Foro en Español

Reply
New Contributor

DISEÑO RAP SPLIT TUNNEL

Buenas a todos,

 

Tengo una duda de diseño para un cliente y no consigo definir del todo una solución de Aruba para las necesidades del cliente.

 

Tenemos 3 sedes:

  • Sede A: Controladora + RAPs (AP-305) + Servidor dhcp local + Firewall local
  • Sede B: Controladora + RAPs (AP-305) + Servidor dhcp local + Firewall local
  • Sede C: RAPs (AP-305) (Su controladora está en la Sede B) + Servidor dhcp local + Firewall local

 

En las 3 sedes, los equipos(controladora, aps, server dhcp) se encuentran en diferentes vlans y el routing entre ellas se centraliza en el firewall de cada sede.

 

-       Necesidades / solución:

 

  • Cada RAP recibe su IP del servidor dhcp local de su sede, en él se indica la IP de su controladora.
  • Una vez se provisiona el RAP se conecta con la controladora de su sede + LMS backup hacia la controladora de otra sede.

 ====Hasta aqui todo OK =======

 

  • 2 SSIDs por sede: Corporativo (802.1X clearpass radius) + Invitados (Clearpass captive portal guest provision)

El único tráfico que debe ir tunelizado es el de 802.1X y el de management, por lo que el bridge mode sería perfecto sino fuese por el tema del portal cautivo que no es compatible con bridge mode.

 

El usuario debe conectarse al SSID y el dhcp debe realizarse en local por la vlan a la que quiere acceder. El primer nivel 3 (interfaz del Firewall) hace un dhcp relay y manda la peticion al servidor local de la sede, quien le da el direccionamiento.

 

El tráfico de los usuarios debe quedarse en local (en la sede) y rutarse hacia la interfaz L3 correspondiente del firewall (a la puerta de enlace que le haya dado el dchp), SIN NAT. Cada firewall tiene su salida independiente. Una vez el tráfico llegue al firewall, se aplican reglas RSSO con el accounting que le llega través de clearpass / RADIUS. Todo el trafico se logea en un analyzer que muestra las IPs de los usuarios wifi y en caso de los corporativos también el usuario autenticado (proporcionado por el accounting).

 

¿Hay algún modo de despliegue que pueda cumplir con todas las necesidades o debemos bien prescindir del portal o bien del local traffic?

SSID CORPORATIVO 802.1X + SSID INVITADOS PORTAL GUEST + RAPS + SPLIT-TUNNEL(only tunnle mgmt traffic and 802.1X) + DCHP LOCAL(RELAY L3) + FIREWALL FORTINET INTEGRATION

 

¿Cómo deben configurarse los puertos de los RAPs para funcionar correctamente?

Supongo que para split-tunnel deban ir en modo access.

 

Estamos intentando algo así:

De momento un ssid sin autenticación, en abierto.

2 VAPs Corp y Guest, en modo split-tunnel con su vlan correspondiente  + rules AAA:

user any any route -> sin source nat ->de modo que todo el tráfico se quede en la sede. -> Con esta action route sin src nat... ¿El tráfico realiza algún tipo de nat?

 

Si no metemos:

any any service dhcp permit 

No conseguimos obtener dhcp en local.

 

En las sedes que tienen controladora local no habría mucho problema en tunelizar el dhcp, pero en una sede sin controladora que termina en una sede remota...¿Tendría que estar el dhcp obligatoriamente en la sede remota al utilizar split -tunneling?

 

 

 Tengo un poco de lío con el tema, espero haberme explicado correctamente.

 

Muchas gracias de antemano a todos.

Saludos,

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: