Università degli Studi di Parma UNIPR WiFi La rete WiFi dell Università di Parma Andrea Barontini Settore Innovazione Tecnologie Informatiche Servizio Gestione e Controllo Accessi in Rete - SITI-CAR ( andrea.barontini@unipr.it / siti-car@unipr.it ) - -
Origine rete Tesi di laurea Ingegneria/CCE 2005 Commissione WiFi di Ateneo progetto Un C@ppuccino per un PC Sperimentazione CCE / LCA Dipartimento di Fisica Q3 2007 inizio installazioni su larga scala 2010 completamento 2/ 23
Copertura: aree 1/7 3/ 23
Copertura: aree 2/7 Circa 300 Access-Point (Aprile 2010) Aree coperte Campus via Langhirano Archivio Storico Centrale Tecnologica Campus: zona ingresso e limitrofe Centro Interdipartimentale Misure (CIM) Centro S.Elisabetta Chimica Edificio Polifunzionale Campus ("la Torre") Farmacia Fisica Ingegneria (didattica e scientifica) Matematica Plesso Biologico Scienze Ambientali (Cascina Ambolana) Scienze della Terra 4/ 23
Copertura: aree 3/7 Biblioteca di medicina Dipartimento di Lingue (Palazzo delle Carrozze) Palazzo della Pilotta Sede piazzale Barezzi Plesso Borgo Carissimi Plesso via Volturno Plesso via d Azeglio / via Kennedy Aule Giurisprudenza (magna, filosofi, consiglio) Campus di via del Taglio (Veterinaria) Ospedale di Parma Progetto in divenire a completa gestione AO 5/ 23
Copertura: aree 4/7 Presidio di infrastruttura: Paradigna Orto Botanico via Farini Plesso di S. Francesco (ex carceri) Posizionamento antenne Consulenza Marconi Labs Mappe di copertura EM (esistente con interferenti e indicazioni di posizionamento) Criteri di ragionevolezza + collaborazione tecnici locali + eventuali correttivi 6/ 23
Copertura: aree 5/7 Identificazione zone coperte Cartelli Ricerca SSID UNIPR tramite interfaccia wireless del computer 7/ 23
Copertura: & utenti 6/7 Utilizzo rete WiFi subordinato al riconoscimento di credenziali: posta elettronica di Ateneo e relativa password @unipr.it @studenti.unipr.it @ssispr.unipr.it @nemo.unipr.it account convegni e credenziali EDUROAM 8/ 23
Copertura: & utenti 7/7 Utenti interni potenziali: circa 2000 dipendenti circa 35000 studenti Possibilità di limitare banda, luogo e orario di accesso per categorie di utenti Strutturati: 7/7, 24/24 Studenti: Lunedì-Sabato, 7:00-20:00 Altri: Lunedì-Sabato, 7:00-20:00 Utilizzo Aprile 2010: Nell arco della giornata, circa 300 400 utenze contemporanee 9/ 23
Architettura & dispositivi 1/7 VLAN 200x VLAN 1 indirizzamento IP: 42.x.y.z/30 indirizzamento IP: 160.78.x.y/24-172.28.x.y/24 NAPT DL UL (160.78) AP AP PC AP PC PC Switch L2 Switch L2 DL DL M. Controllo UL Switch L3 di plesso Rete Metropolitana UNIPR SITI Server di Controllo Internet Plesso n Radius LDAP Server Credenziali 10 / 23
Architettura & dispositivi 2/7 Base dati credenziali OpenLDAP Autenticazione e autorizzazione backend per Web-Services di Ateneo FreeRadius frontend per LDAP + credenziali temporanee rete Accounting Risponde anche PEAPv0 / EAP-MSCHAPv2 Certificato X.509 di tipo Server Authentication 11 / 23
Architettura & dispositivi 3/7 Access Point HP 420 802.11 b/g (max throughput: 54Mbps), POE, gestibile via seriale e da remoto (https e ssh) 12 / 23
Architettura & dispositivi 4/7 Accesso operator a disposizione dei tecnici locali in alternativa Access Point HP MSM310/320 13 / 23
Architettura & dispositivi 5/7 Switch L2 HP 2626 POE 24 porte 10/100 Mbps + 2 porte 1Gbps (TX o FX) Di solito prime porte riservate AP in alternativa Switch L2 HP 2610 POE 14 / 23
Architettura & dispositivi 6/7 Switch L3 HP 5304/08 + Modulo ACM 15 / 23
Architettura & dispositivi 7/7 HP Access Control Server 745wl 2, installati presso il SITI in configurazione ridondata e coperti da contratto di manutenzione Utilizzano server di autenticazione (LDAP/Radius) per controllare tramite profili d uso i moduli ACM 16 / 23
Supporto: http://wifi.unipr.it Il Progetto News Collegarsi Ospiti Aree coperte Domande Misc Disclaimer EDUROAM 17 / 23
Accesso: via Web 1/5 Associarsi SSID UNIPR no wep key Aprire il browser: leggere news! immettere credenziali Navigare non solo web 18 / 23
Accesso: via Web 2/5 Una tantum: Installare nel browser il certificato http://www.cce.unipr.it/ca/cce.cacert Verificare che il browser non abbia impostato alcun server proxy Pro: Semplice da usare Non richiede alcuna particolare configurazione Contro: Tratta radio in chiaro (sicurezza risiede nei protocolli) 19 / 23
Accesso: WPA 3/5 Wi-Fi Protected Access SSID UNIPR-WPA (nascosto) Accesso protetto da crittografia TKIP e/o AES Pro: Immissione delle credenzali una-tantum (no via Web) Tratta radio protetta Semplifica l accesso con smartphone, palmari, Contro: Configurazione complessa Requisiti minimi software dispositivi Supporto solo tramite sito: http://wifi.unipr.it/wpa.html 20 / 23
Accesso: EDUROAM 4/5 Estende il riconoscimento credenziali di UNIPR-WPA e mette l infrastruttura a disposizione della federazione: Utenti altri enti EDUROAM riconosciuti da UNIPR WiFi UNIPR WiFi come EDUROAM Service Provider Utenti UNIPR WiFi riconosciuti negli altri enti EDUROAM UNIPR WiFi come EDUROAM Identity Provider 21 / 23
Accesso: EDUROAM 5/5 Estende UNIPR-WPA tramite concatenazione server Radius Pro: Pro di UNIPR-WPA Può snellire le procedure di assegnazione credenziali Estende virtualmente la copertura delle singole reti WiFi Contro: Contro di UNIPR-WPA SLA possono differire significativamente da ente a ente Autenticazione: filiera lunga e sotto controllo distribuito No procedura generale di verifica funzionamento pre-spostamento 22 / 23
Gestione Ospiti quantità ospiti molte unità poche unità Conferenze EDUROAM Account temporanei legacy (non solo connettività) permanenza poco tempo molto tempo 23 / 23