Что такое Hotspot
Hotspot — способ доступа в сеть, который применяется в аэропортах, кафе, офисах, гостиницах. Условно делится на публичные (открытые) и приватные (закрытые) способы доступа к сети.
Техническая сторона вопроса
Принцип построения такой сети сводится к тому, что клиент подключается к точке доступа, которая, в свою очередь, подключена к маршрутизатору, подключенному к сети Интернет. Подобную сеть можно реализовать на оборудовании Ubiquiti UniFi или Cisco AIR.
Контроллер точек доступа предназначен для их непосредственной настройки (актуально для моделей Ubiquity серии UniFi). В данном случае он определяет SSID (имя сети), IP-адреса точек доступа, ключ сети (если нужен) и еще некоторые параметры. После настройки точек доступа необходимость в контроллере обычно отпадает до установки следующих точек доступа либо внесения изменений в параметры беспроводной сети. Иногда контроллер, помимо своей основной функции, может использоваться как сервер DHCP, если в сети нет другой подобной службы.
Так как большинство устройств клиентов работают с частотой 2,4 ГГц, хотя сравнительно недавно начали комплектоваться модулями, работающими на частоте 5 ГГц, закупать точки доступа, работающие на других частотах, пока (!) не имеет смысла.
При выборе оборудования следует учитывать частоты, на которых оно работает — большинство производителей работают с так называемыми country-кодами. Суть кодов в том, что в прошивке (firmware) самого устройства уже прописано соответствие для законодательств страны. Одним из нюансов данной проблемы является то, что следует выбирать модели, предназначенные для международного рынка. Точки доступа с рабочей частотой 2,4 ГГц, предлагаемые только для рынка США, ограничиваются всего лишь 11 каналами, вместо доступных в России 14. Аналогичная проблема с точками доступа, работающими на частоте 5 ГГц, — некоторые частоты для некоторых стран недоступны.
При проектировании беспроводной сети следует учитывать, что передатчик в портативном пользовательском оборудовании достаточно слаб и наличие высокого уровня сигнала на устройстве пользователя (прием) еще не гарантирует качественный доступ. Для реализации «бесшовного» роуминга необходимо установить точки доступа таким образом, чтобы при падении уровня сигнала от первой точки доступа, по мере удаления от нее, уровень сигнала от второй точки повышался, при этом не следует ограничиваться только одинаковыми SSID. В идеальном случае клиентское оборудование и точки доступа должны поддерживать 802.11k или 802.11r, иначе перерегистрация на новой точке доступа может затянуться до трех секунд. Продукция компании Apple поддерживает данные протоколы начиная с 2011 года.
Следует отметить, что оборудование серии UniFi комплектуется POE-адаптерами. Возможна также установка POE-коммутатора этого же производителя. Поскольку питание POE не имеет четкой стандартизации, следует с осторожностью выбирать замену вышедшим из строя элементам питания. Кроме того, оборудование чувствительно к скачкам напряжения в электросети, так что следует задуматься о защите.
Правовая сторона вопроса
По российскому законодательству анонимный доступ к сети Интернет запрещен, следовательно, владельцы публичных точек доступа должны регистрировать клиентов. Операторы большой четверки, а также магистральные провайдеры (ТТК и Ростелеком), предоставляя подобную услугу, скажем, в аэропортах, просят провести верификацию пользователя по номеру сотового телефона. Средние и малые провайдеры чаще всего осуществляют доступ к сети, перенаправляя пользователей на страницу аутентификации, где после ввода логина и пароля они получают доступ к глобальной сети (зачастую доступ предоставляется только собственным клиентам).
В настоящее время, благодаря многофункциональным системам контроля трафика, таким как СКАТ DPI от VAS Experts, даже малый и средний операторский бизнес может реализовать авторизацию по номеру телефона и тем самым выполнить требования законодательства РФ.
Кроме этого, есть еще одно существенное ограничение, связанное непосредственно с регистрацией точек доступа. Точки доступа, работающие на частоте 2,4 ГГц и мощностью до 100 мВт, регистрируются в Роскомнадзоре. Точки доступа мощностью свыше 100 мВт, а также все точки доступа, работающие на частоте 5 ГГц, подлежат процедуре электромагнитной совместимости в ГРЧЦ. Однако есть расплывчатое объяснение, что если точка доступа установлена внутри здания и не влияет на сторонние коммуникации, такое использование допускается.
Пример реализации авторизации в Wi-Fi на СКАТ DPI
ООО «Домашние компьютерные сети» является интернет-провайдером в Твери и Тверской области. Предоставляет услуги доступа в сеть Интернет, выделенные каналы связи, доступ в сеть в публичных местах и трансляцию IP TV.
Система СКАТ DPI используется провайдером для ограничения полосы и разметки трафика по классам, фильтрации по спискам РКН, а также для управления доступом абонентов в сеть с переадресацией на страницу-заглушку.
Для функционирования схемы авторизации Wi-Fi на СКАТ DPI добавлены профили:
fdpi_ctrl load profile —service 5 —profile.name stop —profile.json ‘{ «url_list»: «/var/lib/dpi/whlist.bin», «cn_list»: «/var/lib/dpi/whlistcn.bin», «ip_list»: «/var/lib/dpi/whlistip.bin», «redirect»: «myhost.local/stop» }’ fdpi_ctrl load profile —service 5 —profile.name wifi_redirect —profile.json ‘{ «url_list»: «/var/lib/dpi/white_url_wifi.bin», «cn_list»: «white_cn_wifi.bin», «ip_list»: «/var/lib/dpi/white_ip_wifi.bin», «redirect»: «myhost.local/wifi_auth» }’ fdpi_ctrl load profile —policing /etc/dpi/cfg/rateplans/wifi.cfg —profile.name wifi fdpi_ctrl load profile —policing /etc/dpi/cfg/rateplans/wifi_abonent.cfg —profile.name wifi_abonent
Профиль stop используется для блокировки абонентов, применяется для всех абонентов, не только для Wi-Fi. Профиль wifi_redirect переадресует абонентов на Captive Portal. Профили wifi и wifi_abonent — для ограничения полосы пропускания абонентов.
Управление доступом абонентов из публичных мест осуществляется программным обеспечением собственной разработки интернет-провайдера. ПО имеет веб-интерфейс, в котором можно добавлять организации. На каждую организацию выделяется подсеть. При добавлении новой организации на СКАТ DPI создается:
fdpi_ctrl load —policing —profile_name stop —cidr <подсеть>/<префикс> fdpi_ctrl load —service 5 —profile_name wifi_redirect —cidr <подсеть>/<префикс>
При подключении нового клиента происходит СМС авторизация с использованием Captive Portal. После успешной авторизации выбирается профиль для ограничения полосы. Для этого телефонный номер абонента проверяется по биллинговой системе и, если такой номер найден, назначается профиль wifi_abonent, иначе wifi. Абоненты, которые пользуются услугами компании, получают большую скорость в любом публичном месте. На СКАТ DPI отправляются команды:
fdpi_ctrl load —policing —profile_name wifiили fdpi_ctrl load —policing —profile_name wifi_abonent (для «своих») fdpi_ctrl del —service 5 —ip
По истечении времени авторизации на СКАТ DPI передаются команды:
fdpi_ctrl load —policing —profile_name stop —ipfdpi_ctrl load —service 5 —profile_name wifi_redirect —ip
Взаимодействие между ПО и СКАТ DPI осуществляется через SSH.
«При внедрении СКАТ DPI не возникло никаких проблем. Большую проблему для нас представляли вопросы организационного плана: как авторизовать абонента (по звонку или SMS), время жизни авторизации и т.п. В связи с постоянно растущим количеством трафика вскоре мы планируем установку третьего сервера СКАТ DPI», — главный инженер ООО «ДКС — Регион» Андрей Синельник.
Более подробную информацию о функции авторизации пользователей Wi-Fi и других преимуществах современной системы глубокого анализа трафика СКАТ DPI, ее эффективном использовании на сетях операторов связи, а также о миграции с других платформ вы можете узнать у специалистов компании VAS Experts — разработчика и поставщика системы анализа трафика СКАТ DPI.