REALIZZAZIONE DI UNA ARCHITETTURA WIRELESS LAN …lx5.dir.garr.it/documenti/wlcm_v08.pdf · 5.3...

REALIZZAZIONE DI UNA ARCHITETTURA WIRELESS LAN

INTEGRATA

Revisione: V.08 Data: 29 Dicembre 2006 Autori: Fabrizio Ferri, Alessandro Pancaldi Status: Versione finale

2(31) 13/12/2006

REVISIONI Revisione Data Modifiche V.00 –Draft 27 Novembre 2006 • Prima Stesura V.06 –Draft 6 Dicembre 2006 • Descrizione partenza automatica VMWARE V.07 –Finale 12 Dicembre 2006 • Revisione generale V.08 –Finale 29 Dicembre 2006 • Correzione refusi

3(31) 13/12/2006

INDICE 1 Scopo del documento ................................................................................................................... 4 2 Introduzione.................................................................................................................................. 5 3 Requisiti........................................................................................................................................ 5 4 Dimensionamento del sistema...................................................................................................... 5 5 Architettura di rete........................................................................................................................ 6

5.1 Indirizzamento IP e VLAN ............................................................................................ 7 5.2 Configurazione dei due moduli hwic a 4 porte fe .......................................................... 7 5.3 Configurazione del Wireless Lan Control Module (WLCM) ........................................ 8 5.4 CONFIGURAZIONE DEL ROUTER CISCO 2811 ....................................................12

5.4.1 Configurazione interfaccia virtuale per connettività Wireless Network...................12 5.4.2 Abilitazione DHCP e NTP........................................................................................13 5.4.3 Configurazione interfacce FE interne dei router e assegnazione della default route14 5.4.4 Configurazione NAT/PAT........................................................................................16 5.4.5 Attivazione funzione di syslog .................................................................................18

6 Installazione access point ............................................................................................................19 7 Configurazione host.....................................................................................................................19

7.1 Configurazione VMWARE e server DNS ....................................................................20 7.1.1 Abilitazione funzione di autologin Windows 2000 Server.......................................20 7.1.2 Configurazione BIND per servizio DNS Proxy .......................................................22 7.1.3 Attivazione funzionalità di syslog ............................................................................24

8 Schema riassuntivo dell’architetura integrata..............................................................................25 9 Test di carico ...............................................................................................................................25 10 Descrizione dei servizi forniti ...................................................................................................27 11 Lista dei componenti hardware utilizzati...................................................................................27 12 Release software utilizzate ........................................................................................................27 13 Ringraziamenti ..........................................................................................................................28 14 Appendice: configurazione completa del router R2 ..................................................................29

4(31) 13/12/2006

1 SCOPO DEL DOCUMENTO Questo documento descrive la realizzazione di un’architettura di rete wireless integrata di piccole/medie dimensioni basata un singolo router ed un singolo server. È da notare che, alcune problematiche tecniche affrontate nel presente documento sono ampiamente descritte in “GARR-06-002 / Realizzazione di una infrastruttura di campus per le conferenze TERENA e GARR 2006” (disponibile all’indirizzo URL http://www.garr.it/documenti/ConfCatania_ita_def.pdf) al quale si rimanda il lettore per maggiori dettagli.

5(31) 13/12/2006

2 INTRODUZIONE All’interno della comunità della ricerca si avverte sempre di più la necessità di avere a disposizione oltre alla connettività “wired” anche un accesso wireless basato su tecnologia Wi-Fi. Questo requisito potrebbe presentarsi sia nel lungo termine (per esempio, la copertura wireless definitiva di una certa sede), che per un arco di tempo limitato (per esempio, per la durata di una conferenza). In entrambi i casi, ed particolare nel secondo, può essere interessante adottare una soluzione basata su un’architettura Wi-Fi con controllo centralizzato degli Access Point in grado di integrare all’interno di un unico prodotto tutte funzionalità di rete necessarie.

3 REQUISITI Questo progetto descrive una soluzione in grado di integrarsi in modo semplice in contesti dove sia presente una rete wired già in esercizio. I principali requisiti di sistema sono:

− adattamento a topologie di rete differenti − configurazione di sistema in grado di supportare diversi scenari − minimo impatto sull’infrastruttura di cablaggio esistente − architettura di gestione e controllo degli Access Point centralizzata − ingombro contenuto − capacità di copertura anche di ambienti chiusi con estensione limitata (ad esempio,

qualche sala conferenza di capienza modesta) − collegamento degli Access Point ad uno switch Ethernet − accesso controllato alla rete tramite autenticazione utente − tracciamento delle sessioni d’utente (tempo di login/tempo di logout/andamento del

traffico utente in termini di byte in/byte out) mantenendone l’anonimato in conformità alle norme sulla privacy

4 DIMENSIONAMENTO DEL SISTEMA Cisco dispone di un architettura di controllo degli Access Point basata sul protocollo Lightweight Access Point Protocol (LWAPP) che permette di gestire in modo centralizzato e coordinato una infrastruttura di tipo Wi-Fi. Sono disponibili due tipi di controller wireless:

− un appliance esterno, in grado di gestire fino a molte decine di Access Point − un modulo di rete denominato Wireless Lan Controller Module (WLCM), integrabile

all’interno di router della famiglia Cisco 2800 o Cisco 3800, in grado di gestire un numero massimo di sei Access Point

I requisiti di sistema, e in particolare la necessità di avere una soluzione integrata, hanno favorito l’utilizzo di un’architettura basata sul WLCM integrato in un router Cisco 2800, il quale a sua

6(31) 13/12/2006

volta è in grado di svolgere anche funzionalità di switch Ethernet (se equipaggiato con specifici moduli, vedi Par. 5.2) con un ingombro contenuto (1 rack unit). Inoltre, al fine di fornire autenticazione nell’accesso Wi-Fi utente è stata abilitata la funzione di autenticazione tramite captive portal implementata dal WLCM il quale sfrutta il meccanismo di autentication-proxy per la verifica delle credenziali utente memorizzate su un RADIUS server esterno al router. Si sottolinea inoltre che questa architettura necessita di un proprio DNS al fine di intercettare il traffico utente e presentare in modo trasparente la pagina di richiesta delle credenziali. Infine, per ridurre il numero di host necessari al sistema, si è utilizzato il software VMWARE Workstation che, attraverso l’utilizzo di una macchina virtuale, permette la coesistenza sullo stesso host di un RADIUS server operante in ambiente MS Windows, di un DNS basato su sistema operativo Debian Linux e di un server SYSLOG in grado di memorizzare i messaggi di log inviati dal router Cisco 2811.

5 ARCHITETTURA DI RETE Il sistema è stato utilizzato all’interno della preesistente infrastruttura di rete della Direzione del Consortium GARR, per una durata di circa quindici giorni. Per offrire la connettività Wi-Fi all’interno ai due piani dell’edificio della Direzione GARR, sono stati utilizzati un numero complessivo di 5 Access Point. In Figura 1 è illustrata schematicamente l’architettura di rete posta in esercizio.

Piano 2

Piano 1

Cisco 2811

Catalyst 3750-48PS 24x10/100Mbps PoE

WLCMWLCM

eth1

eth0ACS

RADIUS

DNSSYSLOG

fa0/0

fa0/1

VLAN 10

HWIC-4ESW

ip route 0.0.0.0 0.0.0.0 193.206.159.11

HWIC-4ESW

Cross-cable

AP

AP

AP

APAP

Piano 2

Piano 1

Cisco 2811

Catalyst 3750-48PS 24x10/100Mbps PoE

WLCMWLCM

eth1

eth0ACS

RADIUS

DNSSYSLOG

fa0/0

fa0/1

VLAN 10

HWIC-4ESW

ip route 0.0.0.0 0.0.0.0 193.206.159.11

HWIC-4ESW

Cross-cable

AP

AP

AP

APAP

Figura 1: topologia fisica utilizzata

Su uno degli switch Ethernet della direzione (Cisco Catalyst 3750 PoE a 24 porte 10/100Mbps) è stata creata la VLAN 10 a cui sono collegati gli Access Point e una delle porte Layer 2 dello switch Ethernet integrato nel Cisco 2811.

7(31) 13/12/2006

Di seguito vegono descritte in dettaglio le configurazioni software dei diversi elementi dell’architettura.

5.1 INDIRIZZAMENTO IP E VLAN In Tabella 1 è riportato il piano di numerazione IP del sistema. Apparato Interfaccia IP Address/Netmask dns-server Eth1 192.168.20.1/24 Static NAT per DNS Outside IP Address 193.206.159.252/24 Router 2811 Fa0/0 192.168.20.254/24 Router 2811 Fa0/1 193.206.159.253/24 Router 2811 wlan-controller1/0 10.200.0.254/24 Router wlan-controller1/0.20

(default gateway VLAN 20) 192.168.10.254/24

Router vlan 10 10.10.10.254/24 RADIUS -ACS Eth0 10.10.10.5/24 DHCP pool client wireless [192.168.10.2-.253] DHCP Management Access Point

[10.10.10.21-.253]

Tabella 1: Scema di indirizzamento IP

5.2 CONFIGURAZIONE DEI DUE MODULI HWIC A 4 PORTE FE Il router Cisco 2811 è in grado di ospitare due schede switch HWIC-4ESW; per il loro utilizzo è a necessario un opportuno setup hardware e software. Il router è in grado di riconoscere automaticamente solo una delle due schede switch inserite al suo interno (quella inserita nello slot con indicatore numerico più basso). Per abilitare il funzionamento di entrambe occorre collegare due porte delle due schede con cavo UTP “cross”, procedendo alla loro configurazione mediante il comando “switchport stacking-partner interface <nome interfaccia connessa sull’altra scheda>. In Figura 2 vengono mostrati il setup utilizzato e le configurazioni:

8(31) 13/12/2006

interface FastEthernet0/2/0switchport mode trunkswitchport stacking-partner interface FastEthernet0/3/0!interface FastEthernet0/2/1switchport access vlan 10spanning-tree portfast!interface FastEthernet0/2/2switchport access vlan 10spanning-tree portfast!interface FastEthernet0/2/3switchport access vlan 10spanning-tree portfast!

interface FastEthernet0/3/0switchport mode trunkswitchport stacking-partner interface FastEthernet0/2/0!interface FastEthernet0/3/1switchport access vlan 10spanning-tree portfast!interface FastEthernet0/3/2switchport access vlan 10spanning-tree portfast!interface FastEthernet0/3/3switchport access vlan 10spanning-tree portfast

fa0/2/0 fa0/2/1 fa0/2/2 fa0/2/3

fa0/3/0 fa0/3/1 fa0/3/2 fa0/3/3

Cavo UTP cross

vlan 10

Trunk dot1q

HWIC 2

HWIC 3

Figura 2: Configurazione porte switch

Tra le porte fa0/2/0 e fa0/3/0 viene realizzata una connessione assimilabile a quella effettuata tra due switch inseriti all’interno di una architettura stack. Per semplicità le porte rimanenti sono inserite all’interno di una VLAN comune ( VLAN 10). N.B Prima di potere assegnare le porte alla VLAN è necessario definire la VLAN 10 nel “vlan database” del router attraverso i comandi riporti nel seguito:

Configurazione vlan 10

R2#vlan database R2(vlan)# R2(vlan)# vlan 10

Si noti infine che una soluzione completamente integrata (senza switch Ethernet esterno) potrebbe utilizzare il modulo HWIC-D-9ESW-PoE, da installare al posto delle due HWIC da quattro porte, che dispone complessivamente di 9 porte per la connessione degli AP e di altri dispositivi.

5.3 CONFIGURAZIONE DEL WIRELESS LAN CONTROL MODULE (WLCM) L’architettura utilizza un Cisco Wireless Lan Controller Module (riportato in Figura 3) che implementa le stesse funzionalità dell’appliance Wireless LAN Controller 4400.

9(31) 13/12/2006

Figura 3: Wireless Lan Controller Module

Una volta inserito all’interno del router, il WLCM si comporta come un WLC esterno dotato di una singola interfaccia FE (nota come porta 1) connessa all’interfaccia del router denominata “interface wlan-controller”, come mostrato in Figura 4.

WLCMWLCMFE

R2

interface wlan-controller

WLCMWLCMFE

R2

interface wlan-controller

Figura 4: Schema interpretativo connessione WLCM - router

N.B. È necessario che l’immagine dell’IOS presente sul router supporti il WLCM.In particolare, tutte le immagini e tutti i “feature set” successivi alla release 12.4(2)XA1 sono valide candidate. Inoltre, il WLCM deve essere equipaggiato con un firmware non più vecchio della release 3.2.78.0. La configurazione del WLCM prevede in prima istanza all’assegnazione di un IP all’interfaccia del router connessa al WLCM.

Configurazione interfaccia wlan-controller di R2

R2# configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)# R2(config)# interface wlan-controller 1/0 R2(config-if)# ip address 10.200.0.254 255.255.255.0 R2(config-if)# no shut R2(config-if)# end R2#

10(31) 13/12/2006

Per procedere alla prima configurazione del WLCM è necessario connettersi allo stesso tramite console. Essendo l’apparato WLCM integrato all’interno del Cisco 2811, dalla console del router va eseguito il seguente comando:

Connessione alla console del WLCM attraverso R2

R2# service-module wlan-controller 1/0 session

N.B. Per la disconnessione è necessario eseguire la seguente procedura

− Cisco Controller> logout − Premere CTRL+SHIFT+6 quindi rilasciare i tasti e premere il tasto “x” − R2# disconnect

Se non è stato mai configurato, il WLCM presenta al momento della connessione la schermata di configurazione iniziale. Di seguito vengono riportati i valori impostati sul WLCM al momento della prima configurazione.

Configurazione Iniziale WLCM

Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup System Name [Cisco_ff:ad:c1]: NMWLC Enter Administrative User Name (24 characters max): admin Enter Administrative Password (24 characters max): ***** Management Interface IP Address: 100.200.0.10 Management Interface Netmask: 255.255.255.0 Management Interface Default Router: 100.200.0.254 Management Interface VLAN Identifier (0 = untagged): 0 Management Interface Port Num [1]: 1 Management Interface DHCP Server IP Address: 100.200.0.254 AP Manager Interface IP Address: 100.200.0.9 AP-Manager is on Management subnet, using same values AP Manager Interface DHCP Server (192.168.99.24): 100.200.0.254 Virtual Gateway IP Address: 1.1.1.1 Mobility/RF Group Name: none Network Name (SSID): direzione1 Allow Static IP Addresses [YES][no]: no Configure a RADIUS Server now? [YES][no]: no Warning! The default WLAN security policy requires a RADIUS server. Please see documentation for more details. Enter Country Code (enter 'help' for a list of countries) [US]: IT Enable 802.11b Network [YES][no]: YES Enable 802.11a Network [YES][no]: YES

11(31) 13/12/2006

Enable 802.11g Network [YES][no]: YES Enable Auto-RF [YES][no]: YES Configuration saved! Resetting system with new configuration...

Dopo la prima configurazione il modulo esegue un reboot ed è operativo. Per controllare il traffico relativo alla Wireless LAN configurata sul WLC con SSID: direzione1, è stato definito un mapping tra questa WLAN e la VLAN 20. Per ulteriori configurazioni è possibile utilizzare l’interfaccia WEB raggiungibile attraverso l’IP della Management Interface (100.200.0.10), accedendovi tramite lo user e la password precedentemente impostate. È di fondamentale importanza, una volta creata la WLAN mediante l’impostazione di un SSID, verificare che l’interfaccia sia amministrativamente abilitata come mostrato in Figura 5.

Figura 5: Verifica abilitazione interfaccia Wireless

Infine è consigliabile modificare le impostazioni di default del Web Captive Portal agendo sugli opportuni parametri a disposizione (vedi Figura 6).

12(31) 13/12/2006

Figura 6: Personalizzazione Web Captive Portal

5.4 CONFIGURAZIONE DEL ROUTER CISCO 2811 Di seguito vengono riportati i servizi necessari al funzionamento del sistema, da configurare sul router.

5.4.1 Configurazione interfaccia virtuale per connettività Wireless Network

Il WLCM è stato configurato in modo da associare tutto il traffico proveniente dall’SSID “direzione1” alla VLAN 20. Risulta pertanto necessario definire sull’interfaccia del router connessa internamente al WLCM, una ulteriore interfaccia logica che riceva il traffico “tagged” proveniente dal Wireless Lan Controller e destinato alla VLAN 20. Di seguito viene riportata la configurazione necessaria.

Configurazione Interfaccia Router per gestione traffico utente da Wireless

interface wlan-controller1/0.20 encapsulation dot1Q 20 ip address 192.168.10.254 255.255.255.0 no ip virtual-reassembly !

N.B

13(31) 13/12/2006

L’IP assegnato all’interfaccia del router è in classe privata e deve essere configurato come default gateway della LAN associata alla WLAN (192.168.10.0/24).

5.4.2 Abilitazione DHCP e NTP

La gestione degli AP da parte del WLCM può avvenire sostanzialmente in due modalità: i) a livello di rete (livello 3), ii) a livello datalink (Ethernet).

Si è scelto di utilizzare la modalità di livello 3 che richiede un indirizzo IP per ogni AP, assegnato tramite server DHCP abilitato sullo switch Ethernet. È inoltre obbligatorio, tramite l’utilizzo della “option 43”, che il server DHCP fornisca all’AP l’indirizzo IP dell’interfaccia di management del WLC. Di seguito viene riportata la configurazione necessaria:

Configurazione DHCP VLAN 10 (MANAGEMENT)

ip dhcp pool AccessPoint network 10.10.10.0 255.255.255.0 dns-server 192.168.20.1 default-router 10.10.10.254 option 43 hex f104.0ac8.000a option 60 ascii "Cisco AP c1240"

Il valore dell’option 43 è ricavato dall’unione di tre valori numerici Type16∪Value16∪IP Address16 secondo la modalità indicata in Figura 7:

IP DA CONVERTIRE 10.200.0.10

Type + Value + (IP1)16 + (IP2)16 …+ (IPn)16Type + Value + (IP1)16 + (IP2)16 …+ (IPn)16

Fixed = f1

IP CONVERTITO 0a.c8.00.0a

4 x Numero di IP seguenti

VALORE FINALE f104.0ac8.000a Figura 7: Costruzione valore option 43

La possibilità di potere indicare più di un IP è utile solo in presenza di due o più WLC.

14(31) 13/12/2006

Per l’assegnazione degli indirizzi ai client wireless è necessario configurare un server DHCP per la VLAN 20:

Configurazione DHCP VLAN 20 (WIRELESS)

ip dhcp pool WLAN20 network 192.168.10.0 255.255.255.0 default-router 192.168.10.254 dns-server 192.168.20.1 !

Vanno in seguito esclusi dai due DHCP POOL gli indirizzi dei gateway e del DNS interno, oltre ad una porzione della VLAN 10 da riservare per l’eventuale assegnazione di IP statici.

Configurazione DHCP VLAN 20 (WIRELESS)

ip dhcp excluded-address 10.10.10.254 ip dhcp excluded-address 192.168.10.1 ip dhcp excluded-address 192.168.10.254 ip dhcp excluded-address 10.10.10.1 10.10.10.20

Di fondamentale importanza è infine la configurazione di un server NTP. Lo scambio dei certificati tra gli AP ed il WLC, necessari al momento della creazione del canale di controllo cifrato, si conclude con successo solamente se la data impostata sul router è sincronizzata con quella degli AP. Di seguito viene riportata la configurazione utilizzata:

Configurazione NTP

ntp logging ntp source wlan-controller1/0.20 ntp master 1

5.4.3 Configurazione interfacce FE interne dei router e assegnazione della default route

All’interfaccia FastEthernet0/0 è connesso il server DNS interno che risponde all’indirizzo IP 192.168.20.1, pertanto la configurazione è la seguente:

Configurazione interfaccia fe0/0 di R2

interface FastEthernet0/0 ip address 192.168.20.254 255.255.255.0 no ip virtual-reassembly duplex auto speed auto !

15(31) 13/12/2006

All’interfaccia FastEthernet 0/1 viene assegnato un IP preso dallo spazio di indirizzamento di una delle due reti di Classe C a disposizione della Direzione Consortium GARR

Configurazione interfaccia fe0/1 di R2

interface FastEthernet0/1 ip address 193.206.159.253 255.255.255.0 no ip virtual-reassembly duplex auto speed auto !

Il default gateway per la rete 193.206.159.0/24 e l’IP 193.206.159.11 pertanto la default route configurata sul router sarà impostata nel seguente modo:

Configurazione defaUlt route di r2

ip route 0.0.0.0 0.0.0.0 193.206.159.11

In Figura 8 è riportato uno schema che riassume la configurazione del router e del WLCM:

fa0/2/0 fa0/2/1 fa0/2/2 fa0/2/3

fa0/3/0fa0/3/1 fa0/3/3

cavo UTP crosstrunk dot1q

vlan 10

SVI

interface Vlan10ip address 10.10.10.254/24

fa0/3/2

R2

fa0/1

193.206.159.253/30ip nat outside

ip route 0.0.0.0 0.0.0.0 193.206.159.11

.1

WLCMWLCM

FE interface wlan-controller1/010.200.0.254 255.255.255.0

MGT interface10.200.0.10/24

AP-MGR interface10.200.0.9 /24

fa0/0192.168.20.254/24ip nat inside

interface wlan-controller1/0.20encapsulation dot1Q 20ip address 192.168.10.254/24

Ip nat inside

Figura 8: Schema riassuntivo configurazioni

5.4.4 Configurazione NAT/PAT

Alla rete wireless è stato assegnato uno spazio di indirizzamento compreso all’interno di una rete privata (192.168.10.0/24): risulta pertanto necessario ricorrere alla funzione di NAT per permette re la comunicazione degli host wireless verso Internet. Per minimizzare l’utilizzo degli IP pubblici si è deciso di adottare un meccanismo di PAT che permette a tutti i client wireless di usare in uscita il medesimo indirizzo pubblico (193.206.159.253 configurato sulla interfaccia FastEthernet0/1 del router R2). Per evitare ogni

16(31) 13/12/2006

problema di traslazione degli indirizzi IP delle query DNS (per esempio, le query trasportate su TCP), si utilizza un PAT di tipo statico in cui l’IP privato del DNS (192.168.20.1) viene associato ad un indirizzo IP pubblico (193.206.159.252). La configurazione del NAT sul router richiede l’individuazione delle interfacce da cui proviene il traffico da traslare (inside) e quelle da cui invece esce il traffico traslato (outside).

Nome Interfaccia INSIDE OUTSIDE FastEthernet 0/0 X FastEthernet 0/1 X interface wlan-controller1/0.20 X

La configurazione delle interfacce viene pertanto modificata nel seguente modo

Configurazione Interfaccia Router per gestione traffico utente da Wireless

interface wlan-controller1/0.20 encapsulation dot1Q 20 ip nat inside ip address 192.168.10.254 255.255.255.0 no ip virtual-reassembly

Configurazione interfaccia FA0/0 per NAT

interface FastEthernet0/0 ip address 192.168.20.254 255.255.255.0 ip nat inside no ip virtual-reassembly duplex auto speed auto

Configurazione interfaccia FA0/1 per NAT

interface FastEthernet0/1 ip address 193.206.159.253 255.255.255.0 ip nat outside no ip virtual-reassembly duplex auto speed auto

Per effettuare la traslazione si utilizza una ACL per individuare il traffico interessante per il quale va effettuata la procedura di PAT:

Configurazione ACL per individuazione traffico da traslare

access-list 10 permit 192.168.10.0 0.0.0.255 Il NAT pool consente di individuare l’insieme di indirizzi pubblici da utilizzare come sorgente per il traffico indirizzato verso l’esterno.

17(31) 13/12/2006

Nel nostro caso, utilizzando il meccanismo del PAT, il pool è composto di un singolo indirizzo che coincide con quello dell’interfaccia Fa0/1.

Configurazione NAT/PAT

ip nat pool PUBLIC 193.206.159.253 193.206.159.253 netmask 255.255.255.0 ip nat inside source list 10 pool PUBLIC overload

Il commando “overload” istruisce il router di effettuare anche PAT. Infine va inserito il comando che configura il PAT statico per l’host sul quale è configurato il DNS interno:

Configurazione NAT/PAT

ip nat inside source static 192.168.20.1 193.206.159.252 La configurazione del NAT è riassunta in Figura 9.

fa0/2/0fa0/2/1 fa0/2/2 fa0/2/3

fa0/3/0fa0/3/1 fa0/3/3


fa0/3/2

R2




interface fa0/0ip address 192.168.10.254/24NAT INSIDE INTERFACE

interface FastEthernet0/0ip address 192.168.20.254 255.255.255.0ip nat inside!interface FastEthernet0/1ip address 193.206.159.253 255.255.255.0ip nat outside!ip nat pool PUBLIC 193.206.159.253 193.206.159.253 netmask 255.255.255.0ip nat inside source list 10 pool PUBLIC overloadip nat inside source static 192.168.20.1 193.206.159.252access-list 10 permit 192.168.10.0 0.0.0.255

interface fa0/1ip address 193.206.159.253/24NAT OUTSIDE INTERFACE

interface wlan-controller1/0.20ip address 192.168.10.254/24NAT INSIDE INTERFACE

interface wlan-controller1/0.20encapsulation dot1Q 20ip address 192.168.10.254 255.255.255.0ip nat insideno ip virtual-reassembly

NAT/PAT rete wireless

WLCMWLCM

Static NAT DNS SERVER Figura 9: Schema riassuntivo del funzionamento del meccanismo NAT/PAT

Può essere utile mantenere una traccia delle sessioni controllate e gestite dal processo PAT; è pertanto interessante abilitare la funzionalità di log del NAT attraverso il comando:

Abilitazione log NAT/PAT

ip nat log translations syslog

18(31) 13/12/2006

5.4.5 Attivazione funzione di syslog

Per motivi di sicurezza, è consigliabile replicare i log generati dal router su di un host remoto (in questo caso l’host rispondente all’ip 192.168.10.1). L’espletamento di questa funzione è effettuato tramite l’utilizzo della facility di syslog “local2”. Di seguito vengono riportati i comandi necessari all’abilitazione di questa funzionalità:

Abilitazione syslog su host remoto

logging trap debugging logging facility local2 logging 192.168.20.1

6 INSTALLAZIONE DEGLI ACCESS POINT All’interno della direzione del Consortium GARR erano già presenti punti LAN (terminati su uno Switch PoE) predisposti per il posizionamento degli AP. N.B. Nel caso si desideri realizzare una architettura analoga e non sia disponibile in loco uno switch PoE è necessaria l’utilizzazione dei Power Injector, che consentono di telealimentare gli AP (nel caso si voglia alimentare gli AP tramite PoE). Per separare i traffici preesistenti all’interno della LAN della direzione GARR dal traffico generato dagli Access Point, sullo switch Catalyst 3750 della direzione, viene definita una VLAN (VLAN 10) a cui connettere tutti gli AP. Successivamente (come mostrato in Figura 10) la porta fa0/3/3 del router 2811 è stata connessa ad una porta dello switch configurata su questa VLAN.

• Piano 2

• Piano 1

VLAN 10

R2SWITCH DIREZIONE GARR

Figura 10: Topologia interconnessione Access Point

19(31) 13/12/2006

In questo modo gli AP ricevono l’IP dal DHCP configurato sul router R2 e si associano correttamente al WLCM.

7 CONFIGURAZIONE DELL’ HOST DI GESTIONE La tracciabilità delle sessioni utente è mantenuta tramite l’utilizzo di un server RADIUS sul quale risiedono le credenziali di autenticazione degli utilizzatori. Al momento della connessione, il WLCM verifica la validità delle credenziali utente e ne abilita la comunicazione. Questa funzione è espletata da un host con sistema operativo Windows 2000 Server equipaggiato con il RADIUS Cisco – ACS. Al fine di contenere il numero di apparati necessari a realizzare questa architettura (vedi i requisiti di sistema di Par. 3), l’host sul quale è installato il Cisco ACS è stato configurato con una istanza di VMWare Workstation, all’interno della quale si è proceduto anche all’integrazione di un S.O. Linux-Debian con funzione di DNS Proxy.

RADIUS ServerACS

Debian sargeLinux vmd 2.4.27-3-686

DNS Proxy

eth1 eth0

WIN 2K Server –SP4

VMWARE WorkstationBuild:5.5.2 build-29772

RADIUS ServerACS


DNS Proxy

eth1 eth0

WIN 2K Server –SP4


Figure 1: configurazione software dell’host utilizzato per la gestione degli utenti

7.1 CONFIGURAZIONE VMWARE E SERVER DNS L’host che eroga i servizi RADIUS e DNS attraverso i server virtuali di VMWare è stato configurato in modo da procedere al caricamento automatico di tutti i servizi di cui sopra. In questo modo, al boot del sistema i servizi vengono automaticamente riattivati.

7.1.1 Abilitazione funzione di autologin Windows 2000 Server

Riportamo di seguito la procedura da effettuare per l’abilitazione della funzione di autologin necessaria per la riattivazione automatica dei servizi:

1. Aprire il software di modifica del registro “regedit” e posizionarsi al path [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

20(31) 13/12/2006

NT\CurrentVersion\Winlogon] verificando che la username all'interno del registro "DefaultUserName" sia "Administrator". Se la chiave non esiste bisogna procedere alla sua creazione come indicato in Figura 11.

Figura 11: Creazione del la chiave AutoAdminLogon

2. Creare una chiave del registro di configurazione di Windows denominata

“AutoAdminLogon”. 3. Modificare il registro "AutoAdminLogon" al valore “1” il valore (vedi Figura 12)

Figura 12: Modifica della chiave AutoAdminLogon

4. Nel caso in cui l’utente abbia la password configurata, nello stesso punto del registro di

configurazione, è necessaria la creazione di una nuova key di tipo String denominata "DefaultPassword" al cui interno va inserita la password dell'utente.

21(31) 13/12/2006

A questo punto l’host è configurato in modo da procedere al login in modo automatico al momento del boot. Anche la macchina virtuale deve eseguire il boot allo startup dell’host, va quindi creato uno shortcut nel modo indicato (avendo l’accortezza di sostituire i nomi e i path presenti con i propri) : "C:\Program Files\VMware\VMware Workstation\vmware.exe" -X "C:\Documents and Settings\user\My Documents\My Virtual Machines\FC5\Debin Linux 2.6.x kernel.vmx", come mostrato in Figura 13.

Figura 13: Shortcut per l’avvio dei server virtuali

Lo shortcut infine deve essere aggiunto alla cartella “Startup” (o “Esecuzione Automatica”) dell’utente desiderato.

7.1.2 Configurazione BIND per servizio DNS Proxy

Il server virtuale linux assolve alle funzioni di DNS Proxy server utilizzando un processo denominato “bind”. Il demone “bind” agisce semplicemente da “forwarder” per le query,

22(31) 13/12/2006

inoltrandole ad un DNS esterno incaricato di procedere alla reale operazione di ricorsione e risoluzione del nome. Questo approccio rende la configurazione di BIND (altrimenti piuttosto complicata) molto semplice. È sufficiente editare il file di configurazione “/etc/bind/named.conf.options” (la localizzazione del file all’interno del sistema operativo potrebbe variare da distribuzione a distribuzione) procedendo all’inserimento, alla voce “forwarders”, dell’IP del DNS desiderato e rimuovendo nel contempo il commento per il comando “query-source address * port 53”, come di seguito riportato.

Configurazione Bind in modalità forwarding

vmd:/etc/bind# more named.conf.options options { directory "/var/cache/bind"; ……………………. query-source address * port 53; forwarders { 193.206.158.1; };

Dopo avere proceduto al riavvio (stop e start) del servizio il server è pronto a ricevere query DNS. In Figura 14 viene riporta una visione schematica della configurazione.

IP: 10.10.10.5/24GTW: 10.10.10.254Interfaccia ACS

eth1

eth0: On-board NIC(BroadCom NetXtreme)

eth1:Additional NIC 3Com 3C905C-TX


eth0

HP Compaq dc 76001GB RAM

S.O. Win2k-Server SP4Software Cisco ACS

IP Address:GTW:DNS:

Virtual Host• 128MB RAM• 8GB HD

DNS Proxy

VMnet2

eth1Interfaccefisiche

eth0IP: 192.168.10.1/24GTW:192.168.10.254/24

ACS e DNS risiedonosullo stesso server


IP:GTW: -DNS: -

IP: 10.10.10.5/24GTW: 10.10.10.254Interfaccia ACS

eth1

eth0: On-board NIC(BroadCom NetXtreme)

eth1:Additional NIC 3Com 3C905C-TX


eth0

HP Compaq dc 76001GB RAM

S.O. Win2k-Server SP4Software Cisco ACS

IP Address:GTW:DNS:

Virtual Host• 128MB RAM• 8GB HD

DNS Proxy

VMnet2

eth1Interfaccefisiche

eth0IP: 192.168.10.1/24GTW:192.168.10.254/24

ACS e DNS risiedonosullo stesso server


IP:GTW: -DNS: -

Figura 14: Schema riassuntivo configurazione Server

23(31) 13/12/2006

7.1.3 Attivazione della funzionalità di syslog

L’host che implementa la funzione di syslog è lo stesso che realizza il servizio DNS Proxy, (indirizzo IP 192.168.20.1). Sebbene il demone che all’interno del sistema operativo gestisce le funzioni di syslog sia per default sempre attivo, è necessaria l’attivazione della funzionalità che permette il logging di messaggi provenienti da una sorgente esterna all’host stesso. All’interno del file “/etc/init.d/sysklogd” (il nome e/o la posizione del file potrebbero cambiare da distribuzione a distribuzione) è necessario modificare uno dei parametri nel seguente modo:

Attivazione Funzionalità di syslog da remoto

vmd:~# more /etc/init.d/sysklogd # Options for start/restart the daemons # For remote UDP logging use SYSLOGD="-r" # SYSLOGD="-r"

Infine va configurata il nome della facility utilizzata per il log, oltre alla posizione e il nome del log file stesso. Editare il file “/etc/syslog.conf” (il nome e/o la posizione del file potrebbero cambiare da distribuzione a distribuzione) aggiungendo le seguenti righe di configurazione:

Configurazione facility per syslog

vmd:~# more /etc/init.d/sysklogd #logging WLCM ROUTER local2.* /var/log/wlcm.log

Al termine di queste operazioni è necessario procedere al riavvio del demone “sysklogd” mediamente il comando seguente (il nome e/o la posizione del file potrebbero cambiare da distribuzione a distribuzione):

Configurazione facility per syslog

vmd:~# /etc/init.d/sysklogd restart Potrebbe essere interessante, nell’ottica di limitare lo spazio disco occupato dai log generati, abilitare per il file di log la funzionalità di logrotate aggiungendo le seguenti righe al file “/etc/logrotate.conf” (il nome e/o la posizione del file potrebbero cambiare da distribuzione a distribuzione):

Configurazione logrotate per file di log “/var/log/wlcm.log”

/var/log/wlcm.log { daily create compress rotate 30

24(31) 13/12/2006

}

8 SCHEMA RIASSUNTIVO DELL’ARCHITETURA INTEGRATA La Figura 15 riassume la configurazione degli apparati utilizzati nell’architettura proposta.

fa0/2/0 fa0/2/1 fa0/2/2 fa0/2/3

fa0/3/1 fa0/3/3


vlan 10

SVI

interface Vlan10ip address 10.10.10.254/24

eth1

eth0

DNS Proxy IP: 192.168.20.1/24GTW: 192.168.20.254

DNS Proxy IP: 192.168.20.1/24GTW: 192.168.20.254

fa0/3/2

RADIUS ACS IP: 10.10.10.5/255GTW: 10.10.10.254

R2

fa0/1

193.206.159.253/30ip nat outside

ip route 0.0.0.0 0.0.0.0 193.206.159.11

.1

WLCMWLCM




fa0/0192.168.20.254/24ip nat inside

interface wlan-controller1/0.20encapsulation dot1Q 20ip address 192.168.10.254/24

Ip nat inside

Figura 15: Schema riassuntivo

9 TEST DI CARICO Per verificare la scalabilità de sistema ed individuare eventuali limiti dell’architettura stessa, è stato condotto un test di carico da un client connesso alla WLAN tramite l’applicazione iperf, come schematizzato in Figura 16.

25(31) 13/12/2006

AP

Cisco 2811 WLCMWLCM

ACSRADIUS

DNSSYSLOG

fa0/0

fa0/1HWIC-4ESW HWIC-4ESW

Cross-cable

Iperf clientCisco 2811

PAT

Iperf server

AP

Cisco 2811 WLCMWLCM

ACSRADIUS

DNSSYSLOG

fa0/0

fa0/1HWIC-4ESW HWIC-4ESW

Cross-cable

Iperf clientCisco 2811

PAT

Iperf server

Figura 16: Topologia di test

Le misure relative a questo test sono riportate nelle figure di seguito. In particolare, in Figura 17 è riportato l’andamento del carico della CPU del router R2 durante il test con iperf.

Figura 17: Utilizzo della CPU di R2

Come si può notare, in condizioni di carico, la CPU del router Cisco 2811 lavora tra il 75% e l’80%. Sottolineiamo che sul router R2 è abilitata anche la funzione di logging (con dettaglio debug level) relativamente al PAT. In Figura 18 è il riportato il traffico instradato da R2.

Figura 18: Andamento del traffico durante il test IPERF

Come si evince da Figura 18, il traffico generato da iperf è di tipo unidirezionale, in particolare il client wireless genera un flusso di pacchetti UDP destinati ad un host all’esterno della rete.

26(31) 13/12/2006

Infine, durante il test è stato verificato il funzionamento della procedura di handover tra gli AP muovendo il client wireless all’interno degli uffici della direzione. Il test ha dato esito positivo e il client mobile non ha mai perso la connessione con la rete.

10 DESCRIZIONE DEI SERVIZI FORNITI Concludendo, di seguito sono elencati i principali servizi di rete forniti dall’architettura descritta:

• Accesso in modalità wireless alla rete Internet. • Autenticazione degli utenti tramite un Captive Portal. • Capacità di roaming delle sessioni utente per client wireless nomadici. • Garanzia della presenza di una sola sessione per ciascun utente. • Conformità alla legislazione italiana per quanto concerne il tracciamento delle sessioni

utente (tempo di connessione, tempo di disconnessione, durata della sessione, IP Address assegnato ad uno specifico utente, MAC address dell’utenza) mantenendone l’anonimato.

• Rispetto della privacy dell’utente mantenendo anonimi i messaggi di log (non registrando la reale identità dell’utente) fornendo al contempo la possibilità di definire responsabilità personali (identità) in caso di abusi.

11 LISTA DEI COMPONENTI HARDWARE UTILIZZATI Q.ty Part Number Product Description 1 NM-AIR-WLC6 4400 Series WLAN Controller for up to 25 Lightweight

Aps 1 Cisco 2811 2811 w/ AC PWR,2FE 64F/256D

2 HWIC-4ESW Four port 10/100 Ethernet switch interface card

5 AIR-LAP1242AG-E-K9 802.11ag LWAPP AP Dual 2.4,5GHz RP-TNC ETSI Cnfg

10 AIR-ANT4941 2.4 GHz,2.2 dBi Dipole Antenna w/ RP-TNC Connect. Qty. 1

1 Personal Computer PC HP Compaq DC7600 ULTRA SLIM DESKTOP, Pentim 4 HT -3GHz 1GB RAM, 80GB HD, 2x Ethernet Controller 1Gbps

1 Cisco 3750-48PS 3750 PoE-48 w/ AC PWR, RPS, 24 10/100 PoE port

12 RELEASE SOFTWARE UTILIZZATE Componenete Release SW utilizzate

NM-AIR-WLC6 4.0.179.11 Cisco 2811 IOS Version 12.4(11)T

AIR-LAP1242AG-E-K9 IOS Version 12.3(11)JA (firmware 3.0.51.0) Personal Computer Windows 2000 Server-5.00.2195 SP4

Cisco 3750 IOS Version 12.2(25)SEE

27(31) 13/12/2006

13 RINGRAZIAMENTI Un particolare ringraziamento è dovuto ad Andrea Salvati per il supporto all’integrazione del sistema all’interno della rete della Direzione GARR. Si ringraziano inoltre Ugo Monaco e Federica Tanlongo per l’attento lavoro di revisione del documento.

28(31) 13/12/2006

14 GLOSSARIO ACL Access Control List.

È un meccanismo utilizzato per filtrare il traffico IP sulla base di attributi del pacchetto IP.

AP Access Point È un dispositivo che connette devices wireless dell'utenza per formare un unica rete wireless.

GARR Gestione Ampliamento Rete Ricerca LWAPP Lightweight Access Point Protocol.

È un protocollo di comunicazione IETF per il controllo centralizzato degli Access Point.

PoE Power over Ethernet È una tecnologia che consente di trasportare simultanemanete su un cavo UTP dati e potenza elettrica per telealimentare un apparato di rete Ethernet.

RADIUS Remote Access Dial-In User Service. È un protocollo che consente l’autenticazione e l’autorizzazione di utenti che accedono ad una rete privata.

S.O. Sistema Operativo SSID Service Set Identifier

È un codice connesso a tutti i pacchetti su una rete wireless per identificare l'appartenenza del pacchetto ad una specifica rete.

SW Software VLAN Virtual Local Area Network.

È un metodo per la creazione di reti logiche di tipo Layer2 indipendenti dalle reti fisiche.

VSA Vendor-Specific Attribute WLAN Wireless Local Area Network

Sono reti LAN relizzate con tecnologia wireless. WLC Wireless LAN Controller

È un sistema della Cisco System che consente di controllare con protocollo LWAPP un gruppo di Access Point.

15 APPENDICE: CONFIGURAZIONE COMPLETA DEL ROUTER R2 R2#show run

Building configuration...

Current configuration : 3406 bytes

!

! Last configuration change at 18:05:47 CET Wed Dec 6 2006

! NVRAM config last updated at 13:21:01 CET Tue Nov 28 2006

!

version 12.4

service timestamps debug datetime msec localtime

service timestamps log datetime msec localtime

29(31) 13/12/2006

no service password-encryption

!

hostname R2

!

boot-start-marker

boot system flash c2800nm-advsecurityk9-mz.124-11.T.bin

boot-end-marker

!

logging buffered 4096

no logging console

enable password <PWD_Enable>

!

no aaa new-model

clock timezone CET 1

clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00

!

!

ip cef

no ip dhcp use vrf connected

ip dhcp excluded-address 10.10.10.254



ip dhcp excluded-address 10.10.10.1 10.10.10.20

!

ip dhcp pool AccessPoint

network 10.10.10.0 255.255.255.0

dns-server 193.206.141.82

default-router 10.10.10.254

option 43 hex f104.0ac8.000a

option 60 ascii "Cisco AP c1240"

!

ip dhcp pool WLAN20

network 192.168.10.0 255.255.255.0

default-router 192.168.10.254

dns-server 192.168.20.1

!

!

ip name-server 193.206.141.82

!

multilink bundle-name authenticated

!

!

interface FastEthernet0/0

ip address 192.168.20.254 255.255.255.0

ip nat inside

ip virtual-reassembly

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 193.206.159.253 255.255.255.0

ip nat outside

no ip virtual-reassembly

duplex auto

speed auto

!

interface FastEthernet0/2/0

switchport mode trunk

switchport stacking-partner interface FastEthernet0/3/0

30(31) 13/12/2006

!


switchport access vlan 10

spanning-tree portfast

!




!




!


switchport mode trunk

switchport stacking-partner interface FastEthernet0/2/0

!




!




!




!

interface Serial0/0/0

no ip address

shutdown

clock rate 2000000

!

interface Serial0/0/1

no ip address

shutdown

clock rate 2000000

!

interface wlan-controller1/0

ip address 10.200.0.254 255.255.255.0

!

interface wlan-controller1/0.20

encapsulation dot1Q 20

ip address 192.168.10.254 255.255.255.0

ip nat inside

no ip virtual-reassembly

!

interface Vlan1

no ip address

!

interface Vlan10

ip address 10.10.10.254 255.255.255.0

!

ip route 0.0.0.0 0.0.0.0 193.206.159.11

!

!

ip http server

no ip http secure-server

31(31) 13/12/2006

ip nat log translations syslog

ip nat pool PUBLIC 193.206.159.253 193.206.159.253 netmask 255.255.255.0

ip nat inside source list 10 pool PUBLIC overload

ip nat inside source static 192.168.20.1 193.206.159.252

!

logging trap debugging

logging facility local2

logging 192.168.20.1

access-list 10 permit 192.168.10.0 0.0.0.255

snmp-server community public RO 1

no cdp run

!

!

control-plane

!

!

line con 0

line aux 0

line 66

no activation-character

no exec

transport preferred none

transport input all

transport output pad telnet rlogin lapb-ta mop udptn v120 ssh

line vty 0 4

exec-timeout 0 0

password <PWD_Telnet>

login

transport input telnet

!

scheduler allocate 20000 1000

ntp logging

ntp source wlan-controller1/0.20

ntp master 1

!

end

REALIZZAZIONE DI UNA ARCHITETTURA WIRELESS LAN …lx5.dir.garr.it/documenti/wlcm_v08.pdf · 5.3...

Documents

Transcript of REALIZZAZIONE DI UNA ARCHITETTURA WIRELESS LAN …lx5.dir.garr.it/documenti/wlcm_v08.pdf · 5.3...