[GTER] Estrutura de conexão Wireless/Cabo com identificação

Wed Apr 4 10:56:04 -03 2012

Josimar,
Aqui na universidade onde trabalho, passei pela mesma coisa!

Inicialmente, foi feita a troca de todos os comutadores (SWs),
por uma linha homogênea da Cisco, a Catalyst 2960, e suas
derivações.
Pois bem, a ideia, era utilizar VLANs baseadas em portas - e
ainda é -, mas o número de alunos e funcionários continua
crescendo, então, implantei um Linux com suporte a VLAN,
gerenciando tudo isso - inicialmente. Fiz o mapeamento de todos
os SWs da Instituição, juntamente com a troca dos modelos
anteriores, por esses atuais!
Temos vários VLANs, ao todo, 14. A rede ficou bem segmentada.
Adotei um padrão de cascateamento, de no máximo, 3 níveis, até
o SW Core.

Os prédios são interligados, e utilizamos conexões do tipo Trunk, para
passar todas as VLANs.

No cenário de hoje, ao invés de Firewall, já utilizamos o Cisco ASA,
e melhorou bastante, mais uma vez.

Mas, ficamos com a questão da rede wireless, que era ruim! Então,
após pensar bastante, efetuamos a troca dos antigos APs, por APs
Cisco, da linha Air Lap. Nele, criamos subredes, para alunos, visitantes,
funcionários.
Foi então, que pensei na possibilidade de utilizarmos 802.1X! Eu nunca
tinha trabalhado, mas estudei um pouco, e foi tranquilo! Assim, a ideia,
é que os alunos, autentiquem antes de conectar! Foi criado uma página
HTML, onde o aluno informa a Matrícula, e a Senha, do LDAP! Tudo funciona
direitinho! A conexão espira, a cada 60 minutos... Foram implantadas
diretrizes
de segurança... No caso da rede funcionários, o ID é o SIAPE, e a senha, é
a mesma do logon no domínio, para aqueles que usam Window$... Senha esta
que esta no LDAP!

Resumindo Josimar, o principal pré requisito, vc já tem! O LDAP!

Por isso, te indico a utilização de 802.1X.

A rede ficará bem segura!
Basta pesquisar um pouco sobre a especificação dos aparelhos, e ver seu
suporte!

Abraço.

*=============
Douglas Borges*

2012/4/3 Rafael Galdino da Cunha <sup.rafaelgaldino at gmail.com>

> Captive portal, Hotspot etc...
>
> vc pode integrar com o LDAP no caso o BD dele, para quando autenticarem
> liberar a internet também, creio que dá certo.
>
>
>
> Em 3 de abril de 2012 22:26, Josimar Sfreddo <josimarbs.if at gmail.com
> >escreveu:
>
> > Pessoal, primeiramente gostaria de dizer que o grupo é ótimo e sempre tem
> > algumas informações bastante importantes.
> > Parabéns aos participantes.
> >
> > Vamos ao assunto. Estou estudando uma solução para aplicar aqui na minha
> > instituição de ensino que seja capaz de identificar o usuário que está
> > usando a rede de comunicação, que pode ser via cabo ou via wireless.
> > Em um estudo anterior consegui implantar um servidor pppoe usando uma
> lista
> > de usuários/senha/IP fixos e controlados via aplicação
> > (inclusão/exclusão/alteração de senha). Esse cenário supriu a necessidade
> > de identificar o usuário conectado. Inicialmente era feito um cadastro e
> > com intervalos de tempo, um recadastramento.
> > O cenário atual mudou e temos um servidor LDAP com usuários e senhas. Em
> > primeira, segunda.... tentativas eu tentei colocar o pppoe-server com
> > freeradius+ldap mas não consegui.
> > Existem outras soluções de controle de conexão, mas acho um pouco mais
> > complexa para os usuários finais e talvez não se consiga a identificação
> do
> > usuário (tipo autenticação EAP direto no AP).
> > Na minha visão, a utilização de conexão pppoe será o mais ideal.
> >
> > Alguém possue sugestão para o cenário?
> >
> > at
> >
> > --
> > _______________________________________
> > Josimar Sfreddo
> > http://lattes.cnpq.br/5752744945202648
> > Analista de T.I./IFSC campus Xanxerê
> > (49) 3441-7909
> > skype: josimarbs.if
> > email/msn/gtalk: josimarbs.if at gmail.com
> > -------------------------------------------------------------------
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Att.
>
> Rafael Galdino
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>