La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

TRIP controller itinerante. TRIP everywhere Possibilita’ di avere l’infrastruttura TRIP disponibile durante workshop e seminari esterni alle sedi INFN.

PubblicatoAntonina Castellani Modificato 8 anni fa

Presentazioni simili

Presentazione sul tema: "TRIP controller itinerante. TRIP everywhere Possibilita’ di avere l’infrastruttura TRIP disponibile durante workshop e seminari esterni alle sedi INFN."— Transcript della presentazione:

1 TRIP controller itinerante

2 TRIP everywhere Possibilita’ di avere l’infrastruttura TRIP disponibile durante workshop e seminari esterni alle sedi INFN Sistema portatile robusto e sicuro, include INFN-dot1x e INFN-Web Non bisogna installare nulla, basta inserire una compact flash e tutto e’ gia’ pre-installato Gli utenti non devono fare nessuna operazione per collegarsi alla rete WiFi, tutto e’ come se fossero in sezione nel loro ufficio 11-05-20092Riccardo.Veraldi@cnaf.infn.it

3 TRIP appliance schema WiFi supplicant INFN-Web INFN-dot1x INFN-Web INFN-dot1x INFN-Web INFN-dot1x TRIP appliance uplink Router struttura ospitante WAN Router sez. INFN xSez. INFN x radius.garr.net VLAN trunk 11-05-20093Riccardo.Veraldi@cnaf.infn.it

4 Soekris net5501 CPU Geode AMD 586-class 500MHz 512 Mbyte DDR-SDRAM, soldered on board 4 Mbit BIOS/BOOT Flash CompactFLASH Type I/II socket UltraDMA-100 interface with 44 pins connector for 2.5" Hard Drive Serial ATA 1.0 interface for Hard Drive, with +5V and +12V power header 4 VIA VT6105M 10/100 Mbit Auto MDIX Ethernet ports, RJ-45, protected to 700W/40A Surge 2 Serial ports, DB9 and 10 pins internal header USB 2.0 interface, one internal, one external port Mini-PCI type III socket. (for t.ex. hardware encryption or wireless controller) PCI Slot, right angle 3.3V signaling only, dual PCI slot option Temperature and voltage monitor ower using external power supply is 6-25V DC, max 20 Watt, 11-05-20094Riccardo.Veraldi@cnaf.infn.it

5 tripgw Soekris net5501 Distribuzione Flashdist (OpenBSD 4.5 based): 64MB CF Distribuzione finale per TRIP: 256 MB – Flashdist 20090227 OpenBSD 4.5 kernel – Freeradius 1.0.6 distribution – OpenBSD Apache 1.3.29 – ISC dhcpd v3.1.1 – OpenBSD pf nat/firewall – Tino 12032009 Captive Portal – Perl 5.10.0 RadiusPerl-0.13 Data-HexDump-0.02 Diversi programmi standard unix aggiunti: less, sudo, bash…etc. File di configurazione vari necessari per il funzionamento di TRIP 11-05-20095Riccardo.Veraldi@cnaf.infn.it

6 Build appliance Installazione macchina (virt/phy) con OpenBSD 4.5 snapshot 20090227 Build di tutto il software necessario per trip compilato dai sorgenti ove possibile linkato staticamente: httpd, radiusd, sudo, dhcpd, bash… etc Riversamento di tutto il software aggiuntivo sull’imagine di distribuzione di base Flashdist Configurazione di tutte le parti di software necessarie per il funzionamento di TRIP: /etc/rc, radiusd.conf, pf.conf, firewall.sh… etc Copia ed espansione di tutta l’immagine di sistema su CF Boot del Soekris net5501 da CF 11-05-2009Riccardo.Veraldi@cnaf.infn.it6

7 Boot appliance La configurazione di boot e’ tutta in /etc/rc – mount /dev in memoria 1MB – mount /tmp in memoria 32MB – link simbolico di /var in /tmp/var Tutti i log di sistema /var/log in memoria – Creazione ambiente TINO, copia di tutti i file in /tmp e creazione di link simbolici sui path standard – Creazioni chiavi SSH DSA e RSA – Hostname – Creazione VLAN e IP interfaces, una per ogni VLAN – Propagazione VLAN su 3 interfacce di rete interne – ntpdate, startup firewall, syslog – Startup dhcpd su interfacce vlan – Startup sshd, apache, freeradius, cron 11-05-2009Riccardo.Veraldi@cnaf.infn.it7

8 VLAN Default untagged – Network 172.16.1.0/24 – Radius IP 172.16.1.254 VLAN100 INFN-dot1x – Network 172.16.100.0/24 – 802.1x gw 172.16.100.254 VLAN101 INFN-Web – Network 172.16.101.0/24 – TINO gw 172.16.101.254 11-05-2009Riccardo.Veraldi@cnaf.infn.it8 AP1: 172.16.1.253 AP2: 172.16.1.252 AP3: 172.16.1.251 vr3 vr2 vr1 vr0 VLAN propagate su tutte le porte

9 Configurazione VLAN Una VLAN per interfaccia per TAG = 6 VLAN + Default Untagged ifconfig vr1 172.16.1.254 netmask 255.255.255.0 ifconfig vr2 up ifconfig vr3 up ifconfig vr0 netmask 255.255.255.0 ifconfig vlan1100 vlan 100 vlandev vr1 ifconfig vlan2100 vlan 100 vlandev vr2 ifconfig vlan3100 vlan 100 vlandev vr3 ifconfig bridge100 create brconfig bridge100 add vlan1100 add vlan2100 add vlan3100 add vr1 add vr2 add vr3 up ifconfig vlan1100 inet 172.16.100.254 netmask 255.255.255.0 up ifconfig vlan1101 vlan 101 vlandev vr1 ifconfig vlan2101 vlan 101 vlandev vr2 ifconfig vlan3101 vlan 101 vlandev vr3 ifconfig bridge101 create brconfig bridge101 add vlan1101 add vlan2101 add vlan3101 up ifconfig vlan1101 inet 172.16.101.254 netmask 255.255.255.0 11-05-2009Riccardo.Veraldi@cnaf.infn.it9

10 Multiport VLAN bridge 11-05-2009Riccardo.Veraldi@cnaf.infn.it10 vr1 vlan1100 vlan1101 Default untagged vr2 vlan2100 vlan2101 Default untagged vr3 vlan3100 vlan3101 Default untagged TAG 100 TAG 101 bridge100 bridge101

11 Configurazione radius Freeradius 1.1.6 /usr/local/etc/raddb Configurazione mista per radius server INFN-dot1x e radius server per autenticazione INFN-Web In proxy.conf va settato il proprio radius server di sezione In clients.conf vanno aggiunti gli AP e il proprio server di sezione – Va aggiunto come client locale il portale web tino con opportuno secret settato anche in tino.pm 11-05-2009Riccardo.Veraldi@cnaf.infn.it11 realm DEFAULT { type = radius authhost = radius1.cnaf.infn.it:1812 accthost = radius1.cnaf.infn.it:1813 secret = ********* nostrip }

12 Firewall OpenBSD PF in pf.conf – Packet filter filtra tutta la vlan1101 (INFN-Web) – Consente soltanto porta 53 UDP e pacchetti verso il portale web { 80, 443 } Vlan1100 Open (INFN-dot1x) Tabella dinamica che si aggancia allo script firewall di TINO – Nat Nat di vlan1100 (INFN-dot1x) e vlan1101 (INFN-Web) Redirection rules per raggiungere gli AP dall’esterno Redirection rules per il portale web Firewall.sh per il portale Web tradotto da sintassi iptables a sintassi PF 11-05-2009Riccardo.Veraldi@cnaf.infn.it12

13 Utilizzo appliance Pre-configurata CF non scrivibile (ro) In caso si vogliano fare modifiche – Comandi { rw, ro } per modificare lo stato di accesso alla CF – Shell Unix, ambiente Un*X BSD adduser, vi, tcpdump… etc. Aggiunta utenti col comando adduser o direttamente in radius users – Usare subito ro dopo una modifica per tornare allo stato normale Usare il sistema in modalita’ rw il meno possibile! Si collegano fino a 3 AP configurati per TRIP alle interfacce fisiche vr1 -> vr3 Necessario registrare IP address di vr0 sul proprio radius server di sezione e su logserver Certificato X509 pre-installato per tripgw1.infn.it (172.16.101.254) DNS hardcoded TODO: UI per il setup di sistema in modo semplice 11-05-2009Riccardo.Veraldi@cnaf.infn.it13

14 Dove utilizzarlo Conferenze fuori sede TRIPaware Conferenze fuori sede TRIPless – CF con sistema solo con portale Web TRIP appliance per sedi INFN medio/piccole 11-05-2009Riccardo.Veraldi@cnaf.infn.it14

15 11-05-2009Riccardo.Veraldi@cnaf.infn.it15 VMTRIP - 1 VM WMware - spazio disco ~ 2 GB Utilizzabile su un portatile con due interfacce di rete: –una verso la rete della sede/albergo –una verso uno switch con VLAN x INFN-dot1x e INFN-Web SL 5.0, FreeRadius DHCPserver FreeRadius “da agganciare” al Radius Server della propria sede Switch con VLAN + 2/3 AP Cisco 1200 b/g http://www.bo.infn.it/calcolo/INFN/VM/VMware/VMware.index#vmtrip script di first-startup da sistemare per setup: Radius e DHCP Server Utilizzata con successo al CSN2 Dic 08 Hotel Europa (BO) Numero partecipanti: ~40 - 2 AP Cisco 1200 Serve un portatile “moderno” con buone prestazioni (CPU e RAM)

Scaricare ppt "TRIP controller itinerante. TRIP everywhere Possibilita’ di avere l’infrastruttura TRIP disponibile durante workshop e seminari esterni alle sedi INFN."

Presentazioni simili

Riunione Referenti – Bologna 2 Luglio 2003 Wireless nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna.

Riunione Referenti – Bologna 2 Luglio 2003 Wireless nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna.
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.

ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
La sicurezza delle reti Wireless

La sicurezza delle reti Wireless
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.

Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Di INFORMATICA IL NOSTRO LABORATORIO. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:

Di INFORMATICA IL NOSTRO LABORATORIO. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
Servizio DHCP.

Servizio DHCP.
Giuseppe Fabio Fortugno.

Giuseppe Fabio Fortugno.
Commessa: HotSpot Wi-Fi

Commessa: HotSpot Wi-Fi
Punto di partenza 802.11b , 802.11a, 802,11g sono tecnologie per creare reti ethernet senza fili Copertura di 20 m di raggio indoor (3 muri) da ogni stazione.

Punto di partenza b , a, 802,11g sono tecnologie per creare reti ethernet senza fili Copertura di 20 m di raggio indoor (3 muri) da ogni stazione.
AICA Corso IT Administrator: modulo 5 AICA © 2005 1 EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.

AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
1.7 Risorse di sistema 1.7.1 Comprendere le risorse di sistema 1.7.2 Gestire le risorse di sistema.

1.7 Risorse di sistema Comprendere le risorse di sistema Gestire le risorse di sistema.
Microsoft Windows Installazione, gestione ed utilizzo delle risorse Microsoft nella sezione INFN di BOLOGNA.

Microsoft Windows Installazione, gestione ed utilizzo delle risorse Microsoft nella sezione INFN di BOLOGNA.
Test sul Cisco VPN Concentrator

Test sul Cisco VPN Concentrator
Wireless Authentication

Wireless Authentication
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.

Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
E. Ferro / CNAF / 14 febbraio 2003 1/13 GRID.it servizi di infrastruttura Enrico Ferro INFN-LNL.

E. Ferro / CNAF / 14 febbraio /13 GRID.it servizi di infrastruttura Enrico Ferro INFN-LNL.
Case study Maiora srl.

Case study Maiora srl.
1 Installazione da rete Introduzione Configurazione del server NFS Cosa serve sul client Configurazione kickstart.

1 Installazione da rete Introduzione Configurazione del server NFS Cosa serve sul client Configurazione kickstart.
AREZZO, 20 OTTOBRE 2007 IZ3HAD Configurazione di un client per laccesso alla rete nazionale.

AREZZO, 20 OTTOBRE 2007 IZ3HAD Configurazione di un client per laccesso alla rete nazionale.
Servizi di Rete e Unix Stage estivo 2005 Laboratorio Nazionale Frascati Roberto Reale (ITIS CANNIZZARO, Colleferro) Francesco Ronchi (ITIS E. Fermi, Roma)

Servizi di Rete e Unix Stage estivo 2005 Laboratorio Nazionale Frascati Roberto Reale (ITIS CANNIZZARO, Colleferro) Francesco Ronchi (ITIS E. Fermi, Roma)

Presentazioni simili

Annunci Google