Postagens

Introdução Remote Access Point Aruba

Imagem
Boa noite a todos!Hoje vou falar um pouco sobre o Remote Access Point da Aruba Networks. Essa postagem vai cobrir as características principais de implementação de um "RAP" e as configurações iniciais executadas na controladora para funcionamento do dispositivo.
Antes de falar sobre o Remote Access Point, precisamos compreender a arquitetura de conexão remota fornecida pela Aruba, mais conhecida como VBN (Aruba Virtual Branch Network Solution). VBN é uma arquitetura criada pela Aruba que surgiu para suprir as necessidades de acesso remoto provendo todos os serviços Wireless necessários de maneira segura para o usuário corporativo.

A Aruba sempre sustentou a visão de que competir no mercado por features relacionadas ao encaminhamento de dados sobre o ar não era uma vantagem, tendo em vista que muitas das features proprietárias acabam sendo padronizadas pelos órgãos regulamentares e depois de um tempo acabam não sendo mais uma vantagem e sim um pré requisito para se manter no…

802.11 Medium Access - CSMA/CA Overview

Imagem
Pra quem já estudou Networking, vai se lembrar do CSMA/CD que determina como os dispositivos vão ter acesso ao meio físico. De maneira simplificada, o protocolo foi criado basicamente para evitar colisões em uma rede Ethernet.

CSMA/CD não foi projeto para ser utilizado em redes 802.11, desta maneira criaram o padrão CSMA/CA (Carrier sense multiple access with collision avoidance) projetado especificamente para redes 802.11.

Rádios 802.11 não são capazes de transmitir e receber ao mesmo tempo (Não estou levando em consideração neste tópico rádios  MU-MIMO que  mudam a forma de como os quadros são transmitidos e recebido) e, portanto, não pode detectar colisões. Então, se eles não podem detectar colisões, como eles sabem se aconteceu?

Funcionamento do protocolo:

CSMA/CA funciona basicamente da seguinte maneira: Um rádio transmite um quadro unicast e fica no aguardo do recebimento do quadro. Se o quadro for transmitido corretamente, o transmissor envia um ACK para o receptor e a troca de …

Centralized Licensing Aruba

Imagem
Centralized Licensing alterou o modo em que as licenças são utilizadas entre as controladoras Aruba. A feature foi inserida na versão 6.3 do ArubaOS. As seguintes licenças são suportadas neste modo:
AP (Licença padrão de Access Point) PEFNG (Licença que habilita funções de Firewall)RF Protect (Licença que habilita funções especificas de RF) Com a função habilitada, podemos centralizar as licenças e o gerenciamento em uma única controladora (A controladora que ficará com essa função é conhecida como "Master License Sever"). As licenças passam a ficar alocadas em um "pool de licenças" onde podemos distribuir dinamicamente entre todas as controladoras que pertencem ao mesmo pool.
A vantagem mais importante que ganhamos com esse feature no meu ponto de vista, é a economia ao obter as licenças, tendo em vista que não existe mais a necessidade de obter licenças para a controladora Backup. Desta maneira ficamos mais competitivos com os demais concorrentes. Essa feature fun…

NPS PEAP-MSCHAPV2 + WLC CISCO e WLC HP

Imagem
No ultimo post foi explicado os conceitos de autenticação. Hoje vamos aplicar esses conceitos em um ambiente real. No fim deste artigo você será capaz de:

Configurar uma WLC com um serviço Wireless 802.1X fazendo os apontamentos necessários para o servidor Radius.Instalar e configurar Active Directory para criação de usuários.Instalar e configurar serviço DHCP.Instalar e configurar serviço DNS.Instalar e configurar serviço NPS. O primeiro passo para uma implementação bem sucedida é planejar as políticas de acesso que você pretende implementar e de que forma isso irá afetar o usuário final.

Vamos imaginar uma situação em que você deseja atender três perfis de usuários:

Atender os usuários Corporativos de sua empresa. Atender os usuários BYOD ( De uma maneira direta, são os usuários que trazem dispositivos pessoais e pretendem utilizá-los em sua rede Corporativa).Usuários Guest.  Seguindo a linha de raciocínio acima, podemos planejar a maneira que vamos fazer a estrutura de regras do serv…

Timeouts WLC CISCO

Imagem
Hoje vou falar um pouco sobre os valores de timeouts configurados nas controladoras da CISCO. Esses valores influenciam diretamente no tempo em que o usuário pode permanecer conectado sem validar as informações de credencias. 

Um exemplo disso é um usuário "Visitante" que vai utilizar a sua rede Wireless durante uma semana todos os dias. Se não alteramos os valores default dos timeouts o usuário teria que fornecer suas credencias no Portal de autenticação todos os dias.
Um outro exemplo seria uma autenticação de um dispositivo mobile que só tem acesso a Internet com suas credencias (Um usuário utilizando uma rede BYOD). No caso de estar configurado os valores default de timeouts na controladora o usuário teria que fornecer suas credencias do AD todo dia que chegasse no trabalho para obter conexão.

Eu particularmente não costumo deixar os timeouts com um valor muito alto por questões de segurança afim de sempre validar as credencias dos usuarios em um curto perío…

HP Unified Controller - Configuração Band Navigation

Uma configuração muito importante no momento do "tuning wifi" é a feature de Band Navigation.

A feature de Band Navigation utiliza alguns parâmetros para associar os clientes dual band ( Clientes com rádios 2,4 e 5,0Ghz) sempre na maior frequência que no caso seria a frequência 5,0GHz. Desta maneira os usuários passam a ter melhor desempenho na rede tendo em vista que a frequência 2,4 é sempre mais congestionada que a frequência de 5Ghz.

O AP segue a seguinte ordem para associar o usuário dual band em um rádio 5Ghz:

Os clientes que tentarem se associar em um rádio 2.4Ghz serão rejeitados por um tempo especifico.Os clientes que estão recebendo pacotes de desassociação do rádio 2.4Ghz tendem a enviar um novo pedido de associação para os rádio 5Ghz ( No caso de clientes dual band).O AP aceita a requisição do usuário e associa o mesmo no rádio 5Ghz. Pré requisitos:

Fast association deve estar desabilitado para essa função funcionar corretamente.O Serviço (SSID) deve estar sendo pr…

Conceitos 802.1X

Imagem
O primeiro post do blog será sobre autenticação 802.1x e será divido em três partes:

Visão geral do processo de autenticação.Autenticação PEAP-MSCHAPv2 com NPS Server.Autenticação PEAP-MSCHAPv2 e EAP-TLS com UAM Server.Parte 1 -  Visão geral do processo de autenticação
Antes de tudo para entender o processo de autenticação, é necessário compreender três conceitos distintos: PPP, EAP e 802.1.X.

PPP:Era originalmente um protocolo utilizado para a conexão e autenticação de modems dial-up.
Nas implementações atuais o PPP é encapsulado em quadros Ethernet e opera em PPP over Ethernet (PPPoE). PPPoE é utilizado para conexões de modem por cabo ou DSL com um ISP para acesso à Internet (utilizamos PPPoE para fechar a conexões com os provedores de Internet ou configuramos o protocolo em algum roteador que possa fazer a conexão automaticamente).
PPP inclui dois mecanismos de autenticação: Password Authentication Protocol (PAP) e Challenge Handshake Authentication Protocol (CHAP), sendo que o primei…