wireless kontroler aruba 200 - eduroam.pl · wireless kontroler aruba 200 wersja: 3.1.1.7...
TRANSCRIPT
Wireless kontroler Aruba 200
Wersja: 3.1.1.7
BootLoader CPBoot 1.2.11
Opis testu i instalacji na potrzeby usługi eduroam
Krzysztof Turza ([email protected])
dokument przygotowany w ramach projektu B-R eduroam-PIONIER
2008-08-30
2/23
Wstęp.......................................................................................................................................... 3
Założenia. ................................................................................................................................... 3
SSID ....................................................................................................................................... 3
Szyfrowanie............................................................................................................................ 3
Uwierzytelnienie. ................................................................................................................... 4
VLAN..................................................................................................................................... 4
Infrastruktura stała niezależna od zestawu testowego konieczna do stworzenia modelu. ..... 4
Opis testowanego zestawu. ........................................................................................................ 5
Kontroler. ............................................................................................................................... 5
Access Point. .......................................................................................................................... 6
Cechy szczególne Access Point. ............................................................................................ 6
Schemat instalacji testowej. ....................................................................................................... 7
Metodologa testów ..................................................................................................................... 8
Testy laboratoryjne................................................................................................................. 8
Opis. ................................................................................................................................... 8
Cel. ..................................................................................................................................... 8
Testowane zagadnienia. ..................................................................................................... 8
Wyniki. ............................................................................................................................... 9
Testy produkcyjne. ............................................................................................................... 10
Opis. ................................................................................................................................. 10
Cel. ................................................................................................................................... 10
Testowane zagadnienia. ................................................................................................... 10
Wyniki. ............................................................................................................................. 10
Konfiguracja testowanego kontrolera oraz AP ........................................................................ 11
Konfiguracja kontrolera ....................................................................................................... 11
Konfiguracja VLANów i AP................................................................................................ 19
Konfiguracja VLANów:................................................................................................... 19
Konfiguracja profili WLAN............................................................................................. 21
3/23
Wstęp.
Usługa eduroam jest skierowana do społeczności akademickiej na całym świecie.
Obejmuje swoim zasięgiem między innymi 32 kraje Europy, 6 krajów Azjatyckich leżących
nad Pacyfikiem. Jej głównym celem jest zapewnienie społeczności akademickiej szybkiego
i bezpiecznego dostępu do Internetu bez konieczności kontaktowania się z lokalnym
administratorem. Uwierzytelnianie stosowane w eduroam umożliwia zabezpieczenie przed
dostępem nieupoważnionych osób oraz w przypadku ewentualnych nadużyć umożliwia
identyfikację konkretnego użytkownika.
W Polsce z eduroam korzysta obecnie kilkanaście uczelni wyższych, użytkowników
sieci PIONIER. Prace nad wprowadzeniem eduroam, jako pełnej usługi sieci PIONIER
obejmują również rozpoznanie dostępnego sprzętu Wi-Fi i przeprowadzenie testów
kompatybilności z założeniami eduroam.
Założenia.
Testy skupiają się na tych cechach sprzętu, które są szczególnie istotne w sieci
uczelnianej bezprzewodowej włączanej w strukturę eduroam. Z założenia są to zatem testy
częściowe.
SSID
W ramach przeprowadzonych testów rozgłaszamy dwie sieci. Podstawowa sieć
nazwana jest „eduroam”, oraz dodatkowa sieć konferencyjna w naszym modelu nazwana
„Konferencja”.
Szyfrowanie.
• SSID eduroam musi być zabezpieczone WPA/TKIP. Teoretycznie nie ma
przeciwwskazań, aby na tym samym SSID stosować dodatkowo standard WPA2
z TKIP lub AES. W praktyce, może to prowadzić do pewnych niekompatybilności
z sieciami w innych instytucjach, a nawet utrudnień z wykonaniem połączenia.
Z tego powodu, podstawą testów jest ustawienie WPA/TKIP.
W czasie testów sprawdzane jest również WPA2 zarówno w połączeniu z WPA, jak
i oddzielnie.
• SSID „Konferencja” jest traktowane jako sieć do krótkoterminowego użytkowania
przez osoby niezwiązane z uczelnią, która jest rozgłaszana tylko na obszarze
konkretnej konferencji w czasie jej trwania. Użytkownicy tej sieci nie kontaktują się
z administratorami eduroam. Informacje dotyczące sposobu i zasad korzystania
z tej sieci otrzymują od organizatora. Sieć ta jest rozgłaszana z szyfrowania
WPA-PSK. Testowana jest jedynie możliwość skonfigurowania takiego SSID
i związania go z wydzielonym VLAN-em.
4/23
Uwierzytelnienie.
Użytkownicy korzystający z SSID „eduroam” są podłączani na podstawie
przesyłanych przez nich danych do serwera Radius. Po autoryzacji użytkownik zostaje
przypisany do VLANu wskazanego przez serwer Radius. W modelu testowym rozróżniamy
3 grupy użytkowników umownie nazwaliśmy je: pracownicy, studenci oraz goście
(użytkownicy uwierzytelniani przez instytucje pracujące w ramach eduroam, posiadające
własny serwer Radius). Uwierzytelnianie jest oparte o 3 typy EAP: TLS, TTLS/PAP,
PEAP/MSCHAPv2.
VLAN
Numeracja i opis VLAN-ów stosowanych w testach
• 1 – Zarządzający dla kontrolera, AP
• 101 – Wyjście do Internetu dla Gości
• 4031 – Dla obsługi serwerów DHCP, RADIUS oraz wyjście do Internetu dla eduroam
Infrastruktura stała niezależna od zestawu testowego konieczna do stworzenia
modelu.
Urządzenia użytkowane w ramach projektu muszą spełniać minimalnie kilka
podstawowych funkcji. Podstawowym wymaganiem jest obsługa VLAN 802.1q.
W ramach modelu korzystamy z następujących urządzeń:
• Server autoryzacji FreeRadius v. 2
• Serwer DHCP
• Przełączniki Ethernet
Przełącznik 1:
Port 1 – vlan 101, 4031 – Tagged, 1 – Untagged
Port 2 – vlan 101, 4031 – Tagged, 1 – Untagged
Port 3 – vlan 101, 4031 – Tagged, 1 – Untagged
Port 4 – vlan 101, 4031 – Tagged, 1 – Untagged
Przełącznik 2:
Port 1 – vlan 101, 4031 – Tagged, 1 – Untagged
Port 2 – vlan 1 – Untagged
Port 3 – vlan 101 – Untagged
Port 4 – vlan 4031 – Untagged
5/23
Opis testowanego zestawu.
Kontroler.
L.P. Rodzaj testów Wynik
1 Model kontroler Aruba 200
2 Wersja oprogramowania 3.1.1.7
3 Ilość portów LAN 8
4 Konfiguracja portu serwisowego Prędkość : 9600
Bity danych : 8
Parzystość : brak
Bity stopu : 1
Sterowanie przepływem : brak
5 Programowe wyłączanie kontrolera NIE
6 Obsługa VLANów TAK
7 Dynamiczne VLANy TAK
8 Ilość rozgłaszanych SSID TAK do 16
9 Accounting TAK
10 Wbudowany serwer DHCP TAK
11 Tunelowanie ruchu z AP do kontrolera TAK
12 Statyczne przekierowanie ruchu z AP do
lokalnego VLANu
nie badano
13 Dynamiczne przekierowanie ruchu z AP do
lokalnego VLANu na podstawie RADIUSa
nie badano
14 Wbudowany serwer RADIUS NIE
15 Wyszukiwanie intruzów TAK
16 Zwalczanie intruzów TAK
17 Zewnętrzne oprogramowanie do
zarządzania
nie badano
18 Zewnętrzne oprogramowanie do
monitoringu
nie badano
19 QOS TAK
20 Wbudowany potral dostępowy TAK
21 Obsługa SNMP TAK – SNMP v2 i 3
6/23
Access Point.
L.P. Rodzaj testów Wynik
1 Model Aruba AP-65 dual radio
2 Ilość portów LAN 1
3 Konfiguracja portu serwisowego brak
4 Praca w standardzie 802.11a TAK
5 Praca w standardzie 802.11n NIE
6 Praca w standardzie 802.11b TAK
7 Praca w standardzie 802.11g TAK
8 Praca samodzielna NIE
9 Praca pod kontrola kontrolera TAK
10 Zasilanie poprzez Ethernet TAK
11 Praca w standardzie IEEE 802.3af TAK
Cechy szczególne Access Point.
L.P. Rodzaj właściwości Opis
1 Wyjście na 2 anteny
zewnętrzne.
brak – tylko anteny wbudowane
2 Praca w 2 trybach Brak - tryb pracy poprzez kontroler.
7/23
Schemat instalacji testowej.
8/23
Metodologa testów
Testy zostały podzielone na 2 części.
Testy laboratoryjne.
Opis.
Testy laboratoryjne polegają na sprawdzeniu funkcjonalności urządzeń oraz uzyskaniu
dostępu zespołu testującego do usług wymaganych w projekcie (2 użytkowników).
Czas trwania - od 7 do 10 dni roboczych.
Cel.
Testy laboratoryjne maja na celu opis podstawowych cech sprzętu oraz sprawdzenie
możliwości urządzeń pod kątem wymagań eduroam.
Wykorzystano:
• komputer PC z systemem Windows XP Professional
• komputer PC z systemem Windows Vista Business
• aparat telefoniczny z systemem Symbian S60
Testowane zagadnienia.
1. Kontrola poprawności połączeń we współpracy z EAP-TLS
2. Kontrola poprawności przydzielania użytkowników do określonych VLAN-ów
3. Analiza parametrów FreeRadius przekazywanych w ramach sesji
uwierzytelnienia oraz sesji rozliczeniowej (accounting)
4. Kontrola poprawności współpracy z serwerem DHCP kontrolera oraz
zewnętrznym DHCP.
5. Analiza jakości połączenia. Test ciągłości połączenia, czas przejścia między
testowanymi AP oraz czas autentykacji przełączana między AP jest oparty
o obserwację pakietów ICMP Ping wysyłanych przy pomocy programu fping
z częstotliwością 100ms i czasem oczekiwania 100 ms. Pakiety są zapisywane
razem ze znacznikiem czasowym, wyniki testu są porównywane z logami
serwera Radius.
9/23
Wyniki.
L.P. Nazwa Opis testu Karta System Wynik
1 3Com 3CRPAG175 OK
2 Intel 3945 OK
3 Dell 1490 OK
4 Atheros AR5006EG
Windows X
P
5 Intel 4945 OK
6 Atheros AR5006EG Vista
7
Uwierzy
telnien
ie
TLS
Nokia E51 Symbian OK
8 3Com 3CRPAG175 OK
9 Intel 3945 OK
10 Dell 1490 OK
11 Atheros AR5006EG
Windows X
P
12 Intel 4945 OK
13 Atheros AR5006EG Vista
14
Wsp
ółpraca z serw
erem
DHCP
Współpraca z
zewnętrznym
serwerem DHCP
Nokia E51 Symbian OK.
15 3Com 3CRPAG175 OK
16 Intel 3945 OK
17 Dell 1490 OK
18 Atheros AR5006EG
Windows X
P
19 Intel 4945 OK
20 Atheros AR5006EG Vista
21
Wsp
ółpraca z serw
erem
DHCP
Współpraca z
wbudowanym
serwerem DHCP
Nokia E51 Symbian OK
Analiza jakości połączenia.
Podczas przeprowadzonych testów zaobserwowany czas reautentykacji, który średnio
wynosił 3 sekundy.
Obciążenie systemów.
Podczas testów nie zaobserwowano problemów wydajnościowych.
10/23
Testy produkcyjne.
Opis.
Testy produkcyjne polegają na sprawdzeniu funkcjonalności urządzeń w ramach
pracującej sieci. Z uwagi na ograniczoną liczbę wypożyczonych punktów
dostępowych obszar testów obejmował jeden budynek o dużym natężeniu połączeń
z siecią eduroam (ok 40 użytkowników). Czas trwania - 5 dni.
Cel.
Testy produkcyjne mają na celu sprawdzenie testowanego rozwiązania w środowisku
produkcyjnym bez jakiegokolwiek wpływu osób testujących na użytkowników.
Wykorzystano:
Wszystkie dostępne urządzenia WiFi będące w posiadaniu grupy losowej
korzystającej z usług sieci eduroam na obszarze objętym testami.
Testowane zagadnienia.
1. Obserwowane są sesje użytkowników i zbierane są ich opinie.
2. Powtarzana jest większość testów wykonanych w środowisku laboratoryjnym.
3. Kontrola poprawności współpracy z serwerem DHCP
Wyniki.
L.P. Nazwa Opis testu Karta System Wynik
1 Windows XP OK.
2 Windows
VISTA OK.
3
Uwierzy
telnian
ie
TLS Ogólnodostępne
karty na rynku
Symbian OK.
4 Windows XP OK.
5 Windows
VISTA OK.
6
Współpraca z
serwerem
DHCP
Współpraca z
zewnętrznym
serwerem
DHCP
Ogólnodostępne
karty na rynku
Symbian OK.
7 Windows XP OK.
8 Windows
VISTA OK.
9
Współpraca z
serwerem
DHCP
Współpraca z
wbudowanym
serwerem
DHCP
Ogólnodostępne
karty na rynku
Symbian OK.
11/23
Opinie użytkowników.
Testowane rozwiązanie spełnia wymagania większości użytkowników. Nie odnotowano
żadnych uwag krytycznych pod adresem wydajności oraz jakości połączeń w testowanym
modelu.
Obciążenie systemów.
Podczas testów nie zaobserwowano problemów wydajnościowych.
Konfiguracja testowanego kontrolera oraz AP
Konfiguracja kontrolera
Kontroler jest urządzeniem mającym na celu koordynację pracy AP w sieci oraz
umożliwienie ich sprawnego rekonfigurowania i zarządzania.
Opisywane urządzenie posiada wbudowane 2 porty ethernetowych (1xFastEthernet port
10/100, 1xGigabitEthernet port 10/100/1000) oraz złącze RS232.
Konfigurowanie urządzenia rozpoczynamy od podłączenia się do portu RS232
Po połączeniu pokazuje się napis:
Następnie wprowadzamy poniższe informacje:
Opcja Opis [ustawienia w danym przykładzie]
System Name Nazwa własna kontrolera – może zawierać do 64 znaków
VLAN 1 IP Address
and
Subnetwork Mask
Adres kontrolera używany do komunikacji z innymi kontrolerami oraz
Access Pointami
Default Gateway Brama domyślna (zazwyczaj ten address IP jest adresem routera). Adres IP
bramy oraz adres IP VLAN 1 muszą być w tej samej podsieci
12/23
Controller Role Rola kontrolera w sieci:
� Master: jeśli kontroler jest jedynym lub głównym kontrolerem w sieci
� Local: jeśli jest wiele kontrolerów w sieci I podany kontroler ma być
zależnym od kontrolera master. (w tym wypadku należy podać adres IP
master kontrolera.)
Country Code Dwu-literowy kod kraju, w którym będzie pracował kontroler. Kod ten
determinuje ustawienia spectrum transmisyjnego z godnego z 802.11 [PL]
Master Controller IP (Jeśli ustawiono Controller Role na Local) IP adres master kontrolera.
admin User Password Hasło dla użytkownika admin do logowania do kontrolera. Hasło może
zawierać do 32 znaków
Enable Mode
Password
Hasło użytkownika admin do trybu Enable. Może zawierać do 15 znaków.
Date and Time Data i czas systemowy.
Na koniec zatwierdzamy zmiany wpisując: „y”
Następnie należy przyłączyć kontroler do sieci przewodowej – wg schematu przedstawionego
na rysunku 1. Po przyłaczeniu kontrolera do sieci należy zalogować się poprzez interfejs
WWW (WebUI) wpisują adres IP kontrolera, a następnie w polu User wpisać „admin”, zaś
w polu password ustawione wcześniej hasło.
Od tego momentu jesteśmy niezależni od portu RS232.
Konfiguracja jest możliwa poprzez WWW, SSH, Telnet.
Dalszą konfigurację proponujemy wykonać z poziomu WebUI kontrolera.
Na stronę logujemy się podając login: admin oraz hasło wprowadzone w procesie
konfiguracji wstępnej.
Wszelkie zmiany w konfiguracji IP kontrolera można wprowadzić w zakładce
Network>Controller>System Settings
13/23
W celu umożliwienia komunikacji oraz konfiguracji AP z poziomu kontrolera należy
uruchomić serwer DHCP
W oknie tym:
- Wchodzimy w zakładkę Configuration > Network > IP > DHCP Server
- Zaznaczamy pole Enable DHCP Server
- W sekcji Pool Configuration należy wybrać Add
- Definiujemy podsieć dla adresacji AP i wybieramy Done
Aby z puli zakresów wykluczyć pewne zakresy należy w zakładce Excluded Address Range
wybrać Add, wpisać zakres adresów do wykluczenia i wybrać Done
Na koniec należy zachować konfigurację wybierając Save Configuration
Należy podłączyć AP do podsieci LAN kontrolera (tak jak na Rys. 1)
AP powinien być widoczny w zakładce Configuration > Wireless > AP Installation.
Konfiguracja polityk bezpieczeństwa oraz dostępu do serwera Radius.
Przechodzimy do zakładki Security > Access Control > Policies i wybieramy Add
14/23
W wyświetlonym oknie wybieramy Add New Policy …
… wpisujemy nazwę Policy Name (w tym przykładzie Policy_EduRoam), i ewentualnie
definiujemy dodatkowe polityki bezpieczeństwa.
Następnie przechodzimy do zakładki Security > Access Control > User Roles …
15/23
… i wybieramy Add.
W polu Role Name wpisujemy nazwę (w tym przykładzie Role_EduRoam).
W części Firewall Policies wybieramy Add i wybieramy Choose from Configured Policies
następnie wybieramy nazwę wcześniej utworzonej Policy (Policy_EduRoam). Zatwierdzamy
wszystkie zmiany za pomocą Done.
W części Role VLAN ID wybieramy nr VLANu przydzielony do obsługi tego ruchu (w tym
przypadku VLAN 4031).
W tej zakładce można także zdefiniować dodatkowo takie informacje jak rezerwacja
przepływności (Badwitch Contract), profil Captive Portal’u (należy go wcześniej
zdefiniować) oraz maksymalną ilość sesji użytkowników.
Na koniec wybieramy Apply i zachowujemy konfigurację wybierając Save Configuration.
Następnym krokiem jest zdefiniowanie serwera Radiusa. Przechodzimy do zakładki Security
> Authentication > Server i rozwijamy listę RADIUS Server..
16/23
Wpisujemy dowolną nazwę (w tym przypadku Edu_server) i wybieramy Add.
Wypełnimy tabelę wpisując przede wszystkim adres IP serwera (w polu Host) oraz klucz
w polu (Key). Dodatkowo możemy zdefiniować takie wartości jak: numery portu autoryzacji
i potwierdzeń, ilość prób logowania itp.
Na koniec zatwierdzamy zmiany wybierając Apply.
Następnie, w tej samej zakładce, rozwijamy listę Server Group.
17/23
Wpisujemy dowolną nazwę (w tym przypadku Edu_Group) i wybieramy Add.
W części Servers dodajemy zdefiniowany wcześniej serwer Radiusa (Edu_server)
i wybieramy Apply.
Następnym krokiem jest zdefiniowanie typu autoryzacji. Przechodzimy do zakładki Security
> Authentication >L2 Authentication i wybieramy na pole o nazwie 802.1x Authentication
Profile.
18/23
Wpisujemy dowolną nazwę (w tym przypadku Edu_Roam) i wybieramy Add.
Po utworzeniu nowego profilu mamy możliwość zdefiniowania własnych, szczegółowych
danych dotyczących autoryzacji użytkowników.
Następnym krokiem jest przypisanie zdefiniowanego typu autoryzacji do odpowiedniego
profilu AAA. Przechodzimy do zakładki Security > Authentication > AAA Profiles
- wpisujemy nazwę profilu AAA (w naszym przypadku EduRoam). Po dodaniu nazwy
rozwijamy listę z prawej strony EduRoam i dla profilu 802.1x wybrać autoryzację EduRoam
19/23
Konfiguracja VLANów i AP
Konfiguracja VLANów:
Przechodzimy do zakładki Configuration > Network > VLANs
… i dodajemy kolejno VLANy wpisując nazwę oraz nr ID.
[nazwy vlanów + oznaczenia]
Każdy z wpisanych VLANów (nazwa ID) należy zatwierdzić wypierając przycisk Apply
20/23
Aby zdefiniować wartości IP dla poszczególnych VLANów należy przejść do strony
Configuration >Network > IP > IP Interfaces
… i wybrać przycisk Edit przy wybranym VLANie
W nowo otwartym oknie należy wpisać IP Address i Net Mask (maskę podsieci). Dodatkowo
dla VLANów przeznaczonych na obsługę ruch z podsieci konferencja należy zaznaczyć pole
Enable source NAT for his VLAN [adresy IP i Maski z podziałem na sieci].
Aby przypisać VLAN do wybranego portu kontrolera należy przejść do zakładki
Configuration > Network > VLANs i wybrać przycisk edycji danego VLANu.
W polu Assign this VLAN to Ports należy zaznaczyć odpowiednie pola i zatwierdzić Apply.
[tabela Vlan -> porty]
21/23
Konfiguracja profili WLAN.
Przechodzimy do zakładki Configuration > Wireless > AP Configuration i wybieramy grupę
AP w której chcemy zmodyfikować ustawienia WLAN.
W liście profili wybieramy Wireless LAN, a następne Virtual AP.
W polu Profile Details wybieramy NEW i wpisujemy nazwę nowego profilu (w naszym
przypadku jest ona taka sama jak nazwa SSID). Każdy z nich zatwierdzamy przyciskiem
Add. W naszym przypadku są to nazwy: [konferencja eduroam].
Całość należy zatwierdzić jeszcze przysiekiem Apply.
Po wybraniu zdefiniowanego wcześniej profilu, w polu VLAN, należy wpisać nazwę VLANu
przydzielonego temu profilowi (rodzajowi ruchu). W naszym przypadku są to: VLAN 101 dla
SSID Konferencja i VLAN 4031 dla sieci eduroam.
Następnym krokiem jest zdefiniowanie szczegółowych parametrów dla poszczególnych
profili:
a) Profil EduRoam
Rozwijamy menu SSID Profile (w podmenu virtual AP->EduRoam) a następnie,
wpisujemy Network Name (SSID) czyli nazwę SSID rozgłaszanego przez sieć (w tym
przypadku konferencja eduroam). W sekcji 802.11 Security należy zaznaczyć pola WPA2
oraz AES.
22/23
Zmiany zatwierdzamy Apply.
Rozwijamy zakładkę AAA Profile i w oknie po prawej stronie wybieramy wcześniej
zdefiniowany profil AAA o nazwie EduRoam
Zachowujemy konfigurację – Apply.
b) Profil konferencja
Wybieramy SSID Profile (w menu Virtual AP->konferencja) a następnie, wpisujemy
Network Name (SSID) czyli nazwę SSID rozgłaszanego przez sieć (w tym przypadku
konferencja). W polu autoryzacji wybieramy WPA-PSK i wpisujemy ciąg znaków
określających klucz. Zachowujemy konfigurację – Apply.
23/23
Rozstawiamy AP w docelowych lokalizacjach i przeprowadzamy test podłączenia do sieci w
celu zweryfikowania poprawności skonfigurowania sprzętu..
Po wykonaniu powyższych czynności otrzymujemy skonfigurowany system oparty na
kontrolerze Aruba do współpracy z usługą Eduroam.