REALIZZAZIONE DI UNA ARCHITETTURA WIRELESS LAN …lx5.dir.garr.it/documenti/wlcm_v08.pdf · 5.3...
-
Upload
nguyenhanh -
Category
Documents
-
view
215 -
download
0
Transcript of REALIZZAZIONE DI UNA ARCHITETTURA WIRELESS LAN …lx5.dir.garr.it/documenti/wlcm_v08.pdf · 5.3...
REALIZZAZIONE DI UNA ARCHITETTURA WIRELESS LAN
INTEGRATA
Revisione: V.08 Data: 29 Dicembre 2006 Autori: Fabrizio Ferri, Alessandro Pancaldi Status: Versione finale
2(31) 13/12/2006
REVISIONI Revisione Data Modifiche V.00 –Draft 27 Novembre 2006 • Prima Stesura V.06 –Draft 6 Dicembre 2006 • Descrizione partenza automatica VMWARE V.07 –Finale 12 Dicembre 2006 • Revisione generale V.08 –Finale 29 Dicembre 2006 • Correzione refusi
3(31) 13/12/2006
INDICE 1 Scopo del documento ................................................................................................................... 4 2 Introduzione.................................................................................................................................. 5 3 Requisiti........................................................................................................................................ 5 4 Dimensionamento del sistema...................................................................................................... 5 5 Architettura di rete........................................................................................................................ 6
5.1 Indirizzamento IP e VLAN ............................................................................................ 7 5.2 Configurazione dei due moduli hwic a 4 porte fe .......................................................... 7 5.3 Configurazione del Wireless Lan Control Module (WLCM) ........................................ 8 5.4 CONFIGURAZIONE DEL ROUTER CISCO 2811 ....................................................12
5.4.1 Configurazione interfaccia virtuale per connettività Wireless Network...................12 5.4.2 Abilitazione DHCP e NTP........................................................................................13 5.4.3 Configurazione interfacce FE interne dei router e assegnazione della default route14 5.4.4 Configurazione NAT/PAT........................................................................................16 5.4.5 Attivazione funzione di syslog .................................................................................18
6 Installazione access point ............................................................................................................19 7 Configurazione host.....................................................................................................................19
7.1 Configurazione VMWARE e server DNS ....................................................................20 7.1.1 Abilitazione funzione di autologin Windows 2000 Server.......................................20 7.1.2 Configurazione BIND per servizio DNS Proxy .......................................................22 7.1.3 Attivazione funzionalità di syslog ............................................................................24
8 Schema riassuntivo dell’architetura integrata..............................................................................25 9 Test di carico ...............................................................................................................................25 10 Descrizione dei servizi forniti ...................................................................................................27 11 Lista dei componenti hardware utilizzati...................................................................................27 12 Release software utilizzate ........................................................................................................27 13 Ringraziamenti ..........................................................................................................................28 14 Appendice: configurazione completa del router R2 ..................................................................29
4(31) 13/12/2006
1 SCOPO DEL DOCUMENTO Questo documento descrive la realizzazione di un’architettura di rete wireless integrata di piccole/medie dimensioni basata un singolo router ed un singolo server. È da notare che, alcune problematiche tecniche affrontate nel presente documento sono ampiamente descritte in “GARR-06-002 / Realizzazione di una infrastruttura di campus per le conferenze TERENA e GARR 2006” (disponibile all’indirizzo URL http://www.garr.it/documenti/ConfCatania_ita_def.pdf) al quale si rimanda il lettore per maggiori dettagli.
5(31) 13/12/2006
2 INTRODUZIONE All’interno della comunità della ricerca si avverte sempre di più la necessità di avere a disposizione oltre alla connettività “wired” anche un accesso wireless basato su tecnologia Wi-Fi. Questo requisito potrebbe presentarsi sia nel lungo termine (per esempio, la copertura wireless definitiva di una certa sede), che per un arco di tempo limitato (per esempio, per la durata di una conferenza). In entrambi i casi, ed particolare nel secondo, può essere interessante adottare una soluzione basata su un’architettura Wi-Fi con controllo centralizzato degli Access Point in grado di integrare all’interno di un unico prodotto tutte funzionalità di rete necessarie.
3 REQUISITI Questo progetto descrive una soluzione in grado di integrarsi in modo semplice in contesti dove sia presente una rete wired già in esercizio. I principali requisiti di sistema sono:
− adattamento a topologie di rete differenti − configurazione di sistema in grado di supportare diversi scenari − minimo impatto sull’infrastruttura di cablaggio esistente − architettura di gestione e controllo degli Access Point centralizzata − ingombro contenuto − capacità di copertura anche di ambienti chiusi con estensione limitata (ad esempio,
qualche sala conferenza di capienza modesta) − collegamento degli Access Point ad uno switch Ethernet − accesso controllato alla rete tramite autenticazione utente − tracciamento delle sessioni d’utente (tempo di login/tempo di logout/andamento del
traffico utente in termini di byte in/byte out) mantenendone l’anonimato in conformità alle norme sulla privacy
4 DIMENSIONAMENTO DEL SISTEMA Cisco dispone di un architettura di controllo degli Access Point basata sul protocollo Lightweight Access Point Protocol (LWAPP) che permette di gestire in modo centralizzato e coordinato una infrastruttura di tipo Wi-Fi. Sono disponibili due tipi di controller wireless:
− un appliance esterno, in grado di gestire fino a molte decine di Access Point − un modulo di rete denominato Wireless Lan Controller Module (WLCM), integrabile
all’interno di router della famiglia Cisco 2800 o Cisco 3800, in grado di gestire un numero massimo di sei Access Point
I requisiti di sistema, e in particolare la necessità di avere una soluzione integrata, hanno favorito l’utilizzo di un’architettura basata sul WLCM integrato in un router Cisco 2800, il quale a sua
6(31) 13/12/2006
volta è in grado di svolgere anche funzionalità di switch Ethernet (se equipaggiato con specifici moduli, vedi Par. 5.2) con un ingombro contenuto (1 rack unit). Inoltre, al fine di fornire autenticazione nell’accesso Wi-Fi utente è stata abilitata la funzione di autenticazione tramite captive portal implementata dal WLCM il quale sfrutta il meccanismo di autentication-proxy per la verifica delle credenziali utente memorizzate su un RADIUS server esterno al router. Si sottolinea inoltre che questa architettura necessita di un proprio DNS al fine di intercettare il traffico utente e presentare in modo trasparente la pagina di richiesta delle credenziali. Infine, per ridurre il numero di host necessari al sistema, si è utilizzato il software VMWARE Workstation che, attraverso l’utilizzo di una macchina virtuale, permette la coesistenza sullo stesso host di un RADIUS server operante in ambiente MS Windows, di un DNS basato su sistema operativo Debian Linux e di un server SYSLOG in grado di memorizzare i messaggi di log inviati dal router Cisco 2811.
5 ARCHITETTURA DI RETE Il sistema è stato utilizzato all’interno della preesistente infrastruttura di rete della Direzione del Consortium GARR, per una durata di circa quindici giorni. Per offrire la connettività Wi-Fi all’interno ai due piani dell’edificio della Direzione GARR, sono stati utilizzati un numero complessivo di 5 Access Point. In Figura 1 è illustrata schematicamente l’architettura di rete posta in esercizio.
Piano 2
Piano 1
Cisco 2811
Catalyst 3750-48PS 24x10/100Mbps PoE
WLCMWLCM
eth1
eth0ACS
RADIUS
DNSSYSLOG
fa0/0
fa0/1
VLAN 10
HWIC-4ESW
ip route 0.0.0.0 0.0.0.0 193.206.159.11
HWIC-4ESW
Cross-cable
AP
AP
AP
APAP
Piano 2
Piano 1
Cisco 2811
Catalyst 3750-48PS 24x10/100Mbps PoE
WLCMWLCM
eth1
eth0ACS
RADIUS
DNSSYSLOG
fa0/0
fa0/1
VLAN 10
HWIC-4ESW
ip route 0.0.0.0 0.0.0.0 193.206.159.11
HWIC-4ESW
Cross-cable
AP
AP
AP
APAP
Figura 1: topologia fisica utilizzata
Su uno degli switch Ethernet della direzione (Cisco Catalyst 3750 PoE a 24 porte 10/100Mbps) è stata creata la VLAN 10 a cui sono collegati gli Access Point e una delle porte Layer 2 dello switch Ethernet integrato nel Cisco 2811.
7(31) 13/12/2006
Di seguito vegono descritte in dettaglio le configurazioni software dei diversi elementi dell’architettura.
5.1 INDIRIZZAMENTO IP E VLAN In Tabella 1 è riportato il piano di numerazione IP del sistema. Apparato Interfaccia IP Address/Netmask dns-server Eth1 192.168.20.1/24 Static NAT per DNS Outside IP Address 193.206.159.252/24 Router 2811 Fa0/0 192.168.20.254/24 Router 2811 Fa0/1 193.206.159.253/24 Router 2811 wlan-controller1/0 10.200.0.254/24 Router wlan-controller1/0.20
(default gateway VLAN 20) 192.168.10.254/24
Router vlan 10 10.10.10.254/24 RADIUS -ACS Eth0 10.10.10.5/24 DHCP pool client wireless [192.168.10.2-.253] DHCP Management Access Point
[10.10.10.21-.253]
Tabella 1: Scema di indirizzamento IP
5.2 CONFIGURAZIONE DEI DUE MODULI HWIC A 4 PORTE FE Il router Cisco 2811 è in grado di ospitare due schede switch HWIC-4ESW; per il loro utilizzo è a necessario un opportuno setup hardware e software. Il router è in grado di riconoscere automaticamente solo una delle due schede switch inserite al suo interno (quella inserita nello slot con indicatore numerico più basso). Per abilitare il funzionamento di entrambe occorre collegare due porte delle due schede con cavo UTP “cross”, procedendo alla loro configurazione mediante il comando “switchport stacking-partner interface <nome interfaccia connessa sull’altra scheda>. In Figura 2 vengono mostrati il setup utilizzato e le configurazioni:
8(31) 13/12/2006
interface FastEthernet0/2/0switchport mode trunkswitchport stacking-partner interface FastEthernet0/3/0!interface FastEthernet0/2/1switchport access vlan 10spanning-tree portfast!interface FastEthernet0/2/2switchport access vlan 10spanning-tree portfast!interface FastEthernet0/2/3switchport access vlan 10spanning-tree portfast!
interface FastEthernet0/3/0switchport mode trunkswitchport stacking-partner interface FastEthernet0/2/0!interface FastEthernet0/3/1switchport access vlan 10spanning-tree portfast!interface FastEthernet0/3/2switchport access vlan 10spanning-tree portfast!interface FastEthernet0/3/3switchport access vlan 10spanning-tree portfast
fa0/2/0 fa0/2/1 fa0/2/2 fa0/2/3
fa0/3/0 fa0/3/1 fa0/3/2 fa0/3/3
Cavo UTP cross
vlan 10
Trunk dot1q
HWIC 2
HWIC 3
Figura 2: Configurazione porte switch
Tra le porte fa0/2/0 e fa0/3/0 viene realizzata una connessione assimilabile a quella effettuata tra due switch inseriti all’interno di una architettura stack. Per semplicità le porte rimanenti sono inserite all’interno di una VLAN comune ( VLAN 10). N.B Prima di potere assegnare le porte alla VLAN è necessario definire la VLAN 10 nel “vlan database” del router attraverso i comandi riporti nel seguito:
Configurazione vlan 10
R2#vlan database R2(vlan)# R2(vlan)# vlan 10
Si noti infine che una soluzione completamente integrata (senza switch Ethernet esterno) potrebbe utilizzare il modulo HWIC-D-9ESW-PoE, da installare al posto delle due HWIC da quattro porte, che dispone complessivamente di 9 porte per la connessione degli AP e di altri dispositivi.
5.3 CONFIGURAZIONE DEL WIRELESS LAN CONTROL MODULE (WLCM) L’architettura utilizza un Cisco Wireless Lan Controller Module (riportato in Figura 3) che implementa le stesse funzionalità dell’appliance Wireless LAN Controller 4400.
9(31) 13/12/2006
Figura 3: Wireless Lan Controller Module
Una volta inserito all’interno del router, il WLCM si comporta come un WLC esterno dotato di una singola interfaccia FE (nota come porta 1) connessa all’interfaccia del router denominata “interface wlan-controller”, come mostrato in Figura 4.
WLCMWLCMFE
R2
interface wlan-controller
WLCMWLCMFE
R2
interface wlan-controller
Figura 4: Schema interpretativo connessione WLCM - router
N.B. È necessario che l’immagine dell’IOS presente sul router supporti il WLCM.In particolare, tutte le immagini e tutti i “feature set” successivi alla release 12.4(2)XA1 sono valide candidate. Inoltre, il WLCM deve essere equipaggiato con un firmware non più vecchio della release 3.2.78.0. La configurazione del WLCM prevede in prima istanza all’assegnazione di un IP all’interfaccia del router connessa al WLCM.
Configurazione interfaccia wlan-controller di R2
R2# configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)# R2(config)# interface wlan-controller 1/0 R2(config-if)# ip address 10.200.0.254 255.255.255.0 R2(config-if)# no shut R2(config-if)# end R2#
10(31) 13/12/2006
Per procedere alla prima configurazione del WLCM è necessario connettersi allo stesso tramite console. Essendo l’apparato WLCM integrato all’interno del Cisco 2811, dalla console del router va eseguito il seguente comando:
Connessione alla console del WLCM attraverso R2
R2# service-module wlan-controller 1/0 session
N.B. Per la disconnessione è necessario eseguire la seguente procedura
− Cisco Controller> logout − Premere CTRL+SHIFT+6 quindi rilasciare i tasti e premere il tasto “x” − R2# disconnect
Se non è stato mai configurato, il WLCM presenta al momento della connessione la schermata di configurazione iniziale. Di seguito vengono riportati i valori impostati sul WLCM al momento della prima configurazione.
Configurazione Iniziale WLCM
Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup System Name [Cisco_ff:ad:c1]: NMWLC Enter Administrative User Name (24 characters max): admin Enter Administrative Password (24 characters max): ***** Management Interface IP Address: 100.200.0.10 Management Interface Netmask: 255.255.255.0 Management Interface Default Router: 100.200.0.254 Management Interface VLAN Identifier (0 = untagged): 0 Management Interface Port Num [1]: 1 Management Interface DHCP Server IP Address: 100.200.0.254 AP Manager Interface IP Address: 100.200.0.9 AP-Manager is on Management subnet, using same values AP Manager Interface DHCP Server (192.168.99.24): 100.200.0.254 Virtual Gateway IP Address: 1.1.1.1 Mobility/RF Group Name: none Network Name (SSID): direzione1 Allow Static IP Addresses [YES][no]: no Configure a RADIUS Server now? [YES][no]: no Warning! The default WLAN security policy requires a RADIUS server. Please see documentation for more details. Enter Country Code (enter 'help' for a list of countries) [US]: IT Enable 802.11b Network [YES][no]: YES Enable 802.11a Network [YES][no]: YES
11(31) 13/12/2006
Enable 802.11g Network [YES][no]: YES Enable Auto-RF [YES][no]: YES Configuration saved! Resetting system with new configuration...
Dopo la prima configurazione il modulo esegue un reboot ed è operativo. Per controllare il traffico relativo alla Wireless LAN configurata sul WLC con SSID: direzione1, è stato definito un mapping tra questa WLAN e la VLAN 20. Per ulteriori configurazioni è possibile utilizzare l’interfaccia WEB raggiungibile attraverso l’IP della Management Interface (100.200.0.10), accedendovi tramite lo user e la password precedentemente impostate. È di fondamentale importanza, una volta creata la WLAN mediante l’impostazione di un SSID, verificare che l’interfaccia sia amministrativamente abilitata come mostrato in Figura 5.
Figura 5: Verifica abilitazione interfaccia Wireless
Infine è consigliabile modificare le impostazioni di default del Web Captive Portal agendo sugli opportuni parametri a disposizione (vedi Figura 6).
12(31) 13/12/2006
Figura 6: Personalizzazione Web Captive Portal
5.4 CONFIGURAZIONE DEL ROUTER CISCO 2811 Di seguito vengono riportati i servizi necessari al funzionamento del sistema, da configurare sul router.
5.4.1 Configurazione interfaccia virtuale per connettività Wireless Network
Il WLCM è stato configurato in modo da associare tutto il traffico proveniente dall’SSID “direzione1” alla VLAN 20. Risulta pertanto necessario definire sull’interfaccia del router connessa internamente al WLCM, una ulteriore interfaccia logica che riceva il traffico “tagged” proveniente dal Wireless Lan Controller e destinato alla VLAN 20. Di seguito viene riportata la configurazione necessaria.
Configurazione Interfaccia Router per gestione traffico utente da Wireless
interface wlan-controller1/0.20 encapsulation dot1Q 20 ip address 192.168.10.254 255.255.255.0 no ip virtual-reassembly !
N.B
13(31) 13/12/2006
L’IP assegnato all’interfaccia del router è in classe privata e deve essere configurato come default gateway della LAN associata alla WLAN (192.168.10.0/24).
5.4.2 Abilitazione DHCP e NTP
La gestione degli AP da parte del WLCM può avvenire sostanzialmente in due modalità: i) a livello di rete (livello 3), ii) a livello datalink (Ethernet).
Si è scelto di utilizzare la modalità di livello 3 che richiede un indirizzo IP per ogni AP, assegnato tramite server DHCP abilitato sullo switch Ethernet. È inoltre obbligatorio, tramite l’utilizzo della “option 43”, che il server DHCP fornisca all’AP l’indirizzo IP dell’interfaccia di management del WLC. Di seguito viene riportata la configurazione necessaria:
Configurazione DHCP VLAN 10 (MANAGEMENT)
ip dhcp pool AccessPoint network 10.10.10.0 255.255.255.0 dns-server 192.168.20.1 default-router 10.10.10.254 option 43 hex f104.0ac8.000a option 60 ascii "Cisco AP c1240"
Il valore dell’option 43 è ricavato dall’unione di tre valori numerici Type16∪Value16∪IP Address16 secondo la modalità indicata in Figura 7:
IP DA CONVERTIRE 10.200.0.10
Type + Value + (IP1)16 + (IP2)16 …+ (IPn)16Type + Value + (IP1)16 + (IP2)16 …+ (IPn)16
Fixed = f1
IP CONVERTITO 0a.c8.00.0a
4 x Numero di IP seguenti
VALORE FINALE f104.0ac8.000a Figura 7: Costruzione valore option 43
La possibilità di potere indicare più di un IP è utile solo in presenza di due o più WLC.
14(31) 13/12/2006
Per l’assegnazione degli indirizzi ai client wireless è necessario configurare un server DHCP per la VLAN 20:
Configurazione DHCP VLAN 20 (WIRELESS)
ip dhcp pool WLAN20 network 192.168.10.0 255.255.255.0 default-router 192.168.10.254 dns-server 192.168.20.1 !
Vanno in seguito esclusi dai due DHCP POOL gli indirizzi dei gateway e del DNS interno, oltre ad una porzione della VLAN 10 da riservare per l’eventuale assegnazione di IP statici.
Configurazione DHCP VLAN 20 (WIRELESS)
ip dhcp excluded-address 10.10.10.254 ip dhcp excluded-address 192.168.10.1 ip dhcp excluded-address 192.168.10.254 ip dhcp excluded-address 10.10.10.1 10.10.10.20
Di fondamentale importanza è infine la configurazione di un server NTP. Lo scambio dei certificati tra gli AP ed il WLC, necessari al momento della creazione del canale di controllo cifrato, si conclude con successo solamente se la data impostata sul router è sincronizzata con quella degli AP. Di seguito viene riportata la configurazione utilizzata:
Configurazione NTP
ntp logging ntp source wlan-controller1/0.20 ntp master 1
5.4.3 Configurazione interfacce FE interne dei router e assegnazione della default route
All’interfaccia FastEthernet0/0 è connesso il server DNS interno che risponde all’indirizzo IP 192.168.20.1, pertanto la configurazione è la seguente:
Configurazione interfaccia fe0/0 di R2
interface FastEthernet0/0 ip address 192.168.20.254 255.255.255.0 no ip virtual-reassembly duplex auto speed auto !
15(31) 13/12/2006
All’interfaccia FastEthernet 0/1 viene assegnato un IP preso dallo spazio di indirizzamento di una delle due reti di Classe C a disposizione della Direzione Consortium GARR
Configurazione interfaccia fe0/1 di R2
interface FastEthernet0/1 ip address 193.206.159.253 255.255.255.0 no ip virtual-reassembly duplex auto speed auto !
Il default gateway per la rete 193.206.159.0/24 e l’IP 193.206.159.11 pertanto la default route configurata sul router sarà impostata nel seguente modo:
Configurazione defaUlt route di r2
ip route 0.0.0.0 0.0.0.0 193.206.159.11
In Figura 8 è riportato uno schema che riassume la configurazione del router e del WLCM:
fa0/2/0 fa0/2/1 fa0/2/2 fa0/2/3
fa0/3/0fa0/3/1 fa0/3/3
cavo UTP crosstrunk dot1q
vlan 10
SVI
interface Vlan10ip address 10.10.10.254/24
fa0/3/2
R2
fa0/1
193.206.159.253/30ip nat outside
ip route 0.0.0.0 0.0.0.0 193.206.159.11
.1
WLCMWLCM
FE interface wlan-controller1/010.200.0.254 255.255.255.0
MGT interface10.200.0.10/24
AP-MGR interface10.200.0.9 /24
fa0/0192.168.20.254/24ip nat inside
interface wlan-controller1/0.20encapsulation dot1Q 20ip address 192.168.10.254/24
Ip nat inside
Figura 8: Schema riassuntivo configurazioni
5.4.4 Configurazione NAT/PAT
Alla rete wireless è stato assegnato uno spazio di indirizzamento compreso all’interno di una rete privata (192.168.10.0/24): risulta pertanto necessario ricorrere alla funzione di NAT per permette re la comunicazione degli host wireless verso Internet. Per minimizzare l’utilizzo degli IP pubblici si è deciso di adottare un meccanismo di PAT che permette a tutti i client wireless di usare in uscita il medesimo indirizzo pubblico (193.206.159.253 configurato sulla interfaccia FastEthernet0/1 del router R2). Per evitare ogni
16(31) 13/12/2006
problema di traslazione degli indirizzi IP delle query DNS (per esempio, le query trasportate su TCP), si utilizza un PAT di tipo statico in cui l’IP privato del DNS (192.168.20.1) viene associato ad un indirizzo IP pubblico (193.206.159.252). La configurazione del NAT sul router richiede l’individuazione delle interfacce da cui proviene il traffico da traslare (inside) e quelle da cui invece esce il traffico traslato (outside).
Nome Interfaccia INSIDE OUTSIDE FastEthernet 0/0 X FastEthernet 0/1 X interface wlan-controller1/0.20 X
La configurazione delle interfacce viene pertanto modificata nel seguente modo
Configurazione Interfaccia Router per gestione traffico utente da Wireless
interface wlan-controller1/0.20 encapsulation dot1Q 20 ip nat inside ip address 192.168.10.254 255.255.255.0 no ip virtual-reassembly
Configurazione interfaccia FA0/0 per NAT
interface FastEthernet0/0 ip address 192.168.20.254 255.255.255.0 ip nat inside no ip virtual-reassembly duplex auto speed auto
Configurazione interfaccia FA0/1 per NAT
interface FastEthernet0/1 ip address 193.206.159.253 255.255.255.0 ip nat outside no ip virtual-reassembly duplex auto speed auto
Per effettuare la traslazione si utilizza una ACL per individuare il traffico interessante per il quale va effettuata la procedura di PAT:
Configurazione ACL per individuazione traffico da traslare
access-list 10 permit 192.168.10.0 0.0.0.255 Il NAT pool consente di individuare l’insieme di indirizzi pubblici da utilizzare come sorgente per il traffico indirizzato verso l’esterno.
17(31) 13/12/2006
Nel nostro caso, utilizzando il meccanismo del PAT, il pool è composto di un singolo indirizzo che coincide con quello dell’interfaccia Fa0/1.
Configurazione NAT/PAT
ip nat pool PUBLIC 193.206.159.253 193.206.159.253 netmask 255.255.255.0 ip nat inside source list 10 pool PUBLIC overload
Il commando “overload” istruisce il router di effettuare anche PAT. Infine va inserito il comando che configura il PAT statico per l’host sul quale è configurato il DNS interno:
Configurazione NAT/PAT
ip nat inside source static 192.168.20.1 193.206.159.252 La configurazione del NAT è riassunta in Figura 9.
fa0/2/0fa0/2/1 fa0/2/2 fa0/2/3
fa0/3/0fa0/3/1 fa0/3/3
cavo UTP crosstrunk dot1q
fa0/3/2
R2
FE interface wlan-controller1/010.200.0.254 255.255.255.0
MGT interface10.200.0.10/24
AP-MGR interface10.200.0.9 /24
interface fa0/0ip address 192.168.10.254/24NAT INSIDE INTERFACE
interface FastEthernet0/0ip address 192.168.20.254 255.255.255.0ip nat inside!interface FastEthernet0/1ip address 193.206.159.253 255.255.255.0ip nat outside!ip nat pool PUBLIC 193.206.159.253 193.206.159.253 netmask 255.255.255.0ip nat inside source list 10 pool PUBLIC overloadip nat inside source static 192.168.20.1 193.206.159.252access-list 10 permit 192.168.10.0 0.0.0.255
interface fa0/1ip address 193.206.159.253/24NAT OUTSIDE INTERFACE
interface wlan-controller1/0.20ip address 192.168.10.254/24NAT INSIDE INTERFACE
interface wlan-controller1/0.20encapsulation dot1Q 20ip address 192.168.10.254 255.255.255.0ip nat insideno ip virtual-reassembly
NAT/PAT rete wireless
WLCMWLCM
Static NAT DNS SERVER Figura 9: Schema riassuntivo del funzionamento del meccanismo NAT/PAT
Può essere utile mantenere una traccia delle sessioni controllate e gestite dal processo PAT; è pertanto interessante abilitare la funzionalità di log del NAT attraverso il comando:
Abilitazione log NAT/PAT
ip nat log translations syslog
18(31) 13/12/2006
5.4.5 Attivazione funzione di syslog
Per motivi di sicurezza, è consigliabile replicare i log generati dal router su di un host remoto (in questo caso l’host rispondente all’ip 192.168.10.1). L’espletamento di questa funzione è effettuato tramite l’utilizzo della facility di syslog “local2”. Di seguito vengono riportati i comandi necessari all’abilitazione di questa funzionalità:
Abilitazione syslog su host remoto
logging trap debugging logging facility local2 logging 192.168.20.1
6 INSTALLAZIONE DEGLI ACCESS POINT All’interno della direzione del Consortium GARR erano già presenti punti LAN (terminati su uno Switch PoE) predisposti per il posizionamento degli AP. N.B. Nel caso si desideri realizzare una architettura analoga e non sia disponibile in loco uno switch PoE è necessaria l’utilizzazione dei Power Injector, che consentono di telealimentare gli AP (nel caso si voglia alimentare gli AP tramite PoE). Per separare i traffici preesistenti all’interno della LAN della direzione GARR dal traffico generato dagli Access Point, sullo switch Catalyst 3750 della direzione, viene definita una VLAN (VLAN 10) a cui connettere tutti gli AP. Successivamente (come mostrato in Figura 10) la porta fa0/3/3 del router 2811 è stata connessa ad una porta dello switch configurata su questa VLAN.
• Piano 2
• Piano 1
VLAN 10
R2SWITCH DIREZIONE GARR
Figura 10: Topologia interconnessione Access Point
19(31) 13/12/2006
In questo modo gli AP ricevono l’IP dal DHCP configurato sul router R2 e si associano correttamente al WLCM.
7 CONFIGURAZIONE DELL’ HOST DI GESTIONE La tracciabilità delle sessioni utente è mantenuta tramite l’utilizzo di un server RADIUS sul quale risiedono le credenziali di autenticazione degli utilizzatori. Al momento della connessione, il WLCM verifica la validità delle credenziali utente e ne abilita la comunicazione. Questa funzione è espletata da un host con sistema operativo Windows 2000 Server equipaggiato con il RADIUS Cisco – ACS. Al fine di contenere il numero di apparati necessari a realizzare questa architettura (vedi i requisiti di sistema di Par. 3), l’host sul quale è installato il Cisco ACS è stato configurato con una istanza di VMWare Workstation, all’interno della quale si è proceduto anche all’integrazione di un S.O. Linux-Debian con funzione di DNS Proxy.
RADIUS ServerACS
Debian sargeLinux vmd 2.4.27-3-686
DNS Proxy
eth1 eth0
WIN 2K Server –SP4
VMWARE WorkstationBuild:5.5.2 build-29772
RADIUS ServerACS
Debian sargeLinux vmd 2.4.27-3-686
DNS Proxy
eth1 eth0
WIN 2K Server –SP4
VMWARE WorkstationBuild:5.5.2 build-29772
Figure 1: configurazione software dell’host utilizzato per la gestione degli utenti
7.1 CONFIGURAZIONE VMWARE E SERVER DNS L’host che eroga i servizi RADIUS e DNS attraverso i server virtuali di VMWare è stato configurato in modo da procedere al caricamento automatico di tutti i servizi di cui sopra. In questo modo, al boot del sistema i servizi vengono automaticamente riattivati.
7.1.1 Abilitazione funzione di autologin Windows 2000 Server
Riportamo di seguito la procedura da effettuare per l’abilitazione della funzione di autologin necessaria per la riattivazione automatica dei servizi:
1. Aprire il software di modifica del registro “regedit” e posizionarsi al path [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
20(31) 13/12/2006
NT\CurrentVersion\Winlogon] verificando che la username all'interno del registro "DefaultUserName" sia "Administrator". Se la chiave non esiste bisogna procedere alla sua creazione come indicato in Figura 11.
Figura 11: Creazione del la chiave AutoAdminLogon
2. Creare una chiave del registro di configurazione di Windows denominata
“AutoAdminLogon”. 3. Modificare il registro "AutoAdminLogon" al valore “1” il valore (vedi Figura 12)
Figura 12: Modifica della chiave AutoAdminLogon
4. Nel caso in cui l’utente abbia la password configurata, nello stesso punto del registro di
configurazione, è necessaria la creazione di una nuova key di tipo String denominata "DefaultPassword" al cui interno va inserita la password dell'utente.
21(31) 13/12/2006
A questo punto l’host è configurato in modo da procedere al login in modo automatico al momento del boot. Anche la macchina virtuale deve eseguire il boot allo startup dell’host, va quindi creato uno shortcut nel modo indicato (avendo l’accortezza di sostituire i nomi e i path presenti con i propri) : "C:\Program Files\VMware\VMware Workstation\vmware.exe" -X "C:\Documents and Settings\user\My Documents\My Virtual Machines\FC5\Debin Linux 2.6.x kernel.vmx", come mostrato in Figura 13.
Figura 13: Shortcut per l’avvio dei server virtuali
Lo shortcut infine deve essere aggiunto alla cartella “Startup” (o “Esecuzione Automatica”) dell’utente desiderato.
7.1.2 Configurazione BIND per servizio DNS Proxy
Il server virtuale linux assolve alle funzioni di DNS Proxy server utilizzando un processo denominato “bind”. Il demone “bind” agisce semplicemente da “forwarder” per le query,
22(31) 13/12/2006
inoltrandole ad un DNS esterno incaricato di procedere alla reale operazione di ricorsione e risoluzione del nome. Questo approccio rende la configurazione di BIND (altrimenti piuttosto complicata) molto semplice. È sufficiente editare il file di configurazione “/etc/bind/named.conf.options” (la localizzazione del file all’interno del sistema operativo potrebbe variare da distribuzione a distribuzione) procedendo all’inserimento, alla voce “forwarders”, dell’IP del DNS desiderato e rimuovendo nel contempo il commento per il comando “query-source address * port 53”, come di seguito riportato.
Configurazione Bind in modalità forwarding
vmd:/etc/bind# more named.conf.options options { directory "/var/cache/bind"; ……………………. query-source address * port 53; forwarders { 193.206.158.1; };
Dopo avere proceduto al riavvio (stop e start) del servizio il server è pronto a ricevere query DNS. In Figura 14 viene riporta una visione schematica della configurazione.
IP: 10.10.10.5/24GTW: 10.10.10.254Interfaccia ACS
eth1
eth0: On-board NIC(BroadCom NetXtreme)
eth1:Additional NIC 3Com 3C905C-TX
Debian sargeLinux vmd 2.4.27-3-686
eth0
HP Compaq dc 76001GB RAM
S.O. Win2k-Server SP4Software Cisco ACS
IP Address:GTW:DNS:
Virtual Host• 128MB RAM• 8GB HD
DNS Proxy
VMnet2
eth1Interfaccefisiche
eth0IP: 192.168.10.1/24GTW:192.168.10.254/24
ACS e DNS risiedonosullo stesso server
VMWARE WorkstationBuild:5.5.2 build-29772
IP:GTW: -DNS: -
IP: 10.10.10.5/24GTW: 10.10.10.254Interfaccia ACS
eth1
eth0: On-board NIC(BroadCom NetXtreme)
eth1:Additional NIC 3Com 3C905C-TX
Debian sargeLinux vmd 2.4.27-3-686
eth0
HP Compaq dc 76001GB RAM
S.O. Win2k-Server SP4Software Cisco ACS
IP Address:GTW:DNS:
Virtual Host• 128MB RAM• 8GB HD
DNS Proxy
VMnet2
eth1Interfaccefisiche
eth0IP: 192.168.10.1/24GTW:192.168.10.254/24
ACS e DNS risiedonosullo stesso server
VMWARE WorkstationBuild:5.5.2 build-29772
IP:GTW: -DNS: -
Figura 14: Schema riassuntivo configurazione Server
23(31) 13/12/2006
7.1.3 Attivazione della funzionalità di syslog
L’host che implementa la funzione di syslog è lo stesso che realizza il servizio DNS Proxy, (indirizzo IP 192.168.20.1). Sebbene il demone che all’interno del sistema operativo gestisce le funzioni di syslog sia per default sempre attivo, è necessaria l’attivazione della funzionalità che permette il logging di messaggi provenienti da una sorgente esterna all’host stesso. All’interno del file “/etc/init.d/sysklogd” (il nome e/o la posizione del file potrebbero cambiare da distribuzione a distribuzione) è necessario modificare uno dei parametri nel seguente modo:
Attivazione Funzionalità di syslog da remoto
vmd:~# more /etc/init.d/sysklogd # Options for start/restart the daemons # For remote UDP logging use SYSLOGD="-r" # SYSLOGD="-r"
Infine va configurata il nome della facility utilizzata per il log, oltre alla posizione e il nome del log file stesso. Editare il file “/etc/syslog.conf” (il nome e/o la posizione del file potrebbero cambiare da distribuzione a distribuzione) aggiungendo le seguenti righe di configurazione:
Configurazione facility per syslog
vmd:~# more /etc/init.d/sysklogd #logging WLCM ROUTER local2.* /var/log/wlcm.log
Al termine di queste operazioni è necessario procedere al riavvio del demone “sysklogd” mediamente il comando seguente (il nome e/o la posizione del file potrebbero cambiare da distribuzione a distribuzione):
Configurazione facility per syslog
vmd:~# /etc/init.d/sysklogd restart Potrebbe essere interessante, nell’ottica di limitare lo spazio disco occupato dai log generati, abilitare per il file di log la funzionalità di logrotate aggiungendo le seguenti righe al file “/etc/logrotate.conf” (il nome e/o la posizione del file potrebbero cambiare da distribuzione a distribuzione):
Configurazione logrotate per file di log “/var/log/wlcm.log”
/var/log/wlcm.log { daily create compress rotate 30
24(31) 13/12/2006
}
8 SCHEMA RIASSUNTIVO DELL’ARCHITETURA INTEGRATA La Figura 15 riassume la configurazione degli apparati utilizzati nell’architettura proposta.
fa0/2/0 fa0/2/1 fa0/2/2 fa0/2/3
fa0/3/1 fa0/3/3
cavo UTP crosstrunk dot1q
vlan 10
SVI
interface Vlan10ip address 10.10.10.254/24
eth1
eth0
DNS Proxy IP: 192.168.20.1/24GTW: 192.168.20.254
DNS Proxy IP: 192.168.20.1/24GTW: 192.168.20.254
fa0/3/2
RADIUS ACS IP: 10.10.10.5/255GTW: 10.10.10.254
R2
fa0/1
193.206.159.253/30ip nat outside
ip route 0.0.0.0 0.0.0.0 193.206.159.11
.1
WLCMWLCM
FE interface wlan-controller1/010.200.0.254 255.255.255.0
MGT interface10.200.0.10/24
AP-MGR interface10.200.0.9 /24
fa0/0192.168.20.254/24ip nat inside
interface wlan-controller1/0.20encapsulation dot1Q 20ip address 192.168.10.254/24
Ip nat inside
Figura 15: Schema riassuntivo
9 TEST DI CARICO Per verificare la scalabilità de sistema ed individuare eventuali limiti dell’architettura stessa, è stato condotto un test di carico da un client connesso alla WLAN tramite l’applicazione iperf, come schematizzato in Figura 16.
25(31) 13/12/2006
AP
Cisco 2811 WLCMWLCM
ACSRADIUS
DNSSYSLOG
fa0/0
fa0/1HWIC-4ESW HWIC-4ESW
Cross-cable
Iperf clientCisco 2811
PAT
Iperf server
AP
Cisco 2811 WLCMWLCM
ACSRADIUS
DNSSYSLOG
fa0/0
fa0/1HWIC-4ESW HWIC-4ESW
Cross-cable
Iperf clientCisco 2811
PAT
Iperf server
Figura 16: Topologia di test
Le misure relative a questo test sono riportate nelle figure di seguito. In particolare, in Figura 17 è riportato l’andamento del carico della CPU del router R2 durante il test con iperf.
Figura 17: Utilizzo della CPU di R2
Come si può notare, in condizioni di carico, la CPU del router Cisco 2811 lavora tra il 75% e l’80%. Sottolineiamo che sul router R2 è abilitata anche la funzione di logging (con dettaglio debug level) relativamente al PAT. In Figura 18 è il riportato il traffico instradato da R2.
Figura 18: Andamento del traffico durante il test IPERF
Come si evince da Figura 18, il traffico generato da iperf è di tipo unidirezionale, in particolare il client wireless genera un flusso di pacchetti UDP destinati ad un host all’esterno della rete.
26(31) 13/12/2006
Infine, durante il test è stato verificato il funzionamento della procedura di handover tra gli AP muovendo il client wireless all’interno degli uffici della direzione. Il test ha dato esito positivo e il client mobile non ha mai perso la connessione con la rete.
10 DESCRIZIONE DEI SERVIZI FORNITI Concludendo, di seguito sono elencati i principali servizi di rete forniti dall’architettura descritta:
• Accesso in modalità wireless alla rete Internet. • Autenticazione degli utenti tramite un Captive Portal. • Capacità di roaming delle sessioni utente per client wireless nomadici. • Garanzia della presenza di una sola sessione per ciascun utente. • Conformità alla legislazione italiana per quanto concerne il tracciamento delle sessioni
utente (tempo di connessione, tempo di disconnessione, durata della sessione, IP Address assegnato ad uno specifico utente, MAC address dell’utenza) mantenendone l’anonimato.
• Rispetto della privacy dell’utente mantenendo anonimi i messaggi di log (non registrando la reale identità dell’utente) fornendo al contempo la possibilità di definire responsabilità personali (identità) in caso di abusi.
11 LISTA DEI COMPONENTI HARDWARE UTILIZZATI Q.ty Part Number Product Description 1 NM-AIR-WLC6 4400 Series WLAN Controller for up to 25 Lightweight
Aps 1 Cisco 2811 2811 w/ AC PWR,2FE 64F/256D
2 HWIC-4ESW Four port 10/100 Ethernet switch interface card
5 AIR-LAP1242AG-E-K9 802.11ag LWAPP AP Dual 2.4,5GHz RP-TNC ETSI Cnfg
10 AIR-ANT4941 2.4 GHz,2.2 dBi Dipole Antenna w/ RP-TNC Connect. Qty. 1
1 Personal Computer PC HP Compaq DC7600 ULTRA SLIM DESKTOP, Pentim 4 HT -3GHz 1GB RAM, 80GB HD, 2x Ethernet Controller 1Gbps
1 Cisco 3750-48PS 3750 PoE-48 w/ AC PWR, RPS, 24 10/100 PoE port
12 RELEASE SOFTWARE UTILIZZATE Componenete Release SW utilizzate
NM-AIR-WLC6 4.0.179.11 Cisco 2811 IOS Version 12.4(11)T
AIR-LAP1242AG-E-K9 IOS Version 12.3(11)JA (firmware 3.0.51.0) Personal Computer Windows 2000 Server-5.00.2195 SP4
Cisco 3750 IOS Version 12.2(25)SEE
27(31) 13/12/2006
13 RINGRAZIAMENTI Un particolare ringraziamento è dovuto ad Andrea Salvati per il supporto all’integrazione del sistema all’interno della rete della Direzione GARR. Si ringraziano inoltre Ugo Monaco e Federica Tanlongo per l’attento lavoro di revisione del documento.
28(31) 13/12/2006
14 GLOSSARIO ACL Access Control List.
È un meccanismo utilizzato per filtrare il traffico IP sulla base di attributi del pacchetto IP.
AP Access Point È un dispositivo che connette devices wireless dell'utenza per formare un unica rete wireless.
GARR Gestione Ampliamento Rete Ricerca LWAPP Lightweight Access Point Protocol.
È un protocollo di comunicazione IETF per il controllo centralizzato degli Access Point.
PoE Power over Ethernet È una tecnologia che consente di trasportare simultanemanete su un cavo UTP dati e potenza elettrica per telealimentare un apparato di rete Ethernet.
RADIUS Remote Access Dial-In User Service. È un protocollo che consente l’autenticazione e l’autorizzazione di utenti che accedono ad una rete privata.
S.O. Sistema Operativo SSID Service Set Identifier
È un codice connesso a tutti i pacchetti su una rete wireless per identificare l'appartenenza del pacchetto ad una specifica rete.
SW Software VLAN Virtual Local Area Network.
È un metodo per la creazione di reti logiche di tipo Layer2 indipendenti dalle reti fisiche.
VSA Vendor-Specific Attribute WLAN Wireless Local Area Network
Sono reti LAN relizzate con tecnologia wireless. WLC Wireless LAN Controller
È un sistema della Cisco System che consente di controllare con protocollo LWAPP un gruppo di Access Point.
15 APPENDICE: CONFIGURAZIONE COMPLETA DEL ROUTER R2 R2#show run
Building configuration...
Current configuration : 3406 bytes
!
! Last configuration change at 18:05:47 CET Wed Dec 6 2006
! NVRAM config last updated at 13:21:01 CET Tue Nov 28 2006
!
version 12.4
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
29(31) 13/12/2006
no service password-encryption
!
hostname R2
!
boot-start-marker
boot system flash c2800nm-advsecurityk9-mz.124-11.T.bin
boot-end-marker
!
logging buffered 4096
no logging console
enable password <PWD_Enable>
!
no aaa new-model
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.254
ip dhcp excluded-address 192.168.10.1
ip dhcp excluded-address 192.168.10.254
ip dhcp excluded-address 10.10.10.1 10.10.10.20
!
ip dhcp pool AccessPoint
network 10.10.10.0 255.255.255.0
dns-server 193.206.141.82
default-router 10.10.10.254
option 43 hex f104.0ac8.000a
option 60 ascii "Cisco AP c1240"
!
ip dhcp pool WLAN20
network 192.168.10.0 255.255.255.0
default-router 192.168.10.254
dns-server 192.168.20.1
!
!
ip name-server 193.206.141.82
!
multilink bundle-name authenticated
!
!
interface FastEthernet0/0
ip address 192.168.20.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 193.206.159.253 255.255.255.0
ip nat outside
no ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/2/0
switchport mode trunk
switchport stacking-partner interface FastEthernet0/3/0
30(31) 13/12/2006
!
interface FastEthernet0/2/1
switchport access vlan 10
spanning-tree portfast
!
interface FastEthernet0/2/2
switchport access vlan 10
spanning-tree portfast
!
interface FastEthernet0/2/3
switchport access vlan 10
spanning-tree portfast
!
interface FastEthernet0/3/0
switchport mode trunk
switchport stacking-partner interface FastEthernet0/2/0
!
interface FastEthernet0/3/1
switchport access vlan 10
spanning-tree portfast
!
interface FastEthernet0/3/2
switchport access vlan 10
spanning-tree portfast
!
interface FastEthernet0/3/3
switchport access vlan 10
spanning-tree portfast
!
interface Serial0/0/0
no ip address
shutdown
clock rate 2000000
!
interface Serial0/0/1
no ip address
shutdown
clock rate 2000000
!
interface wlan-controller1/0
ip address 10.200.0.254 255.255.255.0
!
interface wlan-controller1/0.20
encapsulation dot1Q 20
ip address 192.168.10.254 255.255.255.0
ip nat inside
no ip virtual-reassembly
!
interface Vlan1
no ip address
!
interface Vlan10
ip address 10.10.10.254 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 193.206.159.11
!
!
ip http server
no ip http secure-server
31(31) 13/12/2006
ip nat log translations syslog
ip nat pool PUBLIC 193.206.159.253 193.206.159.253 netmask 255.255.255.0
ip nat inside source list 10 pool PUBLIC overload
ip nat inside source static 192.168.20.1 193.206.159.252
!
logging trap debugging
logging facility local2
logging 192.168.20.1
access-list 10 permit 192.168.10.0 0.0.0.255
snmp-server community public RO 1
no cdp run
!
!
control-plane
!
!
line con 0
line aux 0
line 66
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
line vty 0 4
exec-timeout 0 0
password <PWD_Telnet>
login
transport input telnet
!
scheduler allocate 20000 1000
ntp logging
ntp source wlan-controller1/0.20
ntp master 1
!
end