Autentizace bezdrátových klientů jejich přiřazování do VLAN podle databáze FreeRADIUS

Rozměr: px

Začít zobrazení ze stránky:

Download "Autentizace bezdrátových klientů jejich přiřazování do VLAN podle databáze FreeRADIUS"

Adéla Vávrová
před 8 lety
Počet zobrazení:

1 Autentizace bezdrátových klientů jejich přiřazování do VLAN podle databáze FreeRADIUS Petr Grygárek, RCNA VŠB-TU Ostrava Cisco Aironet 1100 (RADIUS klient) DHCP server (VLAN2) DHCP server (VLAN 1) DHCP server (VLAN3) RADIUS server (VLAN 1) SSID JEDNA (bcast) Linux server SSID DVE SSID TRI Stanice Situace Přístupový bod WiFi je připojen trunk linkou do pevné struktury přepínačů, ke kterém je v jiném místě trunk linkou připojen také Linuxový router, který hostuje DHCP servery pro jednotlivé VLAN a také RADIUS server. Management rozhraní přístupového bodu spadá spolu s RADIUS serverem do společné VLAN (VLAN 1). Pro VLAN 1 je DHCP server zprovozněn přímo na přístupovém bodu. Autentizace bezdrátových klientů probíhá podle MAC adres a klienty lze v rámci ní také explicitně přiřazovat do VLAN. Adresování: VLAN1: /24, Linux router , AP Management , DHCP pool VLAN2: /24, Linux router , DHCP pool VLAN3: /24, Linux router , DHCP pool Konfigurace přístupového bodu Vyjděte z implicitní konfigurace, při níž je aktivována základní podpora IRB (Integrated Routing and Bridging). Nejprve nakonfigurujte IP adresu na virtuální rozhraní BVI1, které bude sloužit jednak pro management a jednak z něj bude AP odesílat dotazy na RADIUS server: interface BVI 1 ip address Dále nakonfigurujte IP adresu RADIUS serveru, porty pro autorizaci a accounting a příslušný šifrovací klíč pro přenos autentizačních dotazů a odpovědí. Klíč můžete vložit v nezašifrované formě (úroveň 7). Dále nadefinujeme způsob autentizace pro přístup do sítě pojmenovaný MAC- LIST, který bude ověřovat právo přístupu u serveru RADIUS:

jiném místě trunk linkou připojen také Linuxový router, který hostuje DHCP servery pro jednotlivé VLAN a také RADIUS server.

2 aaa new-model radius-server host auth-port 1812 acct-port 1813 radius-server key 7 MUJKLIC aaa authentication login MAC-LIST group radius Dále je třeba na přístupovém bodu nakonfigurovat subinterfaces pro jednotlivé VLAN. na přípojce do pevné struktury. Na VLAN 1 bude nativní enkapsulace. interface FastEthernet0.1 encapsulation dot1q 1 native! interface FastEthernet0.2 encapsulation dot1q 2! interface FastEthernet0.3 encapsulation dot1q 3 Analogické subinterfaces pro jednotlivé VLAN musí být nakonfigurovány i na rádiovém rozhraní: interface Dot11Radio0.1 encapsulation dot1q 1 native interface Dot11Radio0.2 encapsulation dot1q 2 interface Dot11Radio0.3 encapsulation dot1q 3 Pomocí samostatných bridge groups přemostěte každou dvojici vzájemně si odpovídajících subinterfaces (rádiového a pevného): interface FastEthernet0.1 bridge-group 1 interface Dot11Radio0.1 bridge-group 1 interface FastEthernet0.2 bridge-group 2 interface Dot11Radio0.2 bridge-group 2 interface FastEthernet0.3 bridge-group 3 interface Dot11Radio0.3 bridge-group 3 Všimněte si, že čísla subinterfaces na rádiovém a Ethernet rozhraní se shodují vzájemně a s čísly použitých VLAN jen pro přehlednost obecně mohou být vzájemně různá, pokud dodržíme správné seskupení do bridge groups a nastavení čísel VLAN příkazem encapsulation dot1q

na přípojce do pevné struktury. Na VLAN 1 bude nativní enkapsulace. interface FastEthernet0.

3 Dále nakonfigurujeme na rozhraní Dot11Radio0 tři SSID a u každého z nich určíme způsob autentizace jako otevřený s testováním MAC adresy přistupujícího klienta způsobem definovaným ve dříve definované autentizační metodě MAC-LIST. U každého SSID dále určíme VLAN, do něhož se budou implicitně přiřazovat stanice asiociované s tímto SSID (pokud pro ně RADIUS server nevrátí číslo VLAN explicitně formou volitelného atributu v tomto případě bude klient přiřazen do příslušné VLAN bez ohledu na to, přes které SSID do sítě vstoupil). SSID JEDNA bude navíc na rádiovém rozhraní propagován broadcastem (příkaz guest-mode). interface Dot11Radio 0 ssid JEDNA vlan 1 authentication open mac-address MAC-LIST guest-mode ssid DVA vlan 2 authentication open mac-address MAC-LIST ssid TRI vlan 3 authentication open mac-address MAC-LIST Nakonec nakonfigurujte DHCP server, který bude přiřazovat IP adresy bezdrátovým klientům ve VLAN1 ip dhcp pool MYPOOL network default-router ip dhcp excluded-address ip dhcp excluded-address Konfigurace VLAN a směrování na Linux routeru Linux router musí mít síťovou kartu podporující 802.1q (prodloužené rámce) a zakompilovánu podporu 802.1q v jádře OS (nejlépe formou modulu 8021q). Dále musí být nainstalována utilita vconfig. Pomocí vconfig vytvořte na rozhraní eth0 logická síťová rozhraní svázáná s jednotlivými VLAN (logická rozhraní vytvořená utilitou vconfig se standardně pojmenovávají podle schematu ethx.v, kde X je číslo Ethernet rozhraní a V číslo VLAN) vconfig add eth0 2 vconfig add eth0 3 Pro VLAN 1 bude využito rozhraní eth0 jako takového a rámce na ní nebudou obsahovat hlavičku 802.1q. Dále pro jednotlivá logická rozhraní nastavte hodnotu příznaku REORDER_HDR (kód příznaku 1), aby se přicházajících rámců odstraňovala hlavička 802.1q. To je nutné pro kompatibilitu s DHCP serverem. vconfig set_flag eth0.2 REORDER_HDR 1 vconfig set_flag eth0.2 REORDER_HDR 2

U každého SSID dále určíme VLAN, do něhož se budou implicitně přiřazovat stanice asiociované s tímto SSID (pokud pro ně RADIUS server nevrátí číslo VLAN explicitně formou volitelného atributu v tomto

4 Přiřazení jednotlivých logických rozhraní k VLAN si můžete ověřit výpisem pseudosouboru /proc/net/vlan/config, statistiky provozu na jednotlivých rozhraních pak výpisem pseudosouboru /proc/net/vlan/<intf>, kde <intf> je jméno příslušného logického rozhraní. Z výpisu se dozvíme číslo asociované VLAN, nastavení příznaků a počty rámců přijatých a vyslaných na logickém rozhraní. Na jednotlivá logická rozhraní nakonfigurujeme obvyklým způsobem IP adresy: ifconfig eth netmask ifconfig eth netmask ifconfig eth netmask Dále musíme povolit směrování paketů mezi rozhraními: echo 1 > /proc/sys/net/ipv4/ip_forward Konfigurace DHCP serverů na Linux routeru Ve funkci DHCP serveru pro VLAN 2 a VLAN 3 použijeme démona dhcpd. Konfigurační soubor dhcpd.conf bude vypadat takto: subnet netmask { range ; option subnet-mask ; option broadcast-address ; option routers ; } subnet netmask { range ; option subnet-mask ; option broadcast-address ; option routers ; } Konfigurace RADIUS serveru Jako RADIUS server použijte volně dostupného serveru FreeRADIUS v implementaci pro OS Linux. Serveru FreeRADIUS nejprve musíme sdělit, kteří RADIUS klienti jsou oprávněni posílat na něj dotazy a nakonfigurovat šifrovací klíč sdílený s každým RADIUS klientem. V našem případě bude RADIUS klientem přístupový bod. Do souboru /etc/freeradius/clients.conf dopíšeme client { secret = MUJKLIC shortname = mojeap nastype = cisco }

Na jednotlivá logická rozhraní nakonfigurujeme obvyklým způsobem IP adresy: ifconfig eth0 1.0.0.1 netmask 255.

5 Dále musíme v souboru /etc/freeradius/users nakonfigurovat seznam stanic (MAC adres), které mají být do sítě vpuštěny. Formát jednotlivých položek je zřejmý z následujícího příkladu pro stanici s MAC adresou f: f Auth-Type := Local, User-Password == " f U každé z položek můžeme volitelně uvést, do které VLAN má být stanice přiřazena. Atributy, které je třeba pro přiřazení do VLAN nastavit, lze nalézt v dokumentaci příslušného modelu přístupového bodu. Cisco Aironet 1100 vyžaduje k autentizační odpovědi pro přiřazení do VLAN připojit IETF atributy číslo 64, 65 a 66 takto: Atribut IETF 64 (Tunnel Type) : VLAN (13) Atribut IETF 65 (Tunnel Medium Type): IEEE 802 (6) Atribut IETF 81 (Tunnel Private Group ID): VLAN-ID Pro přiřazení výše uvedené stanice např. do VLAN 2 tedy modifikujeme přechozí položku takto: f Auth-Type := Local, User-Password == " f Tunnel-Type:1 = 13, Tunnel-Medium-Type:1 = 6, Tunnel-Private-Group-Id:1 = 2 Poznámka: Při vytváření souboru users je třeba dát pozor na nepříjemný fakt, že různí výrobci a různé modely RADIUS klientů zasílají MAC adresu v různém formátu a jako heslo zasílají různé údaje. Uvedený formát zápisu je platný pro Cisco Aironet Po vytvoření všech konfiguračních souborů je třeba FreeRADIUS restartovat (obvykle příkazem /etc/init.d/freeradius restart ). Úspěšný start a načtení konfiguračních souborů je dobré ověřit pohledem do log souboru /var/log/freeradius/radius.log. Konfigurace klienta Uživatel se může asociovat s přístupovým bodem s použitím libovolného na něm nakonfigurovného SSID. Přístupový bod autentizuje každou stanici podle MAC adresy u RADIUS serveru. RADIUS server přístup do sítě povolí nebo zamítne a navíc může poslat volitelný atribut přiřazující MAC adresu daného uživatele do VLAN. Pokud RADIUS server MAC adresu do VLAN nepřiřadí, zůstane stanice ve VLAN svázaném se SSID, přes který se přihlásil. Uživatel bezdrátové stanice, jejíž MAC adresy není v databázi RADIUS serveru explicitně přiřazena VLAN, tak může volbou SSID přistoupit do VLAN podle své volby. Pokud je však k jeho adrese VLAN v databázi definována, je přeřazen do příslušné VLAN bez ohledu na to, přes které SSID do sítě vstoupil. Stanice, jejichž MAC adresy v databázi RADIUS serveru nejsou uvedeny, nejsou do sítě vpuštěny vůbec.

volitelně uvést, do které VLAN má být stanice přiřazena. Atributy, které je třeba pro přiřazení do VLAN nastavit, lze nalézt v dokumentaci příslušného modelu přístupového bodu.

6 Sledování funkce Pro odladění a sledování funkce nakonfigurované sítě je možné démony dhcpd spustit s parametrem -d, freeradius s parametrem -x. Tím zajistíme běh démonů na popředí a výpis debugovacích informací o vyřizovaných požadavcích na standardní výstup. na přístupovém bodu použít příkazy debug radius pro sledování zpráv protokolu RADIUS a příkaz show radius statistics pro zjištění statistik komunikace na protokolu RADIUS. Číslo VLAN, do které byla rádiová stanice přiřazena, můžeme ověřit příkazem show dot11 associations all-client.

na přístupovém bodu použít příkazy debug radius pro sledování zpráv protokolu RADIUS a příkaz show radius statistics pro zjištění

Podobné dokumenty

Konfigurace sítě s WLAN controllerem

Konfigurace sítě s WLAN controllerem Pavel Jeníček, RCNA VŠB TU Ostrava Cíl Cílem úlohy je realizace centrálně spravované bezdrátové sítě, která umožní bezdrátovým klientům přistupovat k síťovým zdrojům