Intézményi üzemeltetésű Sulinet Eduroam AP-k konfigurációja

Innen: KIFÜ Wiki
A lap korábbi változatát látod, amilyen Timar(AT)niif.hu (vitalap | szerkesztései) 2015. augusztus 3., 15:46-kor történt szerkesztése után volt.

Az Eduroam hálózat lehetőséget biztosít arra, hogy a Sulinet Dashboard felületen felvett felhasználók bármilyen, Eduroam SSID-t használó intézményben internet-hozzáféréshez jussanak. Ezzel kapcsolatban felmerültek igények, hogy bármilyen típusú, az intézmény által üzemeltetett eszközzel is megvalósítható legyen ezen hozzáférés. Az alábbi konfiguráció egy Cisco AIR-SAP1602I-E-K9 típusú AP lényegi konfigurációja, mely segítséget nyújthat az intézmény által üzemeltetett eszköz beállításához.

! Cisco típusú eszköz esetén a különféle hitelesítési-, authoricáiós- és logolási művelethez engedélyezni kell az AAA-t (Authentication, Authorization, Accounting)
aaa new-model

! RADIUS szerver csoportot kell létrehozni radius_eduroam néven (bármilyen név csoportnév megfelelő, viszont később tudni kell rá hivatkozni), melybe a lenti két szerver tartozik; konkrét szerver IP definiálása lejjebb  található
aaa group server radius radius_eduroam
 server name radius2.eduroam
 server name radius1.eduroam

! létre kell hozni egy AAA method-listet, ami a fenti Eduroam szerverekre hivatkozik
aaa authentication login eap_eduroam group radius_eduroam

! a lenti beállítással rögzítésre kerülnek a hitelesítés hibák (téves jelszó, téves felhasználói név használata)
! aaa accounting send stop-record authentication failure
! aaa accounting update newinfo


! létre kell hozni egy accounting_eduroam nevű method-listet (szintén bármilyen más fantázianév megfelelő, viszont később tudni kell rá hivatkozni), ami a hálózati tevékenység logolását engedélyezi; ez szintén a radius-szerverekre  hivatkozik
aaa accounting network accounting_eduroam start-stop group radius_eduroam

! beállítjuk, hogy az AP több SSID-t is kezeljen és logoljon (amennyiben az intézménynek van saját SSID-ja az eduroam-on kívül)
dot11 mbssid
dot11 syslog


! létre kell hozni az eduroam nevű SSID-t és úgy beállítani, hogy a RADIUS szervereket használja a hitelesítéshez 
dot11 ssid eduroam
   vlan 101
   authentication open eap eap_eduroam 
   authentication network-eap eap_eduroam 
   authentication key-management wpa version 2
   accounting accounting_eduroam
   mbssid guest-mode

! attól függően, hogy az AP tudja-e a 802.11a-t, attól függően  Dot11Radio0 és/vagy Dot11Radio1 interfészeken is be kell állítani az eduroam vlan titkosítását és az SSID interfészhez történő  hozzárendelését
interface Dot11Radio0 és/vagy Dot11Radio1
 encryption vlan 102 mode ciphers aes-ccm
 ssid eduroam

! hozzá kell rendelni a BVI1 interfészt egy tetszőleges VLAN-hoz, aminek egyeznie kell a fenti dot11 ssid eduroam parancsban megadottakkal
interface Dot11Radio0.101
 encapsulation dot1Q 101
 no ip route-cache
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding

! az AP uplink interfészét is hozzá kell rendelni a BVI1 interfészhez
interface GigabitEthernet0
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
 
! IP adatokkal el kell látni a BVI1 interfészt; a lenti példában DHCP-n keresztül kapja meg a menedzseléshez szükséges IP címet, ami az ap1 kliens-azonosító miatt mindig ugyanaz lesz
interface BVI1
 ip dhcp client client-id ascii ap1
 ip address dhcp
 no ip route-cache

! meg kell adni egy interfészt, amit forrás-címként fog használni az eszköz a radius-szerverrel történő kommunikáláshoz, pl. Loopback0
ip radius source-interface Loopback0

! meg kell adni a legelső sorokban meghatározott radius-szerverek IP-jét, a kommunikációs portokat és a radius-szerver által használt jelszót titkosított formában
radius-server attribute 32 include-in-access-req format %h
radius server radius1.eduroam
 address ipv4 195.111.98.15 auth-port 1812 acct-port 1813
 key 7 1527055501030A07631D300A0A103B5533644C73066158174C0E565C7B676805
radius server radius2.eduroam
 address ipv4 195.111.98.16 auth-port 1812 acct-port 1813
 key 7 097940501C2C363140220102323305650710062C433657420D405C5022372246

! engedélyezzük az STP-t és az IP routolását a BVI1-hez rendelt interfészeken
bridge 1 protocol ieee
bridge 1 route ip
bridge irb

A konfiguráció-részlet kommentek nélkül elérhető itt: Fájl:Eduroam-reszleges-konfiguracio