REALIZZAZIONE DI UNA ARCHITETTURA WIRELESS LAN INTEGRATA

Transcript

1 REALIZZAZIONE DI UNA ARCHITETTURA WIRELESS LAN INTEGRATA Revisione: V.08 Data: 29 Dicembre 2006 Autori: Fabrizio Ferri, Alessandro Pancaldi Status: Versione finale

2 REVISIONI Revisione Data Modifiche V.00 Draft 27 Novembre 2006 Prima Stesura V.06 Draft 6 Dicembre 2006 Descrizione partenza automatica VMWARE V.07 Finale 12 Dicembre 2006 Revisione generale V.08 Finale 29 Dicembre 2006 Correzione refusi 2(31) 13/12/2006

3 INDICE 1 Scopo del documento Introduzione Requisiti Dimensionamento del sistema Architettura di rete Indirizzamento IP e VLAN Configurazione dei due moduli hwic a 4 porte fe Configurazione del Wireless Lan Control Module (WLCM) CONFIGURAZIONE DEL ROUTER CISCO Configurazione interfaccia virtuale per connettività Wireless Network Abilitazione DHCP e NTP Configurazione interfacce FE interne dei router e assegnazione della default route Configurazione NAT/PAT Attivazione funzione di syslog Installazione access point Configurazione host Configurazione VMWARE e server DNS Abilitazione funzione di autologin Windows 2000 Server Configurazione BIND per servizio DNS Proxy Attivazione funzionalità di syslog Schema riassuntivo dell architetura integrata Test di carico Descrizione dei servizi forniti Lista dei componenti hardware utilizzati Release software utilizzate Ringraziamenti Appendice: configurazione completa del router R (31) 13/12/2006

4 1 SCOPO DEL DOCUMENTO Questo documento descrive la realizzazione di un architettura di rete wireless integrata di piccole/medie dimensioni basata un singolo router ed un singolo server. È da notare che, alcune problematiche tecniche affrontate nel presente documento sono ampiamente descritte in GARR / Realizzazione di una infrastruttura di campus per le conferenze TERENA e GARR 2006 (disponibile all indirizzo URL al quale si rimanda il lettore per maggiori dettagli. 4(31) 13/12/2006

5 2 INTRODUZIONE All interno della comunità della ricerca si avverte sempre di più la necessità di avere a disposizione oltre alla connettività wired anche un accesso wireless basato su tecnologia Wi-Fi. Questo requisito potrebbe presentarsi sia nel lungo termine (per esempio, la copertura wireless definitiva di una certa sede), che per un arco di tempo limitato (per esempio, per la durata di una conferenza). In entrambi i casi, ed particolare nel secondo, può essere interessante adottare una soluzione basata su un architettura Wi-Fi con controllo centralizzato degli Access Point in grado di integrare all interno di un unico prodotto tutte funzionalità di rete necessarie. 3 REQUISITI Questo progetto descrive una soluzione in grado di integrarsi in modo semplice in contesti dove sia presente una rete wired già in esercizio. I principali requisiti di sistema sono: adattamento a topologie di rete differenti configurazione di sistema in grado di supportare diversi scenari minimo impatto sull infrastruttura di cablaggio esistente architettura di gestione e controllo degli Access Point centralizzata ingombro contenuto capacità di copertura anche di ambienti chiusi con estensione limitata (ad esempio, qualche sala conferenza di capienza modesta) collegamento degli Access Point ad uno switch Ethernet accesso controllato alla rete tramite autenticazione utente tracciamento delle sessioni d utente (tempo di login/tempo di logout/andamento del traffico utente in termini di byte in/byte out) mantenendone l anonimato in conformità alle norme sulla privacy 4 DIMENSIONAMENTO DEL SISTEMA Cisco dispone di un architettura di controllo degli Access Point basata sul protocollo Lightweight Access Point Protocol (LWAPP) che permette di gestire in modo centralizzato e coordinato una infrastruttura di tipo Wi-Fi. Sono disponibili due tipi di controller wireless: un appliance esterno, in grado di gestire fino a molte decine di Access Point un modulo di rete denominato Wireless Lan Controller Module (WLCM), integrabile all interno di router della famiglia Cisco 2800 o Cisco 3800, in grado di gestire un numero massimo di sei Access Point I requisiti di sistema, e in particolare la necessità di avere una soluzione integrata, hanno favorito l utilizzo di un architettura basata sul WLCM integrato in un router Cisco 2800, il quale a sua 5(31) 13/12/2006

6 volta è in grado di svolgere anche funzionalità di switch Ethernet (se equipaggiato con specifici moduli, vedi Par. 5.2) con un ingombro contenuto (1 rack unit). Inoltre, al fine di fornire autenticazione nell accesso Wi-Fi utente è stata abilitata la funzione di autenticazione tramite captive portal implementata dal WLCM il quale sfrutta il meccanismo di autentication-proxy per la verifica delle credenziali utente memorizzate su un RADIUS server esterno al router. Si sottolinea inoltre che questa architettura necessita di un proprio DNS al fine di intercettare il traffico utente e presentare in modo trasparente la pagina di richiesta delle credenziali. Infine, per ridurre il numero di host necessari al sistema, si è utilizzato il software VMWARE Workstation che, attraverso l utilizzo di una macchina virtuale, permette la coesistenza sullo stesso host di un RADIUS server operante in ambiente MS Windows, di un DNS basato su sistema operativo Debian Linux e di un server SYSLOG in grado di memorizzare i messaggi di log inviati dal router Cisco ARCHITETTURA DI RETE Il sistema è stato utilizzato all interno della preesistente infrastruttura di rete della Direzione del Consortium GARR, per una durata di circa quindici giorni. Per offrire la connettività Wi-Fi all interno ai due piani dell edificio della Direzione GARR, sono stati utilizzati un numero complessivo di 5 Access Point. In Figura 1 è illustrata schematicamente l architettura di rete posta in esercizio. AP AP Piano 2 AP AP AP Piano 1 VLAN 10 Catalyst PS 24x10/100Mbps PoE WLCM Cisco 2811 HWIC-4ESW HWIC-4ESW fa0/0 fa0/1 ip route Cross-cable ACS RADIUS eth0 eth1 DNS SYSLOG Figura 1: topologia fisica utilizzata Su uno degli switch Ethernet della direzione (Cisco Catalyst 3750 PoE a 24 porte 10/100Mbps) è stata creata la VLAN 10 a cui sono collegati gli Access Point e una delle porte Layer 2 dello switch Ethernet integrato nel Cisco (31) 13/12/2006

7 Di seguito vegono descritte in dettaglio le configurazioni software dei diversi elementi dell architettura. 5.1 INDIRIZZAMENTO IP E VLAN In Tabella 1 è riportato il piano di numerazione IP del sistema. Apparato Interfaccia IP Address/Netmask dns-server Eth /24 Static NAT per DNS Outside IP Address /24 Router 2811 Fa0/ /24 Router 2811 Fa0/ /24 Router 2811 wlan-controller1/ /24 Router wlan-controller1/ /24 (default gateway VLAN 20) Router vlan /24 RADIUS -ACS Eth /24 DHCP pool client wireless [ ] DHCP Management Access [ ] Point Tabella 1: Scema di indirizzamento IP 5.2 CONFIGURAZIONE DEI DUE MODULI HWIC A 4 PORTE FE Il router Cisco 2811 è in grado di ospitare due schede switch HWIC-4ESW; per il loro utilizzo è a necessario un opportuno setup hardware e software. Il router è in grado di riconoscere automaticamente solo una delle due schede switch inserite al suo interno (quella inserita nello slot con indicatore numerico più basso). Per abilitare il funzionamento di entrambe occorre collegare due porte delle due schede con cavo UTP cross, procedendo alla loro configurazione mediante il comando switchport stacking-partner interface <nome interfaccia connessa sull altra scheda>. In Figura 2 vengono mostrati il setup utilizzato e le configurazioni: 7(31) 13/12/2006

8 HWIC 2 fa0/2/0 fa0/2/1 fa0/2/2 fa0/2/3 Cavo UTP cross Trunk dot1q HWIC 3 fa0/3/0 fa0/3/1 fa0/3/2 vlan 10 fa0/3/3 interface FastEthernet0/2/0 switchport mode trunk switchport stacking-partner interface FastEthernet0/3/0 interface FastEthernet0/2/1 switchport access vlan 10 spanning-tree portfast interface FastEthernet0/2/2 switchport access vlan 10 spanning-tree portfast interface FastEthernet0/2/3 switchport access vlan 10 spanning-tree portfast interface FastEthernet0/3/0 switchport mode trunk switchport stacking-partner interface FastEthernet0/2/0 interface FastEthernet0/3/1 switchport access vlan 10 spanning-tree portfast interface FastEthernet0/3/2 switchport access vlan 10 spanning-tree portfast interface FastEthernet0/3/3 switchport access vlan 10 spanning-tree portfast Figura 2: Configurazione porte switch Tra le porte fa0/2/0 e fa0/3/0 viene realizzata una connessione assimilabile a quella effettuata tra due switch inseriti all interno di una architettura stack. Per semplicità le porte rimanenti sono inserite all interno di una VLAN comune ( VLAN 10). N.B Prima di potere assegnare le porte alla VLAN è necessario definire la VLAN 10 nel vlan database del router attraverso i comandi riporti nel seguito: R2#vlan database R2(vlan)# R2(vlan)# vlan 10 Configurazione vlan 10 Si noti infine che una soluzione completamente integrata (senza switch Ethernet esterno) potrebbe utilizzare il modulo HWIC-D-9ESW-PoE, da installare al posto delle due HWIC da quattro porte, che dispone complessivamente di 9 porte per la connessione degli AP e di altri dispositivi. 5.3 CONFIGURAZIONE DEL WIRELESS LAN CONTROL MODULE (WLCM) L architettura utilizza un Cisco Wireless Lan Controller Module (riportato in Figura 3) che implementa le stesse funzionalità dell appliance Wireless LAN Controller (31) 13/12/2006

9 Figura 3: Wireless Lan Controller Module Una volta inserito all interno del router, il WLCM si comporta come un WLC esterno dotato di una singola interfaccia FE (nota come porta 1) connessa all interfaccia del router denominata interface wlan-controller, come mostrato in Figura 4. interface wlan-controller R2 FE WLCM Figura 4: Schema interpretativo connessione WLCM - router N.B. È necessario che l immagine dell IOS presente sul router supporti il WLCM.In particolare, tutte le immagini e tutti i feature set successivi alla release 12.4(2)XA1 sono valide candidate. Inoltre, il WLCM deve essere equipaggiato con un firmware non più vecchio della release La configurazione del WLCM prevede in prima istanza all assegnazione di un IP all interfaccia del router connessa al WLCM. Configurazione interfaccia wlan-controller di R2 R2# configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)# R2(config)# interface wlan-controller 1/0 R2(config-if)# ip address R2(config-if)# no shut R2(config-if)# end R2# 9(31) 13/12/2006

10 Per procedere alla prima configurazione del WLCM è necessario connettersi allo stesso tramite console. Essendo l apparato WLCM integrato all interno del Cisco 2811, dalla console del router va eseguito il seguente comando: Connessione alla console del WLCM attraverso R2 R2# service-module wlan-controller 1/0 session N.B. Per la disconnessione è necessario eseguire la seguente procedura Cisco Controller> logout Premere CTRL+SHIFT+6 quindi rilasciare i tasti e premere il tasto x R2# disconnect Se non è stato mai configurato, il WLCM presenta al momento della connessione la schermata di configurazione iniziale. Di seguito vengono riportati i valori impostati sul WLCM al momento della prima configurazione. Configurazione Iniziale WLCM Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup System Name [Cisco_ff:ad:c1]: NMWLC Enter Administrative User Name (24 characters max): admin Enter Administrative Password (24 characters max): ***** Management Interface IP Address: Management Interface Netmask: Management Interface Default Router: Management Interface VLAN Identifier (0 = untagged): 0 Management Interface Port Num [1]: 1 Management Interface DHCP Server IP Address: AP Manager Interface IP Address: AP-Manager is on Management subnet, using same values AP Manager Interface DHCP Server ( ): Virtual Gateway IP Address: Mobility/RF Group Name: none Network Name (SSID): direzione1 Allow Static IP Addresses [YES][no]: no Configure a RADIUS Server now? [YES][no]: no Warning The default WLAN security policy requires a RADIUS server. Please see documentation for more details. Enter Country Code (enter 'help' for a list of countries) [US]: IT Enable b Network [YES][no]: YES Enable a Network [YES][no]: YES 10(31) 13/12/2006

11 Enable g Network [YES][no]: YES Enable Auto-RF [YES][no]: YES Configuration saved Resetting system with new configuration... Dopo la prima configurazione il modulo esegue un reboot ed è operativo. Per controllare il traffico relativo alla Wireless LAN configurata sul WLC con SSID: direzione1, è stato definito un mapping tra questa WLAN e la VLAN 20. Per ulteriori configurazioni è possibile utilizzare l interfaccia WEB raggiungibile attraverso l IP della Management Interface ( ), accedendovi tramite lo user e la password precedentemente impostate. È di fondamentale importanza, una volta creata la WLAN mediante l impostazione di un SSID, verificare che l interfaccia sia amministrativamente abilitata come mostrato in Figura 5. Figura 5: Verifica abilitazione interfaccia Wireless Infine è consigliabile modificare le impostazioni di default del Web Captive Portal agendo sugli opportuni parametri a disposizione (vedi Figura 6). 11(31) 13/12/2006

12 Figura 6: Personalizzazione Web Captive Portal 5.4 CONFIGURAZIONE DEL ROUTER CISCO 2811 Di seguito vengono riportati i servizi necessari al funzionamento del sistema, da configurare sul router Configurazione interfaccia virtuale per connettività Wireless Network Il WLCM è stato configurato in modo da associare tutto il traffico proveniente dall SSID direzione1 alla VLAN 20. Risulta pertanto necessario definire sull interfaccia del router connessa internamente al WLCM, una ulteriore interfaccia logica che riceva il traffico tagged proveniente dal Wireless Lan Controller e destinato alla VLAN 20. Di seguito viene riportata la configurazione necessaria. Configurazione Interfaccia Router per gestione traffico utente da Wireless interface wlan-controller1/0.20 encapsulation dot1q 20 ip address no ip virtual-reassembly N.B 12(31) 13/12/2006

13 L IP assegnato all interfaccia del router è in classe privata e deve essere configurato come default gateway della LAN associata alla WLAN ( /24) Abilitazione DHCP e NTP La gestione degli AP da parte del WLCM può avvenire sostanzialmente in due modalità: i) a livello di rete (livello 3), ii) a livello datalink (Ethernet). Si è scelto di utilizzare la modalità di livello 3 che richiede un indirizzo IP per ogni AP, assegnato tramite server DHCP abilitato sullo switch Ethernet. È inoltre obbligatorio, tramite l utilizzo della option 43, che il server DHCP fornisca all AP l indirizzo IP dell interfaccia di management del WLC. Di seguito viene riportata la configurazione necessaria: Configurazione DHCP VLAN 10 (MANAGEMENT) ip dhcp pool AccessPoint network dns-server default-router option 43 hex f104.0ac8.000a option 60 ascii "Cisco AP c1240" Il valore dell option 43 è ricavato dall unione di tre valori numerici Type 16 Value 16 IP Address 16 secondo la modalità indicata in Figura 7: Fixed = f1 4 x Numero di IP seguenti Type + Value + (IP1) 16 + (IP2) 16 + (IPn) 16 IP DA CONVERTIRE IP CONVERTITO 0a.c8.00.0a VALORE FINALE f104.0ac8.000a Figura 7: Costruzione valore option 43 La possibilità di potere indicare più di un IP è utile solo in presenza di due o più WLC. 13(31) 13/12/2006

14 Per l assegnazione degli indirizzi ai client wireless è necessario configurare un server DHCP per la VLAN 20: Configurazione DHCP VLAN 20 (WIRELESS) ip dhcp pool WLAN20 network default-router dns-server Vanno in seguito esclusi dai due DHCP POOL gli indirizzi dei gateway e del DNS interno, oltre ad una porzione della VLAN 10 da riservare per l eventuale assegnazione di IP statici. Configurazione DHCP VLAN 20 (WIRELESS) ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address Di fondamentale importanza è infine la configurazione di un server NTP. Lo scambio dei certificati tra gli AP ed il WLC, necessari al momento della creazione del canale di controllo cifrato, si conclude con successo solamente se la data impostata sul router è sincronizzata con quella degli AP. Di seguito viene riportata la configurazione utilizzata: Configurazione NTP ntp logging ntp source wlan-controller1/0.20 ntp master Configurazione interfacce FE interne dei router e assegnazione della default route All interfaccia FastEthernet0/0 è connesso il server DNS interno che risponde all indirizzo IP , pertanto la configurazione è la seguente: Configurazione interfaccia fe0/0 di R2 interface FastEthernet0/0 ip address no ip virtual-reassembly duplex auto speed auto 14(31) 13/12/2006

15 All interfaccia FastEthernet 0/1 viene assegnato un IP preso dallo spazio di indirizzamento di una delle due reti di Classe C a disposizione della Direzione Consortium GARR Configurazione interfaccia fe0/1 di R2 interface FastEthernet0/1 ip address no ip virtual-reassembly duplex auto speed auto Il default gateway per la rete /24 e l IP pertanto la default route configurata sul router sarà impostata nel seguente modo: Configurazione default route di r2 ip route In Figura 8 è riportato uno schema che riassume la configurazione del router e del WLCM: fa0/2/0 fa0/2/1 fa0/2/2 fa0/2/3 cavo UTP cross trunk dot1q vlan 10 R2 interface Vlan10 ip address /24 SVI ip route fa0/ /30 ip nat outside FE.1 interface wlan-controller1/ fa0/3/0 fa0/3/1 fa0/3/2 fa0/3/3 fa0/ /24 ip nat inside interface wlan-controller1/0.20 encapsulation dot1q 20 ip address /24 Ip nat inside WLCM MGT interface /24 AP-MGR interface /24 Figura 8: Schema riassuntivo configurazioni Configurazione NAT/PAT Alla rete wireless è stato assegnato uno spazio di indirizzamento compreso all interno di una rete privata ( /24): risulta pertanto necessario ricorrere alla funzione di NAT per permette re la comunicazione degli host wireless verso Internet. Per minimizzare l utilizzo degli IP pubblici si è deciso di adottare un meccanismo di PAT che permette a tutti i client wireless di usare in uscita il medesimo indirizzo pubblico ( configurato sulla interfaccia FastEthernet0/1 del router R2). Per evitare ogni 15(31) 13/12/2006

16 problema di traslazione degli indirizzi IP delle query DNS (per esempio, le query trasportate su TCP), si utilizza un PAT di tipo statico in cui l IP privato del DNS ( ) viene associato ad un indirizzo IP pubblico ( ). La configurazione del NAT sul router richiede l individuazione delle interfacce da cui proviene il traffico da traslare (inside) e quelle da cui invece esce il traffico traslato (outside). Nome Interfaccia INSIDE OUTSIDE FastEthernet 0/0 X FastEthernet 0/1 X interface wlan-controller1/0.20 X La configurazione delle interfacce viene pertanto modificata nel seguente modo Configurazione Interfaccia Router per gestione traffico utente da Wireless interface wlan-controller1/0.20 encapsulation dot1q 20 ip nat inside ip address no ip virtual-reassembly Configurazione interfaccia FA0/0 per NAT interface FastEthernet0/0 ip address ip nat inside no ip virtual-reassembly duplex auto speed auto Configurazione interfaccia FA0/1 per NAT interface FastEthernet0/1 ip address ip nat outside no ip virtual-reassembly duplex auto speed auto Per effettuare la traslazione si utilizza una ACL per individuare il traffico interessante per il quale va effettuata la procedura di PAT: Configurazione ACL per individuazione traffico da traslare access-list 10 permit Il NAT pool consente di individuare l insieme di indirizzi pubblici da utilizzare come sorgente per il traffico indirizzato verso l esterno. 16(31) 13/12/2006

17 Nel nostro caso, utilizzando il meccanismo del PAT, il pool è composto di un singolo indirizzo che coincide con quello dell interfaccia Fa0/1. Configurazione NAT/PAT ip nat pool PUBLIC netmask ip nat inside source list 10 pool PUBLIC overload Il commando overload istruisce il router di effettuare anche PAT. Infine va inserito il comando che configura il PAT statico per l host sul quale è configurato il DNS interno: Configurazione NAT/PAT ip nat inside source static La configurazione del NAT è riassunta in Figura 9. fa0/2/0 fa0/2/1 fa0/2/2 fa0/2/3 cavo UTP cross trunk dot1q R2 FE interface fa0/1 ip address /24 NAT OUTSIDE INTERFACE interface wlan-controller1/ fa0/3/0 fa0/3/1 fa0/3/2 fa0/3/3 interface FastEthernet0/0 ip address ip nat inside interface FastEthernet0/1 ip address ip nat outside interface fa0/0 ip address /24 NAT INSIDE INTERFACE ip nat pool PUBLIC netmask ip nat inside source list 10 pool PUBLIC overload ip nat inside source static access-list 10 permit Static NAT DNS SERVER interface wlan-controller1/0.20 ip address /24 NAT INSIDE INTERFACE WLCM interface wlan-controller1/0.20 encapsulation dot1q 20 ip address ip nat inside no ip virtual-reassembly MGT interface /24 AP-MGR interface /24 NAT/PAT rete wireless Figura 9: Schema riassuntivo del funzionamento del meccanismo NAT/PAT Può essere utile mantenere una traccia delle sessioni controllate e gestite dal processo PAT; è pertanto interessante abilitare la funzionalità di log del NAT attraverso il comando: ip nat log translations syslog Abilitazione log NAT/PAT 17(31) 13/12/2006

18 5.4.5 Attivazione funzione di syslog Per motivi di sicurezza, è consigliabile replicare i log generati dal router su di un host remoto (in questo caso l host rispondente all ip ). L espletamento di questa funzione è effettuato tramite l utilizzo della facility di syslog local2. Di seguito vengono riportati i comandi necessari all abilitazione di questa funzionalità: logging trap debugging logging facility local2 logging Abilitazione syslog su host remoto 6 INSTALLAZIONE DEGLI ACCESS POINT All interno della direzione del Consortium GARR erano già presenti punti LAN (terminati su uno Switch PoE) predisposti per il posizionamento degli AP. N.B. Nel caso si desideri realizzare una architettura analoga e non sia disponibile in loco uno switch PoE è necessaria l utilizzazione dei Power Injector, che consentono di telealimentare gli AP (nel caso si voglia alimentare gli AP tramite PoE). Per separare i traffici preesistenti all interno della LAN della direzione GARR dal traffico generato dagli Access Point, sullo switch Catalyst 3750 della direzione, viene definita una VLAN (VLAN 10) a cui connettere tutti gli AP. Successivamente (come mostrato in Figura 10) la porta fa0/3/3 del router 2811 è stata connessa ad una porta dello switch configurata su questa VLAN. Piano 2 Piano 1 VLAN 10 SWITCH DIREZIONE GARR R2 Figura 10: Topologia interconnessione Access Point 18(31) 13/12/2006

19 In questo modo gli AP ricevono l IP dal DHCP configurato sul router R2 e si associano correttamente al WLCM. 7 CONFIGURAZIONE DELL HOST DI GESTIONE La tracciabilità delle sessioni utente è mantenuta tramite l utilizzo di un server RADIUS sul quale risiedono le credenziali di autenticazione degli utilizzatori. Al momento della connessione, il WLCM verifica la validità delle credenziali utente e ne abilita la comunicazione. Questa funzione è espletata da un host con sistema operativo Windows 2000 Server equipaggiato con il RADIUS Cisco ACS. Al fine di contenere il numero di apparati necessari a realizzare questa architettura (vedi i requisiti di sistema di Par. 3), l host sul quale è installato il Cisco ACS è stato configurato con una istanza di VMWare Workstation, all interno della quale si è proceduto anche all integrazione di un S.O. Linux-Debian con funzione di DNS Proxy. DNS Proxy Debian sarge Linux vmd VMWARE Workstation Build:5.5.2 build RADIUS Server ACS WIN 2K Server SP4 eth1 eth0 Figure 1: configurazione software dell host utilizzato per la gestione degli utenti 7.1 CONFIGURAZIONE VMWARE E SERVER DNS L host che eroga i servizi RADIUS e DNS attraverso i server virtuali di VMWare è stato configurato in modo da procedere al caricamento automatico di tutti i servizi di cui sopra. In questo modo, al boot del sistema i servizi vengono automaticamente riattivati Abilitazione funzione di autologin Windows 2000 Server Riportamo di seguito la procedura da effettuare per l abilitazione della funzione di autologin necessaria per la riattivazione automatica dei servizi: 1. Aprire il software di modifica del registro regedit e posizionarsi al path [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows 19(31) 13/12/2006

20 NT\CurrentVersion\Winlogon] verificando che la username all'interno del registro "DefaultUserName" sia "Administrator". Se la chiave non esiste bisogna procedere alla sua creazione come indicato in Figura 11. Figura 11: Creazione del la chiave AutoAdminLogon 2. Creare una chiave del registro di configurazione di Windows denominata AutoAdminLogon. 3. Modificare il registro "AutoAdminLogon" al valore 1 il valore (vedi Figura 12) Figura 12: Modifica della chiave AutoAdminLogon 4. Nel caso in cui l utente abbia la password configurata, nello stesso punto del registro di configurazione, è necessaria la creazione di una nuova key di tipo String denominata "DefaultPassword" al cui interno va inserita la password dell'utente. 20(31) 13/12/2006

21 A questo punto l host è configurato in modo da procedere al login in modo automatico al momento del boot. Anche la macchina virtuale deve eseguire il boot allo startup dell host, va quindi creato uno shortcut nel modo indicato (avendo l accortezza di sostituire i nomi e i path presenti con i propri) : "C:\Program Files\VMware\VMware Workstation\vmware.exe" -X "C:\Documents and Settings\user\My Documents\My Virtual Machines\FC5\Debin Linux 2.6.x kernel.vmx", come mostrato in Figura 13. Figura 13: Shortcut per l avvio dei server virtuali Lo shortcut infine deve essere aggiunto alla cartella Startup (o Esecuzione Automatica ) dell utente desiderato Configurazione BIND per servizio DNS Proxy Il server virtuale linux assolve alle funzioni di DNS Proxy server utilizzando un processo denominato bind. Il demone bind agisce semplicemente da forwarder per le query, 21(31) 13/12/2006

22 inoltrandole ad un DNS esterno incaricato di procedere alla reale operazione di ricorsione e risoluzione del nome. Questo approccio rende la configurazione di BIND (altrimenti piuttosto complicata) molto semplice. È sufficiente editare il file di configurazione /etc/bind/named.conf.options (la localizzazione del file all interno del sistema operativo potrebbe variare da distribuzione a distribuzione) procedendo all inserimento, alla voce forwarders, dell IP del DNS desiderato e rimuovendo nel contempo il commento per il comando query-source address * port 53, come di seguito riportato. Configurazione Bind in modalità forwarding vmd:/etc/bind# more named.conf.options options { directory "/var/cache/bind";. query-source address * port 53; forwarders { ; }; Dopo avere proceduto al riavvio (stop e start) del servizio il server è pronto a ricevere query DNS. In Figura 14 viene riporta una visione schematica della configurazione. eth1:additional NIC 3Com 3C905C-TX HP Compaq dc GB RAM S.O. Win2k-Server SP4 Software Cisco ACS eth1 eth0: On-board NIC (BroadCom NetXtreme) eth0 IP Address: GTW: DNS: IP: /24 GTW: Interfaccia ACS VMWARE Workstation Build:5.5.2 build Virtual Host 128MB RAM 8GB HD IP: /24 GTW: /24 DNS Proxy Debian sarge Linux vmd eth0 ACS e DNS risiedono sullo stesso server VMnet2 Interfacce fisiche IP: GTW: - DNS: - eth1 Figura 14: Schema riassuntivo configurazione Server 22(31) 13/12/2006

23 7.1.3 Attivazione della funzionalità di syslog L host che implementa la funzione di syslog è lo stesso che realizza il servizio DNS Proxy, (indirizzo IP ). Sebbene il demone che all interno del sistema operativo gestisce le funzioni di syslog sia per default sempre attivo, è necessaria l attivazione della funzionalità che permette il logging di messaggi provenienti da una sorgente esterna all host stesso. All interno del file /etc/init.d/sysklogd (il nome e/o la posizione del file potrebbero cambiare da distribuzione a distribuzione) è necessario modificare uno dei parametri nel seguente modo: Attivazione Funzionalità di syslog da remoto vmd:~# more /etc/init.d/sysklogd # Options for start/restart the daemons # For remote UDP logging use SYSLOGD="-r" # SYSLOGD="-r" Infine va configurata il nome della facility utilizzata per il log, oltre alla posizione e il nome del log file stesso. Editare il file /etc/syslog.conf (il nome e/o la posizione del file potrebbero cambiare da distribuzione a distribuzione) aggiungendo le seguenti righe di configurazione: Configurazione facility per syslog vmd:~# more /etc/init.d/sysklogd #logging WLCM ROUTER local2.* /var/log/wlcm.log Al termine di queste operazioni è necessario procedere al riavvio del demone sysklogd mediamente il comando seguente (il nome e/o la posizione del file potrebbero cambiare da distribuzione a distribuzione): Configurazione facility per syslog vmd:~# /etc/init.d/sysklogd restart Potrebbe essere interessante, nell ottica di limitare lo spazio disco occupato dai log generati, abilitare per il file di log la funzionalità di logrotate aggiungendo le seguenti righe al file /etc/logrotate.conf (il nome e/o la posizione del file potrebbero cambiare da distribuzione a distribuzione): Configurazione logrotate per file di log /var/log/wlcm.log /var/log/wlcm.log { daily create compress rotate 30 23(31) 13/12/2006