Co jednak, jeżeli nasi gości (z dowolnego powodu - brak adaptera, wydajność, preferencje, brak umiejętności konfiguracji) nie chcą używać sieci Wi-Fi? Zawsze zostaje możliwość podłączenia zwykłym kablem Ethernet. Gniazdko, do którego dołączamy gości (np. w sali konferencyjnej), możemy po prostu statycznie umieścić w odpowiednim segmencie sieci (VLAN-ie). Dodatkowo, podobnie jak w segmencie bezprzewodowym - warto zablokować możliwość komunikacji pomiędzy urządzeniami w ramach tego segmentu. Nazwy takiej funkcjonalności różnią się zależnie od producenta urządzenia, jednak najczęściej stosowaną jest "private VLAN".

Takie podejście ma jednak wady - port jest zarezerwowany tylko do użytku gości. Co jeżeli zechce się do niego podłączyć użytkownik wewnętrzny lub współpracownik? Oczywiście można ten problem rozwiązać wyprowadzając do sali kilka portów i odpowiednio je oznaczając, jednak nie jest to rozwiązanie idealne. Z jednej strony potrzebujemy dodatkowych portów, z drugiej potencjalnie umożliwiamy dostęp do sieci wewnętrznej nie autoryzowanej osobie (ktoś, nawet przypadkiem, może dołączyć się do niewłaściwego gniazdka). Musimy więc stosować dodatkowe mechanizmy zabezpieczeń. A jeżeli i tak jesteśmy na nie skazani, to dlaczego nie wykorzystać ich bardziej inteligentnie? Obecnie najpopularniejsza metoda uwierzytelnienia stacji dołączanej do przełącznika Ethernet to 802.1x - zapewnia niezły poziom bezpieczeństwa, a suplikant jest wbudowany w praktycznie każdy system operacyjny. Wykorzystując mechanizmy towarzyszące (implementacja, zarówno z perspektywy dostępności, jak i nazewnictwa jest zależna od producenta - na potrzeby niniejszego artykułu wesprzyjmy się nomenklaturą Cisco), możemy skutecznie dostosować ją do naszych potrzeb. Dołączający się do naszej sieci gość może mieć aktywowaną autoryzację 802.1x na porcie Ethernet lub nie. W pierwszym przypadku suplikant obecny na stacji odpowie na żądanie autoryzacji, jednak nie zostanie pozytywnie autoryzowany (nazwa użytkownika i hasło nie pojawiają się w wewnętrznej bazie). W normalnych warunkach przełącznik deaktywuje taki port dostępowy. Jednak niektóre przełączniki można skonfigurować tak, aby zamiast tego umieściły taki port w określonym segmencie (VLAN-ie) sieci - w naszym przypadku segmencie gościnnym. Mechanizm taki jest określany jako "Authorization Failed VLAN".

Drugi przypadek zaowocuje brakiem odpowiedzi na żądanie autoryzacji. Podobnie jak wcześniej - standardowym zachowaniem przełącznika jest deaktywacja portu, której można zapobiec, stosując mechanizm "Guest VLAN", który po kilku zapytaniach bez odpowiedzi umieści naszego gościa w odpowiednim segmencie sieci.

Łącząc mechanizmy 802.1x z dynamicznym przydziałem VLAN-u użytkownika, łatwiej zapanujemy także nad współpracownikami. Możemy wymusić na nich aktywację suplikanta, wygenerować dane dostępowe (użytkownik i hasło) i po poprawnym uwierzytelnieniu przełącznik przeniesie port do określonego w profilu serwera autoryzacyjnego VLAN-u (podobnie jak robi to z użytkownikami wewnętrznymi).

No dobrze - pierwszy krok mamy za sobą, użytkownik uzyskał na poziomie logicznym (warstwa 2 modelu ISO/OSI) podłączenie do naszej sieci, a urządzenie brzegowe (AP/kontroler lub przełącznik) kieruje generowany przez niego ruch do odpowiedniego segmentu. Teraz trzeba te dane bezpiecznie "przerzucić" do celu.

Po drugie - przenosimy

Dla wielu administratorów problem odseparowania ruchu gości od danych wewnętrznych może się wydać wręcz banalny - przecież już w poprzednim kroku został on skierowany do wydzielonego VLAN-u. Wystarczy zatem przenieść ten VLAN na brzeg sieci, do miejsca w którym kontrolujemy przepływ ruchu między naszymi VLAN-ami i sieciami zewnętrznymi. I właściwie mają rację. Ale tylko w przypadku, gdy infrastruktura sieciowa jest zaplanowana według reguł obowiązujących kilka lat wstecz. Większość budowanych wtedy sieci budynkowych czy też kampusowych była oparta na przełączaniu w warstwie 2 modelu ISO/OSI.

Te paradygmaty projektowe znacząco zmieniły się w ciągu ostatnich kilku lat - wzrost skali tego typu instalacji, potrzeba lepszej optymalizacji zastosowania łączy (Spanning Tree wykorzystuje tylko jedną ścieżkę, podczas gdy większość sieci stosuje kilka dróg), wymagania jakościowe, niezawodnościowe i wiele innych problemów (głównie związanych z działaniem STP) spowodowały, że terminowanie warstwy 2 na poziomie przełączników dostępowych przestało być ekstrawagancją. O ile rozwiązało to większość wymienionych problemów, o tyle w innych obszarach nieco ich przysporzyło.

W szczególności w kontekście naszego przypadku - znacznie trudniej jest zapewnić separację ruchu w warstwie 3. Nie ma jednak powodu do załamywania rąk - matka wynalazków przyniosła rozwiązania, które pozwalają na realizację naszego celu. Ponieważ mechanizmy wirtualizacji infrastruktury sieciowej to temat na co najmniej drugi taki artykuł, pozwolę sobie pokrótce opisać trzy najczęściej stosowane metody:

• Rozproszone listy kontroli dostępu (ACL). Najprostszy sposób segmentacji ruchu, ale jednocześnie nie pozbawiony wad. Opiera się na nałożeniu list kontroli dostępu nie pozwalających na przenikanie ruchu pomiędzy segmentami przeznaczonymi dla użytkowników wewnętrznych, współpracowników i gości. Poza podatnością na podszywanie się adresów, metoda ta jest obarczona znacznym nakładem administracyjnym i dużym ryzykiem błędów konfiguracyjnych. Przydatna właściwie tylko w przypadku braku innej opcji oraz prostych usługach (dostęp do internetu) w małej skali (1, 2 segmenty).
• Wirtualizacja urządzeń w warstwie trzeciej. Może być traktowana jak przeniesienie idei VLAN-ów, ale na nieco innym poziomie. Zakłada tworzenie wirtualnych instancji routingowych, separujących przetwarzane klasy adresowe. Różni producenci stosują różne określenia technologii (wirtualne routery, wirtualne instancje itp.) - szczegóły implementacji również nieco się odróżniają. Połączenia pomiędzy poszczególnymi instancjami na różnych urządzeniach realizowane są na podstawie VLAN-ów, GRE itp. Znacznie prostsza w administracji, dobry wybór przy średniej skali (do 20 instancji).
• MPLS VPN. Wbrew typowym skojarzeniom technologie przełączania znaczników (MultiProtocol Label Switching) nie są zarezerwowane dla sieci operatorskich. Bardzo często kampusy akademickie, szpitale czy przedsiębiorstwa korzystają z dobrodziejstw tej metody. Stosunkowo proste jest kreowanie wydzielonych segmentów na bazie naszej infrastruktury sieciowej. Stosowana raczej na większą skalę (potrafi obsłużyć tysiące instancji).

Osobnym zagadnieniem na etapie przenoszenia ruchu gości przez sieć jest odpowiednie jego potraktowanie z punktu widzenia jakości usługi (Quality of Service). Ruch gości jest (wstyd przyznać) jednak z reguły mało krytyczny, więc typową praktyką jest oznaczenie go na brzegu sieci jako "best effort" i takież późniejsze traktowanie. Często stosowane jest również ograniczanie pasma dostępnego dla gości - na poziomie systemu dostępu bezprzewodowego (większość nowoczesnych rozwiązań ma wbudowane odpowiednie funkcjonalności) lub przełącznika brzegowego.

Po trzecie - wypuszczamy

Niezależnie od wybranej technologii separacji ruchu, generowane przez naszego gościa pakiety dotrą na "drugi brzeg" naszej sieci. Zanim jednak pozwolimy im opuścić kontrolowane przez nas urządzenia, dobrze jest zweryfikować czyim są dziełem, albo przynajmniej zapoznać ich nadawcę z regułami panującymi na naszym podwórku. Jako że w większości przypadków pakiety te będą przenosiły ruch http, najwygodniejszym sposobem jest jego przejęcie i przekierowanie do strony, na której gość będzie mógł podać dane autoryzacyjne lub potwierdzić zapoznanie się z regulaminem korzystania z sieci. Skupić się tu możemy już raczej na typowych użytkownikach gościnnych - w końcu współpracownik został już zautoryzowany na etapie dołączenia się do sieci. O tym, jaka opcja zostanie wybrana, decyduje wiele czynników - charakter instytucji, liczba obsługiwanych użytkowników itp. Prawdopodobnie dla większości sieci opcja z podaniem adresu e-mail i potwierdzeniem zrozumienia treści regulaminu będzie wystarczająca. Jeżeli jednak z jakiegoś powodu chcemy nieco bardziej kontrolować użytkowników korzystających z naszej infrastruktury, konieczne jest przeprowadzenie procesu autoryzacji. Zanim jednak opiszę jak może on wyglądać, cofnijmy się o kilka zdań i spójrzmy na możliwości realizacji przekierowania początkowego ruchu gościa.