====== Konfigurácia Ruckus Wireless Zone Director 1200 pre služby eduroam ======
Tento návod popisuje konfiguráciu kontroléru [[https://www.ruckuswireless.com/products/system-management-control/zonedirector-controllers/zonedirector-1200|Zone Director 1200]] od spoločnosti [[https://www.ruckuswireless.com/|Ruckus Wireless]]. Vytvorená konfigurácia na kontroléru je automaticky synchronizovaná s pripojenými AP, nieje teda nutné robiť konfiguráciu AP separátne.
Postup nižšie popisuje, ako vytvoriť WLAN sieť s SSID “eduroam” (POZOR - všetky písmena sú malé). Táto sieť využíva zabezpečenie WPA2-Enterprise (podľa štandardu [[https://cs.wikipedia.org/wiki/IEEE_802.1X|IEEE 802.1x]]) so zabezpečovacou metódou [[https://cs.wikipedia.org/wiki/Extensible_Authentication_Protocol|EAP]]. Konfigurácia popisuje aj voliteľnú možnosť tzv. “dynamic VLAN assignment”, t.j. priraďovanie VLAN ID na základe členstva užívateľa v príslušnej skupine na serveri uživateľských identít (MS Active Directory, resp. LDAP). Samotné nastavenie RADIUS servera na priradzovanie VLAN ID je popisané TU (hyperlink).
Konfigurácia pre potreby eduroam spočíva v následovných krokoch:
* Vytvorenie AAA profilu pre overovací server
* Vytvorenie WLAN siete s SSID eduroam
* Nastavenie zabezpečenia s využitím 802.1x EAP a voľba príslušného [[https://cs.wikipedia.org/wiki/AAA_protokol|AAA]] profilu (t.j. [[https://cs.wikipedia.org/wiki/RADIUS|RADIUS]] serveru v tomto prípade)
Tieto kroky sú v obrázkoch značené červenou farbou.
//Rozšírená konfigurácia// spočíva v nastavení doplnkových a odporúčaných funkcií. Uvedené funkcie rozšíruju funkcionalitu WLAN siete (napríklad priradenie statickej a dynamickej VLAN), alebo zvyšujú zabezpečenie a funkčnost siete (izolácia klientov, vylepšená podpora roamingu, vyžadovanie pridelenia adresy z DHCP serveru, atď.).
Tieto kroky sú v obrázkoch značené zelenou farbou.
===== Vytvorenie AAA profilu pre overovací server =====
Po úvodnom prihlásení do kontroléru je treba v ľavej časti menu zvoliť položku **Služby a profily** a následne **AAA servery**. V hlavnom okne klikneme na **Vytvořit**.
{{:cs:spravce:ap:ruckus_zone_director:zd1200_eduroam_config_create_aaa_1.png?direct&400|}}
V novom okne vyplníme príslušné parametre ako je **jméno, typ, IP adresa** pre primárny server, hodnotu pre port necháme na prednastavenej hodnote (1812). Nesmieme zabudnúť na nastavenie správneho **Tajného sdíleného klíče** (shared secret). Tento klúč **MUSÍ** byť zhodný s príslušným nastavením na strane RADIUS serveru, ináč komunikácia nebude fungovat. Je odporúčané nadefinovať aj sekundárny server pre prípad výpadku primárneho serveru. Konfigurácia je obdobná ako u primárneho serveru.
**Kontrolér funguje ako RADIUS proxy**. V konfigurácií samotného RADIUS serveru stačí v definícií klientov vytvoriť profil s IP adresou kontroléru, nieje potrebné definovať aj jednotlivé AP.
{{:cs:spravce:ap:ruckus_zone_director:zd1200_eduroam_config_create_aaa_2.png?direct&400|}}
===== Vytvorenie WLAN siete =====
Samotné vytvorenie WLAN siete je jednoduchý a rýchly proces. V ľavej časti menu zvoľte položku **Bezdrátové sítě**. Následne v hlavnej časti okna vyberieme v stromovej štruktúre príslušnú položku, kde chceme novú sieť vytvoriť. V tejto konfigurácií je použitá skupina “Default”. Následne klikneme na ikonu **Vytvořit**.
{{:cs:spravce:ap:ruckus_zone_director:zd1200_eduroam_config_create_wlan_1.png?direct&400|}}
V novom okne vyplníme povinné parametre pre **meno siete** a **ESSID**. Odporúčam vyplniť aj popis príslušnej WLAN - uľahčíte tým orientáciu v budúcnosti. V časti **Využití WLAN** stačí nechať prednastavenú hodnotu **Běžny přístup**.
{{:cs:spravce:ap:ruckus_zone_director:zd1200_eduroam_config_create_wlan_2.png?direct&400|}}
V časti **Oveřování** treba zvoliť metódu 802.1x EAP a vybrať príslušný overovací server (AAA server). V časti **Šifrování** zvoľte metódu **WPA2** a ako štandard zvoľte **AES**. Voľba “Auto” (t.j. TKIP+AES) nieje odporúčaná, štandard TKIP je zastaralý a má vážne bezpečnostné nedostatky. Navyše jeho využitím dôjde k významnému redukovaniu fyzickej prenosovej rýchlosti (max 54 Mbps namiesto 300+ Mbps). Toto obmedzenie je vlastnosťou štandardu, t.j. platí pre hociaku značku.
Voliteľne:
Je vhodné povoliť podporu rýchleho roamingu (Fast Transition - FT) do 50ms podľa štandardu IEEE 802.11r. V prípade aktivácie tejto funkcie je vhodné povoliť aj podporu IEEE 802.11k (Neighbor list report) - viď konfigurácia nižšie. Zapnutím podpory uvedenych vlastností dojde k výraznému navýšeniu funkčnosti a použiteľnosti roamingu (prechod medzi jednotlivymi AP).
{{:cs:spravce:ap:ruckus_zone_director:zd1200_eduroam_config_create_wlan_3.png?direct&400|}}
Týmto je základná konfigurácia siete pre potreby eduroam hotová.
Nasleduje rozšírená, resp. odporúčaná konfigurácia siete.
V časti **Pokročilá nastavení** je vhodné zapnúť podporu izolácie komunikácie bezdrátových klientov.
{{:cs:spravce:ap:ruckus_zone_director:zd1200_eduroam_config_create_wlan_4.png?direct&400|}}
V tej istej časti je možné nastaviť priradenie VID pre overené účty. K tomu slúží položka **Přístup k VLAN**. Toto nastavenie (Přístup k VLAN) plní rovnakú funkcionalitu ako nastavenie "[[https://www.eduroam.cz/cs/spravce/pripojovani/radius/freeradius3#prirazeni_vlan_vlastnim_uzivatelum|Přiřazení konkrétní VLAN návštěvníkům]]". Ak je v na RADIUS serveru implementovaná podpora dynamického priraďovania VLAN, je potrebne zapnúť túto funkciu aj na kontroléru. Toho sa dosiahne skrz aktiváciu položky **Použit dynamickou VLAN.** Následujúce funkcie (na obrázku zvýraznene zelenou farbou) sú voliteľné a v závislosti na požadovanej funkcionalite je možné ich aktivovat.
{{:cs:spravce:ap:ruckus_zone_director:zd1200_eduroam_config_create_wlan_5.png?direct&400|}}
V tejto poslednej časti je vhodné aktivovať podporu správy radiového spoja (tzv. Radio Resource Management) podľa IEEE 802.11k. Taáto funkcia bola spomínana v časti rýchleho roamingu.
{{:cs:spravce:ap:ruckus_zone_director:zd1200_eduroam_config_create_wlan_6.png?direct&400|}}
===== Overenie funkčnosti konfigurácie RADIUS serveru =====
Otestovať funkčnosť konfigurácie RADIUS serveru je možné následovným spôsobom: v ľavej časti menu zvoľte položku **Služby a profily** a potom **AAA servery**. V hlavnom okne v časti **Test nastavení ověřovacích/účtových serverů** vybrať príslušný AAA profil s konfiguráciou RADIUS serveru. Následne treba vyplniť testovací účet a spustit proces overenia skrz položku **test** na pravej strane.
POZOR - tento jednoduchý test je možné použiť iba v prípade, že testovaci účet je možné overiť skrz [[https://cs.wikipedia.org/wiki/Password_authentication_protocol|PAP]]. Akonáhle je použitá ina metóda ako napr. EAP, je potrebné použiť iný testovací [[http://deployingradius.com/scripts/eapol_test/|nástroj]]
{{:cs:spravce:ap:ruckus_zone_director:zd1200_eduroam_config_test_aaa.png?direct&400|}}
Popis konfigurácie bol vytvorený na WLAN koltroléri Zone Director 1200, ktorý využíval verziu firmware 10.2.1.0 build 75, jazyk grafického prostredia nastavený na češtinu.