Základní konfigurace přístupového bodu rádiové sítě pomocí CLI Přemosťování provozu do pevné struktury. Aautentizace a zabezpečení pomocí WEP. Paralelní vysílání několika SSID a přemosťování asociovaných klientů do zvláštních VLAN. Martin Milata, RCNA VŠB-TU Ostrava
Obr. 1 Topologie sítě
Modelová situace Do lokální struktury pevné počítačové sítě je přístupový bod WiFi připojen pomocí trunk linky. Management rozhraní přístupového bodu spadá, do speciálně pro účely managementu vyhrazené, VLAN (VLAN 10) s adresním rozsahem 10.10.0.0/24. Mobilní klienti mají možnost přistupovat k této síti s SSID jménem „sprava“, které není viditelné, na základně autentizace pomocí předsdíleného 128bitového klíče. Pro autentizovaný přístup k bezdrátové síti s SSID „zam“, která je mapována na VLAN 20 a náleží do adresního rozsahu 10.20.0.0/24, je rovněž použito předsdíleného 128bitového klíče. Bezdrátová síť s SSID „host“ je přístupná bez autentizace a je mapována na VLAN 30. Patří ji adresní rozsah 10.30.0.0/24. SSID obou sítí (zam, host) jsou pro bezdrátové klienty viditelné. Modelová situace dále zahrnuje jeden server ve VLAN 20 a jeden počítač ve VLAN 30 s IP adresami 10.20.0.1/24 resp 10.30.0.1/24 (viz Obr. 1). Management rozhraní přístupového bodu má IP adresu 10.10.0.100/24.
Konfigurace přístupového bodu Spojení s pevnou sítí Pro připojení k pevné počítačové síti je použito rozhraní fastEthernet 0 přístupového bodu. V rámci něj jsou konfigurovány příslušné pod-rozhraní (subinterfaces) pro jednotlivé VLAN s enkapsulací 802.1q. ap(config-if)#interface fastEthernet 0 ap(config-if)#no shutdown ap(config)#interface fastEthernet 0.10 ap(config-subif)#encapsulation dot1Q 10 ap(config-subif)#bridge-group 1 ap(config)#interface fastEthernet 0.20 ap(config-subif)#encapsulation dot1Q 20 ap(config-subif)#bridge-group 20 ap(config)#interface fastEthernet 0.30 ap(config-subif)#encapsulation dot1Q 30 ap(config-subif)#bridge-group 30
Protože přístupový bod plní funkci virtuálního mostu (bridge) mezi rozhraními rádiové a pevné sítě, nejsou pod-rozhraním rozhraní fastEthernet0 přiřazeny IP adresy. Přiřazení subinterface k jednotlivým virtuálním mostům je provedeno příkazem ap(config-subif)# bridge-group <číslo mostu>.
Použitím stejného příkazu bude později provedeno přidání rádiového rozhraní k virtuálnímu mostu a tím provedeno přemostění provozu mezi pevnou a rádiovou sítí. Čtenář si může povšimnout, že čísla rozlišující subinterface, čísla VLAN a čísla mostů (bridge) jsou pro přehlednost stejná. Výjimku tvoří subinterface fastEthernet 0.10, jenž je přiřazeno do mostu (bridge) 1, které zároveň slouží jako management rozhraní přístupového bodu.
Konfigurace management rozhraní přístupového bodu Pro účely vzdáleného managementu AP slouží rozhraní (Bridge-Group Virtual Interface) BVI 1, které, jak již číslo v jeho názvy napovídá, náleží k virtuálnímu mostu 1. Abychom mohli k AP vzdáleně přistupovat je potřeba tomuto rozhraní přiřadit IP adresu. ap(config)# interface BVI 1 ap(config-if)# ip address 10.10.0.100 255.255.255.0
Počáteční konfigurace AP také nedovoluje vzdálený přístup. Ten je nutno v případě potřeby explicitně povolit. Například pro přístup k AP pomocí telnetu: ap(config)# line vty 0 ap(config-line)# login ap(config-line)# password 0 Cisco
Konfigurace bezdrátové sítě Globální konfigurace rádiového rozhraní Konfigurace minimálního vysílacího výkonu (pro laboratorní účely) na rádiovém rozhraní se provede pomocí příkazů: ap(config)#interface dot11Radio 0 ap(config-if)#power local cck 1 ap(config-if)#power local ofdm 1 ap(config-if)#power client local
Poslední příkaz říká bezdrátovým klientům, aby svůj vysílací výkon přizpůsobili symetricky k vysílacímu výkonu. Výběr kanálu, na kterém bude bezdrátová síť provozována, může být realizován automaticky nebo definován manuálně pomocí příkazů ap(config-if)#channel least-congested resp. ap(config-if)#channel
Přemostění provozu mezi pevnou a rádiovou sítí Na základě předchozí konfigurace má každý virtuální most přiřazen jeden subinterface fyzického rozhraní fastEthernet 0. Aby mohl být provoz jednotlivých VLAN přemosťován mezi rádiovou a pevnou sítí, je potřeba k virtuálním mostům přiřadit také rádiová rozhraní. Analogicky k fastEthernet 0 rozhraní se i zde bude jednat o subinterfaces rádiového rozhraní Dot11Radio 0. ap(config)#interface dot11Radio 0.10 ap(config-subif)#encapsulation dot1Q 10 ap(config-subif)#bridge-group 1 ap(config)#interface dot11Radio 0.20 ap(config-subif)#encapsulation dot1Q 20 ap(config-subif)#bridge-group 20 ap(config)#interface dot11Radio 0.30 ap(config-subif)#encapsulation dot1Q 30 ap(config-subif)#bridge-group 30
Jak bude vidět dále, příkaz ap(config-subif)#encapsulation dot1Q <číslo VLAN>
na rádiovém rozhraní zprostředkovává vazbu mezi rádiovým subinterface a SSID nebo požadavky na autentizaci a šifrování pro jednotlivé šířené rádiové sítě.
Konfigurace SSID rádiové sítě Pokud zamýšlíme mít více než jedno SSID viditelné pro bezdrátové klienty, je potřeba zadat příkaz ap(config)#dot11 mbssid
Následně nakonfigurujeme jednotlivá SSID. Konfigurace SSID nenese jen přiřazení jména šířené rádiové sítě, ale také její vlastnosti (způsob autentizace, viditelnost SSID, VLAN se kterou je dané SSID asociováno, maximální počet současně asociovaných klientů a další): ap(config)#dot11 ssid sprava ap(config-ssid)#authentication shared ap(config-ssid)#vlan 10 ap(config-ssid)#max-associations 10 ap(config)#dot11 ssid zam ap(config-ssid)#authentication shared ap(config-ssid)#mbssid guest-mode ap(config-ssid)#vlan 20 ap(config-ssid)#max-associations 10 ap(config)#dot11 ssid host ap(config-ssid)#authentication open ap(config-ssid)#mbssid guest-mode ap(config-ssid)#vlan 30 ap(config-ssid)#max-associations 10
Pro všechny tři SSID je maximální počet souběžně asociovaných klientů omezen na 10. Pomocí příkazu ap(config-ssid)#mbssid guest-mode
jsou SSID sítí zam a host pro klienty zviditelněná. Příkaz authentication share resp. open nařizuje klientům se před asociací s AP autentizovat (WEP klíčem), resp. autentizaci nevyžaduje. Přiřazením SSID na rádiové rozhraní Dot11Radio 0 se provede příkazy: ap(config-if)#ssid sprava ap(config-if)#ssid zam ap(config-if)#ssid host
v konfiguračním režimu rozhraní Dot11Radio 0. Zabezpečení bezdrátové sítě bude realizováno pomocí WEP. Pro sítě, u nichž vyžadujeme autentizaci, bude také vynuceno šifrování provozu mezi AP a klientským zařízením. V tomto případě se jedná o sítě sprava a zam spojené s VLAN 10 a VLAN 20. Vynucení šifrování dat a nastavení předsdíleného klíče pro šifrování a autentizaci provedeme příkazy: ap(config-if)#encryption vlan 10 mode wep mandatory ap(config-if)# encryption vlan 10 key 1 size 128bit 0 12345678901234567890123456 ap(config-if)#encryption vlan 20 mode wep mandatory ap(config-if)# encryption vlan 20 key 1 size 128bit 0 12345678901234567890123456
Jak je z konfigurace vidět, předsdílený klíč se zadává jako 26 hexadecimálních znaků. V obou případech je jeho délka 128bitů a je nastaven na sekvenci „12345678901234567890123456“. Tuto bude pro připojení k zabezpečeným sítím potřeba zadat na straně bezdrátového klienta spolu s SSID.
Konfigurace bezdrátového klienta Pro přístup do bezdrátové sítě host je na straně klienta vyžadována pouze výběr SSID a konfigurace IP adresy z příslušného rozsahu (v síti není k dispozici DHCP server). Po konfiguraci SSID se klient asociuje s přístupovým bodem. Autentizace není vyžadována. Pro síť zam je vzhledem k vynucenému zabezpečení pomocí WEP a autentizaci navíc potřeba nastavit předsdílený klíč. Bez jeho konfigurace se klient není schopen s AP asociovat. Pro přístup k síti sprava klient navíc musí manuálně zadat SSID sítě (SSID není viditelné a tedy jej nelze snadno vybrat z nabízených možností). Předsdílený klíč vynucený v rámci WEP zabezpečení a autentizace je u této sítě rovněž nutný.
Ukázková konfigurace linuxového bezdrátového klienta Předpokládejme, že klient používá rozhraní eth1 pro bezdrátovou WiFi komunikaci.
Nalezení dostupných bezdrátových sítí Pokud nemáme v k dispozici GUI, které by dostupné sítě znázornilo graficky i s možnostmi jejich snadné konfigurace, můžeme použít pro výpis dostupných sítí v textové konzoli příkaz: #iwlist eth1 scanning
Jeho výstupem je seznam dostupných bezdrátových sítí.
Připojení k bezdrátové sítí Proces připojení k bezdrátové síti můžeme v tomto případě realizovat pomocí dvou příkazů příkazu iwconfig pro konfiguraci parametrů bezdrátové sítě (SSID, kanál, předsdílený klíč, …) a příkazu ifconfig pro konfiguraci IP adresy klientského zařízení. Následují příklady konfigurace bezdrátového klienta pro přístup do jednotlivých sítí. VLAN host iwconfig eth1 essid “host“ ifconfig eth1 10.30.0.10 netmask 255.255.255.0
VLAN zam iwconfig eth1 essid “zam“ key restricted 12345678901234567890123456 ifconfig eth1 10.20.0.10 netmask 255.255.255.0
VLAN sprava iwconfig eth1 essid “sprava“ key restricted 12345678901234567890123456 ifconfig eth1 10.10.0.10 netmask 255.255.255.0
Ověření funkčnosti Ověření, zda se bezdrátový klient s AP asocioval, je možné na základě výpisu asociovaných klientů na přístupovém bodu pomocí příkazu: ap#show dot11 associations [all-client].
Posloužit nám může také (v případě linuxového klienta) příkaz iwconfig
které rovněž poskytuje informace o AP, se kterým se klient asocioval. V závislosti na tom, ve které síti se klient nachází, je vhodné také vyzkoušet dostupnost serveru, počítače nebo rozhraní pro management AP příkazem ping.
