BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation bmb+f GoeMobile: FunkLAN für die Göttinger Wissenschaft Scenario einer Anmeldung am Göttinger FunkLAN 1)Benutzer startet seinen Rechner. Dadurch baut er eine Verbindung zum nächstgelegenen Accesspoint auf. 2)Durch einen RADIUS-Server wird die MAC-Adresse der Funkkarte geprüft. 3)Ist die MAC-Adresse in der Liste der Geräte auf dem RADIUS-Server eingetragen, die nicht VPN- fähig sind (PDA, VoIP, etc.), so wird diesem Gerät eine Adresse aus einem speziellen DHCP- Adresspool zugeordnet und er gelangt damit ins Internet, ohne zusätzliche Authentifizierung. 4)Ist die MAC-Adresse gültig und nicht in der Liste der non-VPN-fähigen Geräte eingetragen, so bekommt der Client per DHCP eine (private network) IP-Adresse zugeteilt, sowie DNS und Gateway. 5)Zu diesem Zeitpunkt kann der Benutzer lediglich im "internen" Netz agieren. Ein Zugriff auf andere Netzresourcen (Internet) ist in diesem Stadium nicht möglich. 6)Eine VPN Verbindung (PPTP) vom Client zum Gateway wird nach Prüfung von Username/Password geschaltet. In einer speziellen Passwort-Liste auf dem RADIUS-Server, werden die zur Authentifizierung erforderlichen NT-LM Hashcoedes gegengeprüft. Mit CHAP/MS-CHAP als Authentifikationsverfahren wird eine verschlüsselte Passwortübetragung gewährleistet. Der RADIUS- Server wurde dahingehend modifiziert, NT-LM Hashcodes zu prüfen. 7)Ist der Benutzername und Passwort korrekt, so gelangt der Benutzer über einen Tunnel über eines der Gateways ins Internet. Der Benutzer selbst besitzt eine (private) IP-Adresse und ist somit nicht unmittelbar aus dem Internet erreichbar, kann jedoch alle Dienste im Internet nutzen. 8)Durch Einsatz des Round-Robin Verfahrens im Bereich der VPN-Gateways ist eine redundante Umgebung geschaffen. GWDG, Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Ja Nein Ja MAC-Adresse ist eingetragen ? AccessPoint prüft MAC- Adresse des Clients durch RADIUS-Server Zugriff verweigert Client wird eingeschaltet Einwahl über PPTP zum Gateway Gateway prüft über RADIUS-Server Name/Password Name/Passwort ist O.K ? Zugang zum Internet möglich MAC-Adresse aus Liste der non-VPN Clients ? Ja Nein Benutzer bekommt per DHCP eine Interne IP-Adresse Benutzer bekommt per DHCP eine feste Interne IP-Adresse Für Clients, die nicht VPN fähig sind (PDA,etc.) Zugang ausschließlich für eingetragene MAC-Adressen Spezielle Liste v. IP Adressen für non-VPN-fähige Clients RADIUS besitzt Liste mit NT-LM- Hashcodes Zugang durch PPTP Tunnel und NAT über das Gateway Aufbau des Göttinger FunkLAN GoeMobile: Gerätetyp und Hersteller Aufgrund einiger Tests haben wir uns für die Geräte von Lucent (Orinoco) entschieden. Es werden 100 Accesspoints in Göttingen eingesetzt. 70 AP-1000, mit jeweils zwei Antennenanschlüssen 30 AP-500, mit jeweils einem Antennenanschluß Antennen Durch den Einsatz leistungsfähiger Sektorantennen (12 dbi 120°) wird eine gute Abdeckung am Einsatzort, aber auch in größerer Reichweite bis hin zu 4 km Entfernung bei freier Sicht, erreicht. Überdies werden Rundstrahlantennen des Typs, 7 dbi, 10 dbi, abhängig von der Umgebung des Einsatzortes, eingesetzt. Zentrales Management Durch die zentrale Nutzung der Managementsoftware und die Integration in ein bestehendes Netzmanagementsystem (HP-Openview) kann auf etwaige Fehlersituationen schnell reagiert werden. Zusätzlich erlauben eigene Scripts, welche über SNMP direkten Zugriff auf die Accesspoints haben, die schnelle Zustandsabfrage. Test der Funkabdeckungsqualität Ein spezielles Programm (Eigenentwicklung) ermöglicht die Nutzung eines GPS-Empfängers für die Erfassung der Funkabdeckungsqualität. Ortsinformationen des GPS und Verbindungsqualitätsdaten werden mit Zeitstempel in einer Tabelle festgehalten, die im Anschluss durch eine Datenbank ausgewertet werden kann. Dadurch ist eine qualitative, und vor allen Dingen rasche Aussage über die Funkausleuchtung möglich. Ablauf einer Anmeldung am Göttinger FunkLAN Zentrale Standorte