HP Mobility a BYOD workshop
Jakub Tikovský
Comware ve verzi 5.20.109, Release 3507P14
iMC ve verzi iMC PLAT 7.0 (E0102)
UAM ve verzi iMC UAM 7.0 (E0103)
WSM ve verzi iMC WSM 7.0 (E0102)
1|HP Mobility a BYOD
Úvod
Následující dokument není oficiální HP dokumentem, ani jej nelze považovat za best practice. Pro úplné
pochopení tématu doporučuji absolvování příslušného HP ExpertOne školení.
Smyslem tohoto dokumentu je poskytnout návod nastavení nejběžnějších konfiguračních scénářů
prováděných na HP Unified Wired and Wireless bezdrátových řešeních ve spojení s management a
autentizačním software iMC User Access Manager. Cílem není poskytnout úplný návod do posledního
detailu ani návod na základní nastavení bezdrátových kontrolérů a prostředí, ale pouze návody na
konkrétní části nastavení týkající se konkrétních služeb.
2|HP Mobility a BYOD
Konfigurační scénář a prostředí
V rámci tohoto návodu budou provedeny následující kroky vedoucí ke konkrétním službám. Součástí
není základní rutiní příprava zařízení jako např. SSH přístup, VLANy, IP adresy apod. Pro ilustraci je
v příloze tohoto dokumentu uvedena konfigurace základních nastavení kontroléru HP 830 zapadající do
dále zmiňovaného scénáře, ale jednotlivé kroky nebudou detailně probírány.
Kontext veškerých konfigurací bude vycházet ze simulace pobočkové sítě středně velké společnosti
sestávající se z 5ti poboček a jednoho datového centra, ve kterém je nainstalován management software
iMC s komponentami UAM (User Access Manager) a WSM (Wireless Service Manager). Na každé
pobočce je pak přítomen samostaný bezdrátový kontrolér s jedním WIFI AP.
Propojení mezi pobočkami je realizováno přímým L2 propojem, každá pobočka a datové centrum centru
mají vlastní IP subnet a L3 switch v datovém centru zajišťuje inter-VLAN routing mezi jednotlivými IP
subnety. Zapojení celého scénáře je zobrazeno na následujícím obrázku:
DHCP Server
Win Domain Controller
DC core switch/router
iMC + UAM + WSM
10.10.10.221
VLAN 1
GigE 1/0/1
HP830 #X
GigE 1/0/3
VLAN 3 untagged
AP #X
Pobočka #X
Na každém z kontrolérů jsou konfigurovány následující IP subnety a VLANy (místo X v číslech VLAN
použijte číslo pobočky 1-5):
VLAN
3
X0
X1
X2
X3
Účel
AP management
PSK SSID výstup
Lokální portál
BYOD
onboarding
BYOD employee
Subnet
192.168.3.0
192.168.X0.0
192.168.X1.0
192.168.X2.0
IP adresa
192.168.3.1
192.168.X0.1
192.168.X1.1
192.168.X2.1
Interface
Int. VLAN 3
Int. VLAN X0
Int. VLAN X1
Int. VLAN X2
Alokace adres
DHCP server na kontroléru
DHCP server na kontroléru
DHCP server na kontroléru
DHCP relay na WIN server
192.168.X3.0
192.168.X3.1
Int. VLAN X3
DHCP relay na WIN server
3|HP Mobility a BYOD
1
Management
192.168.X4.0
192.168.X4.1
Int. VLAN 1
Statická, default GW
192.168.X4.2
Z hlediska jednotlivých SSID bude v rámci následujícího konfiguračního scénáře nastaveno následující:
Název SSID
PobockaX_IT
PobockaX_Guest
PobockaX_BYOD
Výstupní VLAN
X0
X1
X2 pro registraci, X3 po registraci
Způsob autentizace
WPA2 PSK
Web autentizace
MAC autentizace + web autentizace +
fingerprint = BYOD
Postup konfigurace
1. Seznámení s konfiguračním prostředím
HP 830 Unified Wired and Wireless kontrolér je interně tvořen dvěma moduly. První z nich je samotný
bezdrátový kontrolér, druhý pak switch s 8mi nebo 24 PoE+ 1GE porty. Po připojení na konzoli zařízení
se administrátor ve výchozím stavu dostane na konzoli bezrátového kontroléru. Přepnutí na konzoli
integrovaného přepínače a zpět využijte následující příkazy:
<830#1_WC>oap connect slot 0
Press CTRL+K to quit.
Connected to OAP!
<830#1_SW>
CTRL + K
<830#1_WC>
Kontroléry z kategorie Unified Wired and Wireless jsou z hlediska operačního systému vybaveny OS
Comware 5 a lze tedy využít znalosti CLI tohoto operačního systému např. z přepínačů či routerů.
2. Seznámení se s předpřipravenou konfigurací v kontroléru
Ujistěte se, že fyzická propojení jednotlivých component odpovídají výše uvedenému obrázku zapojení.
Pomocí následujících příkazů na kontroléru i integrovaném přepínači si ověřte správnost konfiguraci
naznačenou v kapitole „Konfigurační scénář a prostředí“:
Ověření nastavení VLAN a VLAN rozhraní na kontroléru i přepínači:
<830#1_WC>display vlan all
<830#1_WC>display ip interface brief
<830#1_SW>display vlan all
Ověření nastavení všech DHCP server subnetů:
4|HP Mobility a BYOD
<830#1_WC>display dhcp server tree pool
Ověření dostupnosti do DC, resp. ping na iMC server:
<830#1_WC>ping 10.10.10.221
Ověření zbytku konfigurace (nastavení systémových jmen odpovídající číslu skupiny, SSH přístup, linkaggregation propojení mezi kontrolérem a integrovaným přepínačem):
<830#1_WC>display current-configuration
Všimněte si, že v systému je již nakonfigurovaný SSH přístup pro uživatele admin, který lze využít pro
vzdálenou správu místo konzole. Zároveň bude zapotřebí při přidávání kontroléru do iMC. Heslo k
tomuto účtu je admin.
3. Zavedení kontroléru do centrálního nástroje iMC
Nastavte základní SNMP parametry tak, aby bylo možné kontrolér připojit do iMC management nástroje:
<830#1_WC> system-view
[830#1_WC] snmp-agent community read public
[830#1_WC] snmp-agent community write hp
[830#1_WC] snmp-agent sys-info version v2c v3
Připojte se pomocí notebooku do VLAN 1. Ve webovém prohlížeči otevřete iMC login page na URL:
http://10.10.10.221:8080/imc
login údaje:
username: PobockaX
password: HPpass
5|HP Mobility a BYOD
Pokračujte přidáním kontroléru v sekci Resource->Add Device:
Vyplňte IP adresu kontroléru, SNMP údaje nastavené v předchozích krocích a SSH přihlašovací údaje:
6|HP Mobility a BYOD
Po úspěšném přidání zkontrolujte, že byl kontrolér správně rozeznán jako Wireless device a je vidět typ
kontroléru a verze Comware:
7|HP Mobility a BYOD
Ověřte, že zařízení bylo správně rozpoznáno v rámci WSM modulu (Service -> WLAN manager ->
Resource Management -> AC list):
4. Připojení AP ke kontroléru, registrace, základní konfigurace
Připojte AP do portu GigabitEthernet 1/0/3, který by měl být připraven jako netagovaný ve VLAN 3. V
této VLAN je nastaven DHCP server pro adresaci AP. Jakmile bude AP připojeno zapněte automatickou
registraci AP v kontroleru:
[830#1_WC] wlan auto-ap enable
Vytvořte AP model a nastavte automatické generování/čtení sériového čísla AP v rámci registrace:
[830#1_WC]wlan ap MojeAP model 425-WW
[830#1_WC-wlan-ap-mojeap]serial-id auto
Počkejte až se AP zaregistruje. Ověřte následovně:
[830#1_WC]dis wlan ap all
Total Number of APs configured
:0
Total Number of configured APs connected : 0
Total Number of auto APs connected
:1
AP Profiles
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, R = Run, KU = KeyUpdate, KC = KeyCfm
M = Master, B = Backup
-------------------------------------------------------------------------------AP Name
State Model
Serial-ID
-------------------------------------------------------------------------------cc3e-5fb0-8120
R/M 425-WW
CN30G672M1
8|HP Mobility a BYOD
Plně zaregistrované a funkční AP by mělo mít status R/M.
Jakmile se AP plně zaregistruje, převeďte automaticky zaregistrovaná AP do statické konfigurace (trvalé
uložení sériového čisla do konfiguračního souboru kontroléru):
[830#1_WC]wlan auto-ap persistent all
Ověřeni zda jsou AP součástí statické konfigurace
[830#1_WC]display current-configuration configuration wlan-ap
#
wlan ap a048-1c55-d1cd model MSM460-WW id 1
serial-id CN38D332PY
radio 1
radio 2
#
wlan ap b4b5-2f4f-206a model MSM430-WW id 2
serial-id CN28DWZBG1
radio 1
radio 2
#
wlan ap mojeap model MSM460-WW id 3
serial-id auto
radio 1
radio 2
Pokud jsou všechna AP součástí statické konfigurace je volitelně možné vypnout proces automatické
registrace AP ke kontroleru.
[830#1_WC] undo wlan auto-ap enable
9|HP Mobility a BYOD
5. Vytvoření SSID PobockaX_IT
V dalších krocích vytvořte SSID se zabezpečením pomocí předsdíleného hesla WPA2. SSID je na
kontroléru konfigurováno ve třech krocích. Nejdříve je nutné vytvořit WLAN interface, který definuje
především výstupní VLAN a metodu autentizace:
[830#1_WC]interface WLAN-ESS10
[830#1_WC-WLAN-ESS10] port link-type hybrid
[830#1_WC-WLAN-ESS10] undo port hybrid vlan 1
[830#1_WC-WLAN-ESS10] port hybrid vlan 10 untagged
[830#1_WC-WLAN-ESS10] port hybrid pvid vlan 10
[830#1_WC-WLAN-ESS10] port-security port-mode psk
[830#1_WC-WLAN-ESS10] port-security tx-key-type 11key
[830#1_WC-WLAN-ESS10] port-security preshared-key pass-phrase 12345678
Dále vytvořte wlan service-template, který definuje název SSID, metodu šifrování a je na něj mapován
WLAN interface vytvořený v předchozím kroku:
[830#1_WC] wlan service-template 10 crypto
[830#1_WC-wlan-st-10] ssid PobockaX_IT
[830#1_WC-wlan-st-10] bind WLAN-ESS 10
[830#1_WC-wlan-st-10] cipher-suite ccmp
[830#1_WC-wlan-st-10] security-ie rsn
[830#1_WC-wlan-st-10] service-template enable
V posledním kroku namapujte wlan service-template na konkrétní AP a jeho rádia, popř. na skupinu AP:
[830#1_WC]wlan ap cc3e-5fb0-8120
[830#1_WC-wlan-ap-cc3e-5fb0-8120]radio 1
[830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-1]service-template 10
[830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-1]radio enable
[830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-1]radio 2
[830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-2]service-template 10
[830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-2]radio enable
10 | H P M o b i l i t y a B Y O D
Během několika vteřin by jste měli na vašem PC vidět nově vytvořené SSID. Připojte se k němu pomocí
vytvořeného hesla a ověřte, že jste se dostali do správné VLAN a subnetu. Ověřte připojení klienta
v konzoli kontroléru:
[830#1_WC]display wlan client verbose
6. Vytvoření SSID PobockaX_Guest, konfigurace lokálního portálu, konfigurace lokálního
guest uživatele z CLI a GUI
Za účelem vytvoření guest SSID s portálovým ověřováním je na kontroléru vytvořen VLAN interface X1,
který bude zakončovat segment pro hosty. Pro portálové ověřování je třeba vytvořit lokální portál a
mapovat ho na toto rozhraní:
[830#1_WC]portal local-server http
[830#1_WC]portal server GUEST ip 192.168.X1.1
[830#1_WC]portal free-rule 11 source ip 192.168.X1.0 mask 255.255.255.0 destination ip 10.10.10.231
mask 255.255.255.255
[830#1_WC]interface vlan X1
[830#1_WC-Vlan-interfaceX1]portal server GUEST method direct
V této chvíli by jakýkoliv uživatel jdoucí přes gateway interface VLAN X1 byl vyzván k web autentizaci a
ověření heslem. Tak abychom tento připravený portál mohli využít v rámci SSID je třeba už jen vytvořit
SSID mapující se právě do této VLAN stejně jako u prvního SSID výše jen s tím rozdílem, že tentokrát
nebude vyžadováno PSK heslo:
[830#1_WC]interface WLAN-ESS11
[830#1_WC-WLAN-ESS11] port link-type hybrid
[830#1_WC-WLAN-ESS11] undo port hybrid vlan 1
[830#1_WC-WLAN-ESS11] port hybrid vlan X1 untagged
[830#1_WC-WLAN-ESS11] port hybrid pvid vlan X1
Po vytvoření jednoduchého WLAN interface stačí vytvořit wlan service template a vzájemně namapovat:
[830#1_WC] wlan service-template 11 clear
[830#1_WC-wlan-st-10] ssid PobockaX_Guest
[830#1_WC-wlan-st-10] bind WLAN-ESS 11
[830#1_WC-wlan-st-10] service-template enable
A namapovat service template na připojené AP a jeho rádia:
[830#1_WC]wlan ap cc3e-5fb0-8120
11 | H P M o b i l i t y a B Y O D
[830#1_WC-wlan-ap-cc3e-5fb0-8120]radio 1
[830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-1]service-template 11
[830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-1]radio 2
[830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-2]service-template 11
Nyní ověřte, že je SSID aktivní, a že v případě zadání libovolné IP adresy do prohlížeče budete
přesměrováni na webový portál a vyzváni k ověření.
Dále už je pouze třeba vytvořit guest uživatelský účet což lze řešit minimálně čtyřmi způsoby:




Pomocí příkazové řádky kontroléru
Ve webovém rozhraní kontroléru
Přes iMC Guest Account Manager (GAM)
Přes iMC Guest Manager (vyžaduje UAM komponentu, uživatelské účty se vytvářejí přímo
v UAM databázi a na kontroléru je konfigurováno vzdálené ověřování právě oproti UAM)
V této ukázce se budeme věnovat prvním dvěma metodám. Pro další dvě doporučuji buď základní
dokumentaci iMC, popř. youtube kanál www.youtube.com/imccesky.
Vytvoření uživatele v CLI se provádí stejně jako vytváření ostatních uživatelských účtů v rámci OS
Comware. Rozdíl je pouze v přiřazení autorizačních atributů a rolí:
[830#1_WC]local-user guest1
[830#1_WC-luser-guest1] password simple guest1
[830#1_WC-luser-guest1] authorization-attribute user-role guest
[830#1_WC-luser-guest1] service-type lan-access
[830#1_WC-luser-guest1] service-type portal
Ověřte správnost přidání uživatele pokusem o ověření na webovém portálu kontroléru v SSID
PobockaX_Guest.
Další metoda obsahuje nejdříve vytvoření uživatelského účtu správce guest účtů, který je dále využíván
pro login do speciálního guest management webového rozhraní kontroléru kde jsou dále generovány
uživatelské účty v grafickém prostředí:
[830#1_WC]local-user guestmanager
New local user added.
[830#1_WC-luser-guest1] password simple guestmanager
[830#1_WC-luser-guest1] authorization-attribute level 3
[830#1_WC-luser-guest1] authorization-attribute user-role guest-manager
[830#1_WC-luser-guest1]service-type web
12 | H P M o b i l i t y a B Y O D
Připojte se na webové rozhraní kontroléru a do login údajů zadejte výše uvedený nově vytvořený účet.
Při správné konfiguraci by rozhraní mělo vypadat následovně:
Vytvořte guest uživatele guest2 pomocí tohoto rozhraní:
Ověřte jeho funkčnost opět přihlášením na webový portál. Zkontrolujte v příkazové řádce syntax
definice uživatele guest2 pomocí webového rozhraní. Jak se liší proti uživateli vytvořeném v předchozím
kroku?
13 | H P M o b i l i t y a B Y O D
7. Základní nastavení automatického ladění kanálů a síly signálu, spektrální analýza
V tomto kroku nastavte automatické ladění kanálů a síly signálu pomoci funkce Radio Resource
Management (RRM):
[830#1_WC]wlan rrm
[830#1_WC-wlan-rrm]dot11a calibrate-channel self-decisive
[830#1_WC-wlan-rrm]dot11bg calibrate-channel self-decisive
[830#1_WC-wlan-rrm]dot11a calibrate-power self-decisive
[830#1_WC-wlan-rrm]dot11bg calibrate-power self-decisive
Zkontrolujte nastavení kanálů a síly signálu:
[830#1_WC-wlan-rrm]display wlan ap all radio
Total Number of APs configured
:1
Total Number of configured APs connected : 1
Total Number of auto APs connected
:0
AP Radio
------------------------------------------------------------------------------AP Name
Radio ID
Channel
Tx Power (dBm)
------------------------------------------------------------------------------cc3e-5fb0-8120
1
auto(44)
17
cc3e-5fb0-8120
2
auto(11)
16
------------------------------------------------------------------------------Ve výchozím stavu je kalibrační interval, který definuje dobu potřebnou pro analýzu a efektivní změnu 8
minut dlouhý. Při menším počtu AP jako v tomto případě ho lze změnit:
[830#1_WC-wlan-rrm]dot11bg calibration-interval 3
[830#1_WC-wlan-rrm]dot11a calibration-interval 3
Automatické ladění kanálů a síly signálu zajistí mimo jiné i adekvátní reakci na WIFI rušení jak z okolních
zdrojů tak mezi AP vzájmně. Pokud je v rámci pokrývané oblasti přítomno také non-WIFI rušení je
vhodné zajistit i adekvátní reakci systému na toto rušení. Aktivujte spektrální analýzu jak globálně tak na
jednoltivých AP:
[830#1_WC-wlan-rrm]dot11a spectrum-analysis enable
[830#1_WC-wlan-rrm]dot11bg spectrum-analysis enable
14 | H P M o b i l i t y a B Y O D
[830#1_WC-wlan-rrm]quit
[830#1_WC] wlan ap cc3e-5fb0-8120
[830#1_WC-wlan-ap-cc3e-5fb0-8120]radio 1
[830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-1] spectrum-analysis enable
[830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-1] radio 2
[830#1_WC-wlan-ap-cc3e-5fb0-8120-radio-2] spectrum-analysis enable
Takto nastavená spektrální analýza pouze detekuje zdroje non-WIFI rušení. Aby systém reagoval na toto
rušení a přeladil rádia na nezarušení kanál je třeba zapnout reakci DFS (dynamic frequency selection) na
toto rušení:
[830#1_WC-wlan-rrm] dot11a calibrate-channel track spectrum-analysis
[830#1_WC-wlan-rrm] dot11bg calibrate-channel track spectrum-analysis
8. BYOD
V rámci tohoto kroku nakonfigurujte SSID pro BYOD službu. BYOD služba je založena na spolupráci
bezdrátového kontroléru a iMC UAM. Na kontroléru bude vytvořeno SSID s MAC autentizací přičemž při
připojení nového (v rámci BYOD nezaregistrovaného) klienta na SSID dojde k dynamickému přiřazení
klienta do registrační VLAN, ve které je implementována externí portálová autentizace vynucující
ověření klienta na webovém rozhraní BYOD UAM portálu. Po ověření klienta jeho uživatelskými údaji je
z UAM na kontrolér poslán CoA atribut, který změní v rámci autentizační session výstupní VLAN klienta,
která je již bez portálové autentizace a nabízí politikou definovanou službu. Politika není založena jen na
uživateslkém účtu klienta, ale také na typu zařízení, se kterým se do sítě připojuje.
Pro účely externí MAC autentizace vytvořte RADIUS schéma nastavené tak aby ověřovalo klienty proti
iMC UAM v datovém centru:
[830#1_WC] radius scheme uam
[830#1_WC-radius-uam] server-type extended
[830#1_WC-radius-uam]primary authentication 10.10.10.221
[830#1_WC-radius-uam]primary accounting 10.10.10.221
[830#1_WC-radius-uam]key authentication simple secret
[830#1_WC-radius-uam]key accounting simple secret
[830#1_WC-radius-uam]user-name-format without-domain
Dále zvolíme výše uvedené schéma jako metodu pro ověřování přístupu k síti v doméně BYOD:
[830#1_WC] domain byod
[830#1_WC-isp-byod]authentication lan-access radius-scheme uam
15 | H P M o b i l i t y a B Y O D
[830#1_WC-isp-byod]authorization lan-access radius-scheme uam
[830#1_WC-isp-byod]accounting lan-access radius-scheme uam
[830#1_WC-isp-byod]access-limit disable
Vytvořenou doménu BYOD nastavte jako výchozí pro celý system, včetně MAC autentizace:
[830#1_WC]domain default enable byod
[830#1_WC]mac-authentication domain byod
Následně nakonfigurujte další, v našem labu již druhý portál. V tomto případě však bude externí (na iMC
UAM) a konkrětně bude přesměrovávat uživatele na BYOD onboarding stránku UAM portálu. Je třeba
také vytvořit pravidlo (free rule), které ještě před autentizací dovolí právě komunikaci uživatele na tento
portál (10.10.10.221) a DHCP přidělení IP adresy (10.10.10.224):
[830#1_WC]portal server byod_onboarding ip 10.10.10.221 key simple secret url
http://10.10.10.221:8080/byod
[830#1_WC]portal free-rule 0 source ip 192.168.X2.0 mask 255.255.255.0 destination ip 10.10.10.221
mask 255.255.255.255
[830#1_WC]portal free-rule 1 source ip 192.168.X2.0 mask 255.255.255.0 destination ip 10.10.10.224
mask 255.255.255.255
[830#1_WC]portal free-rule 2 source ip 192.168.X2.0 mask 255.255.255.0 destination ip 10.10.10.231
mask 255.255.255.255
Aby mohla v rámci BYOD onboarding a fingerprinting procesu proběhnout identifikace typu operačního
systému, je nutné, aby BYOD systém dostal data o DHCP options požadovaných jednotlivými klientskými
zařízeními. Aby jste toho dosáhli, je třeba pro byod onboarding VLAN zajistit DHCP realay na externí
DHCP server, na kterém je nainstalován speciální DHCP plugin, který tyto informace odešle do iMC UAM.
I když to není nezbytně nutné, použijte DHCP relay nejen pro BYOD onboarding VLAN, ale také pro BYOD
employee VLAN, která bude přiřazena BYOD uživateli po úspěšném zalogování:
[830#1_WC]dhcp relay server-group 0 ip 10.10.10.224
[830#1_WC]interface Vlan-interface X2
[830#1_WC-Vlan-interfaceX2]dhcp select relay
[830#1_WC-Vlan-interfaceX2]dhcp relay server-select 0
[830#1_WC-Vlan-interfaceX2]portal server byod_onboarding method direct
[830#1_WC-Vlan-interfaceX2]interface Vlan-interface X3
[830#1_WC-Vlan-interfaceX3]dhcp select relay
[830#1_WC-Vlan-interfaceX3]dhcp relay server-select 0
Nyní vytvořte WLAN interface a WLAN service-template jako už jste to dělali v přechozích bodech. Tento
případ se liší pouze zapnutím a mac autentizace na WLAN interface a dynamického přiřazení VLAN:
[830#1_WC]interface WLAN-ESS 12
16 | H P M o b i l i t y a B Y O D
[830#1_WC-WLAN-ESS12]port link-type hybrid
[830#1_WC-WLAN-ESS12]undo port hybrid vlan 1
[830#1_WC-WLAN-ESS12]port hybrid pvid vlan X2
[830#1_WC-WLAN-ESS12]mac-vlan enable
[830#1_WC-WLAN-ESS12]port-security port-mode mac-authentication
[830#1_WC]wlan service-template 12 clear
[830#1_WC-wlan-st-12]ssid PobockaX_BYOD
[830#1_WC-wlan-st-12]bind WLAN-ESS 12
[830#1_WC-wlan-st-12]service-template enable
V této chvíli je konfigurace BYOD na kontroléru jako takovém hotova. Nyní je třeba nastavit také iMC.
Začněte korektním nastavením vašeho kontroléru jako povoleného přístupového zařízení v iMC UAM:
17 | H P M o b i l i t y a B Y O D
Nezapomňte vyplnit stejný sdílený klíč jako v rámci nastavení kontroléru:
18 | H P M o b i l i t y a B Y O D
Nyní bude možné ověřovat MAC adresy oproti centrální databázi iMC. iMC UAM je již částečně
přednastaveno pro využití BYOD funkcionality. Je zde vytovřen defaultní BYOD uživatel k němuž jsou
přiřazeny veškeré nové neznámé MAC adresy, které se snaží o ověření. Poté co jsou ověřeny, dostávají
se do VLAN přidělené právě tomuto default uživateli. Tato VLAN je právě vaše byod onboarding VLAN.
Ujistěte se prosím výpisem konfigurace kontroléru, že VLAN X2 má správně nastaveno jméno
BYOD_onboarding (včetně zachování velkých a malých písmen).
Pro nastavení kompletní BYOD funkcionality pro vaši pobočku je třeba vytvořit:




Přístupovou politiku definující výstupní VLAN a dle potřeby i jiné atributy.
Volitelné podmínky připojení jako je např. povolený typ operačního systému, názve SSID či
časové rozmezí, ve kterém se uživatel smí autentizovat.
Přístupovou službu, která je dále mapována na uživatele a kombinuje v sobě podmínky přístupu
pro uživatele a právě přístupovou politiku, tedy akce.
Uživatelskou identitu, kterou budete používat pro autentizaci.
Začněte přístupovou politikou:
19 | H P M o b i l i t y a B Y O D
Napamujte správnou výstupní VLAN jejíž jméno se shoduje s názvem VLAN X3 na vašem kontroléru:
Dále vytvořte takovou podmínku, která z hlediska typu operačního systému přístupového zařízení povolí
přístup vašemu notebooku, ale nepovolí přístup vašemu mobilnímu telefonu. Tedy vytvořte skupinu
povolující zvolený desktop OS:
20 | H P M o b i l i t y a B Y O D
21 | H P M o b i l i t y a B Y O D
V dalším kroku vytvořte přístupovou službu, ve které zkombinujete výsledky předchozích kroků:
22 | H P M o b i l i t y a B Y O D
Uložte nastavení přístupového scénáře i nastavení přístupové služby. V dalším kroku vytvořte nového
uživatele a tuto službu mu přiřaďte:
23 | H P M o b i l i t y a B Y O D
24 | H P M o b i l i t y a B Y O D
V této chvíli se ověřte funkčnost nastavení. Připojte se z vašeho notebooku na SSID PobockaX_BYOD. Po
připojení by jste měli dostat IP adresu z VLAN X2 a při otevření webového prohlížeče a zadaní libovolné
IP adresy (v reálném nasazení samozřejmě i webové adresy, ale zde nemáme zaveden DNS server)
budete přesměrováni na BYOD portál.
Po zadání uživatelského jména a hesla vytvořeného v posledním kroku vám bude prezentován výsledek
rozeznání typu a OS vašeho zařízení a budete převedení z onboarding VLAN do finální VLAN daného
uživatele s jiným IP subnetem. Ověřte, že se tak stalo.
Postup opakujte s mobilním telefonem či jiným operačním systémem než v prvním kroku a zjistěte jaký
je výsledek pokusu o připojení.
9. Lokální forwarding dat z AP do VLAN
Ve všech předchozích konfiguračních krocích jste využívali standardní centralizovaný forwarding dat na
kontroléru, při kterém jsou data na AP nejdříve zabalena do LWAPP tunelu, následně poslána na
kontrolér a na něm teprve probíhá bridging z LWAPP do ethernetu. Tento mód má své výhody i
nevýhody a proto si v tomto kroku vyzkoušejte změnit v předchozím kroku vytvořené SSID
„PobockaX_IT“ právě do tohoto módu.
V první řadě je třeba připravit port přepínače, do kterého je AP připojeno do trunk módu, povolit
příslušné VLANy a nastavit dosavadní AP management VLAN 3 jako PVID (native VLAN) na trunku. Jako
VLAN, do které budete lokálně forwardovat si připravte novou VLAN 4 (následuje sekvence příkazů
z integrovaného switch modulu):
[830#1_SW] vlan 4
[830#1_SW-vlan4]name lokalni forwarding
[830#1_SW-vlan4]quit
[830#1_SW]interface GigabitEthernet 1/0/3
[830#1_SW-GigabitEthernet1/0/3] port link-type trunk
[830#1_SW-GigabitEthernet1/0/3] port trunk permit vlan 3 to 4
[830#1_SW-GigabitEthernet1/0/3] undo port trunk permit vlan 1
[830#1_SW-GigabitEthernet1/0/3] port trunk pvid 3
Pro nově vytvořenou VLAN nakonfigurujeme také VLAN L3 interface, na kterém ji zakončíme. Vzhledem
k tomu, že to bude VLAN čistě lokálního charakteru, zvolte si IP adresu z libovolného subnetu
[830#1_SW]interface Vlan-interface 4
[830#1_SW-Vlan-interface4]ip address 192.168.15.1 24
Aby klienti, kteří se připojí do této VLAN dostali IP adresu, je třeba připravit do této VLAN i DHCP server
se základními parametry.
25 | H P M o b i l i t y a B Y O D
[830#1_SW] dhcp enable
[830#1_SW] dhcp server ip-pool local_forward
[830#1_SW-dhcp-pool-local_forward] network 192.168.15.0 24
Jakmile budete mí připraveny výše uvedené základní nastavení infrastruktury, přejděte k samotnému
nastavení lokálního forwardingu. V první řadě je nutné provést provisioning AP tak, aby AP na svém
portu také využívalo tagovanou VLAN 4. to provedete provisioningem v rámci AP template:
[830#1_WC]wlan ap cc3e-5fb0-8120
[830#1_WC-wlan-ap-cc3e-5fb0-8120]provision
[830#1_WC-wlan-ap-cc3e-5fb0-8120-prvs]vlan tagged 4
Jakmile jsou parametry AP nastaveny, je třeba uložit provisioning konfiguraci a AP restartovat:
<830#1_WC>save wlan ap provision all
<830#1_WC>reset wlan ap all
Vyčkejte než AP dokončí reboot a následně příkazem zobrazujícím stav všech AP zjistěte jestli je ve stavu
Run (R/M). V některých případech je třeba po rebootu zkontrolovat jestli provisioning proběhl správě a
jestli se nastavenení provedená na kontroléru opravdu projevila v konfiguračním souboru AP. Na AP se
ovšem v době kdy už je registrováno ke kontroléru nelze připojit žádnou ze standardních metod, a proto
pro tento případ použijte skryté příkazy v příkazové řádce kontroléru.
Jedná se o skrytý mód, který není standardně využíván ani dokumentován a běžně slouží pouze pro
účely servisních zásahů. Využijeme z něj ale pouze dva bezpečné příkazy, které dovolí vzdálené či lokální
připojení přímo na AP a kontrolu jeho konfigurace. Nejdříve vstupte do módu skrytých konfiguračních
příkazů, a poté povolte autonomní správu z příkazové řádky a telnet server:
[830#1_WC]_h
[830#1_WC-hidecmd]wlan ap-execute cc3e-5fb0-8120 exec-control enable
[830#1_WC-hidecmd]wlan ap-execute cc3e-5fb0-8120 telnet enable
Nyní bude možné připojení telnetem bez jakékoliv autentizace přímo na IP adresu AP a revize
konfigurace např. pomocí příkazu display current configuration. Zkontrolujte jestli je zavedena VLAN 4 a
jestli je GigabitEthernet port 1 nastaven tak aby tagoval do VLAN 4.
Nyní stačí už jen přenastavit WLAN na daném WLAN interface ESS do VLAN 4 a zapnout lokální
forwarding na daném WLAN service template:
[830#1_WC] wlan service-template 10
[830#1_WC-wlan-st-10] client forwarding-mode local vlan 4
Jakmile dokončíte konfiguraci, zkuste se připojit na vámi upravené SSID, zkontrolovat přiřazenou IP
adresu a tím ověřit, že jste ve správé, lokálně distribuované sítě.
26 | H P M o b i l i t y a B Y O D
10. Doplňková aktivita
V případě, že vám zbyde čas můžete vyzkoušet další oblasti. V tomto případě spíše intutivně bez
detailního návodu:




Customizace BYOD onboarding page a její přiřazení na vámi vytvořenou přístupovou službu
v předchozích krocích. Kde: iMC -> User -> User Access Policy -> Customize terminal pages ->
BYOD page. Následné přiřazení přímo v natavení Access Service viz. Předchozí body. Následně
otestujte znovu na BYOD SSID.
Vytvoření mapy lokality, plánování pokrytí signálem, rozložení AP. Kde: iMC -> Service ->
WLAN Manager -> View Management -> Location View -> Add -> View Topology
Automatizace zapínání a vypínaní rádií/SSID/celých AP. iMC -> WLAN Manager -> Energy Policy
Management -> Add
Přidávání guest portálových uživatelů z iMC GAM
27 | H P M o b i l i t y a B Y O D
Download

HP Mobility a BYOD workshop