Passpoint এবং OpenRoaming: সম্পূর্ণ নির্দেশিকা
এই প্রযুক্তিগত রেফারেন্স নির্দেশিকাটি এন্টারপ্রাইজ WiFi নেটওয়ার্কের মধ্যে Passpoint (Hotspot 2.0) এবং WBA OpenRoaming ফ্রেমওয়ার্কের একটি বিস্তৃত বিশ্লেষণ প্রদান করে। এটি একটি নিরাপদ, ঝামেলামুক্ত অতিথি সংযোগ স্থাপন করার জন্য প্রয়োজনীয় অন্তর্নিহিত প্রমাণীকরণ প্রোটোকল, আর্কিটেকচারাল উপাদান এবং স্থাপনার কৌশলগুলি বিস্তারিতভাবে বর্ণনা করে। নেটওয়ার্ক স্থপতি এবং IT লিডাররা এন্টারপ্রাইজ-গ্রেড নিরাপত্তা বজায় রেখে ম্যানুয়াল লগইন বাধাগুলি দূর করতে কীভাবে এই মানগুলি ডিজাইন, বাস্তবায়ন এবং সমস্যা সমাধান করবেন তা শিখবেন।
📚 আমাদের মূল সিরিজের অংশ: Multi-Tenant WiFi →
- Executive Summary
- Technical Deep-Dive
- The 802.11u Discovery Process
- OpenRoaming Federation Architecture
- ইমপ্লিমেন্টেশন গাইড
- ধাপ ১: নেটওয়ার্ক ইনফ্রাস্ট্রাকচার অডিট
- ধাপ ২: ফায়ারওয়াল কনফিগারেশন
- ধাপ ৩: সার্টিফিকেট সংগ্রহ
- ধাপ ৪: ওয়্যারলেস কন্ট্রোলার কনফিগারেশন
- ধাপ ৫: RADIUS/RadSec প্রক্সি সেটআপ
- সেরা অনুশীলনসমূহ
- ট্রাবলশুটিং এবং ঝুঁকি হ্রাস
- সাধারণ ব্যর্থতার ধরণ এবং সমাধান
- ROI এবং ব্যবসায়িক প্রভাব
- অপারেশনাল দক্ষতা
- সিকিউরিটি পজিশন

Executive Summary
Enterprise connectivity-এর চাহিদা ম্যানুয়াল, captive-portal-ভিত্তিক গেস্ট অ্যাক্সেস থেকে স্বয়ংক্রিয়, নিরাপদ এবং ঝামেলাহীন onboarding-এ স্থানান্তরিত হয়েছে। Passpoint (যা Wi-Fi Alliance দ্বারা Hotspot 2.0 হিসাবে সংজ্ঞায়িত) এবং OpenRoaming (যা Wireless Broadband Alliance দ্বারা পরিচালিত) এই স্থানান্তরের মানককরণকে প্রতিনিধিত্ব করে। IEEE 802.11u প্রোটোকল এবং WPA3-Enterprise সিকিউরিটি ব্যবহার করে, এই প্রযুক্তিগুলি ব্যবহারকারীর হস্তক্ষেপ ছাড়াই মোবাইল ডিভাইসগুলিকে স্বয়ংক্রিয়ভাবে নিরাপদ WiFi নেটওয়ার্কগুলি আবিষ্কার করতে, প্রমাণীকরণ করতে এবং সংযোগ করতে দেয়।
এই গাইডটি বৃহৎ আকারের ভেন্যু, রিটেল পরিবেশ এবং কর্পোরেট ক্যাম্পাস জুড়ে এই প্রযুক্তিগুলি স্থাপন করার পরিকল্পনা করা নেটওয়ার্ক আর্কিটেক্ট এবং IT ডিরেক্টরদের জন্য একটি নির্ভরযোগ্য রেফারেন্স হিসাবে কাজ করে। আমরা অন্তর্নিহিত ক্রিপ্টোগ্রাফিক হ্যান্ডশেক, ফেডারেশন আর্কিটেকচার এবং বিদ্যমান ওয়্যারলেস পরিকাঠামোতে এই মানগুলিকে একীভূত করার জন্য প্রয়োজনীয় ব্যবহারিক কনফিগারেশন পদক্ষেপগুলি পরীক্ষা করি। এই ফ্রেমওয়ার্কগুলি গ্রহণ করার মাধ্যমে, সংস্থাগুলি তাদের ওয়্যারলেস সিকিউরিটি উল্লেখযোগ্যভাবে উন্নত করার পাশাপাশি প্রথাগত গেস্ট পোর্টালের ঝামেলা দূর করতে পারে।
Technical Deep-Dive
Passpoint এবং OpenRoaming বুঝতে হলে, প্রথমে তাদের ক্রিয়াকলাপ পরিচালনাকারী অন্তর্নিহিত প্রোটোকলগুলি বিশ্লেষণ করতে হবে। Passpoint-এর মূল ভিত্তি হলো IEEE 802.11u, যা 802.11 স্ট্যান্ডার্ডের একটি সংশোধন, যা ওয়্যারলেস ডিভাইসগুলিকে একটি অ্যাসোসিয়েশন স্থাপন করার আগেই নেটওয়ার্ক পরিষেবাগুলি আবিষ্কার করতে সক্ষম করে।
ঐতিহাসিকভাবে, একটি ক্লায়েন্ট ডিভাইসকে একটি অ্যাক্সেস পয়েন্ট (AP) এর সাথে যুক্ত হতে হতো এবং নেটওয়ার্কের ক্ষমতাগুলি অনুসন্ধান করার আগে একটি IP অ্যাড্রেস পেতে হতো। 802.11u-এর সাথে, এই আবিষ্কারটি pre-association অবস্থায় Access Network Query Protocol (ANQP) কোয়েরি ব্যবহার করে ঘটে।
The 802.11u Discovery Process
যখন একটি Passpoint-সক্ষম ডিভাইস সিগন্যাল স্ক্যান করে, তখন এটি একটি ইন্টারওয়ার্কিং উপাদান ধারণকারী একটি বীকন সনাক্ত করে। এই উপাদানটি নির্দেশ করে যে AP-টি 802.11u সমর্থন করে এবং এর নেটওয়ার্কের ধরণ বিজ্ঞাপন করে (যেমন, ব্যক্তিগত, বিনামূল্যের সর্বজনীন, চার্জযোগ্য সর্বজনীন)। ক্লায়েন্ট ডিভাইসটি তখন নির্দিষ্ট প্যারামিটারগুলির জন্য অনুরোধ করতে একটি ANQP কোয়েরি পাঠায়, যেমন:
- Roaming Consortium Organisation Identifiers (OIs): IEEE দ্বারা নির্ধারিত বিশ্বব্যাপী অনন্য সনাক্তকারী যা নির্দিষ্ট রোমিং পার্টনার বা ফেডারেশনকে প্রতিনিধিত্ব করে।
- Venue Name and Venue Group: ভৌগোলিক অবস্থান বর্ণনাকারী মেটাডেটা (যেমন, "টার্মিনাল ২" বা "স্টেডিয়াম")।
- IP Address Type Availability: IPv4 নাকি IPv6 উপলব্ধ আছে এবং NAT প্রয়োগ করা হয়েছে কিনা সেই সম্পর্কিত তথ্য।
যদি ক্লায়েন্ট ডিভাইসে একটি ম্যাচিং Roaming Consortium OI ধারণকারী একটি প্রোফাইল থাকে, তবে এটি ব্যবহারকারীকে কোনো প্রম্পট না করেই প্রমাণীকরণ প্রক্রিয়া শুরু করে।
OpenRoaming Federation Architecture
OpenRoaming, Passpoint-এর উপরে একটি বিশ্বব্যাপী ফেডারেশন লেয়ার হিসাবে কাজ করে। এটি Wireless Broadband Alliance (WBA) দ্বারা পরিচালিত একটি নিরাপদ Public Key Infrastructure (PKI) প্রতিষ্ঠা করে। এই ফেডারেশন আইডেন্টিটি প্রোভাইডারদের (IDPs) - যেমন মোবাইল নেটওয়ার্ক অপারেটর, ডিভাইস প্রস্তুতকারক (Apple, Google), এবং এন্টারপ্রাইজ আইডেন্টিটি সিস্টেম - নেটওয়ার্ক প্রোভাইডারদের সাথে নিরাপদে যুক্ত হতে দেয়।
Protected Extensible Authentication Protocol (PEAP) বা Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) এর সাথে WPA3-Enterprise (অথবা লেগ্যাসি সামঞ্জস্যের জন্য WPA2-Enterprise) ব্যবহার করে Authentication সম্পন্ন করা হয়। AP একটি authenticator হিসেবে কাজ করে, EAP প্যাকেটগুলিকে RADIUS (Remote Authentication Dial-In User Service) বা RadSec (RADIUS over TLS) প্যাকেটে এনক্যাপসুলেট করে এবং সেগুলিকে আইডেন্টিটি প্রোভাইডারের কাছে ফরোয়ার্ড করে।
পাবলিক ইন্টারনেটের মাধ্যমে লোকাল নেটওয়ার্কের RADIUS প্রক্সি এবং গ্লোবাল IDPs এর মধ্যে যোগাযোগ সুরক্ষিত করতে OpenRoaming-এ RadSec বাধ্যতামূলক। RadSec TCP পোর্ট 2083 এবং TLS এনক্রিপশন ব্যবহার করে, যা নিশ্চিত করে যে ইন্টারমিডিয়েট ট্রানজিট প্রোভাইডারদের মাধ্যমে স্থানান্তরের সময় ব্যবহারকারীর ক্রেডেনশিয়াল এবং authentication অ্যাট্রিবিউটগুলি গোপন থাকে।
ইমপ্লিমেন্টেশন গাইড
Passpoint এবং OpenRoaming ডেপ্লয় করার জন্য ওয়্যারলেস কন্ট্রোলার (WLC), RADIUS ইনফ্রাস্ট্রাকচার এবং DNS/ফায়ারওয়াল কনফিগারেশন জুড়ে একটি পদ্ধতিগত পদক্ষেপের প্রয়োজন।
ধাপ ১: নেটওয়ার্ক ইনফ্রাস্ট্রাকচার অডিট
আপনার AP এবং WLC গুলি 802.11u এবং Passpoint রিলিজ ২ বা ৩ সমর্থন করে কিনা তা নিশ্চিত করুন। আপনার RADIUS সার্ভার RadSec (RFC 6614) সমর্থন করে কিনা তা যাচাই করুন। যদি আপনার লেগ্যাসি RADIUS সার্ভার RadSec সমর্থন না করে, তবে আপনাকে আপনার DMZ-এ একটি RadSec প্রক্সি (যেমন FreeRADIUS বা একটি ডেডিকেটেড গেটওয়ে) ডেপ্লয় করতে হবে।
ধাপ ২: ফায়ারওয়াল কনফিগারেশন
OpenRoaming RadSec প্রক্সি সার্ভারগুলিতে আউটবাউন্ড TCP পোর্ট 2083 ওপেন করুন। আপনার RADIUS সার্ভারগুলিতে DNS রেজোলিউশন সঠিকভাবে কনফিগার করা হয়েছে তা নিশ্চিত করুন, কারণ RadSec উপযুক্ত IDP সনাক্ত করতে Dynamic Delegation Discovery System (DDDS) এবং NAPTR রেকর্ডের উপর নির্ভর করে।
ধাপ ৩: সার্টিফিকেট সংগ্রহ
একটি অনুমোদিত সার্টিফিকেট অথরিটি (CA) থেকে একটি WBA-অনুমোদিত RadSec সার্টিফিকেট সংগ্রহ করুন। এই সার্টিফিকেটটি আপনার লোকাল RadSec প্রক্সি এবং OpenRoaming ফেডারেশন ব্রোকারদের মধ্যে মিউচুয়াল TLS (mTLS) authentication এর জন্য অত্যন্ত গুরুত্বপূর্ণ।
ধাপ ৪: ওয়্যারলেস কন্ট্রোলার কনফিগারেশন
১. একটি সুরক্ষিত SSID তৈরি করুন: WPA3-Enterprise (অথবা WPA2/WPA3 ট্রানজিশন মোড) ব্যবহার করার জন্য একটি নতুন SSID কনফিগার করুন বা একটি বিদ্যমান SSID সংশোধন করুন।
২. 802.11u (Interworking) সক্রিয় করুন: SSID-তে Interworking ফিচারটি সক্রিয় করুন।
৩. HESSID কনফিগার করুন: নেটওয়ার্ক গ্রুপটিকে অনন্যভাবে সনাক্ত করতে Homogeneous ESSID সেট করুন, যা সাধারণত যেকোনো একটি AP রেডিওর MAC অ্যাড্রেস হয়ে থাকে।
৪. Roaming Consortium OIs যুক্ত করুন: OpenRoaming Roaming Consortium OIs যুক্ত করুন। স্ট্যান্ডার্ড OI গুলি হলো:
* 5A-03-BE-00-00 (সেটেলমেন্ট-ফ্রি, Google, Apple, বা মোবাইল অপারেটর দ্বারা ভেরিফাই করা আইডেন্টিটি)
* 5A-03-BE-00-01 (সেটেলড, বাণিজ্যিক রোমিং চুক্তির জন্য)
৫. ANQP প্যারামিটার কনফিগার করুন: ভেন্যু নাম, ভেন্যু গ্রুপ এবং নেটওয়ার্কের ধরন নির্ধারণ করুন।
ধাপ ৫: RADIUS/RadSec প্রক্সি সেটআপ
আপনার লোকাল RADIUS সার্ভারটিকে একটি RadSec প্রক্সি হিসেবে কাজ করার জন্য কনফিগার করুন। এমন রাউটিং নিয়মগুলি নির্ধারণ করুন যা OpenRoaming OIs বা নির্দিষ্ট রিয়েলম প্যাটার্ন সম্বলিত authentication অনুরোধগুলিকে OpenRoaming RadSec গেটওয়েতে ফরোয়ার্ড করে।
সেরা অনুশীলনসমূহ
একটি স্থিতিশীল এবং উচ্চ-কার্যক্ষমতাসম্পন্ন ডেপ্লয়মেন্ট নিশ্চিত করতে, নিম্নলিখিত ইন্ডাস্ট্রি-স্ট্যান্ডার্ড সুপারিশগুলি মেনে চলুন:
- SSID একত্রীকরণ: Passpoint বা OpenRoaming-এর জন্য ডেডিকেটেড SSID তৈরি করবেন না। পরিবর্তে, সেগুলোকে একটি একক, সুরক্ষিত এন্টারপ্রাইজ SSID-এ একত্রিত করুন। এটি বীকন ওভারহেড কমিয়ে দেয় এবং মূল্যবান এয়ারটাইম সাশ্রয় করে।
- সার্টিফিকেট ম্যানেজমেন্ট: আপনার RadSec সার্টিফিকেটের জন্য স্বয়ংক্রিয় সার্টিফিকেট রিনিউয়াল প্রক্রিয়া বাস্তবায়ন করুন। একটি মেয়াদোত্তীর্ণ সার্টিফিকেট তাত্ক্ষণিকভাবে সমস্ত OpenRoaming অথেন্টিকেশন বন্ধ করে দেবে।
- চ্যানেল প্ল্যানিং: যেহেতু Passpoint প্রি-অ্যাসোসিয়েশন ANQP এক্সচেঞ্জের উপর নির্ভর করে, তাই ক্লায়েন্ট ডিভাইসগুলো স্ক্যান এবং কোয়েরি করতে বেশি সময় ব্যয় করে। দ্বন্দ্ব কমাতে এবং দ্রুত প্রোব রেসপন্স নিশ্চিত করতে আপনার 5 GHz এবং 6 GHz চ্যানেল প্ল্যানিং অপ্টিমাইজ করুন।
- রিয়েলম ফিল্টারিং: ফেডারেশন নেটওয়ার্কে অপ্রয়োজনীয় অথেন্টিকেশন ট্রাফিকের বন্যা রোধ করতে আপনার RadSec প্রক্সিতে কঠোর রিয়েলম ফিল্টারিং বাস্তবায়ন করুন। শুধুমাত্র বৈধ OpenRoaming প্যাটার্নের সাথে মেলে এমন রিকোয়েস্টগুলো ফরোয়ার্ড করুন।
- ইউজার এক্সপেরিয়েন্স অ্যালাইনমেন্ট: আপনার ফিজিক্যাল ভেন্যু সাইনেজ এবং ডিজিটাল মার্কেটিং উপকরণগুলো ব্যবহারকারীদেরকে জানান যে তারা OpenRoaming-এর মাধ্যমে স্বয়ংক্রিয়ভাবে কানেক্ট করতে পারে, যা এনক্রিপ্ট না করা ওপেন SSIDs-এর উপর নির্ভরতা কমিয়ে দেয়।
ট্রাবলশুটিং এবং ঝুঁকি হ্রাস
সাধারণ ব্যর্থতার ধরণ এবং সমাধান
সমস্যা: ক্লায়েন্ট ডিভাইসগুলো স্বয়ংক্রিয়ভাবে কানেক্ট হতে ব্যর্থ হচ্ছে
- মূল কারণ: WLC-তে রোমিং কনসোর্টিয়াম OIs অনুপস্থিত বা ভুল কনফিগার করা হয়েছে, অথবা ক্লায়েন্ট ডিভাইসে সঠিক প্রোফাইল ইনস্টল করা নেই।
- সমাধান: বীকন এবং প্রোব রেসপন্স ফ্রেম ক্যাপচার করতে একটি প্যাকেট অ্যানালাইজার ব্যবহার করুন। 802.11u ইন্টারওয়ার্কিং এলিমেন্টে সঠিক OIs আছে কিনা তা যাচাই করুন। একটি MDM বা একটি প্রভিশনিং পোর্টালের মাধ্যমে ক্লায়েন্ট প্রোফাইলটি সঠিকভাবে প্রভিশন করা হয়েছে তা নিশ্চিত করুন।
সমস্যা: RadSec কানেকশন ব্যর্থতা
- মূল কারণ: ফায়ারওয়াল TCP পোর্ট ২০৮৩ ব্লক করছে, অথবা অবৈধ/মেয়াদোত্তীর্ণ RadSec সার্টিফিকেট।
- সমাধান: RADIUS প্রক্সির WAN ইন্টারফেসে একটি প্যাকেট ক্যাপচার সম্পাদন করুন। TLS হ্যান্ডশেক সফলভাবে সম্পন্ন হয়েছে কিনা তা যাচাই করুন। সার্টিফিকেট রেভোকেশন লিস্ট (CRL) স্ট্যাটাস চেক করুন।
সমস্যা: অথেন্টিকেশনের সময় উচ্চ লেটেন্সি
- মূল কারণ: ভৌগোলিকভাবে দূরবর্তী IDPs বা NAPTR রেকর্ডের জন্য ধীরগতির DNS রেজোলিউশন।
- সমাধান: DNS রেকর্ডের লোকাল ক্যাশিং বাস্তবায়ন করুন এবং আপনার RADIUS প্রক্সির আঞ্চলিক OpenRoaming হাবগুলোতে কম লেটেন্সি পাথ রয়েছে তা নিশ্চিত করুন।
ROI এবং ব্যবসায়িক প্রভাব
Passpoint এবং OpenRoaming-এ রূপান্তর তিনটি প্রাথমিক ভেক্টরে পরিমাপযোগ্য ব্যবসায়িক মূল্য প্রদান করে: অপারেশনাল দক্ষতা, সিকিউরিটি পজিশন এবং ডেটা ইন্টেলিজেন্স।
অপারেশনাল দক্ষতা
কানেকশন প্রক্রিয়া স্বয়ংক্রিয় করার মাধ্যমে, ভেন্যুগুলোতে গেস্ট-WiFi-সম্পর্কিত সাপোর্ট টিকেটের সংখ্যা উল্লেখযোগ্যভাবে হ্রাস পায়। ফ্রন্ট-ডেস্ক স্টাফ এবং IT হেল্পডেস্কগুলো Captive Portal-এর ব্যর্থতা এবং পাসওয়ার্ড সংক্রান্ত সমস্যাগুলো সমাধান করতে কম সময় ব্যয় করে।
সিকিউরিটি পজিশন
ঐতিহ্যবাহী ওপেন গেস্ট নেটওয়ার্কগুলো ব্যবহারকারীদের এভসড্রপিং এবং ম্যান-ইন-দ্য-মিডল অ্যাটাকের ঝুঁকিতে ফেলে। Passpoint এন্টারপ্রাইজ-গ্রেড এনক্রিপশন (WPA2/WPA3-Enterprise) বাধ্যতামূলক করে, যা সমস্ত ওভার-দ্য-এয়ার ট্রাফিক সুরক্ষিত করে। এটি ডেটা লঙ্ঘনের সাথে সম্পর্কিত দায় থেকে ব্যবহারকারী এবং ভেন্যু উভয়কেই রক্ষা করে।### ডেটা ইন্টেলিজেন্স
Purple-এর মতো প্ল্যাটফর্মের সাথে একীভূত করা হলে, Passpoint ভেন্যুগুলোকে নির্বিঘ্নে ফিরে আসা দর্শকদের সনাক্ত করার সুবিধা দেয়। যেহেতু ডিভাইসটি স্বয়ংক্রিয়ভাবে সংযুক্ত হয়, তাই ব্যবহারকারীকে বারবার ব্রাউজার খুলে লগ ইন না করেই ভেন্যুটি সঠিক ডওয়েল টাইম এবং পরিদর্শনের ফ্রিকোয়েন্সি মেট্রিক্স সংগ্রহ করতে পারে। এই অবিচ্ছিন্ন ডেটা প্রবাহ অত্যন্ত সুনির্দিষ্ট এবং রিয়েল-টাইম এনগেজমেন্ট কৌশল সক্রিয় করতে সাহায্য করে।
মূল সংজ্ঞাসমূহ
Passpoint
একটি Wi-Fi Alliance সার্টিফিকেশন প্রোগ্রাম (Hotspot 2.0-এর ওপর ভিত্তি করে) যা মোবাইল ডিভাইসগুলোকে এন্টারপ্রাইজ-গ্রেড সিকিউরিটিসহ স্বয়ংক্রিয়ভাবে WiFi নেটওয়ার্ক সনাক্ত এবং কানেক্ট করতে সক্ষম করে।
এটি নির্বিঘ্ন গেস্ট অনবোর্ডিংয়ের জন্য প্রযুক্তিগত ভিত্তি তৈরি করে।
OpenRoaming
Wireless Broadband Alliance (WBA) দ্বারা তৈরি একটি গ্লোবাল রোমিং ফেডারেশন যা ব্যবহারকারীদের বিশ্বস্ত আইডেন্টিটি ব্যবহার করে সুরক্ষিতভাবে এবং স্বয়ংক্রিয়ভাবে WiFi নেটওয়ার্কে কানেক্ট করতে দেয়।
এটি Passpoint-এর ওপরে পলিসি এবং আইডেন্টিটি লেয়ার হিসেবে কাজ করে।
ANQP
Access Network Query Protocol। একটি কোয়েরি-রেসপন্স প্রোটোকল যা মোবাইল ডিভাইসগুলো কোনো AP-এর সাথে যুক্ত হওয়ার আগে নেটওয়ার্কের সক্ষমতা আবিষ্কার করতে ব্যবহার করে।
802.11u-তে প্রি-অ্যাসোসিয়েশন আবিষ্কারের জন্য অত্যন্ত গুরুত্বপূর্ণ।
802.11u
IEEE 802.11 স্ট্যান্ডার্ডের একটি সংশোধন যা বাহ্যিক নেটওয়ার্কের সাথে ইন্টারওয়ার্কিংয়ের জন্য ফিচার যোগ করে, যা প্রি-অ্যাসোসিয়েশন আবিষ্কারকে সক্ষম করে।
ফিজিক্যাল এবং MAC লেয়ার স্ট্যান্ডার্ড যা Passpoint-কে সম্ভব করে তোলে।
RadSec
RADIUS over TLS (RFC 6614)। একটি প্রোটোকল যা TCP-র ওপর একটি TLS টানেলের মধ্যে RADIUS প্যাকেটগুলোকে এনক্যাপসুলেট করে সুরক্ষিত করে।
পাবলিক ইন্টারনেটের মাধ্যমে অথেন্টিকেশন ট্রাফিক সুরক্ষিত করতে OpenRoaming-এর জন্য বাধ্যতামূলক।
Roaming Consortium OI
Roaming Consortium Organisation Identifier। একটি নির্দিষ্ট রোমিং ফেডারেশন বা অংশীদারকে সনাক্ত করতে IEEE দ্বারা নির্ধারিত একটি অনন্য হেক্স আইডেন্টিফায়ার।
APs দ্বারা কোন রোমিং ক্রেডেনশিয়ালগুলো তারা গ্রহণ করে তা বিজ্ঞাপন দিতে ব্যবহৃত হয়।
HESSID
Homogeneous ESSID। একই নেটওয়ার্ক বা ভেন্যুর অন্তর্গত AP-এর একটি গ্রুপকে সনাক্ত করতে AP-তে কনফিগার করা একটি 48-বিট MAC অ্যাড্রেস।
ক্লায়েন্ট ডিভাইসগুলোকে বুঝতে সাহায্য করে যে একাধিক AP একই অ্যাডমিনিস্ট্রেটিভ ডোমেনের অন্তর্গত।
EAP-TLS
Extensible Authentication Protocol-Transport Layer Security। একটি অথেন্টিকেশন প্রোটোকল যা পারস্পরিক অথেন্টিকেশনের জন্য ডিজিটাল সার্টিফিকেট ব্যবহার করে।
Passpoint দ্বারা সমর্থিত সবচেয়ে সুরক্ষিত অথেন্টিকেশন পদ্ধতি।
সমাধানকৃত উদাহরণসমূহ
একটি বৃহৎ আকারের স্টেডিয়াম স্থাপনের জন্য বিদ্যমান কর্পোরেট SSID-এর পাশাপাশি OpenRoaming (Settlement-Free) সমর্থন করার জন্য একটি Cisco Catalyst 9800 ওয়্যারলেস কন্ট্রোলার কনফিগার করতে হবে। নেটওয়ার্ক স্থপতিকে অবশ্যই নিশ্চিত করতে হবে যে ক্লায়েন্ট ডিভাইসগুলি সঠিক Roaming Consortium OI ব্যবহার করে স্বয়ংক্রিয়ভাবে নেটওয়ার্ক আবিষ্কার করে এবং এর সাথে সংযুক্ত হয়।
Cisco Catalyst 9800 WLC-তে এটি বাস্তবায়ন করতে, এই কনফিগারেশন পদক্ষেপগুলি অনুসরণ করুন:
- ANQP সার্ভার প্রোফাইল সংজ্ঞায়িত করুন:
wireless profile anqp openroaming-anqp-profile
venue-name english "Stadium Main Bowl"
venue-group assembly venue-type arena
network-auth-type redirect-url "https://portal.purple.ai"
ip-type ipv4-nat ipv6-no-address
- Roaming Consortium প্রোফাইল তৈরি করুন এবং OpenRoaming Settlement-Free OI (5A-03-BE-00-00) যোগ করুন:
wireless profile roaming openroaming-roaming-profile
roaming-consortium-oi 5A03BE0000
- Hotspot 2.0 (Passpoint) প্রোফাইল কনফিগার করুন:
wireless profile hotspot openroaming-hotspot-profile
anqp-server-profile openroaming-anqp-profile
roaming-consortium-profile openroaming-roaming-profile
hessid 00:11:22:33:44:55
- টার্গেট WLAN প্রোফাইলে Hotspot প্রোফাইলটি প্রয়োগ করুন:
wlan openroaming-wlan 1 openroaming-ssid
security wpa wpa3
security wpa akm eap
hotspot-profile openroaming-hotspot-profile
no shutdown
- CLI ব্যবহার করে কনফিগারেশন যাচাই করুন:
show wireless profile hotspot detailed openroaming-hotspot-profile
একটি বহু-সাইট বিশিষ্ট রিটেইল চেইন একটি ঐতিহ্যবাহী Captive Portal থেকে একটি হাইব্রিড মডেলে স্থানান্তরিত হতে চায়। তারা নির্বিঘ্ন সংযোগের জন্য OpenRoaming ব্যবহার করতে চায় এবং সেই সাথে দর্শকের আচরণ ট্র্যাক করতে এবং থাকার সময়ের ওপর ভিত্তি করে লক্ষ্যযুক্ত প্রচারণা চালাতে Purple-এর বিশ্লেষণ প্ল্যাটফর্ম ব্যবহার করতে চায়।
এই সমাধানের জন্য একটি RadSec প্রক্সি কনফিগার করা প্রয়োজন যাতে প্রমাণীকরণ অনুরোধগুলি OpenRoaming ফেডারেশনে রাউট করা যায় এবং একই সাথে Purple ক্লাউড প্ল্যাটফর্মে অ্যাকাউন্টিং ডেটা পাঠানো যায়।
- OpenRoaming গেটওয়ের সাথে একটি TLS সংযোগ স্থাপন করতে স্থানীয় RadSec প্রক্সি (যেমন, FreeRADIUS) কনফিগার করুন:
home_server openroaming_radsec {
type = auth+acct
ipaddr = radsec.openroaming.org
port = 2083
proto = tcp
tls {
private_key_file = /etc/raddb/certs/radsec.key
certificate_file = /etc/raddb/certs/radsec.pem
ca_file = /etc/raddb/certs/wba_ca.pem
}
}
- অ্যাকাউন্টিং প্যাকেটগুলি অনুলিপি করতে এবং সেগুলিকে Purple-এর RADIUS অ্যাকাউন্টিং এন্ডপয়েন্টগুলিতে ফরোয়ার্ড করতে অ্যাকাউন্টিং সার্ভার কনফিগার করুন:
home_server purple_accounting {
type = acct
ipaddr = acct.purpleportal.net
port = 1813
secret = PurpleSharedSecret
}
realm openroaming {
auth_pool = openroaming_radsec
acct_pool = purple_accounting
}
- WLC-তে, নিশ্চিত করুন যে RADIUS অ্যাকাউন্টিং সক্রিয় করা হয়েছে এবং প্রতি 300 সেকেন্ডে অন্তর্বর্তীকালীন আপডেট পাঠানোর জন্য কনফিগার করা হয়েছে। এটি নিশ্চিত করে যে ব্যবহারকারী সক্রিয়ভাবে একটি ব্রাউজার না খুললেও Purple ক্রমাগত থাকার সময়ের ডেটা পাবে।
অনুশীলনী প্রশ্নসমূহ
Q1. একজন নেটওয়ার্ক ইঞ্জিনিয়ার লক্ষ্য করলেন যে Android ডিভাইসগুলো স্বয়ংক্রিয়ভাবে OpenRoaming SSID-এর সাথে কানেক্ট হচ্ছে, কিন্তু iOS ডিভাইসগুলো ব্যবহারকারীদের ম্যানুয়ালি নেটওয়ার্ক নির্বাচন করার জন্য অনুরোধ করছে। এই আচরণের সম্ভাব্য কারণ কী হতে পারে?
ইঙ্গিত: বিভিন্ন মোবাইল অপারেটিং সিস্টেমে প্রোফাইলগুলো কীভাবে প্রভিশন এবং ট্রাস্ট করা হয় তা বিবেচনা করুন।
মডেল উত্তর দেখুন
সবচেয়ে সম্ভাব্য কারণ হলো iOS ডিভাইসগুলোতে প্রয়োজনীয় OpenRoaming প্রোফাইল ইনস্টল করা নেই, অথবা প্রোফাইলের সার্টিফিকেট পে-লোডটি iOS দ্বারা ট্রাস্ট করা নয়। Android ডিভাইসগুলো প্রায়শই ডিভাইস প্রস্তুতকারক বা ক্যারিয়ার কনফিগারেশন থেকে আগে থেকে ইনস্টল করা OpenRoaming প্রোফাইল সহ আসে। রুট CA-কে ট্রাস্ট করতে এবং SSID-এর সাথে Roaming Consortium OI যুক্ত করতে iOS-এ MDM, একটি প্রভিশনিং অ্যাপ, বা Purple-এর মতো পোর্টালের মাধ্যমে স্পষ্ট প্রোফাইল ইনস্টলেশনের প্রয়োজন হয়।
Q2. একটি RadSec প্রক্সির WAN ইন্টারফেসে প্যাকেট ক্যাপচার করার সময়, আপনি পোর্ট ২০৮৩-তে পাঠানো TCP SYN প্যাকেটগুলো লক্ষ্য করেন, কিন্তু কোনো SYN-ACK পাওয়া যায়নি। আপনার কোন সমস্যা সমাধানের পদক্ষেপগুলো নেওয়া উচিত?
ইঙ্গিত: নেটওয়ার্ক পাথ এবং ফায়ারওয়াল কনফিগারেশনের দিকে মনোযোগ দিন।
মডেল উত্তর দেখুন
১. যাচাই করুন যে আউটবাউন্ড ফায়ারওয়াল পলিসি RadSec প্রক্সি IP থেকে ডেস্টিনেশন OpenRoaming গেটওয়েতে TCP পোর্ট ২০৮৩ ট্রাফিক অনুমতি দেয় কিনা। ২. কোনো মধ্যবর্তী নিরাপত্তা অ্যাপ্লায়েন্স (যেমন একটি IPS বা ডিপ প্যাকেট ইন্সপেকশন ফায়ারওয়াল) ট্রাফিক ব্লক বা ড্রপ করছে কিনা তা পরীক্ষা করুন। ৩. নিশ্চিত করুন যে DNS NAPTR রেকর্ডের মাধ্যমে রেজলভ করা ডেস্টিনেশন IP অ্যাড্রেসটি সঠিক এবং অ্যাক্সেসযোগ্য। ৪. ট্রানজিট পাথে কোথায় প্যাকেট ড্রপ হচ্ছে তা সনাক্ত করতে একটি ট্রেসরুট (traceroute) সম্পাদন করুন।
Q3. Passpoint এবং OpenRoaming স্থাপন করার সময় কেন SSID একত্রীকরণকে একটি সর্বোত্তম অনুশীলন হিসাবে বিবেচনা করা হয়, এবং এই সুপারিশটি উপেক্ষা করার প্রযুক্তিগত প্রভাব কী?
ইঙ্গিত: এয়ারটাইম দক্ষতা এবং বীকন ওভারহেড সম্পর্কে চিন্তা করুন।
মডেল উত্তর দেখুন
SSID একত্রীকরণ অত্যন্ত গুরুত্বপূর্ণ কারণ একটি AP-তে কনফিগার করা প্রতিটি SSID অবশ্যই নিজস্ব বীকন ফ্রেম ব্রডকাস্ট করবে, সাধারণত সর্বনিম্ন সমর্থিত বাধ্যতামূলক ডেটা রেটে। Passpoint/OpenRoaming-এর জন্য একটি ডেডিকেটেড SSID তৈরি করলে বীকন ওভারহেড বৃদ্ধি পায়, যা মূল্যবান এয়ারটাইম গ্রাস করে এবং সামগ্রিক নেটওয়ার্ক ক্ষমতা হ্রাস করে। একটি বিদ্যমান সুরক্ষিত এন্টারপ্রাইজ SSID-এ Passpoint একত্রীকরণ করার মাধ্যমে, AP বিদ্যমান বীকন ফ্রেমের মধ্যে 802.11u প্যারামিটারগুলো বিজ্ঞাপন করে, যা এয়ারটাইম সাশ্রয় করে এবং সর্বোত্তম চ্যানেল দক্ষতা বজায় রাখে।
এই সিরিজে পড়া চালিয়ে যান
Guest এবং Staff WiFi নেটওয়ার্কের জন্য RADIUS Authentication কনফিগার করা
এই টেকনিক্যাল রেফারেন্স গাইডটি এন্টারপ্রাইজ guest এবং staff WiFi নেটওয়ার্কের জন্য RADIUS authentication-এর আর্কিটেকচার, কনফিগারেশন এবং ডিপ্লয়মেন্টের রূপরেখা প্রদান করে। এটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের সুরক্ষিত, স্কেলযোগ্য ওয়্যারলেস অ্যাক্সেস কন্ট্রোল সিস্টেম তৈরি করার জন্য প্রয়োজনীয় সঠিক প্রোটোকল, সিকিউরিটি স্ট্যান্ডার্ড এবং ট্রাবলশুটিং মেথডোলজি প্রদান করে।
উচ্চশিক্ষায় সুরক্ষিত BYOD এবং নেটওয়ার্ক এনরোলমেন্টের জন্য কীভাবে SCEP বাস্তবায়ন করবেন
এই প্রযুক্তিগত নির্দেশিকাটি নেটওয়ার্ক আর্কিটেক্ট এবং IT ম্যানেজারদের উচ্চশিক্ষার ক্যাম্পাস নেটওয়ার্ক সুরক্ষিত করতে SCEP ভিত্তিক সার্টিফিকেট এনরোলমেন্ট স্থাপনের জন্য একটি ভেন্ডর - নিরপেক্ষ ব্লুপ্রিন্ট প্রদান করে। এটি কীভাবে পাসওয়ার্ড ভিত্তিক PEAP থেকে 802.1X EAP-TLS-এ স্থানান্তরিত হতে হবে, BYOD অনবোর্ডিং স্বয়ংক্রিয় করতে হবে এবং শক্তিশালী VLAN সেগমেন্টেশন কার্যকর করতে হবে তা বিস্তারিতভাবে বর্ণনা করে।
Server RADIUS: ব্যবসার জন্য একটি বিস্তৃত নির্দেশিকা
এই নির্দেশিকাটি IT ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং CTO-দের এন্টারপ্রাইজ WiFi-এর জন্য Server RADIUS অথেন্টিকেশনের একটি সুনির্দিষ্ট টেকনিক্যাল রেফারেন্স প্রদান করে। এটি AAA ফ্রেমওয়ার্ক, 802.1X আর্কিটেকচার, EAP পদ্ধতি নির্বাচন, ক্লাউড বনাম অন-প্রিমিসেস স্থাপনার সুবিধা-অসুবিধা এবং ডাইনামিক VLAN অ্যাসাইনমেন্ট কভার করে। আতিথেয়তা, খুচরা ব্যবসা, ইভেন্ট এবং পাবলিক সেক্টর জুড়ে ভেন্যু অপারেটররা অনিরাপদ প্রি-শেয়ার্ড কী থেকে একটি সুরক্ষিত, আইডেন্টিটি-চালিত নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল আর্কিটেকচারে স্থানান্তরিত হওয়ার জন্য প্রয়োজনীয় কার্যকর বাস্তবায়ন নির্দেশিকা, বাস্তব-জগতের কেস স্টাডি এবং সিদ্ধান্ত গ্রহণের ফ্রেমওয়ার্ক পাবেন।