You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »

Для организации провайдером услуги СМС-авторизации на основе хотспотов, подключенных через Интернет, ООО "Нетамс" рекомендует придерживаться описанной ниже схемы.

Данный сценарий подходит, если:

  • вы обслуживаете значительное число небольших площадок (мест оказания услуги), подключенных через Интернет
  • подключения площадок осуществляется через сеть стороннего провайдера Интернет
  • вы используете в качестве хотспотов устройства, установленные непосредственно на площадках клиента - маршрутизаторы Mikrotik со встроенной точкой доступа, либо точки доступа, перепрошитые на OpenWrt или dd-wrt

Сценарий не подходит вам, если вы используете:

  • профессиональное Wi-Fi оборудование, управляемое контроллером (выполняющим роль хотспота)
  • вы обеспечиваете прозрачный (Layer-2) транспорт сетей с площадок клиентов, в центральный узел вашей сети, где установлен большой хотспот (маршрутизатор Mikrtik, Cisco ASR, Alcatel и т.п.)
  • у вас одна площадка оказания услуги (корпоративная сеть)

Рекомендуемая схема предполагает:

  1. Установку маршрутизатора-хотспота на каждой площадке оказания услуги. Внешний (WAN) интерфейс хотспота подключается к местному провайдеру Интернет, внутренний (LAN) интерфейс либо не используется, либо к нему подключена локальная сеть с точками доступа
  2. Хотспот либо содержит в себе встроенную точку доступа, либо не содержит радио-модуля. В последнем случае Wi-Fi доступ обеспечивается подключенными к LAN-порту любыми точками доступа Wi-Fi, работающими в режиме "access point".
  3. Для управления радио-ресурсами (каналы, SSID и т.п.) в случае применения внешних точек доступа рекомендуется использовать Uniquity UniFi. При этом контроллер точек доступа UniFi может располагаться на сервере WNAM. На контроллере должен быть отключен "гостевой доступ"
  4. Для обеспечения надежности и безопасности обмена информацией между хотспотами и центральным узлом вашей сети требуется настроить VPN-туннели. В противном случае вам придется открыть доступ к порталу авторизации абонентов, и к RADIUS-серверу, для всего Интернета
  5. Трафик авторизации абонентов (страницы приветствия, реклама), трафик RADIUS и NetFlow будут идти до сервера WNAM в туннеле, а остальной абонентский трафик (доступ в интернет) - напрямую через локального провайдера Интернет
  6. В качестве VPN-сервера используется OpenVPN с парольной авторизацией
Для настройки площадок рекомендуется придерживаться непересекающейся схемы IP-адресации клиентских подсетей. Адресация - частная. В данном примере пусть:
Внешний (публичный) адрес сервера 1.2.3.4
Адрес туннельного интерфейса сервера - 10.1.0.255/24
Адреса туннельных интерфейсов клиентских хотспотов - 10.1.0.1 - 10.1.0.254/24
Адреса LAN-интерфейсов клиентских хотспотов - 10.1.1.1/24 - 10.1.254.1/24 соответственно. Таким образом, вы можете подключить 254 площадки оказания услуги, с внутренним адресом 10.1.N.1/24, диапазоном адресов для клиентов 10.1.N.2-10.1.N.255 и туннельным адресом 10.1.0.N

 

  • No labels