Il progetto “Polito WiFi”

Commenti

Transcript

Il progetto “Polito WiFi”
Polito
Wi-Fi
Group
Il progetto “Polito WiFi”
M. Maggiora, C. Pacheco
Politecnico di Torino
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Agenda
La rete wired del Politecnico di Torino
Il progetto "Polito WiFi”
Architettura
Prestazioni
Sicurezza
Polito
Wi-Fi
Group
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Il Politecnico di Torino
Circa 10.000 nodi distribuiti su 17 sedi
10 in ambito metropolitano e 7 in ambito
regionale
Polito
Wi-Fi
Group
Vengono forniti servizi di
dati e fonia a più di 40
Strutture
Circa 35.000 utenti tra
personale e studenti
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Il Politecnico di Torino
L‘infrastruttura è di tipo routed
Organizzata con switch di livello 3 alla
frontiera di ogni struttura con un doppio
anello Gb di backbone (2+10 Gbps)
Routing a livello applicativo
Polito
Wi-Fi
Group
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
La rete del Politecnico
AREA 3
…
AREA 1
AREA 2
.
.
.
RING 1
(2Gbps)
.
.
.
AREA 0.0.0.0
RING 2
(1Gbps)
Ce.S.I.T.
SERVERFARM
(Other)
Polito
Wi-Fi
Group
SERVERFARM
(WEB)
INTERNET
Border Router
© Politecnico di Torino – M. Maggiora, C. Pacheco
Remote
Access
Remote
Site
Roma 16-18 novembre 2005
Perché una rete Wireless
Facilitare l’utilizzo delle risorse informative
Adattare l’accesso ai servizi informatici
secondo il nuovo modello didattico
Ampliamento virtuale degli spazi di lavoro per
personale e studenti
Supporto alla micromobilità
Polito
Wi-Fi
Group
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Il progetto “Polito-WiFi”
Il gruppo di lavoro del progetto “Polito Wi-Fi” è
costituito da personale dei Dipartimenti del Politecnico,
Operatori di Telecomunicazione, Istituti di Ricerca e
Compagnie ICT:
Polito
Wi-Fi
Group
Ce.S.I.T. – (Gruppo Reti) M. Maggiora (Coordinatore), C.
Pacheco, A. Lantieri
DAUIN (Control and Computer Engineering) - Antonio Lioy
DELEN (Electronics) - TLC Group - Fabio Neri
GESD (Student Support Services) - Enrico Venuto
ISMB (Istituto Superiore Mario Boella – Research Institute)
- Daniele Mazzocchi, Daniele Brevi
Telecom Italia - Marco Boasso
TiLAB – Supporto esterno
Cisco Systems – Supporto esterno
Hewlett-Packard – Supporto esterno
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Il progetto “Polito WiFi”
Gli obiettivi:
Polito
Wi-Fi
Group
Accesso WiFi sicuro
Architettura scalabile ed affidabile
Management integrato
Integrazione con la rete wired di Ateneo
Estensione a livello geografico
Utenti eterogenei
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Il progetto “Polito WiFi” Copertura
Wireless
Polito
Wi-Fi
Group
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Il progetto “Polito WiFi” Warchalking
Polito
Wi-Fi
Group
http://www.blackbeltjones.com/warchalking/index2.html
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Il modello “Polito WiFi“
Polito
Wi-Fi
Group
La Wireless Lan deve essere
considerata una estensione della rete
wired
Un nuovo modo di accesso ai servizi
non la sostituzione della rete wired
Particolare attenzione è stata posta ai
meccanismi di cross-authentication, alla
sicurezza e alla facilità d’uso
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Il modello “Polito WiFi“ Cross
Authentication
Sono stati presi accordi con altri istituti
ed enti di ricerca per estendere
virtualmente le aree “Polito WiFi” sul
territorio metropolitano:
Polito
Wi-Fi
Group
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Il modello “Polito WiFi“ EduRoam
Polito
Wi-Fi
Group
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Il modello “Polito WiFi“ Tipologie di
utenti
Studenti
Personale interno
Guest istituzionali
Guest
Anybody
Polito
Wi-Fi
Group
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Il modello “Polito WiFi“ Scalabilità
Polito
Wi-Fi
Group
Le soluzioni devono essere adattabili ad
un ambiente di tipo Campus/Enterprise
ma anche a livello di Branch Office
Anche il modello di sicurezza dovrà
poter scalare a secondo della criticità
dell’ambiente coperto e del profilo
dell’utente
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Architettura “Polito WiFi“
ap1X3.polito.it
CIS CO AIR ONET 1200
I W I RELESS AC CESS POI NT
1,10,11
Power injector
gi1/0/23
L3-A
gi1/0/25
apX31.polito.it
RESE T
SYST EM
STATUS
PWR M GM T
ACTIVE
1
DT E/D CE
WS- X6K -SUP 1A- 2GE
WLSE Engine
P OR T1
100%
1%
CO N SO LE
SU PER VIS OR 1
S WITCH LO AD
PCM CIA
EJ ECT
LI
PCM CIA
EJ ECT
LI
PO RT 2
NK
LI
NK
LI
NK
RESET
PWR M GM T
ACTIVE
SYSTEM
STATUS
DTE/DCE
WS- X6K -SUP 1A- 2GE
2
P OR T1
100%
1%
CO N SO LE
SU PER VIS OR 1
S WITCH LO AD
PO RT 2
NK
S witch must be in off "O" position to Install/R emove pow er supply.
Fastener must be fully enaged prior to oper atin g power supply.
L3-B
S witch must be in off " O" positio n to Install/Remove power supply.
Fastener must be fully en aged prior to oper ating powe r supply.
3
INPUT OK
4
wlse.polito.it
C ISC OA IRO NET 1200
I W IR ELESS ACCE SSP OIN T
INPUT OK
FAN O K
FAN OK
O UTPUT FAIL
O UTPUT FAIL
1,10,13
W S-X6516-G BIC
1
3
5
7
9
11
13
15
2
4
6
8
10
12
14
16
5
ST ATUS
LINK
LINK
1
16 PO RT GIGA BIT ETH ERN ET
LINK
2
LI NK
3
LIN K
LINK
LINK
4
5
LIN K
7
6
LINK
8
LINK
9
LIN K
10
LINK
11
LI NK
12
LINK
13
LINK
14
LIN K
15
INPU T
16
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
INPUT
1 00 -2 4 0 V~
12 -5 A
5 0/6 0 Hz
WS- X6516-GE -TX
10 0 -2 40 V~
1 2 -5 A
50 /6 0 Hz
1000A C
1000A C
16
WS -X4 515 S UP ERV IS OR E NGIN E I V
6
STA TUS
UPL IN K 1
1
2
gi 8/1
LINK
LINK
LIN K
LINK
LIN K
LIN K
LIN K
LIN K
LIN K
LIN K
LINK
27
28
29
30
31
32
33
34
LINK
LINK
LINK
UP LI NK 2
UT IL IZ AT I ON
CONSOL E
1 0/ 100
MGT
FL AS H
LINK
16 POR T 1000 BA SE- T GELINK
Catalyst
4506
1%
S TA TUS
LI NK
ACT IV E
L IN K
A CTI V E
1 00%
RES E T
EJ ECT
A CTI VE
L IN K
2
7
WS- X6548-RJ -45
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
35
36
37
38
39
40
41
42
43
44
45
46
47
48
1,10,13
3
8
CI SCO AI RON ET1200
I WI RELES SA CCESS PO INT
STA TUS
P HO N E
4
FAN
S TATUS
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
9
5
/2 5
g i0
1
3
5
7
9
11
13
15
17
19
21
23
2
4
6
8
10
12
14
16
18
20
22
24
6
FA N
STA TUS
INPUT
OK
CATALYST 3550 INLINE P OWE R
FA N OUTPUT
OK
F AIL
INPUT
OK
FAN
OK
ap3X2.polito.it
OUTPUT
FA IL
1
S YSTE M
RPS
STAT
UTIL
DUPLE X
SPEE D
LIN E PWR
CORE TRUNKs
2
fa0/24
fa0/11
fa0/1
L
T AL
INS N
RU
fa0/9
fa0/3
gi1/0/25
LL
TA
INS N
RU
L3-C
12
P ower Supp y
l 1
Power S upply 2
Catalyst 6500S E RIES
11
13
gi1/0/27
HP760
HP760
uplink
portale.polito.it
lin
up
fa0/1
sw-.polito.it
fa
portale2.polito.it
k
fa0/24
0 /3
1
3
5
7
9
11
13
15
17
19
21
23
2
4
6
8
10
12
14
16
18
20
22
24
CATALYST 3550 INLINE P OWE R
1
SY STEM
RP S
STA T
U TIL
DU PLEX
S PEED
LINE P WR
2
gi0/1
1000Base-T
fa0/12
gi0/1
1
3
5
7
9
11
2
4
6
8
10
12
13
15
17
19
21
23
14
16
18
20
22
24
CATALYST 3550 INLINE P OW E R
1
SY STEM
R PS
S TAT
U TIL
D UPLEX
S PEED
LIN E PWR
fa0/1
2
fa0/2
fa0/3
TRUNKs
1,10,12
1,10,11
VLAN 1 - GESTIONE WIFI
1,10,11
VLAN 10 - PEAP
C ISC OA IRO NET 1200
I W IR ELESS ACCE SSP OIN T
CI SCO AI RONE T1200
I WI RELES SAC CESS POI NT
CI SCO AI RON ET1200
Polito
Wi-Fi
Group
I WI RELES SA CCESS PO INT
VLAN 11 - WIFI-OPEN-1
apX11.polito.it apX12.polito.it ap2X1.polito.it
radius.polito.it
VLAN 12 - WIFI-OPEN-2
VLAN 13 - WIFI-OPEN-3
Cross-Authentication
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Captive Portal
Polito
Wi-Fi
Group
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Sicurezza
SICUREZZA
Modello di
Autent.
Open HTTPS
Browse
Based
Tunnel VPN
IPsec
802.1x PEAPMSCHAP
WPA
Polito
Wi-Fi
Group
802.1x
EAP/TLSWPA
Livello di Sicurezza (air)
Disp.
Autent.
Mutua
Prot.
Username
Prot.
Password
Prot.
Dati
Attività
Consigliabili
tutte le
aree
Password
Cliente
Certificato
Server
Alta
Alta
Nessuna
Navigare
Internet
Delega Sicurez.
Livello applic.
tutte le
aree
Password
Cliente
Certificato
Server
Alta
Alta
Alta
Come PC fisso
field test
Password
Cliente
Certificato
Server
Bassa
in client XP
Alta
Alta
Come PC fisso
lab. test
Certificato
Cliente
Certificato
Server
Bassa
Non
applicabile
Alta
Come PC fisso
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Sicurezza
Di norma sono tre le fase del processo
di autenticazione:
Autenticazione
Autorizzazione
Accounting
Processo definito AAA
Polito
Wi-Fi
Group
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Architettura Radius
Proxy radius
Backbone
Ateneo
Proxy radius
Altre Istituzioni
Internet
Internet
Central Proxy Radius
radius.polito.it
Radius per LDAP Studenti
Garr
Proxy radius
Polito
Wi-Fi
Group
LDAP Personale
LDAP Studenti
Edu-Roam
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Accesso VPN per il personale
VPN client
Destinazioni
esterne
al Polito (Internet) Traffico NON
protetto
Pc esterno alla
rete LAN Politecnico
Destinazioni interne
al Polito (rete LAN) Traffico protetto
Destinazioni interne
al Polito (rete LAN) Traffico protetto
Rete Internet
VPN
concentrator
Destinazioni
esterne
al Polito (Internet)
- Traffico NON
protetto
LAN Polito
IO
S
C
E
A
1
T
N
R
2
0
Polito
Wi-Fi
Group
E
IL
R
W
S
C
A
P
O
T
N
VPN client non abilitato
VPN client
Pc connesso alla
rete LAN Politecnico
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Accesso VPN per gli studenti
VPN
concentrator
Rete Internet
LAN Polito
IO
S
C
E
A
1
T
N
R
2
0
E
IL
R
W
S
C
A
P
O
T
N
Traffico NON
protetto
Tutte le destinazioni
Rete Wi-Fi
Traffico protetto
Polito
Wi-Fi
Group
VPN client non abilitato
VPN client
Pc connesso alla
rete LAN Politecnico
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Servizi Wireless
Internet
LAN wired Politecnico
Polito
Wi-Fi
Group
Campus Politecnico
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005
Portale informativo
http://wifi.polito.it
Polito
Wi-Fi
Group
© Politecnico di Torino – M. Maggiora, C. Pacheco
Roma 16-18 novembre 2005