Сервис NMS

1.Первый вход в систему

Если команда технической поддержки WiMark Systems не передала вам логин и пароль для доступа к WSNMS, то тогда для первого вход на платформу WiMark Systems Platform нужно использовать логин и пароль: wimark/wimark.

Для доступа к WSNMS в адресной строке браузера нужно набрать https://<IP_or_Domain> (ex: https://10.30.40.218). В конфигурации по умолчанию WSNMS доступна по стандартным портам 80 и 443 протоколов HTTP и HTTPS соответственно.

  

В случае удачной проверки прав доступа NMS перенаправляет вас на страницу состояния системы. 

2. Общая структура WNMS

Визуально WSNMS можно поделить на 3 основные части:

• Вертикальная панель слева - основное меню, позволяющее взаимодействовать с объектами NMS (ex: ТД, WLAN, карты и тд.)

• Горизонтальная панель сверху -  status-bar, позволяющий в реальном времени просмотреть текущие операции и главные метрики (ex:  NL, Клиенты etc).

• Главная рабочая панель - панель взаимодействия объектов NMS

3. Работа с таблицами

NMS делалась для того, чтобы облегчить работу с большим количеством устройств подключенных к WSP. Для этого, списки объектов, которыми оперирует пользователь WSNMS представлены в виде таблиц. Например список ТД.

Под объектом WSNMS понимается структура данных, описывающая ту или иную функциональность. Например типовыми объектами WSNMS являются: ТД, WLAN, локация, шаблон и тд.

Для того, чтобы удобно работать с большим количеством устройств,  WiMark Systems разработала адаптивные фильтры ( ex: по локациям, MAC адресам и тд.), позволяющие отфильтровать объекты по признакам и работать с ними как с группой.

После фильтрации существует возможность выполнить универсальное действие на множество выбранных объектов. Например добавить WLAN на все отфильтрованные ТД. 

    

Подробные сценарии множественных операций над объектами NMS описаны в разделах ниже.

4. Первое подключение точки доступа

Для того чтобы подключить ТД к платформе WSP нужно выполнить действия из пунктов раздела 1. При подключении точка регистрируется на платформе и становится доступна для взаимодействия в WSNMS.

5. Повторное подключение точки доступа

При первом подключении ТД проходит процесс регистрации. В процессе регистрации платформа WSP запоминает идентификатор и возможности/сapability каждой ТД, что дает возможность не проходить процесс регистрации повторно. 

Вся информация по отключенной ТД сохраняется на платформе и доступна для взаимодействия пользователю. 

ТД может отключится от платформы по таким причинам как  питание, отключения канала связи и тд. В случае отключения ТД, отображение ее в WSNMS меняется, появляются серые индикаторы отключения ТД.

При повторном подключении индикаторы подключения ТД меняются и сигнализируют о подключении и конфигурации при подключении. 

6. Статусы объектов в WSNMS

Некоторые объекты WSNMS меняют свое состояние при определенных действиях. К таким объектам прежде всего относятся ТД и WLAN.

Точки доступа имеют два типа статусов: 

• статус подключения

• Включен - “зеленый индикатор” символизирующий о подключении ТД к платформе 

• Выключен - “серый индикатор” символизирующий об отключении ТД от платформы    

• статус конфигурации 

• Error - ошибка конфигурации объекта

• Updating - обновление конфигурации объекта

• Pending - состояние в котором конфигурация “ждет” когда подключится ТД и будет применена 

   

7. Иерархия доступа к ресурсам WSNMS

WSNMS использует иерархию доступа сформированную средствами следующих объектов доступа:

• Объект локации

• Объект роли 

Комбинации объектов роли и локации и определяют доступность того или иного ресурса/объекта. Роль и локация это обязательные параметры доступа пользователя.  

1. Локации и Роли

1. Локации

Локации - объект WSNMS, который позволяет выставить уровень доступа. Локация дает возможность работы с находящимися в ней объектами, а также с объектами находящимися в подлокациях. Локация является обязательным параметром каждого из объектов WSNMS.  

Систему локаций WSNMS можно представить в виде дерева локаций с корнем в локации “/”.

2.Роль

Роль - это объект WSNMS, описывающий набор доступных действий над всеми объектами WSNMS. В данный момент WSNMS имеет две предустановленные роли: 

• Admin -  роль администратора, которая позволяет делать всевозможные действия с объектами находящимися в локации этого пользователя (ex: /Russia). Так же всевозможные действия могут быть применены к объектам подлокаций(ex: /Russia/Moscow).

• Operator - роль оператора, которая позволяет только читать данные объектов локации пользователя и ее подлокаций. 

2. Создаем/ Удаляем локацию

1.Создание локации

Для создания локации нужно нажать на иконку пользователя в верхнем правом углу и выбрать поле “Настройки”/”Settings”. 

Далее в центральной панели выбираем поле “Локация”/”Location” и добавляем интересующую нас локацию (ex: Moscow). Также можно добавлять вложенные локации одномоментно. Например (ex: Moscow/Chertanovo)

Справа в верхнем углу можно увидеть идентификатор о удачно завершенном действии.

2.Удаление локации

Аналогично добавлению локации, нужно перейти в панель “Добавление”/ “Удаление локации” путем нажатия “Настройки”/”Settings”->”Локации”/”Locations”.

Выбрать локацию, которая требует удаления и удалить нажав на кнопку “Удалить”/”Delete”.

NOTE: Все объекты заданной локации переходят на локацию верхнего уровня. (ex: при удалении локации /Moscow все ТД локации /Moscow перейдут в локацию /)

3. Создаем/ Удаляем пользователя 

1. Создаем пользователя

Для того чтобы получить доступ к WSNMS нужно обладать кредитами доступа объекта пользователь. По умолчанию система создается с пользователем c логином и паролем  wimark/wimark. Для того чтобы создать нового пользователя WSNMS  нужно нажать на иконку пользователя в верхнем правом углу и выбрать поле “Настройки”/”Settings”.

Затем на  центральной панели выбираем поле “Пользователи”/”Users”.

      

Нажимаем кнопку “Добавить пользователя”/”Add user”. 

После нажатия на кнопку появится модальное окно с полями для заполнения. Нужно заполнить соответствующие поля и перейти к выбору роли и локации - атрибутов ограничения доступа описанных в 2.7.1, 2.7.2. По завершению заполнения формы нажать на кнопку “Добавить”/”Add”.

Затем, можно увидеть вновь созданного пользователя в списке.

 

8. Изменение базисной локации для объектов WSNMS

Все объекты в WSNMS имеют базисную локацию. Базисная локация определяет набор пользователей которым доступен тот или иной объект. (ex: пользователь локации /Moscow имеет доступ к объектам с базисной локацией /Moscow и к объектам с базисной локацией из числа подлокаций /Moscow (ex:/Moscow/Chertanovo) )  

NOTE: Изменение базисной локации может привести не неконсистентности. Например может поменять локации ТД но не поменять локации  WLAN и тогда пользователь не сможет изменять уже установленные WLAN на ТД

9. Сервис конфигурации

Сервис конфигурации - часть платформы WSP, ответственная за конфигурацию подключенных к платформе ТД. Сервис конфигурации отвечает за базовую настройку ТД, WLAN и тд.

10. Создание/Удаление беспроводной сети (WLAN)

Для того чтобы начать конфигурировать ТД нужно создать настройку беспроводной сети (WLAN) . Для этого в пункте меню - вертикальная панель с правой стороны нужно нажать на кнопку “NMS”/ “WLANS”. Создание многих объектов в W SNMS сделано с помощью удобных “Мастеров”/ ”Wizard”.   Далее отдельно описано создание разных типов беспроводных сетей.

11. Конфигурация разных типов беспроводных сетей

1. Конфигурация беспроводной сети без шифрования

Нужно нажать на кнопку “Добавить WLAN” находящуюся в правом верхнем углу.

Далее мы переходим на страницу “Мастера”/”Wizard” создания WLAN. 

На шаге 1 мы выбираем SSID (Service Set Identifier) беспроводной сети, добавляем “Описание”/”Description” и выбираем базисную локацию для этой сети.  

Нажимаем “Далее”/”Next” и переходим на шаг 2, где выбираем тип шифрования сети. Нас интересует конфигурация открытой сети.

Выбираем “Безопасность”/”Security”:  “Open” и нажимаем “Далее”/”Next”. 

 

На шаге 3 выбираем VLAN в который собираемся коммутировать пользовательский трафик (Выбираем  VLAN по умолчанию/нативный VLAN 0). Также нужно выбрать в каком режиме будет происходить вещание данной сети.

Существует два режима: Visible и Hidden. Visible -  режимы работы ТД, когда в радио эфир распространяется информацию о том, что ТД вещает соответствующий SSID. В случае с режимом Hidden подобная информация не распространяется. Нажимаем “Далее”/”Next”.

   

Шаг 4. Настройки Radius

Шаг 5. Дополнительные настройки Radius/NAS (Network authorization service)

Шаг 6. Настройка пропускной способности

Шаг 7. Настройки гостевого контроля.

Шаг 8. Настройки роуминга

Шаг 9. Настройки WMM

Шаг 10. Происходит предпоказ конфигурации нового WLAN.

Далее при нажатии “Подтвердить”/”Confirm” мы увидим список беспроводных сетей содержащий только что созданный объект конфигурации только беспроводной сети. 

2. Конфигурация сетей с типом безопасности WPA Personal

Аналогично открытой сети проходим шаги создания для сети WPA Personal.

Шаг 1 

Шаг 2. Здесь нужно выбрать поддерживаемые типы шифрации. 

NOTE:  Для поддержки последних IPhone шифрование типа AES обязательно.   

Далее шаги аналогично созданию сети без шифрования

1. Конфигурация беспроводной сети с типом безопасности WPA Enterprise

Для того чтобы добавить настройку беспроводной сети с типом безопасности WPA Enterprise нужно создать связность платформы WSP с сервером  аутентификации/RADIUS Server. О том как создать связность с RADIUS сервером написано в 3.2.5.1.

2. Конфигурация беспроводной сети с типом безопасности WPA2 Enterprise

Предполагается что на данном этапе связность с RADIUS сервером присутствует и описана в терминах объектов WSNMS. Тогда по аналогии с другими типами WLAN начинаем создание WLAN с 1 шага “Мастера”/”Wizard” добавления WLAN:

Шаг 1 

Шаг 2: Выбираем пред заготовленный RADIUS сервер из списка связностей с RADIUS серверов. 

Далее шаги аналогично созданию сети без шифрования 

3. Дополнительные настройки WLAN

Для того, чтобы перейти в дополнительные настройки беспроводной сети/WLAN нужно:

• Выбрать в главном меню (вертикальное меню слева) раздел “NMS / WLANs”

• Перейдя в таблицы WLANs, нужно нажать на нужный для редактирования WLAN. Например “test_wlan_FREE”.

   

После нажатия пользователь попадает в меню настройки отдельной “Сети Wi-Fi / WLAN”. 

Меню настройки беспроводной сети разделено на несколько частей. 

Основные настройки - это те самые настройки которые заполняются при создании WLAN.

Помимо стандартной настройки SSID, локации и  VLAN здесь представлена информация о статусе, WLAN ID в системе.Так же тут присутствует кнопка добавления  “Description” для этой беспроводной сети. 

Следующей частью настройки является “Безопасность”/”Security”. Для того, чтобы получить доступ к информации содержащейся в этом блоке нужно нажать на кнопку, находящуюся в правом верхнем углу блока.

В данном блоке можно поменять тип настройки безопасности WLAN.

Следующий блок ответственен за настройку передачи аккаунтинговой информации на RADIUS сервер. WSP дает возможность передачи аккаунтинговой информации для любого типа беспроводной сети.

 

В данном блоке есть возможность выбрать RADIUS сервер на который будет передаваться аккаунтинговая информация. Также имеется возможность заполнить поле NAS identifier. 

Блок “Инкапсуляция / Network encapsulation” позволяет настраивать NAT, тегирование (802.1q) и туннелирование пользовательского трафика с помощью L2TP туннелей с агрегацией на стороне WSP.

Единовременно может работать либо NAT, либо туннелирование (с VLAN и без), либо VLAN. При NAT по-умолчанию подсеть клиентов перебирается начиная от 10.0.0.1/24 (если занята, то далее 10.0.1.1/24 и т.д.). Точка берет первый адрес найденной свободной подсети. Доступ клиентов до точки из подсети настраивается с помощью “SSH / Web access”.

Для того чтобы сконфигурировать туннелирование на WSP нужно включить переключатель туннелирования и выбрать интерфейс хостовой системы в который предполагается коммутировать трафик беспроводных пользователей.

Блок “Контроль доступа” / “Guest Control” осуществляет конфигурацию правил доступа к беспроводной сети.     

 

 

Блок управления доступом к беспроводной сети дает возможность выставлять ограничение на L2 связность беспроводных клиентов в рамках одной точки доступа (L2 isolation). Также есть возможность конфигурирования “Белых и Черных листов” / “Black and White list” доступа, а также добавлять правило Firewall. В версии 0.10 добавлена возможность управления перенаправлением пользовательского трафика на Портал авторизации (Captive Portal) с помощью установки правила Redirect. 

По завершению процедуры нажимаем на кнопку “Сохранить”/”Save”. WLAN переходит в состояние “Обновление”/“Updating”. Тем временем все ТД на которых работает данный WLAN меняют свою конфигурацию в соответствии с переданными настройками WLAN.

Одна из возможных схем туннелирования изображена ниже.

  

3. Создание и удаление связности с RADIUS серверами.

В это пункте описано создание объекта WSNMS который отвечает за связность со сторонним RADIUS сервером. 

Для того чтобы создать связность с RADIUS сервером нужно пройти следующие шаги:

Шаг 1. В главном меню (вертикальный блок в левой части экрана) выбрать поле RADIUS/Радиусы и нажать.

Далее в правой части появится таблица содержащая список всех доступных объектов связности с RADIUS серверами. 

Для того чтобы добавить новый объект RADIUS нужно нажать на кнопку   “Добавить”/”Add” и воспользоваться мастером настройки связности с RADIUS сервером пройдя следующие шаги:

Шаг 1. На котором мы настраиваем название объекта WSNMS RADIUS, IP адрес по которому WSP будет передавать RADIUS сообщение и локацию в которой  доступен данный объект.   

Шаг 2. На данном шаге мы заполняем поля пароля для RADIUS подключения. Также имеется возможность изменить стандартные порты которые используются для подключения к RADIUS серверу. 

Переключатель ”Локальный”/“Local” говорит о том, где будет находится RADIUS клиент при подключении. Если ”Локальный”/“Local” “Включен”/“On” то RADIUS клиент находится на самой ТД. Если “Выключен”/”Off” то клиент находится на платформе и работает централизованно.

NOTE: В данный момент централизованная функциональность доступна только для передачи аккаунтинговой информации.  

Шаг 3. На котором мы видим все параметры получившегося объекта WSNMS RADIUS.

 

Далее при нажатии “Подтверждения”/”Confirm” новый объект успешно создается и добавляется в таблицу. 

Для редактирования уже существующего объекта выбираем нужный нам объект WSNMS  RADIUS и нажимаем на него. 

 После нажатия появляется возможность редактировать те же самые  поля, что и при создании объекта. 

В версии 0.10 появилась возможность добавления RADIUS Accounting сервера для сбора данных о пользователе на Портале авторизации (Captive Portal). Для этого необходимо создать Local False, Portal True RADIUS сервер и настроить правило Redirect на WLAN.

         

12. Установка WLAN на точку доступа

Для того, чтобы сконфигурировать беспроводную сеть на ТД с помощью веб интерфейса WSNMS нужно в блоке главного меню (вертикальный блок меню слева) нажать секцию “Точки доступа”/”CPEs”.

При нажатии на меню “Точки доступа” вы переходите в блок с таблицей всех точек доступа из всех доступных локаций вашего пользователя (базисная и подлокации).

Для того, чтобы установить беспроводную сеть на беспроводной интерфейс точки доступа нужно выполнить следующие шаги: 

• Нажать на объект ТД (ряд в таблице ТД) (ex: Qtech-618f)

• После нажатия в правом углу появится меню конфигурирования отдельной ТД.

ТД всегда, имеет больше либо равно одного беспроводного интерфейса. В конфигурацию беспроводного интерфейса входит добавление WLAN для вещания в радиоэфире. Для этого нужно нажать на выпадающий список “WLAN” в нем можно выбрать все доступные пользователю объекты WLAN.

NOTE:  Максимальное количество SSID на один беспроводной интерфейс равно 8 SSID. 

• Для выполнения конфигурации нужно нажать на кнопку “Сохранить”/”Save”. После этого WSNMS заблокирует взаимодействие с объектом ТД  до тех пор пока ТД не перейдет в конечный статус “Ok”/ “Error”.

13. Создание/Удаление правил Firewall

Для создания/редактирования/удаления правил Firewall необходимо использовать меню Firewall.

Правила могут содержать политики управления доступом на уровне L2 (по MAC адресам устройств), уровне L3 (по IPv4), а также на уровне L4 (по типу IP Protocol).

Создание Firewall осуществляется через “Add Firewall” с введением имени, базовой политики (ACCEPT / DROP), а также базового Direction (IN / OUT / ANY).

Для изменения Firewall необходимо нажать на него в таблице, изменить требуемые поля или добавить новые правила в цепочку Firewall.

После сохранения цепочки Firewall правило перегружается на связанных WLAN или AP.

Связать Firewall с WLAN можно на странице WLANs > Edit mode. Связать с Точкой доступа можно на соответствующей странице изменения конфигурации точки доступа.

14. Создание/Удаление правил Redirect

В версии 0.10 добавлена возможность настраивать перенаправление пользовательского трафика на портал авторизации (Captive Portal). Настройка соответствующих правил находится в меню на странице “Guest Control”.

Для создания правила необходимо нажать на кнопку “Add Redirect Rule” над таблицей.

В соответствующем окне необходимо указать имя правила, IP адрес портала авторизации, а также URL, с которым пользователи будут перенаправляться на портал, в специальном формате. 

Пример URL: http://portal.wimark.com/?mac={CLIENT_MAC}&cpe_id={AP_UUID}&wlan_id={WLAN_UUID}&switch_url=http://dev.wimark.com/api/authorize&client_ip={CLIENT_IP}

При указании такого URL, на портал авторизации поступит пользователь с реальными MAC, CPE_ID, IP и WLAN_ID, которые могут быть использованы для идентификации пользователя на портале. 

На второй странице окна создания правила перенаправления можно указать список белых MAC адресов, которые не будут перенаправляться на портал авторизации, а также список доступных без авторизации IP. 

Рекомендуем для работы IOS устройств добавлять в белый список адрес captive.apple.com с указанием реального текущего IP адреса этого домена. 

Правила перенаправления можно добавлять на WLAN в разделе редактирования в блоке “Guest Control”. Одно правило можно добавить на один WLAN, при этом несколько WLAN могут использовать одно правило.