Upload
bathilda-heilbrunn
View
105
Download
0
Embed Size (px)
Citation preview
BMBF-Förderinitiative
“Einsatz und Nutzung drahtloser Kommunikation”
BMBF-Förderinitiative
“Einsatz und Nutzung drahtloser Kommunikation”
bmb+f
GoeMobile: FunkLAN für die Göttinger Wissenschaft
Scenario einer Anmeldung am Göttinger FunkLAN
1) Benutzer startet seinen Rechner. Dadurch baut er eine Verbindung zum nächstgelegenen Accesspoint auf.
2) Durch einen RADIUS-Server wird die MAC-Adresse der Funkkarte geprüft.3) Ist die MAC-Adresse in der Liste der Geräte auf dem RADIUS-Server eingetragen, die nicht VPN-fähig
sind (PDA, VoIP, etc.), so wird diesem Gerät eine Adresse aus einem speziellen DHCP-Adresspool zugeordnet und er gelangt damit ins Internet, ohne zusätzliche Authentifizierung.
4) Ist die MAC-Adresse gültig und nicht in der Liste der non-VPN-fähigen Geräte eingetragen, so bekommt der Client per DHCP eine (private network) IP-Adresse zugeteilt, sowie DNS und Gateway.
5) Zu diesem Zeitpunkt kann der Benutzer lediglich im "internen" Netz agieren. Ein Zugriff auf andere Netzresourcen (Internet) ist in diesem Stadium nicht möglich.
6) Eine VPN Verbindung (PPTP) vom Client zum Gateway wird nach Prüfung von Username/Password geschaltet. In einer speziellen Passwort-Liste auf dem RADIUS-Server, werden die zur Authentifizierung erforderlichen NT-LM Hashcoedes gegengeprüft. Mit CHAP/MS-CHAP als Authentifikationsverfahren wird eine verschlüsselte Passwortübetragung gewährleistet. Der RADIUS-Server wurde dahingehend modifiziert, NT-LM Hashcodes zu prüfen.
7) Ist der Benutzername und Passwort korrekt, so gelangt der Benutzer über einen Tunnel über eines der Gateways ins Internet. Der Benutzer selbst besitzt eine (private) IP-Adresse und ist somit nicht unmittelbar aus dem Internet erreichbar, kann jedoch alle Dienste im Internet nutzen.
8) Durch Einsatz des Round-Robin Verfahrens im Bereich der VPN-Gateways ist eine redundante Umgebung geschaffen.
GWDG, Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen
http://www.gwdg.de
Ja
Nein
Ja
MAC-Adresseist eingetragen ?
AccessPoint prüft MAC-Adresse des Clients
durch RADIUS-Server
Zugriff verweigert
Client wird eingeschaltet
Einwahl über PPTP zum Gateway
Gateway prüft über RADIUS-Server Name/Password
Name/Passwort ist O.K ?
Zugang zum Internet möglich
MAC-Adresse ausListe der non-VPN Clients ?
Ja
Nein
Nein
Benutzer bekommt per DHCP eine
Interne IP-Adresse
Benutzer bekommt per DHCP eine feste
Interne IP-Adresse
Für Clients, die nicht VPN fähig
sind(PDA,etc.)
Zugang ausschließlich für
eingetragene MAC-Adressen
Spezielle Liste v. IP Adressen für non-VPN-fähige
Clients
RADIUS besitzt Liste mit NT-LM-
Hashcodes
Zugang durch PPTP Tunnel und
NAT über das Gateway
Aufbau des Göttinger FunkLAN GoeMobile:
Gerätetyp und Hersteller
Aufgrund einiger Tests haben wir uns für die Geräte von Lucent (Orinoco) entschieden. Es werden 100 Accesspoints in Göttingen eingesetzt. 70 AP-1000, mit jeweils zwei Antennenanschlüssen30 AP-500, mit jeweils einem Antennenanschluß
Antennen
Durch den Einsatz leistungsfähiger Sektorantennen (12 dbi 120°) wird eine gute Abdeckung am Einsatzort, aber auch in größerer Reichweite bis hin zu 4 km Entfernung bei freier Sicht, erreicht.Überdies werden Rundstrahlantennen des Typs, 7 dbi, 10 dbi , abhängig von der Umgebung des Einsatzortes, eingesetzt.
Zentrales Management
Durch die zentrale Nutzung der Managementsoftware und die Integration in ein bestehendes Netzmanagementsystem (HP-Openview) kann auf etwaige Fehlersituationen schnell reagiert werden. Zusätzlich erlauben eigene Scripts, welche über SNMP direkten Zugriff auf die Accesspoints haben, die schnelle Zustandsabfrage.
Test der Funkabdeckungsqualität
Ein spezielles Programm (Eigenentwicklung) ermöglicht die Nutzung eines GPS-Empfängers für die Erfassung der Funkabdeckungsqualität. Ortsinformationen des GPS und Verbindungsqualitätsdaten werden mit Zeitstempel in einer Tabelle festgehalten, die im Anschluss durch eine Datenbank ausgewertet werden kann. Dadurch ist eine qualitative, und vor allen Dingen rasche Aussage über die Funkausleuchtung möglich.
Router
IPSecGebäude1
Client1
RADIUS2RADIUS1
Internet
Gateway
Client2
VLAN Struktur
Client3
Gebäude2
Gateway
durch GöttingenNT-LM Passwörter
MAC-Authentifizierung
Gebäude3
Router/NAT
1 2
Richtfu
nkstre
cke
PPTP, P2TP als Verschlüsselung über Funk. Später auch IPSEC
Struktur des Göttinger FunkLAN "GoeMobile"
Ablauf einer Anmeldung am Göttinger FunkLAN
Zentrale Standorte