Платформа управления, мониторинга, авторизации и аналитики Wimark One решает проблему управления Wi-Fi сетями любого масштаба, построенными на точках доступа разных производителей. Это полностью программное решение, которое может быть установлено как в локальной сети клиента, так и в облаке оператора или сервис-провайдера.
Wimark One состоит из следующих модулей:
NMS (Network Management System) - система управления и мониторинга сети;
Portal - портал идентификации и авторизации абонентов сети, управление доступом;
Analytics - аналитика на Wi-Fi сетях.
Наполнение платформы зависит от купленной лицензии.
Платформа Wimark One может быть установлена в формате Standalone или High Availability (HA).
Добавлена авторизация на веб интерфейсе платформы через внешний RADIUS. Поддерживается авторизация по Username / Password (базовый PAP/CHAP).
Для этого требуется включить в настройках RADIUS объектов чекбокс “Использовать для проверки УЗ при входе”.
Алгоритм таков:
При логине пользователей загружаются все объекты RADIUS с включенным чекбоксом
На сервера последовательно отправляется RADIUS Access Request
Если в ответе пришел Access Accept с полями, то пользователь считается авторизованным
При получении Access Reject или неполучении ответа (таймаут 5 сек) - проверяется локальная база пользователей
Пример Cisco ISE:
SNMP был обновлен и добавлены:
Параметры мониторинга CPU, Memory (RAM/ROM)
Обновлено дерево APs, Clients stats
Новые MIB файлы -
Добавлены:
Мониторинг HA (в том числе keepalive/rtt) на страницу Dashboard
Вывод версии платформы, а не версии сборки веб интерфейса в нижнем левом углу интерфейса
Исправлены:
Отображение длинных локаций, использующих поля с компанией
Со странице Dashboard убран блок рекомендаций
Множественные переименования, дополнения комментариев и оптимизации работы фильтров для повышения UX
В веб интерфейсе платформы в разделе "Точки доступа" расширен функционал режима "Мультиредактирование".
Для удобства пользователя улучшены помощники и подсказки при создании объектов.
В веб интерфейс платформы добавлена возможность деавторизации пользователя Wi-Fi сети: с платформы, ТД, портала авторизации.
Для удобства пользователя обновлена верхняя панель инструментов с новым составом и расположением UI элементов.
При локальной ассоциации клиентов (Split-MAC Local Assoc) и с включенными централизованными сервисами (Central switching, central auth, central DHCP, central tunneling) ТД отключает вещание SSID для WLAN, если:
WLAN имеет хотя бы один централизованный сервис, и в случае, если нет активного соединения Config/Control/Data Plane;
На ТД включена опция для SSID “Отключать вещание SSID в случае потери связности с контроллером“, передаваемая через Config Plane.
Удаление встроенной системы отладки выполнено с целью освобождения необходимого места на диске.
Данный функционал доступен клиентам только в рамках продукта WLC.
Изменен процесс установки, который включает в себя запуск интерактивного помощника “Wizard”, выполняющего базовые настройки для работы HA: mgmt ip, vip, neighbor ip.
Wizard формирует конфигурацию keepalived.
Для корректной работы nopreempt опции исправлена конфигурация keepalived: обе ноды стартуют как BACKUP, но с разными приоритетами (у MASTER приоритет немного выше).
Wizard требует на хосте установленных tcpdump, keepalived и rsync.
Lsync и его настройка не претерпела существенных изменений и требует настроенного пользователя one для беспарольной синхронизации.
Изменились скрипты запуска/перезапуска. Скрипт checker.sh заменен на /opt/wimark/one/start.sh, который указан в keepalived конфигурации.
Измененная схема настройки выглядит следующим образом:
* * * * * bash /opt/wimark/one/start.sh * * * * * sleep 10 && bash /opt/wimark/one/start.sh * * * * * sleep 20 && bash /opt/wimark/one/start.sh * * * * * sleep 30 && bash /opt/wimark/one/start.sh * * * * * sleep 40 && bash /opt/wimark/one/start.sh * * * * * sleep 50 && bash /opt/wimark/one/start.sh |
Встроенная система отладки представляет собой централизованный сборщик логов с платформы и точек доступа. Соответствующий раздел находится в "Монитор" → "Логи".
Поддерживаются следующие возможности:
ограничение количества строк лога;
фильтрация строк по ключевым словам;
фильтрация по подсистеме платформы;
выгрузка логов.
Данный функционал позволяет использовать MAC-адреса для настройки функции авторизации по MAC адресу (MAC Filtering или MAC Authentification Bypass, MAB) для устройств. Если функция включена, запрос передается на сервер RADIUS в качестве параметров аутентификации (поле UserName) с использованием MAC-адреса. Аутентификатор позволяет подключаться к устройству на основе ответа RADIUS Access Accept.
MAB-аутентификация используется в двух случаях:
как часть процесса Централизованной веб-аутентификации (Central Web Authentication, CWA);
как отдельная функция для контроля подключения устройств, не поддерживающих 802.1x. Обычно используется с протоколами Open или WPA2-PSK/WPA3-PSK.
Для CWA поддерживаются параметры Cisco Attributes, а именно redirect-url (URL для веб-перенаправления пользователя) и redirect-acl (имя настроенного ACL). В настоящее время поддерживаются только статические ACL с именами redirect и internet.
Система точного времени реализована для настройки единого точного времени на платформе управления и ТД, и необходима как для корректной работы всех элементов БЛВС, так и для обеспечения административных задач:
встроенная система отладки;
система безопасности и сертификаты;
управление ТД;
синхронизация репортов ТД (RRM, wIPS, и т. д.).
Настройки системы позволяют осуществлять:
задание текущего времени;
задание текущей даты;
задание внешних источников точного времени (NTP-сервера);
настройка порта подключения нижестоящих потребителей точного времени.
Настройки осуществляются в разделе "Администрирование" → "Время":
Отображение текущего времени и даты сервера платформы с учётом заданного часового пояса;
Отображение списка настроенных внешних NTP-серверов:
IP-адрес сервера;
статус сервера:
активен - используется как текущий внешний NTP-сервер;
синхронизирован - резервный NTP, была проверена связь с ним;
не синхронизирован - связь с данным NTP-сервером отсутствует. Новое в Wimark One 1.10
Начиная с версии 1.7 в прошивку точек доступа, работающих с платформой Wimark One, был добавлен SNMP сервер для считывания статистики напрямую с точек доступа.
С версии 1.10 SNMP сервер также доступен на платформе в формате нового сервиса-компонента. Настройка сервиса выделена в новый раздел веб-интерфейса - "Администрирование" → "SNMP".
Поддерживается работа как через SNMP Read/Set (чтение данных платформы сторонним сервисом, например, Zabbix, а также изменение данных на платформе), так и через SNMP Trap (отправка данных при наступлении определенных событий).
В версии 1.11 поддерживается SNMP версии 2.
MIB файлы приложены к релизу отдельными файлами.
Версии Wimark One до 1.10 (включая 1.9) имели серьезный недостаток в схеме обеспечения отказоустойчивости (HA), а именно использование устаревшей (EOL - End Of Life) версии базы данных, работающей в режиме Active - Backup.
Эта схема могла приводить к потере данных при срабатывании механизма аварийного переключения (Failover), так как данные, созданные на Backup сервере, не синхронизировались с Active сервером после его восстановления.
Данная проблема была устранена, и теперь используется современная версия базы данных с долгосрочной поддержкой (LTS), развернутая в режиме кластера (благодаря специальной настройке, для кластера не требуется третий сервер). Это решение исправило проблему потери данных при Failover и значительно сократило время простоя платформы в аварийных ситуациях.
В этом релизе были внесены следующие изменения:
Все версии веб-сервера NGINX были обновлены в соответствии с замечаниями от ИБ.
Было исправлено формирование некорректных отчетов в форматах JSON, CSV и XLS, таких как "Обобщенная статистика по ТД".
Навигация на страницу Support в веб-браузере была скорректирована.
Была исправлена ошибка, возникающая при действиях с кнопкой "Показать инфо по клиенту" на вкладке Статистика/Клиенты.
Восстановлено обновление Wi-Fi на точках при обновлении WLAN.
Была исправлена работа RRM.
Исправлено сообщение пользователю о вводе неверного пароля
Были добавлены новые точки доступа (EdgeCore EAP-102), включая поддержку DualBoot.
Была исправлена работа роуминга на сетях с VLAN для серии QTECH 88.
Был исправлен сброс портала авторизации при перезагрузке ТД.
Был исправлен список каналов для ТД серии QTECH 88 и EdgeCore EAP-102.
Wimark One может быть установлена на любую Linux ОС с версией ядра 5.15 и выше в любом исполнении, будь то Bare metal или виртуальное окружение. Для работы требуется поддержка процессором набора инструкций AVX.
Платформа представляет собой набор Docker контейнеров, развертываемых поверх установленной операционной системы. В настоящее время рекомендуется использовать ОС семейства Ubuntu / Debian или Астра/ALT с установленной версией docker 22 и выше.
Лицензия представляет собой текстовый файл, который загружается на платформу через веб-интерфейс.
Всего существует три типа лицензий:
Тип 1: NMS - количество точек, управляемых платформой. Это основная лицензия.
Тип 2: Portal - количество точек, управляемых платформой, на которых может работать портал авторизации (Captive Portal). Для этого типа лицензии требуется наличие лицензии 1 типа.
Тип 3: Analytics - количество радаров, включенных на точках доступа. Для этого типа лицензии также требуется наличие лицензии 1 типа.
Процесс активации лицензии осуществляется онлайн и требует доступа к адресу license.wimark.com (IP 45.89.25.216) с платформы в момент активации.