Podkast 22T1 Provisioning RAPa na kontrolerze [Konfiguracja]

WERSJA TEKSTOWA

Cześć, witam Cię w dzisiejszym odcinku, temat RAP na kontrolerach Aruby. Pierwsze wyjaśnienie – tryb RAP, dla tych, którzy nie mieli okazji się zapoznać, jest to tryb w oparciu o IPsec-a, czyli tunel szyfrowany pomiędzy punktem dostępowym a kontrolerem. Jest to scenariusz dostępny i wykorzystywany w sytuacji, kiedy zdalnie się łączymy punktem dostępowym do kontrolera i medium, przez które przechodzimy jest dla nas nie zaufane.

Jeśli chodzi o tego typu scenariusze, to najczęściej stosujemy je w zdalnych, małych lokalizacjach, gdzie potrzebujemy szybko ustawić naszą sieć WiFi korporacyjną. Tryb auto-provisioning-u (autoustawiania) jest najbardziej przydatny, w miejscach, gdzie mamy rozproszone środowisko i najczęściej różne osoby, często nie wykwalifikowane jakoś szczególnie, mają dokonać instalacji.

Tryb RAP bardzo dobrze łączy się z Activate-m, o którym mówiłem w poprzednim tygodniu. Jeśli chodzi o skierowanie tego punktu dostępowego, który nie ma żadnej konfiguracji, do właściwego adresu IP, do właściwego kontrolera, to mamy kilka możliwości. Jedna z nich jest to właśnie wykorzystanie Activate’a, gdzie ustawiamy adres IP publiczny, osiągalny z dowolnej lokalizacji do kontrolera, na kontrolerze natomiast ustawiamy white listę, czyli akceptujemy dany MAC Adress lub certyfikat, w którym jest MAC Adress danego punktu dostępowego. Możemy też automatycznie ustawić, do jakiej grupy konfiguracyjnej ma taki punkt dostępowy być podłączony. Dzięki temu cały proces, od podłączenia do zasilania – najczęściej do kabla Ethernet-owego, aż po rozgłaszanie sieci WiFi realizujemy automatycznie.

Jest pewne ograniczenie przy typie kontrolera, jeśli korzystamy z kontrolerów wirtualnych, dotyczy ono ograniczenia przy certyfikatach. Jeśli mamy kontroler bezprzewodowy w wydaniu Aruby, w wersji sprzętowej, to każdy kontroler obecnie dzisiaj dostępny ma TPM-a, w którym jest umieszczony fabryczny certyfikat (klucze prywatne do certyfikatu fabrycznego). W przypadku, gdy korzystamy z maszyny wirtualnej, niestety nie ma do niej gotowych certyfikatów i kluczy prywatnych. W związku z tym, nie możemy całkowicie automatycznie przeprowadzić takiego procesu.

Skupmy się na kontrolerach fizycznych, ponieważ są one najczęściej wykorzystywane do scenariuszy RAP-owych. Również z tego powodu, że fizyczne kontrolery mają akcelerację sprzętową dla IPsec-a. Oczywiście nie wszystkie modele, ale nie będę w to jakoś szczegółowo wnikał. Generalnie założenie jest takie, że do większości implementacji warto stosować sprzętowy kontroler, zwłaszcza, jeśli jest to brzeg, terminacja VPN-ów i dzięki temu zyskujemy automatyzację. Jeżeli mamy taki sprzętowy kontroler, to wystarczy tylko w naszym Activate zaznaczyć informację dotyczącą adresu IP i możemy się podłączyć do kontrolera. W kontrolerze natomiast już mamy odpowiednie parametry, czy ufamy certyfikatowi, czy mamy punkt dostępowy już wpisany na white liście i do jakiej grupy ma on być przypisany.

Cała reszta dzieje się już najczęściej automatycznie, tak samo jak w trybie CAP, czyli takim typowo LAN-owym trybie pracy punktów dostępowych, czyli mamy przypisany jakiś profil konfiguracyjny. Jeśli chodzi o alternatywne sposoby podłączenia RAP-a, to czasem jest też taka potrzeba w niektórych scenariuszach, np hoteli lub innych miejsc, gdzie jest Captive Portal. W trybie RAP można skonfigurować uwierzytelnianie, czyli możliwość wypełnienia formularza Captive Portalu, po to, żeby dostać dostęp do sieci internet. W takim przypadku jest to możliwe do zrobienia, pod warunkiem, że ta sieć jest dostarczana kablowo. Wyłącznie internet podłączony kablem do RAP-a ma możliwość wyświetlenia Captive Portalu np w hotelu. Umożliwia on podłączenie do naszego kontrolera zdalnego. To dla scenariuszy, gdzie pracownik jeździ z RAP-em i fizycznie ma takie urządzenie przy sobie. Dla scenariuszy, gdzie mamy do podłączenia kablowo drukarkę, ewentualnie telefon IP, są też dostępne wersje RAP-a, które mają kilka portów przewodowych i jeśli chcemy otworzyć takie małe biuro np z drukarką i siecią WiFi dla kilku pracowników, wtedy RAP się bardzo dobrze sprawdza. Jeśli są to placówki tymczasowe również świetnie się to sprawdza, ponieważ automatyczny proces konfiguracji, podłączania i potem odłączania, jeśli trzeba, jest bardzo prosty i można to wykonywać centralnie.

Jeżeli chodzi o temat RAP-ów to tyle na dziś, jeśli masz jakiś szczególny przypadek swojej architektury to możesz oczywiście do mnie napisać, postaram się odpowiedzieć na Twoje pytanie. W najbliższy poniedziałek możesz zobaczyć konfigurację. W tym odcinku będzie możliwość zobaczenia jak konfiguruje się tryb RAP-owy. Na dziś to tyle, do zobaczenia już za tydzień.