Cisco 2000 Series WLAN Controller: 6 APs - eduroam.pl · 1 Model Cisco Aironet 1510 Lightweight...
Transcript of Cisco 2000 Series WLAN Controller: 6 APs - eduroam.pl · 1 Model Cisco Aironet 1510 Lightweight...
Cisco 2000 Series WLAN Controller: 6 APs
PID: AIR-WLC2006-K9 Version: 4.1.171.0
VID: V01
Opis testu i instalacji na potrzeby usługi eduroam
Tomasz Piontek ([email protected])
dokument przygotowany w ramach projektu B-R eduroam-PIONIER
2/26
Spis treści
Wstęp ........................................................................................................................................ 3
Założenia .................................................................................................................................. 3
SSID ................................................................................................................................................. 3
Szyfrowanie ...................................................................................................................................... 3
Uwierzytelnienie .............................................................................................................................. 4
VLAN ............................................................................................................................................... 4
Infrastruktura stała niezależna od zestawu testowego konieczna do stworzenia modelu ................. 4
Opis testowanego zestawu ....................................................................................................... 5
Kontroler .......................................................................................................................................... 5
AP .................................................................................................................................................... 6
Schemat modelu ............................................................................................................................... 7
Metodologa testów ................................................................................................................... 8
Testy laboratoryjne .............................................................................................................. 8
Testowane zagadnienia ................................................................................................... 8
Wyniki testów .................................................................................................................. 9
Testy produkcyjne ............................................................................................................. 12
Testowane zagadnienia: ................................................................................................ 12
Wyniki testów ................................................................................................................ 13
Opis konfiguracji testowanego zestawu .................................................................................. 14
3/26
Wstęp
Usługa eduroam jest skierowana do społeczności akademickiej na całym świecie.
Obejmuje swoim zasięgiem między innymi 32 kraje Europy, 6 krajów Azjatyckich leżących
nad Pacyfikiem. Jej głównym celem jest zapewnienie społeczności akademickiej szybkiego i
bezpiecznego dostępu do Internetu bez konieczności kontaktowania się z lokalnym
administratorem. Uwierzytelnianie stosowane w eduroam umożliwia zabezpieczenie przed
dostępem nieupoważnionych osób oraz w przypadku ewentualnych nadużyć umożliwia
identyfikację konkretnego użytkownika.
W Polsce z eduroam korzysta obecnie kilkanaście uczelni wyższych, użytkowników
sieci PIONIER. Prace nad wprowadzeniem eduroam jako pełnej usługi sieci PIONIER
obejmują również rozpoznanie dostępnego sprzętu WiFi i przeprowadzenie testów
kompatybilności z założeniami eduroam.
Założenia
Testy skupiają się na tych cechach sprzętu, które są szczególnie istotne w sieci
uczelnianej bezprzewodowej włączanej w strukturę eduroam. Z założenia są to zatem testy
częściowe.
SSID
W ramach eduroam rozgłaszamy dwie sieci. Podstawowa sieć nazwana jest zawsze
„eduroam”, oraz dodatkowa sieć konferencyjna w naszym modelu nazwana „Konferencja”.
Szyfrowanie
SSID eduroam musi być zabezpieczone WPA1/TKIP. Teoretycznie nie ma
przeciwwskazań, aby na tym samym SSID stosować dodatkowo standard WPA2 z
TKIP lub AES. W praktyce, może to prowadzić do pewnych niekompatybilności z
sieciami w innych instytucjach, a nawet utrudnień z wykonaniem połączenia. Z tego
powodu, podstawą testów jest ustawienie WPA1/TKIP. W czasie testów
laboratoryjnych sprawdzane jest również WPA2 zarówno w połączeniu z WPA1, jak i
oddzielnie.
SSID „Konferencja” jest traktowane jako sieć do krótkoterminowego użytkowania
przez osoby niezwiązane z uczelnią, która jest rozgłaszana tylko na obszarze
konkretnej konferencji w czasie jej trwania. Użytkownicy tej sieci nie kontaktują się z
administratorami eduroam. Informacje dotyczące sposobu i zasad korzystania z tej
sieci otrzymują od organizatora. Sieć ta jest rozgłaszana bez szyfrowania i
zabezpieczana portalem dostępowym. Testowana jest jedynie możliwość
skonfigurowania takiego SSID i związania go z wydzielonym VLAN-em.
4/26
Uwierzytelnienie
Użytkownicy korzystający z SSID „eduroam” są podłączani na podstawie
przesyłanych przez nich danych do serwera Radius. Po autoryzacji użytkownik zostaje
przypisany do VLANu wskazanego przez serwer Radius. W modelu testowym rozróżniamy 3
grupy użytkowników umownie nazwaliśmy je : pracownicy, studenci oraz goście
(użytkownicy uwierzytelniani przez instytucje pracujące w ramach eduroam, posiadające
własny serwer Radius) . Uwierzytelnianie jest oparte o 3 typy EAP: TLS, TTLS/PAP,
PEAP/MSCHAPv2.
VLAN
Numeracja i opis VLAN-ów stosowanych w testach
30 – Pracownicy
31 – Studenci
32 – Goście
33 – Zarządzający dla kontrolera, AP, serwerów DHCP oraz RADIUS
35 – Konferencyjny
Infrastruktura stała niezależna od zestawu testowego konieczna do stworzenia
modelu
Urządzenia użytkowane w ramach projektu muszą spełniać minimalnie kilka
podstawowych funkcji. Podstawowym wymaganiem jest obsługa VLAN 802.1q. W ramach
modelu korzystamy z następujących urządzeń:
Server FreeRadius v. 2
Serwer DHCP
Router
Przełączniki Ethernet
Przełącznik 1 :
Port 1 – vlan 30,31,32,33,35 – Tagged
Port 12 – vlan 33 – Untagged,
Port 14 – vlan 30,31,32,33,35 – Tagged
Przełącznik 2 :
Port 2 – vlan 30,31,32,33,35 – Tagged
Port 3 – vlan 30,31,32,33,35 – Tagged
Port 13 – vlan 33 – Untagged,
5/26
Opis testowanego zestawu:
Kontroler:
L.P. Rodzaj testów Wynik
1 Model 2000 Series WLAN Controller: 6 APs
2 Wersja AIR-WLC2006-K9
3 Wersja oprogramowania 4.1.171.0
4 Ilość portów LAN 4
5 Konfiguracja portu serwisowego Prędkość : 9600
Bity danych : 8
Parzystość : brak
Bity stopu : 1
Sterowanie
przepływem : brak
6 Programowe wyłączanie kontrolera NIE
7 Obsługa VLANów TAK
8 Dynamiczne VLANy TAK
9 Ilość rozgłaszanych SSID 16
10 Accounting TAK
11 Wbudowany serwer DHCP TAK
12 Tunelowanie ruchu z AP do kontrolera TAK
13 Statyczne przekierowanie ruchu z AP do
lokalnego VLANu
NIE
14 Dynamiczne przekierowanie ruchu z AP do
lokalnego VLANu na podstawie RADIUSa
NIE
15 Wbudowany serwer RADIUS NIE (istnieje możliwość obsługi EAP w
oparciu o lokalną bazę użytkowników)
16 Wyszukiwanie intruzów TAK
17 Zwalczanie intruzów nie badano
18 Zewnętrzne oprogramowanie do
zarządzania
TAK
19 Zewnętrzne oprogramowanie do
monitoringu
TAK
20 QOS TAK
21 Wbudowany potral dostępowy TAK
22 Obsługa SNMP TAK
Cechy szczególne kontrolera
L.P. Rodzaj właściwości Opis
1 Zarządzanie AP w standardzie
MESH
Tworzenie sieci w oparciu o połączenia między AP
przy pomocy łączy radiowych.
2 Wspieranie standardu CCKM Rozwiązanie ma na celu pomięcie autentykacji
użytkownika przemieszczającego się pomiędzy AP
6/26
Access Point:
L.P. Rodzaj testów Wynik
1 Model Cisco Aironet 1510 Lightweight
Outdoor Mesh Access Point
2 Wersja oprogramowania startowego 2.1.78.0
3 Wersja oprogramowania 4.1.171.0
4 Ilość portów LAN 1
5 Konfiguracja portu serwisowego Brak
6 Praca w standardzie 802.11a TAK
7 Praca w standardzie 802.11n NIE
8 Praca w standardzie 802.11b TAK
9 Praca w standardzie 802.11g TAK
10 Praca samodzielna NIE
11 Praca pod kontrola kontrolera TAK
12 Zarządzanie urządzeniem poprzez TELNET NIE
13 Zarządzanie urządzeniem poprzez SSH NIE
14 Zarządzanie urządzeniem poprzez CLI NIE
15 Zarządzanie urządzeniem poprzez WWW NIE
16 Zasilanie poprzez Ethernet TAK
17 Praca w standardzie IEEE 802.3af NIE (spowodowane szczególnymi
wymogami rozwiązania MESH, do
zastosowań dla sieci wewnętrznych
proponowane są inne urządzenia,
wspierające standard 802.3af)
Cechy szczególne Access Point
L.P. Rodzaj właściwości Opis
1 Urządzenie przystosowane
do pracy na zewnątrz.
Solidna wodoszczelna obudowa.
2 Wyjście na 2 anteny
zewnętrzne.
Przy wykorzystaniu zewnętrznym można dowolnie
kształtować sygnał w oparciu o zastosowane anteny
zewnętrzne o określonej charakterystyce.
3 Praca w 2 trybach Tryb RAP – dostęp do sieci poprzez Ethernet
Tryb MAP – dostęp do sieci poprzez jedna z kart wifi
łączącej się do innego MAPa lub do RAPa
7/26
Schemat instalacji testowej
HiPath Wireless C2400 Controller
Kontroler jest urządzeniem mającym na celu koordynację pracy AP w sieci oraz
umożliwienie ich sprawnego rekonfigurowania i zarządzania.
Schemat 1
8/26
Metodologa testów
Testy zostały podzielone na 2 części.
Testy laboratoryjne
Opis: Polegają na sprawdzeniu funkcjonalności urządzeń oraz uzyskaniu dostępu
zespołu testującego do usług wymaganych w projekcie (2 użytkowników). Czas
trwania - od 7 do 10 dni roboczych.
Cel: opis podstawowych cech sprzętu, sprawdzenie możliwości urządzeń pod kątem
wymagań eduroam.
Wykorzystano:
komputer PC z systemem Windows XP Professional
komputer PC z systemem Windows Vista Business
komputer PC z systemem Linux
aparat telefoniczny z systemem Symbian S60
Testowane zagadnienia
1. Kontrola poprawności połączeń we współpracy z różnymi typami EAP
TLS
TTLS
PEAP
2. Kontrola poprawności przydzielania użytkowników do określonych VLAN-ów
3. Analiza parametrów FreeRadius przekazywanych w ramach sesji
uwierzytelnienia oraz sesji rozliczeniowej (accounting)
4. Kontrola poprawności współpracy z serwerem DHCP
5. Analiza jakości połączenia. Test ciągłości połączenia, czas przejścia między
testowanymi AP oraz czas autentykacji przełączana między AP jest oparty o
obserwację pakietów ICMP Ping wysyłanych przy pomocy programu fping z
częstotliwością 100ms i czasem oczekiwania 100 ms. Pakiety są zapisywane
razem ze znacznikiem czasowym, wyniki testu są porównywane z logami
serwera Radius.
9/26
Wyniki
L.P. Nazwa Opis testu Karta System Wynik
1
Uw
ierzyteln
ienie
TL
S
3Com 3CRPAG175
Win
dow
s XP
OK
2 Intellinet Wireless G OK
3 Dell 1490 OK
4 Intel 3945 Vista OK
5 Nokia Symbian OK
6
TT
LS
3Com 3CRPAG175
Win
dow
s XP
OK
7 Intellinet Wireless G OK
8 Dell 1490 OK
9 Intel 3945 Vista OK
10 Nokia Symbian OK
11
PE
AP
3Com 3CRPAG175
Win
dow
s XP
OK
12 Intellinet Wireless G OK
13 Dell 1490 OK
14 Intel 3945 Vista OK
15 Nokia Symbian OK
16
Obsłu
ga V
LA
N
Przydzielanie do VLANów
na podstawie autoryzacji z
serwera RADIUS
3Com 3CRPAG175
Win
dow
s XP
OK
17 Intellinet Wireless G OK
18 Dell 1490 OK
19 Intel 3945 Vista OK
20 Nokia Symbian OK
10/26
21
Wsp
ółp
raca z serwerem
DH
CP
Współpraca z
zewnętrznym serwerem
DHCP
3Com 3CRPAG175
Win
dow
s XP
OK.
22 Intellinet Wireless G OK
23 Dell 1490 OK
24 Intel 3945 Vista OK
25 Nokia Symbian OK
Analiza jakości połączenia:
Zaobserwowany czas reautentykacji związanej ze zmianą AP wynosił poniżej 200ms
przy uwierzytelnianiu w lokalnym serwerze Radius. Podczas testu z transmisja głosu, przerwa
była praktycznie niezauważalna. Przerwa spowodowana reauthentykacja prowadzona w
oparciu o odległy serwer Radius wynikała z czasu odpowiedzi tego serwera i wynosiła od 1,5
do 3 sekund.
Obciążenie systemów:
Podczas testów nie zaobserwowano problemów wydajnościowych.
Pakiety FreeRadius:
Access-Request
Packet-Type = Access-Request
User-Name = [email protected]
Calling-Station-Id = "00-19-7D-83-1A-3A"
Called-Station-Id = "00-0B-85-6F-97-A0:eduroam"
NAS-Port = 1
NAS-IP-Address = 192.168.33.220
NAS-Identifier = "Cisco_33:0d:80"
Airespace-Wlan-Id = 3
Service-Type = Framed-User
Framed-MTU = 1300
NAS-Port-Type = Wireless-802.11
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "35"
EAP-Message = 0x020800060d00
State = 0x2ccf007329c70d0fe319601199ad982b
Message-Authenticator = 0xb010510563eec8a8e24145a3328a3d48
Accounting-Start
User-Name = [email protected]
NAS-Port = 1
NAS-IP-Address = 192.168.33.220
Framed-IP-Address = 192.168.30.25
NAS-Identifier = "Cisco_33:0d:80"
11/26
Airespace-Wlan-Id = 3
Acct-Session-Id = "4846960a/00:19:7d:83:1a:3a/52"
Acct-Authentic = RADIUS
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "30"
Acct-Status-Type = Start
Calling-Station-Id = "00-19-7d-83-1a-3a"
Called-Station-Id = "00-0b-85-6f-97-a0"
Accounting-Interim-Update
User-Name = [email protected]
NAS-Port = 1
NAS-IP-Address = 192.168.33.220
Framed-IP-Address = 192.168.30.25
NAS-Identifier = "Cisco_33:0d:80"
Airespace-Wlan-Id = 3
Acct-Session-Id = "4846960a/00:19:7d:83:1a:3a/52"
Acct-Authentic = RADIUS
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "30"
Acct-Status-Type = Interim-Update
Acct-Input-Octets = 3490438
Acct-Output-Octets = 3627979
Acct-Input-Packets = 26547
Acct-Output-Packets = 24511
Acct-Session-Time = 2900
Acct-Delay-Time = 0
Calling-Station-Id = "00-19-7d-83-1a-3a"
Called-Station-Id = "00-0b-85-6f-97-a0"
Accounting-Stop
User-Name = [email protected]
NAS-Port = 1
NAS-IP-Address = 192.168.33.220
Framed-IP-Address = 192.168.40.25
NAS-Identifier = "Cisco_33:0d:80"
Airespace-Wlan-Id = 3
Acct-Session-Id = "4846960a/00:19:7d:83:1a:3a/52"
Acct-Authentic = RADIUS
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "30"
Acct-Status-Type = Stop
Acct-Input-Octets = 5099878
Acct-Output-Octets = 5530265
Acct-Input-Packets = 38836
Acct-Output-Packets = 35883
Acct-Terminate-Cause = Lost-Service
Acct-Session-Time = 4150
12/26
Acct-Delay-Time = 0
Calling-Station-Id = "00-19-7d-83-1a-3a"
Called-Station-Id = "00-0b-85-6f-97-a0"
Uwagi do testów.
1. Rozwiązanie przedstawione do testów było zasadniczo przeznaczone do
zewnętrznych zastosowań MESH, ale po zastosowaniu odpowiednich
przewodów uzyskano system analogiczny do stosowanych w typowych
sieciach wewnętrznych.
2. Testowane urządzenia wspierają standard CCKM. Karty wykorzystane w
czasie testów wspierały te rozwiązanie w różnym stopniu.
Testy produkcyjne
Opis: Polegają na sprawdzeniu funkcjonalności urządzeń w ramach pracującej sieci w
kilku obiektach o dużym natężeniu połączeń z siecią eduroam. Obszar testów
jest zależny od ilości udostępnionych do testów urządzeń.
(do 200 użytkowników). Czas trwania - od 7 do 14 dni. Z uwagi na bardzo
sztywne ramy czasowe testu obszar został ograniczony do jednego budynku oraz
mniejszej grupy użytkowników ( 10 osób) test trwał 3 dni.
Cel: sprawdzenie testowanego rozwiązania w środowisku produkcyjnym bez
jakiegokolwiek wpływu osób testujących na użytkowników.
Wykorzystano:
Wszystkie dostępne urządzenia WiFi będące w posiadaniu grupy losowej
korzystającej z usług sieci eduroam na obszarze objętym testami.
Testowane zagadnienia:
1. Obserwowane są sesje użytkowników i zbierane są ich opinie.
2. Powtarzana jest większość testów wykonanych w środowisku laboratoryjnym.
3. Analizowane jest obciążenie systemów, przekazywane komunikaty syslog.
4. Kontrola poprawności współpracy z serwerem DHCP
13/26
Wyniki
L.P. Nazwa Opis testu Karta System Wynik
1
Uwierzytelnianie
TLS Ogólnodostępne
karty na rynku
Windows XP OK.
2 Windows VISTA OK.
3 Symbian OK.
4 Linux OK
5
TTLS Ogólnodostępne
karty na rynku
Windows XP OK.
6 Windows VISTA OK.
7 Symbian OK.
8 Linux OK
9
PEAP Ogólnodostępne
karty na rynku
Windows XP OK.
10 Windows VISTA OK.
11 Symbian OK.
12 Linux OK
13
Obsługa VLAN
Przydzielanie do
VLANów na
podstawie
autoryzacji z
serwera RADIUS
Ogólnodostępne
karty na rynku
Windows XP OK.
14 Windows VISTA OK.
15 Symbian OK.
16 Linux OK
17
Współpraca z
serwerem DHCP
Współpraca z
zewnętrznym
serwerem DHCP
Ogólnodostępne
karty na rynku
Windows XP OK.
18 Windows VISTA OK.
19 Symbian OK.
20 Linux OK
Opinie użytkowników: Testowane rozwiązanie spełnia wymagania większości użytkowników. Nie odnotowano
żadnych uwag krytycznych pod adresem wydajności oraz jakości połączeń w testowanym
modelu.
Obciążenie systemów: Podczas testów nie zaobserwowano problemów wydajnościowych.
14/26
Konfiguracja testowanego kontrolera oraz wykorzystanych AP
Kontroler jest urządzeniem mającym na celu koordynację pracy AP w sieci oraz
umożliwienie ich sprawnego rekonfigurowania i zarządzania.
Opisywane urządzenie posiada wbudowane 4 porty ethernetowe oraz złącze RS232.
Testowane rozwiązanie opiera się na rozwiązaniu Mesh . Podejście to ogranicza
wykorzystanie sieci szkieletowej, w której podłączenie AP do sieci odbywa się poprzez
Ethernet. Wykorzystujemy w nim dodatkową antenę pracującą w standardzie 802.11a do
połączenia między AP podczas gdy antena pracująca w standardzie 802.11 b/g obsługuje
użytkowników. Niewątpliwą zaletą tego rozwiązania jest możliwość ustawienia urządzeń w
dowolnym miejscu będącym w zasiągu innego już pracującego AP wykorzystując wyłącznie
gniazdko elektryczne. Minusem tego rozwiązania jest nieduża skuteczność wewnątrz
budynków oraz stosunkowo niewielka odległość jaka może być pomiędzy AP dodatkowo
każde oddalenie od punktów podłączonych do Ethernetu tzw. AP-RAP powoduje
zmniejszenie skutecznej przepustowości sieci o 50%.
Schemat 2
15/26
Opis konfiguracji modelu testowego eduroam
Z uwagi na wysoką zgodność dostępnych opcji konfiguracji dostępnych w CLI jak i poprzez
przeglądarkę WWW dalszą konfigurację przeprowadzimy poprzez przeglądarkę.
Po zalogowaniu otrzymujemy następujący widok:
Okno podzielone jest na 3 części.
Część 1 - u góry strony, menu główne służące do konfiguracji, zarządzania oraz
monitorowania działania systemu.
Część 2 – z lewej strony, menu podrzędne zawierające opcje dostępne po podkonaniu
wyboru w menu głównego.
Część 3 – po środku, obszar roboczy, gdzie prezentowane są wybrane opcje z menu
bocznego.
.
Rysunek 1.
16/26
Wybieramy z menu głównego „CONTROLLER” oraz z bocznego „Interfaces”
Jak widać na Rysunekunku mamy już skonfigurowane statycznie 3 interfejsy.
Interfejs ap-manager służy do komunikacji z AP możemy ustawić dowolny VLAN
oraz IP.
Interfejs management służy do komunikacji kontrolerem możemy ustawić dowolny
VLAN oraz IP niezależne od ustawień w ap-manager
Interfejs virtual – nie zmieniamy.
Wybieramy opcję NEW i konfigurujemy dynamiczne interfejsy skorelowane z używanymi
przez nas VLANami.
Rysunek 2.
Rysunek 3.
17/26
Wybieramy Apply
Kontroler wymaga by w każdym Vlanie był skonfigurowany statyczny nr IP wykorzystywany
do komunikacji z serwerem dhcp. Podajemy również fizyczny nr portu oraz statyczny adres
serwera DHCP, który wykorzystujemy w sieci.
Powtarzamy ostatnie 2 kroki dla wszystkich VLANów jakie będziemy użytkowali.
Po zakończeniu wprowadzania otrzymamy okno:
Rysunek 4.
Rysunek 5.
18/26
Następnie konfigurujemy serwery RADIUS. Wybieramy z menu głównego SECURITY a z
menu bocznego AAA -> Radius -> Authentication
W Call Stadion ID Type zmieniamy na AP MAC Address a następnie wybieramy NEW:
Rysunek 6.
Rysunek 7.
19/26
Wypełniamy dane i APPLY. Po zakończeniu wpisywania serwerów otrzymujemy następujące
okno:
Następnie konfigurujemy serwery RADIUS. Wybieramy z menu głównego SECURITY a z
menu bocznego AAA -> Radius -> Accounting
Rysunek 8.
Rysunek 8.
20/26
Wybieramy NEW:
Wypełniamy dane i APPLY. Po zakończeniu wpisywania serwerów otrzymujemy następujące
okno:
Rysunek 9.
Rysunek 10.
21/26
Przechodzimy teraz do konfiguracji rozgłaszanych SSID. Wybieramy z menu głównego
WLANs a z menu bocznego WLANs
Wybieramy NEW :
Wybieramy APPLY :
Radio Policy ustawiamy na 802b/g only z uwagi na wykorzystanie 802.1 a na połączenia
między AP.
Interface ustawiamy na dowolny VLAN wcześniej skonfigurowany. Jest on w zasadzie
nieistotny z naszego punktu widzenia, ponieważ po autoryzacji Radius decyduje w jakim
Rysunek 11.
Rysunek 12.
Rysunek 13.
22/26
VLANie użytkownik zostanie umieszczony.
Wybieramy zakładkę WLANs -> Edit -> Security -> Layer 2
W opcji Layer 2 Security zaznaczamy opcję WPA+WPA2
W opcji WPA + WPA Parameters pozostawiamy włączone jedynie opcje
WPA Policy, WPA Encryption TKIP
W opcji Auth Key Mgmt wybieramy opcje 802.1x+CCKM
Rysunek 13.
23/26
Wybieramy zakładkę WLANs -> Edit -> Security -> AAA Serwers
W polu Authentication Server przy Server 1 wybieramy nasz główny serwer RADIUS
W polu Authentication Server przy Server 2 wybieramy nasz rezerwowy serwer RADIUS
W polu Accounting Server przy Server 1 wybieramy nasz główny serwer RADIUS
W polu Accounting Server przy Server 2 wybieramy nasz rezerwowy serwer RADIUS
Rysunek 14.
24/26
Wybieramy zakładkę WLANs -> Edit -> Advanced
I zaznaczamy pole Allow AAA Override .
Konfigurujemy SSID konferencja
Rysunek 15.
Rysunek 16.
25/26
Wybieramy APPLY :
Radio Policy ustawiamy na „802b/g only” z uwagi na wykorzystanie 802.1 a na połączenia
między AP.
Interface ustawiamy na VLAN konferencyjny do którego będą kierowani użytkownicy.
W tym momencie jak widać mamy ustawione szyfrowanie. WPA2 Auth(802.1X) .
Ten SSID jest zabezpieczony portalem dostępowym więc rezygnujemy z szyfrowania.
Wybieramy zakładkę WLANs -> Edit -> Security -> Layer 2
W opcji Layer 2 Security zaznaczamy opcję None
Tak skonfigurowany kontroler jest gotowy do pracy.
Rysunek 17.
Rysunek 18.
26/26
Konfiguracja AP.
Access Pointy w rozwiązaniu Mesh dzielimy na 2 grupy.
1. RAP – urządzenia podłączone do sieci ethernetowej do untagged VLAN w którym
skonfigurowany jest interfejs ap-manager. Należy jedynie dopisać urządzenie do
DHCP i AP samodzielnie wyszukuje kontroler i się pod niego podpina. Generalnie nie
mamy dostępu do AP.
2. MAP – urządzenie łączące się do sieci ethernetowej za pośrednictwem aktywnego
AP- RAP. Należy ustawić urządzenie w zasięgu sieci propagowanej przez RAP i
urządzenie samo podepnie się pod kontroler. Nie mamy żadnego bezpośredniego
dostępu do AP.
Rysunekunek 19.