изоляция wifi сети ssid что это такое
Разделяй и властвуй или как просто разделить сеть на сегменты, ограничив трафик между ними?
При работе в домашней компьютерной сети или сети малого офиса встречается необходимость в ограничении доступа к некоторым устройствам сети отдельным пользователям или группам пользователей этой сети. Например, необходимо ограничить сетевой доступ детей к компьютерам родителей, или же ограничить взаимный доступ между компьютерами бухгалтерии и менеджеров, или же изолировать камеры видеонаблюдения от остальных пользователей и т.п. Иногда подобную задачу можно решить без использования дорогих специализированных межсетевых экранов средствами современного домашнего маршрутизатора. Именно о таком варианте я расскажу в этой статье, а также приведу пример настройки популярной модели домашнего маршрутизатора.
В моём маршрутизаторе DIR-825/AC/G1A от компании D-Link, решить поставленную задачу поможет функция «Сегментация трафика» в разделе меню «Дополнительно». Как сказано в описании этой функции, она используется для ограничения трафика от одного порта к группе других портов, т.е. именно то, что нам необходимо.
Для настройки функции открываем страницу WEB-интерфейса «Сегментация трафика» в разделе меню «Дополнительно». Определяемся, к каким LAN портам маршрутизатора будут подключены те или иные компьютеры пользователей или коммутаторы отделов. Убираем необходимые галочки в настройках каждого порта. Далее нажимаем кнопку «ПРИМЕНИТЬ».
Например, решаем, что компьютеры родителей будут подключаться к 1 и 2 LAN портам маршрутизатора, а компьютеры детей к 3 и 4 LAN портам. Тогда убираем галочки напротив «LAN1» и «LAN2» в настройках «LAN3» и «LAN4». После нажимаем кнопку «ПРИМЕНИТЬ».
К сожалению, настройка сегментации распространяется только на проводные подключения через LAN порты маршрутизатора. А что же тогда делать с беспроводными подключениями, да ещё и в двух частотных диапазонах, как на моём маршрутизаторе? Ведь по умолчанию, беспроводным пользователям разрешён доступ ко всем LAN портам.
И тут я вспоминаю про функцию гостевой сети, о которой я писал в статье https://club.dns-shop.ru/network-tools/Гостевая-беспроводная-сеть-в-DIR-825-AC/. Пользователи гостевой сети имеют доступ только к сети Интернет и между собой, причём если надо, то последнее можно отключить, активировав пункт «Изоляция клиентов» в настройках гостевой сети. А основную беспроводную сеть, при необходимости, можно скрыть, активировав в её настройках пункт «Скрыть SSID».
Для добавления гостевой беспроводной сети в разделе меню «Wi-Fi» на странице «Основные настройки» нажмите справа кнопку «Добавить».
На открывшейся странице сделайте необходимые настройки гостевой сети (имя сети SSID, настройки безопасности), активируйте пункт снизу «Включить гостевую сеть», и, если надо, пункт «Изоляция клиентов». После нажмите кнопку снизу «ПРИМЕНИТЬ».
Аналогичным образом настройте гостевую сеть и в диапазоне 5 ГГц.
В итоге мы получаем сегментированную сеть с простым распределением прав доступа.
Домашний Wi-Fi и экономные соседи: как защитить точку доступа
Содержание
Содержание
В наше время точки доступа Wi-Fi появились практически везде: в каждой квартире, в общественном транспорте, кафе или заведении другого рода — есть Wi-Fi маршрутизатор. Многие мобильные устройства тоже могут выступать в роли точки доступа к сети.
Чтобы примерно представить масштаб распространения Wi-Fi сетей в крупных городах, достаточно просто достать смартфон в любом общественном месте или собственной квартире и активировать функцию поиска сетевых подключений. Вероятно, в зоне действия окажется не менее трех-четырех точек доступа, мобильных устройств и других устройств, оборудованных модулем беспроводной связи.
Что говорить, стремительно набирает популярность даже «умная» бытовая техника, которой можно управлять удаленно (технологии «умного дома»).
Зачем и от кого защищать свой роутер
Не стоит удивляться тому, что в результате повсеместного распространения таких сетей, уровень сознательности владельцев сетевого оборудования значительно упала.
Пользователи старшего возраста нередко просят младших родственников убрать пароль для подключения к роутеру, а кто-то оставляет заводской пароль, не задумываясь о возможных последствиях. Даже если вы очень хороший человек и не прочь поделиться частью интернет-канала с экономными соседями, не забывайте, кроме бесплатного интернета, любой человек, получивший доступ к вашему сетевому оборудованию, если захочет, может получить и гораздо больше, чем бесплатный доступ в интернет. Злоумышленники могут получить доступ к вашим деньгам, личным фотографиям, информации о вашем времяпрепровождении, а возможно и вскипятить чайник без вашего ведома!
Всего этого можно избежать, всего лишь позаботившись о своем роутере, путем совершения нескольких достаточно простых действий.
Шаг первый: смена заводского пароля
На всех маршрутизаторах по умолчанию установлен заводской пароль. Как правило, он не отвечает даже минимальным требованиям безопасности — может состоять из простейшей цифровой комбинации или быть одинаковым для всех роутеров одной модели.
Это значит, что подобрать его сможет не только хакер, но даже человек не слишком близкий к миру цифровых технологий.
Первым шагом после установки нового (особенно предоставленного провайдером) роутера должна быть замена заводского пароля. Самым устойчивым ко взлому паролем будет сложный порядок прописных и строчных букв, цифр и спецсимволов. При этом желательно, чтобы такой набор не образовывал каких-либо слов и словосочетаний.
Для генерирования хорошего пароля вы можете воспользоваться одним из множества онлайн-генераторов:
Если вы все-таки решили придумать пароль сами — запомните несколько простых правил:
Шаг второй: использование гостевого доступа для выхода в интернет
Гостевой Wi-Fi — это обособленная точка доступа, которая не затрагивает домашние устройства, подключенные к основной точке и объединенные в сеть.
Подключившись к гостевой точке доступа, злоумышленник не сможет получить доступ к вашим домашним устройствам и информации хранящейся в их памяти.
Гостевое сетевое подключение обеспечивает пользователя только доступом во внешний интернет, оставляя другие домашние устройства вне зоны досягаемости.
Если гостевая сеть не нужна, то ее необходимо отключить. У некоторых устройств она отключается автоматически, если не используется определенное время.
Шаг третий: шифрование сети
Для защиты от вторжений извне каждый современный маршрутизатор по умолчанию шифрует канал доступа в собственную сеть. Существует несколько протоколов шифрования:
Если среди ваших соседей не затесался Mr.Robot, то протокол WPA/WPA2 в комбинации со сложным паролем станет серьезной проблемой для любителей халявного интернета.
Прежде чем использовать маршрутизатор убедитесь, что шифрование включено. Проверить это можно в WEB-интерфейсе роутера (через браузер).
Получить доступ к настройкам устройства можно введя в строке браузера url или ip-адрес, указанный на корпусе роутера (обычно на нижней его части).
При выборе способа шифрования ориентируйтесь на протокол WPA2 — он более надежен по сравнению с остальными.
Шаг четвертый: изменение сетевого идентификатора
Service Set Identifier (SSID) — это имя вашей беспроводной сети, которое ей присвоил завод-изготовитель маршрутизатора. Оно видно всем, кто обладает устройством с возможностью беспроводного подключения. По стандартному SSID любой человек может идентифицировать тип вашего роутера, что значительно облегчит его взлом (особенно если вы затянули со сменой стандартного пароля).
Вы можете также скрыть отображение SSID в настройках роутера, однако в этом случае гаджеты перестанут видеть его в списке доступных подключений и имя сети придется вводить каждый раз при переподключении к интернету. Это усложнит работу, поэтому проще всего изменить идентификатор. В этом случае сложность не требуется — можете задать любое имя на свой вкус. Для этого необходимо зайти в меню, найти соответствующий раздел и изменить его.
Шаг пятый: права доступа к настройкам маршрутизатора
Доступ к настройкам в большинстве устройств, осуществляется через браузер по протоколу http. Настройки, как правило, не защищены паролем, либо установлен простейший пароль, который может повторяться в рамках одной линейки или даже быть одинаковым для устройств от разных производителей (самые распространенные — admin, 000000 или другая простейшая комбинация цифр).
Поэтому доступ к настройкам устройства есть у любой учетной записи, рангом выше «продвинутого пользователя». Для защиты необходимо установить пароль или поменять установленный по умолчанию в меню маршрутизатора.
Шаг шестой: обновление ПО
Необходимо систематически обновлять программное обеспечение роутера. Пакеты обновлений исправляют баги и уязвимости в прошивке устройства. Некоторые новейшие маршрутизаторы поддерживают функцию автоматического обновления прошивки. Если такая функция есть, то делать ничего не нужно. Вы также можете самостоятельно проверять наличие нового программного обеспечения в меню настроек и загружать их вручную.
Если ваше устройство не имеет функции автоматического или полуавтоматического обновления, вы должны загрузить соответствующий файл с официального сайта компании-производителя.
Изоляция точки доступа и изоляция сети: для чего это нужно в маршрутизаторе WiFi
Изоляция точки доступа: изоляция в сети Wi-Fi
Хотя эта функция обычно доступна и настраивается по умолчанию в гостевой сети Wi-Fi маршрутизаторов, есть некоторые производители, которые в своих прошивках также позволяют использовать эту очень интересную функцию для изоляции беспроводных клиентов друг от друга. Например, если у нас есть ASUS маршрутизатор, мы должны перейти к » Расширенная / Беспроводная / Профессиональная конфигурация », И мы можем включить изоляцию точки доступа для основной сети Wi-Fi на частоте 2.4 или 5 ГГц, поскольку ASUS позволит нам настраивать ее индивидуально для каждой полосы частот.
В случае других высокотехнологичных и рекомендуемых маршрутизаторов, таких как AVM FRITZ! Box, у нас также есть этот вариант конфигурации для основной сети. В этом случае, если мы активируем изоляцию точки доступа, это повлияет на обе полосы частот (что было бы нормально, мы заинтересованы в том, чтобы эта опция была доступна в обоих диапазонах). Конфигурация в этом роутере очень проста, мы активируем расширенную конфигурацию роутера в верхней правой части и переходим в «Wi-Fi / Безопасность», И мы видим опцию« Отображаемые здесь активные беспроводные устройства смогут связываться друг с другом ». Если мы отключим эту опцию, мы включим изоляцию точек доступа.
Самым нормальным является то, что маршрутизатор не имеет по умолчанию изоляцию точек доступа в основной сети, чтобы беспроводные клиенты могли взаимодействовать друг с другом.
Этот же вариант конфигурации также доступен в профессиональных точках доступа и контроллерах WiFi, обычно при настройке SSID это называется «Гостевой WiFi».
По умолчанию, когда мы включаем гостевую сеть Wi-Fi на нашем маршрутизаторе, у нас всегда будет включена изоляция точек доступа, на самом деле, у нас может даже не быть возможности разрешить их связь между ними, но это будет зависеть от прошивки маршрутизатора в вопрос.
Сетевая изоляция: изоляция в проводной и Wi-Fi сети
Например, в случае роутеров ASUS используется первый вариант, ebtables / iptables используются для ограничения связи различных компьютеров гостевой сети WiFi с основной сетью. Если мы заинтересованы в том, чтобы они имели доступ к локальной сети, мы всегда можем настроить » Доступ к интрасети » в » Общие / Гость Cеть » раздел.
В случае с AVM FRITZ! Коробочные маршрутизаторы, конфигурация Wi-Fi и проводной гостевой сети намного элегантнее и дает нам больше возможностей. Например, мы можем настроить частную гостевую сеть Wi-Fi или создать общедоступную (открытую) сеть Wi-Fi с аутентификацией на адаптивном портале.
В этой гостевой сети Wi-Fi мы также можем включить или отключить изоляцию точек доступа. Надо иметь в виду, что AVM FRITZ! создать новую подсеть отдельно от основной, чтобы разместить всех гостей, и мы могли бы без проблем обеспечить связь между ними. По умолчанию у нас самая лучшая безопасность, то есть у нас включена изоляция точек доступа. Если мы хотим отключить его, мы должны нажать на опцию «Wi-Fi-устройства могут связываться друг с другом».
Это АВМ ФРИЦ! Это также позволяет нам настроить порт LAN4 для гостевой сети, он будет иметь доступ к Интернету, но не к основной локальной сети. Это идеально подходит для подключения одного или нескольких компьютеров (с помощью коммутатора) к гостевой сети и полного отделения от основной сети. В разделе «Локальная сеть / Сеть / Конфигурация сети» вы можете увидеть эту очень интересную конфигурацию.
А между ними не активируется маршрутизация, следовательно, из гостевой сети Wi-Fi мы не сможем общаться с основной сетью, у нас будут полностью изолированные беспроводные и проводные клиенты.
В зависимости от того, что нас интересует, в некоторых роутерах мы можем сделать все эти конфигурации. Мы надеемся, что это руководство помогло вам, и вы также разъяснили концепции изоляции точек доступа и сетевой изоляции.
3 уровня защиты домашней WiFi сети
Во первых строках, сразу предупреждаю, что статья написана не для профессионалов в сфере IT, а для любителей, которые хотят, не вдаваясь в дебри информационных технологий, быстро и относительно безопасно развернуть (или защитить уже действующую) домашнюю сеть WiFi.
Скрытый SSID
Каждая WiFi сеть должна быть как-то названа. Это «имя» сети и есть SSID (Service Set Identifier), которое мы видим, сканируя пространство вокруг, в поисках WiFi сетей. Зная это «имя» можно подключиться к той или иной WiFi сети. Обычно, по-умолчанию роутеры и точки доступа показывают SSID вашей сети всем желающим. Однако, это можно отключить в разделе «Wireless Security Settings» (или похожем) вашего роутера или точки доступа. В данном разделе есть опция «Broadcast SSID» (вещать SSID) или «Hide SSID» (скрывать SSID). Так что, нужно всего лишь удалить или установить галочку (в зависимости от названия опции) в соответствующей настройке роутера.
Шифрование WPA2-PSK + AES
В том же разделе настроек роутера или точки доступа есть опция, отвечающая за тип шифрования. Рекомендую использовать «WPA2PSK» или «WPA2 Preshared Key», т.к. он наиболее устойчив ко взломам. Так же в качестве алгоритма шифрования, рекомендую использовать AES (Advanced Encryption Standard).
Фильтр по MAC-адресам
Ну, и напоследок — для параноиков поклонников тотальной безопасности: можно настроить сеть так, чтобы доступ был только у определённых устройств, а остальные, даже прошедшие 2 предыдущих уровня, всё равно в сеть не допускались. Для этого есть фильтры по МАС-адресам устройств (адрес Media Access Control, также известный как «Физический адрес» или «Hardware Address»). У каждого сетевого устройства, кроме IP-адреса, по которому он «виден» в сети, и который может меняться в разных сетях (то есть, допустим у ноутбука дома один IP-адрес, на работе — другой, в кафе с бесплатным WiFi — третий и т.д.), есть ещё и МАС-адрес, который «даётся» устройству производителем и в обычных обстоятельствах не меняется. То есть переходя из сети в сеть, дома, на работе, в кафе и т.д., меняя IP-адреса, МАС-адрес остаётся неизменным. Вот по нему и можно отфильтровать все «нужные» устройства, а все остальные — запретить. Раздел настроек роутера или точки доступа называется «MAC Filtering». В нём мы создаём список разрешённых МАС-адресов, а остальное — запрещаем. МАС-адрес вашего устройства можно посмотреть либо в свойствах беспроводного соединения, в разделе «Подробности», если это компьютер, либо в настройках мобильного телефона, в разделе «О телефоне» или подобном. МАС-адрес состоит из 6 блоков по 2 цифры в шестнадцатеричной системе исчисления, разделённых, либо пробелами, либо дефисами. Например: 00-23-7D-14-8C-C9.
После выполнения этих трёх шагов вашу сеть не будет видно в списке окружающих WiFi сетей, шифрование соединения будет наиболее стойким ко взлому, и доступ к сети будет предоставлен только тем устройствам, которые присутствуют в списке разрешённых МАС-адресов.
PS: Названия разделов и опций у разных роутеров и точек доступа — разные, но смысл остаётся тем же.
Делаем гостевую Wi-Fi сеть в ВУЗе, часть 2. Функции для гостевой Wi-Fi сети
При расширении зоны действия Wi-Fi увеличением числа точек доступа, управляемых шлюзом Zyxel VPN300 (сначала был Zyxel UAG5100), увеличилось количество гостей и проблемы начались в час пик со скоростью интернета, открытием сайтов, шустростью сёрфинга. Уже не успевал мониторить/конфигурировать комплекс и оперативно реагировать на заявки.
Помощника не дали, как это своими силами лечилось и чем настраивалось, делюсь опытом для всех и проведу краткую экскурсию по функциям.
Вот и вот мои предыдущие статьи. В конце текста информация обо мне.
Будут рассмотрены функции
на шлюзах Zyxel:
на коммутаторах Zyxel:
Вообще, проблемы начались ещё при UAG5100, поэтому сначала с ним были настроены функции, опробованы в реальных условиях и реально помогло. Поэтому, когда получили VPN300, эти же функции активировал на нём и всё отлично работает. Уже не помню, когда гости последний раз не могли получить фотку или отправить письмо.
Функции на шлюзах Zyxel
1) Ограничение скорости в профиле SSID – ограничивает скорость каждому гостю, подключённого к точке доступа, управляемой шлюзом (рис.1).
Блокировка трафика Intra-BSS – запрещает перекрестный трафик в сети внутри SSID на одной точке доступа (ТД) (рис.1).
На автономные и ТД Nebula правила не действуют, только на управляемые шлюзом ТД.
Рис.1. Ограничение скорости в профиле SSID и блокировка трафика Intra-BSS.
ограничили скоростью любителей покачать торренты или просмотром 4К на телефоне при медленном интернет-канале провайдера.
блокируется рассылка трафика от соседних телефонов в пределах одной ТД. После этого устройства Wi-Fi уже не так много мусора получают от соседей. Сёрфинг стал шустрее и соседи на ТД не пингуются.
Рис.2. Изоляция L2.
ограничивается рассылка трафика от гостевых устройств в пределах шлюза. Сёрфинг стал шустрее, ТД и соседи на разных ТД не пингуются, кроме тех, кто внесён в белый список;
значительно повысилась отказоустойчивость сети.
3) Привязка IP/MAC-адресов – шлюз проверяет связку IP-MAC со своей базой выданных IP при поступлении запросов (рис.3). Пользователь не сможет вручную назначить своему компьютеру другой IP-адрес и использовать его для подключения к шлюзу.
Рис.3. Привязка IP/MAC-адресов.
Итог: бывают кулхацкеры, сканируют сеть и ставят себе чужие IP или чайники с статическими IP на ноутбуках и долбят всю сеть в поисках домашнего сетевого диска с IP 192.168.1.2. Шлюз препятствует их несанкционированному вмешательству и незамедлительно сообщает на e-mail (п.13) и в логи, успеваем принять меры по блокировке таких гостей.
4) BWM (Bandwidth Management) – управление пропускной способностью (рис.4). Ограничение скорости силами шлюза любому подключённому устройству/учётке/подсети или группе устройств/учёток/подсетей.
Рис.4. BWM (Bandwidth Management) – управление пропускной способностью.
В гостевой Wi-Fi сети всем неавторизованным (их много) ограничиваем скорость до минимума (например, 256 кбит/с), чтобы не заваливали агрессивными запросами (куча вкладок в браузере, вирусы, обновления), но разрешаем повышенные скорости до внешних серверов авторизации, для быстрой загрузки страницы авторизации. Далее, всем авторизованным выставим комфортные скорости, а VIP-персонам безлимит.
ВНИМАНИЕ! VIP-персоны с безлимитными скоростями упрутся в установленные ограничения скоростей в профиле SSID (рис.1), поэтому в профиле SSID выставляем максимально безопасные ограничения (30 мбит/с), чтобы VIP-персоны всю полосу на одной ТД не заняли.
Правилам можно применить расписание, к примеру, ночью авторизованным ещё выше скорости выделять.
Функционал очень широкий и понятный. Разберётесь. Подойдёт сетям с автономными и ТД Zyxel Nebula.
Итог: обезопасили гостевую сеть от агрессивных Wi-Fi устройств неавторизованных гостей, которые не собираются проходить авторизацию и засоряют её. И умеренно ограничиваем скорость большому количеству авторизованных во избежание перегруза интернет-канала.
5) Контроль сессий – ограничение количества сессий гостям (рис.5).
Рис.5. Контроль сессий.
Например, делаем так (правила действуют снизу вверх):
Правило №1. Для авторизованных телефонов и ноутбуков поставим 384, вполне хватает для спокойного сёрфинга, чтения новостей, просмотра роликов;
Правило №2. При использовании внешнего сервиса авторизации разрешим 1024 сессий на внешние серверы авторизации;
Правило №3. Неавторизованным поставим 256, чтобы не заваливали агрессивными запросами (куча вкладок в браузере, вирусы, обновления).
Итог: ещё раз обезопасили гостевую сеть от агрессивных Wi-Fi устройств неавторизованных гостей, которые не собираются проходить авторизацию, но при этом засоряют её.
Рис.6. Веб-аутентификация.
гибкая возможность назначить различным устройствам авторизацию как встроенный биллинг, внешний сервис или не требовать авторизацию у устройств, неспособные пройти авторизацию (телевизоры; терминалы, кассовые аппараты, активация новых Apple; Windows);
немаловажен ещё момент, а если внешний сервис не будет доступен? Тогда всем включаем встроенный биллинг и ресепшн по предварительной записи раздаёт ваучеры по паспорту (постановление Правительства РФ №758 от 31 июля 2014 года). Очень удобно и полная отказоустойчивость 24/7 при активном заселении гостей или перед началом конференции.
Активируется платной лицензией «Управление хот-спотами (биллинг)» на шлюзах Zyxel линейки VPN (все); USG Flex (200/500/700). Функционал отсутствует у USG Flex 100/100W и всей линейки ATP.
Рис.7-1. Биллинг.
Метод аккаунтинга (Рис.7-1):
Без накопления (Time-To-Finish) – при первой авторизации по учётке, запускается таймер учёта оставшегося времени и учётка аннулируется по истечении выданного времени с момента первой авторизации, вне зависимости от использования интернета. Например, в 9 утра авторизовались по учётке с тарифом «2 часа», поработали полчаса и вышли из учётки (logoff), она всё равно она аннулируется в 11 часов. Квоты на скачивание/отправку в мбайт/гбайт недоступны в этом методе.
Накопление (Accumulation) – при первой авторизации по учётке, запускается таймер учёта времени работы в интернете и учётка аннулируется при израсходовании выданного времени с момента первой авторизации. Например, в 9 утра авторизовались по учётке с тарифом «2 часа», поработали полчаса и вышли из учётки (logoff), таймер приостановится и возобновит учёт времени при повторной авторизации и так до повторного логоффа, или срабатывания таймаута неактивности, или полного истечения выданного времени. Квоты на скачивание/отправку в мбайт/гбайт доступны в этом методе.
Накопительная учётная запись будет удалена через ХХ дней – не до конца использованные учётки в любом случае будут удаляться через ХХ дней с момента первой авторизации.
Создание профиля биллинга (тарифного плана) (рис.7-2).
«Цена», можно 0 выставить;
«Период времени» устанавливается в минутах, часах и днях (это сутки);
«Тип квоты», «Всего» или «Загрузить/скачать» устанавливается в МБайтах и ГБайтах;
«Ограничить полосу пропускания», устанавливается в кбит/с.
Рис.7-2. Профили (тарифы) биллинга.
Если перед конференцией много посетителей набралось, за один этап можно сгенерировать до 50 учёток по выбранному тарифу (кнопка A, B или C), распечатать на обычном А4 принтере прям из браузера и выдать. При бОльшем количестве посетителей, процедуру генерирования учёток повторить (рис.7-3).
Рис.7-3. Генератор учётных записей для ваучеров. 
Wi-Fi гости, когда интернет-каналом является 3G USB-модем.
если интернет медленный (USB-модем и т.д.) и не хватает гостям, их можно ограничить скоростями, квотами или временем в тарифах «А». Быстрые тарифы «B» сделать платными. Тарифы «С» безлимитными;
при отсутствии или недоступности внешнего сервиса авторизации или сотовой связи всегда можно перестраховаться включением встроенного сервиса авторизации по ваучерам;
любой гость с ваучером может зайти на http://6.6.6.6 (настраивается в п.6, рис.6) и узнать оставшееся время, квоты.
Один из нескольких случаев, как функционал биллинга выручил.
Перед началом крупной конференции «Безопасность в ИТ» внешний сервис авторизации упал и никто не мог авторизоваться, а гости съехались чуть ли не со всей России и всем нужен был бесплатный Wi-Fi. Экстренно переключили шлюз на встроенную авторизацию по ваучерам (п.6, рис.6), распечатали 500 ваучеров и спокойно раздали всем желающим по записи. Недовольных и позора не было. Поэтому наличие встроенного сервиса авторизации с термопринтером очень критично.
Ненадёжный внешний сервис авторизации поменяли на надёжного, пока ни разу не подводил, но всё равно в запасе всегда должен быть встроенный сервис авторизации, мало ли что.
8) Менеджер принтеров – управление принтерами для распечатки ваучеров (рис.8).
Активируется платной лицензией «Управление хот-спотами (биллинг)» на шлюзах Zyxel линейки VPN (все); USG Flex (200/500/700). Функционал отсутствует у USG Flex 100/100W и всей линейки ATP.
Поддерживает принтеры только Zyxel SP350E. Для распечатки ваучеров не требуется доступ к веб-управлению шлюза, достаточно нажать на термопринтере на нужную кнопку с тарифом (создаются в п.7) и распечатается ваучер с реквизитами. Русские символы не поддерживает. Кодировка текста у ваучера UTF-8. Обходились транслитом.
Рис.8. Менеджер принтеров.
всего одна кнопка нажимается для распечатки ваучера, не требует наличие ПК и обучение персонала.
9) Ресурсы без аутентификации – разрешение посетить сайты без авторизации (рис.9).
Рис.9. Ресурсы без аутентификации.
Итог: разрешаем гостям заходить на собственные сайты заведения (навигация, расписание, реклама, прейскурант цен), не требуя авторизацию. Они будут отображаться на выскакивающей странице авторизации. При попытке гостя зайти на сторонние сайты, ему снова выскочит страница авторизации.
10) Расписание – установка времени включения/отключения какого-нибудь профиля (рис.10). Например: радиопрофили точек доступа, SSID, маршрутизации, направления интернет-трафика к другому провайдеру, патруля приложений (отсутствует у моделей VPN), правила файрволла, BWM и т.д.
Рис.10. Добавление расписания.
Итог: в ночное время можно отключить радиопрофили и интернет от «нехороших» гостей, кулхацеров, если это не гостиница. Или перенаправить трафик к другому провайдеру, у которого ночной тариф безлимитный и скорости больше. Или выключать ограничение скоростей в BWM.
11) WWW – доступ к шлюзу (рис.11).
Рис.11. Ограничение доступа к шлюзу.
В «Контроль доступа админов» добавляем правило, выбираем зону с Wi-Fi гостями и выставляем deny для гостевых подсетей.
Итог: перестрахуемся, запретив авторизацию админам на шлюз из гостевой Wi-Fi подсети. Андроиды последних версий автоматически предлагают зайти на роутер и гости подбирают пароль к шлюзу.
12) Ежедневный отчёт по E-Mail – отправка графического отчёта по E-Mail за прошедшие сутки (рис.12-1).
Рис.12-1. Выбор данных для отправки отчёта
Отчёт читабельный и информативный, 15 шт графиков и почти 80 таблиц со статистикой внешних и внутренних интерфейсов, включая список стран, по которым было скачивание/отправка трафика. Чтобы не утруждать скроллингом отчёта, прикреплю пару скриншотов из отчётов (рис.12-2):
Рис.12-2.Слева отчёт ТОП-4 кол-ва клиентов и трафика. Справа отчёт монитора сессий и график нагрузки всех WAN портов.
Итог: ежесуточно на электронную почту приходит отчёт, по ней понимаем, что гостевая сеть работает, не зависла, гости сидят в интернете. Значительно упрощает мониторинг и экономит время. Пока едешь на работу, знакомишься с отчётом в почтовом клиенте телефона и делаешь вывод, что всё нормально работает, нет острой необходимости по прибытии на рабочее место делать обход (проверку) гостевой Wi-Fi сети, если очень занят.
Отчёт о проведении обхода.
13) Настройка лога с оповещением – отправка событий на сислог сервер, флешку и двум E-Mail (рис.13-1).
Рис.13-1. Выбор категорий лога.
Выручает отправка логов (alert) сразу на E-Mail, настроенного на телефоне, на нём входящие письма сигнализируются. Чаще всего приходят такие категории:
Аутентификация – неудачные авторизации, блокировка Wi-Fi гостевого устройства после нескольких неудачных попыток авторизоваться. Сразу узнаем, что с такого-то IP пытаются подобрать пароль к логину admin или к другим.
Security Policy Control – в файрволле при установке в правиле параметра “log alert”, на почту придут оповещения о появлении трафика, по которому правило начинает работать. К примеру, сразу узнаем, что «нехорошие» гости прощупывают шлюз на наличие открытых портов и других, даже если закрыты.
CAPWAP – состояние ТД (дисконнект, перезагрузка и т.д.). Сразу узнаем, что такая-то ТД нештатно отключилась и принимаем меры.
На рис.13-2 отображены оповещения о дисконнекте ТД (слева), неправильном вводе пароля (в центре) и запросе на подключение на 22 порт шлюза (справа).
Рис.13-2. Письма-оповещения о критических событиях.
после оповещения о дисконнекте точки доступа действуем на опережение, не тратим время на анализ заявок, как «почему телефоны у гостей не находят SSID». Очевидно, что 99% причин – это аварийное отключение подачи электричества PoE коммутатору;
благодаря мгновенному оповещению, всегда в курсе что происходит с гостевой сетью и понимаем, что за проблемы у гостей. Реально помогает работе с комплексом.
Доложение обстановки.
Примечание: почему на обоих скриншотах (рис.12-2 и рис.13-2) фигурирует Zyxel UAG5100? В дни написания статьи параллельно проводился эксперимент с Zyxel VPN300 для нового проекта. Для чистоты эксперимента и чтобы не мешать Wi-Fi гостям, временно перекинул точки доступа с VPN300 на резервный UAG5100, но функции роутера и авторизации гостей оставил у VPN300. По окончании экспериментов все ТД верну на VPN300. В принципе, в показанных скриншотах нет разницы между UAG5100 и VPN300.
Функции на коммутаторах Zyxel
Нажимаем на Status, затем Neighbor:
Рис.14-1. Запускаем Neighbor.
Получаем список подключённых (Remote) PoE устройств, которые можем перезагрузить (кнопка Cycle) или сбросить (кнопка Reset) до дефолтного состояния или зайти по забытому IP на него (рис.14-2).
Рис.14-2. Neighbor, найденные соседи.
Итог: актуально, если применил конфиг с ошибкой (к примеру, перепутал VLAN ID) и ТД перестала отвечать или зависла. Как теперь её сбросить или перезагрузить, если она на высоком потолке или нет времени выехать на объект? Поэтому Neighbor выручал сбросом или перезагрузкой.
Рис.15. Запуск Locator (светодиодной сигнализации).
Текст уже большой стал. Закругляюсь. Для учебных заведений очень полезны функции шлюза как контентная фильтрация; патруль приложений; Гео-IP.
Финальный итог и почему выбрал Zyxel?
Часть функций относится к работе с трафиком — это работа шлюза и такое отсутствует в программных контроллерах Wi-Fi. Вот почему так нужен встроенный Wi-Fi контроллер в железке-шлюзе. Городить комплекс из железок (шлюз, МСЭ, контроллер) дороже, хлопотно и каждый узел настраивать, это требует время, покупку стойки с ИБП, сплит-систему.
Вы скажете, так надёжнее! Но у шлюзов Zyxel есть функция резервирования шлюза «Device HA Pro». Проще два одинаковых шлюза купить и поднять резервирование между ними, всё равно они негабаритные.
Вы заметили, что ни разу не обращался к CLI (ввод текстовых команд). Всё настраивается на веб-странице, упрощается настройка/мониторинг шлюза для опытных пользователей или молодых ИТ-специалистов. Провайдерские знания не потребуются. Многое можно сделать на планшете, не заморачиваясь вводом длинных команд.
Для гостевой Wi-Fi сети с роумингом и авторизацией очень сложно найти с вышеперечисленными функциями универсальный шлюз у других вендоров в силу отсутствия подробных характеристик и гидов и по разумной цене. Найти у них совместимые ТД оказалось большой проблемой, как искал их, читайте тут. Поэтому рекомендую любые управляемые ТД Zyxel со шлюзами USG Flex / VPN / частично ATP (ATP не поддерживает биллинг и термопринтеры). Список управляемых ТД, поддерживаемые шлюзом, указывается в конце документа характеристик шлюза. Например, тут. Ещё прошу обратить внимание, как понятно и чётко перечислены функции шлюза, что внушает доверие перед покупкой.
Сохраняйте экосистему Zyxel. Бесплатная утилита ZON найдёт Zyxel в своей подсети, списком отобразит и оттуда сигнализацию (Locator) запустит, сбросит или прошивку обновит. С ней значительно проще, легче и комфортнее работается. Теперь вполне справляюсь в одиночку.
Не игнорируйте коммутаторы Zyxel с PoE, есть с индикацией нагрузки PoE на лицевой панели, упрощают работу с инфраструктурой.
Рис.17. Индикация нагрузки PoE на лицевой панели.
Хотите это обсудить? Поспорить? Пишите в комментариях, а также общайтесь со мной и другими практикующими специалистами Zyxel в телеграм-канале https://t.me/zyxelru.