HP Mobility a BYOD workshop Jakub Tikovský
Comware ve verzi 5.20.109, Release 3507P14 iMC ve verzi iMC PLAT 7.0 (E0102) UAM ve verzi iMC UAM 7.0 (E0103) WSM ve verzi iMC WSM 7.0 (E0102)
1|HP Mobility a BYOD
Úvod Následující dokument není oficiální HP dokumentem, ani jej nelze považovat za best practice. Pro úplné pochopení tématu doporučuji absolvování příslušného HP ExpertOne školení. Smyslem tohoto dokumentu je poskytnout návod nastavení nejběžnějších konfiguračních scénářů prováděných na HP Unified Wired and Wireless bezdrátových řešeních ve spojení s management a autentizačním software iMC User Access Manager. Cílem není poskytnout úplný návod do posledního detailu ani návod na základní nastavení bezdrátových kontrolérů a prostředí, ale pouze návody na konkrétní části nastavení týkající se konkrétních služeb.
2|HP Mobility a BYOD
Konfigurační scénář a prostředí V rámci tohoto návodu budou provedeny následující kroky vedoucí ke konkrétním službám. Součástí není základní rutiní příprava zařízení jako např. SSH přístup, VLANy, IP adresy apod. Pro ilustraci je v příloze tohoto dokumentu uvedena konfigurace základních nastavení kontroléru HP 830 zapadající do dále zmiňovaného scénáře, ale jednotlivé kroky nebudou detailně probírány. Kontext veškerých konfigurací bude vycházet ze simulace pobočkové sítě středně velké společnosti sestávající se z 5ti poboček a jednoho datového centra, ve kterém je nainstalován management software iMC s komponentami UAM (User Access Manager) a WSM (Wireless Service Manager). Na každé pobočce je pak přítomen samostaný bezdrátový kontrolér s jedním WIFI AP. Propojení mezi pobočkami je realizováno přímým L2 propojem, každá pobočka a datové centrum centru mají vlastní IP subnet a L3 switch v datovém centru zajišťuje inter-VLAN routing mezi jednotlivými IP subnety. Zapojení celého scénáře je zobrazeno na následujícím obrázku:
DHCP Server Win Domain Controller
DC core switch/router
iMC + UAM + WSM 10.10.10.221
VLAN 1
GigE 1/0/1
HP830 #X GigE 1/0/3
VLAN 3 untagged
AP #X
Pobočka #X
Na každém z kontrolérů jsou konfigurovány následující IP subnety a VLANy (místo X v číslech VLAN použijte číslo pobočky 1-5): VLAN 3 X0 X1 X2 X3
Účel AP management PSK SSID výstup Lokální portál BYOD onboarding BYOD employee
Subnet 192.168.3.0 192.168.X0.0 192.168.X1.0 192.168.X2.0
IP adresa 192.168.3.1 192.168.X0.1 192.168.X1.1 192.168.X2.1
Interface Int. VLAN 3 Int. VLAN X0 Int. VLAN X1 Int. VLAN X2
Alokace adres DHCP server na kontroléru DHCP server na kontroléru DHCP server na kontroléru DHCP relay na WIN server
192.168.X3.0
192.168.X3.1
Int. VLAN X3
DHCP relay na WIN server
3|HP Mobility a BYOD
1
Management
192.168.X4.0
192.168.X4.1
Int. VLAN 1
Statická, default GW 192.168.X4.2
Z hlediska jednotlivých SSID bude v rámci následujícího konfiguračního scénáře nastaveno následující: Název SSID PobockaX_IT PobockaX_Guest PobockaX_BYOD
Výstupní VLAN X0 X1 X2 pro registraci, X3 po registraci
Způsob autentizace WPA2 PSK Web autentizace MAC autentizace + web autentizace + fingerprint = BYOD
Postup konfigurace 1. Seznámení s konfiguračním prostředím HP 830 Unified Wired and Wireless kontrolér je interně tvořen dvěma moduly. První z nich je samotný bezdrátový kontrolér, druhý pak switch s 8mi nebo 24 PoE+ 1GE porty. Po připojení na konzoli zařízení se administrátor ve výchozím stavu dostane na konzoli bezrátového kontroléru. Přepnutí na konzoli integrovaného přepínače a zpět využijte následující příkazy: <830#1_WC>oap connect slot 0 Press CTRL+K to quit. Connected to OAP! <830#1_SW> CTRL + K <830#1_WC> Kontroléry z kategorie Unified Wired and Wireless jsou z hlediska operačního systému vybaveny OS Comware 5 a lze tedy využít znalosti CLI tohoto operačního systému např. z přepínačů či routerů.
2. Seznámení se s předpřipravenou konfigurací v kontroléru Ujistěte se, že fyzická propojení jednotlivých component odpovídají výše uvedenému obrázku zapojení. Pomocí následujících příkazů na kontroléru i integrovaném přepínači si ověřte správnost konfiguraci naznačenou v kapitole „Konfigurační scénář a prostředí“: Ověření nastavení VLAN a VLAN rozhraní na kontroléru i přepínači: <830#1_WC>display vlan all <830#1_WC>display ip interface brief <830#1_SW>display vlan all Ověření nastavení všech DHCP server subnetů:
4|HP Mobility a BYOD
<830#1_WC>display dhcp server tree pool Ověření dostupnosti do DC, resp. ping na iMC server: <830#1_WC>ping 10.10.10.221 Ověření zbytku konfigurace (nastavení systémových jmen odpovídající číslu skupiny, SSH přístup, linkaggregation propojení mezi kontrolérem a integrovaným přepínačem): <830#1_WC>display current-configuration Všimněte si, že v systému je již nakonfigurovaný SSH přístup pro uživatele admin, který lze využít pro vzdálenou správu místo konzole. Zároveň bude zapotřebí při přidávání kontroléru do iMC. Heslo k tomuto účtu je admin.
3. Zavedení kontroléru do centrálního nástroje iMC Nastavte základní SNMP parametry tak, aby bylo možné kontrolér připojit do iMC management nástroje: <830#1_WC> system-view [830#1_WC] snmp-agent community read public [830#1_WC] snmp-agent community write hp [830#1_WC] snmp-agent sys-info version v2c v3 Připojte se pomocí notebooku do VLAN 1. Ve webovém prohlížeči otevřete iMC login page na URL: http://10.10.10.221:8080/imc login údaje: username: PobockaX password: HPpass
5|HP Mobility a BYOD
Pokračujte přidáním kontroléru v sekci Resource->Add Device:
Vyplňte IP adresu kontroléru, SNMP údaje nastavené v předchozích krocích a SSH přihlašovací údaje:
6|HP Mobility a BYOD
Po úspěšném přidání zkontrolujte, že byl kontrolér správně rozeznán jako Wireless device a je vidět typ kontroléru a verze Comware:
7|HP Mobility a BYOD
Ověřte, že zařízení bylo správně rozpoznáno v rámci WSM modulu (Service -> WLAN manager -> Resource Management -> AC list):
4. Připojení AP ke kontroléru, registrace, základní konfigurace Připojte AP do portu GigabitEthernet 1/0/3, který by měl být připraven jako netagovaný ve VLAN 3. V této VLAN je nastaven DHCP server pro adresaci AP. Jakmile bude AP připojeno zapněte automatickou registraci AP v kontroleru: [830#1_WC] wlan auto-ap enable Vytvořte AP model a nastavte automatické generování/čtení sériového čísla AP v rámci registrace: [830#1_WC]wlan ap MojeAP model 425-WW [830#1_WC-wlan-ap-mojeap]serial-id auto Počkejte až se AP zaregistruje. Ověřte následovně: [830#1_WC]dis wlan ap all Total Number of APs configured
:0
Total Number of configured APs connected : 0 Total Number of auto APs connected
:1
AP Profiles State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad C = Config, R = Run, KU = KeyUpdate, KC = KeyCfm M = Master, B = Backup -------------------------------------------------------------------------------AP Name
State Model
Serial-ID
-------------------------------------------------------------------------------cc3e-5fb0-8120
R/M 425-WW
CN30G672M1
8|HP Mobility a BYOD
Plně zaregistrované a funkční AP by mělo mít status R/M. Jakmile se AP plně zaregistruje, převeďte automaticky zaregistrovaná AP do statické konfigurace (trvalé uložení sériového čisla do konfiguračního souboru kontroléru): [830#1_WC]wlan auto-ap persistent all Ověřeni zda jsou AP součástí statické konfigurace [830#1_WC]display current-configuration configuration wlan-ap # wlan ap a048-1c55-d1cd model MSM460-WW id 1 serial-id CN38D332PY radio 1 radio 2 # wlan ap b4b5-2f4f-206a model MSM430-WW id 2 serial-id CN28DWZBG1 radio 1 radio 2 # wlan ap mojeap model MSM460-WW id 3 serial-id auto radio 1 radio 2
Pokud jsou všechna AP součástí statické konfigurace je volitelně možné vypnout proces automatické registrace AP ke kontroleru. [830#1_WC] undo wlan auto-ap enable
9|HP Mobility a BYOD
5. Vytvoření SSID PobockaX_IT V dalších krocích vytvořte SSID se zabezpečením pomocí předsdíleného hesla WPA2. SSID je na kontroléru konfigurováno ve třech krocích. Nejdříve je nutné vytvořit WLAN interface, který definuje především výstupní VLAN a metodu autentizace: [830#1_WC]interface WLAN-ESS10 [830#1_WC-WLAN-ESS10] port link-type hybrid [830#1_WC-WLAN-ESS10] undo port hybrid vlan 1 [830#1_WC-WLAN-ESS10] port hybrid vlan 10 untagged [830#1_WC-WLAN-ESS10] port hybrid pvid vlan 10 [830#1_WC-WLAN-ESS10] port-security port-mode psk [830#1_WC-WLAN-ESS10] port-security tx-key-type 11key [830#1_WC-WLAN-ESS10] port-security preshared-key pass-phrase 12345678 Dále vytvořte wlan service-template, který definuje název SSID, metodu šifrování a je na něj mapován WLAN interface vytvořený v předchozím kroku: [830#1_WC] wlan service-template 10 crypto [830#1_WC-wlan-st-10] ssid PobockaX_IT [830#1_WC-wlan-st-10] bind WLAN-ESS 10 [830#1_WC-wlan-st-10] cipher-suite ccmp [830#1_WC-wlan-st-10] security-ie rsn [830#1_WC-wlan-st-10] service-template enable
V posledním kroku namapujte wlan service-template na konkrétní AP a jeho rádia, popř. na skupinu AP: [830#1_WC]wlan ap cc3e-5fb0-8120 [830#1_WC-wlan-ap-cc3e-5fb0-8120]radio 1 [830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-1]service-template 10 [830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-1]radio enable [830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-1]radio 2 [830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-2]service-template 10 [830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-2]radio enable
10 | H P M o b i l i t y a B Y O D
Během několika vteřin by jste měli na vašem PC vidět nově vytvořené SSID. Připojte se k němu pomocí vytvořeného hesla a ověřte, že jste se dostali do správné VLAN a subnetu. Ověřte připojení klienta v konzoli kontroléru: [830#1_WC]display wlan client verbose
6. Vytvoření SSID PobockaX_Guest, konfigurace lokálního portálu, konfigurace lokálního guest uživatele z CLI a GUI Za účelem vytvoření guest SSID s portálovým ověřováním je na kontroléru vytvořen VLAN interface X1, který bude zakončovat segment pro hosty. Pro portálové ověřování je třeba vytvořit lokální portál a mapovat ho na toto rozhraní: [830#1_WC]portal local-server http [830#1_WC]portal server GUEST ip 192.168.X1.1 [830#1_WC]portal free-rule 11 source ip 192.168.X1.0 mask 255.255.255.0 destination ip 10.10.10.231 mask 255.255.255.255 [830#1_WC]interface vlan X1 [830#1_WC-Vlan-interfaceX1]portal server GUEST method direct V této chvíli by jakýkoliv uživatel jdoucí přes gateway interface VLAN X1 byl vyzván k web autentizaci a ověření heslem. Tak abychom tento připravený portál mohli využít v rámci SSID je třeba už jen vytvořit SSID mapující se právě do této VLAN stejně jako u prvního SSID výše jen s tím rozdílem, že tentokrát nebude vyžadováno PSK heslo: [830#1_WC]interface WLAN-ESS11 [830#1_WC-WLAN-ESS11] port link-type hybrid [830#1_WC-WLAN-ESS11] undo port hybrid vlan 1 [830#1_WC-WLAN-ESS11] port hybrid vlan X1 untagged [830#1_WC-WLAN-ESS11] port hybrid pvid vlan X1 Po vytvoření jednoduchého WLAN interface stačí vytvořit wlan service template a vzájemně namapovat: [830#1_WC] wlan service-template 11 clear [830#1_WC-wlan-st-10] ssid PobockaX_Guest [830#1_WC-wlan-st-10] bind WLAN-ESS 11 [830#1_WC-wlan-st-10] service-template enable A namapovat service template na připojené AP a jeho rádia: [830#1_WC]wlan ap cc3e-5fb0-8120 11 | H P M o b i l i t y a B Y O D
[830#1_WC-wlan-ap-cc3e-5fb0-8120]radio 1 [830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-1]service-template 11 [830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-1]radio 2 [830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-2]service-template 11 Nyní ověřte, že je SSID aktivní, a že v případě zadání libovolné IP adresy do prohlížeče budete přesměrováni na webový portál a vyzváni k ověření. Dále už je pouze třeba vytvořit guest uživatelský účet což lze řešit minimálně čtyřmi způsoby:
Pomocí příkazové řádky kontroléru Ve webovém rozhraní kontroléru Přes iMC Guest Account Manager (GAM) Přes iMC Guest Manager (vyžaduje UAM komponentu, uživatelské účty se vytvářejí přímo v UAM databázi a na kontroléru je konfigurováno vzdálené ověřování právě oproti UAM)
V této ukázce se budeme věnovat prvním dvěma metodám. Pro další dvě doporučuji buď základní dokumentaci iMC, popř. youtube kanál www.youtube.com/imccesky. Vytvoření uživatele v CLI se provádí stejně jako vytváření ostatních uživatelských účtů v rámci OS Comware. Rozdíl je pouze v přiřazení autorizačních atributů a rolí: [830#1_WC]local-user guest1 [830#1_WC-luser-guest1] password simple guest1 [830#1_WC-luser-guest1] authorization-attribute user-role guest [830#1_WC-luser-guest1] service-type lan-access [830#1_WC-luser-guest1] service-type portal Ověřte správnost přidání uživatele pokusem o ověření na webovém portálu kontroléru v SSID PobockaX_Guest. Další metoda obsahuje nejdříve vytvoření uživatelského účtu správce guest účtů, který je dále využíván pro login do speciálního guest management webového rozhraní kontroléru kde jsou dále generovány uživatelské účty v grafickém prostředí: [830#1_WC]local-user guestmanager New local user added. [830#1_WC-luser-guest1] password simple guestmanager [830#1_WC-luser-guest1] authorization-attribute level 3 [830#1_WC-luser-guest1] authorization-attribute user-role guest-manager [830#1_WC-luser-guest1]service-type web 12 | H P M o b i l i t y a B Y O D
Připojte se na webové rozhraní kontroléru a do login údajů zadejte výše uvedený nově vytvořený účet. Při správné konfiguraci by rozhraní mělo vypadat následovně:
Vytvořte guest uživatele guest2 pomocí tohoto rozhraní:
Ověřte jeho funkčnost opět přihlášením na webový portál. Zkontrolujte v příkazové řádce syntax definice uživatele guest2 pomocí webového rozhraní. Jak se liší proti uživateli vytvořeném v předchozím kroku?
13 | H P M o b i l i t y a B Y O D
7. Základní nastavení automatického ladění kanálů a síly signálu, spektrální analýza V tomto kroku nastavte automatické ladění kanálů a síly signálu pomoci funkce Radio Resource Management (RRM): [830#1_WC]wlan rrm [830#1_WC-wlan-rrm]dot11a calibrate-channel self-decisive [830#1_WC-wlan-rrm]dot11bg calibrate-channel self-decisive [830#1_WC-wlan-rrm]dot11a calibrate-power self-decisive [830#1_WC-wlan-rrm]dot11bg calibrate-power self-decisive Zkontrolujte nastavení kanálů a síly signálu: [830#1_WC-wlan-rrm]display wlan ap all radio Total Number of APs configured
:1
Total Number of configured APs connected : 1 Total Number of auto APs connected
:0
AP Radio ------------------------------------------------------------------------------AP Name
Radio ID
Channel
Tx Power (dBm)
------------------------------------------------------------------------------cc3e-5fb0-8120
1
auto(44)
17
cc3e-5fb0-8120
2
auto(11)
16
------------------------------------------------------------------------------Ve výchozím stavu je kalibrační interval, který definuje dobu potřebnou pro analýzu a efektivní změnu 8 minut dlouhý. Při menším počtu AP jako v tomto případě ho lze změnit: [830#1_WC-wlan-rrm]dot11bg calibration-interval 3 [830#1_WC-wlan-rrm]dot11a calibration-interval 3 Automatické ladění kanálů a síly signálu zajistí mimo jiné i adekvátní reakci na WIFI rušení jak z okolních zdrojů tak mezi AP vzájmně. Pokud je v rámci pokrývané oblasti přítomno také non-WIFI rušení je vhodné zajistit i adekvátní reakci systému na toto rušení. Aktivujte spektrální analýzu jak globálně tak na jednoltivých AP: [830#1_WC-wlan-rrm]dot11a spectrum-analysis enable [830#1_WC-wlan-rrm]dot11bg spectrum-analysis enable
14 | H P M o b i l i t y a B Y O D
[830#1_WC-wlan-rrm]quit [830#1_WC] wlan ap cc3e-5fb0-8120 [830#1_WC-wlan-ap-cc3e-5fb0-8120]radio 1 [830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-1] spectrum-analysis enable [830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-1] radio 2 [830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-2] spectrum-analysis enable Takto nastavená spektrální analýza pouze detekuje zdroje non-WIFI rušení. Aby systém reagoval na toto rušení a přeladil rádia na nezarušení kanál je třeba zapnout reakci DFS (dynamic frequency selection) na toto rušení: [830#1_WC-wlan-rrm] dot11a calibrate-channel track spectrum-analysis [830#1_WC-wlan-rrm] dot11bg calibrate-channel track spectrum-analysis
8. BYOD V rámci tohoto kroku nakonfigurujte SSID pro BYOD službu. BYOD služba je založena na spolupráci bezdrátového kontroléru a iMC UAM. Na kontroléru bude vytvořeno SSID s MAC autentizací přičemž při připojení nového (v rámci BYOD nezaregistrovaného) klienta na SSID dojde k dynamickému přiřazení klienta do registrační VLAN, ve které je implementována externí portálová autentizace vynucující ověření klienta na webovém rozhraní BYOD UAM portálu. Po ověření klienta jeho uživatelskými údaji je z UAM na kontrolér poslán CoA atribut, který změní v rámci autentizační session výstupní VLAN klienta, která je již bez portálové autentizace a nabízí politikou definovanou službu. Politika není založena jen na uživateslkém účtu klienta, ale také na typu zařízení, se kterým se do sítě připojuje. Pro účely externí MAC autentizace vytvořte RADIUS schéma nastavené tak aby ověřovalo klienty proti iMC UAM v datovém centru: [830#1_WC] radius scheme uam [830#1_WC-radius-uam] server-type extended [830#1_WC-radius-uam]primary authentication 10.10.10.221 [830#1_WC-radius-uam]primary accounting 10.10.10.221 [830#1_WC-radius-uam]key authentication simple secret [830#1_WC-radius-uam]key accounting simple secret [830#1_WC-radius-uam]user-name-format without-domain Dále zvolíme výše uvedené schéma jako metodu pro ověřování přístupu k síti v doméně BYOD: [830#1_WC] domain byod [830#1_WC-isp-byod]authentication lan-access radius-scheme uam 15 | H P M o b i l i t y a B Y O D
[830#1_WC-isp-byod]authorization lan-access radius-scheme uam [830#1_WC-isp-byod]accounting lan-access radius-scheme uam [830#1_WC-isp-byod]access-limit disable Vytvořenou doménu BYOD nastavte jako výchozí pro celý system, včetně MAC autentizace: [830#1_WC]domain default enable byod [830#1_WC]mac-authentication domain byod Následně nakonfigurujte další, v našem labu již druhý portál. V tomto případě však bude externí (na iMC UAM) a konkrětně bude přesměrovávat uživatele na BYOD onboarding stránku UAM portálu. Je třeba také vytvořit pravidlo (free rule), které ještě před autentizací dovolí právě komunikaci uživatele na tento portál (10.10.10.221) a DHCP přidělení IP adresy (10.10.10.224): [830#1_WC]portal server byod_onboarding ip 10.10.10.221 key simple secret url http://10.10.10.221:8080/byod [830#1_WC]portal free-rule 0 source ip 192.168.X2.0 mask 255.255.255.0 destination ip 10.10.10.221 mask 255.255.255.255 [830#1_WC]portal free-rule 1 source ip 192.168.X2.0 mask 255.255.255.0 destination ip 10.10.10.224 mask 255.255.255.255 [830#1_WC]portal free-rule 2 source ip 192.168.X2.0 mask 255.255.255.0 destination ip 10.10.10.231 mask 255.255.255.255 Aby mohla v rámci BYOD onboarding a fingerprinting procesu proběhnout identifikace typu operačního systému, je nutné, aby BYOD systém dostal data o DHCP options požadovaných jednotlivými klientskými zařízeními. Aby jste toho dosáhli, je třeba pro byod onboarding VLAN zajistit DHCP realay na externí DHCP server, na kterém je nainstalován speciální DHCP plugin, který tyto informace odešle do iMC UAM. I když to není nezbytně nutné, použijte DHCP relay nejen pro BYOD onboarding VLAN, ale také pro BYOD employee VLAN, která bude přiřazena BYOD uživateli po úspěšném zalogování: [830#1_WC]dhcp relay server-group 0 ip 10.10.10.224 [830#1_WC]interface Vlan-interface X2 [830#1_WC-Vlan-interfaceX2]dhcp select relay [830#1_WC-Vlan-interfaceX2]dhcp relay server-select 0 [830#1_WC-Vlan-interfaceX2]portal server byod_onboarding method direct [830#1_WC-Vlan-interfaceX2]interface Vlan-interface X3 [830#1_WC-Vlan-interfaceX3]dhcp select relay [830#1_WC-Vlan-interfaceX3]dhcp relay server-select 0 Nyní vytvořte WLAN interface a WLAN service-template jako už jste to dělali v přechozích bodech. Tento případ se liší pouze zapnutím a mac autentizace na WLAN interface a dynamického přiřazení VLAN: [830#1_WC]interface WLAN-ESS 12 16 | H P M o b i l i t y a B Y O D
[830#1_WC-WLAN-ESS12]port link-type hybrid [830#1_WC-WLAN-ESS12]undo port hybrid vlan 1 [830#1_WC-WLAN-ESS12]port hybrid pvid vlan X2 [830#1_WC-WLAN-ESS12]mac-vlan enable [830#1_WC-WLAN-ESS12]port-security port-mode mac-authentication
[830#1_WC]wlan service-template 12 clear [830#1_WC-wlan-st-12]ssid PobockaX_BYOD [830#1_WC-wlan-st-12]bind WLAN-ESS 12 [830#1_WC-wlan-st-12]service-template enable V této chvíli je konfigurace BYOD na kontroléru jako takovém hotova. Nyní je třeba nastavit také iMC. Začněte korektním nastavením vašeho kontroléru jako povoleného přístupového zařízení v iMC UAM:
17 | H P M o b i l i t y a B Y O D
Nezapomňte vyplnit stejný sdílený klíč jako v rámci nastavení kontroléru:
18 | H P M o b i l i t y a B Y O D
Nyní bude možné ověřovat MAC adresy oproti centrální databázi iMC. iMC UAM je již částečně přednastaveno pro využití BYOD funkcionality. Je zde vytovřen defaultní BYOD uživatel k němuž jsou přiřazeny veškeré nové neznámé MAC adresy, které se snaží o ověření. Poté co jsou ověřeny, dostávají se do VLAN přidělené právě tomuto default uživateli. Tato VLAN je právě vaše byod onboarding VLAN. Ujistěte se prosím výpisem konfigurace kontroléru, že VLAN X2 má správně nastaveno jméno BYOD_onboarding (včetně zachování velkých a malých písmen). Pro nastavení kompletní BYOD funkcionality pro vaši pobočku je třeba vytvořit:
Přístupovou politiku definující výstupní VLAN a dle potřeby i jiné atributy. Volitelné podmínky připojení jako je např. povolený typ operačního systému, názve SSID či časové rozmezí, ve kterém se uživatel smí autentizovat. Přístupovou službu, která je dále mapována na uživatele a kombinuje v sobě podmínky přístupu pro uživatele a právě přístupovou politiku, tedy akce. Uživatelskou identitu, kterou budete používat pro autentizaci.
Začněte přístupovou politikou:
19 | H P M o b i l i t y a B Y O D
Napamujte správnou výstupní VLAN jejíž jméno se shoduje s názvem VLAN X3 na vašem kontroléru:
Dále vytvořte takovou podmínku, která z hlediska typu operačního systému přístupového zařízení povolí přístup vašemu notebooku, ale nepovolí přístup vašemu mobilnímu telefonu. Tedy vytvořte skupinu povolující zvolený desktop OS:
20 | H P M o b i l i t y a B Y O D
21 | H P M o b i l i t y a B Y O D
V dalším kroku vytvořte přístupovou službu, ve které zkombinujete výsledky předchozích kroků:
22 | H P M o b i l i t y a B Y O D
Uložte nastavení přístupového scénáře i nastavení přístupové služby. V dalším kroku vytvořte nového uživatele a tuto službu mu přiřaďte:
23 | H P M o b i l i t y a B Y O D
24 | H P M o b i l i t y a B Y O D
V této chvíli se ověřte funkčnost nastavení. Připojte se z vašeho notebooku na SSID PobockaX_BYOD. Po připojení by jste měli dostat IP adresu z VLAN X2 a při otevření webového prohlížeče a zadaní libovolné IP adresy (v reálném nasazení samozřejmě i webové adresy, ale zde nemáme zaveden DNS server) budete přesměrováni na BYOD portál. Po zadání uživatelského jména a hesla vytvořeného v posledním kroku vám bude prezentován výsledek rozeznání typu a OS vašeho zařízení a budete převedení z onboarding VLAN do finální VLAN daného uživatele s jiným IP subnetem. Ověřte, že se tak stalo. Postup opakujte s mobilním telefonem či jiným operačním systémem než v prvním kroku a zjistěte jaký je výsledek pokusu o připojení.
9. Lokální forwarding dat z AP do VLAN Ve všech předchozích konfiguračních krocích jste využívali standardní centralizovaný forwarding dat na kontroléru, při kterém jsou data na AP nejdříve zabalena do LWAPP tunelu, následně poslána na kontrolér a na něm teprve probíhá bridging z LWAPP do ethernetu. Tento mód má své výhody i nevýhody a proto si v tomto kroku vyzkoušejte změnit v předchozím kroku vytvořené SSID „PobockaX_IT“ právě do tohoto módu. V první řadě je třeba připravit port přepínače, do kterého je AP připojeno do trunk módu, povolit příslušné VLANy a nastavit dosavadní AP management VLAN 3 jako PVID (native VLAN) na trunku. Jako VLAN, do které budete lokálně forwardovat si připravte novou VLAN 4 (následuje sekvence příkazů z integrovaného switch modulu): [830#1_SW] vlan 4 [830#1_SW-vlan4]name lokalni forwarding [830#1_SW-vlan4]quit [830#1_SW]interface GigabitEthernet 1/0/3 [830#1_SW-GigabitEthernet1/0/3] port link-type trunk [830#1_SW-GigabitEthernet1/0/3] port trunk permit vlan 3 to 4 [830#1_SW-GigabitEthernet1/0/3] undo port trunk permit vlan 1 [830#1_SW-GigabitEthernet1/0/3] port trunk pvid 3 Pro nově vytvořenou VLAN nakonfigurujeme také VLAN L3 interface, na kterém ji zakončíme. Vzhledem k tomu, že to bude VLAN čistě lokálního charakteru, zvolte si IP adresu z libovolného subnetu [830#1_SW]interface Vlan-interface 4 [830#1_SW-Vlan-interface4]ip address 192.168.15.1 24 Aby klienti, kteří se připojí do této VLAN dostali IP adresu, je třeba připravit do této VLAN i DHCP server se základními parametry. 25 | H P M o b i l i t y a B Y O D
[830#1_SW] dhcp enable [830#1_SW] dhcp server ip-pool local_forward [830#1_SW-dhcp-pool-local_forward] network 192.168.15.0 24 Jakmile budete mí připraveny výše uvedené základní nastavení infrastruktury, přejděte k samotnému nastavení lokálního forwardingu. V první řadě je nutné provést provisioning AP tak, aby AP na svém portu také využívalo tagovanou VLAN 4. to provedete provisioningem v rámci AP template: [830#1_WC]wlan ap cc3e-5fb0-8120 [830#1_WC-wlan-ap-cc3e-5fb0-8120]provision [830#1_WC-wlan-ap-cc3e-5fb0-8120-prvs]vlan tagged 4 Jakmile jsou parametry AP nastaveny, je třeba uložit provisioning konfiguraci a AP restartovat: <830#1_WC>save wlan ap provision all <830#1_WC>reset wlan ap all Vyčkejte než AP dokončí reboot a následně příkazem zobrazujícím stav všech AP zjistěte jestli je ve stavu Run (R/M). V některých případech je třeba po rebootu zkontrolovat jestli provisioning proběhl správě a jestli se nastavenení provedená na kontroléru opravdu projevila v konfiguračním souboru AP. Na AP se ovšem v době kdy už je registrováno ke kontroléru nelze připojit žádnou ze standardních metod, a proto pro tento případ použijte skryté příkazy v příkazové řádce kontroléru. Jedná se o skrytý mód, který není standardně využíván ani dokumentován a běžně slouží pouze pro účely servisních zásahů. Využijeme z něj ale pouze dva bezpečné příkazy, které dovolí vzdálené či lokální připojení přímo na AP a kontrolu jeho konfigurace. Nejdříve vstupte do módu skrytých konfiguračních příkazů, a poté povolte autonomní správu z příkazové řádky a telnet server: [830#1_WC]_h [830#1_WC-hidecmd]wlan ap-execute cc3e-5fb0-8120 exec-control enable [830#1_WC-hidecmd]wlan ap-execute cc3e-5fb0-8120 telnet enable Nyní bude možné připojení telnetem bez jakékoliv autentizace přímo na IP adresu AP a revize konfigurace např. pomocí příkazu display current configuration. Zkontrolujte jestli je zavedena VLAN 4 a jestli je GigabitEthernet port 1 nastaven tak aby tagoval do VLAN 4. Nyní stačí už jen přenastavit WLAN na daném WLAN interface ESS do VLAN 4 a zapnout lokální forwarding na daném WLAN service template: [830#1_WC] wlan service-template 10 [830#1_WC-wlan-st-10] client forwarding-mode local vlan 4 Jakmile dokončíte konfiguraci, zkuste se připojit na vámi upravené SSID, zkontrolovat přiřazenou IP adresu a tím ověřit, že jste ve správé, lokálně distribuované sítě. 26 | H P M o b i l i t y a B Y O D
10. Doplňková aktivita V případě, že vám zbyde čas můžete vyzkoušet další oblasti. V tomto případě spíše intutivně bez detailního návodu:
Customizace BYOD onboarding page a její přiřazení na vámi vytvořenou přístupovou službu v předchozích krocích. Kde: iMC -> User -> User Access Policy -> Customize terminal pages -> BYOD page. Následné přiřazení přímo v natavení Access Service viz. Předchozí body. Následně otestujte znovu na BYOD SSID. Vytvoření mapy lokality, plánování pokrytí signálem, rozložení AP. Kde: iMC -> Service -> WLAN Manager -> View Management -> Location View -> Add -> View Topology Automatizace zapínání a vypínaní rádií/SSID/celých AP. iMC -> WLAN Manager -> Energy Policy Management -> Add Přidávání guest portálových uživatelů z iMC GAM
27 | H P M o b i l i t y a B Y O D
