• Autenticação 802.1x + Rede “Guest”
• Implementação de perfis diferentes para utilizadores autenticados por 802.1x
• Implementação de perfis diferentes para utilizadores autenticados por 802.1x utilizando filtros de nivel 4 OSI
• Implementação de um nível de segurança mais elevado através de túneis VPN
• Implementação de um acesso alternativo à Internet (via um ISP) para guests
• Interligações, diferentes formas de acesso, edificios remotos, etc...
• Síntese

Os diagramas seguintes, procuram ilustrar, passo por passo a solução sendo representados vários fluxos.
Cada diagrama é uma evolução sobre o anterior tendo sido suprimidos os fluxos iniciais apenas por uma questão de simplicidade dos mesmos e para garantir uma fácil compreensão da solução:

Autenticação 802.1x + Rede “Guest”
Neste diagrama é representado um utilizador com um determinado perfil e o seu acesso à rede através de autenticação 802.1x num servidor Radius (Radiator). Neste mesmo exemplo é garantido o acesso a um utilizador (eventualmente externo ou a alguém que acede à rede pela primeira vez) sem qualquer tipo de autenticação. Como o segundo utilizador (guest) acede à rede sem qualquer tipo de autenticação, o seu perfil é diferente e consequentemente os seus direitos também. No exemplo, este utilizador apenas tem acesso ao servidor Guest enquanto que o utilizador autenticado tem acesso a um servidor e à Internet. Isto é implementável através de filtros de L3 (IP dest) assignados ao perfil.
O Netsight Policy Manager é o gestor de perfis capaz de os exportar para a totalidade dos APs onde são gravados.

Implementação de perfis diferentes para utilizadores autenticados por 802.1x
Neste diagrama (que mantém as características do anterior) são representados vários
perfis de utilizadores com diferentes direitos a recursos igualmente diferentes. Todos os utlizadores se autenticam no mesmo servidor Radius (que por sua vez se liga de forma hierárquica com o Radiator central da FCCN) É indiferente o local onde se posicionam os recursos. No diagrama anterior estavam simplesmente colocados do lado da LAN. Contudo, pode ser pretendido o acesso a estes mesmos recursos através de utilizadores remotos (por VPN por exemplo). Neste caso foram reposicionados numa DMZ separada por um router com a função adicional de firewall que permite o estabelecimento de regras específicas no acesso a estes recursos.

Implementação de perfis diferentes para utilizadores autenticados por 802.1x utilizando filtros de nivel 4 OSI
Neste diagrama (que mantém as características do anterior) são adicionalmente
estabelecidos filtros de nivel 4 (pela porta UDP/TCP de destino, origem ou bi-direcional) para cada perfil de utilizadores. Por exemplo, pode-se considerar que um web server é acessivel para todos os utilizadores para tráfego http (porta 80) enquanto que apenas um perfil tem acesso via Telnet.

Implementação de um nível de segurança mais elevado através de túneis VPN
Neste diagrama (que mantém as características do anterior) é adicionalmente
considerado um nível suplementar de segurança.
Por exemplo, para as Instituições que mantém uma rede administrativa separada pode-se garantir a interligação a esta rede apenas para os utilizadores administrativos através de um servidor de túneis (que pode utilizar o mesmo Radius server)
Neste exemplo foi representado o acesso à RCCN e o acesso à Internet de forma
separada embora estas redes na maioria das situações sejam a mesma o que implica
que os dois routers / firewall também sejam o mesmo (acumulando as funções de
servidor de túneis)

Neste exemplo, o Radius foi por uma questão de segurança deslocado para a zona
mais segura da rede. Poderia ter sido deixado do lado de fora, mas como era obrigatória a travessia do firewall por fluxos de informação (uma vez que este Radiator está ligado ao Radiator central da FCCN). Isto pode ser garantido de forma segura deixando apenas abertos dois portos no firewall (normalmente o 1812 e eventualmente o 1813)

Implementação de um acesso alternativo à Internet (via um ISP) para guests
Neste diagrama (que mantém as características do anterior) é adicionalmente
considerado um acesso alternativo à Internet para os “guests” que poderão utilizar um ou mais ISPs para o efeito:

Interligações, diferentes formas de acesso, edificios remotos, etc...

Neste diagrama (que mantém as características do anterior) são considerados cenários adicionais como interligação com outros edificios (via wireless, WAN, VPN, etc...).
Foi ainda considerado o acesso remoto por parte de utilizadores (por exemplo,
professores ou alunos a partir de casa)
É ainda enfatizado o facto desta infra-estrutura não depender de VLANs o que permite a criação de uma VLAN wireless para cada zona para delimitar efectivamente dominios de broadcast (especialmente necessários quando há muitos APs ou quando existem pelo meio links de baixa velocidade)

Síntese
O diagrama seguinte constitui uma síntese dos cenários expostos anteriormente sendo um exemplo das várias regras a implementar para cada um dos perfis.