MANUALE DI INSTALLAZIONE E MANUTENZIONE PRODOTTI HSG - VERSIONE STANDALONE
INDICE 1 SEZIONE CONTROLLO DOCUMENTO 4 1.1 Approvazioni e Revisioni 4 1.2 Versioni 4 2 INTRODUZIONE 5 2.1 Garanzia 5 2.2 Avvertenze 5 3 DESCRIZIONE 6 3.1 Contenuto confezione 6 3.2 Connettori 6 4 FUNZIONAMENTO E INSTALLAZIONE 7 5 AMMINISTRAZIONE DI RETE 8 5.1 Accesso tramite interfaccia Web 8 5.2 Accesso tramite Console/SSH 8 6 AMMINISTRAZIONE DI RETE TRAMITE INTERFACCIA WEB 9 6.1 Funzionamento dell interfaccia Web 10 7 AMMINISTRAZIONE DI RETE - DASHBOARD 12 7.1 Gestione configurazione 12 8 AMMINISTRAZIONE DI RETE - SISTEMA 13 8.1 Generale 14 8.2 Firmware Manager 14 8.3 Logging 15 8.4 Operazioni 15 9 AMMINISTRAZIONE DI RETE - RETE 16 9.1 Network Manager 17 9.2 WAN 18 9.3 LAN 19 9.4 Hotspot 20 9.5 Rotte statiche 21 2
INDICE 10 AMMINISTRAZIONE DI RETE - FIREWALL 22 10.1 Zone 22 10.2 Redirects 22 10.3 Regole 22 11 AMMINISTRAZIONE DI RETE - HOTSPOT 23 11.1 Captive portal 23 11.2 Guest Administration 24 11.3 Ticket Manager 24 12 AMMINISTRAZIONE DI RETE - SERVIZI 25 12.1 Accesso 25 12.2 DHCP 26 12.3 LLDP 27 12.4 QoS 27 12.5 SNMP 27 13 AMMINISTRAZIONE DI RETE - TOOLS 28 13.1 Gestione sistema 28 13.2 Ping 28 13.3 Network Track 28 13.4 Iperf 29 13.5 NMAP 29 14 AMMINISTRAZIONE UTENTI HOTSPOT 30 15 ACCESSO UTENTI HOTSPOT 31 16 MATERIALI E SMALTIMENTO 32 16.1 Materiali tossici (RoHs Compatibility) 32 16.2 Smaltimento 32 17 MATERIALI E SMALTIMENTO 33 17.1 Certificato di garanzia Italia 33 17.2 Condizioni di garanzia 34 17.2.1 Durata e validità 34 17.2.2 Responsabilità 34 17.2.3 Limitazioni di responsabilità 35 17.2.4 Varie 36 17.2.5 Norme a tutela del consumatore 36 3
1. SEZIONE CONTROLLO DOCUMENTO 1.1 Approvazioni e Revisioni APPROVATO DA RUOLO DATA Nicola De Carne Responsabile wireless Networking - Wi-Next S.r.l. 6 Ago 14 REV. AUTORE DESCRIZIONE DATA 00 Wi -Next S.r.l. Emissione 6 Ago 14 Successivi aggiornamenti e relative revisioni del presente manuale sono consultabili online all indirizzo: www.winext.eu 1.2 Versioni Versione Utilizzo Utenti Consigliati HSG 7006 Gateway per il controllo accessi Fino a 200 4
2. INTRODUZIONE 2.1 Garanzia Le condizioni di garanzia sono illustrate nel Capitolo 17. Si prega di prenderne visione. 2.2 Avvertenze Il presente manuale è rivolto a: Tecnici installatori. Manutentori. Personale di gestione rete o altro personale tecnico purché edotto riguardo ai rischi e alle norme di sicurezza per l installazione, l uso e la manutenzione di apparecchi elettrici per comunicazioni radio. L installatore deve verificare la perfetta funzionalità del gateway HSG 7006 e non effettuare interventi correttivi se non nella certezza del loro effetto. È assolutamente vietato aprire l apparato, pena la perdita della garanzia. In casi di dubbio rivolgersi alla nostra assistenza tecnica (e-mail: assistenza@winext.eu). Il costruttore è sollevato da eventuali conseguenze causate a persone o cose nei casi di: uso improprio, impiego da parte di personale non qualificato, scorretta installazione, difettosità o inadeguatezza dei materiali usati per l installazione, interventi di modifica non autorizzati, utilizzo di ricambi non compatibili con l originale, inosservanza delle norme riportate in questo documento. Il manuale contempla l utilizzo dell apparecchio solo nell applicazione prevista dal costruttore e nell ambito della vigente normativa in materia di trasmissione dati via radio. 5
3. DESCRIZIONE Il gateway HSG (HSG) è un appliance studiata per il controllo degli accessi di una rete locale. Attraverso l HSG è infatti possibile definire le regole di accesso a Internet per gli utenti di una rete locale (tipicamente in modaliltà hot spot). L HSG può essere installato all interno di un mobile rack con l utilizzo delle staffe e delle viti in dotazione. 3.1 Contenuto confezione La confezione include: HSG 7006 CD Manuale Cavo alimentazione elettrica Cavo console 3.2 Connettori L HSG è dotato di 4 porte ethernet, di due porte USB e di una porta console. Le porte ethernet sono configurate secondo tre modalità: Porte WAN collegano l HSG verso le reti esterne (solitamente verso un router/ Internet, un firewall, ecc.) Porte LAN Interface collegano l HSG con le reti locali identificate tramite il tagging VLan Porte Guest collegano l HSG con la rete fisica a cui fa capo il servizio hot spot che richiede l autenticazione degli utenti WAN1, WAN2, LAN INTERFACE, GUEST 6
4. FUNZIONAMENTO E INSTALLAZIONE L HSG è un router gateway che permette di gestire l accesso tramite autenticazione per gli utenti di una rete locale (cablata e/o wireless) e una serie di Virtual LAN (VLAN) locali. La gestione dell HSG prevede due diversi livelli di amministrazione: 1) Amministratore di rete (gestisce tutte le configurazioni di rete dell HSG necessarie alla sua messa in opera) 2) Amministrazione utenti hotspot (gestisce la sola creazione/cancellazione degli utenti del servizio hot spot sulla rete guest) (CAPITOLO 14 pag.30) I due livelli di amministrazione hanno credenziali diverse e operano in maniera autonoma e distinta. Per mettere in esercizio l HSG è necessario che l amministratore di rete configuri i parametri IP opportuni (secondo le modalità illustrate nei successivi capitoli di questo manuale). Almeno una delle porte WAN deve essere collegata verso l esterno con parametri IP conformi a quelli della rete cui si connette. Sulle porte guest (ossia quelle connesse con la rete che offre il servizio hot spot) il traffico deve essere consegnato in modalità UNTAGGED. Sulle porte LAN (ossia quelle connesse con le reti interne) il traffico deve essere consegnato in modalità TAGGED (la VLAN UNTAGGED è la 1). PORTE PORT MODE DATA TRAFFIC LAN Trunk Tagged (802.1q) GUEST Access Untagged La tabella seguente riporta la configurazione delle porte fisiche/logiche: PORTE FISICHE TIPO PORTE INDIRIZZO IP DI DEFAULT INTERFACCE VIRTUALI eth1/eth2 WAN 192.168.1.1 br-wan0 eth3 LAN 192.168.100.1 br-lanx (la X indica l id della VLAN) eth4 HOTSPOT 192.168.10.1 Tun0 7
5. AMMINISTRAZIONE DI RETE ll accesso al WMS è possibile attraverso 3 diverse modalità: Interfaccia Web Collegamento tramite cavo console Collegamento via Secure Shell (SSH) 5.1 Accesso tramite interfaccia Web Per accedere all interfaccia di configurazione Web è sufficiente collegare un cavo ethernet a una delle porte dell HSG e inserire nel proprio browser l indirizzo corrispondente (per gli indirizzi di default si veda la tabella del capitolo precedente) dopo aver impostato sul proprio PC un indirizzo nella stessa classe. Le credenziali di accesso sono le seguenti: Username: admin Password: winext 5.2 Accesso tramite Console/SSH Per accedere al menù di gestione via SSH/Console si devono utilizzare le stesse impostazioni sopra riportate per l accesso tramite interfaccia Web. Anche username e password sono gli stessi. L accesso via SSH può essere disabilitato sia attraverso l interfaccia web sia tramite l accesso console. Allo stesso menù si può accedere anche utilizzando il cavo console in dotazione. Specifiche del collegamento tramite console: Baud rate 9600bps 8 bit No Parity 1 stop bit No hardware control No software control Con l accesso tramite Console/SSH si raggiunge l interfaccia di configurazione testuale (Command Line Interface). L interfaccia di configurazione CLI permette l inserimento dei principali comandi Unix/ Linux ed è destinata ad utilizzatori esperti per fini di diagnostica. 8
6. AMMINISTRAZIONE DI RETE TRAMITE INTERFACCIA WEB L interfaccia di configurazione web si raggiunge collegandosi all indirizzo IP assegnato al WMS in http (porta 80) o in https (porta 443) con il proprio browser. Le credenziali di accesso sono le seguenti: USERNAME : admin PASSWORD : winext 9
6. AMMINISTRAZIONE DI RETE TRAMITE INTERFACCIA WEB 6.1 Funzionamento dell interfaccia Web L interfaccia di configurazione Web dell HSG permette di gestire tutti i parametri del dispositivo. L interfaccia opera in maniera dinamica adattandosi automaticamente, ove necessario, alle opzioni scelte dall utente: questo significa che in caso di modifica di parametri/valori cui sono legati altri parametri/valori l interfaccia si riconfigura automaticamente presentando le opzioni idonee rispetto a ciò che l utente ha impostato. Nella parte alta al centro della pagina è presente il box di benvenuto nel quale è possibile passare dal linguaggio italiano a quello inglese (l interfaccia si adatta automaticamente alla lingua impostata nel browser). La navigazione tra le pagine di configurazione avviene attraverso 7 TAB: - Dashboard - Sistema - Rete - Firewall - Hotspot - Servizi - Tools La gestione dei parametri avviene attraverso una serie di voci contenute nei menù e nei sottomenù dell interfaccia. Nella parte in alto a destra della pagina sono presenti i pulsanti di gestione delle modifiche: SALVA Salva le modifiche apportate alla configurazione senza attivarle immediatamente. Le modifiche apportate diventano effettive solo al riavvio del dispositivo. APPLICA Applica immediatamente le modifiche apportate alla configurazione. Le modifiche vengono anche salvate. ANNULA Annulla tutte le modifiche apportate ai parametri di configurazione. 10
6. AMMINISTRAZIONE DI RETE TRAMITE INTERFACCIA WEB Nelle pagine di configurazione sono presenti le seguenti icone: Annulla singola modifica Annulla la modifica apportata a uno specifico parametro / opzione. Aggiunta parametro Aggiunge un parametro (utilizzata per i parametri multipli) Eliminazione parametro Elimina un parametro (utilizzata per i parametri multipli); per le opzioni per le quali è obbligatoria la presenza di almeno un parametro l icona compare solo se sono stati inseriti più valori. Aggiunta sezione Aggiunta di una sezione contenente una pluralità di parametri (ad esempio una nuova interfaccia) Eliminazione sezione Elimina l intera sezione e tutti i relativi parametri. Nelle pagine possono essere presenti anche pulsanti che rimandano ad altre sezioni: tali pulsanti sono presenti quando i parametri da impostare sono complementari a quelli presenti in altre sezioni. Quando si modificano i parametri il sistema effettua in automatico un controllo sul valore immesso nei singoli campi. Finché tale valore non è formattato correttamente non è possibile salvare la modifica e il campo appare in rosso. Premendo il pulsante Annulla la modifica del valore del campo (o dell opzione) si cancella ripristinando il valore preesistente. 11
7. AMMINISTRAZIONE DI RETE - DASHBOARD La dashboard presenta il riepilogo delle principali informazioni di funzionamento del dispositivo divisa in due macrosezioni: - La prima macrosezione permette di accedere alla gestione del profilo di configurazione in uso. - La seconda macrosezione è suddivisa in 4 aree nelle quali sono riepilogate le informazioni principali di ciascuna: o System o Network o Hotspot o Services 7.1 Gestione configurazione Selezionando il pulsante gestione configurazione si apre il pop-up per la gestione della configurazione. Il profilo in utilizzo è evidenziato dall indicazione Attivo. Per ogni profilo sono presenti una descrizione e 4 pulsanti: - Attiva attivazione del profilo selezionato. - Esporta esporta i parametri del profilo per il salvataggio in locale (backup, utilizzo di profili pre-impostati durante la configurazione, ecc.). - Copia crea una copia del profilo selezionato con un nuovo nome. Nella parte bassa della pagina è presente un box per il caricamento di profili archiviati localmente; se si importa un profilo con lo stesso nome di uno tra quelli disponibili il sistema lo sovrascrive a quello esistente (richiedendo la conferma all utente). 12
8. AMMINISTRAZIONE DI RETE - SISTEMA Questa sezione permette di controllare le specifiche di funzionamento del dispositivo. Nella sezione Stato si trova il riepilogo delle informazioni sulla configurazione del sistema suddivise in 4 aree: Informazioni generali Informazioni sul prodotto Stato del sistema Informazioni di funzionamento del prodotto (temperatura e % di utilizzo della CPU, corrente, quantità di RAM disponibile e Uptime del dispositivo) Wi-Next O.S. Informazioni su firmware e kernel con indicazione della data di rilascio Specifiche di sistema Informazioni sulle specifiche hardware (processore e memoria) Oltre alle informazioni di stato sono presenti 4 sezioni: Generale Firmware Manager Logging Operazioni 13
8. AMMINISTRAZIONE DI RETE - SISTEMA 8.1 Generale In questa sezione sono presenti 3 aree: 1) Dispositivo Gestione dell hostname del gateway 2) Credenziali Gestione della password con cui si accede all apparato per l amministrazione di rete (lo username admin non è modificabile); la gestione della password per l amministrazione degli utenti si trova all interno della sezione Hotspot. Il sistema ha attiva una procedura di verifica della robustezza della password inserita che ne impedisce il salvataggio se non sufficientemente sicura; tale controllo può essere disabilitato (è fortemente sconsigliato disabilitare il controllo). Per la robustezza della password la procedura verifica la presenza di caratteri minuscoli, caratteri maiuscoli, cifre, caratteri speciali; la password è accettata dal sistema di verifica della robustezza solo se presenta almeno 2 delle 4 tipologie di carattere sopra riportate. 3) Time Zone Gestione del servizio ntp per l ora utilizzata dal dispositivo. In tale area è possibile definire: - zona del fuso orario - server da utilizzare (è possibile inserire più server differenti) 8.2 Firmware Manager In questa sezione sono presenti due aree: la prima presenta le informazioni relative al firmware presente sul dispositivo (codice della versione firmware, versione del kernel e data di rilascio) e la seconda consente di caricare un nuovo firmware. Per caricare il firmware bisogna selezionare il relativo file e poi premere upgrade ; l opzione RESET CONFIG consente, caricando un nuovo firmware, di cancellare tutte le impostazioni presenti sul dispositivo; se tale opzione non viene selezionata al caricamento del nuovo firmware il dispositivo si riavvia mantenendo le impostazioni correnti. Prima di caricare un nuovo firmware il sistema verifica il file selezionato dall utente e chiede conferma per procedere (l aggiornamento non è reversibile). 14
8. AMMINISTRAZIONE DI RETE - SISTEMA 8.3 Logging Questa sezione permette di gestire l attività di logging del dispositivo. A fondo pagina è presente un box nel quale sono riportate le ultime informazioni registrate automaticamente dal log di sistema. È possibile attivare un sistema di logging remoto (inserendo l IP di destinazione e la porta da utilizzare) e/o in locale (inserendo il nome del file su cui creare i log). Il file in locale viene archiviato di default all interno della cartella /home/admin. 8.4 Operazioni Questa sezione permette di inserire nel CRON di sistema una o più operazioni pianificate. Per ogni operazione /regola è possibile inserire la periodicità (in minuti, ore, giorni o mesi) e il comando testuale da eseguire; le operazioni inserite possono essere attivate o disattivate impostando abilita su on o su off. Per aggiungere operazioni pianificate si può utilizzare il pulsante aggiungi operazione. Un operazione può essere rimossa premendo l icona del cestino a fianco al numero della regola. 15
9. AMMINISTRAZIONE DI RETE - RETE La Tab RETE permette di gestire tutte le opzioni di configurazione di rete del dispositivo. Nella sezione Stato si trova il riepilogo delle informazioni sulla configurazione di rete suddivisi in 3 aree: 1) Interfacce fisiche WAN Stato, mac address e traffico trasmesso/ricevuto sulle interfacce fisiche che operano come reti WAN 2) Interfacce fisiche LAN/Hotspot Stato, mac address e traffico trasmesso/ricevuto sulle interfacce fisiche che operano come reti LAN e Hotspot 3) Interfacce virtuali informazioni in tempo reale sulle interfacce virtuali presenti sul dispositivo con indicazione della tipologia e del traffico trasmesso e ricevuto da ciascuna N.B.: la numerazione delle porte ethernet sull interfaccia Web (così come sulle interfacce SSH e Console) parte da 0 (eth0, eth1, eth2, ecc.); nel caso in cui sul frontale del dispositivo la numerazione parta da 1 (eth1, eth2, eth3, ecc.) le porte da considerare sono quelle con il numero immediatamente superiore a quello riportato su questo manuale (dove sul manuale è indicato eth0 ci si riferisce alla porta eth1 del dispositivo, dove sul manuale è indicato eth1 ci si riferisce alla porta eth2 del dispositivo, ecc.). Oltre alle informazioni sullo stato delle configurazioni di rete sono presenti altre 6 sezioni: - Network manager - WAN - LAN - Hotspot - Rotte statiche 16
9. AMMINISTRAZIONE DI RETE - RETE 9.1 Network Manager Questa sezione permette di configurare le Virtual LANs (VLANs) da associare alla porta fisica su cui sono impostate le reti LAN. Per ogni VLAN sono presenti i seguenti parametri e pulsanti di configurazione: Nome nome della VLAN; manage LAN collegamento alla sezione LAN nella quale gestire i parametri di una rete (per ogni VLAN deve esistere una rete distinta); VLAN ID numero identificativo della VLAN; Descrizione descrizione della VLAN; Porta fisica identificativo della porta ethernet a cui è associata la VLAN; Selezionando l icona del cestino viene rimossa la relativa VLAN. Il pulsante Aggiungi VLAN permette di creare una nuova Virtual LAN. N.B.: La creazione di una nuova VLAN genera automaticamente una nuova LAN all interno della relativa sezione. 17
9. AMMINISTRAZIONE DI RETE - RETE 9.2 WAN In questa sezione viene gestita la rete WAN del dispositivo. Per la rete WAN sono presenti una serie di informazioni e parametri. Interfacce fisiche Elenco delle interfacce fisiche associate alla rete WAN Protocollo Modalità di assegnazione dell indirizzo IP alla rete; questo parametro può assumere i valori: statico l indirizzo IP è assegnato manualmente dall amministratore dinamico l indirizzo IP è assegnato da un server DHCP al quale si collega il dispositivo PPPoE l indirizzo IP viene fornito tramite autenticazione PPPoE (Point-to-point protocol over Ethernet) Nessuno alla rete LAN non viene associato alcun indirizzo IP In relazione alla modalità scelta vengono presentati i parametri dell indirizzo IP (con assegnamento statico) o quelli dell autenticazione PPPoE (con assegnamento tramite PPPoE). Nel caso di assegnamento statico sono presenti i seguenti parametri: Indirizzo IP Netmask Gateway Nel caso di assegnamento tramite PPPoE sono richiesti i seguenti parametri: Username password DNS Indirizzo IP del server DNS: è possibile aggiungere più server DNS (con il pulsante + ) o rimuovere uno degli indirizzi IP inseriti. STP Pulsante di abilitazione dello Spanning Tree Protocol. NAT (PAT) Selezionando ON viene attivato il NAT (Network Address Translation) del traffico passante tra la rete (o le reti) LAN e la WAN. 18
9. AMMINISTRAZIONE DI RETE - RETE 9.3 LAN In questa sezione vengono gestite le reti LAN del dispositivo. Per ogni LAN sono presenti una serie di informazioni e parametri. Interfacce fisiche Elenco delle interfacce fisiche associate alla rete LAN Protocollo Modalità di assegnazione dell indirizzo IP alla rete; questo parametro può assumere i valori: statico l indirizzo IP è assegnato manualmente dall amministratore dinamico l indirizzo IP è assegnato da un server DHCP al quale si collega il dispositivo Nessuno alla rete LAN non viene associato alcun indirizzo IP Nel caso di assegnamento statico sono presenti i seguenti parametri: Indirizzo IP Netmask Gateway DNS Indirizzo IP del server DNS: è possibile aggiungere più server DNS (con il pulsante + ) o rimuovere uno degli indirizzi IP inseriti. STP Selezionando ON viene attivato lo Spanning Tree Protocol VLAN ID Tendina di selezione di una delle VLAN attive; è presente anche il pulsante Gestisci VLANs che rimanda alla sezione Network Manager descritta in precedenza. N.B.: nel caso in cui sia necessario attivare disporre di più LAN è necessario creare una nuova Virtual LAN all interno della sezione Network Manager. 19
9. AMMINISTRAZIONE DI RETE - RETE 9.4 Hotspot In questa sezione si configurano i parametri di rete per il servizio hotspot. I parametri da configurare sono i seguenti: subnet/netmask indicazione del range IP della sottorete degli utenti ospiti del servizio di autenticazione seguito dalla classe (da inserire con le impostazioni Unix/Linux nella forma xxx.xxx.xxx.xxx/nn dove la prima parte rappresenta la classe IP e la seconda l ampiezza della classe; si veda anche la tabella riportata a fine paragrafo) IPv4 interface indirizzo IP assegnato alla rete hotspot all interno della subnet inserita al punto precedente Premendo il pulsante GESTISCI GUEST E DHCP si accede alla sezione Hotspot illustrata nel successivo capitolo 11 pag. 23. Tabella netmask (riporta le più comuni) Classe Indicazione in modalità decimale Numero di Host /30 255.255.255.252 4 /29 255.255.255.248 8 /28 255.255.255.240 16 /27 255.255.255.224 32 /26 255.255.255.192 64 /25 255.255.255.128 128 /24 255.255.255.0 256 /16 255.255.0.0 65.536 /8 255.0.0.0 16.777.216 20
9. AMMINISTRAZIONE DI RETE - RETE 9.5 Rotte statiche Questa sezione permette di aggiungere una o più rotte statiche alle tabelle di routing del dispositivo. Per ogni rotta statica sono presenti i seguenti parametri: Nome nome assegnato alla rotta statica Interfaccia interfaccia logica associata (selezionata tramite un menù a tendina) Parametri di rete Rete, Netmask, Next Hop e Metrica 21
10. AMMINISTRAZIONE DI RETE - FIREWALL Questa sezione permette di gestire il funzionamento del firewall attraverso la definizione delle zone, dei redirect e delle regole. 10.1 Zone Questa sezione è suddivisa in due aree: configurazione di default e configurazione di zone specifiche. Nella configurazione di default si può definire il comportamento per i pacchetti in Input, Output o Forward (il comportamento può essere settato su Permit il default oppure su Deny ) e abilitare/disabilitare il SYN Flood. Nella configurazione delle zone è possibile definire il comportamento per i pacchetti in Input, Output e Forward per specifiche interfacce; si può anche abilitare/disabilitare la connection track. Le interfacce riportate nella configurazione delle zone sono le seguenti: Lan# reti lan destinate agli utenti interni (di default è attiva la Lan0; se ne vengono aggiunte altre con differenti VLan ID sono identificate da un id progressivo: Lan1, Lan2, ecc.) Wan0 rete wan Tun0 rete destinata al servizio di autenticazione hotspot 10.2 Redirects In questa sezione si possono definire le regole di re direzione (port forwarding). Per ogni regola vanno definiti: Nome assegnato alla regola Protocollo da utilizzare Interfaccia su cui è attiva la regola di re direzione IP sorgente Porta sorgente IP di destinazione Porta di destinazione Con il pulsante Aggiungi redirect si possono inserire nuove regole di forwarding. 10.3 Regole In questa sezione si possono definire le regole di traffico. Per ogni regola vanno definiti: Interfaccia sorgente IP sorgente Interfaccia di destinazione IP di destinazione Tipo di servizio Porta sorgente Porta di destinazione Azione (Permit oppure Deny) Con il pulsante Aggiungi regola si possono inserire nuove regole di traffico. 22
11. AMMINISTRAZIONE DI RETE - HOTSPOT Questa sezione permette di gestire il funzionamento del sistema di controllo degli accessi per il servizio hotspot e presenta tre sottoseszioni distinte: Captive portal Guest administration Ticket Manager 11.1 Captive portal In questa sezione è possibile personalizzare il captive portal presentato agli utenti che accedono alla rete hotspot. In particolare è possibile abilitare/disabilitare il captive portal e personalizzare i seguenti elementi: Azienda nome della società/ente che offre il servizio di accesso Logo immagine presentata nel box di log-in visualizzato dagli utenti; per inserire il nuovo logo è sufficiente premere il pulsante browse per selezionarlo tra i file presenti nelle cartelle locali e successivamente premere il pulsante carica ; il logo deve essere in formato PNG o JPEG e viene automaticamente riscalato alla dimensione di 167x50pixel; per evitare distorsioni eccessive dell immagine si consiglia di caricare un immagine delle dimensioni sopra riportate o che rispetti le stesse proporzioni Landing page pagina su cui vengono reindirizzati gli utenti dopo aver inserito credenziali di accesso valide Redirect HTTPS: abilitazione della redirezione in modalità protetta Walled garden elenco dei domini e delle classi di indirizzi IP accessibili dagli utenti senza autenticazione; se l utente inserisce nel proprio browser un indirizzo tra quelli presenti nel walled garden non viene reindirizzato alla pagina di accesso; N.B.: perché il servizio hot spot funzioni tra gli indirizzi del Walled Garden deve sempre essere presente la classe IP (subnet/netmask) della rete hotspot impostata nella sezione RETE/HOTSPOT. 23
11. AMMINISTRAZIONE DI RETE - HOTSPOT 11.2 Guest Administration In questa sezione è possibile configurare i parametri per l accesso dei client guest. I parametri sono suddivisi in due aree distinte. DHCP Guest Impostazioni del servizio DHCP utilizzato dai client. Sono presenti i seguenti parametri: - Selezione dalla tipologia di client DNS con scelta tra: Any DNS l utente può utilizzare i DNS impostati sul proprio client Only Configured il client viene forzato a utilizzare i client definiti in questa sezione - DNS principale (DNS1) e DNS secondario (DNS2) DNS assegnati ai client - Domain dominio di rete - Lease Time tempo di rilascio degli indirizzi IP assegnati (il default è di 600 secondi) Guest Settings Impostazioni relative all accesso dei guest al servizio. Sono presenti i seguenti parametri: - Mac re-auth attivazione della funzione di riautenticazione automatica su base mac address - Maximum guest numero massimo di utenti accettati contemporaneamente dal sistema; l impostazione di default è di 200 utenti (tale valore costituisce anche il limite massimo suggerito) - Idle timeout tempo di scadenza della sessione (il default, impostato anche se non è presente alcun valore, è 600 secondi) 11.3 Ticket Manager In questa sezione è possibile modificare la password utilizzata per la gestione delle credenziali di accesso alla rete; lo username (non modificabile) è ticket; la password di default è winext. Nella pagina viene indicato anche l indirizzo da cui si accede al pannello di amministrazione per la gestione degli utenti del servizio. 24
12. AMMINISTRAZIONE DI RETE - SERVIZI Questa sezione permette tutte le opzioni relative ai servizi disponibili. Nella sezione Stato si trova il riepilogo delle informazioni sui diversi servizi suddivisa in due aree: 1) Overview DHCP In quest area si può vedere se il servizio è attivo, il numero di indirizzi IP rilasciati e il dettaglio dei client associati (MAC Address, Indirizzo IP e Hostname) 2) Overview dei servizi Per ogni servizio viene indicato ilnome, lo stato ed eventuali note; per ogni servizio è presente un pulsante di riavvio. Nell area servizi sono presenti 5 sezioni: - Accesso - DHCP - LLDP - QoS - SNMP 12.1 Accesso In questa sezione è possibile configurare le modalità di accesso all HSG via Web e via Secure Shell. Per la parte Web è possibile abilitare o disabilitare l accesso in modalità HTTP e quello in modalità HTTPS. Per la parte Secure Shell (SSH) è possibile abilitare questa modalità di accesso, attivare la protezione con password, impostare la porta utilizzata per tale servizio e abilitare il forward SSH. 25
12. AMMINISTRAZIONE DI RETE - SERVIZI 12.2 DHCP Questa sezione permette di definire le regole di funzionamento del servizio DHCP. La sezione è divisa in 3 aree: 1) Attivazione del servizio DHCP 2) Gestione degli scope 3) Gestione indirizzi riservati 1) Attivazione del servizio DHCP Per abilitare il servizio DHCP è sufficiente settarlo su ON ; si può inoltre definire il dominio da utilizzare (il default è winext.priv ) e il funzionamento in modalità authoritative 2) Gestione degli scope In questa area si possono impostare i seguenti parametri: - Interfaccia associata al DHCP - Inizio range - primo indirizzo assegnabile dal DHCP - Numero di client - numero massimo di client a cui può essere assegnato un indirizzo IP) - Lease time - tempo di rilascio dell indirizzo IP per inattività del client (può essere anche attivata la funzione per forzare il rilascio) - Opzioni possibilità di definire opzioni multiple (ad es. subnet mask, default gateway, time server, ecc.) con relativo indirizzo IP Il sistema consente di definire Scope diversi associati ad interfacce differenti. 3) Gestione degli indirizzi riservati In questa area è possibile riservare specifici indirizzi IP a client individuati tramite il loro MAC address. 26
12. AMMINISTRAZIONE DI RETE - SERVIZI 12.3 LLDP Questa sezione permette di gestire il protocollo LLDP (Link Layer Discovery Protocol) per il discovery automatico di dispositivi presenti all interno della rete. Nella parte alta della pagina si abilita il servizio e si configurano i parametri di funzionamento: supporto per specifici protocolli di discovery e classe del dispositivo all interno della rete (Generic, Media o Communication Device Endpoint oppure Network Connectivity Device). A seguire viene presentato l elenco dei dispositivi di rete scoperti tramite LLDP. Per ognuno dei dispositivi vengono riportati MAC Address, Hostname e Indirizzo IP ed è indicata l interfaccia alla quale sono collegati (direttamente o indirettamente). 12.4 QoS Questa sezione permette di gestire la Quality of Services (QoS) ed è suddivisa in due aree: configurazione interfaccia e definizione delle regole. 1) Configurazione interfaccia In quest area si può abilitare la limitazione della banda passante (eventualmente attivando anche l overhead) definendo il traffico in download e in upload per ognuna delle reti (wan, lan, hotspot). 2) Definizione regole Quest area permette di definire regole di prioritizzazione/blocco del traffico; per ogni regola si possono configurare: - target della regola tipologia di priorità da assegnare; può assumere i valori bulk, normal, express (adatto a pacchetti di piccole dimensioni con limitata richiesta di banda) e piority (adatto a pacchetti più grandi, come ad esempio il traffico VoIP) - protocollo - applicazione (per packet inspection specifica layer 7) - IP sorgente e destinazione e porta 12.5 SNMP L SNMP (Simple Network Management Protocol) è il protocollo utilizzato per il monitoraggio real time degli apparati di rete. Questa sezione permette di attivarlo (con il pulsante abilita ) impostando, se desiderato, l utilizzo di IPv6. Si possono poi indicare i parametri community, contatto e luogo (hanno valore informativo). Nella seconda parte della pagina si possono aggiungere/rimuovere le attività di monitoring sulla memoria del dispositivo e sulla rete. 27