Quando uma estação encaminha seus quadros para um Ponto de Acesso, existem diversas maneiras para o AP processar e encaminhar os dados, tudo dependendo de como o Access Point é configurado.
Um Access Point configurado como IAP não necessita de uma Controller, pois todos os AP que estão na mesma sub rede irão formar um Cluster Virtual e operam independente da Controladora física.
Já os Pontos de acesso gerenciado por uma Controladora, devem ter seu tráfego permitido na rede (caso haja restrições de tráfego na rede).
O modo de encaminhamento (forwarding mode) define como os dados enviados pelo usuário são encaminhados pelo AP e podem ser classificados como:
- GRE/tunnel
- Bridge
- Decrypt-tunnel
- Split-Tunnel
Alguns termos nesse texto são utilizados com o mesmo significado:
Controladora = Controller = Mobility Controller
Quadros = Frames
Access Point = AP = Ponto de Acesso
GRE/Tunnel
Esse modo utiliza um Tunnel GRE para encaminhar os dados do Access Point para a Mobility Controller. Quando um cliente envia um dado para um SSID (em um AP) que é configurado para utilizar o forwarding mode como tunnel mode, o AP encapsula o quadro 802.11 dentro de um frame 802.3 e encaminha o quadro para a Controladora Aruba.
Nesse processo nem todos os frames são tunelados e encaminhados a controladora, os quadros 802.11 para autenticação e resposta de associação são gerados diretamente no AP.
Para o tráfego que é encapsulado e enviado a controladora, a Mobility Controller removerá o encapsulamento no recebimento, aplicará regras de firewall ao tráfego do usuário e encaminhará o tráfego como solicitado.
Um Access Point Aruba configurado como Campus (CAP), todo tráfego de controle é comunicado com a controladora utilizando o protocolo PAPI, que não é criptografado. Caso haja a necessidade de criptografar a comunicação PAPI é sugerido a utilização juntamente com o CPsec (Control Plane Security) que criptografa a comunicação PAPI com IPsec.
Já os APs configurados como Remote (RAP), a comunicação deverá utilizar um túnel VPN L2TP/IPsec.
Com o modo túnel, todo tráfego é enviado para a Controller que é responsável por prover a visibilidade das configurações e trafego dos usuários de forma centralizada, facilitando a configuração das redes WLAN.
Bridge
O mode bridge permite ao Access Point (não a Controladora) processar os quadros, de forma similar aos APs individuais processam as informações. O AP irá responder qualquer requisição de autenticação e associação com as respostas referentes ao processo, removendo a criptografia dos frames recebidos e criptografando os quadros de saída para a estação.
O modo bridge também pode ser configurado em APs configurados como CAP e RAP, mas a sua comunicação com a Mobility Controller deverá ser criptografada com CPsec (CAP) e túnel L2TP/IPsec para RAP.
A Aruba não recomenda esse modo em razão do firewall stateful não ser aplicado.
Decrypt-Tunnel
Este método possui similaridade com o modo tunnel, entretanto os quadros enviados pelo cliente têm a sua criptografia removida e encaminhada dessa forma para a Controladora, encapsulando apenas o quadro 802.11 em um quadro 802.3.
Esse cenário pode ser utilizado para propósitos de segurança para inspeção e monitoração do tráfego por outras ferramentas ou diminuir o processamento ocorrido no processo de criptografia.
O modo decrypt só pode ser utilizado com RAP e CAP. Todo trafego de sinalização entre a controladora e o ponto de acesso deve ser criptografada com CPsec(CAP) ou L2TP/IPsec (RAP).
O modo decrypt deve ter uma atenção especial em cenários com RAP, pois o tráfego do usuário não é criptografado pelo RAP, criando um risco de segurança para o tráfego sobre a rede pública (Internet).
Split Tunnel
O modo split tunnel é disponível nos RAPs, e é também conhecido com policy-based forwarding. Quando um RAP constrói um tunnel L2TP/IPsec com a Controladora, não é recomendável encaminhar todo tráfego de usuário pela Internet para a Mobility Controller, por isso é possível criar regras de encaminhamento de firewall para processar o tráfego wireless diretamente no RAP. Essas regras podem permitir o tráfego dos usuários serem encaminhado localmente ou para a Controladora, de acordo com as necessidades, como por exemplo, o trafego HTTP/HTTPS sair diretamente para a Internet.
Referências
Aruba Certified Design Professional_ Official Certification Study Guide ( HPE6-A47)
Westcott, David. – Understanding ArubaOS