cs:spravce:ap:ciscoap1230

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

cs:spravce:ap:ciscoap1230 [2008/11/27 17:08] (current)
Line 1: Line 1:
 +====== Nastavení Access Pointu Cisco AP1230 pro eduroam ======
  
 +
 +Tento příklad popisuje konfiguraci access pointu zapojeného do sítě
 +podporující systém //​eduroam//​. Jde pouze o ukázkovou konfiguraci,​
 +která má sloužit jako inspirace pro správce. Pro praktické použití je
 +potřeba upravit mnoho parametrů, jako jsou IP adresy, hesla, čísla použitých
 +VLAN, SSID atd.
 +
 +Za povšimnutí (a komentář) stojí především fakt, že je zde
 +zkonfigurováno více SSID, které se používají současně. Každé ssid je mapováno na
 +separátní VLANu, čímž se zajistí oddělení provozu sítí s rozdílnými
 +autentizačními mechanizmy. Koncepce VLAN je rovněž použita pro
 +realizaci testovacího účtu. O co jde? Pro potřeby monitorování RADIUS
 +hierarchie je nutné mít definován testovací účet, který je validní a
 +lze pomocí něj prokazatelně vyzkoušet přihlášení k systému. Tento účet
 +ovšem nesmí umožnit skutečný přístup do sítě. Plnohodnotný uživatelský
 +účet má ve speciálním AV páru (viz Definice RADIUS protokolu)
 +nastavenou informaci o VLANě, do které se má přiřadit - v našem
 +případě VLAN=100. Naproti tomu testovací účet má definovánu VLAN,
 +která není napojena do reálné sítě. V případě CESNETu používáme pro
 +tyto potřeby VLAN 666. V konfiguraci není tato VLAN uvedena z toho
 +důvodu, že provoz na VLANy, které nejsou definovány,​ je access pointem
 +automaticky zahazován - pro potřeby testovacího účtu lze tedy do AV
 +páru zařadit jakékoliv číslo VLAN, která není na AP
 +zkonfigurována. Pokud se uživatel bude autentizovat pomocí web
 +formuláře a použije tedy ssid "​cesnet",​ bude mít (v případě,
 +že jde o oprávněného uživatele) od RADIUS serveru rovněž nastaven AV
 +pár s VLAN ID=100. Zde je potřeba mít na zřeteli, že v případě web
 +autentizace s RADIUS serverem komunikuje ověřovací prvek (firewall) a
 +ten je také odpovědný za zpracování AV párů. K přepnutí do VLAN 100
 +tedy nedojde a uživatel zůstává dále ve VLAN, do které se připojil na
 +základě volby ssid (zde VLAN=101). Schopnost přepínat uživatele do
 +VLAN definovaných v AV páru má jen access point. Informace z VLAN ID
 +AV páru se na straně firewallu použije pouze k rozlišení,​ zda jde o
 +testovací účet (VLAN=666 - přístup do sítě zamítnut) nebo o validního
 +uživatele (VLAN=100 - přístup povolen). Webová autentizace může být provozována pouze pro lokální uživatele a její napojení na autentizaci systému eduroam je nepřípustné. Více [[cs:​ukonceni_provozu_site_eduroam-simple|ZDE]].
 +
 +Zde je  [[cs:​spravce:​ciscoap1230:​config|ukázková konfigurace]]:​
 +<​xterm>​
 +!
 +no service pad
 +service timestamps debug datetime localtime
 +service timestamps log datetime localtime
 +service password-encryption
 +service sequence-numbers
 +!
 +hostname **APxx**
 +!
 +</​xterm>​
 +
 +Logování na konzoli může v případě zapnutého debugu vést k problémům se zahlcením výstupu.
 +To může zbytečně přetěžovat zařízení a eventuálně způsobit i reload celého systému.
 +
 +<​xterm>​
 +!
 +no logging console
 +!
 +</​xterm>​
 +
 +Heslo do privilegovaného módu.
 +V případě, že se použije varianta "​password",​ je heslo zakódováno pouze jednoduchým algoritmem, který lze snadno dekódovat.
 +Naproti tomu volba "​secret"​ používá algoritmus MD5, který je podstatně bezpečnější.
 +
 +<​xterm>​
 +!
 +enable secret 5 **xxxxxxxxxxxxxxxxxx**
 +!
 +</​xterm>​
 +
 +Nastavení časového pásma a posun od GMT.
 +
 +<​xterm>​
 +!
 +clock timezone MET 1
 +!
 +</​xterm>​
 +
 +Definice doby platnosti letního času.
 +
 +<​xterm>​
 +!
 +clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 2:00
 +!
 +</​xterm>​
 +
 +Je možno použít i "​krajní"​ subnety v IP sítích, které podle staré normy nebylo možné používat.
 +
 +<​xterm>​
 +!
 +ip subnet-zero
 +!
 +</​xterm>​
 +
 +Definice doménového jména a name serveru.
 +
 +<​xterm>​
 +!
 +ip domain name **cesnet.cz**
 +ip name-server **195.113.144.194**
 +ip name-server **195.113.144.233**
 +!
 +</​xterm>​
 +
 +Konfigurace autentizace,​ autorizace a accountingu.
 +
 +<​xterm>​
 +!
 +aaa new-model
 +!
 +</​xterm>​
 +
 +Je možné nadefinovat různé skupiny serverů pro různé situace (např. pro každé SSID jiný RADIUS server, ​
 +jiný server pro autentizaci než pro accounting a podobně).
 +
 +<​xterm>​
 +!
 +aaa group server radius RAD_ACC
 + ​server **10.1.1.1** auth-port 1812 acct-port 1813
 + ​server **10.2.2.2** auth-port 1812 acct-port 1813
 +!
 +aaa group server radius RAD_AUTH
 + ​server **10.1.1.1** auth-port 1812 acct-port 1813
 + ​server **10.2.2.2** auth-port 1812 acct-port 1813
 +!
 +</​xterm>​
 +
 +Nastavení metody ověřování přístupu.
 +
 +<​xterm>​
 +
 +aaa authentication login default group tacacs+ line
 +!
 +</​xterm>​
 +
 +Ověřování uživatelů,​ kteří se připojují přes WiFi.
 +
 +<​xterm>​
 +!
 +aaa authentication login cesnet-eap group RAD_AUTH
 +!
 +aaa authentication enable default group tacacs+ enable
 +!
 +</​xterm>​
 +
 +Nastavení ověřování příkazů zadávaných v příkazové řádce.
 +
 +<​xterm>​
 +!
 +aaa authorization config-commands
 +aaa authorization exec default group tacacs+ if-authenticated
 +aaa authorization commands 0 default group tacacs+ if-authenticated
 +aaa authorization commands 15 default group tacacs+ if-authenticated
 +aaa authorization network default group tacacs+ if-authenticated
 +aaa authorization reverse-access default group tacacs+ if-authenticated
 +!
 +</​xterm>​
 +
 +Nastavení úrovně logování.
 +
 +<​xterm>​
 +
 +aaa accounting send stop-record authentication failure
 +aaa accounting update newinfo
 +aaa accounting exec default start-stop group tacacs+
 +aaa accounting commands 0 default start-stop group tacacs+
 +aaa accounting commands 15 default start-stop group tacacs+
 +!
 +</​xterm>​
 +
 +Nastavení accountingu uživatelů připojených přes WiFi.
 +
 +<​xterm>​
 +!
 +aaa accounting network default start-stop group RAD_ACC
 +aaa accounting system default start-stop group tacacs+
 +aaa session-id common
 +!
 +</​xterm>​
 +
 +Nastavení pro více propagovaných (broadcastovaných) SSID (max. 8). Pokud tento příkaz není zadán,
 +lze propagovat pouze jedno SSID.
 +
 +<​xterm>​
 +!
 +dot11 mbssid
 +!
 +</​xterm>​
 +
 +Nastavení timeoutu pro různé typy připojených zařízení. V případě nekorektního
 +odpojení zařízení od AP toto stále drží ve svých tabulkách záznam o připojeném ​
 +zařízení. Vymaže jej až po vypršení časové prodlevy.
 +V případě korektního ukončení AP vymaže záznamy okamžitě.
 +Zajímavé je především nastavení u zařízení typu "​client"​. ​
 +
 +<​xterm>​
 +!
 +dot11 activity-timeout unknown default 1800
 +dot11 activity-timeout client maximum 3600
 +dot11 activity-timeout repeater default 1800 maximum 3600
 +dot11 activity-timeout workgroup-bridge default 1800 maximum 3600
 +dot11 activity-timeout bridge default 1800 maximum 3600
 +!
 +</​xterm>​
 +
 +Nastavení autentizace pro ověřování pomocí 802.1x.
 +Je požadována otevřená autentizace pomocí EAP a autentizace
 +při přístupu do sítě. V obou případech se používá metoda "aaa authentication login cesnet-eap ..." z části AAA.
 +Pro výměnu klíčů je možné (ne však nutné) použít WPA.
 +Na takto definovaném SSID je možné kryptování pouze pomocí WEP nebo TKIP (AES není v této konfiguraci přípustné).
 +Accounting se provádí podle definice "aaa accounting network default ...".
 +SSID je propagováno.
 +Toto SSID je implementováno pouze pro zachování zpětné kompatibility se staršími chipsety, které nepodporují šifrování pomocí AES a mají problémy s připojením na SSID eduroam.
 +
 +<​xterm>​
 +!
 +dot11 ssid eduroam-tkip
 +   vlan 102
 +   ​authentication open eap cesnet-eap
 +   ​authentication network-eap cesnet-eap
 +   ​authentication key-management wpa optional
 +   ​accounting RAD_ACC
 +   ​mbssid guest-mode
 +!
 +</​xterm>​
 +
 +Pro toto SSID není prováděno žádné ověřování na AP.
 +K ověření dojde až na dalším přístupovém prvku (firewall) pomocí webového rozhraní.
 +Tato síť s webovou autentizací není napojena na systém eduroam - ověřování funguje pouze lokálně v rámci dané organizace.
 +
 +<​xterm>​
 +!
 +dot11 ssid cesnet
 +   vlan 101
 +   ​authentication open
 +   ​mbssid guest-mode
 +!
 +</​xterm>​
 +
 +Na tomto SSID je pro výměnu klíčů NUTNÉ použít WPA. Jako kryptovací mechanizmus lze použít AES nebo TKIP.
 +Jedná se o nejbezpečnější a jednoznačně preferovanou variantu. ​
 +
 +<​xterm>​
 +!
 +dot11 ssid eduroam
 +   vlan 100
 +   ​authentication open eap cesnet-eap
 +   ​authentication network-eap cesnet-eap
 +   ​authentication key-management wpa 
 +   ​accounting RAD_ACC
 +   ​mbssid guest-mode
 +!
 +</​xterm>​
 +
 +Nastavení parametrů 802.11.
 +Zde je zajímavý především parametr WPA handshake. Některá zařízení s pomalým procesorem (např. PDA) nestihnou domluvit
 +WPA komunikaci v implicitně nastaveném čase a dojde k chybě. Tento parametr je potřeba změnit minimálně na 500 ms.
 +
 +<​xterm>​
 +!
 +dot11 holdoff-time 30
 +dot11 wpa handshake timeout 500
 +dot11 network-map
 +!
 +</​xterm>​
 +
 +IP provoz pro management je potřeba bridgeovat.
 +
 +<​xterm>​
 +!
 +bridge irb
 +!
 +</​xterm>​
 +
 +Nastavení parametrů pro rádio 802.11g.
 +
 +<​xterm>​
 +!
 +interface Dot11Radio0
 +no ip address
 +no ip route-cache
 +!
 +</​xterm>​
 +
 +Nastavení kryptování pro jednotlivá SSID.
 +
 +<​xterm>​
 +!
 +encryption vlan 102 mode ciphers tkip wep128
 +!
 +encryption vlan 100 mode ciphers aes-ccm tkip
 +!
 +broadcast-key change 600
 +!
 +</​xterm>​
 +
 +Povolená SSID na rádiu 802.11g.
 +
 +<​xterm>​
 +!
 +ssid eduroam
 +!
 +ssid cesnet
 +!
 +ssid eduroam-tkip
 +!
 +</​xterm>​
 +
 +Nastavení možných rychlostí pro rádio, omezení výkonu vysílače a nastavení kanálu.
 +
 +<​xterm>​
 +!
 +speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
 +power local cck **30**
 +power local ofdm **20**
 +no power client local
 +power client 30
 +channel **2432**
 +station-role root
 +antenna receive right
 +antenna transmit right
 +!
 +</​xterm>​
 +
 +Některá zařízení se nedokážou na AP připojit, pokud jsou použity AIRONET rozšíření.
 +Kvůli kompatibilitě je často vhodné tato rozšíření vypnout.
 +
 +<​xterm>​
 +!
 +no dot11 extension aironet
 +!
 +no cdp enable
 +!
 +</​xterm>​
 +
 +AP si periodicky vyžaduje znovuověření klienta. ​
 +Frekvence znovuověřování se zde nastavuje v sekundách.
 +
 +<​xterm>​
 +!
 +dot1x reauth-period 3600
 +!
 +</​xterm>​
 +
 +L2 propojení rádiové (rozhraní Dot11Radio0) a "​kabelové"​ (rozhraní FastEthernet0) části.
 +Provoz je bridgeován.
 +
 +<​xterm>​
 +!
 +bridge-group 1
 +bridge-group 1 subscriber-loop-control
 +bridge-group 1 block-unknown-source
 +no bridge-group 1 source-learning
 +no bridge-group 1 unicast-flooding
 +bridge-group 1 spanning-disabled
 +!
 +interface Dot11Radio0.100
 + ​encapsulation dot1Q 100
 + no ip route-cache
 + no cdp enable
 + ​bridge-group 100
 + ​bridge-group 100 subscriber-loop-control
 + ​bridge-group 100 block-unknown-source
 + no bridge-group 100 source-learning
 + no bridge-group 100 unicast-flooding
 + ​bridge-group 100 spanning-disabled
 +!
 +interface Dot11Radio0.101
 + ​encapsulation dot1Q 101
 + no ip route-cache
 + no cdp enable
 + ​bridge-group 101
 + ​bridge-group 101 subscriber-loop-control
 + ​bridge-group 101 block-unknown-source
 + no bridge-group 101 source-learning
 + no bridge-group 101 unicast-flooding
 + ​bridge-group 101 spanning-disabled
 +!
 +interface Dot11Radio0.102
 + ​encapsulation dot1Q 102
 + no ip route-cache
 + no cdp enable
 + ​bridge-group 102
 + ​bridge-group 102 subscriber-loop-control
 + ​bridge-group 102 block-unknown-source
 + no bridge-group 102 source-learning
 + no bridge-group 102 unicast-flooding
 + ​bridge-group 102 spanning-disabled
 +!
 +!
 +interface FastEthernet0
 + no ip address
 + no ip proxy-arp
 + no ip route-cache
 + ​duplex auto
 + speed auto
 + ​hold-queue 160 in
 +!
 +interface FastEthernet0.100
 + ​description eduroam (802.1x autentizace)
 + ​encapsulation dot1Q 100
 + no ip route-cache
 + ​bridge-group 100
 + no bridge-group 100 source-learning
 + ​bridge-group 100 spanning-disabled
 +!
 +interface FastEthernet0.101
 + ​description cesnet (web based autentizace)
 + ​encapsulation dot1Q 101
 + no ip route-cache
 + ​bridge-group 101
 + no bridge-group 101 source-learning
 + ​bridge-group 101 spanning-disabled
 +!
 +interface FastEthernet0.102
 + ​description eduroam-tkip (802.1x autentizace - TKIP)
 + ​encapsulation dot1Q 102
 + no ip route-cache
 + ​bridge-group 102
 + no bridge-group 102 source-learning
 + ​bridge-group 102 spanning-disabled
 +!
 +interface FastEthernet0.998
 + ​description cesnet_mgmt
 + ​encapsulation dot1Q 998 native
 + no ip route-cache
 + ​bridge-group 1
 + no bridge-group 1 source-learning
 + ​bridge-group 1 spanning-disabled
 +!
 +</​xterm>​
 +
 +IP adresa pro management.
 +
 +<​xterm>​
 +!
 +interface BVI1
 + ip address **10.3.3.3 255.255.255.0**
 + no ip proxy-arp
 + no ip route-cache
 +!
 +ip default-gateway **10.3.3.1**
 +no ip http server
 +no ip http secure-server
 +ip http help-path http://​www.cisco.com/​warp/​public/​779/​smbiz/​prodconfig/​help/​eag
 +ip tacacs source-interface BVI1
 +ip radius source-interface BVI1
 +!
 +</​xterm>​
 +
 +Tento access-list definuje IP adresy, ze kterých je na AP možné přistupovat protokolem SSH nebo TELNET.
 +
 +<​xterm>​
 +!
 +ip access-list standard MANAGEMENT
 + ​permit **x.x.x.x**
 +!
 +</​xterm>​
 +
 +Nastavení úrovně logování a určení serveru pro logování.
 +
 +<​xterm>​
 +
 +logging history errors
 +logging trap debugging
 +logging **IP_adresa_log_serveru**
 +!
 +</​xterm>​
 +
 +Definice access-listů,​ které omezují přístup protokolem SNMP.
 +
 +<​xterm>​
 +!
 +access-list **50** permit **x.x.x.x**
 +access-list **51** permit **x.x.x.x**
 +!
 +</​xterm>​
 +
 +Konfigurace SNMP komunit a zasílání trapů.
 +
 +<​xterm>​
 +!
 +snmp-server community **xxxxxxxx RO 50**
 +snmp-server community **yyyyyyyy RW 51**
 +snmp-server ifindex persist
 +snmp-server location **AP02**
 +snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
 +snmp-server enable traps tty
 +snmp-server enable traps entity
 +snmp-server enable traps disassociate
 +snmp-server enable traps deauthenticate
 +snmp-server enable traps authenticate-fail
 +snmp-server enable traps dot11-qos
 +snmp-server enable traps switch-over
 +snmp-server enable traps rogue-ap
 +snmp-server enable traps wlan-wep
 +snmp-server enable traps config
 +snmp-server enable traps syslog
 +snmp-server enable traps aaa_server
 +snmp-server host **x.x.x.x** version 2c **xxxxxxxx**
 +!
 +</​xterm>​
 +
 +Nastavení ověřovacích serverů TACACS a RADIUS.
 +
 +<​xterm>​
 +!
 +tacacs-server host **10.4.4.4** key 7 **xxxxxxxxxxxxxxx**
 +tacacs-server host **10.5.5.5** key 7 **xxxxxxxxxxxxxxx**
 +tacacs-server timeout 1
 +tacacs-server directed-request
 +radius-server attribute 8 include-in-access-req
 +radius-server host **10.1.1.1** auth-port 1812 acct-port 1813 key 7 **xxxxxxxxxxxxxxx**
 +radius-server host **10.2.2.2** auth-port 1812 acct-port 1813 key 7 **xxxxxxxxxxxxxxx**
 +radius-server vsa send accounting
 +!
 +control-plane
 +!
 +bridge 1 route ip
 +!
 +!
 +banner exec ^C
 +Text ktery se objevi po prihlaseni uzivatele do prikazove radky
 +^C
 +!
 +</​xterm>​
 +
 +Text, který se objeví před požadavkem na uživatelské jméno a heslo 
 +při přístupu přes TELNET nebo SSH.
 +Většinou se sem umisťuje varování neoprávněným osobám, aby se dále nepokoušely přihlašovat.
 +Neměly by zde být uváděny žádné údaje, které by pomohly případnému útočníkovi při identifikaci zařízení.
 +
 +<​xterm>​
 +!
 +banner login ^C
 +
 +     The equipment now being accessed and information available through
 +     this equipment is confidential and proprietary,​ and may be accessed
 +     or used only as specifically authorized. All other access or use
 +     is prohibited and is subject to legal action.
 +
 +^C
 +!
 +</​xterm>​
 +
 +Definice přístupu přes konzoli.
 +
 +<​xterm>​
 +!
 +line con 0
 + ​password 7 **xxxxxxxxxxxx**
 +!
 +</​xterm>​
 +
 +Definice přístupu přes virtuální terminal.
 +V tomto případě je přístup ověřován podle definice v AAA.
 +
 +<​xterm>​
 +
 +! aaa authentication login default ...
 +! aaa authorization exec default ...
 +!
 +line vty 0 4
 + ​session-timeout 120
 + ​access-class MANAGEMENT in
 + ​exec-timeout 120 0
 + ​password 7 **xxxxxxxxxxxx**
 +line vty 5 15
 + ​session-timeout 120
 + ​access-class MANAGEMENT in
 + ​exec-timeout 120 0
 + ​password 7 **xxxxxxxxxxxx**
 +!
 +</​xterm>​
 +
 +Nastavení serveru pro synchronizaci času pomocí SNTP protokolu.
 +
 +<​xterm>​
 +!
 +sntp server 195.113.144.201
 +sntp server 195.113.144.238
 +end
 +</​xterm>​
 +
 +===== Přílohy =====
 +
 +Kompletní konfigurace z tohoto článku: [[cs:​spravce:​ap:​ciscoap1230:​config|config]].
 +
 +
 +====== ​ ======
 + --- //8. 10. 2007 upravil Jan Furman//\\
 + --- //Josef Verich a Jan Furman 4. 10. 2006//\\
 + --- //​[[http://​staff.cesnet.cz/​~semik|Jan Tomášek]] 07.11.2006 10:03// dokument byl přesunut z [[cs:​spravce:​ciscoap1230|cs:​spravce:​ciscoap1230]]//​\\
 + --- //27. 11. 2008 upravil Jan Furman
Last modified:: 2008/11/27 17:08