Сегодня мы публикуем статью, любезно предоставленную компанией "Тайле" (http://www.tayle.com/), которая является дистрибьютором сетевого оборудования. Автор статьи - Андрей Платонов, инженер информационно-технического отдела. В статье описывается построение публичной зоны беспроводного доступа в кафе, ресторане, компьютерном клубе и т. п.

Представленное решение демонстрируется на выставке "Связь-Экспокомм-2004" на стенде компании "Тайле" - павильон № 1, стенд 1514. Выставка проходит с 11 по 15 мая в Москве в выставочном центре на Красной Пресне.

Строим HOTSPOT или коммерческую сеть доступа в интернет на базе шлюза DSA-3100

С ростом популярности беспроводных сетей 802.11 a/b/g, объединённых общим названием Wi-Fi, все быстрее развивается новое направление на рынке организации услуг доступа в Интернет - создание публичных зон доступа или HOTSPOT'ов: мест, где имеется доступ к беспроводной сети. Представляем Вашему вниманию устройство, которое может стать основой такого HOTSPOT'a - D-Link DSA-3100 - шлюз, который предназначен для организации услуг доступа в Интернет, реализующий в себе биллинговую систему, средства управления публичной зоной доступа, имеющий широкие возможности по интеграции с существующими учётно-биллинговыми сиcтемами операторов связи (поддержка RADIUS, LDAP, POP3 и др.). Шлюз лёгок в управлении, функционален и будет интересен как представителям малого бизнеса, так и крупным операторам связи. Далее будут рассмотрены основные схемы построения законченных решений на основе шлюза, подробно описаны его функции, описаны сценарии взаимодействия пользователя интернет с системой на основе DSA-3100.

Техническая спецификация D-Link DSA-3100

• CPU: NS Geode GX1-300MHz
• System: 32MB SDRAM Memory
• WAN: 10/100 Ethernet controller
• Authentication: 10/100 Ethernet
• Local Network: 10/100 Ethernet
• Power: 3A/5V

Основные возможности D-Link DSA-3100

• поддержка пяти возможных механизмов аутентификации: локальная база, POP3, RADIUS, LDAP, External Server

• хранение до 250 учётных записей во внутренней базе

• поддержка до 50 on-line пользователей

• аутентификация и авторизация на основе ID/Password, которая может быть совмещена с фильтрацией MAC-адресов

• поддержка мониторинга on-line статуса пользователей, статистики использованного трафика

• возможность назначения WAN интерфейсу статического или динамического IP-адреса или использование PPPoE клиента

• назначение фиксированной полосы пропускания каждому пользователю

• встроенный настраиваемый FireWall

• возможность работы в нескольких режимах: для LAN порта - NAT и ROUTER, для AUT порта - NAT, NAT_IP_PNP, ROUTER

• встроенный DHCP сервер

• функция Pass through - прохождение VPN для клиентов PPTP, IPsec и L2TP

• возможность распечатки карточек доступа с именем, паролем и всеми необходимыми атрибутами подключения.

HOTSPOT на базе DSA-3100 и DSA-3100P

Для построения публичной зоны доступа потребуется универсальный шлюз аутентификации и контроля доступа DSA-3100, беспроводная точка доступа и ADSL-модем для подключения к внешнему каналу связи. Примечательно, что D-Link намеренно не встраивает в шлюз беспроводную часть, что делает его независимым от используемых беспроводных технологий и совместимым с любыми беспроводными точками доступа 802.11 a/b/g или BlueTouth. Беспроводные стандарты довольно быстро меняются, поэтому вложение средств в DSA-3100 - вполне оправданное решение, тем более что с выходом новых версий прошивок устройства D-Link становятся всё более и более функциональными. Традиционно програмное обеспечение D-Link бесплатно. Отсутствие беспроводной части в шлюзе делает возможным его использование и в проводных сетях.

Данное решение интересно:

• для владельцев кафе, чайных и ресторанчиков, которые хотят сделать свои заведения ещё более привлекательными, которые хотят открыть ещё одну статью доходов для своего бизнеса.

• для интернет-кафе: как правило в интернет кафе уже стоят компьютеры и используется проводная сеть, создание в интернет-кафе HOTSPOT'a значительно расширит спектр предлагаемых услуг и повысит прибыльность заведения; универсальность шлюза позволяет использовать его и в проводных сетях, он может полностью заменить собой несовершенную биллинговую систему интернет-кафе, требующую большого внимания технического персонала.

• для компьютерных клубов: создание публичной зоны доступа расширит спектр предлагаемых услуг, повысит привлекательность заведения, как следствие прибыльность. Как правило, пользователи получают доступ в интернет с компьютеров, предоставляемых самим заведением, часто на них стоит строго определённый набор утилит, программное обеспечение, блокирующее часть функций операционной системы, отсутствуют дисководы, что не позволяет сохранить найденную информацию - все эти меры предпринимаются для обеспечения безопасности сети клуба и исключения целого ряда проблем, связанных с действиями недобросовестных пользователей. Использование DSA-3100 позволит создать беспроводную VIP зону, в которой пользователи будут подключатся к интернету при помощи своих ноутбуков и Palm-компьютеров, работая в привычном для себя окружении.

• для гостиничных комплексов: если в гостинице нет развитой сетевой инфраструктуры - сетевой розетки в каждом номере, то беспроводная сеть с сервером аутентификации на базе DSA-3100 - это идеальное решение для такого случая. Минимальные вложения в инсталляцию беспроводной сети, не требующую прокладки большого количества проводных коммуникаций, коробных каналов, которые могут отрицательно повлиять на гостиничный интерьер, наряду с универсальностью и простотой эксплуатации шлюза аутентификации позволят в кратчайшие сроки развернуть дополнительный прибыльный сервис.

• для домашних сетей: если в домашней сети для разделения высокоскоростного подключения к интернет используется сложный и несовершенный программный прокси-сервер, несовершенная система статистики, то DSA-3100 полностью заменит собой это неповоротливое нагромождение программно-аппаратных средств, значительно упростив администрирование сети. Встроенный в шлюз шейпер трафика, позволит легко назначить каждому пользователю сети фиксированную полосу пропускания для доступа в интернет.

После подключения к консольному порту DSA-3100 принтера DSA-3100P становится возможным создавать локальную базу учётных записей пользователей прямо на лету (до 2000 акаунтов(!)) и распечатывать эти учётные записи в виде карточек-чеков с параметрами подключения, именем пользователя, паролем и другими атрибутами, которые настраиваются в DSA-3100.

Обслуживание посетителей HOTSPOT'а становится простым и непринуждённым - не нужно заботится о дополнительных расходах на технический персонал, занимающийся администрированием и обслуживанием сложной системы контроля доступа в интернет: распечатать карточку доступа и принять платёж от посетителя HOTSPOT'a сможет даже простой кассир.

После распечатки карточки-чека DSA-3100 автоматически активизирует распечатанный аккаунт, учитывает время доступа, следит за окончанием срока действия аккаунта.

Сценарий взаимодействия пользователя с системой

Постараюсь кратко описать процесс взаимодействия пользователя с системой (подразумевается HOTSPOT), построенной на основе DSA-3100 и DSA-3100P. Предположим, что наш HOTSPOT построен в кафе. Предположим также, что в нём развёрнута небольшая беспроводная сеть на основе нескольких универсальных точек доступа DWL-7000AP 802.11 a/b/g, которые объединены проводной сетью, покрывают всю территорию кафе и подключены к DSA-3100. В кафе приходит выделенный ADSL-канал.

1. Итак, наш пользователь со своим ноутбуком или Palm-компьютером, снабженным беспроводным адаптером любого стандарта (a/b/g) заходит к нам в кафе, подходит к стойке и заказывает, например, что-нибудь выпить и 60 минут доступа в интернет. Кассир или бармен пробивает ему при помощи принтера DSA-3100P чек-карточку доступа в интернет, в которой указаны все атрибуты беспроводного соединения, включая имя и пароль пользователя, а также время, до наступления которого необходимо использовать карточку. В момент распечатки аккаунта, он автоматически создается в специальной локальной базе DSA-3100, которая называется "on-demand users".

Примечание: в принципе, не обязательно чтобы у пользователя был с собой беспроводной адаптер, можно, например, выдать беспроводной адаптер напрокат.

2. Пользователь садится за столик, включает свой ноутбук (или Palm), подключается к беспроводной сети кафе. Встроенный в шлюз DHCP-сервер автоматически назначает ему IP-адрес и другие атрибуты сетевого соединения. Пользователь запускает Internet Explorer (или другой браузер), начинается автозагрузка домашней страницы. Браузер отправляет в интернет http-запрос с адресом домашней страницы, DSA-3100 перехватывает этот запрос и в ответ выдаёт страницу аутентификации, которая содержит форму для ввода имени и пароля.

Примечательно, что данное HTTP-соединение защищено протоколом SSL, что исключает возможность перехвата открытого POST-запроса и не требует установки дополнительного ПО для выполнения защищённой аутентификации.

Пользователь вводит имя и пароль, которые записаны на карточке доступа, и после успешной аутентификации, DSA-3100 автоматически перенаправляет пользователя на заданную в его настройках страницу (например веб-сайт нашего кафе - www.our-cafe.ru), независимо от того, какая страница установлена в его браузере в качестве домашней. С этого момента начинается отсчёт времени.

В случае если пользователь захочет воспользоваться почтовыми службами или другими электронными сервисами, ему не придётся их перенастраивать, т. к. DSA-3100 поддерживает функцию PORT & IP redirect, что позволяет с лёгкостью обслуживать мобильных пользователей с различными настройками.

3. После того как оплаченное время доступа или срок действия аккаунта заканчивается, DSA-3100 автоматически закрывает доступ. Если пользователь хочет завершить сеанс самостоятельно, то он может либо просто отключится от сети, при этом сессия завершится автоматически через определённый промежуток времени, который задаётся в настройках шлюза, либо зайти на LogOut Page, которая автоматически подгружается после успешной аутентификации, и завершить сеанс немедленно.

Маcштабируемость решений на базе DSA-3100

Имеется возможность создания сети публичных хотспотов на базе DSA-3100, которые объединяются в единый комплекс при помощи центра управления и расчетов: на наш взгляд это очень привлекательная архитектура, которая будет интересна средним и крупным провайдерам, а также операторам мобильной связи. Поддержка различных вариантов аутентификации и широкие возможности по сбору статистики открывают большие возможности по интеграции решений на основе DSA-3100 в существующие биллинговые системы операторов связи.

Не обязательно в данном случае понимать HOTSPOT как беспроводную сеть, привязанную к какому-либо обьекту, для которого характерно скопление потенциальных беспроводных пользователей (кафе, гостиница и т. д.), им может быть небольшая сота беспроводной сети, развернутой в пределах города с расчетной максимальной нагрузкой до 50 пользователей.

При этом сценарий взаимодействия пользователя с сетью будет выглядеть следующим образом:

1. Точки доступа в каждой соте открыты для подключения (т.е. отключено шифрование и фильтрация по MAC-адресам) и настроены таким образом, чтобы блокировать трафик между станциями соты.

2. Пользователь легко подключается к беспроводной сети, вводит в браузере адрес какого-либо сайта, DSA-3100 перехватывает http-запрос и выдаёт страницу аутентификации. Пользователь проходит аутентификацию и автоматически перенаправляется на заданную страницу, например сайт оператора, после чего начинает спокойно работать в интернете.

3. Уникальным индентификатором пользователя в данном случае будут выступать его имя и пароль, хранящиеся в общей базе данных, на взаимодействие с которой настроены все шлюзы используемые в сети. Централизованная система аутентификации позволит легко подключатся к беспроводной сети в любой области покрытия.

4. Логично было бы создать какие-либо механизмы пополнения пользовательского счёта через сайт оператора и задать в шлюзах адрес этого сайта в качестве FreeSurfingArea (адрес открытый для свободного просмотра пользователям не прошедшим аутентификацию). Т.е., если доступ в интернет для пользователя закрыт, то он в любом случае может зайти на сайт оператора и пополнить свой счёт.

Данный вариант взаимодействия с сетью является одним из многих возможных. Функциональность шлюза позволяет реализовать довольно большой набор различных моделей построения сети. Следует отметить, что DSA-3100 - это первое устройство подобного класса, предложенное D-Link, не за горами появление более мощных моделей поддерживающих одновременно до 400 (!) on-line пользователей. Основным и, пожалуй, единственным недостатком DSA-3100, точнее его текущей версии ПО, является реализация всего лишь одной биллинговой модели - тарификация по времени, однако не исключено что будет реализована и биллинговая модель с тарификацией по трафику, наиболее предпочтительная для большинства российских коммерческих сетей.

Пожалуйста, присылайте вопросы, пожелания, предложения, замечания. Делитесь своим опытом. Все Ваши письма, которые попадут в мой почтовый ящик, будут прочитаны. На некоторые письма будут даны ответы лично или через рассылку. Если Вы не хотите, чтобы Ваше письмо (или его часть) попало в рассылку, дайте запрет на публикацию.