মূল কন্টেন্টে যান
বাংলা

Purple WiFi-এর সাথে CommScope Ruckus ইন্টিগ্রেশন: সেটআপ এবং কনফিগারেশন গাইড

এই টেকনিক্যাল রেফারেন্স গাইডটি Purple WiFi-এর সাথে CommScope Ruckus আর্কিটেকচার ইন্টিগ্রেট করার জন্য একটি নির্ভরযোগ্য কনফিগারেশন প্লেবুক প্রদান করে। এটি গেস্ট WiFi Captive Portal, 802.1X-এর মাধ্যমে সিকিউর স্টাফ WiFi এবং Ruckus ডাইনামিক PSK ব্যবহার করে মাল্টি-টেন্যান্ট নেটওয়ার্ক আইসোলেশনের জন্য ধাপে ধাপে ডেপ্লয়মেন্টের বিবরণ দেয়।

📖 5 মিনিট পাঠ📝 1,177 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
Purple Technical Briefing-এ আপনাকে স্বাগত জানাই। আমি আপনার হোস্ট, এবং আজ আমরা এমন একটি ডেপ্লয়মেন্ট প্যাটার্ন কভার করছি যা আমাদের দেখা প্রায় প্রতিটি এন্টারপ্রাইজ WiFi প্রজেক্টেই স্কেল অনুযায়ী প্রয়োজন হয় - CommScope Ruckus-এর সাথে Purple-এর ক্লাউড প্ল্যাটফর্মের ইন্টিগ্রেশন। আপনি কোনো হোটেল গ্রুপ, রিটেল এস্টেট, স্টেডিয়াম বা কোনো কনফারেন্স সেন্টার পরিচালনা করছেন না কেন, এই এপিসোডটি আপনাকে আপনার প্রয়োজনীয় কনফিগারেশন প্লেবুক প্রদান করবে। প্রথমে পরিস্থিতিটি একটু বুঝে নেওয়া যাক। Ruckus - যা এখন CommScope-এর অধীনে রয়েছে - বিশ্বব্যাপী অন্যতম প্রধান এন্টারপ্রাইজ WiFi প্ল্যাটফর্ম। বিশেষ করে SmartZone হলো হাই-ডেন্সিটি এনভায়রনমেন্টের জন্য পছন্দের কন্ট্রোলার। Premier Inn-এর মতো হোটেল, বড় রিটেল চেইন, স্টেডিয়াম এবং কনভেনশন সেন্টার সবই Ruckus ইনফ্রাস্ট্রাকচার ব্যবহার করে। আপনি যখন সেই স্কেলে গেস্ট WiFi ডেপ্লয় করছেন, তখন আপনার শুধুমাত্র একটি ওপেন SSID-এর চেয়েও বেশি কিছুর প্রয়োজন। আপনার প্রয়োজন স্ট্রাকচার্ড অথেন্টিকেশন, GDPR-সম্মত ডেটা ক্যাপচার এবং সেই গেস্ট ডেটা আপনার মার্কেটিং স্ট্যাকে ফিড করার ক্ষমতা। ঠিক এই জায়গাতেই Purple কাজ করে। Purple ৮০,০০০-এরও বেশি লাইভ ভেন্যুতে কাজ করে, শুধুমাত্র ২০২৪ সালেই ৪৪০ মিলিয়ন লগইন প্রসেস করেছে এবং এটি ISO 27001, GDPR এবং Cyber Essentials সার্টিফিকেশন ধারণ করে। Ruckus ইন্টিগ্রেশন হলো আমাদের সবচেয়ে পরিপক্ক ডেপ্লয়মেন্ট প্যাটার্নগুলির একটি। এখন, একটি কনফিগারেশন স্ক্রিন স্পর্শ করার আগে Ruckus-এর তিনটি ভিন্ন কন্ট্রোলার প্ল্যাটফর্ম সম্পর্কে আপনার জানা প্রয়োজন। SmartZone - যা একটি ফিজিক্যাল SZ300 অ্যাপ্লায়েন্স বা একটি ভার্চুয়াল vSZ হিসেবে উপলব্ধ - এটি হলো বড়, মাল্টি-সাইট ডেপ্লয়মেন্টের জন্য এন্টারপ্রাইজ কন্ট্রোলার। এটি একাধিক জোন জুড়ে হাজার হাজার অ্যাক্সেস পয়েন্ট পরিচালনা করে, আপনাকে ডিপ পলিসি কন্ট্রোল প্রদান করে এবং আজ আমরা যে সমস্ত অথেন্টিকেশন পদ্ধতি কভার করব তার সম্পূর্ণ পরিসরকে সমর্থন করে। ZoneDirector হলো লিগ্যাসি অন-প্রেমিসেস কন্ট্রোলার - যা এখনও ব্যাপকভাবে ব্যবহৃত হয়, বিশেষ করে হসপিটালিটি সেক্টরে - এবং এটি একই WISPr-ভিত্তিক Captive Portal ফ্লো সমর্থন করে, যদিও এর কনফিগারেশন পাথ কিছুটা ভিন্ন। আর Unleashed হলো কন্ট্রোলার-লেস মডেল, যেখানে একটি AP ১২৮টি পর্যন্ত অন্যান্য AP-এর জন্য মাস্টার হিসেবে কাজ করে। এটি ছোট, সিঙ্গেল-সাইট ডেপ্লয়মেন্টের জন্য আদর্শ - যেমন স্বাধীন হোটেল, রিটেল ব্রাঞ্চ, SMB অফিস। ঠিক আছে। এবার টেকনিক্যাল ডিটেইলে যাওয়া যাক। আমি তিনটি ভিন্ন ইউজ কেস কভার করব: Captive Portal রিডাইরেকশন সহ গেস্ট WiFi, 802.1X ব্যবহার করে সুরক্ষিত স্টাফ WiFi এবং Ruckus ডায়নামিক PSK ব্যবহার করে মাল্টি-টেন্যান্ট নেটওয়ার্ক আইসোলেশন। গেস্ট WiFi দিয়ে শুরু করা যাক। এখানকার আর্কিটেকচারটি হলো একটি WISPr-ভিত্তিক হটস্পট ফ্লো। WISPr - ওয়্যারলেস ইন্টারনেট সার্ভিস প্রোভাইডার রোমিং - হলো একটি ইন্ডাস্ট্রি স্ট্যান্ডার্ড যা নির্ধারণ করে কীভাবে একটি ওয়্যারলেস কন্ট্রোলার আন-অথেন্টিকেটেড HTTP ট্রাফিক ইন্টারসেপ্ট করে এবং এটিকে একটি এক্সটার্নাল পোর্টালে রিডাইরেক্ট করে। গেস্ট আপনার SSID-এর সাথে সংযুক্ত হন। তাদের ডিভাইস একটি HTTP রিকোয়েস্ট পাঠায়। SmartZone এটি ইন্টারসেপ্ট করে এবং আপনার এক্সটার্নাল পোর্টাল URL-এ একটি HTTP 302 রিডাইরেক্ট ইস্যু করে - এই ক্ষেত্রে, Purple-এর Captive Portal-এ। গেস্ট অথেন্টিকেট করেন - সোশ্যাল লগইন, ইমেল, SMS বা একটি কাস্টম ফর্মের মাধ্যমে - এবং তারপর অ্যাক্সেস মঞ্জুর করার জন্য পোর্টালটি Northbound Interface বা NBI-এর মাধ্যমে কন্ট্রোলারের সাথে আবার যোগাযোগ করে।SmartZone-এ, কনফিগারেশনের চারটি প্রধান উপাদান রয়েছে। প্রথমত, RADIUS authentication সার্ভার প্রোফাইল। Services and Profiles-এ যান, তারপর Authentication-এ। একটি নতুন AAA সার্ভার প্রোফাইল তৈরি করুন। Service Protocol-টি RADIUS-এ সেট করুন। আপনার প্রাইমারি সার্ভার IP এবং শেয়ার্ড সিক্রেট Purple অ্যাডমিন কনসোলে দেওয়া আছে। অথেন্টিকেশনের জন্য Port 1812। স্থিতিস্থাপকতার জন্য সর্বদা একটি ব্যাকআপ RADIUS সার্ভার কনফিগার করুন। তারপর Services and Profiles-এর অধীনে অ্যাকাউন্টিং সার্ভার তৈরি করুন, Accounting - port 1813, একই শেয়ার্ড সিক্রেট। দ্বিতীয়ত, Hotspot WISPr প্রোফাইল। Services and Profiles, Hotspots and Portals-এ যান এবং Hotspot WISPr ট্যাবটি সিলেক্ট করুন। একটি নতুন প্রোফাইল তৈরি করুন। Login URL-টি External-এ সেট করুন এবং আপনার পোর্টাল রিডাইরেক্ট URL লিখুন। Start Page-টি আপনার পোস্ট-অথেন্টিকেশন URL-এ রিডাইরেক্ট করতে সেট করুন - সাধারণত একটি সাকসেস পেজ বা আপনার ভেন্যুর হোমপেজ। এখন, Walled Garden। এখানেই ইঞ্জিনিয়াররা সবচেয়ে বেশি ভুল করেন। Walled Garden নির্ধারণ করে যে একজন গেস্ট অথেন্টিকেট করার আগে কোন ডোমেন এবং IP অ্যাড্রেসগুলোতে পৌঁছাতে পারবেন। আপনাকে আপনার পোর্টাল ডোমেন, আপনার পোর্টাল যে সমস্ত CDN বা অ্যাসেট ডোমেন থেকে লোড হয় সেগুলি এবং স্ট্যান্ডার্ড OS captive portal ডিটেকশন এন্ডপয়েন্টগুলো অন্তর্ভুক্ত করতে হবে। SmartZone-এ, অ্যাস্টারিস্ক-ডট ফরম্যাট ব্যবহার করে ওয়াইল্ডকার্ড সমর্থন করা হয় - তাই star-dot-purple-dot-ai সমস্ত সাবডোমেন কভার করে। iOS এবং Android ডিভাইসে CNA মিনি-ব্রাউজারের ভুল আচরণ রোধ করতে আপনার Apple-এর captive portal ডিটেকশন ডোমেন - captive.apple.com - এবং Google-এর কানেক্টিভিটি চেক এন্ডপয়েন্টগুলোরও প্রয়োজন। একটি গুরুত্বপূর্ণ ধাপ যা সহজেই মিস হয়ে যেতে পারে। ডিফল্টরূপে, SmartZone রিডাইরেক্ট URL-এ এক্সটার্নাল পোর্টালে পাঠানো MAC address এবং IP address এনক্রিপ্ট করে। MAC-ভিত্তিক সেশন ম্যানেজমেন্ট করার জন্য Purple-এর প্রকৃত ক্লায়েন্ট MAC address দেখা প্রয়োজন। আপনাকে CLI-এর মাধ্যমে এটি নিষ্ক্রিয় করতে হবে। আপনার SmartZone-এ SSH করুন, কনফিগ মোডে প্রবেশ করুন এবং রান করুন: no encrypt-mac-ip। এটি একটি মাত্র কমান্ড, কিন্তু আপনি এটি এড়িয়ে গেলে এটি একটি বড় বাধা হয়ে দাঁড়াবে। Northbound Interface হলো আরেকটি অপরিহার্য অংশ। এটি এমন একটি API যা অথেন্টিকেশনের পরে অ্যাক্সেস মঞ্জুর বা প্রত্যাখ্যান করতে Purple-কে SmartZone-এর সাথে যোগাযোগ করার অনুমতি দেয়। Administration, External Services, WISPr Northbound Interface-এর অধীনে এটি সক্রিয় করুন। একটি ইউজারনেম এবং পাসওয়ার্ড সেট করুন এবং সেই ক্রেডেনশিয়ালগুলো Purple-কে প্রদান করুন। NBI চলে HTTP-র জন্য TCP port 9080 এবং HTTPS-এর জন্য 9443-এ - নিশ্চিত করুন যে আপনার ফায়ারওয়াল Purple-এর IP রেঞ্জ থেকে এই পোর্টগুলোতে ইনবাউন্ড কানেকশন অনুমোদন করে। অবশেষে, আপনার WLAN তৈরি করুন। Authentication Type-টি Hotspot WISPr-এ সেট করুন, আপনার পোর্টাল প্রোফাইল সিলেক্ট করুন এবং আপনার RADIUS অথেন্টিকেশন ও অ্যাকাউন্টিং সার্ভিসগুলো অ্যাসাইন করুন। Purple-এর কোনো নির্দিষ্ট ভ্যালুর প্রয়োজন হলে NAS ID-টি User-defined-এ সেট করুন, Called Station ID-টি AP MAC-এ সেট করুন এবং Single Session ID সক্রিয় করুন। Unleashed-এর জন্য, আর্কিটেকচারটি মৌলিকভাবে ভিন্ন - এটি একটি ডিস্ট্রিবিউটেড, কন্ট্রোলার-হীন মডেল। কনফিগারেশনটি Admin এবং Services, Services, Hotspot Services-এ থাকে। পদক্ষেপগুলো মোটামুটি একই রকম - একটি Hotspot সার্ভিস তৈরি করুন, আপনার এক্সটার্নাল পোর্টাল URL কনফিগার করুন, আপনার AAA অথেন্টিকেশন সার্ভার সেট আপ করুন, আপনার Walled Garden এন্ট্রিগুলো যুক্ত করুন - তবে দুটি মূল পার্থক্য রয়েছে। Unleashed-এ কোনো Northbound Interface-এর প্রয়োজন নেই। এবং ডিফল্টভাবে MAC অ্যাড্রেস এনক্রিপশন প্রয়োগ করা হয় না, তাই আপনার CLI কমান্ডের প্রয়োজন নেই। Unleashed-এর walled garden সম্পূর্ণ ওয়াইল্ডকার্ড সিনট্যাক্সের পরিবর্তে ডোমেন-স্তরের এন্ট্রিও গ্রহণ করে। এবার আসুন 802.1X ব্যবহার করে Secure Staff WiFi-এ চলে যাই। এটি সম্পূর্ণ ভিন্ন একটি অথেন্টিকেশন মডেল। Captive Portal-এর পরিবর্তে, স্টাফ ডিভাইসগুলো সরাসরি Extensible Authentication Protocol - EAP ব্যবহার করে অথেন্টিকেট করে। এন্টারপ্রাইজ এনভায়রনমেন্টে সবচেয়ে সাধারণ পদ্ধতি হলো PEAP-MSCHAPv2, যেখানে ব্যবহারকারী তাদের Active Directory ক্রেডেন্সিয়াল প্রবেশ করান, অথবা EAP-TLS, যেখানে ডিভাইসটি একটি সার্টিফিকেট প্রদর্শন করে। এই ফ্লোর জন্য RADIUS ব্যাকএন্ড হিসেবে কাজ করতে Purple-এর SecurePass অ্যাড-অনটি Microsoft Entra ID, Okta এবং Google Workspace-এর সাথে ইন্টিগ্রেট করে। SmartZone-এ, একটি নতুন WLAN তৈরি করুন এবং Authentication Type-টি 802.1X EAP-এ সেট করুন। AAA সেটিংসের অধীনে, আপনার RADIUS সার্ভার নির্দেশ করুন - যা হলো Purple-এর SecurePass এন্ডপয়েন্ট। গেস্ট ফ্লো থেকে প্রধান পার্থক্য হলো আপনি এখানে ডাইনামিক VLAN অ্যাসাইনমেন্টও কনফিগার করতে পারেন। যখন Purple-এর RADIUS সার্ভার একটি Access-Accept রিটার্ন করে, তখন এটি তিনটি IETF স্ট্যান্ডার্ড অ্যাট্রিবিউট অন্তর্ভুক্ত করে: Tunnel-Type সেট করা থাকে VLAN-এ, যার মান ১৩; Tunnel-Medium-Type সেট করা থাকে IEEE-802-এ, যার মান ৬; এবং Tunnel-Private-Group-ID-তে VLAN ID স্ট্রিং থাকে - উদাহরণস্বরূপ, স্টাফ VLAN-এর জন্য ২০। স্মার্টজোন এই অ্যাট্রিবিউটগুলো রিড করে এবং স্টাফ মেম্বারের ট্রাফিককে ডাইনামিক্যালি সঠিক VLAN দিয়ে ট্যাগ করে, তারা কোন AP-তে কানেক্টেড আছেন তা বিবেচনা না করেই। এটি হলো ডাইনামিক VLAN স্টিয়ারিং, এবং এটিই একটি একক SSID-কে বিভিন্ন নেটওয়ার্ক অ্যাক্সেস পলিসি সহ একাধিক ইউজার রোল পরিবেশন করার অনুমতি দেয়। SmartZone যাতে RADIUS-রিটার্ন করা VLAN অ্যাট্রিবিউটগুলো প্রসেস করতে পারে তা নিশ্চিত করার জন্য WLAN অ্যাডভান্সড সেটিংসে AAA Override এনাবল করুন। ওই চেকবক্সটি ছাড়া, RADIUS সার্ভার সঠিক অ্যাট্রিবিউট পাঠালেও ডাইনামিক অ্যাসাইনমেন্ট কাজ করবে না। তৃতীয় ইউজ কেসটি হলো Ruckus Dynamic PSK - বা DPSK ব্যবহার করে Multi-Tenant আইসোলেশন। এটি একটি Ruckus-প্রোপাইটরি টেকনোলজি যা প্রতিটি ব্যবহারকারী বা টেন্যান্টকে একটি ইউনিক WPA2 পাসফ্রেজ অ্যাসাইন করে, সবই একটি মাত্র SSID-তে। একটি শেয়ার্ড PSK-এর মতো নয় যেখানে সবাই একই পাসওয়ার্ড ব্যবহার করে, DPSK-এর মানে হলো Tenant A-এর একটি ইউনিক ৬২-অক্ষরের কি রয়েছে, Tenant B-এর আলাদা একটি রয়েছে, এবং এইরকম আরও অনেক। প্রতিটি কি একটি নির্দিষ্ট VLAN-এর সাথে আবদ্ধ থাকে, তাই Tenant A-এর ট্রাফিক VLAN ১০১-এ এবং Tenant B-এর ট্রাফিক VLAN ১০২-এ ল্যান্ড করে - সম্পূর্ণ আইসোলেশন, কোনো শেয়ার্ড পাসওয়ার্ডের ঝুঁকি নেই এবং অন্যান্য টেন্যান্টদের প্রভাবিত না করেই তাৎক্ষণিকভাবে প্রত্যাহার করার সুবিধা রয়েছে। কো-ওয়ার্কিং স্পেস, বিল্ড-টু-রেন্ট আবাসিক ভবন, ছাত্রাবাস এবং মাল্টি-টেন্যান্ট রিটেইল পার্কগুলোতে এটি বিশেষভাবে কার্যকরী। নতুন কোনো টেন্যান্টকে Purple-এ অনবোর্ড করা হলে স্বয়ংক্রিয়ভাবে একটি DPSK তৈরি হয়, সঠিক VLAN-এর সাথে যুক্ত হয় এবং টেন্যান্টের কাছে স্বয়ংক্রিয়ভাবে পৌঁছে যায় - key provisioning বা চাবি প্রদানের এই প্রক্রিয়াটি স্বয়ংক্রিয় করতে SmartZone API-এর মাধ্যমে Purple, Ruckus DPSK-এর সাথে একীভূত হয়। SmartZone-এ DPSK কনফিগার করতে: WLANs-এ যান, একটি নতুন WLAN যোগ করুন এবং Security-এর অধীনে মেথডটি Dynamic PSK সেট করুন। সর্বোচ্চ সুরক্ষার জন্য DPSK দৈর্ঘ্য ৬২ ক্যারেক্টার সেট করুন। VLAN-এর অধীনে, Per-DPSK VLAN অ্যাসাইনমেন্ট সক্রিয় করুন। এরপর প্রতি টেন্যান্টের জন্য আলাদা কী (key) তৈরি করতে SmartZone API বা DPSK ম্যানেজমেন্ট ইন্টারফেস ব্যবহার করুন, যার প্রতিটি নিজস্ব VLAN ID-র সাথে ম্যাপ করা থাকবে। Unleashed-এর ক্ষেত্রে, একই ফিচারটি WiFi Networks, Advanced Options, Dynamic PSK-এর অধীনে পাওয়া যাবে। DPSK3 হলো WPA3 ভেরিয়েন্ট, যা আরও শক্তিশালী SAE-ভিত্তিক এনক্রিপশন প্রদান করে। আপনার AP ফ্লিট যদি WPA3 সমর্থন করে - যা বর্তমানের সব Ruckus R-সিরিজ AP-ই করে - তবে নতুন সেটআপের ক্ষেত্রে DPSK3-ই সবচেয়ে পছন্দের বিকল্প। আসুন আমরা বাস্তব জীবনের দুটি ইমপ্লিমেন্টেশন সিনারিও দেখে নিই যা ব্যাখ্যা করে যে কীভাবে এই তিনটি ব্যবহারের ক্ষেত্র একসাথে কাজ করে। প্রথম সিনারিও: একটি ২৫০ রুমের হোটেল। পুরো প্রপার্টিতে R750 অ্যাক্সেস পয়েন্ট সহ Ruckus SmartZone ব্যবহার করা হচ্ছে। তাদের তিন ধরনের নেটওয়ার্ক প্রয়োজন: হোটেল গেস্টদের জন্য গেস্ট WiFi, ফ্রন্ট-অফ-হাউস ও ব্যাক-অফ-হাউস কর্মীদের জন্য নিরাপদ স্টাফ WiFi, এবং স্মার্ট রুম কন্ট্রোল ও CCTV-র জন্য একটি IoT নেটওয়ার্ক। গেস্ট WLAN-টি Purple-এর সাথে WISPr Captive Portal ফ্লো ব্যবহার করে। অতিথিরা কানেক্ট হন, একটি ব্র্যান্ডেড Purple পোর্টালে রিডাইরেক্ট হন, ইমেল বা সোশ্যাল লগইনের মাধ্যমে অথেন্টিকেট করেন এবং VLAN 10-এ প্রবেশ করেন। পোর্টালটি ফার্স্ট-পার্টি ডেটা সংগ্রহ করে - যেমন ইমেল, মার্কেটিং সম্মতি, থাকার পছন্দ - যা সরাসরি হোটেলের CRM-এ চলে যায়। Purple-এর অ্যানালিটিক্স ড্যাশবোর্ড হোটেলকে দেখায় যে কোন ফ্লোরগুলোতে সবচেয়ে বেশি কানেকশন রেট, পিক ব্যবহারের সময় এবং রিপিট ভিজিটর রেট রয়েছে। Premier Inn তাদের ইউকে-র সমস্ত প্রপার্টিতে এই মডেলটি চালু করেছে এবং সরাসরি WiFi অভিজ্ঞতার সাথে যুক্ত অতিথিদের সন্তুষ্টির স্কোরে পরিমাপযোগ্য উন্নতি দেখেছে। স্টাফ WLAN-টি Purple-এর SecurePass-এর সাথে 802.1X ব্যবহার করে। স্টাফরা PEAP-MSCHAPv2-এর মাধ্যমে তাদের Active Directory ক্রেডেনশিয়াল ব্যবহার করে অথেন্টিকেট করেন। ফ্রন্ট ডেস্কের কর্মীরা প্রপার্টি ম্যানেজমেন্ট সিস্টেমে অ্যাক্সেস সহ VLAN 20-এ প্রবেশ করেন। ব্যাক-অফ-হাউসের কর্মীরা শুধুমাত্র HR এবং শিডিউলিং সিস্টেমে অ্যাক্সেস সহ VLAN 21-এ প্রবেশ করেন। এই VLAN অ্যাসাইনমেন্টটি সম্পূর্ণরূপে Purple থেকে ফেরত আসা RADIUS অ্যাট্রিবিউট দ্বারা পরিচালিত হয় - এর জন্য কোনো ম্যানুয়াল পোর্ট কনফিগারেশনের প্রয়োজন হয় না। কোনো কর্মী চাকরি ছেড়ে দিলে, Microsoft Entra ID-তে তাদের অ্যাকাউন্ট নিষ্ক্রিয় করে দেওয়া হয় এবং সমস্ত প্রপার্টি জুড়ে তাদের অ্যাক্সেস তাৎক্ষণিকভাবে বাতিল হয়ে যায়। IoT WLAN-টি ক্লায়েন্ট আইসোলেশন সহ VLAN 30-এ আইসোলেট করে একটি স্ট্যাটিক PSK ব্যবহার করে। স্মার্ট থার্মোস্ট্যাট, দরজার লক এবং CCTV ক্যামেরাগুলো এখানে থাকে, যা গেস্ট এবং স্টাফ ট্রাফিকের থেকে সম্পূর্ণ আলাদা।দ্বিতীয় দৃশ্যকল্প: ১৫টি টেন্যান্ট কোম্পানি বিশিষ্ট একটি কো-ওয়ার্কিং স্পেস। এখানেই DPSK প্রকৃতপক্ষে তার কার্যকারিতা প্রমাণ করে। অপারেটর তিনটি ফ্লোর জুড়ে Ruckus Unleashed পরিচালনা করেন। প্রতিটি টেন্যান্ট কোম্পানি নিজস্ব VLAN-এর সাথে যুক্ত একটি ইউনিক DPSK পায়। Tenant A-এর ২০ জন কর্মী সবাই একই DPSK-A পাসফ্রেজ ব্যবহার করেন, কিন্তু সেই পাসফ্রেজটি শুধুমাত্র Tenant A-এর জন্য ইউনিক এবং কেবল VLAN 101-এর সাথে ম্যাপ করা। Tenant B ব্যবহার করে DPSK-B, যা VLAN 102-এর সাথে ম্যাপ করা। নেটওয়ার্ক লেয়ারে টেন্যান্টরা একে অপরের থেকে সম্পূর্ণ বিচ্ছিন্ন। যখন কোনো টেন্যান্ট চলে যায়, অপারেটর SmartZone-এ - অথবা Purple-এর ম্যানেজমেন্ট ইন্টারফেসের মাধ্যমে - তাদের DPSK বাতিল করে দেন এবং কাজ শেষ। অন্য কোনো টেন্যান্ট প্রভাবিত হয় না, কোনো SSID পরিবর্তনের প্রয়োজন হয় না, বিল্ডিং জুড়ে কোনো পাসওয়ার্ড রিসেট করতে হয় না। Purple-এর মাল্টি-টেন্যান্ট ম্যানেজমেন্ট লেয়ারটি এর উপরে অবস্থান করে, যা কো-ওয়ার্কিং অপারেটরকে সমস্ত ১৫টি টেন্যান্টের অনবোর্ডিং, অ্যাক্সেস বাতিল এবং ব্যবহারের অ্যানালিটিক্স পরিচালনা করার জন্য একটি একক ড্যাশবোর্ড প্রদান করে। এখন আমি সবচেয়ে সাধারণ ব্যর্থতার ধরনগুলো এবং কীভাবে সেগুলি এড়ানো যায় তা আলোচনা করি। এক নম্বর: Walled Garden-এর ভুল কনফিগারেশন। রিডাইরেক্টের পর যদি আপনার পোর্টাল পেজ লোড হতে ব্যর্থ হয়, তবে প্রথমে পরীক্ষা করার বিষয় হলো আপনার পোর্টাল পেজটি যে সমস্ত ডোমেন ব্যবহার করছে সেগুলি walled garden-এ আছে কিনা। আধুনিক পোর্টাল পেজগুলো একাধিক CDN ডোমেন, অ্যানালিটিক্স স্ক্রিপ্ট এবং সোশ্যাল লগইন SDKs থেকে রিসোর্স লোড করে। এগুলোর মধ্যে যেকোনো একটিও যদি প্রি-অথেন্টিকেশনে ব্লক থাকে, তবে পেজটি লোড হতে ব্যর্থ হবে অথবা ত্রুটিপূর্ণভাবে লোড হবে। গেস্ট SSID-এর সাথে সংযুক্ত একটি টেস্ট ডিভাইসে আপনার ব্রাউজারের ডেভেলপার টুলস ব্যবহার করে কোন রিকোয়েস্টগুলো ব্লক করা হচ্ছে তা চিহ্নিত করুন। Purple, SmartZone এবং Unleashed-এর জন্য একটি ডকুমেন্টেড walled garden তালিকা প্রদান করে - এটিকে আপনার বেসলাইন হিসেবে ব্যবহার করুন এবং এর উপরে যেকোনো ভেন্যু-নির্দিষ্ট ডোমেন যোগ করুন। দুই নম্বর: NBI কানেক্টিভিটি সমস্যা। গেস্টরা যদি পোর্টাল দেখতে পায় এবং অথেন্টিকেট করতে পারে, কিন্তু ইন্টারনেট অ্যাক্সেস না পায়, তবে সম্ভাব্য কারণ হলো SmartZone, Purple থেকে NBI কলব্যাক গ্রহণ করতে পারছে না। পরীক্ষা করে দেখুন যে Purple-এর IP রেঞ্জ থেকে SmartZone-এর ম্যানেজমেন্ট IP-তে ইনবাউন্ড পোর্ট 9080 এবং 9443 খোলা আছে কিনা। এছাড়াও আপনার কনফিগার করা NBI ক্রেডেনশিয়ালগুলো Purple-এর ফাইলে থাকা তথ্যের সাথে মিলছে কিনা তা যাচাই করুন। তিন নম্বর: missing no encrypt-mac-ip কমান্ড। এটি সবচেয়ে সাধারণ SmartZone-নির্দিষ্ট সমস্যা। Purple যদি রিডাইরেক্ট রিকোয়েস্ট গ্রহণ করে কিন্তু সেশনটিকে একটি MAC অ্যাড্রেসের সাথে মেলাতে না পারে, তবে প্রায় নিশ্চিতভাবেই এটিই তার কারণ। এটি একটি ওয়ান-লাইন CLI সমাধান, কিন্তু এটি সহজে মিস হয়ে যেতে পারে কারণ এটি GUI-তে দৃশ্যমান নয়। চার নম্বর: ডাইনামিক VLAN-এর জন্য AAA Override সক্রিয় না থাকা। কর্মীরা যদি 802.1X-এ সফলভাবে অথেন্টিকেট করার পরেও তাদের রোল-নির্দিষ্ট VLAN-এ না গিয়ে সবাই একই ডিফল্ট VLAN-এ ল্যান্ড করে, তবে WLAN অ্যাডভান্সড সেটিংসে AAA Override সক্রিয় করা আছে কিনা তা পরীক্ষা করুন। এটি হলো সেই সুইচ যা SmartZone-কে RADIUS সার্ভার দ্বারা রিটার্ন করা VLAN অ্যাট্রিবিউটগুলোকে সম্মান করতে নির্দেশ দেয়।নম্বর পাঁচ: DPSK VLAN প্রোপাগেট হচ্ছে না। যদি DPSK ব্যবহারকারীরা অথেন্টিকেট হলেও সঠিক VLAN-এ না পৌঁছান, তবে যাচাই করুন যে WLAN সেটিংসে Per-DPSK VLAN অ্যাসাইনমেন্ট চালু আছে কিনা, এবং আপনার AP-গুলোর সাথে সংযুক্ত সুইচ পোর্টগুলো ট্রাঙ্ক পোর্ট হিসেবে কনফিগার করা আছে কিনা যা সব DPSK VLAN-কে বহন করে। যদি সুইচ পোর্টটি একটি অ্যাক্সেস পোর্ট হয়, তবে VLAN ট্যাগিং স্ট্রিপ হয়ে যাবে। এবার, প্রতিটি Ruckus-Purple ডিপ্লয়মেন্টে আমি যে তিনটি দ্রুতগতির প্রশ্নের সম্মুখীন হই। গেস্ট WiFi-এর জন্য কি আমার একটি ডেডিকেটেড VLAN প্রয়োজন? হ্যাঁ, সবসময়। গেস্ট ট্রাফিককে একটি ডেডিকেটেড VLAN-এ আইসোলেট করুন। এটি একই সাথে একটি সিকিউরিটি রিকোয়ারমেন্ট এবং PCI DSS কমপ্লায়েন্সের বিষয় যদি আপনার ভেন্যুতে একই নেটওয়ার্কে কার্ড পেমেন্ট প্রসেস করা হয়। গেস্ট ডিভাইসগুলো যাতে একে অপরের সাথে যোগাযোগ করতে না পারে সেজন্য গেস্ট WLAN-এ ক্লায়েন্ট আইসোলেশন চালু করুন। আমি কি SmartZone-এর পরিবর্তে ক্লাউড-ম্যানেজড প্ল্যাটফর্ম - Ruckus One-এর সাথে Purple ব্যবহার করতে পারি? হ্যাঁ। কনফিগারেশন পাথটি আলাদা - এটি Ruckus One পোর্টালের WiFi Networks, Guest Access সেটিংসের অধীনে রয়েছে - তবে walled garden এবং RADIUS কনফিগারেশনের নিয়মগুলো অভিন্ন। Purple কি SmartZone মাল্টি-জোন ডিপ্লয়মেন্ট সাপোর্ট করে? হ্যাঁ। Purple-এর ইন্টিগ্রেশন মাল্টি-জোন SmartZone এনভায়রনমেন্ট হ্যান্ডেল করে, এবং আপনি একটি একক SmartZone ইনস্ট্যান্সের মধ্যে বিভিন্ন ভেন্যু বা ফ্লোরের জন্য আলাদা আলাদা জোনে পোর্টাল কনফিগারেশন স্কোপ করতে পারেন। পরিশেষে। Ruckus এবং Purple ইন্টিগ্রেশন তিনটি আলাদা ইউজ কেস কভার করে, যার প্রতিটির নিজস্ব কনফিগারেশন মডেল রয়েছে। গেস্ট WiFi মূলত WISPr Captive Portal ফ্লো ব্যবহার করে - পাঁচটি মূল কনফিগারেশন পয়েন্ট: ব্যাকআপ সার্ভার সহ 1812 এবং 1813 পোর্টে RADIUS, এক্সটার্নাল লগইন URL সহ Hotspot WISPr প্রোফাইল, ওয়াইল্ডকার্ড এন্ট্রি ব্যবহার করে একটি সঠিকভাবে স্কোপড walled garden, no encrypt-mac-ip CLI কমান্ড, এবং সঠিক ক্রেডেনশিয়াল সহ নর্থবাউন্ড ইন্টারফেস চালু করা। সিকিউর স্টাফ WiFi-এর জন্য RADIUS অ্যাট্রিবিউটের মাধ্যমে ডাইনামিক VLAN স্টিয়ারিং সহ 802.1X EAP ব্যবহার করা হয় - এর গুরুত্বপূর্ণ এনাবেলার হলো WLAN অ্যাডভান্সড সেটিংসে AAA Override। মাল্টি-টেন্যান্ট আইসোলেশন Ruckus DPSK ব্যবহার করে - টেন্যান্ট প্রতি ইউনিক কী, যার প্রতিটি একটি ডেডিকেটেড VLAN-এর সাথে যুক্ত থাকে, সাথে ইনস্ট্যান্ট রেভোকেশন এবং জিরো শেয়ার্ড-পাসওয়ার্ডের ঝুঁকি। এই তিনটি প্যাটার্ন ঠিকভাবে সেট করুন, এবং আপনি এমন একটি নেটওয়ার্ক আর্কিটেকচার পাবেন যা Unleashed-এ চলা একটি ৫০-রুমের স্বাধীন হোটেল থেকে শুরু করে SmartZone-এ চলা একটি ৫,০০০ আসনের স্টেডিয়াম পর্যন্ত স্কেল করতে পারে, যেখানে একই Purple প্ল্যাটফর্ম সবার উপরে থেকে ইউনিফাইড অ্যানালিটিক্স, GDPR-কমপ্লায়েন্ট ডেটা ক্যাপচার এবং সেন্ট্রালাইজড অ্যাক্সেস ম্যানেজমেন্ট প্রদান করে। আপনি যদি Purple-এর সাথে একটি Ruckus ডিপ্লয়মেন্টের পরিকল্পনা করে থাকেন, তবে টেকনিক্যাল অনবোর্ডিং টিম আপনাকে একটি প্রি-লঞ্চ চেকলিস্টের মাধ্যমে সাহায্য করতে পারে এবং লাইভ হওয়ার আগে আপনার কনফিগারেশন ভ্যালিডেট করতে পারে। এছাড়াও Purple প্ল্যাটফর্ম পোর্টাল লোড টাইম, অথেন্টিকেশন সফলতার হার এবং সেশন ডেটার ওপর রিয়েল-টাইম অ্যানালিটিক্স প্রদান করে - যা আপনার গেস্টদের আগে আপনার নিজের সমস্যাগুলো চিহ্নিত করার সুবিধা দেয়। শোনার জন্য ধন্যবাদ। পরবর্তী সময় পর্যন্ত বিদায়।

header_image.png

এক্সিকিউটিভ সামারি

এন্টারপ্রাইজ ভেন্যুতে একটি উচ্চ-ক্ষমতাসম্পন্ন ওয়্যারলেস নেটওয়ার্ক স্থাপন করার জন্য নির্বিঘ্ন ব্যবহারকারীর অভিজ্ঞতা এবং শক্তিশালী প্রযুক্তিগত নিরাপত্তার মধ্যে একটি সূক্ষ্ম ভারসাম্যের প্রয়োজন। CommScope Ruckus আর্কিটেকচার পরিচালনাকারী সংস্থাগুলির জন্য - যার মধ্যে রয়েছে উচ্চ-ঘনত্ব বিশিষ্ট স্টেডিয়াম এবং কনভেনশন সেন্টার থেকে শুরু করে বিস্তীর্ণ রিটেল এস্টেট এবং হসপিটালিটি গ্রুপ - নেটওয়ার্কটি ডিজিটাল এনগেজমেন্টের জন্য প্রাথমিক গেটওয়ে হিসেবে কাজ করে। এই গাইডটি Ruckus SmartZone, ZoneDirector এবং Unleashed কন্ট্রোলারকে Purple ক্লাউড প্ল্যাটফর্মের সাথে একীভূত করার জন্য একটি সুনির্দিষ্ট প্রযুক্তিগত প্লেবুক প্রদান করে। আমরা WISPr Captive Portal রিডাইরেকশন ব্যবহার করে গেস্ট WiFi স্থাপন করতে, 802.1X ডাইনামিক VLAN স্টিয়ারিংয়ের মাধ্যমে স্টাফ নেটওয়ার্কগুলি সুরক্ষিত করতে এবং Ruckus ডাইনামিক প্রি-শেয়ার্ড কী (DPSK) ব্যবহার করে মাল্টি-টেন্যান্ট নেটওয়ার্ক আইসোলেশন করার জন্য প্রয়োজনীয় সঠিক কনফিগারেশন ধাপগুলি বিস্তারিতভাবে বর্ণনা করেছি। এই ভেন্ডর-নিরপেক্ষ সেরা অনুশীলনগুলি অনুসরণ করে, আইটি টিমগুলি নেটওয়ার্ক সেগমেন্টেশন স্বয়ংক্রিয় করতে পারে, PCI DSS-এর মতো মানগুলির সাথে সম্মতি নিশ্চিত করতে পারে এবং সুরক্ষিতভাবে ফার্স্ট-পার্টি ডেটা সংগ্রহ করতে পারে।

টেকনিক্যাল ডিপ-ডাইভ

CommScope Ruckus হার্ডওয়্যার এবং Purple-এর মধ্যকার ইন্টিগ্রেশনটি ইন্ডাস্ট্রি-স্ট্যান্ডার্ড অথেন্টিকেশন প্রোটোকল এবং সুরক্ষিত API যোগাযোগের উপর নির্ভর করে। এই আর্কিটেকচারটি তিনটি ভিন্ন ডিপ্লয়মেন্ট মডেল সমর্থন করে, যার প্রতিটি ভেন্যুর মধ্যে একটি নির্দিষ্ট ব্যবহারকারী গ্রুপকে সেবা প্রদান করে।

গেস্ট WiFi আর্কিটেকচার (WISPr)

রিটেল এবং হসপিটালিটিতে পাবলিক অ্যাক্সেস নেটওয়ার্কের জন্য, Ruckus ওয়্যারলেস ইন্টারনেট সার্ভিস প্রোভাইডার রোমিং (WISPr) প্রোটোকল ব্যবহার করে। যখন কোনো গেস্ট একটি ওপেন SSID-এ সংযুক্ত হয়, তখন Ruckus কন্ট্রোলার তাদের প্রাথমিক HTTP অনুরোধকে ইন্টারসেপ্ট করে এবং Purple-এর বাহ্যিক Captive Portal-এ একটি HTTP 302 রিডাইরেক্ট ইস্যু করে। গেস্ট একটি সচেতন-পছন্দের অপ্ট-ইন মেকানিজম - যেমন ইমেল বা একটি সোশ্যাল আইডেন্টিটি প্রোভাইডারের মাধ্যমে অথেন্টিকেট করে। সফল অথেন্টিকেশনের পর, Purple ম্যাক (MAC) অ্যাড্রেস অনুমোদন করতে এবং ইন্টারনেট অ্যাক্সেস মঞ্জুর করতে Northbound Interface (NBI)-এর মাধ্যমে Ruckus কন্ট্রোলারের সাথে পুনরায় যোগাযোগ করে।

architecture_overview.png

সুরক্ষিত স্টাফ WiFi (802.1X এবং ডাইনামিক VLANসমূহ)

স্টাফ ডিভাইসগুলির জন্য একটি সম্পূর্ণ ভিন্ন পদ্ধতির প্রয়োজন। Captive Portal-এর উপর নির্ভর করার পরিবর্তে, এন্টারপ্রাইজ পরিবেশগুলি 802.1X অথেন্টিকেশন ব্যবহার করে। ডিভাইসগুলি EAP-TLS (সার্টিফিকেট-ভিত্তিক) বা PEAP-MSCHAPv2 (ক্রেডেন্সিয়াল-ভিত্তিক) প্রোটোকল ব্যবহার করে সরাসরি Purple-এর RADIUS ইনফ্রাস্ট্রাকচারের বিপরীতে অথেন্টিকেট করে।

The critical component here is dynamic VLAN steering. When Purple's RADIUS server returns an Access-Accept message, it includes three specific IETF standard attributes:

  • Tunnel-Type (Attribute 64): Set to VLAN (value 13)
  • Tunnel-Medium-Type (Attribute 65): Set to IEEE-802 (value 6)
  • Tunnel-Private-Group-ID (Attribute 81): Contains the VLAN ID string (e.g., "20" for Staff)

The Ruckus SmartZone controller reads these attributes and dynamically tags the user's traffic, placing them into the correct isolated network segment regardless of the physical access point they connected to.

Multi-Tenant Isolation (Ruckus DPSK)

For environments like co-working spaces, student accommodation, and multi-dwelling units (MDUs), broadcasting dozens of SSIDs creates severe channel interference. Ruckus Dynamic Pre-Shared Key (DPSK) solves this by assigning a unique WPA2/WPA3 passphrase to each tenant on a single shared SSID.

Each DPSK is bound to a specific VLAN. When a resident connects, the controller uses their unique key to authenticate the device and drop them into their private VLAN. Purple automates this process via API integration, generating and revoking keys as tenants move in and out, eliminating the security risks associated with traditional shared passwords.

dpsk_configuration_guide.png

Implementation Guide

এখানে মূল উপাদানটি হলো ডাইনামিক VLAN স্টিয়ারিং। যখন Purple-এর RADIUS সার্ভার একটি Access-Accept মেসেজ পাঠায়, তখন এতে তিনটি নির্দিষ্ট IETF স্ট্যান্ডার্ড অ্যাট্রিবিউট অন্তর্ভুক্ত থাকে:

  • Tunnel-Type (অ্যাট্রিবিউট ৬৪): VLAN হিসেবে সেট করা থাকে (মান ১৩)
  • Tunnel-Medium-Type (অ্যাট্রিবিউট ৬৫): IEEE-802 হিসেবে সেট করা থাকে (মান ৬)
  • Tunnel-Private-Group-ID (অ্যাট্রিবিউট ৮১): VLAN ID স্ট্রিং থাকে (যেমন, স্টাফদের জন্য "২০")

Ruckus SmartZone কন্ট্রোলার এই অ্যাট্রিবিউটগুলো পড়ে এবং ব্যবহারকারীর ট্রাফিককে ডাইনামিকভাবে ট্যাগ করে, ফলে তারা ফিজিক্যাল অ্যাক্সেস পয়েন্টের সংযোগ নির্বিশেষে সঠিক আইসোলেটেড নেটওয়ার্ক সেগমেন্টে প্রবেশ করতে পারে।

মাল্টি-টেন্যান্ট আইসোলেশন (Ruckus DPSK)

কো-ওয়ার্কিং স্পেস, স্টুডেন্ট অ্যাকোমোডেশন এবং মাল্টি-ডুয়েলিং ইউনিটের (MDUs) মতো পরিবেশের ক্ষেত্রে, ডজন ডজন SSID ব্রডকাস্ট করার ফলে মারাত্মক চ্যানেল ইন্টারফেয়ারেন্স তৈরি হয়। Ruckus Dynamic Pre-Shared Key (DPSK) একটি মাত্র শেয়ারড SSID-এ প্রতিটি টেন্যান্টকে একটি অনন্য WPA2/WPA3 পাসফ্রেজ বরাদ্দ করে এই সমস্যার সমাধান করে।

প্রতিটি DPSK একটি নির্দিষ্ট VLAN-এর সাথে যুক্ত থাকে। যখন কোনো বাসিন্দা সংযুক্ত হন, তখন কন্ট্রোলার ডিভাইসটিকে অথেন্টিকেট করতে এবং তাদের নিজস্ব ব্যক্তিগত VLAN-এ পাঠাতে তাদের অনন্য কী ব্যবহার করে। Purple API ইন্টিগ্রেশনের মাধ্যমে এই প্রক্রিয়াটিকে অটোমেট করে, বাসিন্দাদের আসা ও যাওয়ার সাথে সাথে কী তৈরি এবং বাতিল করে, যা প্রথাগত শেয়ারড পাসওয়ার্ডের সাথে জড়িত নিরাপত্তা ঝুঁকি দূর করে।

dpsk_configuration_guide.png

ইমপ্লিমেন্টেশন গাইড

এই সেকশনে Purple-এর সাথে Ruckus SmartZone কন্ট্রোলার ইন্টিগ্রেট করার জন্য প্রয়োজনীয় নির্দিষ্ট কনফিগারেশন ধাপগুলো তুলে ধরা হয়েছে। Unleashed-এর ধাপগুলো মোটামুটি একই রকম, তবে এতে Northbound Interface-এর প্রয়োজন হয় না।

১. RADIUS AAA সার্ভার কনফিগার করুন

১. Services & Profiles > Authentication-এ যান। ২. সার্ভিস প্রোটোকল RADIUS-এ সেট করে একটি নতুন AAA সার্ভার প্রোফাইল তৈরি করুন। ৩. আপনার Purple অ্যাডমিন কনসোলে দেওয়া প্রাইমারি সার্ভার IP এবং শেয়ারড সিক্রেট লিখুন। ৪. অথেন্টিকেশন পোর্ট ১৮১২-এ সেট করুন। ৫. Services & Profiles > Accounting-এর অধীনে এই প্রক্রিয়াটি পুনরায় করুন এবং পোর্ট ১৮১৩-এ সেট করুন।

২. Hotspot WISPr প্রোফাইল কনফিগার করুন

১. Services & Profiles > Hotspots & Portals > Hotspot (WISPr)-এ যান। ২. একটি নতুন প্রোফাইল তৈরি করুন এবং লগইন URL-টি External-এ সেট করুন। ৩. আপনার Purple Captive Portal রিডাইরেক্ট URL-টি লিখুন। ৪. আপনার Walled Garden নির্ধারণ করুন। এটি অত্যন্ত গুরুত্বপূর্ণ। অথেন্টিকেশনের পূর্বে আপনাকে অবশ্যই Purple-এর ডোমেইনগুলোতে অ্যাক্সেস অনুমোদন করতে হবে। SmartZone ওয়াইল্ডকার্ড সমর্থন করে (যেমন, *.purple.ai)। iOS-এর Captive Network Assistant (CNA) আচরণ পরিচালনা করতে আপনাকে অবশ্যই captive.apple.com অন্তর্ভুক্ত করতে হবে।

৩. MAC অ্যাড্রেস এনক্রিপশন নিষ্ক্রিয় করুন (গুরুত্বপূর্ণ ধাপ)

ডিফল্টভাবে, SmartZone রিডাইরেক্ট URL-এ পাস করা MAC এবং IP অ্যাড্রেসগুলো এনক্রিপ্ট করে। সেশন ম্যানেজমেন্টের জন্য Purple-এর র MAC অ্যাড্রেসের প্রয়োজন হয়। আপনাকে অবশ্যই CLI-এর মাধ্যমে এটি নিষ্ক্রিয় করতে হবে:

enable
config
no encrypt-mac-ip
exit

৪. Northbound Interface (NBI) সক্রিয় করুন

  1. Administration > External Services > WISPr Northbound Interface-এ যান।
  2. পরিষেবাটি সক্ষম করুন এবং একটি ইউজারনেম ও পাসওয়ার্ড কনফিগার করুন।
  3. এই ক্রেডেনশিয়ালগুলি Purple-কে প্রদান করুন। নিশ্চিত করুন যে আপনার ফায়ারওয়াল Purple-এর IP রেঞ্জ থেকে পোর্ট 9080 (HTTP) এবং 9443 (HTTPS)-এ ইনবাউন্ড TCP ট্রাফিকের অনুমতি দেয়।

5. WLAN তৈরি করুন

  1. একটি নতুন WLAN তৈরি করুন এবং অথেনটিকেশন টাইপ Hotspot (WISPr) সেট করুন।
  2. আগে কনফিগার করা Hotspot প্রোফাইল এবং AAA সার্ভার নির্বাচন করুন।
  3. 802.1X স্টাফ নেটওয়ার্কের জন্য, ডায়নামিক VLAN অ্যাট্রিবিউটগুলি প্রক্রিয়া করা নিশ্চিত করতে অ্যাডভান্সড সেটিংস-এ AAA Override সক্ষম করুন।

সর্বোত্তম অনুশীলন (Best Practices)

একটি শক্তিশালী এবং নিরাপদ ডেপ্লয়মেন্ট নিশ্চিত করতে, এই ইন্ডাস্ট্রি-স্ট্যান্ডার্ড সুপারিশগুলি মেনে চলুন:

  • গেস্ট ট্রাফিক আলাদা করুন: সবসময় গেস্ট WiFi-কে একটি ডেডিকেটেড VLAN-এ রাখুন এবং ক্লায়েন্ট আইসোলেশন সক্ষম করুন। আপনার ভেন্যুতে যদি একই ফিজিক্যাল ইনফ্রাস্ট্রাকচারে পেমেন্ট প্রসেস করা হয়, তবে PCI DSS কমপ্লায়েন্সের জন্য এটি একটি বাধ্যতামূলক প্রয়োজনীয়তা।
  • VLAN ID মানসম্মত করুন: একাধিক ভেন্যুতে ডায়নামিক VLAN স্টিয়ারিং ডেপ্লয় করার সময়, নিশ্চিত করুন যে আপনার VLAN নাম্বারিং স্কিম বিশ্বব্যাপী অভিন্ন (যেমন, VLAN 20 সর্বদা স্টাফ)। অসঙ্গতিপূর্ণ নামকরণ অথেনটিকেশন ব্যর্থতার কারণ হবে।
  • RADIUS ফলব্যাক প্রয়োগ করুন: আপনার কন্ট্রোলারগুলিতে একটি ক্রিটিক্যাল VLAN বা ফলব্যাক মেকানিজম কনফিগার করুন। যদি প্রাইমারী RADIUS সার্ভারে পৌঁছানো না যায়, তবে মৌলিক কানেক্টিভিটি বজায় রাখতে ডিভাইসগুলিকে একটি সীমিত ইন্টারনেট-অনলি VLAN-এ স্থানান্তরিত করা উচিত।
  • নতুন ডেপ্লয়মেন্টের জন্য DPSK3 ব্যবহার করুন: যদি আপনার Ruckus হার্ডওয়্যার WPA3 সমর্থন করে, তবে SAE-ভিত্তিক এনক্রিপশনের সুবিধা পেতে লেগ্যাসি DPSK-এর পরিবর্তে DPSK3 ডেপ্লয় করুন।

ট্রাবলশুটিং ও ঝুঁকি প্রশমন

এক্সটার্নাল Captive Portal এবং RADIUS পরিষেবাগুলি ইন্টিগ্রেট করার সময়, ইঞ্জিনিয়াররা সাধারণত নিম্নলিখিত ব্যর্থতার সম্মুখীন হন:

  • পোর্টাল লোড হতে ব্যর্থ হওয়া: এটি প্রায় সবসময়ই একটি Walled Garden ভুল কনফিগারেশনের কারণে ঘটে। আধুনিক পোর্টালগুলি একাধিক CDN এবং আইডেন্টিটি প্রোভাইডার থেকে অ্যাসেট লোড করে। ব্লক করা রিকোয়েস্টগুলি সনাক্ত করতে ব্রাউজার ডেভেলপার টুল ব্যবহার করুন এবং আপনার SmartZone Walled Garden-এ প্রয়োজনীয় ডোমেনগুলি যোগ করুন।
  • অথেনটিকেশন সফল কিন্তু ইন্টারনেট অ্যাক্সেস নেই: এটি একটি Northbound Interface ব্যর্থতা নির্দেশ করে। SmartZone, Purple থেকে অথরাইজেশন কলব্যাক পাচ্ছে না। আপনার NBI ক্রেডেনশিয়ালগুলি যাচাই করুন এবং TCP পোর্ট 9080/9443-এ ড্রপ হওয়া ট্রাফিকের জন্য ফায়ারওয়াল লগগুলি পরীক্ষা করুন।
  • ডায়নামিক VLAN অ্যাসাইনমেন্ট ব্যর্থ হওয়া: যদি 802.1X ব্যবহারকারীরা সফলভাবে অথেনটিকেট করে কিন্তু ডিফল্ট VLAN-এ থেকে যায়, তবে WLAN সেটিংসে AAA Override সক্ষম করা আছে কিনা তা পরীক্ষা করুন। এটি ছাড়া, SmartZone, Purple দ্বারা রিটার্ন করা Tunnel-Private-Group-ID অ্যাট্রিবিউটটিকে উপেক্ষা করে।

ROI এবং ব্যবসায়িক প্রভাব

Purple-এর সাথে Ruckus ইনফ্রাস্ট্রাকচার ইন্টিগ্রেট করা একটি স্ট্যান্ডার্ড ওয়্যারলেস নেটওয়ার্ককে পরিমাপযোগ্য ব্যবসায়িক সম্পদে রূপান্তরিত করে।

রিটেইল এবং হসপিটালিটি ভেন্যুগুলির জন্য, Captive Portal যাচাইকৃত ফার্স্ট-পার্টি ডেটা সংগ্রহ করে, যা লয়্যালটি প্রোগ্রামের বৃদ্ধি ঘটায় এবং টার্গেটেড মার্কেটিং ক্যাম্পেইন পরিচালনা করতে সক্ষম করে। একটি বড় ইউকে হোটেল চেইন তাদের Ruckus এবং Purple রোলআউটের পর গেস্ট স্যাটিসফ্যাকশন স্কোরে ৪০% বৃদ্ধির কথা জানিয়েছে।IT অপারেশনের জন্য, ডায়নামিক VLAN স্টিয়ারিং এবং DPSK অটোমেশন ম্যানুয়াল কনফিগারেশনের ঝামেলা নাটকীয়ভাবে হ্রাস করে। কোনো টেন্যান্ট চলে যাওয়ার সময় স্ট্যাটিক সুইচ পোর্ট পরিচালনা করা বা শেয়ার করা পাসওয়ার্ড রিসেট করার পরিবর্তে, অ্যাক্সেস কন্ট্রোলকে কেন্দ্রীভূত এবং স্বয়ংক্রিয় করা হয়, যা সিকিউরিটি ঝুঁকি কমায় এবং সাপোর্ট টিকিট হ্রাস করে।

মূল সংজ্ঞাসমূহ

WISPr

Wireless Internet Service Provider roaming। এটি একটি ইন্ডাস্ট্রি-স্ট্যান্ডার্ড প্রোটোকল যা ওয়্যারলেস কন্ট্রোলার দ্বারা HTTP ট্রাফিক ইন্টারসেপ্ট করতে এবং ব্যবহারকারীদের একটি এক্সটার্নাল Captive Portal-এ রিডাইরেক্ট করতে ব্যবহৃত হয়।

Ruckus হার্ডওয়্যারে সমস্ত পাবলিক গেস্ট WiFi ডিপ্লয়মেন্টের জন্য এটি হলো মূল ভিত্তি আর্কিটেকচার।

Northbound Interface (NBI)

Captive Portal লগইন সফলভাবে সম্পন্ন করার পর ব্যবহারকারীকে ইন্টারনেট অ্যাক্সেস দেওয়ার জন্য Purple-এর ক্ষেত্রে এটি প্রয়োজন।

Walled Garden

ডোমেন এবং IP অ্যাড্রেসের একটি হোয়াইটলিস্ট যা নেটওয়ার্কে অথেন্টিকেট করার আগে একটি ডিভাইসের অ্যাক্সেস করার অনুমতি থাকে।

অনঅথেন্টিকেটেড গেস্টদের জন্য Captive Portal পেজ, এর সাথে সম্পর্কিত ছবি এবং সোশ্যাল লগইন প্রোভাইডার লোড করার জন্য অপরিহার্য।

Dynamic PSK (DPSK)

একটি Ruckus-স্বত্বাধিকারী প্রযুক্তি যা একটি একক শেয়ার্ড SSID-এ পৃথক ব্যবহারকারী বা গ্রুপকে একটি অনন্য WPA2/WPA3 পাসফ্রেজ অ্যাসাইন করে।

SSID-এর সংখ্যা না বাড়িয়ে নিরাপদ নেটওয়ার্ক আইসোলেশন প্রদানের জন্য মাল্টি-টেন্যান্ট এনভায়রনমেন্টে (MDU, কো-ওয়ার্কিং স্পেস) এটি প্রচুর পরিমাণে ব্যবহৃত হয়।

Dynamic VLAN Steering

802.1X অথেন্টিকেশনের সময় রিটার্ন করা RADIUS অ্যাট্রিবিউটের ওপর ভিত্তি করে একটি নির্দিষ্ট নেটওয়ার্ক সেগমেন্টে (VLAN) একটি ডিভাইসকে স্বয়ংক্রিয়ভাবে অ্যাসাইন করার প্রক্রিয়া।

নেটওয়ার্ক লেয়ারে HR, Finance এবং Front Desk ট্রাফিক নিরাপদে আলাদা রেখে আইটি টিমকে একটি একক 'Staff' SSID ব্যবহার করার সুবিধা দেয়।

AAA Override

ওয়্যারলেস কন্ট্রোলারের একটি কনফিগারেশন সেটিং যা অ্যাক্সেস পয়েন্টকে RADIUS সার্ভার দ্বারা রিটার্ন করা পলিসিগুলো (যেমন VLAN ID) প্রয়োগ করতে বাধ্য করে।

ডায়নামিক VLAN স্টিয়ারিং সঠিকভাবে কাজ করার জন্য Ruckus WLAN-এ এটি অবশ্যই সক্রিয় থাকতে হবে।

Client Isolation

একটি নিরাপত্তা বৈশিষ্ট্য যা একই ওয়্যারলেস নেটওয়ার্কের সাথে সংযুক্ত ডিভাইসগুলোকে একে অপরের সাথে সরাসরি যোগাযোগ করতে বাধা দেয়।

পিয়ার-টু-পিয়ার অ্যাটাক প্রতিরোধ করতে এবং সম্মতি নিশ্চিত করতে পাবলিক গেস্ট WiFi নেটওয়ার্কগুলোর জন্য একটি বাধ্যতামূলক নিরাপত্তা নিয়ন্ত্রণ।

Captive Network Assistant (CNA)

মোবাইল অপারেটিং সিস্টেমে (যেমন iOS এবং Android) বিল্ট-ইন মিনি-ব্রাউজার যা একটি Captive Portal সনাক্ত হলে স্বয়ংক্রিয়ভাবে পপ আপ হয়।

মোবাইল ব্যবহারকারীদের জন্য একটি মসৃণ লগইন অভিজ্ঞতা নিশ্চিত করতে ইঞ্জিনিয়ারদের অবশ্যই Walled Garden-এর মাধ্যমে CNA আচরণ পরিচালনা করতে হবে।

সমাধানকৃত উদাহরণসমূহ

একটি ২৫০ রুমের হোটেলের তাদের Ruckus SmartZone পরিকাঠামোতে তিনটি আলাদা নেটওয়ার্ক স্থাপন করা প্রয়োজন: একটি পাবলিক গেস্ট নেটওয়ার্ক, প্রোপার্টি ম্যানেজমেন্ট সিস্টেমে অ্যাক্সেস সহ একটি নিরাপদ স্টাফ নেটওয়ার্ক এবং স্মার্ট থার্মোস্টেটের জন্য একটি আইসোলেটেড IoT নেটওয়ার্ক।

IT টিম তিনটি WLAN কনফিগার করে। 'Guest-WiFi' WLAN-টি Hotspot (WISPr) অথেন্টিকেশন ব্যবহার করে যা Purple-এর Captive Portal-এ রিডাইরেক্ট করে এবং ক্লায়েন্ট আইসোলেশন অ্যাক্টিভ রেখে ব্যবহারকারীদের VLAN 10-এ পাঠায়। 'Staff-Secure' WLAN-টি Purple SecurePass-এর বিরুদ্ধে 802.1X EAP অথেন্টিকেশন ব্যবহার করে; RADIUS সার্ভার Tunnel-Private-Group-ID = 20 রিটার্ন করে, যা স্টাফদের ডাইনামিক্যালি ইন্টারনাল VLAN-এ স্টিয়ার করে। 'IoT-Devices' WLAN-টি VLAN 30-এর সাথে বাউন্ড একটি স্ট্যাটিক WPA2 PSK ব্যবহার করে, যা থার্মোস্টেট কন্ট্রোল সার্ভারের সাথে যোগাযোগের জন্য ফায়ারওয়াল রুলসের মাধ্যমে সীমাবদ্ধ করা হয়েছে।

পরীক্ষকের মন্তব্য: এই আর্কিটেকচারটি সঠিকভাবে 'প্রিন্সিপাল অব লিস্ট প্রিভিলেজ' প্রয়োগ করে। স্টাফদের জন্য ডাইনামিক VLAN স্টিয়ারিং ব্যবহার করে, হোটেলটি একাধিক বিভাগ-নির্দিষ্ট SSID ব্রডকাস্ট করা এড়িয়ে চলে, যা PCI DSS কমপ্লায়েন্সের জন্য প্রয়োজনীয় কঠোর নেটওয়ার্ক সেগমেন্টেশন বজায় রাখার পাশাপাশি চ্যানেল ইউটিলাইজেশন হ্রাস করে।

একটি কো-ওয়ার্কিং স্পেস অপারেটর ১৫টি ভিন্ন টেন্যান্ট কোম্পানি সহ একটি বিল্ডিং পরিচালনা করে। ১৫টি আলাদা SSID ব্রডকাস্ট না করেই প্রতিটি কোম্পানির জন্য তাদের নিরাপদ, আইসোলেটেড ওয়্যারলেস অ্যাক্সেস প্রদান করতে হবে।

অপারেটর Ruckus Unleashed ডেপ্লয় করে এবং ডাইনামিক PSK (DPSK) সিকিউরিটি ব্যবহার করে একটি একক 'Tenant-WiFi' WLAN কনফিগার করে। কন্ট্রোলারের মধ্যে, তারা Per-DPSK VLAN অ্যাসাইনমেন্ট চালু করে। ১৫টি টেন্যান্ট কোম্পানির প্রতিটিকে একটি ইউনিক ৬২-অক্ষরের পাসফ্রেজ দেওয়া হয়। যখন টেন্যান্ট A-এর কর্মীরা তাদের নির্দিষ্ট কী ব্যবহার করে সংযোগ করেন, তখন কন্ট্রোলার স্বয়ংক্রিয়ভাবে তাদের ট্রাফিক VLAN 101-এ অ্যাসাইন করে। টেন্যান্ট B-এর কর্মীরা একটি ভিন্ন কী ব্যবহার করেন এবং VLAN 102-এ ল্যান্ড করেন।

পরীক্ষকের মন্তব্য: এটি Ruckus DPSK-এর জন্য সর্বোত্তম ব্যবহারের ক্ষেত্র। এটি শুধুমাত্র একটি SSID ব্রডকাস্ট করে RF এনভায়রনমেন্টকে পরিচ্ছন্ন রাখার পাশাপাশি নেটওয়ার্ক লেয়ারে এন্টারপ্রাইজ-গ্রেড আইসোলেশন প্রদান করে। এটি একটি শেয়ার্ড পাসওয়ার্ডের নিরাপত্তা ঝুঁকিও দূর করে, কারণ টেন্যান্ট A-এর অ্যাক্সেস বাতিল করার জন্য অন্য ১৪টি কোম্পানিকে প্রভাবিত না করে একটি মাত্র কী মুছে ফেলার প্রয়োজন হয়।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনি Purple-এর সাথে ইন্টিগ্রেটেড একটি Ruckus SmartZone কন্ট্রোলারে একটি গেস্ট WiFi নেটওয়ার্ক কনফিগার করেছেন। একটি টেস্ট ডিভাইস কানেক্ট করার সময়, Purple Captive Portal পেজটি প্রদর্শিত হয়, কিন্তু লোগো ইমেজটি অনুপস্থিত থাকে এবং 'Login with Facebook' বাটনটি কাজ করে না। এর সম্ভাব্য কারণ কী হতে পারে?

ইঙ্গিত: ডিভাইসটি সফলভাবে অথেন্টিকেট হওয়ার আগে তার কী ধরনের নেটওয়ার্ক অ্যাক্সেস রয়েছে তা বিবেচনা করুন।

মডেল উত্তর দেখুন

Walled Garden-টি ভুলভাবে কনফিগার করা হয়েছে। লোগো ইমেজ হোস্টকারী ডোমেন (যেমন, একটি CDN) এবং Facebook অথেন্টিকেশন সার্ভারগুলো Walled Garden হোয়াইটলিস্টে যুক্ত করা হয়নি, যার ফলে SmartZone কন্ট্রোলার প্রি-অথেন্টিকেশন অবস্থায় সেই রিকোয়েস্টগুলোকে ব্লক করছে।

Q2. একজন নেটওয়ার্ক ইঞ্জিনিয়ার স্টাফ অ্যাক্সেসের জন্য 802.1X ডিপ্লয় করছেন। Purple RADIUS সার্ভার সঠিকভাবে VLAN 20-এর জন্য `Tunnel-Private-Group-ID` অ্যাট্রিবিউট রিটার্ন করছে। তবে, স্টাফরা যখন কানেক্ট করছেন, তখন তাদের WLAN-এ অ্যাসাইন করা ডিফল্ট VLAN-এ রাখা হচ্ছে। আপনি কীভাবে এটির সমাধান করবেন?

ইঙ্গিত: কন্ট্রোলারটি RADIUS নির্দেশনা পাচ্ছে কিন্তু সেগুলো উপেক্ষা করার সিদ্ধান্ত নিচ্ছে।

মডেল উত্তর দেখুন

আপনাকে SmartZone কন্ট্রোলারের WLAN-এর অ্যাডভান্সড সেটিংসে 'AAA Override' সক্রিয় করতে হবে। এই সেটিংসটি সক্রিয় না করলে, RADIUS সার্ভার দ্বারা রিটার্ন করা ডাইনামিক VLAN অ্যাট্রিবিউটগুলো কন্ট্রোলার প্রয়োগ করবে না।

Q3. একটি কো-ওয়ার্কিং স্পেস ১০টি ভিন্ন কোম্পানির জন্য সুরক্ষিত WiFi প্রদান করতে চায়। বর্তমানে তারা ১০টি আলাদা SSID ব্রডকাস্ট করছে, যা মারাত্মক চ্যানেল ইন্টারফেয়ারেন্সের সৃষ্টি করছে। তারা 802.1X ব্যবহার করতে পারছে না কারণ অনেক ডিভাইস শেয়ার্ড প্রিন্টার বা স্মার্ট টিভি। এখানে কোন Ruckus আর্কিটেকচারটি ব্যবহার করার পরামর্শ দেওয়া হচ্ছে?

ইঙ্গিত: এমন একটি সমাধানের সন্ধান করুন যা এন্টারপ্রাইজ সার্টিফিকেট বা ক্রিডেনশিয়ালের প্রয়োজন ছাড়াই ইউনিক এনক্রিপশন কী প্রদান করে।

মডেল উত্তর দেখুন

একটি একক SSID-এর উপর Ruckus Dynamic PSK (DPSK) ইমপ্লিমেন্ট করুন। প্রতিটি ভাড়াটে কোম্পানিকে একটি ইউনিক DPSK প্রদান করুন এবং প্রতিটি DPSK-কে একটি নির্দিষ্ট VLAN-এর সাথে বাইন্ড করার জন্য কন্ট্রোলার কনফিগার করুন। এটি SSID-এর সংখ্যা কমায়, নেটওয়ার্ক আইসোলেশন নিশ্চিত করে এবং প্রিন্টারের মতো হেডলেস ডিভাইসগুলোকে সাপোর্ট করে।

এই সিরিজে পড়া চালিয়ে যান

Purple WiFi-এর সাথে Allied Telesis Access Points ইন্টিগ্রেশন

এই গাইডটি Purple WiFi-এর সাথে Allied Telesis TQ-Series access points ইন্টিগ্রেট করার জন্য একটি ব্যাপক কনফিগারেশন প্লেবুক প্রদান করে। এটি নিরাপদ মাল্টি-টেন্যান্ট ডেপ্লয়মেন্টের জন্য এক্সটার্নাল Captive Portal রিডাইরেকশন, 802.1X RADIUS অথেন্টিকেশন এবং প্রাইভেট প্রি-শেয়ার্ড কি (PPSK) ব্যবহার করে ডাইনামিক VLAN স্টিয়ারিং কভার করে।

গাইডটি পড়ুন →

Purple WiFi-এর সাথে Grandstream GWN Access Points-এর ইন্টিগ্রেশন

এই নির্ভরযোগ্য প্রযুক্তিগত রেফারেন্স গাইডটিতে Grandstream GWN access points-এর সাথে Purple-এর Guest WiFi এবং অ্যানালিটিক্স প্ল্যাটফর্ম কীভাবে ইন্টিগ্রেট করতে হয় তা বিস্তারিতভাবে আলোচনা করা হয়েছে। এতে Grandstream captive portal কনফিগারেশন, RADIUS AAA সেটিংস, walled garden সেটআপ, ডাইনামিক VLAN স্টিয়ারিং সহ সুরক্ষিত স্টাফ 802.1X অথেন্টিকেশন এবং মাল্টি-টেন্যান্ট PPSK সেগমেন্টেশন অন্তর্ভুক্ত রয়েছে - যা স্কেলে গেস্ট এবং স্টাফ WiFi স্থাপনকারী MSP এবং IT টিমগুলোর জন্য কার্যকর, ধাপে ধাপে নির্দেশিকা প্রদান করে।

গাইডটি পড়ুন →

Purple WiFi-এর সাথে Cisco WLC এবং Catalyst ইন্টিগ্রেশন: ধাপে ধাপে গেস্ট অ্যাক্সেস গাইড

এই নির্দেশিকাটি Purple-এর সাথে Cisco WLC এবং Catalyst 9800 Wireless-এর ধাপে ধাপে ইন্টিগ্রেশনের বিস্তারিত বিবরণ দেয়, যার মধ্যে রয়েছে Central Web Authentication-এর মাধ্যমে গেস্ট WiFi Captive Portal রিডাইরেকশন, 802.1X EAP-TLS ব্যবহার করে সিকিউর স্টাফ WiFi, এবং ডাইনামিক VLAN অ্যাসাইনমেন্ট সহ Cisco Identity Pre-Shared Keys (iPSK) ব্যবহার করে মাল্টি-টেন্যান্ট সেগমেন্টেশন। এটি হসপিটালিটি, রিটেইল এবং বড় পাবলিক ভেন্যুতে Cisco ইনফ্রাস্ট্রাকচার স্থাপনকারী এন্টারপ্রাইজ নেটওয়ার্ক আর্কিটেক্ট এবং আইটি সিকিউরিটি ডিরেক্টরদের জন্য লেখা হয়েছে।

গাইডটি পড়ুন →