Escolar Documentos
Profissional Documentos
Cultura Documentos
11o experimento
Objetivos:
i) Usar VLANs dinmicas baseadas em usurio
ii) Criar uma rede com diferentes permisses de acesso de acordo com o usurio
Introduo
A norma IEEE 802.1x define o controle de acesso em nvel de enlace em uma LAN. Um
usurio ou equipamento deve primeiro se identificar frente rede para somente ento poder se
comunicar. Esse controle de acesso depende de trs componentes:
i) Cliente (supplicant): o equipamento que deseja usar a rede
ii) Autenticador: o equipamento da rede (switch ou AP) que faz o controle de acesso do
cliente.
iii) Servidor de autenticao: servio (usualmente RADIUS) que verifica as credenciais
fornecidas pelo cliente
O switch Dlink DES-3526 do laboratrio de Redes 1 tem suporte a IEEE 802.1x. Com ele se
pode fazer autenticao baseada em porta ou em endereo MAC. Cada porta do switch funciona
como um autenticador separado, o que possibilita que existam portas com controle de acesso
misturadas com portas sem controle de acesso. O switch recebe as credenciais fornecidas pelo
supplicant, e as repassa a um servidor de autenticao Radius. A figura 2 mostra uma configurao
possvel com esse switch.
Ilustrao 2: Rede com portas controladas com IEEE 802.1x e switch DES-3526
Alm da identificao do usurio para que ele possa ter acesso rede, possvel definir a
VLAN em que ele deve ser colocado (ver RFC 3580). Isto possibilita a definio de VLANs
dinmicas, e o acesso de um usurio a uma VLAN predefinida independente do ponto da rede que
ele utiliza. Por exemplo, em um mesmo computador no IFSC um professor cairia na VLAN dos
professores, com acesso a servidores especficos e certos tipos de trfego liberados, e um aluno
cairia na VLAN dos alunos. O switch DES-3526 suporta a definio de VLANs dinmicas desta
forma, bastando que o servidor de autenticao Radius informe a VLAN onde o usurio deve ser
colocado.
Roteiro