মূল কন্টেন্টে যান
বাংলা

ধাপ-ভিত্তিক নির্দেশিকা: গেস্ট WiFi Captive Portals-এর জন্য Ruijie ওয়্যারলেস কন্ট্রোলার কনফিগার করা

এই নির্দেশিকাটি এন্টারপ্রাইজ-গ্রেড গেস্ট WiFi Captive Portals স্থাপন করার জন্য Ruijie ওয়্যারলেস কন্ট্রোলার এবং গেটওয়ে কনফিগার করার একটি সম্পূর্ণ প্রযুক্তিগত ওয়াকথ্রু প্রদান করে। এতে VLAN সেগমেন্টেশন, WISPr প্রোটোকলের মাধ্যমে এক্সটার্নাল RADIUS অথেনটিকেশন, ওয়াল্ড গার্ডেন কনফিগারেশন এবং ফার্স্ট-পার্টি ডেটা সংগ্রহ করতে ও হসপিটালিটি, রিটেইল এবং পাবলিক-সেক্টর পরিবেশে পরিমাপযোগ্য ব্যবসায়িক ভ্যালু তৈরি করতে Purple-এর আইডেন্টিটি-বেসড নেটওয়ার্ক প্ল্যাটফর্মের সাথে নির্বিঘ্ন ইন্টিগ্রেশন কভার করা হয়েছে।

📖 8 মিনিট পাঠ📝 1,834 শব্দ🔧 2 সমাধানকৃত উদাহরণ4 অনুশীলনী প্রশ্ন📚 9 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
Welcome to the Purple technical briefing series. Today we are covering one of the most frequently searched topics in enterprise wireless: how to configure Ruijie wireless controllers for secure guest WiFi captive portals. I am your host, and this is a ten-minute briefing designed for IT managers, network architects, and venue operations directors who need to get this right, first time. Let us start with context. If you manage IT for a hotel, a retail chain, a conference centre, or a large public venue, guest WiFi is no longer just an amenity. It is a fundamental operational requirement. Guests expect it. Regulators require you to handle their data responsibly. And your marketing team wants the first-party data it generates. The challenge is deploying it securely across a distributed estate, at scale, without creating a compliance headache. Ruijie Networks is one of the world's largest enterprise networking vendors, with a significant installed base across hospitality, retail, and public sector environments. Their RG-WS series wireless controllers and RG-EG series gateways are capable platforms for enterprise guest WiFi, but the captive portal configuration requires precise execution. Get it wrong, and you end up with either a security gap or a portal that simply does not work. Now let us get into the technical architecture. The absolute foundation of any secure guest network is traffic isolation. You cannot have guest devices sitting on the same network segment as your payment terminals, your staff laptops, or your back-office servers. The mechanism for this is VLAN segmentation. In a Ruijie environment, you create a dedicated guest VLAN on your core switch, assign it a separate IP subnet, and trunk it through to your access points. A typical deployment might use VLAN ten for corporate, VLAN twenty for voice, VLAN thirty for guest, and VLAN ninety-nine for management. This is non-negotiable. If you skip this step, you have convenient WiFi, not secure WiFi. Once the network is correctly segmented, we move to authentication. A shared pre-shared key is not enterprise security. It offers no accountability, no individual session tracking, and no way to revoke access for a single user without changing the password for everyone. Instead, we use an external captive portal with RADIUS authentication. Here is how the flow works. A guest connects to the open SSID broadcast by the Ruijie access point. The Ruijie gateway intercepts their HTTP traffic and issues a redirect to an external splash page - in this case hosted by Purple. The guest sees a branded login page. They authenticate, perhaps via email registration, social login, or a one-click accept. Purple's servers process that authentication and send a RADIUS Accept message back to the Ruijie controller. The controller then grants the device internet access. This entire flow uses the WISPr protocol, which is the standard framework for external captive portal authentication in enterprise wireless. The business value here is significant. Every authentication event captures a consent record. Purple's platform stores that data in a GDPR and CCPA-compliant manner, builds a first-party marketing database, and feeds analytics back to your team. Harrods used this approach to promote their loyalty programme and achieved a fifty-seven times return on investment. c2c Rail achieved a hundred and twenty-one percent return on investment and saved seventy-six thousand pounds in operational costs. That is the commercial case for doing this properly. Now let us walk through the specific configuration steps in the Ruijie Cloud or local controller interface. Step one: create the guest SSID. Log in to Ruijie Cloud or your local controller. Navigate to Device Config, select Wi-Fi under Wireless, and create a new SSID. Name it something clear, like Free Guest WiFi. Set the security mode to Open, and assign it to your guest VLAN. Step two: define the captive portal policy. Navigate to Auth and Account, then select Captive Portal under Authentication. Create a new policy. Set the Policy Mode to External. Set the Authentication Device to your Ruijie gateway or access point. Select the guest SSID. In the Portal Server URL field, enter your Purple splash page URL. Enter the Purple RADIUS server IP addresses. Step three: configure the Walled Garden, which Ruijie calls the Allowlist. This is the most commonly misconfigured element in any captive portal deployment. The Walled Garden defines what traffic can pass before the user authenticates. If you do not explicitly allow the Purple domains, the splash page will not load. If you offer Facebook or Google login but do not allow their OAuth domains, the authentication will hang at the social login button. Add all required Purple infrastructure domains, and all social provider domains you intend to support. Step four: configure RADIUS. Add the primary and secondary Purple RADIUS server IP addresses. Enter the shared secret from your Purple dashboard. Ensure RADIUS accounting is enabled on port 1813. This allows Purple to track session duration and data usage accurately, which feeds directly into your analytics reports. Step five: apply QoS policies. Unrestricted guest access can saturate your internet link. Set hard bandwidth limits per user on the Ruijie gateway - typically five to ten megabits down and two to five up for a standard hospitality deployment. This protects the experience for all guests and prevents a single device from degrading the network. Now let us cover the critical implementation pitfalls. The first is the Walled Garden. I cannot overstate how often this is the root cause of a failed deployment. Test your portal from a clean device with no cached credentials. If the page does not load, check your allowlist first. The second pitfall is the Portal Escape setting. This Ruijie feature automatically releases user traffic if the access point and portal server become unreachable. It sounds helpful, but it means unauthenticated users get internet access during an outage. In an enterprise environment where consent capture is a legal requirement, you want this disabled to enforce strict authentication at all times. The third pitfall is firmware versions. Some captive portal features - particularly around bandwidth controls and dynamic VLAN assignment - require specific firmware versions on the Ruijie gateway. Check the Ruijie release notes before you deploy, and ensure your devices are running a supported firmware version. Now for rapid-fire questions. Should I handle the captive portal on the access point or the gateway? In a Ruijie enterprise deployment, handle it at the gateway. The RG-EG series gateways are designed to manage the external portal interception and enforce QoS policies. Access points focus on RF performance and SSID broadcast. Can I run multiple captive portals on different SSIDs? Yes. Ruijie supports multiple captive portal policies mapped to different SSIDs. You might have a standard guest portal on one SSID and a paid premium portal on another, each with different bandwidth limits and authentication methods. How do I handle a multi-site deployment? Use Ruijie Cloud to manage configuration centrally. You can push portal policies across all sites simultaneously, ensuring consistency and eliminating per-site configuration drift. To summarise the key takeaways. Segment your traffic with VLANs before you do anything else. Use external RADIUS authentication to capture compliant, first-party data. Configure your Walled Garden meticulously and test it from a clean device. Make a deliberate decision on Portal Escape based on your compliance requirements. Apply QoS to protect the user experience. And integrate your Ruijie infrastructure with Purple's Identity-Based Networks to turn a basic connection into a secure, data-driven, revenue-generating asset. Purple operates across more than eighty thousand live venues, has processed four hundred and forty million logins in 2024, and holds ISO 27001, GDPR, CCPA, and Cyber Essentials certifications. We are hardware-agnostic, which means your Ruijie investment is fully compatible with our cloud overlay platform. Thank you for listening. If you want to explore how Purple integrates with your Ruijie estate, visit purple dot ai slash guest dash wifi. Deploy securely, and we will see you in the next briefing.

header_image.png

সারসংক্ষেপ

একটি বিস্তৃত এন্টারপ্রাইজ জুড়ে গেস্ট WiFi স্থাপন করার জন্য কেবল একটি ওপেন SSID-এর চেয়েও বেশি কিছুর প্রয়োজন হয়। IT ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য চ্যালেঞ্জ হলো কঠোর নিরাপত্তা, GDPR কমপ্লায়েন্স এবং ডেটা ক্যাপচারের প্রয়োজনীয়তার সাথে নির্বিঘ্ন অ্যাক্সেসের ভারসাম্য বজায় রাখা। এই নির্দেশিকাটি Ruijie ওয়্যারলেস কন্ট্রোলার এবং গেটওয়ে ব্যবহার করে একটি নিরাপদ, স্কেলযোগ্য Captive Portal স্থাপন করার সঠিক কনফিগারেশন ধাপগুলো বিস্তারিতভাবে বর্ণনা করে - এবং দেখায় কীভাবে সেই পরিকাঠামোকে Purple-এর Guest WiFi প্ল্যাটফর্মের সাথে একীভূত করলে তা একটি সাধারণ ওয়্যারলেস সংযোগকে একটি কমপ্লায়েন্ট, রাজস্ব-উৎপাদনকারী সম্পদে রূপান্তরিত করে।

আমরা প্রযুক্তিগত পূর্বশর্ত, VLAN সেগমেন্টেশন কৌশল, WISPr প্রোটোকলের মাধ্যমে এক্সটার্নাল RADIUS অথেনটিকেশন, ওয়াল্ড গার্ডেন কনফিগারেশন এবং প্রোডাকশন-গ্রেড স্থাপনের জন্য প্রয়োজনীয় নির্দিষ্ট QoS সেটিংস কভার করেছি। আপনি ২০০টি রুমের হোটেল, ৫০টি সাইটের রিটেইল চেইন বা ৪০,০০০ দর্শক ধারণক্ষমতার স্টেডিয়াম পরিচালনা করুন না কেন, এই নির্দেশিকাটি একটি নিরাপদ Ruijie Captive Portal সেটআপের জন্য নির্ভরযোগ্য ব্লুপ্রিন্ট প্রদান করে। Purple ৮০,০০০-এরও বেশি লাইভ ভেন্যুতে কাজ করে এবং ২০২৪ সালে ৪৪০ মিলিয়ন লগইন প্রসেস করেছে (Purple-এর অভ্যন্তরীণ ডেটা), তাই এখানে বর্ণিত ইন্টিগ্রেশন প্যাটার্নগুলো বৃহৎ স্কেলে প্রমাণিত।

architecture_overview.png

প্রযুক্তিগত আর্কিটেকচার এবং পূর্বশর্ত

আপনার Ruijie কন্ট্রোলার পরিবর্তন করার আগে, সঠিক নেটওয়ার্ক আর্কিটেকচার স্থাপন করুন। একটি নিরাপদ গেস্ট নেটওয়ার্কের জন্য লেয়ার ২ (Layer 2) - অর্থাৎ সুইচ স্তরে কর্পোরেট ট্রাফিক থেকে সম্পূর্ণ আইসোলেশন প্রয়োজন।

নেটওয়ার্ক সেগমেন্টেশন

নিরাপদ গেস্ট WiFi-এর ভিত্তি হলো VLAN আইসোলেশন। আপনাকে অবশ্যই আপনার Ruijie গেটওয়ে বা কোর সুইচে একটি ডেডিকেটেড গেস্ট VLAN তৈরি করতে হবে। এটি নিশ্চিত করে যে গেস্ট ট্রাফিক কখনই অভ্যন্তরীণ সিস্টেম, পেমেন্ট টার্মিনাল বা স্টাফ ডিভাইসের সাথে ওভারল্যাপ করবে না। Ruijie স্থাপনের জন্য একটি স্ট্যান্ডার্ড এন্টারপ্রাইজ VLAN স্কিম দেখতে এইরকম হয়:

VLAN ID উদ্দেশ্য নোট
10 কর্পোরেট স্টাফ ডিভাইস, অভ্যন্তরীণ সার্ভার
20 ভয়েস VoIP হ্যান্ডসেট
30 গেস্ট Captive Portal, শুধুমাত্র ইন্টারনেট
40 IoT প্রিন্টার, স্মার্ট টিভি, সেন্সর
99 ম্যানেজমেন্ট কন্ট্রোলার, সুইচ ম্যানেজমেন্ট

কেন কনজিউমার-গ্রেড পদ্ধতিগুলো এখানে ব্যর্থ হয় সে সম্পর্কে আরও জানতে, কেন কনজিউমার WiFi গিয়ার আপনার গেস্ট নেটওয়ার্কের জন্য উপযুক্ত নয় পড়ুন।

প্রয়োজনীয় উপাদানসমূহ

এই স্থাপনাটি সম্পন্ন করতে আপনার প্রয়োজন:

  • একটি Ruijie Cloud অ্যাকাউন্ট বা একটি লোকাল Ruijie RG-WS সিরিজ ওয়্যারলেস কন্ট্রোলার (যেমন, RG-WS6008 বা RG-WS7110)।
  • একটি Ruijie RG-EG সিরিজ গেটওয়ে - WISPr-এর মাধ্যমে এক্সটার্নাল পোর্টাল অথেনটিকেশনের জন্য প্রয়োজনীয়।
  • Ruijie RG-AP সিরিজ অ্যাক্সেস পয়েন্ট (যেমন, RG-AP820-I, RG-AP850-AR)।
  • একটি Purple Connect, Capture, বা Engage লাইসেন্স।
  • গেটওয়ে থেকে Purple-এর সার্ভারে পোর্ট ১৮১২ (RADIUS অথেনটিকেশন) এবং ১৮১৩ (RADIUS অ্যাকাউন্টিং)-এ আউটবাউন্ড UDP অ্যাক্সেস।

অথেনটিকেশন প্রোটোকল ওভারভিউ

Ruijie বেশ কয়েকটি অথেনটিকেশন পদ্ধতি সমর্থন করে। এন্টারপ্রাইজ স্থাপনার ক্ষেত্রে এক্সটার্নাল RADIUS অথেনটিকেশন ব্যবহার করা উচিত। এই পদ্ধতিতে অপ্রমাণিত ব্যবহারকারীদের নিরাপদে Purple-এর স্প্ল্যাশ পেজে রিডাইরেক্ট করতে, তাদের ক্রেডেনশিয়াল প্রসেস করতে এবং Ruijie কন্ট্রোলারে একটি RADIUS Accept বা Reject মেসেজ পাঠাতে WISPr (Wireless Internet Service Provider roaming) প্রোটোকল ব্যবহার করা হয়।

comparison_chart.png

উপরের টেবিলটি Ruijie প্ল্যাটফর্মে উপলব্ধ পাঁচটি অথেনটিকেশন পদ্ধতির সংক্ষিপ্ত রূপ তুলে ধরে। হসপিটালিটি এবং রিটেইল পরিবেশের জন্য ইমেল রেজিস্ট্রেশন এবং সোশ্যাল লগইন সবচেয়ে সাধারণ পছন্দ কারণ এগুলো সুগঠিত, GDPR-কমপ্লায়েন্ট ফার্স্ট-পার্টি ডেটা সংগ্রহ করে। ভাউচার কোডগুলো কনফারেন্স রুম এবং পেইড অ্যাক্সেস টিয়ারের জন্য উপযুক্ত। ৮০২.১X সহ RADIUS স্টাফ নেটওয়ার্কের জন্য সংরক্ষিত যেখানে ডিরেক্টরি-ব্যাকড আইডেন্টিটি প্রয়োজন।

ধাপে ধাপে বাস্তবায়ন নির্দেশিকা

Ruijie Cloud বা লোকাল কন্ট্রোলার ইন্টারফেসের মধ্যে এই ধাপগুলো অনুসরণ করুন। নিচের UI পাথগুলো Ruijie Cloud-এর নতুন ইন্টারফেস (২০২৪-পরবর্তী) এবং Ruijie JaCS প্ল্যাটফর্মের ক্ষেত্রে প্রযোজ্য।

ধাপ ১: গেস্ট SSID কনফিগার করুন

ওয়্যারলেস ব্রডকাস্ট নেটওয়ার্কটি স্থাপন করুন।

  1. Ruijie Cloud বা লোকাল কন্ট্রোলার ওয়েব ইন্টারফেসে লগ ইন করুন।
  2. Device Config-এ যান এবং Wireless সেকশনের অধীনে Wi-Fi নির্বাচন করুন।
  3. একটি নতুন SSID তৈরি করতে +-এ ক্লিক করুন, অথবা একটি বিদ্যমান SSID এডিট করুন।
  4. SSID Name সেট করুন (যেমন, "Free Guest WiFi")।
  5. Security Mode-কে Open হিসেবে সেট করুন - কোনো প্রি-শেয়ার্ড কি (pre-shared key) লাগবে না।
  6. আপনার ডেডিকেটেড গেস্ট VLAN-এ (যেমন, VLAN 30) SSID-টি অ্যাসাইন করুন।
  7. SSID কনফিগারেশনটি সেভ করুন।

ধাপ ২: Captive Portal পলিসি নির্ধারণ করুন

গেস্ট ট্রাফিক ইন্টারসেপ্ট করতে এবং তা Purple-এ রিডাইরেক্ট করতে কন্ট্রোলারকে নির্দেশ দিন।

  1. Auth & Account-এ যান এবং Authentication-এর অধীনে Captive Portal নির্বাচন করুন।
  2. একটি নতুন পলিসি তৈরি করুন। একটি বর্ণনামূলক Policy Name সেট করুন (যেমন, "Purple-Guest-Portal")।
  3. Policy Mode-কে External হিসেবে সেট করুন।
  4. Authentication Device হিসেবে আপনার Ruijie গেটওয়ে (RG-EG সিরিজ) বা অ্যাক্সেস পয়েন্ট সেট করুন।
  5. ধাপ ১-এ তৈরি করা গেস্ট SSID-টি নির্বাচন করুন।
  6. Portal Server URL ফিল্ডে, আপনার নির্দিষ্ট Purple স্প্ল্যাশ পেজ URL লিখুন (যা আপনার Purple ড্যাশবোর্ডের Hardware Configuration-এর অধীনে পাওয়া যাবে)।
  7. নির্ধারিত ফিল্ডগুলোতে Purple RADIUS সার্ভারের IP অ্যাড্রেসগুলো লিখুন।
  8. আপনার সেশন টাইমআউট পলিসির সাথে মেলাতে Seamless Online-এর সময়সীমা সেট করুন (যেমন, হসপিটালিটির জন্য ২৪ ঘণ্টা, রিটেইলের জন্য এক ঘণ্টা)।
  9. Portal Escape-এর আচরণ নির্ধারণ করুন - নিচের সেরা অনুশীলন (Best Practices) সেকশনটি দেখুন।

ধাপ ৩: ওয়াল্ড গার্ডেন (অ্যালাউলিস্ট) কনফিগার করুন

একটি Captive Portal ব্যবহারকারী প্রমাণীকরণ (authenticate) না করা পর্যন্ত সমস্ত ট্রাফিক ইন্টারসেপ্ট করে। লগইন পেজটি লোড করার অনুমতি দেওয়ার জন্য নির্দিষ্ট কিছু ট্রাফিক অবশ্যই প্রি-অথেনটিকেশনের মধ্য দিয়ে যেতে হবেএবং সোশ্যাল লগইন প্রসেস করুন। যেকোনো captive portal ডেপ্লয়মেন্টে এটি সবচেয়ে বেশি ভুল কনফিগার করা উপাদান।

১. Auth & Account-এ নেভিগেট করুন এবং Allowlist নির্বাচন করুন। ২. সমস্ত প্রয়োজনীয় Purple ইনফ্রাস্ট্রাকচার ডোমেন যোগ করুন। আপনার অঞ্চলের জন্য সঠিক তালিকাটি আপনার Purple ড্যাশবোর্ড প্রদান করে। ৩. আপনি যদি সোশ্যাল লগইন অফার করেন, তবে প্রতিটি প্রোভাইডারের জন্য OAuth ডোমেনগুলি যোগ করুন:

  • Microsoft Entra ID-এর জন্য: *.microsoft.com, *.microsoftonline.com, login.live.com
  • Google Workspace-এর জন্য: *.google.com, accounts.google.com
  • Okta-এর জন্য: আপনার নির্দিষ্ট Okta টেন্যান্ট ডোমেন ৪. আপনি যদি পেইড WiFi টিয়ার অফার করেন তবে যেকোনো পেমেন্ট প্রসেসর ডোমেন যোগ করুন। ৫. allowlist-টি সেভ এবং অ্যাপ্লাই করুন।

ধাপ ৪: RADIUS অথেন্টিকেশন কনফিগার করুন

Ruijie এবং Purple-এর মধ্যে সুরক্ষিত যোগাযোগ চ্যানেল কনফিগার করুন।

১. আপনার Ruijie কন্ট্রোলার বা গেটওয়েতে RADIUS সার্ভার সেটিংসে নেভিগেট করুন। ২. অথেন্টিকেশনের জন্য প্রাইমারি Purple RADIUS সার্ভার IP অ্যাড্রেস এবং পোর্ট 1812 যোগ করুন। ৩. ফেইলওভার হিসেবে সেকেন্ডারি Purple RADIUS সার্ভার IP অ্যাড্রেস যোগ করুন। ৪. আপনার Purple ড্যাশবোর্ড থেকে Shared Secret লিখুন। এটি হুবহু মিলতে হবে। ৫. পোর্ট 1813-এ অ্যাকাউন্টিং সার্ভার যোগ করুন এবং RADIUS অ্যাকাউন্টিং সক্ষম করুন। এটি সেশন সময়কাল এবং ডেটা ব্যবহার ট্র্যাক করে, যা সরাসরি Purple-এর WiFi Analytics রিপোর্টে যুক্ত হয়। ৬. Purple-এর অ্যানালিটিক্সে ট্রাফিক আলাদা করতে NAS Identifier-কে একটি অর্থপূর্ণ স্ট্রিং (যেমন, আপনার ভেন্যুর নাম) হিসেবে সেট করুন।

ধাপ ৫: QoS পলিসি প্রয়োগ করুন

অবাধ গেস্ট অ্যাক্সেস পিক পিরিয়ডে আপনার ইন্টারনেট সংযোগকে ধীরগতির করে দিতে পারে।

১. আপনার Ruijie গেটওয়ের QoS বা ব্যান্ডউইথ ম্যানেজমেন্ট সেকশনে নেভিগেট করুন। ২. প্রতি-ব্যবহারকারী ডাউনলোড লিমিট সেট করুন (যেমন, হোটেল গেস্টদের জন্য 10 Mbps, রিটেল ক্রেতাদের জন্য 5 Mbps)। ৩. প্রতি-ব্যবহারকারী আপলোড লিমিট সেট করুন (যেমন, 2-5 Mbps)। ৪. পোর্টাল সার্ভার সাময়িকভাবে অ্যাক্সেসযোগ্য না হলে অথেন্টিকেশন ছাড়া ব্যবহারকারীরা যাতে নেটওয়ার্ক অ্যাক্সেস করতে না পারে তা নিশ্চিত করতে Client Escape নিষ্ক্রিয় করুন। ৫. কনফিগারেশন সেভ করুন এবং সমস্ত প্রাসঙ্গিক ডিভাইসে পুশ করুন।

ধাপ ৬: ডেপ্লয়মেন্ট পরীক্ষা করুন

সর্বদা কোনো ক্যাশড ক্রেডেনশিয়াল নেই এমন একটি নতুন ডিভাইস থেকে পরীক্ষা করুন।

১. গেস্ট SSID-এ একটি মোবাইল ডিভাইস সংযুক্ত করুন। ২. একটি ব্রাউজার খুলুন এবং একটি নন-HTTPS URL (যেমন, http://example.com)-এ নেভিগেট করুন। পোর্টালটি রিডাইরেক্ট করবে। ৩. Purple স্প্ল্যাশ পেজটি সঠিকভাবে লোড হচ্ছে কিনা তা যাচাই করুন। ৪. অথেন্টিকেশন ফ্লো সম্পন্ন করুন। ৫. অথেন্টিকেশনের পর ইন্টারনেট অ্যাক্সেস মঞ্জুর করা হয়েছে কিনা তা নিশ্চিত করুন। ৬. সেশনটি আপনার অ্যানালিটিক্সে প্রদর্শিত হচ্ছে কিনা তা নিশ্চিত করতে Purple ড্যাশবোর্ড চেক করুন।

এন্টারপ্রাইজ ডেপ্লয়মেন্টের জন্য সেরা অনুশীলন

নিরাপত্তা এবং কমপ্লায়েন্স

গেস্ট অ্যাক্সেসের জন্য কখনই শেয়ার্ড PSK-এর ওপর নির্ভর করবেন না। শেয়ার্ড পাসওয়ার্ড কোনো জবাবদিহিতা প্রদান করে না এবং একক ব্যবহারকারীর জন্য তা বাতিল করা অসম্ভব। ব্যক্তিগত অথেন্টিকেশন সহ Purple-এর captive portal ব্যবহার করে, আপনি ডেটা প্রসেসিংয়ের জন্য স্পষ্ট সম্মতি প্রয়োগ করেন, যা GDPR Article 7-এর প্রয়োজনীয়তা পূরণ করে। Purple-এর ISO 27001, GDPR, CCPA এবং Cyber Essentials সার্টিফিকেশন রয়েছে, যা নিশ্চিত করে যে ডেটা ক্যাপচার মেকানিজম নিজেই অডিটেবল।

নিরাপত্তা আর্কিটেকচার সম্পর্কে আরও বিস্তারিত জানতে, আমাদের Enterprise WiFi Security: A Complete Guide for 2026 এবং What Is Secure WiFi: Essential Guide for Business 2026 পড়ুন।

Portal Escape: একটি সুচিন্তিত সিদ্ধান্ত

AP এবং পোর্টাল সার্ভার অ্যাক্সেসযোগ্য না হলে Ruijie-এর Portal Escape ফিচারটি স্বয়ংক্রিয়ভাবে ব্যবহারকারীর ট্রাফিক রিলিজ করে দেয়। একটি হসপিটালিটি পরিবেশে, আপনি এটি সক্ষম করতে পারেন - সার্ভার ত্রুটির সময় কোনো গেস্ট WiFi থেকে লক আউট হলে অভিযোগ তৈরি হতে পারে। একটি রিটেল বা হেলথকেয়ার পরিবেশে, আপনি এটি নিষ্ক্রিয় করতে পারেন - অথেন্টিকেশন ছাড়া অ্যাক্সেস কমপ্লায়েন্স এবং নিরাপত্তা ঝুঁকি তৈরি করে। আপনার নেটওয়ার্ক রানবুকে আপনার সিদ্ধান্ত এবং এর যৌক্তিকতা নথিভুক্ত করুন।

মাল্টি-সাইট ধারাবাহিকতা

সমস্ত সাইট জুড়ে কেন্দ্রীয়ভাবে কনফিগারেশন পরিচালনা করতে Ruijie Cloud ব্যবহার করুন। প্রতি-সাইট কনফিগারেশন পরিবর্তন দূর করতে একসাথে পোর্টাল পলিসি পুশ করুন - যা একটি ডিস্ট্রিবিউটেড এস্টেট জুড়ে অসঙ্গতিপূর্ণ গেস্ট অভিজ্ঞতার সবচেয়ে সাধারণ কারণ। Purple-এর ক্লাউড ওভারলে একই নীতিতে কাজ করে: একটি ড্যাশবোর্ড, সমস্ত ভেন্যু।

ফার্মওয়্যার ম্যানেজমেন্ট

কিছু Ruijie captive portal ফিচার - বিশেষ করে ব্যান্ডউইথ কন্ট্রোল এবং ডায়নামিক VLAN অ্যাসাইনমেন্ট - গেটওয়েতে নির্দিষ্ট ফার্মওয়্যার সংস্করণের প্রয়োজন হয়। Ruijie-এর রিলিজ নোটে এই নির্ভরতাগুলি নথিভুক্ত রয়েছে। ক্লাউড-ম্যানেজড ডেপ্লয়মেন্টে সম্পূর্ণ QoS সমর্থনের জন্য আপনার RG-EG গেটওয়েগুলি যাতে ফার্মওয়্যার RGOS11.9(6)B17T1 বা তার বেশি সংস্করণে চলে তা নিশ্চিত করুন।

সমস্যা সমাধান এবং ঝুঁকি প্রশমন

পোর্টাল পেজ লোড হতে ব্যর্থ হলে

কোনো ডিভাইস সংযুক্ত হওয়ার সময় captive portal প্রদর্শিত না হলে, প্রথমে আপনার walled garden সেটিংস যাচাই করুন। অথেন্টিকেশনের আগে ডিভাইসটিকে অবশ্যই DNS রিসলভ করতে হবে এবং Purple পোর্টাল URL-এ পৌঁছাতে হবে। আপনার Ruijie allowlist-এ সমস্ত প্রয়োজনীয় ডোমেন অন্তর্ভুক্ত রয়েছে কিনা এবং আপনার DNS সার্ভারটি গেস্ট VLAN থেকে অ্যাক্সেসযোগ্য কিনা তা পরীক্ষা করুন।

অথেন্টিকেশন টাইমআউট

ব্যবহারকারীরা পোর্টাল দেখতে পেলেও লগইন করতে না পারলে, সমস্যাটি সাধারণত RADIUS কনফিগারেশনে থাকে। RADIUS সার্ভার IP অ্যাড্রেস, পোর্ট (অথেন্টিকেশনের জন্য 1812, অ্যাকাউন্টিংয়ের জন্য 1813) এবং shared secret যাচাই করুন। আপনার ফায়ারওয়াল যাতে Ruijie গেটওয়ের ম্যানেজমেন্ট IP থেকে এই পোর্টগুলিতে আউটবাউন্ড UDP ট্রাফিক অনুমোদন করে তা নিশ্চিত করুন।

সোশ্যাল লগইন হ্যাং হওয়া

ব্যবহারকারীরা সোশ্যাল লগইন বাটনে ক্লিক করার পর যদি কিছু না ঘটে, তবে OAuth রিডাইরেক্ট ব্লক করা হচ্ছে। আপনার Ruijie allowlist-এ প্রয়োজনীয় সোশ্যাল প্রোভাইডার ডোমেনগুলি যোগ করুন। পোর্টালটি কাজ করছে কিনা তা নিশ্চিত করতে সাময়িকভাবে সমস্ত প্রি-অথেন্টিকেশন ট্রাফিক অনুমোদন করে পরীক্ষা করুন, তারপর পর্যায়ক্রমে allowlist কঠোর করুন।

ডায়নামিক VLAN অ্যাসাইনমেন্ট ব্যর্থতা

আপনি যদি ব্যবহারকারীদের ডায়নামিকভাবে VLAN-এ অ্যাসাইন করতে RADIUS ব্যবহার করেন, তবে নিশ্চিত করুন যে RADIUS রেসপন্সে সঠিক VLAN অ্যাট্রিবিউট (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) অন্তর্ভুক্ত রয়েছে। Ruijie-এর RG-EG310GH-E এবং অনুরূপ গেটওয়েগুলি ডায়নামিক VLAN অ্যাসাইনমেন্ট সমর্থন করে, তবে এই ফিচারের জন্য RADIUS সার্ভার এবং গেটওয়ে উভয় ক্ষেত্রেই স্পষ্ট কনফিগারেশন প্রয়োজন।

ROI এবং ব্যবসায়িক প্রভাব

একটি সুরক্ষিত captive portal ডেপ্লয় করা গেস্ট WiFi-কে একটি কস্ট সেন্টার থেকে একটি কৌশলগত সম্পদে রূপান্তরিত করে। Purple-এর WiFi Analytics প্ল্যাটফর্ম, ইন্টিগ্রেটআপনার Ruijie ইনফ্রাস্ট্রাকচারের সাথে যুক্ত হয়ে, ফার্স্ট-পার্টি ডেটা সংগ্রহ করে, উচ্চ-আগ্রহী গ্রাহকদের যোগাযোগের তালিকা তৈরি করে এবং আপনার সম্পূর্ণ এস্টেট জুড়ে ভিজিটরদের আচরণের উপর কার্যকরী ইনসাইট প্রদান করে।

Harrods তাদের লয়্যালটি প্রোগ্রামের প্রচার করতে Purple-এর Guest WiFi ব্যবহার করেছে, যার মাধ্যমে তারা বাজারে শীর্ষস্থানীয় অপ্ট-ইন রেট এবং ৫৭ গুণ ROI অর্জন করেছে (Purple গ্রাহক ডেটা)। c2c Rail সরাসরি বুকিং উৎসাহিত করতে Purple ব্যবহার করেছে, যার ফলে ১২১% রিটার্ন অন ইনভেস্টমেন্ট অর্জিত হয়েছে এবং অপারেশনাল খরচে £৭৬,০০০ সাশ্রয় হয়েছে (Purple গ্রাহক ডেটা)। Pizza Express আরও সমৃদ্ধ গ্রাহক প্রোফাইল তৈরি করতে ৪৭০টিরও বেশি রেস্তোরাঁয় Purple ব্যবহার করেছে।

হসপিটালিটি অপারেটরদের জন্য, লগইনের সময় সংগৃহীত ডেটা — যেমন ইমেল, ডেমোগ্রাফিক, ভিজিটের ফ্রিকোয়েন্সি — সরাসরি CRM সিস্টেম এবং লয়্যালটি প্রোগ্রামে যুক্ত হয়। রিটেইল পরিবেশের জন্য, পুনরাবৃত্ত ভিজিট অ্যানালিটিক্স আপনার সবচেয়ে মূল্যবান ক্রেতাদের সনাক্ত করে। পরিবহন হাবগুলোর জন্য, যাত্রী প্রবাহের ডেটা স্টাফিং এবং বাণিজ্যিক স্থান পরিকল্পনাকে অপ্টিমাইজ করে।

Purple Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, এবং Fortinet — এর পাশাপাশি Ruijie-এর সাথেও ইন্টিগ্রেট করে — যা এটিকে একটি হার্ডওয়্যার-নিরপেক্ষ ক্লাউড ওভারলেতে পরিণত করেছে, যা আপনার বিদ্যমান এস্টেট প্রতিস্থাপন করার পরিবর্তে সেটির সাথেই কাজ করে।

সম্পর্কিত গাইড: Purple WiFi-এর সাথে Grandstream GWN অ্যাক্সেস পয়েন্ট ইন্টিগ্রেশন

মূল সংজ্ঞাসমূহ

Captive portal

A web page that a user of a public access network must view and interact with before internet access is granted. It intercepts all HTTP traffic and redirects the user's browser to the portal page.

The core mechanism for enforcing authentication on guest WiFi networks. Used in hotels, retail, stadiums, and public-sector venues to control access and capture consent.

Walled garden

A pre-authentication allowlist that permits specific domains and IP addresses to bypass captive portal interception. Traffic to these destinations is allowed before the user authenticates.

Essential for allowing devices to load the splash page, reach social login providers, and process payment flows before the user is fully authenticated. Misconfiguration here is the leading cause of captive portal failures.

RADIUS

Remote Authentication Dial-In User Service. A networking protocol that provides centralised Authentication, Authorisation, and Accounting management for users connecting to a network service.

The secure protocol Ruijie controllers use to communicate with Purple's servers. Authentication requests go to port 1812 (UDP); accounting records go to port 1813 (UDP).

WISPr

Wireless Internet Service Provider roaming. A protocol specification that defines how a captive portal redirects unauthenticated users to a login page and how the access controller receives the authentication result.

The specific protocol framework used by Ruijie and Purple to handle the external captive portal redirection and authentication flow. Required for external portal mode on Ruijie gateways.

VLAN isolation

The practice of separating network traffic into distinct virtual local area networks at the switch level, preventing devices on different VLANs from communicating directly.

Non-negotiable for guest networks. Ensures guest devices cannot communicate with corporate servers, staff laptops, or payment terminals, even if they are connected to the same physical infrastructure.

Portal Escape

A Ruijie feature that automatically releases user traffic if the access point and portal server become unreachable, allowing unauthenticated internet access during an outage.

A deliberate trade-off between availability and security. Hospitality operators may enable it to prevent guest complaints during outages. Healthcare and retail operators typically disable it to enforce strict authentication at all times.

SSID

Service Set Identifier. The public name of a wireless network that devices display in their available networks list.

The network name guests select on their devices, which triggers the captive portal redirection. Each SSID in a Ruijie deployment is mapped to a specific VLAN and authentication policy.

QoS

Quality of Service. A set of technologies that manage data traffic to reduce packet loss, latency, and jitter, and to ensure predictable performance for specific traffic types.

Used in guest networks to cap per-user bandwidth, preventing a single device from saturating the internet link and degrading the experience for all other connected users.

802.1X

An IEEE standard for port-based network access control, providing an authentication mechanism for devices connecting to a LAN or WLAN.

Used for staff networks requiring directory-backed identity (e.g., via Microsoft Entra ID or Okta). Not typically used for guest networks, where a captive portal with RADIUS is the appropriate pattern.

সমাধানকৃত উদাহরণসমূহ

A 250-room hotel uses Ruijie RG-AP820-I access points and an RG-EG310GH-E gateway. They require guests to authenticate via email to build a marketing database. Management is concerned about guests bypassing the portal and about peak-hour bandwidth saturation during conference events.

The IT team creates a dedicated guest VLAN (VLAN 40) on the core switch and trunks it to the Ruijie gateway and APs. In Ruijie Cloud, they create an open SSID mapped to VLAN 40. They configure an External Captive Portal policy pointing to the Purple splash page URL, with the Portal Server URL and RADIUS credentials from the Purple dashboard. Crucially, they configure the Walled Garden to allow traffic only to Purple's domains and disable the Portal Escape feature on the Ruijie gateway, preventing unauthenticated access during any portal outage. They apply a QoS policy limiting each client to 10 Mbps down and 3 Mbps up. For conference events, they create a separate SSID on VLAN 50 with a voucher-based portal and tighter bandwidth limits of 5 Mbps per device.

পরীক্ষকের মন্তব্য: This approach correctly isolates guest traffic at Layer 2, enforces external RADIUS authentication for GDPR-compliant data capture, and applies bandwidth controls proportionate to the use case. Disabling Portal Escape is a deliberate security decision that prevents unauthenticated access during network disruptions. The separate conference SSID with voucher authentication is a practical pattern for venues that host both transient guests and event attendees with different access requirements.

A retail chain with 50 locations uses Ruijie WS6008 controllers. They implement social login (Facebook and Google Workspace) for shoppers accessing WiFi, but the portal page hangs when users click the social login buttons. The issue affects all 50 sites simultaneously.

The IT manager identifies that the Allowlist (Walled Garden) configuration on the Ruijie controllers is missing the OAuth domains required by Facebook and Google. While the Purple portal URL was correctly allowed, the social provider domains needed for the OAuth handshake were blocked by the captive portal interception. The team adds the required wildcard domains - specifically *.facebook.com, *.fbcdn.net, accounts.google.com, and *.googleapis.com - to the Ruijie Allowlist. They push the updated configuration to all 50 sites simultaneously via Ruijie Cloud, resolving the issue across the entire estate in a single operation.

পরীক্ষকের মন্তব্য: Walled garden misconfiguration is the most common cause of social login failure in captive portal deployments. The captive portal must explicitly permit pre-authentication traffic to the identity providers' OAuth domains, otherwise the redirect process cannot complete. The use of Ruijie Cloud for centralised configuration push is the correct approach for a multi-site estate - manual per-site configuration at 50 locations would be error-prone and time-consuming.

অনুশীলনী প্রশ্নসমূহ

Q1. You have configured an external captive portal on a Ruijie RG-EG gateway. Guests connect to the SSID, but their devices report 'No Internet Connection' and the portal page never loads. What is the most likely configuration error and how do you resolve it?

ইঙ্গিত: Consider what network operations must succeed before the user can even see the login page.

মডেল উত্তর দেখুন

The walled garden (Allowlist) is misconfigured. The Ruijie gateway is blocking DNS resolution or HTTP traffic required to reach the external Purple splash page URL. Before authentication, the device must be able to resolve the portal domain and make an HTTP connection to it. Add the specific Purple domains to the pre-authentication allowlist in the Ruijie Auth & Account section. Also verify that the guest VLAN has a valid DNS server assigned via DHCP.

Q2. A stadium IT director wants to deploy Ruijie APs for fan WiFi during events. They want to collect marketing data but are concerned that RADIUS authentication will cause delays when 10,000 fans connect simultaneously during the first 30 minutes of doors opening. How should they design the authentication flow to balance data capture with user experience?

ইঙ্গিত: Consider the trade-off between data richness and authentication friction at scale.

মডেল উত্তর দেখুন

They should use Purple's One-Click Login for returning fans who have previously authenticated, which bypasses the form fill and reduces RADIUS load. For new fans, a minimal email capture form is preferable to social login, which requires additional OAuth round-trips. The Ruijie gateway must be sized to handle concurrent RADIUS requests - for 10,000 simultaneous connections, a high-capacity RG-EG series gateway is required. Enabling Seamless Online with a 30-day session duration means returning fans connect automatically at subsequent events. QoS limits should be strict (5 Mbps per device) to prevent early arrivals from saturating the link before the main crowd arrives.

Q3. During a security audit, a penetration tester accesses the corporate file server while connected to the 'Guest WiFi' SSID broadcast by a Ruijie AP. The guest network uses a correctly configured captive portal. How do you resolve this critical vulnerability?

ইঙ্গিত: Authentication and network segmentation are separate concerns. One does not imply the other.

মডেল উত্তর দেখুন

The captive portal is working correctly, but VLAN isolation is missing or misconfigured. The guest SSID is dropping authenticated users onto the corporate VLAN or native VLAN, which has routing access to internal servers. You need to: (1) create a dedicated guest VLAN (e.g., VLAN 50) on the core switch; (2) assign the Guest SSID to VLAN 50 in the Ruijie controller; (3) configure the switch ports connecting the APs as 802.1Q trunks permitting VLAN 50; (4) configure the Ruijie gateway to block routing between VLAN 50 and all corporate subnets, permitting only internet-bound traffic from the guest VLAN. Authentication and network segmentation are independent controls - both must be correctly configured.

Q4. Your Ruijie deployment has Portal Escape enabled. During a planned maintenance window on the Purple RADIUS servers, you notice that guests are accessing the internet without authenticating. Is this expected behaviour, and what are the compliance implications?

ইঙ্গিত: Consider the purpose of Portal Escape and your GDPR obligations.

মডেল উত্তর দেখুন

Yes, this is the expected behaviour of Portal Escape. When the portal server is unreachable, Ruijie automatically releases traffic to maintain connectivity. However, this creates a compliance gap: users are accessing the internet without providing consent for data processing, which may violate GDPR requirements if your terms of service or data capture are tied to the authentication event. For venues where consent capture is a legal or commercial requirement, Portal Escape should be disabled. Schedule RADIUS server maintenance during periods of minimal guest activity, and communicate the maintenance window to venue management. Consider implementing a secondary Purple RADIUS server as a failover to eliminate the scenario entirely.

এই সিরিজে পড়া চালিয়ে যান

এন্টারপ্রাইজ নেটওয়ার্ক কন্ট্রোলারে Captive Portal রিডাইরেকশন কনফিগার করা

এই নির্ভরযোগ্য নির্দেশিকাটি এন্টারপ্রাইজ নেটওয়ার্ক কন্ট্রোলারে Captive Portal রিডাইরেকশন বাস্তবায়নের জন্য প্রয়োজনীয় প্রযুক্তিগত আর্কিটেকচার এবং ভেন্ডর-নির্দিষ্ট কনফিগারেশন ধাপগুলো বিস্তারিতভাবে বর্ণনা করে। এটি আইটি (IT) টিমগুলোর জন্য ওয়াল্ড গার্ডেন (walled gardens) কনফিগার করা, RADIUS অথেন্টিকেশন একীভূত করা এবং GDPR ও PCI DSS-এর সাথে সম্মতি নিশ্চিত করার বিষয়ে কার্যকর নির্দেশনা প্রদান করে।

গাইডটি পড়ুন →

সুরক্ষিত BYOD এবং 802.1X নেটওয়ার্ক অথেন্টিকেশনের জন্য কীভাবে SCEP কনফিগার করবেন

এই নির্দেশিকাটি সার্টিফিকেট-ভিত্তিক 802.1X নেটওয়ার্ক অথেন্টিকেশন স্থাপনের জন্য SCEP কনফিগার করার একটি বিস্তৃত প্রযুক্তিগত রেফারেন্স প্রদান করে। এটি শেয়ারড পাসওয়ার্ড থেকে EAP-TLS-এ আর্কিটেকচারাল পরিবর্তন, মোবাইল ডিভাইস ম্যানেজমেন্ট ইন্টিগ্রেশন এবং এন্টারপ্রাইজ পরিবেশে সুরক্ষিত BYOD অ্যাক্সেসের জন্য কঠোর নেটওয়ার্ক সেগমেন্টেশন কভার করে।

গাইডটি পড়ুন →

এন্টারপ্রাইজ গেস্ট WiFi সেটআপ গাইড: VLAN সেগমেন্টেশন, সিকিউরিটি এবং Captive Portals

এই গাইডটি এন্টারপ্রাইজ গেস্ট WiFi স্থাপনের জন্য একটি প্রযুক্তিগত ব্লুপ্রিন্ট প্রদান করে, যা VLAN সেগমেন্টেশন, সিকিউরিটি প্রোটোকল এবং captive portal আর্কিটেকচারের উপর আলোকপাত করে। এটি কীভাবে ট্রাফিক আলাদা করতে হয়, এনক্রিপশন স্ট্যান্ডার্ড প্রয়োগ করতে হয় এবং জটিল ভেন্যু জুড়ে নিরাপদে ফার্স্ট-পার্টি ডেটা সংগ্রহ করতে হয় তা বিস্তারিতভাবে বর্ণনা করে।

গাইডটি পড়ুন →