Il progetto “Polito WiFi”
Transcript
Il progetto “Polito WiFi”
Polito Wi-Fi Group Il progetto “Polito WiFi” M. Maggiora, C. Pacheco Politecnico di Torino © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Agenda La rete wired del Politecnico di Torino Il progetto "Polito WiFi” Architettura Prestazioni Sicurezza Polito Wi-Fi Group © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Il Politecnico di Torino Circa 10.000 nodi distribuiti su 17 sedi 10 in ambito metropolitano e 7 in ambito regionale Polito Wi-Fi Group Vengono forniti servizi di dati e fonia a più di 40 Strutture Circa 35.000 utenti tra personale e studenti © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Il Politecnico di Torino L‘infrastruttura è di tipo routed Organizzata con switch di livello 3 alla frontiera di ogni struttura con un doppio anello Gb di backbone (2+10 Gbps) Routing a livello applicativo Polito Wi-Fi Group © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 La rete del Politecnico AREA 3 … AREA 1 AREA 2 . . . RING 1 (2Gbps) . . . AREA 0.0.0.0 RING 2 (1Gbps) Ce.S.I.T. SERVERFARM (Other) Polito Wi-Fi Group SERVERFARM (WEB) INTERNET Border Router © Politecnico di Torino – M. Maggiora, C. Pacheco Remote Access Remote Site Roma 16-18 novembre 2005 Perché una rete Wireless Facilitare l’utilizzo delle risorse informative Adattare l’accesso ai servizi informatici secondo il nuovo modello didattico Ampliamento virtuale degli spazi di lavoro per personale e studenti Supporto alla micromobilità Polito Wi-Fi Group © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Il progetto “Polito-WiFi” Il gruppo di lavoro del progetto “Polito Wi-Fi” è costituito da personale dei Dipartimenti del Politecnico, Operatori di Telecomunicazione, Istituti di Ricerca e Compagnie ICT: Polito Wi-Fi Group Ce.S.I.T. – (Gruppo Reti) M. Maggiora (Coordinatore), C. Pacheco, A. Lantieri DAUIN (Control and Computer Engineering) - Antonio Lioy DELEN (Electronics) - TLC Group - Fabio Neri GESD (Student Support Services) - Enrico Venuto ISMB (Istituto Superiore Mario Boella – Research Institute) - Daniele Mazzocchi, Daniele Brevi Telecom Italia - Marco Boasso TiLAB – Supporto esterno Cisco Systems – Supporto esterno Hewlett-Packard – Supporto esterno © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Il progetto “Polito WiFi” Gli obiettivi: Polito Wi-Fi Group Accesso WiFi sicuro Architettura scalabile ed affidabile Management integrato Integrazione con la rete wired di Ateneo Estensione a livello geografico Utenti eterogenei © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Il progetto “Polito WiFi” Copertura Wireless Polito Wi-Fi Group © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Il progetto “Polito WiFi” Warchalking Polito Wi-Fi Group http://www.blackbeltjones.com/warchalking/index2.html © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Il modello “Polito WiFi“ Polito Wi-Fi Group La Wireless Lan deve essere considerata una estensione della rete wired Un nuovo modo di accesso ai servizi non la sostituzione della rete wired Particolare attenzione è stata posta ai meccanismi di cross-authentication, alla sicurezza e alla facilità d’uso © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Il modello “Polito WiFi“ Cross Authentication Sono stati presi accordi con altri istituti ed enti di ricerca per estendere virtualmente le aree “Polito WiFi” sul territorio metropolitano: Polito Wi-Fi Group © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Il modello “Polito WiFi“ EduRoam Polito Wi-Fi Group © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Il modello “Polito WiFi“ Tipologie di utenti Studenti Personale interno Guest istituzionali Guest Anybody Polito Wi-Fi Group © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Il modello “Polito WiFi“ Scalabilità Polito Wi-Fi Group Le soluzioni devono essere adattabili ad un ambiente di tipo Campus/Enterprise ma anche a livello di Branch Office Anche il modello di sicurezza dovrà poter scalare a secondo della criticità dell’ambiente coperto e del profilo dell’utente © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Architettura “Polito WiFi“ ap1X3.polito.it CIS CO AIR ONET 1200 I W I RELESS AC CESS POI NT 1,10,11 Power injector gi1/0/23 L3-A gi1/0/25 apX31.polito.it RESE T SYST EM STATUS PWR M GM T ACTIVE 1 DT E/D CE WS- X6K -SUP 1A- 2GE WLSE Engine P OR T1 100% 1% CO N SO LE SU PER VIS OR 1 S WITCH LO AD PCM CIA EJ ECT LI PCM CIA EJ ECT LI PO RT 2 NK LI NK LI NK RESET PWR M GM T ACTIVE SYSTEM STATUS DTE/DCE WS- X6K -SUP 1A- 2GE 2 P OR T1 100% 1% CO N SO LE SU PER VIS OR 1 S WITCH LO AD PO RT 2 NK S witch must be in off "O" position to Install/R emove pow er supply. Fastener must be fully enaged prior to oper atin g power supply. L3-B S witch must be in off " O" positio n to Install/Remove power supply. Fastener must be fully en aged prior to oper ating powe r supply. 3 INPUT OK 4 wlse.polito.it C ISC OA IRO NET 1200 I W IR ELESS ACCE SSP OIN T INPUT OK FAN O K FAN OK O UTPUT FAIL O UTPUT FAIL 1,10,13 W S-X6516-G BIC 1 3 5 7 9 11 13 15 2 4 6 8 10 12 14 16 5 ST ATUS LINK LINK 1 16 PO RT GIGA BIT ETH ERN ET LINK 2 LI NK 3 LIN K LINK LINK 4 5 LIN K 7 6 LINK 8 LINK 9 LIN K 10 LINK 11 LI NK 12 LINK 13 LINK 14 LIN K 15 INPU T 16 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 INPUT 1 00 -2 4 0 V~ 12 -5 A 5 0/6 0 Hz WS- X6516-GE -TX 10 0 -2 40 V~ 1 2 -5 A 50 /6 0 Hz 1000A C 1000A C 16 WS -X4 515 S UP ERV IS OR E NGIN E I V 6 STA TUS UPL IN K 1 1 2 gi 8/1 LINK LINK LIN K LINK LIN K LIN K LIN K LIN K LIN K LIN K LINK 27 28 29 30 31 32 33 34 LINK LINK LINK UP LI NK 2 UT IL IZ AT I ON CONSOL E 1 0/ 100 MGT FL AS H LINK 16 POR T 1000 BA SE- T GELINK Catalyst 4506 1% S TA TUS LI NK ACT IV E L IN K A CTI V E 1 00% RES E T EJ ECT A CTI VE L IN K 2 7 WS- X6548-RJ -45 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 35 36 37 38 39 40 41 42 43 44 45 46 47 48 1,10,13 3 8 CI SCO AI RON ET1200 I WI RELES SA CCESS PO INT STA TUS P HO N E 4 FAN S TATUS 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 9 5 /2 5 g i0 1 3 5 7 9 11 13 15 17 19 21 23 2 4 6 8 10 12 14 16 18 20 22 24 6 FA N STA TUS INPUT OK CATALYST 3550 INLINE P OWE R FA N OUTPUT OK F AIL INPUT OK FAN OK ap3X2.polito.it OUTPUT FA IL 1 S YSTE M RPS STAT UTIL DUPLE X SPEE D LIN E PWR CORE TRUNKs 2 fa0/24 fa0/11 fa0/1 L T AL INS N RU fa0/9 fa0/3 gi1/0/25 LL TA INS N RU L3-C 12 P ower Supp y l 1 Power S upply 2 Catalyst 6500S E RIES 11 13 gi1/0/27 HP760 HP760 uplink portale.polito.it lin up fa0/1 sw-.polito.it fa portale2.polito.it k fa0/24 0 /3 1 3 5 7 9 11 13 15 17 19 21 23 2 4 6 8 10 12 14 16 18 20 22 24 CATALYST 3550 INLINE P OWE R 1 SY STEM RP S STA T U TIL DU PLEX S PEED LINE P WR 2 gi0/1 1000Base-T fa0/12 gi0/1 1 3 5 7 9 11 2 4 6 8 10 12 13 15 17 19 21 23 14 16 18 20 22 24 CATALYST 3550 INLINE P OW E R 1 SY STEM R PS S TAT U TIL D UPLEX S PEED LIN E PWR fa0/1 2 fa0/2 fa0/3 TRUNKs 1,10,12 1,10,11 VLAN 1 - GESTIONE WIFI 1,10,11 VLAN 10 - PEAP C ISC OA IRO NET 1200 I W IR ELESS ACCE SSP OIN T CI SCO AI RONE T1200 I WI RELES SAC CESS POI NT CI SCO AI RON ET1200 Polito Wi-Fi Group I WI RELES SA CCESS PO INT VLAN 11 - WIFI-OPEN-1 apX11.polito.it apX12.polito.it ap2X1.polito.it radius.polito.it VLAN 12 - WIFI-OPEN-2 VLAN 13 - WIFI-OPEN-3 Cross-Authentication © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Captive Portal Polito Wi-Fi Group © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Sicurezza SICUREZZA Modello di Autent. Open HTTPS Browse Based Tunnel VPN IPsec 802.1x PEAPMSCHAP WPA Polito Wi-Fi Group 802.1x EAP/TLSWPA Livello di Sicurezza (air) Disp. Autent. Mutua Prot. Username Prot. Password Prot. Dati Attività Consigliabili tutte le aree Password Cliente Certificato Server Alta Alta Nessuna Navigare Internet Delega Sicurez. Livello applic. tutte le aree Password Cliente Certificato Server Alta Alta Alta Come PC fisso field test Password Cliente Certificato Server Bassa in client XP Alta Alta Come PC fisso lab. test Certificato Cliente Certificato Server Bassa Non applicabile Alta Come PC fisso © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Sicurezza Di norma sono tre le fase del processo di autenticazione: Autenticazione Autorizzazione Accounting Processo definito AAA Polito Wi-Fi Group © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Architettura Radius Proxy radius Backbone Ateneo Proxy radius Altre Istituzioni Internet Internet Central Proxy Radius radius.polito.it Radius per LDAP Studenti Garr Proxy radius Polito Wi-Fi Group LDAP Personale LDAP Studenti Edu-Roam © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Accesso VPN per il personale VPN client Destinazioni esterne al Polito (Internet) Traffico NON protetto Pc esterno alla rete LAN Politecnico Destinazioni interne al Polito (rete LAN) Traffico protetto Destinazioni interne al Polito (rete LAN) Traffico protetto Rete Internet VPN concentrator Destinazioni esterne al Polito (Internet) - Traffico NON protetto LAN Polito IO S C E A 1 T N R 2 0 Polito Wi-Fi Group E IL R W S C A P O T N VPN client non abilitato VPN client Pc connesso alla rete LAN Politecnico © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Accesso VPN per gli studenti VPN concentrator Rete Internet LAN Polito IO S C E A 1 T N R 2 0 E IL R W S C A P O T N Traffico NON protetto Tutte le destinazioni Rete Wi-Fi Traffico protetto Polito Wi-Fi Group VPN client non abilitato VPN client Pc connesso alla rete LAN Politecnico © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Servizi Wireless Internet LAN wired Politecnico Polito Wi-Fi Group Campus Politecnico © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005 Portale informativo http://wifi.polito.it Polito Wi-Fi Group © Politecnico di Torino – M. Maggiora, C. Pacheco Roma 16-18 novembre 2005