Implementazione di VLAN multiple per l utilizzo della rete wireless



Documenti analoghi
Networking. Notare che le modifiche apportate attraverso ifconfig riguardano lo stato attuale del sistema e non sono persistenti.

Informazioni Generali (1/2)

Comandi per configurazioni VLAN su Packet Tracer - Comandi per VLAN Untagged

Lezione n.9 LPR- Informatica Applicata

Vlan Relazione di Sistemi e Reti Cenni teorici

INFOCOM Dept. Antonio Cianfrani. Virtual LAN (VLAN)

Rootkit. Dott. Ing. Igino Corona. Corso Sicurezza Informatica 2014/2015. igino.corona (at) diee.unica.it. Pattern Recognition and Applications Lab

Bonding. Matteo Carli Ridondanza e load balancing con schede di rete.

Configurazione Rete in LINUX

Guida rapida - rete casalinga (con router)

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Introduzione alle VLAN Autore: Roberto Bandiera 21 gennaio 2015

Guida rapida - rete casalinga (con router) Configurazione schede di rete con PC

Sicurezza nelle reti

Laboratorio di reti Relazione N 5 Gruppo 9. Vettorato Mattia Mesin Alberto

Transparent Firewall

Indirizzi IP questi sconosciuti o quasi!! netmask

Assegnamento di un indirizzo IP temporaneo a dispositivi Barix

Cos'è una vlan. Da Wikipedia: Una LAN virtuale, comunemente

Configurazione di una rete locale con Linux

Iptables. Mauro Piccolo

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

Firewall e Abilitazioni porte (Port Forwarding)

Lezione 1 Connessione ad una rete

Configurazione Public Network e Load Balancer as a Service. Stefano Nicotri INFN - Sezione di Bari

SIP-Phone 302 GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Configurazione WAN (accesso internet)

Esempio di rete aziendale

Guida Tecnica. Come visionare da internet anche dietro un IP dinamico i dvr Brahms.

Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet)

WAN / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP.

Laboratorio di Reti Esercitazione N 2-DNS Gruppo 9. Laboratorio di Reti Relazione N 2. Mattia Vettorato Alberto Mesin

MANUALE CONFIGURAZIONE ED UTILIZZO GATEWAY MBUS-MODBUS (RTU/TCP) MODELLO PiiGAB M900

SOMMARIO... 2 Introduzione... 3 Configurazione Microsoft ISA Server... 4 Microsoft ISA Server Microsoft ISA Server

LAN Sniffing con Ettercap

PSNET UC RUPAR PIEMONTE MANUALE OPERATIVO

ARP e instradamento IP

Gate Manager. Come accedere alla rete di automazione da un PC (Rete cliente) COME ACCEDERE ALLA RETE DI AUTOMAZIONE DA UN PC (RETE CLIENTE)...

Tiesse Software Upgrade NOS. Pubblicazione a cura di: Tiesse s.p.a. via Asti, Area Industriale S. Bernardo Ivrea (TO) Italy

filrbox Guida all uso dell applicazione DESKTOP Pag. 1 di 27

VS-TV. Manuale per l utente. Matrice video virtuale ITALIANO

Wireless Network Esercitazioni. Alessandro Villani

Corsi di Formazione Open Source & Scuola Provincia di Pescara gennaio 2005 aprile ~ anna.1704@ .

Il protocollo VTP della Cisco

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO

Installazione di NoCat

Reti di Calcolatori

SIEMENS GIGASET S685 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Airone Gestione Rifiuti Funzioni di Esportazione e Importazione

GATEWAY GSM. QuickStart

esercizi su sicurezza delle reti maurizio pizzonia sicurezza dei sistemi informatici e delle reti

Gruppo Utenti Linux Cagliari h...

Servizi Remoti. Servizi Remoti. TeamPortal Servizi Remoti

Corso di Sistemi di Elaborazione delle informazioni. Reti di calcolatori 3 a lezione a.a. 2009/2010 Francesco Fontanella

Contenuto del pacchetto

Gestione dei servizi all utenza. 3. Autorizzazioni

Modem Fibra (ONT) ALU I-240W-Q. Manuale Utente

Modulo 10. Configurazione VLAN Interconnessione del cavo seriale all'apparato attivo

CLOUD AWS. #cloudaws. Community - Cloud AWS su Google+ Amazon Web Services. Amazon VPC (Virtual Private Cloud)

La VPN con il FRITZ!Box Parte II. La VPN con il FRITZ!Box Parte II

Mediatrix 3000 & Asterisk

. A primi passi con microsoft a.ccepss SommarIo: i S 1. aprire e chiudere microsoft access Start (o avvio) l i b tutti i pro- grammi

Guida per l accesso alla rete dati Wireless Windows Vista

SIEMENS GIGASET S450 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Software di interfacciamento sistemi gestionali Manuale di installazione, configurazione ed utilizzo

INFOCOM Dept. Software Router

Reti di Calcolatori - Laboratorio. Lezione 8. Gennaro Oliva

Configurazione di una rete locale con Linux

BMSO1001. Virtual Configurator. Istruzioni d uso 02/10-01 PC

MANUALE DI GESTIONE BANCA DATI INTERNET ED AREA FTP PER ESPERTI DI RAZZA

Packet Filter in LINUX (iptables)

Creazione e installazione di un NAS utilizzando FreeNAS

Studi di Settore. Nota Operativa 22/4/2013

TeamPortal. Servizi integrati con ambienti Gestionali

Installazione del software Fiery per Windows e Macintosh

SIEMENS GIGASET C450 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Prova completa Mercoledì 14 Settembre 2005, ore 9.00

Per trovare un IP address (indirizzo IP) di un router Linksys, controllare le impostazioni del computer. Per istruzioni, cliccare qui.

Inizializzazione degli Host. BOOTP e DHCP

Sicurezza delle reti. Monga. Tunnel. Sicurezza delle reti. Monga

Grazie per l'acquisto di un router wireless marchio ΩMEGA. Abbiamo fatto ogni sforzo per garantire che il

ARCHIVIA PLUS - ARCHIFILE

Configurazione AP Managed

TERMINALE. Creazione e gestione di una postazione terminale di Eureka

Capitolo 1 Installazione del programma

Access Control List (I parte)

Interfaccia KNX/IP - da guida DIN KXIPI. Manuale Tecnico

Rete wireless Appunti

Fate doppio click sul file con nome postgresql-8.0.msi e impostate le varie voci come riportato nelle immagini seguenti:

26 Febbraio 2015 Modulo 2

Note Tecniche Installazione ed Aggiornamento EasyTelematico 1.3.x

ImporterOne Manuale Export Plugin Prestashop

FRANCESCO MARINO - TELECOMUNICAZIONI

11/02/2015 MANUALE DI INSTALLAZIONE DELL APPLICAZIONE DESKTOP TELEMATICO VERSIONE 1.0

FPf per Windows 3.1. Guida all uso

ATA-172 GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Network Topology. Configurazione HA USG300

Internet. Introduzione alle comunicazioni tra computer

Le VLAN nella gestione delle reti locali

Istruzioni di installazione di IBM SPSS Modeler Text Analytics (licenza per sito)

Transcript:

Servizio Calcolo e Reti Pavia, 15 Agosto 2006 Implementazione di VLAN multiple per l utilizzo della rete wireless Andrea Rappoldi 1 Introduzione 2 Configurazione degli switch Catalyst Occorre definire innanzitutto le VLAN necessarie, e la modalità di gesione (nel caso particolare si utilizza VTP, configurando ogni switch come server) utilizzando la suite di comandi vlan database: ge-switch vlan database (vlan) vlan 100 name INFN-dot1x (vlan) vlan 200 name INFN-Web (vlan) vtp server (vlan) vtp domain infn-pv (vlan) vtp pruning (vlan) exit e quindi si passa alla configurazione dei trunk, che deve essere effettuata: per le porte a cui sono collegati gli Access Point wireless (che sono configurati per accedere a più VLAN in trunk); per le porte di uplink, in modo che l informazione relativa ai trunk si propaghi su tutta la LAN relativa Nel procedere alla configurazione delle porte degli switch, conviene iniziare dalla porta pi periferica (porta di collegamento dell Access Point), e procedere verso il centro stella, perchè ogni volta che viene definito un trunk su una porta, si perde temporaneamente la connessione su di essa Così ad esempio, facendo riferimento allo schema mostrato in Fig 1, conviene procedere nel seguente ordine: Definizione delle VLAN sullo switch ge-switch-22; 1

Definizione del trunk sulla sua interfaccia f0/13; Definizione delle VLAN sullo switch ge-switch-12; Definizione del trunk sulla sua interfaccia g0/2; Definizione delle VLAN sullo switch ge-switch-16; Definizione delle VLAN sullo switch ge-switch-02; Definizione del trunk sulla sua interfaccia g0/2; Definizione delle VLAN sullo switch cs-switch; Definizione del trunk sulla sua interfaccia g2/2; Definizione del trunk sulla sua interfaccia g4/38; 21 Configurazione dello switch dal lato server (ge-switch-03) Configurazione dell interfaccia f0/1, a cui è collegato il server radius, e dell interfaccia sf g0/2, che rappresenta l uplink verso lo switch di centro stella (ge-switch-20): interface FastEthernet0/1 switchport trunk encapsulation dot1q switchport mode trunk interface GigabitEthernet0/2 switchport trunk encapsulation dot1q switchport mode trunk Risultato del comando sho vtp status: ge-switch-03sho vtp status VTP Version : 2 Configuration Revision : 0 Maximum VLANs supported locally : 254 Number of existing VLANs : 7 VTP Operating Mode : Server VTP Domain Name : VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0x69 0x2A 0x63 0xE9 0xFB 0xDD 0x72 0xF5 Risultato del comando sho int f0/1 switchport: 2

wap105 f0/13 Teorici 22 12 16 02 Capannone eth0 eth1 g0/38 g1/x g2/x g3/x g4/x WLAN server Sala Macchine cs switch Figura 1: Schema parziale della LAN, in cui viene mostrato solo il ramo relativo all area teorici 3

ge-switch-03sho int f0/1 switchport Name: Fa0/1 Switchport: Enabled Administrative mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Disabled Access Mode VLAN: 0 ((Inactive)) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: 1,100,200,1002-1005 Trunking VLANs Active: 1,100,200 Pruning VLANs Enabled: 2-1001 Priority for untagged frames: 0 Override vlan tag priority: FALSE Voice VLAN: none Appliance trust: none Self Loopback: No Risultato del comando sho int g0/2 switchport: ge-switch-03sho int g0/2 switchport Name: Gi0/2 Switchport: Enabled Administrative mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Disabled Access Mode VLAN: 0 ((Inactive)) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: ALL Trunking VLANs Active: 1,100,200 Pruning VLANs Enabled: 2-1001 Priority for untagged frames: 0 Override vlan tag priority: FALSE Voice VLAN: none Appliance trust: none Self Loopback: No 22 Configurazione dello switch di centro stella (cs-switch) In questo caso è sufficiente 23 Configurazione dello switch dal lato Wireless Access Point (geswitch-23) 3 Configurazione del server Linux La definizione delle interfacce virtuali, associate alle VLAN, può essere effettuata sfruttando in parte i comandi contenuti nella procedura di startup della rete (script file /etc/initd/network) In essa è presente, infatti la parte relativa al caricamento del modulo 8021q che consente la gestione delle VLAN secondo lo standard 8021q, e consente quindi di utilizzare un server destinato a servire più VLAN, fisicamente riunite su un unica porta di uno switch Catalyst, mediante definizione di un trunk Per fare in modo che la procedura provveda al caricamento del modulo, occorre definire i seguenti parametri nel file di configurazione: /etc/sysconfig/network: 4

Attiva le interfacce specifiche sulle VLAN necessarie per la rete wireless: VLAN 100 = INFN-dot1x VLAN 200 = INFN-Web VLAN=yes VLAN_NAME_TYPE=VLAN_PLUS_VID_NO_PAD Il secondo parametro (VLAN_NAME_TYPE serve a definire il nome che verrà assegnato alle nuove interfacce associate alle VLAN In particolare, con il valore mostrato, ogni nuova interfaccia creata verrà nominata vlanxxxx dove xxxx rappresenta il numero che identifica la VLAN (VLAN ID) Ad esempio, per la VLAN con ID = 100, verrà creata l interfaccia di nome vlan100 Fatto questo, occorre modificare leggermente lo script (farne una copia di backup, per evitare la sostituzione con la versione standard, in caso di upgrade!) 1 aggiungendo le linee seguenti, che hanno lo scopo di eseguire lo script di creazione o cancellazione delle interfacce associate alle VLAN: /etc/rcd/initd/network: Attiva le VLAN /etc/sysconfig/network-scripts/vlan start touch /var/lock/subsys/network ;; stop) Stop delle VLAN /etc/sysconfig/network-scripts/vlan stop rm -f /var/lock/subsys/network ;; status) dove lo script /etc/sysconfig/network-scripts/vlan è del tipo:!/bin/sh if [! -f /etc/sysconfig/network ]; then exit 0 fi /etc/sysconfig/network if [ $VLAN!= "yes" ]; then exit 0 fi case "$1" in start) echo "Starting VLANs" sleep 1 /sbin/vconfig add eth1 100 ifconfig vlan100 19216810011 up /sbin/vconfig add eth1 200 1 Lo script file modificato viene rinominato networkvlan, mentre quello originale viene rinominato networkrpmold, quindi si crea il link network -> networkvlan 5

;; stop) ;; ifconfig vlan200 19216820011 up /sbin/vconfig rem vlan100 /sbin/vconfig rem vlan200 esac In questo modo, dopo l avvio della rete, sul server si trovano definite le seguenti interfacce di rete (omettendo quelle meno signifiatve, come ad esempio eth0 (lato LAN) e lo (interfaccia di lookup): % ifconfig eth1 Link encap:ethernet HWaddr 00:0D:61:32:9E:DD inet addr:192168011 Bcast:1921680255 Mask:2552552550 inet6 addr: fe80::20d:61ff:fe32:9edd/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:518441 errors:0 dropped:0 overruns:0 frame:0 TX packets:23176 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:39632771 (377 MiB) TX bytes:25173651 (240 MiB) Base address:0xb800 Memory:fe400000-fe420000 vlan100 Link encap:ethernet HWaddr 00:0D:61:32:9E:DD inet addr:19216810011 Bcast:192168100255 Mask:2552552550 inet6 addr: fe80::20d:61ff:fe32:9edd/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:575 errors:0 dropped:0 overruns:0 frame:0 TX packets:418 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:50375 (491 KiB) TX bytes:111416 (1088 KiB) vlan200 Link encap:ethernet HWaddr 00:0D:61:32:9E:DD inet addr:19216820011 Bcast:192168200255 Mask:2552552550 inet6 addr: fe80::20d:61ff:fe32:9edd/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:16814 errors:0 dropped:0 overruns:0 frame:0 TX packets:21863 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:1849041 (17 MiB) TX bytes:24800617 (236 MiB) Aggiunge l interfaccia eth1100 associata alla VLAN 100 (INFN-dot1x): [root@radius ~] vconfig add eth1 100 Aggiunge l interfaccia eth1200 associata alla VLAN 200 (INFN-Web): [root@radius ~] vconfig add eth1 200 4 Configurazione di iptables Il programma gateway (attivato da NoCat provvede per conto suo ad aggiungere su richiesta le definizioni di iptables relative ad ogni client che completa l associazione con l Access Point Tali comandi, sono contenuti nei vari script file presenti in /usr/local/nocat/gw/bin Tuttavia, vi sono alcune regole che devono essere definite inizialmente, ad ogni riavvio di iptables, e devono pertanto venire incluse nel file di configurazione /etc/sysconfig/iptables 6

41 Regole relative alla VLAN 100 Per quanto riguarda la VLAN 100 (relativa alla rete con SSID INFN-dot1x, è necessario che il client, una volta associato all Access Point, possa comunicare con l esterno A tal fine, occorre aggiungere le seguenti definizioni al file di configurazione /etc/sysconfig/iptables: Abilita tutto il traffico proveniente dalla vlan100 -A RH-Firewall-1-INPUT -i vlan100 -s 1921681000/24 -j ACCEPT -A RH-Firewall-1-INPUT -i vlan100 -s 1921681000/24 -p tcp -m tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -i vlan100 -s 1921681000/24 -p udp -m udp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -i vlan100 -s 1921681000/24 -p tcp -m tcp --dport 53 -j ACCEPT -A RH-Firewall-1-INPUT -i vlan100 -s 1921681000/24 -p udp -m udp --dport 53 -j ACCEPT -A RH-Firewall-1-INPUT -i vlan100 -s 1921681000/24 -p tcp -m tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -i vlan100 -s 1921681000/24 -p udp -m udp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -i vlan100 -s 1921681000/24 -p tcp -m tcp --dport 443 -j ACCEPT -A RH-Firewall-1-INPUT -i vlan100 -s 1921681000/24 -p udp -m udp --dport 443 -j ACCEPT -A RH-Firewall-1-INPUT -i vlan100 -s 1921681000/24 -p tcp -m tcp --dport 993 -j ACCEPT -A RH-Firewall-1-INPUT -i vlan100 -s 1921681000/24 -p udp -m udp --dport 993 -j ACCEPT È importante che venga abilitata la porta 53, releativa al protocollo DNS, in quanto il client deve essere in grado di interrogare il nameserver (definito tramite DHCP) Occorre inoltre che venga definita la table nat necessaria per la definizione delle regole di masquerade ralative ad ogni client Tale definizione deve essere necessariamente inserita nella prima parte del file di configurazione di iptables: Definizione del NAT per la rete 1921681000 (vlan100 - INFN-dot1x) *nat :PREROUTING ACCEPT [864:122349] :POSTROUTING ACCEPT [10:733] :OUTPUT ACCEPT [10:733] :NoCat_Capture - [0:0] :NoCat_NAT - [0:0] -A POSTROUTING -s 1921681000/2552552550 -o eth0 -j MASQUERADE COMMIT 42 Regole relative alla VLAN 200 7

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back