Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
cs:spravce:ap:ciscoap1230 [2008/11/27 17:08] 127.0.0.1 upraveno mimo DokuWiki |
cs:spravce:ap:ciscoap1230 [2022/01/20 14:15] (aktuální) Jan.Belina@cesnet.cz Přechod z xterm na code |
||
---|---|---|---|
Řádek 37: | Řádek 37: | ||
uživatele (VLAN=100 - přístup povolen). Webová autentizace může být provozována pouze pro lokální uživatele a její napojení na autentizaci systému eduroam je nepřípustné. Více [[cs:ukonceni_provozu_site_eduroam-simple|ZDE]]. | uživatele (VLAN=100 - přístup povolen). Webová autentizace může být provozována pouze pro lokální uživatele a její napojení na autentizaci systému eduroam je nepřípustné. Více [[cs:ukonceni_provozu_site_eduroam-simple|ZDE]]. | ||
- | Zde je [[cs:spravce:ciscoap1230:config|ukázková konfigurace]]: | + | Zde je [[cs:spravce:ap:ciscoap1230:config|ukázková konfigurace]]: |
- | <xterm> | + | <code> |
! | ! | ||
no service pad | no service pad | ||
Řádek 46: | Řádek 46: | ||
service sequence-numbers | service sequence-numbers | ||
! | ! | ||
- | hostname **APxx** | + | hostname APxx |
! | ! | ||
- | </xterm> | + | </code> |
Logování na konzoli může v případě zapnutého debugu vést k problémům se zahlcením výstupu. | Logování na konzoli může v případě zapnutého debugu vést k problémům se zahlcením výstupu. | ||
To může zbytečně přetěžovat zařízení a eventuálně způsobit i reload celého systému. | To může zbytečně přetěžovat zařízení a eventuálně způsobit i reload celého systému. | ||
- | <xterm> | + | <code> |
! | ! | ||
no logging console | no logging console | ||
! | ! | ||
- | </xterm> | + | </code> |
Heslo do privilegovaného módu. | Heslo do privilegovaného módu. | ||
Řádek 63: | Řádek 63: | ||
Naproti tomu volba "secret" používá algoritmus MD5, který je podstatně bezpečnější. | Naproti tomu volba "secret" používá algoritmus MD5, který je podstatně bezpečnější. | ||
- | <xterm> | + | <code> |
! | ! | ||
- | enable secret 5 **xxxxxxxxxxxxxxxxxx** | + | enable secret 5 xxxxxxxxxxxxxxxxxx |
! | ! | ||
- | </xterm> | + | </code> |
Nastavení časového pásma a posun od GMT. | Nastavení časového pásma a posun od GMT. | ||
- | <xterm> | + | <code> |
! | ! | ||
clock timezone MET 1 | clock timezone MET 1 | ||
! | ! | ||
- | </xterm> | + | </code> |
Definice doby platnosti letního času. | Definice doby platnosti letního času. | ||
- | <xterm> | + | <code> |
! | ! | ||
clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 2:00 | clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 2:00 | ||
! | ! | ||
- | </xterm> | + | </code> |
Je možno použít i "krajní" subnety v IP sítích, které podle staré normy nebylo možné používat. | Je možno použít i "krajní" subnety v IP sítích, které podle staré normy nebylo možné používat. | ||
- | <xterm> | + | <code> |
! | ! | ||
ip subnet-zero | ip subnet-zero | ||
! | ! | ||
- | </xterm> | + | </code> |
Definice doménového jména a name serveru. | Definice doménového jména a name serveru. | ||
- | <xterm> | + | <code> |
! | ! | ||
- | ip domain name **cesnet.cz** | + | ip domain name cesnet.cz |
- | ip name-server **195.113.144.194** | + | ip name-server 195.113.144.194 |
- | ip name-server **195.113.144.233** | + | ip name-server 195.113.144.233 |
! | ! | ||
- | </xterm> | + | </code> |
Konfigurace autentizace, autorizace a accountingu. | Konfigurace autentizace, autorizace a accountingu. | ||
- | <xterm> | + | <code> |
! | ! | ||
aaa new-model | aaa new-model | ||
! | ! | ||
- | </xterm> | + | </code> |
Je možné nadefinovat různé skupiny serverů pro různé situace (např. pro každé SSID jiný RADIUS server, | Je možné nadefinovat různé skupiny serverů pro různé situace (např. pro každé SSID jiný RADIUS server, | ||
jiný server pro autentizaci než pro accounting a podobně). | jiný server pro autentizaci než pro accounting a podobně). | ||
- | <xterm> | + | <code> |
! | ! | ||
aaa group server radius RAD_ACC | aaa group server radius RAD_ACC | ||
- | server **10.1.1.1** auth-port 1812 acct-port 1813 | + | server 10.1.1.1 auth-port 1812 acct-port 1813 |
- | server **10.2.2.2** auth-port 1812 acct-port 1813 | + | server 10.2.2.2 auth-port 1812 acct-port 1813 |
! | ! | ||
aaa group server radius RAD_AUTH | aaa group server radius RAD_AUTH | ||
- | server **10.1.1.1** auth-port 1812 acct-port 1813 | + | server 10.1.1.1 auth-port 1812 acct-port 1813 |
- | server **10.2.2.2** auth-port 1812 acct-port 1813 | + | server 10.2.2.2 auth-port 1812 acct-port 1813 |
! | ! | ||
- | </xterm> | + | </code> |
Nastavení metody ověřování přístupu. | Nastavení metody ověřování přístupu. | ||
- | <xterm> | + | <code> |
! | ! | ||
aaa authentication login default group tacacs+ line | aaa authentication login default group tacacs+ line | ||
! | ! | ||
- | </xterm> | + | </code> |
Ověřování uživatelů, kteří se připojují přes WiFi. | Ověřování uživatelů, kteří se připojují přes WiFi. | ||
- | <xterm> | + | <code> |
! | ! | ||
aaa authentication login cesnet-eap group RAD_AUTH | aaa authentication login cesnet-eap group RAD_AUTH | ||
Řádek 142: | Řádek 142: | ||
aaa authentication enable default group tacacs+ enable | aaa authentication enable default group tacacs+ enable | ||
! | ! | ||
- | </xterm> | + | </code> |
Nastavení ověřování příkazů zadávaných v příkazové řádce. | Nastavení ověřování příkazů zadávaných v příkazové řádce. | ||
- | <xterm> | + | <code> |
! | ! | ||
aaa authorization config-commands | aaa authorization config-commands | ||
Řádek 155: | Řádek 155: | ||
aaa authorization reverse-access default group tacacs+ if-authenticated | aaa authorization reverse-access default group tacacs+ if-authenticated | ||
! | ! | ||
- | </xterm> | + | </code> |
Nastavení úrovně logování. | Nastavení úrovně logování. | ||
- | <xterm> | + | <code> |
! | ! | ||
aaa accounting send stop-record authentication failure | aaa accounting send stop-record authentication failure | ||
Řádek 167: | Řádek 167: | ||
aaa accounting commands 15 default start-stop group tacacs+ | aaa accounting commands 15 default start-stop group tacacs+ | ||
! | ! | ||
- | </xterm> | + | </code> |
Nastavení accountingu uživatelů připojených přes WiFi. | Nastavení accountingu uživatelů připojených přes WiFi. | ||
- | <xterm> | + | <code> |
! | ! | ||
aaa accounting network default start-stop group RAD_ACC | aaa accounting network default start-stop group RAD_ACC | ||
Řádek 177: | Řádek 177: | ||
aaa session-id common | aaa session-id common | ||
! | ! | ||
- | </xterm> | + | </code> |
Nastavení pro více propagovaných (broadcastovaných) SSID (max. 8). Pokud tento příkaz není zadán, | Nastavení pro více propagovaných (broadcastovaných) SSID (max. 8). Pokud tento příkaz není zadán, | ||
lze propagovat pouze jedno SSID. | lze propagovat pouze jedno SSID. | ||
- | <xterm> | + | <code> |
! | ! | ||
dot11 mbssid | dot11 mbssid | ||
! | ! | ||
- | </xterm> | + | </code> |
Nastavení timeoutu pro různé typy připojených zařízení. V případě nekorektního | Nastavení timeoutu pro různé typy připojených zařízení. V případě nekorektního | ||
Řádek 194: | Řádek 194: | ||
Zajímavé je především nastavení u zařízení typu "client". | Zajímavé je především nastavení u zařízení typu "client". | ||
- | <xterm> | + | <code> |
! | ! | ||
dot11 activity-timeout unknown default 1800 | dot11 activity-timeout unknown default 1800 | ||
Řádek 202: | Řádek 202: | ||
dot11 activity-timeout bridge default 1800 maximum 3600 | dot11 activity-timeout bridge default 1800 maximum 3600 | ||
! | ! | ||
- | </xterm> | + | </code> |
Nastavení autentizace pro ověřování pomocí 802.1x. | Nastavení autentizace pro ověřování pomocí 802.1x. | ||
Řádek 213: | Řádek 213: | ||
Toto SSID je implementováno pouze pro zachování zpětné kompatibility se staršími chipsety, které nepodporují šifrování pomocí AES a mají problémy s připojením na SSID eduroam. | Toto SSID je implementováno pouze pro zachování zpětné kompatibility se staršími chipsety, které nepodporují šifrování pomocí AES a mají problémy s připojením na SSID eduroam. | ||
- | <xterm> | + | <code> |
! | ! | ||
dot11 ssid eduroam-tkip | dot11 ssid eduroam-tkip | ||
Řádek 223: | Řádek 223: | ||
mbssid guest-mode | mbssid guest-mode | ||
! | ! | ||
- | </xterm> | + | </code> |
Pro toto SSID není prováděno žádné ověřování na AP. | Pro toto SSID není prováděno žádné ověřování na AP. | ||
Řádek 229: | Řádek 229: | ||
Tato síť s webovou autentizací není napojena na systém eduroam - ověřování funguje pouze lokálně v rámci dané organizace. | Tato síť s webovou autentizací není napojena na systém eduroam - ověřování funguje pouze lokálně v rámci dané organizace. | ||
- | <xterm> | + | <code> |
! | ! | ||
dot11 ssid cesnet | dot11 ssid cesnet | ||
Řádek 236: | Řádek 236: | ||
mbssid guest-mode | mbssid guest-mode | ||
! | ! | ||
- | </xterm> | + | </code> |
Na tomto SSID je pro výměnu klíčů NUTNÉ použít WPA. Jako kryptovací mechanizmus lze použít AES nebo TKIP. | Na tomto SSID je pro výměnu klíčů NUTNÉ použít WPA. Jako kryptovací mechanizmus lze použít AES nebo TKIP. | ||
Jedná se o nejbezpečnější a jednoznačně preferovanou variantu. | Jedná se o nejbezpečnější a jednoznačně preferovanou variantu. | ||
- | <xterm> | + | <code> |
! | ! | ||
dot11 ssid eduroam | dot11 ssid eduroam | ||
Řádek 251: | Řádek 251: | ||
mbssid guest-mode | mbssid guest-mode | ||
! | ! | ||
- | </xterm> | + | </code> |
Nastavení parametrů 802.11. | Nastavení parametrů 802.11. | ||
Řádek 257: | Řádek 257: | ||
WPA komunikaci v implicitně nastaveném čase a dojde k chybě. Tento parametr je potřeba změnit minimálně na 500 ms. | WPA komunikaci v implicitně nastaveném čase a dojde k chybě. Tento parametr je potřeba změnit minimálně na 500 ms. | ||
- | <xterm> | + | <code> |
! | ! | ||
dot11 holdoff-time 30 | dot11 holdoff-time 30 | ||
Řádek 263: | Řádek 263: | ||
dot11 network-map | dot11 network-map | ||
! | ! | ||
- | </xterm> | + | </code> |
IP provoz pro management je potřeba bridgeovat. | IP provoz pro management je potřeba bridgeovat. | ||
- | <xterm> | + | <code> |
! | ! | ||
bridge irb | bridge irb | ||
! | ! | ||
- | </xterm> | + | </code> |
Nastavení parametrů pro rádio 802.11g. | Nastavení parametrů pro rádio 802.11g. | ||
- | <xterm> | + | <code> |
! | ! | ||
interface Dot11Radio0 | interface Dot11Radio0 | ||
Řádek 281: | Řádek 281: | ||
no ip route-cache | no ip route-cache | ||
! | ! | ||
- | </xterm> | + | </code> |
Nastavení kryptování pro jednotlivá SSID. | Nastavení kryptování pro jednotlivá SSID. | ||
- | <xterm> | + | <code> |
! | ! | ||
encryption vlan 102 mode ciphers tkip wep128 | encryption vlan 102 mode ciphers tkip wep128 | ||
Řádek 293: | Řádek 293: | ||
broadcast-key change 600 | broadcast-key change 600 | ||
! | ! | ||
- | </xterm> | + | </code> |
Povolená SSID na rádiu 802.11g. | Povolená SSID na rádiu 802.11g. | ||
- | <xterm> | + | <code> |
! | ! | ||
ssid eduroam | ssid eduroam | ||
Řádek 305: | Řádek 305: | ||
ssid eduroam-tkip | ssid eduroam-tkip | ||
! | ! | ||
- | </xterm> | + | </code> |
Nastavení možných rychlostí pro rádio, omezení výkonu vysílače a nastavení kanálu. | Nastavení možných rychlostí pro rádio, omezení výkonu vysílače a nastavení kanálu. | ||
- | <xterm> | + | <code> |
! | ! | ||
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 | speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 | ||
- | power local cck **30** | + | power local cck 30 |
- | power local ofdm **20** | + | power local ofdm 20 |
no power client local | no power client local | ||
power client 30 | power client 30 | ||
- | channel **2432** | + | channel 2432 |
station-role root | station-role root | ||
antenna receive right | antenna receive right | ||
antenna transmit right | antenna transmit right | ||
! | ! | ||
- | </xterm> | + | </code> |
Některá zařízení se nedokážou na AP připojit, pokud jsou použity AIRONET rozšíření. | Některá zařízení se nedokážou na AP připojit, pokud jsou použity AIRONET rozšíření. | ||
Kvůli kompatibilitě je často vhodné tato rozšíření vypnout. | Kvůli kompatibilitě je často vhodné tato rozšíření vypnout. | ||
- | <xterm> | + | <code> |
! | ! | ||
no dot11 extension aironet | no dot11 extension aironet | ||
Řádek 332: | Řádek 332: | ||
no cdp enable | no cdp enable | ||
! | ! | ||
- | </xterm> | + | </code> |
AP si periodicky vyžaduje znovuověření klienta. | AP si periodicky vyžaduje znovuověření klienta. | ||
Frekvence znovuověřování se zde nastavuje v sekundách. | Frekvence znovuověřování se zde nastavuje v sekundách. | ||
- | <xterm> | + | <code> |
! | ! | ||
dot1x reauth-period 3600 | dot1x reauth-period 3600 | ||
! | ! | ||
- | </xterm> | + | </code> |
L2 propojení rádiové (rozhraní Dot11Radio0) a "kabelové" (rozhraní FastEthernet0) části. | L2 propojení rádiové (rozhraní Dot11Radio0) a "kabelové" (rozhraní FastEthernet0) části. | ||
Provoz je bridgeován. | Provoz je bridgeován. | ||
- | <xterm> | + | <code> |
! | ! | ||
bridge-group 1 | bridge-group 1 | ||
Řádek 429: | Řádek 429: | ||
bridge-group 1 spanning-disabled | bridge-group 1 spanning-disabled | ||
! | ! | ||
- | </xterm> | + | </code> |
IP adresa pro management. | IP adresa pro management. | ||
- | <xterm> | + | <code> |
! | ! | ||
interface BVI1 | interface BVI1 | ||
- | ip address **10.3.3.3 255.255.255.0** | + | ip address 10.3.3.3 255.255.255.0 |
no ip proxy-arp | no ip proxy-arp | ||
no ip route-cache | no ip route-cache | ||
! | ! | ||
- | ip default-gateway **10.3.3.1** | + | ip default-gateway 10.3.3.1 |
no ip http server | no ip http server | ||
no ip http secure-server | no ip http secure-server | ||
Řádek 447: | Řádek 447: | ||
ip radius source-interface BVI1 | ip radius source-interface BVI1 | ||
! | ! | ||
- | </xterm> | + | </code> |
Tento access-list definuje IP adresy, ze kterých je na AP možné přistupovat protokolem SSH nebo TELNET. | Tento access-list definuje IP adresy, ze kterých je na AP možné přistupovat protokolem SSH nebo TELNET. | ||
- | <xterm> | + | <code> |
! | ! | ||
ip access-list standard MANAGEMENT | ip access-list standard MANAGEMENT | ||
- | permit **x.x.x.x** | + | permit x.x.x.x |
! | ! | ||
- | </xterm> | + | </code> |
Nastavení úrovně logování a určení serveru pro logování. | Nastavení úrovně logování a určení serveru pro logování. | ||
- | <xterm> | + | <code> |
! | ! | ||
logging history errors | logging history errors | ||
logging trap debugging | logging trap debugging | ||
- | logging **IP_adresa_log_serveru** | + | logging IP_adresa_log_serveru |
! | ! | ||
- | </xterm> | + | </code> |
Definice access-listů, které omezují přístup protokolem SNMP. | Definice access-listů, které omezují přístup protokolem SNMP. | ||
- | <xterm> | + | <code> |
! | ! | ||
- | access-list **50** permit **x.x.x.x** | + | access-list 50 permit x.x.x.x |
- | access-list **51** permit **x.x.x.x** | + | access-list 51 permit x.x.x.x |
! | ! | ||
- | </xterm> | + | </code> |
Konfigurace SNMP komunit a zasílání trapů. | Konfigurace SNMP komunit a zasílání trapů. | ||
- | <xterm> | + | <code> |
! | ! | ||
- | snmp-server community **xxxxxxxx RO 50** | + | snmp-server community xxxxxxxx RO 50 |
- | snmp-server community **yyyyyyyy RW 51** | + | snmp-server community yyyyyyyy RW 51 |
snmp-server ifindex persist | snmp-server ifindex persist | ||
- | snmp-server location **AP02** | + | snmp-server location AP02 |
snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart | snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart | ||
snmp-server enable traps tty | snmp-server enable traps tty | ||
Řádek 498: | Řádek 498: | ||
snmp-server enable traps syslog | snmp-server enable traps syslog | ||
snmp-server enable traps aaa_server | snmp-server enable traps aaa_server | ||
- | snmp-server host **x.x.x.x** version 2c **xxxxxxxx** | + | snmp-server host x.x.x.x version 2c xxxxxxxx |
! | ! | ||
- | </xterm> | + | </code> |
Nastavení ověřovacích serverů TACACS a RADIUS. | Nastavení ověřovacích serverů TACACS a RADIUS. | ||
- | <xterm> | + | <code> |
! | ! | ||
- | tacacs-server host **10.4.4.4** key 7 **xxxxxxxxxxxxxxx** | + | tacacs-server host 10.4.4.4 key 7 xxxxxxxxxxxxxxx |
- | tacacs-server host **10.5.5.5** key 7 **xxxxxxxxxxxxxxx** | + | tacacs-server host 10.5.5.5 key 7 xxxxxxxxxxxxxxx |
tacacs-server timeout 1 | tacacs-server timeout 1 | ||
tacacs-server directed-request | tacacs-server directed-request | ||
radius-server attribute 8 include-in-access-req | radius-server attribute 8 include-in-access-req | ||
- | radius-server host **10.1.1.1** auth-port 1812 acct-port 1813 key 7 **xxxxxxxxxxxxxxx** | + | radius-server host 10.1.1.1 auth-port 1812 acct-port 1813 key 7 xxxxxxxxxxxxxxx |
- | radius-server host **10.2.2.2** auth-port 1812 acct-port 1813 key 7 **xxxxxxxxxxxxxxx** | + | radius-server host 10.2.2.2 auth-port 1812 acct-port 1813 key 7 xxxxxxxxxxxxxxx |
radius-server vsa send accounting | radius-server vsa send accounting | ||
! | ! | ||
Řádek 524: | Řádek 524: | ||
^C | ^C | ||
! | ! | ||
- | </xterm> | + | </code> |
Text, který se objeví před požadavkem na uživatelské jméno a heslo | Text, který se objeví před požadavkem na uživatelské jméno a heslo | ||
Řádek 531: | Řádek 531: | ||
Neměly by zde být uváděny žádné údaje, které by pomohly případnému útočníkovi při identifikaci zařízení. | Neměly by zde být uváděny žádné údaje, které by pomohly případnému útočníkovi při identifikaci zařízení. | ||
- | <xterm> | + | <code> |
! | ! | ||
banner login ^C | banner login ^C | ||
Řádek 542: | Řádek 542: | ||
^C | ^C | ||
! | ! | ||
- | </xterm> | + | </code> |
Definice přístupu přes konzoli. | Definice přístupu přes konzoli. | ||
- | <xterm> | + | <code> |
! | ! | ||
line con 0 | line con 0 | ||
- | password 7 **xxxxxxxxxxxx** | + | password 7 xxxxxxxxxxxx |
! | ! | ||
- | </xterm> | + | </code> |
Definice přístupu přes virtuální terminal. | Definice přístupu přes virtuální terminal. | ||
V tomto případě je přístup ověřován podle definice v AAA. | V tomto případě je přístup ověřován podle definice v AAA. | ||
- | <xterm> | + | <code> |
! | ! | ||
! aaa authentication login default ... | ! aaa authentication login default ... | ||
Řádek 565: | Řádek 565: | ||
access-class MANAGEMENT in | access-class MANAGEMENT in | ||
exec-timeout 120 0 | exec-timeout 120 0 | ||
- | password 7 **xxxxxxxxxxxx** | + | password 7 xxxxxxxxxxxx |
line vty 5 15 | line vty 5 15 | ||
session-timeout 120 | session-timeout 120 | ||
access-class MANAGEMENT in | access-class MANAGEMENT in | ||
exec-timeout 120 0 | exec-timeout 120 0 | ||
- | password 7 **xxxxxxxxxxxx** | + | password 7 xxxxxxxxxxxx |
! | ! | ||
- | </xterm> | + | </code> |
Nastavení serveru pro synchronizaci času pomocí SNTP protokolu. | Nastavení serveru pro synchronizaci času pomocí SNTP protokolu. | ||
- | <xterm> | + | <code> |
! | ! | ||
sntp server 195.113.144.201 | sntp server 195.113.144.201 | ||
sntp server 195.113.144.238 | sntp server 195.113.144.238 | ||
end | end | ||
- | </xterm> | + | </code> |
===== Přílohy ===== | ===== Přílohy ===== | ||
Řádek 591: | Řádek 591: | ||
--- //8. 10. 2007 upravil Jan Furman//\\ | --- //8. 10. 2007 upravil Jan Furman//\\ | ||
--- //Josef Verich a Jan Furman 4. 10. 2006//\\ | --- //Josef Verich a Jan Furman 4. 10. 2006//\\ | ||
- | --- //[[http://staff.cesnet.cz/~semik|Jan Tomášek]] 07.11.2006 10:03// dokument byl přesunut z [[cs:spravce:ciscoap1230|cs:spravce:ciscoap1230]]//\\ | + | --- //[[https://staff.cesnet.cz/~semik|Jan Tomášek]] 07.11.2006 10:03// dokument byl přesunut z [[cs:spravce:ciscoap1230|cs:spravce:ciscoap1230]]//\\ |
- | --- //27. 11. 2008 upravil Jan Furman | + | --- //27. 11. 2008 upravil Jan Furman//\\ |
+ | --- //14. 1. 2022 upravil Jan Bělina |