V hlavní roli kontrolér
Hlavní výhodu v bezdrátových sítích představuje možnost tunelování veškerého provozu z access pointů do kontroléru, který následně aplikuje pravidla pro přístup do sítě (firewall), umožňuje filtrovat provoz na základě použité aplikace (Application visibility and deep packet inspection – AppRF), obsahu navštěvovaných webových stránek (Web Content Classification – WebCC) a aplikace kvality služeb (Unified Communication and Collaboration – UCC, což je obdoba QoS pro bezdrátové sítě). Tento stejný způsob zabezpečení je možné nasadit i v drátové síti, kde místo access pointů provoz do kontroléru tunelují switche. Kontroléry se tedy stávají ústředními prvky celé sítě a umožňují nasazení zcela konzistentních síťových pravidel pro drátovou i bezdrátovou síť.
Konzistence pravidel spočívá v tom, že nezáleží na tom, z jaké lokality a jakým typem připojení se uživatel do sítě přihlašuje. Vždy obdrží stejnou uživatelskou roli s patřičnými oprávněními. Ať se připojuje z notebooku k Wi-Fi v zasedací místnosti, nebo kabelem do zásuvky ve své kanceláři.
Dva režimy tunelování provozu
Pro tunelování provozu ze switche na kontrolér lze využít dva režimy:
- Port-Based tunneling – v tomto režimu switch jednoduše odesílá veškerá data z vybraných portů na kontrolér, kde následně nastává autentizace uživatele a volba uživatelské role.
- User-Based tunneling – v druhém režimu si switch volí, který provoz odešle do tunelu a který odešle lokálně. Toto rozhodnutí se děje na základě autentizace a lokálně přidělené role. Tunelovaný provoz je odeslán na kontrolér, kde je přidělena uživatelská role s pravidly pro přístup do sítě.
Obecně využívanějším režimem je User-Based tunneling, který v kombinaci s Aruba ClearPass Radius serverem dokáže zajistit větší automatizaci celého procesu, a to díky možnosti nastavení stahovatelných rolí z ClearPass serveru (downloadable roles). Switch v tomto případě odešle autentizační žádost na Radius server, který ověří uživatele nebo zařízení. Součástí odpovědi je i kompletní definice lokální role na switchi a atribut pro tunelování provozu spolu s uživatelskou rolí přidělenou na kontroléru. Pokud není v odpovědi obsažen atribut pro tunelování, provoz je odeslán lokálně ze switche.
Jestliže se dnes rozhodujete, jakým způsobem lépe zabezpečit svou síť při zachování jednoduché implementace a správy, dynamická segmentace může být jednou z cest, kudy se vydat. Díky granulárním přístupovým oprávněním, která jsou založena na rolích vynucovaných dynamickou segmentací, lze efektivně zabezpečit síť a chránit ji před nechtěnými vnějšími vlivy. Další užitečné informace je možné získat na internetových stránkách Aruba Airheads Community (https://community.arubanetworks.com/home), případně na YouTube kanálu Airheads Broadcasting Channel (https://www.youtube.com/c/ABCNetworking/featured).
Autorem článku je Václav Hauser, HPE Aruba technical specialist, Tech Data – A TD SYNNEX Company.
PŘEDPLATNÉ
ČLÁNKY DO MAILU