Главная › Вики › Сеть

Captive Portal — гостевой доступ Wi-Fi

Captive Portal (страница-перехватчик, «капча-страница» гостевого Wi-Fi) — это веб-страница, которая открывается у гостя автоматически при подключении к беспроводной сети и требует выполнить условие доступа: авторизоваться, принять правила или ввести код, прежде чем выпустить его в интернет.

Это тот самый экран «Подключитесь к Wi-Fi гостя — введите номер телефона / примите условия», который вы видите в кафе, отеле, бизнес-центре или зоне ожидания. Для бизнеса это и удобство для посетителей, и инструмент контроля, и способ выполнить требования закона.

Зачем нужен бизнесу

Гостевой Wi-Fi нужен почти везде, где есть посетители: офис с переговорками для клиентов, шоурум, клиника, кафе при компании, конференц-зона. Но давать гостям доступ в ту же сеть, где работают сотрудники, серверы и кассы — недопустимо. Captive Portal решает сразу несколько задач.

Отделяет гостей от рабочей сети. Гостевой Wi-Fi выпускается в изолированный сегмент, из которого нет доступа к внутренним ресурсам компании.
Идентифицирует пользователя. Закон требует, чтобы публичный доступ в интернет не был полностью анонимным — портал собирает идентификацию (как правило, по номеру телефона через SMS-код).
Показывает правила и брендинг. На странице портала размещают название компании, правила пользования, иногда рекламное сообщение или ссылку на сайт.
Ограничивает нагрузку. Через портал задают лимиты скорости и времени сессии, чтобы гости не «съедали» весь канал.

Как это работает

Логика проста по сути и тонка в деталях:

Гость выбирает гостевую сеть и подключается к ней — пароль обычно не требуется или он общий.
Любой первый запрос в интернет контроллер или точка доступа перехватывает и перенаправляет на страницу портала.
Гость выполняет условие: вводит номер телефона и SMS-код, авторизуется через учётную запись или просто принимает соглашение об использовании.
После успешной проверки устройство гостя помечается как авторизованное (обычно по MAC-адресу на время сессии) и получает выход в интернет.
По истечении сессии или лимита доступ закрывается, и при следующем подключении портал появляется снова.

Технически Captive Portal реализуется на уровне Wi-Fi-контроллера или облачной платформы управления точками доступа. Часто авторизацию связывают с сервером RADIUS, а саму страницу размещают на контроллере или внешнем сервере.

Требования закона

В России публичный доступ в интернет регулируется: оператор связи и владелец публичной сети обязаны идентифицировать пользователей и хранить данные о фактах подключения. Поэтому в большинстве сценариев гостевой Wi-Fi требует идентификации — чаще всего по номеру телефона через SMS. Конкретный объём обязанностей зависит от того, кто и как предоставляет доступ; точные требования стоит сверять с актуальной нормативной базой и при необходимости — с юристом. Captive Portal — это техническая часть, которая позволяет такую идентификацию реализовать.

Безопасность гостевой сети

Главный принцип — гостевая сеть должна быть полностью изолирована от рабочей. Минимальный набор мер:

гостевой трафик выносится в отдельный сегмент (VLAN) без маршрута во внутреннюю сеть;
клиентам гостевой сети запрещается видеть друг друга (client isolation);
задаются лимиты скорости и времени сессии, чтобы гости не мешали бизнес-трафику;
гостевой выход в интернет проходит через тот же контур фильтрации, что и корпоративный, чтобы заражённое устройство гостя не стало проблемой.

В корпоративной среде Captive Portal для гостей сочетают с защищённой аутентификацией для самих сотрудников — об этом в карточке Wi-Fi Enterprise. А контроль того, какие устройства вообще допускаются в сеть, реализуют через NAC.

На чём строится

Captive Portal — это функция, а не отдельная коробка. Её предоставляют корпоративные Wi-Fi-контроллеры и облачные платформы управления беспроводной сетью. Поэтому портал почти всегда внедряют вместе с проектированием самой сети: размещением точек доступа, настройкой контроллера и сегментацией. Управление точками и политиками выполняет Wi-Fi-контроллер.

Роль аутсорсера

На практике гостевой Wi-Fi редко делают «один раз и навсегда»: меняются правила, добавляются объекты, обновляется оборудование, всплывают вопросы по идентификации и хранению данных. Что делает ИТ-аутсорсер:

проектирует гостевую сеть с изоляцией от рабочей;
настраивает Captive Portal с идентификацией по номеру телефона и брендингом компании;
задаёт лимиты, политики сессий и фильтрацию;
увязывает решение с требованиями к идентификации пользователей;
берёт сеть под мониторинг и сопровождение.

Стоимость зависит от числа площадок, количества точек доступа и требований к идентификации — рассчитывается под конкретную задачу после обследования.

Связанные термины

Wi-Fi Enterprise — корпоративная беспроводная сеть — защищённая аутентификация для сотрудников рядом с гостевым доступом
NAC — контроль доступа к сети — допуск устройств в сеть по политикам
Wi-Fi-контроллер — централизованное управление точками доступа — платформа, на которой и работает Captive Portal

Связанные термины

Родительский материал

VPN для удалённых сотрудников и филиалов: варианты и безопасность

Расчёт стоимости

Нужен гостевой Wi-Fi с порталом и изоляцией от рабочей сети?

Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования.

Открыть калькулятор Получить КП