适用于带宽有限的小型酒店的无线 AAA

适用于带宽有限的小型酒店的无线 AAA

我们(和我一起工作的技术人员和我自己)住在一个偏远的北部小镇,那里的互联网接入有点奢侈,带宽也相当有限。在这里,每月几百到几千美元的超额费用并不罕见。我自己每月仅通过在家中正常使用互联网就需要支付定期费用(我可以用 60 加元获得 10G 流量!)

作为我工作的一部分,我发现自己与几家酒店都有这种感觉。我知道我可以想出办法来解决这个问题,但我对系统管理还比较陌生,我不希望我的梦想战胜现实。

因此,我将这些想法传达给那些比我更有经验的人,希望你们能分享一些想法和顾虑。

这个系统必须具有成本效益,是的,这里的收费很高,但对技术的信任是我见过的最低的。

  • 必须能够帮助客户减少使用量(squid)
  • 允许有限量(吞吐量和总使用量)的免费互联网,因为这通常是特许经营政策。
  • 允许用户跟踪其带宽使用情况
  • 允许(可选)提高速度和/或使用率,但需额外付费。此费用可在前台结账时收取,无需使用 PayPal 或信用卡。
  • 不幸的是,一些特许经营店的政策很荒谬,要求使用
    第三方远程服务来验证客人是否能访问您的网络。这意味着 WPA 被淘汰,也意味着我不会在使用互联网之前进行身份验证,这是他们的工作。但是,如果酒店没有此政策,我确实需要能够执行互联网访问身份验证。我仍然必须跟踪带宽(默认情况下在客人帐户下)并提供相同的限制,但是客人通常需要完全“无限制”的访问,就存在性而言,而不是吞吐量。
  • 为没有办公室和客人网络隔离的酒店提供防火墙功能(其中一些人在客人网络上运行他们的办公室,没有加密,只有简单的 TOS !)
  • 防止访客连接到其他访客,但提供允许这种情况发生的方法。例如,每个访客连接到一个页面并允许其他访客,这会写入 iptables 规则(使用 python-netfilter)并允许两个房间玩游戏。

我对如何实现这一点的想法。一个像样的盒子(我们现在称之为路由器),有大量内存和 3 个 NIC:

  1. 互联网
  2. 办公室
  3. 客人(AP + 室内以太网)

路由器防火墙规则

  • 客人只能与路由器对话,通过路由器他们可以路由到他们需要去的地方,包括互联网服务。
  • 如果现有解决方案尚未到位,则可以使用 Office 将 Office 桥接到 Internet,否则,它仅适用于网络可访问的 Web(webmin+python-webmin?)界面。

路由器软件:

  • OpenVZ 为一些我不太信任的服务提供了虚拟化。Squid、FreeRADIUS 和 Apache。唯一可供访客直接访问的服务是 Apache。
  • Apache 有 mod_wsgi 和 django,因为我可以使用 django 快速编写,而且我的需求不多。它也可能具有 FreeRADIUS mod,但似乎有一些注意事项。
  • 防火墙规则由路由器上的 iptables 处理。
  • Webmin(或者可能是自定义的 django 应用程序)对员工可能需要访问的任何功能提供了抽象控制。
  • Python,如果你还没猜到的话,它是我最喜欢的语言,我几乎在所有事情上都使用它。

最后,这项工作完成了吗?这是否是一个过于庞大的项目,不值得一个人承担?或者我是否缺少一些可以让我的生活更轻松的工具?

顺便说一下,我相当擅长 Python,但对其他许多语言不太熟悉(我很难掌握 PHP,但这只是表面上的问题)。我还是 Linux 的狂热用户,熟悉配置文件和命令行。

感谢您的时间,我期待阅读您的回复。

编辑:如果这不是一些人所期待的问答,我深表歉意,我只是在寻找想法,并确保我不会尝试做已经做过的事情。我现在正在考虑 pfSense,作为我所需要的一个可能的起点。

答案1

现在查看了 pfSense 项目后,我认为只需进行一些配置,它就能提供我所需的很多功能。它支持 Captive Portal,并且使用 Radius 服务器实现此功能,可以使用 Squid 设置透明代理,并且似乎可以对流量进行大量控制。我仍然愿意听取任何可能有帮助的想法。谢谢!

答案2

随想:

  • 首先,从网络图开始。不必担心启动 Visio;只需在纸上画一个即可。一旦你想清楚从哪里开始,就在这里重新发布一些具体问题。这个帖子太密集了。让它简短一些会让你得到更好、更周到的答案,解决具体问题。

  • “阻止访客连接到其他访客...”您无法在防火墙上执行此操作,因为每个人都在同一个内部 LAN 上。您必须在交换机上执行此操作,因此您需要获得一个托管(智能)交换机。

  • Python 是这类事情的理想语言。不用担心不懂 PHP。PHP 不是正确的语言。PHP 永远不是正确的语言。对于任何事情来说。

  • 除非你是个自虐狂,否则你不会想手动维护你的 iptables 规则。考虑使用岸墙相反。它只是 iptables 上的一个薄配置层,使管理变得更加容易。

答案3

有现成的安装来提供您所说的那种服务。通常是 mini-itx 系统,操作系统已安装在紧凑型闪存上。通常为您提供免费访问和跨许多不同位置的 AP 工作的支付系统之间的选择。我假设您来自加拿大,但我只知道针对英国的具体示例。

答案4

AMikrotik 热点将完成您列出的所有任务。您应该能够使用 450G 或类似设备运行每个位置。

相关内容