что такое вай фай в лобби
Гостевая сеть WiFi-что это такое и как ее настроить
Приходя в гости, друзья чуть ли не с порога спрашивают пароль от Wi-Fi. В таких ситуациях гостеприимные хозяева без раздумий дают пароль от своей домашней сети, забывая о безопасности. Многие люди даже не понимают, какие последствия их могут ожидать.
Что такое гостевая Wi-Fi сеть?
Гостевая сеть – это дополнительная Wi-Fi сеть маршрутизатора, которая нужна для обеспечения интернет-подключения гостям, посетителям, клиентам и так далее. Создать гостевую сеть можно практически на любом роутере, отдельный маршрутизатор для этого не нужен. В некоторых ситуациях без такой сети не обойтись, так как это напрямую связано с конфиденциальностью и безопасностью.
Зачем нужна гостевая Wi-Fi сеть?
Гостевая Wi-Fi сеть – это совершенно отдельная точка, с помощью которой гость сможет получить доступ к всемирной паутине, но никак не доберется к основной сети. В том случае, если кто-то из посетителей занесет вирус на свой смартфон, на ваших устройствах, подключенных к основной Wi-Fi сети, это никак не отразится.
Однако если гость «поймает» вирус во время подключения к основной Wi-Fi сети, возникнет риск повреждения или кражи конфиденциальных данных со всех устройств, подключенных к той же сети. Гостевую сеть в основном используют в кафе, торговых центрах и других общественных местах. Но и дома она может быть полезна.
Как включить и настроить гостевую Wi-Fi сеть?
С созданием гостевой сети сможет справиться даже неопытный пользователь. Для этого не нужна помощь интернет-провайдера или новый дорогостоящий роутер. Скорее всего, подобная функция поддерживается вашим роутером, нужно только зайти в настройки и активировать ее.
Чтобы включить гостевую сеть, в первую очередь необходимо соединить роутер с ПК или ноутбуком с помощью кабеля, а затем узнать IP-адрес роутера. У разных моделей роутеров адреса отличаются. Узнать точный IP вашей модели роутера можно в инструкции или на наклейке, которая располагается на задней стороне роутера.
Логин и пароль можно найти на самом роутере, на наклейке сзади. Там указан заводской логин и пароль.
После того, как вам удалось попасть в веб-интерфейс роутера, действовать нужно следующим образом:
Далее нужно сохранить все внесенные изменения и выйти из настроек роутера. Важно не только создать гостевую сеть, но и подключить к ней нужные устройства. Например, если у вас дома есть умный чайник или приставка, подключать их к основной Wi-Fi сети не рекомендуется.
Что такое IoT–устройства и почему стоит подключать их именно к гостевой Wi-Fi сети?
Гостевая сеть нужна не только для посетителей общественных мест, она также необходима, если вы пользуетесь различными «умными» устройствами, которые нужно подключать к интернету. В список IoT–устройств входят все подключенные к интернету приборы, которыми можно управлять удаленно:
Настоятельно рекомендуется подключать такие устройства именно к гостевой сети. Это связано с тем, что подобные устройства намного более уязвимы, чем ПК и смартфоны. Если подключать IoT–устройства к основной домашней Wi-Fi сети, в случае ее взлома мошенники смогут получить доступ к данным на других устройствах, подключенных к той же сети (ноутбук, компьютер, смартфон и т.д.).
Подключая IoT–устройства к гостевой Wi-Fi сети, вы обеспечиваете дополнительную защиту. Даже если злоумышленник взломает устройство вроде «умной» лампочки, он не сможет получить доступ к вашим личным данным, хранящимся на персональном компьютере.
Выводы и советы
Гостевую сеть в основном используют в целях обеспечения дополнительной безопасности. Зараженный вирусом смартфон, подключенный к гостевой Wi-Fi сети, не сможет причинить вред вашим личным устройствам, которые подключены к основной Wi-Fi сети. Даже если вы редко принимаете гостей, стоит создать гостевую Wi-Fi сеть для своих IoT–устройств, которые являются более уязвимыми и могут помочь злоумышленникам получить доступ к конфиденциальным данным.
Пожалуйста, оставьте свои отзывы по текущей теме статьи. За комментарии, лайки, подписки, отклики, дизлайки низкий вам поклон!
Пожалуйста, опубликуйте ваши отзывы по текущей теме статьи. За комментарии, подписки, отклики, лайки, дизлайки низкий вам поклон!
Лобби отеля: где располагается зона и для чего предназначена
Зона лобби — это особое пространство, куда вы попадете, как только переступите порог отеля. Она предназначена в первую очередь для удобного времяпрепровождения в ожидании регистрации, выписки и т. д. В этой области обязательно имеется стойка ресепшен и мягкая мебель для удобства посетителей. Также данная территория гостиницы может быть оборудована небольшим лобби-баром с напитками и десертами.
Сам термин происходит от слова lobby, которое можно перевести с английского, как прихожая, фойе или вестибюль. Другими словами это может быть любое помещение, в которое человек попадает с улицы, прежде чем попасть в жилую комнату, рабочий кабинет и т. п. Эта зона также предназначена для посетителей, которые пройти дальше по собственной инициативе и вынуждены ожидать приглашения.
Лобби позволяет создать атмосферу уюта и гостеприимства. В небольших отелях оно бывает достаточно скромным: стол и несколько стульев, кофемашина и стойка регистрации. А вот в крупных гостиничных комплексах выделяют под эту задачу внушительных размеров площадь и оборудуют ее всем необходимым. Ведь помимо заполнения необходимых документов в момент заселения или выезда, гости могут коротать здесь время с самыми разными целями: ожидать друзей, такси, гида или экскурсионного автобуса. Также постояльцы нередко используют эту зону для общения между собой.
Все это значит, что лобби для администрации гостиницы — еще и удобный инструмент для извлечения дополнительной прибыли. Помимо удобной мебели, информационных стендов, компьютеров общего пользования и другого оборудования здесь организуют специальный бар, ассортимент которого доступен для всех желающих за отдельную плату (за исключением гостей, проживание которых относится к категории «все включено»).
Особенности лобби-бара
Как понятно из названия, такой бар должен находиться на территории лобби, неподалеку от службы регистрации, но при этом может быть выделен в отдельную зону с помощью декоративных элементов, растений или перегородок.
Здесь постояльцы и иные категории посетителей отеля могут провести время за просмотром ТВ-программ, прослушиванием фоновой музыки, чтением прессы или изучением интернет-порталов. Что качается ассортимента бара, то он предлагает в первую очередь разнообразные напитки: воду, чай, кофе, соки, коктейли, крепкий алкоголь. Кроме того здесь можно заказать кондитерские изделия и десерты.
Главным отличием лобби-бара от бара, расположенного в обеденной зоне или ресторане гостиницы, состоит в том, что тут за чашечкой кофе могут встретиться постоялец и его гость и обсудить любые насущные вопросы без необходимости подниматься в номер.
Как грамотно развернуть Wi-Fi в отеле: типовые вопросы и решения
Интернет теперь — настолько важная часть жизни человека, что отсутствие доступа к сети в ресторане или гостинице вполне может стать поводом для отказа от услуг соответствующих организаций. Поговорим об особенностях развертывания Wi-Fi-сетей в здании отелей, важных параметрах, а также об аппаратной составляющей.
О том, что каждый современный отель должен иметь в активе своих услуг доступ в интернет через Wi-Fi, и говорить не стоит. Однако конфигурация помещений и ряд других требований и особенностей делают эту задачу несколько специфической. Тут важно оценить степень распространения сигнала, правильно подобрать оборудование, ПО и при этом избежать лишних затрат.
Планирование
С точки зрения развертывания беспроводной сети типичная гостиница несколько сложнее офисного open space или кофейни. Да, плотность подключения клиентов здесь не так высока, но на распространение сигнала влияют стены, мебель, элементы интерьера, трубы и прочие инженерные сооружения. При этом для конечного результата (для предоставления качественной услуги постояльцам) крайне важно соотношение уровней сигнала и шума в любом месте гостиничного номера. Поэтому еще на этапе проектирования сети необходимо провести полноценное радиообследование и радиопланирование, позволяющие определить оптимальные точки размещения оборудования.
В рамках этого этапа задействуется специализированное оборудование и программное обеспечение. Не менее важна информация о характеристиках объектов, расположенных на пути распространения сигнала (вплоть до используемых материалов). Обычно анализ помех выполняется по чертежам и планам помещений. Расхождение реальной ситуации с планами может привести к критичной погрешности в результатах, поэтому целесообразно дополнять теоретические изыскания практическими измерениями.
Пример карты радиопокрытия этажа с гостевыми номерами одного из отелей, где проводилось радиообследование
Еще сложнее обстоит дело с новыми гостиницами. Зачастую заказчик еще на раннем этапе требует результаты радиопланирования, чтобы спроектировать кабельную инфраструктуру. Но на реальное распространение сигнала существенное влияние оказывают отделочные материалы, так что радиообследование бетонной коробки дает практически бессмысленные результаты.
В такой ситуации необходимы несколько оборудованных демо-номеров, в которых проводится радиообследование. Их отделывают и обставляют в первую очередь, а затем уже на основе полученных измерений (экстраполируя их на другие номера) проектируется кабельная инфраструктура всего комплекса.
Выбор оборудования
Есть два принципиально разных подхода к формированию инфраструктуры для предоставления услуги доступа к интернет. Первый — доработка существующего решения с целью улучшения его характеристик. Второй — внедрение нового комплексного решения.
Большинство гостиниц стремятся оптимизировать технологические затраты, поэтому выбирают первый путь — редизайн с улучшением покрытия и повышением емкости сети, но сохранением (по возможности) уже закупленного оборудования.
Второй путь в большей степени востребован новыми объектами.
В любом случае для организации качественного доступа понадобится дополнительное оборудование. Объем закупки рассчитывается, исходя из ожидаемой плотности подключений (в среднем 4-6 номеров на одну точку доступа).
При выборе новых устройств нельзя не учитывать специфику гостиничного «гостевого» доступа — как с технической, так и с эстетической точки зрения.
Хорошая точка доступа для гостиниц должна быть двухдиапазонной. Устройство должно обеспечивать балансировку нагрузки, в том числе за счет функции Band Steering, позволяющей переключать в диапазон 5 ГГц клиентов с поддерживающими его устройствами, освобождая полосу в диапазоне 2,4 ГГц (для устройств, не поддерживающих второй диапазон).
В новых устройствах для беспроводной связи для помещений (то есть тех мест, где распространение сигнала затруднено перекрытиями, мебелью и т.п.) предусмотрена технология Beamforming, которая изменяет условия передачи сигнала в зависимости от особенностей окружения. Устройство определяет, по какому направлению потери сигнала наибольшие, причем решаться эта задача может как совместно с абонентским устройством, так и точкой доступа самостоятельно, в зависимости от поддерживаемых клиентом стандартов.
Стоит отметить и технологию, уже ставшую обязательной в сетях уровня Enterprise: Airtime Fairness, обеспечивающую защиту от «медленного клиента», который теперь не сможет монополизировать ресурсы точки доступа и не ухудшит общую производительность сети.
Кроме того, точка должна вписываться в интерьер гостиницы. Конечно, ее можно убрать и за фальшпотолок, но это может сказаться на дальности распространения сигнала, поэтому рекомендуется все же оставлять устройства на виду.
Точки доступа, предназначенные для монтажа в номерах, часто выпускаются в виде обычных розеток, чтобы не выделяться. Точки доступа для коридоров и иных помещений выпускаются в различных корпусах, имеют функцию отключения сетевых индикаторов. Дополнительно они защищены от краж, например, с помощью замка кенсингтон.
Для минимизации числа проводов, подходящих к точкам доступа, в современных устройствах реализуется питание по стандарту PoE (Power over Ethernet).
Такие факторы, как легкость настройки, особенности доступа к устройству через web-интерфейс и прочее, учитываются во вторую очередь, ведь предполагается, что решение нужно настроить один раз, после чего оно будет функционировать без дополнительных вмешательств. Хотя у отелей бывают собственные дополнительные пожелания относительно мониторинга и настройки закупаемого оборудования.
Проектирование и затраты
Если речь не идет о разработке индивидуальных решений, задействующих специфическое ранее закупленное оборудование, гостиницы вполне могут использовать типовые проекты от крупных производителей. В качестве примера такого подхода — проект построения беспроводной сети в гостинице на 80 номеров на базе нашего стандартного оборудования.
Приблизительные затраты на оборудование для такой сети — около шести тыс. долларов США.
| Наименование | Описание | Количество | Стоимость за единицу, у.е. | Общая цена, у.е. |
| Шлюз | ||||
| TL-ER6020 | SafeStream гигабитный VPN-маршрутизатор с 2мя WAN-портами | 1 | 147 | 147 |
| Коммутаторы | ||||
| T2600G-28TS | JetStream 24-портовый гигабитный управляемый коммутатор 2 уровня с 4 SFP-слотами | 1 | 270 | 270 |
| T1600G-28PS | JetStream 24-портовый гигабитный Smart коммутатор PoE+ с 4 SFP-слотами | 2 | 400 | 800 |
| Точки доступа | ||||
| CAP1750 | AC1750 Wi-Fi двухдиапазонная гигабитная потолочная точка доступа | 30 | 153 | 4590 |
| AC50 | Wi-Fi контроллер точек доступа | 1 | 48 | 48 |
| Итого | 5855 |
Программные компоненты
Вместе с оборудованием для предоставления беспроводного доступа нередко внедряется и удобная система авторизации, поскольку пароль, печатающийся на чеке или написанный на одной из страниц папки с приветственной информацией в номере, — это такой же пережиток прошлого, как медленное соединение или постоянные обрывы связи.
Авторизация при помощи SMS или страницы в социальных сетях дает отелю некоторую информацию о госте, которая при анализе в массе позволяет изменить параметры предложения под целевую аудиторию. Технологии дают не только имиджевые плюсы, но и вполне монетизируемые маркетинговые данные.
Дополнительно можно использовать приложения для мобильных телефонов или аналогичные сервисы, которые часто предоставляются совместно с IT-партнерами с целью экономии на разработке.
Аналогичным образом в партнерстве с ведущими легальными OTT-сервисами постояльцам можно предложить потоковое видео в качестве альтернативы гостиничному телевидению.
Пример из жизни
Один из последних примеров реализации комплексного проекта по организации беспроводного доступа — Wi-Fi в четырехзвездочном City Seasons Дубай.
Отель относится к сети одного из лидер ов гостиничного бизнеса ОАЭ — City Seasons Group. Четырехзвездочные гостиницы группы помимо Дубая расположены в Абу Даби, Аль-Айне и Маскате.
Ранее в City Seasons Дубай уже была развернута сеть Wi-Fi для предоставления гостевого доступа на базе оборудования другого поставщика. Однако она не решала всех задач гостиницы, в частности, у сотрудников не было возможности централизованно управлять сетью и осуществлять ее мониторинг. Потребность в этих инструментах появилась в ходе развития предложения для гостей — в первую очередь для предоставления дополнительных услуг на базе беспроводной сети. Кроме того, необходимо было расширить покрытие беспроводного сигнала и обеспечить бесшовный роуминг между точками доступа во всех зонах отеля.
В рамках разработанного проекта в номерах гостиницы были установлены точки доступа EAP115-Wall, а в остальных зонах — EAP320.
EAP115-Wall N300 настенная точка доступа Wi-Fi, поддержка PoE, линейка Auranet
По словам нашего партнера, Wi-Fi провайдера и системного интегратора, компании Connectum, специализирующегося на подобных проектах индустрии гостеприимства в России, «EAP115-Wall — это как раз то полезное устройство из практики, вошедшей в новые редакции IT-стандартов отелей ведущих мировых брендов. Речь идет о размещении таких настенных точек доступа непосредственно в номерах, а не в коридоре, как это было принято раньше. Это обеспечивает уверенный и стабильный прием, высокую скорость передачи, распределение нагрузки от постояльцев, которые, возвращаясь в отель, вдруг начинают качать фильмы и пользоваться видеосвязью с планшетов.
В точке доступа предусмотрен и проводной порт RJ-45/Ethernet, который можно использовать для доставки видео контента на телевизор или подключения IP-телефона».
EAP320 AC1200 гигабитная двухдиапазонная потолочная точка доступа Wi-Fi линейки Auranet
поддержка 802.11ac, MIMO, TurboQAM, Airtime Fairness, Beamforming, Band Steering, PoE
Дополнительно был внедрен программный EAP-контроллер для управления и мониторинга сети. IT-департамент гостиницы рассматривал и другие предложения (от других вендоров), однако комплект нашего оборудования оказался оптимальным по соотношению цены и качества.
По мнению компании Treolink, которая проектирует, инсталлирует и обслуживает вычислительные сети для клиентов сегмента HoReCa, «точки доступа WiFi TP-Link семейства Auranet обеспечивают беспроводной доступ к сети на скоростях до 1300 Мбит/с. На базе программного или аппаратного контроллера они объединяются в бесшовную сеть, в которой гибко разграничиваются права доступа, настраивается резервирование и ограничение полосы пропускания, авторизация клиентов по SMS, профилям социальных сетей, временным ваучерам доступа. При этом в гостевых сетях Wi-Fi клиентские устройства полностью изолированы как друг от друга, так и от ресурсов корпоративной сети, что гарантирует соблюдение политик информационной безопасности предприятия».
Кроме того, не стоит забывать про проводную часть сети. Наши партнеры из компании Treolink комментируют: «На базе коммутаторов TP-Link серии JetStream строятся высокопроизводительные проводные сети и обеспечивается питание для устройств, поддерживающих PoE — точек доступа Wi-Fi, камер видеонаблюдения, телефонных аппаратов. Коммутаторы позволяют разделить сети на логические, изолированные друг от друга сегменты, настроить списки контроля доступа, авторизацию. Они очень стабильно работают, поддерживают стекирование и агрегацию портов, что очень часто выручает в сложных сценариях при создании ядра крупных (свыше 1000 хостов) сетей».
Вместо заключения
Беспроводная сеть с хорошим покрытием и стабильным доступом к интернету открывает перед отелем массу возможностей. Например, она позволяет в любой точке использовать мобильные терминалы оплаты услуг, установить банкоматы или иные терминалы самообслуживания. Кроме того, появляется возможность внедрить IT-инструменты автоматизации бизнеса через смартфоны и планшеты для персонала, что позволяет упростить управление отдельными службами — банкетной, горничной, кейтеринговой. А крупные мировые гостиничные сети уже тестируют различные формы мобильных приложений для самих гостей, предлагая инструменты удовлетворения своих потребностей при минимальном контакте с персоналом, которые становятся доступными при подключении к интернету или Wi-Fi сети гостиницы, что особенно удобно для гостей из других городов или стран.
Эта тенденция наиболее заметна в сегменте luxury, где для данного явления уже даже появился отдельный термин — low-touch luxury (или «бесконтактная роскошь» или бесконтактный комфорт) — т.е. премиум-сервис, который можно получить при минимальном соприкосновении с персоналом.
Есть еще один интересный сервис для зарубежных постояльцев, по словам компании Connectum: «Иностранным гостям полезно предлагать Wi-Fi „с собой“. Получив мобильный LTE-роутер на стойке в лобби, гость остается с гостиничным Wi-Fi в любой точке города, что выводит искусство гостеприимства на новый уровень».
У нас они, кстати, тоже есть, например, M7350.
Не все из перечисленных сервисов необходимы дешевому пансионату, но потребность в качественном беспроводном доступе практически не зависит от звездности и целевой аудитории отеля. Лучше всего это на текущий момент понимают в Молдове, Украине и Белоруссии — в этих странах, согласно недавнему исследованию HomeToGo, 90 и более процентов объектов «отпускного» размещения имеют Wi-Fi. В десятку стран с максимальной «интернетизацией» временного жилья входит и Россия. В этих условиях обновление инфраструктуры — это уже вопрос не конкуренции с ближайшими соседями по рынку, а выживания среди множества гостиниц, уже расширивших спектр своих цифровых услуг.
Делаем гостевую Wi-Fi сеть в ВУЗе, часть 2. Функции для гостевой Wi-Fi сети
При расширении зоны действия Wi-Fi увеличением числа точек доступа, управляемых шлюзом Zyxel VPN300 (сначала был Zyxel UAG5100), увеличилось количество гостей и проблемы начались в час пик со скоростью интернета, открытием сайтов, шустростью сёрфинга. Уже не успевал мониторить/конфигурировать комплекс и оперативно реагировать на заявки.
Помощника не дали, как это своими силами лечилось и чем настраивалось, делюсь опытом для всех и проведу краткую экскурсию по функциям.
Вот и вот мои предыдущие статьи. В конце текста информация обо мне.
Будут рассмотрены функции
на шлюзах Zyxel:
на коммутаторах Zyxel:
Вообще, проблемы начались ещё при UAG5100, поэтому сначала с ним были настроены функции, опробованы в реальных условиях и реально помогло. Поэтому, когда получили VPN300, эти же функции активировал на нём и всё отлично работает. Уже не помню, когда гости последний раз не могли получить фотку или отправить письмо.
Функции на шлюзах Zyxel
1) Ограничение скорости в профиле SSID – ограничивает скорость каждому гостю, подключённого к точке доступа, управляемой шлюзом (рис.1).
Блокировка трафика Intra-BSS – запрещает перекрестный трафик в сети внутри SSID на одной точке доступа (ТД) (рис.1).
На автономные и ТД Nebula правила не действуют, только на управляемые шлюзом ТД.
Рис.1. Ограничение скорости в профиле SSID и блокировка трафика Intra-BSS.
ограничили скоростью любителей покачать торренты или просмотром 4К на телефоне при медленном интернет-канале провайдера.
блокируется рассылка трафика от соседних телефонов в пределах одной ТД. После этого устройства Wi-Fi уже не так много мусора получают от соседей. Сёрфинг стал шустрее и соседи на ТД не пингуются.
Рис.2. Изоляция L2.
ограничивается рассылка трафика от гостевых устройств в пределах шлюза. Сёрфинг стал шустрее, ТД и соседи на разных ТД не пингуются, кроме тех, кто внесён в белый список;
значительно повысилась отказоустойчивость сети.
3) Привязка IP/MAC-адресов – шлюз проверяет связку IP-MAC со своей базой выданных IP при поступлении запросов (рис.3). Пользователь не сможет вручную назначить своему компьютеру другой IP-адрес и использовать его для подключения к шлюзу.
Рис.3. Привязка IP/MAC-адресов.
Итог: бывают кулхацкеры, сканируют сеть и ставят себе чужие IP или чайники с статическими IP на ноутбуках и долбят всю сеть в поисках домашнего сетевого диска с IP 192.168.1.2. Шлюз препятствует их несанкционированному вмешательству и незамедлительно сообщает на e-mail (п.13) и в логи, успеваем принять меры по блокировке таких гостей.
4) BWM (Bandwidth Management) – управление пропускной способностью (рис.4). Ограничение скорости силами шлюза любому подключённому устройству/учётке/подсети или группе устройств/учёток/подсетей.
Рис.4. BWM (Bandwidth Management) – управление пропускной способностью.
В гостевой Wi-Fi сети всем неавторизованным (их много) ограничиваем скорость до минимума (например, 256 кбит/с), чтобы не заваливали агрессивными запросами (куча вкладок в браузере, вирусы, обновления), но разрешаем повышенные скорости до внешних серверов авторизации, для быстрой загрузки страницы авторизации. Далее, всем авторизованным выставим комфортные скорости, а VIP-персонам безлимит.
ВНИМАНИЕ! VIP-персоны с безлимитными скоростями упрутся в установленные ограничения скоростей в профиле SSID (рис.1), поэтому в профиле SSID выставляем максимально безопасные ограничения (30 мбит/с), чтобы VIP-персоны всю полосу на одной ТД не заняли.
Правилам можно применить расписание, к примеру, ночью авторизованным ещё выше скорости выделять.
Функционал очень широкий и понятный. Разберётесь. Подойдёт сетям с автономными и ТД Zyxel Nebula.
Итог: обезопасили гостевую сеть от агрессивных Wi-Fi устройств неавторизованных гостей, которые не собираются проходить авторизацию и засоряют её. И умеренно ограничиваем скорость большому количеству авторизованных во избежание перегруза интернет-канала.
5) Контроль сессий – ограничение количества сессий гостям (рис.5).
Рис.5. Контроль сессий.
Например, делаем так (правила действуют снизу вверх):
Правило №1. Для авторизованных телефонов и ноутбуков поставим 384, вполне хватает для спокойного сёрфинга, чтения новостей, просмотра роликов;
Правило №2. При использовании внешнего сервиса авторизации разрешим 1024 сессий на внешние серверы авторизации;
Правило №3. Неавторизованным поставим 256, чтобы не заваливали агрессивными запросами (куча вкладок в браузере, вирусы, обновления).
Итог: ещё раз обезопасили гостевую сеть от агрессивных Wi-Fi устройств неавторизованных гостей, которые не собираются проходить авторизацию, но при этом засоряют её.
Рис.6. Веб-аутентификация.
гибкая возможность назначить различным устройствам авторизацию как встроенный биллинг, внешний сервис или не требовать авторизацию у устройств, неспособные пройти авторизацию (телевизоры; терминалы, кассовые аппараты, активация новых Apple; Windows);
немаловажен ещё момент, а если внешний сервис не будет доступен? Тогда всем включаем встроенный биллинг и ресепшн по предварительной записи раздаёт ваучеры по паспорту (постановление Правительства РФ №758 от 31 июля 2014 года). Очень удобно и полная отказоустойчивость 24/7 при активном заселении гостей или перед началом конференции.
Активируется платной лицензией «Управление хот-спотами (биллинг)» на шлюзах Zyxel линейки VPN (все); USG Flex (200/500/700). Функционал отсутствует у USG Flex 100/100W и всей линейки ATP.
Рис.7-1. Биллинг.
Метод аккаунтинга (Рис.7-1):
Без накопления (Time-To-Finish) – при первой авторизации по учётке, запускается таймер учёта оставшегося времени и учётка аннулируется по истечении выданного времени с момента первой авторизации, вне зависимости от использования интернета. Например, в 9 утра авторизовались по учётке с тарифом «2 часа», поработали полчаса и вышли из учётки (logoff), она всё равно она аннулируется в 11 часов. Квоты на скачивание/отправку в мбайт/гбайт недоступны в этом методе.
Накопление (Accumulation) – при первой авторизации по учётке, запускается таймер учёта времени работы в интернете и учётка аннулируется при израсходовании выданного времени с момента первой авторизации. Например, в 9 утра авторизовались по учётке с тарифом «2 часа», поработали полчаса и вышли из учётки (logoff), таймер приостановится и возобновит учёт времени при повторной авторизации и так до повторного логоффа, или срабатывания таймаута неактивности, или полного истечения выданного времени. Квоты на скачивание/отправку в мбайт/гбайт доступны в этом методе.
Накопительная учётная запись будет удалена через ХХ дней – не до конца использованные учётки в любом случае будут удаляться через ХХ дней с момента первой авторизации.
Создание профиля биллинга (тарифного плана) (рис.7-2).
«Цена», можно 0 выставить;
«Период времени» устанавливается в минутах, часах и днях (это сутки);
«Тип квоты», «Всего» или «Загрузить/скачать» устанавливается в МБайтах и ГБайтах;
«Ограничить полосу пропускания», устанавливается в кбит/с.
Рис.7-2. Профили (тарифы) биллинга.
Если перед конференцией много посетителей набралось, за один этап можно сгенерировать до 50 учёток по выбранному тарифу (кнопка A, B или C), распечатать на обычном А4 принтере прям из браузера и выдать. При бОльшем количестве посетителей, процедуру генерирования учёток повторить (рис.7-3).
Рис.7-3. Генератор учётных записей для ваучеров. 
Wi-Fi гости, когда интернет-каналом является 3G USB-модем.
если интернет медленный (USB-модем и т.д.) и не хватает гостям, их можно ограничить скоростями, квотами или временем в тарифах «А». Быстрые тарифы «B» сделать платными. Тарифы «С» безлимитными;
при отсутствии или недоступности внешнего сервиса авторизации или сотовой связи всегда можно перестраховаться включением встроенного сервиса авторизации по ваучерам;
любой гость с ваучером может зайти на http://6.6.6.6 (настраивается в п.6, рис.6) и узнать оставшееся время, квоты.
Один из нескольких случаев, как функционал биллинга выручил.
Перед началом крупной конференции «Безопасность в ИТ» внешний сервис авторизации упал и никто не мог авторизоваться, а гости съехались чуть ли не со всей России и всем нужен был бесплатный Wi-Fi. Экстренно переключили шлюз на встроенную авторизацию по ваучерам (п.6, рис.6), распечатали 500 ваучеров и спокойно раздали всем желающим по записи. Недовольных и позора не было. Поэтому наличие встроенного сервиса авторизации с термопринтером очень критично.
Ненадёжный внешний сервис авторизации поменяли на надёжного, пока ни разу не подводил, но всё равно в запасе всегда должен быть встроенный сервис авторизации, мало ли что.
8) Менеджер принтеров – управление принтерами для распечатки ваучеров (рис.8).
Активируется платной лицензией «Управление хот-спотами (биллинг)» на шлюзах Zyxel линейки VPN (все); USG Flex (200/500/700). Функционал отсутствует у USG Flex 100/100W и всей линейки ATP.
Поддерживает принтеры только Zyxel SP350E. Для распечатки ваучеров не требуется доступ к веб-управлению шлюза, достаточно нажать на термопринтере на нужную кнопку с тарифом (создаются в п.7) и распечатается ваучер с реквизитами. Русские символы не поддерживает. Кодировка текста у ваучера UTF-8. Обходились транслитом.
Рис.8. Менеджер принтеров.
всего одна кнопка нажимается для распечатки ваучера, не требует наличие ПК и обучение персонала.
9) Ресурсы без аутентификации – разрешение посетить сайты без авторизации (рис.9).
Рис.9. Ресурсы без аутентификации.
Итог: разрешаем гостям заходить на собственные сайты заведения (навигация, расписание, реклама, прейскурант цен), не требуя авторизацию. Они будут отображаться на выскакивающей странице авторизации. При попытке гостя зайти на сторонние сайты, ему снова выскочит страница авторизации.
10) Расписание – установка времени включения/отключения какого-нибудь профиля (рис.10). Например: радиопрофили точек доступа, SSID, маршрутизации, направления интернет-трафика к другому провайдеру, патруля приложений (отсутствует у моделей VPN), правила файрволла, BWM и т.д.
Рис.10. Добавление расписания.
Итог: в ночное время можно отключить радиопрофили и интернет от «нехороших» гостей, кулхацеров, если это не гостиница. Или перенаправить трафик к другому провайдеру, у которого ночной тариф безлимитный и скорости больше. Или выключать ограничение скоростей в BWM.
11) WWW – доступ к шлюзу (рис.11).
Рис.11. Ограничение доступа к шлюзу.
В «Контроль доступа админов» добавляем правило, выбираем зону с Wi-Fi гостями и выставляем deny для гостевых подсетей.
Итог: перестрахуемся, запретив авторизацию админам на шлюз из гостевой Wi-Fi подсети. Андроиды последних версий автоматически предлагают зайти на роутер и гости подбирают пароль к шлюзу.
12) Ежедневный отчёт по E-Mail – отправка графического отчёта по E-Mail за прошедшие сутки (рис.12-1).
Рис.12-1. Выбор данных для отправки отчёта
Отчёт читабельный и информативный, 15 шт графиков и почти 80 таблиц со статистикой внешних и внутренних интерфейсов, включая список стран, по которым было скачивание/отправка трафика. Чтобы не утруждать скроллингом отчёта, прикреплю пару скриншотов из отчётов (рис.12-2):
Рис.12-2.Слева отчёт ТОП-4 кол-ва клиентов и трафика. Справа отчёт монитора сессий и график нагрузки всех WAN портов.
Итог: ежесуточно на электронную почту приходит отчёт, по ней понимаем, что гостевая сеть работает, не зависла, гости сидят в интернете. Значительно упрощает мониторинг и экономит время. Пока едешь на работу, знакомишься с отчётом в почтовом клиенте телефона и делаешь вывод, что всё нормально работает, нет острой необходимости по прибытии на рабочее место делать обход (проверку) гостевой Wi-Fi сети, если очень занят.
Отчёт о проведении обхода.
13) Настройка лога с оповещением – отправка событий на сислог сервер, флешку и двум E-Mail (рис.13-1).
Рис.13-1. Выбор категорий лога.
Выручает отправка логов (alert) сразу на E-Mail, настроенного на телефоне, на нём входящие письма сигнализируются. Чаще всего приходят такие категории:
Аутентификация – неудачные авторизации, блокировка Wi-Fi гостевого устройства после нескольких неудачных попыток авторизоваться. Сразу узнаем, что с такого-то IP пытаются подобрать пароль к логину admin или к другим.
Security Policy Control – в файрволле при установке в правиле параметра “log alert”, на почту придут оповещения о появлении трафика, по которому правило начинает работать. К примеру, сразу узнаем, что «нехорошие» гости прощупывают шлюз на наличие открытых портов и других, даже если закрыты.
CAPWAP – состояние ТД (дисконнект, перезагрузка и т.д.). Сразу узнаем, что такая-то ТД нештатно отключилась и принимаем меры.
На рис.13-2 отображены оповещения о дисконнекте ТД (слева), неправильном вводе пароля (в центре) и запросе на подключение на 22 порт шлюза (справа).
Рис.13-2. Письма-оповещения о критических событиях.
после оповещения о дисконнекте точки доступа действуем на опережение, не тратим время на анализ заявок, как «почему телефоны у гостей не находят SSID». Очевидно, что 99% причин – это аварийное отключение подачи электричества PoE коммутатору;
благодаря мгновенному оповещению, всегда в курсе что происходит с гостевой сетью и понимаем, что за проблемы у гостей. Реально помогает работе с комплексом.
Доложение обстановки.
Примечание: почему на обоих скриншотах (рис.12-2 и рис.13-2) фигурирует Zyxel UAG5100? В дни написания статьи параллельно проводился эксперимент с Zyxel VPN300 для нового проекта. Для чистоты эксперимента и чтобы не мешать Wi-Fi гостям, временно перекинул точки доступа с VPN300 на резервный UAG5100, но функции роутера и авторизации гостей оставил у VPN300. По окончании экспериментов все ТД верну на VPN300. В принципе, в показанных скриншотах нет разницы между UAG5100 и VPN300.
Функции на коммутаторах Zyxel
Нажимаем на Status, затем Neighbor:
Рис.14-1. Запускаем Neighbor.
Получаем список подключённых (Remote) PoE устройств, которые можем перезагрузить (кнопка Cycle) или сбросить (кнопка Reset) до дефолтного состояния или зайти по забытому IP на него (рис.14-2).
Рис.14-2. Neighbor, найденные соседи.
Итог: актуально, если применил конфиг с ошибкой (к примеру, перепутал VLAN ID) и ТД перестала отвечать или зависла. Как теперь её сбросить или перезагрузить, если она на высоком потолке или нет времени выехать на объект? Поэтому Neighbor выручал сбросом или перезагрузкой.
Рис.15. Запуск Locator (светодиодной сигнализации).
Текст уже большой стал. Закругляюсь. Для учебных заведений очень полезны функции шлюза как контентная фильтрация; патруль приложений; Гео-IP.
Финальный итог и почему выбрал Zyxel?
Часть функций относится к работе с трафиком — это работа шлюза и такое отсутствует в программных контроллерах Wi-Fi. Вот почему так нужен встроенный Wi-Fi контроллер в железке-шлюзе. Городить комплекс из железок (шлюз, МСЭ, контроллер) дороже, хлопотно и каждый узел настраивать, это требует время, покупку стойки с ИБП, сплит-систему.
Вы скажете, так надёжнее! Но у шлюзов Zyxel есть функция резервирования шлюза «Device HA Pro». Проще два одинаковых шлюза купить и поднять резервирование между ними, всё равно они негабаритные.
Вы заметили, что ни разу не обращался к CLI (ввод текстовых команд). Всё настраивается на веб-странице, упрощается настройка/мониторинг шлюза для опытных пользователей или молодых ИТ-специалистов. Провайдерские знания не потребуются. Многое можно сделать на планшете, не заморачиваясь вводом длинных команд.
Для гостевой Wi-Fi сети с роумингом и авторизацией очень сложно найти с вышеперечисленными функциями универсальный шлюз у других вендоров в силу отсутствия подробных характеристик и гидов и по разумной цене. Найти у них совместимые ТД оказалось большой проблемой, как искал их, читайте тут. Поэтому рекомендую любые управляемые ТД Zyxel со шлюзами USG Flex / VPN / частично ATP (ATP не поддерживает биллинг и термопринтеры). Список управляемых ТД, поддерживаемые шлюзом, указывается в конце документа характеристик шлюза. Например, тут. Ещё прошу обратить внимание, как понятно и чётко перечислены функции шлюза, что внушает доверие перед покупкой.
Сохраняйте экосистему Zyxel. Бесплатная утилита ZON найдёт Zyxel в своей подсети, списком отобразит и оттуда сигнализацию (Locator) запустит, сбросит или прошивку обновит. С ней значительно проще, легче и комфортнее работается. Теперь вполне справляюсь в одиночку.
Не игнорируйте коммутаторы Zyxel с PoE, есть с индикацией нагрузки PoE на лицевой панели, упрощают работу с инфраструктурой.
Рис.17. Индикация нагрузки PoE на лицевой панели.
Хотите это обсудить? Поспорить? Пишите в комментариях, а также общайтесь со мной и другими практикующими специалистами Zyxel в телеграм-канале https://t.me/zyxelru.