Cisco 2000 Series WLAN Controller: 6 APs

Podobne dokumenty
Opis testu i instalacji na potrzeby usługi eduroam LANCOM WLC-4006

Trapeze Networks MOBILITY EXCHANGE MCR-2

Siemens HiPath Wireless Controller

Opis testu i instalacji na potrzeby usługi eduroam

Opis testu i instalacji na potrzeby usługi eduroam

ZoneDirector 1006 HWC hardware platform type: ZD1006 Version: build 38

MN-MC505-EU Controller

MN-MC505-EU Controller

3COM Wireless LAN Switch WX1200

Konfiguracja WDS na module SCALANCE W Wstęp

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Rozwiązywanie problemów z DNS i siecią bezprzewodową AR1004g v2

Konfiguracja własnego routera LAN/WLAN

DESIGNED FOR ALL-WIRELESS WORLD

Eduroam - swobodny dostęp do Internetu

Instrukcja konfiguracji urządzenia Comarch TNA Gateway Plus

Ćwiczenie 5b Sieć komputerowa z wykorzystaniem rutera.

Ćwiczenie 7 Sieć bezprzewodowa z wykorzystaniem rutera.

Kompaktowy design Dzięki swoim rozmiarom, można korzystać z urządzenia gdzie tylko jest to konieczne.

Współpraca modułu Access Point SCALANCE W788-2PRO ze stacjami klienckimi Windows.

Podłączanie się do bezprzewodowej sieci eduroam na platformie MS Windows XP w wersji Professional oraz HOME.

Ćwiczenie 5a Sieć komputerowa z wykorzystaniem rutera.

Opis konfiguracji testowej sprzętu HP z serii 700wl

Ćwiczenie 6 Przełącznik zarządzalny T2500G-10TS (TL-SG3210).

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Black Box. Gateway. Bridge. Wireless ISP. Tryb Gateway.

Laboratorium - Konfiguracja routera bezprzewodowego w Windows Vista

Projekt eduroam. Tomasz Wolniewicz. UCI UMK w Toruniu

Linksys/Cisco RT31P2, WRT54GP2. Instrukcja Konfiguracji

Konfiguracja ROUTERA bezprzewodowego z modemem ADSL 2+, TP-Link TD-W8910G/TDW8920G

Opis przedmiotu zamówienia CZĘŚĆ 16

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N


Instrukcja konfiguracji kas Novitus do współpracy z CRK

Konfiguracja aplikacji ZyXEL Remote Security Client:

Konfiguracja punktu dostępowego Cisco Aironet 350

Posiadacze routera ADSL+2 Pirelli DRG A125G mogą bez żadnych kosztów przekształcić go w pełnosprawny router WAN Ethernet.

WLAN bezpieczne sieci radiowe 01

Instrukcja konfiguracji urządzenia TL-WA830RE v.1

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

Laboratorium - Konfiguracja routera bezprzewodowego w Windows 7

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

Dysk CD (z Oprogramowaniem i Podręcznikiem użytkownika)

TP-LINK 8960 Quick Install

Moduł Ethernetowy. instrukcja obsługi. Spis treści

Dla przykładu, w instrukcji tej wykorzystano model TL-WA701ND.

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

Przygotowanie urządzenia:

Seria wielofunkcyjnych serwerów sieciowych USB

Zestawienie tunelu VPN po protokole IPSec pomiędzy klientem VPN - Draytek Smart VPN Client za NAT-em, a routerem Draytek

Następnie kliknąć prawym klawiszem myszy na Połączenie sieci bezprzewodowej i wybrać Wyłącz.

INSTRUKCJA OBSŁUGI Program konfiguracji sieciowej Net configuration Drukarka A11

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

(BSS) Bezpieczeństwo w sieciach WiFi szyfrowanie WEP.

Bezprzewodowy ruter kieszonkowy/punkt dostępowy DWL-G730AP. Dysk CD z Podręcznikiem użytkownika. Kabel ethernetowy kat. 5 UTP

Instrukcja konfiguracji urządzenia TL-WA701ND v.2

Instrukcja instalacji Encore ADSL 2 + WIG

Podstawowa konfiguracja modułu Scalance W788-2

Konwerter RS-485->Ethernet [TCP/IP] CN-ETH-485 INSTRUKCJA [konfiguracja urządzenia do współpracy z programem MeternetPRO]

Instrukcja obsługi routera bezprzewodowego

IEEE b/g. Asmax Wireless LAN USB Adapter. Instrukcja instalacji

SZYBKI START MP01. Wersja: V1.0 PL

Konfiguracja Wireless-N Mini Router

Projekt sieci UMK-EduRoam swobodnego dostępu do Internetu na Uniwersytecie Mikołaja Kopernika w Toruniu

98,00 PLN brutto 79,67 PLN netto

Wireless Router Instrukcja instalacji. 1. Wskaźniki i złącza urządzenia...1

MikroTik jako Access Point

Dlaczego Meru Networks architektura jednokanałowa Architektura jednokanałowa:

ZADANIE.08 RADIUS (authentication-proxy, IEEE 802.1x) 2h

DWL-2100AP g/108Mbps Bezprzewodowy punkt dostępowy D-Link AirPlus XtremeG

Instrukcja podłączania do sieci bezprzewodowej w budynkach Akademii Sztuk Pięknych im. J. Matejki w Krakowie:

1. Przeznaczenie i budowa Instalacja i podłączenie Konfiguracja modułu Opis złącza interfejsu... 6

Wireless USB Adapter

Seria wielofunkcyjnych serwerów sieciowych USB

Wzmacniacz sygnału, repeater Wi-Fi Conrad N300, do gniazdka, 1xRJ45

OBSŁUGA I KONFIGURACJA SIECI W WINDOWS

Zaawansowana konfiguracja przełącznika TP-Link TL-SG3224

Skrócona instrukcja konfiguracji sieci LAN, WLAN lub modemu GSM w drukarkach Bono Online i Deon Online do współpracy w sieci komputerowej z

802.11g: do 54Mbps (dynamic) b: do 11Mbps (dynamic)

instrukcja instalacji modemu SpeedTouch 605s

Konfiguracja mostu WDS (punkt-wielopunkt)

Podłączenie nbox do internetu z w wykorzystaniem Wi-Fi.

Internet. Bramka 1 Bramka 2. Tunel VPN IPSec

Podłączenie urządzenia. W trakcie konfiguracji routera należy korzystać wyłącznie z przewodowego połączenia sieciowego.

Instrukcja obsługi routera bezprzewodowego

Wykorzystanie kontrolera sieci bezprzewodowej oraz serwera RADIUS

Specyfikacja Istotnych Warunków Zamówienia na dostawę i uruchomienie systemu bezprzewodowego

Netis Bezprzewodowy Router N ADSL2+ z Modemem Instrukcja szybkiej instalacji

802.11N WLAN USB ADAPTER HIGH SPEED WIRELESS CONECTIVITY

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

Podłącz bezprzewodowy punkt dostępowy DWL-700AP do sieci.

Dysk CD (z podręcznikiem użytkownika) Kabel ethernetowy (Kat. 5 UTP)

polski Skrócona instrukcja instalacji Niniejsza instrukcja instalacji przeprowadzi użytkownika przez proces instalacji bezprzewodowej karty sieciowej

Spis treści. I Pierwsze kroki... 17

Krok 2 Podłącz zasilanie do routera bezprzewodowego. Uruchom komputer i zaloguj się jako administrator.

Uwagi dla użytkowników sieci bezprzewodowej

Uwagi dla użytkowników sieci bezprzewodowej

Transkrypt:

Cisco 2000 Series WLAN Controller: 6 APs PID: AIR-WLC2006-K9 Version: 4.1.171.0 VID: V01 Opis testu i instalacji na potrzeby usługi eduroam Tomasz Piontek (Tomasz.Piontek@umk.pl) dokument przygotowany w ramach projektu B-R eduroam-pionier

Spis treści Wstęp... 3 Założenia... 3 SSID... 3 Szyfrowanie... 3 Uwierzytelnienie... 4 VLAN... 4 Infrastruktura stała niezależna od zestawu testowego konieczna do stworzenia modelu... 4 Opis testowanego zestawu... 5 Kontroler... 5 AP... 6 Schemat modelu... 7 Metodologa testów... 8 Testy laboratoryjne... 8 Testowane zagadnienia... 8 Wyniki testów... 9 Testy produkcyjne... 12 Testowane zagadnienia:... 12 Wyniki testów... 13 Opis konfiguracji testowanego zestawu... 14 2/26

Wstęp Usługa eduroam jest skierowana do społeczności akademickiej na całym świecie. Obejmuje swoim zasięgiem między innymi 32 kraje Europy, 6 krajów Azjatyckich leżących nad Pacyfikiem. Jej głównym celem jest zapewnienie społeczności akademickiej szybkiego i bezpiecznego dostępu do Internetu bez konieczności kontaktowania się z lokalnym administratorem. Uwierzytelnianie stosowane w eduroam umożliwia zabezpieczenie przed dostępem nieupoważnionych osób oraz w przypadku ewentualnych nadużyć umożliwia identyfikację konkretnego użytkownika. W Polsce z eduroam korzysta obecnie kilkanaście uczelni wyższych, użytkowników sieci PIONIER. Prace nad wprowadzeniem eduroam jako pełnej usługi sieci PIONIER obejmują również rozpoznanie dostępnego sprzętu WiFi i przeprowadzenie testów kompatybilności z założeniami eduroam. Założenia Testy skupiają się na tych cechach sprzętu, które są szczególnie istotne w sieci uczelnianej bezprzewodowej włączanej w strukturę eduroam. Z założenia są to zatem testy częściowe. SSID W ramach eduroam rozgłaszamy dwie sieci. Podstawowa sieć nazwana jest zawsze eduroam, oraz dodatkowa sieć konferencyjna w naszym modelu nazwana Konferencja. Szyfrowanie SSID eduroam musi być zabezpieczone WPA1/TKIP. Teoretycznie nie ma przeciwwskazań, aby na tym samym SSID stosować dodatkowo standard WPA2 z TKIP lub AES. W praktyce, może to prowadzić do pewnych niekompatybilności z sieciami w innych instytucjach, a nawet utrudnień z wykonaniem połączenia. Z tego powodu, podstawą testów jest ustawienie WPA1/TKIP. W czasie testów laboratoryjnych sprawdzane jest również WPA2 zarówno w połączeniu z WPA1, jak i oddzielnie. SSID Konferencja jest traktowane jako sieć do krótkoterminowego użytkowania przez osoby niezwiązane z uczelnią, która jest rozgłaszana tylko na obszarze konkretnej konferencji w czasie jej trwania. Użytkownicy tej sieci nie kontaktują się z administratorami eduroam. Informacje dotyczące sposobu i zasad korzystania z tej sieci otrzymują od organizatora. Sieć ta jest rozgłaszana bez szyfrowania i zabezpieczana portalem dostępowym. Testowana jest jedynie możliwość skonfigurowania takiego SSID i związania go z wydzielonym VLAN-em. 3/26

Uwierzytelnienie Użytkownicy korzystający z SSID eduroam są podłączani na podstawie przesyłanych przez nich danych do serwera Radius. Po autoryzacji użytkownik zostaje przypisany do VLANu wskazanego przez serwer Radius. W modelu testowym rozróżniamy 3 grupy użytkowników umownie nazwaliśmy je : pracownicy, studenci oraz goście (użytkownicy uwierzytelniani przez instytucje pracujące w ramach eduroam, posiadające własny serwer Radius). Uwierzytelnianie jest oparte o 3 typy EAP: TLS, TTLS/PAP, PEAP/MSCHAPv2. VLAN Numeracja i opis VLAN-ów stosowanych w testach 30 Pracownicy 31 Studenci 32 Goście 33 Zarządzający dla kontrolera, AP, serwerów DHCP oraz RADIUS 35 Konferencyjny Infrastruktura stała niezależna od zestawu testowego konieczna do stworzenia modelu Urządzenia użytkowane w ramach projektu muszą spełniać minimalnie kilka podstawowych funkcji. Podstawowym wymaganiem jest obsługa VLAN 802.1q. W ramach modelu korzystamy z następujących urządzeń: Server FreeRadius v. 2 Serwer DHCP Router Przełączniki Ethernet Przełącznik 1 : Port 1 vlan 30,31,32,33,35 Tagged Port 12 vlan 33 Untagged, Port 14 vlan 30,31,32,33,35 Tagged Przełącznik 2 : Port 2 vlan 30,31,32,33,35 Tagged Port 3 vlan 30,31,32,33,35 Tagged Port 13 vlan 33 Untagged, 4/26

Opis testowanego zestawu: Kontroler: L.P. Rodzaj testów Wynik 1 Model 2000 Series WLAN Controller: 6 APs 2 Wersja AIR-WLC2006-K9 3 Wersja oprogramowania 4.1.171.0 4 Ilość portów LAN 4 5 Konfiguracja portu serwisowego Prędkość : 9600 Bity danych : 8 Parzystość : brak Bity stopu : 1 Sterowanie przepływem : brak 6 Programowe wyłączanie kontrolera NIE 7 Obsługa VLANów TAK 8 Dynamiczne VLANy TAK 9 Ilość rozgłaszanych SSID 16 10 Accounting TAK 11 Wbudowany serwer DHCP TAK 12 Tunelowanie ruchu z AP do kontrolera TAK 13 Statyczne przekierowanie ruchu z AP do NIE lokalnego VLANu 14 Dynamiczne przekierowanie ruchu z AP do NIE lokalnego VLANu na podstawie RADIUSa 15 Wbudowany serwer RADIUS NIE (istnieje możliwość obsługi EAP w oparciu o lokalną bazę użytkowników) 16 Wyszukiwanie intruzów TAK 17 Zwalczanie intruzów nie badano 18 Zewnętrzne oprogramowanie do TAK zarządzania 19 Zewnętrzne oprogramowanie do TAK monitoringu 20 QOS TAK 21 Wbudowany potral dostępowy TAK 22 Obsługa SNMP TAK Cechy szczególne kontrolera L.P. Rodzaj właściwości Opis 1 Zarządzanie AP w standardzie MESH Tworzenie sieci w oparciu o połączenia między AP przy pomocy łączy radiowych. 2 Wspieranie standardu CCKM Rozwiązanie ma na celu pomięcie autentykacji użytkownika przemieszczającego się pomiędzy AP 5/26

Access Point: L.P. Rodzaj testów Wynik 1 Model Cisco Aironet 1510 Lightweight Outdoor Mesh Access Point 2 Wersja oprogramowania startowego 2.1.78.0 3 Wersja oprogramowania 4.1.171.0 4 Ilość portów LAN 1 5 Konfiguracja portu serwisowego Brak 6 Praca w standardzie 802.11a TAK 7 Praca w standardzie 802.11n NIE 8 Praca w standardzie 802.11b TAK 9 Praca w standardzie 802.11g TAK 10 Praca samodzielna NIE 11 Praca pod kontrola kontrolera TAK 12 Zarządzanie urządzeniem poprzez TELNET NIE 13 Zarządzanie urządzeniem poprzez SSH NIE 14 Zarządzanie urządzeniem poprzez CLI NIE 15 Zarządzanie urządzeniem poprzez WWW NIE 16 Zasilanie poprzez Ethernet TAK 17 Praca w standardzie IEEE 802.3af NIE (spowodowane szczególnymi wymogami rozwiązania MESH, do zastosowań dla sieci wewnętrznych proponowane są inne urządzenia, wspierające standard 802.3af) Cechy szczególne Access Point L.P. Rodzaj właściwości 1 Urządzenie przystosowane do pracy na zewnątrz. 2 Wyjście na 2 anteny zewnętrzne. Opis Solidna wodoszczelna obudowa. Przy wykorzystaniu zewnętrznym można dowolnie kształtować sygnał w oparciu o zastosowane anteny zewnętrzne o określonej charakterystyce. 3 Praca w 2 trybach Tryb RAP dostęp do sieci poprzez Ethernet Tryb MAP dostęp do sieci poprzez jedna z kart wifi łączącej się do innego MAPa lub do RAPa 6/26

Schemat instalacji testowej HiPath Wireless C2400 Controller Kontroler jest urządzeniem mającym na celu koordynację pracy AP w sieci oraz umożliwienie ich sprawnego rekonfigurowania i zarządzania. Schemat 1 7/26

Metodologa testów Testy zostały podzielone na 2 części. Testy laboratoryjne Opis: Polegają na sprawdzeniu funkcjonalności urządzeń oraz uzyskaniu dostępu zespołu testującego do usług wymaganych w projekcie (2 użytkowników). Czas trwania - od 7 do 10 dni roboczych. Cel: opis podstawowych cech sprzętu, sprawdzenie możliwości urządzeń pod kątem wymagań eduroam. Wykorzystano: komputer PC z systemem Windows XP Professional komputer PC z systemem Windows Vista Business komputer PC z systemem Linux aparat telefoniczny z systemem Symbian S60 Testowane zagadnienia 1. Kontrola poprawności połączeń we współpracy z różnymi typami EAP TLS TTLS PEAP 2. Kontrola poprawności przydzielania użytkowników do określonych VLAN-ów 3. Analiza parametrów FreeRadius przekazywanych w ramach sesji uwierzytelnienia oraz sesji rozliczeniowej (accounting) 4. Kontrola poprawności współpracy z serwerem DHCP 5. Analiza jakości połączenia. Test ciągłości połączenia, czas przejścia między testowanymi AP oraz czas autentykacji przełączana między AP jest oparty o obserwację pakietów ICMP Ping wysyłanych przy pomocy programu fping z częstotliwością 100ms i czasem oczekiwania 100 ms. Pakiety są zapisywane razem ze znacznikiem czasowym, wyniki testu są porównywane z logami serwera Radius. 8/26

Windows XP TLS Windows XP TTLS Uwierzytelnienie Windows XP PEAP Windows XP Obsługa VLAN Wyniki L.P. Nazwa Opis testu Karta System Wynik 1 3Com 3CRPAG175 OK 2 Intellinet Wireless G OK 3 Dell 1490 OK 4 Intel 3945 Vista OK 5 Nokia Symbian OK 6 3Com 3CRPAG175 OK 7 Intellinet Wireless G OK 8 Dell 1490 OK 9 Intel 3945 Vista OK 10 Nokia Symbian OK 11 3Com 3CRPAG175 OK 12 Intellinet Wireless G OK 13 Dell 1490 OK 14 Intel 3945 Vista OK 15 Nokia Symbian OK 16 Przydzielanie do VLANów 3Com 3CRPAG175 OK na podstawie autoryzacji z 17 serwera RADIUS Intellinet Wireless G OK 18 Dell 1490 OK 19 Intel 3945 Vista OK 20 Nokia Symbian OK 9/26

Windows XP Współpraca z serwerem DHCP 21 Współpraca z 3Com 3CRPAG175 OK. zewnętrznym serwerem 22 DHCP Intellinet Wireless G OK 23 Dell 1490 OK 24 Intel 3945 Vista OK 25 Nokia Symbian OK Analiza jakości połączenia: Zaobserwowany czas reautentykacji związanej ze zmianą AP wynosił poniżej 200ms przy uwierzytelnianiu w lokalnym serwerze Radius. Podczas testu z transmisja głosu, przerwa była praktycznie niezauważalna. Przerwa spowodowana reauthentykacja prowadzona w oparciu o odległy serwer Radius wynikała z czasu odpowiedzi tego serwera i wynosiła od 1,5 do 3 sekund. Obciążenie systemów: Podczas testów nie zaobserwowano problemów wydajnościowych. Pakiety FreeRadius: Access-Request Packet-Type = Access-Request User-Name = xxxx@yyyy.pl Calling-Station-Id = "00-19-7D-83-1A-3A" Called-Station-Id = "00-0B-85-6F-97-A0:eduroam" NAS-Port = 1 NAS-IP-Address = 192.168.33.220 NAS-Identifier = "Cisco_33:0d:80" Airespace-Wlan-Id = 3 Service-Type = Framed-User Framed-MTU = 1300 NAS-Port-Type = Wireless-802.11 Tunnel-Type:0 = VLAN Tunnel-Medium-Type:0 = IEEE-802 Tunnel-Private-Group-Id:0 = "35" EAP-Message = 0x020800060d00 State = 0x2ccf007329c70d0fe319601199ad982b Message-Authenticator = 0xb010510563eec8a8e24145a3328a3d48 Accounting-Start User-Name = xxxx@yyyy.pl NAS-Port = 1 NAS-IP-Address = 192.168.33.220 Framed-IP-Address = 192.168.30.25 NAS-Identifier = "Cisco_33:0d:80" 10/26

Airespace-Wlan-Id = 3 Acct-Session-Id = "4846960a/00:19:7d:83:1a:3a/52" Acct-Authentic = RADIUS Tunnel-Type:0 = VLAN Tunnel-Medium-Type:0 = IEEE-802 Tunnel-Private-Group-Id:0 = "30" Acct-Status-Type = Start Calling-Station-Id = "00-19-7d-83-1a-3a" Called-Station-Id = "00-0b-85-6f-97-a0" Accounting-Interim-Update User-Name = xxxx@yyyy.pl NAS-Port = 1 NAS-IP-Address = 192.168.33.220 Framed-IP-Address = 192.168.30.25 NAS-Identifier = "Cisco_33:0d:80" Airespace-Wlan-Id = 3 Acct-Session-Id = "4846960a/00:19:7d:83:1a:3a/52" Acct-Authentic = RADIUS Tunnel-Type:0 = VLAN Tunnel-Medium-Type:0 = IEEE-802 Tunnel-Private-Group-Id:0 = "30" Acct-Status-Type = Interim-Update Acct-Input-Octets = 3490438 Acct-Output-Octets = 3627979 Acct-Input-Packets = 26547 Acct-Output-Packets = 24511 Acct-Session-Time = 2900 Acct-Delay-Time = 0 Calling-Station-Id = "00-19-7d-83-1a-3a" Called-Station-Id = "00-0b-85-6f-97-a0" Accounting-Stop User-Name = xxxx@yyyyy.pl NAS-Port = 1 NAS-IP-Address = 192.168.33.220 Framed-IP-Address = 192.168.40.25 NAS-Identifier = "Cisco_33:0d:80" Airespace-Wlan-Id = 3 Acct-Session-Id = "4846960a/00:19:7d:83:1a:3a/52" Acct-Authentic = RADIUS Tunnel-Type:0 = VLAN Tunnel-Medium-Type:0 = IEEE-802 Tunnel-Private-Group-Id:0 = "30" Acct-Status-Type = Stop Acct-Input-Octets = 5099878 Acct-Output-Octets = 5530265 Acct-Input-Packets = 38836 Acct-Output-Packets = 35883 Acct-Terminate-Cause = Lost-Service Acct-Session-Time = 4150 11/26

Acct-Delay-Time = 0 Calling-Station-Id = "00-19-7d-83-1a-3a" Called-Station-Id = "00-0b-85-6f-97-a0" Uwagi do testów. 1. Rozwiązanie przedstawione do testów było zasadniczo przeznaczone do zewnętrznych zastosowań MESH, ale po zastosowaniu odpowiednich przewodów uzyskano system analogiczny do stosowanych w typowych sieciach wewnętrznych. 2. Testowane urządzenia wspierają standard CCKM. Karty wykorzystane w czasie testów wspierały te rozwiązanie w różnym stopniu. Testy produkcyjne Opis: Polegają na sprawdzeniu funkcjonalności urządzeń w ramach pracującej sieci w kilku obiektach o dużym natężeniu połączeń z siecią eduroam. Obszar testów jest zależny od ilości udostępnionych do testów urządzeń. (do 200 użytkowników). Czas trwania - od 7 do 14 dni. Z uwagi na bardzo sztywne ramy czasowe testu obszar został ograniczony do jednego budynku oraz mniejszej grupy użytkowników ( 10 osób) test trwał 3 dni. Cel: sprawdzenie testowanego rozwiązania w środowisku produkcyjnym bez jakiegokolwiek wpływu osób testujących na użytkowników. Wykorzystano: Wszystkie dostępne urządzenia WiFi będące w posiadaniu grupy losowej korzystającej z usług sieci eduroam na obszarze objętym testami. Testowane zagadnienia: 1. Obserwowane są sesje użytkowników i zbierane są ich opinie. 2. Powtarzana jest większość testów wykonanych w środowisku laboratoryjnym. 3. Analizowane jest obciążenie systemów, przekazywane komunikaty syslog. 4. Kontrola poprawności współpracy z serwerem DHCP 12/26

Wyniki L.P. Nazwa Opis testu Karta System Wynik 1 Windows XP OK. 2 Ogólnodostępne Windows VISTA OK. TLS 3 karty na rynku Symbian OK. 4 Linux OK 5 Windows XP OK. 6 Ogólnodostępne Windows VISTA OK. Uwierzytelnianie TTLS 7 karty na rynku Symbian OK. 8 Linux OK 9 Windows XP OK. 10 Ogólnodostępne Windows VISTA OK. PEAP 11 karty na rynku Symbian OK. 12 Linux OK 13 Przydzielanie do Windows XP OK. 14 VLANów na Windows VISTA OK. Ogólnodostępne 15 Obsługa VLAN podstawie karty na rynku Symbian OK. 16 autoryzacji z Linux OK serwera RADIUS 17 Windows XP OK. Współpraca z 18 Współpraca z Ogólnodostępne Windows VISTA OK. zewnętrznym 19 serwerem DHCP karty na rynku Symbian OK. serwerem DHCP 20 Linux OK Opinie użytkowników: Testowane rozwiązanie spełnia wymagania większości użytkowników. Nie odnotowano żadnych uwag krytycznych pod adresem wydajności oraz jakości połączeń w testowanym modelu. Obciążenie systemów: Podczas testów nie zaobserwowano problemów wydajnościowych. 13/26

Konfiguracja testowanego kontrolera oraz wykorzystanych AP Kontroler jest urządzeniem mającym na celu koordynację pracy AP w sieci oraz umożliwienie ich sprawnego rekonfigurowania i zarządzania. Opisywane urządzenie posiada wbudowane 4 porty ethernetowe oraz złącze RS232. Testowane rozwiązanie opiera się na rozwiązaniu Mesh. Podejście to ogranicza wykorzystanie sieci szkieletowej, w której podłączenie AP do sieci odbywa się poprzez Ethernet. Wykorzystujemy w nim dodatkową antenę pracującą w standardzie 802.11a do połączenia między AP podczas gdy antena pracująca w standardzie 802.11 b/g obsługuje użytkowników. Niewątpliwą zaletą tego rozwiązania jest możliwość ustawienia urządzeń w dowolnym miejscu będącym w zasiągu innego już pracującego AP wykorzystując wyłącznie gniazdko elektryczne. Minusem tego rozwiązania jest nieduża skuteczność wewnątrz budynków oraz stosunkowo niewielka odległość jaka może być pomiędzy AP dodatkowo każde oddalenie od punktów podłączonych do Ethernetu tzw. AP-RAP powoduje zmniejszenie skutecznej przepustowości sieci o 50%. Schemat 2 14/26

Opis konfiguracji modelu testowego eduroam Z uwagi na wysoką zgodność dostępnych opcji konfiguracji dostępnych w CLI jak i poprzez przeglądarkę WWW dalszą konfigurację przeprowadzimy poprzez przeglądarkę. Po zalogowaniu otrzymujemy następujący widok: Rysunek 1. Okno podzielone jest na 3 części. Część 1 - u góry strony, menu główne służące do konfiguracji, zarządzania oraz monitorowania działania systemu. Część 2 z lewej strony, menu podrzędne zawierające opcje dostępne po podkonaniu wyboru w menu głównego. Część 3 po środku, obszar roboczy, gdzie prezentowane są wybrane opcje z menu bocznego.. 15/26

Wybieramy z menu głównego CONTROLLER oraz z bocznego Interfaces Rysunek 2. Jak widać na Rysunekunku mamy już skonfigurowane statycznie 3 interfejsy. Interfejs ap-manager służy do komunikacji z AP możemy ustawić dowolny VLAN oraz IP. Interfejs management służy do komunikacji kontrolerem możemy ustawić dowolny VLAN oraz IP niezależne od ustawień w ap-manager Interfejs virtual nie zmieniamy. Wybieramy opcję NEW i konfigurujemy dynamiczne interfejsy skorelowane z używanymi przez nas VLANami. Rysunek 3. 16/26

Wybieramy Apply Rysunek 4. Kontroler wymaga by w każdym Vlanie był skonfigurowany statyczny nr IP wykorzystywany do komunikacji z serwerem dhcp. Podajemy również fizyczny nr portu oraz statyczny adres serwera DHCP, który wykorzystujemy w sieci. Powtarzamy ostatnie 2 kroki dla wszystkich VLANów jakie będziemy użytkowali. Po zakończeniu wprowadzania otrzymamy okno: Rysunek 5. 17/26

Następnie konfigurujemy serwery RADIUS. Wybieramy z menu głównego SECURITY a z menu bocznego AAA -> Radius -> Authentication Rysunek 6. W Call Stadion ID Type zmieniamy na AP MAC Address a następnie wybieramy NEW: Rysunek 7. 18/26

Wypełniamy dane i APPLY. Po zakończeniu wpisywania serwerów otrzymujemy następujące okno: Rysunek 8. Następnie konfigurujemy serwery RADIUS. Wybieramy z menu głównego SECURITY a z menu bocznego AAA -> Radius -> Accounting Rysunek 8. 19/26

Wybieramy NEW: Rysunek 9. Wypełniamy dane i APPLY. Po zakończeniu wpisywania serwerów otrzymujemy następujące okno: Rysunek 10. 20/26

Przechodzimy teraz do konfiguracji rozgłaszanych SSID. Wybieramy z menu głównego WLANs a z menu bocznego WLANs Rysunek 11. Wybieramy NEW : Rysunek 12. Wybieramy APPLY : Rysunek 13. Radio Policy ustawiamy na 802b/g only z uwagi na wykorzystanie 802.1 a na połączenia między AP. Interface ustawiamy na dowolny VLAN wcześniej skonfigurowany. Jest on w zasadzie nieistotny z naszego punktu widzenia, ponieważ po autoryzacji Radius decyduje w jakim 21/26

VLANie użytkownik zostanie umieszczony. Wybieramy zakładkę WLANs -> Edit -> Security -> Layer 2 Rysunek 13. W opcji Layer 2 Security zaznaczamy opcję WPA+WPA2 W opcji WPA + WPA Parameters pozostawiamy włączone jedynie opcje WPA Policy, WPA Encryption TKIP W opcji Auth Key Mgmt wybieramy opcje 802.1x+CCKM 22/26

Wybieramy zakładkę WLANs -> Edit -> Security -> AAA Serwers Rysunek 14. W polu Authentication Server przy Server 1 wybieramy nasz główny serwer RADIUS W polu Authentication Server przy Server 2 wybieramy nasz rezerwowy serwer RADIUS W polu Accounting Server przy Server 1 wybieramy nasz główny serwer RADIUS W polu Accounting Server przy Server 2 wybieramy nasz rezerwowy serwer RADIUS 23/26

Wybieramy zakładkę WLANs -> Edit -> Advanced Rysunek 15. I zaznaczamy pole Allow AAA Override. Konfigurujemy SSID konferencja Rysunek 16. 24/26

Wybieramy APPLY : Rysunek 17. Radio Policy ustawiamy na 802b/g only z uwagi na wykorzystanie 802.1 a na połączenia między AP. Interface ustawiamy na VLAN konferencyjny do którego będą kierowani użytkownicy. W tym momencie jak widać mamy ustawione szyfrowanie. WPA2 Auth(802.1X). Ten SSID jest zabezpieczony portalem dostępowym więc rezygnujemy z szyfrowania. Wybieramy zakładkę WLANs -> Edit -> Security -> Layer 2 Rysunek 18. W opcji Layer 2 Security zaznaczamy opcję None Tak skonfigurowany kontroler jest gotowy do pracy. 25/26

Konfiguracja AP. Access Pointy w rozwiązaniu Mesh dzielimy na 2 grupy. 1. RAP urządzenia podłączone do sieci ethernetowej do untagged VLAN w którym skonfigurowany jest interfejs ap-manager. Należy jedynie dopisać urządzenie do DHCP i AP samodzielnie wyszukuje kontroler i się pod niego podpina. Generalnie nie mamy dostępu do AP. 2. MAP urządzenie łączące się do sieci ethernetowej za pośrednictwem aktywnego AP- RAP. Należy ustawić urządzenie w zasięgu sieci propagowanej przez RAP i urządzenie samo podepnie się pod kontroler. Nie mamy żadnego bezpośredniego dostępu do AP. Rysunekunek 19. 26/26

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres