Per segmentare la rete Ethernet e controllare le destinazioni raggiunte da ogni dipendente, la maggior parte dei network aziendali si avvale oggi di LAN virtuali (VLAN). Da quando gli utenti hanno iniziato a commutare tra Ethernet e Wi-Fi durante la giornata di lavoro, ha sempre più senso applicare le VLAN a un accesso di rete sia cablato sia wireless. Questo articolo descrive i più comuni metodi per la mappatura delle stazioni Wi-Fi su VLAN aziendali e suggerisce quando potrebbe essere comodo utilizzarli.
VLAN cablate
Le VLAN "spezzano" una LAN fisica in diversi dominii logici. Ogni stazione di
lavoro "sente" il traffico trasmesso dalla propria VLAN ma non riceve nulla
dalle stazioni che appartengono alle altre VLAN, neppure da quelle connesse
fisicamente allo stesso switch Ethernet.
Inoltre, le VLAN raggruppano insieme le stazioni, indipendentemente dalla topologia della rete. Quando le workstation in una VLAN dipendono da switch Ethernet differenti, per raggiungere tutte le stazioni che sono parte di tale VLAN il traffico viene trasmesso su spezzoni di inter-switch.
L'appartenenza alla VLAN può essere configurata staticamente negli host e negli switch Ethernet, basandosi sull'indirizzo MAC o sul numero di porta, oppure può essere determinata dinamicamente controllando ogni identificativo VLAN (VID) del frame Ethernet. Questi tag IEEE 802.1Q consentono ai dispositivi per l'upstream di rete di applicare policy differenti a ogni VLAN, dall'assegnazione degli indirizzi IP e dalla qualità di servizio all'inoltro del broadcast e al controllo di accesso alla rete.
Per esempio, la figura in basso illustra una rete composta da quattro switch distribuiti sul confine dell'Ethernet e due VLAN logiche: Engineering (VID #3) o Sales (VID #6). Ogni VLAN ha la propria sottorete IP e può raggiungere i workgroup server associati. Anche se condividono l'infrastruttura e operano da posizioni differenti, le diverse VLAN funzionano come se i loro membri fossero collegati a una propria LAN indipendente.
VLAN cablata
VLAN wireless
Supponiamo che un
ufficio decida di effettuare l'upgrade al Wi-Fi. Come potremmo estendere le VLAN
esistenti al fine di incorporare delle stazioni wireless, dando ai relativi
utenti esattamente gli stessi diritti di accesso alla rete e le stesse
limitazioni precedentemente sperimentate con Ethernet?
In una piccola rete, potremmo configurare ogni access point wireless (AP) con degli Extended Service Set Identifier (SSID) che mappano ogni VLAN. Usando AP di classe business in grado di supportare SSID multipli, potremmo configurare due SSID, legati ciascuno a un VID Ethernet esistente, secondo le indicazioni di figura 2. Ora, quando l'utente Marco si associa con l'SSID “EngNet”, l'AP contrassegna tutti i suoi frame con VID #3. Altri utenti che partecipano alla VLAN Engineering possono ora comunicare con Marco che potrà raggiungere gli Engineering server.
Mappare gli SSID in una VLAN
La mappatura di pochi SSID può essere facile, ma questo metodo non consente una buona scalabilità. Con il crescere del numero di AP e di VLAN, aumenta il lavoro di gestione necessario a mantenere mappature statiche. Anche la probabilità che un utente finisca sulle VLAN sbagliate aumenta, e non soltanto come conseguenza di un errore dell'amministratore. Piuttosto, non abbiamo fatto niente per impedire a Marco di associarci all'SSID “SalesNet”, consentendogli quindi di entrare nella VLAN Sales, dove avrà accesso ai Sales server.
Possiamo risolvere questo problema di “salto della VLAN” usando il Port Access Control 802 1X per controllare l'uso dell'SSID. Un ufficio interessato alla sicurezza wireless dovrebbe usare WPA (o WPA2) Enterprise per cifrare il traffico on-the-air. Usando WPA-Enterprise ogni volta che Marco prova ad associarsi con l'SSID “SalesNet”, l'AP trasmette una richiesta di accesso RADIUS a un Authentication Server 802.1X,. Tale server verifica l'identità e le credenziali di Marco prima di decidere se consentire l'accesso alla LAN. Per impedire a Marco di “saltare” sulla VLAN Sales, potremmo configurare il server affinché restituisca l'autorizzazione SSID (“EngNet”) come attributo RADIUS (si veda figura in basso). Se le richieste e i permessi SSID non coincidono, l'AP scollegherà Marco, negandogli l'accesso alle VLAN per cui non possiede l'autorizzazione.
Impiego di 802.1X per controllare l'uso dell'SSID
Ma se avessimo decine o centinaia di VLAN? Sarebbe terribilmente inefficiente - e forse persino impossibile - mappare ogni VID sul proprio e unico SSID. In una grande rete, abbiamo bisogno di un metodo complessivamente differente. Anziché di una mappatura statica SSID/VLAN, potremmo usare gli attributi RADIUS 802.1X per fornire i legami dinamici della VLAN ogni volta che gli utenti wireless si autenticano. Quando Marco si associa con l'SSID “CorpNet”, il server restituisce il suo VID autorizzato (#3), che l'AP usa per etichettare tutto il suo traffico. Quando Paolo si associa con lo stesso SSID “CorpNet”, il server restituisce il suo VID autorizzato (#6), con il quale l'AP etichetta il suo traffico. Con questo metodo, gli utenti autenticati sono mappati sulle VLAN, indipendente dal mezzo di accesso.
Impiego di 802.1X per fornire i tag della VLAN
Quella di usare 802.1X per fornire i tag della VLAN è una tecnica flessibile, scalabile e sicura. Poiché la rete wireless non deve essere suddivisa per coincidere con la topologia della VLAN, gli SSID possono essere usati per altri scopi, come la separazione del traffico wireless dati e voce, isolando gli ospiti wireless o mettendo in quarantena gli host, oppure migrando dai dispositivi legacy al Wi-Fi di prossima generazione. Gli altri SSID possono essere mappati nel rispettivo VID per mantenere il traffico separato quando si muove attraverso la rete, come per esempio nel caso delle stazioni che non parlano l'802.1X.
Infatti, lo stesso Authentican Server 802.1X può essere utilizzato per fornire dinamicamente i tag della VLAN alle stazioni Ethernet collegate tramite una rete cablata, se tutti gli switch e gli host Ethernet sono 802.1X-capable. L'amministratore non avrà più bisogno di configurare ogni AP e ogni switch Ethernet con le mappature della VLAN. I tag della VLAN sarebbero invece configurati nelle autorizzazione delle policy individuali o di gruppo, memorizzate in un solo posto: il database degli utenti consultato dall'Authentication Server 802.1X.
