ArnesAAI

Kratek povzetek nastavitev

Uporabljena je vzorčna nastavitev Cisco AP-1130 AG in AP-1240 AG. Navodila pa so uporabna tudi za nastavljanje starejšega modela Cisco AP-1230G. Ker Cisco AP-1230G ne vsebuje radijskega vmesnika za frekvenčno področje A, izpustite ukaze, ki se nanašajo na drug radijski vmesnik (interface Dot11Radio1).
za oddaljeni dostop se uporablja samo SSH, telnet je onemogočen s filtri
odjemalcem je s filtri onemogočeno pošiljanje odgovorov DHCP
Do AP je speljan 802.1Q trunk z vsaj dvema VLANoma, upravljalni (angl. Managment) in VLAN za uporabnike brezžičnega omrežja. Dodati je možno poljubno število VLANov. VLANe je potrebno dodajati tako na radijskem vmesniku (interface Dot11Radio0.<vlan>) kot na vmesniku ethernet (FastEthernet0.<vlan_uporabniki>)
Vedno je potrebno oglaševati omrežje z imenom "eduroam" (nastavitev SSID). Lahko se doda dodatna imena omrežij
Če se omogoči SNMP, mora biti ščiten s filtri IP
Začetne ključe RSA za delovanje storitve SSH se zgenerira z ukazom: crypto key generate rsa. Zgenerirajte ključ velik vsaj 1024 bitov.
V primeru uporabe tujih napajalnikov PoE na stikalu Cisco, dostopovna točka včasih preventivno izklopi radijske oddajnike. Napajanje PoE se da nastaviti tudi z ukazoma:
```
power inline negotiation injector installed
power inline negotiation prestandard source
```

version 12.3 no service pad service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname ap<ime_lokacije> ! enable secret <geslo za nastavljanje naprave> ! username <skrbnisko ime> secret <geslo za dostop do AP> clock timezone CET 1 clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 ip subnet-zero ip domain-name <ime domene, na primer: fakulteta.univerza.si > ip name-server <dns1> ip name-server <dns2> ip name-server <dns3> ! aaa new-model ! aaa group server radius radius_grp server <streznik radius1> auth-port 1812 acct-port 1813 server <streznik radius2> auth-port 1812 acct-port 1813 ! aaa authentication login default local aaa authentication login radius_auth group radius_grp aaa accounting update periodic 600 aaa accounting network default start-stop group radius_grp aaa accounting connection default start-stop group radius_grp aaa session-id common ! dot11 ssid eduroam # Koliko in kateri VLAN je odvisno od varnostne politike # organizacije in postavitve omrezja. vlan <vlan_uporabniki> authentication open eap radius_auth authentication key-management wpa accounting default mbssid guest-mode ! interface Dot11Radio0 no ip address no ip route-cache ! encryption vlan <vlan_uporabniki> mode ciphers aes-ccm tkip ! ssid eduroam ! speed default # kateri kanal bo uporabljen je odvisno od strokovnega ogleda obmocja # (site survey) in ustrezne razmestitve dostopovne tocke channel 1 station-role root dot1x reauth-period 3600 # z vmesnika je potrebno odstraniti bridge-group 1 - namig: bridge-group 254 no bridge-group 254 ! interface Dot11Radio0.<vlan_uporabniki> encapsulation dot1Q <vlan_uporabniki> ip access-group block_client_tx in ip access-group block_client_rx out no ip route-cache no cdp enable bridge-group <vlan_uporabniki> bridge-group <vlan_uporabniki> subscriber-loop-control bridge-group <vlan_uporabniki> block-unknown-source no bridge-group <vlan_uporabniki> source-learning no bridge-group <vlan_uporabniki> unicast-flooding bridge-group <vlan_uporabniki> spanning-disabled ! interface Dot11Radio1 no ip address no ip route-cache ! encryption vlan <vlan_uporabniki> mode ciphers aes-ccm tkip ! ssid eduroam ! speed default # Radijski kanal za 802.11a se mora po predpisih samodjeno spreminjati, # odvisno od zasedenosti radijskega prostora. Nastavitev tu vpliva le # na izbiro zacetnega kanala. channel least-congested # z vmesnika je potrebno odstraniti bridge-group 1 - namig: bridge-group 254 no bridge-group 254 ! interface Dot11Radio1.<vlan_uporabniki> encapsulation dot1Q <vlan_uporabniki> ip access-group block_client_tx in ip access-group block_client_rx out no ip route-cache no cdp enable bridge-group <vlan_uporabniki> bridge-group <vlan_uporabniki> subscriber-loop-control bridge-group <vlan_uporabniki> block-unknown-source no bridge-group <vlan_uporabniki> source-learning no bridge-group <vlan_uporabniki> unicast-flooding bridge-group <vlan_uporabniki> spanning-disabled ! interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto # z vmesnika je potrebno odstraniti bridge-group 1 - namig: bridge-group 254 no bridge-group 254 ! interface FastEthernet0.<vlan za upravljanje omreznih naprav> encapsulation dot1Q <vlan za upravljanje omreznih naprav> # v primeru, da je upravljalni VLAN brez znacke (angl. untagged) dodamo "native": # encapsulation dot1Q <vlan za upravljanje omreznih naprav> native no ip route-cache bridge-group 1 no bridge-group 1 source-learning bridge-group 1 spanning-disabled ! interface FastEthernet0.<vlan_uporabniki> encapsulation dot1Q <vlan_uporabniki> no ip route-cache bridge-group <vlan_uporabniki> no bridge-group <vlan_uporabniki> source-learning bridge-group <vlan_uporabniki> spanning-disabled ! interface BVI1 ip address <naslov IP> <maska upravljalnega omrezja> no ip route-cache ! ip default-gateway <naslov IP prehoda upravljalnega omerzja> no ip http server no ip http secure-server ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag ip radius source-interface BVI1 ! # Kako so nastavljeni filtri je prepusceno organizaciji, napisani so le zahtevani # filtri. Na AP so filtri za omejevanje dostopa med odjemalci (uporabnikov med # seboj) in do AP. Popolnejši filtri so na stikalu. # # - omogocen je sprejem vseh paketov IP razen zahtev DHCP. Tu se lahko po želji # filtrira pakete, namenjene k odjemalcem (promet med odjemalci). ip access-list extended block_client_rx remark === block packets clients can receive === deny udp any eq bootpc any eq bootps permit ip any any remark === block packets clients can receive === # - onemogoci se posiljanje odgovorov DHCP ip access-list extended block_client_tx remark === block packets clients transmit === deny udp any eq bootps any permit ip any any remark === block packets clients transmit === # - omogoci se oddaljeni dostop z SSH samo z omrezja za upravljanje ip access-list extended block_managment_access remark === limit access to AP login === permit tcp <naslov upravljalnega omrezja> <maska omrezja> any eq 22 ip access-list standard block_snmp_access remark === limit access to AP (SNMP and SSH) === permit <naslov IP streznika Eduroam > permit <naslov IP nadzorne postaje> snmp-server community <niz community - geslo SNMP> RO block_snmp_access radius-server attribute 32 include-in-access-req format %i radius-server host <streznik radius1> auth-port 1812 acct-port 1813 key <geslo za radius1> radius-server host <streznik radius2> auth-port 1812 acct-port 1813 key <geslo za radius2> ! control-plane ! bridge 1 route ip ! line con 0 transport preferred ssh line vty 0 4 access-class block_managment_access in transport preferred ssh transport input ssh line vty 5 15 access-class block_managment_access in transport preferred ssh transport input ssh ! ntp server <naslov IP streznika NTP1> ntp server <naslov IP streznika NTP2> end

interface Dot11Radio0.<vlan_uporabniki> # Blokiraj IPv6 bridge-group <vlan_uporabniki> input-type-list 200 bridge-group <vlan_uporabniki> output-type-list 200 ! interface Dot11Radio1.<vlan_uporabniki> # Blokiraj IPv6 bridge-group <vlan_uporabniki> input-type-list 200 bridge-group <vlan_uporabniki> output-type-list 200 ! # Blokiranje protokola IPv6, vsi ostali so dovoljeni access-list 200 deny 0x86DD 0x0000 access-list 200 permit 0x0000 0xFFFF !

Nastavitve Cisco AP-1130, AP-1230, AP-1240

Kratek povzetek nastavitev

Vzorčna nastavitev

Dodatne nastavitve za omrežja brez IPv6