Versions Compared

Old Version 9

changes.mady.by.user Anton Vinokurov

Saved on

compared with

New Version 10

changes.mady.by.user Anton Vinokurov

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Ключевым компонентом сети является хотспот - устройство, на котором производится перенаправление HTTP-сессии Wi-Fi пользователя абонента на внешний портал авторизации. Это может быть:

  • контроллер беспроводных точек доступа, который имеет соответствующие функции (называемые производителем hostspot/wispr/external captive portal и т.п.): Cisco WLC, Bluesocket vWLC, Ruckus, Zyxel NXC
  • маршрутизатор с функцией портала перехвата hotspot, возможно со встроенной точкой доступа: Mikrotik (модели RB951Ui-2HnD, RB951G-2HnD, RB750UP, RB2011iL-IN, RB1100AHx2 и т.п.)
  • сервер-маршрутизатор Linux, выполняющий роль шлюза по умолчанию и транслятора IP-адресов (NAT) для пользователей абонентов Wi-Fi
  • сервер-концентратор доступа BRAS, например Cisco 7200 или ASR

Вы В первую очередь, вы должны построить беспроводную сеть доступа для ваших абонентов. В случае контроллерно-управляемых точек доступа, точки должны соответствовать контроллеру. В остальных случаях можно использовать любые точки доступа. Из соображений безопасности крайне желательно разграничить сетевые сегменты открытой (публичной части), и вашей внутренней сети. Такое разграничение можно обеспечить либо на физическом уровне, либо при помощи VLAN.

...

Для идентификации через СМС сервер будет отправлять команды на отправку СМС с кодом доступа через шлюз СМС-провайдера (в настоящее время поддерживаются провайдеры SMSCWebsms.By, smstraffic, отправка через локально установленный USB GSM модем (утилита gammu) или любому провайдеру любого провайдера по протоколу SMPP v3.4 через утилиту kannel).

...

  1. Пользователь подключает свое беспроводное устройство (ноутбук, смартфон, планшет) к беспроводной сети (без авторизации), построенной на основе UniFi или иного радио-оборудования, получает IP-адрес от маршрутизатора (DHCP).
  2. Пользователь открывает какую-либо страницу в сети Интернет (либо его устройство само открывает страницу).
  3. Маршрутизатор или контроллер (компонент HotSpot) считает сессию пользователя "неавторизованной" и производит перенаправление сессии пользователя "на себя".
  4. HotSpot отображает пользователю собственную страницу авторизации (например, rlogin.html (html для Mikrotik). Указанная страница (шаблон) должны быть предварительно загружена в маршрутизатор, и в ней указана автоматическая отправка формы на внешний сервер WNAM. Производители контроллерно-управляемого радио-оборудования имеют такую функцию в настройках контроллера.
  5. Форма содержит ссылку на встроенный в WNAM веб-сервер, который показывает пользователю страницу СМС-идентификации.
  6. Пользователь вводит номер своего телефона.
  7. При получении номера телефона WNAM генерирует случайный (4 или 6-циферный) код активации, и через СМС-шлюз отправляет его на заявленный указанный телефон. Альтернативным способом является запрос пользователя отправить с этого телефона СМС на указанный вами номер - в таком случае, оплата за СМС перекладывается на абонента. 
  8. Пользователь вводит код подтверждения, при совпадении WNAM производит редирект сессии пользователя в сторону HotSpot маршрутизатора, либо открывает доступ пользователю иным способом.
  9. HotSpot производит проверку МАС-адреса пользователя путём отправки RADIUS-запроса серверу WNAM
  10. RADIUS-сервер, получив запрос на авторизацию, через Perl-модуль wnam-freeradius-bridge.pl передает в WNAM запрос на авторизацию (MAC-адрес абонентского устройства пользователя, идентификаторы площадки, текущий IP-адрес и т.п.).
  11. WNAM авторизует любое такое обращение, создает в своей базе учётную запись абонента (пользователя) по МАС-адресу (если такого адреса ещё не было), возвращает ответ RADIUS-серверу
  12. RADIUS-сервер возвращает ответ маршрутизатору, тот авторизует на своем портале HotSpot сессию пользователя, открывая ему доступ в Internet. Одновременно с этим отправляет RADIUS-серверу запрос начала сессии (Accounting-Start).
  13. RADIUS-сервер транслирует запрос начала учёта сессии в WNAM, тот создаёт запись о новой сессии. Периодически получая сообщения о статусе сессии, WNAM ведет статистику о переданном абонентом трафике.
  14. При настройке на маршрутизаторе или контроллере отправки детальных сведений о трафике абонента в сторону WNAM производится привязка получаемой статистики к текущей сессии абонента, и хранение её в базе данных для возможного последующего розыска абонента.
  15. По завершении сессии (тайм-аут) сессий закрывается, а пользователь, если ещё не отключился и активен, снова перенаправляется снова на страницу подтверждения.

На один номер телефона можно привязать несколько устройств (МАС-адресов), в том числе тех, которые не имеют SIM-карты. Время жизни такой авторизации определяется в параметрах (меню "Конфигурация" - "Общие настройки" - "Параметры активации по SMSАвторизация" - "Длительность авторизации телефонного номера"), либо в индивидуальных настройках площадки. рекомендуется выставлять это время в 180 дней. При повторных подключениях того же пользователя, если с момента авторизации не прошло указанное выше время, производится безусловная (без подтверждений и СМС) авторизация сессии.

Настройки административного интерфейса WNAM позволяют установить содержимое страниц, отображаемых абонентам при первоначальном подключении (авторизации) и при каждом последующем подключении к сети. Помимо демонстрации рекламных материалов, формы согласия с условиями предоставления услуги возможно безусловно перенаправлять HTTP-сессию абонента на указанный вами сайт. Во всех случаях проиводится учёт числа показов и переходов по страницам каждого из типов, с возможностью получить детальную статистику в административном интерфейсе WNAM.

При поступлении запроса от вышестоящего провайдера или компетентных органов о сведениях об абоненте, посетившем определенный ресурс в сети Интернет в заданный промежуток времени, WNAM позволяет при помощи простой формы запроса получить информацию о потоках трафика, сессиях, параметрах абонента, вплоть до его номера телефона, и выгрузить все эти сведения в файл для предоставления запрашивающим.