Vai al contenuto principale
Italiano

Assegnazione dinamica della VLAN con RADIUS: segmentazione degli utenti per ruolo

Questa guida fornisce una panoramica tecnica completa sull'implementazione dell'assegnazione dinamica della VLAN tramite gli attributi RADIUS. Dettaglia come le sedi aziendali possono automatizzare la segmentazione della rete per il personale, gli ospiti e i dispositivi IoT per migliorare la sicurezza e ridurre i costi di configurazione manuale.

📖 5 minuti di lettura📝 1,035 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuti al Technical Briefing di Purple. Sono il vostro ospite e oggi approfondiremo un tema architetturale fondamentale per i gestori di location multi-sito: l'Assegnazione Dinamica delle VLAN con RADIUS. Se gestite reti in hotel, catene retail o grandi spazi pubblici, conoscete bene la complessità della segmentazione manuale della rete. Vi trovate a gestire dispositivi del personale, dispositivi degli ospiti e un numero sempre crescente di sensori IoT. Inserirli tutti in una rete piatta è un incubo per la sicurezza, ma l'assegnazione manuale di VLAN statiche per porta o SSID non è scalabile. È qui che entra in gioco RADIUS. Sfruttando l'autenticazione 802.1X e gli attributi RADIUS, in particolare Tunnel-Private-Group-ID, è possibile assegnare automaticamente utenti e dispositivi alla VLAN corretta nell'esatto momento in cui si autenticano. Analizziamo i meccanismi tecnici. Quando un dispositivo si associa a un access point, avvia uno scambio EAP. L'autenticatore, solitamente l'AP o lo switch, lo inoltra al server RADIUS. Se le credenziali sono valide, il server RADIUS invia un messaggio di Access-Accept. Ma il bello viene ora: all'interno di quel pacchetto Access-Accept, configurate il server RADIUS in modo che includa tre attributi standard IETF specifici. Primo, Tunnel-Type impostato su VLAN, che corrisponde al valore 13. Secondo, Tunnel-Medium-Type impostato su IEEE-802, valore 6. E terzo, Tunnel-Private-Group-ID, che contiene la stringa dell'ID VLAN effettivo, come "10" per il personale o "20" per gli ospiti. Quando l'access point riceve queste informazioni, tagga dinamicamente il traffico dell'utente con quell'ID VLAN. Il risultato? Un singolo SSID può servire in modo sicuro più gruppi di utenti distinti, inserendoli in segmenti di rete isolati con le proprie regole di firewall e limiti di larghezza di banda. Parliamo ora dell'implementazione. Che utilizziate Cisco Catalyst, Aruba ClearPass o Ubiquiti UniFi, i principi fondamentali rimangono gli stessi, anche se la sintassi esatta varia. In uno scenario hospitality, ad esempio, un addetto alla reception effettua l'accesso e viene inserito nella VLAN protetta del personale con accesso al sistema di gestione della struttura. Un ospite si connette tramite il Captive Portal e viene inserito in una VLAN Guest isolata con l'isolamento dei client abilitato. Nel frattempo, i termostati intelligenti si autenticano tramite MAC Authentication Bypass, o MAB, e vengono assegnati a una VLAN IoT protetta che può raggiungere solo server di controllo specifici. Questa architettura non riguarda solo la praticità; riguarda la mitigazione del rischio e la conformità. Se elaborate pagamenti, lo standard PCI DSS richiede una segmentazione rigorosa dei terminali POS. Le VLAN dinamiche garantiscono che, anche se un dispositivo POS viene spostato su una porta diversa, rimanga segmentato in modo sicuro. Ma quali sono le insidie? La modalità di errore più comune è l'indisponibilità di RADIUS. Se i tuoi access point non riescono a raggiungere il server RADIUS, i dispositivi non possono autenticarsi. È necessario configurare meccanismi di fallback. La maggior parte degli AP aziendali supporta un'impostazione di "VLAN critica" o "VLAN di fallback". Se il RADIUS va in timeout, l'AP sposta il dispositivo in una VLAN limitata che magari consente solo l'accesso a internet, mantenendo attiva l'attività senza compromettere la sicurezza interna. Un'altra insidia è l'incoerenza dei nomi delle VLAN tra le diverse sedi. Se la VLAN 10 è "Staff" nella sede A ma "Guest" nella sede B, l'assegnazione dinamica causerà il caos. Standardizza gli ID delle VLAN a livello globale prima di implementare questa soluzione. In sintesi: l'assegnazione dinamica delle VLAN tramite RADIUS trasforma l'accesso alla rete da un'attività manuale a una politica di sicurezza automatizzata e scalabile. Riduce il sovraccarico di SSID, applica il controllo degli accessi basato sui ruoli e semplifica la conformità. Grazie per aver partecipato a questo briefing tecnico. Per ulteriori approfondimenti sull'architettura WiFi aziendale, consulta la sezione delle guide sul sito web di Purple.

Executive Summary

header_image.png

Per gli operatori multi-sede, la gestione manuale della segmentazione di rete rappresenta un collo di bottiglia operativo significativo. Con la crescita del numero di dispositivi connessi nei settori dell'ospitalità, del retail e del settore pubblico, affidarsi a configurazioni VLAN statiche per porta o trasmettere decine di SSID diventa insostenibile. Questa guida esplora come sfruttare l'assegnazione dinamica delle VLAN con RADIUS per segmentare automaticamente utenti e dispositivi in base al ruolo al momento dell'autenticazione. Passando attributi RADIUS specifici (come Tunnel-Pvt-Group-ID), gli architetti di rete possono assegnare dinamicamente gli utenti alla VLAN corretta, applicando rigide policy di sicurezza, garantendo la conformità a standard come PCI DSS e riducendo drasticamente il sovraccarico IT manuale.

Technical Deep-Dive

L'assegnazione dinamica delle VLAN si basa sullo standard IEEE 802.1X per il controllo dell'accesso alla rete basato su porta, combinato con un server RADIUS (Remote Authentication Dial-In User Service) per l'autenticazione, l'autorizzazione e la contabilità (AAA) centralizzate. Quando un dispositivo client tenta di connettersi alla rete, l'autenticatore (in genere un Access Point Wireless o uno switch di rete) funge da intermediario, inoltrando le credenziali del client al server RADIUS tramite l'Extensible Authentication Protocol (EAP).

Se le credenziali sono valide, il server RADIUS risponde con un messaggio di Access-Accept. Il meccanismo fondamentale per l'assegnazione dinamica delle VLAN è l'inclusione di specifici attributi RADIUS standard IETF all'interno di questo pacchetto Access-Accept. I tre attributi essenziali sono:

  1. Tunnel-Type (Attribute 64): Deve essere impostato su VLAN (valore 13).
  2. Tunnel-Medium-Type (Attribute 65): Deve essere impostato su IEEE-802 (valore 6).
  3. Tunnel-Private-Group-ID (Attribute 81): Contiene l'ID effettivo della VLAN (es. "10", "20", "Guest_VLAN").

Quando l'autenticatore riceve questi attributi, tagga dinamicamente il traffico dell'utente con l'ID VLAN specificato, inserendolo nel segmento di rete appropriato indipendentemente dalla porta fisica o dall'SSID a cui si è connesso.

radius_vlan_architecture.png

Questa architettura consente un controllo dell'accesso alla rete basato sui ruoli. Un singolo SSID può servire in modo sicuro più gruppi di utenti distinti, inserendoli in segmenti di rete isolati con le proprie regole di firewall, limiti di larghezza di banda e policy di routing. Ad esempio, le soluzioni Guest WiFi di Purple si integrano spesso con RADIUS per garantire che gli ospiti siano collocati su una VLAN isolata, proteggendo le risorse interne.

Implementation Guide

L'implementazione dell'assegnazione dinamica della VLAN richiede la configurazione sia sul server RADIUS che sull'infrastruttura di rete (Access Point o Switch). Sebbene la sintassi esatta vari a seconda del fornitore (ad es. Cisco ISE, Aruba ClearPass, FreeRADIUS), i principi fondamentali rimangono gli stessi.

Passaggio 1: Configurazione del server RADIUS

Configura il tuo server RADIUS per restituire gli attributi richiesti in base ai gruppi di utenti o ai profili dei dispositivi. Ad esempio, potresti creare criteri che stabiliscono:

  • Se Gruppo utenti = "Staff", restituisci Tunnel-Private-Group-ID = "10".
  • Se Gruppo utenti = "Contractors", restituisci Tunnel-Private-Group-ID = "20".
  • Se Tipo di dispositivo = "IoT Sensor" (tramite MAC Authentication Bypass), restituisci Tunnel-Private-Group-ID = "30".

Passaggio 2: Configurazione dell'autenticatore (Access Point/Switch)

Configura i tuoi dispositivi di rete per interrogare il server RADIUS e processed gli attributi restituiti. Questo in genere comporta:

  1. La definizione dell'indirizzo IP del server RADIUS e della chiave segreta condivisa (shared secret).
  2. L'abilitazione dell'autenticazione 802.1X sugli SSID o sulle porte dello switch interessati.
  3. L'abilitazione dell'assegnazione dinamica della VLAN (talvolta chiamata "AAA Override" o "RADIUS VLAN assignment").

Considerazioni specifiche del fornitore

  • Cisco: Sui WLC, assicurati che "AAA Override" sia abilitato nella configurazione WLAN. Per gli switch, configura authentication port-control auto e dot1x pae authenticator.
  • Aruba: In ArubaOS, assicurati che il profilo AAA abbia il "RADIUS Server" configurato e che il gruppo di server sia impostato per elaborare le regole del server per la derivazione della VLAN.
  • Ubiquiti UniFi: Nell'applicazione UniFi Network, abilita "RADIUS MAC Authentication" o "WPA2/WPA3 Enterprise" e assicurati che "Enable RADIUS assigned VLAN" sia selezionato nelle impostazioni di rete.

vlan_segmentation_comparison.png

Best Practice

Per garantire un'implementazione robusta e scalabile, attieniti alle seguenti raccomandazioni standard del settore:

  1. Standardizzare gli ID VLAN a livello globale: Una denominazione incoerente delle VLAN tra i vari siti rappresenta un grave errore. Se la VLAN 10 è "Staff" nel sito A ma "Guest" nel sito B, l'assegnazione dinamica causerà il caos. Stabilisci uno schema di numerazione globale delle VLAN prima di implementare l'assegnazione dinamica.
  2. Implementare meccanismi di fallback: L'indisponibilità di RADIUS è una modalità di guasto critica. Configura una "VLAN critica" o una "VLAN di fallback" sui tuoi access point. Se il server RADIUS non è raggiungibile, l'AP dovrebbe inserire il dispositivo in una VLAN limitata che consenta solo l'accesso a Internet, mantenendo la connettività senza compromettere la sicurezza interna.
  3. Utilizzare il MAC Authentication Bypass (MAB) per i dispositivi headless: I dispositivi IoT come i Sensors o i termostati intelligenti spesso non possono eseguire l'autenticazione 802.1X. Utilizza il MAB per autenticare questi dispositivi in base al loro indirizzo MAC, assegnandoli a una VLAN IoT protetta.
  4. Sfrutta gli Analytics: Utilizza piattaforme come WiFi Analytics di Purple per monitorare i trend di autenticazione, identificare anomalie e ottimizzare le prestazioni della rete in base ai pattern di utilizzo basati sui ruoli.

Risoluzione dei Problemi e Mitigazione dei Rischi

Quando si implementa l'assegnazione dinamica della VLAN, preparati a risolvere i problemi più comuni:

  • Client inserito nella VLAN predefinita: Questo si verifica solitamente se il server RADIUS non riesce a inviare gli attributi corretti o se l'autenticatore non è configurato per elaborarli (ad esempio, "AAA Override" è disabilitato). Utilizza l'acquisizione dei pacchetti per verificare il contenuto del messaggio Access-Accept.
  • Timeout di autenticazione: Se i dispositivi non riescono a autenticarsi, verifica la connettività di rete tra l'autenticatore e il server RADIUS. Verifica il segreto condiviso e assicurati che il server RADIUS abbia l'autenticatore configurato come client valido.
  • Problemi DHCP: Dopo che un dispositivo è stato assegnato dinamicamente a una VLAN, deve ottenere un indirizzo IP per quella sottorete. Assicurati che il server DHCP sia configurato correttamente per tutte le VLAN dinamiche e che gli indirizzi IP helper siano attivi, se necessario.

ROI e Impatto Aziendale

L'implementazione dell'assegnazione dinamica della VLAN offre un ritorno sull'investimento significativo, riducendo i costi di configurazione manuale e mitigando i rischi di sicurezza.

  • Efficienza Operativa: Elimina la necessità di configurare manualmente le VLAN statiche per porta o di trasmettere più SSID per diversi gruppi di utenti, risparmiando ai team IT ore di lavoro amministrativo.
  • Sicurezza Avanzata: Applica un rigoroso controllo degli accessi basato sui ruoli, garantendo che i dispositivi compromessi o gli utenti non autorizzati siano isolati dai sistemi aziendali critici. Questo è essenziale per la conformità a standard come PCI DSS negli ambienti Retail .
  • Migliore Esperienza Utente: Offre un'esperienza di autenticazione fluida per il personale e gli ospiti, in quanto possono connettersi a un singolo SSID e ricevere automaticamente i privilegi di accesso alla rete appropriati.

Ascolta il nostro podcast di briefing tecnico per ulteriori approfondimenti:

Per ulteriori informazioni sulla sicurezza della tua rete, consulta la nostra guida su Autenticazione 802.1X: Proteggere l'Accesso alla Rete sui Dispositivi Moderni .

Definizioni chiave

Assegnazione VLAN Dinamica

Il processo di assegnazione automatica di un dispositivo a una specifica Virtual Local Area Network (VLAN) in base alla sua identità o al suo ruolo durante l'autenticazione, anziché al suo punto di connessione fisica.

Essenziale per la segmentazione scalabile della rete in ambienti enterprise, eliminando la necessità di configurazione manuale delle porte.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce una gestione centralizzata di Autenticazione, Autorizzazione e Contabilità (AAA) per gli utenti che si connettono e utilizzano un servizio di rete.

Il motore centrale che valuta le credenziali e detta la policy di rete, inclusa l'assegnazione della VLAN.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta (PNAC), che fornisce un meccanismo di autenticazione ai dispositivi che desiderano collegarsi a una LAN o WLAN.

Il framework che consente ai dispositivi di trasmettere in modo sicuro le credenziali all'infrastruttura di rete prima di ottenere l'accesso.

Tunnel-Private-Group-ID

L'attributo RADIUS 81, utilizzato per specificare l'ID VLAN o il nome VLAN che l'autenticatore deve assegnare alla sessione dell'utente.

Il campo dati specifico nella risposta RADIUS che determina il segmento di rete.

MAC Authentication Bypass (MAB)

Una tecnica utilizzata per autenticare i dispositivi che non supportano lo standard 802.1X (come stampanti o sensori IoT) utilizzando il loro indirizzo MAC come identità.

Cruciale per l'integrazione di dispositivi headless in un'architettura di rete segmentata dinamicamente.

Autenticatore

Il dispositivo di rete (come un access point wireless o uno switch) che facilita il processo di autenticazione tra il client e il server RADIUS.

Il dispositivo responsabile dell'applicazione della policy di assegnazione della VLAN restituita dal server RADIUS.

Access-Accept

Il messaggio RADIUS inviato all'autenticatore per indicare che le credenziali dell'utente sono valide e che l'accesso deve essere consentito.

Questo pacchetto trasporta gli attributi cruciali per l'assegnazione della VLAN.

AAA Override

Un'impostazione di configurazione su molti autenticatori (come i WLC Cisco) che consente al server RADIUS di ignorare la VLAN predefinita o la policy configurata sul dispositivo.

Deve essere abilitato affinché l'assegnazione dinamica della VLAN funzioni correttamente.

Esempi pratici

Un hotel di lusso con 500 camere deve segmentare la propria rete per ospiti, personale e dispositivi IoT (termostati intelligenti e serrature elettroniche). Attualmente trasmettono 5 diversi SSID, causando una significativa interferenza co-canale e confondendo gli ospiti. In che modo l'assegnazione dinamica della VLAN può risolvere questo problema?

L'hotel dovrebbe consolidare la rete in due soli SSID: 'Hotel_Guest' (Open/Captive Portal) e 'Hotel_Secure' (802.1X). Per 'Hotel_Secure', il personale si autentica utilizzando le proprie credenziali aziendali. Il server RADIUS verifica le credenziali rispetto ad Active Directory e restituisce Tunnel-Private-Group-ID = '10' (VLAN del personale). Per i dispositivi IoT, che non possono utilizzare l'802.1X, la rete utilizza il MAC Authentication Bypass (MAB). Il server RADIUS riconosce gli indirizzi MAC dei termostati e delle serrature, restituendo Tunnel-Private-Group-ID = '30' (VLAN IoT). Gli ospiti si connettono a 'Hotel_Guest' e vengono inseriti nella VLAN 20 tramite i flussi di lavoro standard del Captive Portal, potenzialmente integrati con le soluzioni Hospitality di Purple.

Commento dell'esaminatore: Questo approccio riduce drasticamente il sovraccarico degli SSID, migliorando le prestazioni RF. L'uso del MAB per i dispositivi IoT è la soluzione standard per i client headless. Il fattore critico di successo consiste nel garantire che il server RADIUS disponga di un database aggiornato degli indirizzi MAC dei dispositivi IoT.

Una grande catena di vendita al dettaglio sta distribuendo terminali POS (point-of-sale) in 50 sedi. Per essere conformi allo standard PCI DSS, questi terminali devono essere rigorosamente isolati dalle reti aziendali e degli ospiti. In che modo l'assegnazione dinamica della VLAN può garantire la conformità anche se un terminale viene spostato su una porta diversa?

Il team IT configura gli switch di rete per richiedere l'autenticazione 802.1X su tutte le porte edge. I terminali POS sono configurati con certificati per l'autenticazione EAP-TLS. Quando un terminale si connette a una qualsiasi porta, si autentica con il server RADIUS. Il server RADIUS verifica il certificato e restituisce Tunnel-Private-Group-ID = '40' (VLAN PCI). Lo switch assegna dinamicamente la porta alla VLAN 40, applicando ACL rigorose che consentono solo la comunicazione con i gateway di elaborazione dei pagamenti.

Commento dell'esaminatore: Questo è un esempio da manuale di utilizzo delle VLAN dinamiche per la conformità. Legando l'assegnazione della VLAN all'identità del dispositivo (tramite certificato) anziché alla porta fisica, la catena di vendita al dettaglio mantiene la conformità PCI DSS indipendentemente da spostamenti fisici, aggiunte o modifiche.

Domande di esercitazione

Q1. Si sta implementando l'assegnazione dinamica della VLAN in un campus universitario. Il server RADIUS invia correttamente il messaggio Access-Accept con Tunnel-Private-Group-ID impostato su '50' per i membri della facoltà. Tuttavia, i dispositivi dei docenti vengono ancora inseriti nella VLAN predefinica (VLAN 1) configurata sull'SSID. Qual è la causa più probabile?

Suggerimento: Verificare la configurazione sull'access point wireless o sul controller.

Visualizza risposta modello

La causa più probabile è che l'autenticatore (il Wireless LAN Controller o l'Access Point) non abbia l'opzione 'AAA Override' (o l'impostazione equivalente, come 'Abilita VLAN assegnata da RADIUS') abilitata per quel specifico SSID. Anche se il server RADIUS invia gli attributi corretti, l'autenticatore li ignorerà e utilizzerà la configurazione predefinita a meno che non venga esplicitamente istruito a elaborare le assegnazioni dinamiche.

Q2. Un ospedale deve connettere alla rete centinaia di nuove pompe di infusione intelligenti. Questi dispositivi non supportano i supplicant 802.1X. In che modo il team IT può garantire che questi dispositivi vengano inseriti automaticamente in una VLAN IoT clinica sicura e isolata?

Suggerimento: Considerare come i dispositivi privi di funzionalità 802.1X possano essere identificati dalla rete.

Visualizza risposta modello

Il team IT dovrebbe implementare il MAC Authentication Bypass (MAB). Gli indirizzi MAC di tutte le pompe di infusione devono essere aggiunti al database del server RADIUS. Quando una pompa si connette alla rete, lo switch o l'AP utilizzerà il suo indirizzo MAC come identità per l'autenticazione. Il server RADIUS riconoscerà l'indirizzo MAC e restituirà un messaggio Access-Accept contenente il Tunnel-Private-Group-ID per la VLAN IoT clinica.

Q3. La rete aziendale si affida fortemente all'assegnazione dinamica della VLAN. Durante una finestra di manutenzione programmata, i server RADIUS primario e secondario diventano temporaneamente irraggiungibili. Quale configurazione deve essere attiva per garantire che i dispositivi critici per il business mantengano un certo livello di connettività?

Suggerimento: Cercare funzionalità relative al fallimento dell'autenticazione o a scenari di fallback sullo switch o sull'AP.

Visualizza risposta modello

L'infrastruttura di rete deve essere configurata con una 'Critical VLAN' o 'Fallback VLAN'. Quando l'autenticatore rileva che i server RADIUS sono inattivi (irraggiungibili), inserisce automaticamente i dispositivi che si connettono in questa Critical VLAN predefinita. A questa VLAN dovrebbero essere applicate ACL restrittive, consentendo forse solo l'accesso a Internet o l'accesso a servizi di remediation essenziali, garantendo la connettività di base senza esporre la rete interna.

Continua a leggere questa serie

Hotel Guest WiFi Management: Integrating PMS, Portals, and Brand Standards

Questa guida tecnica descrive in dettaglio come progettare reti WiFi per hotel di livello enterprise, concentrandosi sulla segmentazione VLAN, sull'integrazione PMS per la gestione automatizzata delle sessioni e sull'ottimizzazione del Captive Portal per l'acquisizione di dati conforme al GDPR.

Leggi la guida →

Come configurare il Guest WiFi: una guida alla configurazione aziendale sicura

Questa guida autorevole fornisce ai leader IT e agli architetti di rete un modello definitivo per implementare un Guest WiFi aziendale sicuro. Copre l'architettura essenziale, la migrazione a WPA3, la segmentazione VLAN e l'integrazione del Captive Portal per proteggere i sistemi interni acquisendo al contempo dati di prima parte conformi.

Leggi la guida →

Gestione della larghezza di banda per il WiFi del personale: Shaping, QoS e riduzione del traffico

Questa guida illustra metodi pratici per gestire la larghezza di banda per il WiFi del personale nelle sedi aziendali. Copre il traffic shaping, l'implementazione del QoS e come l'implementazione di Purple Shield riduca il carico di rete senza richiedere aggiornamenti dell'infrastruttura.

Leggi la guida →