Timeouts WLC CISCO

Hoje vou falar um pouco sobre os valores de timeouts configurados nas controladoras da CISCO. Esses valores influenciam diretamente no tempo em que o usuário pode permanecer conectado sem validar as informações de credencias. 

Um exemplo disso é um usuário "Visitante" que vai utilizar a sua rede Wireless durante uma semana todos os dias. Se não alteramos os valores default dos timeouts o usuário teria que fornecer suas credencias no Portal de autenticação todos os dias.

Um outro exemplo seria uma autenticação de um dispositivo mobile que só tem acesso a Internet com suas credencias (Um usuário utilizando uma rede BYOD). No caso de estar configurado os valores default de timeouts na controladora o usuário teria que fornecer suas credencias do AD todo dia que chegasse no trabalho para obter conexão.

Eu particularmente não costumo deixar os timeouts com um valor muito alto por questões de segurança afim de sempre validar as credencias dos usuarios em um curto período de tempo, mas em certos casos é necessário ajustes para não acontecer uma validação constante podendo deixar a experiência do usuário negativa na sua rede Wireless.

Existem três valores configuráveis na controladora referente a time out:

Session Timeout  
User Idle Timeout 
Arp Timeout

O primeiro tipo de timeout é um valor configurável no próprio SSID:



O valor configurado em segundos começa a contagem no momento em que o usuário se conecta a rede. Quando o valor chega a 0 o usuário tem que passar pelo processo de autenticação novamente. Por boas praticas deixamos esse valor ativo por motivos de segurança afim de “girar” as chaves de criptografia principalmente se utilizarmos o método de autenticação EAP que renovaria as chaves a cada timeout.

Os outros dois valores são configurados globalmente, ou seja, vai se aplicar a todos os serviços que existem na controladora. Esses valores estão associados aos usuarios que ficam um período de tempo sem enviar nenhum pacote para a controladora. Desta maneira a controladora exclui a entrada do usuário e teoricamente ele vai precisar autenticar novamente. Isso é feito para não deixar a tabela de usuarios com entradas que teoricamente já não existem. Esses valores podem ser alterados da seguinte maneira:


Comentários

Postagens mais visitadas deste blog

Introdução Remote Access Point Aruba

NPS PEAP-MSCHAPV2 + WLC CISCO e WLC HP

802.11 Medium Access - CSMA/CA Overview