[Techinfo] Hálózati megosztás alhálózatok között

[Gyulai László]

2021.09.14. 11:33 keltezéssel, Karmacsi Gábor írta:
> Valóban ez is egy teljesen valid nézőpont, amit mérlegelni érdemes!
>
> A nagy szívfájdalmam, csak annyi, hogy itt van egy drágán kiépített 
> hálózat, ami nem sok mindenben támogatja az intézmény működését és 
> próbálnám valamire használni :)
>
> Nagyon örülök neki, hogy kiépítették a wifi hálózatot és minden 
> terembe felszereltek egy AP-t, amivel biztosított a lefedettség, de az 
> problémás, hogy alapesetben ezeken csak a GUEST_VENDEG és az eduroam 
> használható. Arra tök jó, ha érkezik valaki, akinek gyorsan internetet 
> kell biztosítanom, de az alap konfigurációban arra pl. már nem 
> használható, ha valaki jön vizsgáztatni akkor a saját gépéről már egy 
> hálózati nyomtatót is tudjon használni, vagy arra, hogy az intézmény 
> belső működését támogassa. Ahhoz viszont össze kéne nyitnom a 
> szegmenseket, amivel viszont az általad felvázolt probléma jön elő.
Az egész eduroam ezzel a céllal indult. Egyetemi oktatók, kutatók, 
diákok nemzetközi mozgása közben egységesen rendelkezésre álló internet 
elérés biztosítására.

Az meg már a döntéshozók szegénységi bizonyítványa, hogy egy deklaráltan 
nem erre való és világszinten nyilvános hálózatot próbálnak intézményi 
infrastruktúra fejlesztéseként kommunikálni a sajtó felé.
Ha ilyen cél lett volna, akkor azt nem az eduroam rendszeren belül 
kellene megoldani. Ez nem is engedélyezett az eduroam rendszer felől, 
komoly betartandó feltételek vannak egyébként az üzemeltetésre, ami ha 
nem teljesül, akkor az eduroam akár megvonja a jogosultságot! Ezért 
nincsenek a dashboard-on sem kint ezek a hackek (összenyitás, stb...).
Az más kérdés, hogy magát a kiépített hardvereket lehetne használni 
intézményi infrastruktúraként, kéne még egy ssid ami független az 
eduroam-tól, és akár helyi intézményi RADIUS/AD hitelesítéssel mehetne. 
Azt a VLAN-t már könnyebb szívvel lehetne összekötni a belső hálózattal, 
mert ott az intézmény adja a hozzáférést (az eduroam esetén meg a világ 
összes eduroam-hoz csatlakoztatott intézménye). Bár ezt nem tudom 
mennyire engedné az eduroam szerződés.
>
> Így viszont marad a régi felállás: párhuzamosan üzemel két wifi 
> hálózat. A sajátunk, ami tökéletesen működik több SSID-vel, megfelelő 
> korlátozásokkal, tanulói voucher-ekkel, bejelentkező portállal, de 
> aminél egy-egy helyen van holt tér (több AP-ra sajnos már nem kaptam 
> pénzt). És van a drága pénzen kiépített profi menedzselhető hálózat, 
> aminek tökéletes lefedettsége van, de nem tudok érdemben semmit 
> konfigurálni rajta (nem tudom menedzselni).
> A megoldás szerintem az lenne, amit a saját TP-Link Omada hálózatunk 
> is tökéletesen kezel: lehetne felvenni új SSID-t és be lehetne 
> állítani, hogy az egyes SSID-ken futó hálózatok közül melyik a 
> vendéghálózat és azokon VLAN-al szeparálná egymástól klienseket. De 
> ezt ugye nem tudom beállítani a Dashboardon, pedig az eszközök tudnák 
> kezelni...
Így van, pont ezt írtam az előbb. Lehet ha nem verték volna szét ott a 
szakértő gárdát, akkor már megcsinálták volna.
>
> Egyébként semmi "érzékeny" tartalom nincs megosztva és ami van az sem 
> úgy, hogy bárki hozzáférhet. Egyelőre egy terv csak, de ennek fényében 
> még mérlegelem.
Nem megosztásra gondoltam, hanem minden ami a hálózaton van.
Azért nem rakunk ki megosztást, mert ez is az egyik gyenge pontja a 
windowsnak. Egy kattintás törni, és ott az egész anyag ami a szervereken 
és/vagy gépeken van. Nem kell megosztanod, akkor is viszik vagy inkább 
lekódolják.
Az meg elég kellemetlen, mert ha csak egy napos az utolsó full 
biztonsági mentés, akkor is egy teljes napot pótolni kell.