cs:spravce:ap:ciscoap1230

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

cs:spravce:ap:ciscoap1230 [2008/11/27 17:08]
127.0.0.1 upraveno mimo DokuWiki
cs:spravce:ap:ciscoap1230 [2022/01/20 14:15] (aktuální)
Jan.Belina@cesnet.cz Přechod z xterm na code
Řádek 37: Řádek 37:
 uživatele (VLAN=100 - přístup povolen). Webová autentizace může být provozována pouze pro lokální uživatele a její napojení na autentizaci systému eduroam je nepřípustné. Více [[cs:​ukonceni_provozu_site_eduroam-simple|ZDE]]. uživatele (VLAN=100 - přístup povolen). Webová autentizace může být provozována pouze pro lokální uživatele a její napojení na autentizaci systému eduroam je nepřípustné. Více [[cs:​ukonceni_provozu_site_eduroam-simple|ZDE]].
  
-Zde je  [[cs:​spravce:​ciscoap1230:​config|ukázková konfigurace]]:​ +Zde je  [[cs:​spravce:ap:​ciscoap1230:​config|ukázková konfigurace]]:​ 
-<xterm>+<code>
 ! !
 no service pad no service pad
Řádek 46: Řádek 46:
 service sequence-numbers service sequence-numbers
 ! !
-hostname ​**APxx**+hostname APxx
 ! !
-</xterm>+</code>
  
 Logování na konzoli může v případě zapnutého debugu vést k problémům se zahlcením výstupu. Logování na konzoli může v případě zapnutého debugu vést k problémům se zahlcením výstupu.
 To může zbytečně přetěžovat zařízení a eventuálně způsobit i reload celého systému. To může zbytečně přetěžovat zařízení a eventuálně způsobit i reload celého systému.
  
-<xterm>+<code>
 ! !
 no logging console no logging console
 ! !
-</xterm>+</code>
  
 Heslo do privilegovaného módu. Heslo do privilegovaného módu.
Řádek 63: Řádek 63:
 Naproti tomu volba "​secret"​ používá algoritmus MD5, který je podstatně bezpečnější. Naproti tomu volba "​secret"​ používá algoritmus MD5, který je podstatně bezpečnější.
  
-<xterm>+<code>
 ! !
-enable secret 5 **xxxxxxxxxxxxxxxxxx**+enable secret 5 xxxxxxxxxxxxxxxxxx
 ! !
-</xterm>+</code>
  
 Nastavení časového pásma a posun od GMT. Nastavení časového pásma a posun od GMT.
  
-<xterm>+<code>
 ! !
 clock timezone MET 1 clock timezone MET 1
 ! !
-</xterm>+</code>
  
 Definice doby platnosti letního času. Definice doby platnosti letního času.
  
-<xterm>+<code>
 ! !
 clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 2:00 clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 2:00
 ! !
-</xterm>+</code>
  
 Je možno použít i "​krajní"​ subnety v IP sítích, které podle staré normy nebylo možné používat. Je možno použít i "​krajní"​ subnety v IP sítích, které podle staré normy nebylo možné používat.
  
-<xterm>+<code>
 ! !
 ip subnet-zero ip subnet-zero
 ! !
-</xterm>+</code>
  
 Definice doménového jména a name serveru. Definice doménového jména a name serveru.
  
-<xterm>+<code>
 ! !
-ip domain name **cesnet.cz** +ip domain name cesnet.cz 
-ip name-server ​**195.113.144.194** +ip name-server 195.113.144.194 
-ip name-server ​**195.113.144.233**+ip name-server 195.113.144.233
 ! !
-</xterm>+</code>
  
 Konfigurace autentizace,​ autorizace a accountingu. Konfigurace autentizace,​ autorizace a accountingu.
  
-<xterm>+<code>
 ! !
 aaa new-model aaa new-model
 ! !
-</xterm>+</code>
  
 Je možné nadefinovat různé skupiny serverů pro různé situace (např. pro každé SSID jiný RADIUS server, ​ Je možné nadefinovat různé skupiny serverů pro různé situace (např. pro každé SSID jiný RADIUS server, ​
 jiný server pro autentizaci než pro accounting a podobně). jiný server pro autentizaci než pro accounting a podobně).
  
-<xterm>+<code>
 ! !
 aaa group server radius RAD_ACC aaa group server radius RAD_ACC
- ​server ​**10.1.1.1** auth-port 1812 acct-port 1813 + ​server 10.1.1.1 auth-port 1812 acct-port 1813 
- ​server ​**10.2.2.2** auth-port 1812 acct-port 1813+ ​server 10.2.2.2 auth-port 1812 acct-port 1813
 ! !
 aaa group server radius RAD_AUTH aaa group server radius RAD_AUTH
- ​server ​**10.1.1.1** auth-port 1812 acct-port 1813 + ​server 10.1.1.1 auth-port 1812 acct-port 1813 
- ​server ​**10.2.2.2** auth-port 1812 acct-port 1813+ ​server 10.2.2.2 auth-port 1812 acct-port 1813
 ! !
-</xterm>+</code>
  
 Nastavení metody ověřování přístupu. Nastavení metody ověřování přístupu.
  
-<xterm>+<code>
  
 aaa authentication login default group tacacs+ line aaa authentication login default group tacacs+ line
 ! !
-</xterm>+</code>
  
 Ověřování uživatelů,​ kteří se připojují přes WiFi. Ověřování uživatelů,​ kteří se připojují přes WiFi.
  
-<xterm>+<code>
 ! !
 aaa authentication login cesnet-eap group RAD_AUTH aaa authentication login cesnet-eap group RAD_AUTH
Řádek 142: Řádek 142:
 aaa authentication enable default group tacacs+ enable aaa authentication enable default group tacacs+ enable
 ! !
-</xterm>+</code>
  
 Nastavení ověřování příkazů zadávaných v příkazové řádce. Nastavení ověřování příkazů zadávaných v příkazové řádce.
  
-<xterm>+<code>
 ! !
 aaa authorization config-commands aaa authorization config-commands
Řádek 155: Řádek 155:
 aaa authorization reverse-access default group tacacs+ if-authenticated aaa authorization reverse-access default group tacacs+ if-authenticated
 ! !
-</xterm>+</code>
  
 Nastavení úrovně logování. Nastavení úrovně logování.
  
-<xterm>+<code>
  
 aaa accounting send stop-record authentication failure aaa accounting send stop-record authentication failure
Řádek 167: Řádek 167:
 aaa accounting commands 15 default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+
 ! !
-</xterm>+</code>
  
 Nastavení accountingu uživatelů připojených přes WiFi. Nastavení accountingu uživatelů připojených přes WiFi.
  
-<xterm>+<code>
 ! !
 aaa accounting network default start-stop group RAD_ACC aaa accounting network default start-stop group RAD_ACC
Řádek 177: Řádek 177:
 aaa session-id common aaa session-id common
 ! !
-</xterm>+</code>
  
 Nastavení pro více propagovaných (broadcastovaných) SSID (max. 8). Pokud tento příkaz není zadán, Nastavení pro více propagovaných (broadcastovaných) SSID (max. 8). Pokud tento příkaz není zadán,
 lze propagovat pouze jedno SSID. lze propagovat pouze jedno SSID.
  
-<xterm>+<code>
 ! !
 dot11 mbssid dot11 mbssid
 ! !
-</xterm>+</code>
  
 Nastavení timeoutu pro různé typy připojených zařízení. V případě nekorektního Nastavení timeoutu pro různé typy připojených zařízení. V případě nekorektního
Řádek 194: Řádek 194:
 Zajímavé je především nastavení u zařízení typu "​client"​. ​ Zajímavé je především nastavení u zařízení typu "​client"​. ​
  
-<xterm>+<code>
 ! !
 dot11 activity-timeout unknown default 1800 dot11 activity-timeout unknown default 1800
Řádek 202: Řádek 202:
 dot11 activity-timeout bridge default 1800 maximum 3600 dot11 activity-timeout bridge default 1800 maximum 3600
 ! !
-</xterm>+</code>
  
 Nastavení autentizace pro ověřování pomocí 802.1x. Nastavení autentizace pro ověřování pomocí 802.1x.
Řádek 213: Řádek 213:
 Toto SSID je implementováno pouze pro zachování zpětné kompatibility se staršími chipsety, které nepodporují šifrování pomocí AES a mají problémy s připojením na SSID eduroam. Toto SSID je implementováno pouze pro zachování zpětné kompatibility se staršími chipsety, které nepodporují šifrování pomocí AES a mají problémy s připojením na SSID eduroam.
  
-<xterm>+<code>
 ! !
 dot11 ssid eduroam-tkip dot11 ssid eduroam-tkip
Řádek 223: Řádek 223:
    ​mbssid guest-mode    ​mbssid guest-mode
 ! !
-</xterm>+</code>
  
 Pro toto SSID není prováděno žádné ověřování na AP. Pro toto SSID není prováděno žádné ověřování na AP.
Řádek 229: Řádek 229:
 Tato síť s webovou autentizací není napojena na systém eduroam - ověřování funguje pouze lokálně v rámci dané organizace. Tato síť s webovou autentizací není napojena na systém eduroam - ověřování funguje pouze lokálně v rámci dané organizace.
  
-<xterm>+<code>
 ! !
 dot11 ssid cesnet dot11 ssid cesnet
Řádek 236: Řádek 236:
    ​mbssid guest-mode    ​mbssid guest-mode
 ! !
-</xterm>+</code>
  
 Na tomto SSID je pro výměnu klíčů NUTNÉ použít WPA. Jako kryptovací mechanizmus lze použít AES nebo TKIP. Na tomto SSID je pro výměnu klíčů NUTNÉ použít WPA. Jako kryptovací mechanizmus lze použít AES nebo TKIP.
 Jedná se o nejbezpečnější a jednoznačně preferovanou variantu. ​ Jedná se o nejbezpečnější a jednoznačně preferovanou variantu. ​
  
-<xterm>+<code>
 ! !
 dot11 ssid eduroam dot11 ssid eduroam
Řádek 251: Řádek 251:
    ​mbssid guest-mode    ​mbssid guest-mode
 ! !
-</xterm>+</code>
  
 Nastavení parametrů 802.11. Nastavení parametrů 802.11.
Řádek 257: Řádek 257:
 WPA komunikaci v implicitně nastaveném čase a dojde k chybě. Tento parametr je potřeba změnit minimálně na 500 ms. WPA komunikaci v implicitně nastaveném čase a dojde k chybě. Tento parametr je potřeba změnit minimálně na 500 ms.
  
-<xterm>+<code>
 ! !
 dot11 holdoff-time 30 dot11 holdoff-time 30
Řádek 263: Řádek 263:
 dot11 network-map dot11 network-map
 ! !
-</xterm>+</code>
  
 IP provoz pro management je potřeba bridgeovat. IP provoz pro management je potřeba bridgeovat.
  
-<xterm>+<code>
 ! !
 bridge irb bridge irb
 ! !
-</xterm>+</code>
  
 Nastavení parametrů pro rádio 802.11g. Nastavení parametrů pro rádio 802.11g.
  
-<xterm>+<code>
 ! !
 interface Dot11Radio0 interface Dot11Radio0
Řádek 281: Řádek 281:
 no ip route-cache no ip route-cache
 ! !
-</xterm>+</code>
  
 Nastavení kryptování pro jednotlivá SSID. Nastavení kryptování pro jednotlivá SSID.
  
-<xterm>+<code>
 ! !
 encryption vlan 102 mode ciphers tkip wep128 encryption vlan 102 mode ciphers tkip wep128
Řádek 293: Řádek 293:
 broadcast-key change 600 broadcast-key change 600
 ! !
-</xterm>+</code>
  
 Povolená SSID na rádiu 802.11g. Povolená SSID na rádiu 802.11g.
  
-<xterm>+<code>
 ! !
 ssid eduroam ssid eduroam
Řádek 305: Řádek 305:
 ssid eduroam-tkip ssid eduroam-tkip
 ! !
-</xterm>+</code>
  
 Nastavení možných rychlostí pro rádio, omezení výkonu vysílače a nastavení kanálu. Nastavení možných rychlostí pro rádio, omezení výkonu vysílače a nastavení kanálu.
  
-<xterm>+<code>
 ! !
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
-power local cck **30** +power local cck 30 
-power local ofdm **20**+power local ofdm 20
 no power client local no power client local
 power client 30 power client 30
-channel ​**2432**+channel 2432
 station-role root station-role root
 antenna receive right antenna receive right
 antenna transmit right antenna transmit right
 ! !
-</xterm>+</code>
  
 Některá zařízení se nedokážou na AP připojit, pokud jsou použity AIRONET rozšíření. Některá zařízení se nedokážou na AP připojit, pokud jsou použity AIRONET rozšíření.
 Kvůli kompatibilitě je často vhodné tato rozšíření vypnout. Kvůli kompatibilitě je často vhodné tato rozšíření vypnout.
  
-<xterm>+<code>
 ! !
 no dot11 extension aironet no dot11 extension aironet
Řádek 332: Řádek 332:
 no cdp enable no cdp enable
 ! !
-</xterm>+</code>
  
 AP si periodicky vyžaduje znovuověření klienta. ​ AP si periodicky vyžaduje znovuověření klienta. ​
 Frekvence znovuověřování se zde nastavuje v sekundách. Frekvence znovuověřování se zde nastavuje v sekundách.
  
-<xterm>+<code>
 ! !
 dot1x reauth-period 3600 dot1x reauth-period 3600
 ! !
-</xterm>+</code>
  
 L2 propojení rádiové (rozhraní Dot11Radio0) a "​kabelové"​ (rozhraní FastEthernet0) části. L2 propojení rádiové (rozhraní Dot11Radio0) a "​kabelové"​ (rozhraní FastEthernet0) části.
 Provoz je bridgeován. Provoz je bridgeován.
  
-<xterm>+<code>
 ! !
 bridge-group 1 bridge-group 1
Řádek 429: Řádek 429:
  ​bridge-group 1 spanning-disabled  ​bridge-group 1 spanning-disabled
 ! !
-</xterm>+</code>
  
 IP adresa pro management. IP adresa pro management.
  
-<xterm>+<code>
 ! !
 interface BVI1 interface BVI1
- ip address ​**10.3.3.3 255.255.255.0**+ ip address 10.3.3.3 255.255.255.0
  no ip proxy-arp  no ip proxy-arp
  no ip route-cache  no ip route-cache
 ! !
-ip default-gateway ​**10.3.3.1**+ip default-gateway 10.3.3.1
 no ip http server no ip http server
 no ip http secure-server no ip http secure-server
Řádek 447: Řádek 447:
 ip radius source-interface BVI1 ip radius source-interface BVI1
 ! !
-</xterm>+</code>
  
 Tento access-list definuje IP adresy, ze kterých je na AP možné přistupovat protokolem SSH nebo TELNET. Tento access-list definuje IP adresy, ze kterých je na AP možné přistupovat protokolem SSH nebo TELNET.
  
-<xterm>+<code>
 ! !
 ip access-list standard MANAGEMENT ip access-list standard MANAGEMENT
- ​permit ​**x.x.x.x**+ ​permit x.x.x.x
 ! !
-</xterm>+</code>
  
 Nastavení úrovně logování a určení serveru pro logování. Nastavení úrovně logování a určení serveru pro logování.
  
-<xterm>+<code>
  
 logging history errors logging history errors
 logging trap debugging logging trap debugging
-logging ​**IP_adresa_log_serveru**+logging IP_adresa_log_serveru
 ! !
-</xterm>+</code>
  
 Definice access-listů,​ které omezují přístup protokolem SNMP. Definice access-listů,​ které omezují přístup protokolem SNMP.
  
-<xterm>+<code>
 ! !
-access-list ​**50** permit ​**x.x.x.x** +access-list 50 permit x.x.x.x 
-access-list ​**51** permit ​**x.x.x.x**+access-list 51 permit x.x.x.x
 ! !
-</xterm>+</code>
  
 Konfigurace SNMP komunit a zasílání trapů. Konfigurace SNMP komunit a zasílání trapů.
  
-<xterm>+<code>
 ! !
-snmp-server community ​**xxxxxxxx RO 50** +snmp-server community xxxxxxxx RO 50 
-snmp-server community ​**yyyyyyyy RW 51**+snmp-server community yyyyyyyy RW 51
 snmp-server ifindex persist snmp-server ifindex persist
-snmp-server location ​**AP02**+snmp-server location AP02
 snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
 snmp-server enable traps tty snmp-server enable traps tty
Řádek 498: Řádek 498:
 snmp-server enable traps syslog snmp-server enable traps syslog
 snmp-server enable traps aaa_server snmp-server enable traps aaa_server
-snmp-server host **x.x.x.x** version 2c **xxxxxxxx**+snmp-server host x.x.x.x version 2c xxxxxxxx
 ! !
-</xterm>+</code>
  
 Nastavení ověřovacích serverů TACACS a RADIUS. Nastavení ověřovacích serverů TACACS a RADIUS.
  
-<xterm>+<code>
 ! !
-tacacs-server host **10.4.4.4** key 7 **xxxxxxxxxxxxxxx** +tacacs-server host 10.4.4.4 key 7 xxxxxxxxxxxxxxx 
-tacacs-server host **10.5.5.5** key 7 **xxxxxxxxxxxxxxx**+tacacs-server host 10.5.5.5 key 7 xxxxxxxxxxxxxxx
 tacacs-server timeout 1 tacacs-server timeout 1
 tacacs-server directed-request tacacs-server directed-request
 radius-server attribute 8 include-in-access-req radius-server attribute 8 include-in-access-req
-radius-server host **10.1.1.1** auth-port 1812 acct-port 1813 key 7 **xxxxxxxxxxxxxxx** +radius-server host 10.1.1.1 auth-port 1812 acct-port 1813 key 7 xxxxxxxxxxxxxxx 
-radius-server host **10.2.2.2** auth-port 1812 acct-port 1813 key 7 **xxxxxxxxxxxxxxx**+radius-server host 10.2.2.2 auth-port 1812 acct-port 1813 key 7 xxxxxxxxxxxxxxx
 radius-server vsa send accounting radius-server vsa send accounting
 ! !
Řádek 524: Řádek 524:
 ^C ^C
 ! !
-</xterm>+</code>
  
 Text, který se objeví před požadavkem na uživatelské jméno a heslo  Text, který se objeví před požadavkem na uživatelské jméno a heslo 
Řádek 531: Řádek 531:
 Neměly by zde být uváděny žádné údaje, které by pomohly případnému útočníkovi při identifikaci zařízení. Neměly by zde být uváděny žádné údaje, které by pomohly případnému útočníkovi při identifikaci zařízení.
  
-<xterm>+<code>
 ! !
 banner login ^C banner login ^C
Řádek 542: Řádek 542:
 ^C ^C
 ! !
-</xterm>+</code>
  
 Definice přístupu přes konzoli. Definice přístupu přes konzoli.
  
-<xterm>+<code>
 ! !
 line con 0 line con 0
- ​password 7 **xxxxxxxxxxxx**+ ​password 7 xxxxxxxxxxxx
 ! !
-</xterm>+</code>
  
 Definice přístupu přes virtuální terminal. Definice přístupu přes virtuální terminal.
 V tomto případě je přístup ověřován podle definice v AAA. V tomto případě je přístup ověřován podle definice v AAA.
  
-<xterm>+<code>
  
 ! aaa authentication login default ... ! aaa authentication login default ...
Řádek 565: Řádek 565:
  ​access-class MANAGEMENT in  ​access-class MANAGEMENT in
  ​exec-timeout 120 0  ​exec-timeout 120 0
- ​password 7 **xxxxxxxxxxxx**+ ​password 7 xxxxxxxxxxxx
 line vty 5 15 line vty 5 15
  ​session-timeout 120  ​session-timeout 120
  ​access-class MANAGEMENT in  ​access-class MANAGEMENT in
  ​exec-timeout 120 0  ​exec-timeout 120 0
- ​password 7 **xxxxxxxxxxxx**+ ​password 7 xxxxxxxxxxxx
 ! !
-</xterm>+</code>
  
 Nastavení serveru pro synchronizaci času pomocí SNTP protokolu. Nastavení serveru pro synchronizaci času pomocí SNTP protokolu.
  
-<xterm>+<code>
 ! !
 sntp server 195.113.144.201 sntp server 195.113.144.201
 sntp server 195.113.144.238 sntp server 195.113.144.238
 end end
-</xterm>+</code>
  
 ===== Přílohy ===== ===== Přílohy =====
Řádek 591: Řádek 591:
  --- //8. 10. 2007 upravil Jan Furman//\\  --- //8. 10. 2007 upravil Jan Furman//\\
  --- //Josef Verich a Jan Furman 4. 10. 2006//\\  --- //Josef Verich a Jan Furman 4. 10. 2006//\\
- --- //[[http://​staff.cesnet.cz/​~semik|Jan Tomášek]] 07.11.2006 10:03// dokument byl přesunut z [[cs:​spravce:​ciscoap1230|cs:​spravce:​ciscoap1230]]//​\\ + --- //[[https://​staff.cesnet.cz/​~semik|Jan Tomášek]] 07.11.2006 10:03// dokument byl přesunut z [[cs:​spravce:​ciscoap1230|cs:​spravce:​ciscoap1230]]//​\\ 
- --- //27. 11. 2008 upravil Jan Furman+ --- //27. 11. 2008 upravil Jan Furman//\\ 
 + --- //14. 1. 2022 upravil Jan Bělina
Poslední úprava:: 2022/01/20 14:15