Описание Wimark One
Платформа управления, мониторинга, авторизации и аналитики Wimark One решает проблему управления Wi-Fi сетями любого масштаба, построенными на точках доступа разных производителей. Это полностью программное решение, которое может быть установлено как в локальной сети клиента, так и в облаке оператора или сервис-провайдера.
Wimark One состоит из следующих модулей:
NMS (Network Management System) - система управления и мониторинга сети;
Portal - портал идентификации и авторизации абонентов сети, управление доступом;
Analytics - аналитика на Wi-Fi сетях.
Наполнение платформы зависит от купленной лицензии.
Платформа Wimark One может быть установлена в формате Standalone или High Availability (HA).
Новое в Wimark One 1.14.2
Новые требования безопасности учетных записей
В рамках доработок под требования безопасности были обновлены политики использования username и password пользователя.
Для username для не более 20 символов и допустимые символы:
латинские буквы: A-Z, a-z
цифры: 0-9
символы: '_','-'
Для password длина не менее 16 символов и необходимые символы:
буквы латинского алфавита в верхнем регистре (A–Z);
буквы латинского алфавита в нижнем регистре (a–z);
цифры (0–9);
специальные символы и знаки пунктуации (кроме пробела).
Добавлено хранение истории паролей, создаваемый пароль не должен совпадать c 24 предыдущими паролями.
В систему добавлено логирование всех изменний, а также операций логин/логаут, в том числе неудачных:
В соответствии с бекендом был обновлен и фронтенд:
добавлена блокировка входа при вводе большого числа неуспешных попыток
добавлены валидаторы на username/password.
Ранее обнаружение маршрута на ТД в Data plane
Для корректной маршрутизации трафика в Data Plane на ТД в некоторых сетях (например, с Captive Portal или вставкой DHCP Option 82) требуется наличие прописанного маршрута.
Маршрут определяется автоматически на основе анализа DHCP-ответов. Ранее фильтр учитывал только DHCP ACK, но теперь в него добавлен и DHCP Offer, чтобы маршрут обнаруживался на более раннем этапе.
Общие доработки
Исправления:
Исправлена отправка ивентов из backend (был тип wildcard);
Исправлена функция прошивки ТД через web ui;
Исправлено модальное окно настройки WLAN при большом числе AP с данным WLAN.
Новое в Wimark One 1.14.1
Добавление центральной авторизации для 802.1x
В этой версии была добавлена возможность делать Central Auth для 802.1x. Ранее был доступен только MAB (MAC Filtering).
При Central Auth по 802.1x возможно переназначение политик пользователя, например Dynamic VLAN (см далее).
Добавление Dynamic VLAN
По запросам клиентов была реализавана поддержка динамического назначения VLAN для сетей как с локальной коммутацией (Local Switching), так и для сетей с централизованной коммутацией (Central Switching).
Эта функция позволяет терминировать L2 трафик от разных групп пользователей в разные L2-сегменты исходя из ответа AAA сервера.
Подготовка сервера терминации
На серверах, на которых установлена платформа Wimark One и на которых терминируются трафик, необходимо создать сетевые мосты для каждого VLAN, который будет использоваться в работе. Имя моста должно строго соответствовать формату VLAN<ID>.
Настройка SSID
В веб-интерфейсе Wimark One в настройках соответствующего SSID выполните следующие действия:
Включите опцию AAA Override в секции AAA
Укажите VLAN по умолчанию (Default VLAN), например, 10.
В этот VLAN будут попадать пользователи, для которых RADIUS-сервер не вернет VLAN ID (через атрибут Tunnel-Private-Group-ID).
В поле Динамические VLAN (Allowed/Dynamic VLANs) перечислите через запятую (либо через дефис) все дополнительные VLAN ID, которые могут быть назначены пользователям. Например: 20, 30.
Доработки авторизации в Web через внешний RADIUS
Теперь для авторизации в Web через внешний RADIUS можно использовать в ответе RADIUS Access Response либо User Location в формате UUID, либо User Location Name в формате string.
Пример User-Location-Name = “/”.
Обновленный список параметров для авторизации:
Vendor Specific (26) Vendor Wimark (52400) Attribute Type User Role (6) Attribute Value String - admin / operator Vendor Specific (26) Vendor Wimark (52400) Attribute Type User Location (7) Attribute Value String - location_id (UUID) Vendor Specific (26) Vendor Wimark (52400) Attribute Type User Location Name (10) Attribute Value String - location_name
Вещание Aironet Extension в Beacon
Добавлено вещание Cisco Aironet CCX - AP Name для удобного радиопланирования. Опция распознается всеми известными средствами радиопланирования, в том числе Ekahau / Hamina.
Общие доработки
Изменения:
- Исправление конфигурационных файлов, требующее ручную настройку Redis
- Исправление в логике обработки статистики с целью решить проблемы статуса при роуминге клиентов
- Исправление в обработке статистики для решения проблем “нулевых сессий”
- Исправлена обработка CoA/DM сообщений от внешнего AAA по RADIUS
Исправление генерации BSSID - теперь используется реальный OUI вместо LAA
Новое в Wimark One 1.14
Авторизация в Web через внешний RADIUS
Добавлена авторизация на веб интерфейсе платформы через внешний RADIUS. Поддерживается авторизация по Username / Password (базовый PAP/CHAP).
Для этого требуется включить в настройках RADIUS объектов чекбокс “Использовать для проверки УЗ при входе”.
Алгоритм таков:
При логине пользователей загружаются все объекты RADIUS с включенным чекбоксом
На сервера последовательно отправляется RADIUS Access Request
Если в ответе пришел Access Accept с полями, то пользователь считается авторизованным
При получении Access Reject или неполучении ответа (таймаут 5 сек) - проверяется локальная база пользователей
Пример Cisco ISE:
Обновление SNMP сервиса с добавлением новых OID
SNMP был обновлен и добавлены:
Параметры мониторинга CPU, Memory (RAM/ROM)
Обновлено дерево APs, Clients stats
Новые MIB файлы -
Обновление веб интерфейса
Добавлены:
Мониторинг HA (в том числе keepalive/rtt) на страницу Dashboard
Вывод версии платформы, а не версии сборки веб интерфейса в нижнем левом углу интерфейса
Исправлены:
Отображение длинных локаций, использующих поля с компанией
Со странице Dashboard убран блок рекомендаций
Множественные переименования, дополнения комментариев и оптимизации работы фильтров для повышения UX
Новое в Wimark One 1.13
Обновления в веб интерфейсе
В веб интерфейсе платформы в разделе "Точки доступа" расширен функционал режима "Мультиредактирование".
Для удобства пользователя улучшены помощники и подсказки при создании объектов.
Новое в Wimark One 1.12
Функция деавторизации пользователей
В веб интерфейс платформы добавлена возможность деавторизации пользователя Wi-Fi сети: с платформы, ТД, портала авторизации.
Обновления в веб интерфейсе
Для удобства пользователя обновлена верхняя панель инструментов с новым составом и расположением UI элементов.
Отключение вещания SSID
При локальной ассоциации клиентов (Split-MAC Local Assoc) и с включенными централизованными сервисами (Central switching, central auth, central DHCP, central tunneling) ТД отключает вещание SSID для WLAN, если:
WLAN имеет хотя бы один централизованный сервис, и в случае, если нет активного соединения Config/Control/Data Plane;
На ТД включена опция для SSID “Отключать вещание SSID в случае потери связности с контроллером“, передаваемая через Config Plane.
Изменения в релизе 1.12
Удалена встроенная система отладки
Удаление встроенной системы отладки выполнено с целью освобождения необходимого места на диске.
Данный функционал доступен клиентам только в рамках продукта WLC.
Переработан формат установки High Availability
Изменен процесс установки, который включает в себя запуск интерактивного помощника “Wizard”, выполняющего базовые настройки для работы HA: mgmt ip, vip, neighbor ip.
Wizard формирует конфигурацию keepalived.
Для корректной работы nopreempt опции исправлена конфигурация keepalived: обе ноды стартуют как BACKUP, но с разными приоритетами (у MASTER приоритет немного выше).
Wizard требует на хосте установленных tcpdump, keepalived и rsync.
Lsync и его настройка не претерпела существенных изменений и требует настроенного пользователя one для беспарольной синхронизации.
Изменились скрипты запуска/перезапуска. Скрипт checker.sh заменен на
/opt/wimark/one/start.sh, который указан в keepalived конфигурации.
Измененная схема настройки выглядит следующим образом:
* * * * * bash /opt/wimark/one/start.sh * * * * * sleep 10 && bash /opt/wimark/one/start.sh * * * * * sleep 20 && bash /opt/wimark/one/start.sh * * * * * sleep 30 && bash /opt/wimark/one/start.sh * * * * * sleep 40 && bash /opt/wimark/one/start.sh * * * * * sleep 50 && bash /opt/wimark/one/start.sh
Новое в Wimark One 1.11
Встроенная система отладки
Встроенная система отладки представляет собой централизованный сборщик логов с платформы и точек доступа. Соответствующий раздел находится в "Монитор" → "Логи".
Поддерживаются следующие возможности:
ограничение количества строк лога;
фильтрация строк по ключевым словам;
фильтрация по подсистеме платформы;
выгрузка логов.
Поддержка аутентификации по MAC адресу
Данный функционал позволяет использовать MAC-адреса для настройки функции авторизации по MAC адресу (MAC Filtering или MAC Authentification Bypass, MAB) для устройств. Если функция включена, запрос передается на сервер RADIUS в качестве параметров аутентификации (поле UserName) с использованием MAC-адреса. Аутентификатор позволяет подключаться к устройству на основе ответа RADIUS Access Accept.
MAB-аутентификация используется в двух случаях:
как часть процесса Централизованной веб-аутентификации (Central Web Authentication, CWA);
как отдельная функция для контроля подключения устройств, не поддерживающих 802.1x. Обычно используется с протоколами Open или WPA2-PSK/WPA3-PSK.
Для CWA поддерживаются параметры Cisco Attributes, а именно redirect-url (URL для веб-перенаправления пользователя) и redirect-acl (имя настроенного ACL). В настоящее время поддерживаются только статические ACL с именами redirect и internet.
Система точного времени
Система точного времени реализована для настройки единого точного времени на платформе управления и ТД, и необходима как для корректной работы всех элементов БЛВС, так и для обеспечения административных задач:
встроенная система отладки;
система безопасности и сертификаты;
управление ТД;
синхронизация репортов ТД (RRM, wIPS, и т. д.).
Настройки системы позволяют осуществлять:
задание текущего времени;
задание текущей даты;
задание внешних источников точного времени (NTP-сервера);
настройка порта подключения нижестоящих потребителей точного времени.
Настройки осуществляются в разделе "Администрирование" → "Время":
Отображение текущего времени и даты сервера платформы с учётом заданного часового пояса;
Отображение списка настроенных внешних NTP-серверов:
IP-адрес сервера;
статус сервера:
активен - используется как текущий внешний NTP-сервер;
синхронизирован - резервный NTP, была проверена связь с ним;
не синхронизирован - связь с данным NTP-сервером отсутствует. Новое в Wimark One 1.10
Чтение статуса по SNMP с платформы
Начиная с версии 1.7 в прошивку точек доступа, работающих с платформой Wimark One, был добавлен SNMP сервер для считывания статистики напрямую с точек доступа.
С версии 1.10 SNMP сервер также доступен на платформе в формате нового сервиса-компонента. Настройка сервиса выделена в новый раздел веб-интерфейса - "Администрирование" → "SNMP".
Поддерживается работа как через SNMP Read/Set (чтение данных платформы сторонним сервисом, например, Zabbix, а также изменение данных на платформе), так и через SNMP Trap (отправка данных при наступлении определенных событий).
В версии 1.11 поддерживается SNMP версии 2.
MIB файлы приложены к релизу отдельными файлами.
Обновление схемы обеспечения отказоустойчивости
Версии Wimark One до 1.10 (включая 1.9) имели серьезный недостаток в схеме обеспечения отказоустойчивости (HA), а именно использование устаревшей (EOL - End Of Life) версии базы данных, работающей в режиме Active - Backup.
Эта схема могла приводить к потере данных при срабатывании механизма аварийного переключения (Failover), так как данные, созданные на Backup сервере, не синхронизировались с Active сервером после его восстановления.
Данная проблема была устранена, и теперь используется современная версия базы данных с долгосрочной поддержкой (LTS), развернутая в режиме кластера (благодаря специальной настройке, для кластера не требуется третий сервер). Это решение исправило проблему потери данных при Failover и значительно сократило время простоя платформы в аварийных ситуациях.
Изменения в релизе 1.11
В этом релизе были внесены следующие изменения:
Все версии веб-сервера NGINX были обновлены в соответствии с замечаниями от ИБ.
Было исправлено формирование некорректных отчетов в форматах JSON, CSV и XLS, таких как "Обобщенная статистика по ТД".
Навигация на страницу Support в веб-браузере была скорректирована.
Была исправлена ошибка, возникающая при действиях с кнопкой "Показать инфо по клиенту" на вкладке Статистика/Клиенты.
Восстановлено обновление Wi-Fi на точках при обновлении WLAN.
Была исправлена работа RRM.
Исправлено сообщение пользователю о вводе неверного пароля
Были добавлены новые точки доступа (EdgeCore EAP-102), включая поддержку DualBoot.
Была исправлена работа роуминга на сетях с VLAN для серии QTECH 88.
Был исправлен сброс портала авторизации при перезагрузке ТД.
Был исправлен список каналов для ТД серии QTECH 88 и EdgeCore EAP-102.
Поддерживаемое оборудование
Wimark One может быть установлена на любую Linux ОС с версией ядра 5.15 и выше в любом исполнении, будь то Bare metal или виртуальное окружение. Для работы требуется поддержка процессором набора инструкций AVX.
Платформа представляет собой набор Docker контейнеров, развертываемых поверх установленной операционной системы. В настоящее время рекомендуется использовать ОС семейства Ubuntu / Debian или Астра/ALT с установленной версией docker 22 и выше.
Лицензирование
Лицензия представляет собой текстовый файл, который загружается на платформу через веб-интерфейс.
Всего существует три типа лицензий:
Тип 1: NMS - количество точек, управляемых платформой. Это основная лицензия.
Тип 2: Portal - количество точек, управляемых платформой, на которых может работать портал авторизации (Captive Portal). Для этого типа лицензии требуется наличие лицензии 1 типа.
Тип 3: Analytics - количество радаров, включенных на точках доступа. Для этого типа лицензии также требуется наличие лицензии 1 типа.
Процесс активации лицензии осуществляется онлайн и требует доступа к адресу license.wimark.com (IP 45.89.25.216) с платформы в момент активации.