Варианты построения сети хотспота

Как уже было сказано ранее, чтобы управлять доступом клиентов в интернет, между ними и интернетом на сервере хотспота устанавливается контроллер доступа Chillispot. Иными словами, сеть должна быть построена таким образом, чтобы трафик клиентов проходил через Chillispot. И, что немаловажно (чем именно - будет показано ниже), Chillispot - это ЕДИНСТВЕННОЕ, что находится между клиентами хотспота и интернетом!

В самом простейшем случае, подключение выполняется следующим образом:

  • первой сетевой платой (WAN-интерфейсом) сервер хотспота подключается к интернету;
  • Chillispot работает на самом сервере, управляя при этом второй сетевой платой
  • ко второй сетевой плате сервера (LAN-интерфейсу) подключается беспроводная точка доступа на которую подключаются клиенты хотспота;

Но как быть, если одной точки доступа недостаточно для покрытия обслуживаемой зоны?

Вариант № 1

Hotspor_var1

Собственно, данный вариант является "логическим продолжением" все того же "простейшего случая". Как видно с рисунка, контроллер доступа Chillispot все так же запущен непосредственно на самом сервере, и весь трафик клиентов по прежнему идет непосредственно через сам сервер хотспота. К выходу сервера подключается обычный неуправляемый свич, а к его выходам - любое необходимое вам число точек доступа.

ВАЖНОЕ ОБСТОЯТЕЛЬСТВО для данного "Варианта №1", равно как и для "простейшего случая" - ВЫ АБСОЛЮТНО СВОБОДНЫ В ВЫБОРЕ ТОЧЕК ДОСТУПА (РОУТЕРОВ), И ПРИ ЭТОМ НЕТ НЕОБХОДИМОСТИ ПЕРЕПРОШИВАТЬ ТОЧКИ ДОСТУПА (РОУТЕРЫ) АЛЬТЕРНАТИВНЫМИ ПРОШИВКАМИ (МОГУТ ИСПОЛЬЗОВАТЬСЯ ЗАВОДСКИЕ ПРОШИВКИ)!

Что важно учесть при таком построении сети? Два обстоятельства:

  • Во первых, как уже было сказано, ВЕСЬ трафик ВСЕХ клиентов идет через сервер. А так как контроллер доступа Chillispot - это програмный NAS (Network Access Server - Сервер доступа к интернету), то его производительность напрямую зависит от производительности сервера, на котором он установлен. То есть, для того, чтобы сервер хотспота смог обслуживать большое число клиентов на высокой скорости, на нем должен быть установлен достаточно производительный процессор. 
  • И второе правило, которое никак нельзя нарушить: контроллер доступа Chilllispot ДОЛЖЕН работать с клиентскими компьютерами только НАПРЯМУЮ. То есть, между выходом Chillispot, и компьютерами клиентов хотспота НЕ ДОЛЖНО быть никакого оборудования, использующего функции, либо манипулирующие сетевыми адресами, либо вставляющими куда не попадя свои собственные mac-адреса. Т.е. NAT, Firewall, Masquerade, WiFi-bridge и тп. - их использовать НЕЛЬЗЯ! И если вы хотите чтобы точек доступа было много, то в таком случае, как и показано на рисунке выше, к выходу сервера вы должны подключить простой неуправляемый свитч, а к его выходам — такие же простые неуправляемые точки доступа. И никак иначе! В противном случае будут ошибки, при которых компьютеры клиентов  IP-адреса от Chillispot получать БУДУТ, но авторизоваться НЕ СМОГУТ. И если в таком случае проанализировать логи системы, то можно будет увидеть, что в процессе авторизации будут участвовать mac-адреса «транзитного» оборудования, а вовсе не клиентских компьютеров. И как результат — полное отсутствие страницы авторизации.

А что же делать, если все-таки необходимо использовать например wi-fi канал для прохождения какого-то участка и т.п. При такой организации сети единственный приемлемый вариант — это использование WDS. То есть, на «транзитном куске» устанавливаются две точки wi-fi, настроенные в режиме WDS, и как следствие, представляющие собой «виртуальный кусок Ethernrt-кабеля в отсутствие самого кабеля». Но что делать, если такой вариант неприемлем? Или, что делать, если хочется организовать несколько хотспотов?.

"Лирическое отступление"

Как уже было сказано ранее, сервер хотспота:

  • в своей работе использует взаимодействие различных служб (серверов), образующих некую модульную структуру.
  • эти службы не обязательно должны располагаться на одном компьютере.
  • некоторых служб в системе может быть, скажем так, «больше чем одна».
  • между клиентами и интернетом находится лишь один модуль (служба) - контроллер доступа Chillispot

Что нам все это дает? Еще раз посмотрим на рисунок в статье про взаимодействие служб хотспота. Повторяюсь "в тысячный раз" – между клиентами и интернетом находится лишь один сервер (служба) – контроллер доступа Chillispot. А теперь давайте все остальные службы, показанные на этом рисунке, условно объединим «в одно целое» и назовем все это «сервером биллинга». В итоге мы плавно подходим к ответу на вопрос «А как сделать несколько хотспотов с единым управлением?». Ответ прост - чтобы реализовать такую схему

  • Нужно установить где-то один единственный такой «сервер биллинга»;
  • плюс, в местах предполагаемых хотспотов между клиентами и интенрнетом каким-то образом разместить контроллеры доступа Chillispot!

После этого настраиваем взаимодействие Chillispot-ов с службой RADIUS «сервера биллинга», И ВСЁ! Причем, территориально «сервер биллинга» и эти «контроллеры» могут быть разнесены между собой хоть и по всему миру!

Лирическое отступление №2" - зачем "шить" роутеры?

Как уже было сказано выше, для построения "распределенной" сети нам нужно сделать так, чтобы в месте размещения каждого хотспота между интернетом и клиентами хотспота был установлен контроллер доступа Chillispot. Если мы посмотрим на блок-схему начинки "обычного" SOHO-роутера, то она выглядит следующим образом:

Блок-схема роутера с заводской прошивкой

"Самое грустное", что мы видим - это то обстоятельство, что в заводских прошивках роутеров НИКАКИХ ТАКИХ Chillispot-ов НЕТ! И как быть в таком случае?

Ответ на этот вопрос существует. Его предоставляют такие фирмы как DD-WRT и OpenWRT. Они выпускают альтернативные прошивки для очень широкого модельного ряда роутеров самых различных изготовителей. Самым важным для нашей ситуации обстоятельством является тот факт, что в этих прошивках встроен (в DD-WRT) или может быть доустановлен (в OpenWRT) контроллер доступа Chillispot! В итоге, блок-схема роутера, перешитого такой альтернативной прошивкой, приобретает несколько иной вид:

Блок-схема роутера с альтернативной прошивкой

И в данном случае, наше условие выполнено - Chillispot находится как раз на пути клиентов к интернету!

  • ВАЖНОЕ УТОЧНЕНИЕ!!! Не требуется перепрошивка роутерам фирмы Mikrotik - в используемой в них Router OS уже присутствует собственная реализация хотспота (Hotspot). Для работы в составе описанных ниже распределенных систем с использованием биллинга Easyhotspot нужно во первых, включить в этих роутерах хотспот, и во вторых, настроить их на работу с внешним сервером RADIUS.

Ну вот мы и разобрались со всеми "лирическими отступлениями". И теперь готовы к тому, чтобы наконец-то рассмотреть …

Вариант №2

Hotspor_var2

Как видно из рисунка, отличия заключаются в том, что

  • клиентов обслуживают уже не точки доступа, а маршрутизаторы;
  • эти маршрутизаторы подключаются не к серверу хотспота (напрямую или через свитч), а к тому модему (или маршрутизатору), который организует доступ в интернет для всей сети организации.

Чтобы сохранить функцию хотспота, в таком случае контроллер доступа Chillispot переносится непосредственно в сами маршрутизаторы. Для этого маршрутизаторы, организующие зоны хотспота, прошиваются альтернативными прошивками, в которых встроен Chillispot (примером могут служить прошивки от dd-wrt, в которых Chillispot уже встроен, либо прошивки от open-wrt, где по умолчанию Chillispot отсутствует, но может быть добавлен при помощи механизма т.н. optware-пакетов). При этом Chillispot роутера настраивается на работу с внешним сервером RADIUS.Пример перепрошивки и настройки встроенного Chillispot-а маршрутизатора рассмотрен мной в блоге в заметке «Прошивка роутера D’link DIR-320 под хотспот».

Сам сервер хотспота при этом выполняет только лишь функции биллинга и сервера RADIUS. При таком построении, доступ в интернет клиентам предоставляют непосредственно сами (перепрошитые) маршрутизаторы. А чтобы знать кого в интернет пускать, а кого не пускать, chillispot из прошивок маршрутизаторов настраивается таким образом, что он взаимодействует с сервером RADIUS, запущеном на сервере хотспота (биллинга).

Дополнительной особенностью данной схемы является еще и тот факт, что трафик клиентов не проходит сквозь сам сервер хотспота, что снижает требования к его производительности (т.к. Chillispot - это програмный контроллер доступа, и его пропускная способность зависит от быстродействия компьютера).

СПЕЦИАЛЬНО АКЦЕНТИРУЮ ВАШЕ ВНИМАНИЕ - для "Варианта №2", ВАМ БУДЕТ НЕОБХОДИМО ПЕРЕПРОШИВАТЬ РОУТЕРЫ АЛЬТЕРНАТИВНЫМИ ПРОШИВКАМИ!! Исключение составляют роутеры ф. Mikrotik (в них хотспот может быть настроен на заводской прошивке)!

Ну и напоследок вариант №3

Вариант №з

При просмотре второго рисунка у вас не возникало вопроса — а что там делает устройство подписанное как «Модем или маршрутизатор»? Ведь обслуживающие клиентов устройства — тоже маршрутизаторы. То есть, они сами в состоянии выполнять авторизацию у провайдеров, и как следствие, сами могут подключаться к интернету. То есть, выкидываем дополнительный «модем или маршрутизатор» и получаем вариант №3 — своеобразный «частный случай» варианта №2, при котором маршрутизаторы подключены к интернету напрямую:

Hotspor_var3

Сам "сервер биллинга", на котором работает RADIUS и биллинг — тоже находится «где-то там в интернете». При этом Chillispot снова "трудится" непосредственно на маршрутизаторах, и снова запрашивает данные по авторизации у RADIUS-а. Результат — вроде тот же самый, что и в варианте №2, но… Но главное достоинство даже не в том, что на одну «железяку» стало меньше! "Главное" в том, что «сервер биллинга» и роутеры хотспотов территориально могут быть разнесены между собой хоть и по всему миру! То есть, ставим сервер биллинга на какой-нибудь VDS-сервер, а потом просто расставляем в нужных местах роутеры и получаем хотспоты "по всей планете" (ТАКОЙ СЕБЕ "ОБЛАЧНЫЙ СЕРВИС")!!!…

СПЕЦИАЛЬНО АКЦЕНТИРУЮ ВАШЕ ВНИМАНИЕ - для "Варианта №3", ВАМ БУДЕТ НЕОБХОДИМО ПЕРЕПРОШИВАТЬ РОУТЕРЫ АЛЬТЕРНАТИВНЫМИ ПРОШИВКАМИ!! Исключение составляют роутеры ф. Mikrotik (в них хотспот может быть настроен на заводской прошивке)!

Предлагаемый сервер с модифицированной версией программы Easyhotspot позволит вам построить сеть по любой из приведенных выше схем.

 
FB Twitter