„Intézményi üzemeltetésű Sulinet Eduroam AP-k konfigurációja” változatai közötti eltérés

Innen: KIFÜ Wiki
a (atstrukturalas)
1. sor: 1. sor:
 
Az Eduroam hálózat lehetőséget biztosít arra, hogy a Sulinet Dashboard felületen felvett felhasználók bármilyen, Eduroam SSID-t használó intézményben internet-hozzáféréshez jussanak.
 
Az Eduroam hálózat lehetőséget biztosít arra, hogy a Sulinet Dashboard felületen felvett felhasználók bármilyen, Eduroam SSID-t használó intézményben internet-hozzáféréshez jussanak.
 
Ezzel kapcsolatban felmerültek igények, hogy bármilyen típusú, az intézmény által üzemeltetett eszközzel is megvalósítható legyen ezen hozzáférés.
 
Ezzel kapcsolatban felmerültek igények, hogy bármilyen típusú, az intézmény által üzemeltetett eszközzel is megvalósítható legyen ezen hozzáférés.
 +
 +
==A konfigurációhoz szükséges paraméterek==
 +
# Radius szerver(ek) neve/IP címe: ez a Sulinet Dashboard-on olvasható az ilyen konfigurációt működtető intézmények számára
 +
# VPID specifikus egyedi shared secret: ez a Sulinet Dashboard-on olvasható az ilyen konfigurációt működtető intézmények számára
 +
 +
 +
==Példa konfiguráció Cisco AP-k esetén==
 +
 +
 
Az alábbi konfiguráció egy Cisco AIR-SAP1602I-E-K9 típusú AP lényegi konfigurációja, mely segítséget nyújthat az intézmény által üzemeltetett eszköz beállításához.
 
Az alábbi konfiguráció egy Cisco AIR-SAP1602I-E-K9 típusú AP lényegi konfigurációja, mely segítséget nyújthat az intézmény által üzemeltetett eszköz beállításához.
  
38. sor: 47. sor:
 
  ! attól függően, hogy az AP tudja-e a 802.11a-t, attól függően  Dot11Radio0 és/vagy Dot11Radio1 interfészeken is be kell állítani az eduroam vlan titkosítását és az SSID interfészhez történő  hozzárendelését
 
  ! attól függően, hogy az AP tudja-e a 802.11a-t, attól függően  Dot11Radio0 és/vagy Dot11Radio1 interfészeken is be kell állítani az eduroam vlan titkosítását és az SSID interfészhez történő  hozzárendelését
 
  interface Dot11Radio0 és/vagy Dot11Radio1
 
  interface Dot11Radio0 és/vagy Dot11Radio1
   encryption vlan 102 mode ciphers aes-ccm
+
   encryption vlan 101 mode ciphers aes-ccm
 
   ssid eduroam
 
   ssid eduroam
 
   
 
   
80. sor: 89. sor:
 
  bridge 1 route ip
 
  bridge 1 route ip
 
  bridge irb
 
  bridge irb
 +
 +
 +
== Példa konfigurácio mikrotik AP esetén ==

A lap 2015. szeptember 2., 12:10-kori változata

Az Eduroam hálózat lehetőséget biztosít arra, hogy a Sulinet Dashboard felületen felvett felhasználók bármilyen, Eduroam SSID-t használó intézményben internet-hozzáféréshez jussanak. Ezzel kapcsolatban felmerültek igények, hogy bármilyen típusú, az intézmény által üzemeltetett eszközzel is megvalósítható legyen ezen hozzáférés.

A konfigurációhoz szükséges paraméterek

  1. Radius szerver(ek) neve/IP címe: ez a Sulinet Dashboard-on olvasható az ilyen konfigurációt működtető intézmények számára
  2. VPID specifikus egyedi shared secret: ez a Sulinet Dashboard-on olvasható az ilyen konfigurációt működtető intézmények számára


Példa konfiguráció Cisco AP-k esetén

Az alábbi konfiguráció egy Cisco AIR-SAP1602I-E-K9 típusú AP lényegi konfigurációja, mely segítséget nyújthat az intézmény által üzemeltetett eszköz beállításához.

! Cisco típusú eszköz esetén a különféle hitelesítési-, authoricáiós- és logolási művelethez engedélyezni kell az AAA-t (Authentication, Authorization, Accounting)
aaa new-model

! RADIUS szerver csoportot kell létrehozni radius_eduroam néven (bármilyen név csoportnév megfelelő, viszont később tudni kell rá hivatkozni), melybe a lenti két szerver tartozik; konkrét szerver IP definiálása lejjebb  található
aaa group server radius radius_eduroam
 server name radius2.eduroam
 server name radius1.eduroam

! létre kell hozni egy AAA method-listet, ami a fenti Eduroam szerverekre hivatkozik
aaa authentication login eap_eduroam group radius_eduroam

! a lenti beállítással rögzítésre kerülnek a hitelesítés hibák (téves jelszó, téves felhasználói név használata)
! aaa accounting send stop-record authentication failure
! aaa accounting update newinfo


! létre kell hozni egy accounting_eduroam nevű method-listet (szintén bármilyen más fantázianév megfelelő, viszont később tudni kell rá hivatkozni), ami a hálózati tevékenység logolását engedélyezi; ez szintén a radius-szerverekre  hivatkozik
aaa accounting network accounting_eduroam start-stop group radius_eduroam

! beállítjuk, hogy az AP több SSID-t is kezeljen és logoljon (amennyiben az intézménynek van saját SSID-ja az eduroam-on kívül)
dot11 mbssid
dot11 syslog


! létre kell hozni az eduroam nevű SSID-t és úgy beállítani, hogy a RADIUS szervereket használja a hitelesítéshez 
dot11 ssid eduroam
   vlan 101
   authentication open eap eap_eduroam 
   authentication network-eap eap_eduroam 
   authentication key-management wpa version 2
   accounting accounting_eduroam
   mbssid guest-mode

! attól függően, hogy az AP tudja-e a 802.11a-t, attól függően  Dot11Radio0 és/vagy Dot11Radio1 interfészeken is be kell állítani az eduroam vlan titkosítását és az SSID interfészhez történő  hozzárendelését
interface Dot11Radio0 és/vagy Dot11Radio1
 encryption vlan 101 mode ciphers aes-ccm
 ssid eduroam

! hozzá kell rendelni a BVI1 interfészt egy tetszőleges VLAN-hoz, aminek egyeznie kell a fenti dot11 ssid eduroam parancsban megadottakkal
interface Dot11Radio0.101
 encapsulation dot1Q 101
 no ip route-cache
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding

! az AP uplink interfészét is hozzá kell rendelni a BVI1 interfészhez
interface GigabitEthernet0
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
 
! IP adatokkal el kell látni a BVI1 interfészt; a lenti példában DHCP-n keresztül kapja meg a menedzseléshez szükséges IP címet, ami az ap1 kliens-azonosító miatt mindig ugyanaz lesz
interface BVI1
 ip dhcp client client-id ascii ap1
 ip address dhcp
 no ip route-cache

! meg kell adni egy interfészt, amit forrás-címként fog használni az eszköz a radius-szerverrel történő kommunikáláshoz, pl. Loopback0
ip radius source-interface Loopback0

! meg kell adni a legelső sorokban meghatározott radius-szerverek IP-jét, a kommunikációs portokat és a radius-szerver által használt jelszót titkosított formában
radius-server attribute 32 include-in-access-req format %h
radius server radius1.eduroam
 address ipv4 195.111.98.15 auth-port 1812 acct-port 1813
 key 0 <egyedi shared secret helye>
radius server radius2.eduroam
 address ipv4 195.111.98.16 auth-port 1812 acct-port 1813
 key 0 <egyedi shared secret helye>

! engedélyezzük az STP-t és az IP routolását a BVI1-hez rendelt interfészeken
bridge 1 protocol ieee
bridge 1 route ip
bridge irb


Példa konfigurácio mikrotik AP esetén