Wireless Aruba – Tipos de implementações para os Access Points

Uma das grandes vantagens dos Access Point Aruba é a utilização do mesmo equipamento em diversos cenários, como os APs trabalhando de modo independente, ou em cluster, gerenciado por uma Controladora física, Controladora virtual ou mesmo em nuvem. Agora os Access Point podem também serem chamados de UAP (Unified Access Point) e configurados de diversas maneiras e com funções especificas dentro da arquitetura WLAN, como por exemplo:

– Campus AP (CAP): também chamado de CAP, é um típico Access Point que será conectado a uma controladora, que fará o seu gerenciamento.

– Mesh APs: São APs para Campus que usam a interface de rádio como uplink. O Mesh Portal (AP) tem uma conexão física para rede corporativa. O Mesh Point (AP) utiliza seu rádio para acesso à rede corporativa.

– Air monitors (AMs): Efetuam a varredura da rede Wifi para coletar informações de RF e IDS

– Spectrum APs (SA): São Access Points configurados (de forma temporária ou permanente) para capturar sinais de rádio para análise, como por exemplo em cenários de interferência, documentação e/ou mapeamento.

– Remote AP (RAP): Atuam de forma similar ao Campus AP, mas normalmente acessam a Internet para comunicação com a controller através de um túnel VPN. Um RAP pode também ser configurado como um Remote Mesh portal, que é basicamente um RAP com funções de Mesh portal.

– Instant APs (IAPs): não necessitam de uma controladora. Todos os IAPs na mesma sub rede irão comunicar-se e formar uma Virtual Controller (VC) então eles podem operar de forma independente de uma controladora física. 

Um ponto de atenção: tome cuidado ao converter seu Access Point em ambiente de produção. Pesquise, faça testes e alterações em ambientes de laboratório, antes de coloca-lo na rede operacional.

Referências

Aruba Certified Design Professional_ Official Certification Study Guide ( HPE6-A47)

https://blogs.arubanetworks.com/solutions/aruba-unified-ap-platform/

RADIUS Change of Authorization (CoA)

Em uma implantação tradicional com AAA utilizando RADIUS, após a autenticação, o Servidor RADIUS apenas assina a autorização como resultado de uma requisição de autenticação.

No entanto, existem muitos casos em que é desejável que hajam alterações sem a exigência do NAS para iniciar a troca de mensagens. Por exemplo, pode haver a necessidade de um administrador da rede ser capaz de encerrar a ‘sessão’ de uma porta autenticada com 802.1x.

Alternativamente, se o usuário alterar o nível de autorização, isto pode exigir que novos atributos de autorização sejam adicionados ou excluídos para o usuário.

Outro exemplo, é a limitação da banda disponível a um usuário após exceder a banda liberada em uma rede wifi, por exemplo.

Para superar essas limitações, vários fabricantes implementaram comandos RADIUS adicionais a fim de permitir que mensagens ‘não solicitadas’ sejam enviada para o NAS . Estes comandos estendidos fornecem suporte para desconectar (disconnect) e mudar de autorização (CoA – Change-of-Authorization).

CoA

Com o avanço da tecnologia e o surgimento de novas demandas, o padrão RADIUS CoA (Change of Authorization) permite ao Servidor iniciar a conversação com o equipamento de rede aplicando comandos:  shut/ no shut, alterar a VLAN, ACL, banda ou então apenas re-autenticar o usuário. As vezes um endpoint pode ser roubado, infectado, ter o anti-virus desabilitado, ultrapassar do limite dos dados disponíveis para navegação ou então ocorrer outros fatores que possam afetar a postura. Nesse caso a rede deve ser capaz de interagir à essas mudanças e atualizar o nível de acesso e autorização para esse dispositivo.

Coa - NAD-ASExemplo

RADIUS Coa - Comutadores

No cenário acima, o cliente (suplicante) inicia a autenticação;  após a troca de certificados e credenciais, o servidor autoriza o usuário enviando uma mensagem RADIUS Access-Accept ao NAD. Uma vez o usuário autenticado, o NAD enviará atualizações de accouting RADIUS para o servidor para atualizá-lo com informações da sessão do usuário: como largura de banda, tempo da sessão etc.

Usando as mensagens de Accounting, o servidor de autenticação  pode correlacionar o MAC e o endereço IP de um usuário com o tempo da conexão.

Se pensarmos em uma rede sem fio, podemos habilitar a desconexão com uma mensagem RADIUS Coa Disconnect-Request para a Controller quando um cliente atingir o limite de 100Mb de trafego.

Referências

https://tools.ietf.org/html/rfc5176

https://tools.ietf.org/html/rfc3576

ClearPass Essentials Student Guide – HP Education Services