podpora a možnosti konfigurace vlan gvrp a autentizace 802...
TRANSCRIPT
Podpora a možnosti konfigurace VLAN GVRP a autentizace 802.1x na
DSLAM Zyxel IES-1000
Petr Ličman Tomáš Horčičák Martin Walach
Abstrakt: Práce je zaměřena na popis možností a konfigurace ADSL DSLAMu Zyxel IES-1000 v oblasti statických VLAN, dynamické registrace do VLAN pomocí GVRP, a autentizace portu pomocí 802.1x
Klíčová slova: VLAN, GVRP, 802.1x, autentizace, DSLAM, ADSL
1 Úvod.............................................................................................................................2 1.1 VLAN a GVRP ....................................................................................................2
1.1.1 VLAN ...........................................................................................................2 1.1.2 GVRP............................................................................................................2
1.2 Autentizace 802.1x................................................................................................3 1.2.1 Princip...........................................................................................................3 1.2.2 Způsoby autentizace - EAP ..........................................................................3
2 Modelová situace pro testování, obecný popis.............................................................4 2.1 Topologie pro VLAN GVRP................................................................................4 2.2 Topologie pro testování autentizace portu pomocí 802.1x...................................5
3 Konfigurace prvků sítě.................................................................................................5 3.1 Základní konfigurace DSLAMu...........................................................................5 3.2 Připojení klientů....................................................................................................6 3.3 Nastavení VLAN a GVRP....................................................................................7
3.3.1 Podpora statických VLAN............................................................................7 3.3.2 Dynamické přiřazení VLAN pomocí GVRP na DSLAM.............................7 3.3.3 VLAN GVRP a switch SignaMax 065-7840................................................8 3.3.4 Ověření správné funkčnosti VLAN GVRP.................................................11
3.4 Autentizace portu pomocí 802.1x.......................................................................12 3.4.1 Klientská část 802.1x..................................................................................13 3.4.2 Průběh autentizace......................................................................................15
4 Závěr...........................................................................................................................16 5 Literatura....................................................................................................................17
prosinec 2008 1/17
1 ÚvodProjekt se zabývá možnostmi VLAN, GVRP a autentizace 802.1x na DSLAM ZyXEL IES-1000.
Zmíněna je základní teorie a princip funkčnosti těchto technologií a postup konfigurace a výsledné chování na výše zmíněném DSLAMu.
1.1 VLAN a GVRP 1.1.1 VLAN
Jedná se o virtuální sítě LAN a slouží k logickému rozdělení sítě nezávisle na fyzickém uspořádání. Obvykle bývá realizována na přepínačích, který je takto rozdělen na několik nezávislých částí. Stanice mohou komunikovat jen se stanicemi ve stejné virtuální síti, ostatní virtuální sítě se chovají jako by byly fyzicky nepropojeny. Pokud tyto logické sítě potřebujeme propojit, můžeme využít L3 switche nebo router. Princip spočívá ve využití protokolu IEEE 802.1Q, kdy je k rámcům přidáván tag (značka) obsahující číslo virtuální sítě. Tyto rámce jsou pak posílané jen na ty porty, které náleží virtuální síti se stejným číslem.
Výhodou VLAN je zvýšení efektivity a bezpečnosti sítě díky logického rozdělení, resp. spojení tématicky souvisejících prvků (stanic, serverů) a oddělení takových prvků, které spolu nemusí nebo nesmí komunikovat.
1.1.2 GVRPJedná se o protokol na druhé vrstvě standardu IEEE 802.1P, pro dynamickou registraci členů do
virtuálních sítí. Pokud na zařízení podpora GVRP není, musí se virtuální sítě konfigurovat ručně. Protokol GVRP pomocí datových jednotek GVRP BPDU (obr. 1) zveřejňuje statické virtuální sítě
ostatním přepínačům v síti. Přepínač si tyto virtuální sítě vytvoří a současně do nich přiřadí porty, ze kterých přišla registrace. Protokol GVRP tedy zajistí, že použitá značka virtuální sítě je známa sousednímu aktivnímu prvku (přepínači), a že tento aktivní prvek bude rámce s touto značkou zasílat na port, odkud přišla registrace značky protokolem GVRP. Požadavky virtuálních sítí jsou takto rozšířeny po celé síti, což umožňuje automaticky nakonfigurovat zařízení GVRP pro skupiny virtuálních sítí pouze na základě požadavků hostitelů.
Pomocí protokolu GVRP komunikují prvky na druhé vrstvě, jakými jsou např. switche nebo DSLAM.
prosinec 2008 2/17
Obrázek 1: Struktura PDU protokolu GVRP
1.2 Autentizace 802.1x 1.2.1 Princip
Jedná se o standard organizace IEEE pro řízení přístupu k sítí a to jak bezdrátové, tak i drátové. Je založen na rozšířitelném autentizačním protokolu EAP. Princip spočívá v povolování a blokování portů na přepínačích v závislosti na tom, zda je klient úspěšně ověřen autentizátorem na přepínači. Autentizátor klientské požadavky může přeposílat na autentizační server.
V počátečním stavu jsou porty označeny jako neautorizované a veškerá komunikace, kromě protokolu 802.1X, je blokována. Při připojení klientského počítače vyšle autentizátor na síťovém prvku požadavek na prokázání identity EAP-request, zabalený do rámce EAPOL[10]. Aplikace (supplicant) na straně klienta odpoví zprávou EAP-Response. Autentizátor zprávu vybalí z rámce EAPOL a přepošle ji na autentizační server (Radius server) v diagramu protokolu RADIUS. Autentizační server si přes autentizátor vyžádá od klienta autentizací údaje (např. jméno, heslo, certifikát) a pokud vše proběhne v pořádku, odpoví zprávou EAP-Success. Přepínač následně odblokuje daný port, nastaví parametry portu a přepošle zprávu EAP-Success klientovi. Tímto je celý autorizační proces ukončen.
Při ukončování komunikace klient vysílá požadavek EAP-Logoff, čímž je port opět zablokován. K zablokováni portu také dojde, pokud vyprší časový limit, během kterého se měl uživatel znova autentizovat.
Výhodou tohoto mechanismu je možnost blokovat přístup neautorizovaných osob do sítě, naopak za nevýhodu se dá považovat nemožnost komunikovat vzdáleně s počítačem, který je na neautorizovaný port připojen.
1.2.2 Způsoby autentizace - EAPTransportní protokol pro ověřovací mechanismy EAP zajišťuje funkce a dohodnutí požadovaného
mechanismu autentizace. Ověřovací mechanismus musí být známý na obou stranách spojení. Fáze autentizace se skládá z dohody na ověřovacím mechanismu a vlastní autentizace.
Existuje několik druhů autentizací:
EAP-MD5 – jedná se o původní specifikaci s jednocestným ověřováním., při kterém je používáno uživatelské jméno a heslo. Ty jsou pro zajištění pravosti hashovány pomocí MD5. EAP-TLS – mechanismus ověřování je založen na použití certifikátu a používá PKI a SSL. Umožňuje vzájemné ověření klienta a sítě. Klíče jsou generovány dynamicky.EAP-TTLS – rozšíření modifikace EAP-TLS, používá TLS pro navázání spojení s ověřovacím serverem a vytvoření tunelu pro druhý ověřovací algoritmus, který může být libovolný. EAP-PEAP – základem je EAP-TTLS autentizace, ale s použitím hesla místo klientského certifikátu pro autentizaci. EAP-LEAP – podporuje vzájemné ověření klienta a sítě. Podobné jako EAP-TLS, ale místo certifikátů používá jméno a heslo.
prosinec 2008 3/17
2 Modelová situace pro testování, obecný popisDSLAM poskytuje připojení jednotlivých stanic (modem + PC) i celých sítí (router s ATM) pomocí
technologie ADSL k drátové síti typu ethernet, kde působí jako řídící prvek. Spojení DSLAM – modem je tvořeno telefonní linkou a může měřit od několika metrů až do maximální vzdálenosti 5km. Linky Ethernet jsou typu 100Mbps.
V projektové modelové situaci jsou telefonní linky jsou nakonfigurovány na ADSL(1), 8Mbps/1Mbps, aktuální rychlost je závislá na schopnostech cílového zařízení a na kvalitě a vzdálenosti spojení.
K centrálnímu prvku, DSLAM ZyXEL [1], jsou připojeni dva klienti. Použity jsou routery Cisco 1751 a 1701 s rozhraním ATM (ADSL) a tyto routery jsou nakonfigurovány v režimu bridge, tzn. transparentní spojení mezí ATM a ethernet rozhraním. K těmto routerům jsou běžným ethernetovým TP kabelem připojeny klientské PC stanice.
Switch nacházející se v DSLAMu má vypnutou volbu Port Isolation, díky čemuž je umožněn provoz i mezi připojenými ADSL klienty.
2.1 Topologie pro VLAN GVRPTopologie sítě (obr. 2) obsahuje pouze potřebné prvky pro nastavení a ověření správné funkčnosti
VLAN a GVRP. Centrálním prvkem je DSLAM, ke kterému jsou připojeny bridge (routery Cisco 17x1) s klientskými PC. Switch s podporou GVRP SignaMax 065-7840 se nachází na ethernetovém rozhraní DSLAMu, jelikož pouze na tomto portu je GVRP podporováno. Dále za switchem je PC stanice sloužící k testování funkčnosti celé sítě (pomocí „ping“, zejména na klientské PC nacházející se na ADSL portech), resp. správné zařazení do VLAN.
Do druhého ethernetového portu DSLAMu je připojena konfigurační PC stanice pro práci s webovým rozhraním DSLAMu a switche.
prosinec 2008 4/17Obrázek 2: Topologie sítě pro ověření funkce GVRP
2.2 Topologie pro testování autentizace portu pomocí 802.1xTopologie pro testování autentizaci portu (obr. 3) je jednodušší než v předchozím případě. K
otestování nám stačí klient, který se autentizuje na daném ADSL portu DSLAMu a jednu PC stanici se kterou se budeme snažit komunikovat. K autentizaci uživatelů využíváme interní databázi na DSLAMu a klienti jsou ověřováni pomocí 802.1x. Základní nutná topologie byla rozšířena pouze o další PC stanici sloužící k testování (zasílání „ping“) a monitorování provozu na síti (nástrojem Wireshark) a konfigurační stanici pro práci s webovým rozhraním DSLAMu.
3 Konfigurace prvků sítěDSLAM ZyXEL IES-1000 obsahuje webové konfigurační rozhraní, přístupné přes libovolný
základní webový prohlížeč zvládající JavaScript. Rozhranní je poměrně přehledné, nalezení požadované funkce je otázkou několika kliknutí myší. Chybí zde však nápověda a vysvětlení termínů a parametrů. Potřebné informace je nutné hledat v manuálu.
3.1 Základní konfigurace DSLAMuMezi základní nastavení DSLAMu (obr. 4) patří IP adresa, maska a výchozí brána DSLAMu. IP
adresa slouží pro přístup přes konfigurační webové rozhraní. IP adresa DSLAMu má však také význam pro 802.1x autentizaci. Autentizace může pracovat ve dvou režimech, buď s lokální databází nebo přeposílat žádosti o autentizaci na RADIUS server, k našemu testování jsme využili lokální databázi DSLAMu.
Tato konfigurace se nachází pod volbou „Basic Setting“ a „IP Setup“
prosinec 2008 5/17
Obrázek 3: Topologie sítě pro autentizaci portů
Zvolené parametry:IP: 192.168.1.1
IP mask: 255.255.255.0Default Gateway: 192.168.1.254
(parametry jsou výchozí, nebyly měněny)
Mezi další položky základní konfigurace patří parametry ADSL portů. Ty jsou ve výchozím stavu nastaveny na PVC 0/33 a rychlost 8Mbps/1Mbps. Tyto parametry není nutné měnit.
3.2 Připojení klientůKlientské stanice jsou připojeny pomocí Cisco routeru C1701 (C1751) nakonfigurovaném [4] v
režimu bridge, který je tak transparentní pro 3. vrstvu OSI (IP). Bridge má ATM rozhraní, kterým je připojen na ADSL port DSLAMu a ethernetový port, na který je připojeno PC.
Konfigurační skript:
bridge irb!interface ATM 1/0 no ip address
interface ATM 1/0.1 no ip address pvc 0/33 encapsulation aal5snap ! bridge-group 1!interface FastEthernet 0/0 no ip address bridge-group 1!interface BVI1 ip address 192.168.1.10 255.255.255.0! bridge 1 route ip
prosinec 2008 6/17
Obrázek 4: Základní konfigurace
3.3 Nastavení VLAN a GVRPKonfigurace VLAN se týká jak samotného DSLAMu tak také switche na jeho ethernetovém portu.
3.3.1 Podpora statických VLANDSLAM ZyXEL IES-1000 umožňuje základní a „běžnou“ konfiguraci VLAN, tzn. definování
VLAN o určitém ID a aplikace na jednotlivé porty. VLAN se definuje v rámci nového profilu, který se aplikuje na vybraný port. Jeden port může mít přiřazen právě jeden profil. (obr. 5)
Detaily obr. 5:Normal v rezimu normal jsou povolene funkce jako GVRP, trunk apod, tato volba je jen na ENET
portech, které slouží k propojování s dalšími DSLAMy, switchi atd., proto na ostatních (ADSL) portech GVRP a truncky nejsou možné.
Fixed port bude trvalým členem vytvářené skupiny VLANForbidden pokud chcete zakázat připojení daného portu do vytvářené VLANTx Tagging pokud chceme aby se v odchozích rámcích uvádělo ID dané VLAN
Defaultní nastavení je, že jsou všechny porty 1-12 zakázany (Forbidden) a Tx Tagging je vypnutý, proto jsme port který jsme chtěli přiřadit do vytvářené VLAN přiřadili (fixed) a povolili aby se odesilalo na danem portu ID dané VLAN (Tx Tagging). Porty ENET mohou sloužit jako Truncky a být tím pádem ve více VLAN součastně.
3.3.2 Dynamické přiřazení VLAN pomocí GVRP na DSLAMPodle specifikací má tento DSLAM podporu GVRP. Po bližším prozkoumání tuto volbu najdeme v
„Advanced Application“, „VLAN“ u jednotlivých portů. Zde v tabulce kromě statického přiřazení do VLAN existují také zaškrtávací políčka s názvem GVRP. Ty se však nachází pouze u ethernetových portů ENET1 a ENET2.
prosinec 2008 7/17
Obrázek 5: Konfigurace VLAN - vytvoření profilu
Praktickým ověřením (obr. 5) se potvrdila patrná skutečnost z webového rozhraní – funkce GVRP lze použít pouze pro ethernetové rozhraní, nikoliv pro ADSL. Veškerá konfigurace z pozice DSLAMu se týká pouze povolení nebo zakázání GVRP.
Pokud je GVRP zakázáno, platí čistě statické nastavení rozdělení VLAN. Povolením GVRP začne DSLAM přijímat požadavky na registraci do VLAN. Podle ID VLAN, který je obsažen v požadavku GVRP, umožní DSLAM komunikaci ADSL portu s portem ENET 2 propojeným se switchem. Příklad: Porty 1 a 2 patří do VLAN 2, porty 3 a 4 do VLAN 3. Pokud je přijat požadavek na registraci do VLAN 2, je s ENET 2 portem propojen ADSL port 1 a 2. Pokud žádost obsahuje ID VLAN 3, pak mohou s ENET 2 portem komunikovat ADSL porty 3 a 4.
Taková komunikace je pak označena tagem (značkou) příslušné VLAN do které patří, stejně jako u VLAN mezi switchi. Pokud je na DSLAM připojen switch na ENET port (trunk) nakonfigurovaný pro dané VLAN, může takovou komunikaci zpracovávat (aplikovat na své porty).
Zelená a červená šipka (obr. 6) naznačují komunikaci GVRP mezi DSLAMem a switchem. Modrá a fialová pak představují komunikaci v rámci jedné VLAN.
3.3.3 VLAN GVRP a switch SignaMax 065-7840Pro kooperaci s DSLAM byl použit switch SignaMax 065-7840 [2] obsahující webové konfigurační
rozhraní. Standardně používá pro management IP adresu 192.168.1.1, což koliduje s adresou DSLAMu. Proto byla IP adresa switche nastavena na 192.168.1.254. Obě zařízení jsou propojena TP kabelem cat.5.
prosinec 2008 8/17
Obrázek 6: GVRP a systém komunikace
Rozhraní daného switche je pro nastavení VLAN a GVRP přehledné a intuitivní.(obr. 7)Pro práci s GVRP nastavíme režim VLAN [6] na tagovaný (Tag-based), čemuž pouze také rozumí
DSLAM, tuto volbu najdeme v menu pod „VLAN“, „VLAN Mode“. Poté v „Tag-based Group“ vytvoříme novou VLAN. (obr. 8)
Do námi konfigurované VLAN přiřadíme jednotlivé požadované porty switche (obr. 9). V naší konfigurace se toto nastavení týká dvou portů, jeden obsahuje testovací PC1 a druhý propojuje switch s DSLAMem.
prosinec 2008 9/17
Obrázek 7: Nastavení typu VLAN
Obrázek 8: Správa VLAN na switchi
Další a finální konfigurace na switchi se již týká jen samotného povolení (obr. 10) nebo zakázání používat GVRP [7]. To je možné udělat pro jednotlivé porty, zde ponecháno ve výchozím stavu, kde je GVRP povoleno na všech portech switche. Čas pro opakováni registrace do VLAN byl ponechán na výchozích hodnotách, jelikož DSLAM neumožňuje konfigurovat tento parametr.
Změnou GVRP State na Enabled je aktivována fuknce dynamické registrace do VLAN pomocí GVRP. (obr. 10)
prosinec 2008 10/17
Obrázek 10: Povolení GVRP ze strany switche
Obrázek 9: Switch - nastavení nové VLAN
3.3.4 Ověření správné funkčnosti VLAN GVRPOvěření správné funkčnosti bylo prováděno pomocí protokolu ICMP - příkazu „ping“ mezi PC
stanicemi 1, 2 a 3. Průběh je naznačen v obr. 5. Pokud byla funkce GVRP na switchi nebo DSLAMu vypnuta, mezi těmito prvky neprobíhala žádná
komunikace ohledně registrací do VLAN. Odeslaný testovací „ping“ z PC1 na IP adresu PC2 v tomto případě nedosáhl svého cíle.
Jakmile je podpora GVRP povolena jak na switchi i DSLAMu, probíhá mezi nimi komunikace protokolem GVRP jak je patrné z obr. 11 a obr. 12
prosinec 2008 11/17
Obrázek 12: GVRP zpráva ze Switche na DSLAM
Obrázek 11: GVRP zpráva z DSLAMu na Switch
Switch SignaMax zasílá na DSLAM zprávy typu „Join In“, čímž se snaží zaregistrovat do dané VLAN (v obr. 12 je patrná registrace do dvou VLAN, hodnota Value: 1 a 2).
DSLAM perdiodicky opakuje zprávy „Leave All“ (obr. 11) platící pro všechny VLAN ID. Pokud chce switch zachovat členství ve VLAN, musí na tuto zprávy zareagovat opětovným odesláním „Join In“
3.4 Autentizace portu pomocí 802.1xAutentizace portu [5] umožňuje povolit komunikaci pouze těm klientům, kteří se prokáží svým
jménem (resp. loginem – uživatelským jménem) a heslem. DSLAM ZyXEL IES-1000 podporuje autentizaci pomocí protokolu EAP MD5 challenge.
Možnosti konfigurace nalezneme pod položkou „Advanced Application“, „Port authentication“.(obr. 13)
DSLAM nabízí dva režimy ověřování uživatelů. Buď lze využit externí RADIUS server, na který jsou přeposílány požadavky nebo použít vnitřní databázi uživatelů v DSLAMu. Vnitřní databáze obsahuje jednoduchou tabulku se jmény (loginy) uživatelů a příslušnými hesly. Do této tabulky můžeme přidávat další záznamy nebo existující smazat, editace není možná. U nastavení RADIUS serveru máme možnost zvolit cílovou IP adresu a port, a také klíč, kterým je tento paket chráněn.
Změna režimu se nepotvrzuje, přepnutím (radiobutton) se změna okamžitě projeví. Povolení autentizace pro jednotlivé porty se provádí na záložce „802.1x“ kterou najdeme v horni části obrazovky.
Zde (obr.14) je nutné povolit 802.1x globálně. Po té můžeme konfigurovat autentizaci pro jednotlivé porty. Na každém z nich je možné nastavit tři režimy:
– AUTO– FORCE AUTHORIZED– FORCE UNATHORIZED
prosinec 2008 12/17
Obrázek 13: Konfigurace autentizace portu – uživatelské účty
První z nich je „běžný“ pracovní režim, kdy je port ve výchozím stavu blokován a umožňuje pouze komunikaci protokolu 802.1x. Po ověření klienta je port povolen i pro ostatní komunikaci. „FORCE“ znamená, že tento port bude vždy jako autorizovaný nebo neautorizovaný. Posledním důležitým parametrem je čas reautentizace, tedy po uplnynutí této doby je port opět zablokován a je nutné provést nové ověření klienta.
3.4.1 Klientská část 802.1xKlient připojující se na port ADSL, na kterém je aktivována autentizace pomocí 802.1x, musí použít
na své straně odpovídajícího softwarového klienta - supplicant. Ten pracuje s vybraným síťovým rozhraním, zde ethernet RJ45, ale obecně lze použít na více druhů připojení, např. bezdrátová síť WïFi.
Tento software zajistí odeslání příslušných paketů protokolu EAP [8] (viz. kapitola 1.2) při aktivaci rozhraní (např. připojení TP kabelu do síťové karty; po startu systému), kterými se snaží autentizovat právě použitý port.
Prvek zajišťující autentizaci odpoví, zda byl klient ověřen nebo nikoliv a daný klientský software pak podá hlášení uživateli, nebo označí rozhraní za autentizované a dále již žádné žádosti neposílá, nevyžaduje-li to situace (např. opětovné ověření po uplynulém čase).
Takovýchto klientských aplikací existuje celá řada, zejména rozšířené jsou pro bezdrátové adaptéry (většina výrobců nabízí vlastní software). Pro testovací účely byla v rámci projektu použita aplikace „Oddyssey Access Client Manager“[3], umožnující spravovat autentizaci 802.1x jak pro bezdrátové tak také drátové ethernetové adaptéry. Tato aplikace je dostupná jak pro operační systém Windows tak pro systém Linux. My jsme pro testování použili verzi pro Windows.
Tato aplikace pracuje s předvytvořenými profily (obr. 16), kde je zvolen typ autentizace, jméno, heslo. Tento profil je pak přirazen na síťové rozhraní a pomocí něj prováděna autentizace. V jednoduchém okně je podávána informace o právě probíhající operaci, (obr. 15) (např. že probíhá autentizace) a o stavu rozhraní. (autentizováno/neautentizováno/odpojeno).
prosinec 2008 13/17
Obrázek 14: Konfigurace autentizace portu - povolení 802.1x
Použití softwarového supplicanta bylo nutné vzhledem k použitým klienstkým ADSL zařízením – Cisco C1751. IOS tohoto routeru nepodporuje autentizaci EAP-MD5 na rozhraní ATM (ADSL). Jako výchozí konfigurace byl použit příklad pro autentizaci 802.1x přes VPN [11]. I přestože se podařilo vytvořit syntakticky a logicky správnou konfiguraci, ve výsledku se bohužel potvrdil fakt (nefunkčnost), že na tomto routeru C1751 nebude možné použít autentizaci pomocí 802.1x.
prosinec 2008 14/17
Obrázek 15: Aplikace Odyssey Access Client Manager - správa rozhraní
Obrázek 16: Aplikace Odyssey Access Client - nastavení profilu
3.4.2 Průběh autentizaceKlient Odyssey posílá pakety EAPOL s žádostí o autentizací na DSLAM, použítá metoda je MD5
challenge. DSLAM ve své interní databázi ověří správné údaje a povolí čí nepovolí další komunikaci na tomto portu. Toto ověření probíhá pouze mezi DSLAMem a klientem připojeným na rozhraní ADSL.
Pokud zvolíme možnost ověření pomocí RADIUS serveru, DSLAM zpracuje požadavek EAPOL do podoby RADIUS UDP paketu a odešle na přednastavenou adresu serveru. (obr. 17).
prosinec 2008 15/17
Obrázek 17: Autentizace na RADIUS server
4 ZávěrÚspěšně se nám podařilo vyřešit obě zadání tohoto projektu. Práce s DSLAMem byla
bezproblémová také díky podrobnému manuálu, který jsme měli k dispozici. Ale během řešení projektu jsme narazili na několik problému. Nejprve u testování GVRP jsme neměli k
dispozici switch který by dokázal posílat GVRP požadavky, tento problém jsme vyřešili tím, že nám byl zapůjčen switch SignaMax 065-7840, který měl pro GVRP podporu. Dál již tato část projektu probíhala bez problému.
Další potíže se vyskytly při testování technologie 802.1x, kde se nám stále nedařilo nastavit suplicanta pro autentizaci na ani jednom cisco routru s ATM, které jsme měli k dispozici. Tento problém se nám nepodařilo vyřešit, protože se ukázalo, že routry které jsme měli k dispozici tuto možnost nepodporují. Řešením tohoto problému byla až volba softwarového suplikanta, který běžel na klientské stanici a posílal požadavky na autentizaci sám. Toto již probíhalo bez problému, použitý suplikant posílal EAPOL[10] pakety, které cisco router v režimu bridge přeposílal na DSLAM, a ten na ně adekvátně reagoval.
Problém se však vysktl i s testováním RADIUS serveru, kdy se nám nedařilo úspěšně nastavit testované RADIUS servery (na platformě Windows) [12][13], tak aby správně odpovídaly na dotazy DSLAMu, nepodporovaly totiž požadovaný typ zabezpečení EAP-MD5, aby úspěšně autentizovaly klienta. RaDL[13] server sice přijímal požadavky z DSLAMu, rozpoznal uživatele, ale přesto zpět posílal zápornou odpověď a proto port zůstal uzavřen.
Po řešení těchto problému nám už nezbyl dostatek času pro hledání a konfiguraci dalšího vhodného RADIUS serveru, který by zvládal reagovat na dotazy DSLAMu. Ale odchytili jsme požadavky DSLAMu které směřuje na adresu RADIUS serveru, takže v případě že by poslouchající RADIUS server vhodně odpověděl autentizace by proběhla vpořádku.
Tento problém se nám povedlo vyřešit použitím interní databáze na DSLAMu. Autentizace pak za pomoci supplicanta[3] probíhala podle očekávání a bezproblémově. DSLAM v této oblasti nenabízí příliš prostoru ke konfiguraci parametrů, pro základní použití je však dostačující. Kromě volby použití RADIUS serveru nebo interní databáze, lze nastavit čas pro reautentizaci, samotnou autentizaci je možné přiřadit individuálně všem portům ADSL. Nelze však nastavit způsob autentizace a DSLAM podporuje pouze EAP-MD5 Challenge.
Co se týče GVRP, jeho použití na DSLAMu je omezeno jen na ethernetové porty a možnosti nastavení v podstatě neexistují, dá se jen povolit nebo zakázat. Takovéto chování není zřejmě příliš praktické, očekávali jsme možnosti GVRP na jednotlivých ADSL portech a jejich registraci do VLAN, bohužel, tak tomu není. Statická konfigurace VLAN odpovídá běžnému standardu, tj. vytváření VLAN s určitými ID a přiřazování na jednotlivé porty. Porty pro přenos více VLAN současně (trunk) lze použít pouze ethernetové, ADSL port může být přiřazen pouze do jedné VLAN a následně na něj připojena klientská PC stanice (modem, router apod).
Tato práce byla částečně pojata jako rozšíření komplexnějšího návodu [9] pro konfiguraci DSLAM ZyXEL IES-1000 u vybraných technologií.
prosinec 2008 16/17
5 Literatura[1] AAM1212-51/53 : ADSL2+ module of IES-1000, User's Guide. 1st edition. [s.l.] : ZyXEL,
c2006. 435 s., 1 CD-ROM.
[2] SignaMax. Dostupný z WWW: http://www.signamax.com
[3] Odyssey Access Client Manager. Dostupný z WWW: http://www.juniper.net
[4] Konfigurace DSL na Cisco routeru <http://www.cs.vsb.cz/grygarek/TPS/DSL/my_configs/>
[5] 802.1x. Dostupný z WWW: http://cs.wikipedia.org/wiki/IEEE_802.1x
[6] VLAN. Dostupný z WWW: http://www.samuraj-cz.com/clanek/vlan-virtual-local-area-network
[7] GVRP. Dostupný z WWW: http://en.wikipedia.org/wiki/GARP_VLAN_Registration_Protocol
[8] EAP. Dostupný z WWW: http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol
[9] Petr Ličman, Tomáš Horčičák, Martin Walach: Možnosti DHCP snoopingu, relayingu a podpora mulicastingu na DSLAM Zyxel IES-1000. c2008. 18s., Dostupný z WWW: http://wh.cs.vsb.cz/sps/images/0/01/DSLAM_DHCPaMulticast.pdf
[10] IEEE 802.1X: EAP over LAN (EAPOL) for LAN/WLAN Authentication & Key Management. Dostupný z WWW: http://www.javvin.com/protocol8021X.html
[11] Configuring Cisco IOS Easy VPN Remote With 802.1x Authentication. Dostupný z WWW: http://whitepapers.techrepublic.com.com/abstract.aspx?docid=281486
[12] TekRadius. Dostupný z WWW: www.tekradius.com
[13] Radl Free Radius. Dostupný z WWW: http://www.bestsoftware4download.com/software/t-free-radl-free-radius-server-download-xhxglyex.html
prosinec 2008 17/17