WIFI в библиотеке: воскрешение
Случилось так, что в октябре прошлого года беспроводная сеть в зале открытого доступа нашей библиотеки работать перестала. Причиной тому стало серьёзное изменение структуры сети университета (в связи с вхождением в Федеральный университет) и как следствие, невозможность работы по старой схеме, когда нам выделялся диапазон адресов, который не обслуживался основным DHCP сервером университета и полный кардбланш на использование этого диапазона. Более того, коллеги, занимающиеся развитием и администрированием сети университета вовсе рекомендовали отказаться от любой самодеятельности на частотах в районе 2.4ГГц. Дескать, будет у нас всеуниверситетская сеть (когда-то) и ей (уже сейчас) не нужны конфликты.
Без сети мы прожили два месяца, это чувствовали и сотрудники, привыкшие работать в разных углах, простите, зонах библиотеки, с ноутбуком и телевизором в качестве презентационного экрана, и конечно же читатели. Перед новым годом стало понятно что всеуниверситетская сеть случится очень не скоро и конфликтовать с ней ближайшие лет пять никто не будет, а беспроводной интернет нужен сотрудникам и читателям здесь и сейчас и начальство дало добро на строительство новой сети.
При придумывании системы новой сети было принято решение сделать её полностью прозрачной и даже незаметной для IT начальства, чтобы лишний раз не нервировать коллег. Увеличить зону покрытия сети, разделить сеть сотрудников и читателей, а так же переработать систему регистрации и авторизации пользователей, т.к. старая система, имеющая в своём составе непрозрачный (требующий ввода настроек) Proxy-сервер и MAC-фильтр (требующий очной регистрации машины при первом использовании) не была достаточно гибкой и удобной.
Собиралась система из того что было, а было то, что по словам старшего товарища описывает классическая украинская пословица «На тоби боже, що нам не гоже!». А если конкретно, то было вот что:
- Сервер HP Proliant ML 370 G3
- Сервер Acer Altos 600
- Пара точек D-Link DWL-2100AP
- Пара точек LinkSYS WTR54G
- Пара хабов
- Старые сетевые карты
- Патчкорды
- Солдатская смекалка
Первый пункт списка является основным боевым сервером внутренних не специализированных ресурсов библиотеки. Он был до беспроводной сети (которая к слову сказать, функционирует у нас с 2006 года) и практически не подвергался какой-то серьёзной модификации под новую беспроводную сеть. Не смотря на свой почтенный возраст, далеко не топовую конфигурацию и EOL, наступивший пару лет назад, эта машина тянет на себе proxy-сервер для стационарных рабочих мест читателей в двух зданиях библиотеки, внутренний ftp-сервер для сотрудников, терминальный сервер для работы электронных каталогов системы sunray, один из серверов бэкапов АБИС РУСЛАН, сервер логов и еще кучу маленьких и не очень задач. Конечно, ресурсов машины не хватает, но как говорится, на тоби боже…
Второй пункт должен был уйти на списание с последующей утилизацией в одном из подразделений университета, но мы его спасли. Отмыли, отчистили… навтыкали в него памяти, сетевых карточек и пр. полезных железок и пустили в дело. Кстати, на его брате близнеце развёрнут тестовый DSpace 1.7, о чём упоминалось в блоге… На тоби боже как говорится.
Точки доступа D-Link у нас остались от прошлой реализации, было решено использовать пару точек в тандеме точка+повторитель. С точками Linksys ситуация аналогичная с точностью до того обстоятельства что они были любезно переданы одним из подразделений университета.
Схема новой беспроводной сети показана на рисунке, комментарии ниже:
Как было сказано выше, на сервере HP Proliant имеется proxy-сервер. Было решено использовать его если и не как основной фильтр контента, то как один из цепочки фильтров. На сервере OLD Server была развёрнута система Endian Firewall Community Edition ветки 2.4, с тремя зонами – красной, на которую подаётся аплинк с сервера HP Proliant, зеленой – в которой работает сеть сотрудников и синей – предназначенной для сети посетителей. Помимо, сетевого экрана, который тут является неотъемлемой частью под Endian Firewall развёрнут прозрачный proxy-сервер, сетевой антивирус, сервер времени и некоторые другие сервисы, необходимые для комфортной работы. Кабель с хаба HUB STAFF возвращается в сервер HP Рroliant для получения консоли администрирования, т.к. из красной зоны Endian Firewall по умолчанию администрировать невозможно.
Теперь, приходя в библиотеку, читатель «видит» как минимум две беспроводных сети – открытую и не имеющую шифрования сеть LIBRARY и закрытую сеть LIBRARY-STAFF. К последней он подключиться не может, а к первой запросто. Если браузер читателя не умеет работать с прозрачным proxy (что порой случается на некоторых мобильных устройствах, уже настроенных на работу в какой-либо корпоративной сети), то сетевой экран любезно перенаправит читателя на сайт библиотеки, куда бы тот не хотел изначально попасть. Если же всё штатно, то прозрачный proxy сработает прозрачно, пуская читателя туда куда положено и отсекая нежелательный контент. Вышестоящий proxy на сервере HP proliant тоже чего-то отсекает и тоже имеет кэш в десять гигабайт на всякий случай.
При этом читатель не должен ничего настраивать, разве что, сбросить настройки беспроводного сетевого адаптера в автоматический режим, если имели место ручные. Запоминать адреса и порты сервера посредника, логины и пароли, а главное, пользователь фактически не должен регистрироваться. Главное пожелание читателей, звучащее «Хочу чтоб как в макдональдс!» удовлетворено! А главная претензия пользователей айпедов и пр. не поддающихся настройке гаджетов «Ну в макдональдс же ловит?!» звучит всё реже и реже.
Тестовый запуск системы показал что 15 одновременных пользователей – не предел для нашей реальности, а вот 667 мегагерц процессора старого сервера – серьёзная проблема. Как показало вскрытие (чисто технически, это была вивисекция) сервера, в нём было два процессорных гнезда Socket 370. Пара процессоров P!!! 1000 нашлась быстро, а вот модуль питания второго процессора (он конструктивно выполнен на отдельной платке) не нашёлся…. В радиотоварах было куплено полдюжины транзисторов, пара конденсаторов, дроссель был выпаян из сгоревшей материнской платы и в итоге модуль VRM был собран из того что было. Пары процессоров P!!! 1000 с запасом хватает при работе двадцати пользователей одновременно.
Что касается статистики, с момента запуска системы прошло уже около четырех месяцев и можно говорить о каких-то результатах. Например, за 4 месяца работы новой системы было зафиксировано более трехсот пятидесяти уникальных MAC-адресов, по сути – уникальных пользователей. За полтора последних года работы старой системы MAC-адресов было всего 150. Количество сессий выросло примерно в 20 раз, если допустить приравнивание сессии к книговыдаче или книгочтению, то к статистике за четыре месяца можно добавить + 6000 🙂 . А вот объём трафика вырос пропорционально, и посещаемые ресурсы практически не изменились – электронный каталог, сайты факультетов и подразделений, почта, некоторые форумы. Напомню, доступ к социальным сетям, трекерам, сервисам мгновенного обмена сообщениями и пр. не очень академическим вещам закрыт по технологии черного списка пары proxy-серверов.
Студенты регулярно находят в этом списке лазейки, либо, появляется новый сервис, позволяющий «анонимно» посещать социальные сети, но логи анализируются и лазейки закрываются в рабочем порядке пару раз в месяц.
Использование пары точек доступа с усиленными антеннами (куплены в китайском интернет магазине за свой счёт 🙂 ) позволило расширить границы уверенного приёма сети не только в даль, но и в высь, и с позволения сказать в низь. Над залом открытого доступа нашей библиотеки находится конференц-зал, холл которого традиционно является местом постоянной дислокации студентов, под залом находится столовая, в которой тоже многолюдно. Проходя в холле над библиотекой или в столовой часто замечаю студентов с планшетами… что-то читают, сёрфят, а потом раз – 403-я ошибка – отказано в доступе, и дизайн страницы до боли знакомый… Приятно чёрт возьми. Работает. Востребовано.
В придачу к пословице вспомним песню:
Я его слепила из того, что было,
А потом что было, то и полюбила…
🙂
1. Карт-бланш, а не кардбланш.
2. Linksys WRT, наверное, а не WTR.
3. Китайские усиленные антенны — м.б. это опасно и излучение не соответствует санитарным нормам…
UPD:
Endian Firewall уступил место более простому IPCOP. Причиной тому стал вывод из строя сервера внешними силами. Примерно за четыре часа брутфорса (который происходил в ночь с воскресенья на понедельник) /var/log переполнился (логи ротейтились раз в 100 мегабайт, и в итоге получилось 55 гигабайт гзипованного текста!), lvm начал любезно сдвигать остальные разделы и в итоге система тщетно засыпая мой ящик предупреждениями перестала отвечать на внешние запросы. Погибла, но не сдалась короче.
Поковыряв и реанимировав EFW, решил попробовать более простой IPCOP, прозрачный прокси которого решил использовать исключительно как гейт до вышестоящего прокси сервера. Syslog сервер теперь внешний, а логи прокси ротейтятся более интеллектуально. Пока вроде работает…. в IPCOP изрядно доставила одна особенность — если выбрал во время установки в качестве WAN что-то типа PPPoE, то через веб интерфейс на DHCP ETHERNET уже не переключить, а переставить ОС полностью оказалось несколько быстрее чем разобраться с CLI этого самого IPCOP.
В общем, точки оказались вовсе WAP54G v.3.1 а не WRT, просто прошивка DD-WRT разницы между WAP54 и WRT54 не делает 🙂
Ссылки
Метки
Архивы
Мышь БиблиотечнаяDoing the things right, doing the right things