Conceptos básicos y funcionamiento de Hotspot

1-Conceptos básicos de Hotspot y gestión de las zonas de servicio

Antes de empezar con la configuración del equipo, tendremos que tener muy claro que es lo que queremos hacer y como lo vamos a hacer, para ello es necesario saber como funciona el sistema de Hotspot.

En la familia de 4ipnet, tenemos que conocer como mínimo 5 conceptos y las 2 formas de gestión de las zonas de servicio. Empezamos con la definición de los conceptos:

1.1-Definición de conceptos

1-Zonas de servicio: Son los segmentos de la red Wifi que vamos a tener, podemos tener hasta 8 zonas diferenciadas. Puede ser a nivel físico de puertos del Hotspot (cada puerto una zona) o bien a nivel de marcado VLAN, de manera que todos los puertos puedan gestionar cualquiera de las zonas de servicio (esta configuración requiere equipos intermedios que soporten VLAN). Cada una para un tipo de usuario que queramos diferenciar. Por ejemplo podemos tener 2 zonas, una para “invitados” y otra para los “empleados”.

2-Grupos de usuarios: Los grupos de usuarios son las propiedades de velocidades de acceso que van a tener los diferentes tipos de usuarios que vamos a tener. En la configuración de los grupos podremos definir los anchos de banda que vamos a asignar a ese tipo de usuario.

3-Políticas de usuarios: Son las propiedades de acceso que tienen los diferentes tipos de usuarios. En ella podremos crear reglas de Firewall, para permitir o denegar el acceso a otros segmentos de la red, podemos definir el horario al que se pueden conectar y definimos el número de conexiones concurrentes máximas que se aceptan de cada usuario. En resumen, podremos decir a que horas se pueden conectar, que no puedan acceder al resto de zonas ni redes y les limitaremos las conexiones concurrentes para controlar que no saturen el punto de acceso ni el sistema con aplicaciones tipo p2p (aunque no capa el p2p, solo limitamos las conexiones).

4-Planes de usuarios (Billing plans): Son los diferentes tipos de “bonos” que podemos crear para los usuarios invitados, que accedan a la zona de servicio habilitada para invitados. Los invitados utilizan la base de datos “On-demand” como método de autenticación, y los planes de usuarios se definen en esta base de datos. Hay diferentes tipos de planes para ofrecer servicios variados a los usuarios: acceso por tiempo, acceso por volumen de transferencia, establecer hora de check out (en caso de los hoteles).

5-Tipos de autenticación: La solución de 4ipnet, ofrece varios tipos de autenticación, en si son las bases de datos a las que consultará para generar los usuarios y validarlos. Entre las que tiene internas encontramos la autenticación “local” y la “on-demand”. La primera de ellas las utilizaremos para las cuentas de los empleados, y la de “on-demand” la utilizaremos para las cuentas de los invitados, ya que son las únicas a las que se les pueden aplicar los planes de usuario. A parte de estos 2 métodos, se puede utilizar un servidor Radius Externo, LDAP y POP3 para integrarlo con sistemas existentes en caso de haberlos. El tipo de autenticación se define en cada zona de servicio, una misma zona de servicio puede tener varios tipos de autenticación.

Se pueden combinar las políticas de usuario, con grupos de usuarios y zonas de servicio. Es decir un usuario puede tener una política en una zona de servicio, y este mismo usuario puede tener otra política distinta si se conecta a una segunda zona de servicio.

1.2-Formas de gestión de Zonas de Servicio

Los HotSpots de 4ipnet, permiten gestionar las zonas de servicio a nivel de puerto (físico) o a nivel de tags VLAN. En la siguiente imagen podemos ver de forma visual como trabajan y la topología que requiere cada una de ellas.

1.2.1- Basado en puertos (Port-Based)

Si se utiliza la configuración basada en puertos implica que cada puerto LAN del Hotspot gestiona una única zona de servicio. Pudiendo definir de forma independiente una zona o la misma zona (en caso de solo utilizar una) a todos los puertos LAN del HotSpot o una zona a cada puerto, según nos interese. Pero es necesario tener físicamente separadas las redes de cada zona de servicio, tal y como se puede ver en el esquema anterior. Por ejemplo, no podríamos compartir el cableado y poner dos puntos de acceso uno para “Empleados” y otro para “invitados” ya que físicamente irán conectados al mismo puerto del Hotspot por lo tanto se les aplicará la misma zona de servicio. En este caso, se tendría que realizar el cableado desde cada uno de los puertos del HotSpot a cada Punto de acceso. En caso de solo querer utilizar un único SSID, la configuración más idónea es la basada en puerto.

1.2.2- Basado en tags (Tag-based)

En la configuración basada en tags, el escenario cambia, ya que todos los puertos LAN del HotSpot gestionan todas las zonas de servicio, pero a nivel de TAG VLAN. En función del tag VLAN que recibe lo aplica a una zona de servicio o a otra, en caso de no existir ese tag VLAN definido en el HotSpot el paquete se descarta. Esto implica que podemos compartir el mismo cableado para todas las zonas de servicio, pero con el requisito de que es necesario utilizar puntos de acceso con marcado VLAN y que los switches intermedios entre el HotSpot y los puntos de acceso sean gestionables (gestionen VLANS) sino no funciona el escenario. En este modo de trabajo, si utilizamos puntos de acceso que permitan múltiple SSID con marcado VLAN, podemos utilizar un mismo punto de acceso para emitir 2 SSID’s diferentes y cada uno de ellos irá asociado a una zona de servicio del hotspot distinta. De manera que tanto “empleados” como “invitados” puedan acceder a la red a través de su zona de servicio.

1.2.3-¿Que modo escoger?

Pues depende básicamente de los requisitos que tengamos, si nos interesa tener una única zona de servicio y luego diferenciar a los usuarios por su grupo de usuario, o bien nos interesa tener varias zonas de servicio aisladas mediante VLANS o físicamente. A continuación podemos ver una misma instalación con los 2 tipos de configuración para que quede más claro.

2-Definición del proyecto

2.1-¿Qué es lo que queremos hacer?

Se quiere implementar un sistema de autenticación de usuarios (HotSpot) en una empresa que tiene varios empleados, y ofrece un servicio de Wifi a sus clientes cuando vienen a visitar sus instalaciones, e incluso lo tarificarán.

Para dotar de un mecanismo de control de acceso, se diferenciarán los 2 tipos de grupos de usuario, por un lado están los “Empleados” y por otro los “Invitados”. Cada uno de ellos tendrán unos privilegios, como por ejemplo los “Empleados” han de disponer de un ancho de banda superior y sin restricciones horarias, así como tener acceso a su red interna, mientras que los invitados solo han de poder acceder a Internet con una restricción de ancho de banda y horaria, así como tener el acceso denegado a la red interna de la empresa.

Los empleados se conectarán de forma cableada o bien a través de los puntos de acceso, conectándose a un SSID concreto al “WIFISAFE” en este caso, y los invitados se conectarán a un SSID que llamaremos “WAVION”.

Una vez tenemos claro lo que necesitamos, entonces podemos realizar la configuración del equipo pero para ello tendremos 2 posibilidades, hacer un diseño pensado para la gestión a nivel de TAG, o por lo contrario realizaremos una configuración para la gestión a nivel de PUERTOS, donde veremos las diferencias que implican uno y otro escenario.

2.1-Opción 1: basada en TAG

2.1.1-Zonas de servicio

Empezamos por definir las zonas de servicio, crearemos 3, y asignaremos el tipo de autenticación (concepto 5) para cada una de ellas:

  • Zona 1: Default (para gestión del equipo y dispositivos de la red)
  • Rango IP: 192.168.10.254
  • Marcado VLAN: No
  • SSID: No
  • Tipo autenticación: Local
  • Zona 2: Wavion (Para invitados)
  • Rango IP: 192.168.20.254
  • Marcado VLAN: 1111
  • SSID: Wavion
  • Encriptación: No, abierta
  • Tipo autenticación: On-demand
  • Zona 3: Wifisafe (Para empleados)
  • Rango IP: 192.168.30.254
  • Marcado VLAN: 2222
  • SSID: Wifisafe
  • Encriptación: Si, WPA2
  • Tipo autenticación: Local

2.1.2-Grupos de usuarios: Una vez tenemos definidos los parámetros básicos de las zonas de servicio, podemos definir los 2 grupos de usuarios que vamos a tener

Grupo 1: “Empleados”

Definiremos este grupo de usuario de manera que tengan un mayor ancho de banda respecto al resto de usuarios. En concreto para este caso ofreceremos 5Mbps de bajada y 1Mbps de subida, sin aplicar ningún limite al grupo.

Grupo 2: “Invitados”

Definiremos este grupo de usuario de manera que tengan un ancho de banda más restrictivo. En concreto para este caso ofreceremos 512Kbps de bajada y 128Kbps de subida, además limitaremos a que todo el grupo de usuarios Invitados como mucho consuman 2Mbps de bajada y 512Kbps de subida. Estas velocidades asignadas se tienen que calcular en función del ADSL que se tenga y los usuarios concurrentes que se esperan tener para no generar cuellos de botella ofreciendo más ancho de banda del que realmente tenemos de salida a Internet.

2.1.3-Políticas de usuarios: A continuación, definiremos las políticas de usuarios, en concreto crearemos 2.

  • Política 1: No aplicaremos ninguna restricción a nivel de firewall, de manera que los usuarios a las que se les aplique esta política tengan acceso a cualquier parte de la red. Se podrán conectar las 24h del día y además les asignaremos un máximo de 100 conexiones concurrentes.
  • Política 2: A diferencia de la política 1, en esta crearemos reglas en el Firewall para que los usuarios con esta política no puedan acceder al resto de zonas de servicio ni a elementos de la red interna. Se definirá que solo puedan conectarse de 09:00h a 19:00h, en horario comercial, así evitamos que fuera de horas de oficina tengamos a nadie conectado a nuestro hotspot, y por ultimo les limitaremos las conexiones concurrentes a 10, de manera que por mucho que intenten hacer uso de aplicaciones p2p lo hagan pero con esa limitación de conexiones, por lo tanto no nos saturará la red de conexiones.

2.1.4-Planes de usuarios (Billing plans): Y por último, crearemos los planes de usuarios. En este caso crearemos 2 con las siguientes características.

  • Plan 1: Crearemos un plan que ofrezca 1 hora de conexión, sin límite de transferencia de datos, pero con un ancho de banda aplicado por el grupo 2.
  • Plan 2: Crearemos un plan que ofrezca 8 horas de conexión, sin límite de transferencia de datos, pero con un ancho de banda aplicado por el grupo 2.

2.1.5-Configuración de los AP’s

Tendremos que configurar cada AP con 2 VAP’s, cada uno de ellos con las características que hemos definido en las zonas de servicio, han de coincidir los TAGS VLAN, sino no habrá comunicación entre los clientes y el Hotspot.

  • VAP1:
  • VAP2:
  • SSID: WAVION
  • TAG VLAN: 1111
  • Encriptación: Abierta
  • Client Isolation: Si
  • Limitación de Clientes Asociados: No
  • SSID: WIFISAFE
  • TAG VLAN: 2222
  • Encriptación: WPA2
  • Client Isolation: Si
  • Limitación de Clientes Asociados: Si, a 5.

Y si queremos verlo de forma esquemática, nuestro escenario basado en TAGS quedaría de la siguiente forma:

2.2-Opción 1: basada en PUERTOS

2.2.1-Zonas de servicio: Empezamos por definir las zonas de servicio, crearemos 3, y asignaremos el tipo de autenticación (concepto 5) para cada una de ellas y definiremos que puerto tiene asignada cada zona de servicio

  • Zona 1: Default (para gestión del equipo y dispositivos de la red)
  • Rango IP: 192.168.10.254
  • Marcado VLAN: No
  • SSID: No
  • Tipo autenticación: Local
  • Puerto LAN: 1
  • Zona 2: Wavion (Para invitados)
  • Rango IP: 192.168.20.254
  • Marcado VLAN: 1111
  • SSID: Wavion
  • Encriptación: No, abierta
  • Puerto LAN: 2
  • Zona 3: Wifisafe (Para empleados)
  • Rango IP: 192.168.30.254
  • Marcado VLAN: 2222
  • SSID: Wifisafe
  • Encriptación: Si, WPA2
  • Tipo autenticación: Local
  • Puerto LAN: 3

Esto implica que todo lo que se conecte al puerto 3 será gestionado como la zona de servicio de Empleados. Mientras que todo lo que se conecte al puerto 2 será gestionado como la zona de servicio de Invitados. Y Dejamos el puerto 1 para la gestión de los equipos.

El resto de configuración, tanto los grupos como las políticas serán las mismas que para la configuración basada en tags.

2.2.2-Grupos de usuarios: Una vez tenemos definidos los parámetros básicos de las zonas de servicio, podemos definir los 2 grupos de usuarios que vamos a tener

Grupo 1: “Empleados”

Definiremos este grupo de usuario de manera que tengan un mayor ancho de banda respecto al resto de usuarios. En concreto para este caso ofreceremos 5Mbps de bajada y 1Mbps de subida, sin aplicar ningún limite al grupo.

Grupo 2: “Invitados”

Definiremos este grupo de usuario de manera que tengan un ancho de banda más restrictivo. En concreto para este caso ofreceremos 512Kbps de bajada y 128Kbps de subida, además limitaremos a que todo el grupo de usuarios Invitados como mucho consuman 2Mbps de bajada y 512Kbps de subida. Estas velocidades asignadas se tienen que calcular en función del ADSL que se tenga y los usuarios concurrentes que se esperan tener para no generar cuellos de botella ofreciendo más ancho de banda del que realmente tenemos de salida a Internet.

2.2.3-Políticas de usuarios: A continuación, definiremos las políticas de usuarios, en concreto crearemos 2.

  • Política 1: No aplicaremos ninguna restricción a nivel de firewall, de manera que los usuarios a las que se les aplique esta política tengan acceso a cualquier parte de la red. Se podrán conectar las 24h del día y además les asignaremos un máximo de 100 conexiones concurrentes.
  • Política 2: A diferencia de la política 1, en esta crearemos reglas en el Firewall para que los usuarios con esta política no puedan acceder al resto de zonas de servicio ni a elementos de la red interna. Se definirá que solo puedan conectarse de 09:00h a 19:00h, en horario comercial, así evitamos que fuera de horas de oficina tengamos a nadie conectado a nuestro hotspot, y por ultimo les limitaremos las conexiones concurrentes a 10, de manera que por mucho que intenten hacer uso de aplicaciones p2p lo hagan pero con esa limitación de conexiones, por lo tanto no nos saturará la red de conexiones

2.2.4-Planes de usuarios (Billing plans): Y por último, crearemos los planes de usuarios. En este caso crearemos 2 con las siguientes características.

  • Plan 1: Crearemos un plan que ofrezca 1 hora de conexión, sin límite de transferencia de datos, pero con un ancho de banda aplicado por el grupo 2.
  • Plan 2: Crearemos un plan que ofrezca 8 horas de conexión, sin límite de transferencia de datos, pero con un ancho de banda aplicado por el grupo 2.

2.2.5-Configuración de los AP’s

Tendremos que configurar cada AP con un único SSID y esté irá conectado al puerto LAN del HotSpot que le corresponda. Todos los AP’s que se configuren para dar cobertura Wifi a los “Invitados” deberán ir conectados a los puertos LAN 2 del HotSpot. Los AP’s que se configuren para dar cobertura a los “Empleados” deberán ir conectados al puerto LAN 3 del HotSpot. Los switches intermedios entre los puertos LAN y los AP’s son normales, no tienen porque ser gestionables.

  • AP’s para Invitados (EAP110 y OWL500)
  • AP’s para Empleados (EAP700)
  • SSID: WAVION
  • Encriptación: Abierta
  • Client Isolation: Si
  • Limitación de Clientes Asociados: No
  • SSID: WIFISAFE
  • Encriptación: WPA2
  • Client Isolation: Si
  • Limitación de Clientes Asociados: Si, a 5.

Y si queremos verlo de forma esquemática, nuestro escenario basado en TAGS quedaría de la siguiente forma: