Архив для тега: wi-fi

WIFI в библиотеке: результаты.

Система, описанная ранее работает уже более квартала и можно делать некоторые выводы.

1. Endian Firewall уступил место более простому IPCOP. Причиной тому стал вывод из строя сервера внешними силами. Примерно за четыре часа брутфорса (который происходил в ночь с воскресенья на понедельник) /var/log переполнился (логи ротейтились раз в 100 мегабайт, и в итоге получилось 55 гигабайт гзипованного текста!), lvm начал любезно сдвигать остальные разделы и в итоге система тщетно засыпая мой ящик предупреждениями перестала отвечать на внешние запросы. Погибла, но не сдалась короче.

Поковыряв и реанимировав EFW, решил попробовать более простой IPCOP, прозрачный прокси которого решил использовать исключительно как гейт до вышестоящего прокси сервера. Syslog сервер теперь внешний, а логи прокси ротейтятся более интеллектуально. Пока вроде работает…. в IPCOP изрядно доставила одна особенность — если выбрал во время установки в качестве WAN что-то типа PPPoE, то через веб интерфейс на DHCP ETHERNET уже не переключить, а переставить ОС полностью оказалось несколько быстрее чем разобраться с CLI этого самого IPCOP.

2. Точки дступа оказались вовсе WAP54G v.3.1 а не WRT54G, как я считал ранее. Просто прошивка DD-WRT разницы между WAP54 и WRT54 не замечает. Разница с точки зрения частоты процессора, объёма оперативной и энергонезависимой памяти минимальна, так что, под DD-WRT нет особой разницы как устройство было названо производителем 🙂

3. Проверка боем показала достаточную живучесть системы. На четвертом месяце количество уникальных MAC адресов, получивших IP на контроллере (Acer Altos 600) перевалило за 10 000 (десять тысяч). Во время проведения крупных конференций и фестивалей на площадке, которая находится этажом выше библиотеки, сеть обслуживала в пике 159 (сто пятьдесят девять) пользователей. Судя по логам, медленно и с перебоями, но все чего-то скачали! Физическим интерфейсом выступал как раз WAP54G v.3.1 (пара в WDS+AP). При этом ни одного сбоя системы не было. Аптайм на данный момент составляет 58 дней, плановое выключение контроллера было связано с процедурой чистки от пыли в выходной день.

4. Похоже, мы имеем проблемы с внутренней сетью университета. Аренда серого статического адреса основного сервера (HP Proliant ML 370 G3) составляет двое суток. В момент обновления адреса, сервер зачастую не получает шлюз. Адрес есть, маска тоже, DNS’ы… всё есть, а шлюза нет. Если бы проблема случалась раз в двое суток, то всё было бы не так страшно и решалось бы простым назначенным заданием, но в последнее время мы столкнулись с тем, что шлюз может теряться несколько раз в день, а может и не теряться неделю. Гирлянда управляемых коммутаторов разных фирм, которые имели место между контроллером сети университета и нашим сервером была заменена на один хороший каталист, но ситуации это не исправило. Наши сетевики пока думают в чём дело, время аренды адресов уменьшили до нескольких часов, что в принципе должно было устранить некоторые проблемы нашего сегмента с большим количеством клиентов, но пока результата это не дало. Пока я делаю ipconfig /release и ipconfig /renew раз в два часа в будние дни с восьми утра и до восьми вечера.

2 комментария

WIFI в библиотеке: воскрешение

Случилось так, что в октябре прошлого года беспроводная сеть в зале открытого доступа нашей библиотеки работать перестала. Причиной тому стало серьёзное изменение структуры сети университета (в связи с вхождением в Федеральный университет) и как следствие, невозможность работы по старой схеме, когда нам выделялся диапазон адресов, который не обслуживался основным DHCP сервером университета и полный кардбланш на использование этого диапазона. Более того, коллеги, занимающиеся развитием и администрированием сети университета вовсе рекомендовали отказаться от любой самодеятельности на частотах в районе 2.4ГГц. Дескать, будет у нас всеуниверситетская сеть (когда-то) и ей (уже сейчас) не нужны конфликты.

Без сети мы прожили два месяца, это чувствовали и сотрудники, привыкшие работать в разных углах, простите, зонах библиотеки, с ноутбуком и телевизором в качестве презентационного экрана, и конечно же читатели. Перед новым годом стало понятно что всеуниверситетская сеть случится очень не скоро и конфликтовать с ней ближайшие лет пять никто не будет, а беспроводной интернет нужен сотрудникам и читателям здесь и сейчас и начальство дало добро на строительство новой сети.

При придумывании системы новой сети было принято решение сделать её полностью прозрачной и даже незаметной для IT начальства, чтобы лишний раз не нервировать коллег. Увеличить зону покрытия сети, разделить сеть сотрудников и читателей, а так же переработать систему регистрации и авторизации пользователей, т.к. старая система, имеющая в своём составе непрозрачный (требующий ввода настроек) Proxy-сервер и MAC-фильтр (требующий очной регистрации машины при первом использовании) не была достаточно гибкой и удобной.

Собиралась система из того что было, а было то, что по словам старшего товарища описывает классическая украинская пословица «На тоби боже, що нам не гоже!». А если конкретно, то было вот что:

  1. Сервер HP Proliant ML 370 G3
  2. Сервер Acer Altos 600
  3. Пара точек D-Link DWL-2100AP
  4. Пара точек LinkSYS WTR54G
  5. Пара хабов
  6. Старые сетевые карты
  7. Патчкорды
  8. Солдатская смекалка

Первый пункт списка является основным боевым сервером внутренних не специализированных ресурсов библиотеки. Он был до беспроводной сети (которая к слову сказать, функционирует у нас с 2006 года) и практически не подвергался какой-то серьёзной модификации под новую беспроводную сеть. Не смотря на свой почтенный возраст, далеко не топовую конфигурацию и EOL, наступивший пару лет назад, эта машина тянет на себе proxy-сервер для стационарных рабочих мест читателей в двух зданиях библиотеки, внутренний ftp-сервер для сотрудников, терминальный сервер для работы электронных каталогов системы sunray, один из серверов бэкапов АБИС РУСЛАН, сервер логов и еще кучу маленьких и не очень задач. Конечно, ресурсов машины не хватает, но как говорится, на тоби боже…

Второй пункт должен был уйти на списание с последующей утилизацией в одном из подразделений университета, но мы его спасли. Отмыли, отчистили… навтыкали в него памяти, сетевых карточек и пр. полезных железок и пустили в дело. Кстати, на его брате близнеце развёрнут тестовый DSpace 1.7, о чём упоминалось в блоге… На тоби боже как говорится.

Точки доступа D-Link у нас остались от прошлой реализации, было решено использовать пару точек в тандеме точка+повторитель. С точками Linksys ситуация аналогичная с точностью до того обстоятельства что они были любезно переданы одним из подразделений университета.

Схема новой беспроводной сети показана на рисунке, комментарии ниже:

 

WIFI

 

Как было сказано выше, на сервере HP Proliant имеется proxy-сервер. Было решено использовать его если и не как основной фильтр контента, то как один из цепочки фильтров. На сервере OLD Server была развёрнута система Endian Firewall Community Edition ветки 2.4, с тремя зонами – красной, на которую подаётся аплинк с сервера HP Proliant, зеленой – в которой работает сеть сотрудников и синей – предназначенной для сети посетителей. Помимо, сетевого экрана, который тут является неотъемлемой частью под Endian Firewall развёрнут прозрачный proxy-сервер, сетевой антивирус, сервер времени и некоторые другие сервисы, необходимые для комфортной работы. Кабель с хаба HUB STAFF возвращается в сервер HP Рroliant для получения консоли администрирования, т.к. из красной зоны Endian Firewall по умолчанию администрировать невозможно.

Теперь, приходя в библиотеку, читатель «видит» как минимум две беспроводных сети – открытую и не имеющую шифрования сеть LIBRARY и закрытую сеть LIBRARY-STAFF. К последней он подключиться не может, а к первой запросто. Если браузер читателя не умеет работать с прозрачным proxy (что порой случается на некоторых мобильных устройствах, уже настроенных на работу в какой-либо корпоративной сети), то сетевой экран любезно перенаправит читателя на сайт библиотеки, куда бы тот не хотел изначально попасть. Если же всё штатно, то прозрачный proxy сработает прозрачно, пуская читателя туда куда положено и отсекая нежелательный контент. Вышестоящий proxy на сервере HP proliant тоже чего-то отсекает и тоже имеет кэш в десять гигабайт на всякий случай.

При этом читатель не должен ничего настраивать, разве что, сбросить настройки беспроводного сетевого адаптера в автоматический режим, если имели место ручные. Запоминать адреса и порты сервера посредника, логины и пароли, а главное, пользователь фактически не должен регистрироваться. Главное пожелание читателей, звучащее «Хочу чтоб как в макдональдс!» удовлетворено! А главная претензия пользователей айпедов и пр. не поддающихся настройке гаджетов «Ну в макдональдс же ловит?!» звучит всё реже и реже.

Тестовый запуск системы показал что 15 одновременных пользователей – не предел для нашей реальности, а вот 667 мегагерц процессора старого сервера – серьёзная проблема. Как показало вскрытие (чисто технически, это была вивисекция) сервера, в нём было два процессорных гнезда Socket 370. Пара процессоров P!!! 1000 нашлась быстро, а вот модуль питания второго процессора (он конструктивно выполнен на отдельной платке) не нашёлся…. В радиотоварах было куплено полдюжины транзисторов, пара конденсаторов, дроссель был выпаян из сгоревшей материнской платы и в итоге модуль VRM был собран из того что было. Пары процессоров P!!! 1000 с запасом хватает при работе двадцати пользователей одновременно.

Что касается статистики, с момента запуска системы прошло уже около четырех месяцев и можно говорить о каких-то результатах. Например, за 4 месяца работы новой системы было зафиксировано более трехсот пятидесяти уникальных MAC-адресов, по сути – уникальных пользователей. За полтора последних года работы старой системы MAC-адресов было всего 150. Количество сессий выросло примерно в 20 раз, если допустить приравнивание сессии к книговыдаче или книгочтению, то к статистике за четыре месяца можно добавить + 6000 🙂 . А вот объём трафика вырос пропорционально, и посещаемые ресурсы практически не изменились – электронный каталог, сайты факультетов и подразделений, почта, некоторые форумы. Напомню, доступ к социальным сетям, трекерам, сервисам мгновенного обмена сообщениями и пр. не очень академическим вещам закрыт по технологии черного списка пары proxy-серверов.

Студенты регулярно находят в этом списке лазейки, либо, появляется новый сервис, позволяющий «анонимно» посещать социальные сети, но логи анализируются и лазейки закрываются в рабочем порядке пару раз в месяц.

Использование пары точек доступа с усиленными антеннами (куплены в китайском интернет магазине за свой счёт 🙂 ) позволило расширить границы уверенного приёма сети не только в даль, но и в высь, и с позволения сказать в низь. Над залом открытого доступа нашей библиотеки находится конференц-зал, холл которого традиционно является местом постоянной дислокации студентов, под залом находится столовая, в которой тоже многолюдно. Проходя в холле над библиотекой или в столовой часто замечаю студентов с планшетами… что-то читают, сёрфят, а потом раз – 403-я ошибка – отказано в доступе, и дизайн страницы до боли знакомый… Приятно чёрт возьми. Работает. Востребовано.

4 комментария

Wifi в библиотеке: success story

Довольно давно я писала о технологии беспроводной сети в нашей библиотеке. Естественно, писала о том, что понимала сама, не вдаваясь в технические подробности. Сегодня я наконец-то «упросила» мужа (который по совместительству является системным администратором в нашей библиотеке)написать более подробно о том, как это все работает. Может быть, наш опыт поможет вам создать подобные условия для работы для ваших читателей.

Беспроводная сеть на базе технологии IEEE 802.11 (далее просто WiFi) появилась в нашей библиотеке спонтанно.
Пожелание читателей было передано начальству (Отдел Информационных Технологий), и была составлена заявка a la «хотим чтоб было Wireless и при этом Fidelity», которая была передана поставщику оборудования.
Местное IT сословие в разработке сетевой архитектуры участия не принимало, понадеялись, как говорится, на поставщика.
Через неделю от поставщика пришёл мальчик, окинул взглядом просторы зала (площадь метров 300 квадратных как минимум, вся в стеллажах), присвистнул, когда ему сказали «а вот от входа и до сюда тоже должно покрытие быть» он как-то сразу погрустнел и ушёл. Вернее, кивал, выслушав пожелания о двухдиапазонной точке доступа, паре круговых антенн и отдельном роутере и только потом ушёл.
Через какое-то время пришло долгожданное оборудование, оно представляло из себя пять ширпотребных точек доступа D-Link DWL 2100AP и всё!
Где наша не пропадала, пришлось собирать новомодный сервис из того что было. В итоге, три точки были раскиданы в разные углы покрываемой территории, прошивка на них обновлена (из коробки оно просто не работало), и все три точки были запущены в режиме WDS + AP.
Сейчас система функционирует следующим образом – на точках доступа работает DHCP сервер и осуществляется фильтрация по MAC адресам.
Точка имеет доступ только на один серый IP сети – адрес Proxy сервера. То есть, студентам особо не разгуляться. За это спасибо IT руководству, выделили VLAN, сконфигурировали сетевой экран, всё как надо.
Прошивки точек доступа модифицированы, удалённое управление не возможно в целях повышения безопасности.
Регистрация нового пользователя проходит следующим образом: у пользователя списывается MAC адрес компьютера, проводится его регистрация на точке доступа, после этого, проводится настройка браузера для использования PROXY и всё. Можно работать.
Естественно пользователь имеет доступ к инструкциям о том, как узнать свой MAC адрес и как настроить PROXY в печатном виде, но на практике, регистрация зачастую осуществляется только при наличии администратора на рабочем месте. Занимает она пару минут.
На сегодняшний день есть желание организовать либо более умный контроль по MAC адресам (использовать DNS/DHCP на сервере, а не на точке), либо сделать ход конём и вовсе поднять VPN и выдавать пользователям личные логины и пароли. Делается это из-за того, что позволить полностью свободный и неконтролируемый доступ к сети Интернет через WiFi мы себе не можем по многим причинам, а текущая система контроля имеет массу слабых мест. По сути, надежность контроля сводится к надёжности конкретной точки доступа, а продукты D-Link уровня Home/SOHO вряд ли обладают достаточной надёжностью. Опять же, MAC адрес можно элементарно подсмотреть (посмотрите на дно своего ноутбука 😉 ) и подменив им свой, подставить однокашника, или просто, скачать гигабайт порно, не желая зла хозяину зарегистрированного адреса.
Скажете, VPN учётную запись тоже можно сломать/украсть? Отвечу – в случае с VPN ответственность за сохранность аутентификационных данных несёт пользователь, с нашей стороны сделано всё для того чтобы его не подставить, остальное – его проблемы.
Пара слов о статистике. Система существует уже около двух лет, в среднем мы имеем три клиента в день (расчет для календарного года включая все каникулы, праздники и выходные). Специфика учёта заключается в том, что одни компьютеры настроены так, что требуют новый адрес раз в 60 секунд, а другие раз в 60 минут. Ко всему прочему, пользователь может несколько раз в день прийти в зал. Подсчёт пользователей производится по оригинальной методике сравнением лога PROXY сервера и точки доступа. На абсолютную точность мы не претендуем, значение сознательно занижаем, нам пока важен лишь порядок. Кстати, с возможным переходом к VPN эта проблема отпадёт сама собой.
Что касается оборудования, от IEEE 802.11a и IEEE 802.11n пока пришлось отказаться. Bluetooth планировался, но не был введен, во-первых, из-за высокой стоимости точки доступа, во-первых, и из-за сомнительности использования в «научных и образовательных целях» (регламентировано правилами), т.к. основными клиентами стали бы обладатели мобильных телефонов.
Выводы добавлю уже от себя: Что дает нам wifi? В первую очередь, удовлетворение растущих потребностей наших пользователей, которые сначала просиживали свои штаны и юбки за библиотечными компьютерами, а теперь приходят к нам работать уже со своими ноутбуками. Говорят — это удобнее. Наверное, не пробовала 🙂 А фраза «в библиотеке работает беспроводная сеть для читателей» магически действует на гостей библиотеки и руководство университета.

2 комментария

Беспроводной доступ в библиотеках: мифы и библиотечная реальность : Часть 2.0

Только что пообщалась с нашим админом на предмет, сколько раз наши читатели воспользовались беспроводным Интернет через wifi, и нахожусь теперь в легком шоке. Мы (библиографы-консультанты) ведем статистику своеобразным, конечно, образом — увидели, что человек работает с ноутбуком, поставили точку в wifi. Таких точек с сентября набралось около 80. Оказалось, что мы в корне не правы со своим визуальным ведением учета. На самом деле их должно быть не менее 506 (включая библиотечный ноут, который используется для занятий).
Следовательно, для того чтобы вести правильный учет пользователей нужно не просто внимательно за ними смотреть, но и продублировать этот процесс техническими средствами.

2 комментария

Беспроводной доступ в библиотеках: мифы и библиотечная реальность : Часть 1

Статья о том, что молодой человек был задержан за то, что во внерабочее время воспользовался беспроводным доступом в Интернет через wi-fi точку Публичной библиотеки Палмера, Аляска, для того, чтобы поиграть в on-line игру, и мнение Джона Блайберга (John Blyberg) на эту тему, натолкнуло меня на мысль рассказать о том, как в нашей библиотеке организован беспроводной доступ в интернет. Wi-fi (сокращенно от английского Wireless Fidelity) один из форматов передачи цифровых данных по радиоканалам. То есть, вы со своего ноутбука или КПК (или даже сотового телефона) можете воспользоваться ресурсами Интернет, никуда не присоединяясь проводами. Вы мобильно Интернет независимы. Я не буду углубляться в то, по каким принципам это работает, так как не имею практически никакого понятия. Более подробную информацию можно всегда найти в сети.
19 сентября 2006 года в наше библиотеке, а в частности в Гуманитарном информационном центре, была установлена точка беспроводного доступа в Интернет.
Основные особенности использования wi-fi в нашем Центре заключаются в следующем: 1. Читатель должен зарегистрировать себя и свой ноутбук (смартфон, КПК, и т.п.). Для регистрации требуется ФИО читателя, факультет, курс и MAC-адрес компьютера для регистрации его в сети, поэтому наш системный администратор практически всегда может сказать кто, что и когда искал и скачивал на своем ПК.
2. Зона действия сети ограничена читальным залом и залом каталогов, доступ в которые во внерабочее время закрыт. Поэтому в нашей библиотеке никогда не возникнет проблем с использованием данной услуги в неустановленное правилами время.
3. По правилам нашего зала информацию в Интернет можно искать исключительно в образовательных или научных целях. Пользоваться любыми электронными почтовыми сервисами, чатами, форумами, IRC и IM клиентами запрещено. Промежуточная фильтрация осуществляется прокси-сервером, поэтому маловероятно, что читатель сможет воспользоваться запрещенными ресурсами.
4. Но, несмотря на подобные ограничения, читатели, не завися ни от кого (время работы кассы, наличие свободных мест за компьютерами в зале) и выбрав удобное для него время и место (мягкий диванчик, тихий укромный уголок) может воспользоваться не только ресурсами, находящимися в открытом доступе, но и произвести поиск по базам, на которые подписана библиотека, например, JSTOR, EBSCO, Blackwell и многие другие.
За это время (с сентября 2006 года) в сети зарегистрировано около 36 читателей, а воспользовались этой услугой более 70 раз.

Только что я общалась с нашим системным администратором на предмет — какие трудности у него возникают с такими читателями. Ответ был однозначен — «отсутствие у большинства читателей мозга», утрировано, конечно, но факт. Как он сам заявляет: Мне от читателя нужно узнать мак адрес и внести ему настройки прокси сервера — 2 пункта — 2 трудности. А они сами не понимают, что такое MAC адрес и не в состоянии его выписать на бумашшку, и еще удивляются, когда сносят настройки прокси потому, что тырнет отпал (орфография аффтара сохранена) и тут же добавляет «читателей, смогших самостоятельно сообщить мне MAC было 2 человека, читателей, сломавших настройки своего браузера — человек 15… всего их 35». Делайте выводы…

Может быть в нашем сознании все еще существует стереотип, что человек, имеющий собственный ноутбук (о КПК большинство моих коллег даже не слышало), знает как на нем работать и умеет это делать без посторонней помощи. Практика показывает, что в большинстве случаев это не так, и пускать подобные вещи на самотек, типа «пусть сами со своими машинами разбираются» нельзя ни в коем случае. Если вы решили установить в своей библиотеке беспроводной Интернет, позаботьтесь о том, чтобы системный администратор, или человек, выполняющий его обязанности, знал, как помочь читателю в любой ситуации — будь то настройка сети или сохранение файла.

Прокомментировали 1 раз