Гостевая сеть Wi-Fi

Гостевая сеть Wi-Fi может быть развёрнута как в местах общественного доступа в Интернет:

• в гостиницах;
• ресторанах и кафе;
• библиотеках
• парках и площадях

так и в корпоративных сетях в переговорных комнатах и зоне возле респешена. 

Есть ряд нюансов, которые следует учитывать при проектировании гостевой Wi-Fi сети, о которых поговорим  в этой статье.

Безопасность

Не все пользователи гостевой сети Wi-Fi будут использовать предоставленный доступ в интернет только для того, чтобы почитать последние новости и проверить почту. Открытый доступ без пароля может открыть дверь в сеть молодым хакерам с ноутбуком, которые попытаются украсть полезную информацию или создать DDoS-атаку с целью вывода из строя корпоративной сети. Даже использование гостевого пароля не гарантирует безопасность, т.к. обычно написан на видном месте и посетители (или свои сотрудники) могут передать его другим посторонним людям. Посетители могут пользоваться устройствами заражёнными троянами и вирусами, так что хранение паролей не гарантирует безопасность.

Именно поэтому, гостевая сеть должна быть строго изолирована в отдельную подсеть VLAN. На точках доступа надо настроить отдельный сигнал SSID (обычно Wi-Fi Free, Guest и т.д.). Используя аксесс-листы (ACLs) на корневом коммутаторе надо строго запретить любые транзакции между гостевой сетью и ЛВС предприятия.

Ограничение скорости и объёма скачеваемых данных

Есть такая поговорка “нахаляу уксус сладкий”. Это применимо и для бесплатного Wi-Fi. Многие люди, находясь в зоне бесплатного Wi-Fi, стремятся скачать максимальное количество фильмов через torrent или карт в любимый смартфон. При современных безлимитных тарифах, это не так страшно для хозяина заведения. Но когда все мобильные абоненты создают значительную нагрузку на Wi-Fi и ограниченный канал доступа – тем самым скорость у всех очень низкая. Медленный Wi-Fi способен создать негативный имидж заведения.

Для решения данной проблемы “халявный” доступ надо ограничивать. Технология Traffic Shaping способна урезать скорость до оптимального конроллируемого значения. Обычно в кафе и ресторанах ограничивают скорость до 500 кБ/c на устройство. Это позволит “не залебнуться” общему каналу на скорости 10 МБ/c в момент когда к нему “присосутся” 20 и более мобильных пользователей.

Ограничение объёма скачиваемого трафика в пределах сесси действует в воспитательных целях. Гости не будут пытаться скачить фильмы в HD-качестве, понимая, что всё-равно у них это не выйдет. Обычно объём ограничивают значением 50 – 100 МБайт, что более чем достаточно для серфинга по сети и просмотра коротких роликов Youtube с качеством 720p.

Captive Portal с СМС-авторизацией

Согласно постановлению профительства РФ от 31 июля 2015 №758 запрещено анонимно пользоваться Wi-Fi. Данные о пользователях (ФИО), времени и объёмах скаченных данных должны храниться в базе данных контроллера гостевого Wi-Fi в течение 6 месяцев.

Для гостиниц можно использовать данные о регистрации посетителей. Для ресторанов и кафе сейчас, наиболее экологичный способ аутентификации пользователей – использование Captive портала с СМС авторизацией. При попытке подключения мобильного устройства к Wi-Fi браузер перенаправляется на страницу авторизации, где необходимо сначала ввести номер мобильного телефона, а затем код аторизации, который придёт по СМС.

Таким образом по номеру телефону могут быть идентифицированы абоненты, воспользовавшиеся бесплатным интернетом.

СМС-авторизация работает не со всем оборудованием. Необходимо выяснить, поддерживает ли Ваш контроллер Wi-Fi данную функцию. Для оптправки СМС в небольших заведениях можно использовать GSM-шлюз с установленной СИМ-картой. В заведениях с большой проходимостью GSM-шлюз может на справитсья, поэтому желательно, чтобы контроллер мог взаимодействовать с online-сервисами по рассылке СМС.

Фильтрация нежелательного контента

Многих заказчиков беспокоит моральное состояние пользователей интернета. Так, например, Православный интернет, развёрнутый на территории храмов и воскресных школ на территории Москвы, использует программно-аппаратный комплекс для блокирования сайтов порнографического содержания, а также сайтов, других религиозных конфессий.

Многие заведения не хотят, привлекать к себе внимание “вежливых людей”, поэтому блокируют доступ к сайтам и политическим форумам, провоцирующих межнациональную рознь.

В простейшей реализации, фильтром может выступать PROXY-сервер с обновляемым списком доменных имён подлежащих блокировке. Небольшие рестораны и отели часто заключают договора с операторами связи, которые предоставляют услугу 2 в 1 – Captive Portal с SMS авторизацией и фильтрацию нежелательного контента. Контроллеру Wi-Fi достаточно сформировать VPN соединение с сервером провайдера и “заворачивать” весь мобильный трафик в него.

Организация гостевого доступа к Wi-Fi в многолюдных местах с большой проходимостью

Особая задача – обеспечить достаточную скорость Wi-Fi в общественном транспорте, аэропортах, стадионах. Часто из-за большой нагрузки и неудобных мест размещения точек доступа приходится использовать решения с узконаправленными антеннами, формируя сигнал в пределах узкого сектора. Очень важно, чтобы данное оборудование поддерживало быстрый роуминг (802.11R) и балансировку нагрузки (802.11K). Не всегда возможно протянуть провода к месту установки Wi-Fi-оборудования – приходится выкручиваться используя MESH. Проектирование таких сетей – сложная задача, требующая комплексного подхода и тщательной проработки проекта.

Наши инженеры помогут выбрать необходимое оборудование, и выполнить проект под ключ в зависимости от Ваших задач и расположения объекта,