Add to collection(s) Add to saved
  1. No category

Руководство администратора WideCoup Billing

advertisement 
Система авторизации доступа
для пользователей
WideCoup Billing
HotSpot
Руководство
администратора
© NATEC R&D, 2013
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Редакция, графика и подготовка произведена сотрудниками
Центра Исследований и разработки NATEC Research & Development
Издание седьмое, дополненное
Информация, содержащаяся в этом документе, является собственностью Центра
Исследований и разработки NATEC Research & Development и не подлежит записи,
воспроизведению либо переводу любыми средствами, частично или полностью, без ссылки
на NATEC R&D.
Центр Исследований и разработки NATEC Research & Development не несёт
ответственности за какие-либо неточности, допущенные в этом документе, либо за
случайный или умышленный ущерб, причинённый вследствие использования данного
документа.
Центр Исследований и разработки NATEC Research & Development оставляет за собой
право вносить любые изменения в данный документ без предварительного уведомления.
WideCoup® и DialExpert® - зарегистрированные товарные знаки ООО «Национальные
Электронные Коммуникации».
Другие торговые марки, упомянутые в настоящем документе, являются
собственностью их владельцев.
2
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Содержание
Содержание ....................................................................................................................... 3
Введение ............................................................................................................................ 5
Благодарности ................................................................................................................................... 6
Общие положения............................................................................................................................. 7
Архитектура и основные функции решения................................................................ 8
Процесс проверки подлинности External Web Authentication ................................................. 8
Контроллеры беспроводного доступа ........................................................................................ 10
Сервер авторизации RADIUS ....................................................................................................... 11
Основные сущности и понятия................................................................................................... 12
Пример схемы развертывания ..................................................................................................... 13
Основные функции .......................................................................................................................... 14
Администрирование доступа для генерации кодов/ваучеров ................................. 17
Администрирование запретов активации кодов/ваучеров...................................... 18
Настройка авторизации пользователей интерфейсов .............................................. 19
Справочник «Коды авторизации» ............................................................................................... 20
Справочник «История активации»............................................................................................ 22
Создание предоплаченного тарифного плана для услуги Интернет ...................... 24
Создание основных параметров тарифного плана................................................................. 24
Создание динамических типов услуг в тарифном плане ...................................................... 26
Создание структуры тарифов в тарифном плане ................................................................. 29
Связывание тарифного плана с политикой доступа NPS-сервера ..................................... 31
Использование Vendor attributes ................................................................................................... 33
Настройка синхронизации тарифов с внешней системой продаж ................................... 33
Проверка ошибок тарифного плана ........................................................................................... 35
Создание бесплатного тарифного плана для услуги Интернет ............................... 37
Создание пользователя для услуги Интернет ............................................................ 41
Интеграция с внешней системой продаж услуг Интернет ....................................... 45
Предоставление доступа с персонификацией клиента ............................................. 48
Предоставление доступа без персонификации клиента ........................................... 50
Отчет о продажах доступа без персонификации клиента ........................................ 53
Отчеты системы HotSpot Billing .................................................................................. 55
Архитектура системы отчетности......................................................................................... 55
Отчет «Динамика активности сессий RADIUS» .................................................................. 55
Отчет «Динамика активности сессий RADIUS» .................................................................. 56
Конструктор запросов ReportKit ................................................................................................. 57
Перечень сообщений страницы Веб-авторизации .................................................... 58
Ошибки пользователя .................................................................................................................... 58
Ошибки системы биллинга........................................................................................................... 61
Ошибки контроллера доступа WLC........................................................................................... 61
Типовой сценарий эксплуатации решения ................................................................ 63
Создание политики доступа NPS-сервера................................................................... 67
Добавление нового контроллера доступа (RADIUS-клиента)............................................. 67
Добавление политики .................................................................................................................... 70
Пример конфигурирования контроллера доступа Cisco.......................................... 85
Общая схема ..................................................................................................................................... 85
IP адресация...................................................................................................................................... 86
3
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Настройки коммутатора............................................................................................................. 87
Настройка DHCP ............................................................................................................................ 88
Настройка WLC контроллера (базовая).................................................................................... 90
Настройка WLC контроллера в графическом интерфейсе.................................................. 91
Сохранение резервной копии конфигурационного файла..................................................... 108
Загрузка конфигурационного файла в WLC контроллер ...................................................... 109
Настройка точек доступа Cisco Aironet Series.......................................................... 110
LED индикация точки доступа ................................................................................................. 112
Поиск решения при наличии проблем подключения точки доступа ............................... 114
4
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Введение
Данное руководство является справочным руководством и предназначено
для помощи в работе с интерфейсом администрирования StorageControl для задач
решения обеспечения платного беспроводного доступа WideCoup Billing HotSpot.
Здесь рассматриваются вопросы, касающиеся наиболее часто решаемых задач
администратором WideCoup Billing HotSpot. К ним относятся: администрирование
справочника ваучеров (кодов активации для доступа к услуге Интернет), истории
активации кодов доступа, управление правами на генерацию кодов со стороны
внешних точек продаж, а также администрирование политик доступа на RADIUSсервере.
5
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Благодарности
Центр исследований и разработки NATEC выражает глубокую
признательность всем, чья искренняя заинтересованность и конкретные
предложения помогали нам в работе над очередной версией системы WideCoup
StorageControl для задач платного беспроводного доступа WiFi.
Особую признательность мы выражаем г-ну Аксенову Данилу (ООО «Свод
Интернэшнл» ГТЦ ОАО Газпром) и г-ну Иванову Григорию (OOO «ЭмДжиИкс
Групп) за помощь в изучении практических бизнес-процессов предприятия при
постановке задач на разработку системы и другие ценные рекомендации.
Центр исследований и разработки NATEC благодарит г-на Тимина Сергея
(Компания МУК) за многочисленные технические консультации и
предоставленное оборудование контроллеров доступа CISCO, которое мы
использовали при работе над программой.
Мы также благодарим всех пользователей, нашедших время и силы
высказать нам свои мнения и пожелания. Надеемся на дальнейшие контакты и
плодотворное сотрудничество.
6
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Общие положения
В связи с тем, что беспроводной доступ может получить практически любой человек
с современным ноутбуком, нетбуком или смартфоном, то наиболее актуальны вопросы
надежной идентификации клиентов и учета потребленных ресурсов. Наиболее удобным и
распространенным является открытое подключение к локальной беспроводной сети
(публичный SSID, отсутствие WEP), получение IP-адреса по DHCP и дальнейшее
получение доступа в Интернет при авторизации через Веб-страницу. При этом на
устройстве клиента (ноутбук, iPhone и др.) достаточно иметь обычный Интернет браузер.
На основе такой способ авторизации и построено решение для предоставления платного
доступа Интернет на основе WideCoup Billing по стандартам 802.11b/g/n.
Основными компонентами решения являются «облегченные» точки беспроводного
доступа, так называемые Wireless Access Point (WAP), и контролеры доступа Wireless
LAN Controller, совокупность которых вместе с программным обеспечением WideCoup
Billing, которое позволяет пользователям получать доступ к сети Интернет без
использования проводов, и называется Hotspot. Принципиальная схема организации
решения приведена ниже:
Как правило, для получения доступа к Интернет абоненту достаточно иметь
ноутбук либо смарфон и личный секретный код (пин-код, пара логин-пароль и др.). PINкод используется для идентификации пользователя (гостевой аккаунт) и предотвращения
использования ресурсов сети третьими лицами. За исключением бесплатных зон WiFi,
секретный код можно получить за определенную плату у администратора точки доступа
(например, в гостинице), при этом доступ обычно ограничивается определенным
временем, пропускной способностью канала передачи данных и, иногда, максимальным
объемом передаваемой/получаемой информации. Соответственно по окончании
отведенного времени (или объема) доступ в Интернет блокируется и для продолжения
работы необходимо использовать новый оплаченный секретный код.
7
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Архитектура и основные функции решения
Как уже было сказано, в рамках данного решения пользователи услуги передачи
данных используют открытое подключение к локальной беспроводной сети (публичный
SSID и отсутствие WEP) или проводной сети (подключение на порт коммутатора),
получение IP-адреса по DHCP и дальнейшее получение доступа в Интернет при
авторизации через Веб-страницу, расположенную на внешнем сервере биллинга – для
архитектуры сети на основе оборудования CISCO схема основных элементов будет
выглядеть следующим образом:
Элементы сети HotSpot на основе оборудования CISCO
Процесс проверки подлинности External Web Authentication
Для этого способа используется внешняя веб-страница для ввода пользовательских
данных логина и пароля – ниже приведена последовательность событий, когда
беспроводной клиент пытается получить доступ к сети WLAN, которая имеет внешнюю
проверку подлинности External Web Authentication:
1. Клиент (конечный пользователь) подключается к беспроводной локальной сети,
открывает веб-браузер и вводит URL, например www.natec.ua .
2. Клиент посылает запрос на сервер DNS для разрешения IP-адреса для указанного
пользователем URL www.natec.ua
3. Контроллер WLC перенаправляет запрос на сервер DNS, который, в свою очередь
определяет IP-адрес для www.natec.ua и посылает DNS-ответ. Контроллер WLC
перенаправляет полученный ответ клиенту. Если DNS-ответ не поступил на
контроллер WLC, то процесс авторизации прекращается и клиент получает
сообщение об ошибке авторизации.
4. После получения DNS-ответа, клиент пытается инициировать TCP -соединение с
полученным IP-адресом www.natec.ua путем отправки пакетов TCP SYN на IP-адрес
www.natec.ua.
5. Контроллер WLC содержит предустановленные настройки и выступает в качестве
прокси-сервера для www.natec.ua – таким образом, он отправляет TCP SYN-ACK
пакет клиенту, представляясь ему источником IP-адреса www.natec.ua. Клиент
отправляет TCP ACK пакет для того, чтобы завершить согласование TCP соединения
– тем самым TCP-соединение считается полностью установленным.
6. Далее, клиент посылает HTTP GET пакет, предназначенный для www.natec.ua
Контроллер WLC перехватывает этот пакет, далее HTTP application gateway
контроллера WLC подготавливает HTML-текст сообщения и отправляет его обратно в
8
Центр Исследований и Разработки NATEC R&D
www.natec.ua
качестве ответа на HTTP GET по просьбе клиента. Это HTML-сообщение позволяет
клиенту перейти к URL внешней веб-страницы авторизации, например, http://
<Virtual-Server-IP> / login.html.
7. Затем клиент начинает HTTPS-соединение для перенаправления на указанный URL,
который посылает его на виртуальный интерфейс контролера по фиксированному
адресу 1.1.1.1. На этом этапе клиент должен проверить SSL-сертификат контроллера
WLC, чтобы создать SSL-туннель между клиентом и WLC.
8. Далее, контролер WLC перенаправляет клиента на внешней Веб-сервер по уже
созданному SSL-туннелю. При этом, к URL переадресации для Веб-авторизации
добавляются такие параметры, как WLAN, AP_Mac_Address, client_url (www.natec.ua)
и action_URL, чтобы клиент мог связаться с контроллером сети.
Примечание: action_URL сообщается контролером WLC внешнему Веб-серверу с
целью обратной связи - учетные данные должны быть отправлены обратно к
контроллеру для того, чтобы пройти аутентификацию.
10. Внешний URL для Веб-авторизации отображает пользователю страницу входа,
оформленную в необходимом дизайне – в зависимости от параметров
AP_Mac_Address или WLAN.
11. Страница входа позволяет осуществить ввод учетных данных, которые страница
входа отправляет обратно в форме POST-запроса на переданный ранее action_URL,
например http://1.1.1.1/login.html. Для того, чтобы пользователь не видел данный адрес
в строке браузера можно настроить для него соответствующее DNS-имя, например,
http://internet.hotel-name.com/login.html. Важно понимать, что в этом случае при
неработоспособности локального DNS-сервера, передача учетных данных на
контролер WLC будет невозможна – при этом пользователь в результате будет видеть
длительную попытку открыть страницу по данному адресу, с ошибкой по истечению
таймаута.
12. Встроенный Веб-сервер контролера WLC принимает переданные имя пользователя и
пароль для дальнейшей аутентификации.
13. Далее контроллер WLC инициирует запрос к RADIUS-серверу или использует
локальную базу данных по беспроводной локальной сети для проверки подлинности
пользователя.
14. Если авторизация прошла успешно, контролер WLC направляет пользователя на
указанный им URL, такой как www.natec.ua .
15. Если проверка не прошла, то контролер WLC перенаправляет пользователя обратно
на внешний URL для Веб-авторизации.
Примечание: Для настройки External Web Authentication можно использовать как HTTP,
так и HTTPS
9
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Контроллеры беспроводного доступа
Контроллеры беспроводного доступа отвечают за такие функции беспроводной
сети, как применение политик безопасности, предотвращение атак, управление радио
эфиром, обеспечение качества обслуживания (QoS) и мобильность. Контроллеры
работают совместно с "облегченными" точками доступа и системой управления Cisco
Wireless Control System (WCS) для поддержки критически-важных приложений. Такие
приложения включают в себя голосовые сервисы, передачу данных и отслеживание
местоположение объектов. Коммуникации между контроллерами Wireless LAN Controller
и точками доступа осуществляются на 2 уровне (Ethernet) или 3 уровне (IP).
В зависимости от задачи, в
решениях
биллинга
на
основе WideCoup Billing
рекомендуются
к
применению
контроллеры
Cisco 4400 или 5500 серии,
которые предназначены для
средних
и
больших
предприятий.
Существуют
разные модели контроллеров:
с различным количеством
портов Gigabit Ethernet и
поддержкой
различного
количества
"облегченных"
точек доступа.
Сетевая архитектура Cisco WLC
10
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Сервер авторизации RADIUS
Важно отметить, что отличительной особенностью решений биллинга на основе
WideCoup Billing является интеграция решения WideCoup Billing HotSpot со службами
Microsoft NPS Server по протоколу RADIUS и каталогом пользователей Active Directory,
что дает автоматизацию большого количества функций по управлению беспроводной
и/или проводной сетью, в первую очередь сквозной авторизации пользователей и
гостевых аккаунтов, идентичности управления доступом по картам предоплаченного
сервиса и т.д..
Network Policy Server (NPS) представляет собой набор компонент Windows Server
2008/2012, который позволяет создавать и поддерживать организацию доступа к сети на
основе политик надежности клиента, проверки подлинности и авторизации запросов на
подключение. Кроме того, для больших сетей есть возможность использовать сервер NPS
как RADIUS-прокси для переадресации запросов на подключение к другим службам
аутентификации удаленных пользователей по коммутируемым каналам связи.
Архитектура авторизации и аутентификации на основе Microsoft Network Policy Server
11
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Основные сущности и понятия
При администрировании решения WideCoup HotSpot Billing используется ряд
определений и сущностей, непосредственно связанных с архитектурой решения – особого
внимания следует уделить следующим 3 сущности:
- политика доступа (на сервере Radius) – она существует отдельно от пользователя и
тарифного плана и может принадлежать как разным группам пользователей, так и разным
тарифным планам (так как не содержит параметров стоимости, а только параметры
доступа в Интернет)
- пользователь (локальный Windows Server или AD) – идентифицирует конкретного
пользователя с конкретным ваучером, входит только в одну группу (Windows Server или
AD) и, тем самым, может быть связан только с одним тарифным планом (и как следствие
– одной политикой доступа).
- тарифный план (биллинговая система, Storage Control) – содержит набор
параметров стоимости и может быть связан (через локальную группу Windows Server или
AD) только с одной политикой доступа.
Исходя из вышесказанного, создание тарифного плана не всегда сопровождается
созданием политики доступа – к примеру, политика доступа с ограничением на 1 час
может быть использована в нескольких тарифных планах, например, «Безлимитный на 1
час для ветеранов» стоимостью 10 руб. и «Безлимитный стандартный» стоимостью 150
руб. и т.д.
Учитывая, что создание нового тарифного плана идентично созданию новой
группы пользователей (локальной базы данных Windows Server или AD), то это
выполняется автоматически при создании/редактировании тарифного плана, а вот
политика доступа уже может быть создана ранее и поэтому её создание (в данном случае)
не требуется. Для создания/редактирования политик используется родной интерфейс
Network Policy Server.
Архитектура пользовательских данных для авторизации
12
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Пример схемы развертывания
Ниже приведен один из возможных сценариев развертывания решения WideCoup
Billing HotSpot на основе сетевого оборудования Cisco:
Пример схемы развертывания WideCoup Billing HotSpot на основе оборудования Cisco
13
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Основные функции
Как уже было описано выше, основной задачей продукта WideCoup Billing HotSpot,
размещенного на внешнем по отношению к контролеру WLC Веб-сервере, в процессе
проверки подлинности пользователя является предоставлению возможности пользователю
ввести учетные данные (логин и пароль) с учетом требований к внешнему оформлению
страницы входа. Однако, кроме этой важной функции, решение WideCoup Billing HotSpot
также дает возможность использования следующих функций:
• генерация секретных кодов доступа на основании требований к их уникальности
• активация/деактивация валидных (прошедших успешно проверку) кодов доступа
• взаимодействие контроллером доступа в части управления ограничениями, а
именно временем сессии, пропускной способностью канала и объемом
принятых/переданных байт
• Поддержка множества различных тарифных политик, в том числе для разных
сегментов сети, а именно, идентификация внутренних и гостевых пользователей,
разделение бесплатных и платных зон доступа WiFi
• информирование пользователя о текущей используемой точке доступа, истечении
сеанса связи, ошибках в авторизации кодов доступа и т.д.
При развертывании решения для задач Отелей, становятся актуальными
дополнительные задачи, связанные с эксплуатацией системы PMS. Принципиальная схема
взаимодействия в этом случае представлена ниже:
14
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Учитывая распространённость использования продуктов компании HRS, а именно
систем Micros Fidelio\Opera, одной из распространенных схем передачи начислений по
услугам передачи данных в систему PMS является bi-directional протокол FIAS,
применяемый для взаимодействия с системами Opera/Fidelio – обычно c реализацией на
основе последовательного порта RS-232C.
Представленная ниже схема отображает последовательность действий для
передачи начислений от момента их возникновения для подтверждения получения
интерфейсным сервером Micros Fidelio\Opera по схеме Post Simple:
Таким образом, система WideCoup Billing HotSpot для автоматизированного
расчета с абонентами на основе продукта WideCoup Billing 3.2 состоит из Вебприложений и подсистем, объединенных единым информационным обеспечением, и
реализующим такие основные функции:
· сбор, обработка и введения в БД первичной информации о предоставленных услугах
и их оплату (осуществляется из любого доступного источника информации);
· абонентский учет;
· регистрация и контроль платежей;
· выявление незарегистрированных средств или несанкционированного подключения
абонентов;
· ведение нормативно-справочной информации из услуг, тарифов, категорий абонентов;
· тарификация и расчет платежей по предоставленным услугам связи;
· формирование счетов абонентам;
· информационно-справочное обслуживание абонентов и пользователей системы;
· формирование документов статистической отчетности и информационноаналитических документов за предоставленными услугами, категориями абонентов и т.п.;
· администрирование системы;
· возможность управления технологическим оборудованием сети оператора связи,
относительно активизации или блокирование абонентского номера, или любых услуг.
15
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Система WideCoup Billing 3.2, как основа решения WideCoup Billing HotSpot, обеспечивает автоматизацию процесса проведения
расчетов с абонентами за все виды услуг, предоставленных оператором связи и контроль выплат, которые поступили. Пример общей
архитектуры приведен на схеме ниже:
16
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Администрирование доступа для генерации кодов/ваучеров
Для фактической продажи ваучеров (кодов доступа к услуге) требуется
предварительная генерация кодов доступа в БД биллинга – данный процесс является
автоматическим для внешних приложений, в том числе на странице генерации и печати
кодов доступа через интерфейс WideCoup SalesPoint.
Учитывая коммерческую ценность значений кодов доступа, требуется
предварительная настройка разрешений на генерацию этой информации (кодов доступа к
услуге) со стороны всех приложений, участвующих в процессе продажи кодов доступа.
Важно понимать, что интерфейс WideCoup HotelAccess не генерирует коды
доступа, а лишь пароли для уже существующих пользователей – тем самым ограничить
доступ для генерации паролей в WideCoup HotelAccess через настройки в разделе
“Запреты и разрешения WebAuth” не получится.
Итак, для предоставления разрешений на генерацию кодов нужно в системе
администрирования Storage Control в меню «дополнительно» выбрать пункт «Запреты и
разрешения WebAuth»:
В открывшейся странице будет отражена текущая ситуация по разрешениям на
генерацию кодов с определенных IP-адресов:
Для предоставления доступа на генерацию кодов для определенного устройства, в
данном окне нужно добавить IP-адрес, с которого будут поступать запросы на генерацию
кодов доступа - для чего нужно ввести следующую информацию:
IP адрес - IP адрес компьютера, с которого будут выполнять генерацию кодов.
MAC адрес – не требуется, используется для запретов на активацию кодов доступа.
Действует до – срок, до которого будет действовать разрешение (или запрет)
17
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Запрет активации – устанавливается, если коды не должны активироваться с
конкретного IP-адреса или MAC-адреса.
Разрешение на генерацию – признак, что данному IP-адресу будет разрешено
генерировать коды.
Изменен – служебная информация о том кто последний изменял данную запись.
После сохранения разрешение (или запрет) будет применяться без дополнительных
действий.
Администрирование запретов активации кодов/ваучеров
В системе предусмотрена система временного блокирования (intruder lockout)
конечного устройства пользователя в случае 5-ти кратного неверного ввода логина или
пароля доступа к услуге Интернет. Просмотр, установка и снятие данных запретов
выполняются в системе администрирования Storage Control в меню «дополнительно»
выбрать пункт «Запреты и разрешения WebAuth»:
В открывшейся странице будет отражена текущая ситуация по разрешениям на
активацию кодов с определенных IP-адресов – отличительным свойством этих записей
является автор изменений «malicious counter» – так как табличная часть содержит не
только информацию о запретах на активацию, но и информацию о запретах и
18
Центр Исследований и Разработки NATEC R&D
www.natec.ua
разрешениях на генерацию кодов. Таким образом можно определить причину появления
конкретной записи в таблице разрешений или запретов. Например, для записи:
указан автором «malicious counter», что означает, что эта запись была добавлена
страницей Веб-авторизации пользователей Интернет автоматически при превышении
разрешенного кол-ва попыток ввода пары «логин-пароль» - т.е. более 5-ти раз.
Для снятия запрета на активацию доступа к услуге Интернет для определенного
устройства, в данном окне нужно выбрать IP-адрес или MAC-адрес, на которые был
установлен запрет, где:
IP адрес - IP адрес компьютера, с которого были превышено максимальное кол-во
попыток активировать доступ к услуге Интернет.
MAC адрес – MAC-адрес, с которого были превышено максимальное кол-во
попыток активировать доступ к услуге Интернет..
Действует до – срок, до которого будет действовать запрет на активацию (по
умолчанию 1 час)
Запрет активации – признак запрета активации с конкретного IP-адреса или MACадреса – для разрешения необходимо снять «галочку».
Разрешение на генерацию – используется для разрешения на генерацию кодов.
Изменен – служебная информация о том кто последний изменял данную запись.
После сохранения Ваши изменения будут применяться без дополнительных действий.
Настройка авторизации пользователей интерфейсов
Определение списка пользователей, имеющих доступ к интерфейсам WideCoup
HotelAccess или SalesPoint осуществляется посредством внесения изменений в текстовый
файл web.config формата XML, расположенный в папке публикации Веб-приложения
WideCoup Billing HotSpot, по умолчанию папка называется WebAuth
Примеры указания доступа пользователю user1 к интерфейсу WideCoup
HotelAccess и пользователю user2 - к интерфейсам WideCoup SalesPoint приведен ниже:
<location path="SalesPoint.html">
<system.web>
<authorization>
<allow users="user1/>
<deny users="*"/>
</authorization>
</system.web>
</location>
<location path="HotelAccess.html">
<system.web>
<authorization>
<allow users="user1"/>
<deny users="*"/>
</authorization>
</system.web>
</location>
19
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Администрирование справочника кодов доступа к услуге
После успешного создания тарифных планов, политик доступа NPS-сервера и
установки разрешений на генерацию кодов доступа с определенных IP-адресов, следует
параллельный (и без участия системы биллинга) процесс продажи кодов конечному
потребителя, например через системы POS-терминалов.
Для мониторинга этого процесса в системе существуют два справочника «Коды
авторизации» и «История активация», каждый из которых относится к устройству
(логическая сущность в системе биллинга для управления процессом создания счетов и
определения технических особенностей предоставления услуг). Для получения
информации каждого из названных справочников необходимо перейти по одноименной
ссылке в списке доступных пунктом конкретного устройства:
Справочник «Коды авторизации»
В справочнике «Коды авторизации» доступен полный перечень существующих
кодов доступа к услуге на данном устройстве с отображением срока их действия,
текущего состояния, связанного с ними тарифного плана и т.д.
На данной странице можно найти информацию о коде доступа, воспользовавшись
одним из фильтров или их комбинацией:
Номер – номер ваучера (учетный номер кода доступа), обычно передается
пользователю в открытом виде
Код авторизации – непосредственно значение кода доступа (если известно),
обычно передается пользователю в закрытом виде и не подлежит передачи третьим лицам
IP адрес – адрес пользователя, использующего данный код доступа
Абонент и Персонификация – персональные данные пользователя, использующего
данный код доступа (зависит от схемы развертывания системы биллинга, в случае
передачи кода доступа по СМС содержит номер мобильного телефона пользователя)
20
Центр Исследований и Разработки NATEC R&D
www.natec.ua
По умолчанию страница отображает коды доступа без дополнительных свойств, увидеть
которые можно убрав галочку «Не показывать свойства», при снятии галочки «Не
показывать свойства» отображаются дополнительные данные кода:
· Логин пользователя, изменившего информацию по данному коду доступа
· Дата изменения и
· IP адрес компьютера, с которого были внесены изменения
Чтобы отобразить только актуальные коды на данный момент требуется установить
галочку «Показать коды авторизации только на текущую дату»
Обратите внимание на индикацию текущего (на момент просмотра) состояния
каждого конкретного кода доступа:
Индикация
Описание
код доступа уже активирован и
используется в настоящий момент
код доступа еще не активирован и не
используется в настоящий момент
активация кода не возможна (по
различным причинам)
Поведение на
RADIUS-сервере
доступ разрешен
доступ не разрешен
доступ не разрешен
В зависимости от состояния и типа созданного кода доступа (возможно ручное
создание кода доступа – в этом случае он доступен в системе для просмотра и
редактирования) доступны различные действия, применимые для него в текущий момент
времени:
Индикация
Описание
Действие
код доступа сгенерирован
Досрочное прекращение действия
автоматически для продажи извне
данного кода доступа с
системы биллинга и его действие может
сохранением его истории
быть прекращено
21
Центр Исследований и Разработки NATEC R&D
отсутствует
www.natec.ua
код доступа создан в ручном режиме и
может быть удален из БД
удаление из БД без сохранения
какой-либо истории, отключение
пользователя RADIUS-сервера
код доступа сгенерирован
автоматически для продажи извне
системы биллинга и срок его действия
уже истек
недоступно
Для просмотра истории активации конкретного кода доступа достаточно кликнуть
на его значении в колонке «Авторизационный код», при этом будет отражена информация
из справочника «История активации» с учетом фильтра по данному коду доступа:
Справочник «История активации»
В справочнике «История активаций» доступна полная история активации кодов
доступа к услуге на данном устройстве с отображением срока их действия, текущего
состояния, связанного с ними тарифного плана и т.д.
На данной странице можно найти информацию о активации кодов доступа,
воспользовавшись одним из фильтров или их комбинацией:
Номер – номер ваучера (учетный номер кода доступа), обычно передается
пользователю в открытом виде
Код авторизации – непосредственно значение кода доступа (если известно),
обычно передается пользователю в закрытом виде и не подлежит передачи третьим лицам
IP адрес – адрес пользователя, использующего данный код доступа
Персонификация – персональные данные пользователя, использующего данный код
доступа (зависит от схемы развертывания системы биллинга, в случае передачи кода
доступа по СМС содержит номер мобильного телефона пользователя)
Для поиска, нужно ввести значение для поиска в поле «Поиск» и нажать Enter.
По умолчанию страница отображает коды доступа без дополнительных свойств,
увидеть которые можно убрав галочку «Не показывать свойства».
22
Центр Исследований и Разработки NATEC R&D
www.natec.ua
В зависимости от типа созданного кода доступа (возможно ручное создание кода
доступа – в этом случае он доступен в системе для просмотра и редактирования) доступны
различные действия, применимые для истории его активации:
Индикация
отсутствует
Описание
код доступа создан в ручном режиме и
информация о его активации может
быть удалена из БД
код доступа сгенерирован
автоматически для продажи из-вне
системы биллинга и редактирование его
истории невозможно
Действие
удаление записи об активации из
БД без сохранения какой-либо
истории
недоступно
23
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Создание предоплаченного тарифного плана для услуги
Интернет
Администрирование предоплаченных тарифных планов для услуги Интернет
предполагает не только создание или изменение параметров тарифных планов в системе
WideCoup Billing, но и внесение соответствующих изменений в политики доступа
RADIUS-сервера, входящего в состав операционной системы Microsoft Windows 2008 под
названием Network Policy Server (далее по тексту NPS). Кроме этого, взаимодействие
самого NPS-сервера требует согласованных изменений со стороны оборудования, а
именно контроллеров доступа (например, CISCO Wireless Controller), а взаимодействие с
внешней системой продаж (например, POS-терминалов) требует обновления данных (или
синхронизации изменений) во внешней системе продаж.
Создание основных параметров тарифного плана
Для создания тарифного плана необходимо зайти на страницу «Тарифные планы» в
системе администрирования данных биллинга Storage Control и добавить сначала название
нового тарифного плана, как показано ниже:
Важно понимать, что при наличии интеграции с системой продаж через POSтерминалы, именно это название, вместе с комментарием к нему, будет отображаться на
экранах POS-терминалов и будет напечатано на чеках при продаже (если это
предусматривается бизнес-процессом).
Также одним из важных параметров, на который стоит обратить внимание, это срок
жизни тарифного плана – крайний срок для него указывается в поле «Срок действия».
Указанное здесь значение используется для проверки на актуальность при попытке
активации кода доступа к услуге (из справочника кодов авторизации). В случае изменения
этого значения в дальнейшем, но уже после продажи (фактической генерации) кодов
доступа к услуге, активировать проданные коды после указанного здесь значения будет
невозможно.
Начальные значения балансов используются для ручной схемы продаж
разнородных услуг по принципу «пока не истек баланс» - т.е. на момент продажи пакету
услуг еще не известно, какие именно услуги будет потреблять клиент, и в каком объеме.
Обратите внимание на то, что баланс по каждому абоненту/пользователю учитывается в 2х вариантах – денежном выражении и количественном. Каждое из этих выражений может
24
Центр Исследований и Разработки NATEC R&D
www.natec.ua
быть опциональным для той или иной услуги. По умолчанию эти поля можно не
использовать.
Итак, при создании или редактировании тарифного плана, требуется заполнить
следующие поля:
Название – краткое название создаваемого тарифного плана
Группы – связь данного тарифного плана с группами тарифных планов
(используется для удобства начисления скидок, имеющих отношение к нескольким
тарифным планам одновременно). На этапе создания не указывается – будет
отнесен в группу по умолчанию.
Описание – краткое описание тарифного плана по смыслу
признак Prepaid – признак того, что тарифный план является предоплаченным (этот
признак фактически делает доступными тарифные планы услуги Интернет для
продажи через POS-терминалы или страницу SalesPoint)
Стартовый баланс(валюта) – указывается значение по умолчанию в валюте для
абонентов/пользователей, которым будет назначен данный тарифный план
Стартовый баланс(шт.) – – указывается значение по умолчанию в шт. для
абонентов/пользователей, которым будет назначен данный тарифный план
Срок действия – дата, до которой действует тарифный план (т.е. можно продавать
и активировать коды доступа к услуге).
После нажатия на кнопку сохранить мы видим обновленную таблицу с новым
тарифным планом, однако обращаем внимание на последнюю колонку таблицы, в которой
отображается результат проверки тарифного плана на корректность его содержания, и
видим уведомление об ошибке (учитывая, что фактически содержания у нашего
тарифного плана ещё нет, то это нормально):
Для понимания ошибок мы можем их отображать нажатием на ссылку «ошибка», в
результате чего увидим:
Для продолжения переходим нажатием на названии тарифного плана в структуру
его содержания:
25
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Создание динамических типов услуг в тарифном плане
Для настройки тарификации услуг в каждом тарифном плане предусматривается
структура услуг, привязанная к устройствам, через которые эти услуги предоставляются.
Для корректной настройки тарифного плана в нем необходим, как минимум, один
динамический тип услуги (для примера к телефонии, это различные виды трафика –
международный, мобильный и т.д.) Для услуги Интернет, это могут быть локальный и
международный трафик, отдельное выделение трафика видео, голоса и данных, http или
ftp-трафик и так далее.
Для создания динамического типа необходимо перейти в меню «типы трафика» и
выбрать соответствующий пункт меню:
Далее необходимо добавить новый тип услуги, если в существующем списке она
отсутствует:
26
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Важно понимать, что именно на основе данных табличной структуры, приведенных
на этой странице, будет производиться структуризация всех начислений
абонентов/пользователей для начислений, налогов и счетов (первичных документов для
оплаты за оказанные услуги) – поэтому правильное проектирование перечня услуг
позволит Вам не только эффективно управлять тарифами и начислениями для Ваших
абонентов/пользователей, но и получать аналитику о структуре потребленного
абонентами/пользователями объема услуг.
Итак, для редактирования доступны следующие параметры:
Тип услуги – название динамического типа услуги (например, можно Internet)
Статический тип – признак направления трафика, для минимальных настроек
достаточно выбрать только тип «исходящий», так как он минимально обязательный
Остальные поля можно оставить без изменений:
Налоги – перечень налогов, применяемых для данного типа услуг
Абонплата – признак учета, позволяющий проводить начисления по данному виду
услуг в качестве абон.платы на её использование.
Код – уникальный код учета, обычно используемый для обмена с внешними
финансовыми системами, такими как 1С, SAP/R3 и т.д.. Для тарификации услуг не
используется.
Обращаем внимание на наличие или отсутствие налогообложения для новой услуги
– т.е. если начислять налоги нужно, то после сохранения услуги с признаком
«Налогообложение» равным «Есть», кликаем на кол-во налогов в этой услуге – по
умолчанию равное 0:
Далее, во всплывающем окне, выбираем необходимый нам налог:
и после сохранения видим уже измененную картину в таблице – вместо 0 отображается 1:
После создания необходимого динамического типа услуг (если его не
существовало ранее – так как один и тот же тип услуги мы можем использовать для
различных тарифных планов) необходимого вернуться к нашему редактируемому
тарифному плану и добавить в этот тарифный план, оговоренный выше, тип услуги, путем
выбора его из выпадающего списка после нажатия на ссылку «Добавить тарифный
период» в таблице «Периоды тарифных планов по динамическим типам»:
27
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Обратите внимание, что доступные в этом режиме редактирования параметры
тарификации данного типа услуг применяются только для тарификации услуг «по
факту» – т.е. для ТП предоплаченного типа смысла не имеют:
нетарифицируемый объем услуги (важно понимать, в каких единицах настроена
обработка исходных данных о потребленных услугах - например, для телефонии
это может быть длительность в секундах, для услуг Интернет – объем трафика в
байтах)
период тарификации – фактически, минимальная единица изменения услуги
(важно понимать, в каких единицах настроена обработка исходных данных о
потребленных услугах - например, для телефонии это может быть секунда или
минута, для услуг Интернет–байт, килобайт и т.д.)
реквизиты – используется в версии системы для распределенных операторов связи,
влияет на формирование счетов по оказанным услугам от имени различных
юридических лиц. В версии WideCoup Billing 3.2 доступен только один выбор
реквизитов для формирования счетов.
После сохранения, нужно создать или выбрать для выбранного типа услуги
тарифный период – фактически интервалы времени, в разрезе которых мы будем
устанавливать тарифы, например, бизнес- и не бизнес-время, праздничные дни и т.д.
Так как эта информация также доступна для тарифных планов с признаком
«Prepaid» равным False, то для предоплаченных ТП достаточно создать один тарифный
период «круглосуточно»:
28
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Создание структуры тарифов в тарифном плане
Далее, после сохранения, нужно вернуться обратно в редактирование нашего ТП,
так как следующим и необходимым этапом является наличие минимальной структуры
кодов для этой услуги - для чего, по hyper-ссылке «Коды направлений», переходим на
вкладку с именем «Зоны» и создаем новое (или выбрать существующее) зональное
распределение услуг для нашего редактируемого тарифного плана (далее по тексту ТП):
Сначала создаем зональное распределение (как минимум одно необходимо) для
структурирования тарифов на услугу:
Для правильной тарификации достаточно создать один единственный код услуги,
для которой в дальнейшем мы и будем устанавливать тариф – для чего на вкладке «Коды
направлений» для нашего редактируемого ТП и выбранной зоны добавляем код или
несколько (как для примера ниже):
29
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Значение кода, указанное в таблице должно быть уникальным для данной услуги –
тем самым в процессе тарификации услуг обеспечивается однозначная идентификация
тарифа для данной услуги.
После этого, все готово для указания конкретного тарифа для созданной услуги в
нашем ТП – для чего, после сохранения, нужно вернуться обратно в редактирование
нашего ТП и, по клику на выбранный тип услуги, перейти к настройке тарифов для этого
типа услуг:
Для тарифных планов с признаком Prepaid равным True, используется схема
тарификации по кодам услуг (которые мы создавали на предыдущем этапе). На
открывшейся странице «Типы тарифа» нужно в поле «Тарифы по кодам» добавить
тарифный код, созданный ранее в зональном распределении:
Установив фильтр по зональному распределению (выбрав зону), мы выбираем
ранее созданный тарифный код и добавляем валюту тарифа для тарификации:
30
Центр Исследований и Разработки NATEC R&D
www.natec.ua
После сохранения валюты тарифа, путем выбора hyper-ссылки нашего кода услуги,
мы попадаем в окно редактирования значения тарифа:
Как уже было сказано выше, тариф бывает в денежном выражении или
количественном – поэтому в последних версиях продукта WideCoup Billing 3.2 имеется
возможность указать эти значения для данного конкретного кода услуги.
Для тарифных планов с признаком «Prepaid» равным False, доступно
дополнительное поле «Фиксированная плата», значение которого позволяет учитывать
тарифы с наличием Connection Fee – т.е. дополнительной стоимости за использование
услуги без учета её объема.
Связывание тарифного плана с политикой доступа NPS-сервера
После сохранения, нам остается только выбрать для нашего тарифного плана
политику доступа, определенную на NPS-сервере и связанную с оборудованием
(контроллерами доступа):
Для каждого тарифного плана может быть только одна политика доступа,
связанная с NPS-сервером. Важно понимать, что непосредственно сама взаимосвязь
между тарифными планами биллинга и политиками доступа RADIUS-сервера
31
Центр Исследований и Разработки NATEC R&D
www.natec.ua
осуществляется через «Группы пользователей» сервера биллинга под управлением ОС
Windows Server и зависит от его политики безопасности (в первую очередь это касается
членства сервера биллинга в домене Active Directory и политике паролей для
пользователей – к примеру, в случае установки на сервере биллинга (или домена, если он
является его частью) параметров политики паролей «Требовать сложные пароли» или
«Требовать замену пароля», Вы можете создать ситуацию, когда пользователи Интернет
не смогут получить доступ, так как пользователь RADIUS-сервера не будет создан или его
пароль истечет до даты окончания действия услуги Интернет). Для нашего примера,
создадим новую политику доступа с именем «Wi-Fi-1000 на 1 час».
Для создания политики без гостевого доступа (т.е. каждый пользователь будет
персонифицирован на уровне RADIUS-сервера в виде индивидуального username и
password) нужно заполнить поля:
Политика – имя группы создаваемое в AD
Vendor attributes – параметры Vendor attributes, используемые в данной политике
доступа. Они будут доступны для редактирования при включенной галочке
«Переопределять NPS».
XMLID – идентификатор тарифного плана для внешней системы продаж.
Кодификация требует согласования с поставщиками оборудования POST
терминалов.
Гостевой логин – по умолчанию пусто, может содержать логин пользователя, под
которым могут авторизоваться все пользователи Интернет этого тарифного плана,
если их не нужно персонифицировать на уровне RADIUS-сервера.
Таймаут сессии в мин – время, через которое будет закрыт доступ пользователю
после активации ваучера (кода доступа к услуге) – фактически максимальное
разрешенное время для каждой сессии оконечного устройства.
Таймаут простоя в мин – время, через которое будет закрыт доступ пользователю
после активации ваучера (кода доступа к услуге) при отключении оконечного
устройства от сети передачи данных.
Количество сессий, шт. – ограничение по кол-ву сессий для конкретного
пользователя данного тарифного плана. Важно понимать, что у пользователя может
быть несколько тарифных планов – тем самым, это ограничение будет применяться
при попытке авторизации только в случае использования данного тарифного плана.
Время активации, суток. – ограничение по кол-ву сессий для конкретного
пользователя данного тарифного плана. Важно понимать, что у пользователя может
быть несколько тарифных планов – тем самым, это ограничение будет применяться
при попытке авторизации только в случае использования данного тарифного плана.
Обращаем внимание, что в случае применения RADIUS-сервера для авторизации
галочка «без логина» должна быть включена – указание гостевого логина для тарифного
32
Центр Исследований и Разработки NATEC R&D
www.natec.ua
плана применяется исключительно для простой схемы авторизации без использования
базы пользователей RADIUS-сервера.
Важно понимать, что в случае выключенной галочки «Переопределять NPS»
приведенные выше параметры, а также Vendor attributes, будут превалировать над
фактическими значениями в политике доступа RADIUS-сервера, которые могут
отличаться от указанных выше – обычно они не должны устанавливаться в политике «поумолчанию», которая указывается для активного варианта «Переопределять NPS».
Использование Vendor attributes
При создании политики доступа тарифного плана в случае включенной галочки
«Переопределять NPS» возможно указать ограничения, связанные с параметрами QoS,
шириной пропускной способности канала, максимального объема переданных данных и
т.д. – для чего используются параметры Vendor attributes, конкретные значения которых
зависят от производителя оборудования, например для скриншота ниже:
При нажатии на линк «Добавить» появляется возможность добавления параметров:
указан один параметр Vendor attributes, отсылаемый сервером RADIUS при авторизации
запросов от контроллера доступа CISCO (согласно указанному Vendor-ID=14171) по
адресу 10.0.0.254, а именно - атрибут №2 (что для CISCO есть номер профиля QoS), со
значением 0, т.к. тип этого параметра десятичный согласно документации CISCO и может
принимать одно из значений:
0 =Silver
1 = Gold
2 = Platinum
3 = Bronze
Важно понимать, что при указании параметров Vendor attributes в политике доступа
на данном этапе, не требуется указание соответствующих параметров в политике доступа
NPS (подробно описанной в разделе «Добавление политики» данного руководства)
Настройка синхронизации тарифов с внешней системой продаж
В случае интеграции с внешней системой продаж, требуется обратить внимание на
параметр XMLID, который используется для синхронизации данных с внешней системой
продаж:
33
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Это требуется для того, чтобы обновить во внешней системе продаж информацию
о стоимости услуг - при этом процедура обновления тарифного плана происходит
через удаление старого и создание нового тарифного плана во внешней системе:
Важно понимать, что просто изменить стоимость тарифного плана нельзя (не
изменив также идентификатор XMLID), так как во внешней системе могут быть уже
проданы коды доступа (ваучеры) по старой стоимости и их стоимость не может быть
изменена.
Поэтому единственным признаком, по которому внешняя система узнает об
изменениях в тарифных планах, является параметр XMLID. На основании
вышесказанного, тарифы во внешней системе продаж (обычно POS-терминалах)
обновляются по следующему алгоритму:
1. Сервис интеграции внешней системы продаж, каждые 60 минут опрашивает
метод GetTariffPolicies Веб-сервиса системы биллинга WideCoup Billing по ссылке
http://{billing_server}/webauth/webauthservice.asmx
2. Веб-сервис GetTariffPolicies, по запросу проверяет IP-адрес отправителя запроса
на наличие в таблице разрешений БД биллинга и, в случае наличия доступа, отдает
данные из по тарифным планам, которые:
§ Имеют тарифную политику;
§ Имеют общую стоимость услуг тарифного плана больше 0;
§ Имеют признак «Prepaid»;
§ Не завершили срока своего действия;
§ Не имеют ошибок в структуре.
3. По результату ответа сервиса GetTariffPolicies, во внешней системе продаж:
§ Удаляются тарифные планы, XMLID значения которых более не передается
из биллинга Веб-сервисом GetTariffPolicies;
§ Добавляются в список новые тарифные планы, XMLID значения которых
ранее не передавались.
34
Центр Исследований и Разработки NATEC R&D
www.natec.ua
При создании тарифного плана, значение идентификатора XMLID устанавливается
автоматически – в дальнейшем, при изменении тарифного плана требуется обязательное
изменение значения параметра XMLID для того, чтобы внесенные Вами изменения
попали во внешнюю систему. При попытке изменить параметр XMLID система выдает
предупреждение:
На данном этапе создание тарифного плана завершено, остаётся проверить наличие
ошибок в тарифном плане - обратите внимание, что передача изменений во внешнюю
систему происходит только по тарифным планам без наличия ошибок, при этом сам
процесс синхронизации данных осуществляется периодически – т.е. по расписанию,
указанному в настройках внешней системы продаж. Обычно интервал проверки наличия
изменений в системе биллинга устанавливают равным 1 (одному) часу.
Проверка ошибок тарифного плана
Если на странице Тарифных планов созданный план отображается без ошибок в
последней колонке, значит все сделано, верно. Для примера приведу ситуацию, когда
после выполнения всех вышеуказанных действий, ошибки в тарифном плане все равно
остается – для чего сначала уточняем, что за ошибка в тарифном плане есть:
При нажатии на ссылку «ошибка» мы видим её содержание:
35
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Так как в примере мы указали валюту тарифа USD, в валютой по умолчанию
является Рубль, то система подсказала нам об отсутствии истории курса для данной
валюты. Для установки курса переходим по ссылке в меню «Курсы валют»:
На странице «Курсы валют» мы выбираем необходимый нам тарифный план и
после нажатия на ссылку «добавить курс» указываем новое значение курса валюты:
Обратите внимание на признак «Применить ко всем тарифным планам» - в системе
существует вести для различных тарифных планов различные курсы одной и той же
валюты (это используется в случае биллинг-процессинга сразу для разных стран) – но по
умолчанию предлагается установить указанный Вами курс валюты для всех
существующих тарифных планов. После сохранения курса снова проверяем наш
тарифный план на наличие ошибок:
Как показано на скриншоте выше, ошибок в тарифном плане система не
обнаружила – значит теперь он станет доступен для продажи через внешние системы
36
Центр Исследований и Разработки NATEC R&D
www.natec.ua
(например POS-терминалы) и на странице генерации и печати ваучеров (кодов доступа к
услуге) SalesPoint.
Важно понимать, что до тех пор, пока тарифный план содержит ошибки, генерация
кодов доступа для него невозможна.
Создание бесплатного тарифного плана для услуги
Интернет
Администрирование бесплатного тарифного плана со сути и содержанию мало
отличается от создания платных тарифных планов, описанных в предыдущем разделе,
однако имеет свои особенности. В первую очередь следует отметить, что бесплатный
тарифных план может быть только не предоплаченным (т.е. Prepaid = False), что
устанавливается соответствующей галочкой при создании тарифного плана:
Создание структуры тарифов на основе срока действия
Следующим и важным отличием бесплатного тарифного плана является
возможность предоставления пользователю различного срока его использования, через
создание соответствующей структуры тарифов на вкладке «Коды направлений» - т.е.
фактически в рамках одного тарифного плана(и одной политики доступа) мы создаем
различные подвиды услуг, например, на основе срока использования.
Итак для выполнения этого, выбрав конкретный тарифный плана, далее переходим
по ссылке «Коды направлений», далее переходим на вкладку с именем «Зоны» и создаем
новое (или выбрать существующее) зональное распределение услуг для нашего
редактируемого тарифного плана (далее по тексту ТП):
Сначала создаем зональное распределение (группу услуг) (как минимум одно
необходимо) для структурирования тарифов на услугу:
37
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Далее, выбрав необходимый тарифный план и созданное ранее зональное
распределение (группу услуг), добавляем необходимое кол-во под.услуг для бесплатного
тарифного плана, в нашем примере доступных сроков для предоставления доступа:
Значение кода, указанное в таблице должно быть уникальным для данной услуги –
тем самым в процессе предоставления доступа обеспечивается однозначная
идентификация тарифа для данной услуги – также именно это значение доступно для
использования в интерфейсе HotelAccess для генерации кода доступа для бесплатного
тарифного плана в поле «суток»:
После этого, все готово для указания конкретного тарифа, а в нашем случае для
бесплатного тарифного плана, тарифа равного НУЛЮ - для чего, после сохранения, нужно
вернуться обратно в редактирование нашего ТП и, по клику на выбранный тип услуги,
перейти к настройке тарифов для этого типа услуг:
38
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Для бесплатного тарифного плана достаточно указать тариф по типу услуги, так
как не предполагается тарификация созданных нами ранее услуг на основе срока
использования (1,2,3 и т.д). Для этого на открывшейся странице «Типы тарифа» нужно в
поле «Тарифы по кодам» добавить тарифный код:
После сохранения валюты тарифа, путем выбора ссылки на тариф по типу, мы
попадаем в окно редактирования значения тарифа, где логично устанавливаем НУЛЬ:
На этом этапе создание бесплатного тарифного плана завершено и остаётся только
связать его с политикой доступа на сервере-RADIUS – это делается аналогично другим
тарифных планам и было описано выше.
39
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Создание групп тарифных планов и АТС
Для упрощения работы с большим количеством тарифных планов, а также
получения возможности применения групповых скидок для различных тарифных планов
существует возможность объединения тарифных планов в группы. Кроме того, это
позволяет указать доступность того или иного тарифного плана для пользователей на
конкретной площадке продаж (может быть связано в группой устройств доступа).
Для отнесения тарифного плана в одну или несколько групп, требуется на станице
тарифных планов перейти по ссылке в соответствующей колонке:
Далее добавить выбранный тарифный план поочередно в каждую группу:
Перейдя по ссылке имени группы, возможно отредактировать список групп, а также
группу по умолчанию, к которой будут добавляться вновь создаваемые тарифные планы:
Перейдя по ссылке к колонке «АТС», возможно отредактировать список площадок или
устройств, на которых будет доступна для продажи данная группа тарифов:
40
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Создание пользователя для услуги Интернет
В случае продажи услуг Интернет без персонификации пользователя через SMS
требуется наличие заранее известного списка пользователей - для создания или
редактирования пользовательских параметров доступа к услуге Интернет, используются
справочники «Коды авторизации» и «Абоненты», доступные по одноименным ссылкам в
списке доступных пунктов главного меню системы Storage Control.
Для начала, чтобы новый пользователь смог получить доступ в Интернет, ему
необходимо создать новое значение кода доступа, которое будет определять время
подписки нашего пользователя услуги для доступа в Интернет на условия конкретного
тарифного плана (включающего определенную политику доступа NPS-сервера) – эти же
значения доступны для генерации паролей в интерфейсе WideCoup HotelAccess.
Для этого, по одноименной ссылке в меню доступных функций выбранного
устройства/площадки, переходим в справочник «Коды авторизации»:
Для нашего примера создадим новый код доступа, но есть возможность и выбора
существующего кода из общего списка доступных кодов – для создания выберем ссылку
«Добавить код авторизации» в перечне доступных функций для данного справочника:
В открывшемся окне редактирования введем или сгенерируем новое значение кода
доступа – обратите внимание, что данное значение должно быть уникальным для
справочника кодов на данном устройстве/площадке:
41
Центр Исследований и Разработки NATEC R&D
www.natec.ua
После успешного сохранения кода доступа переходим в справочник «Абоненты»
для создания нового пользователя:
Обратите внимание на признак « » в колонке Абонент – он показывает наличие
соответствующего пользователя в локальном каталоге пользователей ОС Windows Server.
Для редактирования карточки абонента/пользователя необходимо нажать иконку
правки « », а для создания нового пользователя- в перечне доступных функций для
данного справочника выбрать пункт «Добавить абонента»:
В появившемся окне редактирования необходимо указать основные параметры
пользователя – ФИО (достаточно одного значения «Фамилия») и пару «логин/пароль»:
В случае применения RADIUS-сервера для авторизации пользователей,
обязательным является указание галочки «Существует в AD» - это автоматически создает
пользователей в локальном каталоге пользователей ОС Windows Server, который
используется для работы NPS Server.
42
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Важно понимать, что указание «пустого пароля» для услуги доступа в Интернет не
допускается, а сложность и срок действия пароля напрямую зависит от политик
безопасности Windows Server.
Признак «гостевой аккаунт» определяет пользователя с возможностью бесплатного
доступа в Интернет, например, для постояльцев гостиницы/Отеля.
При нажатии на кнопку сохранить « » происходит сохранение информации и создание
пользователя в каталоге пользователей Windows Server – обратите внимание, что создание
пользователей с одинаковым логином невозможно. После успешного создания
пользователя, Вы увидите следующую картину:
После сохранения, переходим к карточке абонента, кликнув на имени абонента, с целью
указать ему ранее созданный код доступа (из справочника «Коды авторизации»):
В карточке абонента, выбираем необходимый раздел с именем «Связанные внутренние
порты»:
В открывшемся интерфейсе выбираем функцию «Добавить код авторизации»:
43
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Далее, открываем список доступных кодов авторизации:
И выбираем из списка ранее созданный код доступа на необходимом устройстве:
Для облегчения поиска значения кода можно воспользоваться поиском:
Выбор конкретного кода осуществляется кликом на его значение, что подтверждается
индикацией hyper-ссылки в первой колонке табличной части. Выбор заканчивается
отображением значения кода в одноименной колонке карточки абонента:
После чего требуется нажать кнопку «сохранить»:
44
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Этим заканчиваются все необходимые манипуляции по созданию нового
пользователя – после этого новый пользователя (в виде значения кода доступа) доступен
для генерации пароля в интерфейсе WideCoup HotelAccess.
Интеграция с внешней системой продаж услуг Интернет
В случае продажи услуг Интернет через внешнюю систему продаж, например POSтерминалы, ручное создание пользователей не требуется, так как предполагается
автоматическое создание новых пользователей в процессе их персонификации через SMS.
Однако, наличие интеграции усложняет процесс администрирования тарифных планов –
за счет необходимости передачи каких-либо изменений в тарифных планах во внешнюю
систему, например, в систему POST терминалов или рабочих местах кассиров с
использованием кассовых аппаратов.
Учитывая фискальную составляющую процесса продаж кодов доступа,
актуализация данных тарифных планов во внешней системе осуществляется способом
прекращения действия одним тарифных планов и начала действия других тарифных
планов – важно понимать, что обновление тарифных планов не допускается в системе
биллинга WideCoup Billing, так как может не быть отражено во внешней системе продаж
(непосредственная реализация процесса синхронизации изменений зависит от
производителя конкретной системы продаж).
Для технической реализации процесса обмена информацией с внешней системой
продаж используется технология Веб-сервисов, опубликованных на сервере биллинга и
используемых со стороны внешней системы по запросу – тем самым внешняя система
может сама определять частоту запросов к системе биллинга и получать необходимую для
её функционирования информацию.
Важно понимать, что, учитывая коммерческий характер передаваемой информации
между системой биллинга и внешней системой продаж, внешняя система должна быть
авторизована в системе биллинга для выполнения запросов к Веб-сервисам. Также
рекомендуется размещение серверов биллинга и сервера обмена данными внешней
системы продаж в защищенном сегменте локальной сети предприятия.
Веб-сервис CreateAccessCodes (policyID, quantity, expire, size, unit, abnLogin) генерирует информацию о кодах активации (ваучерах) доступа. Пример XML-ответа для
запроса CreateAccessCodes (3, 10, 01.09.2013 0:00:00,6,1,«domain\username»):
<InternetAccess policy="3">
<Items>
<item number="101" expire="01.09.2013
<item number="102" expire="01.09.2013
<item number="103" expire="01.09.2013
<item number="104" expire="01.09.2013
<item number="105" expire="01.09.2013
<item number="106" expire="01.09.2013
<item number="107" expire="01.09.2013
<item number="108" expire="01.09.2013
<item number="109" expire="01.09.2013
<item number="110" expire="01.09.2013
</Items>
0:00:00">123456</item>
0:00:00">234567</item>
0:00:00">345678</item>
0:00:00">456789</item>
0:00:00">567890</item>
0:00:00">678901</item>
0:00:00">789012</item>
0:00:00">890123</item>
0:00:00">901234</item>
0:00:00">012345</item>
45
Центр Исследований и Разработки NATEC R&D
www.natec.ua
</InternetAccess >
где входные параметры:
•
quantity (обязательный) определяет кол-во возвращаемых кодов доступа
(допустимые значения от 1 до 999)
•
expire (обязательный) определяет дату до которой данные доступа в данной
выгрузке могут продаваться (допустимые значения от getdate() до 31.12.2999 23:59:59)
•
policy (обязательный) содержит идентификатор тарифной политики (тарифа),
переданной в запросе GetAccessCodes (policyID) – значения должны быть предварительно
согласованы между системами.
•
size (обязательный) содержит длину(размерность) необходимых кодов авторизации
(допустимые значения от 6 до 10)
•
unit представляет собой идентификатор устройства доступа к услуге, для которого
необходимо сгенерировать коды
•
abnLogin представляет идентификатор пользователя во внешней системе, от имени
которого приходит запрос на генерацию кодов (для аудита)
где параметры ответа:
•
number (int) - представляет собой уникальный порядковый номер кода активации
(ваучера) доступа, необходимый для техподдержки
•
expire (текст(20)) - содержащий дату и время в формате dd.mm.yyyy hh:mm:ss
•
item (текст(10)) - представляет собой набор секретных кодов активации (ваучеров)
для печати (могут быть использованы только один раз)
Веб-сервис GetTariffPolicies (ActualDate) – возвращает информацию об актуальных
тарифных планах для кодов активации (ваучерах) доступа. Пример XML-ответа для
запроса GetTariffPolicies («2012-07-13»)
<InternetPolicies ActualDate="2012-07-13 00:00:00">
<ErrorCode>0</ErrorCode>
<ErrorMessage />
<Items>
<Item PolicyExpire="2012-12-31 00:00:00">
<TariffPlanID>2</ TariffPlanID>
<PolicyID>1</PolicyID>
<Login>Hotel</Login>
<Services>
<Service ID="I.1.1" Currency="RUB">
<Prices>
<Price TariffPeriod="Круглосуточно">200</Price>
</Prices>
<Header>
<p allign="center">ГТЦ =КОМПАНИЯ= < /p>
<p allign="center">ДОБРО ПОЖАЛОВАТЬ! < /p>
</Header>
<Footer>Нет технической поддержки</Footer>
</Service>
</Services>
<Name>Дневной безлимит</Name>
<Description>Безлимитный доступ на 48 часов</Description>
</Item>
<Item PolicyExpire="2012-12-31 00:00:00">
<TariffPlanID>5</ TariffPlanID>
<PolicyID>2</PolicyID>
<Login>Hotel</Login>
<Services>
<Service ID="I.1.2" Currency="RUB">
<Prices>
46
Центр Исследований и Разработки NATEC R&D
www.natec.ua
<Price TariffPeriod="Круглосуточно">50</Price>
</Prices>
<Header>
<p allign="center">ГТЦ =КОМПАНИЯ= < /p>
<p allign="center">ДОБРО ПОЖАЛОВАТЬ! < /p>
</Header>
<Footer>Тел. технической поддержки 3905280</Footer>
</Service>
</Services>
<Name>Часовой безлимит</Name>
<Description>Безлимитный доступ на 1 час</Description>
</Item>
</Items>
</InternetPolicies>
где входной параметр ActualDate (обязательный) – текущая дата актуализации,
где параметры ответа:
•
PolicyExpire (текст (20)) – дата, до которой действует тарифный план (по её
истечении непроданные коды недоступны для продажи)
•
TariffPlanID (int) – внутренний идентификатор тарифного плана (политики доступа)
•
PolicyID (int) – значение PolicyID идентификации тарифного плана (политики
доступа)для генерации кодов доступа (используется для вызова CreateAccessCodes(…))
•
TariffPeriod (текст(100)) – параметр, идентифицирующий период действия тарифа,
для ваучеров содержит одно значение
•
Login (текст (200)) – гостевой логин для активации кодов (ваучеров), обычно
содержит пустое значение
•
Service ID (текст (50)) – идентификатор тарифа
•
Price (float) – цена/тариф за единицу
•
Currency (текст (10)) – код валюты, для РФ это RUB
•
Header (текст (200)) – заголовок печатной формы (необязательный параметр)
•
Footer (текст (200))– информация о технической поддержке (для чека)
•
Name (текст (50))– краткое имя тарифного плана
•
Description (текст (500))– описание тарифного плана
47
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Предоставление доступа с персонификацией клиента
Встроенная в систему биллинга WideCoup Billing система генерации кодов доступа
с персонификацией пользователя используется для обеспечения пользователей данными
доступа без применения внешних систем продажи ваучеров (кодов доступа) с дальнейшей
их персонификацией через получение информации о номере мобильного телефона, с
помощью которого осуществляется активация данного вида доступа к услуге Интернет.
Основное назначение данного интерфейса, названного WideCoup SalesPoint
предназначено для гостиниц и отелей, не использующих системы управления
гостиничным хозяйством (например, Fidelio, Epitoma LoginTouch и т.д.), но
предъявляющих требования по персонификации клиентов, получающих беспроводной
доступ на территории гостиницы/отеля.
По умолчанию, интерфейс WideCoup SalesPoint доступен по ссылке
http://billing/WebAuth/SalesPoint.html, но может быть кастомизирован по дизайну под
несколько гостиниц/отелей. Кроме того, интерфейс требует обязательной авторизации
пользователя (перечень логинов пользователей прописывается в web.config приложения):
После успешной авторизации пользователя, он попадает на страницу,
оформленную в фирменном стиле клиента, с возможностью выбора доступных на данных
момент тарифных планов с признаком Prepaid равным True и не содержащим ошибок
тарифного плана. Последовательность действий для получения значений кода доступа и
дальнейшей печати печатной формы для передачи пользователю следующая:
1 – На странице необходимо выбрать Тарифный план и указать срок, до которого
код доступа может быть активирован (по умолчанию установлено значение 2999 год).
48
Центр Исследований и Разработки NATEC R&D
www.natec.ua
2 – Кликнуть по кнопке «создать коды», далее подтвердить во всплывающем окне
сумму кодов доступа, которые будут сгенерированы системой биллинга. Для справки, при
выборе тарифного плана, его стоимость отображается в строке «стоимость: валюта»
После этого код будет сгенерирован, отобразится печатная форма и автоматически
будет вызвано диалоговое окно принтера для печати, например такое:
По нажатию на кнопку «Печать» печатная форма будет распечатана, а код
активации будет доступен для использования.
49
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Предоставление доступа без персонификации клиента
Встроенная в систему биллинга страница генерации паролей пользователей для
доступа к услуге Интернет без персонификации используется для обеспечения заранее
известных пользователей, уже созданных в системе биллинга через интерфейс
администрирования StorageControl, необходимым данными для доступа без применения
внешней системы продажи ваучеров (кодов доступа) или тестирования работы тарифных
планов и политик доступа NPS-сервера.
Основное назначение данного интерфейса, названного WideCoup HotelAccess
предназначено для гостиниц и отелей, не использующих системы управления
гостиничным хозяйством (например, Fidelio, Epitoma LoginTouch и т.д.) и не
предъявляющих требования по персонификации клиентов, получающих беспроводной
доступ на территории гостиницы/отеля.
По умолчанию, интерфейс WideCoup HotelAccess доступен по ссылке
http://billing/WebAuth/HotelAccess.html, но может быть кастомизирован по дизайну под
несколько гостиниц/отелей. Кроме того, интерфейс требует обязательной авторизации
пользователя (перечень логинов пользователей прописывается в web.config приложения):
Пример интерфейса для оказания бесплатного доступа
50
Центр Исследований и Разработки NATEC R&D
www.natec.ua
После успешной авторизации пользователя, он попадает на страницу, обычно
оформленную в фирменном стиле гостиницы, с возможностью выбора доступных на
данных момент тарифных планов (не содержащих ошибок) - с признаком Prepaid равным
True для платного доступа и с признаком Prepaid равным False – для бесплатного доступа.
Пример интерфейса для оказания платного доступа
Последовательность действий для получения параметров доступа и дальнейшей печати
печатной формы для передачи пользователю идентичны работе с интерфейсом WideCoup
SalesPoint – после выбора необходимых параметров продажи, по нажатию на кнопку
51
Центр Исследований и Разработки NATEC R&D
www.natec.ua
«Печать» печатная форма с данными для доступа будет распечатана, а логин и пароль
пользователя будут доступны для использования. Пример печатной формы приведен
ниже:
Пример печатной формы
Интерфейс поддерживает возможность «сброса» сгенерированной при продаже пары
«логин-пароль» - для чего используется соответствующая галочка «Смена пароля» в
интерфейсе пользователя. Обычно это применяется в случае утери клиентом
оригинальной информации о логине или пароле доступа. Так как для бесплатного доступа
нет визуальной индикации, в какие номера комнат уже был продан Интернет, а в какие –
нет, в случае повторной генерации пары логин-пароль для еще действующей пары
выводится соответствующее предупреждение:
52
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Отчет о продажах доступа без персонификации клиента
Для мониторинга продажи кодов доступа используется персональный отчет
кассира о генерации им паролей, печатная форма которого доступна по кнопке «Отчет» в
интерфейсе HotelAccess:
53
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Для старших кассиров, определенных в интерфейсе HotelAccess как
администраторы, доступен полный отчет по работе всех пользователей, имеющих доступ
к интерфейсу HotelAccess.
Настройка пользователей в качестве администраторов интерфейса HotelAccess
осуществляется через внесение изменений тега «Admins» в конфигурационном файле
web.config Веб-приложения WebAuth, размещенного на сервере биллинга:
<ThemeSettings>
<template>
<pages>
<add name="Default" type="SalesPoint" description="Name" NumberAts=""/>
<add name="Default" type="HotelAccess" description="Name" NumberAts=""
Admins="username" />
</pages>
</template>
</ThemeSettings>
54
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Отчеты системы HotSpot Billing
В качестве информационной поддержки пользователей системы WideCoup HotSpot
Billing преполагается два типа отчетности – онлайн отчетность на основе конструктора
запросов ReportKit и набора печатных форм отчетности подсистемы MS Reporting
Services.
Архитектура системы отчетности
Технология MS Reporting Services интегрированна в CУБД MS SQL Server 2008/2012
и предоставлет доступ к данным непосредственно через Веб-броузер без установки
дополнительного программного обеспечения.
Создание отчетов для их дальнейшей публикации на сервере отчетов осуществляется с
помощью конструктора отчетов от Microsoft (Report Designer или Visual Studio .NET),
сторонних разработчиков или обычного Notepad, поскольку представляют собой файлы в
XML-формате на языке Report Definition Language.
Кроме стандартных принципов работы, отчеты системы WideCoup Billing версии 3.х
могут быть сформированы по требованию или согласно указанному расписанию в
указанном формате. Можно просматривать отчеты в Веб-броузере, получать их
по электронной почте, печатать на принтер или экспортировать во множество различных
форматов - Excel, PDF и другие. Для увеличения производительности данные отчетов
кэшируются на сервере отчетов, что позволяет просматривать их в будущем с
минимальными затратами времени.
Отчет «Динамика активности сессий RADIUS»
Данный отчет предназначен для контроля генерации колдов доступа из интерфейсов
WideCoup HotelAccess и является альтернативой встроенного отчета о продажах данного
интерфейса, позволяющей увидеть продажи всех пользователей за различный период
времени.
55
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Отчет «Динамика активности сессий RADIUS»
Данный отчет предназначен для оценки нагрузки на сетевое оборудование относительно
количества одновременных сессий в течении суток. Пользователь может указать
интервайл, в рамках которого идет построение отчета. Одним из применений отчета
явлется контроль достаточности лицензий системы WideCoup HotSpot.
56
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Конструктор запросов ReportKit
Для оператвного контроля работы пользователей и активных сессий доступны онлайнотчеты, сконструированные в конструкторе запросов ReportKit, который является
визуальным инструментом для администратора системы и позволяет публиковать
подготовленные шаблоны запросов. Ниже приведены примеры подготовленных
шаблонов, которые могут отличаться от установленных на конкретном объекте.
Для просмотра статистики работы страницы Веб-авторизации, требуется перейти на отчет
History по следующей ссылке: http://{server-billing}/inetstat/default.aspx?reportname=history
Для просмотра списка активных сессий на данный момент, требуется перейти на отчет
Active_Sessions по следующей ссылке:
http://{server-billing}/inetonline/default.aspx?reportname=active_sessions
Для просмотра списка активных сессий на данный момент, требуется перейти на отчет
Login_In_Active по следующей ссылке:
http://{server-billing}/inetonline/default.aspx?reportname=login_in_active
57
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Перечень сообщений страницы Веб-авторизации
Ошибки пользователя
Некорректное использование кода доступа
Неверный ввод пользовательских данных
58
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Неверный ввод пользовательских данных
Уведомление о временной блокировке устройства пользователя по причине 5-ти кратной
ошибки ввода логина или пароля. Снятие блокировки осуществляется автоматически
через 1 час или вручную – см. раздел «Администрирование запретов активации
кодов/ваучеров»
59
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Требуется дополнительный ввод данных для доступа – в случае активации нескольких
кодов/ваучеров одновременно.
Сгенерированный пароль, введенный пользователем после активации кода/ваучера, не
совпадает с паролем, который был отослан ему по СМС – в данном случае требуется
повторная активация кода/ваучера или корректный ввод пароля.
Попытка использования устаревшего кода доступа
60
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Ошибки системы биллинга
Дата на сервере установлена неверно – ранее даты начала действия кода доступа. В этом
случае требуется участие системного администратора сервера биллинга.
Ошибки контроллера доступа WLC
В случае, когда на контроллере доступа (NAS) отсутствует или установлен просроченный
(невалидный) SSL-сертификат, пользователь не может увидеть страницу авторизации,
пока не укажет браузеру Интернет на своем устройстве, что данному сертификату можно
доверять. Выход из данной ситуации только один - установить на контроллер доступа
действительный SSL-сертификат выданный доверенным центром сертификации.
Сообщение об ошибке сертификата Internet Explorer
61
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Сообщение об ошибке сертификата Mozilla Firefox
62
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Типовой сценарий эксплуатации решения
В данном разделе описан типовой сценарий работы системы, заранее интегрированной с
сетевой инфраструктурой и сконфигурированной под необходимый перечень тарифных
планов. Начало предоставления доступа к услуге Интернет начинается обычно в процессе
регистрации гостя при поселении в гостиницу, но также может быть инициирована
должностным лицом гостиницы по запросу гостя:
1 шаг.
На первом этапе требуется сгенерировать учетные данные для доступа,
соотнесенные на конкретный гостиничный номер, или предоставленные
посетителю, не проживающему в гостинице – для чего необходимо открыть
интерфейс WideCoup HotelAccess и сгенерировать для одного из доступных
логинов код доступа (пароль или секретное слово). Подробная инструкция по
работе с данным интерфейсом описана в разделе “Предоставление доступа без
персонификации клиента” данного руководства:
63
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Успешным результатом данной операции будет печатная форма, содержащая
учетные данные пользователя U3 для входа в Интернет:
2 шаг.
Далее, пользователь получивший печатную форму с учетными данными,
подключает своё устройство к проводной или беспроводной сети гостиницы,
открывает любой браузер Интернет и вводит необходимый ему адрес Интернетресурса – при этом вместо указанного им ресурса он видит страницу авторизации:
64
Центр Исследований и Разработки NATEC R&D
www.natec.ua
В случае неудачного ввода учетных данных, страница авторизации сообщит об
ошибке ввода – в этом случае требуется более внимательно ввести данные еще раз.
Система временно (на один час) заблокирует данное устройство, если кол-во
неудачных попыток ввода превысит 5 раз (отключение данной функции может
привести в блокировке устройства на уровне контролера WLC, что потребует
участия сетевого администратора для разрешения данной ситуации и может
затянуться на длительный период)
В случае правильного ввода пары логин-пароль, пользователь увидит запрошенный
им адрес Интернет-ресурса, например такой:
Дополнительная информация доступна в разделе «Перечень сообщений страницы
Веб-авторизации» данного руководства.
3 шаг.
Для просмотра доступности кодов авторизации, а также истории его
использования можно воспользоваться интерфейсом Storage Control, а именно,
состояние кода авторизации U3 можно посмотреть на вкладке (http://{serverbilling}/sc/pbx/authorizationcodes.aspx), для нашего примера, на площадке «Гранд
Отель Поляна» в справочнике «Коды авторизации». Для поиска конкретного
значения в поле поиска «Код авторизации» прописать нужный нам код и нажать
«enter» - в нашем случае код уже активирован, что подтверждает « »:
65
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Для случаев, когда пользователь еще не успел воспользоваться учетными данными
– состояние будет не активирован, что подтверждает « ».
История активаций кода U3 доступна для просмотра на той же вкладке «Гранд
Отель Поляна» в справочнике «История активаций», для чего в поле поиска «Код
авторизации» нужно прописать нужный нам код и нажать «enter.
В случае утери пользователем учетных данных, предусмотрена функция «сброса»
пароля и выдачи нового – в этом случае пользователю выдается новые учетные
данные, а старые становятся недействительными. Подробнее смотрите в разделе
“Предоставление доступа без персонификации клиента”
4 шаг.
Для просмотра статистики работы пользователей Интернет используется
отчетность на основе встроенного конструктора отчетов WideCoup ReportsKit,
например, историю удачного и неудачного входа по нашему примеру логина U3
можно
посмотреть
по
следующей
ссылке
http://{serverbilling}/inetstat/default.aspx?reportname=history)
66
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Создание политики доступа NPS-сервера
Добавление нового контроллера доступа (RADIUS-клиента)
Перейти в узел «Клиенты и серверы RADIUS»-> «RADIUS-клиенты»
67
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Окно создания RADIUS клиента
68
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Нажать ОК
69
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Добавление политики
Раздел «Политики»->«Сетевые политики»
Диалог создания политики, указать имя
70
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Кликнуть далее
Кликнуть «Добавить», выбрать «Группы пользователей», кликнуть «Добавить»
71
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Кликнуть «Добавить группы»
Выбрать группу (интерфейс стандартный), кликнуть ОК
72
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Кликнуть ОК
Результат:
73
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Кликнуть Далее
Установить галочку «Проверка открытым тестом (PAP,SPAP)», кликнуть далее
74
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Кликнуть «НЕТ»
Перейти в пункт «Таймаут сеанса», поставить галочку «Максимальное время сеанса до
отключения», указать длительность сеанса для политики – этот параметр должен
соответствовать указанному ранее значению при создании Тарифного плана:
Кликнуть далее
75
Центр Исследований и Разработки NATEC R&D
www.natec.ua
С помощью кнопки «Удалить, очистить список» и потом кликнуть «Добавить»
76
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Выбрать атрибут «Service-Type»
Кликнуть «Добавить» и выбрать из списка в пункте «другие» «Login»
77
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Кликнуть ОК
Кликнуть Далее
78
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Перейти в пункт «Зависящие от поставщика», кликнуть «Добавить»
Выбрать поставщика «Пользовательский», кликнуть «Добавить»
79
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Выбрать Атрибут «Vendor-Specific» кликнуть Добавить
Кликнуть Добавить
Ввести код поставщика 14179 (код CISCO) – этот параметр отвечает за выбор QoS,
прописанной на контроле доступа СISCO WLC. После этого выбрать «Да, соответствует»
80
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Указать номер атрибута 2 (Qos), тип Десятичный и одно из значений (они должны быть
согласованы с администратором оборудования CISCO):
0 =Silver
1 = Gold
2 = Platinum
3 = Bronze
Кликнуть ОК
Кликнуть ОК
81
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Кликнуть ОК
Кликнуть ОК
82
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Кликнуть “закрыть”
83
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Кликнуть далее
Кликнуть «Готово»
84
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Пример конфигурирования контроллера доступа Cisco
Общая схема
Требования к коммутатору (при условии, что Intervlan Routing не нужен, так как WIFI
клиенты не должны попадать на managment interface WLC контроллера):
1) Четыре порта: 1 транковый порт для подключения к WLC, 1 порт доступа для
конфигурирования WLC контроллера, 1 порт для подключения Managment PC и к Router
2) Настроенные DHCP сервера выдачи адресов точкам доступа АР и Wifi клиентам (в
данном примере Wifi клиенты получают адрес от внешнего DHCP сервера, а точки
доступа АР – от Switch)
3) Два Vlan: один для администрирования контроллера и точки доступа АР, адрес точке
выдаётся динамически (в данном примере Vlan 20), второй для Wifi клиентов,
используется внешний или внутренний DHCP сервер (в данном примере Vlan 10)
Management PC – компьютер для конфигурирования WLC контроллера (в данном примере
подключён к интерфейсу коммутатора fa 0/3, который находится в Vlan20)
ААА сервера Authentication, Accounting и Web Authentication могут находиться как на
одном, так и на разных серверах. (в данном примере сервера находятся на разных)
85
Центр Исследований и Разработки NATEC R&D
www.natec.ua
IP адресация
В описываемом примере применена следующая адресация:
Vlan 10 = 192.168.3.xxx/24 GW = 192.168.3.254 /24
Vlan 20 = 192.168.2.xxx /24 GW = 192.168.2.200 /24
Интерфейс Vlan 10 = 192.168.3.200 255.255.255.0
Интерфейс Vlan 20 = 192.168.2.200 255.255.255.0
DHCP:
Vlan 20: 192.168.2.3…50 /24 (внутренний dhcp на switch)
Vlan 10: 192.168.3.10…20 /24 (внешний dhcp сервер)
Интерфейсы WLC:
Management (Vlan 20): 192.168.2.111 /24
Wifi_clients (Vlan 10): 192.168.3.3 /24
Authentication Server: 192.168.3.1 /24
Accounting Server: 192.168.3.1 /24
Внешний DHCP сервер: 192.168.3.2 /24
Точка доступа АР: 192.168.2.3 /24 (получает адрес из внутреннего Dhcp пула на switch)
Management PC: 192.168.2.4 /24 (получает адрес из внутреннего Dhcp пула на switch)
Для первичной конфигурации Switch и WLC Controller необходимо подключится к
консольному порту устройств с помощью rollover кабеля, с параметрами com-порта
компьютера:
•9600 baud
•8 data bits
•1 stop bit
•No parity
•No hardware flow control
ВНИМАНИЕ! Для WLC контроллеров серии 5500 порт коммутатора для подключения к
WLC контроллеру (на примере выше -fa0/2), должен быть гигабитным.
86
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Настройки коммутатора
Как уже показано на общей схеме, требуется использование нескольких VLAN:
Cоздание Vlan:
Switch>ena
Switch#conf t
Switch(config)#Vlan 10
Switch(config-vlan)#name Wifi_clients
Switch(config-vlan)#exit
Switch(config)#Vlan 20
Switch(config-vlan)#name Managment
Switch(config-vlan)#exit
Создание Vlan интерфейсов
Switch(config)#interface vlan 10
Switch(config-if)#ip address 192.168.3.200 255.255.255.0
Switch(config-if)#exit
Switch(config)#interface vlan 20
Switch(config-if)#ip address 192.168.2.200 255.255.255.0
Switch(config-if)#exit
Назначения роли для интерфейсов:
По умолчанию все порты включены и находятся в режиме access во Vlan1, в Trunk по
умолчанию входят все Vlan:
Switch(config)#interface fa0/1
Switch(config-if)#description Trunk to WLC
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan 10 20
Switch(config-if)#exit
Switch(config)#interface fa0/2
Switch(config-if)#description Link to AP vlan 20
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#exit
Switch(config)#interface fa0/3
Switch(config-if)#description Link to PC Maintainance
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#exit
Switch(config)#interface fa0/4
Switch(config-if)#description Link Internet
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
ВАЖНО!
На интерфейсах, к которым подключается АР или WLC контроллер не рекомендуется
прописывать команду: switch(config-if)#spanning-tree portfast
87
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Настройка DHCP
Если для выдачи адресов клиентам используется внешний DHCP сервер, по необходимо
настроить только один пул адресов для выдачи AP:
Switch(config)#ip dhcp pool BASE
Switch(dhcp-config)# network 192.168.2.0 255.255.255.0
Switch(dhcp-config)# default-router 192.168.2.200
Switch(dhcp-config)#exit
Указываем, какие адреса будут выдаваться из пула (192.168.2.10-50/24)
Switch(config)#ip dhcp excluded-address 192.168.2.1 192.168.2.10
Switch(config)#ip dhcp excluded-address 192.168.2.50 192.168.2.254
ВНИМАНИЕ: Для разных моделей коммутаторов синтаксис команд может отличаться,
например, при использовании WLC контроллера серий 4400 и 5500 при настройки DHCP
на коммутаторе пула необходимо указать ip адрес managment интерфейса контроллера c
помощью команды option 43 для того, чтобы точка доступа АР находила WLC
контроллер. Пример настроек:
ip dhcp pool BASE
network 192.168.2.0 255.255.255.0
default-router 192.168.2.200
option 43 ip 192.168.2.111
где 192.168.2.111 – адрес management интерфейса на WLC
ВНИМАНИЕ: При использовании WLC контроллеров серии 2000 и 4400 для точек
доступа AIR-AP необходимо обновить версию программного обеспечения точки с АР на
LAP - точка доступа должна содержать версию Cisco IOS Release 12.3(7)JA или выше, а
компьютер, с которого выполняется обновление, должен находиться в одном VLAN с
точкой доступа:
1. Запустить TFTP сервер с указанной версией прошивки, например Tftpd32
(Необходима доступность сервиса TFTP)
2. Подключиться по Telnet к точке доступа, войти в привилегированный режим, с
помощью команды enable
3. Ввести команду: archive download-sw /overwrite /reload tftp://адрес
tftp сервера/название файла прошивки
Например:
archive
download-sw
/overwrite
tftp://192.168.3.15/c1140-k9w8-tar.124-23c.JA5.tar
/reload
4. В случае удачности процесса обновления прошивки точка доступа получит
необходимые ей настройки от WLC контроллера
Примечания: Основная статья по обновлению прошивок расположена по адресу:
http://www.cisco.com/en/US/docs/wireless/access_point/conversion/lwapp/upgrade/guide/lwapn
ote.html#wp156967
В процессе обновления версии прошивки точки доступа LED индикация будет следующей
1) Мигает синим – процесс обновление
2) Смена зелёного, красного и
оранжевого цветов – процесс поиска WLC
контроллера
3) Постоянно светится зелёным – конфигурация от WLC контроллера загружена, но
клиенты WiFi отсутствуют
88
Центр Исследований и Разработки NATEC R&D
www.natec.ua
4) Постоянно светится синим – присутствуют подключённые по WiFi клиенты
Примечания: Информация по LED индикации приведена ниже.
89
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Настройка WLC контроллера (базовая)
Для WLC контроллера необходимо установить логин, пароль, адрес management порта,
маску, для чего после подключения к консольному порту, соглашаемся на
автоконфигурацию:
Would you like to terminate autoinstall? [yes]: yes
AUTO-INSTALL: process terminated -- no configuration loaded
System Name [Cisco_bb:bb:40] (31 characters max): Cisco_da:00:a4
Enter Administrative User Name (24 characters max): primer - Логин
Enter Administrative Password (3 to 24 characters): ********* - Пароль
Re-enter Administrative Password : *********
Настраиваем адресацию интерфейса управления. Это логический интерфейс, через
который контроллер «общается» с внешним миром (кроме точек доступа). Все физические
интерфейсы контроллера объединяют в EtherChannel группу, и в таком общем канале
настраиваете сколько требуется логических интерфейсов, каждый в своем VLANе. В
данном примере между коммутатором и контроллером создан trunk-порт, а обслуживание
ведется через VLAN 20. Контроллер будет DHCP-релеем (хотя также может исполнять
роль DHCP-сервера).
Management Interface IP Address: 192.168.2.111
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 192.168.2.xхх *
Management Interface VLAN Identifier (0 = untagged): 20
Management Interface Port Num [1]:1
*указываем любой незанятый адрес из подсети 192.168.2.0/24
ВНИМАНИЕ: Для разных моделей WLC синтаксис автоконфигурации может отличаться,
например, для WLC контроллеров серии 5500 необходимо в режиме консольного
интерфейса задать адрес Service-порта, для первичной конфигурации контроллера
Дальнейшие пункты автоконфигурации можно пропустить, так как настраиваться WLC
контроллер будет в графическом интерфейсе.
90
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Настройка WLC контроллера в графическом интерфейсе
Подключаемся по протоколу HTTPS к Management порту контроллера (в примере
HTTPS://192.168.2.111)
Настройка данных учётной записи для конфигурирования WLC контроллера
Management>Local Management users>New
91
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Указываем логин, пароль и режим доступа
В пункте Management>HTTP-HTTPS можно изменить протокол подключения с
контроллеру, указав Enabled для нужного протокола (по умолчанию используется
HTTPS)
92
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Для корректности загрузки конфигурации на точку доступа АР на WLC контроллере
необходимо изменить страну на Russia (в примере Ukraine)
Для этого в пункте WIRELESS>Access Points>Radios>802.11a/n и 802.11b/g/n отключить
сети 802.11a/n и 802.11b/g/n, сняв галочку с Enabled
93
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Затем в WIRELESS>Сountry изменяем значение на Russian Federation (для примера
указан Ukraine)
После смены страны необходимо заново включить сети 802.11a/n и 802.11b/g/n, поставив
в пунктах WIRELESS>Access Points>Radios>802.11a/n и 802.11b/g/n галочку в Enabled:
94
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Далее переходим в раздел CONTROLLER > Interfaces, где создаём и настраиваем
виртуальные интерфейсы.
1. Management - Интерфейс управления:
Пункт СONTROLLER>Interfaces>New – указываем имя и Vlan ID.
Затем указываем возможность dynamic AP managment, указываем Vlan ID, номер
логического port и ip address DHCP сервера (в примере адрес interface vlan 20,
настроенный на коммутаторе)
95
Центр Исследований и Разработки NATEC R&D
www.natec.ua
2. Wifi_clients – интерфейс для подключения клиентов
Пункт СONTROLLER>Interfaces>New указываем имя интерфейса и Vlan ID, в
котором будут находиться wifi клиенты
И производим его настройку – указываем номер порта, Vlan ID, Ip address, сетевую маску,
шлюз и адрес внешнего DHCP сервера
96
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Результат настроек
97
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Настройка Radius сервера:
1) Настройка Authentication server
Пункт SECURITY>AAA>Radius>Authentication>new задаём ip адрес Authentication
server (Поддерживаются FreeRADIUS, Cisco ACS, Cisco ISE, сервер Microsoft), port, ключ
для Authentication server, установить значение Enable в пункте Server status, включить
Network user - поддержка авторизации пользователей Wi-Fi сети. (В примере
Authentication и Accounting сервера находятся на разных серверах)
Результат
98
Центр Исследований и Разработки NATEC R&D
www.natec.ua
2) Настройка Accounting server
Пункт SECURITY>AAA>Radius>Accounting>New
Прописать ip адрес Accounting server, порт, ключ для Accounting server, установить
значение Enable в пункте Server status, включить Network user (поддержка авторизации
пользователей Wi-Fi сети)
Результат показан ниже:
3) Настройка внешней Web аутентификации
Пункт SECURITY>Web auth> Web Login Page выбираем тип аутентификации
External (Redirect to external server) и адрес страницы Web аутентификации
-
99
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Создание WLANs с Web-аутентикацией на AAA сервере:
1) Пункт WLANs> Create new
2) Указываем в пункте WLANs>General имя для Wlan, логический интерфейс (в данном
примере wifi_clients), включаем Broadcast SSID
100
Центр Исследований и Разработки NATEC R&D
www.natec.ua
3) В пункте WLANs>Security>Layer2 указываем значение None (так как аутентификация
будет проходить на ААА сервере)
4) В пункте WLANs>Security>Layer3 включаем Authentication
101
Центр Исследований и Разработки NATEC R&D
www.natec.ua
5) В пункте WLANs>Security>AAA Servers включаем Authentication и Accounting сервера,
указываем ip адрес и порт для подключения к ААА серверам, порядок поиска учётных
данных для авторизации в доступных базах данных пользователей (в примере - Radius)
102
Центр Исследований и Разработки NATEC R&D
www.natec.ua
ВНИМАНИЕ: При использовании WLC контроллера серии 5500 необходимо
выполнить настройку дополнительных пунктов:
1) Создать ACL запись, разрешающая доступ на Authorization server
SECURITY > Access control list > Create new
2) В созданном ACL (Для примера будет создан ACL “TEST”) создаются правила
103
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Где XXX.XXX.XXX.XXX – ip адрес сервера Authorization, маска посети указывается
255.255.255.255
Пример настроенного ACL:
3) При создании WLAN, указать созданный ACL в пункте preauthentication ACL
Для чего, в отношении необходимого WLAN в пункте:
WLANS > Security > Layer 3 > preauthentication ACL
Указываем созданный ACL для ipv4
104
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Политики паролей Password Policies
Политики паролей на WLC контроллере должны совпадать с политиками пароля для
операционной системы сервера биллинга под. управленим ОС Windows Server, а именно:
· длина и сложность пароля
· использование стандартных паролей
· использование username в паролях
Для указания этих настроек необходимо перейти в Security> AAA > Password Policies
Примечание: Данные политики по умолчанию рекомендовано отключить.
105
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Установка максимального количества подключённых WiFi клиентов
Перейти WLANS>Wlans>выбрать необходимый Wlan
В пункте Maximum Allowed Clients указать максимальное количество клиентов
для данного Wlan, значение 0 означает неограниченное количество
Максимальное количество пользователей для WLC контроллеров
различных платформ
106
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Ограничения по количеству одновременных WiFi подключений зависит от
факторов:
1) Стандарт Wifi (для одной точки доступа)
Shared Medium
# of users
802.11b
25
802.11g
20
802.11a
15
2) Модель точки доступа и версия IOS
3) Аппаратная часть точки доступа
Для 16МВ моделей – 128 клиентов на 1 АР (AP серии 1100 и 1200)
Для 32МВ моделей – лимита на 1 АР нет
Серия 1040
• 128 MB DRAM
• 32 MB flash
107
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Сохранение резервной копии конфигурационного файла
Для сохранения используется FTP или TFTP сервер. В данном примере используется
TFTP сервер TFTP32d. В директории, где установлено приложение сервера необходимо
создать папку, куда будет помещаться конфигурационный файл. В данном примере
Сonfig_WLC.
1.
В Web-интерфейсе используем раздел Commands>Upload File
Необходимо указать следующие параметры
· тип загружаемого файла File type – Configuration
· метод пересылки Transfer Mode – TFTP
· IP адрес сервера IP Address – ХХХ.ХХХ.ХХХ.ХХХ
· место для сохранения файла File Path
· имя файла File Name – name.xml
Нажать Upload
2.
В режиме командной строки CLI
Необходимо установить подключение к консольному порту с помощью Putty или
HyperTerminal, далее ввести следующие команды
108
Центр Исследований и Разработки NATEC R&D
www.natec.ua
После ввода команд появится окно с информацией о введенных данных. Для начала пересылки
конфигурационного файла нажать Y
В конфигурационном файле возможно делать изменения, открыв его с помощью текстового
редактора.
Загрузка конфигурационного файла в WLC контроллер
Для этой операции используем раздел Commands>Download File
Необходимо указать:
· тип файла File Type – Configuration
· метод пересылки Transfer Mode – TFTP
· IP адрес сервера IP Address – ХХХ.ХХХ.ХХХ.ХХХ
· место для сохранения файла File Path
· имя файла File Name – name.xml
· нажать Download
109
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Настройка точек доступа Cisco Aironet Series
Для примера конфигурирования использована точка доступа серии продуктов Cisco
Aironet Series, на основе которых можно построить комплексное интегрированное
семейство точек доступа.
1) Для настройки ip адреса для точки доступа используется динамическая (в примере выдача
из DHCP пула Vlan 20) или статическая адресация.
Для задания статического адреса необходимо подключиться к консольному порту точки
доступа, логин и пароль Cisco для User и Ena mode, вводим команды:
capwap ap ip address ip_address subnet_mask – задание статического ip адреса
capwap ap ip default-gateway default_gateway – задание шлюза
capwap ap controller ip address ip_address – задание ip адреса контроллера
2) На WLC контроллере выбираем пункт WIRELESS>All APs, в котором выбираем
подключённую точку доступа.
3) В пункте WIRELESS>All APs>General указываем имя точки. Также показан полученный
точкой ip адрес:
110
Центр Исследований и Разработки NATEC R&D
www.natec.ua
В пункте WIRELESS>All APs>Interfaces показаны параметры и статистика интерфейса
точки доступа АР
4) В пункте WIRELESS>All APs>Advanced выбираем код страны RU (для примера выбран
UA):
На этом настройки завершены и можно приступать к тестированию.
111
Центр Исследований и Разработки NATEC R&D
www.natec.ua
LED индикация точки доступа
Message Type
Очередность
загрузки точки
Status LED
Мигает
зелёным
Message Meaning
Идёт тест DRAM памяти
Тест DRAM памяти успешно пройден
Начало инициализации Board
Начало инициализации FLASH файла системы
Тест FLASH памяти успешно завершен
Инициализация Ethernet порта
Ethernet OK
Начало загрузи операционной системы Cisco IOS
Инициализация IOS успешна
Рабочий статус
Операционный
статус
Постоянно
Точна функционирует правильно, но WIFi клиенты
светит зелёным не подключены
Постоянно
светит синим
Точна функционирует правильно, подключен
минимум один WIFi клиент
Мигает синим
Идёт процесс обновления прошивки
Мигает
зелёным,
красным и
оранжевым
Идёт процесс обнаружения/подключения
Быстро мигает Access point location command invoked
синим, зелёным
и красным
Мигает
красным
Ethernet link не работает
112
Центр Исследований и Разработки NATEC R&D
Предупреждения в Мигает синим
ходе загрузки
системы
Постоянно
светит красным
Мигает
зелёным
www.natec.ua
Идёт восстановление файла конфигурации (была
зажата клавиша MODE на 2-3 секунды)
проблемы с Ethernet или восстановлением
конфигурации (была зажата клавиша MODE на 2030 секунды)
Процесс восстановления образа конфигурации
(отпущена клавиша MODE)
Ошибки в загрузке Постоянно
Неспешность теста памяти DRAM
системы
светит красным
Мигает
красным и
синим
Неисправность с системным FLASH файлом
Мигает
Неисправности, связанные со средой передачи
красным, затем Проблема с MAC адресом
гаснет
Ethernet неисправность в процессе восстановления
Неисправность при загрузке системы
Отсутствует Cisco файл образа
Неисправность при загрузке
Ошибки Cisco IOS Постоянно
Неисправность с программным обеспечением;
светит красным попробуйте отключить и подключить элемент
питания
Мигает
Глобальное предупреждение; проблемы с питанием
поочерёдно
(insufficient inline power)
синим, зелёным
и красным,
затем тухнет
113
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Поиск решения при наличии проблем подключения точки доступа
При возникновении проблем с подключением точки к WLC контроллеру проверьте
следующее:
· Пингует ли точка доступа АР и WLC друг друга?
· Получает ли точка доступа АР ip адрес по DHCP?
· Пингуются ли vlan-интерфейсы коммутатора с WLC?
· Пингуются ли интерфейсы WLC контроллера с коммутатора?
· Не возникает ли проблем, связанных с настройками STP на коммутаторе?
· Если пинги успешны, убедитесь, что АР имеет хотя бы один метод обнаружения
WLC контроллера, подключитесь к консольному/telnet/SSH порту и запустите
debugи
· Каждый раз при перезагрузке точки доступа АР, она инициирует на WLC
контроллере процесс обнаружения точки доступа АР, перезагрузите точку доступа
АР и удостоверьтесь, что она регистрируется на WLC контроллере
При возникновении проблем с регистрацией точки доступа АР следует, подключившись
консольным кабелем к АР и WLC, запустить debug-процедуру следующими командами:
·
·
·
·
·
debug dhcp detail—показывает информацию по DHCP option 43.
debug ip udp —показ обмена пакетами join/discovery с WLC контроллером, показ
DHCP and DNS запросов (все пакеты являются UDP пакетами. Порт 12223 является
source port контролеера).
debug lwapp (capwap) client event—показ LWAPP / CAPWAP событий для точки
доступа AP на WLC.
debug lwapp (capwap) errors enable - показ LWAPP / CAPWAP ошибок для точки
доступа AP на WLC.
undebug all—выключает все debugи.
Ниже описаны возможные способы выхода из различных ситуаций:
1. Точке доступа выдаётся неправильный / не выдаётся ip адрес из необходимого Vlan
(vlan20)
1) Проверьте, подключена ли точка по POE, включён ли порт на коммутаторе
В привилегированном режиме введите команду
(switch)#show ip interface brief
При выключенном порту введите следующие команды
switch(config)#interface fa0/x
switch(config-if)#no shutdown
2) Проверьте, подключена ли точка доступа к необходимому порту коммутатора
3) Проверьте правильность настроек для Vlan
4) Проверьте правильность настроек DHCP пула на коммутаторе – посмотрите, какой
ip адрес выдан, для чего запустите на коммутаторе debug DHCP
Switch#debug ip dhcp server events
Switch#debug ip dhcp
5) Проверьте, к какому Vlan относится порт с точкой доступа - для этого на
коммутаторе посмотрите, в каком Vlan находится порт: в привилегированном
режиме введите команду (switch)#show vlan
При несоответствии переведите порт в необходимый Vlan:
switch#configure termial
switch(config)#interface fa0/x
114
Центр Исследований и Разработки NATEC R&D
www.natec.ua
switch(config-if)#switchport access vlan 20
Выданный ip адрес можно увидеть на коммутаторе:
switch#show ip dhcp bindings
6) Проверьте, не выполнены ли на порте настройки безопасности Port Security
В привилегированном режиме введите команду
(switch)#show run
Удалите настройки безопасности на порте
switch#configure termial
switch(config)#interface fa0/x
switch(config-if)#no switchport port-security
3. Точка доступа АР не регистрируется на контроллере
1) Проверьте настройки транкового порта на коммутаторе, разрешены
необходимые vlan для передачи
(switch)#show int gig0/1 switchport
- перевести порт в режим trunk:
switch(config)#interface gig0/1
switch(config-if)#switchport trunk allowed vlan all – разрешить все vlan
- при выключенном порте:
switch(config)#interface gig0/1
switch(config-if)#no shutdown
ли
2) Проверьте, настроена ли в пуле DHCP опция option 43
3) Проверьте, правильно ли установлены на WLC контроллере время и часовой пояс
При введенных командах debug lwapp events enable и debug pm pki enable на
WLC возникает сообщение
При debug lwapp eventss enable
Thu Jan 1 00:09:57 1970: 00:0b:85:5b:fb:d0 LWAPP Join-Request does not
include valid certificate in CERTIFICATE_PAYLOAD from AP 00:0b:85:5b:fb:d0.
Thu Jan 1 00:09:57 1970: 00:0b:85:5b:fb:d0 Unable to free public key
for AP 00:0B:85:5B:FB:D0
Thu Jan 1 00:09:57 1970: spamProcessJoinRequest : spamDecodeJoinReq failed
При debug pm pki enable
Fri Apr 15 07:55:03 2005: sshpmGetIssuerHandles: ValidityString (current):
2005/04/15/07:55:03
Fri Apr 15 07:55:03 2005: sshpmGetIssuerHandles: Current time outside
AP cert validity interval: make sure the controller time is set.
Fri Apr 15 07:55:03 2005: sshpmFreePublicKeyHandle: called with (nil)
Для просмотра установленного времени выполните команды на WLC контроллеры:
show time
Для установки системного времени: config time manual MM/DD/YY
Для установки NTP сервера config time ntp № ip адрес сервера (№ - 1,2,3)
4) Проверьте, какая прошивка стоит на точке доступа АР, при необходимости
выполните перепрошивку точки под LAP
115
Центр Исследований и Разработки NATEC R&D
www.natec.ua
5) Проверьте, не повреждён/отсутствует ли public key-hash
·
·
·
Запустите debug lwapp events enable команд. Отображает процесс регистрации
АР
Запустите show auth-list. Показывает, есть ли в хранилище WLC контроллера
необходимый public key-hash
Запустите debug pm pki enable команду. Показывает текущий public key-hash,
который должен соответствовать public key-hash в хранилище WLC
контроллера
This command shows the actual. The actual public key-hash
must match the public key-hash that the controller has in
storage. Несоответствие вызывает проблему с регистрацией
Пример лога WLC контроллера:
(Cisco Controller) > debug pm pki enable
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
cert handle...
Mon May 22 06:34:10 2006: sshpmGetCID: called to
<bsnOldDefaultIdCert>
Mon May 22 06:34:10 2006: sshpmGetCID: comparing
CA cert >bsnOldDefaultCaCert<
Mon May 22 06:34:10 2006: sshpmGetCID: comparing
CA cert bsnDefaultRootCaCert<
Mon May 22 06:34:10 2006: sshpmGetCID: comparing
CA cert >bsnDefaultCaCert<
Mon May 22 06:34:10 2006: sshpmGetCID: comparing
CA cert >bsnDefaultBuildCert<
Mon May 22 06:34:10 2006: sshpmGetCID: comparing
CA cert >cscoDefaultNewRootCaCert<
Mon May 22 06:34:10 2006: sshpmGetCID: comparing
CA cert cscoDefaultMfgCaCert<
Mon May 22 06:34:10 2006: sshpmGetCID: comparing
ID cert >bsnOldDefaultIdCert<
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Public Key Data
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Key Data 30820122 300d06092a864886 f70d0101
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Key Data 01050003 82010f003082010a 02820101
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Key Data 00c805cd 7d406ea0cad8df69 b366fd4c
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Key Data 82fc0df0 39f2bff7ad425fa7 face8f15
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Key Data f356a6b3 9b87625143b95a34 49292e11
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Key Data 038181eb 058c782e56f0ad91 2d61a389
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Key Data f81fa6ce cd1f400bb5cf7cef 06ba4375
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Key Data dde0648e c4d63259774ce74e 9e2fde19
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Key Data 0f463f9e c77b79ea65d8639b d63aa0e3
Mon May 22 06:34:10 2006: sshpmGetIssuerHandles:
Key Data 7dd485db 251e2e079cd31041 b0734a55
Mon May 22 06:34:14 2006: sshpmGetIssuerHandles:
Key Data 463fbacc 1a61502dc54e75f2 6d28fc6b
getting (old) aes ID
evaluate
to row 0,
to row 1,
to row 2,
to row 3,
to row 4,
to row 5,
to row 0,
Calculate SHA1 hash on
116
Центр Исследований и Разработки NATEC R&D
Mon May 22 06:34:14 2006: sshpmGetIssuerHandles:
Key Data 82315490 881e3e3102d37140 7c9c865a
Mon May 22 06:34:14 2006: sshpmGetIssuerHandles:
Key Data 9ef3311b d514795f7a9bac00 d13ff85f
Mon May 22 06:34:14 2006: sshpmGetIssuerHandles:
Key Data 97e1a693 f9f6c5cb88053e8b 7fae6d67
Mon May 22 06:34:14 2006: sshpmGetIssuerHandles:
Key Data ca364f6f 76cf78bcbc1acc13 0d334aa6
Mon May 22 06:34:14 2006: sshpmGetIssuerHandles:
Key Data 031fb2a3 b5e572df2c831e7e f765b7e5
Mon May 22 06:34:14 2006: sshpmGetIssuerHandles:
Key Data fe64641f de2a6fe323311756 8302b8b8
Mon May 22 06:34:14 2006: sshpmGetIssuerHandles:
Key Data 1bfae1a8 eb076940280cbed1 49b2d50f
Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data
0001
Mon May 22 06:34:14 2006: sshpmGetIssuerHandles:
SSC Key Hash is 9e4ddd8dfcdd8458ba7b273fc37284b31a384eb9
www.natec.ua
f7020301
!--- This is the actual SSC key-hash value.
Mon May 22 06:34:14 2006: LWAPP Join-Request MTU path from
AP 00:0e:84:32:04:f0 is 1500, remote debug mode is 0
Mon May 22 06:34:14 2006: spamRadiusProcessResponse:
AP Authorization failure for 00:0e:84:32:04:f0
Выполните следующие шаги по решению:
5.1) Скопируйте public key из лога комманды debug pm pki enable и используйте его
для замены key-hash в authentication list на WLC контроллере.
5.2) Запустите команду config auth-list add ssc AP_MAC AP_key для добавления MACадреса и key-hash в authorization list.
Пример команды:
Cisco Controller)>config auth-list add ssc 00:0e:84:32:04:f0
9e4ddd8dfcdd8458ba7b273fc37284b31a384eb9
Примечание: Часть команды была смещена на следующую строку из-за нехватки
места в строке.
6) Проверьте, нет ли несоответствия в Regulatory domain.
Пример лога контроллера после введения команды debug lwapp events enable:
Wed Oct 24 17:13:20 2007: 00:0b:85:91:c3:c0 Received LWAPP DISCOVERY REQUEST
from AP 00:0b:85:91:c3:c0 to 00:0b:85:33:52:80 on port '2'
Wed Oct 24 17:13:20 2007: 00:0e:83:4e:67:00 Successful transmission of
LWAPP Discovery-Response to AP 00:0b:85:91:c3:c0 on Port 2
Wed Oct 24 17:13:46 2007: 00:0b:85:91:c3:c0 Received LWAPP JOIN REQUEST
from AP 00:0b:85:91:c3:c0 to 00:0b:85:33:52:81 on port '2'
Wed Oct 24 17:13:46 2007: 00:0b:85:91:c3:c0 AP ap:91:c3:c0:
txNonce 00:0B:85:33:52:80 rxNonce 00:0B:85:91:C3:C0
Wed Oct 24 17:13:46 2007: 00:0b:85:91:c3:c0 LWAPP Join-Request MTU path
from AP 00:0b:85:91:c3:c0 is 1500, remote debug mode is 0
Wed Oct 24 17:13:46 2007: 00:0b:85:91:c3:c0 Successfully added NPU Entry
for AP 00:0b:85:91:c3:c0 (index 48)
Switch IP: 10.77.244.211, Switch Port: 12223, intIfNum 2, vlanId 0
117
Центр Исследований и Разработки NATEC R&D
www.natec.ua
AP IP: 10.77.246.18, AP Port: 7228, next hop MAC: 00:17:94:06:62:88
Wed Oct 24 17:13:46 2007: 00:0b:85:91:c3:c0 Successfully transmission
of LWAPP Join-Reply to AP 00:0b:85:91:c3:c0
Wed Oct 24 17:13:46 2007: 00:0b:85:91:c3:c0 Register LWAPP event
for AP 00:0b:85:91:c3:c0 slot 0
Wed Oct 24 17:13:46 2007: 00:0b:85:91:c3:c0 Register LWAPP event
for AP 00:0b:85:91:c3:c0 slot 1
Wed Oct 24 17:13:47 2007: 00:0b:85:91:c3:c0 Received LWAPP CONFIGURE REQUEST
from AP 00:0b:85:91:c3:c0 to 00:0b:85:33:52:81
Wed Oct 24 17:13:47 2007: 00:0b:85:91:c3:c0 Updating IP info for AP
00:0b:85:91:c3:c0 -static 0, 10.77.246.18/255.255.255.224, gtw 10.77.246.1
Wed Oct 24 17:13:47 2007: 00:0b:85:91:c3:c0 Updating IP 10.77.246.18 ===>
10.77.246.18
for AP 00:0b:85:91:c3:c0
Wed Oct 24 17:13:47 2007: spamVerifyRegDomain RegDomain set for
slot 0 code 21 regstring -N regDfromCb -AB
Wed Oct 24 17:13:47 2007: 00:0b:85:91:c3:c0 AP 00:0b:85:91:c3:c0: 80211a
Regulatory Domain
(-N) does not match with country (US ) reg. domain -AB for the slot 0
Wed Oct 24 17:13:47 2007: spamVerifyRegDomain RegDomain set for
slot 1 code 21 regstring -N regDfromCb -AB
Wed Oct 24 17:13:47 2007: 00:0b:85:91:c3:c0 AP 00:0b:85:91:c3:c0: 80211bg
Regulatory
Domain (-N) does not match with country (US ) reg. domain -AB for the slot 1
Wed Oct 24 17:13:47 2007: spamVerifyRegDomain AP RegDomain check for the
country US failed
Wed Oct 24 17:13:47 2007: 00:0b:85:91:c3:c0 AP 00:0b:85:91:c3:c0: Regulatory
Domain
check Completely FAILED The AP will not be allowed to join
Wed Oct 24 17:13:47 2007: 00:0b:85:91:c3:c0
apfSpamProcessStateChangeInSpamContext:
Deregister LWAPP event for AP 00:0b:85:91:c3:c0 slot 0
Wed Oct 24 17:13:47 2007: 00:0b:85:91:c3:c0
apfSpamProcessStateChangeInSpamContext:
Deregister LWAPP event for AP 00:0b:85:91:c3:c0 slot 1
Wed Oct 24 17:13:47 2007: 00:0b:85:91:c3:c0 Deregister LWAPP event
for AP 00:0b:85:91:c3:c0 slot 0
Wed Oct 24 17:13:47 2007: 00:0b:85:91:c3:c0 Deregister LWAPP event
for AP 00:0b:85:91:c3:c0 slot 1
Примечание: Часть команд была смещена на следующую строку из-за нехватки места в
строке.
Приведенный выше лог показывает, что присутствует несоответствие в the regulatory
domain со стороны точки доступа LAP и WLC контроллера. The WLC поддерживает
множественные regulatory domains, но каждый regulatory domain должен быть выбран, до
того, как LAP может присоединиться с этого domain. Например, WLC контроллер,
который использует regulatory domain -A может быть использован только с точками
доступа AP которые используют regulatory domain -A (и т.д.).
ВАЖНО! При покупке точек доступа APs и WLC контроллера, проверьте, что они
используют один regulatory domain. Только в этом случае точка доступа LAP
зарегистрируется на WLC контроллере.
Внимание: Оба 802.1b/g и 802.11a radios должны использовать один regulatory domain,
при использовании одной точки доступа LAP.
7) Проверьте, правильная ли страна установлена на WLC контроллере
GUI:WIRELESS>Сountry
118
Центр Исследований и Разработки NATEC R&D
www.natec.ua
8) Проверьте, не превышен ли лимит точек доступа для интерфейса WLC
9) Проверьте, включены ли политики безопасности АР для сертификатов SSC, MIC и
LSC – в противном случае, при введении команд debug lwapp events enable и
debug pm pki enable на WLC возникает сообщение:
Wed Aug 9 17:20:21 2006 [ERROR] spam_lrad.c 1553: spamProcessJoinRequest :
spamDecodeJoinReq failed
Wed Aug 9 17:20:21 2006 [ERROR] spam_crypto.c 1509: Unable to free public key
for AP 00:12:44:B3:E5:60
Wed Aug 9 17:20:21 2006 [ERROR] spam_lrad.c 4880: LWAPP Join-Request does not
include valid certificate in CERTIFICATE_PAYLOAD from AP 00:12:44:b3:e5:60.
Wed Aug 9 17:20:21 2006 [CRITICAL] sshpmPkiApi.c 1493: Not configured to
accept Self-signed AP cert
для решения данной проблемы подключитесь к WLC в GUI, проверьте настройки в
пунктах Security>AP Policies и при выключенных политиках - включите их.
10) При повреждённых сертификатах SSC (Self Signed Certificate SCC), MIC
(Manufactured Installed certificate) или public key на точке доступа АР
Лог WLC при запущенных debugах debug lwapp errors enable и debug pm pki
enable:
Tue Aug 12 17:36:09 2008: 00:0f:24:a9:52:e0
LWAPP Join Request does not include valid certificate in CERTIFICATE_PAYLOAD
from AP 00:0f:24:a9:52:e0.
Tue Aug 12 17:36:09 2008: 00:0f:24:a9:52:e0
Deleting and removing AP 00:0f:24:a9:52:e0 from fast path
Tue Aug 12 17:36:09 2008: 00:0f:24:a9:52:e0 Unable to free public key for AP
для решения проблем c:
MIC AP — Запросить у поставщика RMA материалы.
SSC AP — Выполнить downgrade прошивки АР до Cisco IOS® Software Release
12.3(7)JA.
При использовании АР с SSC конвертируйте точку обратно в АР используя MODE
клавишу. Далее используйте lwapp/capwap upgrade tool и перешейте обратно в LWAPP.
This should create the certificate again.
11) Проверьте, не является ли данная точка доступа запрещённой в списке
авторизации точек АР на WLC контроллере, если данный список настраивался
При подключении консольном подключении к точке доступа возникает системное
сообщение - при включённом debug lwapp events enable на WLC контроллере:
Wed Sep 12 17:42:50 2007: spamRadiusProcessResponse: AP Authorization failure
for 00:0b:85:51:5a:e0
Для решения, подключившись к WLC контроллеру, введите следующую команду:
(Cisco Controller)>show auth-list
(Cisco Controller)>config auth-list add mic <AP MAC Address>
12) Проверьте, не блокирует ли firewall следующие порты
· UDP порты для LWAPP трафика:
o Data - 12222
o Control - 12223
· UDP порты для mobility трафика:
119
Центр Исследований и Разработки NATEC R&D
www.natec.ua
16666 - 16666
16667 - 16667
UDP порты 5246 и 5247 для CAPWAP трафика.
TCP 161 и 162 для SNMP (для Wireless Control System [WCS])
UDP 69 для TFTP
TCP 80 и/или 443 для HTTP или HTTPS для GUI доступа
TCP 23 и/или 22 для Telnet или SSH для CLI доступа
o
o
·
·
·
·
·
13) Проверьте, работает ли WLC контроллер в режиме Layer 3 mode
Конвертированные точки доступа АР работают только с WLC контроллером в режиме
Layer 3 mode и не поддерживают Layer 2 discovery – решение:
· Переведите WLC контроллер в режим Layer 3 mode.
· Перезагрузите и сконфигурируйте Managment интерфейс, используемый для AP.
4. Точка доступа Cisco Aironet 1250 Series не регистрируется на WLC контроллере
Лог контроллера:
Mon Jun 2 21:19:37 2008 AP with MAC f0:2x:cf:2x:1d:3x (APf02x.cf2x.1d3x) is
unknown.
Mon Jun 2 21:19:37 2008 AP Associated. Base Radio MAC: f0:2x:cf:2x:1d:3x
Mon Jun 2 21:19:26 2008 AP Disassociated. Base Radio MAC:f0:2x:cf:2x:1d:3x
Mon Jun 2 21:19:20 2008 AP with MAC f0:2x:cf:2x:1d:3x (APf02x.cf2x.1d3x) is
unknown.
Mon Jun 2 21:19:20 2008 AP Associated. Base Radio MAC: f0:2x:cf:2x:1d:3x
Mon Jun 2 21:19:09 2008 AP Disassociated. Base Radio MAC:f0:2x:cf:2x:1d:3x
Mon Jun 2 21:19:03 2008 AP with MAC f0:2x:cf:2x:1d:3x (APf02x.cf2x.1d3x) is
unknown.
Решение – т.к. точка доступа Cisco Aironet 1250 Series AP не поддерживает версию
контроллера 4.1 и регистрируется только на WLC контроллере версии 4.2.61 и выше,
обновите прошивку контроллера до 4.2.61 и выше
5. Точка доступа АР 1142LAP не регистрируется на WLC контроллере, ошибка на
WLC : lwapp_image_proc: unable to open tar file
Лог контроллера:
*Mar 27 15:04:38.596: %LWAPP-5-CHANGED: CAPWAP changed state to DISCOVERY
*Mar 27 15:04:38.597: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY
*Mar 27 15:04:38.606: %LWAPP-3-CLIENTERRORLOG: not receive read response(3)
*Mar 27 15:04:38.609: lwapp_image_proc: unable to open tar file
Mar 12 15:47:27.237 spam_lrad.c:8317 LWAPP-3-IMAGE_DOWNLOAD_ERR3:
Refusing image download request from AP 0X:2X:D0:FG:a7:XX - unable to open
image file /bsn/ap//c1140
Решение – т.к. точка доступа 1142 LAP серии регистрируются только на WLC
контроллере версии 5.2 и выше, обновите версию прошивки контроллера
6. Точка доступа 1000 LAP серии не регистрируется на WLC контроллере версии 5.0
Версия WLC release 5.0.148.0 или более поздняя не совместима с Cisco Aironet 1000 AP
серии. Лог WLC контроллера:
"AP with MAC xx:xx:xx:xx:xx:xx is unkown"
7. Точка доступа LAP с Mesh image не регистрируется на WLC
120
Центр Исследований и Разработки NATEC R&D
www.natec.ua
Лог WLC контроллера:
AAA Authentication Failure for UserName:5475xxx8bf9c User
Type: WLAN USER
Решение - Точка доступа LAP была поставлена с mesh image и находится в режиме Bridge
mode. Необходимо добавить её в AP authorization list на WLC контроллере. В GUI режиме
Security > AP Policies и добавьте AP в Authorization List. Точка доступа АР
присоединится к WLC контроллеру в режиме bridge mode. Затем необходимо перевести
точку доступа АР в режим local mode. Точка доступа АР скачает конфигурационный образ
с контроллера, перезагрузится и зарегистрируется на WLC в режиме local mode.
8. WLC контроллер сбрасывает обращения primary discovery request от точки
доступа - maximum APs joined
У каждого WLC контроллера есть лимит количества точке доступа на интерфейс,
зависимо от модели и платформы. Лог контроллера:
AP XX:AA:BB:XX:DD:DD - maximum APs joined 6/6
Подробнее о поддержке указано ниже:
· Серия 2100 поддерживает 6, 12, или 25 точек доступа LAP (зависит от модели)
· Серия 4402 поддерживает до 50 точек доступа LAP, серия 4404 поддерживает до
100.
· Модуль Catalyst 6500 Series Wireless Services Module (WiSM) - интегрируемый
Catalyst 6500 switch и два соединенных Cisco 4404 контроллера поддерживают до
300 точек доступа LAP.
· Модуль Cisco 7600 Series Router WiSM - интегрируемый Cisco 7600 router и два
соединенных Cisco 4404 контроллера поддерживают до 300 точек доступа LAP
· Модуль Cisco 28/37/38xx Series Integrated Services Router - интегрируемый
28/37/38xx router и модуль Cisco controller network поддерживает до 6, 8, 12, или 25
точек доступа LAP, в зависимости от версии сетевого модуля. Версия, которая
поддерживает 8, 12, или 25 точек доступа AP и точка доступа NME-AIR-WLC6-K9
6-access-point version имеет более скоростной процессор и больше on-board памяти
чем точки доступа NM-AIR-WLC6-K9 6-access-point версии.
· Модуль Catalyst 3750G Integrated WLC Switch - интегрируемый Catalyst 3750 switch
для Cisco WLC 4400 контроллера, поддерживает до 25 или 50 LAPs.
9. Обновление конфигурационных настроек точки доступа АР от WLC контроллера
- Выключить точку доступа
- Зажать клавишу MODE
- Включить точку доступа и через 5 секунд отпустить клавишу MODE
10. Дополнительная информация
Для получения дополнительной информации перейдите по следующим ссылкам:
· Локализации и устранению проблем - Раздел Troubleshooting TechNotes:
http://www.cisco.com/en/US/products/ps6366/prod_tech_notes_list.html
· Прошивание точки доступа АР:
http://www.cisco.com/en/US/docs/wireless/access_point/conversion/lwapp/upgrade/guid
e/lwapnote.html
· Процесс регистрации точки доступа АР на WLC контроллере:
http://www.cisco.com/en/US/tech/tk722/tk809/technologies_tech_note09186a00806c9e5
1.shtml
121
Related documents
Разработка системы удаленного управления доступом в
Разработка системы удаленного управления доступом в
лот №3
лот №3
Download
advertisement