Saltar para o conteúdo principal
Português

Atribuição Dinâmica de VLAN com RADIUS: Segmentar Utilizadores por Função

Este guia fornece uma visão técnica abrangente sobre a implementação da atribuição dinâmica de VLAN utilizando atributos RADIUS. Detalha como os espaços empresariais podem automatizar a segmentação de rede para colaboradores, convidados e dispositivos IoT para reforçar a segurança e reduzir a carga de configuração manual.

📖 5 min de leitura📝 1,035 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao Purple Technical Briefing. Sou o vosso anfitrião e hoje vamos mergulhar num tema de arquitetura crítico para operadores de múltiplos espaços: Atribuição Dinâmica de VLAN com RADIUS. Se gere redes em hotéis, cadeias de retalho ou grandes espaços públicos, conhece a dor da segmentação de rede manual. Tem dispositivos de colaboradores, dispositivos de convidados e um exército em constante crescimento de sensores IoT. Colocar todos numa rede plana é um pesadelo de segurança, mas atribuir manualmente VLANs estáticas por porta ou SSID não é escalável. É aí que entra o RADIUS. Ao tirar partido da autenticação 802.1X e dos atributos RADIUS, especificamente o Tunnel-Private-Group-ID, pode atribuir automaticamente utilizadores e dispositivos à VLAN correta no momento exato em que se autenticam. Vamos analisar o funcionamento técnico. Quando um dispositivo se associa a um ponto de acesso, inicia uma troca EAP. O autenticador — normalmente o seu AP ou switch — encaminha isto para o seu servidor RADIUS. Se as credenciais forem válidas, o servidor RADIUS envia de volta uma mensagem Access-Accept. Mas aqui está a magia: dentro desse pacote Access-Accept, configura o servidor RADIUS para incluir três atributos padrão IETF específicos. Primeiro, o Tunnel-Type definido como VLAN, que é o valor 13. Segundo, o Tunnel-Medium-Type definido como IEEE-802, valor 6. E terceiro, o Tunnel-Private-Group-ID, que contém a string real do ID da VLAN, como "10" para Colaboradores ou "20" para Convidados. Quando o ponto de acesso recebe isto, etiqueta dinamicamente o tráfego do utilizador com esse ID de VLAN. O resultado? Um único SSID pode servir de forma segura múltiplos grupos de utilizadores distintos, colocando-os em segmentos de rede isolados com as suas próprias regras de firewall e limites de largura de banda. Vamos falar sobre a implementação. Quer esteja a utilizar Cisco Catalyst, Aruba ClearPass ou Ubiquiti UniFi, os princípios fundamentais continuam a ser os mesmos, embora a sintaxe exata varie. Num cenário de hotelaria, por exemplo, um funcionário da receção inicia sessão e é colocado na VLAN segura de Colaboradores com acesso ao sistema de gestão de propriedade. Um convidado liga-se através do captive portal e é colocado numa VLAN de Convidados isolada com o isolamento de clientes ativado. Entretanto, os termóstatos inteligentes autenticam-se através de MAC Authentication Bypass, ou MAB, e são atribuídos a uma VLAN de IoT restrita que apenas consegue aceder a servidores de controlo específicos. Esta arquitetura não se resume à conveniência; trata-se de mitigação de riscos e conformidade. Se processa pagamentos, a norma PCI DSS exige uma segmentação estrita dos seus terminais de ponto de venda. As VLANs dinâmicas garantem que, mesmo que um dispositivo POS seja movido para uma porta diferente, este permanece segmentado de forma segura. Mas quais são as armadilhas? O modo de falha mais comum é a indisponibilidade do RADIUS. Se os seus pontos de acesso não conseguirem contactar o servidor RADIUS, os dispositivos não se conseguem autenticar. Deve configurar mecanismos de fallback. A maioria dos APs empresariais suporta uma definição de "VLAN crítica" ou "VLAN de fallback". Se o RADIUS expirar, o AP coloca o dispositivo numa VLAN restrita que talvez apenas permita o acesso à Internet, mantendo o negócio a funcionar sem comprometer a segurança interna. Outra armadilha é a nomenclatura inconsistente de VLANs entre locais. Se a VLAN 10 for "Colaboradores" no local A, mas "Convidados" no local B, a atribuição dinâmica causará o caos. Padronize os seus IDs de VLAN globalmente antes de implementar isto. Em resumo: A atribuição dinâmica de VLAN via RADIUS transforma o acesso à rede de uma tarefa manual numa política de segurança automatizada e escalável. Reduz a saturação de SSIDs, aplica o controlo de acesso baseado em funções e simplifica a conformidade. Obrigado por se juntar a este briefing técnico. Para análises mais aprofundadas sobre arquitetura de WiFi empresarial, consulte a secção de guias no website da Purple.

Resumo Executivo

header_image.png

Para operadores de múltiplos espaços, gerir a segmentação de rede manualmente é um estrangulamento operacional significativo. À medida que o número de dispositivos ligados aumenta nos ambientes de hotelaria, retalho e setor público, depender de configurações estáticas de VLAN por porta ou transmitir dezenas de SSIDs torna-se insustentável. Este guia explora como tirar partido da atribuição dinâmica de VLAN com RADIUS para segmentar automaticamente utilizadores e dispositivos por função no momento da autenticação. Ao transmitir atributos RADIUS específicos (como o Tunnel-Pvt-Group-ID), os arquitetos de rede podem atribuir dinamicamente os utilizadores à VLAN correta, aplicando políticas de segurança estritas, garantindo a conformidade com normas como a PCI DSS e reduzindo drasticamente a carga de trabalho manual de TI.

Análise Técnica Aprofundada

A atribuição dinâmica de VLAN baseia-se na norma IEEE 802.1X para controlo de acesso à rede baseado em portas, combinada com um servidor RADIUS (Remote Authentication Dial-In User Service) para gestão centralizada de autenticação, autorização e contabilização (AAA). Quando um dispositivo cliente tenta ligar-se à rede, o autenticador (normalmente um Ponto de Acesso sem fios ou um switch de rede) atua como intermediário, encaminhando as credenciais do cliente para o servidor RADIUS através do Extensible Authentication Protocol (EAP).

Se as credenciais forem válidas, o servidor RADIUS responde com uma mensagem Access-Accept. O mecanismo crítico para a atribuição dinâmica de VLAN é a inclusão de atributos RADIUS padrão IETF específicos dentro deste pacote Access-Accept. Os três atributos essenciais são:

  1. Tunnel-Type (Atributo 64): Deve ser definido como VLAN (valor 13).
  2. Tunnel-Medium-Type (Atributo 65): Deve ser definido como IEEE-802 (valor 6).
  3. Tunnel-Private-Group-ID (Atributo 81): Contém a string real do ID da VLAN (por exemplo, "10", "20", "Guest_VLAN").

Quando o autenticador recebe estes atributos, etiqueta dinamicamente o tráfego do utilizador com o ID de VLAN especificado, colocando-o no segmento de rede apropriado, independentemente da porta física ou do SSID ao qual se ligou.

radius_vlan_architecture.png

Esta arquitetura permite o controlo de acesso à rede baseado em funções. Um único SSID pode servir de forma segura múltiplos grupos de utilizadores distintos, colocando-os em segmentos de rede isolados com as suas próprias regras de firewall, limites de largura de banda e políticas de encaminhamento. Por exemplo, as soluções de Guest WiFi da Purple integram-se frequentemente com o RADIUS para garantir que os convidados são colocados numa VLAN isolada, protegendo os recursos internos.

Guia de Implementação

A implementação da atribuição dinâmica de VLAN requer configuração tanto no servidor RADIUS como na infraestrutura de rede (Pontos de Acesso ou Switches). Embora a sintaxe exata varie entre fabricantes (por exemplo, Cisco ISE, Aruba ClearPass, FreeRADIUS), os princípios fundamentais permanecem consistentes.

Passo 1: Configuração do Servidor RADIUS

Configure o seu servidor RADIUS para devolver os atributos necessários com base em grupos de utilizadores ou perfis de dispositivos. Por exemplo, pode criar políticas que definam:

  • Se Grupo de Utilizadores = "Colaboradores", devolver Tunnel-Private-Group-ID = "10".
  • Se Grupo de Utilizadores = "Contratados", devolver Tunnel-Private-Group-ID = "20".
  • Se Tipo de Dispositivo = "Sensor IoT" (via MAC Authentication Bypass), devolver Tunnel-Private-Group-ID = "30".

Passo 2: Configuração do Autenticador (Pontos de Acesso/Switches)

Configure os seus dispositivos de rede para consultar o servidor RADIUS e processar os atributos devolvidos. Isto envolve tipicamente:

  1. Definir o endereço IP do servidor RADIUS e o segredo partilhado.
  2. Ativar a autenticação 802.1X nos SSIDs ou portas de switch relevantes.
  3. Ativar a atribuição dinâmica de VLAN (por vezes chamada "AAA Override" ou "atribuição de VLAN por RADIUS").

Considerações Específicas do Fabricante

  • Cisco: Nos WLCs, garanta que o "AAA Override" está ativado na configuração da WLAN. Para switches, configure authentication port-control auto e dot1x pae authenticator.
  • Aruba: No ArubaOS, garanta que o perfil AAA tem o "RADIUS Server" configurado e que o grupo de servidores está definido para processar regras de servidor para derivação de VLAN.
  • Ubiquiti UniFi: Na aplicação UniFi Network, ative "RADIUS MAC Authentication" ou "WPA2/WPA3 Enterprise" e garanta que a opção "Enable RADIUS assigned VLAN" está selecionada nas definições de rede.

vlan_segmentation_comparison.png

Boas Práticas

Para garantir uma implementação robusta e escalável, adira às seguintes recomendações padrão do setor:

  1. Padronize os IDs de VLAN Globalmente: A nomenclatura inconsistente de VLANs entre locais é uma grande armadilha. Se a VLAN 10 for "Colaboradores" no local A, mas "Convidados" no local B, a atribuição dinâmica causará o caos. Estabeleça um esquema global de numeração de VLANs antes de implementar a atribuição dinâmica.
  2. Implemente Mecanismos de Fallback: A indisponibilidade do RADIUS é um modo de falha crítico. Configure uma "VLAN crítica" ou "VLAN de fallback" nos seus pontos de acesso. Se o servidor RADIUS estiver inacessível, o AP deve colocar o dispositivo numa VLAN restrita que talvez apenas permita o acesso à Internet, mantendo a conectividade sem comprometer a segurança interna.
  3. Utilize MAC Authentication Bypass (MAB) para Dispositivos Headless: Os dispositivos IoT, como Sensors ou termóstatos inteligentes, muitas vezes não conseguem realizar a autenticação 802.1X. Utilize o MAB para autenticar estes dispositivos com base no seu endereço MAC, atribuindo-os a uma VLAN de IoT restrita.
  4. Tire Partido da Análise de Dados: Utilize plataformas como o WiFi Analytics da Purple para monitorizar tendências de autenticação, identificar anomalias e otimizar o desempenho da rede com base em padrões de utilização baseados em funções.

Resolução de Problemas e Mitigação de Riscos

Ao implementar a atribuição dinâmica de VLAN, prepare-se para resolver problemas comuns:

  • Cliente Colocado na VLAN Predefinida: Isto ocorre geralmente se o servidor RADIUS falhar no envio dos atributos corretos, ou se o autenticador não estiver configurado para os processar (por exemplo, "AAA Override" desativado). Utilize capturas de pacotes para verificar o conteúdo da mensagem Access-Accept.
  • Timeouts de Autenticação: Se os dispositivos falharem a autenticação, verifique a conectividade de rede entre o autenticador e o servidor RADIUS. Verifique o segredo partilhado e garanta que o servidor RADIUS tem o autenticador configurado como um cliente válido.
  • Problemas de DHCP: Após um dispositivo ser atribuído dinamicamente a uma VLAN, este deve obter um endereço IP para essa sub-rede. Garanta que o servidor DHCP está corretamente configurado para todas as VLANs dinâmicas e que os endereços IP helper estão configurados, se necessário.

ROI e Impacto no Negócio

A implementação da atribuição dinâmica de VLAN proporciona um retorno do investimento significativo, reduzindo a sobrecarga de configuração manual e mitigando os riscos de segurança.

  • Eficiência Operacional: Elimina a necessidade de configurar manualmente VLANs estáticas por porta ou de transmitir múltiplos SSIDs para diferentes grupos de utilizadores, poupando horas de trabalho administrativo às equipas de TI.
  • Segurança Reforçada: Aplica um controlo de acesso rigoroso baseado em funções, garantindo que dispositivos comprometidos ou utilizadores não autorizados sejam isolados dos sistemas de negócio críticos. Isto é essencial para a conformidade com normas como o PCI DSS em ambientes de Retalho .
  • Experiência do Utilizador Melhorada: Proporciona uma experiência de autenticação fluida para colaboradores e convidados, uma vez que se podem ligar a um único SSID e receber automaticamente os privilégios de acesso à rede adequados.

Ouça o nosso podcast de briefing técnico para mais informações:

Para mais informações sobre como proteger a sua rede, consulte o nosso guia sobre Autenticação 802.1X: Proteger o Acesso à Rede em Dispositivos Modernos .

Definições Principais

Dynamic VLAN Assignment

O processo de atribuição automática de um dispositivo a uma Rede Local Virtual (VLAN) específica com base na sua identidade ou função durante a autenticação, em vez do seu ponto de ligação física.

Essencial para uma segmentação de rede escalável em ambientes empresariais, eliminando a necessidade de configuração manual de portas.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilização (AAA) para utilizadores que se ligam e utilizam um serviço de rede.

O motor central que avalia as credenciais e dita a política de rede, incluindo a atribuição de VLAN.

802.1X

Uma norma IEEE para Controlo de Acesso à Rede baseado em portas (PNAC), que fornece um mecanismo de autenticação para dispositivos que pretendem ligar-se a uma LAN ou WLAN.

A estrutura que permite aos dispositivos transmitir credenciais de forma segura para a infraestrutura de rede antes de obterem acesso.

Tunnel-Private-Group-ID

Atributo RADIUS 81, utilizado para especificar o ID da VLAN ou o nome da VLAN que o autenticador deve atribuir à sessão do utilizador.

O campo de dados específico na resposta RADIUS que dita o segmento de rede.

MAC Authentication Bypass (MAB)

Uma técnica utilizada para autenticar dispositivos que não suportam 802.1X (como impressoras ou sensores IoT), utilizando o seu endereço MAC como identidade.

Crucial para integrar dispositivos headless numa arquitetura de rede dinamicamente segmentada.

Authenticator

O dispositivo de rede (como um ponto de acesso sem fios ou switch) que facilita o processo de autenticação entre o cliente e o servidor RADIUS.

O dispositivo responsável por aplicar a política de atribuição de VLAN devolvida pelo servidor RADIUS.

Access-Accept

A mensagem RADIUS enviada ao autenticador indicando que as credenciais do utilizador são válidas e que o acesso deve ser concedido.

Este pacote transporta os atributos cruciais de atribuição de VLAN.

AAA Override

Uma definição de configuração em muitos autenticadores (como os WLCs da Cisco) que permite ao servidor RADIUS substituir a VLAN padrão ou a política configurada no dispositivo.

Deve estar ativado para que a atribuição dinâmica de VLAN funcione corretamente.

Exemplos Práticos

Um hotel de luxo com 500 quartos precisa de segmentar a sua rede para convidados, colaboradores e dispositivos IoT (termóstatos inteligentes e fechaduras eletrónicas). Atualmente, transmitem 5 SSIDs diferentes, o que causa uma interferência de canal partilhado significativa e confunde os convidados. Como pode a atribuição dinâmica de VLAN resolver isto?

O hotel deve consolidar para dois SSIDs: 'Hotel_Guest' (Aberto/Captive Portal) e 'Hotel_Secure' (802.1X). Para o 'Hotel_Secure', os colaboradores autenticam-se utilizando as suas credenciais corporativas. O servidor RADIUS verifica as credenciais no Active Directory e devolve Tunnel-Private-Group-ID = '10' (VLAN de Colaboradores). Para os dispositivos IoT, que não podem utilizar 802.1X, a rede utiliza MAC Authentication Bypass (MAB). O servidor RADIUS reconhece os endereços MAC dos termóstatos e fechaduras, devolvendo Tunnel-Private-Group-ID = '30' (VLAN de IoT). Os convidados ligam-se ao 'Hotel_Guest' e são colocados na VLAN 20 através de fluxos de trabalho padrão de captive portal, potencialmente integrados com as soluções de Hospitality da Purple.

Comentário do Examinador: Esta abordagem reduz drasticamente o excesso de SSIDs, melhorando o desempenho de RF. A utilização de MAB para dispositivos IoT é a solução padrão para clientes headless. O fator crítico de sucesso é garantir que o servidor RADIUS tem uma base de dados atualizada de endereços MAC de IoT.

Uma grande cadeia de retalho está a implementar terminais de ponto de venda (POS) em 50 localizações. Para cumprir a norma PCI DSS, estes terminais devem estar estritamente isolados das redes corporativa e de convidados. Como pode a atribuição dinâmica de VLAN garantir a conformidade mesmo que um terminal seja movido para uma porta diferente?

A equipa de TI configura os switches de rede para exigir autenticação 802.1X em todas as portas de acesso. Os terminais POS são configurados com certificados para autenticação EAP-TLS. Quando um terminal se liga a qualquer porta, autentica-se no servidor RADIUS. O servidor RADIUS verifica o certificado e devolve Tunnel-Private-Group-ID = '40' (VLAN PCI). O switch atribui dinamicamente a porta à VLAN 40, aplicando ACLs estritas que apenas permitem a comunicação com os gateways de processamento de pagamentos.

Comentário do Examinador: Este é um exemplo clássico da utilização de VLANs dinâmicas para conformidade. Ao associar a atribuição de VLAN à identidade do dispositivo (através de certificado) em vez de à porta física, a cadeia de retalho mantém a conformidade com a norma PCI DSS, independentemente de alterações, adições ou mudanças físicas.

Perguntas de Prática

Q1. Está a implementar a atribuição dinâmica de VLAN num campus universitário. O servidor RADIUS está a enviar com sucesso a mensagem Access-Accept com o Tunnel-Private-Group-ID definido como '50' para os membros do corpo docente. No entanto, os dispositivos dos docentes continuam a ser colocados na VLAN padrão (VLAN 1) configurada no SSID. Qual é a causa mais provável?

Dica: Verifique a configuração no ponto de acesso sem fios ou no controlador.

Ver resposta modelo

A causa mais provável é que o autenticador (o Wireless LAN Controller ou Ponto de Acesso) não tenha o 'AAA Override' (ou a definição equivalente, como 'Enable RADIUS assigned VLAN') ativado para esse SSID específico. Mesmo que o servidor RADIUS envie os atributos corretos, o autenticador irá ignorá-los e utilizará a configuração padrão, a menos que seja explicitamente instruído a processar atribuições dinâmicas.

Q2. Um hospital precisa de ligar centenas de novas bombas de infusão inteligentes à rede. Estes dispositivos não suportam suplicantes 802.1X. Como pode a equipa de TI garantir que estes dispositivos são automaticamente colocados numa VLAN de IoT clínica segura e isolada?

Dica: Considere como os dispositivos sem capacidades 802.1X podem ser identificados pela rede.

Ver resposta modelo

A equipa de TI deve implementar o MAC Authentication Bypass (MAB). Os endereços MAC de todas as bombas de infusão devem ser adicionados à base de dados do servidor RADIUS. Quando uma bomba se liga à rede, o switch ou AP utilizará o seu endereço MAC como identidade para autenticação. O servidor RADIUS reconhecerá o endereço MAC e devolverá uma mensagem Access-Accept contendo o Tunnel-Private-Group-ID para a VLAN de IoT clínica.

Q3. A sua rede empresarial depende fortemente da atribuição dinâmica de VLAN. Durante uma janela de manutenção agendada, os servidores RADIUS primário e secundário ficam temporariamente inacessíveis. Que configuração deve estar ativa para garantir que os dispositivos críticos para o negócio mantêm algum nível de conectividade?

Dica: Procure funcionalidades relacionadas com falhas de autenticação ou cenários de fallback no switch ou AP.

Ver resposta modelo

A infraestrutura de rede deve ser configurada com uma 'VLAN Crítica' ou 'VLAN de Fallback'. Quando o autenticador deteta que os servidores RADIUS estão inativos (inacessíveis), coloca automaticamente os dispositivos que se estão a ligar nesta VLAN Crítica pré-definida. Esta VLAN deve ter ACLs estritas aplicadas, talvez permitindo apenas o acesso à Internet ou o acesso a serviços de remediação essenciais, garantindo a conectividade básica sem expor a rede interna.

Continue a ler esta série

What is a Probe Request? Understanding How Devices Discover Networks

Este guia de referência técnica oferece uma análise aprofundada dos pedidos de sondagem IEEE 802.11, da varredura ativa versus passiva e do impacto da aleatorização de MAC na análise de locais. Apresenta estratégias de implementação acionáveis para arquitetos de rede otimizarem implementações de alta densidade, mitigarem tempestades de sondagem e garantirem a recolha de dados precisa e em conformidade com o GDPR, utilizando camadas de identidade autenticadas.

Ler o guia →

How to Fix Slow WiFi Without Upgrading Your Internet Plan

Um guia de referência técnica abrangente para gestores de TI e arquitetos de rede sobre como otimizar o desempenho de WiFi empresarial sem aumentar a largura de banda do ISP. Abrange a otimização de RF, gestão da densidade de clientes, implementação de QoS e como aproveitar a análise de WiFi para diagnosticar e resolver gargalos.

Ler o guia →

The Checklist for Migrating from Legacy NAC to Cloud-Native NAC

Este guia de referência técnica e autoritário fornece uma lista de verificação estruturada em três fases para migrar do Network Access Control (NAC) legado para uma arquitetura nativa da nuvem. Ele equipa gestores de TI e arquitetos de rede com estratégias acionáveis para gerir a integração de identidades, a paridade de políticas e a conformidade sem interromper as operações do local.

Ler o guia →