Opis konfiguracji testowej sprzętu HP z serii 700wl

Opis konfiguracji testowej sprzętu HP z serii 700wl KAMIL KSIĄDZ Niniejsza instrukcja pokazuje jak skonfigurować urządzenia HP w celu uczestniczenia w projekcie eduroam. Instrukcja skupia sie na aspektach konfiguracji dodatkowej, wirtualnej sieci bezprzewodowej eduroam. Konfiguracja uwierzytelniania opartego o kontrolery z serii 700wl jest potraktowana przykładowo, ponieważ musi być zawsze dostosowana do konkretnych warunków lokalnych. Spis urządzeń wykorzystanych w testach HP Procurve Access Control Server 740wl HP Procurve Access Controller 720wl HP Procurve Wireless Access Point 420 HP Procurve Wireless Access Point 520wl Dodatkowe urządzenie, które zostało wykorzystane do testów, a które nie pochodzi z firmy HP to 3Com Access Point 7250. Na takich Access Point'ach oparta jest w tej chwili instalacja sieci eduroam, działająca na UMK, dlatego też chcieliśmy sprawdzić czy sprzęt ten jest w stanie współpracować bezproblemowo z proponowanym sprzętem i zabezpieczeniami firmy HP. Konfiguracja poszczególnych urządzeń Przejdziemy teraz do meritum sprawy, czyli opisu samej konfiguracji poszczególnych urządzeń, który ma na celu dogłębne przedstawienie podejścia jakie zostało przyjęte oraz przedstawienie wszystkich ustawień sprzętu w poszczególnych scenariuszach. Konfiguracja Access Point'a 420 jako urządzenia niezależnie działającego z konfiguracją sieci eduroam na UMK Zaczniemy od przedstawienia konfiguracji Access Point'a 420 jako urządzenia działającego niezależnie w projekcie sieci eduroam. Należy tutaj dodać, że Access Point musi posiadać najnowszą wersję oprogramowania oznaczoną numerem 2.1.0 aby mógł spełnić stawiane przez nas wymogi. Cały proces konfiguracji, który za chwilę zostanie przedstawiony, odbywać się będzie poprzez CLI (Command Line Interface). Oczywiście istnieje również możliwość konfiguracji Access Point'a z wykorzystaniem przeglądarki internetowej ale my dla wygody pisania dokumentacji opiszemy proces konfiguracji właśnie poprzez CLI. Zamieścimy jednak zrzuty ekranu wszystkich ustawień Access Point'a pochodzących z webowego panelu administracyjnego. Użytkownicy chcący korzystać z przeglądarki WWW powinni sięgnąć do dokumentacji Access Point'a znajdującej się na stronie http://www.hp.com/ w celu sprawdzenia jakie muszą być spełnione wymogi programowe. 1

Przy firmowych ustawieniach na AP istnieje jeden użytkownik o nazwie admin posiadający puste hasło. Przed zalogowaniem do CLI zobaczymy prompt powitalny, po którym wprowadzamy nazwę użytkownika i wciskamy jako hasło ENTER, po czym wprowadzamy podstawowe ustawienia: ============================================================================== HP J8130A/J8131A ProCurve Wireless Access Point 420 Firmware revision v2.1.0 Copyright (C) 1991-2004 Hewlett-Packard Co. All Rights Reserved.d RESTRICTED RIGHTS LEGEND Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subdivision (b) (3) (ii) of the Rights in Technical Data and Computer Software clause at 52.227-7013. HEWLETT-PACKARD COMPANY, 3000 Hanover St., Palo Alto, CA 94303 We'd like to keep you up to date about: * Software feature updates * New product announcements * Special events Please register your products now at: www.procurve.com ============================================================================== Username: admin Password: hp420# hp420#configure Enter configuration commands, one per line. hp420(config)#prompt hp420 hp420(config)#exit hp420#country PL Reboot system now to make the country code change effective? <y/n>: y Teraz możemy zobaczyć jak wyglądają początkowe ustawienia AP: hp420#show system System Information ============================================================ Serial Number : TW447QB0AE System Up time : 0 days, 0 hours, 0 minutes, 15 seconds System Name : Enterprise AP System Location : System Contact : Contact System Country Code : PL - POLAND MAC Address : 00-11-85-AD-8A-9E IP Address : 192.168.1.1 Subnet Mask : 255.255.255.0 Default Gateway : 192.168.1.254 VLAN State : DISABLED Management VLAN ID(AP): 1 (U) IAPP State : ENABLED DHCP Client : ENABLED HTTP Server : ENABLED HTTP Server Port : 80 HTTPS Server : DISABLED HTTPS Server Port : 443 Slot Status : 802.11g Radio Status : Disabled 2

Software Version : v2.1.0 SSH Server : DISABLED SSH Server Port : 22 Telnet Server : ENABLED Max Telnet Session : 4 Serial Port : ENABLED Reset Button : ENABLED SSID Number Supported : 8 ============================================================ Access Point zostanie podłączony do sieci ethernetowej, która działa w oparciu o VLAN'y. Dlatego też w tej chwili ustawiamy konfigurację AP tak aby mógł działać w tej sieci a następnie wpinamy AP w odpowiednie gniazdo sieciowe i dalej przeprowadzamy konfigurację. Przechodzimy do trybu konfiguracji: hp420#configure Enter configuration commands, one per line. hp420(config)# Przystępujemy do konfiguracji interfejsu ethernetowego: hp420(config)#interface ethernet Enter Ethernet configuration commands, one per line. hp420(if-ethernet)# hp420(if-ethernet)#no ip dhcp hp420(if-ethernet)#ip address 192.168.36.4 255.255.255.0 192.168.36.1 Listujemy wprowadzone ustawienia i wychodzimy z trybu konfiguracji tego interfejsu: hp420(if-ethernet)#show Ethernet Interface Information ======================================== IP Address : 192.168.36.4 Subnet Mask : 255.255.255.0 Default Gateway : 192.168.36.1 Primary DNS : 0.0.0.0 Secondary DNS : 0.0.0.0 Speed-duplex : 10Base-T Half Duplex Admin status : Up Operational status : Down ======================================== hp420(if-ethernet)#end hp420(config)# Ustawiamy VLAN do zarządzania i włączamy filtrowanie dynamicznie przydzielanych VLAN'ów: hp420(config)#management-vlanid 36 tagged hp420(config)#vlan enable dynamic Reboot system now? <y/n>: y W tym momencie przełączamy Access Point'a do odpowiedniej infrastruktury sieciowej i możemy się do niego dostać poprzez telnet. Sprawdźmy jeszcze obecne ustawienia AP: hp420#show system 3

System Information ============================================================ Serial Number : TW447QB0AE System Up time : 0 days, 0 hours, 0 minutes, 22 seconds System Name : Enterprise AP System Location : System Contact : Contact System Country Code : PL - POLAND MAC Address : 00-11-85-AD-8A-9E IP Address : 192.168.36.4 Subnet Mask : 255.255.255.0 Default Gateway : 192.168.36.1 VLAN State : ENABLED(Dynamic VLAN ID) Management VLAN ID(AP): 36 (T) IAPP State : ENABLED DHCP Client : DISABLED HTTP Server : ENABLED HTTP Server Port : 80 HTTPS Server : DISABLED HTTPS Server Port : 443 Slot Status : 802.11g Radio Status : Disabled Software Version : v2.1.0 SSH Server : DISABLED SSH Server Port : 22 Telnet Server : ENABLED Max Telnet Session : 4 Serial Port : ENABLED Reset Button : ENABLED SSID Number Supported : 8 ============================================================ Przystępujemy teraz do konfiguracji interfejsu radiowego: hp420#configure Enter configuration commands, one per line. hp420(config)#interface wireless g Enter Wireless configuration commands, one per line. hp420(if-wireless-g)# hp420(if-wireless-g)#show ssid-list Total SSID created: 1 Index ssid vlan-id status primary ================================================================= 1 Enterprise Wireless AP 1 2(T) enabled yes hp420(if-wireless-g)# Widzimy, że jest już zdefiniowane jedno domyślne SSID, które teraz zmodyfikujemy: hp420(if-wireless-g)#ssid index 1 hp420(if-wireless-g-ssid-1)# hp420(if-wireless-g-ssid-1)#ssid-name edu hp420(if-wireless-g-ssid-1)#primary hp420(if-wireless-g-ssid-1)#vlan-id 2 untagged Wprowadzamy ustawienia zabezpieczeń jako dynamiczny WEP i 802.1X oraz definiujemy odpowiedni serwer RADIUS'a: hp420(if-wireless-g-ssid-1)#security-suite 5 hp420(if-wireless-g-ssid-1)#radius-authentication-server address 158.75.1.22 hp420(if-wireless-g-ssid-1)#radius-authentication-server port 21812 4

hp420(if-wireless-g-ssid-1)#radius-authentication-server hp420(if-wireless-g-ssid-1)#radius-authentication-server hp420(if-wireless-g-ssid-1)#radius-authentication-server hp420(if-wireless-g-ssid-1)#radius-authentication-server key <klucz> timeout 5 retransmit 3 vlan-format ASCII Ustawiamy parametry 802.1X: hp420(if-wireless-g-ssid-1)#802.1x broadcast-key-refresh-rate 10 hp420(if-wireless-g-ssid-1)#802.1x session-key-refresh-rate 10 hp420(if-wireless-g-ssid-1)#802.1x session-timeout 1800 Przechodzimy do konfiguracji interfejsu radiowego, ustawiamy kanał nadawania i uaktywniamy ten interfejs: hp420(if-wireless-g-ssid-1)#end hp420(if-wireless-g)#channel 1 hp420(if-wireless-g)#no shutdown W tym momencie Access Point jest już gotowy do pracy z siecią eduroam wykorzystując do tego dynamicznie przydzielany klucz WEP i zewnętrzny serwer RADIUS'a. Nie wspominamy tutaj o konfiguracji samego RADIUS'a ani też serwera DHCP, gdyż opis tej konfiguracji jest oczywiście bardzo odmienny w różnych środowiskach. W dalszej części tego dokumentu opisujemy sposób konfiguracji AP tak aby mógł działać z wykorzystaniem szyfrowania WPA/TKIP. A zatem teraz skonfigurujemy dodatkowe SSID, na którym będzie właśnie działać ten sposób szyfrowania. Tworzymy nowe SSID: hp420#configure Enter configuration commands, one per line. hp420(config)# hp420(config)#interface wireless g Enter Wireless configuration commands, one per line. hp420(if-wireless-g)# hp420(if-wireless-g)#ssid add 2 edu-wpa Create new SSID success hp420(if-wireless-g)# Wchodzimy do trybu konfiguracji nowo utworzonego SSID i ustawiamy odpowiednie opcje: hp420(if-wireless-g)#ssid index 2 hp420(if-wireless-g-ssid-2)#vlan-id 3 untagged hp420(if-wireless-g-ssid-2)#security-suite 7 WPA-WPA2 Support both WPA1.0 and WPA2.0 hp420(if-wireless-g-ssid-2)# Definiujemy serwer RADIUS'a: hp420(if-wireless-g-ssid-2)#radius-authentication-server hp420(if-wireless-g-ssid-2)#radius-authentication-server hp420(if-wireless-g-ssid-2)#radius-authentication-server hp420(if-wireless-g-ssid-2)#radius-authentication-server hp420(if-wireless-g-ssid-2)#radius-authentication-server hp420(if-wireless-g-ssid-2)#radius-authentication-server address 158.75.1.22 port 21812 key <klucz> timeout 5 retransmit 3 vlan-format ASCII Ustawiamy parametry 802.1X: hp420(if-wireless-g-ssid-2)#802.1x broadcast-key-refresh-rate 10 5

hp420(if-wireless-g-ssid-2)#802.1x session-key-refresh-rate 10 hp420(if-wireless-g-ssid-2)#802.1x session-timeout 1800 Właśnie zakończyliśmy konfigurację AP. Obecnie powinien już działać zarówno z dynamicznym WEP'em i 802.1X jak i z WPA/TKIP. Podsumowanie: Przeprowadzone testy konfiguracji tego Access Point'a dowodzą faktu iż jest on urządzeniem, które spełnia wszystkie wymogi projektu eduroam a zatem może być bez przeszkód stosowany w postaci niezależnej instalacji. Aby jednak taka funkcjonalność była zapewniona Access Point musi posiadać wgraną najnowszą wersję oprogramowania, oznaczoną numerem 2.1.0. Wersja obrazkowa opisanej wyżej konfiguracji. Logowanie do panelu administracyjnego: 6

Ustawienia interfejsu ethernetowego: 7

Konfiguracja SSID edu: 8

9

10

11

Konfiguracja SSID edu-wpa: 12

13

14

15

Konfiguracja Access Point'a 420 do współpracy z systemem zarządzania siecią bezprzewodową. W tej części dokumentu opiszemy konfigurację Access Point'a działającego jako część składowa całego systemu zarządzania siecią bezprzewodową opartego na urządzeniach z serii 700wl. Podobnie jak w pierwszym scenariuszu konfiguracja zostanie przeprowadzona poprzez CLI ale dla użytkowników, którzy wolą korzystać z przeglądarki internetowej zamieszczamy zrzuty ekranu z panelu konfiguracyjnego. W tym scenariuszu przyjmujemy, że Access Point jest częścią całego systemu zarządzania siecią bezprzewodową. Zostaną na nim skonfigurowane trzy różne SSID, z których każde będzie używać innej metody zabezpieczeń. Przejdźmy zatem do opisu konfiguracji poszczególnych SSID. Główne, rozgłaszane SSID na AP będzie miało nazwę edu i będzie wystawione bez żadnych zabezpieczeń. Służyć ma ono wykorzystaniu rozwiązań proponowanych przez firmę HP. Użytkownicy którzy połączą się z tym SSID będą uwierzytelniani poprzez przeglądarkę WWW z użyciem LDAP'a, RADIUS'a lub lokalnej bazy użytkowników. Użytkownicy otrzymują prywatne adresy IP z sieci 192.168.33.0. Przechodzimy do trybu konfiguracji interfejsu radiowego, ustawiamy nazwę dla SSID, wyłączamy wszelkie zabezpieczenia na tym SSID i ustawiamy je jako podstawowe: hp420#configure Enter configuration commands, one per line. hp420(config)#interface wireless g Enter Wireless configuration commands, one per line. hp420(if-wireless-g)#ssid index 1 hp420(if-wireless-g-ssid-1)#ssid-name edu hp420(if-wireless-g-ssid-1)#security-suite 1 hp420(if-wireless-g-ssid-1)#primary hp420(if-wireless-g-ssid-1)# Przechodzimy do konfiguracji interfejsu radiowego, ustawiamy kanał nadawania i uaktywniamy ten interfejs: hp420(if-wireless-g-ssid-1)#end hp420(if-wireless-g)#channel 1 hp420(if-wireless-g)#no shutdown W ten sposób mamy już skonfigurowane SSID, które zostanie wykorzystane do webowego trybu uwierzytelniania. Drugie SSID o nazwie edu-wep nie będzie już rozgłaszane. Uwierzytelnianie na tym SSID będzie oparte o zewnętrzny serwer RADIUS'a. Urządzenie 740wl będzie działać tutaj w trybie monitoringu i będzie przekazywać żądania klientów radiowych do serwera RADIUS'a. W naszym rozwiązaniu przyjęliśmy zasadę, że użytkownicy używający tego SSID otrzymują publiczne adresy IP pochodzące z zewnętrznego serwera DHCP. Przechodzimy do trybu konfiguracji interfejsu radiowego: hp420#configure Enter configuration commands, one per line. 16

hp420(config)#interface wireless g Enter Wireless configuration commands, one per line. hp420(if-wireless-g)# Tworzymy nowe SSID o nazwie edu-wep: hp420(if-wireless-g)#ssid add 2 edu-wep Create new SSID success hp420(if-wireless-g)# Przechodzimy do trybu konfiguracji nowo utworzonego SSID i wprowadzamy początkowe ustawienia: hp420(if-wireless-g)#ssid index 2 hp420(if-wireless-g-ssid-2)#vlan-id 3 untagged Wprowadzamy ustawienie zabezpieczeń jako dynamiczny WEP i 802.1X oraz definiujemy odpowiedni serwer RADIUS'a: hp420(if-wireless-g-ssid-2)#security-suite 5 hp420(if-wireless-g-ssid-2)#radius-authentication-server hp420(if-wireless-g-ssid-2)#radius-authentication-server hp420(if-wireless-g-ssid-2)#radius-authentication-server hp420(if-wireless-g-ssid-2)#radius-authentication-server hp420(if-wireless-g-ssid-2)#radius-authentication-server hp420(if-wireless-g-ssid-2)#radius-authentication-server address 158.75.1.22 port 21812 key <klucz> timeout 5 retransmit 3 vlan-format ASCII Ustawiamy parametry 802.1X: hp420(if-wireless-g-ssid-2)#802.1x broadcast-key-refresh-rate 10 hp420(if-wireless-g-ssid-2)#802.1x session-key-refresh-rate 10 hp420(if-wireless-g-ssid-2)#802.1x session-timeout 1800 Skonfigurowaliśmy właśnie kolejne SSID, dla którego urządzenie 740wl działa jedynie jako pośrednik między klientem a zewnętrznym serwerem RADIUS'a a wykorzystane szyfrowanie to dynamiczny WEP oraz 802.1X. W ostatnim kroku skonfigurujemy trzecie SSID, które będzie wykorzystywało szyfrowanie WPA/TKIP. Podobnie jak w poprzednim scenariuszu urządzenie 740wl będzie jedynie pośrednikiem w komunikacji klientów radiowych z serwerem RADIUS'a a klientom będą przydzielane publiczne adresy IP. Tworzymy nowe SSID o nazwie edu-wpa: hp420#configure Enter configuration commands, one per line. hp420(config)#interface wireless g Enter Wireless configuration commands, one per line. hp420(if-wireless-g)#ssid add 3 edu-wpa Create new SSID success hp420(if-wireless-g)# Wchodzimy w tryb konfiguracji nowo utworzonego SSID i ustawiamy odpowiednie opcje: hp420(if-wireless-g)#ssid index 3 hp420(if-wireless-g-ssid-3)#vlan-id 4 untagged hp420(if-wireless-g-ssid-3)#security-suite 7 WPA-WPA2 Support both WPA1.0 and WPA2.0 17

hp420(if-wireless-g-ssid-3)# Definiujemy serwer RADIUS'a: hp420(if-wireless-g-ssid-3)#radius-authentication-server hp420(if-wireless-g-ssid-3)#radius-authentication-server hp420(if-wireless-g-ssid-3)#radius-authentication-server hp420(if-wireless-g-ssid-3)#radius-authentication-server hp420(if-wireless-g-ssid-3)#radius-authentication-server hp420(if-wireless-g-ssid-3)#radius-authentication-server address 158.75.1.22 port 21812 key <klucz> timeout 5 retransmit 3 vlan-format ASCII Ustawiamy parametry 802.1X: hp420(if-wireless-g-ssid-3)#802.1x broadcast-key-refresh-rate 10 hp420(if-wireless-g-ssid-3)#802.1x session-key-refresh-rate 10 hp420(if-wireless-g-ssid-3)#802.1x session-timeout 1800 W tym momencie zakończyliśmy już całą konfigurację Access Point'a. Mamy działające trzy różne SSID przy czym na każdym z nich wykorzystywane są inne metody zabezpieczeń. Wersja obrazkowa opisanej wyżej konfiguracji. Logowanie do panelu administracyjnego: 18

Konfiguracja SSID edu: 19

20

Konfiguracja SSID edu-wep: 21

22

23

24

Konfiguracja SSID edu-wpa: 25

26

27

28

Konfiguracja systemu zarządzania siecią bezprzewodową opartego o urządzenia 720wl i 740wl. W tej części dokumentu zajmiemy się przedstawieniem konfiguracji głównych urządzeń całego systemu zarządzania siecią bezprzewodową. Będą to dwa urządzenia: HP Procurve Access Control Server 740wl HP Procurve Access Controller 720wl Głównym założeniem projektu było sprawdzenie możliwości równoległego działania tych urządzeń i zabezpieczeń jakie proponują z zabezpieczeniami stosowanymi w projekcie eduroam. Cały proces testowy zgodnie z naszymi podejrzeniami zakończył się powodzeniem, a poniżej przedstawimy najistotniejsze części konfiguracji wyżej wymienionych urządzeń. Dodajmy jeszcze na koniec, iż ze względów praktycznych opis konfiguracji będzie przedstawiony na zrzutach ekranu. Logowanie do panelu administracyjnego: 29

Wykaz ustawień sieciowych urządzenia ACS 740wl: 30

31

32

Ustawienia sieciowe urządzenia AC 720wl: 33

34

Konfiguracja RADIUS'a: 35

Konfiguracja LDAP'a: 36

Logowanie 802.1X: 37

Ustawienia polityk dostępu: 38

39