Skip to end of metadata
Go to start of metadata

Kuvaus

eduroam on maailmanlaajuinen akateeminen verkkovierailujärjestelmä, johon on myös mahdollista liittyä palveluntarjoajaksi SP (Service Provider) ja mainostaa eduroam-SSID:tä WLAN-verkossaan mahdollistaen eduroam-käyttäjien kirjautumisen Internetiin opiskelua, tapahtumia ja organisaation näkyvyyttä edistävissä kohteissa (esim. kirjastot, tapahtumapaikat, kahvilat) eduroamin vaatimusten mukaisesti. Palvelu kasvattaa eduroamin peittoaluetta sekä siten tukee liikkuvuutta ja parantaa alueen opiskelijoiden sekä vierailijoiden mahdollisuuksia käyttää langattomia palveluita.


Käyttöönotto

Palvelun käyttöönottamiseksi ota yhteyttä Funet NOC:iin: Yhteystiedot tai (vaativat sisäänkirjautumista) Yhteydenottolomake.

Palvelussa eduroam-SSID:n mainostus toteutetaan palveluntarjoajaksi haluavan organisaation olemassa olevilla tai erillisen WLAN-projektin käyttöönottamalla WLAN-infrastruktuurilla organisaation omistamissa tai hallinnoimissa tiloissa. Käyttöpaikat ja käyttöönottoaikataulu sovitaan organisaation ja CSC:n kesken. Hallinnollisesti palvelun käyttöönotto vaatii ainoastaan yhteystyömuistiosta sopimisen.

Käyttöönotossa palvelutarjoajan WLAN-infrastruktuuri, käytännössä WLAN-verkon kontrolleri(t), liitetään eduroam-hierarkiaan. Tätä varten CSC:llä on erillinen RADIUS-palvelin palveluntajoajille. Liitämisen yhteydessä palveluntarjoan palomuureja joudutaan mahdollisesti myös hieman konfiguroimaan. CSC ohjeistaa käyttöönottovaiheessa.

Palveluntarjoajan tehtävät

Olemassa oleva eduroamin vaatimukset täyttävä WLAN-infrastruktuuri. WLAN-verkon ja palomuurien konfigurointi sekä IP-osoitteiden varaaminen.

Funetin tehtävät

Oman palveluntarjoajille tarkoitetun RADIUS -palvelimen konfigurointi ja palveluntarjoan tukeminen käyttöönoton eri vaiheessa.

Hinnoittelu

eduroamissa noudatetaan vastavuoroisuus- ja veloituksettomuusperiaatteita, joten palvelun käyttöönotto on maksuton.

Tilastot

Palvelu on tällä hetkellä käytössä kahdella organisaatiolla. Muut tilastot eduroam-verkkovierailu-sivulla.

Ohjeet

Seuraavassa on tiivis yhteenveto siitä, mitä tarkempia vaatimuksia ja toimenpiteitä eduroam proxy -palvelun käyttöönottoon liittyy.

Kuka pääsee mukaan?

Kaikki organisaatiot kahviloista kaupunkiverkkoihin, kunhan eduroamin edellyttämät tekniset vaatimukset täyttyvät.

Verkkoinfrastruktuuri

Langattomien tukiasemien on tuettava 802.1X- ja WPA2/AES-tekniikoita. Lisäksi tukiasemien pitää pystyä mainostamaan eduroam-SSID:tä mahdollisten muiden verkkojen lisäksi.  Nykyaikaiset enterprise-tukiasemat kelpaavat lähes poikkeuksetta. Funetin sisällä käytetyimpiä ovat Aruban, Ciscon ja HP:n kontrolleripohjaiset ratkaisut.

Palvelussa eduroam-SSID:n mainostus toteutetaan olemassa olevilla tai erillisen WLAN-projektin käyttöönottamalla WLAN-infrastruktuurilla palveluntarjoajan omistamissa tai hallinnoimissa tiloissa. Käyttöpaikat ja käyttöönottoaikataulu on sovittu yhdessä palveluntarjoajan kanssa.

Autentikointipalvelimen liittäminen osaksi WLAN-infrastruktuuria

Käyttöönoton yhteydessä CSC lähettää palveluntarjoajalle jaetun salaisuuden (merkkijonon) jonka avulla WLAN-infrastruktuuri liitetään eduroam-hierarkiaan. Liitämisen yhteydessä tarkistetaan, että palomuureissa sallitaan liikennöintiä UDP-porteilla 1812 ja 1813 palveluntarjoajien RADIUS-palvelimelle. Lisäksi UDP-fragmentointia pitää sallia verkossa. Palveluntarjoajan on syytä varata myös riittävästi IP-osoitteita vierailevia eduroam-käyttäjiä varten. CSC ohjeistaa käyttöönottovaiheessa ja antaa mm. testitunnuksia palvelun testaamista varten.

eduroam-yhteistö on määrittänyt portit, jotka on avattava eduroam-vierailijoille, jotta tutut palvelut on saatavissa kaikissa eduroam-verkoissa. Minimivaatimus on esitetty alla:

 Porttimääreet (näytä/piilota)

Palvelu

Protokolla/Portti

Suunta

Standard IPSec VPN

IP protocol 50 (ESP)

IP protocol 51 (AH)

UDP port 500 (IKE)

saapuva ja lähtevä

saapuva ja lähtevä

lähtevä

OpenVPN 2.0

UDP port 1194

saapuva ja lähtevä

IPv6 Tunnel broker service

IP protocol 41

saapuva ja lähtevä

IPSec NAT - Traversal

UDP port 4500

saapuva ja lähtevä

Cisco IPSec VPN over TCP

TCP port 10000

lähtevä

PPTP VPN

IP protocol 47 (GRE)

TCP port 1723

saapuva ja lähtevä

lähtevä

SSH

TCP port 22

lähtevä

HTTP

TCP port 80

TCP port 443

TCP port 3128

TCP port 8080

lähtevä
lähtevä
lähtevä
lähtevä

Sähköpostin lähettäminen

TCP port 465

TCP port 587

lähtevä
lähtevä

Sähköpostin vastaanottaminen

TCP port 143

TCP port 993

TCP port 110

TCP port 995

lähtevä
lähtevä
lähtevä
lähtevä

FTP (passiivinen)

TCP port 21

lähtevä

Viimeistelevät toimenpiteet

Ilmoita uusista tai poistuneista eduroam-käyttöpaikoista (katuosoitteen tarkkuudella) CSC:lle, joka ylläpitää Suomen tietoja kansainvälisessä eduroam-peittokartassa. Karttadatan pohjalta toimii myös eduroam Companion -mobiilisovellus (Android ja iOS), joka löytää GPS-paikannuksen ja karttadatan perusteella käyttäjää lähimpänä olevat eduroam-tukiasemat. CSC:ltä saa eduroam-tarroja kiinnitettäväksi esimerkiksi tilojen sisäänkäyntien yhteyteen. On myös valmisteltu opiskelijatöinä eduroam-aiheisia julisteita eduroamin mainostamiseen. Mielikuvitusta saa käyttää!

Sovitaan yhdessä CSC:n ja palveluntarjoajan kesken viestinnästä vika- ja muutostilanteissa. Palveluntarjoaja ei kuitenkaan tarjoa eduroam-käyttäjätukea. Vierailevien eduroam-käyttäjien ongelmissa palveluntarjoajan käyttäjätuki voi tarvittaessa ohjeistaa loppukäyttäjää olemaan yhteydessä suoraan tämän kotiorganisaation käyttäjätukeen tai loppukäyttäjille suunnatulle eduroam.fi -sivustolle.

  • No labels