июля 09, 2008

Wifi в библиотеке: success story

Довольно давно я писала о технологии беспроводной сети в нашей библиотеке. Естественно, писала о том, что понимала сама, не вдаваясь в технические подробности. Сегодня я наконец-то "упросила" мужа (который по совместительству является системным администратором в нашей библиотеке)написать более подробно о том, как это все работает. Может быть, наш опыт поможет вам создать подобные условия для работы для ваших читателей.

Беспроводная сеть на базе технологии IEEE 802.11 (далее просто WiFi) появилась в нашей библиотеке спонтанно.
Пожелание читателей было передано начальству (Отдел Информационных Технологий), и была составлена заявка a la «хотим чтоб было Wireless и при этом Fidelity», которая была передана поставщику оборудования.
Местное IT сословие в разработке сетевой архитектуры участия не принимало, понадеялись, как говорится, на поставщика.
Через неделю от поставщика пришёл мальчик, окинул взглядом просторы зала (площадь метров 300 квадратных как минимум, вся в стеллажах), присвистнул, когда ему сказали «а вот от входа и до сюда тоже должно покрытие быть» он как-то сразу погрустнел и ушёл. Вернее, кивал, выслушав пожелания о двухдиапазонной точке доступа, паре круговых антенн и отдельном роутере и только потом ушёл.
Через какое-то время пришло долгожданное оборудование, оно представляло из себя пять ширпотребных точек доступа D-Link DWL 2100AP и всё!
Где наша не пропадала, пришлось собирать новомодный сервис из того что было. В итоге, три точки были раскиданы в разные углы покрываемой территории, прошивка на них обновлена (из коробки оно просто не работало), и все три точки были запущены в режиме WDS + AP.
Сейчас система функционирует следующим образом – на точках доступа работает DHCP сервер и осуществляется фильтрация по MAC адресам.
Точка имеет доступ только на один серый IP сети – адрес Proxy сервера. То есть, студентам особо не разгуляться. За это спасибо IT руководству, выделили VLAN, сконфигурировали сетевой экран, всё как надо.
Прошивки точек доступа модифицированы, удалённое управление не возможно в целях повышения безопасности.
Регистрация нового пользователя проходит следующим образом: у пользователя списывается MAC адрес компьютера, проводится его регистрация на точке доступа, после этого, проводится настройка браузера для использования PROXY и всё. Можно работать.
Естественно пользователь имеет доступ к инструкциям о том, как узнать свой MAC адрес и как настроить PROXY в печатном виде, но на практике, регистрация зачастую осуществляется только при наличии администратора на рабочем месте. Занимает она пару минут.
На сегодняшний день есть желание организовать либо более умный контроль по MAC адресам (использовать DNS/DHCP на сервере, а не на точке), либо сделать ход конём и вовсе поднять VPN и выдавать пользователям личные логины и пароли. Делается это из-за того, что позволить полностью свободный и неконтролируемый доступ к сети Интернет через WiFi мы себе не можем по многим причинам, а текущая система контроля имеет массу слабых мест. По сути, надежность контроля сводится к надёжности конкретной точки доступа, а продукты D-Link уровня Home/SOHO вряд ли обладают достаточной надёжностью. Опять же, MAC адрес можно элементарно подсмотреть (посмотрите на дно своего ноутбука ;) ) и подменив им свой, подставить однокашника, или просто, скачать гигабайт порно, не желая зла хозяину зарегистрированного адреса.
Скажете, VPN учётную запись тоже можно сломать/украсть? Отвечу – в случае с VPN ответственность за сохранность аутентификационных данных несёт пользователь, с нашей стороны сделано всё для того чтобы его не подставить, остальное – его проблемы.
Пара слов о статистике. Система существует уже около двух лет, в среднем мы имеем три клиента в день (расчет для календарного года включая все каникулы, праздники и выходные). Специфика учёта заключается в том, что одни компьютеры настроены так, что требуют новый адрес раз в 60 секунд, а другие раз в 60 минут. Ко всему прочему, пользователь может несколько раз в день прийти в зал. Подсчёт пользователей производится по оригинальной методике сравнением лога PROXY сервера и точки доступа. На абсолютную точность мы не претендуем, значение сознательно занижаем, нам пока важен лишь порядок. Кстати, с возможным переходом к VPN эта проблема отпадёт сама собой.
Что касается оборудования, от IEEE 802.11a и IEEE 802.11n пока пришлось отказаться. Bluetooth планировался, но не был введен, во-первых, из-за высокой стоимости точки доступа, во-первых, и из-за сомнительности использования в «научных и образовательных целях» (регламентировано правилами), т.к. основными клиентами стали бы обладатели мобильных телефонов.
Выводы добавлю уже от себя: Что дает нам wifi? В первую очередь, удовлетворение растущих потребностей наших пользователей, которые сначала просиживали свои штаны и юбки за библиотечными компьютерами, а теперь приходят к нам работать уже со своими ноутбуками. Говорят - это удобнее. Наверное, не пробовала :) А фраза "в библиотеке работает беспроводная сеть для читателей" магически действует на гостей библиотеки и руководство университета.

2 комментария:

  1. Анонимный24 июля 2008 г., 17:45

    молодцы, коллеги. Мы в Ярославле только задумались об этом, планируем на следующий год. Меня интересует стоимость оборудования, работ по подключению и сколько стоит эта услуга для читателей?

    ОтветитьУдалить
  2. Приветствую.

    По минимуму, затраты сводятся к покупке одной точки доступа. Изначально, мы использовали такую [http://ediscom.ru/index-ea=1&shp=1&chp=showgood&roll=1&num=17166&parent=594&from=price] точку доступа, цена - порядка 50 долларов. Более приличный аппарат от CISCO/LINKSYS обойдётся примерно вдвое дороже.

    Конечно, необходимо иметь слаболимитированый канал в интернет, более или менее вменяемый сервер (с сервисом прокси, или шлюзом для контроля) и администратора, способного наладить пусть простую, но всеже инфраструктуру.

    Для наших читателей услуга бесплатная, связано это с тем, что нам очень редко, пардон, дают по башке за перерасход интернет трафика.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.