Vyhledávání
Důležité kontakty
Technická
podpora
podpora
4ipnet - profesionální kontrolery a hotspotová řešení pro každého!
18.10.2011
Centrální kontroler se v dnešní době stává čím dál častěji nedílnou součástí a „mozkem“ komplexní bezdrátové sítě. Díky řadě konkurenčních produktů je stále těžší se zorientovat a zvolit to správné řešení šité na míru požadavkům i náročných zákazníků. Při výběru technologie je kladen důraz zejména na širokou možnost konfigurace, uživatelsky příjemné prostředí, bezproblémovou funkčnost, kdy zařízení uvedete do provozu a „nevíte o něm“, přehledný management a v neposlední řadě samozřejmě na cenu. Ideální také je, má-li toto ucelené řešení něco navíc. Něco, čím se od konkurence odlišuje. Ztotožňujete se s těmito požadavky? Pokud ano, máme pro vás řešení!
Centrální kontrolery a hotspotová řešení v jednom společnosti 4ipnet jsou vhodná především do firemní sféry, hotelů, restaurací, kampusů a letištních terminálů pro poskytování Internetu hostům a zákazníkům. Pojďme se společně podívat na základní model WHG311. Základní a přesto pro většinu zákazníků z řad montážních firem a systémových integrátorů naprosto dostačující.
Toto výkonné multifunkční zařízení v sobě kromě centrálního kontroleru ukrývá také režim hotspotové brány a ve spojení s access pointy EAP série se z něj stává vysoce výkonný hotspotový systém pro rozsáhlé sítě. Díky modelu WHG311 lze řídit a spravovat až 30 přístupových bodů EAP110, EAP200, EAP300 nebo EAP700. Komunikace mezi centrálním prvkem a access pointy funguje přes L2 i L3 síť prostřednictvím vysoce bezpečných VPN tunelů. Nejste tedy odkázáni na přímé propojení ethernetovým kabelem mezi kontrolerem a access pointy, jak tomu u některých podobných řešení bývá. Management probíhá přes webové rozhraní včetně plné podpory SSL protokolu (HTTPS) nebo SNMP protokol. WHG311 podporuje automatické vyhledání AP v síti, detekci cizích AP (Rogue AP Detection) a umožňuje rovnoměrné rozložení zátěže mezi připojené přístupové body. Díky velice podrobným grafickým statistikám a systémovému logu budete mít nad svojí sítí neustálý přehled.
Obr. 1: Centrální kontroler WHG311
Síť pod dokonalou kontrolou
Zařízení disponuje velice přehledným webovým rozhraním obsahujícím aktivní odkazy. Samotná úvodní konfigurace je velmi jednoduchá a z velké části automatizovaná kontrolerem, který svoji práci odvádí na výbornou. Stačí k němu připojit požadovaná AP ve výchozím nastavení (výchozí IP adresa, přihlašovací jméno a heslo) a AP přes webové rozhraní vyhledat. Za několik málo sekund kontroler přístupové body detekuje a automaticky všem změní IP adresy do jiného síťového rozsahu. Na výběr je zde ze tří šablon (Templates), které v sobě zahrnují jakousi „prvotní konfiguraci“ přístupových bodů. Šablonu si lze také „stáhnout“ z požadovaného, již nakonfigurovaného AP a tuto pak aplikovat - chcete-li nahrát - do ostatních AP připojených ke kontroleru. V seznamu vyhledaných AP přiřadíte k jednotlivým zařízením požadovanou šablonu a servisní zónu (více o servisních zónách se dočtete dále v článku). Kanál lze nastavit ručně nebo nechat tuto práci na kontroleru, který detekuje již využité kanály a snaží se zvolit volné nepřekrývající se kanály s největším odstupem od ostatních. Máme-li např. trojici přístupových bodů v pásmu 2,4 GHz, kontroler zvolí kanály 1, 6 a 11. Tento proces se samozřejmě provádí pouze při úvodní konfiguraci, kdy kontroler přístupové body ještě „nezná“.
Obr. 2: Přehled služeb v kontroleru s aktivními odkazy
Jak již bylo zmíněno, základní model WHG311 zvládá řídit a dohledovat až 30 připojených přístupových bodů série EAP a to jak lokálních, tak ve „wide area“ neboli v Internetu. Pro rozsáhlé instalace a nejnáročnější uživatele je k dispozici model WHG707 umožňující řízení až 500 EAP.
Obr. 3 Tabulka typů centrálních kontrolerů 4ipnet – porovnání základních parametrů
Servisní zóny
Síť lze rozdělit až do devíti servisních zón - každá z nich je spárovaná s dvojící VLAN tag a SSID. Lze tak vytvořit až 9 logicky oddělených sítí. Pro každou servisní zónu je možné nadefinovat vlastní úvodní přihlašovací stránku, nastavit vlastní možnosti autentizace, IP adresy LAN rozhraní a z toho vyplývající různý DHCP adresní rozsah pro každou ze zón. Zde se také konfiguruje, vůči kterému ze serverů (databázi) bude uživatel ve své zóně autentizován – na výběr je zde celá škála možností - LOCAL, LDAP, RADIUS, SIP, POP3 nebo ON-DEMAND (uživatelé „na vyžádání“), globální SSID celé bezdrátové sítě, její zabezpečení a v neposlední řadě, které access pointy připojené ke kontroleru budou přiřazeny do té které zóny.
Skupiny
Skupiny (Groups) jsou nadřazené servisním zónám. V kontroleru jich existuje celkem osm a jejich hlavním parametrem je nastavení kvality služeb (QoS). V kontroleru najdete klasifikace podle čtyř základních služeb – Video, Voice, Backgroud a Best-effort. Skupina definuje servisní zóny do ní náležící, navíc s přesně definovanými pravidly (Policy) pro každou danou servisní zónu zvlášť. Např. můžete vytvořit skupinu č. 1 s názvem VoIP pro volání, přiřadit jí klasifikační třídu Continuous Grant (odpovídající pojmenování Voice) určenou pro real-time služby (VoIP, E1) náchylné na změnu a kolísání bitové rychlosti - garantována je v tomto případě přenosová rychlost a zpoždění. Do této skupiny lze pak přiřadit ty servisní zóny, které svými přesně definovanými access pointy vykrývají oblasti určené primárně pro Wi-Fi telefonii.
Pravidla
Pravidla (Policy) ke své funkci využívá vestavěný Firewall a vzhledem k servisním zónám a skupinám je hierarchicky „nejníže“. Celkem se skládá ze třinácti šablon (jedna globální, ta je nadřazena všemu ostatnímu + 12 vlastních). Je tak možné filtrovat veškerý síťový provoz (UDP, TCP), povolit/zakázat ICMP pakety, použité síťové protokoly (HTTPS, FTP, IMAP…), filtrovat obsah apod., a to vše pomocí vytváření konkrétních dílčích pravidel (Rules) náležících do konkrétní šablony síťové politiky. Lze také přiřadit přesně definovaný časový plán – např. prohlížení webu (HTTP, port 80) bude aktivní pouze od pondělí do pátku, kdežto FTP protokol lze využít jen v úterý a čtvrtek od 8 do 12 hod.
Možnost konfigurace je tedy více než rozsáhlá a uspokojí spolehlivě i ty nejnáročnější uživatele. Pro přehlednost hierarchie poslouží následující schéma.
Obr. 4: Struktura definující detailní nastavení služeb a pravidel v kontroleru
Integrovaný hotspot systém
Hotspot je určen k vytváření veřejných sítí, u kterých nutné mít kontrolu nad chováním uživatelů a navíc se výborně hodí například i pro reklamní sdělení.
Pomocí několika jednoduchých kroků lze nadefinovat požadované uživatelské účty - integrovaný autentizační server dovoluje velice široké spektrum nastavení pro každý daný účet zvlášť. Účty mohou být zdarma nebo placené, limitované časem nebo objemem přenesených dat. WHG311 obsahuje 3000 lokálních uživatelských účtů, navíc je možné vytvořit dalších 3000 účtů na vyžádání (tzv. On-demand) nebo ověřovat účty uložené na externím RADIUS serveru, poštovním POP3 serveru apod. Vytváření uživatelských účtů je velice snadné a zvládne jej i méně zkušený uživatel. Lokální účty slouží pro zaměstnance, správu hotelu, restaurace nebo také pro obsluhu vybavenou mobilními Wi-Fi terminály – tento typ účtu bývá fixní a permanentní. Naproti tomu účty On-demand jsou, jak již název napovídá, vytvářeny na vyžádání a mají omezenou platnost, ať už jsou omezeny časově nebo datově – v nejčastějším případě je přiděluje a spravuje obsluha v lobby hotelu, na sekretariátu ve firmě apod.
Účtovací plány a vytváření uživatelských učtů
Administrátor může vydefinovat a uložit až 10 samostatných účtovacích plánů (Billing Plans) – ty lze omezit dobou trvání připojení a tu využít buď jednorázově, nebo třeba postupně po dílčích časových úsecích. Dále je možné nastavit čas začátku připojení, čas ukončení připojení (tzv. „hotel cut-of-time“), cenu za poskytnutou službu pro každý placený účet a konečně limitovat účet objemem přenesených dat. Omezit lze i platnost voucheru na určitou dobu, do jejíhož uplynutí musí být účet ze strany zákazníka aktivován…
Jakmile je nový účet vygenerován (účty je možné generovat v dávkách) a svázán s uživatelským jménem a heslem, můžete jej vytisknout na běžné externí tiskárně nebo speciální tiskárně voucherů 4ipnet (SDS100 + PRT100), kterou lze dokoupit zvlášť. WHG311 nabízí také integrovaný platební systém pro služby SecurePay, WorldPay, Authorize.net a PayPal. Sám zákazník tak může použít svoji kreditní kartu a uhradit poplatek za připojení nebo jeho prodloužení.
Obr. 5: Platební brány podporované přímo v kontroleru
Po připojení k bezdrátové síti (ta může být zabezpečená nebo otevřená) a spuštění internetového prohlížeče se uživateli zobrazí stránka hotelu, restaurace nebo kavárny, kterou může administrátor upravit plně podle svých potřeb ve webovém rozhraní WHG311, stejně jako lze velmi detailně nastavit vzhled tištěného voucheru – přidat můžete licenční podmínky hotelu, logo a obrázky. Kreativitě se meze nekladou – jako přihlašovací obrazovku lze použít např. externí webovou stránku ve formátu html. Tato síť určená pro návštěvníky je zajisté úplně oddělena od firemní sítě pomocí VLAN a virtuálních zón.
Obr. 6: Příklad vzhledu vytištěného voucheru (jednotlivé položky lze počeštit)
Zákazník poté na výzvu zadá přihlašovací údaje vytištěné na štítku, které obdržel od poskytovatele služby do zobrazeného okna a tím je mu umožněn přístup na Internet. V samostatném okně prohlížeče zákazník i nadále po přihlášení vidí zbývající časový popř. datový limit pro přístup. V tomto okně je možné se kdykoliv odhlásit (např. využíváte-li svůj čas k surfování po částech) nebo prodloužit používání služby pomocí kreditní karty u placeného účtu. Brána má integrovánu funkci Walled Garden – lze jí vydefinovat internetové stránky, na které lze přistupovat i bez předchozího přihlášení.
Obr. 7: Vzor úvodní přihlašovací obrazovky
Přístupové body
Indoorové access pointy řady EAP již na první pohled vynikají svým konzervativním designem a přitom robustním kovovým provedením – krytí IP50 je předurčuje k použití i v náročných provozních podmínkách.
EAP110
Základní Enterprise Access Point EAP110 zaujme především svými kompaktními rozměry. Rádio pracuje v pásmu 2,4 GHz a využívá standardu 802.11b/g/n se dvěma anténami v konfiguraci 2x2 MIMO. Komunikuje tak rychlostí až 300 Mb/s na fyzické vrstvě, přičemž reálná uživatelská přenosová rychlost se pohybuje mezi 60 až 90 Mb/s v závislosti na prostředí. Je vybaven jedním LAN portem, přes který jej lze napájet pomocí PoE.
Obr. 8: Základní model EAP110
EAP200
Další z EAP rodiny, model EAP200, je určen stejně jako předchozí EAP110 do pásma 2,4 GHz využívající standard 2x2 MIMO 802.11b/g/n v konfiguraci se dvěma externími anténami. Dva LAN porty se starají jak o zálohu napájení (oba mohou být napájeny pomocí PoE), tak o zálohu konektivity při aktivaci funkce link failover. Při použití EAP200 spolu s centrálním kontrolerem lze LAN porty využít na jakési „řetězení“ jednotlivých AP za sebou – odpadá tedy nutnost připojovat každé AP zvlášť „znovu“ z kontroleru. Pro integrátory to přináší výhodu hlavně formou úspory za kabeláž a zjednodušení montážních a instalačních prací. Kontroler podporuje Spanning Tree Protocol (STP) a je možné zřetězené EAP200 „zakruhovat“. V takto vytvořené „drátové“ MESH síti se při výpadku jedné z větví okamžitě aktivuje ta druhá a spojení se bez jakéhokoli výpadku obnoví. Oproti EAP110 navíc přibyla možnost dodatečného DC napájení 12-48 V přes terminál blok.
Obr. 9: Přístupový bod EAP200
EAP300
Dual-bandové EAP300 pracuje v pásmech 2,4 GHz i 5 GHz a využívá standardu 802.11a/b/g/n v konfiguraci 3x3 MIMO. Pro plné využití MIMO konfigurace je model EAP300 vybaven gigabitovým LAN portem.
Obr. 10: Dual-bandový access point EAP300
WES – WDS Easy Setup
Všechny access pointy disponují funkcí WDS, sloužící k prodloužení dosahu bezdrátové sítě. Modely EAP200, EAP700 a HSG200 jsou navíc přímo vybaveny hardwarovým tlačítkem WES (WDS Easy Setup) pro okamžité sestavení šifrovaného WDS spojení mezi jednotlivými AP. Access pointy lze mezi sebou propojit pouhým stiskem tlačítka bez jakékoli další ruční konfigurace. K jednomu AP lze připojit až čtyři WDS větve (linky). Jeden WDS link se vždy skládá ze dvou propojených zařízení – jedno v režimu Master a druhé v režimu Slave. Jak je mezi sebou odlišit? Velmi snadno - pro aktivaci AP v režimu Master stačí stisknout a podržet WES tlačítko po dobu tří sekund. LED dioda se rozbliká a očekává iniciativu protistrany - aktivace AP v režimu Slave se provede pouze krátkým stisknutím WES tlačítka. Celý takto vytvoření WDS link, využívající 128bitovou blokovou šifru AES, se sestaví během 10 sekund.
Obr. 11: Schéma WDS spojení - aktivace pouhým stiskem tlačítka
HSG200 – hostpotové řešení pro menší instalace
Výše představené řešení je vhodné pro rozsáhlé sítě do větších objektů, jako jsou hotely, kampusy, školy, nemocnice, letištní terminály, sklady apod. Ale co když potřebujete využít funkci hotspotu v kavárnách, restauracích a třeba pouze v lobby hotelu? I na to má 4ipnet odpověď.
Hotspot Gateway HSG200 v sobě integruje rádio založené na špičkovém Atheros chipsetu pracující v pásmu 2,4 GHz a využívá standardu 802.11b/g/n v konfiguraci 2x2 MIMO a hotspotové funkce až na pár detailů identické jako v případě kontroleru WHG311. HSG200 je limitován pouze na dvě servisní zóny – veřejnou a privátní. Druhé omezení spočívá v 500 lokálních a dalších 2000 uživatelských účtů na vyžádání (On-demand). Opět je možné připojit speciální tiskárnu voucherů, kterou lze zakoupit jako „bundle“ spolu s bránou nebo i zvlášť.
Obr. 12: Hotspotová brána pro menší instalace HSG200
HSG200 podporuje rovněž funkci WDS, sloužící k prodloužení dosahu bezdrátové sítě. Tlačítko WES na zadní straně aktivuje okamžité sestavení WDS spojení s okolními AP v dosahu - v případě potřeby tak můžete velice snadno rozšířit oblast pokrytí bezdrátovým signálem např. v hotelu a jako prvek pro rozšíření této hospotové sítě využít i některý z přístupových bodů řady EAP.
Samozřejmostí je podpora nejsilnějšího zabezpečení WPA2 včetně autentifikace uživatele vůči až dvěma zaregistrovaným externím RADIUS serverům. Integrovaný firewall se stará o komplexní nastavení a správu typů služeb - např. vyčlenění konkrétní přenosové kapacity konkrétním účtům (ve směrech uplink i downlink zvlášť), povolení pouze určitých služeb konkrétním zákazníkům (např. pouze prohlížení webu a mail). Brána obsahuje navíc pokročilé QoS funkce pro prioritizaci provozu. Poskytuje služby DHCP serveru, routování a NAT funkci. Brána umožňuje sbírání logů, trapů, zasílání reportů o účtech a aktivitách uživatelů. Zprávy lze zasílat na mail nebo Syslog server. Administraci brány lze provádět přes webové rozhraní zabezpečeným protokolem SSL.
Obr. 13: Hotspotová brána včetně print serveru a tiskárny voucherů
Díky dvěma LAN portům na zadní straně brány lze vytvořit dva logicky oddělené síťové segmenty (zóny) s různým SSID - tzv. veřejná a privátní zóna. Hned vedle je umístěn WAN port (může být napájen pomocí PoE), hardwarové resetovací tlačítko, USB konektor (pro budoucí využití), RS-232 konektor pro management zařízení pomocí konzole v případě, že není dostupné z Internetu a konečně konektor pro připojení napájecího adaptéru. HSG200 umožňuje také napájení 48V PoE injektorem dle standardu 802.3af skrze WAN port. Napáječ lze dokoupit zvlášť. Kovové pouzdro a krytí IP50 předurčuje použití jednotky i v náročném průmyslovém prostředí, např. ve výrobních halách. Zařízení je vybaveno dvěma odnímatelnými všesměrovými anténami se ziskem 5 dBi.
Závěrem
Společnost 4ipnet je již řadu let špičkou na trhu v oblasti komplexních bezdrátových sítí s důrazem na širokou funkčnost a vysokou spolehlivost a bezpečnost. Svým portfoliem směřuje do enterprise segmentu, kde je navíc kladen důraz na kvalitní a stabilní řešení za rozumnou cenu.
Na centrální kontrolery a větší instalace poskytujeme speciální projektové ceny!
Toto výkonné multifunkční zařízení v sobě kromě centrálního kontroleru ukrývá také režim hotspotové brány a ve spojení s access pointy EAP série se z něj stává vysoce výkonný hotspotový systém pro rozsáhlé sítě. Díky modelu WHG311 lze řídit a spravovat až 30 přístupových bodů EAP110, EAP200, EAP300 nebo EAP700. Komunikace mezi centrálním prvkem a access pointy funguje přes L2 i L3 síť prostřednictvím vysoce bezpečných VPN tunelů. Nejste tedy odkázáni na přímé propojení ethernetovým kabelem mezi kontrolerem a access pointy, jak tomu u některých podobných řešení bývá. Management probíhá přes webové rozhraní včetně plné podpory SSL protokolu (HTTPS) nebo SNMP protokol. WHG311 podporuje automatické vyhledání AP v síti, detekci cizích AP (Rogue AP Detection) a umožňuje rovnoměrné rozložení zátěže mezi připojené přístupové body. Díky velice podrobným grafickým statistikám a systémovému logu budete mít nad svojí sítí neustálý přehled.
Obr. 1: Centrální kontroler WHG311
Síť pod dokonalou kontrolou
Zařízení disponuje velice přehledným webovým rozhraním obsahujícím aktivní odkazy. Samotná úvodní konfigurace je velmi jednoduchá a z velké části automatizovaná kontrolerem, který svoji práci odvádí na výbornou. Stačí k němu připojit požadovaná AP ve výchozím nastavení (výchozí IP adresa, přihlašovací jméno a heslo) a AP přes webové rozhraní vyhledat. Za několik málo sekund kontroler přístupové body detekuje a automaticky všem změní IP adresy do jiného síťového rozsahu. Na výběr je zde ze tří šablon (Templates), které v sobě zahrnují jakousi „prvotní konfiguraci“ přístupových bodů. Šablonu si lze také „stáhnout“ z požadovaného, již nakonfigurovaného AP a tuto pak aplikovat - chcete-li nahrát - do ostatních AP připojených ke kontroleru. V seznamu vyhledaných AP přiřadíte k jednotlivým zařízením požadovanou šablonu a servisní zónu (více o servisních zónách se dočtete dále v článku). Kanál lze nastavit ručně nebo nechat tuto práci na kontroleru, který detekuje již využité kanály a snaží se zvolit volné nepřekrývající se kanály s největším odstupem od ostatních. Máme-li např. trojici přístupových bodů v pásmu 2,4 GHz, kontroler zvolí kanály 1, 6 a 11. Tento proces se samozřejmě provádí pouze při úvodní konfiguraci, kdy kontroler přístupové body ještě „nezná“.
Obr. 2: Přehled služeb v kontroleru s aktivními odkazy
Jak již bylo zmíněno, základní model WHG311 zvládá řídit a dohledovat až 30 připojených přístupových bodů série EAP a to jak lokálních, tak ve „wide area“ neboli v Internetu. Pro rozsáhlé instalace a nejnáročnější uživatele je k dispozici model WHG707 umožňující řízení až 500 EAP.
Obr. 3 Tabulka typů centrálních kontrolerů 4ipnet – porovnání základních parametrů
Servisní zóny
Síť lze rozdělit až do devíti servisních zón - každá z nich je spárovaná s dvojící VLAN tag a SSID. Lze tak vytvořit až 9 logicky oddělených sítí. Pro každou servisní zónu je možné nadefinovat vlastní úvodní přihlašovací stránku, nastavit vlastní možnosti autentizace, IP adresy LAN rozhraní a z toho vyplývající různý DHCP adresní rozsah pro každou ze zón. Zde se také konfiguruje, vůči kterému ze serverů (databázi) bude uživatel ve své zóně autentizován – na výběr je zde celá škála možností - LOCAL, LDAP, RADIUS, SIP, POP3 nebo ON-DEMAND (uživatelé „na vyžádání“), globální SSID celé bezdrátové sítě, její zabezpečení a v neposlední řadě, které access pointy připojené ke kontroleru budou přiřazeny do té které zóny.
Skupiny
Skupiny (Groups) jsou nadřazené servisním zónám. V kontroleru jich existuje celkem osm a jejich hlavním parametrem je nastavení kvality služeb (QoS). V kontroleru najdete klasifikace podle čtyř základních služeb – Video, Voice, Backgroud a Best-effort. Skupina definuje servisní zóny do ní náležící, navíc s přesně definovanými pravidly (Policy) pro každou danou servisní zónu zvlášť. Např. můžete vytvořit skupinu č. 1 s názvem VoIP pro volání, přiřadit jí klasifikační třídu Continuous Grant (odpovídající pojmenování Voice) určenou pro real-time služby (VoIP, E1) náchylné na změnu a kolísání bitové rychlosti - garantována je v tomto případě přenosová rychlost a zpoždění. Do této skupiny lze pak přiřadit ty servisní zóny, které svými přesně definovanými access pointy vykrývají oblasti určené primárně pro Wi-Fi telefonii.
Pravidla
Pravidla (Policy) ke své funkci využívá vestavěný Firewall a vzhledem k servisním zónám a skupinám je hierarchicky „nejníže“. Celkem se skládá ze třinácti šablon (jedna globální, ta je nadřazena všemu ostatnímu + 12 vlastních). Je tak možné filtrovat veškerý síťový provoz (UDP, TCP), povolit/zakázat ICMP pakety, použité síťové protokoly (HTTPS, FTP, IMAP…), filtrovat obsah apod., a to vše pomocí vytváření konkrétních dílčích pravidel (Rules) náležících do konkrétní šablony síťové politiky. Lze také přiřadit přesně definovaný časový plán – např. prohlížení webu (HTTP, port 80) bude aktivní pouze od pondělí do pátku, kdežto FTP protokol lze využít jen v úterý a čtvrtek od 8 do 12 hod.
Možnost konfigurace je tedy více než rozsáhlá a uspokojí spolehlivě i ty nejnáročnější uživatele. Pro přehlednost hierarchie poslouží následující schéma.
Obr. 4: Struktura definující detailní nastavení služeb a pravidel v kontroleru
Integrovaný hotspot systém
Hotspot je určen k vytváření veřejných sítí, u kterých nutné mít kontrolu nad chováním uživatelů a navíc se výborně hodí například i pro reklamní sdělení.
Pomocí několika jednoduchých kroků lze nadefinovat požadované uživatelské účty - integrovaný autentizační server dovoluje velice široké spektrum nastavení pro každý daný účet zvlášť. Účty mohou být zdarma nebo placené, limitované časem nebo objemem přenesených dat. WHG311 obsahuje 3000 lokálních uživatelských účtů, navíc je možné vytvořit dalších 3000 účtů na vyžádání (tzv. On-demand) nebo ověřovat účty uložené na externím RADIUS serveru, poštovním POP3 serveru apod. Vytváření uživatelských účtů je velice snadné a zvládne jej i méně zkušený uživatel. Lokální účty slouží pro zaměstnance, správu hotelu, restaurace nebo také pro obsluhu vybavenou mobilními Wi-Fi terminály – tento typ účtu bývá fixní a permanentní. Naproti tomu účty On-demand jsou, jak již název napovídá, vytvářeny na vyžádání a mají omezenou platnost, ať už jsou omezeny časově nebo datově – v nejčastějším případě je přiděluje a spravuje obsluha v lobby hotelu, na sekretariátu ve firmě apod.
Účtovací plány a vytváření uživatelských učtů
Administrátor může vydefinovat a uložit až 10 samostatných účtovacích plánů (Billing Plans) – ty lze omezit dobou trvání připojení a tu využít buď jednorázově, nebo třeba postupně po dílčích časových úsecích. Dále je možné nastavit čas začátku připojení, čas ukončení připojení (tzv. „hotel cut-of-time“), cenu za poskytnutou službu pro každý placený účet a konečně limitovat účet objemem přenesených dat. Omezit lze i platnost voucheru na určitou dobu, do jejíhož uplynutí musí být účet ze strany zákazníka aktivován…
Jakmile je nový účet vygenerován (účty je možné generovat v dávkách) a svázán s uživatelským jménem a heslem, můžete jej vytisknout na běžné externí tiskárně nebo speciální tiskárně voucherů 4ipnet (SDS100 + PRT100), kterou lze dokoupit zvlášť. WHG311 nabízí také integrovaný platební systém pro služby SecurePay, WorldPay, Authorize.net a PayPal. Sám zákazník tak může použít svoji kreditní kartu a uhradit poplatek za připojení nebo jeho prodloužení.
Obr. 5: Platební brány podporované přímo v kontroleru
Po připojení k bezdrátové síti (ta může být zabezpečená nebo otevřená) a spuštění internetového prohlížeče se uživateli zobrazí stránka hotelu, restaurace nebo kavárny, kterou může administrátor upravit plně podle svých potřeb ve webovém rozhraní WHG311, stejně jako lze velmi detailně nastavit vzhled tištěného voucheru – přidat můžete licenční podmínky hotelu, logo a obrázky. Kreativitě se meze nekladou – jako přihlašovací obrazovku lze použít např. externí webovou stránku ve formátu html. Tato síť určená pro návštěvníky je zajisté úplně oddělena od firemní sítě pomocí VLAN a virtuálních zón.
Obr. 6: Příklad vzhledu vytištěného voucheru (jednotlivé položky lze počeštit)
Zákazník poté na výzvu zadá přihlašovací údaje vytištěné na štítku, které obdržel od poskytovatele služby do zobrazeného okna a tím je mu umožněn přístup na Internet. V samostatném okně prohlížeče zákazník i nadále po přihlášení vidí zbývající časový popř. datový limit pro přístup. V tomto okně je možné se kdykoliv odhlásit (např. využíváte-li svůj čas k surfování po částech) nebo prodloužit používání služby pomocí kreditní karty u placeného účtu. Brána má integrovánu funkci Walled Garden – lze jí vydefinovat internetové stránky, na které lze přistupovat i bez předchozího přihlášení.
Obr. 7: Vzor úvodní přihlašovací obrazovky
Přístupové body
Indoorové access pointy řady EAP již na první pohled vynikají svým konzervativním designem a přitom robustním kovovým provedením – krytí IP50 je předurčuje k použití i v náročných provozních podmínkách.
EAP110
Základní Enterprise Access Point EAP110 zaujme především svými kompaktními rozměry. Rádio pracuje v pásmu 2,4 GHz a využívá standardu 802.11b/g/n se dvěma anténami v konfiguraci 2x2 MIMO. Komunikuje tak rychlostí až 300 Mb/s na fyzické vrstvě, přičemž reálná uživatelská přenosová rychlost se pohybuje mezi 60 až 90 Mb/s v závislosti na prostředí. Je vybaven jedním LAN portem, přes který jej lze napájet pomocí PoE.
Obr. 8: Základní model EAP110
EAP200
Další z EAP rodiny, model EAP200, je určen stejně jako předchozí EAP110 do pásma 2,4 GHz využívající standard 2x2 MIMO 802.11b/g/n v konfiguraci se dvěma externími anténami. Dva LAN porty se starají jak o zálohu napájení (oba mohou být napájeny pomocí PoE), tak o zálohu konektivity při aktivaci funkce link failover. Při použití EAP200 spolu s centrálním kontrolerem lze LAN porty využít na jakési „řetězení“ jednotlivých AP za sebou – odpadá tedy nutnost připojovat každé AP zvlášť „znovu“ z kontroleru. Pro integrátory to přináší výhodu hlavně formou úspory za kabeláž a zjednodušení montážních a instalačních prací. Kontroler podporuje Spanning Tree Protocol (STP) a je možné zřetězené EAP200 „zakruhovat“. V takto vytvořené „drátové“ MESH síti se při výpadku jedné z větví okamžitě aktivuje ta druhá a spojení se bez jakéhokoli výpadku obnoví. Oproti EAP110 navíc přibyla možnost dodatečného DC napájení 12-48 V přes terminál blok.
Obr. 9: Přístupový bod EAP200
EAP300
Dual-bandové EAP300 pracuje v pásmech 2,4 GHz i 5 GHz a využívá standardu 802.11a/b/g/n v konfiguraci 3x3 MIMO. Pro plné využití MIMO konfigurace je model EAP300 vybaven gigabitovým LAN portem.
Obr. 10: Dual-bandový access point EAP300
WES – WDS Easy Setup
Všechny access pointy disponují funkcí WDS, sloužící k prodloužení dosahu bezdrátové sítě. Modely EAP200, EAP700 a HSG200 jsou navíc přímo vybaveny hardwarovým tlačítkem WES (WDS Easy Setup) pro okamžité sestavení šifrovaného WDS spojení mezi jednotlivými AP. Access pointy lze mezi sebou propojit pouhým stiskem tlačítka bez jakékoli další ruční konfigurace. K jednomu AP lze připojit až čtyři WDS větve (linky). Jeden WDS link se vždy skládá ze dvou propojených zařízení – jedno v režimu Master a druhé v režimu Slave. Jak je mezi sebou odlišit? Velmi snadno - pro aktivaci AP v režimu Master stačí stisknout a podržet WES tlačítko po dobu tří sekund. LED dioda se rozbliká a očekává iniciativu protistrany - aktivace AP v režimu Slave se provede pouze krátkým stisknutím WES tlačítka. Celý takto vytvoření WDS link, využívající 128bitovou blokovou šifru AES, se sestaví během 10 sekund.
Obr. 11: Schéma WDS spojení - aktivace pouhým stiskem tlačítka
HSG200 – hostpotové řešení pro menší instalace
Výše představené řešení je vhodné pro rozsáhlé sítě do větších objektů, jako jsou hotely, kampusy, školy, nemocnice, letištní terminály, sklady apod. Ale co když potřebujete využít funkci hotspotu v kavárnách, restauracích a třeba pouze v lobby hotelu? I na to má 4ipnet odpověď.
Hotspot Gateway HSG200 v sobě integruje rádio založené na špičkovém Atheros chipsetu pracující v pásmu 2,4 GHz a využívá standardu 802.11b/g/n v konfiguraci 2x2 MIMO a hotspotové funkce až na pár detailů identické jako v případě kontroleru WHG311. HSG200 je limitován pouze na dvě servisní zóny – veřejnou a privátní. Druhé omezení spočívá v 500 lokálních a dalších 2000 uživatelských účtů na vyžádání (On-demand). Opět je možné připojit speciální tiskárnu voucherů, kterou lze zakoupit jako „bundle“ spolu s bránou nebo i zvlášť.
Obr. 12: Hotspotová brána pro menší instalace HSG200
HSG200 podporuje rovněž funkci WDS, sloužící k prodloužení dosahu bezdrátové sítě. Tlačítko WES na zadní straně aktivuje okamžité sestavení WDS spojení s okolními AP v dosahu - v případě potřeby tak můžete velice snadno rozšířit oblast pokrytí bezdrátovým signálem např. v hotelu a jako prvek pro rozšíření této hospotové sítě využít i některý z přístupových bodů řady EAP.
Samozřejmostí je podpora nejsilnějšího zabezpečení WPA2 včetně autentifikace uživatele vůči až dvěma zaregistrovaným externím RADIUS serverům. Integrovaný firewall se stará o komplexní nastavení a správu typů služeb - např. vyčlenění konkrétní přenosové kapacity konkrétním účtům (ve směrech uplink i downlink zvlášť), povolení pouze určitých služeb konkrétním zákazníkům (např. pouze prohlížení webu a mail). Brána obsahuje navíc pokročilé QoS funkce pro prioritizaci provozu. Poskytuje služby DHCP serveru, routování a NAT funkci. Brána umožňuje sbírání logů, trapů, zasílání reportů o účtech a aktivitách uživatelů. Zprávy lze zasílat na mail nebo Syslog server. Administraci brány lze provádět přes webové rozhraní zabezpečeným protokolem SSL.
Obr. 13: Hotspotová brána včetně print serveru a tiskárny voucherů
Díky dvěma LAN portům na zadní straně brány lze vytvořit dva logicky oddělené síťové segmenty (zóny) s různým SSID - tzv. veřejná a privátní zóna. Hned vedle je umístěn WAN port (může být napájen pomocí PoE), hardwarové resetovací tlačítko, USB konektor (pro budoucí využití), RS-232 konektor pro management zařízení pomocí konzole v případě, že není dostupné z Internetu a konečně konektor pro připojení napájecího adaptéru. HSG200 umožňuje také napájení 48V PoE injektorem dle standardu 802.3af skrze WAN port. Napáječ lze dokoupit zvlášť. Kovové pouzdro a krytí IP50 předurčuje použití jednotky i v náročném průmyslovém prostředí, např. ve výrobních halách. Zařízení je vybaveno dvěma odnímatelnými všesměrovými anténami se ziskem 5 dBi.
Závěrem
Společnost 4ipnet je již řadu let špičkou na trhu v oblasti komplexních bezdrátových sítí s důrazem na širokou funkčnost a vysokou spolehlivost a bezpečnost. Svým portfoliem směřuje do enterprise segmentu, kde je navíc kladen důraz na kvalitní a stabilní řešení za rozumnou cenu.
Na centrální kontrolery a větší instalace poskytujeme speciální projektové ceny!
Přihlášení
Není-li uvedeno jinak, všechny ceny jsou uvedeny bez DPH a v CZK.