无线AAA,适用于带宽有限的小型酒店


8

我们(我和我本人一起工作的技术)生活在偏远的北部城镇,那里的互联网访问有些奢侈,带宽非常有限。在这里,超额收费从每月几百美元到几千美元不等。我本人仅通过自己在家中的常规互联网使用就承担每月的定期费用(允许10G的价格为60CAD!)

作为我工作的一部分,我发现自己参与了几家对此感到满意的酒店。我知道我可以提出一些解决该问题的方法,但是我对系统管理还比较陌生,我不希望自己的梦想克服现实。

因此,我将这些想法传递给您,他们的经验比我多得多,希望您能分享一些想法和疑虑。

该系统必须具有成本效益,是的,这里的收费很高,但是对技术的信任是我见过的最低的。

  • 必须能够帮助客户减少使用量(鱿鱼)
  • 允许有限数量(吞吐量和总使用量)的免费Internet,因为这通常是特许经营政策。
  • 允许用户跟踪其带宽使用情况
  • 允许(可选)更高的速度和/或使用,需要额外付费。可以在结帐时在前台获得这笔费用,并且不需要使用PayPal或信用卡。
  • 不幸的是,某些特许经营具有荒谬的政策,要求使用
    第三方远程服务来验证网络中的访客身份。这意味着WPA已用完,也意味着我在使用Internet之前不进行身份验证,这将是他们的工作。但是,如果酒店没有此政策,我确实要求ABILITY对Internet访问执行身份验证。我仍将必须跟踪带宽(默认情况下使用来宾帐户),并提供相同的限制,但是就来宾而言,来宾通常需要完整的“无限”访问权限,而不是吞吐量。
  • 为没有隔离,没有办公室和访客网络隔离的酒店提供防火墙功能(其中一些人在访客网络上运行他们的办公室,没有加密,只有一个简单的TOS即可使用!)
  • 阻止来宾与其他来宾建立连接,但是要提供一种方法来允许这种情况发生。IE浏览器 每个来宾都连接到一个页面并允许另一个来宾,例如,这写了一个iptables规则(使用python-netfilter),并允许两个房间玩游戏。

我对如何实现这一点的想法。一个体面的盒子(我们现在称其为路由器),带有很多ram和3个NIC:

  1. 互联网
  2. 办公室
  3. 来宾(AP +室内以太网)

路由器防火墙规则

  • 访客只能与路由器通信,通过路由器将其路由到需要去的地方,包括Internet服务。
  • 如果没有现有的解决方案,则可以使用Office将Office桥接到Internet,否则,它仅适用于可通过网络访问的Web(webmin + python-webmin?)界面。

路由器软件:

  • OpenVZ为我不真正信任的一些服务提供虚拟化。Squid,FreeRADIUS和Apache。访客可以直接访问的唯一服务是Apache。
  • Apache具有mod_wsgi和django,因为我可以使用django快速编写并且我的需求很低。它也可能具有FreeRADIUS mod,但是对此似乎有些警告。
  • 防火墙规则是使用iptables在路由器上处理的。
  • Webmin(或定制的django应用)可以对员工可能需要访问的任何功能提供抽象控制。
  • Python,如果您还没有猜到它是我最喜欢的语言,那么我几乎会用它。

最后,这是否完成了,这是一个过于庞大的项目,不值得一个人承担吗,和/或是否缺少一些我可以让自己的生活更轻松的工具?

作为记录,我对Python相当满意,但是对许多其他语言不是很熟悉(我可以通过PHP苦苦挣扎,这是一个表面问题)。我也是Linux的狂热用户,对配置文件和命令行很满意。

感谢您的宝贵时间,我期待着您的回复。

编辑:我很抱歉,如果这不是某些人所期望的问答,那么我只是在寻找想法,并确保我不尝试做已完成的事情。我现在正在寻找pfSense作为我所需的可能起点。


我在解决您的问题时遇到了麻烦。我看到了一些抱怨和想法,但是您实际上是在追求什么?毕竟,这是一个问答网站,而不是讨论论坛。
约翰·加迪尼尔

很抱歉,我不清楚,问题是我不是在问一个非常具体的问题。我并不是说“我有两台计算机,我这样做了,应该可以,但不能”。我正在寻求更高水平的建议。例如,在我了解FreeRADIUS之前,一个不错的答复是“要跟踪这些用户并能够向他们收费,请看看FreeRADIUS”。另一个关于室友带宽限制的话题向我介绍了pfSense,它似乎提供了很多控制权,可能对我很有用。我也想避免重新发明轮子。
Anthony Hiscox 2010年

1
我想知道“偏远的北方小镇”的意义是什么。您会拒绝在“偏远的南部城镇”中工作过的解决方案吗?
pavium'2

如果电话线不够大,那为什么不使用wildblue或hughesnet等卫星互联网呢?
保罗

除了我的住所外,对我的住所没有任何意义。说自己和住在遥远南部的其他人会撒谎。当然,如果有任何想法或解决方案可以帮助我们,我也不会拒绝。我将就卫星问题与其他技术进行核对,我想这将是很难卖的东西。
Anthony Hiscox

Answers:


1

现在查看pfSense项目后,我认为它将通过一些配置满足我的需求。它支持Captive Portal,并使用Radius服务器实现此功能,可以使用Squid进行设置以实现透明代理,并且似乎可以控制流量。我仍然愿意接受任何其他可能有所帮助的想法。谢谢!


0

随意的想法:

  • 首先,从网络图开始。不必担心会启动Visio。只需在纸上画一个。一旦弄清楚从哪里开始,请在此处重新发布一些具体问题。此发布过于密集。一口大小,可以为您解决特定问题提供更好,更周到的答案。

  • “防止访客连接到其他访客...”您将无法在防火墙上执行此操作,因为每个人都在同一内部LAN中。您必须在交换机上执行此操作,因此需要获得一个托管(智能)交换机。

  • Python是处理此类问题的理想语言。不用担心不了解PHP。PHP不是正确的语言。PHP从来都不是正确的语言。为了任何东西。

  • 除非您是受虐狂,否则您不会想要手动维护iptables规则。考虑改用Shorewall。它只是iptables之上的一个薄配置层,因此更易于管理。


我将考虑绘制图表,但这有点困难,因为我需要对一些不同的网络设置保持灵活性。另一项技术目前正在研究48口PoE注入交换机,我相信它是可以管理的。+1 Python -1 PHP,很好。我之所以提到它,是因为:PHPMyPrepaid,另一项技术建议我研究一下。我同意,我确实考虑过Firehol或Shorewall,我将对此进行更多研究。我现在正在阅读有关pfSense的信息,看来这可能是朝着正确方向迈出的一步。干杯。
Anthony Hiscox

-1表示PHP不适用于任何东西。我同意,如果您对PHP稍加强调的话,PHP通常不是正确的选择,这只是狂热的行为。编辑:另外,我确实使用iptables,到目前为止,它们对于我的目的非常有用。不确定Shorewall在Android上的运行情况如何,但是iptables可以正常工作,谢谢。
吕克(

0

有现成的安装程序可提供您正在谈论的服务。通常,带有操作系统的mini-itx系统已经在紧凑型闪存上设置。通常,您可以在免费访问和可以在许多不同位置的AP上使用的支付系统之间进行选择。我假设您来自加拿大,但我只知道英国的具体例子。


知道这个名字后,我会进一步了解他们的做法吗?如果是这样,我仍然想调查一下。
Anthony Hiscox

我应该注意,在付费和免费之间进行选择是行不通的。我需要免费,但也需要付费。许多专营权都在他们的酒店中实现了免费的互联网访问,这是我们遥不可及的,因此我们不能仅仅取消它。因此,始终必须提供免费的Internet级别。用户使用多少设备取决于我们的判断。本质上,我们希望重度用户像我们一样付费,而轻度用户仍然免费获得一切。
Anthony Hiscox 2010年

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.