Projeto Aruba Série 200 – IAP
Veja http://eduroam.webhostusp.sti.usp.br/configuracoes-de-infraestrutura/aruba
No escopo do projeto USPnet Sem Fio 2.0, executado em 2016 pela STI-USP, foram adquiridos através de registro de preço (L8666) Pontos de Acesso (Access Poins) do fabricante ARUBA vencedor do certame (modelos abaixo), licenciados para utilização do software de gerência Airwave.
IAP-205 (MIMO 2×2) – Indoor – antenas embutidas
IAP-204 (MIMO 2×2) – Indoor – antenas aparentes
IAP-215 (MIMO 3×3) – Indoor – antenas embutidas
IAP-275 (MIMO 3×3) – Outdoor
As especificações técnicas do edital exigiram funcionalidades modernas, gerenciamento centralizado e garantia de desempenho e disponibilidade. A opção do modelo distribuído está baseada na granularidade, escalabilidade e alta disponibilidade que esse tipo de solução estabelece dentro da estratégia de mobilidade adota pela STI/USP (autonomia de configuração das Unidades). E, no contexto da atual política de mobilidade a configuração de referência foi reformulada com o propósito de fazer melhor uso dos recursos adquiridos.
O SSID (rede) eduroam deve atender a todo o público que possui vínculo com a USP, usando a senha única do USPdigital, ou qualquer outra instituição federada ao eduroam. O mapa do eduroam mostra as instituições federadas e locais aonde é possível usar a rede WiFi eduroam.
Rede USPnet Sem-Fio: em processo de descontinuidade.
Rede GUEST: autonomia das Unidades para implementação e controle, através de estrutura de NAT e DHCP próprias em seus ativos de rede ou através da solução ARUBA, inclusive com a possibilidade de login através do Facebook. Para a rede Guest recomendamos implementar regras de firewall mais rigorosas junto com o uso uma terceira vlan/subrede distinta para os clientes.
pfSenses: autonomia para as unidades da USP manterem sua administração através de recursos humanos e infraestrutura próprios, sem depender da STI-USP.
Algumas sugestões de implementação são descritas abaixo, ambas com no mínimo 2 (duas) VLANs/Subredes distintas provisionadas nos uplinks dos Pontos de Acesso, uma para o gerenciamento e a outra para os clientes eduroam:
- NAT e DHCP dos clientes eduroam em ativos externos ao Ponto de Acesso.
- Neste modo deve-se preparar:
- um NAT para a vlan/rede de gerenciamento de APs, caso os APs usem ips inválidos para gerenciamento;
- um NAT/DHCP para vlan/subrede dos clientes do eduroam. Naturalmente, o mesmo ativo de rede pode oferecer o NAT nas duas vlans/subredes.
- Neste modo deve-se preparar:
- NAT e DHCP dos clientes eduroam administrados através da Virtual Controller do cluster de Pontos de Acesso.
- Neste modo, prepara-se somente o NAT para a vlan/rede de gerenciamento de APs, caso os APs usem ips inválidos para gerenciamento. O resto e resolvido por configurações do IAP Aruba.
Na tabela abaixo cada linha representa um número de vlan diferente com uma respectiva subrede distinta.
| Vlan/Subrede | NAT | DHCP | Firewall |
| Virtual Controller (Y)/ IP válido Unidade |
NÃO. Virtual Controller IAP (Dynamic Proxy Radius enable) |
NÃO. |
Liberar bidirecional UDP 1812 e 1813 com servidores radius eduroam USP. bloquear o resto |
| Gerência APs (119)/ 172.19.0.0/16 |
SIM. |
OPCIONAL. |
Liberar bidirecional UDP 1812 e 1813 com servidores radius eduroam USP. bloquear o resto |
| SSID eduroam (115)/ 172.20.0.0/16 |
SIM. |
SIM. |
Filtrar |
| SSID Guest (121)/ 172.21.0.0/16 |
SIM. |
SIM. |
Filtrar rigorosamente |
| SSID Admin-Service (telefones sem fio, smart TVs, impressoras, etc) (122)/ 172.22.0.0/16 |
SIM. |
SIM. |
Liberar |
Abaixo podemos observar uma sequencia instruções e de captura de telas de configuração sugeridas.
Supondo que você vai oferecer todos os SSIDs listados acima, é necessário estender as vlans Y, 115, 119, 121 e 122 nos swicthes que ligam os seus APs e a solução de NAT/DHCP.
Recomendamos que a porta do switch em que o AP está conectado seja configurada da seguinte forma:
- Modo híbrido/general
- Vlan 119 (untag)
- Vlans Y, 115, 121 e 122 (tag)