Tento návod popisuje konfiguráciu kontroléru Zone Director 1200 od spoločnosti Ruckus Wireless. Vytvorená konfigurácia na kontroléru je automaticky synchronizovaná s pripojenými AP, nieje teda nutné robiť konfiguráciu AP separátne.
Postup nižšie popisuje, ako vytvoriť WLAN sieť s SSID “eduroam” (POZOR - všetky písmena sú malé). Táto sieť využíva zabezpečenie WPA2-Enterprise (podľa štandardu IEEE 802.1x) so zabezpečovacou metódou EAP. Konfigurácia popisuje aj voliteľnú možnosť tzv. “dynamic VLAN assignment”, t.j. priraďovanie VLAN ID na základe členstva užívateľa v príslušnej skupine na serveri uživateľských identít (MS Active Directory, resp. LDAP). Samotné nastavenie RADIUS servera na priradzovanie VLAN ID je popisané TU (hyperlink).
Konfigurácia pre potreby eduroam spočíva v následovných krokoch:
Tieto kroky sú v obrázkoch značené červenou farbou.
Rozšírená konfigurácia spočíva v nastavení doplnkových a odporúčaných funkcií. Uvedené funkcie rozšíruju funkcionalitu WLAN siete (napríklad priradenie statickej a dynamickej VLAN), alebo zvyšujú zabezpečenie a funkčnost siete (izolácia klientov, vylepšená podpora roamingu, vyžadovanie pridelenia adresy z DHCP serveru, atď.).
Tieto kroky sú v obrázkoch značené zelenou farbou.
Po úvodnom prihlásení do kontroléru je treba v ľavej časti menu zvoliť položku Služby a profily a následne AAA servery. V hlavnom okne klikneme na Vytvořit.
V novom okne vyplníme príslušné parametre ako je jméno, typ, IP adresa pre primárny server, hodnotu pre port necháme na prednastavenej hodnote (1812). Nesmieme zabudnúť na nastavenie správneho Tajného sdíleného klíče (shared secret). Tento klúč MUSÍ byť zhodný s príslušným nastavením na strane RADIUS serveru, ináč komunikácia nebude fungovat. Je odporúčané nadefinovať aj sekundárny server pre prípad výpadku primárneho serveru. Konfigurácia je obdobná ako u primárneho serveru.
Kontrolér funguje ako RADIUS proxy. V konfigurácií samotného RADIUS serveru stačí v definícií klientov vytvoriť profil s IP adresou kontroléru, nieje potrebné definovať aj jednotlivé AP.
Samotné vytvorenie WLAN siete je jednoduchý a rýchly proces. V ľavej časti menu zvoľte položku Bezdrátové sítě. Následne v hlavnej časti okna vyberieme v stromovej štruktúre príslušnú položku, kde chceme novú sieť vytvoriť. V tejto konfigurácií je použitá skupina “Default”. Následne klikneme na ikonu Vytvořit.
V novom okne vyplníme povinné parametre pre meno siete a ESSID. Odporúčam vyplniť aj popis príslušnej WLAN - uľahčíte tým orientáciu v budúcnosti. V časti Využití WLAN stačí nechať prednastavenú hodnotu Běžny přístup.
V časti Oveřování treba zvoliť metódu 802.1x EAP a vybrať príslušný overovací server (AAA server). V časti Šifrování zvoľte metódu WPA2 a ako štandard zvoľte AES. Voľba “Auto” (t.j. TKIP+AES) nieje odporúčaná, štandard TKIP je zastaralý a má vážne bezpečnostné nedostatky. Navyše jeho využitím dôjde k významnému redukovaniu fyzickej prenosovej rýchlosti (max 54 Mbps namiesto 300+ Mbps). Toto obmedzenie je vlastnosťou štandardu, t.j. platí pre hociaku značku.
Voliteľne: Je vhodné povoliť podporu rýchleho roamingu (Fast Transition - FT) do 50ms podľa štandardu IEEE 802.11r. V prípade aktivácie tejto funkcie je vhodné povoliť aj podporu IEEE 802.11k (Neighbor list report) - viď konfigurácia nižšie. Zapnutím podpory uvedenych vlastností dojde k výraznému navýšeniu funkčnosti a použiteľnosti roamingu (prechod medzi jednotlivymi AP).
Týmto je základná konfigurácia siete pre potreby eduroam hotová. Nasleduje rozšírená, resp. odporúčaná konfigurácia siete.
V časti Pokročilá nastavení je vhodné zapnúť podporu izolácie komunikácie bezdrátových klientov.
V tej istej časti je možné nastaviť priradenie VID pre overené účty. K tomu slúží položka Přístup k VLAN. Toto nastavenie (Přístup k VLAN) plní rovnakú funkcionalitu ako nastavenie “Přiřazení konkrétní VLAN návštěvníkům”. Ak je v na RADIUS serveru implementovaná podpora dynamického priraďovania VLAN, je potrebne zapnúť túto funkciu aj na kontroléru. Toho sa dosiahne skrz aktiváciu položky Použit dynamickou VLAN. Následujúce funkcie (na obrázku zvýraznene zelenou farbou) sú voliteľné a v závislosti na požadovanej funkcionalite je možné ich aktivovat.
V tejto poslednej časti je vhodné aktivovať podporu správy radiového spoja (tzv. Radio Resource Management) podľa IEEE 802.11k. Taáto funkcia bola spomínana v časti rýchleho roamingu.
Otestovať funkčnosť konfigurácie RADIUS serveru je možné následovným spôsobom: v ľavej časti menu zvoľte položku Služby a profily a potom AAA servery. V hlavnom okne v časti Test nastavení ověřovacích/účtových serverů vybrať príslušný AAA profil s konfiguráciou RADIUS serveru. Následne treba vyplniť testovací účet a spustit proces overenia skrz položku test na pravej strane. POZOR - tento jednoduchý test je možné použiť iba v prípade, že testovaci účet je možné overiť skrz PAP. Akonáhle je použitá ina metóda ako napr. EAP, je potrebné použiť iný testovací nástroj
Popis konfigurácie bol vytvorený na WLAN koltroléri Zone Director 1200, ktorý využíval verziu firmware 10.2.1.0 build 75, jazyk grafického prostredia nastavený na češtinu.
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz