HP 830 Series PoE+ Unified Wired-WLAN Switch Switching Engine Web-Based Configuration Bölüm3
Merhabalar daha önceki makalelerde HP 830 Access controller cihazının basit kurulumu, daha sonra networkte nasıl yapılandırılması gerektiği access point ile access controller arasındaki bağlantı nasıl olmalı SSID oluşturma ve access point üzerindeki radio kartlarının nasıl açılacağı konusunda bilgi vermiştik.
Bu bölümde ise oluşturulan SSID için şifre verme işlemi ve ilgili SSID ile bağlanmak isteyen kullanıcılara mac authentication(Mac Doğrulama işlemleri) ayrıca domain ortamında Radius sunucu ekleme 802.1x authentication ve local forwarding konularına bakacağız.
Şifreli SSID oluşturma
Daha önce cihazımıza vermiş olduğumuz 172.16.100.17 ip adresi ile web üzerinden cihazımıza bağlanıyoruz.
Bağlantımızı yaptıktan sonra aşağıdaki gibi menüleri takip ederek daha Wireless Service menüsü altında bulunan Access service açıyoruz daha önce oluşturduğumuz SSID’ler aşağıda görüldüğü üzere 3 adet SSID oluşturmuştuk.
Aşağıdaki ekranda Add diyerek yeni SSID oluşturacağız.
Karşımıza aşağıdaki gibi ekran gelmektedir bu kısımda Wireless Servive Type yazan kısmı değiştirmemiz gerekmekte şuanki şekli ile bırakırsak şifre koyma işlemi başaramayız.
Bu kısmı aşağıdaki gibi crypto olarak değiştiriyoruz.
Daha sonra SSID ismini vereceğiz
Apply dedikten sonra karşımıza aşağıdaki gibi ekran gelmektedir.
Yukardaki ekranda en alt kısımda bulunan Security setup yazan kısma tıklıyoruz. Karşımıza aşağıdaki gibi ekran gelmektedir.
Aşağıdaki ekranda Authentication Type yazan kısmı SharedKey olarak değiştiriyoruz.
Daha sonra aşağıdaki Provide Key Automatically yazan bölümü ben WEP40 seçiyorum
WEP40 olarak seçtikten sonra bize şifre uzunluğu ve karmaşıklığını sormaktadır.
Ben alphanumeric olarak seçiyorum 5 karakter sayı ve harflerden oluşmalıdır.
WEP Key yazan kısmı wifi için vereceğim şifreyi yazıyoruz.
Şifremizi yazıp tamamladıktan sonra Apply butonuna basıyoruz.
Yukarda görüldüğü üzere yaptığımız yapılandırma doğrultusunda SSID ayarları oluşturulmaktadır.
Aşağıda görüldüğü üzere oluşturduğumuz SSID için web Key şifresi vermiş durumdayız.
Şifreli SSID oluşturma işlemi bu kadar.
Şimdi ise SSID’ye bağlanırken Mac adresi sorgulaması yaparak sadece sizin belirleyecek olduğunuz mac adreslerinin bağlanmasını sağlaya bilirsiniz.
Bunu şifreli ya da şifresiz SSID üzerinde yapabilirsiniz.
Ben bu işleme yukarıda oluşturmuş olduğumuz SSID üzerinden devam edeceğim sonuçta web şifresi olan aynı zamanda mac kontrolü yapan bir SSID oluşturmuş olacağız.
Oluşturmuş olduğumuz test1 SSID için editleme işlemi yapacağız.
Yukarıda görüldüğü üzere Security Setup sekmesini açıyoruz.
Security sekmesinin alt Kısmında bulunan Port Security sekmesini açıyoruz.
Port set kutucuğunu işaretliyoruz.
Port mode kısmında Mac-authentication sekmesini seçiyoruz. Mac-authentication sekmesini sektikten hemen sonra bir alt menü daha açılmaktadır. Açılan menü aşağıdaki gibidir
Yukarıda bizden hangi domaini kullanacağımız sormaktadır cihaz üzerinde Default olarak gelen System domaini seçiyorum ben siz farklı domainde oluşturabilirsiniz.
Domain seçildikten sonra Apply diyoruz
Ve yukardaki ekranda görüldüğü üzere cihaz yapılan yapılandırma uygulanıyor.
Servis Type kısmında Mac-authentication /Web görülmekte yani SSID’ye hem şife verdik hem de Mac-authentication şartı koymuş olduk.
Şifre kısmı tamam ama mac tarafı için son bir ayarımız kaldı bağlanması için verecek olduğunuz mac adresini cihaz üzerine yazmanız gerekmektedir.
Yukarıdaki ekranda görüldüğü üzere test1 SSID sini seçerek Mac-authentication sekmesine tıklıyoruz karşımıza aşağıdaki gibi ekran açılacaktır.
Bu kısımda mac yazma formatı yukarıdaki gibi olacak olup ilgili mac adresini yazarak add sekmesine basıyoruz ekleme işlemi tamamlandıktan sonra eklemiş olduğumuz mac adresine sahip cihaz test1 SSID si ile bağlanabilir.
Artık bağlanabilir duruma geldik bundan sonra cihazıma Radius sunucu tanımlaması yapacağız.
Cihazımıza Radius severi CLI kısmından da eklememiz mümkün ama şimdiye kadar web üzerinden geldik ama artık CLI da kullanarak devam etmek istiyorum.
Radius ve 802.1x için ilk gereken şart controller üzerinde domain uygulamaktır. Ama cihaz üzerinde Default olarak System şeklinde bir domain gelmiş olup ben bu domain adını kullanmak istiyorum.
Bundan sonra öncelikle cihazıma bir Radius sunucu eklemeliyiz bunu ben CLI üzerinden yapacağım
Yukarıdaki komutları cihaz üzerinde yürütüyoruz. Radius sunucu ip adresimiz ve yedek Radius sunucumuz varsa ip adresinizi yazıyoruz.
Aşağıda görüldüğü üzere CLI üzerinden yaptığımız işlem web ara yüzüne yansımış durumda
Daha sonra aşağıdaki komutları çalıştırıyoruz.
Domainimiz var Radius sunucumuz var sırada domain ortamını Radius ile konuşturup sorguların Radius sunucu a gitmesi için ayar yapacağız bunu da yine CLI üzerinden
Yukarıda bulunan komutları uyguladığımız zaman AAA kısmında değişlikler olduğunu görmekteyiz.
Bu kısımda işlemler bu kadar artık SSID tarafına gecelim.
Daha önce web üzerinden SSID oluşturma işlemine bakmıştık şimdi ise CLI üzerinden SSID oluşturulalım.
Yukarıdaki komutlar yazılırsa 8021xwifi adında bir SSID oluşur. Ama yayın yapmaya başlamaz sebebi servisi bind etmediğimizden kaynaklanmaktadır.
Aşağıda görüldüğü gibi SSID yayını başlamış durumdadır.
Daha önceki makaleler de bind nasıl edilir anlatmıştık bind ettikten sonra yayın başlayacaktır.
Yukarıda görüldüğü üzere yayın başlamıştır. Bağlan dediğimiz anda
Karşımıza yukarıdaki gibi ekran gelmektedir bu kısımda bizde domainde bulunan kullanıcı adı ve şifremiz sorulmaktadır.
Domaine ait kullanıcı adı ve şifremiz doğru yazdığımız zaman networke erişim sağlamış olacağız.
Bu sayede network güvenliği sağlanabilir.
Şimdiki konumuz Local forwarding bu servis ne işe yaramaktadır kısaca bilgi verecek olursak bu servis genelde uzak lokasyonlar da kullanılmakla beraber vpn arkasında da bir hayli kullanılmaktadır. Konuyu açacak olursak normal şartlarda Access controller access point’i bir tünel kurarak çalıştırmaktadır buda ne alama geliyor trafiğin sürekli kontroller üzerinden geçmesi anlamına gelmektedir. Bu durum uzak lokasyonlar için trafiğin merkeze gelip geri dönmesine sebep olmaktadır
Örneğin;
1 merkez olsun merkeze bağlı 100km ilerde bir lokaysan olsun arada TTVPN bağlantısı olsun iki lokasyon bir biri ile layer 3 seviyesinde routing ile haberleşsin lokasyon da bağlı olan bir access point merkezden yönetiliyor olsun hal böyle iken lokasyondaki adam hemen yanı başında bulunan yazıcıdan çıktı almak istese wifi den bağlı olduğu için trafik tünel aracılığı ile merkeze gelip merkezden tekrar lokasyona gidecektir buda sıkıntılı bir durum olacaktır.
Aşağıdaki şekilde görüldüğü üzere yazıcıdan çıktı almak için izlenen yol aşağıdaki gibidir local forwarding işlemi uygulanmadan önceki hali budur.
Local forwarding yapılandırması aşağıdaki gibi yapılabilir. Access Service içindeki wifi802 SSID’nin içine girerek Advanced Setup kısmından Forwarding Mode bölümünde Default olarak görüldüğü üzere Remote Forwarding yazmaktadır.
Remote forwarding yazan kısım aşağıdaki gibi local forwarding olarak değiştirilmelidir.
Local Forwarding Vlan yazan kısma ise Vlan ID yazıyoruz bu ne anlama geliyor yani bağlı bulunduğu vlan anlamına gelmektedir.
Durum böyle iken yazıcıdan çıktı alma işlemi görüldüğü üzere local içeresinde merkeze uğramadan devam etmektedir. Olması gereken de budur. Farklı yapılarda farklı senaryolar uygulanması mümkündür. Access point ortamda bulunan DHCP sunucu üzerinden ip dağıtmakta olup merkeze sadece yönetim ve authentication için bağlıdır.
Makalemizin sonuna gelmiş bulunmaktayız umarım yararlı olmuştur.