Система предоставления услуг беспроводного доступа Wi-Fi с использованием SMS-идентификации пользователей для операторов связи

В условиях постоянно растущего количества носимых устройств у клиентов и сотрудников компаний, и следующего за ним увеличения клиентского трафика, на первый план выходит создание беспроводных сетей, способных масштабироваться вслед за потребностями абонентов. Использование классических Wi-Fi точек доступа в крупной или распределённой сети способно свести с ума её администраторов, привести к увеличению штата обслуживающего персонала и всё равно оставить доступ к сети слабо контролируемым. Это влечёт за собой недовольство пользователей, потенциальные угрозы информационной безопасности, а после принятия последних законодательных актов – ещё и нарушение закона. Согласно подготовленным поправкам в Закон “О связи” РФ «Предоставление безвозмездного доступа к информационно-телекоммуникационной сети «Интернет» в общественных местах абонентом – юридическим лицом (абонентом – индивидуальным предпринимателем) допускается при условии заключенного договора между оператором связи и таким абонентом об идентификации пользователей услугами связи и используемого ими оконечного оборудования».

Очевидным решением проблемы масштабируемости становится использование точек доступа под управлением единого контроллера Wi-Fi сети с возможностью централизованного применения политик и мониторинга. Однако, в классических контроллерных решениях существует так называемое «бутылочное горлышко» - это сам контроллер, через который точки передают клиентский трафик. Также появляются ограничения на размещение точек — необходимо наличие канала от точки до контроллера, позволяющего передавать весь пользовательский трафик внутри защищенного туннеля с достаточной скоростью и качеством. Это влечёт за собой сложности развертывания и высокие эксплуатационные расходы. Решением становятся точки доступа с «облачным» управлением, когда контроллер управляет только работой точки и ведёт учёт, а весь трафик клиентов направляется непосредственно в сеть на месте подключения.

Платформа vWLAN (Virtual Wireless Local Area Network) разрабатывалась компанией Bluesocket c 2009 года, когда была сделана первая попытка уйти от прохождения трафика через контроллер, и сейчас готова предоставить заказчикам проверенное решение, преодолевающее все описанные недостатки классических схем и являющееся отличным предложением для организации территориально распределенной сети Wi-Fi с единым центром управления.

Принципы работы “облачного” Wi-Fi ADTRAN Bluesocket vWLAN

Концепция организации распределенного Wi-Fi — разделение трафика управления и трафика пользователей

Для реализации централизованного управления, архитектура контроллера Bluesocket vWLAN предполагает использование точек доступа как “тонких клиентов”, не хранящих на себе полную конфигурацию и управляемых с контроллера. Это позволяет сократить до нуля первоначальные настройки точки, автоматизировать развертывание сети – достаточно подключить точку в сеть с настроенным DHCP или DNS, и она самостоятельно подключится на контроллер и применит конфигурацию. Монтаж может осуществлять персонал без квалификации настройщика.

Контроллер авторизует пользователей для доступа в сеть, назначает им роли согласно применяемым к SSID политикам или по ответу от внешнего сервера авторизации — например, RADIUS, а точка применяет данные политики. Возможно до 8 SSID на каждое радио, независимые политики для каждого устройства, ограничение скорости, расписание доступа по календарю и Firewall для каждого пользователя отдельно.

Перенос плоскости данных с контроллера на точки доступа

Следующий принцип - клиентский трафик выпускается точкой в преднастроенный VLAN, с возможностью изолировать различных клиентов в различные VLAN даже в рамках одного SSID, и попадает в проводную сеть на месте подключения точки.

Это простое решение позволяет использовать в качестве контроллера сети недорогое устройство – любой x86 сервер с поддержкой виртуализации ESXi (или поставляемый отдельно выделенный сервер). Стандартный контроллер может управлять до 1500 точками доступа, а при использовании более мощной виртуальной машины vMWare ESXi, и до 5 тысяч.

Так как нет необходимости передавать данные клиентов на контроллер, точки могут находиться от него на любом расстоянии и работать за NAT или мобильной сетью, достаточно наличия IP-связности для постройки управляющего туннеля. Управляющий трафик между контроллером и точками доступа шифруется по протоколу TLS, поэтому управление может осуществляться даже через открытую сеть Интернет.

Следующее преимущество, возникающее от переноса плоскости данных к точкам доступа – повышение отказоустойчивости. При настройке контроллера в режиме High Availability 1+1, точки устанавливают связь с основным и резервным контроллерами, на которых зеркалируется любое изменение конфигурации, и, в случае отказа основного контроллера, точки бесшовно переключаются на резервный. Все настройки сети производятся на основном контроллере и автоматически зеркалируются на резервный. Подключенные к точкам клиенты НЕ ЗАМЕЧАЮТ переключения – трафик пользователей не прерывается, нет даже короткого перерыва.

Так как маршрутизация осуществляется внешним устройством, оно также может быть дублировано и гарантировать клиентский сервис (два маршрутизатора в режиме VRRP, модульный маршрутизатор с дублированием карт).

В случае пропадания связи точек с контроллером, возможно продолжение работы точки на установленный промежуток времени, или поднятие специальной Standby сети для поддержки внутриофисных коммуникаций без внешнего канала в Интернет.

Преимущества решения Bluesocket vWLAN для операторов связи

1. Архитектура

Основным преимуществом для операторов является сама архитектура решения – нет необходимости в покупке и установке на сети дорогостоящих контроллеров – они разворачиваются на инфраструктуре виртуальных машин (часто уже доступных) или на выделенном сервере начального уровня x86; не нужно организовывать дополнительный перехват трафика для нужд СОРМ и организовывать места подключения контроллеров – достаточно установить точки на существующую операторскую сеть и вывести клиентов по L2 сети на узлы связи. Точка доступа как “тонкий клиент” позволяет разворачивать сервис силами монтажных подразделений, не заботясь об обучении монтажников тонкостям настройки.

С точки зрения программной части, контроллер предлагает широкие возможности интеграции в существующую систему мониторинга, управления и авторизации, простой и понятный веб-интерфейс для быстрого обучения персонала и эффективного управления сетью.

2. Управление и мониторинг

Контроллер располагает SNMP, WEB, Syslog, API (консольно-программное управление через HTTP/XML/JSON запросы) интерфейсами для интеграции и автоматизации задач управления, встроенным email-клиентом для оповещения администраторов о наступлении указанных событий, интегрируется с RADIUS, LDAP, SIP2, HTTP-redirect в целях авторизации пользователей на внешних серверах, в т.ч. с применением RADIUS-accounting для учёта потребленного времени и трафика в биллинге.

Возможности гибкой настройки позволяют реализовывать сложные сервисные решения, где на одной точке доступа будет предоставляться одновременно несколько SSID, будет настроен корпоративный доступ с авторизацией на клиентском RADIUS/LDAP сервере, и открытая сеть для гостей, с авторизацией на внешнем каптив-портале с демонстрацией рекламы и SMS-авторизацией. При этом маршрутизацию корпоративной сети может выполнять внутренний маршрутизатор клиента, а гостевые клиенты будут обслуживаться через BRAS оператора. Точка при этом будет управляться оператором связи, а клиенту-корпоративному заказчику можно предоставить ограниченный доступ для самостоятельного управления услугами.

Разделение клиентов на контроллере

Все настройки, связанные с радио, политиками, мониторингом и учётом являются независимыми для каждого домена (Tenant), что позволяет полностью изолировать клиентские сервисы. Лицензии на точки легко перемещаются между доменами, позволяя перераспределять их между площадками и клиентами.

3. Простота и доступность

Немаловажное преимущество - простота управления сетью. Все точки доступа группируются по шаблонам, нет необходимости проводить ручную настройку каждой точки. При заведении на контроллер лицензии (по серийному номеру для каждой точки, есть массовая загрузка), точке присваивается имя и она помещается в шаблон. Шаблон указывает точке, какие использовать SSID, как работать с радио-модулями, на какую страницу авторизации перенаправлять клиентов (если это необходимо), какой использовать софт. С помощью шаблонов можно легко и быстро переконфигурировать сервис на определённой площадке или у определенного клиента, а используя API для автоматизации — и на всей операторской сети сразу.

Контроллер обеспечивает мониторинг точек в реальном времени и в случае отключения генерирует события для оповещения дежурного персонала и автоматизированных систем.

4. Лицензионная политика

Все функции точек доступа, контроллера и беспроводной сети доступны с базовой лицензией без дополнительной оплаты. Лицензии поставляются поштучно, нет необходимости в покупке пакетов лицензий. Основное назначение лицензии - привязка устройств к конкретному контроллеру. Точки не работают без лицензий и без контроллера — нет смысла в краже, лицензии предоставляются под серийные номера точек.

5. Защита инвестиций

Аппаратная часть точек доступа состоит из производительных и надежных компонентов. Модели, выпускавшиеся прежде, долгое время поддерживаются в новых версиях ПО контроллера. Так, например, точки серии 1800 появились в 2008 году, но до сих пор совместимы с актуальным релизом vWLAN. Такая политика позволяет снизить капитальные инвестиции, так как нет необходимости в частом обновлении оборудования с целью получения нового современного функционала.

Типовые услуги Wi-Fi, организуемые с помощью контроллера vWLAN

  • До 8 SSID на точке с разными типами авторизации — WPA2-PSK, WPA2-Enterprise (802.1x), WEB Captive portal (встроенный или внешний), прозрачный доступ;
  • Перенаправление на веб-портал авторизации (внешний веб-сервер или встроенный в контроллер портал);
  • Двойная авторизация — ключ SSID+внешний веб-портал;
  • Ограничение времени сессии гостевых клиентов;
  • Встроенный механизм создания гостевых учётных записей через секретарей — ограничение времени сессии и времени жизни учётной записи;
  • Перенаправление на предустановленную страницу после авторизации;
  • Демонстрация рекламы — реализуется через перенаправление на внешний сторонний веб-портал;
  • Расписание работы сети — ограничение времени работы по календарю и часам (например, понедельник-пятница с 9 до 18);
  • «белый/черный» список разрешенных/запрещенных ресурсов (при организации фильтрации запрещенных органами власти ресурсов рекомендуется фильтрация на корневых маршрутизаторах и DNS);
  • «белый/черный» список MAC-адресов с переназначением роли согласно наличию в списке;
  • Предоставление заказчику услуги ограниченного доступа к консоли управления для просмотра статистики/управления услугами, с гибким назначением прав;
  • SNMP, Syslog и E-Mail оповещение о падении-восстановлении точки и других событиях;
  • Статистика использования сети, в т.ч. тип ОС пользователей (iPhone/iPad/Android/Windows etc);
  • Обнаружение сторонних точек доступа;
  • Автоматическое изменение каналов (калибровка) в зависимости от радио-обстановки.

Перспективные услуги WiFi на оборудовании Bluesocket vWLAN

  • Подавление сторонних точек доступа;
  • Обнаружение в эфире клиентских beacon-запросов для формирования статистики перемещения абонентских устройств по территории заказчика, с экспортом через API во внешнюю систему аналитики;
  • Hotspot 2.0 — бесшовная авторизация мобильных пользователей через SIM-карты с интеграцией через оператора связи — пользователю не нужно выбирать сеть и подключаться к ней, при обнаружении сети телефон автоматически авторизуется в сети, разрешенной сотовым оператором абонента.

WNAM - внешняя система авторизации абонентов посредством SMS-сообщений, и её интеграция с решением Bluesocket vWLAN

Система WNAM является разработкой российских программистов, сочетая в себе элементы системы биллинга и рекламной площадки, основное предназначение в связке с оборудованием Wi-Fi — SMS-авторизация абонентов, ограничение их сессий и демонстрация рекламы, а также накопление и хранение статистики.

Компания НСТ совместно с разработчиками программного комплекса WNAM провела интеграцию двух решений для исполнения законодательства об обязательной идентификации операторами абонентов и предоставлению заказчикам возможности расширить спектр предоставляемых услуг поверх Wi-Fi сети.

Установка WNAM возможна как на выделенный сервер, так и на сервер виртуальной машины.

WNAM представляет собой промышленное приложение, написанное на Java, которое работает под управлением контейнера сервлетов Apache Tomcat 7.0.56. Оно является ядром всей системы и выполняет следующие функции:

  • Внешний портал перехвата веб-сессии пользователя для запроса идентификации и подтверждения входа в сеть;
  • Административный веб-интерфейс (настройка, статистика и отчёты);
  • Взаимодействие с RADIUS-клиентами (контроллером) через RADIUS-сервер;
  • Взаимодействие со службой отправки СМС-сообщений;
  • Взаимодействие с базой данных.
  • Для хранения всех данных (конфигурация, страницы портала, статистика) используется установленное на том же сервере программной обеспечение СУБД – MongoDB версии 3.0.6. Оно представляет из себя систему управления базами данных типа «NoSQL».

    Для обеспечения авторизации гостевых клиентов, а также для сбора сведений о сессиях подключившихся пользователей применяется RADIUS-сервер FreeRADIUS версии 2.2.5, настроенный на взаимодействие с контроллерами Bluesocket.

    Для обеспечения отправки идентификационных СМС-сообщений абонентам беспроводной сети используется программный пакет Kannel 1.4.3-2, получающий сформированные сообщения от WNAM через локальный интерфейс smsbox, и отправляющий их далее СМС-провайдеру smstraffic по протоколу SMPP v.3.4.

    Отказоустойчивость

    При наличии второго (резервного) сервера требуется, в первую очередь, обеспечение зеркальных настроек как WNAM, так и всех системных служб. Это производится на этапе установки второго сервера.

    Работа службы идентификации на обоих серверах одновременно в режиме active-active с распределением пользовательской нагрузки в автоматическом режиме не поддерживается.

    Работа службы идентификации на обоих серверах одновременно в режиме active-standby с автоматическим выбором активной площадки является штатным механизмом обеспечения высокой доступности.

    Общая схема сетевого взаимодействия при использовании внешнего портала SMS-авторизации WNAM совместно с Bluesocket vWLAN (captive-portal)

    Перехват первоначального клиентского обращения по протоколу HTTP с целью перенаправления на авторизацию может производиться как точкой доступа Bluesocket, так и BRAS оператора через типичную процедуру авторизации (точки Bluesocket в таком случае настраиваются как прозрачный транспорт).

    На сегодняшний день, WNAM поддерживает работу с брасами Cisco ISG, Microtik Captive portal, другими производителями профессионального Wi-Fi оборудования, начата доработка под операторское решение Alcatel-Lucent SR7750.

    Детальная схема обмена сообщениями в процессе SMS-авторизации при перенаправлении клиента от точки доступа с использованием временного IP-адреса из пула точки доступа

    Функционал системы авторизации WNAM

    Административный веб-интерфейс WNAM предоставляет удобный доступ к необходимым настройкам и статистике. Существует несколько уровней доступа для разделения ролей - организован ограниченный доступ сотрудникам спецслужб, техподдержке, отдельный интерфейс для рекламодателей. Возможно создание ролей по требованию заказчика.

    Надёжность и масштабируемость системы неоднократно проверена, в том числе, на одном из крупных распределенных проектов, где системой ежедневно пользуются 8-12 тысяч человек, а общее количество зарегистрированных пользователей перевалило за 800 тысяч.

    Стартовая страница интерфейса управления WNAM — базовая статистика

    Основные функции системы авторизации и учёта WNAM

    Основной функционал:

  • Веб-портал SMS авторизации пользователей через шлюз отправки сообщений SMPP, получения SMS от пользователей, голосовой вызов на номер пользователя;
  • База данных для хранения идентификации и статистики доступа;
  • Ограничение и запрещение доступа, если это необходимо (биллинг-функционал) — ограничение времени сессии, трафика, указанных пользователей;
  • Создание отчётности по различным критериям — объём трафика, время сессий, количество зарегистрированных пользователей, отправленных SMS, трафик-сессии по площадкам и т.д. Возможно создание и доработка отчётов под заказ;
  • Показ рекламных материалов абонентам, создание статистики рекламной кампании;
  • Таргетированная реклама (площадки, профили абонентов);
  • Идентификация через соцсети вторым этапом после SMS;
  • HTML-конструктор веб-страниц авторизации в веб-интерфейсе;
  • Возможность сбора информации Netflow;
  • Возможно подключение модуля для авторизации через единую систему госуслуг — ЕСИА (заказчику необходимо получать электронные сертификаты и регистрироваться в реестре).
  • Информация о пользователе в системе

    Настройка ограничений по площадке

    Настройка способов авторизации

    Редактор страниц

    Настройка авторизации WNAM через Cisco ISG


    Бесплатная консультация со специалистом

    *гарантируем конфиденциальность предоставленных данных
    © 2006—2018 ООО «НСТ» Главная | Карта сайта | Контакты