17. 5.
2015
Zvýšenie počtu IPv4 adries pre sieť eduroam a zrýchlenie autentizácie v sieti wlan_fi pomocou prehliadača Safari.
Každý semester zaznamenávame zvýšenie počtu pripojených zariadení k bezdrôtovým sieťam, pričom v sieti eduroam (bývalá sieť eduroam-fi) je ich počet v priemere o 10 percent vyšší ako v sieti wlan_fi. Počas tohto semestra došlo u bezdrôtovej siete eduroam v niekoľkých prípadoch k vyčerpaniu IPv4 adries prideľovaných DHCP, čo spôsobilo nedostupnosť siete jednotkám klientov. Minulý mesiac sme preto navýšili počet IPv4 adries na takmer dvojnásobok. Aktuálny počet IPv4 adries alokovaných pre bezdrôtovú sieť wlan_fi je 382 a pre eduroam 474, čo nám vo výsledku umožňuje prideliť až 856 IPv4 adries. U bezdrôtovej siete wlan_fi prideľujeme aj IPv6 adresy, ktorých počet nie je prakticky obmedzený. Minulý rok sme takto navýšili počet IPv4 adries pre sieť wlan_fi a o samotnej zmene ste sa mohli dočítať v tomto príspevku. U bezdrôtovej sieti eduroam sa teda zmenil adresný rozsah z 147.251.44.0/24 na 147.251.44.0/23. U siete wlan_fi ostal adresný rozsah nezmenený, čiže 147.251.46.0/23.
Ďalším dôvodom pre zvýšenie počtu IPv4 adries u sieti eduroam sú nielen každoročne sa konajúce konfrencie z oblasti IT, ale najmä zvýšenie počtu zariadení, ktoré sú schopné využívať protokol 802.1X - RADIUS autentizácia na sieti eduroam.
Grafy denného priemeru pripojených bezdrôtových používateľov v roku 2015
Grafy nižšie zobrazujú koľko zariadení bolo v priemere za 24 hodín v roku 2015 pripojených k sieťam wlan_fi a eduroam. Pre lepšiu predstavu je možné uvažovať tak, že hodnota 20 v grafe je ekvivalent napr. 20 ľudí pripojených počas doby 24 hodín alebo 60 ľudí pripojených po dobu 8 hodín v danom dni.
wlan_fi
eduroam
Autentizácia na wlan_fi cez Safari
Ďalším vylepšením, ktoré sme pripravili, je zrýchlenie autentizácie v sieti wlan_fi pomocou prehliadača Safari, čo je zaujímavé predovšetkým pre používateľov zariadení od Apple.
Zaznamenali sme, že minimálne u niektorých verzií Safari sa prehliadač pokúša pred prístupom na autentizačnú stránku http://wifi.fi.muni.cz (ktorá je presmerovaná na https://fadmin.fi.muni.cz/auth/sit/wireless/login2.mpl s HTTPS) o kontrolu SSL certifikátu na vonkajších serveroch (OCSP a CRL). Avšak komunikácia s Internetom v sieti wlan_fi je bez autenizácie zakázaná, a teda prístup je odmietnutý.
Narozdiel od ostatných prehliadačov je však táto kontrola v Safari implementovaná nie úplne vhodne a napriek explicitnému odmietnutiu sa Safari pokúša o spojenie niekoľkokrát s postupne zväčšujúcimi sa niekoľkosekundovými časovými odstupmi, a teda načítanie autentizačnej stránky, resp. dialógu na zadanie fakultných prihlasovacích údajov mohlo trvať aj okolo polminúty.
Po úprave firewallových pravidiel na odmietanie tejto CRL/OCSP komunikácie metódou TCP reset namiesto doteraz používaného spôsobu ICMP port unreachable dôjde k zlyhaniu prakticky okamžite a už nedochádza k zdĺhavému načítaniu autentizačnej stránky a zdržovaniu procesu pripájania zariadenia do siete.