TRIP controller itinerante TRIP everywhere Possibilita di avere

  • Slides: 15
Download presentation
TRIP controller itinerante

TRIP controller itinerante

TRIP everywhere • Possibilita’ di avere l’infrastruttura TRIP disponibile durante workshop e seminari esterni

TRIP everywhere • Possibilita’ di avere l’infrastruttura TRIP disponibile durante workshop e seminari esterni alle sedi INFN • Sistema portatile robusto e sicuro, include INFN-dot 1 x e INFN -Web • Non bisogna installare nulla, basta inserire una compact flash e tutto e’ gia’ pre-installato • Gli utenti non devono fare nessuna operazione per collegarsi alla rete Wi. Fi, tutto e’ come se fossero in sezione nel loro ufficio 11 -05 -2009 Riccardo. [email protected] infn. it 2

TRIP appliance schema IN IN FN FN -W -d eb ot 1 x Router

TRIP appliance schema IN IN FN FN -W -d eb ot 1 x Router struttura ospitante TRIP appliance VLAN trunk uplink VLAN trunk Wi. Fi supplicant IN IN FN FN -W -d eb ot 1 x WAN VLAN trunk Wi. Fi supplicant 11 -05 -2009 radius. garr. net Riccardo. [email protected] infn. it Sez. INFN x Router sez. INFN x 3

Soekris net 5501 • • • • CPU Geode AMD 586 -class 500 MHz

Soekris net 5501 • • • • CPU Geode AMD 586 -class 500 MHz 512 Mbyte DDR-SDRAM, soldered on board 4 Mbit BIOS/BOOT Flash Compact. FLASH Type I/II socket Ultra. DMA-100 interface with 44 pins connector for 2. 5" Hard Drive Serial ATA 1. 0 interface for Hard Drive, with +5 V and +12 V power header 4 VIA VT 6105 M 10/100 Mbit Auto MDIX Ethernet ports, RJ-45, protected to 700 W/40 A Surge 2 Serial ports, DB 9 and 10 pins internal header USB 2. 0 interface, one internal, one external port Mini-PCI type III socket. (for t. ex. hardware encryption or wireless controller) PCI Slot, right angle 3. 3 V signaling only, dual PCI slot option Temperature and voltage monitor ower using external power supply is 6 -25 V DC, max 20 Watt, 11 -05 -2009 Riccardo. [email protected] infn. it 4

tripgw • Soekris net 5501 • Distribuzione Flashdist (Open. BSD 4. 5 based): 64

tripgw • Soekris net 5501 • Distribuzione Flashdist (Open. BSD 4. 5 based): 64 MB CF • Distribuzione finale per TRIP: 256 MB – – – – Flashdist 20090227 Open. BSD 4. 5 kernel Freeradius 1. 0. 6 distribution Open. BSD Apache 1. 3. 29 ISC dhcpd v 3. 1. 1 Open. BSD pf nat/firewall Tino 12032009 Captive Portal Perl 5. 10. 0 • Radius. Perl-0. 13 • Data-Hex. Dump-0. 02 • Diversi programmi standard unix aggiunti: less, sudo, bash…etc. • File di configurazione vari necessari per il funzionamento di TRIP 11 -05 -2009 Riccardo. [email protected] infn. it 5

Build appliance • Installazione macchina (virt/phy) con Open. BSD 4. 5 snapshot 20090227 •

Build appliance • Installazione macchina (virt/phy) con Open. BSD 4. 5 snapshot 20090227 • Build di tutto il software necessario per trip compilato dai sorgenti ove possibile linkato staticamente: httpd, radiusd, sudo, dhcpd, bash… etc • Riversamento di tutto il software aggiuntivo sull’imagine di distribuzione di base Flashdist • Configurazione di tutte le parti di software necessarie per il funzionamento di TRIP: /etc/rc, radiusd. conf, pf. conf, firewall. sh… etc • Copia ed espansione di tutta l’immagine di sistema su CF • Boot del Soekris net 5501 da CF 11 -05 -2009 Riccardo. [email protected] infn. it 6

Boot appliance • La configurazione di boot e’ tutta in /etc/rc – mount /dev

Boot appliance • La configurazione di boot e’ tutta in /etc/rc – mount /dev in memoria 1 MB – mount /tmp in memoria 32 MB – link simbolico di /var in /tmp/var • Tutti i log di sistema /var/log in memoria – Creazione ambiente TINO, copia di tutti i file in /tmp e creazione di link simbolici sui path standard – Creazioni chiavi SSH DSA e RSA – Hostname – Creazione VLAN e IP interfaces, una per ogni VLAN – Propagazione VLAN su 3 interfacce di rete interne – ntpdate, startup firewall, syslog – Startup dhcpd su interfacce vlan – Startup sshd, apache, freeradius, cron 11 -05 -2009 Riccardo. [email protected] infn. it 7

VLAN • Default untagged AP 1: 172. 16. 1. 253 AP 2: 172. 16.

VLAN • Default untagged AP 1: 172. 16. 1. 253 AP 2: 172. 16. 1. 252 AP 3: 172. 16. 1. 251 – Network 172. 16. 1. 0/24 – Radius IP 172. 16. 1. 254 vr 3 • VLAN 100 INFN-dot 1 x vr 2 vr 1 vr 0 – Network 172. 16. 100. 0/24 – 802. 1 x gw 172. 16. 100. 254 • VLAN 101 INFN-Web – Network 172. 16. 101. 0/24 – TINO gw 172. 16. 101. 254 11 -05 -2009 VLAN propagate su tutte le porte Riccardo. [email protected] infn. it 8

Configurazione VLAN Una VLAN per interfaccia per TAG = 6 VLAN + Default Untagged

Configurazione VLAN Una VLAN per interfaccia per TAG = 6 VLAN + Default Untagged ifconfig vr 1 172. 16. 1. 254 netmask 255. 0 ifconfig vr 2 up ifconfig vr 3 up ifconfig vr 0 <public_ip> netmask 255. 0 ifconfig vlan 1100 vlandev vr 1 ifconfig vlan 2100 vlandev vr 2 ifconfig vlan 3100 vlandev vr 3 ifconfig bridge 100 create brconfig bridge 100 add vlan 1100 add vlan 2100 add vlan 3100 add vr 1 add vr 2 add vr 3 up ifconfig vlan 1100 inet 172. 16. 100. 254 netmask 255. 0 up ifconfig vlan 1101 vlandev vr 1 ifconfig vlan 2101 vlandev vr 2 ifconfig vlan 3101 vlandev vr 3 ifconfig bridge 101 create brconfig bridge 101 add vlan 1101 add vlan 2101 add vlan 3101 up ifconfig vlan 1101 inet 172. 16. 101. 254 netmask 255. 0 11 -05 -2009 Riccardo. [email protected] infn. it 9

Multiport VLAN bridge vr 1 vr 2 vr 3 11 -05 -2009 Default untagged

Multiport VLAN bridge vr 1 vr 2 vr 3 11 -05 -2009 Default untagged vlan 1100 TAG 100 vlan 1101 TAG 101 Default untagged vlan 2100 TAG 100 vlan 2101 TAG 101 Default untagged vlan 3100 TAG 100 vlan 3101 TAG 101 bridge 100 bridge 101 Riccardo. [email protected] infn. it 10

Configurazione radius • Freeradius 1. 1. 6 /usr/local/etc/raddb • Configurazione mista per radius server

Configurazione radius • Freeradius 1. 1. 6 /usr/local/etc/raddb • Configurazione mista per radius server INFN-dot 1 x e radius server per autenticazione INFN-Web • In proxy. conf va settato il proprio radius server di sezione realm DEFAULT { type = radius authhost = radius 1. cnaf. infn. it: 1812 accthost = radius 1. cnaf. infn. it: 1813 secret = ***** nostrip } • In clients. conf vanno aggiunti gli AP e il proprio server di sezione – Va aggiunto come client locale il portale web tino con opportuno secret settato anche in tino. pm 11 -05 -2009 Riccardo. [email protected] infn. it 11

Firewall • Open. BSD PF in pf. conf – Packet filter • filtra tutta

Firewall • Open. BSD PF in pf. conf – Packet filter • filtra tutta la vlan 1101 (INFN-Web) – Consente soltanto porta 53 UDP e pacchetti verso il portale web { 80, 443 } • Vlan 1100 Open (INFN-dot 1 x) • Tabella dinamica che si aggancia allo script firewall di TINO – Nat • Nat di vlan 1100 (INFN-dot 1 x) e vlan 1101 (INFN-Web) • Redirection rules per raggiungere gli AP dall’esterno • Redirection rules per il portale web • Firewall. sh per il portale Web tradotto da sintassi iptables a sintassi PF 11 -05 -2009 Riccardo. [email protected] infn. it 12

Utilizzo appliance • Pre-configurata CF non scrivibile (ro) • In caso si vogliano fare

Utilizzo appliance • Pre-configurata CF non scrivibile (ro) • In caso si vogliano fare modifiche – Comandi { rw, ro } per modificare lo stato di accesso alla CF – Shell Unix, ambiente Un*X BSD • adduser, vi, tcpdump… etc. • Aggiunta utenti col comando adduser o direttamente in radius users • • • – Usare subito ro dopo una modifica per tornare allo stato normale Usare il sistema in modalita’ rw il meno possibile! Si collegano fino a 3 AP configurati per TRIP alle interfacce fisiche vr 1 -> vr 3 Necessario registrare IP address di vr 0 sul proprio radius server di sezione e su logserver Certificato X 509 pre-installato per tripgw 1. infn. it (172. 16. 101. 254) DNS hardcoded TODO: UI per il setup di sistema in modo semplice 11 -05 -2009 Riccardo. [email protected] infn. it 13

Dove utilizzarlo • Conferenze fuori sede TRIPaware • Conferenze fuori sede TRIPless – CF

Dove utilizzarlo • Conferenze fuori sede TRIPaware • Conferenze fuori sede TRIPless – CF con sistema solo con portale Web • TRIP appliance per sedi INFN medio/piccole 11 -05 -2009 Riccardo. [email protected] infn. it 14

VMTRIP - 1 • VM WMware - spazio disco ~ 2 GB • Utilizzabile

VMTRIP - 1 • VM WMware - spazio disco ~ 2 GB • Utilizzabile su un portatile con due interfacce di rete: – una verso la rete della sede/albergo – una verso uno switch con VLAN x INFN-dot 1 x e INFN-Web • SL 5. 0, Free. Radius DHCPserver • Free. Radius “da agganciare” al Radius Server della propria sede • Switch con VLAN + 2/3 AP Cisco 1200 b/g http: //www. bo. infn. it/calcolo/INFN/VM/VMware. index#vmtrip • script di first-startup da sistemare per setup: Radius e DHCP Server • Utilizzata con successo al CSN 2 Dic 08 Hotel Europa (BO) • Numero partecipanti: ~40 - 2 AP Cisco 1200 • Serve un portatile “moderno” con buone prestazioni (CPU e RAM) 11 -05 -2009 Riccardo. [email protected] infn. it 15