3Com Unified Gigabit Wireless PoE Switch 24 PID: 3CRUS2475 Version: 01.01.14_sh VID: 00.00.01 Opis testu i instalacji na potrzeby usługi eduroam Tomasz Piontek (Tomasz.Piontek@umk.pl) dokument przygotowany w ramach projektu B-R eduroam-pionier 2008-05-30
Spis treści Wstęp... 3 Założenia... 3 SSID... 3 Szyfrowanie... 3 Uwierzytelnienie... 4 VLAN... 4 Infrastruktura stała niezależna od zestawu testowego konieczna do stworzenia modelu... 4 Opis testowanego zestawu... 5 Kontroler... 5 AP... 6 Schemat modelu... 7 Metodologa testów... 8 Testy laboratoryjne... 8 Testowane zagadnienia... 8 Wyniki testów... 9 Testy produkcyjne... 11 Testowane zagadnienia:... 11 Wyniki testów... 11 Opis konfiguracji testowanego zestawu... 13 2/27
Wstęp Usługa eduroam jest skierowana do społeczności akademickiej na całym świecie. Obejmuje swoim zasięgiem między innymi 32 kraje Europy, 6 krajów Azjatyckich leżących nad Pacyfikiem. Jej głównym celem jest zapewnienie społeczności akademickiej szybkiego i bezpiecznego dostępu do Internetu bez konieczności kontaktowania się z lokalnym administratorem. Uwierzytelnianie stosowane w eduroam umożliwia zabezpieczenie przed dostępem nieupoważnionych osób oraz w przypadku ewentualnych nadużyć umożliwia identyfikację konkretnego użytkownika. W Polsce z eduroam korzysta obecnie kilkanaście uczelni wyższych, użytkowników sieci PIONIER. Prace nad wprowadzeniem eduroam jako pełnej usługi sieci PIONIER obejmują również rozpoznanie dostępnego sprzętu WiFi i przeprowadzenie testów kompatybilności z założeniami eduroam. Założenia Testy skupiają się na tych cechach sprzętu, które są szczególnie istotne w sieci uczelnianej bezprzewodowej włączanej w strukturę eduroam. Z założenia są to zatem testy częściowe. SSID W ramach eduroam rozgłaszamy dwie sieci. Podstawowa sieć nazwana jest zawsze eduroam, oraz dodatkowa sieć konferencyjna w naszym modelu nazwana Konferencja. Szyfrowanie SSID eduroam musi być zabezpieczone WPA1/TKIP. Teoretycznie nie ma przeciwwskazań, aby na tym samym SSID stosować dodatkowo standard WPA2 z TKIP lub AES. W praktyce, może to prowadzić do pewnych niekompatybilności z sieciami w innych instytucjach, a nawet utrudnień z wykonaniem połączenia. Z tego powodu, podstawą testów jest ustawienie WPA1/TKIP. W czasie testów laboratoryjnych sprawdzane jest również WPA2 zarówno w połączeniu z WPA1, jak i oddzielnie. SSID Konferencja jest traktowane jako sieć do krótkoterminowego użytkowania przez osoby niezwiązane z uczelnią, która jest rozgłaszana tylko na obszarze konkretnej konferencji w czasie jej trwania. Użytkownicy tej sieci nie kontaktują się z administratorami eduroam. Informacje dotyczące sposobu i zasad korzystania z tej sieci otrzymują od organizatora. Sieć ta jest rozgłaszana bez szyfrowania i zabezpieczana portalem dostępowym. Testowana jest jedynie możliwość skonfigurowania takiego SSID i związania go z wydzielonym VLAN-em. 3/27
Uwierzytelnienie Użytkownicy korzystający z SSID eduroam są podłączani na podstawie przesyłanych przez nich danych do serwera Radius. Po autoryzacji użytkownik zostaje przypisany do VLANu wskazanego przez serwer Radius. W modelu testowym rozróżniamy 3 grupy użytkowników umownie nazwaliśmy je : pracownicy, studenci oraz goście (użytkownicy uwierzytelniani przez instytucje pracujące w ramach eduroam, posiadające własny serwer Radius). Uwierzytelnianie jest oparte o 3 typy EAP: TLS, TTLS/PAP, PEAP/MSCHAPv2. VLAN Numeracja i opis VLAN-ów stosowanych w testach 30 Pracownicy 31 Studenci 32 Goście 33 Zarządzający dla kontrolera, AP, serwerów DHCP oraz RADIUS 35 Konferencyjny Infrastruktura stała niezależna od zestawu testowego konieczna do stworzenia modelu Urządzenia użytkowane w ramach projektu muszą spełniać minimalnie kilka podstawowych funkcji. Podstawowym wymaganiem jest obsługa VLAN 802.1q. W ramach modelu korzystamy z następujących urządzeń: Server FreeRadius v. 2 Serwer DHCP Router Przełączniki Ethernet, Port 1 vlan 30,31,32,35 Tagged; vlan 33 Untagged Port 2 vlan 30,31,32,35 Tagged; vlan 33 Untagged Port 3 vlan 30,31,32,35 Tagged; vlan 33 Untagged Port 4 vlan 30,31,32,35 Tagged; vlan 33 Untagged Port 12 vlan 30,31,32,35 Tagged; vlan 33 Untagged Port 13 vlan 30,31,32,35 Tagged; vlan 33 Untagged Port 14 vlan 30,31,32,35 Tagged; vlan 33 Untagged Port 15 vlan 30,31,32,33,35 Tagged 4/27
Opis testowanego zestawu: Kontroler: L.P. Rodzaj testów Wynik 1 Model 3Com Unified Gigabit Wireless PoE Switch 24 2 Wersja 00.00.01 3 Wersja oprogramowania 01.01.14_sh 4 Ilość portów LAN 24 5 Konfiguracja portu serwisowego Prędkość : 19200 Bity danych : 8 Parzystość : brak Bity stopu : 1 Sterowanie przepływem : brak 6 Programowe wyłączanie kontrolera NIE 7 Obsługa VLANów TAK 8 Dynamiczne VLANy TAK 9 Ilość rozgłaszanych SSID 4 x 802.11 b/g, 4 x 802.11 a 10 Accounting NIE 11 Wbudowany serwer DHCP NIE 12 Tunelowanie ruchu z AP do kontrolera NIE 13 Statyczne przekierowanie ruchu z AP do TAK lokalnego VLANu 14 Dynamiczne przekierowanie ruchu z AP do TAK lokalnego VLANu na podstawie RADIUSa 15 Wbudowany serwer RADIUS NIE 16 Wyszukiwanie intruzów TAK 17 Zwalczanie intruzów TAK 18 Zewnętrzne oprogramowanie do zarządzania NIE 19 Zewnętrzne oprogramowanie do monitoringu NIE 20 QOS TAK 21 Wbudowany potral dostępowy NIE 22 Obsługa SNMP TAK Cechy szczególne kontrolera L.P. Rodzaj właściwości 1 Obsługa standardu IEEE 802.3af dla wszystkich portów ethernetowych Opis Uwagi Wszystkie porty umożliwiają zasilanie poprzez POE zgodnie ze standardem 802.3af 5/27
Access Point: L.P. Rodzaj testów Wynik 1 Model 3Com Wireless 8760 2 Wersja oprogramowania 01.01.00 3 Ilość portów LAN 1 4 Konfiguracja portu serwisowego Prędkość : 9600 Bity danych : 8 Parzystość : brak Bity stopu : 1 Sterowanie przepływem : brak 5 Praca w standardzie 802.11a TAK 6 Praca w standardzie 802.11n NIE 7 Praca w standardzie 802.11b TAK 8 Praca w standardzie 802.11g TAK 9 Praca samodzielna TAK 10 Praca pod kontrola kontrolera TAK 11 Zarządzanie urządzeniem poprzez TELNET TAK w trybie samodzielnym NIE w trybie pracy z kontrolerem 12 Zarządzanie urządzeniem poprzez SSH TAK w trybie samodzielnym NIE w trybie pracy z kontrolerem 13 Zarządzanie urządzeniem poprzez CLI TAK w trybie samodzielnym NIE w trybie pracy z kontrolerem 14 Zarządzanie urządzeniem poprzez WWW TAK w trybie samodzielnym NIE w trybie pracy z kontrolerem 15 Zasilanie poprzez Ethernet TAK 16 Praca w standardzie IEEE 802.3af TAK Cechy szczególne Access Point L.P. Rodzaj właściwości 1 Wyjście na 2 anteny zewnętrzne. Opis Przy wykorzystaniu zewnętrznym można dowolnie kształtować sygnał w oparciu o zastosowane anteny zewnętrzne o określonej charakterystyce. 2 Praca w 2 trybach Tryb pracy samodzielnej niezależnej od kontrolera. Tryb pracy poprzez kontroler. 6/27
Schemat instalacji testowej HiPath Wireless C2400 Controller Kontroler jest urządzeniem mającym na celu koordynację pracy AP w sieci oraz umożliwienie ich sprawnego rekonfigurowania i zarządzania. Schemat 1 7/27
Metodologa testów Testy zostały podzielone na 2 części. Testy laboratoryjne Opis: Polegają na sprawdzeniu funkcjonalności urządzeń oraz uzyskaniu dostępu zespołu testującego do usług wymaganych w projekcie (2 użytkowników). Czas trwania - od 7 do 10 dni roboczych. Cel: opis podstawowych cech sprzętu, sprawdzenie możliwości urządzeń pod kątem wymagań eduroam. Wykorzystano: komputer PC z systemem Windows XP Professional komputer PC z systemem Windows Vista Business komputer PC z systemem Linux pocket PC z systemem Windows mobile 2003 i WM 5.0 aparat telefoniczny z systemem Symbian S60 Testowane zagadnienia 1. Kontrola poprawności połączeń we współpracy z różnymi typami EAP TLS TTLS PEAP 2. Kontrola poprawności przydzielania użytkowników do określonych VLAN-ów 3. Analiza parametrów FreeRadius przekazywanych w ramach sesji uwierzytelnienia oraz sesji rozliczeniowej (accounting) 4. Kontrola poprawności współpracy z serwerem DHCP 5. Analiza jakości połączenia. Test ciągłości połączenia, czas przejścia między testowanymi AP oraz czas autentykacji przełączana między AP jest oparty o obserwację pakietów ICMP Ping wysyłanych przy pomocy programu fping z częstotliwością 100ms i czasem oczekiwania 100 ms. Pakiety są zapisywane razem ze znacznikiem czasowym, wyniki testu są porównywane z logami serwera Radius. 8/27
Wyniki L.P. Nazwa Opis testu Karta System Wynik 1 3Com 3CRPAG175 OK 2 Intellinet Wireless G OK 3 TLS Dell 1490 4 Intel 3945 Vista OK Windows XP OK 5 Nokia Symbian OK 6 3Com 3CRPAG175 OK Uwierzytelnienie 7 Intellinet Wireless G OK 8 TTLS Dell 1490 9 Intel 3945 Vista OK Windows XP OK 10 Nokia Symbian OK 11 3Com 3CRPAG175 OK 12 Intellinet Wireless G OK 13 PEAP Dell 1490 14 Intel 3945 Vista OK Windows XP OK 15 Nokia Symbian OK 16 3Com 3CRPAG175 OK Obsługa VLAN 17 Intellinet Wireless G OK Przydzielanie do VLANów na 18 podstawie autoryzacji z Dell 1490 OK serwera RADIUS 19 Intel 3945 Vista OK Windows XP 20 Nokia Symbian OK 9/27
21 3Com 3CRPAG175 OK 22 Intellinet Wireless G OK Współpraca z zewnętrznym 23 Dell 1490 serwerem DHCP 24 Intel 3945 Vista OK 25 Współpraca z serwerem DHCP Analiza jakości połączenia: Zaobserwowany czas reautentykacji wynosił średnio 3s. Obciążenie systemów: Podczas testów nie zaobserwowano problemów wydajnościowych. Analiza parametrów FreeRadius Funkcja accounting jest niedostępna na kontrolerze. Windows XP OK Nokia Symbian OK Uwagi do testów. 1. Kontroler nie obsługuję accountingu. Jest to spora niedogodność w zarządzaniu siecią. 2. Kontroler może obsługiwać maksymalnie 24 AP. Jednakże po przekroczeniu 15 sztuk czas niezbędny do rekonfiguracji naszej sieci znacznie się zwiększa przy wykorzystaniu interfejsu WWW. 10/27
Testy produkcyjne Opis: Polegają na sprawdzeniu funkcjonalności urządzeń w ramach pracującej sieci w kilku obiektach o dużym natężeniu połączeń z siecią eduroam. Obszar testów jest zależny od ilości udostępnionych do testów urządzeń. (do 200 użytkowników). Czas trwania - od 7 do 14 dni. Cel: sprawdzenie testowanego rozwiązania w środowisku produkcyjnym bez jakiegokolwiek wpływu osób testujących na użytkowników. Wykorzystano: Wszystkie dostępne urządzenia WiFi będące w posiadaniu grupy losowej korzystającej z usług sieci eduroam na obszarze objętym testami. Testowane zagadnienia: Wyniki 1. Obserwowane są sesje użytkowników i zbierane są ich opinie. 2. Powtarzana jest większość testów wykonanych w środowisku laboratoryjnym. 3. Analizowane jest obciążenie systemów, przekazywane komunikaty syslog. 4. Kontrola poprawności współpracy z serwerem DHCP L.P. Nazwa Opis testu Karta System Wynik 1 Windows XP OK. 2 Ogólnodostępne Windows VISTA OK. TLS 3 karty na rynku Symbian OK. 4 Linux OK 5 Windows XP OK. 6 Ogólnodostępne Windows VISTA OK. Uwierzytelnianie TTLS 7 karty na rynku Symbian OK. 8 Linux OK 9 Windows XP OK. 10 Ogólnodostępne Windows VISTA OK. PEAP 11 karty na rynku Symbian OK. 12 Linux OK 13 Przydzielanie do Windows XP OK. 14 VLANów na Windows VISTA OK. Ogólnodostępne 15 Obsługa VLAN podstawie karty na rynku Symbian OK. 16 autoryzacji z Linux OK serwera RADIUS 17 Windows XP OK. Współpraca z 18 Współpraca z Ogólnodostępne Windows VISTA OK. zewnętrznym 19 serwerem DHCP karty na rynku Symbian OK. serwerem DHCP 20 Linux OK 11/27
Opinie użytkowników: Testowane rozwiązanie spełnia wymagania większości użytkowników. Nie odnotowano żadnych uwag krytycznych pod adresem wydajności oraz jakości połączeń w testowanym modelu. Obciążenie systemów: Podczas testów nie zaobserwowano problemów wydajnościowych. 12/27
Konfiguracja testowanego kontrolera oraz wykorzystanych AP Kontroler jest urządzeniem mającym na celu koordynację pracy AP w sieci oraz umożliwienie ich sprawnego rekonfigurowania i zarządzania. Opisywane urządzenie posiada wbudowane 24 porty ethernetowe oraz złącze consoli. Rozpoczynamy pracę z kontrolerem łącząc się poprzez konsolę. Pojawia nam się informacja: console> Znajdujemy się w podstawowym menu które umożliwia nam dostęp do wybranych funkcji. Aby uzyskać pełen dostęp wpisujemy polecenie enable: console> enable Zmienia się w zachęcie znaczek > na # i od tej pory mamy pełny dostęp do urządzenia. Poleceniem configure przechodzimy do trybu konfiguracji. console# configure Rozpoczynamy pracę od konfiguracji VLANów console(config)# vlan database Dodajemy VLANy używane w naszym modelu: console(config-vlan)# vlan 30 console(config-vlan)# vlan 31 console(config-vlan)# vlan 32 console(config-vlan)# vlan 33 console(config-vlan)# vlan 35 console(config-vlan)# vlan 4000 Ustawiamy domyślny Vlan dla naszego kontrolera console(config-vlan)# default-vlan vlan 33 Kończymy zakładanie VLANów poprzez polecenie exit. console(config-vlan)# exit Nazywamy założone VLANy console(config)# interface vlan 30 console(config-if)# name 30 console(config-if)# exit 13/27
console(config)# interface vlan 31 console(config-if)# name 31 console(config-if)# exit console(config)# interface vlan 32 console(config-if)# name 32 console(config-if)# exit console(config)# interface vlan 33 console(config-if)# name 33 console(config-if)# exit console(config)# interface vlan 35 console(config-if)# name 35 console(config-if)# exit console(config)# interface vlan 4000 console(config-if)# name pusty console(config-if)# exit Zapisujemy konfigurację do pamięci flash: console# copy running-config flash://startup-config I restartujemy kontroler: console# reload Po restarcie poleceniem enable uzyskujemy dostęp do wszystkich opcji i przyporządkowujemy wszystkie porty na kontrolerze do naszych VLANów. console> enable console# configure console(config)# interface range ethernet all console(config-if)# switchport mode general console(config-if)# switchport general allowed vlan add 30 console(config-if)# switchport general allowed vlan add 31 console(config-if)# switchport general allowed vlan add 32 console(config-if)# switchport general allowed vlan add 33 console(config-if)# switchport general allowed vlan add 35 console(config-if)# switchport general pvid 33 console(config-if)# exit Konfigurujemy nr IP na kontrolerze w VLANie 33 console(config)# interface vlan 33 console(config-if)# ip address 192.168.33.2 255.255.255.0 console(config-if)# exit Ustawiamy domyślną bramkę. console(config)# ip default-gateway 158.75.1.129 console(config)# exit 14/27
Zapisujemy konfigurację do pamięci flash: console# copy running-config flash://startup-config I restartujemy kontroler: console# reload Z uwagi na wysoką zgodność dostępnych opcji konfiguracji dostępnych w CLI jak i poprzez przeglądarkę WWW dalszą konfigurację przeprowadzimy poprzez przeglądarkę. Logujemy się poprzez : user : admin password : admin Po zalogowaniu otrzymujemy następujący widok: Rysunek 1. Okno podzielone jest na 3 części. Część 1 - u góry strony, menu podrzędne zawierające opcje dostępne po podkonaniu wyboru w menu głównego Część 2 z lewej strony, menu główne służące do konfiguracji, zarządzania oraz monitorowania działania systemu Część 3 po środku, obszar roboczy, gdzie prezentowane są wybrane opcje z menu bocznego.. 15/27
Wybieramy z menu głównego Administration -> Country Code Rysunek 2. Określamy kraj na POLAND oraz zaznaczamy opcję Master Radio Enable Rysunek 3. 16/27
Następnie wybieramy z menu głównego Administration -> Authentication -> RADIUS Rysunek 4. Konfigurujemy serwery RADIUS, główny oraz rezerwowy: Rysunek 5. 17/27
Następnie wybieramy z menu głównego Wireless -> Profiles Rysunek 6. Następnie wybieramy z menu górnego Modify Rysunek 7. Wypełniamy dane: Rysunek 8. Renami SSID : eduroam; VLAN : 4000 (VLAN nie propagowany) Security Type -> WPA -> WPA -> VLAN 35 18/27
Konfigurujemy sieć konferencyjną Następnie wybieramy z menu górnego Setup Rysunek 9. Następnie wybieramy z menu górnego Modify Rysunek 10. Wybieramy w Profie Name (SSID) : Konferencja oraz w polu VLAN wpisujemy 35 19/27
Następnie zapisujemy przygotowana przez nas konfigurację: Rysunek 11. Po udanym zapisie otrzymujemy potwierdzenie: Rysunek 12. 20/27
Konfiguracja testowanych AP Pierwszym krokiem jest dopisanie naszych urządzeń do lokalnego serwera DHCP. Po podłączeniu AP do sieci poprzez przeglądarkę wchodzimy na AP. (do konfiguracji niezalecana jest przeglądarka Mozilla Firefox ver. 2.0.0.11) Pierwsze okienko AP, user: admin, Password: password Rysunek 13. Przy pierwszym logowaniu musimy ustawić kraj. Rysunek 14. 21/27
Wybieramy advanced Setup: Rysunek 15. Rysunek 16. 22/27
Wybieramy z menu opcję Administration: Rysunek 17. Wybieramy opcję Local i przy pomocy przycisku Browse wskazujemy plik z oprogramowaniem umożliwiającym współpracę z urządzeniami 3Com Unified Gigabit Wireless PoE Switch 24. W naszym teście używamy plik : fitload-aug_18_2006_11_55_59_3com8760.bin dostępny na stronach producenta. Przyciskiem Start Upgrade wczytujemy konfigurację do AP. Rysunek 18. 23/27
Po prawidłowym wczytaniu pliku należy w opcji Start-up ode zaznaczyć opcję Manager Rysunek 19. Po wciśnięciu przycisku Change Start-up Mode i zatwierdzeniu komunikatu : Rysunek 20. Resetujemy urządzenie. (Reset przy pomocy mechanizmu dostępnego z przeglądarki WWW jest niedoskonały, zalecane jest restarowanie fizyczne, poprzez konsole lub telnet czy ssh poleceniem : reset board 24/27
Powracamy do kontrolera. Wybieramy z menu głównego Device Summary a z górnego Wireless Rysunek 21. W zakładce pojawił się AP który skonfigurowaliśmy. Wybieramy przycisk Active. Rysunek 22. Po uaktywnieniu AP przechodzimy do zakładki z menu głównego Wireless -> Access Piont Rysunek 23. Z menu górnego wybieramy Setup Rysunek 24. 25/27
Uzupełniamy : Name: Nowy AP Alloved VLANs : 30,31,32,35 (wymieniamy VLANy do których konkretny AP może przekierowywać ruch, jest to niezależne od vlanu w którym pracuje). Rysunek 25. Kontroler po uaktywnieniu AP domyślnie przypisuje go do głównego profilu. W związku z tym jeśli nasz główny profil jest tak w prezentowanym modelu eduroam, to od razu jest propagowany. Aby potwierdzić te ustawienia należy wybrać z menu głównego Wireless -> Radio 802.1b/g lub Radio 802.1a. Rysunek 26. 26/27
W zakładce Manager VAPs widać, że podłączony mamy profil eduroam. Rysunek 27. Aby wybrany AP propagował również SSID konferencja należy zaznaczyć znacznik w polu Selekt na pozycji drugiej oraz w polu wyboru Profile wybrać Konferencja i zatwierdzić przyciskiem Apply. Rysunek 28. Kontroler wraz z AP jest gotowy do pracy. 27/27