С точки зрения пользователя
Абонент беспроводной сети при первом подключении к Wi-Fi обязан (в соответствии с требованиями законодательства) пройти идентификацию. Наиболее часто это происходит через указание номера мобильного телефона, получение кода доступа по СМС. Подтвердить мобильный номер можно также через отправку абонентом СМС, входящий или исходящий звонок. Если абоненту выдан ваучер с уникальным кодом, можно использовать и его. WNAM позволяет использовать учетную запись портала Госуслуг, учетную запись Active Directory факт регистрации в гостиничной системе, а также идентификацию через внешнюю систему (например, по билету РЖД или номеру бэйджа аккредитации на публичном мероприятии).
После первой идентификации, и при каждом последующем подключении пользователь будет видеть страницу приветствия, смотреть рекламу, перенаправляться на указанный вами веб-сайт, или подключаться автоматически без дополнительных всплывающих окон. Можно также попросить абонента войти через профиль социальной сети (как дополнительный способ идентификации), пройти опрос, согласиться с условиями предоставления Wi-Fi и просмотреть их, ввести адрес электронной почты или свою фамилию. Начиная с версии WNAM 1.6 можно сделать так, чтобы страницы авторизации и приветствия на устройствах iOS открывались не в мини-браузере, а в Safari. Это даёт возможность «оставить» абонента на вашей рекламной странице, а также предотвратить повторную авторизацию, если у устройства сменится МАС-адрес (iOS >14). К сожалению, надежного способа сделать аналогичное для устройств Android не существует.
Абоненту доступны страницы идентификации (авторизации) и приветствия на нескольких языках. В случае возникновения ошибки подключения, связанное с выставленными ограничениями или сбоями в работе оборудования, он получит соответствующее информационное сообщение.
С точки зрения владельца беспроводной сети
Для обеспечения работы сервиса авторизации в беспроводных сетях вы должны установить сервер, на котором будет работать программное обеспечение WNAM, и сопутствующие службы. Это может быть как физический сервер, так и виртуальная машина. Сервер имеет выход в Интернет, и связан с вашим беспроводным оборудованием.
В большинстве задач применяются следующие схемы работы:
1. Обслуживание значительного числа площадок (локаций) предоставления Wi-Fi, в каждой из которых установлен маршрутизатор Mikrotik со встроенной точкой доступа, либо несколько точек доступа за маршрутизатором Mikrotik. Последний выполняет функции хотспота (портала перехвата) и обеспечивает взаимодействие беспроводных абонентов с серверов авторизации WNAM. Для удобства администрирования каждый из маршрутизаторов связан VPN-сетью с центральным узлом вашей сети. Схема такого решения приведена на рисунке, и ею пользуется большинство наших заказчиков — региональных операторов связи, предоставляющих своим клиентам услугу Wi-Fi авторизации.
2. Обслуживание Wi-Fi сети, управляемой контроллером беспроводных точек доступа. В каждой локации установлена одна или несколько точек доступа, связанных с контроллером по Интернет или корпоративной сети. Возможна ситуация, когда локация всего одна, но в ней установлены сотни точек доступа (стадион, конгресс-центр). В такой схеме контроллер выполняет выполняет функции хотспота (портала перехвата) и обеспечивает взаимодействие беспроводных абонентов с серверов авторизации WNAM. Поддерживаются любые точки доступа, начиная от 802.11b и до 802.11ax (Wi-Fi 6). Схема такого решения приведена на рисунке, и ею пользуется в основном корпоративные заказчики, развертывающие гостевые сети с авторизацией на собственной территории.
В качестве основы Wi-Fi доступа абонентов выступает сеть без пароля, построенная на базе любого совместимого оборудования. В зависимости от типа применяемого оборудования, толщины стен в помещении каждая точка доступа обеспечивает уверенный приём-передачу сигнала в радиусе порядка 15-30 метров. Для мест массового скопления людей, где предполагается высокая загруженность радио-эфира и значительное (доля ста) число абонентов на одну точку доступа, следует применять только профессиональное Wi-Fi оборудование.
Контроль доступа абонентов осуществляется при помощи портала перехвата (Captive Portal). Портал перехвата — специальный программный компонент сетевого оборудования (маршрутизатора или контроллера точек доступа), позволяющий перенаправить HTTP-запрос пользователя на другой (внешний) сервер. При подключении к «открытой» беспроводной сети большинство мобильных устройств определяет наличие в сети портала перехвата, открывает пользователю специальное окно «мини-браузера». Возможно настроить переход открытия в Safari. В этом окне открывается специальный «пользовательский» раздел веб-интерфейса WNAM, где на основании набора критериев будет осуществлена идентификация и авторизация абонента. После этого ему дается доступ в Интернет, и он может попасть на выбранный им ранее сайт, или перенаправлен на другой, вами заданный (сайт вашей компании, рекламный блок и т.п.). WNAM позволяет проводить опросы, показывать таргетированную рекламу встроенным рекламным движком, перенаправлять на внешнюю рекламную систему, включать платный доступ, и многое другое.
Наша система взаимодействует со следующими типами оборудования:
- Контроллеры Cisco WLC и соответствующие точки доступа Cisco
- Маршрутизаторы Mikrotik
- Контроллеры Ruckus ZoneDirector, SmartZone, Virtual SmartZone, SmartCell Gateway и соответствующие точки доступа Ruckus
- Контроллеры Huawei с точками в режиме Fit, и автономные точки в режиме Fat
- Контроллеры Bluesocket и соответствующие точки доступа
- Контроллеры Aruba и соответствующие точки доступа
- Контроллеры Zyxel NXC, UAG и соответствующие точки доступа; облачный контроллер Zyxel Nebula
- Контроллеры Ubiquiti UniFi и соответствующие точки доступа
- Контроллеры Motorola/Zebra/Extreme с программным обеспечением WiNG
- Маршрутизаторы на основе прошивки pfSense
- Устройства BRAS на базе Cisco SSG и ISG (ASR, 7200, 10K)
- Устройства BRAS на базе Juniper MX series
- Маршрутизаторы на базе Linux-сервера
- Маршрутизаторы Alcatel-Lucent SR
- Контроллеры и точки доступа TP-LINK Omada
- Контроллеры Hewlett-Packard Enterprises (HPE) MSM и соответствующие точки доступа
- Точки доступа Eltex с контроллерами SoftWLC и WLC15/30
- Точки доступа Rotek
- Точки доступа Keenetic
- Точки доступа Cambium Networks
- Контроллеры Digital China Networks (DCN) и соответствующие точки доступа
- Контроллеры Avaya и соответствующие точки доступа
- Контроллеры FortiWLC
- Контроллеры Ruijie Networks и соответствующие точки доступа
- Контроллеры Maipu
- Контроллеры и точки доступа российского производства Fplus Wireless
В большинстве случаев портал перехвата встроен в контроллер или точку доступа, обеспечивающую также и радио-доступ. При использовании проводных маршрутизаторов (Mikrotik, pfSense, Cisco ISG, Juniper) радио-сеть может быть сделана на любом оборудовании, например на дешёвых точках D-Link, которые работают в режиме открытой сети.
Сбор информации о трафике беспроводной сети ведется при помощи протокола RADIUS, поддержка которого для каждого из типов вышеназванного оборудования встроена в WNAM. Система также пробует определять тип, производителя, имя устройства абонента (через DHCP-идентификаторы), площадки подключения, названия и адреса точек доступа, номера радио-каналов, уровень радио-сигнала и подобную информацию, которую вы сможете использовать для создания профиля вашего абонента, и таргетирования рекламы.
Учетные записи абонентов создаются автоматически после успешной авторизации, и могут храниться в базе данных WNAM неограниченно долго. Для отправки авторизационных СМС абонентам используются СМС-агрегаторы (SMSC.ru, smstraffic.ru, WebSms.by), локально подключенный GSM-модем (gammu), подключение к любому из множества провайдеров СМС-рассылок по стандартному протоколу SMPP (шлюз Kannel), по HTTP GET/POST API или через скрипт. Для сокращения расходов на отправку СМС вы можете использовать альтернативный подход, когда СМС должен послать на вашу систему сам абонент за свой счёт. Также можно воспользоваться идентификацией по звонку: абоненту поступает входящий вызов, в котором произносится код доступа, либо абонент производит звонок на ваш выделенный номер, подключенный к шлюзу Asterisk. Поддерживается авторизация через Active Directory, ваучеры, портал Госуслуги, и через любые внешние системы по API.
Сбор детальной статистики по посещенным ресурсам происходит через приём потоков трафика по протоколу Netflow v5 или v9 с вашего маршрутизатора (без учёта HTTP-ссылок на посещенные ресурсы).
При использовании портала перехвата (при любом типе авторизации) можно перенаправлять сессию пользователя на внешнюю веб-ссылку, либо на страницу с рекламным блоком, для чего в WNAM реализованы гибкие средства управления рекламой. Имеется также встроенный онлайн-редактор шаблонов страниц авторизации, стилей, рекламных блоков, возможность загрузки логотипов и т.п. Редактор предоставляет упрощенный (визуальный) и экспертный (на уровне кода HTML) режимы работы. Все настройки WNAM ведутся через веб-интерфейс:
WNAM позволяет создавать отчёты различного типа с выгрузкой в CSV, PDF и Excel, например:
- По трафику, пользователям, сессиям в зависимости от диапазона времени выборки
- По трафику, пользователям, сессиям в зависимости от площадки доступа
- По распределению объема трафика в сессии абонента
- По статистике работы по времени/площадкам выбранного абонента
- Какие абоненты были активны на данной площадке в заданный период времени, кто из них посещал заданный ресурс или обращался к внешнему IP-адресу
- Показанные и просмотренные рекламные блоки по площадкам, и переходы абонентов по ним
- Отправка и подтверждение СМС, номера телефонов абонентов
Набор отчетов может быть доработан по вашему заказу.
WNAM устанавливается на Linux-сервер (физический или виртуальный) с характеристиками, которые планируются по числу одновременных абонентов в вашей Wi-Fi сети. Типовые параметры сервера: 2-4 vCPU, 8 Gb vRAM, 200 Gb vHDD. Вы можете самостоятельно установить и настроить систему WNAM, пользуясь свободно доступной документацией, либо поручить эту работу нашим специалистам за небольшую плату.
Для крупных сетей с повышенными требованиями к надежности может применяться кластерная конфигурация системы (три сервера WNAM) с реплицируемой базой данных.