মূল কন্টেন্টে যান
বাংলা

Purple WiFi -এর সাথে Cisco WLC এবং Catalyst ইন্টিগ্রেশন: ধাপে ধাপে গেস্ট অ্যাক্সেস গাইড

এই প্রামাণিক নির্দেশিকাটিতে Purple WiFi -এর সাথে Cisco Catalyst 9800 WLCs -এর ধাপে ধাপে ইন্টিগ্রেশনের বিস্তারিত বিবরণ দেওয়া হয়েছে। এতে গেস্ট Captive Portal -এর জন্য External Web Authentication, নিরাপদ কর্মীদের অ্যাক্সেসের জন্য 802.1X EAP-TLS, এবং মাল্টি-টেন্যান্ট ডাইনামিক VLAN সেগমেন্টেশনের জন্য Cisco iPSK কভার করা হয়েছে।

📖 6 মিনিট পাঠ📝 1,300 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
Purple-এর টেকনিক্যাল ব্রিফিং সিরিজে আপনাকে স্বাগত। আজ আমরা এমন একটি বিষয় আলোচনা করছি যা আতিথেয়তা, খুচরা বিক্রেতা বা বড় আকারের ভেন্যুতে কর্মরত প্রায় প্রতিটি এন্টারপ্রাইজ নেটওয়ার্ক আর্কিটেক্টের টেবিলে আসে: Cisco Wireless LAN Controller এবং Catalyst ওয়্যারলেস পরিকাঠামোকে Purple-এর Guest WiFi প্ল্যাটফর্মের সাথে একীভূত করা। আপনি যদি Cisco Catalyst 9800 সিরিজের কন্ট্রোলার বা লেগ্যাসি AireOS প্ল্যাটফর্ম ব্যবহার করেন এবং আপনার একটি কমপ্লায়েন্ট, সেগমেন্টেড, অ্যানালিটিক্স-চালিত গেস্ট নেটওয়ার্ক সরবরাহ করার প্রয়োজন হয়, তবে এই ব্রিফিংটি আপনার জন্য। [medium pause] চলুন প্রেক্ষাপট দিয়ে শুরু করা যাক। বিশ্বব্যাপী ৮০,০০০-এরও বেশি লাইভ ভেন্যুতে Purple কাজ করে এবং এন্টারপ্রাইজ পরিবেশে Cisco হলো সবচেয়ে প্রধান ওয়্যারলেস পরিকাঠামো বিক্রেতা। এই দুটি প্ল্যাটফর্মকে একসাথে সচলভাবে কাজ করানো জটিল নয়, তবে এর জন্য আপনাকে শুরুতেই সঠিক আর্কিটেকচারাল সিদ্ধান্ত নিতে হবে। ভুল সিদ্ধান্ত নিলে, রিডাইরেক্ট লুপ, VLAN অমিল এবং RADIUS টাইমআউট ট্রাবলশুট করতে আপনাকে কয়েক সপ্তাহ ব্যয় করতে হবে। আর সঠিক সিদ্ধান্ত নিলে, আপনি এমন একটি নেটওয়ার্ক পাবেন যা গেস্ট, কর্মী এবং IoT ডিভাইসগুলিকে স্বয়ংক্রিয়ভাবে সেগমেন্ট করে, কমপ্লায়েন্স মেনে ফার্স্ট-পার্টি ডেটা সংগ্রহ করে এবং কোনো ম্যানুয়াল হস্তক্ষেপ ছাড়াই শত শত সাইটে স্কেল করে। [medium pause] তাহলে চলুন আর্কিটেকচার সম্পর্কে বিস্তারিত জানা যাক। [short pause] Cisco ডিপ্লয়মেন্টে কোনো গেস্ট যখন আপনার WiFi নেটওয়ার্কের সাথে সংযোগ স্থাপন করে, তখন তাদের ইন্টারনেটে পৌঁছানোর আগে তিনটি জিনিস ঘটার প্রয়োজন হয়। প্রথমত, Cisco Catalyst 9800 WLC-কে সেই প্রাথমিক HTTP অনুরোধটি ইন্টারসেপ্ট করতে হবে এবং ক্লায়েন্টকে Purple-এর Captive Portal-এ রিডাইরেক্ট করতে হবে। দ্বিতীয়ত, Purple-এর পোর্টালকে ব্যবহারকারীকে অথেন্টিকেট করতে হবে, তা সোশ্যাল লগইন, ইমেল, SMS বা সাধারণ শর্তাবলী গ্রহণের মাধ্যমেই হোক না কেন। তৃতীয়ত, Purple-এর RADIUS সার্ভারকে WLC-তে সংকেত পাঠাতে হবে যে ব্যবহারকারী অনুমোদিত এবং বিকল্পভাবে তাদের একটি নির্দিষ্ট VLAN-এ অ্যাসাইন করতে হবে। [medium pause] প্রথম ধাপটি যে মেকানিজম পরিচালনা করে তাকে বলা হয় External Web Authentication বা EWA। Catalyst 9800-এ, আপনি একটি ওয়েব অথেন্টিকেশন প্যারামিটার ম্যাপ কনফিগার করবেন যা Purple-এর স্প্ল্যাশ পেজ URL-কে নির্দেশ করে। WLC অননুমোদিত ক্লায়েন্টদের থেকে সমস্ত HTTP ট্রাফিক ইন্টারসেপ্ট করে এবং সেই URL-এ একটি 302 রিডাইরেক্ট ইস্যু করে। আপনাকে একটি প্রি-অথেন্টিকেশন ACL কনফিগার করতে হবে বা 9800-এর URL ফিল্টার ফিচার ব্যবহার করতে হবে যাতে Purple-এর পোর্টাল IP অ্যাড্রেসগুলিকে হোয়াইটলিস্ট করা যায়, যাতে ক্লায়েন্টরা অথেন্টিকেট হওয়ার আগেই স্প্ল্যাশ পেজে পৌঁছাতে পারে। Purple তার পোর্টালের জন্য দুটি IP অ্যাড্রেস প্রদান করে এবং আপনার প্রি-অথ ACL-এ উভয়কেই অনুমতি দিতে হবে। [medium pause] Catalyst 9800-এর কনফিগারেশন সিকোয়েন্সটি এখানে দেওয়া হলো। প্রথমে, প্যারামিটার ম্যাপ তৈরি করুন। তারপর প্রি-অথেন্টিকেশন হিসেবে Purple-এর ডোমেনকে অনুমতি দিতে আপনার URL ফিল্টার কনফিগার করুন। এটি আপনার WLAN পলিসি প্রোফাইলে প্রয়োগ করুন, Layer 2 সিকিউরিটি None-এ সেট করুন, Layer 3-তে Web Policy সক্ষম করুন এবং এটিকে আপনার প্যারামিটার ম্যাপে নির্দেশ করুন। [medium pause] এখন, RADIUS। Purple এই আর্কিটেকচারে RADIUS সার্ভার হিসাবে কাজ করে। আপনি WLC-কে Purple-এর RADIUS এন্ডপয়েন্টে পয়েন্ট করার জন্য কনফিগার করবেন, যা আপনি আপনার ভেন্যুর নেটওয়ার্ক সেটিংসের অধীনে Purple ড্যাশবোর্ডে পাবেন। শেয়ার্ড সিক্রেট প্রতি ভেন্যুর জন্য তৈরি করা হয়। Catalyst 9800-এ, Configuration, Security, AAA, Servers-এ যান এবং সঠিক IP এবং শেয়ার্ড সিক্রেট সহ Purple-এর RADIUS সার্ভার যোগ করুন। তারপর একটি সার্ভার গ্রুপ, একটি অথেনটিকেশন মেথড লিস্ট তৈরি করুন এবং এটি আপনার WLAN-এ প্রয়োগ করুন। [medium pause] একটি বিষয় যা অনেকেই এড়িয়ে যান: 9800-এ, আপনাকে গ্লোবাল ওয়েব অথ প্যারামিটার ম্যাপে ভার্চুয়াল IP অ্যাড্রেসও কনফিগার করতে হবে। ভার্চুয়াল IPv4 অ্যাড্রেস হিসাবে 192.0.2.1 ব্যবহার করুন। আপনি যদি এটি এড়িয়ে যান, ক্লায়েন্টরা মাঝে মাঝে Purple-এর পোর্টালের পরিবর্তে ইন্টারনাল পোর্টালে রিডাইরেক্ট হয়ে যায়, এবং আপনি একটি হতাশাজনক বিকেল পার করবেন কেন এমন হচ্ছে তা ভেবে। [medium pause] আসুন 802.1X সহ স্টাফ WiFi-এ এগিয়ে যাই। [short pause] স্টাফ নেটওয়ার্কের জন্য, আপনি EAP-TLS ব্যবহার করে সার্টিফিকেট-ভিত্তিক অথেনটিকেশন চান, অথবা সার্টিফিকেট ডেপ্লয়মেন্ট যেখানে সম্ভব নয় এমন এনভায়রনমেন্টের জন্য অন্ততপক্ষে MSCHAPv2 সহ PEAP চান। Catalyst 9800-এ, স্টাফদের জন্য একটি পৃথক WLAN তৈরি করুন, Layer 2 সিকিউরিটি WPA2 Enterprise-এ সেট করুন এবং অথেনটিকেশনটিকে আপনার RADIUS সার্ভারে পয়েন্ট করুন। আপনি যদি আপনার আইডেন্টিটি প্রোভাইডার হিসাবে Microsoft Entra ID বা Okta ব্যবহার করেন, তবে Purple-এর SecurePass অ্যাড-অন RADIUS প্রক্সি হিসাবে কাজ করে, যা 802.1X অথেনটিকেশন রিকোয়েস্টগুলোকে আইডেন্টিটি প্রোভাইডার লুকআপে রূপান্তর করে। এর মানে হল স্টাফ অথেনটিকেশনের জন্য আপনার একটি পৃথক অন-প্রিমিসেস RADIUS সার্ভারের প্রয়োজন নেই। Purple EAP টার্মিনেশন পরিচালনা করে এবং আইডেন্টিটি চেকটি আপনার আইডেন্টিটি প্রোভাইডারের কাছে ফরোয়ার্ড করে। [medium pause] বিশেষ করে EAP-TLS-এর জন্য, আপনাকে স্টাফ ডিভাইসগুলোতে ক্লায়েন্ট সার্টিফিকেট ডেপ্লয় করতে হবে, হয় Microsoft Intune, Jamf বা একই ধরনের MDM প্ল্যাটফর্মের মাধ্যমে। সার্টিফিকেট চেইনটি অবশ্যই Purple-এর RADIUS সার্ভার দ্বারা বিশ্বস্ত হতে হবে, যার অর্থ আপনার রুট CA সার্টিফিকেট Purple ড্যাশবোর্ডে আপলোড করতে হবে। একবার এটি সেট হয়ে গেলে, স্টাফ ডিভাইসগুলো কোনো পাসওয়ার্ড প্রম্পট এবং স্প্ল্যাশ পেজ ছাড়াই নীরবে অথেনটিকেট করে। ব্যবহারকারী কানেক্ট করেন, সার্টিফিকেটটি যাচাই করা হয় এবং তারা কয়েক সেকেন্ডের মধ্যে স্টাফ VLAN-এ যুক্ত হয়ে যান। [medium pause] এখন, সেই অংশটি যা বেশিরভাগ আর্কিটেক্ট সত্যিই আকর্ষণীয় বলে মনে করেন: Cisco Identity PSK, বা iPSK। [short pause] iPSK একটি নির্দিষ্ট সমস্যার সমাধান করে যা মাল্টি-টেন্যান্ট এনভায়রনমেন্টে ক্রমাগত সামনে আসে। ৩০০টি কক্ষ বিশিষ্ট একটি হোটেল, বা ৫০টি স্টোর বিশিষ্ট একটি রিটেল এস্টেট, অথবা ২০০টি অ্যাপার্টমেন্ট বিশিষ্ট একটি বিল্ড-টু-রেন্ট ডেভেলপমেন্টের কথা ভাবুন। আপনি একটি একক SSID চান, কিন্তু আপনার প্রতিটি টেন্যান্ট, প্রতিটি রুম বা প্রতিটি ডিভাইস গ্রুপকে নিজস্ব VLAN-এ আইসোলেট করা প্রয়োজন। প্রথাগত উত্তর ছিল প্রতি টেন্যান্টের জন্য একটি পৃথক SSID তৈরি করা, যা স্কেল করে না এবং রেডিও ফ্রিকোয়েন্সি কনজেশন তৈরি করে। iPSK আপনাকে একটি একক SSID দেয় যেখানে প্রতিটি ক্লায়েন্ট বা ক্লায়েন্ট গ্রুপের একটি ইউনিক প্রি-শেয়ার্ড কি থাকে এবং RADIUS সার্ভার সেই কি-টিকে একটি নির্দিষ্ট VLAN-এ ম্যাপ করে। [medium pause] কারিগরিভাবে এটি যেভাবে কাজ করে তা এখানে দেওয়া হলো। যখন একটি ক্লায়েন্ট SSID এর সাথে যুক্ত হয়, তখন Catalyst 9800 WLC ক্লায়েন্টের MAC অ্যাড্রেস সহ Purple-এর RADIUS সার্ভারে একটি RADIUS Access-Request পাঠায়। Purple-এর RADIUS সার্ভার তার iPSK ডেটাবেসে সেই MAC অ্যাড্রেসটি অনুসন্ধান করে, সংশ্লিষ্ট PSK এবং VLAN অ্যাসাইনমেন্ট খুঁজে বের করে এবং PSK সহ Cisco AV-pair এবং VLAN অ্যাসাইনমেন্টের জন্য IETF টানেল অ্যাট্রিবিউট ধারণকারী একটি RADIUS Access-Accept ফেরত পাঠায়। WLC ফেরত আসা PSK ব্যবহার করে WPA2 ফোর-ওয়ে হ্যান্ডশেক সম্পন্ন করে এবং তারপর ক্লায়েন্টকে নির্ধারিত VLAN-এ স্থাপন করে। [medium pause] ডাইনামিক VLAN অ্যাসাইনমেন্টের জন্য আপনার প্রয়োজনীয় তিনটি RADIUS অ্যাট্রিবিউট হলো: IETF অ্যাট্রিবিউট 64, Tunnel-Type, যা VLAN-এ সেট করা থাকে যার মান 13। IETF অ্যাট্রিবিউট 65, Tunnel-Medium-Type, যা 802-এ সেট করা থাকে যার মান 6। এবং IETF অ্যাট্রিবিউট 81, Tunnel-Private-Group-ID, যা একটি স্ট্রিং হিসেবে VLAN ID-তে সেট করা থাকে। RADIUS Access-Accept-এ একসাথে পাঠানো এই তিনটি অ্যাট্রিবিউট WLC-কে অবিকলভাবে বলে দেয় যে কোন VLAN অ্যাসাইন করতে হবে। VLAN-টি অবশ্যই WLC-তে একটি ডাইনামিক ইন্টারফেস হিসেবে আগে থেকেই বিদ্যমান থাকতে হবে এবং আপলিংক সুইচ পোর্টটিকে অবশ্যই সমস্ত প্রাসঙ্গিক VLAN বহনকারী একটি ট্রাঙ্ক হিসেবে কনফিগার করতে হবে। [medium pause] WLC-এর দিকে, iPSK WLAN-এ MAC ফিল্টারিং সক্রিয় করুন, AAA Override সক্রিয় করুন এবং লেয়ার 2 সিকিউরিটি WPA2-PSK-এ সেট করুন। WLAN-এ আপনি যে গ্লোবাল PSK কনফিগার করেন তা শুধুমাত্র একটি ফলব্যাক হিসেবে কাজ করে। Purple-এর iPSK ডেটাবেসে নিবন্ধিত যেকোনো ক্লায়েন্টের MAC অ্যাড্রেসের জন্য RADIUS-ফেরত পাঠানো PSK অগ্রাধিকার পাবে। অনিবন্ধিত ডিভাইসের জন্য, আপনার পলিসির ওপর নির্ভর করে আপনি অ্যাক্সেস প্রত্যাখ্যান করতে পারেন অথবা গ্লোবাল PSK-এ ফিরে যেতে পারেন। [medium pause] বিষয়টি বাস্তবসম্মত করতে আমি আপনাকে দুটি বাস্তব-জগতের পরিস্থিতি তুলে ধরি। [short pause] প্রথম পরিস্থিতি: একটি ২০০ রুমের হোটেল। হোটেলটি অতিথিদের শুধুমাত্র ইন্টারনেট অ্যাক্সেস সহ VLAN 10-এ, কর্মীদের প্রপার্টি ম্যানেজমেন্ট সিস্টেমে অ্যাক্সেস সহ VLAN 20-এ এবং IoT ডিভাইস, দরজার লক, থার্মোস্টেট, CCTV কোনো ইন্টারনেট অ্যাক্সেস ছাড়া VLAN 30-এ রাখতে চায়। তারা Cisco 9100 সিরিজের অ্যাক্সেস পয়েন্ট সহ Cisco Catalyst 9800 কন্ট্রোলার চালাচ্ছে। [medium pause] এর আর্কিটেকচার: WLC-তে তিনটি পলিসি প্রোফাইল, প্রতি VLAN-এ একটি করে। Purple-এর দিকে নির্দেশ করা এক্সটার্নাল ওয়েব অথেন্টিকেশন ব্যবহার করে অতিথিদের জন্য একটি একক SSID। EAP-TLS সহ WPA2 Enterprise ব্যবহারকারী কর্মীদের জন্য একটি পৃথক SSID, যা Microsoft Entra ID-এর বিপরীতে Purple SecurePass-এর মাধ্যমে অথেন্টিকেট করা হয়। এবং IoT ডিভাইসের জন্য iPSK, যেখানে প্রতিটি ডিভাইসের MAC অ্যাড্রেস Purple-এর পোর্টালে নিবন্ধিত এবং VLAN 30-এ অ্যাসাইন করা থাকে। হোটেলের প্রপার্টি ম্যানেজমেন্ট সিস্টেম Purple-এর API-এর মাধ্যমে নতুন IoT ডিভাইস প্রভিশন করে, তাই যখন একটি নতুন দরজার লক ইনস্টল করা হয়, তখন তার MAC অ্যাড্রেসটি স্বয়ংক্রিয়ভাবে নিবন্ধিত হয় এবং সঠিক VLAN-এ অ্যাসাইন করা হয়। কোনো ম্যানুয়াল RADIUS কনফিগারেশনের প্রয়োজন হয় না। [medium pause] দ্বিতীয় পরিস্থিতি: ৮০টি স্টোর বিশিষ্ট একটি রিটেল চেইন। প্রতিটি স্টোরে একটি গেস্ট WiFi নেটওয়ার্ক, একটি স্টাফ নেটওয়ার্ক এবং পেমেন্ট টার্মিনালের জন্য একটি নেটওয়ার্ক রয়েছে। PCI-DSS কমপ্লায়েন্সের জন্য পেমেন্ট টার্মিনাল নেটওয়ার্কটিকে গেস্ট নেটওয়ার্ক থেকে সম্পূর্ণ বিচ্ছিন্ন রাখা প্রয়োজন। রিটেইলারটি প্রতিটি সাইটে Cisco Catalyst 9800-L কন্ট্রোলার ব্যবহার করে, যা Cisco Catalyst Centre-এর মাধ্যমে কেন্দ্রীয়ভাবে পরিচালিত হয়। [medium pause] Purple একটি ক্লাউড ওভারলে হিসাবে কাজ করে। প্রতিটি স্টোরের WLC-কে Purple-এর RADIUS সার্ভারের বিবরণ দিয়ে কনফিগার করা হয়। গেস্ট অথেন্টিকেশনের জন্য ইমেল ক্যাপচার সহ একটি ব্র্যান্ডেড স্প্ল্যাশ পেজ ব্যবহার করা হয়, যা Purple-এর অ্যানালিটিক্স প্ল্যাটফর্মে ফার্স্ট-পার্টি ডেটা ফিড করে। স্টাফ অথেন্টিকেশনের জন্য Active Directory-র বিরুদ্ধে Purple SecurePass-এর মাধ্যমে PEAP ব্যবহার করা হয়। পেমেন্ট টার্মিনালগুলো একটি ডেডিকেটেড VLAN সহ iPSK ব্যবহার করে, এবং প্রি-অথ অথেন্টিকেশন ACL স্পষ্টভাবে পেমেন্ট VLAN এবং গেস্ট VLAN-এর মধ্যে সমস্ত ট্রাফিক ব্লক করে, যা নেটওয়ার্ক সেগমেন্টেশনের জন্য PCI DSS-এর প্রয়োজনীয়তা ১.৩ পূরণ করে। [medium pause] এখন আসুন সমস্যাগুলো নিয়ে কথা বলি। [short pause] সবচেয়ে সাধারণ ব্যর্থতার মোড হলো রিডাইরেক্ট লুপ। এটি ঘটে যখন প্রি-অথ অথেন্টিকেশন ACL সঠিকভাবে Purple-এর পোর্টাল IP অ্যাড্রেসগুলোকে হোয়াইটলিস্ট করে না, ফলে WLC ক্লায়েন্টকে Purple-এর পোর্টালে রিডাইরেক্ট করে, কিন্তু ক্লায়েন্ট পোর্টালে পৌঁছাতে পারে না কারণ ACL এটি ব্লক করে, তাই WLC আবার অনির্দিষ্টকালের জন্য রিডাইরেক্ট করে। সমাধান: আপনার URL ফিল্টার বা প্রি-অথ অথেন্টিকেশন ACL-এ Purple-এর উভয় পোর্টাল IP অ্যাড্রেস অন্তর্ভুক্ত রয়েছে কিনা তা যাচাই করুন, এবং প্রি-অথেন্টিকেশন DNS রেজোলিউশন অনুমোদিত কিনা তা নিশ্চিত করুন। [medium pause] দ্বিতীয় সাধারণ সমস্যাটি হলো VLAN অমিল। RADIUS সার্ভার একটি VLAN ID রিটার্ন করে যা WLC-তে ডাইনামিক ইন্টারফেস হিসাবে বিদ্যমান নেই। WLC তখন ক্লায়েন্টকে নেটিভ VLAN-এ রাখে, যা সাধারণত ম্যানেজমেন্ট VLAN। এটি একটি নিরাপত্তা ঝুঁকি। সমাধান: ডিপ্লয় করার আগে, Purple-এর RADIUS পলিসিতে কনফিগার করা VLAN ID-গুলির সাথে আপনার WLC ডাইনামিক ইন্টারফেসগুলো অডিট করুন। এগুলো অবশ্যই হুবহু মিলতে হবে। [medium pause] তৃতীয় সমস্যা: EAP-TLS ডিপ্লয়মেন্টে সার্টিফিকেট ট্রাস্টের ব্যর্থতা। যদি ক্লায়েন্টের সার্টিফিকেট চেইন Purple-এর RADIUS সার্ভার দ্বারা বিশ্বস্ত না হয়, তবে ব্যবহারকারীর দৃষ্টিকোণ থেকে অথেন্টিকেশন নীরবে ব্যর্থ হয়। তারা কেবল সংযোগ করতে পারে না। সমাধান: ক্লায়েন্ট সার্টিফিকেট রোল আউট করার আগে আপনার রুট CA এবং যেকোনো ইন্টারমিডিয়েট CA সার্টিফিকেট Purple-এর SecurePass কনফিগারেশনে আপলোড করুন। পুরো বহরে রোল আউট করার আগে একটি একক ডিভাইস দিয়ে পরীক্ষা করুন। [medium pause] দ্রুত প্রশ্নোত্তর। [short pause] WLC-এর পরিবর্তে আমি কি Cisco Meraki-র সাথে Purple ব্যবহার করতে পারি? হ্যাঁ। Cisco Meraki-র নিজস্ব ক্যাপটিভ পোর্টাল ইন্টিগ্রেশন মেকানিজম রয়েছে এবং Purple এটিকে নেটিভভাবে সাপোর্ট করে। RADIUS কনফিগারেশন একই রকম তবে WLC কমান্ড লাইনের পরিবর্তে Meraki-র ড্যাশবোর্ড ব্যবহার করে। [short pause] Purple কি Cisco-তে WPA3 সাপোর্ট করে? হ্যাঁ। IOS-XE ১৭.৩ এবং পরবর্তী সংস্করণ সহ Cisco Catalyst ৯৮০০-এ WPA3-SAE সমর্থিত। Purple-এর RADIUS ইন্টিগ্রেশন WPA3-এর সাথেও একইভাবে কাজ করে। [short pause] RADIUS টাইমআউটের জন্য সুপারিশ কী? আপনার প্রাইমারি RADIUS সার্ভারের টাইমআউট দুটি রিট্রাই সহ তিন সেকেন্ড সেট করুন। ফেইলওভারের জন্য একটি সেকেন্ডারি RADIUS সার্ভার কনফিগার করুন। Purple এন্টারপ্রাইজ গ্রাহকদের জন্য রিডান্ডেন্ট RADIUS এন্ডপয়েন্ট প্রদান করে। [short pause] আমি কি Purple-এর পাশাপাশি Cisco ISE ব্যবহার করতে পারি? হ্যাঁ। কিছু সংস্থা পোস্টার অ্যাসেসমেন্ট এবং ডিভাইস প্রোফাইলিংয়ের জন্য ISE ব্যবহার করে এবং গেস্ট পোর্টাল ও অ্যানালিটিক্সের জন্য Purple ব্যবহার করে। দুটি RADIUS সার্ভার আলাদা WLAN-এ কনফিগার করা হয়। [medium pause] সংক্ষেপে বলতে গেলে। [short pause] Cisco WLC এবং Catalyst ওয়্যারলেস পরিকাঠামো Purple-এর সাথে নির্বিঘ্নে সংহত হয়, যেখানে গেস্ট Captive Portal রিডাইরেকশনের জন্য External Web Authentication, Purple SecurePass-এর মাধ্যমে কর্মীদের প্রমাণীকরণের জন্য 802.1X EAP-TLS বা PEAP এবং মাল্টি-টেন্যান্ট ও IoT সেগমেন্টেশনের জন্য ডায়নামিক VLAN অ্যাসাইনমেন্ট সহ Cisco iPSK ব্যবহার করা হয়। তিনটি RADIUS VLAN অ্যাট্রিবিউট - Tunnel-Type, Tunnel-Medium-Type এবং Tunnel-Private-Group-ID - হল সেই মেকানিজম যা ডায়নামিক সেগমেন্টেশন পরিচালনা করে। ফ্লীট ডেপ্লয়মেন্টের আগে আপনার প্রি-অথ ACL-গুলি সঠিক করুন, RADIUS এবং WLC-এর মধ্যে আপনার VLAN ID-গুলি মেলান এবং সার্টিফিকেট ট্রাস্ট চেইনগুলি পরীক্ষা করুন। [medium pause] Purple ৮০,০০০-এরও বেশি ভেন্যুতে কাজ করে এবং ২০২৪ সালে ৪৪০ মিলিয়ন লগইন প্রসেস করেছে। Cisco ইন্টিগ্রেশন হল বিশ্বব্যাপী আমাদের সবচেয়ে বেশি ডেপ্লয় করা কনফিগারেশনগুলির একটি। আপনি যদি শুরু করতে চান, তবে Purple ড্যাশবোর্ড আপনাকে প্রতি ভেন্যু অনুযায়ী RADIUS কনফিগারেশনের ধাপগুলি দেখাবে এবং এন্টারপ্রাইজ ডেপ্লয়মেন্টের জন্য আমাদের ইন্টিগ্রেশন টিম উপলব্ধ রয়েছে। [medium pause] এই ব্রিফিংয়ে আজ এই পর্যন্তই। শোনার জন্য ধন্যবাদ।

header_image.png

এক্সিকিউটিভ সামারি

এন্টারপ্রাইজ পরিবেশ জুড়ে একটি নিরাপদ, কমপ্লায়েন্ট এবং স্কেলযোগ্য ওয়্যারলেস নেটওয়ার্ক স্থাপন করতে অবকাঠামো এবং আইডেন্টিটি প্রোভাইডারদের মধ্যে কঠোর সমন্বয় প্রয়োজন। এই গাইডে Cisco Catalyst 9800 ওয়্যারলেস ল্যান কন্ট্রোলার (WLC)-এর সাথে Purple-এর ক্লাউড প্ল্যাটফর্মকে ইন্টিগ্রেট করার জন্য প্রয়োজনীয় আর্কিটেকচারাল সিদ্ধান্ত এবং কনফিগারেশন পদক্ষেপগুলি বিস্তারিত আলোচনা করা হয়েছে।

গেস্ট অ্যাক্সেসের জন্য, আমরা Captive Portal রিডাইরেকশনের উদ্দেশ্যে এক্সটার্নাল ওয়েব অথেনটিকেশন (EWA) নিয়ে আলোচনা করব, যা ফার্স্ট-পার্টি ডেটা সংগ্রহ এবং Guest WiFi অ্যানালিটিক্স সক্ষম করে। স্টাফ অ্যাক্সেসের জন্য, আমরা Microsoft Entra ID বা Okta-তে একটি RADIUS প্রক্সি হিসেবে Purple SecurePass ব্যবহার করে 802.1X EAP-TLS এবং PEAP অথেনটিকেশন বিস্তারিতভাবে বর্ণনা করেছি। IoT এবং মাল্টি-টেন্যান্ট পরিবেশের জন্য, আমরা Cisco Identity PSK (iPSK) কনফিগারেশনের রূপরেখা দিয়েছি, যা জটিল সার্টিফিকেট স্থাপনের উপর নির্ভর না করেই একটি একক SSID-তে ডায়নামিক VLAN অ্যাসাইনমেন্ট এবং নেটওয়ার্ক সেগমেন্টেশন সক্ষম করে।

Purple বিশ্বব্যাপী ৮০,০০০+ এরও বেশি লাইভ ভেন্যুতে কাজ করে, যা ২০২৪ সালে ৪৪০ মিলিয়ন লগইন প্রসেস করেছে। এই ইন্টিগ্রেশনটি উচ্চ-ঘনত্বের Hospitality , Retail , এবং Transport পরিবেশগুলিতে প্রমাণিত যেখানে আপটাইম, কমপ্লায়েন্স এবং নির্বিঘ্ন ব্যবহারকারীর অভিজ্ঞতা অত্যন্ত গুরুত্বপূর্ণ।

টেকনিক্যাল ডিপ-ডাইভ: আর্কিটেকচার এবং অথেনটিকেশন ফ্লো

১. Guest WiFi: এক্সটার্নাল ওয়েব অথেনটিকেশন (EWA)

একটি ব্র্যান্ডেড Captive Portal প্রদান করতে এবং WiFi Analytics -এর জন্য ব্যবহারকারীর ডেটা সংগ্রহ করতে, Cisco Catalyst 9800 WLC-কে অবশ্যই আনঅথেনটিকেটেড HTTP ট্র্যাফিক ইন্টারসেপ্ট করতে হবে এবং এটিকে Purple-এর ক্লাউড-হোস্টেড স্প্ল্যাশ পেজে রিডাইরেক্ট করতে হবে। এই মেকানিজমকে এক্সটার্নাল ওয়েব অথেনটিকেশন (EWA) বলা হয়।

architecture_overview.png

প্রক্রিয়াটি একটি নির্দিষ্ট সিকোয়েন্স অনুসরণ করে: ১. ক্লায়েন্টটি ওপেন বা Opportunistic Wireless Encryption (OWE) SSID-এর সাথে যুক্ত হয়। ২. WLC ক্লায়েন্টটিকে একটি Webauth_reqd স্টেটে রাখে এবং একটি প্রি-অথেনটিকেশন অ্যাক্সেস কন্ট্রোল লিস্ট (ACL) প্রয়োগ করে। ৩. WLC ক্লায়েন্টের HTTP রিকোয়েস্ট ইন্টারসেপ্ট করে এবং Purple-এর স্প্ল্যাশ পেজ URL-এ একটি 302 রিডাইরেক্ট ইস্যু করে, যার সাথে AP MAC অ্যাড্রেস, ক্লায়েন্ট MAC অ্যাড্রেস এবং WLAN SSID-এর মতো প্যারামিটার যুক্ত থাকে। ৪. ক্লায়েন্ট Purple পোর্টালে অথেনটিকেশন যাত্রা সম্পন্ন করে (যেমন, সোশ্যাল লগইন, ইমেল সংগ্রহ বা শর্তাবলী গ্রহণ)। ৫. Purple-এর RADIUS সার্ভার WLC-তে একটি Access-Accept মেসেজ পাঠায়। ৬. WLC ক্লায়েন্টটিকে Run স্টেটে নিয়ে যায়, যা পোস্ট-অথেনটিকেশন পলিসির উপর ভিত্তি করে ইন্টারনেট অ্যাক্সেস মঞ্জুর করে।

২. Staff WiFi: 802.1X EAP-TLS এবং PEAP

কর্পোরেট ডিভাইসের জন্য, 802.1X সহ WPA2/WPA3 Enterprise সবচেয়ে শক্তিশালী সিকিউরিটি প্রদান করে। অন-প্রিমিসেস RADIUS সার্ভার যেমন Cisco ISE মোতায়েন করার পরিবর্তে, Purple SecurePass একটি ক্লাউড RADIUS প্রক্সি হিসেবে কাজ করে। এটি Extensible Authentication Protocol (EAP) টানেল বন্ধ করে এবং আইডেন্টিটি ভেরিফিকেশন আপনার Identity Provider (IdP), যেমন Microsoft Entra ID বা Google Workspace-এ ফরোয়ার্ড করে।

  • EAP-TLS: পরিচালিত কর্পোরেট ডিভাইসের জন্য প্রস্তাবিত। MDM (যেমন, Microsoft Intune) এর মাধ্যমে ক্লায়েন্ট সার্টিফিকেট মোতায়েন করা প্রয়োজন। অথেন্টিকেশন নিঃশব্দে এবং অত্যন্ত নিরাপদে সম্পন্ন হয়।
  • PEAP-MSCHAPv2: BYOD পরিবেশের জন্য প্রস্তাবিত যেখানে সার্টিফিকেট মোতায়েন করা অবাস্তব। ব্যবহারকারীরা তাদের কর্পোরেট ক্রেডেনশিয়াল দিয়ে অথেন্টিকেট করেন।

৩. IoT এবং মাল্টি-টেন্যান্ট: Cisco Identity PSK (iPSK)

বিল্ড-টু-রেন্ট (BTR) প্রোপার্টি, স্টুডেন্ট অ্যাকোমোডেশন, বা অসংখ্য IoT ডিভাইস সহ রিটেল স্টোরের মতো পরিবেশে, 802.1X মোতায়েন করা প্রায়শই অসম্ভব কারণ ডিভাইসগুলোতে সাপ্লিক্যান্ট সাপোর্ট থাকে না। প্রতিটি টেন্যান্ট বা ডিভাইসের জন্য আলাদা SSID তৈরি করলে RF কনজেশন ঘটে।

Cisco iPSK একটি একক SSID-তে একাধিক ইউনিক Pre-Shared Keys (PSKs) ব্যবহারের অনুমতি দিয়ে এটি সমাধান করে। যখন একটি ডিভাইস যুক্ত হয়, তখন WLC এর MAC অ্যাড্রেস Purple-এর RADIUS সার্ভারে পাঠায়। Purple সেই ডিভাইসের জন্য নির্দিষ্ট PSK এবং ডায়নামিক VLAN অ্যাসাইনমেন্ট অ্যাট্রিবিউট ফেরত পাঠায়, যা সুইচ পোর্টে ট্রাফিককে সেগমেন্ট করে।

ipsk_multitenant_diagram.png

Implementation Guide

গেস্ট Captive Portal রিডাইরেকশন কনফিগার করা

Catalyst 9800 WLC-তে এক্সটার্নাল ওয়েব অথেন্টিকেশন কনফিগার করতে, Purple-এর পোর্টালে প্রি-অথেন্টিকেশন ট্রাফিকের অনুমতি দেওয়ার জন্য আপনাকে একটি প্যারামিটার ম্যাপ এবং একটি URL ফিল্টার ডিফাইন করতে হবে [১]।

ধাপ ১: ওয়েব অথেন্টিকেশন প্যারামিটার ম্যাপ তৈরি করুন

প্রয়োজনীয় ভেরিয়েবল পাস করে ক্লায়েন্টদের Purple পোর্টালে রিডাইরেক্ট করতে WLC কনফিগার করুন। আপনাকে অবশ্যই গ্লোবালি ভার্চুয়াল IPv4 অ্যাড্রেস (সাধারণত 192.0.2.1) কনফিগার করতে হবে।

parameter-map type webauth PURPLE-GUEST
  type consent
  timeout init-state sec 600
  redirect for-login https://portal.purple.ai
  redirect append ap-mac tag ap_mac
  redirect append wlan-ssid tag wlan
  redirect append client-mac tag client_mac
  redirect portal ipv4 
  logout-window-disabled
  success-window-disabled

ধাপ ২: প্রি-অথেন্টিকেশন URL ফিল্টার কনফিগার করুন

ক্লায়েন্টদের অথেন্টিকেট হওয়ার আগে অবশ্যই Purple-এর পোর্টালে পৌঁছাতে হবে। 9800 WLC, DNS স্নুপিংয়ের ওপর ভিত্তি করে ইন্টারসেপ্ট ACL-এ ডায়নামিকালি হোল তৈরি করতে URL ফিল্টার ব্যবহার করে।

urlfilter list PURPLE-PREAUTH
  action permit
  url portal.purple.ai

আপনার WLAN পলিসি প্রোফাইলের প্রি-অথেন্টিকেশন ACL সেটিংসের অধীনে এই URL ফিল্টারটি প্রয়োগ করুন।

iPSK-এর জন্য ডায়নামিক VLAN অ্যাসাইনমেন্ট কনফিগার করা

ব্যবহারকারী বা ডিভাইসগুলিকে ডাইনামিকভাবে নির্দিষ্ট VLAN-এ রাখার জন্য, Purple RADIUS সার্ভারকে অবশ্যই Access-Accept রেসপন্সে [2] তিনটি নির্দিষ্ট IETF অ্যাট্রিবিউট পাঠাতে হবে।

  1. IETF 64 (Tunnel-Type): VLAN (ভ্যালু 13) এ সেট করুন।
  2. IETF 65 (Tunnel-Medium-Type): 802 (ভ্যালু 6) এ সেট করুন।
  3. IETF 81 (Tunnel-Private-Group-ID): VLAN ID একটি স্ট্রিং হিসেবে সেট করুন (যেমন, "10")।

Catalyst 9800 WLC-তে, iPSK WLAN-এ নিচের বিষয়গুলো কনফিগার করা হয়েছে কিনা তা নিশ্চিত করুন:

  • MAC Filtering চালু করা আছে।
  • AAA Override চালু করা আছে (RADIUS VLAN অ্যাসাইনমেন্ট গ্রহণ করার জন্য এটি অত্যন্ত গুরুত্বপূর্ণ)।
  • Layer 2 Security-কে WPA2-PSK হিসেবে সেট করা হয়েছে (কনফিগার করা PSK একটি ফলব্যাক হিসেবে কাজ করে)।

সর্বোত্তম অনুশীলন

  • VLAN যাচাইকরণ: RADIUS সার্ভার দ্বারা Tunnel-Private-Group-ID-তে ফেরত আসা VLAN ID অবশ্যই WLC-তে একটি ডাইনামিক ইন্টারফেস হিসেবে থাকতে হবে। যদি এটি না থাকে, তবে WLC ক্লায়েন্টকে নেটিভ VLAN-এ ফেলে দেয়, যা একটি মারাত্মক নিরাপত্তা ঝুঁকি তৈরি করে।
  • সার্টিফিকেট ট্রাস্ট চেইন: EAP-TLS ডেপ্লয়মেন্টের জন্য, ক্লায়েন্ট সার্টিফিকেট রোল আউট করার আগে আপনার Root CA এবং যেকোনো Intermediate CA সার্টিফিকেট Purple SecurePass ড্যাশবোর্ডে আপলোড করুন। RADIUS সার্ভার যদি চেইনটি যাচাই করতে না পারে, তবে কোনো নোটিফিকেশন ছাড়াই অথেন্টিকেশন ব্যর্থ হয়।
  • রিডান্ড্যান্ট RADIUS: সর্বদা সেকেন্ডারি RADIUS সার্ভার কনফিগার করুন। ব্যবহারকারীকে বিরক্ত না করে দ্রুত ফেইলওভার নিশ্চিত করতে প্রাইমারি টাইমআউট 2টি রিট্রাই সহ 3 সেকেন্ডে সেট করুন।
  • WPA3 গ্রহণ: ক্লায়েন্ট ডিভাইস দ্বারা সমর্থিত iPSK নেটওয়ার্কের জন্য WPA3-SAE ব্যবহার করুন। ওপেন গেস্ট নেটওয়ার্কের জন্য, পাসওয়ার্ডের প্রয়োজন ছাড়াই ট্রাফিক এনক্রিপ্ট করতে WPA3-OWE (Opportunistic Wireless Encryption) প্রয়োগ করুন।

ট্রাবলশুটিং ও ঝুঁকি প্রশমন

ব্যর্থতার ধরন লক্ষণ মূল কারণ প্রশমন
রিডাইরেক্ট লুপ ক্লায়েন্ট ডিভাইসটি পেজ লোড না করেই অনবরত Captive Portal পেজটি রিফ্রেশ করতে থাকে। প্রি-অথেন্টিকেশন ACL বা URL ফিল্টারটি Purple-এর পোর্টাল IP অ্যাড্রেসে অ্যাক্সেসের অনুমতি দেয় না। WLC ক্লায়েন্টকে রিডাইরেক্ট করে, ক্লায়েন্ট পেজটি লোড করার চেষ্টা করে, WLC এটি ব্লক করে এবং আবার রিডাইরেক্ট করে। পলিসি প্রোফাইলে PURPLE-PREAUTH URL ফিল্টারটি প্রয়োগ করা হয়েছে এবং পোর্টাল ডোমেনটি সঠিকভাবে বানান করা হয়েছে কিনা তা যাচাই করুন। প্রি-অথেন্টিকেশনে DNS ট্রাফিকের অনুমতি দেওয়া আছে কিনা তা নিশ্চিত করুন।
iPSK ফলব্যাক ব্যর্থতা আনরেজিস্টার্ড IoT ডিভাইস নেটওয়ার্কের সাথে সংযুক্ত হয় কিন্তু ভুল IP অ্যাড্রেস পায়। ডিভাইসের MAC অ্যাড্রেসটি Purple-এর RADIUS ডাটাবেসে নেই। WLC, WLAN-এ কনফিগার করা গ্লোবাল PSK-তে ফলব্যাক করে এবং ডিফল্ট VLAN অ্যাসাইন করে। Purple ড্যাশবোর্ডে MAC অ্যাড্রেসটি অডিট করুন। WLAN পলিসি প্রোফাইলে অ্যাসাইন করা ডিফল্ট VLAN যেন একটি সীমাবদ্ধ কোয়ারেন্টাইন নেটওয়ার্ক হয়, কর্পোরেট LAN নয়, তা নিশ্চিত করুন।
RADIUS টাইমআউট ক্লায়েন্টরা সংযোগ করতে দীর্ঘ বিলম্বের সম্মুখীন হয়; WLC লগ দেখায় যে RADIUS সার্ভারে পৌঁছানো যাচ্ছে না। WLC এবং Purple-এর ক্লাউড RADIUS এন্ডপয়েন্টের মধ্যকার ফায়ারওয়ালগুলো UDP পোর্ট 1812 (অথেন্টিকেশন) বা 1813 (অ্যাকাউন্টিং) ব্লক করছে। আউটবাউন্ড ফায়ারওয়াল নিয়মগুলো WLC ম্যানেজমেন্ট ইন্টারফেস থেকে Purple-এর প্রকাশিত RADIUS IP অ্যাড্রেসে UDP 1812/1813 অনুমতি দেয় কিনা তা যাচাই করুন।

ROI ও ব্যবসায়িক প্রভাব

Cisco এবং Purple-এর সাথে একটি ইউনিফাইড আর্কিটেকচার বাস্তবায়ন করা তিনটি মূল স্তম্ভের মাধ্যমে পরিমাপযোগ্য ব্যবসায়িক মূল্য প্রদান করে:

  1. Operational Efficiency: ম্যানুয়াল VLAN প্রভিশনিং এবং একাধিক SSID-কে iPSK দিয়ে প্রতিস্থাপন করা IT টিকিট ভলিউম হ্রাস করে। API-এর মাধ্যমে IoT অনবোর্ডিং স্বয়ংক্রিয় করা প্রতি সাইটে টেকনিশিয়ানের সময় বাঁচায়।
  2. Compliance and Security: ডাইনামিক VLAN অ্যাসাইনমেন্ট গেস্ট ট্র্যাফিক থেকে পেমেন্ট টার্মিনালগুলিকে কঠোরভাবে আলাদা করার মাধ্যমে রিটেইল পরিবেশে PCI DSS কমপ্লায়েন্স নিশ্চিত করে (প্রয়োজনীয়তা ১.৩)। EAP-TLS স্টাফদের পাসওয়ার্ড শেয়ার করার ঝুঁকি দূর করে।
  3. Revenue Generation: Captive portal ইন্টিগ্রেশন একটি কস্ট সেন্টারকে (গেস্ট WiFi) একটি মার্কেটিং অ্যাসেটে রূপান্তরিত করে। সচেতন-পছন্দের অপ্ট-ইন সংগ্রহ করার মাধ্যমে একটি ফার্স্ট-পার্টি ডাটাবেস তৈরি হয় যা লয়্যালটি ক্যাম্পেইন এবং পুনরাবৃত্ত ভিজিট চালনা করে।

References

[1] Cisco Systems, "Configure Spaces Captive Portal with Catalyst 9800 WLC," May 2025. [2] Cisco Systems, "Configure a RADIUS Server and WLC for Dynamic VLAN Assignment," September 2012.

মূল সংজ্ঞাসমূহ

External Web Authentication (EWA)

একটি প্রক্রিয়া যেখানে Cisco WLC আন-অথেনটিকেটেড HTTP ট্রাফিককে ইন্টারসেপ্ট করে এবং ক্লায়েন্টকে অথেনটিকেশনের জন্য একটি এক্সটার্নালি হোস্ট করা Captive Portal (যেমন Purple) -এ রিডাইরেক্ট করে।

WLC -এর সীমিত ইন্টারনাল ওয়েব সার্ভারের উপর নির্ভর না করে ব্র্যান্ডেড স্প্ল্যাশ পেজ প্রদান এবং ফার্স্ট-পার্টি ডেটা সংগ্রহ করতে ব্যবহৃত হয়।

Identity PSK (iPSK)

একটি Cisco ফিচার যা একটি একক SSID -এ একাধিক ইউনিক Pre-Shared Keys ব্যবহার করার অনুমতি দেয়, যেখানে প্রতিটি কী RADIUS -এর মাধ্যমে একটি নির্দিষ্ট ক্লায়েন্ট MAC অ্যাড্রেস এবং VLAN -এর সাথে ম্যাপ করা থাকে।

IoT ডিভাইস এবং মাল্টি-টেন্যান্ট এনভায়রনমেন্ট সুরক্ষিত করার জন্য অপরিহার্য যেখানে 802.1X সমর্থিত নয়, যা একাধিক SSID -এর প্রয়োজনীয়তা হ্রাস করে।

AAA Override

Cisco WLC -তে একটি WLAN সেটিং যা কন্ট্রোলারকে RADIUS সার্ভার দ্বারা রিটার্ন করা পলিসি প্যারামিটারগুলি (যেমন VLAN IDs বা ACLs) গ্রহণ করতে বাধ্য করে, যা লোকাল WLAN কনফিগারেশনকে ওভাররাইড করে।

ডাইনামিক VLAN অ্যাসাইনমেন্ট এবং iPSK সঠিকভাবে কাজ করার জন্য এটি অবশ্যই সক্রিয় করতে হবে।

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. একটি অত্যন্ত সুরক্ষিত 802.1X অথেনটিকেশন পদ্ধতি যা পাসওয়ার্ডের পরিবর্তে পারস্পরিক সার্টিফিকেট আদান-প্রদানের উপর নির্ভর করে।

কর্মীদের WiFi সুরক্ষার জন্য সর্বোত্তম স্ট্যান্ডার্ড, যার জন্য কর্পোরেট ডিভাইসগুলিতে ক্লায়েন্ট সার্টিফিকেট স্থাপনের জন্য একটি MDM প্রয়োজন হয়।

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol. একটি 802.1X পদ্ধতি যা একটি TLS টানেলের ভিতরে অথেনটিকেশন প্রক্রিয়াকে এনক্রিপ্ট করে, যা ব্যবহারকারীদের একটি ইউজারনেম এবং পাসওয়ার্ড দিয়ে নিরাপদে অথেনটিকেট করার অনুমতি দেয়।

BYOD কর্মী নেটওয়ার্কের জন্য ব্যবহৃত হয় যেখানে ক্লায়েন্ট সার্টিফিকেট স্থাপন করা সম্ভব নয়।

Pre-Authentication ACL

একটি ওয়্যারলেস ক্লায়েন্টের অথেনটিকেট হওয়ার আগে তার উপর প্রয়োগ করা একটি Access Control List, যা তারা কোন কোন নেটওয়ার্ক রিসোর্সে পৌঁছাতে পারবে তা স্পষ্টভাবে নির্ধারণ করে।

Captive Portal -এর জন্য অত্যন্ত গুরুত্বপূর্ণ; এটি অবশ্যই DNS এবং Purple স্প্ল্যাশ পেজের আইপিগুলিতে অ্যাক্সেসের অনুমতি দেবে এবং অন্যান্য সমস্ত ট্রাফিক ব্লক করবে।

Dynamic Interface

WLC -তে তৈরি একটি লজিক্যাল ইন্টারফেস যা একটি নির্দিষ্ট VLAN ID এবং ফিজিক্যাল পোর্টের সাথে ম্যাপ করা থাকে।

যখন RADIUS ডাইনামিক অ্যাসাইনমেন্টের জন্য একটি VLAN ID রিটার্ন করে, তখন সেই VLAN -টি অবশ্যই WLC -তে একটি ডাইনামিক ইন্টারফেস হিসাবে থাকতে হবে, অন্যথায় ক্লায়েন্টকে নেটিভ VLAN -এ ড্রপ করা হবে।

WPA3-SAE

Simultaneous Authentication of Equals. WPA2-PSK এর আধুনিক প্রতিস্থাপন, যা ফরওয়ার্ড সিক্রেসি প্রদান করে এবং অফলাইন ডিকশনারি অ্যাটাক থেকে সুরক্ষা দেয়।

আধুনিক IoT এবং গেস্ট নেটওয়ার্ক সুরক্ষিত করতে Cisco Catalyst 9800 এবং Purple RADIUS দ্বারা সমর্থিত।

সমাধানকৃত উদাহরণসমূহ

একটি ২০০ রুমের হোটেলকে একটি একক Cisco Catalyst 9800 WLC ব্যবহার করে গেস্ট, কর্মী এবং IoT ডিভাইসগুলির (দরজার লক, থার্মোস্ট্যাট) মধ্যে নেটওয়ার্ক ট্রাফিক সেগমেন্ট করতে হবে, কোনো অতিরিক্ত SSID তৈরি না করে যা RF কনজেশন সৃষ্টি করতে পারে।

Cisco iPSK ব্যবহার করে একটি একক SSID স্থাপন করুন। প্রতিটি IoT ডিভাইসের MAC অ্যাড্রেস Purple -এর ড্যাশবোর্ডে রেজিস্টার করুন, এবং প্রতিটিকে VLAN 30 তে অ্যাসাইন করুন। WLC WLAN-টিকে MAC ফিল্টারিং, AAA Override, এবং WPA2-PSK দিয়ে কনফিগার করুন। যখন একটি দরজার লক সংযুক্ত হয়, তখন Purple -এর RADIUS সার্ভার ডিভাইসটিকে ডাইনামিকভাবে VLAN 30 তে নিয়ে যাওয়ার জন্য ইউনিক PSK এবং IETF অ্যাট্রিবিউট 64, 65, এবং 81 রিটার্ন করে। গেস্টরা Purple -এর Captive Portal -কে নির্দেশ করে External Web Authentication সহ একটি পৃথক ওপেন SSID ব্যবহার করে।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি কঠোর Layer 2 আইসোলেশন বজায় রেখে SSID ওভারহেডকে ন্যূনতম করে। হেডলেস IoT ডিভাইসগুলির জন্য iPSK ব্যবহার করা 802.1X সার্টিফিকেট ব্যবহারের জটিলতা এড়ায় যা এই ডিভাইসগুলিতে সমর্থিত নয়।

৮০টি স্টোর সহ একটি খুচরা চেইনকে PCI-DSS কমপ্লায়েন্স বজায় রাখার জন্য গেস্ট WiFi ট্রাফিক থেকে পেমেন্ট টার্মিনাল ট্রাফিক আলাদা করতে হবে, যা Cisco Catalyst Centre -এর মাধ্যমে কেন্দ্রীয়ভাবে পরিচালিত হয়।

একটি প্রি-অ্যাসোসিয়েশন ACL দিয়ে গেস্ট SSID কনফিগার করুন যা পেমেন্ট টার্মিনাল সাবনেটের (VLAN 40) উদ্দেশ্যে আসা ট্রাফিককে স্পষ্টভাবে ড্রপ করে। পেমেন্ট টার্মিনালগুলিকে অথেনটিকেট করতে iPSK ব্যবহার করুন, এবং Purple -এর RADIUS সার্ভারের মাধ্যমে সেগুলিকে ডাইনামিকভাবে VLAN 40 তে অ্যাসাইন করুন। গেস্ট ট্রাফিক Purple Captive Portal -এর মাধ্যমে অথেনটিকেট করা হয় এবং VLAN 10 তে রাখা হয়।

পরীক্ষকের মন্তব্য: এই ডিজাইনটি নেটওয়ার্ক সেগমেন্টেশন প্রয়োগ করে PCI-DSS রিকোয়ারমেন্ট ১.৩ পূরণ করে। Purple -এ RADIUS পলিসি কেন্দ্রীভূত করা ম্যানুয়াল সুইচপোর্ট কনফিগারেশন ছাড়াই সমস্ত ৮০টি স্টোর জুড়ে সামঞ্জস্যপূর্ণ VLAN অ্যাসাইনমেন্ট নিশ্চিত করে।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনি একটি Catalyst 9800 WLC-তে একটি captive portal স্থাপন করছেন। ক্লায়েন্টরা SSID-এর সাথে যুক্ত হচ্ছে, কিন্তু তাদের ব্রাউজারগুলি কনটেন্ট লোড না করেই স্প্ল্যাশ পেজের URL ক্রমাগত রিফ্রেশ করছে। এর সম্ভাব্য আর্কিটেকচারাল কারণ কী?

ইঙ্গিত: অথেনটিকেশন সম্পূর্ণ হওয়ার আগে ক্লায়েন্টের অবস্থা এবং কোন ট্রাফিক অনুমোদিত তা বিবেচনা করুন।

মডেল উত্তর দেখুন

প্রাক-অথেনটিকেশন ACL বা URL ফিল্টারটি ভুলভাবে কনফিগার করা হয়েছে। এটি Purple-এর পোর্টাল IP অ্যাড্রেসগুলিতে অ্যাক্সেস ব্লক করছে। WLC ট্রাফিক ইন্টারসেপ্ট করে এবং পোর্টালে রিডাইরেক্ট করে, কিন্তু ক্লায়েন্ট এটি লোড করার জন্য পোর্টালে পৌঁছাতে পারে না, যার ফলে একটি অন্তহীন রিডাইরেক্ট লুপ তৈরি হয়। আপনাকে অবশ্যই স্পষ্টভাবে Purple-এর IP অ্যাড্রেসগুলি অনুমোদন করতে হবে অথবা পোর্টাল ডোমেনের জন্য একটি URL ফিল্টার ব্যবহার করতে হবে।

Q2. একটি IoT ডিভাইস iPSK-এর মাধ্যমে সফলভাবে অথেনটিকেট করে, এবং Purple-এর RADIUS সার্ভার VLAN 50 নির্দিষ্ট করে IETF অ্যাট্রিবিউট 64, 65, এবং 81 সহ একটি Access-Accept রিটার্ন করে। তবে, ডিভাইসটিকে VLAN 10 (ম্যানেজমেন্ট VLAN)-এ রাখা হয়। এমনটি কেন ঘটল?

ইঙ্গিত: একটি RADIUS-অ্যাসাইনড VLAN গ্রহণ এবং প্রয়োগ করার জন্য WLC-তেই প্রয়োজনীয় পূর্বশর্তগুলি সম্পর্কে ভাবুন।

মডেল উত্তর দেখুন

হয় WLAN অ্যাডভান্সড সেটিংসে 'AAA Override' নিষ্ক্রিয় করা আছে, যার ফলে WLC, RADIUS অ্যাট্রিবিউটগুলি উপেক্ষা করছে, অথবা WLC-তে একটি কনফিগার করা ডায়নামিক ইন্টারফেস হিসেবে VLAN 50 বিদ্যমান নেই। যদি অ্যাসাইন করা VLAN স্থানীয়ভাবে বিদ্যমান না থাকে, তবে WLC নেটিভ/ম্যানেজমেন্ট VLAN-এ ফিরে যায়।

Q3. একটি ভেন্যু Microsoft Entra ID ব্যবহার করে স্টাফ WiFi-এর জন্য 802.1X স্থাপন করতে চায়। তাদের Cisco ISE-এর মতো অন-প্রেমিসেস RADIUS সার্ভার নেই। Purple প্ল্যাটফর্ম ব্যবহার করে এটি কীভাবে অর্জন করা যেতে পারে?

ইঙ্গিত: Purple কীভাবে EAP টানেল এবং পরিচয় যাচাইকরণ পরিচালনা করে তা বিবেচনা করুন।

মডেল উত্তর দেখুন

Purple SecurePass-কে RADIUS সার্ভার হিসেবে ব্যবহার করতে WLC কনফিগার করুন। Purple একটি ক্লাউড RADIUS প্রক্সি হিসেবে কাজ করে, WLC থেকে EAP-TLS বা PEAP টানেলটি সমাপ্ত করে এবং API/SAML-এর মাধ্যমে নিরাপদে Microsoft Entra ID-তে পরিচয় যাচাইকরণ ফরওয়ার্ড করে। কোনো অন-প্রেমিসেস RADIUS সার্ভারের প্রয়োজন নেই।

এই সিরিজে পড়া চালিয়ে যান

Purple WiFi-এর সাথে CommScope Ruckus ইন্টিগ্রেশন: সেটআপ এবং কনফিগারেশন গাইড

এই টেকনিক্যাল রেফারেন্স গাইডটি Purple WiFi-এর সাথে CommScope Ruckus আর্কিটেকচার ইন্টিগ্রেট করার জন্য একটি নির্ভরযোগ্য কনফিগারেশন প্লেবুক প্রদান করে। এটি গেস্ট WiFi Captive Portal, 802.1X-এর মাধ্যমে সিকিউর স্টাফ WiFi এবং Ruckus ডাইনামিক PSK ব্যবহার করে মাল্টি-টেন্যান্ট নেটওয়ার্ক আইসোলেশনের জন্য ধাপে ধাপে ডেপ্লয়মেন্টের বিবরণ দেয়।

গাইডটি পড়ুন →

Purple WiFi-এর সাথে Allied Telesis Access Points ইন্টিগ্রেশন

এই গাইডটি Purple WiFi-এর সাথে Allied Telesis TQ-Series access points ইন্টিগ্রেট করার জন্য একটি ব্যাপক কনফিগারেশন প্লেবুক প্রদান করে। এটি নিরাপদ মাল্টি-টেন্যান্ট ডেপ্লয়মেন্টের জন্য এক্সটার্নাল Captive Portal রিডাইরেকশন, 802.1X RADIUS অথেন্টিকেশন এবং প্রাইভেট প্রি-শেয়ার্ড কি (PPSK) ব্যবহার করে ডাইনামিক VLAN স্টিয়ারিং কভার করে।

গাইডটি পড়ুন →

Purple WiFi-এর সাথে Grandstream GWN অ্যাক্সেস পয়েন্টের ইন্টিগ্রেশন

এই নির্ভরযোগ্য টেকনিক্যাল রেফারেন্স নির্দেশিকাটিতে Grandstream GWN অ্যাক্সেস পয়েন্টের সাথে Purple-এর Guest WiFi এবং অ্যানালিটিক্স প্ল্যাটফর্মের ইন্টিগ্রেশনের বিস্তারিত বিবরণ দেওয়া হয়েছে। এটি Grandstream captive portal (ক্যাপティブ পোর্টাল) কনফিগারেশন, RADIUS AAA সেটিংস, walled garden সেটআপ, ডাইনামিক VLAN স্টিয়ারিং সহ নিরাপদ স্টাফ 802.1X অথেন্টিকেশন এবং মাল্টি-টেন্যান্ট PPSK সেগমেন্টেশন কভার করে — যা বড় স্কেলে গেস্ট এবং স্টাফ WiFi ডেপ্লয়কারী MSP এবং আইটি টিমগুলির জন্য ধাপে ধাপে কার্যকর নির্দেশনা প্রদান করে।

গাইডটি পড়ুন →