Cisco 2000 Series WLAN Controller: 6 APs

PID: AIR-WLC2006-K9 Version: 4.1.171.0

VID: V01

Opis testu i instalacji na potrzeby usługi eduroam

Tomasz Piontek (Tomasz.Piontek@umk.pl)

dokument przygotowany w ramach projektu B-R eduroam-PIONIER

2/26

Spis treści

Wstęp ........................................................................................................................................ 3

Założenia .................................................................................................................................. 3

SSID ................................................................................................................................................. 3

Szyfrowanie ...................................................................................................................................... 3

Uwierzytelnienie .............................................................................................................................. 4

VLAN ............................................................................................................................................... 4

Infrastruktura stała niezależna od zestawu testowego konieczna do stworzenia modelu ................. 4

Opis testowanego zestawu ....................................................................................................... 5

Kontroler .......................................................................................................................................... 5

AP .................................................................................................................................................... 6

Schemat modelu ............................................................................................................................... 7

Metodologa testów ................................................................................................................... 8

Testy laboratoryjne .............................................................................................................. 8

Testowane zagadnienia ................................................................................................... 8

Wyniki testów .................................................................................................................. 9

Testy produkcyjne ............................................................................................................. 12

Testowane zagadnienia: ................................................................................................ 12

Wyniki testów ................................................................................................................ 13

Opis konfiguracji testowanego zestawu .................................................................................. 14

3/26

Wstęp

Usługa eduroam jest skierowana do społeczności akademickiej na całym świecie.

Obejmuje swoim zasięgiem między innymi 32 kraje Europy, 6 krajów Azjatyckich leżących

nad Pacyfikiem. Jej głównym celem jest zapewnienie społeczności akademickiej szybkiego i

bezpiecznego dostępu do Internetu bez konieczności kontaktowania się z lokalnym

administratorem. Uwierzytelnianie stosowane w eduroam umożliwia zabezpieczenie przed

dostępem nieupoważnionych osób oraz w przypadku ewentualnych nadużyć umożliwia

identyfikację konkretnego użytkownika.

W Polsce z eduroam korzysta obecnie kilkanaście uczelni wyższych, użytkowników

sieci PIONIER. Prace nad wprowadzeniem eduroam jako pełnej usługi sieci PIONIER

obejmują również rozpoznanie dostępnego sprzętu WiFi i przeprowadzenie testów

kompatybilności z założeniami eduroam.

Założenia

Testy skupiają się na tych cechach sprzętu, które są szczególnie istotne w sieci

uczelnianej bezprzewodowej włączanej w strukturę eduroam. Z założenia są to zatem testy

częściowe.

SSID

W ramach eduroam rozgłaszamy dwie sieci. Podstawowa sieć nazwana jest zawsze

„eduroam”, oraz dodatkowa sieć konferencyjna w naszym modelu nazwana „Konferencja”.

Szyfrowanie

SSID eduroam musi być zabezpieczone WPA1/TKIP. Teoretycznie nie ma

przeciwwskazań, aby na tym samym SSID stosować dodatkowo standard WPA2 z

TKIP lub AES. W praktyce, może to prowadzić do pewnych niekompatybilności z

sieciami w innych instytucjach, a nawet utrudnień z wykonaniem połączenia. Z tego

powodu, podstawą testów jest ustawienie WPA1/TKIP. W czasie testów

laboratoryjnych sprawdzane jest również WPA2 zarówno w połączeniu z WPA1, jak i

oddzielnie.

SSID „Konferencja” jest traktowane jako sieć do krótkoterminowego użytkowania

przez osoby niezwiązane z uczelnią, która jest rozgłaszana tylko na obszarze

konkretnej konferencji w czasie jej trwania. Użytkownicy tej sieci nie kontaktują się z

administratorami eduroam. Informacje dotyczące sposobu i zasad korzystania z tej

sieci otrzymują od organizatora. Sieć ta jest rozgłaszana bez szyfrowania i

zabezpieczana portalem dostępowym. Testowana jest jedynie możliwość

skonfigurowania takiego SSID i związania go z wydzielonym VLAN-em.

4/26

Uwierzytelnienie

Użytkownicy korzystający z SSID „eduroam” są podłączani na podstawie

przesyłanych przez nich danych do serwera Radius. Po autoryzacji użytkownik zostaje

przypisany do VLANu wskazanego przez serwer Radius. W modelu testowym rozróżniamy 3

grupy użytkowników umownie nazwaliśmy je : pracownicy, studenci oraz goście

(użytkownicy uwierzytelniani przez instytucje pracujące w ramach eduroam, posiadające

własny serwer Radius) . Uwierzytelnianie jest oparte o 3 typy EAP: TLS, TTLS/PAP,

PEAP/MSCHAPv2.

VLAN

Numeracja i opis VLAN-ów stosowanych w testach

30 – Pracownicy

31 – Studenci

32 – Goście

33 – Zarządzający dla kontrolera, AP, serwerów DHCP oraz RADIUS

35 – Konferencyjny

Infrastruktura stała niezależna od zestawu testowego konieczna do stworzenia

modelu

Urządzenia użytkowane w ramach projektu muszą spełniać minimalnie kilka

podstawowych funkcji. Podstawowym wymaganiem jest obsługa VLAN 802.1q. W ramach

modelu korzystamy z następujących urządzeń:

Server FreeRadius v. 2

Serwer DHCP

Router

Przełączniki Ethernet

Przełącznik 1 :

Port 1 – vlan 30,31,32,33,35 – Tagged

Port 12 – vlan 33 – Untagged,

Port 14 – vlan 30,31,32,33,35 – Tagged

Przełącznik 2 :

Port 2 – vlan 30,31,32,33,35 – Tagged

Port 3 – vlan 30,31,32,33,35 – Tagged

Port 13 – vlan 33 – Untagged,

5/26

Opis testowanego zestawu:

Kontroler:

L.P. Rodzaj testów Wynik

1 Model 2000 Series WLAN Controller: 6 APs

2 Wersja AIR-WLC2006-K9

3 Wersja oprogramowania 4.1.171.0

4 Ilość portów LAN 4

5 Konfiguracja portu serwisowego Prędkość : 9600

Bity danych : 8

Parzystość : brak

Bity stopu : 1

Sterowanie

przepływem : brak

6 Programowe wyłączanie kontrolera NIE

7 Obsługa VLANów TAK

8 Dynamiczne VLANy TAK

9 Ilość rozgłaszanych SSID 16

10 Accounting TAK

11 Wbudowany serwer DHCP TAK

12 Tunelowanie ruchu z AP do kontrolera TAK

13 Statyczne przekierowanie ruchu z AP do

lokalnego VLANu

NIE

14 Dynamiczne przekierowanie ruchu z AP do

lokalnego VLANu na podstawie RADIUSa

NIE

15 Wbudowany serwer RADIUS NIE (istnieje możliwość obsługi EAP w

oparciu o lokalną bazę użytkowników)

16 Wyszukiwanie intruzów TAK

17 Zwalczanie intruzów nie badano

18 Zewnętrzne oprogramowanie do

zarządzania

TAK

19 Zewnętrzne oprogramowanie do

monitoringu

TAK

20 QOS TAK

21 Wbudowany potral dostępowy TAK

22 Obsługa SNMP TAK

Cechy szczególne kontrolera

L.P. Rodzaj właściwości Opis

1 Zarządzanie AP w standardzie

MESH

Tworzenie sieci w oparciu o połączenia między AP

przy pomocy łączy radiowych.

2 Wspieranie standardu CCKM Rozwiązanie ma na celu pomięcie autentykacji

użytkownika przemieszczającego się pomiędzy AP

6/26

Access Point:

L.P. Rodzaj testów Wynik

1 Model Cisco Aironet 1510 Lightweight

Outdoor Mesh Access Point

2 Wersja oprogramowania startowego 2.1.78.0

3 Wersja oprogramowania 4.1.171.0

4 Ilość portów LAN 1

5 Konfiguracja portu serwisowego Brak

6 Praca w standardzie 802.11a TAK

7 Praca w standardzie 802.11n NIE

8 Praca w standardzie 802.11b TAK

9 Praca w standardzie 802.11g TAK

10 Praca samodzielna NIE

11 Praca pod kontrola kontrolera TAK

12 Zarządzanie urządzeniem poprzez TELNET NIE

13 Zarządzanie urządzeniem poprzez SSH NIE

14 Zarządzanie urządzeniem poprzez CLI NIE

15 Zarządzanie urządzeniem poprzez WWW NIE

16 Zasilanie poprzez Ethernet TAK

17 Praca w standardzie IEEE 802.3af NIE (spowodowane szczególnymi

wymogami rozwiązania MESH, do

zastosowań dla sieci wewnętrznych

proponowane są inne urządzenia,

wspierające standard 802.3af)

Cechy szczególne Access Point

L.P. Rodzaj właściwości Opis

1 Urządzenie przystosowane

do pracy na zewnątrz.

Solidna wodoszczelna obudowa.

2 Wyjście na 2 anteny

zewnętrzne.

Przy wykorzystaniu zewnętrznym można dowolnie

kształtować sygnał w oparciu o zastosowane anteny

zewnętrzne o określonej charakterystyce.

3 Praca w 2 trybach Tryb RAP – dostęp do sieci poprzez Ethernet

Tryb MAP – dostęp do sieci poprzez jedna z kart wifi

łączącej się do innego MAPa lub do RAPa

7/26

Schemat instalacji testowej

HiPath Wireless C2400 Controller

Kontroler jest urządzeniem mającym na celu koordynację pracy AP w sieci oraz

umożliwienie ich sprawnego rekonfigurowania i zarządzania.

Schemat 1

8/26

Metodologa testów

Testy zostały podzielone na 2 części.

Testy laboratoryjne

Opis: Polegają na sprawdzeniu funkcjonalności urządzeń oraz uzyskaniu dostępu

zespołu testującego do usług wymaganych w projekcie (2 użytkowników). Czas

trwania - od 7 do 10 dni roboczych.

Cel: opis podstawowych cech sprzętu, sprawdzenie możliwości urządzeń pod kątem

wymagań eduroam.

Wykorzystano:

komputer PC z systemem Windows XP Professional

komputer PC z systemem Windows Vista Business

komputer PC z systemem Linux

aparat telefoniczny z systemem Symbian S60

Testowane zagadnienia

1. Kontrola poprawności połączeń we współpracy z różnymi typami EAP

TLS

TTLS

PEAP

2. Kontrola poprawności przydzielania użytkowników do określonych VLAN-ów

3. Analiza parametrów FreeRadius przekazywanych w ramach sesji

uwierzytelnienia oraz sesji rozliczeniowej (accounting)

4. Kontrola poprawności współpracy z serwerem DHCP

5. Analiza jakości połączenia. Test ciągłości połączenia, czas przejścia między

testowanymi AP oraz czas autentykacji przełączana między AP jest oparty o

obserwację pakietów ICMP Ping wysyłanych przy pomocy programu fping z

częstotliwością 100ms i czasem oczekiwania 100 ms. Pakiety są zapisywane

razem ze znacznikiem czasowym, wyniki testu są porównywane z logami

serwera Radius.

9/26

Wyniki

L.P. Nazwa Opis testu Karta System Wynik

1

Uw

ierzyteln

ienie

TL

S

3Com 3CRPAG175

Win

dow

s XP

OK

2 Intellinet Wireless G OK

3 Dell 1490 OK

4 Intel 3945 Vista OK

5 Nokia Symbian OK

6

TT

LS

3Com 3CRPAG175

Win

dow

s XP

OK

7 Intellinet Wireless G OK

8 Dell 1490 OK

9 Intel 3945 Vista OK

10 Nokia Symbian OK

11

PE

AP

3Com 3CRPAG175

Win

dow

s XP

OK

12 Intellinet Wireless G OK

13 Dell 1490 OK

14 Intel 3945 Vista OK

15 Nokia Symbian OK

16

Obsłu

ga V

LA

N

Przydzielanie do VLANów

na podstawie autoryzacji z

serwera RADIUS

3Com 3CRPAG175

Win

dow

s XP

OK

17 Intellinet Wireless G OK

18 Dell 1490 OK

19 Intel 3945 Vista OK

20 Nokia Symbian OK

10/26

21

Wsp

ółp

raca z serwerem

DH

CP

Współpraca z

zewnętrznym serwerem

DHCP

3Com 3CRPAG175

Win

dow

s XP

OK.

22 Intellinet Wireless G OK

23 Dell 1490 OK

24 Intel 3945 Vista OK

25 Nokia Symbian OK

Analiza jakości połączenia:

Zaobserwowany czas reautentykacji związanej ze zmianą AP wynosił poniżej 200ms

przy uwierzytelnianiu w lokalnym serwerze Radius. Podczas testu z transmisja głosu, przerwa

była praktycznie niezauważalna. Przerwa spowodowana reauthentykacja prowadzona w

oparciu o odległy serwer Radius wynikała z czasu odpowiedzi tego serwera i wynosiła od 1,5

do 3 sekund.

Obciążenie systemów:

Podczas testów nie zaobserwowano problemów wydajnościowych.

Pakiety FreeRadius:

Access-Request

Packet-Type = Access-Request

User-Name = xxxx@yyyy.pl

Calling-Station-Id = "00-19-7D-83-1A-3A"

Called-Station-Id = "00-0B-85-6F-97-A0:eduroam"

NAS-Port = 1

NAS-IP-Address = 192.168.33.220

NAS-Identifier = "Cisco_33:0d:80"

Airespace-Wlan-Id = 3

Service-Type = Framed-User

Framed-MTU = 1300

NAS-Port-Type = Wireless-802.11

Tunnel-Type:0 = VLAN

Tunnel-Medium-Type:0 = IEEE-802

Tunnel-Private-Group-Id:0 = "35"

EAP-Message = 0x020800060d00

State = 0x2ccf007329c70d0fe319601199ad982b

Message-Authenticator = 0xb010510563eec8a8e24145a3328a3d48

Accounting-Start

User-Name = xxxx@yyyy.pl

NAS-Port = 1

NAS-IP-Address = 192.168.33.220

Framed-IP-Address = 192.168.30.25

NAS-Identifier = "Cisco_33:0d:80"

11/26

Airespace-Wlan-Id = 3

Acct-Session-Id = "4846960a/00:19:7d:83:1a:3a/52"

Acct-Authentic = RADIUS

Tunnel-Type:0 = VLAN

Tunnel-Medium-Type:0 = IEEE-802

Tunnel-Private-Group-Id:0 = "30"

Acct-Status-Type = Start

Calling-Station-Id = "00-19-7d-83-1a-3a"

Called-Station-Id = "00-0b-85-6f-97-a0"

Accounting-Interim-Update

User-Name = xxxx@yyyy.pl

NAS-Port = 1

NAS-IP-Address = 192.168.33.220

Framed-IP-Address = 192.168.30.25

NAS-Identifier = "Cisco_33:0d:80"

Airespace-Wlan-Id = 3

Acct-Session-Id = "4846960a/00:19:7d:83:1a:3a/52"

Acct-Authentic = RADIUS

Tunnel-Type:0 = VLAN

Tunnel-Medium-Type:0 = IEEE-802

Tunnel-Private-Group-Id:0 = "30"

Acct-Status-Type = Interim-Update

Acct-Input-Octets = 3490438

Acct-Output-Octets = 3627979

Acct-Input-Packets = 26547

Acct-Output-Packets = 24511

Acct-Session-Time = 2900

Acct-Delay-Time = 0

Calling-Station-Id = "00-19-7d-83-1a-3a"

Called-Station-Id = "00-0b-85-6f-97-a0"

Accounting-Stop

User-Name = xxxx@yyyyy.pl

NAS-Port = 1

NAS-IP-Address = 192.168.33.220

Framed-IP-Address = 192.168.40.25

NAS-Identifier = "Cisco_33:0d:80"

Airespace-Wlan-Id = 3

Acct-Session-Id = "4846960a/00:19:7d:83:1a:3a/52"

Acct-Authentic = RADIUS

Tunnel-Type:0 = VLAN

Tunnel-Medium-Type:0 = IEEE-802

Tunnel-Private-Group-Id:0 = "30"

Acct-Status-Type = Stop

Acct-Input-Octets = 5099878

Acct-Output-Octets = 5530265

Acct-Input-Packets = 38836

Acct-Output-Packets = 35883

Acct-Terminate-Cause = Lost-Service

Acct-Session-Time = 4150

12/26

Acct-Delay-Time = 0

Calling-Station-Id = "00-19-7d-83-1a-3a"

Called-Station-Id = "00-0b-85-6f-97-a0"

Uwagi do testów.

1. Rozwiązanie przedstawione do testów było zasadniczo przeznaczone do

zewnętrznych zastosowań MESH, ale po zastosowaniu odpowiednich

przewodów uzyskano system analogiczny do stosowanych w typowych

sieciach wewnętrznych.

2. Testowane urządzenia wspierają standard CCKM. Karty wykorzystane w

czasie testów wspierały te rozwiązanie w różnym stopniu.

Testy produkcyjne

Opis: Polegają na sprawdzeniu funkcjonalności urządzeń w ramach pracującej sieci w

kilku obiektach o dużym natężeniu połączeń z siecią eduroam. Obszar testów

jest zależny od ilości udostępnionych do testów urządzeń.

(do 200 użytkowników). Czas trwania - od 7 do 14 dni. Z uwagi na bardzo

sztywne ramy czasowe testu obszar został ograniczony do jednego budynku oraz

mniejszej grupy użytkowników ( 10 osób) test trwał 3 dni.

Cel: sprawdzenie testowanego rozwiązania w środowisku produkcyjnym bez

jakiegokolwiek wpływu osób testujących na użytkowników.

Wykorzystano:

Wszystkie dostępne urządzenia WiFi będące w posiadaniu grupy losowej

korzystającej z usług sieci eduroam na obszarze objętym testami.

Testowane zagadnienia:

1. Obserwowane są sesje użytkowników i zbierane są ich opinie.

2. Powtarzana jest większość testów wykonanych w środowisku laboratoryjnym.

3. Analizowane jest obciążenie systemów, przekazywane komunikaty syslog.

4. Kontrola poprawności współpracy z serwerem DHCP

13/26

Wyniki

L.P. Nazwa Opis testu Karta System Wynik

1

Uwierzytelnianie

TLS Ogólnodostępne

karty na rynku

Windows XP OK.

2 Windows VISTA OK.

3 Symbian OK.

4 Linux OK

5

TTLS Ogólnodostępne

karty na rynku

Windows XP OK.

6 Windows VISTA OK.

7 Symbian OK.

8 Linux OK

9

PEAP Ogólnodostępne

karty na rynku

Windows XP OK.

10 Windows VISTA OK.

11 Symbian OK.

12 Linux OK

13

Obsługa VLAN

Przydzielanie do

VLANów na

podstawie

autoryzacji z

serwera RADIUS

Ogólnodostępne

karty na rynku

Windows XP OK.

14 Windows VISTA OK.

15 Symbian OK.

16 Linux OK

17

Współpraca z

serwerem DHCP

Współpraca z

zewnętrznym

serwerem DHCP

Ogólnodostępne

karty na rynku

Windows XP OK.

18 Windows VISTA OK.

19 Symbian OK.

20 Linux OK

Opinie użytkowników: Testowane rozwiązanie spełnia wymagania większości użytkowników. Nie odnotowano

żadnych uwag krytycznych pod adresem wydajności oraz jakości połączeń w testowanym

modelu.

Obciążenie systemów: Podczas testów nie zaobserwowano problemów wydajnościowych.

14/26

Konfiguracja testowanego kontrolera oraz wykorzystanych AP

Kontroler jest urządzeniem mającym na celu koordynację pracy AP w sieci oraz

umożliwienie ich sprawnego rekonfigurowania i zarządzania.

Opisywane urządzenie posiada wbudowane 4 porty ethernetowe oraz złącze RS232.

Testowane rozwiązanie opiera się na rozwiązaniu Mesh . Podejście to ogranicza

wykorzystanie sieci szkieletowej, w której podłączenie AP do sieci odbywa się poprzez

Ethernet. Wykorzystujemy w nim dodatkową antenę pracującą w standardzie 802.11a do

połączenia między AP podczas gdy antena pracująca w standardzie 802.11 b/g obsługuje

użytkowników. Niewątpliwą zaletą tego rozwiązania jest możliwość ustawienia urządzeń w

dowolnym miejscu będącym w zasiągu innego już pracującego AP wykorzystując wyłącznie

gniazdko elektryczne. Minusem tego rozwiązania jest nieduża skuteczność wewnątrz

budynków oraz stosunkowo niewielka odległość jaka może być pomiędzy AP dodatkowo

każde oddalenie od punktów podłączonych do Ethernetu tzw. AP-RAP powoduje

zmniejszenie skutecznej przepustowości sieci o 50%.

Schemat 2

15/26

Opis konfiguracji modelu testowego eduroam

Z uwagi na wysoką zgodność dostępnych opcji konfiguracji dostępnych w CLI jak i poprzez

przeglądarkę WWW dalszą konfigurację przeprowadzimy poprzez przeglądarkę.

Po zalogowaniu otrzymujemy następujący widok:

Okno podzielone jest na 3 części.

Część 1 - u góry strony, menu główne służące do konfiguracji, zarządzania oraz

monitorowania działania systemu.

Część 2 – z lewej strony, menu podrzędne zawierające opcje dostępne po podkonaniu

wyboru w menu głównego.

Część 3 – po środku, obszar roboczy, gdzie prezentowane są wybrane opcje z menu

bocznego.

.

Rysunek 1.

16/26

Wybieramy z menu głównego „CONTROLLER” oraz z bocznego „Interfaces”

Jak widać na Rysunekunku mamy już skonfigurowane statycznie 3 interfejsy.

Interfejs ap-manager służy do komunikacji z AP możemy ustawić dowolny VLAN

oraz IP.

Interfejs management służy do komunikacji kontrolerem możemy ustawić dowolny

VLAN oraz IP niezależne od ustawień w ap-manager

Interfejs virtual – nie zmieniamy.

Wybieramy opcję NEW i konfigurujemy dynamiczne interfejsy skorelowane z używanymi

przez nas VLANami.

Rysunek 2.

Rysunek 3.

17/26

Wybieramy Apply

Kontroler wymaga by w każdym Vlanie był skonfigurowany statyczny nr IP wykorzystywany

do komunikacji z serwerem dhcp. Podajemy również fizyczny nr portu oraz statyczny adres

serwera DHCP, który wykorzystujemy w sieci.

Powtarzamy ostatnie 2 kroki dla wszystkich VLANów jakie będziemy użytkowali.

Po zakończeniu wprowadzania otrzymamy okno:

Rysunek 4.

Rysunek 5.

18/26

Następnie konfigurujemy serwery RADIUS. Wybieramy z menu głównego SECURITY a z

menu bocznego AAA -> Radius -> Authentication

W Call Stadion ID Type zmieniamy na AP MAC Address a następnie wybieramy NEW:

Rysunek 6.

Rysunek 7.

19/26

Wypełniamy dane i APPLY. Po zakończeniu wpisywania serwerów otrzymujemy następujące

okno:

Następnie konfigurujemy serwery RADIUS. Wybieramy z menu głównego SECURITY a z

menu bocznego AAA -> Radius -> Accounting

Rysunek 8.

Rysunek 8.

20/26

Wybieramy NEW:

Wypełniamy dane i APPLY. Po zakończeniu wpisywania serwerów otrzymujemy następujące

okno:

Rysunek 9.

Rysunek 10.

21/26

Przechodzimy teraz do konfiguracji rozgłaszanych SSID. Wybieramy z menu głównego

WLANs a z menu bocznego WLANs

Wybieramy NEW :

Wybieramy APPLY :

Radio Policy ustawiamy na 802b/g only z uwagi na wykorzystanie 802.1 a na połączenia

między AP.

Interface ustawiamy na dowolny VLAN wcześniej skonfigurowany. Jest on w zasadzie

nieistotny z naszego punktu widzenia, ponieważ po autoryzacji Radius decyduje w jakim

Rysunek 11.

Rysunek 12.

Rysunek 13.

22/26

VLANie użytkownik zostanie umieszczony.

Wybieramy zakładkę WLANs -> Edit -> Security -> Layer 2

W opcji Layer 2 Security zaznaczamy opcję WPA+WPA2

W opcji WPA + WPA Parameters pozostawiamy włączone jedynie opcje

WPA Policy, WPA Encryption TKIP

W opcji Auth Key Mgmt wybieramy opcje 802.1x+CCKM

Rysunek 13.

23/26

Wybieramy zakładkę WLANs -> Edit -> Security -> AAA Serwers

W polu Authentication Server przy Server 1 wybieramy nasz główny serwer RADIUS

W polu Authentication Server przy Server 2 wybieramy nasz rezerwowy serwer RADIUS

W polu Accounting Server przy Server 1 wybieramy nasz główny serwer RADIUS

W polu Accounting Server przy Server 2 wybieramy nasz rezerwowy serwer RADIUS

Rysunek 14.

24/26

Wybieramy zakładkę WLANs -> Edit -> Advanced

I zaznaczamy pole Allow AAA Override .

Konfigurujemy SSID konferencja

Rysunek 15.

Rysunek 16.

25/26

Wybieramy APPLY :

Radio Policy ustawiamy na „802b/g only” z uwagi na wykorzystanie 802.1 a na połączenia

między AP.

Interface ustawiamy na VLAN konferencyjny do którego będą kierowani użytkownicy.

W tym momencie jak widać mamy ustawione szyfrowanie. WPA2 Auth(802.1X) .

Ten SSID jest zabezpieczony portalem dostępowym więc rezygnujemy z szyfrowania.

Wybieramy zakładkę WLANs -> Edit -> Security -> Layer 2

W opcji Layer 2 Security zaznaczamy opcję None

Tak skonfigurowany kontroler jest gotowy do pracy.

Rysunek 17.

Rysunek 18.

26/26

Konfiguracja AP.

Access Pointy w rozwiązaniu Mesh dzielimy na 2 grupy.

1. RAP – urządzenia podłączone do sieci ethernetowej do untagged VLAN w którym

skonfigurowany jest interfejs ap-manager. Należy jedynie dopisać urządzenie do

DHCP i AP samodzielnie wyszukuje kontroler i się pod niego podpina. Generalnie nie

mamy dostępu do AP.

2. MAP – urządzenie łączące się do sieci ethernetowej za pośrednictwem aktywnego

AP- RAP. Należy ustawić urządzenie w zasięgu sieci propagowanej przez RAP i

urządzenie samo podepnie się pod kontroler. Nie mamy żadnego bezpośredniego

dostępu do AP.

Rysunekunek 19.