Статьи

О клиенте замолвим слово

Успешно завершив этап настройки всех точек доступа, мы приступили к организации рабочих клиентских мест. Испытания было решено провести с двумя беспроводными рабочими местами: стационарным компьютером (использовался беспроводный адаптер с разъемом USB) и ноутбуком, в который по очереди вставлялись две беспроводных карточки — D-Link AirPlus DWL-G650 и Asus WL-106gM.

Заметим, что концепция развертывания сети хотспота все же отлична от концепции построения беспроводной офисной сети и должна учитывать выполнение трех главных условий:

Хотспот должен работать с различными комбинациями программно-аппаратного обеспечения всех клиентов.
Клиент не должен вносить какие-либо коррекции в настройки и тратить свое время на конфигурирование сетевых настроек; в тоже же время его компьютер необходимо защитить от возможных злонамеренных действий других пользователей.
Клиент должен свободно перемещаться по всей зоне покрытия хотспота.

Для выполнения первого требования должна быть включена широковещательная рассылка оповещений идентификатора сети (ESSID), дабы клиент смог легко найти беспроводную сеть и подключиться к ней. Парадоксально, но и защищенные протоколы WPA/WPA2 здесь не применимы: ведь не все клиентские беспроводные адаптеры их поддерживают. Нельзя применить и другие средства идентификатора клиента по MAC-адресу: ведь его нужно как минимум знать или уметь найти. Поэтому главная задача, которая ставится перед хотспотом: обеспечить простое и прозрачное взаимодействие с клиентом без дополнительной настройки и установки вспомогательного программного обеспечения. И такую задачу можно решить, если предположить, что идентификация пользователя будет происходить в окне обычного вэб-браузера, однако для защиты сессии будет использоваться шифрованный протокол SSL.

Решить вторую задачу также достаточно просто: точка доступа хотспота (либо шлюз, как в решении D-Link) должна выступать в роли DHCP-сервера, позволяющего автоматически перераспределять адресное пространство подсети между клиентами и присваивать каждому из них IP-адрес.

Для решения третьей задачи требуется использовать между точками доступа протокола хендовера. Однако в свое время он не был включен в стандарты IEEE 802.11 и не являлся обязательным. Поэтому долгое время каждая компания-производитель разрабатывала собственные стандарты хендовера, которые можно было задействовать лишь в рамках собственного решения. Для решения этой проблемы был разработан протокол IEEE 802.11f, который стандартизировал процедуру передачи информации о клиенте при его перемещении от одной точки доступа к другой.

Тестирование биллинга

Как было замечено выше, хотспот должен обеспечивать простую и доступную аутентификацию пользователя и биллинг. Однако мнения компаний-производителей, участвовавших в этом тестировании, разделились.

Так, хотспоты Asus и Linksys используют систему удаленного биллинга Sputnik. Для ее установки администратору требуется скачать с вэб-страницы http://www.sputnik.com/products/apf.html специальную версию «прошивки» (firmware), которая содержит в своем составе Sputnik Agent (рис. 12). Эта утилита тесно интегрирована во внутреннее меню вэб-интерфейса устройства и представляет собой оболочку для системы удаленного биллинга. Локальному администратору требуется ввести IP-адреса основного и резервного Radius-серверов, IP-адрес DNS-сервера, указать ссылку на вэб-страницу для аутентификации пользователя, известный заранее ключ (Shared Key), DHCP-интерфейс (LAN, WAN или LAN&WAN) и идентификатор сервера сетевого доступа (NAS) Radius-сервера.

Далее следует установить защищенный канал передачи между удаленной системой биллинга и локальным маршрутизатором, по которому и передается оперативная информация о подключенных пользователях и времени, которое они провели в Интернете. В результате мы можем контролировать тарификацию клиентов хотспота.

На базе этого сервиса можно создать и централизованный биллинг, позволяющий управлять несколькими хотспотами — все это выполняется с помощью программного продукта Sputnik Control Center.

Однако сервис этот платный (!). Так, за лицензию на 50 пользователей, которые одновременно подключены к устройству, придется заплатить $299, а на 150 пользователей стоимость уже будет составлять $599, после чего ежемесячно за использование сервиса платится $19,95 и $49,95 соответственно. Поэтому данный сервис проверить в работе так и не довелось L.

Вторым вариантом является локальный биллинг. В решениях D-Link и ZyXEL имеется встроенная система тарификации. Оба решения поддерживают как статическую, так и динамическую генерацию учетных записей пользователей (или «аккаунтов»).

Статическая генерация подразумевает доступ к Интернету постоянных пользователей, которыми могут быть сотрудники компании, динамическая же предназначена для гостей (что актуально при проведении конференций и деловых встреч) либо клиентов Интернет-кафе или гостиниц.

В первом случае пользователей добавляет администратор, которому требуется внести имя пользователя, его пароль, а также MAC-адрес машины. Логично, что для большого числа временных пользователей такой способ не подходит априори: малое время жизни учетной записи требует много времени на ее создание и слежение за удалением.

Во втором случае используется динамическое создание учетной записи. Для этого к устройству ZyXEL G-4100 EE либо D-Link DSA-3100 подключаются специальные принтеры, поставляемые вместе с этими решениями, где имеют одну (для D-Link) либо три кнопки (ZyXEL), при нажатии на которые будет создана временная учетная запись пользователя со случайным именем и паролем. Вот такое чудо света.

Решение от ZyXEL предусматривает два вида тарификации — оплата времени, проведенного в сети (Post-Paid) и предоплата за фиксированное время (Pre-Paid). База пользователей позволяет создавать до 512 учетных записей, при этом из них одновременно активизированы в сети могут быть только 24.

Тарифный план Post-Paid (раздел Keypad) предусматривает оплату времени использования услуги. Для того чтобы задействовать эту услугу в полной мере, в процессе тестирования нам довелось использовать обычную внешнюю клавиатуру с интерфейсом PS/2, которая была подключена непосредственно к принтеру.

Зайдя через вэб-интерфейс на страницу настройки Advanced => Billing, включаем режим Post-Paid (рис. 13). Затем, перейдя на страницу Keypad, создаем собственно тарифный план, который и будет показан клиентам. Интересно, что здесь предусмотрена еще и система накопительных скидок. Например, если клиент отработал один час, то ему потребуется заплатить $1; за 3 часа — $2; за 6 часов — $4 и т.д. (рис. 14).

После этого работу по конфигурированию системы тарификации можно считать завершенной и переходить непосредственно к предоставлению услуги беспроводного доступа. Для создания временной учетной записи нажимаем на внешней клавиатуре, подключенной к принтеру, клавишу Enter и получаем распечатанный чек, содержащий идентификатор беспроводной сети (ESSID), серийный номер, имя пользователя и пароль, а также некоторую дополнительную информацию. Одновременно с этим в базе пользователей хотспота создается новая учетная запись с этими же данными. Далее мы открываем ноутбук и включаем поиск беспроводных сетей. Отметим, что все настройки на стороне клиента должны быть установлены в автоматический режим. Находим в списке сеть, имеющую такой же ESSID, который указан в чеке, и подключаемся к этой сети. Далее запускаем браузер и пытаемся зайти на любую вэб-страницу. Хотспот автоматически выполняет переадресацию на страницу аутентификации. Здесь потребуется лишь ввести имя и пароль, указанные на чеке. Если процедура завершилась успешно, получаем доступ в Интернет!

После того, как сеанс завершен, отключаемся от беспроводной сети. Теперь требуется расплатиться за оказанную услугу. Подходим к хотспоту и набираем на внешней клавиатуре символ «*», затем — серийный номер чека, указанный на нем (например, 00005), и нажимаем клавишу Enter. Принтер распечатывает чек, в котором отмечено время, проведенное в сети, а также сумма, которую надо заплатить. В реальной жизни подходить к принтеру будет, конечно, администратор. Второй вариант Pre-Paid (предоплаченная услуга) подразумевает предоставление абоненту фиксированного времени нахождения в Интернете по предоплате. Для этого, зайдя на страницу Advanced => Billing, активизируем функцию Pre-Paid. Здесь же можно создать 10 различных планов тарификации (рис. 15), а также указать, является ли учетная запись одноразовой (в этом случае пользователю разрешается только один раз войти в Интернет — Time to finish) либо многоразовой (количество сеансов не ограничено; лимитируется лишь общее время работы в сети — accumulation).

После того, как мы создали тарифные планы, нам потребуется указать, какой клавише быстрого вызова, расположенной непосредственно на термопринтере, какой тариф соответствует. Для настройки трех клавиш (A, B, C) принтера (рис. 16), расположенных непосредственно на его передней панели, требуется зайти на вкладку Advanced => Accounting и в подразделе Tree-Button Printer указать, какой из клавиш будет соответствовать выбранный тарифный план. Например, во время тестирования, на кнопки принтера были назначены: A — выдача чеков на 30 минут; B — 1 час; C — 2 часа. Теперь просто нажимаем нужную клавишу и получаем доступ в Интернет.

Однако нам показалось этого мало – ведь у нас 10 планов, а применяется всего три из них. Как оказалось, G-4100 позволяет задействовать клавиши ещё и на внешней клавиатуре. Для этого, надо перейти на вкладку Advanced => Keypad и назначить на каждую из десяти клавиш цифрового блока клавиатуры свой тарифный план. Теперь для выдачи чека (и, соответственно, автоматического создания учётной записи) следует нажать на внешней клавиатуре «+», затем клавишу с цифрой, соответствующей номеру тарифного плана и подтвердить выбор клавишей Enter. После аутентификации видим всплывающее окно, отображающее обратный отсчет времени, которое осталось для конца пользования этой услугой.

Отметим также, что все надписи на чеках (рис. 17) можно изменить на вкладке Customization, задав атрибутику собственной компании. Также можно настроить ограничение скорости работы клиентов (Bandwidth), избегая ситуации, когда один из пользователей будет скачивать большой поток данных. Можно также задать принудительную переадресацию клиента (сразу после его авторизации в системе) на собственный вэб-сайт либо разрешить доступ анонимным пользователям к некоторым ресурсам без аутентификации (walled garden – «ограждённый сад»), например, к страничке с тарифами.

Решение от D-Link поддерживает только биллинг Pre-Paid, позволяя создавать до 250 учётных записей и одновременно тарифицировать до 50 пользователей, находящихся в сети. Настройка сервиса управления учётными записями доступна на странице Home => User Mana ger шлюза DSA -3100, где задаётся список всех пользователей, которым разрешён доступ в Интернет (рис. 18).

В списке определено три вида пользователей: постоянные, которые подключены к шлюзу; гости, имеющие подключение только к Интернету через WAN -порт; и пользователи услуги Pre - Paid, которые получают доступ только в Интернет, используя чек, распечатанный принтером DSA -3100 P.

Для постоянных пользователей можно ограничить полосу пропускания, а также указать часы и дни недели, когда возможен доступ.

Для гостевых подключений есть еще пункты Guest Accounts List и Guest Account ACL. В первом из них нужно задать пароли, а в качестве имен пользователей уже заданы Guest 1...10. Такая возможность полезна, когда требуется поставить некоммерческий хотспот для гостевого подключения компьютеров посетителей выставок, конференций и других мероприятий, где биллинг не требуется.

Для использования услуги Pre-Paid выбираем тип аутентификации Local. Все атрибуты чека можно настроить в пункте меню On-Demand User Configuration.

В отличие от решения ZyXEL, администратор может назначить здесь лишь один тарифный план, так как на принтере только одна кнопка для печати и не предусмотрена внешняя клавиатура. Это чревато некоторыми неудобствами, если, например, пользователь попросил 3 часа или 15 минут, а нажатие кнопки предусматривает выдачу чека всего на час. Как и в предыдущем случае, клиент получает чек, в котором указывается ESSID, Pre-Shared Key, имя пользователя и пароль (рис. 19).

< Предыдущая 1 2 3 Следующая >