cs:spravce:ap:ruckus_zone_director

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

cs:spravce:ap:ruckus_zone_director [2019/05/30 10:54] (current)
Line 1: Line 1:
 +====== Konfigurácia Ruckus Wireless Zone Director 1200 pre služby eduroam ======
 +
 +
 +Tento návod popisuje konfiguráciu kontroléru [[https://​www.ruckuswireless.com/​products/​system-management-control/​zonedirector-controllers/​zonedirector-1200|Zone Director 1200]] od spoločnosti [[https://​www.ruckuswireless.com/​|Ruckus Wireless]]. Vytvorená konfigurácia na kontroléru je automaticky synchronizovaná s pripojenými AP, nieje teda nutné robiť konfiguráciu AP separátne. ​
 +
 +Postup nižšie popisuje, ako vytvoriť WLAN sieť s SSID “eduroam” (POZOR - všetky písmena sú malé). Táto sieť využíva zabezpečenie WPA2-Enterprise (podľa štandardu [[https://​cs.wikipedia.org/​wiki/​IEEE_802.1X|IEEE 802.1x]]) so zabezpečovacou metódou [[https://​cs.wikipedia.org/​wiki/​Extensible_Authentication_Protocol|EAP]]. Konfigurácia popisuje aj voliteľnú možnosť tzv. “dynamic VLAN assignment”,​ t.j. priraďovanie VLAN ID na základe členstva užívateľa v príslušnej skupine na serveri uživateľských identít (MS Active Directory, resp. LDAP). Samotné nastavenie RADIUS servera na priradzovanie VLAN ID je popisané TU (hyperlink). ​
 +
 +Konfigurácia pre potreby eduroam spočíva v následovných krokoch: ​
 +  * Vytvorenie AAA profilu pre overovací server  ​
 +  * Vytvorenie WLAN siete s SSID eduroam
 +  * Nastavenie zabezpečenia s využitím 802.1x EAP a voľba príslušného [[https://​cs.wikipedia.org/​wiki/​AAA_protokol|AAA]] profilu (t.j. [[https://​cs.wikipedia.org/​wiki/​RADIUS|RADIUS]] serveru v tomto prípade)
 +
 +Tieto kroky sú v obrázkoch značené <color #​ed1c24>​červenou</​color>​ farbou. ​
 +
 +//​Rozšírená konfigurácia//​ spočíva v nastavení doplnkových a odporúčaných funkcií. Uvedené funkcie rozšíruju funkcionalitu WLAN siete (napríklad priradenie statickej a dynamickej VLAN), alebo zvyšujú zabezpečenie a funkčnost siete (izolácia klientov, vylepšená podpora roamingu, vyžadovanie pridelenia adresy z DHCP serveru, atď.). ​
 +
 +Tieto kroky sú v obrázkoch značené <color #​22b14c>​zelenou</​color>​ farbou. ​
 +
 +===== Vytvorenie AAA profilu pre overovací server =====
 +  ​
 +Po úvodnom prihlásení do kontroléru je treba v ľavej časti menu zvoliť položku **Služby a profily** a následne **AAA servery**. V hlavnom okne klikneme na **Vytvořit**. ​
 +
 +{{:​cs:​spravce:​ap:​ruckus_zone_director:​zd1200_eduroam_config_create_aaa_1.png?​direct&​400|}}
 + 
 +V novom okne vyplníme príslušné parametre ako je **jméno, typ, IP adresa** pre primárny server, hodnotu pre port necháme na prednastavenej hodnote (1812). Nesmieme zabudnúť na nastavenie správneho **Tajného sdíleného klíče** (shared secret). Tento klúč **MUSÍ** byť zhodný s príslušným nastavením na strane RADIUS serveru, ináč komunikácia nebude fungovat. Je odporúčané nadefinovať aj sekundárny server pre prípad výpadku primárneho serveru. Konfigurácia je obdobná ako u primárneho serveru.
 +
 +**Kontrolér funguje ako RADIUS proxy**. V konfigurácií samotného RADIUS serveru stačí v definícií klientov vytvoriť profil s IP adresou kontroléru,​ nieje potrebné definovať aj jednotlivé AP.  ​
 +
 +{{:​cs:​spravce:​ap:​ruckus_zone_director:​zd1200_eduroam_config_create_aaa_2.png?​direct&​400|}}
 +
 +
 +
 +===== Vytvorenie WLAN siete =====
 +
 +Samotné vytvorenie WLAN siete je jednoduchý a rýchly proces. V ľavej časti menu zvoľte položku **Bezdrátové sítě**. Následne v hlavnej časti okna vyberieme v stromovej štruktúre príslušnú položku, kde chceme novú sieť vytvoriť. V tejto konfigurácií je použitá skupina “Default”. Následne klikneme na ikonu **Vytvořit**.  ​
 +
 +{{:​cs:​spravce:​ap:​ruckus_zone_director:​zd1200_eduroam_config_create_wlan_1.png?​direct&​400|}}
 +
 +V novom okne vyplníme povinné parametre pre **meno siete** a **ESSID**. Odporúčam vyplniť aj popis príslušnej WLAN - uľahčíte tým orientáciu v budúcnosti. V časti **Využití WLAN** stačí nechať prednastavenú hodnotu **Běžny přístup**. ​
 +
 +{{:​cs:​spravce:​ap:​ruckus_zone_director:​zd1200_eduroam_config_create_wlan_2.png?​direct&​400|}}
 +
 +V časti **Oveřování** treba zvoliť metódu 802.1x EAP a vybrať príslušný overovací server (AAA server). V časti **Šifrování** zvoľte metódu **WPA2** a ako štandard zvoľte **AES**. Voľba “Auto” (t.j. TKIP+AES) nieje odporúčaná,​ štandard TKIP je zastaralý a má vážne bezpečnostné nedostatky. Navyše jeho využitím dôjde k významnému redukovaniu fyzickej prenosovej rýchlosti (max 54 Mbps namiesto 300+ Mbps). Toto obmedzenie je vlastnosťou štandardu, t.j. platí pre hociaku značku. ​
 +
 +Voliteľne: ​
 +Je vhodné povoliť podporu rýchleho roamingu (Fast Transition - FT) do 50ms podľa štandardu IEEE 802.11r. V prípade aktivácie tejto funkcie je vhodné povoliť aj podporu IEEE 802.11k (Neighbor list report) - viď konfigurácia nižšie. Zapnutím podpory uvedenych vlastností dojde k výraznému navýšeniu funkčnosti a použiteľnosti roamingu (prechod medzi jednotlivymi AP).    ​
 +
 +{{:​cs:​spravce:​ap:​ruckus_zone_director:​zd1200_eduroam_config_create_wlan_3.png?​direct&​400|}}
 +
 +Týmto je základná konfigurácia siete pre potreby eduroam hotová. ​
 +Nasleduje rozšírená,​ resp. odporúčaná konfigurácia siete. ​
 +
 +
 +V časti **Pokročilá nastavení** je vhodné zapnúť podporu izolácie komunikácie bezdrátových klientov. ​
 +
 +{{:​cs:​spravce:​ap:​ruckus_zone_director:​zd1200_eduroam_config_create_wlan_4.png?​direct&​400|}}
 +
 +V tej istej časti je možné nastaviť priradenie VID pre overené účty. K tomu slúží položka **Přístup k VLAN**. Toto nastavenie (Přístup k VLAN) plní rovnakú funkcionalitu ako nastavenie "​[[https://​www.eduroam.cz/​cs/​spravce/​pripojovani/​radius/​freeradius3#​prirazeni_vlan_vlastnim_uzivatelum|Přiřazení konkrétní VLAN návštěvníkům]]"​. Ak je v na RADIUS serveru implementovaná podpora dynamického priraďovania VLAN, je potrebne zapnúť túto funkciu aj na kontroléru. Toho sa dosiahne skrz aktiváciu položky **Použit dynamickou VLAN.** ​ Následujúce funkcie (na obrázku zvýraznene zelenou farbou) sú voliteľné a v závislosti na požadovanej funkcionalite je možné ich aktivovat.  ​
 +
 +{{:​cs:​spravce:​ap:​ruckus_zone_director:​zd1200_eduroam_config_create_wlan_5.png?​direct&​400|}}
 +
 +V tejto poslednej časti je vhodné aktivovať podporu správy radiového spoja (tzv. Radio Resource Management) podľa IEEE 802.11k. Taáto funkcia bola spomínana v časti rýchleho roamingu. ​  
 +
 +{{:​cs:​spravce:​ap:​ruckus_zone_director:​zd1200_eduroam_config_create_wlan_6.png?​direct&​400|}}
 +
 +
 +===== Overenie funkčnosti konfigurácie RADIUS serveru ​ =====
 +
 +Otestovať funkčnosť konfigurácie RADIUS serveru je možné následovným spôsobom: v ľavej časti menu zvoľte položku **Služby a profily** a potom **AAA servery**. V hlavnom okne v časti **Test nastavení ověřovacích/​účtových serverů** vybrať príslušný AAA profil s konfiguráciou RADIUS serveru. Následne treba vyplniť testovací účet a spustit proces overenia skrz položku **test** na pravej strane. ​
 +POZOR - tento jednoduchý test je možné použiť iba v prípade, že testovaci účet je možné overiť skrz [[https://​cs.wikipedia.org/​wiki/​Password_authentication_protocol|PAP]]. Akonáhle je použitá ina metóda ako napr. EAP, je potrebné použiť iný testovací [[http://​deployingradius.com/​scripts/​eapol_test/​|nástroj]] ​
 +
 +{{:​cs:​spravce:​ap:​ruckus_zone_director:​zd1200_eduroam_config_test_aaa.png?​direct&​400|}}
 +
 +
 +Popis konfigurácie bol vytvorený na WLAN koltroléri Zone Director 1200, ktorý využíval verziu firmware 10.2.1.0 build 75, jazyk grafického prostredia nastavený na češtinu.
  
Last modified:: 2019/05/30 10:54