AAA không dây cho một khách sạn nhỏ, hạn chế băng thông

8

Chúng tôi (công nghệ tôi làm việc cùng và bản thân tôi) sống ở một thị trấn xa xôi phía bắc nơi truy cập Internet có phần xa xỉ và băng thông khá hạn chế. Ở đây, phí quá tải từ vài trăm, đến vài nghìn đô la một tháng, không phải là hiếm. Bản thân tôi phải chịu các khoản phí hàng tháng thông qua việc sử dụng Internet thường xuyên ở nhà (tôi được phép 10G với $ 60CAD!)

Là một phần của công việc của tôi, tôi đã thấy mình tham gia vào một số khách sạn đang cảm thấy điều này. Tôi biết rằng tôi có thể đưa ra một cái gì đó để giải quyết vấn đề này, nhưng tôi còn khá mới đối với quản trị hệ thống và tôi không muốn ước mơ của mình vượt qua thực tế.

Vì vậy, tôi chuyển những ý tưởng này cho bạn, những người có nhiều kinh nghiệm hơn tôi, với hy vọng bạn sẽ chia sẻ một số suy nghĩ và mối quan tâm của bạn.

Hệ thống này phải có hiệu quả về chi phí, vâng, phí ở đây rất cao, nhưng niềm tin vào công nghệ là thấp nhất tôi từng thấy.

  • Phải có khả năng giúp khách hàng giảm mức sử dụng (mực)
  • Cho phép số lượng Internet miễn phí (thông lượng và tổng số sử dụng) có hạn, vì đây thường là chính sách nhượng quyền thương mại.
  • Cho phép người dùng theo dõi việc sử dụng băng thông của họ
  • Cho phép (tùy chọn) tốc độ cao hơn và / hoặc sử dụng với một khoản phí bổ sung. Phí này có thể được lấy tại quầy lễ tân khi thanh toán và không yêu cầu sử dụng PayPal hoặc Thẻ tín dụng.
  • Thật không may, một số nhượng quyền thương mại có chính sách nực cười yêu cầu sử dụng
    dịch vụ từ xa của bên thứ ba để xác thực khách vào mạng của bạn. Điều này có nghĩa là WPA không hoạt động và điều đó cũng có nghĩa là tôi không xác thực trước khi sử dụng Internet, đó sẽ là công việc của họ. Tuy nhiên, tôi yêu cầu ABILITY thực hiện xác thực để truy cập Internet nếu một khách sạn không có chính sách này. Tôi vẫn sẽ phải theo dõi băng thông (theo tài khoản khách theo mặc định) và cung cấp cùng một giới hạn, tuy nhiên khách thường sẽ yêu cầu quyền truy cập hoàn toàn 'không giới hạn', về mặt tồn tại, không phải thông lượng.
  • Cung cấp khả năng tường lửa cho các khách sạn không có gì, cách ly mạng Office và khách (một số trong số những người này đang điều hành văn phòng của họ trên mạng của khách, không có mã hóa và một Tosh đơn giản để truy cập!)
  • Ngăn chặn khách kết nối với khách khác, tuy nhiên cung cấp một phương tiện để cho phép điều này xảy ra. I E. Mỗi khách kết nối với một trang và cho phép khách khác, điều này viết quy tắc iptables (với python-netfilter) và ví dụ cho phép hai phòng chơi một trò chơi.

Suy nghĩ của tôi về cách thực hiện điều này. Một hộp khá (chúng tôi sẽ gọi nó là bộ định tuyến ngay bây giờ) với rất nhiều ram và 3 NIC:

  1. Internet
  2. Văn phòng
  3. Khách (AP + trong phòng Ethernet)

Quy tắc tường lửa bộ định tuyến

  • Khách chỉ có thể nói chuyện với bộ định tuyến, qua đó họ được chuyển đến nơi họ cần đến, bao gồm cả dịch vụ Internet.
  • Office có thể được sử dụng để kết nối Office với Internet nếu không có giải pháp hiện có, nếu không, nó chỉ hoạt động cho giao diện web có thể truy cập mạng (webmin + python-webmin?).

Phần mềm định tuyến:

  • OpenVZ cung cấp ảo hóa cho một vài dịch vụ mà tôi không thực sự tin tưởng. Mực, FreeRADIUS và Apache. Dịch vụ duy nhất có thể truy cập trực tiếp cho khách là Apache.
  • Apache có mod_wsgi và django, vì tôi có thể viết nhanh bằng django và nhu cầu của tôi rất thấp. Nó cũng có khả năng có mod FreeRADIUS, nhưng dường như có một số cảnh báo với điều này.
  • Các quy tắc tường lửa được xử lý trên bộ định tuyến với iptables.
  • Webmin (hoặc một ứng dụng django tùy chỉnh có thể) cung cấp quyền kiểm soát trừu tượng đối với bất kỳ tính năng nào mà nhân viên có thể cần truy cập.
  • Python, nếu bạn không đoán đó là ngôn ngữ tôi cảm thấy thoải mái nhất và tôi sử dụng nó cho hầu hết mọi thứ.

Và cuối cùng, điều này đã được thực hiện, đó có phải là một dự án quá lớn không đáng để thực hiện cho một anh chàng, và / hoặc có một số công cụ tôi đang thiếu có thể giúp cuộc sống của tôi dễ dàng hơn không?

Đối với hồ sơ, tôi khá giỏi với Python, nhưng không quen thuộc với nhiều ngôn ngữ khác (tôi có thể đấu tranh thông qua PHP, đó là một vấn đề thẩm mỹ ở đó). Tôi cũng là một người dùng linux khao khát, và thoải mái với các tập tin cấu hình và dòng lệnh.

Cảm ơn bạn đã dành thời gian, tôi mong được đọc câu trả lời của bạn.

Chỉnh sửa: Tôi xin lỗi nếu đây không phải là Hỏi & Đáp theo nghĩa mà một số người đang mong đợi, tôi chỉ tìm kiếm ý tưởng và để đảm bảo rằng tôi không cố gắng làm điều gì đó đã được thực hiện. Bây giờ tôi đang xem pfSense như một khởi đầu có thể cho những gì tôi cần.

router  internet  radius  pfsense  bandwidth-control 
Anthony Hiscox
nguồn
Tôi đang gặp khó khăn khi tìm hiểu câu hỏi của bạn là gì. Tôi thấy một số khiếu nại và một số ý tưởng nhưng bạn thực sự là gì sau đó? Đây là sau một trang web hỏi đáp, không phải là một diễn đàn thảo luận.
John Gardeniers
Tôi xin lỗi vì không rõ ràng, vấn đề là tôi không hỏi một câu hỏi rất cụ thể. Tôi không nói rằng "Tôi đã có hai máy tính, tôi đã làm điều này, nó sẽ hoạt động, không phải vậy". Tôi đang tìm kiếm lời khuyên ở cấp độ cao hơn nhiều. Trước khi tôi biết về FreeRADIUS chẳng hạn, một phản hồi tốt có thể là "Để theo dõi những người dùng đó và có thể lập hóa đơn cho họ, hãy xem FreeRADIUS". Một chủ đề khác liên quan đến các hạn chế về băng thông cho bạn cùng phòng đã đưa tôi đến pfSense, điều này dường như mang lại nhiều quyền kiểm soát và có thể rất hữu ích với tôi. Tôi cũng muốn tránh phát minh lại bánh xe.
Anthony Hiscox
1
Tôi đang tự hỏi ý nghĩa của "thị trấn phía bắc xa xôi" là gì. Bạn có từ chối một giải pháp hoạt động ở một "thị trấn phía Nam xa xôi" không?
pavium
Nếu các đường dây điện thoại không đủ lớn, thì tại sao không sử dụng internet vệ tinh như wildblue hoặc hughesnet?
Paul
Không có ý nghĩa gì với nơi tôi sống, ngoài thực tế đó là nơi tôi sống. Nói rằng bản thân tôi và một người khác sống ở miền nam xa xôi sẽ phải nói dối. Tất nhiên tôi sẽ không từ chối bất kỳ ý tưởng hoặc giải pháp nào nếu chúng sẽ giúp chúng tôi. Tôi sẽ kiểm tra với các công nghệ khác về vấn đề sat, tôi đoán đó sẽ là một thứ khó bán.
Anthony Hiscox

Câu trả lời:

1

Sau khi xem dự án pfSense bây giờ, tôi nghĩ nó sẽ cung cấp rất nhiều thứ tôi cần với một chút cấu hình. Nó hỗ trợ Captive Portal và thực hiện điều này với các máy chủ Radius, có thể được thiết lập với Squid để ủy quyền minh bạch và có vẻ như nó có rất nhiều quyền kiểm soát lưu lượng. Tôi vẫn còn mở cho bất kỳ ý tưởng nào có thể giúp đỡ. Cảm ơn!

Anthony Hiscox
nguồn
0

Suy nghĩ ngẫu nhiên:

  • Đầu tiên, bắt đầu với một sơ đồ mạng. Đừng lo lắng về việc kích hoạt Visio; chỉ cần vẽ một cái trên giấy Một khi bạn tìm ra nơi để bắt đầu, đăng lại một số câu hỏi cụ thể ở đây. Bài đăng này là cách quá dày đặc. Làm cho nó có kích thước cắn sẽ giúp bạn có câu trả lời tốt hơn, chu đáo hơn để giải quyết các câu hỏi cụ thể.

  • "Ngăn khách kết nối với khách khác ..." Bạn sẽ không thể làm điều này tại tường lửa vì mọi người đều ở trên cùng một mạng LAN nội bộ. Bạn sẽ phải làm điều đó tại công tắc, vì vậy bạn sẽ cần có một công tắc được quản lý (thông minh).

  • Python là ngôn ngữ lý tưởng cho một cái gì đó như thế này. Đừng lo lắng về việc không biết PHP. PHP không phải là ngôn ngữ phù hợp. PHP không bao giờ là ngôn ngữ đúng. Cho bất cứ điều gì.

  • Bạn sẽ không muốn duy trì các quy tắc iptables của mình bằng tay trừ khi bạn bạo dâm. Nhìn vào sử dụng Shorewall thay thế. Nó chỉ đơn giản là một lớp cấu hình mỏng trên đầu trang của iptables giúp quản lý dễ dàng hơn nhiều.

bánh quế
nguồn
Tôi sẽ xem xét thực hiện một sơ đồ, nhưng điều này hơi khó vì tôi cần phải linh hoạt cho một vài thiết lập mạng khác nhau. Các công nghệ khác hiện đang xem xét một công tắc tiêm PoE 48 cổng tôi tin rằng nó được quản lý. +1 Python -1 PHP, tốt. Tôi đã đề cập đến nó vì những thứ như: PHPMyPrepaid, mà công nghệ khác đề nghị tôi xem xét. Tôi đồng ý, tôi đã xem xét cả Firehol hoặc Shorewall, tôi sẽ xem xét vấn đề này nhiều hơn. Bây giờ tôi đang đọc về pfSense, có vẻ như đó có thể là một bước đi đúng hướng. Chúc mừng.
Anthony Hiscox
-1 vì đã nói PHP không tốt cho bất cứ điều gì. Tôi đồng ý rằng PHP thường không phải là lựa chọn đúng đắn nếu bạn đã đặt nó thậm chí ít mạnh mẽ hơn một chút, đây chỉ là hành vi của fanboy. Chỉnh sửa: Ngoài ra, tôi sử dụng iptables và chúng hoạt động rất tốt cho mục đích của tôi cho đến nay. Không chắc Shorewall chạy tốt như thế nào trên Android nhưng iptables chỉ hoạt động tốt cảm ơn bạn.
Luc
0

Có những cài đặt sẵn sàng để cung cấp loại dịch vụ mà bạn đang nói đến. Thông thường một hệ thống mini-itx với HĐH đã được thiết lập trên đèn flash nhỏ gọn. Thường cung cấp cho bạn tùy chọn giữa truy cập miễn phí và hệ thống thanh toán hoạt động trên các AP tại nhiều địa điểm khác nhau. Tôi giả sử bạn đến từ Canada nhưng tôi chỉ biết các ví dụ cụ thể dành cho Anh.

JamesRyan
nguồn
Biết tên có cho phép tôi hiểu thêm về cách họ làm điều đó không? Nếu vậy, tôi vẫn muốn xem xét nó.
Anthony Hiscox
Tôi nên lưu ý, có một lựa chọn giữa trả tiền và miễn phí sẽ không hoạt động. Tôi cần miễn phí, nhưng cũng được trả tiền. Truy cập Internet miễn phí là điều mà NHIỀU nhượng quyền thực hiện trên các khách sạn của họ và đó là một yêu cầu chúng tôi không thể bỏ qua vì chúng tôi ở xa. Vì vậy, luôn luôn phải có một cấp độ Internet miễn phí được cung cấp. Bao nhiêu điều đó có nghĩa là người dùng sẽ sử dụng, tùy theo quyết định của chúng tôi. Về cơ bản, chúng tôi muốn người dùng nặng phải trả tiền như chúng tôi và người dùng nhẹ vẫn nhận được mọi thứ miễn phí.
Anthony Hiscox
0

Một Hotspot Mikrotik sẽ làm mọi thứ bạn đã liệt kê. Bạn sẽ có thể chạy từng vị trí trong 450G hoặc tương tự.

Oesor
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.