Campus Virtuais Boas Práticas e-u/eduroam Nuno Gonçalves Pedro Simões FCCN Versão 2.0
Boas Práticas e-u Controlo de Versões Versão Data Status Alterações 1.0 2004-04-12 Draft Primeira Versão 2.0 2009-07-03 Review Actualização 2.0 2009-07-07 Review
Introdução Este documento pretende definir um conjunto de boas práticas na rede e-u por forma a que sejam cumpridos da melhor forma possível os objectivos para ela definidos... Pretende chamar a atenção dos aspectos relevantes como a interoperacionalidade entre hotspots, cobertura rádio dos Campus, uniformização da nomenclatura das redes, etc. As recomendações definidas neste documento, pretendem ser independentemente da solução adoptada para o hotspot e devem ser compatíveis com todas as soluções certificadas para um hotspot e-u.
Optimização do meio Rádio No meio rádio existem, na norma europeia, 14 canais disponíveis. Por questões de compatibilidade com o resto do mundo, definiu-se que apenas se deveriam utilizar os canais da norma americana (11). Esta restrição prende-se com o facto de alguns equipamentos apenas utilizarem os 11 primeiros canais, além de se permitir que um utilizador não europeu consiga-se ligar à rede e-u, desde que possua credenciais válidas para o efeito (por ex. deter credenciais válidas num qualquer servidor de radius ligado à estrutura de roaming) Os canais disponíveis no meio radio são 11 como referido anteriormente, começando nos 2,4GHz e terminando perto dos 2,5GHz com a amplitude de 22MHz. Como os canais distam apenas 5MHz uns dos outros, a amplitude de 22 MHz faz com que se sobreponham na mesma frequência, no mínimo 5 canais. Dos 11 disponíveis, apenas 3 canais são completamente disjuntos. São o canal 1; 6 e 11. Apresentam-se abaixo um gráfico e uma tabela com as frequências utilizadas em cada canal disponível na norma 802.11b.
Canal Frequência (MHz) USA/Canadá Europa Japão 1 2412 X X X 2 2417 X X X 3 2422 X X X 4 2427 X X X 5 2432 X X X 6 2437 X X X 7 2442 X X X 8 2447 X X X 9 2452 X X X 10 2457 X X X 11 2462 X X X 12 2467 - X X 13 2472 - X X 14 2484 - - X As implicações na utilização de canais que não sejam disjuntos vão desde a degradação leve do sinal até à impossibilidade de transmissão de dados. Como o meio rádio é partilhado, AP s cujos sinais se sobreponham devem utilizar canais disjuntos. Esta particularidade torna a cobertura de um hotspot um dos aspectos mais difíceis da planificação da rede wireless.
Mobilidade entre todos os hotspots e-u Para garantir a mobilidade transparente entre hotspots e-u, além da estrutura Nacional de Radius é também necessário que todos os hotspots sejam mutuamente compatíveis. Para que tal seja atingido os hotspots e-u têm de disponibilizar determinadas funcionalidades consideradas mínimas: SSID : eduroam-guest Poderá ser opcional, no entanto a existir, deverá estar presente em todo o Campus coberto por rede wireless se possível ou em zonas privilegiadas; SSID : eduroam em todo o Campus coberto por rede wireless; Framework de autenticação 802.1x na rede com SSID eduroam ; A rede com SSID eduroam-guest a existir, não tem autenticação; A rede com SSID eduroam-guest a existir, deverá disponibilizar conteúdos WEB com informação 1 e software necessários para acesso à rede com SSID eduroam ; A rede com SSID eduroam-guest a existir, deverá ser vísivel (broadcasted) em todos os locais que esteja implementada.; Qualquer utilizador deverá conseguir aceder à rede com SSID eduroam-guest independentemente de ter ou não credenciais válidas para a rede com SSID eduroam ; A rede com SSID eduroam poderá não ser vísivel; A rede com SSID eduroam têm obrigatoriamente autenticação 802.1x (PEAP e/ou TTLS); A rede com SSID eduroam têm obrigatoriamente de suportar os métodos EAP PEAP e TTLS para permitir roaming de utilizadores de outras instituições, que possam utilizar o método escolhido pela sua instituição de origem. Endereçamento IP Para que um utilizador em Roaming possa aceder aos recursos da sua instituição é necessário que mesmo na rede autenticada (eduroam), possa estabelecer um túnel VPN entre a instituição visitada e um concentrador de túneis VPN. Um dos pontos fulcrais do qual depende o estabelecimento deste túnel é o endereçamento IP que, para alguns concentradores de VPN tem de ser público. Tendo em conta este requisito foi estabelecido que serão atribuídos endereços IP públicos a utilizadores em Roaming. Fica ao critério de cada instituição a atribuição ou não de endereços públicos aos seus utilizadores locais autenticados. Isto obriga a alguns cuidados redobrados por parte dos utilizadores (aplicação de firewall na própria máquina por ex.) mas também diminui a carga administrativa de efectuar 1 A quem se destina a rede; o que é necessário obter a nível de autenticação para se ligar à rede e-u; que passos são necessários para configurar o equipamento terminal (SO s : Windows Vista, XP e 2000; MacOS; Linux;)
logging de tradução de endereços para acessos ao exterior (logging de NAT) para um tracking eficiente de possíveis abusos.