Rozwiązanie Captive Portal

[debianek]

Witam,

ostatnimi czasy mieliśmy kilka "prawnych" kłopotów z siecią WIFI (sieć otwarta - taki wymóg, mocno ograniczona - praktycznie tylko http/https) więc wizją szefostwa jest uruchomienie usługi typu Captive Portal.

Szukam jakiegoś rozwiązania Captive Portal, które spełniałoby poniższe założenia:

- sieć WiFi oparta o kontrolery Cisco Wism1 i Wism2
- ok. 500 AP (1231,1242,1262)
- jednoczesna liczba klientów: ok 1000-1500
- brama sieci to ASA

Sieć powinna obsługiwać dwa typy użytkowników: pracowników oraz gości.
Wymagany jest jeden SSID, dopuszczalne jest ładowanie pracowników w jeden VLAN, gości w inny.
Dostęp do zasobów sieci powinien odbywać sie po uwierzytelnieniu przez portal WWW:
- pracownicy: loginy i hasła udostępnia interfejs typu LDAP,
- goście: wpisują np. numer telefonu komorkowego i dostają wtedy hasło jednorazowe/dzienne/tygodniowe (mamy firmowy serwer SMS) lub wpisują swój adres mail i tam dostają kod (wiadomosc z kodem muszą odebrać inną drogą).


Kiedyś bym sobie taką funkcjonalność wyrzeźbił na czymś w stylu pfSense, squid itp ale już mi się po prostu nie chce, bo i tak mi nie zapłacą tyle ile szefostwo gotowe jest wydać na gotowy, komercyjny produkt z ładnym interfejsem, wykresikami, statystykami i innymi fajerwerkami.

Rozwiązanie oparte o Cisco (sprzęt, soft), IBM (soft) są preferowane, ale inne też oczywiście są brane pod uwagę.

[art]

Cisco WCS chyba nie spełni Twoich wszystkich wymagań. Kiedyś widziałem prezentację firmy Passus, właśnie na temat captive portal, fajnie to wyglądało, więc może skontaktuj się z nimi i niech to wycenią

[On_Cisco_board]

Zainteresuj się również rozwiązaniami ARUBA - jedno z najlepszych rozwiazań na rynku, w pl chyba Alcatel-Lucent tez sprzedaje produkty Aruby pod wlasna marką.

Nie jestem zwiazanym w zaden sposob z Arubą ale znam kilka przykladow duzych wdrozen poza pl naprawde daja rade.

[art]

ktoś wspominał, chyba kyniu, że wszystko fajnie, tylko że za każdą funkcjonalność trzeba płacić w Aruba nie wiem dokładnie, jak to wygląda, ale to może być coś na "minus"

[MiKel]

Akurat produkty Aruby lepiej kupić pod marką Aruby a nie ALU, a w Polsce problemu ze znalezieniem dystrybutora nie ma. Tym bardziej że ALU chyba nie sprzedaje rozwiązań software Aruba.

Ale tak jak pisze kolega - zainteresuj się rozwiązaniem Clearpass i modułem Clearpass Guest. Bez problemu powinieneś zintegrować to z WLC, masz możliwość sponsoringu bazującego na SMS i email, zarówno self-provision jak i ze sponsorem. Musisz tylko wybadać dokładnie sprawę SMS - na pewno jest obsługa znanych bramek, nie wiem jak z własną bramką.

Nawet gotowy guide który ci coś pokaże znajdziesz tutaj: link

[mahi]

Czy te dwa typy klientów muszą używać tego samego SSID? O ile logujacy sie webowo goscie sa trudni do przewidzenia, to juz uwiezytelniani po MAC, to nie jest problem.

[psles]

Witam,

Sieć powinna obsługiwać dwa typy użytkowników: pracowników oraz gości.
Wymagany jest jeden SSID, dopuszczalne jest ładowanie pracowników w jeden VLAN, gości w inny.

A to w ogole mozliwe, zeby jeden SSID byl do wielu VLANow mapowany? Pytanie moze banalne dla niektorych, ale mam dostep do WLC i nie widzialem takiej mozliwosci... Wybaczcie - ucze sie ;)

[scoon]

Jeśli byłoby to L2 Security mógłbyś dynamicznie przydzielać vlany. Jeśli chodzi o L3 Sec. czyli Captive portal niestety nie.

[art]

A to w ogole mozliwe, zeby jeden SSID byl do wielu VLANow mapowany? Pytanie moze banalne dla niektorych, ale mam dostep do WLC i nie widzialem takiej mozliwosci... Wybaczcie - ucze sie

pytasz o dynamiczny przydzial VLAN'ów ? jasne że da się zrobić.

[scoon]

W przypadku L2 da się jak pisałem wcześniej. Jednak Captive portal jest uwierzytelnianiem w L3.

[chomicki]

Zainteresuj się Cisco ISE (licencja Advanced Wireless).
A jeżeli infrastruktura ma być dopiero budowana (w co wątpię, bo modele APków które wymieniłeś są już niekupywalne), to zerknij na Meraki.

Ew. rozwiązania typu Nomadix mogą częściowo zaadresować te wymagania (raczej pod kątem gości niż pracowników).