Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
|
cs:spravce:ap:eduroamap [2016/12/07 13:24] jop@cesnet.cz [eduroam AP] |
cs:spravce:ap:eduroamap [2016/12/07 13:30] jop@cesnet.cz [Parametry eduroam AP] |
||
|---|---|---|---|
| Řádek 3: | Řádek 3: | ||
| {{:cs:spravce:ap:eduroomap_small.jpeg?250 |}} **Plug & Play //eduroam// -- stačí zajistit napájení a připojení k Internetu, o zbytek se postará //eduroam AP// samo.** | {{:cs:spravce:ap:eduroomap_small.jpeg?250 |}} **Plug & Play //eduroam// -- stačí zajistit napájení a připojení k Internetu, o zbytek se postará //eduroam AP// samo.** | ||
| - | //eduroam AP// bylo vyvíjeno především pro malé instituce anebo pracoviště, kde není možné nasadit klasická AP + bezdrátový řadič + RADIUS zapojený do //eduroam// infrastruktury. Využíváme HW AP určených pro SOHO segment. Originální software AP je nahrazen naším softwarem. Jeho základem je nadstavba [[https://homeproj.cesnet.cz/projects/besip/wiki|BEESIP]] nad OpenWrt. Podporovat můžeme obecně jakýkoliv WiFi router, který [[https://wiki.openwrt.org/toh/start|podporuje OpenWrt]]. | + | //eduroam AP// bylo vyvinuto především pro malé instituce anebo pracoviště, kde není možné nasadit klasická AP + bezdrátový řadič + RADIUS zapojený do //eduroam// infrastruktury. Využíváme HW AP určených pro SOHO segment. Originální software AP je nahrazen naším softwarem. Jeho základem je nadstavba [[https://homeproj.cesnet.cz/projects/besip/wiki|BEESIP]] nad OpenWrt. Podporovat můžeme obecně jakýkoliv Wi-Fi router, který je [[https://wiki.openwrt.org/toh/start|podporován OpenWrt]]. |
| //eduroam AP// si samo zajišťuje napojení na //eduroam// infrastrukturu. Během inicializace získá certifikát, který ho opravňuje k připojení k //eduroam// infrastruktuře. Díky tomu, že využíváme radsecproxy, je veškerý autentizační provoz šifrován. VPN zajištuje šifrovaní syslog a netflow zpráv. Také nám poskytuje možnost vzdáleně řešit problémy na samotném AP. | //eduroam AP// si samo zajišťuje napojení na //eduroam// infrastrukturu. Během inicializace získá certifikát, který ho opravňuje k připojení k //eduroam// infrastruktuře. Díky tomu, že využíváme radsecproxy, je veškerý autentizační provoz šifrován. VPN zajištuje šifrovaní syslog a netflow zpráv. Také nám poskytuje možnost vzdáleně řešit problémy na samotném AP. | ||
| Řádek 13: | Řádek 13: | ||
| //eduroam AP// může fungovat na jakémkoliv HW, který je podporován [[https://wiki.openwrt.org/toh/start|OpenWrt]]. V rámci rozvoje našeho SW se ale chceme zaměřovat spíše na funkcionalitu potřebnou pro //eduroam// než na podporu široké základny AP. Je nezbytné věnovat pozornost revizi HW -- jiná revize nemusí fungovat. | //eduroam AP// může fungovat na jakémkoliv HW, který je podporován [[https://wiki.openwrt.org/toh/start|OpenWrt]]. V rámci rozvoje našeho SW se ale chceme zaměřovat spíše na funkcionalitu potřebnou pro //eduroam// než na podporu široké základny AP. Je nezbytné věnovat pozornost revizi HW -- jiná revize nemusí fungovat. | ||
| - | Minimální parametry HW: 64 MB RAM, 8 MB Flash | + | Minimální parametry HW: 64 MB RAM, 8 MB Flash. |
| ==== TP-Link Archer C7 ==== | ==== TP-Link Archer C7 ==== | ||
| Řádek 35: | Řádek 35: | ||
| * WAN port AP je nutné připojit do sítě, kde je k dispozici DHCP. Konektivita by neměla být filtrována, //eduroam// definuje minimální sadu portů/protokolů (vizte tabulku v [[https://www.eduroam.org/wp-content/uploads/2016/05/GN3-12-192_eduroam-policy-service-definition_ver28_26072012.pdf|eduroam Policy Service Definition]] na straně 32), ale čím je síť otevřenější, tím lépe. AP samotné pro svůj provoz vyžaduje odchozí TCP/2083 a obousměrně UDP/1194. | * WAN port AP je nutné připojit do sítě, kde je k dispozici DHCP. Konektivita by neměla být filtrována, //eduroam// definuje minimální sadu portů/protokolů (vizte tabulku v [[https://www.eduroam.org/wp-content/uploads/2016/05/GN3-12-192_eduroam-policy-service-definition_ver28_26072012.pdf|eduroam Policy Service Definition]] na straně 32), ale čím je síť otevřenější, tím lépe. AP samotné pro svůj provoz vyžaduje odchozí TCP/2083 a obousměrně UDP/1194. | ||
| - | * AP je zpojeno do //eduroam// infrastruktury pomocí dedikovaného RADIUS serveru, veškerý autentizační provoz je šifrován prostřenictvím protokolu RadSec | + | * AP je zpojeno do //eduroam// infrastruktury pomocí dedikovaného RADIUS serveru, veškerý autentizační provoz je šifrován prostřenictvím protokolu RadSec. |
| - | * ostatní provoz AP (logy, netflow, monitoring) je šifrován užitím VPN | + | * Ostatní provoz AP (logy, netflow, monitoring) je šifrován užitím VPN. |
| - | * Volba Wi-Fi kanálu/ů se provádí staticky pomocí centrálního portálu | + | * Volba Wi-Fi kanálu/ů se provádí staticky pomocí centrálního portálu. |
| - | * ACS na žádném z testovaných AP nefunguje | + | * ACS na žádném z testovaných AP nefunguje. |
| - | * AP provádí monitoring okolních AP, v budoucnu bude možné implementovat automatickou centrální volbu kanálů | + | * AP provádí monitoring okolních AP, v budoucnu bude možné implementovat automatickou centrální volbu kanálů. |
| - | * Datový provoz uživatelů je NATován a vyřizován prostřednictvím sítě, do které je AP zapojeno | + | * Datový provoz uživatelů je NATován a vyřizován prostřednictvím sítě, do které je AP zapojeno. |
| - | * záznamy o autentizaci uživatelů a o přidělených IP adresách jsou centrálně archivovány | + | * Záznamy o autentizaci uživatelů a o přidělených IP adresách jsou centrálně archivovány. |
| - | * informace o NAT překladech jsou sbírány pomocí netflow záznamů a archivovány v [[https://www.cesnet.cz/sluzby/sledovani-provozu-site/sledovani-ip-provozu/|CESNET FTAS]]. | + | * Informace o NAT překladech jsou sbírány pomocí netflow záznamů a archivovány v [[https://www.cesnet.cz/sluzby/sledovani-provozu-site/sledovani-ip-provozu/|CESNET FTAS]]. |
| - | * v budoucnu bude k dispozici rozhraní pro držitele //eduroam AP// k dohledávání informací o uživatelích za účelem řešení bezpečnostních incidentů -- prozatím individuálně na žádost | + | * V budoucnu bude k dispozici rozhraní pro držitele //eduroam AP// k dohledávání informací o uživatelích za účelem řešení bezpečnostních incidentů -- prozatím individuálně na žádost. |
| - | * Není možný rychlý roaming, při přesunu klienta z AP na AP dojde k nové autentizaci a změně IP. Existující spojení se rozpadnou. | + | * Není možný rychlý roaming, při přesunu klienta z AP na AP dojde k nové autentizaci a změně IP -- existující spojení se rozpadnou. |
| - | * Řeší poskytovatele služby //eduroam//, neřeší roli poskytovatele identit | + | * Řeší poskytovatele služby //eduroam//, neřeší roli poskytovatele identit. |
| - | * pokud instituce nemá vlastní identity a není připojena klasickým RADIUSem do //eduroam// infrastruktury, nebudou moci její uživatelé toto eduroam AP využívat | + | * Pokud instituce nemá vlastní identity a není připojena klasickým RADIUSem do //eduroam// infrastruktury, nebudou moci její uživatelé toto eduroam AP využívat. |
| ===== Řešení problémů ===== | ===== Řešení problémů ===== | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz