মূল কন্টেন্টে যান
বাংলা

Purple WiFi-এর সাথে WatchGuard Firebox ইন্টিগ্রেশন: সেটআপ এবং কনফিগারেশন গাইড

এই গাইডটি WatchGuard Firebox এবং অ্যাক্সেস পয়েন্টের সাথে Purple মোতায়েনকারী IT ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য একটি ধাপে ধাপে ইন্টিগ্রেশন প্লেবুক। এটি গেস্ট WiFi-এর জন্য এক্সটার্নাল Captive Portal রিডাইরেকশন, স্টাফ WiFi-এর জন্য সুরক্ষিত 802.1X অথেন্টিকেশন এবং ডাইনামিক VLAN স্টিয়ারিং সহ WatchGuard Private Pre-Shared Keys (PPSK) ব্যবহার করে মাল্টি-টেন্যান্ট সেগমেন্টেশন কভার করে - যা আপনাকে সমস্ত অ্যাক্সেস টিয়ার জুড়ে একটি একক, ইউনিফাইড আর্কিটেকচার প্রদান করে।

📖 8 মিনিট পাঠ📝 1,854 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 10 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
ইন্টিগ্রেশন ব্রিফিংয়ে আপনাকে স্বাগতম। আজ আমরা Purple WiFi-এর সাথে WatchGuard Firebox এবং Access Point ইন্টিগ্রেশন কভার করছি। এটি আইটি ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং ভেন্যু অপারেশন ডিরেক্টরদের জন্য একটি টেকনিক্যাল প্লেবুক, যাদের নিরাপদ ও স্কেলযোগ্য ওয়্যারলেস অবকাঠামো স্থাপন করতে হবে। আমরা Guest WiFi captive portals, 802.1X ব্যবহার করে Secure Staff WiFi এবং WatchGuard Private Pre-Shared Keys বা PPSK ব্যবহার করে Multi-Tenant সেগমেন্টেশন দেখব। চলুন সরাসরি প্রসঙ্গে চলে যাই। আপনি যখন কোনো জটিল ভেন্যু পরিচালনা করছেন, যেমন একটি স্টেডিয়াম, একটি বড় রিটেল সেন্টার বা একটি মাল্টি-ডুয়েলিং ইউনিট, তখন নেটওয়ার্কে কে অ্যাক্সেস করছে এবং সংযুক্ত হওয়ার পরে তারা কী করতে পারছে তার উপর আপনার সুনির্দিষ্ট নিয়ন্ত্রণ প্রয়োজন। মার্কেটিং রেভিনিউ বাড়াতে আপনাকে ফার্স্ট-পার্টি ডেটাও সংগ্রহ করতে হবে। WatchGuard ইউনিফাইড সিকিউরিটি প্ল্যাটফর্ম এবং হার্ডওয়্যার প্রদান করে। Purple ক্লাউড ওভারলে, আইডেন্টিটি ম্যানেজমেন্ট এবং অ্যানালিটিক্স প্রদান করে। এই দুটিকে ইন্টিগ্রেট করার মাধ্যমে, আপনি আইডেন্টিটি-ভিত্তিক অ্যাক্সেস কন্ট্রোল স্বয়ংক্রিয় করতে পারেন। আপনি আলাদা গেস্ট এবং স্টাফ গেটওয়ের প্রয়োজনীয়তা দূর করতে পারেন, যা হার্ডওয়্যার খরচ কমায় এবং পরিচালনা সহজ করে। Purple বর্তমানে ৮০,০০০-এরও বেশি লাইভ ভেন্যুতে পরিষেবা দিচ্ছে এবং শুধুমাত্র ২০২৪ সালেই ৪৪০ মিলিয়ন লগইন প্রসেস করেছে, তাই প্ল্যাটফর্মটি আপনার পরিচালনা করা যেকোনো ভেন্যুর স্কেল পরিচালনা করার জন্য তৈরি করা হয়েছে। চলুন টেকনিক্যাল ডিপ-ডাইভের দিকে এগিয়ে যাই। আর্কিটেকচারটি স্ট্যান্ডার্ড RADIUS প্রোটোকল এবং HTTP রিডাইরেকশনের উপর নির্ভর করে। আমাদের তিনটি প্রধান অ্যাক্সেস টিয়ার রয়েছে। প্রথমত, Guest WiFi। এটি একটি ওপেন SSID। WatchGuard AP মূলত HTTP রিকোয়েস্টগুলো ইন্টারসেপ্ট করে এবং ব্যবহারকারীকে Purple-এর হোস্ট করা স্প্ল্যাশ পেজে রিডাইরেক্ট করে। দ্বিতীয়ত, Staff WiFi। এটি 802.1X ব্যবহার করে একটি সুরক্ষিত WPA3-Enterprise SSID। ডিভাইসগুলো EAP-TLS বা PEAP ব্যবহার করে সরাসরি Purple-এর RADIUS সার্ভারের মাধ্যমে অথেন্টিকেট করে। তৃতীয়ত, Multi-Tenant WiFi। এটি WatchGuard PPSK ব্যবহার করে। একাধিক ব্যবহারকারী একটি একক SSID-এ সংযুক্ত হন, তবে প্রত্যেকে একটি অনন্য পাসওয়ার্ড ব্যবহার করেন। WatchGuard AP মূলত Purple-এর RADIUS সার্ভারকে কোয়েরি করে, যা পরে সেই নির্দিষ্ট কী-এর উপর ভিত্তি করে ডাইনামিকভাবে একটি VLAN অ্যাসাইন করে। তাহলে, আমরা কীভাবে Guest WiFi captive portal কনফিগার করব? প্রথম ধাপ হলো WatchGuard Cloud বা Firebox Policy Manager-এ RADIUS সার্ভার সেট আপ করা। আপনি প্রাইমারি RADIUS সার্ভারটিকে আপনার অঞ্চলের জন্য নির্ধারিত Purple-এর IP অ্যাড্রেসে নির্দেশ করুন। অথেন্টিকেশন পোর্ট ১৮১২-এ এবং অ্যাকাউন্টিং পোর্ট ১৮১৩-এ হয়। আপনি Purple দ্বারা প্রদত্ত শেয়ার্ড সিক্রেটটি প্রবেশ করান এবং অত্যন্ত গুরুত্বপূর্ণভাবে, নিশ্চিত করুন যে NAS ID যেন Firebox বা AP-এর MAC অ্যাড্রেসের সাথে মেলে। এটি Purple-কে জানায় যে রিকোয়েস্টটি কোন ভেন্যু থেকে আসছে। দ্বিতীয় ধাপ হলো captive portal রিডাইরেকশন। SSID সেটিংসে, আপনি Third-Party Hosted Captive Portal with RADIUS Authentication নির্বাচন করুন। আপনি Purple স্প্ল্যাশ পেজের URL এবং portal শেয়ার্ড সিক্রেটটি প্রবেশ করান। এটি Purple Analyze ড্যাশবোর্ডে জেনারেট করা একটি নির্দিষ্ট সিক্রেট এবং এটি অথেন্টিকেশন রিকোয়েস্টগুলো যাচাই করতে একটি HMAC ডাইজেস্ট তৈরি করতে ব্যবহৃত হয়। HMAC-SHA1 অ্যালগরিদম নিশ্চিত করে যে Purple থেকে আসা অথেন্টিকেশন সফলতার বার্তাটি আসল এবং ট্রানজিটের সময় এতে কোনো পরিবর্তন করা হয়নি।ধাপ তিন, এবং এখানেই অনেক ডেপ্লয়মেন্টে সমস্যা দেখা দেয়, তা হলো Walled Garden। আপনি যদি এটি কনফিগার না করেন, তবে ডিভাইসটি স্প্ল্যাশ পেজ লোড করতে পারবে না। লগইন করার আগে আপনাকে অবশ্যই *.mypurple.com, api.mypurple.com, এবং cdn.mypurple.com-এ অ্যাক্সেস অনুমোদন করতে হবে। আপনি যদি Microsoft Entra ID বা Google Workspace-এর মতো সোশ্যাল লগইন ব্যবহার করেন, তবে আপনাকে সেই আইডেন্টিটি প্রোভাইডার ডোমেনগুলোও যোগ করতে হবে। Walled Garden-কে প্রি-অথেন্টিকেশন লবি হিসেবে বিবেচনা করুন। এটি ছাড়া, গেস্ট এমনকি সদর দরজা পর্যন্তও পৌঁছাতে পারবেন না। এবার, WatchGuard PPSK-এর মাধ্যমে Multi-Tenant সেগমেন্টেশন দেখে নেওয়া যাক। আপনি যদি ১৫টি দোকান বিশিষ্ট একটি রিটেল সেন্টার পরিচালনা করেন, তবে ১৫টি ভিন্ন SSID ব্রডকাস্ট করা একটি দুর্বল পদ্ধতি। এটি কো-চ্যানেল ইন্টারফারেন্স ঘটায়, এয়ারস্পেসকে বিশৃঙ্খল করে তোলে এবং ম্যানেজমেন্ট ওভারহেড তৈরি করে। PPSK অত্যন্ত দক্ষতার সাথে এই সমস্যার সমাধান করে। আপনি একটিমাত্র SSID ব্রডকাস্ট করবেন, ধরুন Centre-Retail। আপনি WatchGuard SSID সেটিংসে Private Pre-Shared Key সক্ষম করবেন, যার জন্য আপনার WatchGuard Access Point-গুলোতে ফার্মওয়্যার সংস্করণ ২.৬ বা তার বেশি প্রয়োজন। Purple-এ, আপনি প্রতিটি টেন্যান্টের জন্য একটি করে ইউনিক কি তৈরি করবেন। ট্রাফিক আলাদা করতে, আপনি Dynamic VLAN Assignment ব্যবহার করবেন। WatchGuard Cloud-এ, আপনি VLAN-কে Dynamic VLAN assigned by RADIUS হিসেবে সেট করবেন। যখন কোনো দোকান তাদের নির্দিষ্ট কি ব্যবহার করে একটি ডিভাইস সংযুক্ত করে, তখন AP-টি Purple-এর RADIUS সার্ভারে একটি Access-Request পাঠায়। Purple কি-টি যাচাই করে এবং তিনটি গুরুত্বপূর্ণ IETF RADIUS অ্যাট্রিবিউট সহ একটি Access-Accept প্যাকেট ফেরত পাঠায়। Tunnel-Type (অ্যাট্রিবিউট ৬৪) VLAN হিসেবে সেট করা থাকে; Tunnel-Medium-Type (অ্যাট্রিবিউট ৬৫) 802 হিসেবে সেট করা থাকে; এবং Tunnel-Private-Group-ID (অ্যাট্রিবিউট ৮১) নির্ধারিত VLAN ID হিসেবে সেট করা থাকে, যেমন Retail Tenant A-এর জন্য VLAN 100। এরপর WatchGuard AP সেই ডিভাইসটিকে VLAN 100-এ স্থাপন করে, যা অন্যান্য টেন্যান্ট থেকে সম্পূর্ণ আলাদা। এটিই হলো বাস্তবে Identity-Based Networking-এর প্রয়োগ। এবার বাস্তবায়ন সংক্রান্ত সুপারিশ এবং সাধারণ ভুলত্রুটিগুলো নিয়ে আলোচনা করা যাক। প্রথমত, সেশন টাইমআউট। পুনরায় অথেন্টিকেশন করতে বাধ্য করার জন্য Purple এবং WatchGuard উভয় ক্ষেত্রেই কঠোর সেশন টাইমআউট কনফিগার করুন। এটি আপনার অ্যানালিটিক্সকে সঠিক রাখে এবং নিষ্ক্রিয় সেশনগুলো যাতে ব্যান্ডউইথ ব্যবহার না করে তা নিশ্চিত করে। আপনার RADIUS Interim-Update-এর ব্যবধান ১০ মিনিট সেট করুন। দ্বিতীয়ত, ফার্মওয়্যার। PPSK সমর্থন করার জন্য আপনার WatchGuard Access Point-গুলোতে অবশ্যই ফার্মওয়্যার সংস্করণ ২.৬ বা তার বেশি চলমান থাকতে হবে। পূর্ববর্তী ফার্মওয়্যার সংস্করণগুলো এই ফিচারটি সমর্থন করে না। তৃতীয়ত, MAC র্যান্ডমাইজেশন। আধুনিক ডিভাইসগুলো ডিফল্টভাবেই তাদের MAC অ্যাড্রেস র্যান্ডমাইজ করে। আপনার সুরক্ষিত স্টাফ WiFi নেটওয়ার্কের জন্য, স্থিতিশীল 802.1X অথেন্টিকেশন নিশ্চিত করতে আপনার কর্মীদের সেই নির্দিষ্ট SSID-এর জন্য এই ফিচারটি নিষ্ক্রিয় করতে বলুন। MAC র্যান্ডমাইজেশনের কারণে অথেন্টিকেশন ব্যর্থতা এবং অসঙ্গতিপূর্ণ অ্যানালিটিক্স ডেটা দেখা দিতে পারে।কোনো সমস্যা দেখা দিলে কী ঘটে? Captive Portal লোড হতে ব্যর্থ হলে, প্রথমে Walled Garden পরীক্ষা করুন। ডিভাইসটি যদি DNS রিসলভ করতে না পারে বা Purple সার্ভারে পৌঁছাতে না পারে, তবে এটি স্প্ল্যাশ পেজের পরিবর্তে একটি টাইমআউট এরর দেখাবে। VLAN স্টিয়ারিং ব্যর্থ হলে এবং ক্লায়েন্ট ভুল VLAN থেকে একটি IP পেলে, Purple পোর্টালে RADIUS লগগুলি পরীক্ষা করুন। Tunnel-Private-Group-ID অ্যাট্রিবিউটটি একটি স্ট্রিং হিসেবে সঠিকভাবে ফরম্যাট করা হয়েছে এবং এটি AP-এর সাথে সংযুক্ত সুইচ পোর্টে প্রকৃতপক্ষে বিদ্যমান একটি VLAN-এর সাথে মিলছে কিনা তা নিশ্চিত করুন। আপনি যদি WatchGuard লগে HMAC ডাইজেস্ট এরর দেখতে পান, তবে আপনার Captive Portal Shared Secret-টি WatchGuard এবং Purple-এর মধ্যে মিলছে না। এটি উভয় সিস্টেমে হুবহু এক হতে হবে, প্রতিটি অক্ষরে অক্ষরে। এবার একটি দ্রুত প্রশ্নোত্তর পর্ব। প্রশ্ন: আমি কি একই SSID-এ PPSK এবং Captive Portal ব্যবহার করতে পারি? উত্তর: না। WatchGuard একই SSID-এ একই সাথে PPSK-এর মাধ্যমে ডাইনামিক VLAN এবং Captive Portal চালানো সমর্থন করে না। পোর্টালের জন্য আপনার একটি SSID এবং PPSK-এর জন্য একটি আলাদা SSID প্রয়োজন। সেই অনুযায়ী আপনার SSID আর্কিটেকচার পরিকল্পনা করুন। প্রশ্ন: RADIUS সার্ভার যদি কোনো PPSK ব্যবহারকারীর জন্য VLAN ID রিটার্ন না করে তবে কী হবে? উত্তর: WatchGuard Cloud-এ, আপনি একটি Unassigned Clients ফলব্যাক অপশন কনফিগার করতে পারেন। তারা যাতে কর্পোরেট নেটওয়ার্কে অ্যাক্সেস না পায় তা নিশ্চিত করতে আপনি তাদের একটি আনট্যাগড VLAN বা একটি নির্দিষ্ট আইসোলেটেড কোয়ারেন্টাইন VLAN-এ পাঠাতে পারেন। অনাকাঙ্ক্ষিত অ্যাক্সেস এড়াতে সর্বদা এই ফলব্যাকটি কনফিগার করুন। সংক্ষেপে বলতে গেলে, WatchGuard Firebox-এর সাথে Purple-এর ইন্টিগ্রেশন আপনাকে গেস্ট, স্টাফ এবং মাল্টি-টেন্যান্ট নেটওয়ার্ক জুড়ে নিরাপত্তা, আইডেন্টিটি এবং অ্যানালিটিক্সের জন্য একটি ইউনিফাইড প্ল্যাটফর্ম প্রদান করে। আপনি গেস্টদের জন্য এক্সটার্নাল Captive Portal রিডাইরেকশন, স্টাফদের জন্য 802.1X এবং মাল্টি-টেন্যান্ট পরিবেশের জন্য ডাইনামিক VLAN সহ PPSK ব্যবহার করবেন। এর ROI অত্যন্ত স্পষ্ট। আপনি গেটওয়েগুলো একত্রিত করে হার্ডওয়্যার খরচ কমাতে পারেন, একটি একক ক্লাউড প্ল্যাটফর্মের মাধ্যমে পরিচালনা সহজ করতে পারেন এবং Purple Captive Portal-এর মাধ্যমে ফার্স্ট-পার্টি ডেটা সংগ্রহ করে রাজস্ব বৃদ্ধি করতে পারেন। আপনার পরবর্তী পদক্ষেপগুলো হলো আপনার বর্তমান SSID আর্কিটেকচার পর্যালোচনা করা, আপনার WatchGuard ফার্মওয়্যার সংস্করণ 2.6 বা তার বেশি কিনা তা নিশ্চিত করা এবং Purple পোর্টালে আপনার RADIUS সেটিংস কনফিগার করা শুরু করা। শোনার জন্য আপনাকে ধন্যবাদ।

header_image.png

এক্সিকিউটিভ সামারি

জটিল ভেন্যু জুড়ে একটি সুরক্ষিত, স্কেলযোগ্য ওয়্যারলেস অবকাঠামো স্থাপন করার জন্য আপনার সিকিউরিটি গেটওয়ে এবং আইডেন্টিটি প্রোভাইডারের মধ্যে সুনির্দিষ্ট ইন্টিগ্রেশন প্রয়োজন। এই গাইডটিতে WatchGuard Firebox এবং WatchGuard Access Points-এর সাথে Purple-এর ইন্টিগ্রেশনের বিস্তারিত বিবরণ দেওয়া হয়েছে, যা তিনটি ভিন্ন অ্যাক্সেস টিয়ার কভার করে: Guest WiFi Captive Portal রিডাইরেকশন, IEEE 802.1X ব্যবহার করে Secure Staff WiFi, এবং WatchGuard Private Pre-Shared Keys (PPSK)-এর মাধ্যমে Multi-Tenant WiFi সেগমেন্টেশন।

WatchGuard-এর ইউনিফাইড সিকিউরিটি প্ল্যাটফর্মের সাথে Purple-এর ক্লাউড ওভারলে একত্রিত করে, আপনি আইডেন্টিটি-ভিত্তিক অ্যাক্সেস কন্ট্রোল স্বয়ংক্রিয় করতে পারেন, গ্র্যানুলার সিকিউরিটি পলিসি প্রয়োগ করতে পারেন এবং স্কেলে ফার্স্ট-পার্টি ডেটা সংগ্রহ করতে পারেন। Purple ৮০,০০০+-এরও বেশি লাইভ ভেন্যু জুড়ে কাজ করে এবং ২০২৪ সালে ৪৪০ মিলিয়ন লগইন প্রসেস করেছে (Purple-এর অভ্যন্তরীণ ডেটা)। এই ইন্টিগ্রেশনটি ডিজাইনগতভাবেই হার্ডওয়্যার-অ্যাগনস্টিক - Purple-এর সমর্থিত হার্ডওয়্যারের তালিকায় WatchGuard-এর পাশাপাশি Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme এবং Fortinet রয়েছে। এন্টারপ্রাইজ WiFi সিকিউরিটি স্ট্যান্ডার্ডের আরও বিস্তৃত ধারণার জন্য, আমাদের Enterprise WiFi Security: A Complete Guide for 2026 দেখুন।

architecture_overview.png

টেকনিক্যাল আর্কিটেকচার

এই ইন্টিগ্রেশনটি দুটি স্ট্যান্ডার্ড মেকানিজম ব্যবহার করে WatchGuard হার্ডওয়্যারকে Purple-এর ক্লাউড সার্ভিসের সাথে সংযুক্ত করে: অথেন্টিকেশন এবং অ্যাকাউন্টিংয়ের জন্য RADIUS (Remote Authentication Dial-In User Service), এবং Captive Portal ডেলিভারির জন্য HTTP রিডাইরেকশন। এই আর্কিটেকচারটি একটি একক ফিজিক্যাল অবকাঠামোতে তিনটি অ্যাক্সেস টিয়ার সমর্থন করে।

অ্যাক্সেস টিয়ার SSID টাইপ অথেন্টিকেশন পদ্ধতি Purple-এর ভূমিকা
Guest WiFi Open এক্সটার্নাল Captive Portal + RADIUS অ্যাকাউন্টিং স্প্ল্যাশ পেজ, ডেটা ক্যাপচার, অ্যানালিটিক্স
Staff WiFi WPA3-Enterprise 802.1X (EAP-TLS বা PEAP) RADIUS সার্ভার, আইডেন্টিটি প্রোভাইডার প্রক্সি
Multi-Tenant WiFi WPA2/WPA3 Personal + PPSK RADIUS-এর মাধ্যমে যাচাইকৃত PPSK কি ম্যানেজমেন্ট, ডাইনামিক VLAN অ্যাসাইনমেন্ট

তিনটি টিয়ারই একই WatchGuard Access Point ফ্লিট জুড়ে একসাথে চলতে পারে। WatchGuard Wi-Fi 6 মডেলগুলো - AP130, AP230W, AP330, AP332CR, AP430CR এবং AP432 - ফার্মওয়্যার v2.6 থেকে পরবর্তী সংস্করণগুলোতে PPSK সমর্থন করে।

Guest WiFi Captive Portal রিডাইরেকশন কনফিগার করা

WatchGuard Captive Portal ইন্টিগ্রেশনটি অথেন্টিকেট না করা HTTP রিকোয়েস্টগুলোকে Purple-এর হোস্ট করা স্প্ল্যাশ পেজে রিডাইরেক্ট করে। ফার্স্ট-পার্টি ডেটা সংগ্রহ এবং টার্মস অফ সার্ভিস প্রয়োগ করার জন্য এটি প্রাথমিক মেকানিজম।

ধাপ ১: RADIUS সার্ভার কনফিগারেশন

WatchGuard Cloud বা Firebox Policy Manager-এ, Purple-কে RADIUS অথেন্টিকেশন এবং অ্যাকাউন্টিং সার্ভার হিসেবে ডিফাইন করুন।- Primary RADIUS server: আপনার অঞ্চলের জন্য Purple RADIUS IP ঠিকানায় সেট করুন (এটি Purple পোর্টালে Settings > Hardware Integration-এর অধীনে পাওয়া যাবে)।

  • Authentication port: 1812
  • Accounting port: 1813
  • Shared secret: Purple পোর্টালে প্রদত্ত ইউনিক সিক্রেটটি লিখুন।
  • NAS ID: %m ফরম্যাট স্পেসিফায়ার ব্যবহার করে এটিকে Firebox বা AP-এর MAC ঠিকানায় সেট করুন। এটি Purple-এর কাছে ভেন্যুটি সনাক্ত করে এবং সঠিক অ্যাকাউন্টে অ্যানালিটিক্স পাঠায়।
  • Accounting interval: সেশন ডেটা যাতে নিয়মিত বিরতিতে Purple-এর অ্যানালিটিক্স ড্যাশবোর্ডে পৌঁছায় তা নিশ্চিত করতে এটি 10 মিনিটে সেট করুন।

ধাপ ২: SSID এবং Captive Portal সেটিংস

WatchGuard Cloud-এ, Configure > Devices > [Your AP] > Device Configuration > SSIDs-এ যান। গেস্ট SSID তৈরি বা এডিট করুন।

  • Security: Open (কোনো প্রি-অথেন্টিকেশন পাসওয়ার্ড লাগবে না)।
  • Captive portal type: Third-Party Hosted Captive Portal with RADIUS Authentication নির্বাচন করুন।
  • Splash Page URL: Purple স্প্ল্যাশ পেজের URL লিখুন (যেমন, https://wifi.mypurple.com/splash)। এটি Purple > Analyze > Portals থেকে সংগ্রহ করুন।
  • Shared secret: একই Purple Analyze Portals পেজ থেকে পোর্টাল শেয়ার্ড সিক্রেটটি লিখুন। এই সিক্রেটটি HMAC-SHA1 ডাইজেস্ট তৈরি করে যা WatchGuard ব্যবহার করে Purple থেকে আসা সফল অথেন্টিকেশন রেসপন্স যাচাই করতে।

ধাপ ৩: Walled Garden কনফিগারেশন

অথেন্টিকেশন সম্পন্ন হওয়ার আগে একটি ডিভাইস কোন ডোমেনগুলো অ্যাক্সেস করতে পারবে তা Walled Garden নির্ধারণ করে। এটি ছাড়া, ডিভাইসটি Purple স্প্ল্যাশ পেজ লোড করতে পারবে না। Websites that users can access before login-এ নিচের এন্ট্রিগুলো যোগ করুন:

  • *.mypurple.com
  • api.mypurple.com
  • cdn.mypurple.com
  • assets.mypurple.com

আপনি যদি Microsoft Entra ID, Okta, বা Google Workspace-এর মাধ্যমে সোশ্যাল বা ফেডারেল লগইন সক্ষম করেন, তবে সংশ্লিষ্ট আইডেন্টিটি প্রোভাইডার ডোমেনগুলো যোগ করুন (যেমন, login.microsoftonline.com, accounts.google.com)। শেয়ারড WiFi অবকাঠামোর আইনি এবং কমপ্লায়েন্স সংক্রান্ত প্রসঙ্গের জন্য, আমাদের শেয়ারড WiFi অবকাঠামোর জন্য আইনি এবং কমপ্লায়েন্সের প্রয়োজনীয়তা গাইডটি দেখুন।

HMAC অথেন্টিকেশন ফ্লো যেভাবে কাজ করে

এই ফ্লোটি বুঝতে পারলে আপনি যেকোনো ত্রুটি দ্রুত সনাক্ত করতে পারবেন।

  1. গেস্ট ডিভাইসটি ওপেন SSID-এর সাথে সংযুক্ত হয় এবং একটি HTTP রিকোয়েস্ট পাঠায়।
  2. WatchGuard AP রিকোয়েস্টটি ইন্টারসেপ্ট করে এবং ব্রাউজারটিকে Purple স্প্ল্যাশ পেজের URL-এ রিডাইরেক্ট করে, সাথে একটি challenge প্যারামিটার (একটি র্যান্ডম হেক্স স্ট্রিং) এবং ডিভাইসের MAC ঠিকানা যুক্ত করে দেয়।
  3. Purple স্প্ল্যাশ পেজটি প্রদর্শন করে। গেস্ট ব্যবহারকারী লগইন ফর্মটি পূরণ করেন।
  4. Purple পোর্টাল শেয়ার্ড সিক্রেট এবং চ্যালেঞ্জ ভ্যালু ব্যবহার করে একটি HMAC-SHA1 ডাইজেস্ট তৈরি করে।
  5. Purple ব্রাউজারটিকে আবার WatchGuard AP-এর লগইন URL-এ রিডাইরেক্ট করে, সাথে চ্যালেঞ্জ এবং ডাইজেস্ট যুক্ত করে দেয়।
  6. WatchGuard AP একই শেয়ার্ড সিক্রেট ব্যবহার করে ডাইজেস্টটি যাচাই করে। যদি এটি মিলে যায়, তবে AP ইন্টারনেট অ্যাক্সেসের অনুমতি দেয় এবং Purple-এ একটি RADIUS Accounting Start প্যাকেট পাঠায়।

802.1X-এর মাধ্যমে সুরক্ষিত স্টাফ WiFiস্টাফ WiFi-এর জন্য, আপনি captive portal-কে IEEE 802.1X — পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের এন্টারপ্রাইজ স্ট্যান্ডার্ড — দিয়ে প্রতিস্থাপন করবেন। প্রতিটি স্টাফ মেম্বার ইউনিক ক্রেডেনশিয়াল বা সার্টিফিকেটের মাধ্যমে অথেন্টিকেট করেন, যা শেয়ার্ড-পাসওয়ার্ডের ঝুঁকি দূর করে।

WatchGuard Cloud-এ, স্টাফ SSID-টি WPA3 Enterprise সিকিউরিটি দিয়ে কনফিগার করুন এবং Authentication Domain-টিকে Purple-এর RADIUS সার্ভারে পয়েন্ট করুন। Purple RADIUS সার্ভার হিসেবে কাজ করে এবং SAML বা LDAP-এর মাধ্যমে Microsoft Entra ID, Okta, বা Google Workspace-এ অথেন্টিকেশন রিকোয়েস্ট প্রক্সি করতে পারে।

সার্টিফিকেট-ভিত্তিক অথেন্টিকেশনের (EAP-TLS) জন্য, আপনার MDM-এর মাধ্যমে ম্যানেজড ডিভাইসগুলোতে ক্লায়েন্ট সার্টিফিকেট ডেপ্লয় করুন। ক্রেডেনশিয়াল-ভিত্তিক অথেন্টিকেশনের (PEAP-MSCHAPv2) জন্য, ব্যবহারকারীরা তাদের ডিরেক্টরি ক্রেডেনশিয়াল দিয়ে অথেন্টিকেট করেন। Purple কনফিগার করা আইডেন্টিটি প্রোভাইডারের বিপরীতে রিকোয়েস্টটি যাচাই করে এবং WatchGuard AP-তে একটি RADIUS Access-Accept বা Access-Reject রিটার্ন করে।

বিভিন্ন ধরনের ডিভাইসে 802.1X কনফিগারেশনের বিস্তারিত নির্দেশিকার জন্য, 802.1X অথেন্টিকেশন: আধুনিক ডিভাইসে নেটওয়ার্ক অ্যাক্সেস সুরক্ষিত করা সংক্রান্ত আমাদের গাইডটি দেখুন।

MAC র্যান্ডমাইজেশন সংক্রান্ত গুরুত্বপূর্ণ নোট: আধুনিক iOS এবং Android ডিভাইসগুলো ডিফল্টরূপে তাদের MAC অ্যাড্রেস র্যান্ডমাইজ করে। 802.1X স্টাফ WiFi-এর জন্য, স্টাফদের স্টাফ SSID-এর জন্য MAC র্যান্ডমাইজেশন নিষ্ক্রিয় করতে নির্দেশ দিন। র্যান্ডমাইজড MAC-এর কারণে অসঙ্গতিপূর্ণ অথেন্টিকেশন লগ তৈরি হয় এবং MAC-ভিত্তিক পলিসি প্রয়োগ ব্যাহত হয়।

WatchGuard PPSK-এর সাহায্যে মাল্টি-টেন্যান্ট WiFi

একটি রিটেইল সেন্টার, কোওয়ার্কিং স্পেস বা বিল্ড-টু-রেন্ট (BTR) ডেভেলপমেন্টে প্রতি টেন্যান্টের জন্য আলাদা SSID ব্রডকাস্ট করলে কো-চ্যানেল ইন্টারফারেন্স ঘটে এবং RF এনভায়রনমেন্ট বিশৃঙ্খল হয়। WatchGuard PPSK (Private Pre-Shared Key) — যা AP ফার্মওয়্যার v2.6-এ চালু করা হয়েছে — একটি একক SSID-তে প্রতিটি ব্যবহারকারী বা টেন্যান্টকে একটি ইউনিক পাসওয়ার্ড অ্যাসাইন করে এই সমস্যার সমাধান করে।

ppsk_vlan_segmentation_chart.png

ধাপ ১: SSID-তে PPSK সক্ষম করুন

WatchGuard Cloud-এ, টার্গেট SSID (যেমন, Venue-WiFi) এডিট করুন।

  • Security: WPA2 Personal বা WPA3 Personal।
  • Authentication: Private Pre-Shared Key (PPSK) সক্ষম করুন।
  • RADIUS server: Purple-এর RADIUS সার্ভারে পয়েন্ট করুন। Purple PPSK ক্রেডেনশিয়াল স্টোর পরিচালনা করে এবং অথেন্টিকেশনের সময় VLAN অ্যাট্রিবিউট রিটার্ন করে।

ধাপ ২: ডাইনামিক VLAN অ্যাসাইনমেন্ট কনফিগার করুন

টেন্যান্ট ট্রাফিক আলাদা করতে, WatchGuard AP ব্যবহৃত PPSK-এর ওপর ভিত্তি করে একটি নির্দিষ্ট VLAN অ্যাসাইন করে।

  • VLAN setting: Dynamic VLAN assigned by RADIUS নির্বাচন করুন।
  • Unassigned clients fallback: একটি আইসোলেটেড কোয়ারেন্টাইন VLAN (যেমন, VLAN 999) নির্বাচন করুন যাতে RADIUS ভ্যালিডেশনে ব্যর্থ হওয়া ডিভাইসগুলো কর্পোরেট নেটওয়ার্কে অ্যাক্সেস করতে না পারে।

WatchGuard অ্যাক্সেস পয়েন্টে ডাইনামিক VLAN-এর জন্য প্রয়োজনীয়তা:

  • AP ফার্মওয়্যার v2.2 বা তার বেশি।
  • SSID-তে NAT অবশ্যই নিষ্ক্রিয় থাকতে হবে।
  • ডাইনামিক VLAN এবং Captive Portal একই SSID-তে একসাথে চালানো যাবে না।- AP-এর সাথে সংযুক্ত সুইচ পোর্টটি অবশ্যই সমস্ত প্রাসঙ্গিক VLAN বহনকারী একটি ট্রাঙ্ক পোর্ট হিসেবে কনফিগার করতে হবে।

Step 3: VLAN স্টিয়ারিংয়ের জন্য RADIUS অ্যাট্রিবিউটসমূহ

যখন কোনো ব্যবহারকারী PPSK ব্যবহার করে সংযোগ স্থাপন করেন, তখন WatchGuard AP Purple-এ একটি RADIUS Access-Request পাঠায়। Purple কী (key) যাচাই করে এবং তিনটি IETF RADIUS অ্যাট্রিবিউট ধারণকারী একটি Access-Accept প্যাকেট ফেরত পাঠায়:

RADIUS অ্যাট্রিবিউট অ্যাট্রিবিউট নম্বর মান
Tunnel-Type 64 13 (VLAN)
Tunnel-Medium-Type 65 6 (802)
Tunnel-Private-Group-ID 81 VLAN ID (যেমন, "100")

WatchGuard AP অ্যাট্রিবিউট ৮১ পড়ে এবং ক্লায়েন্টকে সংশ্লিষ্ট VLAN-এ স্থাপন করে। Purple-এ, আপনি প্রতিটি PPSK ক্রেডেনশিয়ালকে একটি নির্দিষ্ট VLAN ID এবং রোলের সাথে ম্যাপ করেন। এটিই হলো আইডেন্টিটি-ভিত্তিক নেটওয়ার্কের (Identity-Based Networks) পেছনের প্রক্রিয়া - ক্রেডেনশিয়ালটি নেটওয়ার্ক সেগমেন্ট নির্ধারণ করে, SSID নয়।

বাস্তবায়নের সর্বোত্তম অনুশীলনসমূহ

এই সুপারিশগুলো হসপিটালিটি , রিটেইল , হেলথকেয়ার , এবং পরিবহন ডেপ্লয়মেন্টের ক্ষেত্রে প্রযোজ্য।

সেশন টাইমআউট: নির্দিষ্ট সময় পর পর পুনরায় প্রমাণীকরণ করতে বাধ্য করার জন্য Purple এবং WatchGuard উভয় ক্ষেত্রেই সেশন টাইমআউট কনফিগার করুন। এটি অ্যানালিটিক্স সঠিক রাখে এবং নিষ্ক্রিয় সেশনগুলোকে ব্যান্ডউইথ ব্যবহার করা থেকে বিরত রাখে। RADIUS Interim-Update (Acct-Interim-Interval) কে ৬০০ সেকেন্ড (১০ মিনিট) সেট করুন।

ফার্মওয়্যার ম্যানেজমেন্ট: PPSK সমর্থনের জন্য WatchGuard অ্যাক্সেস পয়েন্টগুলোতে ফার্মওয়্যার v2.6 বা তার বেশি সংস্করণ চলমান থাকা নিশ্চিত করুন। কভারেজের ঘাটতি এড়াতে অফ-পিক আওয়ারে ফার্মওয়্যার আপগ্রেডের সময়সূচী নির্ধারণ করতে WatchGuard Cloud ব্যবহার করুন।

PCI DSS কমপ্লায়েন্স: কার্ড পেমেন্ট প্রসেস করে এমন রিটেইল পরিবেশের জন্য, PPSK ব্যবহার করে একটি ডেডিকেটেড VLAN-এ (যেমন, VLAN 200) POS ডিভাইসগুলোকে আলাদা করুন। নিশ্চিত করুন যে Guest WiFi VLAN-এর সাথে POS VLAN-এর কোনো রাউট (route) নেই। এটি PCI DSS নেটওয়ার্ক সেগমেন্টেশনের প্রয়োজনীয়তাগুলোকে সমর্থন করে।

GDPR এবং ডেটা সংগ্রহ: Purple-এর captive portal সচেতন-পছন্দের অপ্ট-ইন ব্যবহার করে, যা নিশ্চিত করে যে ডেটা সংগ্রহ GDPR-এর প্রয়োজনীয়তা পূরণ করে। Purple হলো ISO 27001, GDPR, CCPA এবং Cyber Essentials সার্টিফাইড। ডেটা সংগ্রহ শুরু করার আগে আপনার স্প্ল্যাশ পেজে একটি স্পষ্ট গোপনীয়তা বিজ্ঞপ্তি এবং পরিষেবার শর্তাবলীর লিঙ্ক অন্তর্ভুক্ত করা নিশ্চিত করুন।

সমস্যা সমাধান এবং ঝুঁকি হ্রাসকরণ

Captive portal লোড হতে ব্যর্থ হলে: প্রথমে ওয়াল্ড গার্ডেন (Walled Garden) পরীক্ষা করতে হবে। ডিভাইসটি যদি DNS সমাধান করতে না পারে বা প্রি-অথেন্টিকেশন অবস্থায় Purple-এর সার্ভারে পৌঁছাতে না পারে, তবে ব্রাউজারটি স্প্ল্যাশ পেজের পরিবর্তে একটি টাইমআউট ত্রুটি দেখায়। সমস্ত Purple ডোমেন ওয়াল্ড গার্ডেন তালিকায় রয়েছে কিনা এবং WatchGuard DNS সেটিংস প্রি-অথ রেজোলিউশন অনুমোদন করে কিনা তা যাচাই করুন।

HMAC ডাইজেস্ট ভ্যালিডেশন ত্রুটি: যদি WatchGuard লগগুলোতে HMAC ত্রুটিসহ প্রমাণীকরণ ব্যর্থতা দেখায়, তবে WatchGuard এবং Purple-এর মধ্যে Captive Portal Shared Secret মিলছে না। এটি উভয় সিস্টেমে অভিন্ন হতে হবে। Purple-এ সিক্রেটটি পুনরায় তৈরি করুন এবং WatchGuard Cloud-এ এটি পুনরায় প্রবেশ করান।VLAN স্টিয়ারিং ব্যর্থতা: যদি কোনো PPSK ব্যবহারকারী ভুল VLAN থেকে একটি IP পান, তবে Purple পোর্টালের RADIUS লগগুলি পরীক্ষা করুন। যাচাই করুন যে Purple তিনটি IETF RADIUS অ্যাট্রিবিউটই ফেরত পাঠাচ্ছে। নিশ্চিত করুন যে Tunnel-Private-Group-ID মানটি একটি স্ট্রিং হিসেবে ফরম্যাট করা হয়েছে এবং সুইচ ট্রাঙ্ক পোর্টে কনফিগার করা একটি VLAN ID-এর সাথে মিলছে।

PPSK এবং Captive Portal দ্বন্দ্ব: WatchGuard একই SSID-এ ডাইনামিক VLAN এবং Captive Portal সমর্থন করে না। আপনার যদি উভয়ই প্রয়োজন হয়, তবে দুটি SSID ব্যবহার করুন: একটি গেস্ট Captive Portal-এর জন্য এবং অন্যটি PPSK মাল্টি-টেন্যান্ট অ্যাক্সেসের জন্য।

802.1X প্রমাণীকরণ ব্যর্থতা: AP এবং RADIUS সার্ভারের মধ্যকার ট্রাফিক ক্যাপচার করতে WatchGuard AP ফার্মওয়্যার v2.5 এবং তার উচ্চতর সংস্করণে উপলব্ধ প্যাকেট ক্যাপচার টুলটি ব্যবহার করুন। RADIUS Access-Reject প্যাকেট এবং রিপ্লাই মেসেজ অ্যাট্রিবিউটে থাকা কারণের কোডটি খুঁজুন।

ROI এবং ব্যবসায়িক প্রভাব

WatchGuard এবং Purple ইন্টিগ্রেশন নিরাপত্তা এবং অ্যানালিটিক্সকে একটি একক আর্কিটেকচারে একত্রিত করে। এই ইন্টিগ্রেশন ব্যবহার করে একটি ২০০ কক্ষবিশিষ্ট হোটেল পৃথক গেস্ট এবং স্টাফ গেটওয়ের প্রয়োজনীয়তা দূর করে, যা একটি মাল্টি-গেটওয়ে স্থাপনার তুলনায় হার্ডওয়্যার খরচ প্রায় ৩০% কমিয়ে দেয় (Purple-এর অভ্যন্তরীণ ডেটা)। গেস্ট WiFi Captive Portal ফার্স্ট-পার্টি ডেটা সংগ্রহ করে—যেমন ইমেল ঠিকানা, ডেমোগ্রাফিক তথ্য এবং পরিদর্শনের ফ্রিকোয়েন্সি—যা Purple-এর Engage প্ল্যানের মাধ্যমে সরাসরি মার্কেটিং রাজস্ব বৃদ্ধি করে।

মাল্টি-টেন্যান্ট ভেন্যুগুলোর জন্য, PPSK একাধিক SSID পরিচালনার অপারেশনাল ওভারহেড দূর করে। একটি একক SSID-এ ১৫টি দোকান ইউনিট পরিচালনা করা একটি রিটেইল সেন্টার AP রেডিও ব্যবহার হ্রাস করে এবং নেটওয়ার্ক অডিট সহজ করে। Purple থেকে প্রাপ্ত WiFi অ্যানালিটিক্স ভেন্যু অপারেটরদের ডওয়েল টাইম, ফুটফল এবং বারবার পরিদর্শনের ডেটা সরবরাহ করে—এমন সব মেট্রিক্স যা ফাইন্যান্স টিমগুলোর কাছে অবকাঠামোগত বিনিয়োগের যৌক্তিকতা প্রমাণ করে।

Purple ৯৯.৯৯৯% আপটাইম বজায় রাখে (Purple-এর অভ্যন্তরীণ ডেটা), যা স্টেডিয়াম এবং কনফারেন্স সেন্টারের মতো উচ্চ-ঘনত্বের ভেন্যুগুলোতে ব্যস্ততম সময়েও গেস্ট WiFi Captive Portal সচল থাকা নিশ্চিত করে।

মূল সংজ্ঞাসমূহ

PPSK (প্রাইভেট প্রি-শেয়ার্ড কি)

একটি নিরাপত্তা বৈশিষ্ট্য যা একটি WPA2/WPA3 পার্সোনাল SSID-এ প্রতিটি ব্যবহারকারী বা ডিভাইসের জন্য একটি অনন্য পাসওয়ার্ড বরাদ্দ করে। এটি WatchGuard AP ফার্মওয়্যার v2.6-এ চালু করা হয়েছে।

মাল্টি-টেন্যান্ট পরিবেশ - রিটেইল সেন্টার, কোওয়ার্কিং স্পেস, BTR ডেভেলপমেন্ট - এ ক্লায়েন্ট ডিভাইসে 802.1X সাপ্লিক্যান্ট কনফিগারেশনের প্রয়োজন ছাড়াই ব্যবহারকারীদের আলাদা করতে ব্যবহৃত হয়।

ডায়নামিক VLAN স্টিয়ারিং

অথেন্টিকেশনের সময় ফিরে আসা RADIUS অ্যাট্রিবিউটের (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) উপর ভিত্তি করে একটি নির্দিষ্ট ভার্চুয়াল LAN-এ একটি নেটওয়ার্ক ডিভাইস বরাদ্দ করার প্রক্রিয়া।

একই ফিজিক্যাল অ্যাক্সেস পয়েন্টে টেন্যান্ট, স্টাফ এবং গেস্ট ট্রাফিককে আলাদা করার প্রক্রিয়া। WatchGuard হার্ডওয়্যারে AP ফার্মওয়্যার v2.2 বা তার বেশি প্রয়োজন।

ওয়ালড গার্ডেন (Walled Garden)

IP অ্যাড্রেস বা ডোমেনের একটি তালিকা যা একজন অথেন্টিকেট না হওয়া ব্যবহারকারীকে Captive Portal অথেন্টিকেশন সম্পন্ন করার আগে অ্যাক্সেস করার অনুমতি দেওয়া হয়।

সম্পূর্ণ ইন্টারনেট অ্যাক্সেস দেওয়ার আগে গেস্ট ডিভাইসগুলোকে Purple স্প্ল্যাশ পেজ লোড করতে এবং ফেডারেটেড লগইন (Microsoft Entra ID, Google Workspace) সম্পন্ন করার অনুমতি দেওয়ার জন্য প্রয়োজন।

HMAC ডাইজেস্ট

একটি ক্রিপ্টোগ্রাফিক হ্যাশ (HMAC-SHA1) যা captive portal থেকে আসা অথেন্টিকেশন সফলতার বার্তার সততা এবং সত্যতা যাচাই করতে ব্যবহৃত হয়।

WatchGuard Captive Portal শেয়ার্ড সিক্রেট ব্যবহার করে HMAC ডাইজেস্ট যাচাই করে। WatchGuard এবং Purple-এর মধ্যে সিক্রেটের অমিল হলে অথেন্টিকেশন ব্যর্থ হয়।

RADIUS অ্যাকাউন্টিং

RADIUS প্রোটোকলের সেই উপাদান যা নেটওয়ার্ক ব্যবহার ট্র্যাক করে, যার মধ্যে সেশন শুরু, সেশনের সময়কাল এবং ডেটা স্থানান্তরের পরিমাণ অন্তর্ভুক্ত।

অ্যানালিটিক্স ড্যাশবোর্ড পূরণ করতে এবং সেশন সময়সীমা প্রয়োগ করতে Purple WatchGuard Firebox থেকে RADIUS অ্যাকাউন্টিং প্যাকেটের উপর নির্ভর করে। এটি পোর্ট ১৮১৩-এ কাজ করে।

Captive portal

একটি ওয়েব পেজ যেখানে একটি পাবলিক নেটওয়ার্কে অ্যাক্সেস দেওয়ার আগে ডিভাইসটিকে রিডাইরেক্ট করা হয়। WatchGuard HTTP অনুরোধগুলো ইন্টারসেপ্ট করে এবং কনফিগার করা বাহ্যিক পোর্টাল URL-এ রিডাইরেক্ট করে।

গেস্ট WiFi নেটওয়ার্কে ফার্স্ট-পার্টি ডেটা সংগ্রহ এবং পরিষেবার শর্তাবলী প্রয়োগ করার প্রাথমিক প্রক্রিয়া। Purple স্প্ল্যাশ পেজ হোস্ট করে এবং ডেটা পরিচালনা করে।

802.1X

পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস নিয়ন্ত্রণের জন্য একটি IEEE স্ট্যান্ডার্ড। নেটওয়ার্ক অ্যাক্সেস দেওয়ার আগে প্রতিটি ডিভাইসকে অনন্য ক্রেডেনশিয়াল বা সার্টিফিকেটের মাধ্যমে অথেন্টিকেট করতে হয়।

স্টাফ WiFi সুরক্ষিত করার জন্য এন্টারপ্রাইজ স্ট্যান্ডার্ড। এটি WPA2 পার্সোনালের শেয়ার্ড-পাসওয়ার্ডের ঝুঁকি দূর করে। এর জন্য একটি RADIUS সার্ভার (Purple) এবং ক্লায়েন্ট ডিভাইসে একটি সাপ্লিক্যান্ট প্রয়োজন।

EAP-TLS (এক্সটেনসিবল অথেন্টিকেশন প্রোটোকল - ট্রান্সপোর্ট লেয়ার সিকিউরিটি)

একটি অত্যন্ত সুরক্ষিত 802.1X অথেন্টিকেশন পদ্ধতি যার জন্য পারস্পরিক অথেন্টিকেশনের জন্য ক্লায়েন্ট সার্টিফিকেট এবং সার্ভার সার্টিফিকেট উভয়ই প্রয়োজন।

উচ্চ-নিরাপত্তা বিশিষ্ট পরিবেশে ব্যবহৃত হয় যেখানে ডিভাইসগুলো একটি MDM দ্বারা পরিচালিত হয়। এটি নিশ্চিত করে যে শুধুমাত্র বৈধ সার্টিফিকেট সহ কর্পোরেট মালিকানাধীন ডিভাইসগুলো স্টাফ WiFi SSID-এ সংযুক্ত হতে পারে।

NAS ID (নেটওয়ার্ক অ্যাক্সেস সার্ভার আইডেন্টিফায়ার)

RADIUS প্যাকেটে পাঠানো একটি স্ট্রিং যা অথেন্টিকেশনের অনুরোধকারী নেটওয়ার্ক ডিভাইসটিকে (AP বা Firebox) সনাক্ত করে।

একটি RADIUS অনুরোধ কোন ভেন্যু থেকে আসছে তা সনাক্ত করতে Purple NAS ID ব্যবহার করে। সাধারণত WatchGuard-এ %m ফরম্যাট স্পেসিফায়ার ব্যবহার করে AP MAC অ্যাড্রেসে সেট করা হয়।

আইডেন্টিটি-ভিত্তিক নেটওয়ার্কিং

একটি নেটওয়ার্ক আর্কিটেকচার যেখানে অ্যাক্সেস পলিসি, VLAN অ্যাসাইনমেন্ট এবং সিকিউরিটি কন্ট্রোল ব্যবহারকারীর ফিজিক্যাল পোর্ট বা SSID-এর পরিবর্তে তাদের আইডেন্টিটি বা পরিচয় দ্বারা নির্ধারিত হয়।

WatchGuard PPSK, Purple RADIUS এবং ডায়নামিক VLAN স্টিয়ারিং-এর সমন্বয় আইডেন্টিটি-ভিত্তিক নেটওয়ার্কিং প্রদান করে - ক্রেডেনশিয়াল স্বয়ংক্রিয়ভাবে নেটওয়ার্ক সেগমেন্ট নির্ধারণ করে।

সমাধানকৃত উদাহরণসমূহ

একটি ২০০-রুমের প্রিমিয়ার ইন প্রপার্টিতে অতিথিদের জন্য গেস্ট WiFi, ফ্রন্ট-অফ-হাউস এবং ব্যাক-অফিস টিমের জন্য সুরক্ষিত স্টাফ WiFi এবং IoT ডিভাইসগুলির (স্মার্ট টিভি, দরজার লক) জন্য একটি পৃথক নেটওয়ার্ক প্রদান করা প্রয়োজন। তাদের কাছে WatchGuard Cloud এবং একটি Firebox T85 গেটওয়ের মাধ্যমে পরিচালিত WatchGuard AP330 অ্যাক্সেস পয়েন্ট রয়েছে। তাদের কীভাবে তিনটি নেটওয়ার্কের আর্কিটেকচার ডিজাইন করা উচিত?

WatchGuard AP330 ফ্লিটে তিনটি SSID মোতায়েন করুন। SSID ১: 'Premier-Guest' - Purple-এ এক্সটার্নাল Captive Portal রিডাইরেকশন সহ ওপেন SSID। Firebox T85-কে Purple-এর সার্ভারগুলির (পোর্ট ১৮১২/১৮১৩) দিকে নির্দেশ করে RADIUS ক্লায়েন্ট হিসাবে কনফিগার করুন। Purple-এর Walled Garden ডোমেনগুলি যুক্ত করুন। অতিথিরা ইমেল, সোশ্যাল লগইন বা একটি রুম কোড ব্যবহার করে Purple স্প্ল্যাশ পেজের মাধ্যমে অথেন্টিকেট করবেন। SSID ২: 'Premier-Staff' - 802.1X অথেন্টিকেশন সহ WPA3-Enterprise SSID। অথেন্টিকেশন ডোমেনটিকে Purple-এর RADIUS সার্ভারের দিকে নির্দেশ করুন, যা প্রপার্টির Microsoft Entra ID টেন্যান্টে ক্রেডেনশিয়াল প্রক্সি করে। স্টাফরা তাদের কর্পোরেট ক্রেডেনশিয়াল দিয়ে অথেন্টিকেট করবেন। SSID ৩: 'Premier-IoT' - একটি স্ট্যাটিক PSK সহ WPA2 Personal SSID, যা একটি ডেডিকেটেড VLAN-এ (যেমন, VLAN ৫০) রাখা হয়েছে এবং ফায়ারওয়াল নিয়মগুলি স্টাফ এবং গেস্ট VLAN-এ অ্যাক্সেস ব্লক করে। Firebox T85 ইন্টার-VLAN রাউটিং পলিসি প্রয়োগ করে। তিনটি SSID-ই একই AP হার্ডওয়্যারে ব্রডকাস্ট করে, যা পরিকাঠামো খরচ কমায়।

পরীক্ষকের মন্তব্য: এই আর্কিটেকচারটি ন্যূনতম সুবিধার নীতি অনুসরণ করে। প্রতিটি অ্যাক্সেস টিয়ারের তার কাজের জন্য প্রয়োজনীয় ন্যূনতম নেটওয়ার্ক অ্যাক্সেস রয়েছে। IoT SSID PPSK-এর পরিবর্তে একটি স্ট্যাটিক PSK ব্যবহার করে কারণ IoT ডিভাইসগুলি সাধারণত ডাইনামিক ক্রেডেনশিয়াল রোটেশন পরিচালনা করতে পারে না। মূল সিদ্ধান্তটি হল গেস্ট এবং স্টাফ উভয় টিয়ারের জন্য RADIUS সার্ভার হিসাবে Purple ব্যবহার করা, যা একটি একক প্ল্যাটফর্মে আইডেন্টিটি ম্যানেজমেন্ট এবং অ্যানালিটিক্সকে কেন্দ্রীভূত করে।

১২টি দোকান ইউনিট পরিচালনা করে এমন একটি রিটেল সেন্টার একটি একক SSID ব্যবহার করে প্রতিটি টেন্যান্টকে আইসোলেটেড WiFi অ্যাক্সেস প্রদান করতে চায়। সেন্টারটিকে এটিও নিশ্চিত করতে হবে যে একটি আপোসকৃত টেন্যান্ট ক্রেডেনশিয়াল যেন অন্য টেন্যান্টদের ট্রাফিক প্রকাশ না করে। তারা ফার্মওয়্যার v২.৬-এ WatchGuard AP230W অ্যাক্সেস পয়েন্টগুলি চালাচ্ছে।

WPA2 Personal এবং PPSK সক্ষম সহ একটি SSID কনফিগার করুন: 'Centre-Retail'। Purple-এ, প্রতি টেন্যান্টে একটি করে ১২টি অনন্য PPSK ক্রেডেনশিয়াল তৈরি করুন। প্রতিটি ক্রেডেনশিয়ালকে একটি ডেডিকেটেড VLAN-এ ম্যাপ করুন (যেমন, টেন্যান্ট ১-এর জন্য VLAN ১০১, টেন্যান্ট ২-এর জন্য VLAN ১০২ ইত্যাদি)। WatchGuard Cloud-এ, SSID VLAN-কে 'Dynamic VLAN assigned by RADIUS'-এ সেট করুন এবং একটি কোয়ারেন্টাইন VLAN (VLAN ৯৯৯)-এ ফলব্যাক করুন। AP230W-এর সাথে সংযুক্ত সুইচ পোর্টগুলিকে ট্রাঙ্ক পোর্ট হিসাবে কনফিগার করুন যা VLAN ১০১-১১২ এবং ৯৯৯ বহন করে। যখন কোনও টেন্যান্ট ডিভাইস তাদের PPSK ব্যবহার করে সংযোগ করে, তখন AP Purple RADIUS-কে কোয়েরি করে, Tunnel-Private-Group-ID অ্যাট্রিবিউট গ্রহণ করে এবং ডিভাইসটিকে সঠিক VLAN-এ স্থাপন করে। টেন্যান্ট ৩-এর জন্য একটি আপোসকৃত ক্রেডেনশিয়াল কেবল VLAN ১০৩-কে প্রকাশ করে - অন্য সমস্ত টেন্যান্ট আইসোলেটেড থাকে।

পরীক্ষকের মন্তব্য: PPSK 802.1X সার্টিফিকেট ম্যানেজমেন্টের জটিলতা ছাড়াই প্রতি-ক্রেডেনশিয়াল আইসোলেশন প্রদান করে। গুরুত্বপূর্ণ ডিজাইনের সিদ্ধান্তটি হল ফলব্যাক VLAN। একটি কোয়ারেন্টাইন VLAN কনফিগার করা না থাকলে, RADIUS ভ্যালিডেশনে ব্যর্থ হওয়া একটি ডিভাইস ডিফল্ট আনট্যাগড VLAN-এ স্থাপন করা যেতে পারে, যা সম্ভাব্যভাবে ম্যানেজমেন্ট ইনফ্রাস্ট্রাকচারে অ্যাক্সেস পেতে পারে। সর্বদা স্পষ্টভাবে ফলব্যাক কনফিগার করুন।

অনুশীলনী প্রশ্নসমূহ

Q1. একজন হোটেল আইটি ম্যানেজার রিপোর্ট করেছেন যে অতিথিরা WiFi-এ সংযুক্ত হচ্ছেন কিন্তু Purple স্প্ল্যাশ পেজটি কখনই প্রদর্শিত হচ্ছে না। ব্রাউজারে একটি কানেকশন টাইমআউট ত্রুটি দেখাচ্ছে। WatchGuard Cloud কনফিগারেশনে সঠিক Purple স্প্ল্যাশ পেজ URL এবং শেয়ার্ড সিক্রেট দেখাচ্ছে। এর সম্ভাব্য কারণ কী এবং আপনি কীভাবে এটি সমাধান করবেন?

ইঙ্গিত: ডিভাইসটি প্রমাণীকৃত (authenticated) হওয়ার আগে কী ঘটতে হবে তা বিবেচনা করুন। স্প্ল্যাশ পেজ লোড করার জন্য ডিভাইসটিকে কোন ডোমেনগুলিতে পৌঁছাতে হবে?

মডেল উত্তর দেখুন

Walled Garden অনুপস্থিত বা অসম্পূর্ণ। প্রমাণীকরণ সম্পন্ন হওয়ার আগে WatchGuard Firebox ডিভাইসটির Purple সার্ভারে পাঠানো প্রাথমিক HTTP অনুরোধটি ব্লক করছে। 'Websites that users can access before login' তালিকায় প্রয়োজনীয় Purple ডোমেনগুলি যোগ করুন: *.mypurple.com, api.mypurple.com, এবং cdn.mypurple.com। অতিথিরা যদি সোশ্যাল লগইন ব্যবহার করেন, তবে প্রাসঙ্গিক আইডেন্টিটি প্রোভাইডার ডোমেনগুলিও যোগ করুন (যেমন, Entra ID-এর জন্য login.microsoftonline.com)।

Q2. আপনি ৮ জন সদস্যের একটি কোওয়ার্কিং স্পেসের জন্য PPSK-ভিত্তিক VLAN স্টিয়ারিং কনফিগার করছেন। RADIUS প্রমাণীকরণ সফল হয়েছে (WatchGuard লগগুলিতে Access-Accept দেখাচ্ছে), কিন্তু প্রতিটি সদস্যের ডিভাইস তাদের নির্ধারিত টেন্যান্ট VLAN-এর পরিবর্তে VLAN 1 (ডিফল্ট ম্যানেজমেন্ট VLAN) থেকে একটি IP অ্যাড্রেস পাচ্ছে। আপনি কীভাবে এটি নির্ণয় এবং সমাধান করবেন?

ইঙ্গিত: প্রমাণীকরণ সফল হয়েছে, তাই ক্রেডেনশিয়ালটি বৈধ। সমস্যাটি VLAN অ্যাসাইনমেন্ট ধাপে রয়েছে। VLAN অ্যাসাইন করার জন্য RADIUS সার্ভার থেকে WatchGuard-এর কী প্রয়োজন?

মডেল উত্তর দেখুন

Purple থেকে আসা RADIUS Access-Accept প্যাকেটে VLAN অ্যাট্রিবিউটগুলি অনুপস্থিত বা ভুলভাবে ফর্ম্যাট করা হয়েছে। WatchGuard প্যাকেট ক্যাপচার টুল ব্যবহার করে AP-তে RADIUS ট্রাফিক ক্যাপচার করুন এবং Access-Accept প্যাকেটটি পরীক্ষা করুন। যাচাই করুন যে Purple তিনটি IETF অ্যাট্রিবিউটই ফেরত পাঠাচ্ছে কিনা: Tunnel-Type (অ্যাট্রিবিউট 64, মান 13), Tunnel-Medium-Type (অ্যাট্রিবিউট 65, মান 6), এবং Tunnel-Private-Group-ID (অ্যাট্রিবিউট 81, যা একটি স্ট্রিং হিসেবে VLAN ID-তে সেট করা, যেমন '101')। এছাড়াও নিশ্চিত করুন যে AP-এর সাথে সংযুক্ত সুইচ পোর্টটি একটি ট্রাঙ্ক পোর্ট হিসেবে কনফিগার করা আছে যা প্রাসঙ্গিক VLAN-গুলি বহন করে, এবং WatchGuard Cloud-এ SSID VLAN সেটিংটি একটি স্ট্যাটিক VLAN ID-এর পরিবর্তে 'Dynamic VLAN assigned by RADIUS' হিসেবে সেট করা আছে।

Q3. একটি ভেন্যু অপারেটর একই WatchGuard AP330 অ্যাক্সেস পয়েন্টে একটি গেস্ট WiFi Captive Portal (Purple স্প্ল্যাশ পেজ) এবং ৬টি রিটেল ইউনিটের জন্য একটি মাল্টি-টেন্যান্ট PPSK নেটওয়ার্ক চালাতে চান। আরএফ (RF) পরিবেশকে সহজ করতে তারা একটি একক SSID-তে উভয় ফিচার কনফিগার করার পরিকল্পনা করছেন। এটি কি সম্ভব? যদি না হয়, তবে সঠিক আর্কিটেকচারটি কী?

ইঙ্গিত: WatchGuard ডায়নামিক VLAN-এর প্রয়োজনীয়তাগুলি পর্যালোচনা করুন। কোনো ফিচার দ্বন্দ্ব আছে কি?

মডেল উত্তর দেখুন

একটি একক SSID-তে এটি সম্ভব নয়। WatchGuard একই সাথে একই SSID-তে ডায়নামিক VLAN (PPSK-এর জন্য প্রয়োজনীয়) এবং Captive Portal সমর্থন করে না। সঠিক আর্কিটেকচারে দুটি SSID ব্যবহার করা হয়: SSID 1 ('Venue-Guest') যা সাধারণ অতিথিদের জন্য Purple-এ এক্সটার্নাল Captive Portal রিডাইরেকশন সহ একটি ওপেন SSID হিসেবে কনফিগার করা হবে। SSID 2 ('Venue-Retail') যা WPA2 Personal, PPSK সক্রিয় এবং ৬টি রিটেল টেন্যান্টের জন্য ডায়নামিক VLAN অ্যাসাইনমেন্ট সহ কনফিগার করা হবে। উভয় SSID একই AP330 হার্ডওয়্যার থেকে ব্রডকাস্ট হয়, তাই আরএফ প্রভাব কেবল একটি অতিরিক্ত SSID বিকনের মধ্যেই সীমাবদ্ধ থাকে। AP-এর সাথে সংযুক্ত সুইচ পোর্টটি অবশ্যই একটি ট্রাঙ্ক পোর্ট হতে হবে যা উভয় SSID-এর জন্য সমস্ত প্রাসঙ্গিক VLAN বহন করে।

এই সিরিজে পড়া চালিয়ে যান

Purple WiFi-এর সাথে CommScope Ruckus ইন্টিগ্রেশন: সেটআপ এবং কনফিগারেশন গাইড

এই টেকনিক্যাল রেফারেন্স গাইডটি Purple WiFi-এর সাথে CommScope Ruckus আর্কিটেকচার ইন্টিগ্রেট করার জন্য একটি নির্ভরযোগ্য কনফিগারেশন প্লেবুক প্রদান করে। এটি গেস্ট WiFi Captive Portal, 802.1X-এর মাধ্যমে সিকিউর স্টাফ WiFi এবং Ruckus ডাইনামিক PSK ব্যবহার করে মাল্টি-টেন্যান্ট নেটওয়ার্ক আইসোলেশনের জন্য ধাপে ধাপে ডেপ্লয়মেন্টের বিবরণ দেয়।

গাইডটি পড়ুন →

Purple WiFi-এর সাথে Allied Telesis Access Points ইন্টিগ্রেশন

এই গাইডটি Purple WiFi-এর সাথে Allied Telesis TQ-Series access points ইন্টিগ্রেট করার জন্য একটি ব্যাপক কনফিগারেশন প্লেবুক প্রদান করে। এটি নিরাপদ মাল্টি-টেন্যান্ট ডেপ্লয়মেন্টের জন্য এক্সটার্নাল Captive Portal রিডাইরেকশন, 802.1X RADIUS অথেন্টিকেশন এবং প্রাইভেট প্রি-শেয়ার্ড কি (PPSK) ব্যবহার করে ডাইনামিক VLAN স্টিয়ারিং কভার করে।

গাইডটি পড়ুন →

Purple WiFi-এর সাথে Grandstream GWN Access Points-এর ইন্টিগ্রেশন

এই নির্ভরযোগ্য প্রযুক্তিগত রেফারেন্স গাইডটিতে Grandstream GWN access points-এর সাথে Purple-এর Guest WiFi এবং অ্যানালিটিক্স প্ল্যাটফর্ম কীভাবে ইন্টিগ্রেট করতে হয় তা বিস্তারিতভাবে আলোচনা করা হয়েছে। এতে Grandstream captive portal কনফিগারেশন, RADIUS AAA সেটিংস, walled garden সেটআপ, ডাইনামিক VLAN স্টিয়ারিং সহ সুরক্ষিত স্টাফ 802.1X অথেন্টিকেশন এবং মাল্টি-টেন্যান্ট PPSK সেগমেন্টেশন অন্তর্ভুক্ত রয়েছে - যা স্কেলে গেস্ট এবং স্টাফ WiFi স্থাপনকারী MSP এবং IT টিমগুলোর জন্য কার্যকর, ধাপে ধাপে নির্দেশিকা প্রদান করে।

গাইডটি পড়ুন →