Nastavení adresy
Jako první věc potřebujeme DNS server, který bude DHCP přiřazovat jednotlivým klientům v této síti. Na tomto DNS serveru potřebujeme vytvořit A záznam pro námi zvolené jméno, třeba wlc.firma.cz
, a IP adresu 1.1.1.1
(nebo jinou, kterou nastavíme).
Potom můžeme nastavit jméno a adresu na WLC.
- připojíme se na webové rozhraní WLC
- přepneme se na záložku Controller
- v levém menu Interfaces
- zde bychom měli mít interface virtual s adresou 1.1.1.1, takže jej vybereme
- zde můžeme nastavit jinou IP adresu, ale hlavně nastavíme DNS Host Name (třeba wlc.firma.cz)
- klikneme Apply
Aby se nastavení uplatnilo, tak je potřeba restart WLC. Restart bude potřeba i po nahrání certifikátu, takže s ním můžeme počkat.
Nahrání certifikátu
Nyní potřebujeme důvěryhodný certifikát pro zvolené jméno. Jako zmínku na zajímavou CA upozorním na Izraelskou firmu StartCom. Je zde možno získat zdarma certifikát s roční platností. U placených certifikátů se platí pouze validace osoby nebo validace osoby + firmy a následně je možno vydávat libovolné množství certifikátů po dobu jednoho roku (s platností na dva) pro všechny domény, které můžeme validovat.
WLC vyžaduje certifikát ve formátu .pem
- Privacy Enhanced Mail (Base64 encoded DER certificate). Od verze WLC 5.1.151.0 je podporováno použití certifikátů, které v sobě obsahují i všechny nadřazené (Chained), stejně jako samostatného certifikátu (Unchained). Od CA máme Chained certifikát ve formátu .p12
- PKCS#12.
Pro převod můžeme využít OpenSSL (verze pro Windows) a příkaz:
openssl.exe pkcs12 -in wlc.firma.cz.p12 -out wlc.firma.cz.pem -passin pass:heslo -passout pass:heslo
Certifikát musíme na WLC nahrát pomocí TFTP serveru, například Tftpd64. Spustíme jej a do jeho adresáře nahrajeme náš certifikát. Nahrání provedeme z WLC.
- připojíme se na webové rozhraní WLC
- přepneme se na záložku Security
- v levém menu Web Auth - Certificate
- zaškrtneme Download SSL Certificate
- zadáme IP adresu TFTP serveru, cestu k certifikátu (root je /), jeho jméno a heslo, které jsme použili při převodu do pem formátu
- klikneme na Apply
Pozn.: WLC provádí nejprve stažení certifikátu a potom jeho instalaci. Pokud instalace selže, například se mu nelíbí formát, tak stejně zobrazí jen hlášení File transfer failed!
Nyní je potřeba provést restart WLC. Potom se již po připojení do hostovské WLAN bude zobrazovat stránka se zadaným doménovým jménem a certifikátem.
Adresu 1.1.1.1 v zadnem pripade neeeeeeee! Prosim nastavte neco z rozsahu privatnich IP adres. Viz treba: http://www.earchiv.cz/anovinky/ai1721.php3
odpověď na [1]p.b.a:
Tak striktní názor na 1.1.1.1 bych neměl. Tato adresa se na veřejném internetu nepoužívá a vzhledem k v historii provedeným testům asi ani nebude (v archívu nanog myslím o tom je příspěvek alá "bílý šum v Internetu").
Pokud to používá už mnoho firem, tak ač to neodpovídá přesně rfc, tak jaké jsou výhody chovat se jinak než všichni ostatní?
Navíc je to adresa, kterou se nikam nepropaguje, a fakticky se na ní ve firemní síti dostanete pouze pokud jste připojen přes wifi.
Zdravim...
Mozem nastavit na nejakej serverovskej sieti MTU size 9216, aby servre spolu komunikovali jumbo paketmi?
Nebude narusena komunikacia medzi danymi servermi a ich klinetmi, ktory budu nadalej komunikovat standardne MTU 1500?
Dakujem Vam za odpoved.
odpověď na [3]Sven: Povolení jumbo frames na aktivních prvcích není problém, to zajistí pouze přenos. Pokud zapnu na serveru, tak jumbo pak musí podporovat každá strana, které bude s tímto serverem komunikovat. Ale mohu mít na serevru více interfaců a zapnout to pouze pro jeden z nich (ta celá síť pak musí podporovat jumbo frames).
Aha...cize ak zapnem jumbo na interface na ktory sa dotazuju aj uzivatelia musia aj uzivatelia mat zapnute jumbo....ale ak mam na servri viac interfacov napriklad 1 interface na komunikaciu medzi servrami a druhy na komunikaciu s klientmi tak na jednom mozem zapnut jumbo a na druhom nemusim...dobre som to pochopil?...a inac vdaka za odpoved...odpověď na [4]Samuraj:
odpověď na [2]tomfi: Vim to, ale kazdopadne je 1/8 pridelena APNICu (pokud si pamatuji delal ten pruzkum Geoff H. a prezentoval i na RIPE). A rozhodne nemohu souhlasit s tim ji pouzit ;) myslim, ze nikoho nic nestoji dat tam adresy ktere jsou pro to specialne urceny...