মূল কন্টেন্টে যান
বাংলা

Purple WiFi-এর সাথে NETGEAR Insight এবং এন্টারপ্রাইজ অ্যাক্সেস পয়েন্ট ইন্টিগ্রেশন

এই গাইডটি IT ম্যানেজারদের Purple WiFi-এর সাথে NETGEAR Insight এবং WAX এন্টারপ্রাইজ অ্যাক্সেস পয়েন্ট ইন্টিগ্রেট করার জন্য একটি সুনির্দিষ্ট টেকনিক্যাল রোডম্যাপ প্রদান করে। এতে গেস্ট Captive Portal, 802.1X স্টাফ নেটওয়ার্ক এবং PPSK ও ডায়নামিক VLAN অ্যাসাইনমেন্ট ব্যবহার করে মাল্টি-টেন্যান্ট সেগমেন্টেশন সহ প্রয়োজনীয় কনফিগারেশনগুলো অন্তর্ভুক্ত করা হয়েছে।

📖 6 মিনিট পাঠ📝 1,295 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
Purple-এর টেকনিক্যাল ব্রিফিং-এ আপনাকে স্বাগত। আজ আমরা এমন একটি বিষয় আলোচনা করছি যা হসপিটালিটি, রিটেইল এবং মাল্টি-টেন্যান্ট ভেন্যু জুড়ে আইটি ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের সাথে আমাদের আলোচনায় ক্রমাগত উঠে আসে: কীভাবে NETGEAR Insight এবং WAX সিরিজের অ্যাক্সেস পয়েন্টগুলিকে Purple WiFi-এর সাথে ইন্টিগ্রেট করা যায়। আপনি যদি একটি হোটেল, একটি রিটেইল পার্ক, একটি কনফারেন্স সেন্টার বা একটি মিশ্র-ব্যবহারের ডেভেলপমেন্ট পরিচালনা করেন, তবে এই ব্রিফিংটি সরাসরি আপনার পরবর্তী ডিপ্লয়মেন্ট সিদ্ধান্তের সাথে প্রাসঙ্গিক। আসুন প্রেক্ষাপটটি দেখে নেওয়া যাক। NETGEAR-এর WAX সিরিজ - WAX610, WAX620, এবং WAX630 - হল WiFi 6 অ্যাক্সেস পয়েন্ট যা Insight ক্লাউড প্ল্যাটফর্মের মাধ্যমে পরিচালনা করা হয়। এগুলি প্রতি রেডিওতে আটটি পৃথক SSID, WPA3 এনক্রিপশন এবং WAX630-এ ছয় গিগাবিট পর্যন্ত থ্রুপুট সমর্থন করে। এগুলি PoE-দ্বারা চালিত, সিলিং-মাউন্ট করা যায় এবং Insight ক্লাউড পোর্টালের মাধ্যমে একটি একক উইন্ডো থেকে পরিচালনা করা হয়। একজন আইটি ইনস্টলার বা SMB নেটওয়ার্ক প্রশাসকের জন্য, এটি Cisco Meraki বা HPE Aruba স্তরের চেয়ে অনেক কম মূল্যে একটি অত্যন্ত বাস্তবসম্মত এবং সক্ষম প্ল্যাটফর্ম। Purple একটি হার্ডওয়্যার-স্বাধীন ক্লাউড ওভারলে। আমরা আপনার বিদ্যমান পরিকাঠামো বা ইনফ্রাস্ট্রাকচারের উপরে কাজ করি এবং আমরা গেস্ট এক্সপেরিয়েন্স লেয়ার, ডেটা ক্যাপচার লেয়ার এবং অ্যানালিটিক্স লেয়ার যুক্ত করি। আমরা ২০২৪ সালে ৮০,০০০টি লাইভ ভেন্যু জুড়ে ৪৪০ মিলিয়ন লগইন প্রসেস করেছি। NETGEAR Insight-এর সাথে ইন্টিগ্রেশনটি পরিষ্কার এবং সু-নথিভুক্ত (well-documented), এবং এটি চারটি ভিন্ন ইউজ কেস কভার করে যা আমরা আজ আলোচনা করব। এখন টেকনিক্যাল গভীরে যাওয়া যাক। এই চারটি ইউজ কেস হল: একটি Purple Captive Portal সহ গেস্ট WiFi, 802.1X ব্যবহার করে নিরাপদ স্টাফ WiFi, NETGEAR-এর PPSK ফিচার ব্যবহার করে মাল্টি-টেন্যান্ট সেগমেন্টেশন এবং আইডেন্টিটি-বেসড নেটওয়ার্কের জন্য RADIUS-এর মাধ্যমে ডায়নামিক VLAN অ্যাসাইনমেন্ট। ইউজ কেস এক: একটি Purple Captive Portal সহ গেস্ট WiFi। এটি সবচেয়ে সাধারণ শুরুর দিক। আপনি NETGEAR Insight-এ একটি ডেডিকেটেড গেস্ট SSID তৈরি করুন এবং এটিকে একটি ওপেন নেটওয়ার্ক হিসাবে কনফিগার করুন। মূল কনফিগারেশনটি রয়েছে SSID সেটিংসের Captive Portal সেকশনে। আপনি External Captive Portal সিলেক্ট করুন এবং Purple যে স্প্ল্যাশ পেজ URL প্রদান করে তা পেস্ট করুন। এরপর, আপনি অথেন্টিকেশন টাইপ কনফিগার করবেন। বেশিরভাগ Purple ডিপ্লয়মেন্টের জন্য, আপনি RADIUS অথেন্টিকেশন সিলেক্ট করবেন। Purple আপনাকে একটি প্রাইমারি RADIUS সার্ভার আইপি অ্যাড্রেস, অথেন্টিকেশনের জন্য পোর্ট ১৮১২ এবং অ্যাকাউন্টিংয়ের জন্য পোর্ট ১৮১৩ এবং একটি শেয়ার্ড সিক্রেট প্রদান করবে। আপনি সেগুলি NETGEAR Insight External Captive Portal কনফিগারেশনে পেস্ট করুন। আপনি একটি NAS আইডেন্টিফায়ারও সেট করবেন - এটি একটি স্ট্রিং যা RADIUS সার্ভারের কাছে এই নির্দিষ্ট অ্যাক্সেস পয়েন্ট বা লোকেশনকে সনাক্ত করে। আপনার ভেন্যুর নাম এবং লোকেশন কোডের মতো অর্থপূর্ণ কিছু ব্যবহার করুন।Walled garden-এর বিষয়টিই বেশিরভাগ ইনস্টলারদের আটকে দেয়। কোনো অতিথি অথেন্টিকেট করার আগে, তাদের ডিভাইসের Purple স্প্ল্যাশ পেজ, অথেন্টিকেশন সার্ভার এবং আপনার সক্রিয় করা যেকোনো সোশ্যাল লগইন প্রোভাইডারের কাছে পৌঁছানোর প্রয়োজন হয়। NETGEAR Insight-এর External Captive Portal কনফিগারেশনে একটি ডেডিকেটেড Walled Garden সেকশন রয়েছে যেখানে আপনি এই URL-গুলি যোগ করতে পারেন। Purple-এর সাপোর্ট ডকুমেন্টেশন আপনাকে হোয়াইটলিস্ট করার জন্য ডোমেনের সঠিক তালিকা প্রদান করে। এটি ভুল হলে অতিথিরা আপনার ব্র্যান্ডেড পোর্টালের পরিবর্তে একটি খালি পৃষ্ঠা দেখতে পাবেন। কনফিগার করার পর, ফ্লোটি এভাবে কাজ করে: একজন অতিথি Hotel Guest SSID-এর সাথে সংযোগ করেন। অ্যাক্সেস পয়েন্টটি তাদের প্রথম HTTP রিকোয়েস্ট ইন্টারসেপ্ট করে এবং তাদের Purple স্প্ল্যাশ পেজে রিডাইরেক্ট করে। অতিথি আপনার ব্র্যান্ডেড পোর্টালটি দেখতে পান, শর্তাবলী মেনে নেন এবং ঐচ্ছিকভাবে তাদের ইমেল ঠিকানা প্রদান করেন বা সোশ্যাল মিডিয়ার মাধ্যমে লগইন করেন। Purple-এর RADIUS সার্ভার অ্যাক্সেস পয়েন্টে একটি Access-Accept মেসেজ পাঠায় এবং অতিথিকে ইন্টারনেট অ্যাক্সেস দেওয়া হয়। Purple এই সম্মতি ডেটা ক্যাপচার করে, সেশনটি লগ করে এবং সেই ডেটা আপনার Purple অ্যানালিটিক্স ড্যাশবোর্ডে চলে যায়। ইউজ কেস দুই: 802.1X ব্যবহার করে সুরক্ষিত স্টাফ WiFi। এখানেই আপনি শেয়ার করা পাসওয়ার্ডের ব্যবহার সম্পূর্ণভাবে বন্ধ করবেন। স্টাফ নেটওয়ার্কের জন্য একটি প্রি-শেয়ার্ড কি একটি ঝুঁকি - যখন কোনো কর্মী চাকরি ছেড়ে চলে যান, তখন আপনাকে সবার জন্য পাসওয়ার্ড পরিবর্তন করতে হয়। IEEE 802.1X স্ট্যান্ডার্ডে সংজ্ঞায়িত 802.1X প্রতিটি ব্যবহারকারীকে একটি ব্যক্তিগত ক্রেডেনশিয়াল দেয়। তারা চলে গেলে, আপনি আপনার ডিরেক্টরিতে তাদের অ্যাকাউন্টটি নিষ্ক্রিয় করে দেন এবং তাৎক্ষণিকভাবে তাদের অ্যাক্সেস বাতিল হয়ে যায়। NETGEAR Insight-এ, আপনি WPA2 এন্টারপ্রাইজ সিকিউরিটি সহ একটি পৃথক Staff SSID কনফিগার করবেন। এটি অ্যাক্সেস পয়েন্টকে একটি প্রি-শেয়ার্ড কি-এর পরিবর্তে 802.1X অথেন্টিকেশন ব্যবহার করতে নির্দেশ দেয়। এরপর আপনি নেটওয়ার্ক লোকেশন লেভেলে RADIUS সার্ভার সেটিংস কনফিগার করবেন। নেটওয়ার্ক লোকেশন সেটিংসে যান, RADIUS নির্বাচন করুন, 802.1X Access Authentication সক্রিয় করুন এবং আপনার RADIUS সার্ভার IP, পোর্ট ও শেয়ার্ড সিক্রেট লিখুন। ডিফল্ট রি-অথেন্টিকেশন ইন্টারভাল হলো ৩,৬০০ সেকেন্ড - এক ঘণ্টা - যা বেশিরভাগ ভেন্যুর জন্য একটি যুক্তিসঙ্গত শুরুর সময়। SMB ডিপ্লয়মেন্টে সবচেয়ে সাধারণ EAP পদ্ধতি হলো PEAP-MSCHAPv2, যা একটি এনক্রিপ্টেড টানেল তৈরি করতে সার্ভার-সাইড সার্টিফিকেট ব্যবহার করে যার ভেতরে ব্যবহারকারী তাদের Active Directory ইউজারনেম এবং পাসওয়ার্ড দিয়ে অথেন্টিকেট করেন। EAP-TLS আরও বেশি সুরক্ষিত - এটি উভয় দিকেই সার্টিফিকেট ব্যবহার করে - তবে ডিভাইসগুলোতে সার্টিফিকেট পুশ করার জন্য এর একটি PKI অবকাঠামো এবং MDM-এর প্রয়োজন হয়। একটি গুরুত্বপূর্ণ বিষয়: প্রতিটি ক্লায়েন্ট ডিভাইসে সার্টিফিকেট ভ্যালিডেশন বাধ্যতামূলক করুন। RADIUS সার্ভারের সার্টিফিকেট ভ্যালিডেশন করার জন্য Group Policy Objects-এর মাধ্যমে আপনার Windows ডিভাইসগুলো এবং MDM প্রোফাইলের মাধ্যমে আপনার মোবাইল ডিভাইসগুলো কনফিগার করুন। আপনি যদি এই ধাপটি এড়িয়ে যান, তবে ডিভাইসগুলো রোগ অ্যাক্সেস পয়েন্ট অ্যাটাকের শিকার হতে পারে যেখানে আক্রমণকারী একটি ভুয়া সার্টিফিকেট প্রদর্শন করে ক্রেডেনশিয়াল হাতিয়ে নেয়।ব্যবহারের ক্ষেত্র তিন: মাল্টি-টেন্যান্ট ভেন্যুর জন্য NETGEAR PPSK। Private Pre-Shared Key রিটেল পার্ক, মিশ্র-ব্যবহারের উন্নয়ন এবং কো-ওয়ার্কিং স্পেসের একটি নির্দিষ্ট সমস্যার সমাধান করে। আপনার কাছে একাধিক টেন্যান্ট রয়েছে যারা একই ফিজিক্যাল WiFi ইনফ্রাস্ট্রাকচার শেয়ার করছে। আপনি প্রতিটি টেন্যান্টের জন্য আলাদা SSID চালাতে চান না - এটি রেডিও ফ্রিকোয়েন্সি কনজেশন এবং ম্যানেজমেন্ট জটিলতা তৈরি করে। কিন্তু আপনি সবাইকে একই পাসওয়ার্ডও দিতে পারেন না, কারণ তাহলে Tenant A, Tenant B-এর ট্রাফিক দেখতে পাবে। PPSK এটির একটি চমৎকার সমাধান করে। আপনি একটি একক SSID তৈরি করেন এবং NETGEAR Insight-এ Wireless, Settings, Advanced, Multi PSK Settings-এর অধীনে একাধিক প্রি-শেয়ার্ড কী তৈরি করেন। প্রতিটি কী একটি নির্দিষ্ট VLAN-এর সাথে যুক্ত থাকে। Tenant A একটি অনন্য ১৬-অক্ষরের পাসওয়ার্ড পায় যা VLAN 30-এ ম্যাপ করে। Tenant B একটি ভিন্ন পাসওয়ার্ড পায় যা VLAN 40-এ ম্যাপ করে। ভেন্যু ম্যানেজমেন্ট টিম একটি তৃতীয় পাসওয়ার্ড পায় যা VLAN 20-এ ম্যাপ করে, যার ম্যানেজমেন্ট সিস্টেমে অ্যাক্সেস রয়েছে। যখন Tenant A-এর ডিভাইসগুলো তাদের পাসওয়ার্ড ব্যবহার করে কানেক্ট হয়, তখন অ্যাক্সেস পয়েন্ট স্বয়ংক্রিয়ভাবে সেগুলোকে VLAN 30-এ স্থাপন করে। তারা VLAN 40 বা VLAN 20-এর কোনো ট্রাফিক দেখতে পায় না। একজন টেন্যান্টের দৃষ্টিকোণ থেকে, তাদের কাছে কেবল একটি WiFi পাসওয়ার্ড রয়েছে। নেটওয়ার্ক অ্যাডমিনিস্ট্রেটর হিসেবে আপনার দৃষ্টিকোণ থেকে, আপনার কাছে শূন্য অতিরিক্ত হার্ডওয়্যার সহ টেন্যান্টদের মধ্যে সম্পূর্ণ ট্রাফিক আইসোলেশন রয়েছে। জানার জন্য দুটি গুরুত্বপূর্ণ সীমাবদ্ধতা রয়েছে। প্রথমত, NETGEAR Insight-এ PPSK-এর জন্য WPA2 Personal বা WPA2 Personal Mixed এনক্রিপশন প্রয়োজন। এটি 6 GHz ব্যান্ডে কাজ করে না। দ্বিতীয়ত, একই SSID-এ Captive Portal-এর সাথে PPSK যুক্ত করা যাবে না। আপনার যদি দুটিরই প্রয়োজন হয়, তবে আপনার দুটি আলাদা SSID প্রয়োজন - যা কোনো সমস্যা নয়, কারণ WAX সিরিজের অ্যাক্সেস পয়েন্টগুলো আটটি পর্যন্ত সাপোর্ট করে। ব্যবহারের ক্ষেত্র চার: RADIUS-এর মাধ্যমে ডায়নামিক VLAN অ্যাসাইনমেন্ট। এটি সবচেয়ে পরিশীলিত কনফিগারেশন এবং এটিই Purple-এর Identity-Based Networks সক্ষমতাকে ভিত্তি প্রদান করে। একটি পাসওয়ার্ড বা একটি SSID-এর জন্য স্ট্যাটিকভাবে একটি VLAN অ্যাসাইন করার পরিবর্তে, আপনি কে অথেন্টিকেট করছেন তার উপর ভিত্তি করে কোন VLAN অ্যাসাইন করা হবে তা RADIUS সার্ভারকে সিদ্ধান্ত নিতে দেন। এই মেকানিজমটি তিনটি স্ট্যান্ডার্ড RADIUS অ্যাট্রিবিউট ব্যবহার করে: Tunnel-Type, যা VLAN-এর জন্য মান 13-এ সেট করতে হবে; Tunnel-Medium-Type, যা IEEE 802-এর জন্য মান 6-এ সেট করতে হবে; এবং Tunnel-Private-Group-ID, যা একটি স্ট্রিং হিসেবে VLAN ID বহন করে। যখন কোনো ব্যবহারকারী সফলভাবে অথেন্টিকেট করেন, তখন RADIUS সার্ভার Access-Accept মেসেজে এই তিনটি অ্যাট্রিবিউট ফেরত পাঠায়। অ্যাক্সেস পয়েন্ট এগুলো পড়ে এবং ক্লায়েন্টকে নির্দিষ্ট VLAN-এ স্থাপন করে। বাস্তবে, এর অর্থ হলো আপনার একটি একক WPA2 Enterprise SSID থাকতে পারে যেখানে একজন হোটেল ম্যানেজার অথেন্টিকেট করেন এবং প্রপার্টি ম্যানেজমেন্ট সিস্টেমে অ্যাক্সেস সহ VLAN 20-এ পৌঁছান, একজন ফ্রন্ট ডেস্ক এজেন্ট অথেন্টিকেট করেন এবং শুধুমাত্র চেক-ইন সিস্টেমে অ্যাক্সেস সহ VLAN 21-এ পৌঁছান, এবং একজন ঠিকাদার অথেন্টিকেট করেন এবং শুধুমাত্র ইন্টারনেট অ্যাক্সেস সহ VLAN 50-এ পৌঁছান। সবই একই SSID থেকে, যা Active Directory গ্রুপ মেম্বারশিপের উপর ভিত্তি করে RADIUS সার্ভার দ্বারা স্বয়ংক্রিয়ভাবে কার্যকর হয়। এবার বাস্তবায়ন সংক্রান্ত সুপারিশ এবং সম্ভাব্য সমস্যাগুলো নিয়ে আলোচনা করা যাক। প্রথম সমস্যাটি হলো ওয়াল্ড গার্ডেন (walled garden)। প্রতিটি এক্সটার্নাল Captive Portal ডেপ্লয়মেন্ট অন্তত একবার হলেও এই ওয়াল্ড গার্ডেন-এর কারণে ব্যর্থ হয়। এর লক্ষণ হলো অতিথিরা SSID-এর সাথে সংযুক্ত হতে পারলেও স্প্ল্যাশ পেজের পরিবর্তে ব্রাউজারে ত্রুটি দেখতে পান। এর সমাধানটি পদ্ধতিগত: Purple-এর সাপোর্ট ডকুমেন্টেশন খুলুন, ওয়াল্ড গার্ডেন তালিকায় থাকা প্রতিটি ডোমেন কপি করুন এবং সেগুলো NETGEAR Insight-এর Walled Garden সেকশনে পেস্ট করুন। ক্যাশে করা কোনো ক্রেডেনশিয়াল নেই এমন একটি ডিভাইস দিয়ে এটি পরীক্ষা করুন। দ্বিতীয় সমস্যাটি হলো RADIUS রিচিবিলিটি (পৌঁছানোর সক্ষমতা)। NETGEAR অ্যাক্সেস পয়েন্টটিকে আপনার RADIUS সার্ভারে পৌঁছাতে হবে। RADIUS অথেন্টিকেশনের জন্য UDP পোর্ট 1812 এবং অ্যাকাউন্টিংয়ের জন্য UDP পোর্ট 1813 ব্যবহার করে। অ্যাক্সেস পয়েন্ট ম্যানেজমেন্ট IP থেকে RADIUS সার্ভার IP-তে এই পোর্টগুলো ওপেন করুন। লাইভ করার আগে একটি RADIUS টেস্ট টুল দিয়ে এটি পরীক্ষা করুন। তৃতীয় সমস্যাটি হলো PPSK এবং Captive Portal-এর মধ্যে বিরোধ। NETGEAR Insight একই SSID-তে PPSK এবং Captive Portal অনুমোদন করে না। আপনার যদি দুটিরই প্রয়োজন হয়, তবে দুটি আলাদা SSID তৈরি করুন। সেগুলোর স্পষ্ট নাম দিন - একটি PPSK ব্যবহারকারীদের জন্য এবং অন্যটি Captive Portal অতিথিদের জন্য। চতুর্থ সমস্যাটি হলো 802.1X ক্লায়েন্টদের সার্টিফিকেট ভ্যালিডেশন। প্রতিটি Windows ডিভাইসের জন্য একটি গ্রুপ পলিসি অবজেক্ট প্রয়োজন যা বিশ্বস্ত সার্টিফিকেট অথরিটি এবং প্রত্যাশিত RADIUS সার্ভারের নাম নির্দিষ্ট করে। প্রতিটি মোবাইল ডিভাইসের জন্য একই সেটিংস সহ একটি MDM প্রোফাইল প্রয়োজন। এটি ছাড়া, একজন ব্যবহারকারী অজান্তেই একটি ক্ষতিকর (rogue) অ্যাক্সেস পয়েন্টে অথেন্টিকেট করে বসতে পারেন এবং তাদের Active Directory ক্রেডেনশিয়াল দিয়ে দিতে পারেন। এবার দ্রুত কিছু প্রশ্নোত্তর পর্ব। প্রশ্ন এক: আমি কি RADIUS সার্ভার ছাড়াই NETGEAR Insight-এর সাথে Purple ব্যবহার করতে পারি? হ্যাঁ, গেস্ট Captive Portal ডেপ্লয়মেন্টের জন্য, আপনি RADIUS-এর পরিবর্তে Purple-এর ওয়েব অথেন্টিকেশন মোড ব্যবহার করতে পারেন। অ্যাক্সেস পয়েন্টটি HTTP-এর মাধ্যমে স্প্ল্যাশ পেজে রিডাইরেক্ট করে এবং Purple একটি ওয়েব সেশনের মাধ্যমে অথেন্টিকেশন সম্পন্ন করে। RADIUS আপনাকে আরও বেশি নিয়ন্ত্রণ এবং আরও ভালো অ্যাকাউন্টিং ডেটা দেয়, তবে বেসিক গেস্ট পোর্টাল ডেপ্লয়মেন্টের জন্য এটি বাধ্যতামূলক নয়। প্রশ্ন দুই: আমি NETGEAR Insight-এ কতগুলো PPSK কি (key) তৈরি করতে পারি? NETGEAR Insight WAX সিরিজের অ্যাক্সেস পয়েন্টগুলোতে প্রতি SSID-তে সর্বাধিক ৬৪টি PPSK কি সমর্থন করে। বেশিরভাগ মাল্টি-টেন্যান্ট ভেন্যুর জন্য এটি যথেষ্ট। আপনার যদি ৬৪টির বেশি টেন্যান্ট থাকে, তবে আপনাকে এর পরিবর্তে একটি RADIUS-ভিত্তিক ডাইনামিক VLAN সলিউশনে যেতে হবে। প্রশ্ন তিন: NETGEAR Insight কি 802.1X-এর জন্য WPA3 এন্টারপ্রাইজ সমর্থন করে? হ্যাঁ, WAX সিরিজের অ্যাক্সেস পয়েন্টগুলো WPA3 এন্টারপ্রাইজ সমর্থন করে। বেশিরভাগ SMB ডেপ্লয়মেন্টের জন্য WPA2 এন্টারপ্রাইজই যথেষ্ট এবং এতে ক্লায়েন্ট ডিভাইসের সামঞ্জস্যতা আরও বেশি থাকে। স্বাস্থ্যসেবা বা আর্থিক পরিষেবার মতো সংবেদনশীল ডেটা নিয়ে কাজ করে এমন পরিবেশের জন্য WPA3 এন্টারপ্রাইজ বিবেচনা করা যেতে পারে। প্রশ্ন চার: Purple RADIUS সার্ভারটি রিচ করা না গেলে কী হবে? NETGEAR Insight এক্সটার্নাল Captive Portal কনফিগারেশনে একটি ফেলসেফ (failsafe) অপশন সমর্থন করে। আপনি যদি ফেলসেফ সক্রিয় করেন, তবে Captive Portal সার্ভারগুলোতে পৌঁছানো না গেলেও অতিথিদের অল্প সময়ের জন্য ইন্টারনেট ব্যবহারের অনুমতি দেওয়া হয়। Purple আমাদের সম্পূর্ণ অবকাঠামোতে ৯৯.৯৯৯% আপটাইম বজায় রাখে, তবে যেকোনো প্রোডাকশন ডেপ্লয়মেন্টের জন্য ফেলসেফ সক্রিয় রাখা একটি ভালো অভ্যাস। আজকের ব্রিফিংয়ের মূল বিষয়গুলি সংক্ষেপে বলতে গেলে। NETGEAR WAX সিরিজের অ্যাক্সেস পয়েন্টগুলি NETGEAR Insight-এর External Captive Portal প্রক্রিয়ার মাধ্যমে Purple-এর সাথে সংযুক্ত হয়। আপনি Insight ক্লাউড পোর্টালে splash page URL, RADIUS সার্ভার ক্রেডেনশিয়াল এবং walled garden ডোমেনগুলি কনফিগার করবেন। স্টাফ নেটওয়ার্কের জন্য, 802.1X সহ WPA2 Enterprise ব্যবহার করুন এবং প্রতিটি ক্লায়েন্ট ডিভাইসে সার্টিফিকেট ভ্যালিডেশন বাধ্যতামূলক করুন। মাল্টি-টেন্যান্ট ভেন্যুর জন্য, NETGEAR-এর PPSK ফিচারটি আপনাকে একটি মাত্র SSID থেকে সর্বোচ্চ ৬৪টি ইউনিক কি সহ প্রতি টেন্যান্ট অনুযায়ী VLAN আইসোলেশন প্রদান করে। সবচেয়ে উন্নত ডেপ্লয়মেন্টের জন্য, RADIUS অ্যাট্রিবিউটের মাধ্যমে ডায়নামিক VLAN অ্যাসাইনমেন্ট আপনাকে আইডেন্টিটি-চালিত নেটওয়ার্ক সেগমেন্টেশন প্রদান করে, যা ব্যবহারকারী কোথা থেকে কানেক্ট করছেন তার উপর নয়, বরং কে কানেক্ট করছেন তার উপর ভিত্তি করে মানিয়ে নেয়। আপনি যদি Purple-এর সাথে একটি NETGEAR ডেপ্লয়মেন্টের পরিকল্পনা করে থাকেন, তবে পরবর্তী ধাপ হলো Purple-এর সাপোর্ট টিমের কাছ থেকে আপনার Purple RADIUS ক্রেডেনশিয়াল এবং walled garden ডোমেন তালিকা চেয়ে নেওয়া, এবং প্রোডাকশনে চালু করার আগে একটি স্টেজিং SSID-এ captive portal রিডাইরেক্ট পরীক্ষা করা। এই ক্রেডেনশিয়ালগুলি আপনার হাতে থাকলে কনফিগারেশন করতে ৩০ মিনিটেরও কম সময় লাগে। Purple-এর টেকনিক্যাল ব্রিফিং শোনার জন্য আপনাকে ধন্যবাদ। ধাপে ধাপে কনফিগারেশনের বিবরণ এবং বাস্তব উদাহরণ সহ সম্পূর্ণ লিখিত গাইডের জন্য purple.ai ভিজিট করুন।

header_image.png

এক্সিকিউটিভ সামারি (Executive Summary)

এন্টারপ্রাইজ WiFi অ্যাক্সেসের জন্য প্রি-শেয়ার্ড কী-এর উপর নির্ভর করা একটি বড় নিরাপত্তা ঝুঁকি। একটিমাত্র আপোসকৃত ক্রেডেনশিয়াল পুরো নেটওয়ার্ককে ঝুঁকির মুখে ফেলে এবং অ্যাক্সেস প্রত্যাহার করার জন্য প্রতিটি ডিভাইসের পাসওয়ার্ড পরিবর্তন করতে হয়। এই গাইডটি IT ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের NETGEAR Insight এবং WAX সিরিজের এন্টারপ্রাইজ অ্যাক্সেস পয়েন্টগুলিকে Purple-এর সাথে সংহত করার জন্য একটি নির্দিষ্ট রোডম্যাপ প্রদান করে।

আমরা চারটি মূল ডেপ্লয়মেন্ট আর্কিটেকচার বিস্তারিতভাবে আলোচনা করেছি: Captive Portal সহ গেস্ট WiFi, 802.1X ব্যবহার করে সুরক্ষিত স্টাফ WiFi, NETGEAR প্রাইভেট প্রি-শেয়ার্ড কী (PPSK)-এর মাধ্যমে মাল্টি-টেন্যান্ট সেগমেন্টেশন, এবং ডাইনামিক VLAN অ্যাসাইনমেন্ট ব্যবহার করে আইডেন্টিটি-ভিত্তিক নেটওয়ার্ক। আপনি হসপিটালিটি ভেন্যু, রিটেইল স্পেস বা পাবলিক-সেক্টর পরিবেশ পরিচালনা করুন না কেন, এই কনফিগারেশনগুলি শেয়ার্ড পাসওয়ার্ডের প্রয়োজনীয়তা দূর করে, কঠোর নেটওয়ার্ক সেগমেন্টেশন প্রয়োগ করে এবং কার্যকর WiFi Analytics ক্যাপচার করে।

আর্কিটেকচার এবং সাধারণ ডেপ্লয়মেন্টের ত্রুটিগুলির একটি বিস্তৃত ওভারভিউ পেতে নীচে আমাদের টেকনিক্যাল ব্রিফিং পডকাস্টটি শুনুন।

টেকনিক্যাল ডিপ-ডাইভ (Technical Deep-Dive)

NETGEAR WAX সিরিজের অ্যাক্সেস পয়েন্টগুলি (WAX610, WAX620, WAX630) হল ক্লাউড-ম্যানেজড WiFi 6 ডিভাইস যা উচ্চ-ঘনত্বের পরিবেশের জন্য ডিজাইন করা হয়েছে। NETGEAR Insight পোর্টালের মাধ্যমে পরিচালিত, এগুলি প্রতি রেডিওতে আটটি পৃথক SSID, WPA3 এনক্রিপশন এবং মাল্টি-গিগাবিট থ্রুপুট সমর্থন করে। Purple একটি হার্ডওয়্যার-অ্যাগনস্টিক ক্লাউড ওভারলে হিসাবে কাজ করে, যা এন্টারপ্রাইজ-গ্রেড অ্যাক্সেস কন্ট্রোল এবং ডেটা ক্যাপচার প্রদানের জন্য NETGEAR Insight-এর সাথে সংহত হয়।

১. Captive Portal সহ গেস্ট WiFi

পাবলিক-ফেসিং পরিবেশের জন্য, আপনাকে অবশ্যই একটি এক্সটার্নাল Captive Portal ডেপ্লয় করতে হবে। এই কনফিগারেশনটি গেস্টদের HTTP রিকোয়েস্টগুলিকে ইন্টারসেপ্ট করে এবং সেগুলিকে একটি Purple-হোস্টেড স্প্ল্যাশ পেজে রিডাইরেক্ট করে।

আর্কিটেকচার: ১. অ্যাক্সেস পয়েন্ট: NETGEAR WAX অ্যাক্সেস পয়েন্ট একটি ওপেন বা WPA2 পার্সোনাল গেস্ট SSID ব্রডকাস্ট করে। ২. ওয়াল্ড গার্ডেন (Walled Garden): NETGEAR Insight, Purple-এর সার্ভার এবং সোশ্যাল লগইন প্রোভাইডারদের জন্য প্রি-অথেন্টিকেশন ট্রাফিকের অনুমতি দেয়। ৩. অথেন্টিকেশন: Purple, RADIUS বা HTTP ওয়েব অথেন্টিকেশনের মাধ্যমে ব্যবহারকারীর সেশন পরিচালনা করে।

যখন একজন গেস্ট সংযুক্ত হন, তখন তাদের সামনে একটি ব্র্যান্ডেড পোর্টাল প্রদর্শিত হয়। শর্তাবলী স্বীকার করার এবং বিবরণ প্রদান করার পর, Purple-এর RADIUS সার্ভার একটি Access-Accept বার্তা ফেরত পাঠায়, যা ইন্টারনেট অ্যাক্সেস মঞ্জুর করে। এই পদ্ধতিটি মূল্যবান ফার্স্ট-পার্টি ডেটা ক্যাপচার করার পাশাপাশি GDPR-এর মতো ডেটা গোপনীয়তা নিয়মাবলীর সম্মতি নিশ্চিত করে।

২. সুরক্ষিত স্টাফ WiFi (802.1X)

স্টাফ নেটওয়ার্কের জন্য Pre-shared keys গ্রহণযোগ্য নয়। আপনাকে অবশ্যই IEEE 802.1X অথেন্টিকেশন প্রয়োগ করতে হবে। এই মডেলে, প্রত্যেক ব্যবহারকারীর একটি নিজস্ব ক্রেডেনশিয়াল থাকে। যখন কোনো কর্মচারী চলে যান, আপনি তাদের ডিরেক্টরি অ্যাকাউন্ট নিষ্ক্রিয় করে দেন এবং তাদের অ্যাক্সেস তাৎক্ষণিকভাবে প্রত্যাহার করা হয়।

NETGEAR Insight-এ, আপনি WPA2 Enterprise বা WPA3 Enterprise সিকিউরিটি সহ একটি স্টাফ SSID কনফিগার করেন। অ্যাক্সেস পয়েন্টটি অথেন্টিকেটর হিসেবে কাজ করে, যা Extensible Authentication Protocol (EAP) মেসেজগুলো RADIUS সার্ভারে রিলে করে। RADIUS সার্ভার আপনার ডিরেক্টরির (যেমন, Microsoft Entra ID বা Okta) বিপরীতে ক্রেডেনশিয়ালগুলো যাচাই করে এবং অথরাইজেশন সিদ্ধান্ত প্রদান করে।

৩. মাল্টি-টেন্যান্ট সেগমেন্টেশন (PPSK)

মিশ্র-ব্যবহারের এলাকা এবং রিটেল পার্কগুলো একটি নির্দিষ্ট চ্যালেঞ্জের মুখোমুখি হয়: একাধিক টেন্যান্টের মধ্যে ফিজিক্যাল WiFi পরিকাঠামো শেয়ার করা। প্রতিটি টেন্যান্টের জন্য আলাদা SSID ডিপ্লয় করলে রেডিও ফ্রিকোয়েন্সি কনজেশন তৈরি হয়। একটি একক শেয়ার্ড পাসওয়ার্ড প্রদান করলে সিকিউরিটি ব্যাহত হয়।

NETGEAR Private Pre-Shared Key (PPSK) এর সমাধান করে। আপনি একটি একক SSID ব্রডকাস্ট করেন। NETGEAR Insight-এ, আপনি প্রতিটি টেন্যান্টের জন্য ইউনিক পাসওয়ার্ড তৈরি করেন। অত্যন্ত গুরুত্বপূর্ণ বিষয় হলো, প্রতিটি পাসওয়ার্ড একটি নির্দিষ্ট VLAN-এর সাথে ম্যাপ করে।

ppsk_vlan_infographic.png

যখন কোনো ডিভাইস রিটেল ইউনিটের পাসওয়ার্ড ব্যবহার করে কানেক্ট হয়, অ্যাক্সেস পয়েন্টটি সেটিকে আইসোলেটেড রিটেল VLAN-এ স্থানান্তরিত করে। যখন ভেন্যু ম্যানেজমেন্ট তাদের পাসওয়ার্ড ব্যবহার করে কানেক্ট হয়, তারা ম্যানেজমেন্ট VLAN-এ পৌঁছায়। আপনি কোনো অতিরিক্ত হার্ডওয়্যার ছাড়াই সম্পূর্ণ ট্রাফিক আইসোলেশন অর্জন করতে পারেন। মনে রাখবেন যে PPSK-এর জন্য WPA2 Personal প্রয়োজন এবং এটিকে একই SSID-এ একটি Captive Portal-এর সাথে যুক্ত করা যাবে না।

৪. RADIUS-এর মাধ্যমে ডায়নামিক VLAN অ্যাসাইনমেন্ট

অত্যাধুনিক আইডেন্টিটি-বেসড নেটওয়ার্কের জন্য, আপনাকে অবশ্যই ডায়নামিক VLAN অ্যাসাইনমেন্ট ব্যবহার করতে হবে। কোনো SSID বা পাসওয়ার্ডে স্ট্যাটিকভাবে VLAN অ্যাসাইন করার পরিবর্তে, RADIUS সার্ভার ব্যবহারকারীর ডিরেক্টরি প্রোফাইলের উপর ভিত্তি করে VLAN নির্ধারণ করে।

RADIUS সার্ভার Access-Accept মেসেজে তিনটি স্ট্যান্ডার্ড অ্যাট্রিবিউট ফেরত পাঠায়:

  • [64] Tunnel-Type = 13 (VLAN)
  • [65] Tunnel-Medium-Type = 6 (802)
  • [81] Tunnel-Private-Group-ID = [VLAN ID]

একটি একক WPA2 Enterprise SSID সমগ্র প্রতিষ্ঠানকে সার্ভিস দিতে পারে। একজন হোটেল ম্যানেজার অথেন্টিকেট করে VLAN 20-এ পৌঁছান। একজন ফ্রন্ট ডেস্ক এজেন্ট VLAN 21-এ পৌঁছান। একজন ঠিকাদার VLAN 50-এ পৌঁছান। নেটওয়ার্কটি ব্যবহারকারীর আইডেন্টিটির সাথে খাপ খাইয়ে নেয়। আপনার পরিবেশকে সুরক্ষিত করার বিষয়ে আরও বিস্তারিত জানতে, আমাদের Enterprise WiFi Security: A Complete Guide for 2026 পড়ুন।

architecture_overview.png

ইমপ্লিমেন্টেশন গাইড

Purple Guest WiFi এর সাথে NETGEAR Insight ডিপ্লয় করতে এই ধাপগুলো অনুসরণ করুন।

ধাপ ১: গেস্ট SSID কনফিগার করুন

১. NETGEAR Insight ক্লাউড পোর্টালে লগ ইন করুন। ২. আপনার নেটওয়ার্ক লোকেশন সিলেক্ট করুন এবং Wireless > Settings-এ যান। 3. একটি নতুন SSID তৈরি করুন (যেমন, "Venue Guest WiFi")। 4. Captive Portal নির্বাচন করুন এবং External Captive Portal বেছে নিন।

ধাপ ২: Captive Portal কনফিগার করুন

  1. Splash Page URL ফিল্ডে, Purple দ্বারা প্রদান করা URL-টি লিখুন।
  2. Radius রেডিও বাটনটি নির্বাচন করুন।
  3. Primary Authentication Server IP, পোর্ট (1812), এবং Purple দ্বারা প্রদান করা শেয়ার্ড সিক্রেটটি লিখুন।
  4. Primary Accounting Server IP, পোর্ট (1813), এবং শেয়ার্ড সিক্রেটটি লিখুন।
  5. একটি বর্ণনামূলক NAS-Identifier সেট করুন (যেমন, "London-Retail-01")।

ধাপ ৩: Walled Garden কনফিগার করুন

এটি সবচেয়ে গুরুত্বপূর্ণ ধাপ। Walled Garden ভুল হলে, অতিথিরা একটি ফাঁকা স্ক্রিন দেখতে পাবেন।

  1. Captive Portal সেটিংসের Walled Garden সেকশনে যান।
  2. Purple-এর ইন্টিগ্রেশন ডকুমেন্টে দেওয়া প্রতিটি ডোমেন যোগ করুন। এর মধ্যে Purple-এর CDN ডোমেন, অথেনটিকেশন সার্ভার এবং যেকোনো সক্রিয় করা সোশ্যাল লগইন প্রোভাইডার (যেমন, Facebook, Google) অন্তর্ভুক্ত রয়েছে।
  3. Save-এ ক্লিক করুন।

ধাপ ৪: RADIUS রিচিবিলিটি যাচাই করুন

নিশ্চিত করুন যে আপনার ফায়ারওয়াল অ্যাক্সেস পয়েন্ট ম্যানেজমেন্ট IP অ্যাড্রেস থেকে Purple RADIUS সার্ভারগুলিতে আউটবাউন্ড UDP পোর্ট 1812 এবং 1813 অনুমোদিত করে।

সর্বোত্তম অনুশীলন (Best Practices)

  • সার্টিফিকেট ভ্যালিডেশন বাধ্যতামূলক করুন: 802.1X ডিপ্লয়মেন্টের জন্য, আপনাকে Group Policy Objects (GPO) বা Mobile Device Management (MDM)-এর মাধ্যমে সমস্ত ক্লায়েন্ট ডিভাইসে কঠোর সার্টিফিকেট ভ্যালিডেশন বাধ্যতামূলক করতে হবে। ক্লায়েন্টরা যদি RADIUS সার্ভার সার্টিফিকেট যাচাই না করে, তবে তারা রোগ (rogue) অ্যাক্সেস পয়েন্ট আক্রমণের ঝুঁকিতে থাকবে।
  • ম্যানেজমেন্ট ট্রাফিক আলাদা করুন: অ্যাক্সেস পয়েন্ট ম্যানেজমেন্ট IP অ্যাড্রেসগুলিকে সর্বদা একটি ডেডিকেটেড ম্যানেজমেন্ট VLAN-এ রাখুন, যা অতিথি এবং কর্মীদের ট্রাফিক থেকে আলাদা থাকবে।
  • ফেলসেফ (Failsafe) সক্রিয় করুন: NETGEAR Insight Captive Portal সেটিংসে, FailSafe অপশনটি সক্রিয় করুন। RADIUS সার্ভারগুলির সাথে যোগাযোগ বিচ্ছিন্ন হয়ে গেলে, অতিথিদের সাময়িক ইন্টারনেট অ্যাক্সেস দেওয়া হবে, যা সম্পূর্ণ WiFi বিভ্রাট প্রতিরোধ করবে।
  • PPSK-এর জন্য আলাদা SSID: যেহেতু NETGEAR Insight একই SSID-এ PPSK এবং Captive Portal সমর্থন করে না, তাই আপনাকে ডেডিকেটেড SSID তৈরি করতে হবে (যেমন, "Venue-Guest" এবং "Venue-Tenant")।

ট্রাবলশুটিং এবং ঝুঁকি হ্রাসকরণ

লক্ষণ: অতিথিরা SSID-এর সাথে সংযুক্ত হচ্ছেন কিন্তু স্প্ল্যাশ পেজ লোড হচ্ছে না।

  • কারণ: অসম্পূর্ণ Walled Garden কনফিগারেশন।
  • সমাধান: সমস্ত Purple ডোমেন এবং সোশ্যাল লগইন ডোমেনগুলি NETGEAR Insight Walled Garden সেটিংসে সঠিকভাবে প্রবেশ করানো হয়েছে কিনা তা যাচাই করুন। ক্যাশে করা ক্রেডেনশিয়াল নেই এমন একটি ডিভাইস দিয়ে পরীক্ষা করুন।

লক্ষণ: কর্মীদের ডিভাইসগুলি 802.1X-এর মাধ্যমে অথেনটিকেট করতে ব্যর্থ হচ্ছে।

  • কারণ: RADIUS টাইমআউট বা ভুল শেয়ার্ড সিক্রেট।
  • সমাধান: UDP পোর্ট 1812 এবং 1813 আউটবাউন্ডে খোলা আছে কিনা তা যাচাই করুন। NETGEAR Insight পোর্টাল এবং RADIUS সার্ভারের মধ্যে শেয়ার্ড সিক্রেটটি হুবহু মিলছে কিনা তা নিশ্চিত করুন। Access-Reject মেসেজের জন্য RADIUS সার্ভার লগ চেক করুন।

লক্ষণ: PPSK ক্লায়েন্টদের ভুল VLAN-এ পাঠানো হচ্ছে।

  • কারণ: ভুল VLAN ম্যাপিং বা সুইচে VLAN কনফিগারেশন অনুপস্থিত থাকা।
  • সমাধান: NETGEAR Insight-এর Wired সেটিংসের অধীনে VLAN তৈরি করা হয়েছে কিনা তা নিশ্চিত করুন। Multi PSK সেটিংস সঠিক পাসওয়ার্ডটিকে সঠিক VLAN ID-র সাথে ম্যাপ করছে কিনা তা যাচাই করুন। অ্যাক্সেস পয়েন্টটিকে সংযোগকারী সুইচ পোর্টটি যাতে টার্গেট VLAN অনুমোদনকারী একটি ট্রাঙ্ক পোর্ট হিসেবে কনফিগার করা থাকে তা নিশ্চিত করুন।

ROI এবং ব্যবসায়িক প্রভাব

Purple-এর সাথে NETGEAR Insight স্থাপন করা আপনার ওয়্যারলেস পরিকাঠামোকে একটি খরচ কেন্দ্রের পরিবর্তে একটি রাজস্ব-উৎপাদনকারী সম্পদে রূপান্তরিত করে। Identity-Based Networks এবং Captive Portal প্রয়োগ করার মাধ্যমে আপনি যা অর্জন করতে পারেন:

  • হ্রাসকৃত IT ওভারহেড: PPSK এবং 802.1X শেয়ার করা পাসওয়ার্ড ম্যানুয়ালি পরিচালনা করার বা রুটিন অ্যাক্সেস পরিবর্তনের জন্য ইঞ্জিনিয়ারদের পাঠানোর প্রয়োজনীয়তা দূর করে।
  • কার্যকরী অ্যানালিটিক্স: ভেন্যুর কার্যক্রম এবং ভাড়াটেদের মিশ্রণ অপ্টিমাইজ করতে ডেমোগ্রাফিক ডেটা, ডোয়েল টাইম (থাকার সময়) এবং রিটার্ন রেট সংগ্রহ করুন।
  • মার্কেটিং ROI: একটি উচ্চ-আকাঙ্ক্ষী, GDPR-সম্মত CRM ডেটাবেস তৈরি করুন। WiFi-এর মাধ্যমে সংগৃহীত ফার্স্ট-পার্টি ডেটা ব্যবহার করার ফলে ভেন্যুগুলোতে সাধারণত গ্রাহক অধিগ্রহণ ব্যয়ে (customer acquisition costs) একটি উল্লেখযোগ্য হ্রাস দেখা যায়।
  • উন্নত নিরাপত্তা: ডাইনামিক VLAN অ্যাসাইনমেন্ট IoT ডিভাইস, পয়েন্ট-অফ-সেল সিস্টেম এবং গেস্ট ট্রাফিককে আলাদা করে, যা আক্রমণের ঝুঁকি উল্লেখযোগ্যভাবে হ্রাস করে এবং PCI DSS সম্মতি নিশ্চিত করে।

মূল সংজ্ঞাসমূহ

802.1X

পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের (Network Access Control) জন্য একটি IEEE স্ট্যান্ডার্ড যা LAN বা WLAN-এর সাথে সংযুক্ত হতে ইচ্ছুক ডিভাইসগুলির জন্য একটি অথেনটিকেশন মেকানিজম প্রদান করে।

এন্টারপ্রাইজ সুরক্ষার জন্য অপরিহার্য; এটি শেয়ারড পাসওয়ার্ডের পরিবর্তে ব্যবহারকারীর নিজস্ব ক্রেডেনশিয়াল ব্যবহার করে প্রতিস্থাপন করে।

Captive Portal

একটি ওয়েব পেজ যা কোনো পাবলিক অ্যাক্সেস নেটওয়ার্কের ব্যবহারকারীকে অ্যাক্সেস পাওয়ার আগে দেখতে এবং ইন্টারঅ্যাক্ট করতে হয়।

প্রথম-পক্ষ ডেটা সংগ্রহ করতে এবং পরিষেবার শর্তাবলী নিশ্চিত করতে Purple দ্বারা ব্যবহৃত হয়।

PPSK (Private Pre-Shared Key)

একটি ফিচার যা একটি একক SSID-তে একাধিক ইউনিক পাসওয়ার্ড ব্যবহারের অনুমতি দেয়, যেখানে প্রতিটি পাসওয়ার্ড ব্যবহারকারীকে একটি নির্দিষ্ট VLAN-এ বরাদ্দ করে।

মাল্টি-টেন্যান্ট বিল্ডিং বা একাধিক SSID তৈরি না করেই IoT ডিভাইসগুলিকে আলাদা করার জন্য আদর্শ।

RADIUS

রিমোট অথেনটিকেশন ডায়াল-ইন ইউজার সার্ভিস (Remote Authentication Dial-In User Service); একটি নেটওয়ার্কিং প্রোটোকল যা সেন্ট্রালাইজড অথেনটিকেশন, অথরাইজেশন এবং অ্যাকাউন্টিং (AAA) ম্যানেজমেন্ট প্রদান করে।

মূল সার্ভার যা ক্রেডেনশিয়াল যাচাই করে এবং NETGEAR AP-কে অ্যাক্সেস মঞ্জুর করা হবে কিনা তা নির্দেশ করে।

Walled Garden

একটি সীমিত পরিবেশ যা সম্পূর্ণ অথেনটিকেশনের পূর্বে ওয়েব কন্টেন্ট এবং সার্ভিসে ব্যবহারকারীর অ্যাক্সেস নিয়ন্ত্রণ করে।

ডিভাইস যাতে Purple-এর স্প্ল্যাশ পেজ এবং সোশ্যাল লগইন প্রদানকারীদের কাছে পৌঁছাতে পারে তার জন্য এটি অবশ্যই NETGEAR Insight-এ কনফিগার করা থাকতে হবে।

Dynamic VLAN Assignment

এমন একটি প্রক্রিয়া যেখানে একটি RADIUS সার্ভার কোনো অ্যাক্সেস পয়েন্টকে নির্দেশ দেয় যাতে অথেনটিকেটেড ব্যবহারকারীকে তার আইডেন্টিটির ভিত্তিতে একটি নির্দিষ্ট VLAN-এ স্থাপন করা হয়।

আইডেন্টিটি-ভিত্তিক নেটওয়ার্ক সচল করে, যার ফলে একটি একক SSID নিরাপদে একাধিক বিভাগকে পরিষেবা দিতে পারে।

NAS-Identifier

নেটওয়ার্ক অ্যাক্সেস সার্ভার আইডেন্টিফায়ার (Network Access Server Identifier); একটি স্ট্রিং যা RADIUS অ্যাক্সেস রিকোয়েস্টের উৎস সনাক্ত করতে ব্যবহৃত হয়।

NETGEAR Insight-এ কনফিগার করা হয় যাতে Purple জানতে পারে ব্যবহারকারী কোন ভেন্যু বা অ্যাক্সেস পয়েন্ট থেকে কানেক্ট করছেন।

EAP-TLS

এক্সটেনসিবল অথেনটিকেশন প্রোটোকল - ট্রান্সপোর্ট লেয়ার সিকিউরিটি (Extensible Authentication Protocol - Transport Layer Security); একটি অথেনটিকেশন পদ্ধতি যার জন্য ক্লায়েন্ট এবং সার্ভার উভয়েরই ডিজিটাল সার্টিফিকেটের প্রয়োজন হয়।

সবচেয়ে নিরাপদ 802.1X পদ্ধতি, যা পাসওয়ার্ডের প্রয়োজনীয়তা সম্পূর্ণরূপে দূর করে, যদিও সার্টিফিকেট স্থাপনের জন্য MDM-এর প্রয়োজন হয়।

সমাধানকৃত উদাহরণসমূহ

একটি ৪০-ইউনিটের রিটেইল পার্কের প্রতিটি টেন্যান্টের পয়েন্ট-অফ-সেল সিস্টেমের জন্য সুরক্ষিত, আইসোলেটেড WiFi এবং ক্রেতাদের জন্য একটি ব্র্যান্ডেড পাবলিক WiFi নেটওয়ার্ক প্রদান করা প্রয়োজন। তারা NETGEAR WAX630 অ্যাক্সেস পয়েন্ট স্থাপন করেছে। নেটওয়ার্কটি কীভাবে কনফিগার করা উচিত?

NETGEAR Insight-এ দুটি SSID তৈরি করুন। SSID 1: 'RetailPark-Guest'। এটিকে একটি এক্সটার্নাল Captive Portal-এর সাথে কনফিগার করুন যা Purple-এর স্প্ল্যাশ পেজকে নির্দেশ করে, সাথে RADIUS অথেন্টিকেশন এবং একটি কমপ্রিহেন্সিভ ওয়াল্ড গার্ডেন থাকবে। এটিকে VLAN 10 (শুধুমাত্র ইন্টারনেট)-এ ম্যাপ করুন। SSID 2: 'RetailPark-Tenants'। এটিকে WPA2 Personal দিয়ে কনফিগার করুন এবং Multi PSK (PPSK) সক্রিয় করুন। ৪০টি ইউনিক পাসওয়ার্ড তৈরি করুন। টেন্যান্ট A-এর পাসওয়ার্ড VLAN 101-এ, টেন্যান্ট B-কে VLAN 102-এ ম্যাপ করুন, ইত্যাদি। কোর সুইচ যাতে সমস্ত VLAN অ্যাক্সেস পয়েন্টে ট্রাঙ্ক করে তা নিশ্চিত করুন।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি নিরাপত্তা এবং ব্যবহারকারীর অভিজ্ঞতার মধ্যে চমৎকার ভারসাম্য বজায় রাখে। SSID-গুলি আলাদা করার মাধ্যমে, আমরা PPSK এবং Captive Portal একসাথে মিশ্রিত না করার NETGEAR সীমাবদ্ধতা এড়াতে পারি। PPSK কনফিগারেশনটি PCI কমপ্লায়েন্সের জন্য জিরো ক্রস-টেন্যান্ট ভিজিবিলিটি নিশ্চিত করে, অন্যদিকে Purple পোর্টাল ক্রেতাদের ডেটা সংগ্রহ করে।

একটি কর্পোরেট হেডকোয়ার্টার শেয়ার্ড WPA2 পাসওয়ার্ড ব্যবহার বন্ধ করতে চায়। তারা চায় কর্মীরা যেন তাদের Microsoft Entra ID ক্রেডেনশিয়াল ব্যবহার করে অথেন্টিকেট করে, এবং তারা ফাইন্যান্স টিমকে VLAN 50 এবং মার্কেটিং টিমকে VLAN 60-এ রাখতে চায়।

WPA2 Enterprise-এর জন্য কনফিগার করা একটি একক 'Corporate-Secure' SSID স্থাপন করুন। NETGEAR Insight RADIUS সেটিংসকে Entra ID-এর সাথে ইন্টিগ্রেটেড একটি RADIUS সার্ভারে নির্দেশ করুন। ব্যবহারকারীর ডিরেক্টরি গ্রুপ মেম্বারশিপের উপর ভিত্তি করে স্ট্যান্ডার্ড টানেল অ্যাট্রিবিউট (Tunnel-Type=13, Tunnel-Medium-Type=6, Tunnel-Private-Group-ID=50 বা 60) রিটার্ন করার জন্য RADIUS সার্ভারটি কনফিগার করুন। MDM-এর মাধ্যমে সমস্ত কর্পোরেট ল্যাপটপে সার্টিফিকেট ভ্যালিডেশন বাধ্যতামূলক করুন।

পরীক্ষকের মন্তব্য: এটি প্রকৃত আইডেন্টিটি-বেসড নেটওয়ার্কিং প্রদর্শন করে। অ্যাক্সেস পয়েন্টটি RADIUS রেসপন্সের উপর ভিত্তি করে ডায়নামিকভাবে VLAN অ্যাসাইন করে। অত্যন্ত গুরুত্বপূর্ণ বিষয় হলো, সার্টিফিকেট ভ্যালিডেশন বাধ্যতামূলক করার মাধ্যমে রগ AP অ্যাটাক প্রতিরোধ করা যায়, যা এন্টারপ্রাইজ সিকিউরিটির জন্য অত্যন্ত আবশ্যক।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনি একটি NETGEAR WAX620-এ একটি Purple Captive Portal স্থাপন করেছেন। গেস্টরা WiFi-এর সাথে কানেক্ট করতে পারছেন, কিন্তু তাদের ব্রাউজারে স্প্ল্যাশ পেজের পরিবর্তে 'Cannot reach destination' ত্রুটি দেখাচ্ছে। সবচেয়ে সম্ভাব্য কনফিগারেশন ত্রুটি কোনটি?

ইঙ্গিত: বহিরাগত সার্ভারে পৌঁছানোর জন্য গেস্ট সম্পূর্ণভাবে অথেনটিকেটেড হওয়ার আগে কী ঘটা উচিত তা বিবেচনা করুন।

মডেল উত্তর দেখুন

Walled Garden সঠিকভাবে কনফিগার করা হয়নি বা এটি অসম্পূর্ণ। NETGEAR অ্যাক্সেস পয়েন্টটি Purple-এর সার্ভারগুলিতে প্রাথমিক ট্রাফিক ব্লক করছে। আপনাকে নিশ্চিত করতে হবে যে প্রয়োজনীয় সমস্ত Purple CDN ডোমেন, অথেনটিকেশন URL এবং সোশ্যাল লগইন ডোমেনগুলি Insight পোর্টালের Walled Garden তালিকায় যোগ করা হয়েছে।

Q2. একটি ভেন্যুতে ১০টি ভিন্ন রিটেল টেন্যান্টের জন্য একটি গেস্ট Captive Portal এবং নিরাপদ, আইসোলেটেড WiFi উভয়েরই প্রয়োজন। তারা RF ইন্টারফেয়ারেন্স কমাতে চায়। আপনি কীভাবে NETGEAR অ্যাক্সেস পয়েন্টগুলি কনফিগার করবেন?

ইঙ্গিত: Captive Portal এবং PPSK একসাথে ব্যবহারের ক্ষেত্রে NETGEAR Insight-এর নির্দিষ্ট সীমাবদ্ধতা রয়েছে।

মডেল উত্তর দেখুন

আপনাকে ঠিক দুটি SSID তৈরি করতে হবে। NETGEAR একই SSID-তে PPSK এবং Captive Portal সমর্থন করে না। Purple-এর দিকে নির্দেশকারী একটি এক্সটার্নাল Captive Portal সহ 'Venue-Guest' তৈরি করুন। WPA2 Personal সহ 'Venue-Retail' তৈরি করুন এবং ১০টি ইউনিক পাসওয়ার্ড সহ Multi PSK (PPSK) কনফিগার করুন, যেখানে প্রতিটি পাসওয়ার্ড একটি ভিন্ন VLAN-এর সাথে ম্যাপ করা থাকবে।

Q3. 802.1X ব্যবহার করে কর্মীদের জন্য ডাইনামিক VLAN অ্যাসাইনমেন্ট কনফিগার করার সময়, সার্ভারটিকে Access-Accept মেসেজে কোন তিনটি RADIUS অ্যাট্রিবিউট ফেরত পাঠাতে হবে?

ইঙ্গিত: টানেল কনফিগারেশনের জন্য RFC 2868 স্ট্যান্ডার্ড অ্যাট্রিবিউটগুলি সম্পর্কে চিন্তা করুন।

মডেল উত্তর দেখুন

RADIUS সার্ভারটিকে অবশ্যই ফেরত পাঠাতে হবে: [64] Tunnel-Type = 13 (VLAN), [65] Tunnel-Medium-Type = 6 (802), এবং [81] Tunnel-Private-Group-ID = [নির্দিষ্ট VLAN ID স্ট্রিংটি]।

এই সিরিজে পড়া চালিয়ে যান

Purple WiFi-এর সাথে CommScope Ruckus ইন্টিগ্রেশন: সেটআপ এবং কনফিগারেশন গাইড

এই টেকনিক্যাল রেফারেন্স গাইডটি Purple WiFi-এর সাথে CommScope Ruckus আর্কিটেকচার ইন্টিগ্রেট করার জন্য একটি নির্ভরযোগ্য কনফিগারেশন প্লেবুক প্রদান করে। এটি গেস্ট WiFi Captive Portal, 802.1X-এর মাধ্যমে সিকিউর স্টাফ WiFi এবং Ruckus ডাইনামিক PSK ব্যবহার করে মাল্টি-টেন্যান্ট নেটওয়ার্ক আইসোলেশনের জন্য ধাপে ধাপে ডেপ্লয়মেন্টের বিবরণ দেয়।

গাইডটি পড়ুন →

Purple WiFi-এর সাথে Allied Telesis Access Points ইন্টিগ্রেশন

এই গাইডটি Purple WiFi-এর সাথে Allied Telesis TQ-Series access points ইন্টিগ্রেট করার জন্য একটি ব্যাপক কনফিগারেশন প্লেবুক প্রদান করে। এটি নিরাপদ মাল্টি-টেন্যান্ট ডেপ্লয়মেন্টের জন্য এক্সটার্নাল Captive Portal রিডাইরেকশন, 802.1X RADIUS অথেন্টিকেশন এবং প্রাইভেট প্রি-শেয়ার্ড কি (PPSK) ব্যবহার করে ডাইনামিক VLAN স্টিয়ারিং কভার করে।

গাইডটি পড়ুন →

Purple WiFi-এর সাথে Grandstream GWN Access Points-এর ইন্টিগ্রেশন

এই নির্ভরযোগ্য প্রযুক্তিগত রেফারেন্স গাইডটিতে Grandstream GWN access points-এর সাথে Purple-এর Guest WiFi এবং অ্যানালিটিক্স প্ল্যাটফর্ম কীভাবে ইন্টিগ্রেট করতে হয় তা বিস্তারিতভাবে আলোচনা করা হয়েছে। এতে Grandstream captive portal কনফিগারেশন, RADIUS AAA সেটিংস, walled garden সেটআপ, ডাইনামিক VLAN স্টিয়ারিং সহ সুরক্ষিত স্টাফ 802.1X অথেন্টিকেশন এবং মাল্টি-টেন্যান্ট PPSK সেগমেন্টেশন অন্তর্ভুক্ত রয়েছে - যা স্কেলে গেস্ট এবং স্টাফ WiFi স্থাপনকারী MSP এবং IT টিমগুলোর জন্য কার্যকর, ধাপে ধাপে নির্দেশিকা প্রদান করে।

গাইডটি পড়ুন →