Enterprise WLAN

[Anp]

Det finns accesspunkter för 1.500 kr och för 9.500 kr.

Vad är skillnaden egentligen?

 

Låt säga att vi har en 3-plans kåk, 100 meter lång, och vill ha möjlighet att fritt kunna vandra runt med en laptop och ett WLAN-kort.

Jag vill inte sitta med en AP åt gången och managera, det måste gå att göra 'chokvis'.

 

Bef. utrustning i wired-nätet är HP Procurve och en del gamla 3Com-hubbar. Alla nyinköp är Procurve. Servrar är HP/Compaq. Jag har haft HP TopTools som övervakningscentral en gång, men blev inte överväldigt imponerad.. Men så var den ju gratis också.

Om jag har hängt med i svängarna så kommer storebror Openview att försvinna och ersättas av Insight Manager. Jag funderar allvarligt på att skaffa IM isåfall.

 

Det hade varit väldigt bra om WLAN-utrustningen kunde övervakas den vägen också, och min gissning är att vi kan utesluta några fabrikat direkt då, D-Link och Netgear ex, och att vi har två självklara tävlande, HP och Compaq.

Vilka fler alternativ finns för min del?

Cisco, Symbol, Enterasys är vad jag har förstått kvalitetsprodukter, men hur väl fungerar de i ett större sammanhang?

 

 

\\Anp

 

- Varför göra det idag, det du skulle gjort igår?

[Hyperboy]

Har stor erfarenhet av Cisco Aironet,stabila och bra antenner övervakning kan du ju köra med SNMP.

Hur har du tänkt lösa säkerheten ?

bara WEP ?, dom lösningar jag designat

har byggt på EAP/LEAP mot en Radius server du får då bla slumvis byte av WEP nyckel du får även mojlighet att verifiera användarna.

 

/Matte

 

[Anp]

Det låter ypperligt spännande.

Kan du utveckla lite hur det fungerar?

Hur får man upp en Radiusserver?

Är inte det en gammal variant av TACACS+ förresten?

EAP/LEAP, vad behövs på klienterna?

Går det att integrera med en bef. katalogtjänst som AD eller NDS?

 

\\Anp

 

- Varför göra det idag, det du skulle gjort igår?

 

[Hyperboy]

Ska utveckla sedan, nu är det Harry P

mm som väntar

 

[Christian...]

radius har du i w2k server, (eller kan installera tjänsten dvs). finns säkert för novell också. eller kan man välja någon radius server för linux.

 

EAP/LEAP finns väl på wlan korten, dvs du behöver inget på klienterna.

 

 

[dso]

HP OpenView är ju lite overkill om jag får säga det själv. Själv skulle jag sats på typ CastleRock eller WhatsUP och kört produkternas MIB-ar samt eventuella tredjeparts program eller web interface. Ciscos WLAN produkter har webinterface du kan konfigurera dem igenom. Och någon standard MIB för 802.11 produkterna borde ju gå att hitta.

 

Du får göra någon slags radioplanering i kåken så att du inte har allt för många överlappande kanaler, sen skall produkternas roaming fixa resten.

 

Säkerheten skulle jag lösa med Ciscos ACS (TACACS/RADIUS) server som du kan integrera med din NT-domän användardatabas.

 

 

[Hyperboy]

ok lösning frågan är om Anp inte skulle köra VPN instället ?.

 

/Matte

 

[Anp]

Säkerheten skulle jag lösa med Ciscos ACS (TACACS/RADIUS) server som du kan integrera med din NT-domän användardatabas

.. om vi hade haft en sån.. Vi har NDS istället. Men det borde inte vara nåt hinder.

 

Jag behöver nån som förklarar för mig hur Radius fungerar.

Vi låtsas att jag har en NT-domän med användarkonton. Jag vevar igång Radius-tjänsten på en server och "integrerar den med min NT-domän".

Men i vilket skede sker autenticieringen egentligen?

För att man skall kunna logga in på servern måste man ju ha access till nätet först.

Är det kanske så att man endast har åtkomst till Radiusservern innan man har loggat in?

Kan man skapa liknande lösningar i ett trådat nät?

Då måste switcharna ha Radius-stöd antar jag.

Vad är Tacacs+ då?

Hur många frågor kan man ställa innan folk tröttnar? ;-)

 

Ang VPN:

Jag ser inte riktigt behovet av ett virtuellt privat nät INNE i mitt egna nät. Även om signalerna rör sig i samma luft som folk andas. Det borde finnas mer lämpade lösningar.

 

 

\\Anp - oerhört tacksam för lite grundläggande Radiuskunskaper

 

- Varför göra det idag, det du skulle gjort igår?

 

[inlägget ändrat 2002-11-28 19:01:47 av Anp]

[Hyperboy]

Nyttiga länkar:

 

http://www.cisco.com/en/US/products/hw/wireless/ps458/products_data_sheet09186a00800887d5.html

 

http://www.cisco.com/en/US/products/hw/wireless/ps458/products_white_paper09186a00800b3d27.shtml

 

http://www.cisco.com/warp/public/cc/pd/witc/ao350ap/prodlit/a350w_ov.htm

 

Amp snart radius expert

men..... VPN rules

 

/Matte

 

[dso]

Grundläggande och grundläggande...

 

I ciscos ACS lösning behöver du inte använda en NT-domäns användardatabas. Den har även en egen. I WLAN fallet så fungerar på följande sätt:

 

Klienten drar igång, accessar Accesspunkten vilken stoppar all trafik förutom autenticeringen till radiusserver. Den kommer att stoppa all trafik till nätet tills radiusservern har svarat accept eller reject.

 

I ett "trådat" nät är jag lite osäker, möjligen om du kör nått i stil med PPPoE. Tacacs+ är en annan autenticeringsmodell bara, om inte jag har fel så är den lite modernare än radius. Ofta använd vid autenticering av modempooler hos isp:er och motsv.

 

ACS-servern kan du nyttja till mycket, lösenordsskydd av modempooler, WLAN, dina switchar (iallafall Ciscos) de flesta ppp-lösningar kan använda antingen radius eller tacacs.

 

För mer info läs, "A Comprehensive Review of 802.11 Wireless LAN security and the Cisco Wireless Security Suite" på cisco hemsida:

http://www.cisco.com/warp/public/cc/pd/witc/ao1200ap/prodlit/wswpf_wp.htm

 

Om du planerar att bygga en sådan lösning med ett gäng APs så tycker jag att en radius lösningen är en vettig säkerhetslösning, programvaran kostar runt 50 kkr.

 

/Daniel

 

 

[dso]

VPN rules....

 

Jag håller med i de flesta fall, men en inomhusmiljö tycker jag nog en Radius lösning är den bästa. Men VPN är verkligen lösningen att använda utomhus.

 

/Daniel

 

[Anp]

I ett "trådat" nät är jag lite osäker, möjligen om du kör nått i stil med PPPoE. Tacacs+ är en annan autenticeringsmodell ...

Funktionen verkar finnas i mina "standardswitchar", Procurve 2524.

http://www.hp.com/rnd/products/switches/switch2524-2512/overview.htm

 

802.1x and RADIUS network login: controls access and provides authentication and accountability for network security.

..

TACACS+: eases administration of switch management security by using a password authentication server

 

 

\\Anp

 

- Varför göra det idag, det du skulle gjort igår?

 

[GoldenEagle]

Kan man koppla det mot Novell's NDS istället för NT's domän? Hur gör man det?

 

[Weyland]

Jag måste kasta mig in i tråden också, jag sitter precis som Anp och pysslar med wlan och har kikat mycket på wpa-kryptering och radiusautenticering - men har som några i tråden föreslagit mer och mer sneglat åt vpn-hållet istället, och lägga wlan-prylarna utanför de interna näten istället.

 

Provkörde med ciscos vpn-klient (5000) som så vackert och fint startade upp vid inloggningsrutan på en windowsburk om man så ville, för att upprätta tunneln före inloggning (slippa knöla med att köra om inloggscript) - en fördel med detta är juh att man inte behöver så hög säkerhet på wlan-utrustningen och man slipper leta med ljus och lykta efter accesspunkter som klarar radiusverifiering och wpa och 802.11g

 

Det borde väl räcka om man slår av broadcast ssid, lägger in en accesslista för mac-adresser och lägger wlan-utrustningen på utsidan (=internet)? Det kanske skulle gå att övervaka det också på något vis så man märker om någon använder wlan-nätet utan att ha upprättat någon tunnel?

 

--

.Wey

 

Go da! Sing a song!

 

[Hyperboy]

Om du menar Ciscos ACS så går det utmärkt att importera från NDS, har själv bara använt NT

men ska gå bra från NDS med.

 

Annars finns det en rolig VPN-lösning här:

 

http://store2.leanback.se/isroot/Stores/about/SiteImages/hotsheetSOHO6EMEA.pdf

 

/matte

 

[GoldenEagle]

Kan man slippa att få dubbla inloggningar också då?

Alltså att inloggningen till netware och det trådlösa nätet är synkroniserade?

 

[Hyperboy]

Precis så, nånstans i mina gömmor har jag en 120 dagars demo om du vill labba.

 

/matte

 

[GoldenEagle]

Demo för vad?

ACS? Ja, det tar jag gärna emot!