Для корректной работы системы WNAM 2 необходимо создать проекты и настроить значительное число компонентов, а именно:
- устройства сетевого доступа NAS (контроллеры БЛВС для гостевого и/или корпоративного подключения, коммутаторы ЛВС, шлюзы VPN и т.п.);
- сетевую инфраструктуру, обеспечивающую подключение физических или виртуальных серверов WNAM 2;
- физические или виртуальные машины с ОС Linux для установки системы WNAM 2, СУБД и других компонентов;
- СМС-шлюзы или программные АТС для отправки идентификационной информации;
- средства мониторинга;
- средства резервного копирования.
Настоятельно рекомендуется обращаться для этой цели к системным интеграторам, имеющим опыт работы с системой WNAM. Особенно, если требуется построение сложной, нагруженной и распределенной инсталляции системы WNAM 2 для нужд корпоративной авторизации. Получить рекомендации по выбору системного интегратора можно, отправив запрос на на info@netams.com. Компания-разработчик системы WNAM 2 не может рекомендовать "идеальный" дизайн сопутствующих систем: сетевой инфраструктуры, средств виртуализации, средств обеспечения информационной безопасности, резервного копирования, доменной структуры Windows и т.п.
Приведенные ниже сценарии использования системы WNAM 2 описывают типовые задачи, которые встречаются у наших клиентов гостевой и корпоративной авторизации. Настоятельно рекомендуется придерживаться одного из следующих примеров при проектировании и развертывании системы WNAM 2.
В первую очередь, необходимо изучить сценарии работы основных способов авторизации:
...
В работе системы вы можете одновременно использовать оба сценария. А также для использования в крупной сети настоятельно рекомендуется организовать два не связанных между собой кластера систем WNAM 2, работающих в разных информационных контурах: один только для гостевой, другой только для корпоративной авторизации.
Определившись со сценарием работы, необходимо оценить число серверов, требуемых системой WNAM 2 для работы, и разнесение функций системы между этими серверами. Такая оценка опирается на следующие параметры:
...
В конечном счете, устойчивая работа системы WNAM 2 определяется нагрузкой на неё, которая напрямую связана с числом Web- и RADIUS-запросов, попадающих на систему. Рекомендуется проектировать объемы ресурсов таким образом, чтобы:
...
Если сеть соответствует характеристикам сценариев 2 или 3, но при этом требуется получить полную отказоустойчивость системы, при которой её работоспособность сохраняется при выходе из строя одного из серверов системы WNAM 2, можно использовать сценарий средней нагрузки с распределенной отказоустойчивостью.
При таком сценарии (4.1) репликация данных производится не средствами кластера СУБД PostgreSQL, а путем пересылки информационных сообщений между двумя разрозненными автономными инстансами (экземплярами) PostgreSQL, каждый из которых взаимодействует только с локальным экземпляром системы WNAM 2.
В таком режиме понадобится наcтроить репликацию данных средствами Kafka.
Для административного доступа в веб-интерфейс, а также для редиректа HTTP-запросов клиентов от оборудования хотспота понадобится настроить кластерный IP-адрес серверов. Кластерный IP-адрес серверов (.1 на схеме) необходимо указать в качестве единственного адреса RADIUS-сервера на оборудовании.
Если не требуется использовать гостевой доступ, можно настроить любой из двух серверов системы WNAM через веб-интерфейс, и в качестве RADUIS-сервера на используемом оборудовании указать оба IP-адреса адреса (.2 и .3 на схеме).В случае аварии любого из серверов система продолжит выполнять свои функции. Преимуществом этого сценария является отсутствие необходимости иметь общий (кластерный) IP-адрес, что возможно лишь при нахождении обоих серверов в одном сетевом сегменте. Таким образом, можно настроить два сервера авторизации системы WNAM 2, находящихся в разных сетях (разных дата-центрах или даже разных городах), сценарий 4.2:
...
В данном сценарии понадобится создать два или три (по числу имеющихся площадок ЦОД) одинаковых кластера системы WNAM 2 в составе трех серверов, каждый из которых должен иметь такие характеристики:
...
Если имеется множество (сотни) удалённых площадок (сайтов), с которыми невозможно гарантировать постоянное наличие сетевой связи как минимум с одним из ЦОД, в котором работает экземпляр системы WNAM 2, необходимо сформировать сетевую конфигурацию, при которой даже при отсутствии сетевой связности будет обеспечиваться работоспособность корпоративной авторизации. При этом допустима деградация услуги (например, увеличение длительности процесса авторизации, невозможность изменения настроек и/или просмотра статистики, невозможность обеспечить подключение новых устройств и т.п.). В таком случае, на каждой такой площадке необходимо установить специализированного агента авторизации (RADIUS-прокси/кэширующий сервер). В обычном режиме работы он прозрачно пропускает через себя запросы авторизации, маршрутизируя их в сторону доступных ЦОД с работающей системой WNAM 2. Результат авторизации сохраняется. При разрыве сетевой связности этот сервер проводит авторизацию устройств самостоятельно, пользуясь накопленными ранее данными.
...
Взаимодействие компонентов
В состав системы WNAM 2 входит значительное число системного и прикладного ПО, которое взаимодействует друг с другом в пределах одного сервера (виртуальной машины), а также между серверами. В дополнение к этому, система взаимодействует с внешним миром (сервера доступа, пользовательские устройства, администраторы) по различным протоколам стэка TPC/IP. Описание такого обмена приведено в соответствующем разделе.
Резервное копирование
Настоятельно рекомендуется настроить резервное копирование системы WNAM 2 одновременно по обоим направлениям:
...