Os vários perfis podem ser associados às aplicações da seguinte forma:

Este modelo, deverá garantir as funcionalidades necessárias:
- Default role – Acessivel à generalidade dos utilizadores (Poderão ser assignados a este perfil as seguintes aplicações:
· Newsgroups
· WWW
Assim, todos os utilizadores que possuam o SSID e a chave terão direito a este tipo de tráfego, mesmo que não se autentiquem. Esta facilidade é particularmente útil, já que permitirá evitar a autenticação aos seguintes perfis:
- Convidados
- Público

Caso sejam utilizados na ligação dos AP, swiches com multiuser authentication 802.1x, aí será ainda possível estabelecer regras distintas para a mesma aplicação a utilizadores distintos:

Exemplo: em vez de negar o tráfego FTP a todos os perfis (com excepção dos
professores), será possível o seguinte:

- Tráfego FTP na default role (a todos os utilizadores que não se autentiquem) –
Possível, mas com traffic shaping (limitando-o a por exemplo 100Kbps)

- Tráfego FTP para os restantes perfis (após autenticação) – limitado por traffic
shaping a 500Kbps

- Tráfego FTP para os professores – limitado por traffic shaping a 1Mbps (mesmo
neste caso, aplicações como FTP devem sempre ser limitadas por haver o risco de
induzirem fortes congestionamentos num meio onde a largura de banda é escassa)
Por outro lado verifica-se que algumas das aplicações são críticas do ponto de vista da segurança. Dada a existência de serviços desta natureza é recomendável considerar a rede wireless como um ambiente com um nível de segurança limitado e nessa circunstância estabelecer uma fronteira clara para a rede interna. Assim, os serviços considerados “não criticos” do ponto de vista da segurança poderão ser colocados nesta WDMZ ficando todos os serviços “criticos” no lado da rede interna. A fronteira entre estes dois níveis pode ser assegurada pelos seguintes equipamentos (ou um único que que cumulativamente desempenhe as seguintes funções):

- Routing (podendo este mesmo equipamento assegurar conectividade remota, à
Internet por exemplo)

- Firewall (com statefull inspection)

- Servidor de VPNs (capaz de terminar simultaneamente um número de túneis
adequado às necessidades e mantendo capacidade de crescimento)

- IDS – Sistema de detecção de Intrusão
Diagramas funcionais (possiveis)

Dada as diferentes possibilidades em termos de configuração, pode ser seguida a
politica de colocação de alguns recursos disponíveis na WDMZ embora para tal fosse interessante dispor da capacidade de autenticação neste nível por forma a filtrar acessos. Os túneis oriundos da Internet e os túneis wireless podem ser tratados de forma diferenciada ou através do mesmo servidor de túneis:


Poderão os túneis ser terminados em múltiplas localizações ou caso não sejam
disponibilizados serviços nos edificios remotos pode ser implementada uma
configuração um pouco mais ligeira:

Resumo:

Acess points:
Roamabout R2, dotados de uma carta PCMCIA 802.11b, modular (passível de ser
substituida por uma carta 802.11g) e com a possibilidade de admitir conetividade
simultânea 802.11a

A facilidade em implementar simultaneamente os dois standards garante uma largura
de banda significativamente superior já que:
- São conhecidas as limitações de cobertura do 802.11a
- Por outro lado, o 802.11g foi já ratificado (no dia 13 de junho) sendo garantida a sua retrocompatibilidade com 802.11b

Nessa circunstância, o upgrade da carta a implementar nesta fase por uma outra com
802,11g garante as funcionalidades actuais e o funcionamento a 54Mbps. A adição de uma carta 802.11a permite (num raio de cobertura mais pequeno, mas numa
frequência completamente diferente) outros 54Mbps. Isto permite uma largura de
banda de 108Mbps por AP (ou seja, +66% do que numa combinação de 802.11b + 11a ou 11g)

Servidor de túneis, Firewall, e router
X-Pedition Security Router (XSR) com o número de portas adequado (já que o mesmo pode ser utilizado para as ligações remotas e na ligação à Internet) a assegurando o número de túneis indispensável

IDS
O sistema de detecção de Intrusão poderá ser integrado no router ou objecto de uma configuração separada, através de sondas (NIDS) ou agentes (HIDS) instalados nos servidores.

Switching
Esta componente pode assegurar meramente conectividade, ou ir um pouco mais
longe garantindo a autenticação dos utilizadores wireless o que permite features
adicionais como (traficc shaping por utilizador / aplicação)
O dimensionamento destes equipamentos (configuração, quantidade e tipo) depende
de vários factores:

PENDENTES

- Dispersão da rede existente para ligação dos APs
- Eventual implementação de UPNs (o que supõe um nível de funcionalidades superior,
mas também a adição de alguns equipamentos de switching com capacidade de
autenticação multiuser 802.1x para ligação dos APs).
- Quantidade de túneis a assegurar simultaneamente
- Configuração da WDMZ e tipo de serviços a disponibilizar em cada uma das áreas.