূক্ষ্ম এন্টারপ্রাইজ WiFi ইন্টিগ্রেশন নিয়ে আলোচনা করছি - Huawei AirEngine অ্যাক্সেস পয়েন্ট এবং CloudCampus iMaster NCE-Campus কন্ট্রোলার, যা গেস্ট WiFi, স্টাফ প্রমাণীকরণ এবং মাল্টি-টেন্যান্ট নেটওয়ার্ক সেগমেন্টেশনের জন্য Purple-এর সাথে সমন্বিত। আপনি যদি কোনো Huawei এস্টেট পরিচালনাকারী একজন নেটওয়ার্ক আর্কিটেক্ট বা আইটি ম্যানেজার হন - তা কোনো হোটেল গ্রুপ, রিটেইল চেইন, কনফারেন্স সেন্টার বা পাবলিক-সেক্টর ক্যাম্পাসই হোক না কেন - এই পর্বটি আপনার জন্য। আমরা সম্পূর্ণ স্ট্যাক কভার করব: Captive Portal রিডাইরেকশন, প্রি-অথেন্টিকেশন ACLs, 802.1X ব্যবহার করে সুরক্ষিত স্টাফ WiFi, এবং একাধিক টেন্যান্ট জুড়ে ডায়নামিক VLAN স্টিয়ারিংয়ের জন্য Huawei-এর প্রাইভেট প্রি-শেয়ার্ড কি (PPSK) ফিচার। চলুন শুরু করা যাক। সেকশন এক: প্রসঙ্গ এবং আর্কিটেকচার। Huawei-এর AirEngine পোর্টফোলিও - যা 5700, 6700, 8700 এবং 9700 সিরিজ কভার করে - WiFi 6 এবং WiFi 6E-তে চলে, যেখানে টপ-এন্ড 9700 সিরিজ WiFi 7 সমর্থন করে। এগুলো অত্যন্ত উন্নত মানের এন্টারপ্রাইজ অ্যাক্সেস পয়েন্ট। এর ম্যানেজমেন্ট লেয়ার হলো iMaster NCE-Campus, যা Huawei-এর ক্লাউড-ভিত্তিক নেটওয়ার্ক কন্ট্রোলার। এটি SSID প্রভিশনিং এবং RADIUS রিলে থেকে শুরু করে পলিসি প্রয়োগ এবং সিসলগ ফরোয়ার্ডিং পর্যন্ত সমস্ত কিছু পরিচালনা করে। Purple এর উপরে একটি ক্লাউড ওভারলে হিসেবে কাজ করে। আমরা ৮০,০০০-এরও বেশি লাইভ ভেন্যুতে কাজ করছি এবং শুধুমাত্র ২০২৪ সালেই ৪৪০ মিলিয়ন লগইন প্রসেস করেছি। আমরা হার্ডওয়্যার-অ্যাগনস্টিক - যার অর্থ হলো আমরা Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist এবং হ্যাঁ, Huawei AirEngine-এর সাথে একীভূত হতে পারি - একই RADIUS এবং Captive Portal স্ট্যান্ডার্ড ব্যবহার করে যা প্রতিটি এন্টারপ্রাইজ কন্ট্রোলার সমর্থন করে। এখানে ইন্টিগ্রেশন মডেলটি বেশ সহজ। iMaster NCE-Campus একটি RADIUS রিলে হিসেবে কাজ করে, যা অ্যাক্সেস পয়েন্ট থেকে Purple-এর RADIUS সার্ভারে প্রমাণীকরণের অনুরোধগুলো ফরোয়ার্ড করে। Purple প্রমাণীকরণের লজিক পরিচালনা করে - তা গেস্ট স্প্ল্যাশ পেজ হোক, কোনো 802.1X ক্রেডেনশিয়াল চেক হোক বা কোনো PPSK লুকআপ হোক - এবং যেকোনো ডায়নামিক VLAN অ্যাসাইনমেন্ট অ্যাট্রিবিউটসহ উপযুক্ত RADIUS রেসপন্স ফেরত পাঠায়। সেকশন দুই: গেস্ট WiFi এবং Captive Portal কনফিগারেশন। চলুন সবচেয়ে সাধারণ ডিপ্লয়মেন্ট দিয়ে শুরু করা যাক: Purple Captive Portal-সহ গেস্ট WiFi। iMaster NCE-Campus-এ, আপনি Design, তারপর Network Design, এবং এরপর Template Management-এ যাবেন। আপনি একটি RADIUS Relay Server টেমপ্লেট তৈরি করবেন। মূল প্যারামিটারগুলো হলো: অথেন্টিকেশন সার্ভিসটি Portal অথেন্টিকেশনে সেট করুন, অথেন্টিকেশনের জন্য UDP পোর্ট 1812 এবং অ্যাকাউন্টিংয়ের জন্য 1813-এ Purple-এর RADIUS সার্ভার আইপি অ্যাড্রেসগুলো যোগ করুন, NAS আইডেন্টিফায়ারটি Device MAC-এ সেট করুন এবং শেয়ার্ড সিক্রেটটি কনফিগার করুন। Purple ড্যাশবোর্ডের ভেন্যু কনফিগারেশন স্ক্রিন থেকে এই RADIUS ক্রেডেনশিয়ালগুলো প্রদান করে থাকে। এরপর, আপনি একটি ACL তৈরি করবেন - এটি আপনার Walled Garden। একজন গেস্ট প্রমাণীকরণ করার আগে, তাদের Purple-এর স্প্ল্যাশ পেজ এবং যেকোনো সহায়ক ডোমেনে পৌঁছাতে হবে। আপনার ACL নিয়মগুলোতে UDP 53-তে DNS অনুমতি দিতে হবে, Purple-এর পোর্টাল ডোমেনে HTTPS অনুমতি দিতে হবে, এবং আপনার সক্রিয় করা যেকোনো সোশ্যাল লগইন প্রোভাইডারকে অনুমতি দিতে হবে - উদাহরণস্বরূপ, আপনি যদি সোশ্যাল সাইন-অন ব্যবহার করেন তবে Facebook-এর গ্রাফ API এন্ডপয়েন্টগুলো। প্রমাণীকরণের আগে অন্য সবকিছু প্রত্যাখ্যান করা হয়। তারপর আপনি SSID কনফিগার করবেন। নেটওয়ার্কের ধরন Open-এ সেট করুন, Open plus Portal প্রমাণীকরণ নির্বাচন করুন, প্রমাণীকরণের ধরন Relay authentication by cloud platform-এ সেট করুন, এবং ইন্টারকানেকশন মোড হিসেবে RADIUS রিলে বেছে নিন। পেজ পুশ প্রোটোকল HTTPS-এ সেট করুন। থার্ড-পার্টি পোর্টাল প্রমাণীকরণ প্যারামিটারগুলোতে Purple রিডাইরেক্ট URL-টি পেস্ট করুন - এটি হলো সেই স্প্ল্যাশ পেজ URL যা আপনি Purple ভেন্যু ড্যাশবোর্ড থেকে কপি করেছেন, যার সাফিক্সটি Huawei-নির্দিষ্ট প্যারামিটারগুলো অন্তর্ভুক্ত করার জন্য পরিবর্তন করা হয়েছে: ap-mac, uaddress, umac, ssid, এবং redirect-url। সবশেষে, iMaster NCE-Campus-এ একটি URL টেমপ্লেট তৈরি করুন যা এই প্যারামিটার নামগুলোকে রিডাইরেক্টে Huawei দ্বারা পাস করা মানগুলোর সাথে ম্যাপ করে। প্যারামিটার ম্যাপিংটি হলো: redirect-url থেকে redirect-url, loginurl থেকে login-url, device-mac থেকে ap-mac, user-ip to uaddress, user-mac থেকে umac, এবং ssid থেকে ssid। এটি কনফিগার হয়ে গেলে, একজন গেস্ট SSID-এর সাথে সংযুক্ত হন, একটি DHCP অ্যাড্রেস পান, এবং তাদের HTTP ট্রাফিক কন্ট্রোলার দ্বারা ইন্টারসেপ্ট করা হয় এবং Purple স্প্ল্যাশ পেজে রিডাইরেক্ট করা হয়। তারা ইমেল, সোশ্যাল লগইন বা SMS ভেরিফিকেশনের মাধ্যমে প্রমাণীকরণ করেন - এবং Purple-এর RADIUS সার্ভার iMaster NCE-Campus-এ একটি Access-Accept ফেরত পাঠায়, যা গেস্টকে সম্পূর্ণ ইন্টারনেট অ্যাক্সেস প্রদান করে। ডেটার দৃষ্টিকোণ থেকে, Purple এই পর্যায়ে ফার্স্ট-পার্টি সম্মতি ডেটা সংগ্রহ করে। প্রতিটি লগইন হলো একটি সচেতন পছন্দের অপ্ট-ইন, যা GDPR এবং CCPA-এর সাথে সম্মতিপূর্ণ। সেই ডেটা Purple-এর অ্যানালিটিক্স প্ল্যাটফর্মে যায়, যা আপনাকে সেশনের সময়কাল, ডিভাইসের ধরন, বারবার আসা ভিজিটরের হার এবং ডdwell টাইম প্রদান করে - এই সবই কোনো থার্ড-পার্টি ট্র্যাকিং ছাড়াই। সেকশন তিন: 802.1X এর মাধ্যমে স্টাফ WiFi সুরক্ষিত করুন। এবার স্টাফ WiFi নিয়ে কথা বলা যাক। এটি সম্পূর্ণ ভিন্ন একটি সিকিউরিটি পোসচার। আপনি চান না যে স্টাফরা গেস্টদের মতো একই নেটওয়ার্ক সেগমেন্টে থাকুক, এবং আপনি এমন শেয়ার করা PSK পাসওয়ার্ড চান না যা কেউ চলে যাওয়ার সাথে সাথেই হাতছাড়া হয়ে যায়। এর উত্তর হলো IEEE 802.1X-2020-এ সংজ্ঞায়িত 802.1X প্রমাণীকরণ, যাতে EAP-TLS বা EAP-PEAP ব্যবহার করা হয়। iMaster NCE-Campus-এ, আপনি স্টাফদের জন্য একটি আলাদা SSID তৈরি করবেন - ধরা যাক এটির নাম CorpNet। এই SSID-এর প্রমাণীকরণ প্রোফাইলে, আপনি প্রমাণীকরণ মোড 802.1X-এ সেট করবেন, এটিকে Purple-এর RADIUS সার্ভারের দিকে নির্দেশ করবেন এবং সিকিউরিটি প্রোফাইলটি AES-CCMP এনক্রিপশন সহ WPA2-Enterprise বা WPA3-Enterprise-এ সেট করবেন। Purple এখানেও RADIUS সার্ভার হিসাবে কাজ করে, তবে এখন এটি আপনার আইডেন্টিটি প্রোভাইডারের বিরুদ্ধে ক্রেডেন্সিয়াল যাচাই করছে। Purple নেটিভভাবে Microsoft Entra ID, Okta এবং Google Workspace-এর সাথে ইন্টিগ্রেট করে। যখন কোনো স্টাফ মেম্বার CorpNet-এ কানেক্ট করেন, তখন তাদের ডিভাইস অ্যাক্সেস পয়েন্টে EAP ক্রেডেন্সিয়াল পাঠায়, যা RADIUS-এর মাধ্যমে Purple-এ রিলে করে, এবং Purple SCIM বা SAML ব্যবহার করে Entra ID-এর বিরুদ্ধে সেগুলি যাচাই করে। ক্রেডেন্সিয়ালগুলো বৈধ হলে, Purple একটি RADIUS অ্যাট্রিবিউটসহ Access-Accept রিটার্ন করে যা স্টাফ VLAN নির্দিষ্ট করে - যেমন VLAN 20। iMaster NCE-Campus ক্লায়েন্টকে স্বয়ংক্রিয়ভাবে সেই VLAN-এ নিয়ে যায়। ডাইনামিক VLAN অ্যাসাইনমেন্টের মূল RADIUS অ্যাট্রিবিউটগুলো হলো: Tunnel-Type সেট করতে হবে VLAN বা value 13-এ, Tunnel-Medium-Type সেট করতে হবে 802 বা value 6-এ, এবং Tunnel-Private-Group-ID সেট করতে হবে VLAN ID-তে। এই তিনটি অ্যাট্রিবিউট একসাথে Huawei কন্ট্রোলারকে অবিকল বলে দেয় যে অথেন্টিকেটেড ক্লায়েন্টকে কোন VLAN-এ অ্যাসাইন করতে হবে। বিশেষ করে EAP-TLS-এর জন্য - যা স্টাফ অথেন্টিকেশনের গোল্ড স্ট্যান্ডার্ড - আপনার ক্লায়েন্ট সার্টিফিকেট প্রয়োজন। Purple-এর SecurePass অ্যাড-অন সার্টিফিকেট প্রদান এবং লাইফসাইকেল ম্যানেজমেন্ট হ্যান্ডেল করে, যা আপনার বিদ্যমান PKI-এর সাথে ইন্টিগ্রেট করে বা একটি লাইটওয়েট সার্টিফিকেট অথরিটি হিসাবে কাজ করে। এটি পাসওয়ার্ড-ভিত্তিক আক্রমণ সম্পূর্ণরূপে দূর করে। পাসওয়ার্ড নেই, ফিশিং ভেক্টরও নেই। চতুর্থ বিভাগ: Huawei PPSK-এর সাথে মাল্টি-ট্যানেন্ট সেগমেন্টেশন। এটি বেশ আকর্ষণীয়। আপনি যদি একটি মিশ্র-ব্যবহারের ভেন্যু চালান - যেমন একাধিক রিটেল ট্যানেন্টসহ একটি শপিং সেন্টার, একাধিক সদস্য কোম্পানিসহ একটি কো-ওয়ার্কিং স্পেস, বা একযোগে ইভেন্ট হোস্ট করা একটি কনফারেন্স সেন্টার - তাহলে আপনার প্রতিটি ট্যানেন্টের জন্য আলাদা SSID স্থাপন না করেই নেটওয়ার্ক আইসোলেশন প্রয়োজন। Huawei-এর PPSK ফিচার - Private Pre-Shared Key - এটি সমাধান করে। অন্যান্য ভেন্ডর ইকোসিস্টেমে এটিকে কখনও কখনও iPSK বলা হয়। ধারণাটি হলো: একটি SSID, একাধিক অনন্য পাসওয়ার্ড, প্রতিটি পাসওয়ার্ড একটি নির্দিষ্ট VLAN-এ ম্যাপ করা। ট্যানেন্ট A পায় পাসওয়ার্ড Alpha, যা VLAN 30-এ ম্যাপ করে। ট্যানেন্ট B পায় পাসওয়ার্ড Beta, যা VLAN 40-এ ম্যাপ করে। উভয় ট্যানেন্ট একই SSID দেখে, কিন্তু তারা Layer 2-এ সম্পূর্ণ আলাদা বা আইসোলেটেড থাকে। Huawei CLI-তে, আপনি ppsk-user কমান্ড ব্যবহার করে WLAN ভিউতে এটি কনফিগার করেন। প্রতিটি ট্যানেন্টের জন্য, আপনি রান করেন: ppsk-user psk pass-phrase, এরপর ইউনিক পাসফ্রেজ, তারপর user-name, ট্যানেন্ট আইডেন্টিফায়ার, তারপর vlan, VLAN ID, তারপর ssid, SSID-এর নাম। আরও কঠোর নিয়ন্ত্রণের প্রয়োজন হলে আপনি একটি এক্সপায়ারি ডেট, সর্বোচ্চ ডিভাইস সংখ্যা সেট করতে পারেন এবং নির্দিষ্ট MAC অ্যাড্রেসের সাথে বাইন্ড করতে পারেন। iMaster NCE-Campus-এ, PPSK লুকআপ কন্ট্রোলারে লোকালি হ্যান্ডেল করা যেতে পারে, অথবা - বড় আকারের স্থাপনার জন্য - RADIUS-এর মাধ্যমে। যখন RADIUS-ব্যাকড PPSK ব্যবহৃত হয়, তখন Purple হয়ে ওঠে PPSK-টু-VLAN ম্যাপিংয়ের প্রধান অথরিটি। একটি ট্যানেন্টের ডিভাইস তাদের ইউনিক পাসফ্রেজ দিয়ে কানেক্ট করে, কন্ট্রোলার ক্রেডেন্সিয়াল হিসাবে পাসফ্রেজ সহ Purple-এ একটি RADIUS Access-Request পাঠায়, Purple ম্যাপিংটি খুঁজে বের করে এবং তিনটি VLAN টানেল অ্যাট্রিবিউট সহ একটি Access-Accept রিটার্ন করে। কন্ট্রোলার ক্লায়েন্টকে সঠিক VLAN-এ নিয়ে যায়। এই আর্কিটেকচারটি একটি একক SSID-এ শত শত টেন্যান্টের জন্য স্কেল করে। এর মানে হল যে আপনি কন্ট্রোলার কনফিগারেশন স্পর্শ না করেই Purple ড্যাশবোর্ড থেকে টেন্যান্টের ক্রেডেনশিয়ালগুলি প্রোভিশন, রোটেট এবং রিভোক করতে পারবেন। পঞ্চম বিভাগ: বাস্তবায়নের ত্রুটিসমূহ এবং কীভাবে সেগুলি এড়িয়ে চলবেন। Huawei এবং Purple স্থাপনার ক্ষেত্রে আমি সাধারণত যে তিনটি ব্যর্থতার মোড দেখি সেগুলি আপনাকে বলি। প্রথমত: Walled Garden অসম্পূর্ণ। অতিথিরা SSID-এ হিট করেন, স্প্ল্যাশ পেজে রিডাইরেক্ট হন, কিন্তু পেজটি লোড হয় না কারণ একটি প্রয়োজনীয় ডোমেন - প্রায়শই একটি CDN এন্ডপয়েন্ট বা একটি সোশ্যাল লগইন API - প্রি-অথরাইজেশন ACL দ্বারা ব্লক করা থাকে। এর সমাধান হল লাইভ করার আগে একটি নতুন ডিভাইস থেকে স্প্ল্যাশ পেজ ফ্লো পরীক্ষা করা, এটি যে DNS কোয়েরি এবং HTTPS কানেকশন তৈরি করে তা ক্যাপচার করা এবং প্রতিটি প্রয়োজনীয় ডোমেন ACL-এ যোগ করা। Purple ইন্টিগ্রেশন ডকুমেন্টেশনে প্রয়োজনীয় ডোমেনগুলির একটি তালিকা প্রকাশ করে। দ্বিতীয়ত: RADIUS শেয়ার্ড সিক্রেট অমিল। iMaster NCE-Campus-এ কনফিগার করা সিক্রেটটি অবশ্যই Purple ড্যাশবোর্ডের সিক্রেটের সাথে হুবহু মিলতে হবে। একটি মাত্র অক্ষরের পার্থক্যের কারণেও সাইলেন্ট অথেনটিকেশন ফেইলর ঘটে - কন্ট্রোলার লগগুলিতে কোনো দরকারী ত্রুটি বার্তা ছাড়াই Access-Reject দেখায়। সবসময় সিক্রেটটি কপি-পেস্ট করুন, কখনোই ম্যানুয়ালি টাইপ করবেন না। তৃতীয়ত: VLAN ট্রাঙ্ক মিসকনফিগারেশন। RADIUS-এর মাধ্যমে ডায়নামিক VLAN অ্যাসাইনমেন্ট তখনই কাজ করে যখন VLAN-টি ইতিমধ্যেই অ্যাক্সেস পয়েন্ট এবং অ্যাগ্রিগেশন সুইচের মধ্যকার আপলিঙ্ক পোর্টে ট্রাঙ্ক করা থাকে। যদি VLAN 20 সুইচ ইন্টারফেসের ট্রাঙ্ক allow-pass তালিকায় না থাকে, তাহলে অথেনটিকেটেড স্টাফ ক্লায়েন্টরা একটি DHCP টাইমআউট পাবে এবং অথেনটিকেশন ব্যর্থ হয়েছে বলে মনে হবে। RADIUS-অ্যাসাইন করা VLAN পরীক্ষা করার আগে আপনার ট্রাঙ্ক কনফিগারেশনগুলি অডিট করুন। ষষ্ঠ বিভাগ: চটজলদি প্রশ্নোত্তর। প্রশ্ন: আমি কি Huawei-এর অন-প্রিমিসেস iMaster NCE-Campus ডেপ্লয়মেন্টের সাথে Purple-এর বিল্ট-ইন RADIUS ব্যবহার করতে পারি, ক্লাউড সংস্করণ নয়? হ্যাঁ। Purple-এর RADIUS সার্ভারগুলি ক্লাউড-হোস্টেড এবং ইন্টারনেটের মাধ্যমে অ্যাক্সেসযোগ্য। আপনার অন-প্রিমিসেস iMaster NCE-Campus কন্ট্রোলারের জন্য Purple-এর RADIUS IP রেঞ্জে আউটবাউন্ড UDP 1812 এবং 1813 প্রয়োজন। Purple ভেন্যু সেটিংসের অধীনে ড্যাশবোর্ডে এই IP রেঞ্জগুলি প্রকাশ করে। প্রশ্ন: Huawei PPSK কি WPA3-SAE সমর্থন করে? AirEngine ফার্মওয়্যার V600R025 অনুযায়ী, 6700 এবং 9700 সিরিজে WPA3-SAE-PPSK সমর্থিত। PPSK SSID-এ WPA3 সক্ষম করার আগে আপনার ফার্মওয়্যার সংস্করণটি পরীক্ষা করে নিন। প্রশ্ন: Huawei হার্ডওয়্যারে গেস্ট WiFi-এর জন্য Purple কীভাবে GDPR সম্মতি পরিচালনা করে? Purple-এর স্প্ল্যাশ পেজটি অথেনটিকেশনের সময় সম্মতি সংগ্রহ করে। সম্মতি রেকর্ডটি - যার মধ্যে টাইমস্ট্যাম্প, IP অ্যাড্রেস এবং গৃহীত নির্দিষ্ট শর্তাবলী অন্তর্ভুক্ত থাকে - Purple-এর প্ল্যাটফর্মে সংরক্ষিত হয় এবং কমপ্লায়েন্স অডিটের জন্য রপ্তানিযোগ্য। অন্তর্নিহিত হার্ডওয়্যার ভেন্ডর নির্বিশেষে এটি প্রযোজ্য। সপ্তম বিভাগ: সংক্ষিপ্তসার এবং পরবর্তী পদক্ষেপ। সংক্ষেপে বলতে গেলে: guest Captive Portal-এর জন্য RADIUS relay, কর্মীদের WiFi-এর জন্য 802.1X, এবং মাল্টি-টেন্যান্ট VLAN সেগমেন্টেশনের জন্য PPSK-এর মাধ্যমে Huawei AirEngine এবং iMaster NCE-Campus, Purple-এর সাথে ইন্টিগ্রেট হয়। এই কনফিগারেশনটি iMaster NCE-Campus-এ RADIUS এবং ACL সেটআপের জন্য Design, Network Design, Template Management-এর অধীনে এবং SSID ও অথেন্টিকেশন প্রোফাইল বাইন্ডিংয়ের জন্য Provision, Device Configuration, Site Configuration-এর অধীনে থাকে। আপনার পরবর্তী পদক্ষেপসমূহ: আপনার ভেন্যু ড্যাশবোর্ড থেকে Purple RADIUS ক্রেডেন্সিয়ালগুলো সংগ্রহ করুন, iMaster NCE-Campus-এ RADIUS রিলে সার্ভার টেমপ্লেটটি কনফিগার করুন, আপনার Walled Garden ACL তৈরি করুন, Open এবং Portal অথেন্টিকেশন সহ গেস্ট SSID তৈরি করুন, এবং ফিল্ডে চালু করার আগে একটি নতুন ডিভাইস দিয়ে এন্ড-টু-এন্ড পরীক্ষা করুন। আপনি যদি মাল্টি-টেন্যান্ট আইসোলেশনের জন্য PPSK ডিপ্লয় করেন, তবে প্রথমে আপনার VLAN স্কিমটি পরিকল্পনা করুন - একটি একক PPSK ইউজার কনফিগার করার আগেই প্রতিটি টেন্যান্ট VLAN যেন এন্ড-টু-এন্ড ট্রাঙ্কড থাকে তা নিশ্চিত করুন। CLI উদাহরণ এবং আর্কিটেকচার ডায়াগ্রাম সহ সম্পূর্ণ ধাপে ধাপে কনফিগারেশন গাইডের জন্য, Purple ওয়েবসাইটে সম্পূর্ণ লিখিত গাইডটি পড়ুন। শোনার জন্য ধন্যবাদ।

header_image.png

এক্সিকিউটিভ সামারি

এন্টারপ্রাইজ নেটওয়ার্কিংয়ের জন্য নির্ভরযোগ্য হার্ডওয়্যারের পাশাপাশি ইন্টেলিজেন্ট আইডেন্টিটি ম্যানেজমেন্ট প্রয়োজন। Huawei AirEngine অ্যাক্সেস পয়েন্ট এবং iMaster NCE-Campus কন্ট্রোলার হাই-ডেনসিটি কানেক্টিভিটি প্রদান করে, আর Purple অথেনটিকেশন, অ্যানালিটিক্স এবং পলিসি কার্যকর করার জন্য ক্লাউড ওভারলে প্রদান করে। এই গাইডটিতে একটি মাত্র Huawei কন্ট্রোলার ব্যবহার করে Guest WiFi , সুরক্ষিত Staff WiFi এবং মাল্টি-টেন্যান্ট WiFi মোতায়েন করার জন্য প্রয়োজনীয় ইন্টিগ্রেশন আর্কিটেকচারের বিস্তারিত বিবরণ দেওয়া হয়েছে।

Huawei CloudCampus-কে Purple-এর সাথে ইন্টিগ্রেট করার মাধ্যমে, আপনি ভিন্ন ভিন্ন অথেনটিকেশন সাইলোগুলোকে একটি ইউনিফাইড আইডেন্টিটি-বেসড নেটওয়ার্ক দিয়ে প্রতিস্থাপন করতে পারবেন। আমরা ৮০,০০০+ এরও বেশি লাইভ ভেন্যুতে কাজ করছি এবং ২০২৪ সালে ৪৪০ মিলিয়ন লগইন প্রসেস করেছি। আমাদের হার্ডওয়্যার-অ্যাগনস্টিক প্ল্যাটফর্মটি স্ট্যান্ডার্ড RADIUS এবং Captive Portal প্রোটোকলের মাধ্যমে Huawei-এর সাথে নেটিভভাবে ইন্টিগ্রেট হয়। এই ইন্টিগ্রেশনটি ভিজিটরদের জন্য সচেতন-পছন্দের অপ্ট-ইন, কর্মচারীদের জন্য 802.1X সার্টিফিকেট ভ্যালিডেশন এবং টেন্যান্টদের জন্য প্রাইভেট প্রি-শেয়ার্ড কি (PPSK) এর মাধ্যমে ডাইনামিক VLAN স্টিয়ারিং সক্ষম করে।

আপনি কোনো স্টেডিয়াম, ইউনিভার্সিটি ক্যাম্পাস বা রিটেইল চেইন পরিচালনা করুন না কেন, এই ডকুমেন্টটি আপনার ওয়্যারলেস এজ সুরক্ষিত করতে এবং স্কেলে ফার্স্ট-পার্টি ডেটা সংগ্রহ করতে প্রয়োজনীয় সঠিক কনফিগারেশন স্টেপ, RADIUS অ্যাট্রিবিউট এবং অ্যাক্সেস কন্ট্রোল লিস্ট প্রদান করে।

টেকনিক্যাল ব্রিফিং পডকাস্টটি শুনুন:

টেকনিক্যাল ডিপ-ডাইভ

এই ইন্টিগ্রেশনটি স্ট্যান্ডার্ড প্রোটোকলগুলোর উপর নির্ভর করে: অথেনটিকেশন এবং অ্যাকাউন্টিংয়ের জন্য RADIUS (UDP 1812/1813), এবং Captive Portal রিডাইরেকশনের জন্য HTTPS (TCP 443)। iMaster NCE-Campus নেটওয়ার্ক অ্যাক্সেস সার্ভার (NAS) এবং RADIUS রিলে হিসেবে কাজ করে, যা AirEngine অ্যাক্সেস পয়েন্ট থেকে অনুরোধগুলো Purple-এর ক্লাউড RADIUS ইনফ্রাস্ট্রাকচারে ফরোয়ার্ড করে।

আর্কিটেকচার ওভারভিউ

architecture_overview.png

Purple Huawei হার্ডওয়্যারে তিনটি প্রাথমিক অথেনটিকেশন মডেল সমর্থন করে:

  1. Guest WiFi (Captive Portal): অনঅথেনটিকেটেড ট্রাফিক Huawei কন্ট্রোলার দ্বারা ইন্টারসেপ্ট করা হয় এবং Purple-এর স্প্ল্যাশ পেজে রিডাইরেক্ট করা হয়। প্রি-অথেনটিকেশন অ্যাক্সেস একটি Walled Garden ACL দ্বারা সীমাবদ্ধ থাকে। সফল লগইনের পর, Purple একটি RADIUS Access-Accept পাঠায়, যা ক্লায়েন্টকে সম্পূর্ণ নেটওয়ার্ক অ্যাক্সেস প্রদান করে।
  2. Staff WiFi (802.1X): কর্মচারীরা EAP-PEAP বা EAP-TLS-এর মাধ্যমে কর্পোরেট ক্রেডেনশিয়াল ব্যবহার করে অথেনটিকেট করেন। Purple এই ক্রেডেনশিয়ালগুলো Microsoft Entra ID, Okta বা Google Workspace-এর মতো আইডেন্টিটি প্রোভাইডারদের বিপরীতে ভ্যালিডেট করে। ৩. মাল্টি-টেন্যান্ট WiFi (PPSK): টেন্যান্টরা ইউনিক পাসফ্রেজ ব্যবহার করে একটি একক শেয়ার্ড SSID-এর সাথে সংযোগ করে। Purple পাসফ্রেজটি যাচাই করে এবং টেন্যান্টকে তাদের আইসোলেটেড VLAN-এ ডাইনামিকভাবে চালিত করতে নির্দিষ্ট RADIUS অ্যাট্রিবিউট ফেরত পাঠায়।

Walled Garden এবং প্রাক-অথেনটিকেশন ACLs

একটি Captive Portal-এর জন্য একটি Walled Garden - একটি অ্যাক্সেস কন্ট্রোল লিস্ট (ACL) প্রয়োজন যা ব্যবহারকারীর অথেনটিকেশনের আগে প্রয়োজনীয় পরিষেবাগুলোতে ট্রাফিকের অনুমতি দেয়। Walled Garden অপূর্ণ থাকলে, স্প্ল্যাশ পেজটি লোড হতে ব্যর্থ হবে, যার ফলে ভিজিটর অভিজ্ঞতা খারাপ হবে।

Huawei iMaster NCE-Campus-এর জন্য, প্রাক-অথেনটিকেশন ACL-কে অবশ্যই নিম্নলিখিতগুলোর অনুমতি দিতে হবে:

  • DNS রেজোলিউশন (UDP 53)
  • Purple-এর Captive Portal ডোমেন (*.purpleportal.net, *.purple.ai)
  • স্প্ল্যাশ পেজের অ্যাসেট হোস্ট করা কন্টেন্ট ডেলিভারি নেটওয়ার্ক (CDNs)
  • সোশ্যাল লগইন (Apple, Google, Facebook) সক্রিয় থাকলে আইডেন্টিটি প্রোভাইডার ডোমেনসমূহ

Purple RADIUS Access-Accept ফেরত না দেওয়া পর্যন্ত অন্য সমস্ত ট্রাফিক অবশ্যই অস্বীকার করতে হবে।

ডাইনামিক VLAN স্টিয়ারিং এবং RADIUS অ্যাট্রিবিউট

নেটওয়ার্ক ট্রাফিক আইসোলেট করতে, Purple ডাইনামিক VLAN অ্যাসাইনমেন্ট ব্যবহার করে। একাধিক SSID ব্রডকাস্ট করার পরিবর্তে, আপনি একটি SSID ব্রডকাস্ট করেন এবং ব্যবহারকারীর আইডেন্টিটির উপর ভিত্তি করে ডাইনামিকভাবে VLAN অ্যাসাইন করেন।

যখন Purple কোনো ব্যবহারকারীকে অথেনটিকেট করে (802.1X বা PPSK-এর মাধ্যমে), এটি তিনটি বাধ্যতামূলক IETF স্ট্যান্ডার্ড RADIUS অ্যাট্রিবিউট সহ একটি Access-Accept প্যাকেট ফেরত পাঠায়:

  • Tunnel-Type = VLAN (অথবা ১৩)
  • Tunnel-Medium-Type = 802 (অথবা ৬)
  • Tunnel-Private-Group-ID = [VLAN ID]

Huawei কন্ট্রোলার এই অ্যাট্রিবিউটগুলো গ্রহণ করে এবং AirEngine অ্যাক্সেস পয়েন্টকে নির্দিষ্ট VLAN ID দিয়ে ক্লায়েন্টের ট্রাফিক ট্যাগ করার নির্দেশ দেয়।

ppsk_vlan_segmentation.png

ইমপ্লিমেন্টেশন গাইড

এই বিভাগে Purple ইন্টিগ্রেশনের জন্য iMaster NCE-Campus কনফিগার করার সঠিক ধাপগুলো কভার করা হয়েছে।

ধাপ ১: RADIUS রিলে সার্ভার কনফিগার করুন

প্রথমে, Purple-কে এক্সটার্নাল অথেনটিকেশন সার্ভার হিসেবে ডিফাইন করুন।

১. iMaster NCE-Campus-এ, Design > Network Design > Template Management-এ যান। ২. RADIUS Server নির্বাচন করুন এবং Create-এ ক্লিক করুন। ৩. Authentication service-টি Portal authentication-এ সেট করুন। ৪. Purple-এর প্রাইমারি এবং সেকেন্ডারি RADIUS IP অ্যাড্রেসগুলো লিখুন (যা আপনার Purple ড্যাশবোর্ডে উপলব্ধ)। ৫. অথেনটিকেশন পোর্ট ১৮১২ এবং অ্যাকাউন্টিং পোর্ট ১৮১৩ সেট করুন। ৬. Purple দ্বারা প্রদত্ত RADIUS Shared Secret লিখুন। ৭. NAS identifier-টি Device MAC-এ সেট করুন।

ধাপ ২: Walled Garden ACL তৈরি করুন

প্রাক-অথেনটিকেশন ট্রাফিকের অনুমতি দিতে ACL তৈরি করুন।

১. Design > Network Design > Template Management > ACL-এ যান। ২. Purple_Walled_Garden নামে একটি নতুন ACL তৈরি করুন। ৩. ACL Type-টি User-এ সেট করুন। ৪. DNS এবং Purple-এর প্রয়োজনীয় ডোমেনগুলোর জন্য (যেমন, *.purpleportal.net) পারমিট রুল যোগ করুন। ৫. ACL টেমপ্লেটটি সংরক্ষণ করুন।

ধাপ ৩: Captive Portal URL টেমপ্লেট কনফিগার করুন

Huawei-এর জন্য সাধারণ রিডাইরেক্ট প্যারামিটারগুলোকে Purple-এর প্রয়োজনীয় ফরম্যাটে ম্যাপ করতে একটি URL টেমপ্লেটের প্রয়োজন হয়।

  1. Design > Network Design > Template Management > URL Template-এ নেভিগেট করুন।
  2. Purple_URL_Template নামে একটি নতুন টেমপ্লেট তৈরি করুন।
  3. Template Type-টি Cloud platform-based relay authentication হিসেবে সেট করুন।
  4. প্যারামিটার ম্যাপিংটি ঠিক এইভাবে কনফিগার করুন:
    • redirect-url ম্যাপ হবে redirect-url-এ
    • loginurl ম্যাপ হবে login-url-এ
    • device-mac ম্যাপ হবে ap-mac-এ
    • user-ip ম্যাপ হবে uaddress-এ
    • user-mac ম্যাপ হবে umac-এ
    • ssid ম্যাপ হবে ssid-এ

ধাপ ৪: গেস্ট SSID প্রস্তুত করুন

RADIUS সার্ভার, ACL এবং URL টেমপ্লেটটি SSID-এর সাথে বাইন্ড করুন।

  1. Provision > Device Configuration > Site Configuration-এ নেভিগেট করুন।
  2. AP সিলেক্ট করুন এবং একটি নতুন SSID তৈরি করুন।
  3. Network Type-টি Open হিসেবে সেট করুন।
  4. Open+Portal authentication সিলেক্ট করুন।
  5. অথেন্টিকেশন টাইপটি Relay authentication by cloud platform হিসেবে সেট করুন।
  6. ইন্টারকানেকশন মোডটি RADIUS relay হিসেবে সেট করুন।
  7. আগে তৈরি করা Purple_URL_Template-টি সিলেক্ট করুন।
  8. থার্ড-পার্টি অথেন্টিকেশন URL ফিল্ডে আপনার ইউনিক Purple স্প্ল্যাশ পেজ URL-টি পেস্ট করুন।
  9. Purple RADIUS সার্ভার টেমপ্লেটটি সিলেক্ট করুন।
  10. ডিফল্ট পারমিট নিয়মের জন্য Purple_Walled_Garden ACL সিলেক্ট করুন।
  11. কনফিগারেশনটি সেভ করুন এবং AirEngine অ্যাক্সেস পয়েন্টগুলোতে ডিপ্লয় করুন।

সেরা অনুশীলনসমূহ (Best Practices)

একটি সুরক্ষিত এবং নির্ভরযোগ্য ডিপ্লয়মেন্ট নিশ্চিত করতে, এই ভেন্ডর-নিরপেক্ষ সেরা অনুশীলনগুলো অনুসরণ করুন:

  • কর্মীদের জন্য 802.1X ব্যবহার করুন: স্টাফ নেটওয়ার্কের জন্য কখনোই শেয়ারড PSK ব্যবহার করবেন না। ক্লায়েন্ট সার্টিফিকেট ইস্যু করতে Purple-এর SecurePass অ্যাড-অন ব্যবহার করে EAP-TLS সহ 802.1X ডিপ্লয় করুন। এটি পাসওয়ার্ড-ভিত্তিক ফিশিংয়ের ঝুঁকি দূর করে এবং ISO 27001-এর প্রয়োজনীয়তাগুলোর সাথে সামঞ্জস্যপূর্ণ।
  • SSID-এর সংখ্যা সীমিত করুন: অতিরিক্ত SSID ব্রডকাস্ট করলে ম্যানেজমেন্ট ফ্রেম ওভারহেডের কারণে এয়ারটাইম কার্যকারিতা হ্রাস পায়। মাল্টি-টেন্যান্ট নেটওয়ার্কগুলোকে একটি একক SSID-এ একীভূত করতে PPSK এবং ডাইনামিক VLAN স্টিয়ারিং ব্যবহার করুন।
  • ট্রাঙ্ক কনফিগারেশন যাচাই করুন: অ্যাসাইন করা VLAN-টি যদি অ্যাক্সেস পয়েন্টের সাথে সংযুক্ত সুইচ ট্রাঙ্ক পোর্টে অনুমোদিত না থাকে, তবে ডাইনামিক VLAN অ্যাসাইনমেন্ট কোনো ত্রুটি না দেখিয়েই ব্যর্থ হয়। RADIUS স্টিয়ারিং পরীক্ষা করার আগে সর্বদা সুইচপোর্ট কনফিগারেশন নিরীক্ষা করুন।
  • RADIUS লেটেন্সি মনিটর করুন: অথেন্টিকেশন টাইমআউট সাধারণত WAN লেটেন্সির কারণে ঘটে। আপনার iMaster NCE-Campus কন্ট্রোলারের যাতে Purple-এর আঞ্চলিক RADIUS ইনফ্রাস্ট্রাকচারের সাথে একটি লো-লেটেন্সি পাথ থাকে তা নিশ্চিত করুন।

ট্রাবলশুটিং ও ঝুঁকি প্রশমন

এন্টারপ্রাইজ কন্ট্রোলারের সাথে ক্লাউড RADIUS ইন্টিগ্রেট করার সময় সাধারণত তিনটি ক্ষেত্রে সমস্যা দেখা দেয়: Walled Garden, RADIUS শেয়ারড সিক্রেট, অথবা VLAN ট্রাঙ্কিং।

স্প্ল্যাশ পেজ লোড হতে ব্যর্থ হচ্ছে

লক্ষণ: একটি ডিভাইস গেস্ট WiFi-এর সাথে সংযুক্ত হচ্ছে, কিন্তু ব্রাউজারটি Purple স্প্ল্যাশ পেজের পরিবর্তে একটি টাইমআউট ত্রুটি প্রদর্শন করছে। মূল কারণ: Walled Garden ACL-টি অসম্পূর্ণ, যা Purple-এর পোর্টাল ডোমেইন বা প্রয়োজনীয় CDN-এ অ্যাক্সেস ব্লক করছে।Mitigation: SSID-এর সাথে একটি টেস্ট ডিভাইস সংযুক্ত করুন। purpleportal.net-এ পিং করার চেষ্টা করুন। পিং ব্যর্থ হলে, iMaster NCE-Campus ACL কনফিগারেশন পর্যালোচনা করুন এবং নিশ্চিত করুন যে এটি SSID-এর প্রাক-অথেনটিকেশন স্টেটে প্রয়োগ করা হয়েছে।

নীরব অথেনটিকেশন ব্যর্থতা

Symptom: একজন ব্যবহারকারী সঠিক ক্রেডেনশিয়াল প্রবেশ করান, কিন্তু কোনো ত্রুটির বার্তা ছাড়াই সংযোগটি বিচ্ছিন্ন হয়ে যায়। Root Cause: iMaster NCE-Campus এবং Purple-এর মধ্যে RADIUS শেয়ার্ড সিক্রেটের অমিল। Mitigation: সরাসরি Purple ড্যাশবোর্ড থেকে শেয়ার্ড সিক্রেটটি কপি করুন এবং এটি Huawei RADIUS সার্ভার টেমপ্লেটে পেস্ট করুন। একটিমাত্র অতিরিক্ত স্পেস RADIUS প্যাকেটে ব্যবহৃত MD5 হ্যাশটিকে নষ্ট করে দেবে।

অথেনটিকেশনের পর DHCP টাইমআউট

Symptom: একজন স্টাফ মেম্বার 802.1X-এর মাধ্যমে সফলভাবে অথেনটিকেট হন, কিন্তু ডিভাইসটি একটি বৈধ IP-এর পরিবর্তে 169.254.x.x APIPA অ্যাড্রেস গ্রহণ করে। Root Cause: Purple সফলভাবে RADIUS-এর মাধ্যমে একটি ডাইনামিক VLAN অ্যাসাইন করেছে, কিন্তু সেই VLANটি AirEngine অ্যাক্সেস পয়েন্টে ট্রাঙ্ক করা হয়নি। Mitigation: অ্যাক্সেস সুইচে লগ ইন করুন এবং যাচাই করুন যে port trunk allow-pass vlan কমান্ডটিতে AP-এর সাথে সংযুক্ত ইন্টারফেসে টার্গেট VLAN ID অন্তর্ভুক্ত রয়েছে।

ROI এবং ব্যবসায়িক প্রভাব

Purple-এর সাথে Huawei AirEngine স্থাপন করা একটি স্ট্যান্ডার্ড নেটওয়ার্ক ইনফ্রাস্ট্রাকচারকে একটি পরিমাপযোগ্য ব্যবসায়িক সম্পদে রূপান্তর করে।

Retail অপারেটরদের জন্য, এই ইন্টিগ্রেশন ক্রেতাদের কাছ থেকে ফার্স্ট-পার্টি ডেটা সংগ্রহ করে, যা টার্গেটেড মার্কেটিং ক্যাম্পেইন পরিচালনা করতে সাহায্য করে যা ফুটফল বাড়ায় এবং গড় লেনদেনের মূল্য বৃদ্ধি করে। Purple-এর WiFi Analytics ড্যাশবোর্ড হিটম্যাপ এবং ডোয়েল-টাইম মেট্রিক্স প্রদান করে, যার ফলে ভেন্যু ম্যানেজাররা প্রকৃত ভিজিটরদের আচরণের উপর ভিত্তি করে স্টোরের লেআউট অপ্টিমাইজ করতে পারেন।

Hospitality পরিবেশে, OpenRoaming বা Passpoint-এর মাধ্যমে স্বয়ংক্রিয় অথেনটিকেশন ম্যানুয়াল লগইনের ঝামেলা দূর করে, যা গেস্টদের সন্তুষ্টির স্কোর বাড়িয়ে দেয়। মাল্টি-টেন্যান্ট বিল্ডিংয়ের ক্ষেত্রে, PPSK ডাইনামিক VLAN স্টিয়ারিং প্রতিটি নতুন টেন্যান্টের জন্য আলাদা SSID ম্যানুয়ালি প্রোভিশন এবং পরিচালনা করার প্রয়োজনীয়তা দূর করে IT ওভারহেড হ্রাস করে।

একটি একক হার্ডওয়্যার প্ল্যাটফর্মে গেস্ট এনগেজমেন্ট, স্টাফ সিকিউরিটি এবং টেন্যান্ট আইসোলেশনকে একত্রিত করার মাধ্যমে, প্রতিষ্ঠানগুলো তাদের Huawei CloudCampus ইনভেস্টমেন্টের রিটার্ন সর্বোচ্চ করতে পারে।

মূল সংজ্ঞাসমূহ

iMaster NCE-Campus

Huawei-এর ক্লাউড-ভিত্তিক বা অন-প্রিমিস নেটওয়ার্ক অটোমেশন এবং ম্যানেজমেন্ট প্ল্যাটফর্ম।

IT টিমগুলো SSID কনফিগার করতে, AirEngine AP-তে পলিসি পুশ করতে এবং Purple-এ RADIUS রিলে সেট আপ করতে এটিকে সেন্ট্রাল কন্ট্রোলার হিসেবে ব্যবহার করে।

PPSK (Private Pre-Shared Key)

একটি সিকিউরিটি ফিচার যা একটি মাত্র SSID-তে একাধিক ইউনিক পাসওয়ার্ড ব্যবহারের অনুমতি দেয়, যেখানে প্রতিটি পাসওয়ার্ড ব্যবহারকারীকে একটি নির্দিষ্ট নেটওয়ার্ক পলিসি বা VLAN-এর সাথে যুক্ত করে।

মাল্টি-টেন্যান্ট এনভায়রনমেন্টের (যেমন কো-ওয়ার্কিং স্পেস বা রিটেইল পার্ক) জন্য অপরিহার্য যেখানে টেন্যান্টদের ডজন ডজন SSID ব্রডকাস্ট না করেই আইসোলেটেড নেটওয়ার্কের প্রয়োজন হয়।

Dynamic VLAN Steering

ডিভাইসটি কোন SSID-তে কানেক্ট হয়েছে তার পরিবর্তে এর অথেন্টিকেটেড আইডেন্টিটির উপর ভিত্তি করে একটি নির্দিষ্ট ভার্চুয়াল লোকাল এরিয়া নেটওয়ার্ক (VLAN)-এ ডিভাইসটিকে অ্যাসাইন করার প্রক্রিয়া।

একই ফিজিক্যাল অ্যাক্সেস পয়েন্টে কানেক্ট করা একজন ম্যানেজার, ক্যাশিয়ার এবং গেস্ট যেন সম্পূর্ণ আলাদা, সুরক্ষিত নেটওয়ার্ক সেগমেন্টে থাকেন তা নিশ্চিত করতে এটি Purple দ্বারা ব্যবহৃত হয়।

Walled Garden

আন-অথেন্টিকেটেড ব্যবহারকারীদের উপর প্রয়োগ করা একটি অ্যাক্সেস কন্ট্রোল লিস্ট (ACL), যা শুধুমাত্র লগইন প্রক্রিয়া সম্পন্ন করার জন্য প্রয়োজনীয় নির্দিষ্ট IP অ্যাড্রেস বা ডোমেনে অ্যাক্সেসের অনুমতি দেয়।

যদি Walled Garden ভুলভাবে কনফিগার করা হয়, তবে গেস্টরা Purple স্প্ল্যাশ পেজের পরিবর্তে একটি ফাঁকা স্ক্রিন বা টাইমআউট এরর দেখতে পাবেন।

RADIUS Relay

এমন একটি কনফিগারেশন যেখানে লোকাল নেটওয়ার্ক কন্ট্রোলার অ্যাক্সেস পয়েন্ট থেকে অথেন্টিকেশন রিকোয়েস্টগুলো একটি এক্সটার্নাল RADIUS সার্ভারে ফরোয়ার্ড করে।

Huawei iMaster NCE-Campus রিলে হিসেবে কাজ করে, যা যাচাইকরণের জন্য ভেন্যু থেকে ক্রিডেনশিয়ালগুলো নিরাপদে Purple-এর ক্লাউড ইনফ্রাস্ট্রাকচারে পাঠিয়ে দেয়।

802.1X

পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের জন্য একটি IEEE স্ট্যান্ডার্ড যা LAN বা WLAN-এ যুক্ত হতে চাওয়া ডিভাইসগুলোকে একটি অথেন্টিকেশন মেকানিজম প্রদান করে।

স্টাফ WiFi-এর জন্য এন্টারপ্রাইজ স্ট্যান্ডার্ড। এটি শেয়ার্ড পাসওয়ার্ডকে ব্যক্তিগত ব্যবহারকারীর ক্রিডেনশিয়াল বা ডিজিটাল সার্টিফিকেট দ্বারা প্রতিস্থাপন করে।

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security। একটি 802.1X অথেন্টিকেশন পদ্ধতি যা পাসওয়ার্ডের পরিবর্তে ক্লায়েন্ট এবং সার্ভার সার্টিফিকেটের উপর নির্ভর করে।

বর্তমানে উপলব্ধ সবচেয়ে সুরক্ষিত অথেন্টিকেশন পদ্ধতি। ফিশিংয়ের ঝুঁকি দূর করতে Purple-এর SecurePass এই সার্টিফিকেটগুলো কর্মীদের ডিভাইসে ইস্যু করে।

Captive Portal

একটি ওয়েব পেজ যা কোনো পাবলিক-অ্যাক্সেস নেটওয়ার্কের ব্যবহারকারীকে অ্যাক্সেস পাওয়ার আগে দেখতে এবং ইন্টারঅ্যাক্ট করতে হয়।

ভেন্যু ভিজিটরদের কাছ থেকে ফার্স্ট-পার্টি ডেটা এবং সম্মতি নেওয়ার জন্য Purple যে প্রাথমিক মেকানিজম ব্যবহার করে তা হলো Captive Portal।

সমাধানকৃত উদাহরণসমূহ

একটি ২০০-রুমের হোটেলের অতিথি, কর্মী এবং লবিতে পরিচালিত একটি তৃতীয় পক্ষের কফি শপের জন্য নিরাপদ, বিচ্ছিন্ন WiFi প্রদান করা প্রয়োজন, যাতে এয়ারটাইম বাঁচানোর জন্য কেবল দুটি SSID ব্যবহার করা হয়।

Purple-এর captive portal-কে নির্দেশ করে একটি Open+Portal প্রমাণীকরণ পলিসি সহ কনফিগার করা 'Hotel_Guest' নামক একটি SSID স্থাপন করুন। WPA3-Enterprise এবং 802.1X প্রমাণীকরণ সহ কনফিগার করা 'Hotel_Secure' নামক একটি দ্বিতীয় SSID স্থাপন করুন। কর্মীরা EAP-TLS-এর মাধ্যমে প্রমাণীকরণ করবেন এবং Purple একটি RADIUS অ্যাট্রিবিউট ফেরত দেবে যা তাদের VLAN 20-এ অ্যাসাইন করবে। কফি শপটি একই 'Hotel_Secure' SSID-এ PPSK ব্যবহার করবে; তারা একটি অনন্য পাসফ্রেজ প্রবেশ করাবে এবং Purple একটি RADIUS অ্যাট্রিবিউট ফেরত দেবে যা তাদের VLAN 30-এ অ্যাসাইন করবে।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি SSID ওভারহেড সীমিত করে RF পারফরম্যান্সকে অপ্টিমাইজ করে। Purple-কে কেন্দ্রীয় RADIUS অথরিটি হিসেবে ব্যবহার করে, হোটেলটি অতিরিক্ত হার্ডওয়্যার বা জটিল কন্ট্রোলার-সাইড রাউটিং স্থাপন না করেই কর্মী এবং ভাড়াটেদের মধ্যে সম্পূর্ণ Layer 2 আইসোলেশন অর্জন করে।

একটি বড় রিটেইল চেইন Huawei AirEngine-এ স্থানান্তরিত হচ্ছে এবং আধুনিক স্মার্টফোনগুলিতে নিরাপত্তা সতর্কতা ট্রিগার না করে সমস্ত স্টোর জুড়ে তাদের বিদ্যমান Purple স্প্ল্যাশ পেজ সঠিকভাবে লোড হওয়া নিশ্চিত করা প্রয়োজন।

প্রয়োজনীয় প্যারামিটারগুলি (ap-mac, uaddress, umac, ssid, redirect-url) সঠিকভাবে ম্যাপ করতে iMaster NCE-Campus URL টেমপ্লেট কনফিগার করুন। একটি ব্যাপক Walled Garden ACL তৈরি করুন যা Purple-এর ডোমেইন এবং যেকোনো প্রয়োজনীয় সোশ্যাল লগইন API-তে DNS (UDP 53) এবং HTTPS (TCP 443) ট্রাফিকের অনুমতি দেয়। কন্ট্রোলারটি যাতে HTTP ট্রাফিক ইন্টারসেপ্ট করে এবং এটিকে HTTPS স্প্ল্যাশ পেজে রিডাইরেক্ট করে তা নিশ্চিত করুন।

পরীক্ষকের মন্তব্য: আধুনিক OS ইমপ্লিমেন্টেশনগুলি (iOS, Android) কঠোর captive portal সনাক্তকরণ মেকানিজম ব্যবহার করে। যদি Walled Garden প্রয়োজনীয় CDN ব্লক করে বা রিডাইরেক্টটি যদি অবৈধ SSL সার্টিফিকেটের উপর নির্ভর করে, তবে OS সংযোগটি বিচ্ছিন্ন করে দেবে। নির্বিঘ্ন ব্যবহারকারীর অভিজ্ঞতার জন্য সুনির্দিষ্ট ACL কনফিগারেশন অত্যন্ত গুরুত্বপূর্ণ।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনি iMaster NCE-Campus-এ Guest SSID এবং Walled Garden ACL কনফিগার করেছেন। আপনি যখন কানেকশন টেস্ট করেন, আপনার ফোনটি Captive Portal সনাক্ত করে, কিন্তু স্ক্রিনটি ফাঁকা থাকে। এর সবচেয়ে সম্ভাব্য কারণ কী?

ইঙ্গিত: একটি ক্লাউড প্ল্যাটফর্মে হোস্ট করা একটি আধুনিক ওয়েব পেজ লোড করার জন্য ডিভাইসের কী প্রয়োজন তা বিবেচনা করুন।

মডেল উত্তর দেখুন

Walled Garden ACL-এ সম্ভবত প্রয়োজনীয় ডোমেনের জন্য পারমিট রুলের ঘাটতি রয়েছে। নির্দিষ্টভাবে, DNS (UDP 53) পারমিট করা থাকতে হবে, সাথে Purple-এর পোর্টাল ডোমেন এবং পেজের অ্যাসেট হোস্ট করা যেকোনো কনটেন্ট ডেলিভারি নেটওয়ার্ক (CDNs)-এ HTTPS অ্যাক্সেস থাকতে হবে। যদি সোশ্যাল লগইন সক্রিয় থাকে, তবে সেই নির্দিষ্ট API এন্ডপয়েন্টগুলোকেও প্রি-অথেন্টিকেশন পারমিট করতে হবে।

Q2. আপনার PPSK নেটওয়ার্ক ব্যবহার করে একজন ভাড়াটে (tenant) অভিযোগ করছেন যে তারা ইন্টারনেট পাচ্ছেন না। আপনি iMaster NCE-Campus লগ পরীক্ষা করে দেখেছেন যে Purple, Tunnel-Private-Group-ID সেট করে 40 সহ একটি RADIUS Access-Accept রিটার্ন করেছে। তবে, ক্লায়েন্ট ডিভাইসের IP অ্যাড্রেস হলো 169.254.x.x। কনফিগারেশন ত্রুটিটি কী?

ইঙ্গিত: অথেন্টিকেশন সফল হয়েছে, কিন্তু এজে (edge) নেটওয়ার্ক রাউটিং ব্যর্থ হয়েছে।

মডেল উত্তর দেখুন

Huawei AirEngine অ্যাক্সেস পয়েন্টটিকে নেটওয়ার্কের সাথে সংযুক্তকারী সুইচপোর্টটি VLAN 40 ট্রাঙ্ক করার জন্য কনফিগার করা নেই। যদিও Purple সফলভাবে ব্যবহারকারীকে অথরাইজড করেছে এবং কন্ট্রোলার AP-কে VLAN 40 দিয়ে ট্রাফিক ট্যাগ করার নির্দেশ দিয়েছে, আপস্ট্রিম সুইচটি প্যাকেটগুলো ড্রপ করেছে কারণ VLAN ট্রাঙ্কে পারমিট করা নেই। আপনাকে অ্যাক্সেস সুইচের ট্রাঙ্ক অ্যালাউ-পাস লিস্টে VLAN 40 যোগ করতে হবে।

Q3. আপনি একটি লেগ্যাসি কন্ট্রোলার থেকে Huawei iMaster NCE-Campus-এ মাইগ্রেট করছেন। আপনি RADIUS সার্ভার টেমপ্লেটটি ঠিক আগের সিস্টেমের মতো কনফিগার করেছেন, কিন্তু সমস্ত অথেন্টিকেশন অনুরোধ কোনো ত্রুটি বার্তা ছাড়াই ব্যর্থ হচ্ছে। আপনার প্রথমে কী পরীক্ষা করা উচিত?

ইঙ্গিত: RADIUS-এ নীরব ব্যর্থতা (silent failures) সাধারণত একটি ক্রিপ্টোগ্রাফিক অমিল নির্দেশ করে।

মডেল উত্তর দেখুন

RADIUS Shared Secret যাচাই করুন। iMaster NCE-Campus-এ কনফিগার করা সিক্রেটটি যদি Purple ড্যাশবোর্ডের সিক্রেটের সাথে পুরোপুরি না মেলে, তবে RADIUS প্যাকেটগুলো ডিক্রিপ্ট করা যাবে না, যার ফলে কোনো স্পষ্ট ত্রুটি কোড ছাড়াই নীরব ব্যর্থতা বা Access-Reject বার্তা আসে। সিক্রেটটি কপি করার সময় কোনো ট্রেইলিং স্পেস (trailing spaces) নেই তা নিশ্চিত করুন।

এই সিরিজে পড়া চালিয়ে যান

Purple WiFi-এর সাথে CommScope Ruckus ইন্টিগ্রেশন: সেটআপ এবং কনফিগারেশন গাইড

এই টেকনিক্যাল রেফারেন্স গাইডটি Purple WiFi-এর সাথে CommScope Ruckus আর্কিটেকচার ইন্টিগ্রেট করার জন্য একটি নির্ভরযোগ্য কনফিগারেশন প্লেবুক প্রদান করে। এটি গেস্ট WiFi Captive Portal, 802.1X-এর মাধ্যমে সিকিউর স্টাফ WiFi এবং Ruckus ডাইনামিক PSK ব্যবহার করে মাল্টি-টেন্যান্ট নেটওয়ার্ক আইসোলেশনের জন্য ধাপে ধাপে ডেপ্লয়মেন্টের বিবরণ দেয়।

গাইডটি পড়ুন →

Purple WiFi-এর সাথে Allied Telesis Access Points ইন্টিগ্রেশন

এই গাইডটি Purple WiFi-এর সাথে Allied Telesis TQ-Series access points ইন্টিগ্রেট করার জন্য একটি ব্যাপক কনফিগারেশন প্লেবুক প্রদান করে। এটি নিরাপদ মাল্টি-টেন্যান্ট ডেপ্লয়মেন্টের জন্য এক্সটার্নাল Captive Portal রিডাইরেকশন, 802.1X RADIUS অথেন্টিকেশন এবং প্রাইভেট প্রি-শেয়ার্ড কি (PPSK) ব্যবহার করে ডাইনামিক VLAN স্টিয়ারিং কভার করে।

গাইডটি পড়ুন →

Purple WiFi-এর সাথে Grandstream GWN Access Points-এর ইন্টিগ্রেশন

এই নির্ভরযোগ্য প্রযুক্তিগত রেফারেন্স গাইডটিতে Grandstream GWN access points-এর সাথে Purple-এর Guest WiFi এবং অ্যানালিটিক্স প্ল্যাটফর্ম কীভাবে ইন্টিগ্রেট করতে হয় তা বিস্তারিতভাবে আলোচনা করা হয়েছে। এতে Grandstream captive portal কনফিগারেশন, RADIUS AAA সেটিংস, walled garden সেটআপ, ডাইনামিক VLAN স্টিয়ারিং সহ সুরক্ষিত স্টাফ 802.1X অথেন্টিকেশন এবং মাল্টি-টেন্যান্ট PPSK সেগমেন্টেশন অন্তর্ভুক্ত রয়েছে - যা স্কেলে গেস্ট এবং স্টাফ WiFi স্থাপনকারী MSP এবং IT টিমগুলোর জন্য কার্যকর, ধাপে ধাপে নির্দেশিকা প্রদান করে।

গাইডটি পড়ুন →