Markus Gusowski, ZIH, TU Dresden
Transcript of Markus Gusowski, ZIH, TU Dresden
Zellescher Weg 12
Willers-Bau A 310
Tel. +49 351 - 463 - 37820
Markus Gusowski ([email protected])
Aspekte der Netzintegrationim VoIP-Pilot
der TU Dresden
Zentrum für Informationsdienste und Hochleistungsrechnen
Agenda
Einführung
DyPort – Dynamische VLAN-Zuordnung
– Netzkonzept allgemein
– Netzkonzept VoIP
– Integration DyPort + VoIP
Verschlüsselung und Authentifizierung
– Zertifikate und CAs
– Erfahrungen/Probleme
WLAN-Telefonie
– Provisionierung
– Betrieb mit 802.1x
– Ausblick
Einführung
VoIP-Pilot seit Mai 2011
– Installation Cisco Unified Communications Manager (CUCM), 60 IP-Telefone Neubau, IP-Telefone Betriebsteam
Eckdaten:
– CUCM v. 7.1(5), Lizenzen UCL
– IP-Telefone Cisco 6921 + 6945 (GBit) + 8961
– Break-In/-Out über ISDN-TK-Anlage (HiPath 4000)
– Redundantes Cluster (2 Standorte)
Quelle: Cisco.com
6945
8961
Einführung - CUCM-Cluster
DyPort
Einführung
DyPort – Dynamische VLAN-Zuordnung
– Netzkonzept allgemein
– Netzkonzept VoIP
– Integration DyPort + VoIP
Verschlüsselung und Authentifizierung
– Zertifikate und CAs
– Erfahrungen/Probleme
WLAN-Telefonie
– Provisionierung
– Betrieb mit 802.1x
– Ausblick
Netzkonzept allgemein
Campusnetz
– 112 Gebäude
– Backbone: 13 Router (Cisco Cat. 6509); je 1..n Gebäude
– > 1000 VLANs (Nr. nicht eindeutig, Name eindeutig)
– VLANs nicht Router-übergreifend
– Access: Cisco (2960(S), 3560, ...) - VoIP einheitlich 2960S
Konzept bisher:
– Patchen nach Bedarf
– manuelle VLAN-Zuordnung
– Institutsnetze
– zentrale + dezentrale Admins
Netzkonzept allgemein
DyPort – Netzkonzept allgemein
Neu: DyPort (bisher 4 Gebäude)
– Systematisches Patchen (Ziel: Vollbelegung, 50% PoE)
– Dynamische VLAN-Zuordnung per MAC Authentication Bypass (MAB) oder 802.1x – Switch <> Radiusserver <> DHCP
– Management dezentral• Webportal „DyPort“ - Netzauswahl, Reservierung IP-Adressen• Webportal „Minigroups“ - Gruppenverwaltung, Ressourcenzuordnung• „dezentral“ = Admins, Endnutzer
– Zusätzl. Gebäudenetze (Mitarbeiter, Gast, Public)• Namen: gebäude-[institut]-nutzergruppe, z.B. wil-zih-ma
– Rückfallkonzept (Beispiel: MAC xyz := Netz wil-zih-ma)• im Zeuner-Bau (zeu-zih-ma vorhanden)• im Chemiegebäude (chm-zih-ma nicht vorhanden, aber chm-ma)
DyPort – Webportal
DyPort – Netzkonzept VoIP
xxx.xxx.0.0/16
VoIP-Netz
xxx.xxx.2.0/24xxx.xxx.4.0/24
xxx.xxx.6.0/24...
Private Netze
– 254 Adressen (erweitert: 510)
– 1+ je Gebäude
Separat für
– CUCM (Firewall)
– Gateways (ACL)
– Telefone (ACL)
– WLAN-Tel. (ACL)
Hohe VLAN-IDs
DHCP: Router
DyPort – Integration DyPort + VoIP
Statische Ports Voice + dynamische Zuordnung für Daten nicht möglich => Voice-VLAN dynamisch (MAB)
– Festes Voice-VLAN („switchport voice vlan 1234“), Dynamische Voice-Domain-Zuordnung
Bekannte Telefone:
– Netzdatenbank (Inventar) Export DyPort-Datenbank→ →
– Authentifizierung per MAB• Erfolg: Radius sendet
„CiscoAVPair := device-traffic-class=voice“
Gastnetz
Problematisch: Critical VLAN (Radius unerreichbar)
– „gefällige“ Windows-PCs + Switchsymptome
– Critical Voice VLAN (erst ab IOS 15.0(1))
Verschlüsselung und Authentifizierung
Einführung
DyPort – Dynamische VLAN-Zuordnung
– Netzkonzept allgemein
– Netzkonzept VoIP
– Integration DyPort + VoIP
Verschlüsselung und Authentifizierung
– Zertifikate und CAs
– Erfahrungen/Probleme
WLAN-Telefonie
– Provisionierung
– Betrieb mit 802.1x
– Ausblick
Verschlüsselung – Zertifikate und CAs
Dienstvereinbarung mit Personalrat
– Verschlüsselung Signalisierung + Sprachdaten zwingend
CUCM-Cluster im Secure-Modus
– Telefone mit security profile „Authentif. + Verschlüssel.“
Zertifikatstypen (Telefon)
– MIC (Manufacturing-installed certificate)
– LSC (Locally significant certificate) Empfehlung →Cisco
– User installed – Nur WLAN-Telefone
Certificate Authorities (CA)
– Cisco Manufacturing CA
– Certificate Authority Proxy Function (CAPF)/CUCM-integriert
– DFN-CA der Einrichtung
– Eigene (lokale) CA
Cer
tific
ate
Trus
t Li
st (C
TL)
Verschlüsselung – Erfahrungen/Probleme
Schwierigkeiten bei Drittsystemen
– Beispiel: Cycos MRS/Siemens Xpressions Verschlüsselung nicht mit SIP-Trunk möglich (nur mit XCAPI)
– Workarounds z. B. mit Session Border Controller/Cisco CUBE
Inkonsistentes Verhalten bei verschiedenen Telefontypen
– Beispiel: Verschlüsselte Konfigurationsdatei
– 89xx-TelefoneKeine Probleme
– 79xx-TelefoneHenne-Ei-Problem,2-Schritte-Workaround
– 69xx-TelefoneNicht möglich,Rückfall auf Plaintext-Konfig nach 10 Min.
Drahtlostechnologie
Einführung
DyPort – Dynamische VLAN-Zuordnung
– Netzkonzept allgemein
– Netzkonzept VoIP
– Integration DyPort + VoIP
Verschlüsselung und Authentifizierung
– Zertifikate und CAs
– Erfahrungen/Probleme
WLAN-Telefonie
– Provisionierung
– Betrieb mit 802.1x
– Ausblick
WLAN-Telefonie – Provisionierung
Telefon: Cisco 7925G
Tools: Angepasstes Perlskript1, eigene CA (OpenSSL)
Schritte:
0. (Admin) Factory Reset + USB-Netzverbindung
1. Hostname auslesen
2. Hostname in Radius-DB schreiben
3. Systemzeit Telefon setzen + Reboot
4. Serverzertifikat (Radius) aufspielen
5. Zertifikatsrequest erzeugen
6. Zertifikatsrequest signieren
7. Netzwerkprofil (WLAN) konfigurieren
Quelle: Cisco.com
1 http://code.google.com/p/cisco7925g-eap-tls-deployment/
CA
Phone-Radius
Radius-DB
Provisionierungs-PC
(Perlskript)USB
WLAN-Telefonie – Betrieb mit 802.1x
WLAN-Telefonie – Ausblick
Offenes WLAN statt USB zur Provisionierung(örtlich begrenzt)
Roaming noch langsam (0,5 – 1 Sek.)=> 802.1x + CCKM (Cisco Centralized Key Management)
– Übergabezeit < 100 ms
– Accesspoint speichert Credentials zwischen
– Roamvorgang: Credentials werden auf Anforderung direkt an neuen Accesspoint gesendet
– Keine Kommunikation mit Radiusserver nötig
802.1x für schnurgebundene Telefone
– LSC/eigene CA erforderlich
– Erstauthentifizierung per MAB (spart Provisionierung)
Fragen?
Anregungen?
Widersprüche?
…!
Danke!