что такое сети хотспот
Что такое мобильный хот-спот и как его настроить?
Всем привет! Многими производителями ноутбуков и нетбуков в устройства добавляются части аппаратного обеспечения, отвечающие за работу с беспроводными сетями. Большинство современных устройств могут не только принимать, но и раздавать интернет при помощи Wi-Fi модуля.
Для этого разработчиками ОС внедрена функция мобильный хот-спот. Что это такое? Если говорить дословно – «горячая точка» или точка доступа к Wi-Fi. Постараюсь раскрыть тему подробно – с инструкциями и скриншотами. Начинаем!
Что это такое?
Теперь поподробнее. Это функция, позволяющая ноутбукам и ПК становиться импровизированной точкой доступа. Впервые появилась в 7 версии операционной системы от Microsoft. Однако, в последующих версиях Microsoft скрыла функцию из доступной части интерфейса пользователя. Тем не менее возможность подключения осталась при использовании встроенной командной строки.
Ситуация изменилась с выходом обновления для Windows 10 под номером 1607. Вышедшее в августе 2016 года изменение значительно упростило работу с функцией.
Программная особенность, вшитая в операционную систему, позволяет превратить устройство в импровизированный маршрутизатор, который разрешает присоединиться к сети другим компьютерам и гаджетам. При условии, что у данных устройств также имеется аппаратная часть, дающая возможность работы с беспроводной сетью и протоколом Wi-Fi.
Чтобы создать точку доступа на стационарном ПК, купите USB Wi-Fi адаптер. В некоторых материнских платах на топовых чипсетах имеется интегрированный модуль Wi-Fi.
Активация
Как включить мобильный хот-спот в Виндовс 10? Активируется данная функция при переключении тумблера в параметрах устройства.
Однако, перед включением желательно убедиться в работоспособности мобильного хот-спота на конкретном устройстве. Нужно проверить наличие интегрированного аппаратного обеспечения, отвечающего за доступ к Wi-Fi, версию прошивки операционной системы и наличие драйверов.
Проверка на актуальность прошивки
До версии 1607 данная опция отсутствует в виде функции интерфейса, но присутствует в командной строке. Причем, если активировать на более ранних версиях через командную строку, некоторые проблемы не возникают.
С момента выхода обновления прошло много времени. Однако, на некоторых компьютерах может отсутствовать нужный пакет данных. Потребуется удостоверится в наличии приложений. Для этого пройдите следующие шаги:
Если версия пользовательской системы более ранняя, придется скачать обновление. Либо установить более новую ОС.
Проверка на наличие возможности подключения
Чтобы уточнить, есть ли в ноутбуке аппаратное обеспечение, позволяющее делиться Wi-Fi, потребуется открыть командную строку от имени администратора. Нажмите Win+X и выберите соответствующий пункт. Затем в терминал нужно ввести «netsh wlan show drivers».
После обработки команды появится список параметров аппаратного обеспечения. Интересующая функция называется «Поддержка размещенной сети». В оригинальном англоязычном образе строка получила название Hosted Network.
Если стоящий справа от неё атрибут положительный, можно продолжать работу. При отрицательном значении стоит обновить драйвера сетевого адаптера. Если после этого ничего не изменилось, значит нужное аппаратное обеспечение отсутствует.
Включение мобильного хот-спота
Как раздать Wi-Fi – смотрите видео-инструкции:
Для активации функции нужно выполнить следующие шаги:
Чтобы поменять SSID сети и код доступа, нужно найти кнопку «Изменить» и нажать её. В появившиеся текстовые блоки ввести желаемый идентификатор и пароль.
Проблемы и баги
Относительно программы обработки беспроводных сигналов в более ранних версиях Windows, в «десятке» появились некоторые баги. Иногда это приводит к невозможности раздачи Wi-Fi при помощи встроенного обеспечения.
Наиболее частые ошибки, при которых не удается настроить мобильный хот-спот Windows 10:
«Не удается включить мобильный хот-спот. Включите Wi–Fi». Что делать, смотрите в видео:
Настройка мобильного хот-спота в PPoE подключении
Проблема появляется только в Win10. В более ранних версиях замечена не была. При активации точки доступа через командную строку в версиях до 1607 также не возникало проблем.
При этом разработчики не исправили ошибку. Для решения можно воспользоваться командной строкой. Однако, в большинстве случаев и это не помогает. Другой способ – использование стороннего программного обеспечения для создания виртуальной сети.
Если не удается настроить мобильный хот спот, можно воспользоваться:
Невозможно подключиться к сети
Иногда возникает и такая проблема – невозможно предоставить для общего доступа данное подключение. После запуска раздачи интернета через мобильный хот-спот у подключенных устройств может отсутствовать доступ к интернету. Чаще всего проблема связана с деятельностью антивируса.
Кроме того, ошибка возникает из-за отсутствия общего доступа к сети или проблемы с IP-адресом. Для решения можно воспользоваться некоторыми встроенными функциями Windows по предоставлению общего доступа. Либо попробовать удалить и заново установить подключение.
Что делать, если постоянно идет получение IP-адреса, узнаете в следующем видео:
Отсутствует доступ к всемирной сети
При наличии такой проблемы стоит проверить настройки доступа к интернету. При запуске при помощи мобильного хот-спота желательно проверить выбираемое при настройке подключение.
Невозможно подключить посредством командной строки
Проблема обычно возникает после обновлений ОС. В таком случае потребуется провести настройку драйвера. Попробуйте обновить, либо откатить текущую версию низкоуровневого программного обеспечения.
Коротко о том, как обновить драйвера сетевого адаптера:
Также стоит проверить службу автоматической настройки беспроводной сети. Если после этого не получилось подключиться и раздать интернет, стоит попробовать сменить операционную систему, либо тип подключения.
Проблема особенно часто присуща высокоскоростному подключению, требующему имени пользователя и пароля (PPoE).
Сброс сети
В некоторых случаях помогает такой параметр как «Сбросить сеть». Как это сделать, расскажу:
Во время перезапуска убедитесь, что ноутбук или ПК подключен к интернету.
Что еще добавить? Возможно, у кого-то появится вопрос «как отключить мобильный хот-спот»? Все просто – также, как и включали, только переставить тумблер в положение «Откл».
Если остались вопросы, обязательно пишите в комментарии! Всем пока!
Что такое хот спот и как им пользоваться?
Что такое хот спот? Это функция мобильных устройств, делающая их импровизированной точкой доступа для других девайсов, оснащенных Wi-Fi модулем. Проще говоря, устройство в режиме хотспот (hotspot) служит ретранслятором: осуществляет доступ в интернет через мобильную сеть, одновременно выступая для других устройств точкой доступа Wi-Fi. Простой способ раздавать интернет с телефона на ноутбук и наоборот.
Как раздавать интернет с андроид смартфона на ноутбук?
Вам срочно нужен доступ в интернет, а провайдер как назло затеял ремонт или же вы оказались вне зоны покрытия Wi-Fi? Проблему решит любое мобильное устройство, оснащенное одновременно модулями Wi-Fi и GSM – надо только активировать и настроить функцию хотспот.
Использование функции hotspot возможно на Андроиде версии 2.2 и выше. Делается это так:
Справка. WPА – система шифрования сигнала при беспроводном обмене денными между устройствами, уберегая информацию от несанкционированного перехвата. Чем выше степень защиты – тем больше нагрузка на устройство, работающее в режиме хотспот. Можно выбрать открытую сеть при подключении нескольких устройств для обычного интернет-серфинга. WPА PSK подойдет для работы с 1-2 устройствами. WPА PSK2 рекомендуется для сохранения важных данных – например, при интернет-банкинге или обмене конфиденциальной информацией.
Подключение к импровизированной точке доступа ничем не отличается от присоединения к обычной сети Wi-Fi. То есть к точке доступа на Андроид вы сможете без проблем подключить девайс на IOS или Windows.
Что делать если нету кнопки в смартфоне?
Эта инструкция актуальна для «чистого» Андроида. Многие разработчики устанавливают на смартфоны оболочки, меняющие алгоритм действий. Главное – понять принцип, который в любом случае одинаков. Одно из полезных дополнений производителей – вынос кнопки активации в «шторку». Это новшество незаменимо, если вам приходится использовать хот спот часто.
Пользователи чистого Андроида или оболочек, не предусматривающих включения хотспот одним касанием, могут при желании исправить ситуацию, установив соответствующее приложение выноса кнопки на робочий стол.
Последние предлагают пользователю удобные виджеты, отображающие состояние сети, скорость обмена данными, количество подключенных устройств и другую информацию. Естественно, такие программы требуют большего быстродействия от платформы.
Хотспот на IOS
Компания Apple также позволяет своим пользователям запускать хотспот на Айфоне. Делается это так:
Учтите, что при использовании режима хотспот некоторые функции вашего iPhone могут быть недоступны. В основном, не работают функции, связанные с большим объемом трафика: выгрузка фотографий в удаленную медиатеку, резервное копирование данных в «облачный» сервис iCloud и им подобные.
С помощью функции Instant Hotspot можно использовать несколько устройств Apple (Mac, iPhone, iPad), подключенных к одной точке доступа, без ввода пароля. Для этого на всех гаджетах должен быть активен один и тот же аккаунт Apple ID.
Важная информация
Hotspot – отличный способ экстренного выхода в интернет в случае непредвиденной ситуации. Но не стоит воспринимать эту функцию как замену стационарной точки доступа. Скорость соединения бывает недостаточной или слишком дорогой.
Как правило, мобильные операторы дают в рамках тарифа пакет предоплаченного трафика. В большинстве случаев речь идет о нескольких гигабайтах – этого достаточно для серфинга, почты и соцсетей. Но при просмотре видео, использовании видеосвязи, загрузке объемных приложений, «тяжелых» онлайн-играх трафика может не хватить. Пакет будет исчерпан очень быстро, а дополнительные «метры» интернета придется покупать по завышенной цене.
Кроме того, хотспот очень быстро «садит» батарею устройства, а использование смартфона при постоянной подзарядке не лучшим образом сказывается на ресурсе аккумулятора.
Хотспот (Hotspot) Wi-Fi в кафе гостинице общежитии. Часть 1.
Хот-спот (от англ. hot spot — «горячая точка») — участок местности (например, помещение офиса, кафе, кампуса, станция метро), где при помощи портативного устройства (ноутбука, смартфона или карманного компьютера), оснащённого устройством радиодоступа по протоколу Wi-Fi, можно получить доступ к вычислительным сетям (интернету, интранету). Так, многие кафе делают бесплатные хот-споты для доступа к интернету с целью привлечения посетителей и как дополнительный сервис. Во многих случаях в хот-спотах предоставляется коммерческая услуга интернет-доступа (с оплатой по времени или объёму переданных данных).
Принцип хотспота.
Во многих странах предоставление публичного доступа к интернету в хот-спотах регулируется законодательно, например, в странах Евросоюза согласно союзным директивам владельцы хот-спотов обязаны хранить основные данные о действиях пользователей в течение 12 месяцев. (ru.wikipedia.org)
1. Территория, на которой необходимо обеспечить покрытие. Наличие на этой территории стен, деревьев и других препятствий распространению радиоволн.
2. Стандарты, типы и характеристики устройств, работу с которыми должен обеспечивать хотспот.
3. Качественные характеристики связи (минимальная и максимальная скорость подключения к точкам доступа (ТД) и интернет-трафика, стабильность связи, пинги и т.п.).
4. Функционал хотспота для пользователей (простая настройка подключения, способы оплаты, возможность следить за расходом своих средств и их остатком, и т.д. и т.п.).
5. Функционал для администрирования (мониторинг подключений, трафика, счетов пользователей, диагностика проблем и т.д.).
6. Средства обеспечения комфортной работы пользователей и безопасность (шейперы, ограничение сессий, файрвол, защищенная авторизация и трафик, исключение несанкционированного доступа и т.п.).
Далее мы рассмотрим несколько вариантов организации хотспотов, от самого простейшего до системы гостевого доступа корпоративного уровня.
Простейший хотспот.
Самым простым вариантом хотспота является точка доступа или роутер домашнего уровня, подключенный к интернет.
Достоинства:
1. Низкая стоимость.
2. Простота установки.
Недостатки:
1. Небольшое покрытие и его низкое качество.
2. Минимальные (или вообще отсутствующие) средства мониторинга и администрирования.
3. Минимальные (или вообще отсутствующие) возможности управления трафиком.
Всё это фактически приводит к предоставлению услуг «as is» (как есть). Хозяин хотспота не может обеспечить качество работы пользователей, не может их контролировать и вообще как-то влиять на что-либо. Например, один пользователь, запустивший торрент-клиент, может «скушать» всю ширину интернет-канала или перегрузить ТД, тем самым фактически сделав работу остальных пользователей невозможной.
Хотспот начального уровня (вариант 1)
Если уже есть в наличии компьютер, который можно использовать как контроллер, то можно тоже обойтись минимум затрат. Например, установивив бесплатное (или условно-бесплатное) ПО для организации хотспота и расставивив ТД по территории. Внимание! При выборе ТД необходимо учитывать, поддерживается ли данная модель контроллером. Либо, как вариант, есть ли альтернативные прошивки с такой поддержкой.
Достоинства:
1. Относительно низкая стоимость.
2. Функционал и удобство использования определяются типом выбранного оборудования и ПО контроллера.
3. Мониторинг и управляемость (эффективность определяется тем же).
Недостатки:
1. Для работы хотспота необходим постоянно включенный компьютер с ПО контроллера.
2. Большинство ПО для управления хотспотом работают на различных версиях Linux, а значит вам может понадобиться уже отдельный компьютер (выделенный сервер).
3. Сложность в установке и настройке.
Хотспот начального уровня (вариант 2)
Интерфейс администрирования хотспота на базе Mikrotik.
Если компьютера нет, либо вы хотите сделать хотспот отдельной независимой системой, то имеет смысл подумать об использовании аппаратного контроллера, например Mikrotik.
Лицензия RouterOS L4 поддерживает до 200 активных пользователей хотспота, L5 до 500, а L6 неограниченное количество.
Выбор конкретной модели контроллера зависит от предполагаемой нагрузки (общая скорость внешнего канала, число одновременно активных пользователей, тарифы и пр.).
Достоинства:
1. Невысокая стоимость.
2. Работает автономно (для работы не требует компьютера, только для администрирования).
3. Базовый функционал хотспота «из коробки», возможность адаптировать «под себя».
4. Неплохие мониторинг и управляемость.
5. Расширяемость покрытия просто путем добавления новых ТД (почти любых производителей и моделей).
6. Простота установки и настройки (в сравнении с другими системами).
7. Возможность работы с большинством профессиональных биллингов.
Недостатки:
1. Необходимость четкого планирования нагрузки, поскольку если вам не хватит производительности выбранного контроллера, модернизация возможна только путем замены на более производительную модель.
2. «Из коробки» только базовый функционал (для небольшого хотспота этого, впрочем, вполне достаточно). Расширение функционала выполняется скриптами, что требует некоторых знаний в области ИТ либо привлечения специалистов со стороны.
Хотспот начального уровня (вариант 3) с внешним контроллером.
Некоторые сайты предлагают услуги использования их контроллера для управления вашим хотспотом. В этом случае, вы имеете минимум проблем с установкой и обслуживанием хотспота, но придется делиться доходами. Кроме того, функционал и удобство такого хотспота определяются перечнем услуг, предоставляемых владельцем контроллера. В этом варианте вам понадобятся ТД, поддерживающие данный контроллер (например, с альтернативной прошивкой DD-WRT).
Хотспот среднего (корпоративного) уровня.
Интерфейс управления UniFi
Данная система гостевого доступа подойдет, например, для большой гостиницы (или сети гостиниц), сети кафе/ресторанов и т.д. Многие крупные производители предлагают свои варианты решений для гостевого доступа, отличающиеся как оборудованием, так и возможностями. Как пример подобной системы, можно привести UniFi от компании Ubiquiti.
Достоинства:
1. Широкий функционал «из коробки», позволяющий построить на одном оборудовании внутреннюю (корпоративную) сеть и гостевой доступ.
2. Неплохие мониторинг и управляемость.
3. Расширяемость покрытия путем добавления новых ТД.
4. Гибкие возможности работы с клиентами.
5. Относительная простота установки и настройки.
Недостатки:
1. Относительно высокая стоимость, поскольку поддерживается только «фирменное» оборудование.
2. Функционала «из коробки» достаточно для подавляющего большинства случаев, но если чего-то важного (для вас) не хватает, то это серьезная проблема.
Что такое сети «Hotspot 2.0»?
Сети Hotspot 2.0 — это новый стандарт беспроводной связи, разработанный для упрощения и повышения безопасности подключения к общедоступным точкам доступа Wi-Fi. Они поддерживаются в последней версии Windows 10, macOS 10.9 или новее, Android 6.0 или новее и iOS 7 или новее.
Как работают сети Hotspot 2.0
Цель сетей Hotspot 2.0 — обеспечить роуминг в сотовом стиле для сетей Wi-Fi. При перемещении по всему миру ваше устройство автоматически подключит вас к доступным публичным точкам доступа. В этом есть несколько преимуществ:
Некоторые компании называют эту функцию «Passpoint» или «Горячие точки следующего поколения». На техническом уровне он основан на стандарте Wi-Fi 802.11u.
Как использовать сети Hotspot 2.0
Сети Hotspot 2.0 просты в использовании. Например, Time Warner развернул поддержку Hotspot 2.0 в своей сети точек доступа Wi-Fi. Чтобы подключиться к одному из них, достаточно щелкнуть точку доступа «TWCWiFi-Passpoint» в списке ближайших сетей Wi-Fi и указать устройству подключиться. После этого вы увидите экран входа в систему, где вы должны указать свои данные для входа в Time Warner Cable. После того, как вы войдете в систему один раз, ваше устройство автоматически подключится к аффилированным сетям Passpoint в будущем.
Поставщики также могут предложить вам профили заранее. Например, Boingo предлагает профиль Hotspot 2.0, который соединит вас с филиалами в разных аэропортах. Установите этот профиль с помощью браузера, и ваше устройство автоматически подключится к этим точкам доступа при посещении этих аэропортов.
Независимо от того, подключаетесь ли вы к сети Hotspot 2.0 или заранее устанавливаете профили, она «просто работает». Windows 10 предлагает функцию «Online Sign-Up», которая предоставит вам список сетевых провайдеров, когда вы впервые попытаетесь присоединиться к сети Hotspot 2.0. После того, как вы настроите его один раз, ваше устройство автоматически подключится к другим сетям Hotspot 2.0 в будущем.
Hotspot 2.0 еще не получил широкого распространения, но уже готов
Эта технология все еще нова, и большинство точек доступа Wi-Fi, с которыми вы сталкиваетесь, не поддерживают Hotspot 2.0. Но если вы установили профиль у своего провайдера и находитесь в зоне действия сети Hotspot 2.0, вы будете подключены автоматически. Если вы попытаетесь подключиться к нему без предварительной настройки профиля, функция онлайн-регистрации поможет вам подключиться.
Эти сети уже существуют, но сети Hotspot 2.0 потребуется некоторое время, чтобы получить широкое покрытие, необходимое для замены старой сети одноразовых горячих точек в аэропортах, отелях, парках, торговых центрах и других общественных местах. Людям не нужно узнавать что-то новое для подключения к этим сетям: опыт должен стать лучше.
Лайк, если читаешь логи!: запускаем Hotspot 2.0 на сети Wi-Fi в метро
Делимся опытом создания закрытой сети Wi-Fi в метро с использованием технологии Hotspot 2.0, первой статистикой, рекомендациями по безопасности. А также приглашаем к открытому тестированию новой сети.
С середины февраля на зеленой, а с конца апреля на всех линиях московского метро запущена новая закрытая сеть Wi-Fi — MT. Сеть работала в тестовом режиме. Все это время мы проводили внутренние тесты силами сотрудников, а также наблюдали за стабильностью работы точек доступа и контроллеров, возможным влиянием на сервис в открытом SSID MT_FREE.
Запуск этой сети не прошел незамеченным среди наших пользователей. По разным каналам мы получили несколько вопросов о том, как получить учетные данные. Но многие не оставляли попыток подключиться через придуманные учетки. За все время, пока был доступен этот SSID, зарегистрировано 14 488 уникальных запросов авторизации. Более того, некоторые абоненты даже писали нам послания, используя форму для ввода User-Name. Одно из таких посланий, — фразу «Лайк, если читаешь логи!», — было особенно приятно прочесть. Взаимный лайк!
Давайте кратко рассмотрим предпосылки к за пуску закрытой сети, возможности и ограничения, технический аспект внедрения Hotspot 2.0.
Зачем нужна закрытая сеть MT?
Запуск закрытой сети с использованием учетных данных, уникально идентифицирующих устройство или пользователя, обсуждался нами неоднократно. Драйверами запуска являются, в первую очередь, вопросы безопасности. Необходимо исключить возможность подключения к фишинговым точкам с нашим SSID и делать это прозрачно, чтобы от пользователя не требовалось никаких дополнительных действий. Хотя практически весь чувствительный трафик в интернете зашифрован с помощью TLS, абоненты считают сети Wi-Fi без шифрования менее надежными.
Другая причина запуска сети с авторизацией по учетным данным — тренд на рандомизацию MAC-адресов устройств при подключении к Wi-Fi сетям. Этот тренд все заметнее проявляется на Android-устройствах. Причем, если раньше переменные MAC-адреса были атрибутом недорогих смартфонов (главным образом, китайских) и использовались производителями просто в силу нехватки официально зарезервированных пулов MAC-адресов, то недавно Google официально сообщил о внедрении подобной технологии в ОС Android с целью предотвращения трекинга абонентов. Это создает препятствия для полноценного использования публичного Wi-Fi в России, так как при каждом входе потребуется повторная идентификация устройства (в соответствии с постановлениями Правительства 758 и 801). Таким образом, MAC-адрес постепенно перестает быть приемлемым средством идентификации устройства в сети.
Краткий обзор функций Hotspot
В поисках решения указанных проблем мы обратили внимание на технологию Hotspot 2.0, которую развивают в том числе Wi-Fi Alliance и Wireless Broadband Alliance. При первом рассмотрении технология должна закрыть все возникающие потребности — защищенное подключение к проверенному SSID и шифрованное соединение. Ниже приводим сравнение новой парадигмы организации операторских Wi-Fi-сетей и текущего состояния.
Сравнение подходов к организации Wi-Fi сетей – до и после внедрения технологии Hotspot 2.0.
Стек Hotspot 2.0 включает в себя три ключевые технологии:
Вряд ли ошибусь, если предположу, что у многих читателей технология Hotspot 2.0 ассоциируется с Offload (выгрузкой трафика) из Wi-Fi сети в мобильную.
Действительно, наибольшее количество внедрений Hotspot 2.0 произошло у мобильных операторов, и первопроходцем здесь является AT&T. Этому есть объяснение — обязательным условием работы мобильной связи является наличие в устройстве физической или виртуальной SIM-карты. Вкупе с операторскими профилями и возможностью обновления их «по воздуху» это условие обеспечивает прозрачный для клиента провиженинг (в контексте Hotspot 2.0 — передача учетных данных, их валидация и применение в операционной системе).
При этом клиентский опыт в операторской Wi-Fi-сети становится сравним (а при некоторых условиях и лучше), чем опыт в мобильной сети. Кейс также применим и для MVNO-операторов, но все зависит от схемы работы с хост-оператором. Для остальных операторов, таких как мы, основной вызов — это вопрос провиженинга устройств и всего, что с этим связано. Попробуем разобраться.
Все дело в учетных данных
Учетные данные – это сущность, которая позволяет уникально идентифицировать пользователя. Эти данные должны быть надежно защищены, чтобы злоумышленник не мог перехватить и переиспользовать их. Наличие учетных данных решает проблему MAC-аутентификации, когда можно «прослушать» радио-эфир с помощью сниффера, узнать и подменить MAC-адрес с чужого устройства.
Наиболее распространенными типами учетных данных и методов аутентификации являются:
Настройка вручную — это сложный процесс, сильно зависящий от особенностей конкретной ОС. Для абонентов это крайне неудобно. Передача учетных данных через сеть с автоматической настройкой устройства может быть хорошим решением. Этот процесс будем называть провиженингом, и здесь как раз кроется главное ограничение технологии на текущем этапе развития.
Эволюция Hotspot 2.0
На данный момент выпущено три релиза Hotspot с нетривиальными обозначениями 1, 2, 3. А технология все еще называется 2.0. На самом деле Hotspot 2.0 это набор стандартов, определяющий новый подход к организации операторских Wi-Fi-сетей, когда опыт пользования такими сетями сравним с использованием мобильной сети. А в рамках релизов (1, 2, 3) формируются сами стандарты, на соответствие которым проводится сертификация устройств.
Так, основная «фишка» первого релиза и по совместительству база технологии — это стандарт IEEE 802.11u. Поддержка 802.11u необходима как на стороне инфраструктуры Wi-Fi-сети (точек доступа и контроллеров), так и на стороне клиентских устройств. В ситуации с «железом» особых проблем не наблюдается: все больше и больше вендоров поддерживает стандарт, т.к. на более-менее современных чипах реализация протокола программная. А вот ситуацию с клиентскими устройствами исследуем чуть позже.
Второй релиз стандартизирует процесс провиженинга и новую специфическую инфраструктуру — Online Signup Server (OSU). Это сервер, который осуществляет формирование и передачу настроек сети на клиентские устройства.
Недавно опубликованный Release 3 развивает инструменты провиженинга. При беглом просмотре я не заметил новых «киллер-фич», да и под рукой нет пока устройств и инфраструктуры, чтобы пощупать его на практике. Если увидим интерес читателей, можем попробовать более подробно рассмотреть функции и отличия каждого релиза в другой статье.
Провиженинг
Исследуем вопрос проникновения стека технологий Hotspot на клиентских устройствах. Для этого воспользуемся инструментом от Wi-Fi Alliance, где представлены результаты сертификации устройств. Сертификация — процесс добровольный, поэтому результаты есть не для всех устройств. Так, например, сертификацию прошло всего несколько устройств от Apple — iPhone 3, iPhone 4, iPad. Тем не менее все актуальные iOS устройства поддерживают весь необходимый стек Hotspot 2.0, и, что важно, делают это практически единообразно от версии к версии.
Таким образом, смотрим на результаты сертификации, за исключением iOS устройств, за период с 2012 (публикация первого релиза). Визуализируем полученную статистику в виде диаграммы ниже. Вывод — только каждое пятое не-iOS устройство поддерживает первый релиз (802.11u), каждое десятое — имеет стандартизованный интерфейс провиженинга. Такая ситуация осложняет массовое применение.
Проникновение Hotspot 2.0 на клиентских устройствах (за исключением iOS)
С технической точки зрения результат провиженинга — это наличие на устройстве валидных учетных данных и других необходимых настроек для определенного SSID или Wi-Fi-сети. Второй релиз стандартизировал структуру представления настроек сети в виде XML-документов и механизмы их передачи на устройства. Набор настроек сети, содержащий, в частности, учетные данные, называется сетевым профилем (Profile). Первоначально похожее решение было предложено Apple, но в итоге было стандартизировано его развитие со значительными изменениями. Ниже на скриншоте приведен пример профиля для iOS. Более того, любой пользователь Mac OS может потренироваться в создании профилей, используя утилиту Apple Configurator и следуя официальной документации.
Пример профиля для iOS
Как выглядит процесс провиженинга для пользователя? На рынке есть несколько коммерческих решений OSU, — GlobalReach Odyssys, Ruckus CloudPath, Aruba ClearPass, — поэтому мы можем посмотреть процесс на примере одного из них. По ссылке приведены скриншоты для решения от GlobalReach Odyssys. Ссылку необходимо открывать только в браузере Safari, иначе ОС смартфона не распознает файл профиля (имеет расширение mobileconfig) и не предложит его установить.
Здесь установка профиля показана с максимальным количеством шагов со стороны пользователя, например, когда помимо смартфона есть еще и Apple Watch (да, на часы можно поставить профиль и они будут подключаться к Wi-Fi). Web-провиженинг iOS-устройств возможен только через браузер Safari, это требование ОС. Провиженинг Android-устройств, в зависимости от версии, может выполняться как через браузер, так и с использованием приложения.
В целом алгоритм настройки сети одинаков для всех устройств:
Использование приложения сокращает необходимость действий до минимума, до одного-двух. Но, к сожалению, технология активно движется только в сторону развития и стандартизации web-провиженинга, протокола управления мобильными устройствами (OAM DM), тогда как возможность использования приложения никак в стандарте не отражена. Тем не менее производители мобильных ОС внедряют функционал программной настройки параметров сети Hotspot 2.0, но реализации у разных вендоров значительно отличаются, нет универсальности.
Промежуточный итог
Суммируя все вышеизложенное, подводим краткие итоги обзора и текущего состояния технологии:
Внедрение Hotspot 2.0 на масштабной сети
В процессе запуска необходимо было решить несколько крупных задач.
1. Внесение изменений на оборудовании беспроводной сети
Наши самые большие сети, в метро Москвы и Санкт-Петербурга, построены на оборудовании Cisco, которое поддерживает технологию Hotspot 2.0. Задача настройки всех контроллеров на подвижном составе была, наверное, самой объемной. Предварительно разработанный и протестированный эталонный конфиг контроллера с помощью автоконфигуратора (о нем мы писали в отдельной статье) был применен на все составы. Применение растянулось в несколько этапов. Сначала на зеленой ветке московского метро, для оценки локальных эффектов и влияния, а затем и на всю сеть. Сейчас на всем подвижном составе метро Москвы развернут второй SSID MT.
2. Доработка на стороне внутренней инфраструктуры, в частности на RADIUS-сервере
Так как у нас RADIUS-сервер полностью собственной разработки, нам пришлось реализовывать поддержку EAP и внутреннего метода аутентификации.
3. Выбор типа учетных данных и метода аутентификации
Выбор должен не только обеспечить надежную и прозрачную для абонента аутентификацию и авторизацию в сети, но и сохранить работоспособность наших текущих и перспективных моделей монетизации. Напомню, что именно монетизация (через рекламу и дополнительные услуги) позволяет нам предоставлять доступ к сети бесплатно.
Тип учетных данных выбираем между парой логин/пароль и сертификатом X.509. На первый взгляд, использование сертификата выглядит более надежным, современным и перспективным. Например, можно организовать применение этого же сертификата для аутентификации в приложениях (даже в нашем собственном личном кабинете), причем прозрачно. Однако вопрос управления пользовательскими сертификатами в масштабе большой публичной сети (а не ограниченной корпоративной, когда есть физический доступ к устройствам) выглядит нетривиальным, особенно с учетом различия в реализациях производителями.
Поэтому делаем выбор в пользу пары логин/пароль. Метод — TTLS, так как широко используется для международного межоператорского Wi-Fi роуминга. Для аутентификации сервера и исключения возможности подключения к поддельным SSID (есть нюансы, рассмотрим их в разделе про безопасность) выпустим ключ и сертификат, закрытую часть которого разместим на AAA сервере, а открытую включим в профиль. Таким образом на этапе подключения будет происходить аутентификация сервера авторизации.
Самый сложный вопрос, который до конца не закрыт. Нам необходимо обеспечить передачу учетных данных на устройства пользователя с минимальным количеством действий со стороны владельца, а лучше вообще прозрачно для него. Необходимо обеспечить одинаковый флоу для владельцев iOS и Android, где не только от версии к версии ОС, но и у устройств разных производителей настройка учетных данных может кардинально отличаться. Универсального решения, к сожалению, пока нет. У нас были идеи переложить функционал провиженинга и управления подключением к сети Wi-Fi на мобильное приложение, как универсальное решение, но мы столкнулись с ограничениями обеих платформ.
В данный момент мы продолжаем исследования, и, возможно, в финальной версии будут изменения в процедуре провиженинга или части функционала. Мы по-прежнему считаем идею использования приложения наиболее перспективной и удобной для пользователя и продолжаем эту идею развивать.
Но с чего-то нужно начинать, и так как на всех iOS-устройствах процесс провиженинга унифицирован, мы начали внедрение Hotspot 2.0 именно с гаджетов Apple. Нами был разработан web-сервис провиженинга. Приглашаем всех принять участие в открытом тестировании новой сети, подробные инструкции в конце статьи.
Про безопасность
Провиженинг сетей Wi-Fi и учетных данных с помощью профилей iOS — это только малая часть функционала MDM (Mobile Device Management). В руках злоумышленников функционал может привести к негативным последствиям для пользователей, вплоть до полного блокирования устройства или управления им третьими лицами. В частности, через профиль могут быть добавлены ограничения по установке/удалению приложений, злоумышленник может управлять установкой приложений, может направить трафик пользователя через свой прокси и т.д. Поэтому процесс установки профиля требует повышенного внимания пользователя — необходимо убедиться, что профиль выпустила доверенная компания.
Сейчас единственным прозрачным способом провиженинга iOS-устройств для работы в Hotspot 2.0-сетях является установка профилей. Мы хотели бы дать несколько рекомендаций по установке профилей, которые будут полезны не только в контексте настройки Wi-Fi:
Пример валидного и невалидного профиля
Пример профиля с различными ограничениями функционала мобильного устройства
Открытое тестирование
На данный момент Hotspot 2.0 еще не достигла своей зрелости и находится на этапе развития и становления, но мы хотим быть компанией, которая сделает первый шаг в популяризации и внедрении этой новой технологии в России. Для нас, как для оператора популярного городского сервиса, это способ повысить безопасность публичного Wi-Fi. По сути, разворачивая Hotspot 2.0 на сеть MT_FREE в Московском метро, мы создаем крупнейшую в Европе публичную сеть Wi-Fi с шифрованным соединением на уровне радио.
Мы запускаем открытое тестирование технологии Hotspot 2.0 на сети в метро для пользователей iOS. Для этого необходимо пройти процедуру провиженинга, перейдя по ссылке wi-fi.ru/hotspot и установив профиль. После этого подключение к сети Wi-Fi и доступ к безопасной среде будет происходить автоматически, как только ваше устройство появится в зоне действия MT_FREE (и, как следствие, MT).
Мы сообщим о результатах открытого тестирования в отдельном тексте. Поэтому огромная просьба: активно участвовать в тестировании и присылать отзывы по работе новой сети на hotspot@maximatelecom.ru.
Инструкция по установке профиля
Ссылку с сервисом генерации профилей wi-fi.ru/hotspot необходимо открывать только с iOS устройств и в браузере Safari. Это ограничение операционной системы. Такой сценарий провиженинга используем только на время открытого тестирования сети. В ближайшее время мы планируем выпустить уже целевой вариант с использованием приложения.
Флоу установки профиля для iOS до версии 11 включительно и начиная с 12 различаются. Ниже представлен флоу для версий до 11 включительно:
Отличия во флоу установки профиля для iOS с версии 12:
Инструкция по удалению профиля
Профиль генерируется со сроком действия до 30 ноября 2019 года. По истечении этого срока профиль удаляется автоматически без действий со стороны пользователя. Если возникла необходимость удаления профиля раньше, это можно сделать вручную.