====== Nastavení Access Pointu Cisco AP1230 pro eduroam ======
Tento příklad popisuje konfiguraci access pointu zapojeného do sítě
podporující systém //eduroam//. Jde pouze o ukázkovou konfiguraci,
která má sloužit jako inspirace pro správce. Pro praktické použití je
potřeba upravit mnoho parametrů, jako jsou IP adresy, hesla, čísla použitých
VLAN, SSID atd.
Za povšimnutí (a komentář) stojí především fakt, že je zde
zkonfigurováno více SSID, které se používají současně. Každé ssid je mapováno na
separátní VLANu, čímž se zajistí oddělení provozu sítí s rozdílnými
autentizačními mechanizmy. Koncepce VLAN je rovněž použita pro
realizaci testovacího účtu. O co jde? Pro potřeby monitorování RADIUS
hierarchie je nutné mít definován testovací účet, který je validní a
lze pomocí něj prokazatelně vyzkoušet přihlášení k systému. Tento účet
ovšem nesmí umožnit skutečný přístup do sítě. Plnohodnotný uživatelský
účet má ve speciálním AV páru (viz Definice RADIUS protokolu)
nastavenou informaci o VLANě, do které se má přiřadit - v našem
případě VLAN=100. Naproti tomu testovací účet má definovánu VLAN,
která není napojena do reálné sítě. V případě CESNETu používáme pro
tyto potřeby VLAN 666. V konfiguraci není tato VLAN uvedena z toho
důvodu, že provoz na VLANy, které nejsou definovány, je access pointem
automaticky zahazován - pro potřeby testovacího účtu lze tedy do AV
páru zařadit jakékoliv číslo VLAN, která není na AP
zkonfigurována. Pokud se uživatel bude autentizovat pomocí web
formuláře a použije tedy ssid "cesnet", bude mít (v případě,
že jde o oprávněného uživatele) od RADIUS serveru rovněž nastaven AV
pár s VLAN ID=100. Zde je potřeba mít na zřeteli, že v případě web
autentizace s RADIUS serverem komunikuje ověřovací prvek (firewall) a
ten je také odpovědný za zpracování AV párů. K přepnutí do VLAN 100
tedy nedojde a uživatel zůstává dále ve VLAN, do které se připojil na
základě volby ssid (zde VLAN=101). Schopnost přepínat uživatele do
VLAN definovaných v AV páru má jen access point. Informace z VLAN ID
AV páru se na straně firewallu použije pouze k rozlišení, zda jde o
testovací účet (VLAN=666 - přístup do sítě zamítnut) nebo o validního
uživatele (VLAN=100 - přístup povolen). Webová autentizace může být provozována pouze pro lokální uživatele a její napojení na autentizaci systému eduroam je nepřípustné. Více [[cs:ukonceni_provozu_site_eduroam-simple|ZDE]].
Zde je [[cs:spravce:ap:ciscoap1230:config|ukázková konfigurace]]:
!
no service pad
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
service sequence-numbers
!
hostname APxx
!
Logování na konzoli může v případě zapnutého debugu vést k problémům se zahlcením výstupu.
To může zbytečně přetěžovat zařízení a eventuálně způsobit i reload celého systému.
!
no logging console
!
Heslo do privilegovaného módu.
V případě, že se použije varianta "password", je heslo zakódováno pouze jednoduchým algoritmem, který lze snadno dekódovat.
Naproti tomu volba "secret" používá algoritmus MD5, který je podstatně bezpečnější.
!
enable secret 5 xxxxxxxxxxxxxxxxxx
!
Nastavení časového pásma a posun od GMT.
!
clock timezone MET 1
!
Definice doby platnosti letního času.
!
clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 2:00
!
Je možno použít i "krajní" subnety v IP sítích, které podle staré normy nebylo možné používat.
!
ip subnet-zero
!
Definice doménového jména a name serveru.
!
ip domain name cesnet.cz
ip name-server 195.113.144.194
ip name-server 195.113.144.233
!
Konfigurace autentizace, autorizace a accountingu.
!
aaa new-model
!
Je možné nadefinovat různé skupiny serverů pro různé situace (např. pro každé SSID jiný RADIUS server,
jiný server pro autentizaci než pro accounting a podobně).
!
aaa group server radius RAD_ACC
server 10.1.1.1 auth-port 1812 acct-port 1813
server 10.2.2.2 auth-port 1812 acct-port 1813
!
aaa group server radius RAD_AUTH
server 10.1.1.1 auth-port 1812 acct-port 1813
server 10.2.2.2 auth-port 1812 acct-port 1813
!
Nastavení metody ověřování přístupu.
!
aaa authentication login default group tacacs+ line
!
Ověřování uživatelů, kteří se připojují přes WiFi.
!
aaa authentication login cesnet-eap group RAD_AUTH
!
aaa authentication enable default group tacacs+ enable
!
Nastavení ověřování příkazů zadávaných v příkazové řádce.
!
aaa authorization config-commands
aaa authorization exec default group tacacs+ if-authenticated
aaa authorization commands 0 default group tacacs+ if-authenticated
aaa authorization commands 15 default group tacacs+ if-authenticated
aaa authorization network default group tacacs+ if-authenticated
aaa authorization reverse-access default group tacacs+ if-authenticated
!
Nastavení úrovně logování.
!
aaa accounting send stop-record authentication failure
aaa accounting update newinfo
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 0 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
!
Nastavení accountingu uživatelů připojených přes WiFi.
!
aaa accounting network default start-stop group RAD_ACC
aaa accounting system default start-stop group tacacs+
aaa session-id common
!
Nastavení pro více propagovaných (broadcastovaných) SSID (max. 8). Pokud tento příkaz není zadán,
lze propagovat pouze jedno SSID.
!
dot11 mbssid
!
Nastavení timeoutu pro různé typy připojených zařízení. V případě nekorektního
odpojení zařízení od AP toto stále drží ve svých tabulkách záznam o připojeném
zařízení. Vymaže jej až po vypršení časové prodlevy.
V případě korektního ukončení AP vymaže záznamy okamžitě.
Zajímavé je především nastavení u zařízení typu "client".
!
dot11 activity-timeout unknown default 1800
dot11 activity-timeout client maximum 3600
dot11 activity-timeout repeater default 1800 maximum 3600
dot11 activity-timeout workgroup-bridge default 1800 maximum 3600
dot11 activity-timeout bridge default 1800 maximum 3600
!
Nastavení autentizace pro ověřování pomocí 802.1x.
Je požadována otevřená autentizace pomocí EAP a autentizace
při přístupu do sítě. V obou případech se používá metoda "aaa authentication login cesnet-eap ..." z části AAA.
Pro výměnu klíčů je možné (ne však nutné) použít WPA.
Na takto definovaném SSID je možné kryptování pouze pomocí WEP nebo TKIP (AES není v této konfiguraci přípustné).
Accounting se provádí podle definice "aaa accounting network default ...".
SSID je propagováno.
Toto SSID je implementováno pouze pro zachování zpětné kompatibility se staršími chipsety, které nepodporují šifrování pomocí AES a mají problémy s připojením na SSID eduroam.
!
dot11 ssid eduroam-tkip
vlan 102
authentication open eap cesnet-eap
authentication network-eap cesnet-eap
authentication key-management wpa optional
accounting RAD_ACC
mbssid guest-mode
!
Pro toto SSID není prováděno žádné ověřování na AP.
K ověření dojde až na dalším přístupovém prvku (firewall) pomocí webového rozhraní.
Tato síť s webovou autentizací není napojena na systém eduroam - ověřování funguje pouze lokálně v rámci dané organizace.
!
dot11 ssid cesnet
vlan 101
authentication open
mbssid guest-mode
!
Na tomto SSID je pro výměnu klíčů NUTNÉ použít WPA. Jako kryptovací mechanizmus lze použít AES nebo TKIP.
Jedná se o nejbezpečnější a jednoznačně preferovanou variantu.
!
dot11 ssid eduroam
vlan 100
authentication open eap cesnet-eap
authentication network-eap cesnet-eap
authentication key-management wpa
accounting RAD_ACC
mbssid guest-mode
!
Nastavení parametrů 802.11.
Zde je zajímavý především parametr WPA handshake. Některá zařízení s pomalým procesorem (např. PDA) nestihnou domluvit
WPA komunikaci v implicitně nastaveném čase a dojde k chybě. Tento parametr je potřeba změnit minimálně na 500 ms.
!
dot11 holdoff-time 30
dot11 wpa handshake timeout 500
dot11 network-map
!
IP provoz pro management je potřeba bridgeovat.
!
bridge irb
!
Nastavení parametrů pro rádio 802.11g.
!
interface Dot11Radio0
no ip address
no ip route-cache
!
Nastavení kryptování pro jednotlivá SSID.
!
encryption vlan 102 mode ciphers tkip wep128
!
encryption vlan 100 mode ciphers aes-ccm tkip
!
broadcast-key change 600
!
Povolená SSID na rádiu 802.11g.
!
ssid eduroam
!
ssid cesnet
!
ssid eduroam-tkip
!
Nastavení možných rychlostí pro rádio, omezení výkonu vysílače a nastavení kanálu.
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
power local cck 30
power local ofdm 20
no power client local
power client 30
channel 2432
station-role root
antenna receive right
antenna transmit right
!
Některá zařízení se nedokážou na AP připojit, pokud jsou použity AIRONET rozšíření.
Kvůli kompatibilitě je často vhodné tato rozšíření vypnout.
!
no dot11 extension aironet
!
no cdp enable
!
AP si periodicky vyžaduje znovuověření klienta.
Frekvence znovuověřování se zde nastavuje v sekundách.
!
dot1x reauth-period 3600
!
L2 propojení rádiové (rozhraní Dot11Radio0) a "kabelové" (rozhraní FastEthernet0) části.
Provoz je bridgeován.
!
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio0.100
encapsulation dot1Q 100
no ip route-cache
no cdp enable
bridge-group 100
bridge-group 100 subscriber-loop-control
bridge-group 100 block-unknown-source
no bridge-group 100 source-learning
no bridge-group 100 unicast-flooding
bridge-group 100 spanning-disabled
!
interface Dot11Radio0.101
encapsulation dot1Q 101
no ip route-cache
no cdp enable
bridge-group 101
bridge-group 101 subscriber-loop-control
bridge-group 101 block-unknown-source
no bridge-group 101 source-learning
no bridge-group 101 unicast-flooding
bridge-group 101 spanning-disabled
!
interface Dot11Radio0.102
encapsulation dot1Q 102
no ip route-cache
no cdp enable
bridge-group 102
bridge-group 102 subscriber-loop-control
bridge-group 102 block-unknown-source
no bridge-group 102 source-learning
no bridge-group 102 unicast-flooding
bridge-group 102 spanning-disabled
!
!
interface FastEthernet0
no ip address
no ip proxy-arp
no ip route-cache
duplex auto
speed auto
hold-queue 160 in
!
interface FastEthernet0.100
description eduroam (802.1x autentizace)
encapsulation dot1Q 100
no ip route-cache
bridge-group 100
no bridge-group 100 source-learning
bridge-group 100 spanning-disabled
!
interface FastEthernet0.101
description cesnet (web based autentizace)
encapsulation dot1Q 101
no ip route-cache
bridge-group 101
no bridge-group 101 source-learning
bridge-group 101 spanning-disabled
!
interface FastEthernet0.102
description eduroam-tkip (802.1x autentizace - TKIP)
encapsulation dot1Q 102
no ip route-cache
bridge-group 102
no bridge-group 102 source-learning
bridge-group 102 spanning-disabled
!
interface FastEthernet0.998
description cesnet_mgmt
encapsulation dot1Q 998 native
no ip route-cache
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
IP adresa pro management.
!
interface BVI1
ip address 10.3.3.3 255.255.255.0
no ip proxy-arp
no ip route-cache
!
ip default-gateway 10.3.3.1
no ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip tacacs source-interface BVI1
ip radius source-interface BVI1
!
Tento access-list definuje IP adresy, ze kterých je na AP možné přistupovat protokolem SSH nebo TELNET.
!
ip access-list standard MANAGEMENT
permit x.x.x.x
!
Nastavení úrovně logování a určení serveru pro logování.
!
logging history errors
logging trap debugging
logging IP_adresa_log_serveru
!
Definice access-listů, které omezují přístup protokolem SNMP.
!
access-list 50 permit x.x.x.x
access-list 51 permit x.x.x.x
!
Konfigurace SNMP komunit a zasílání trapů.
!
snmp-server community xxxxxxxx RO 50
snmp-server community yyyyyyyy RW 51
snmp-server ifindex persist
snmp-server location AP02
snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
snmp-server enable traps tty
snmp-server enable traps entity
snmp-server enable traps disassociate
snmp-server enable traps deauthenticate
snmp-server enable traps authenticate-fail
snmp-server enable traps dot11-qos
snmp-server enable traps switch-over
snmp-server enable traps rogue-ap
snmp-server enable traps wlan-wep
snmp-server enable traps config
snmp-server enable traps syslog
snmp-server enable traps aaa_server
snmp-server host x.x.x.x version 2c xxxxxxxx
!
Nastavení ověřovacích serverů TACACS a RADIUS.
!
tacacs-server host 10.4.4.4 key 7 xxxxxxxxxxxxxxx
tacacs-server host 10.5.5.5 key 7 xxxxxxxxxxxxxxx
tacacs-server timeout 1
tacacs-server directed-request
radius-server attribute 8 include-in-access-req
radius-server host 10.1.1.1 auth-port 1812 acct-port 1813 key 7 xxxxxxxxxxxxxxx
radius-server host 10.2.2.2 auth-port 1812 acct-port 1813 key 7 xxxxxxxxxxxxxxx
radius-server vsa send accounting
!
control-plane
!
bridge 1 route ip
!
!
banner exec ^C
Text ktery se objevi po prihlaseni uzivatele do prikazove radky
^C
!
Text, který se objeví před požadavkem na uživatelské jméno a heslo
při přístupu přes TELNET nebo SSH.
Většinou se sem umisťuje varování neoprávněným osobám, aby se dále nepokoušely přihlašovat.
Neměly by zde být uváděny žádné údaje, které by pomohly případnému útočníkovi při identifikaci zařízení.
!
banner login ^C
The equipment now being accessed and information available through
this equipment is confidential and proprietary, and may be accessed
or used only as specifically authorized. All other access or use
is prohibited and is subject to legal action.
^C
!
Definice přístupu přes konzoli.
!
line con 0
password 7 xxxxxxxxxxxx
!
Definice přístupu přes virtuální terminal.
V tomto případě je přístup ověřován podle definice v AAA.
!
! aaa authentication login default ...
! aaa authorization exec default ...
!
line vty 0 4
session-timeout 120
access-class MANAGEMENT in
exec-timeout 120 0
password 7 xxxxxxxxxxxx
line vty 5 15
session-timeout 120
access-class MANAGEMENT in
exec-timeout 120 0
password 7 xxxxxxxxxxxx
!
Nastavení serveru pro synchronizaci času pomocí SNTP protokolu.
!
sntp server 195.113.144.201
sntp server 195.113.144.238
end
===== Přílohy =====
Kompletní konfigurace z tohoto článku: [[cs:spravce:ap:ciscoap1230:config|config]].
====== ======
--- //8. 10. 2007 upravil Jan Furman//\\
--- //Josef Verich a Jan Furman 4. 10. 2006//\\
--- //[[https://staff.cesnet.cz/~semik|Jan Tomášek]] 07.11.2006 10:03// dokument byl přesunut z [[cs:spravce:ciscoap1230|cs:spravce:ciscoap1230]]//\\
--- //27. 11. 2008 upravil Jan Furman//\\
--- //14. 1. 2022 upravil Jan Bělina