文章同步發於vLAB Online ^^ http://www.vlab.com.tw
Part I 無線網路概念
一、Wireless Networking Concepts:
(1)Bandwidth from RF Signals:
要了解在無線訊號中使用頻寬,有兩個名詞要懂”802.11””Modulation”。
802.11是IEEE所訂定來規範無線網路的傳送、接收規則,較重要的概念就是無線網路的傳輸必需是半雙功,且工作頻率不需許可執照;有了無線的傳輸規範讓大家遵守,那在傳送上,要把電子訊號傳送到無線的訊號、還要將資料一同傳送出去,Modulation調變就是用來加資料到無線訊號用的,如日常生活中的廣播,就是用FM(Frequency Modulation)調頻、AM(Amplitude Modulation)調幅技術來加入聲音的技術。
另外這裡也提到幾個常見的無線網路頻譜:
900M: 這段902~928MHz的頻率常見於日常生活中無線電話
2.4G: 這段2.4000~2.4835GHz在WLAN的運用很多,如802.11b,802.11g,802.11n,每22M一個頻道,總共可分14個頻道,其中只有3個不覆蓋頻道(1,6,11)最常用,這個頻率使用的傳輸技術是DSSS(Direct Sequence Spread Spectrum)。
5G: 這段運用於802.11a與802.11n,每20M一個頻道,共有23個不覆蓋頻道,這個頻率的調變技術使用OFDM(orthogonal Frequency Division Multiplexing)
(2)Modulation Technique
調變(Modultaion)為一種改變訊號的技術,透過訊號的改變,可以降低傳送的失誤、讓訊號傳的更遠…,調變的技術有三個部份組成”Amplitude””Phase””Frequency”
Amplitude振幅: 波長上下幅度的變化
Phase相位: 兩個波頂之間的時間
Frequency頻率: 每秒出現全波的次數
在無線網路中常見的調變技術有三種”DSSS””OFDM””MIMO”
DSSS: 直接序列展頻Direct Sequence Spread Spectrum,運用了兩個技術,一個是編碼(Encoding)、一個是調變(Modulation)。編碼的概念就是把一個位元的資訊轉變成一串 Chip Sequence,如把1用1101來代替,目的是讓無線傳輸因干擾造成某一個位元沒收到,還是可以辨示其值,編碼會用如Barker code(較多位元較少資料傳輸率)與CCK Code(較少位元數較高資料傳輸率)進行。調變的技術,利用Phase Shift來展開頻率,如BPSK與QPSK,BPSK利用兩個180相位差來調變展頻,而QPSK則是利用90度相位差來產生四個訊號波展頻。
OFDM: 正交分頻多功Orthogonal Frequency Division Multiplexing利用附屬頻道技術來達成高傳輸率,以一個20MHz的通道來說,可以有52個300Hz的附屬通道傳送資料。
MIMO: Multiple-Input Multiple-Output為802.11n調變技術,這個技術使用多個天線(通常2~3個)來傳送與接收訊號,好處是可以在同一通道同時傳送超過 100M的資料,就算是非MIMO的設備,也能提高30%的傳輸效率。
二、Standard Bodies
無網網路的協會,大概有印象就可以了:
FCC: Federal Communication Commission美國聯邦通訊委員會
ETSI: European Telecommunication Standers Institute 歐洲電信標準協會
IEEE: Institute of Electrical and Electronic Engineers 電機電子工程師協會
Wi-Fi: Wi-Fi無線網路聯盟
三、WLAN RF Principles
這章比較簡單,了解幾個無線網路專有名詞的定義就可以了 –
(a)Wavelength波長: 兩個波頂(crests)間的距離。
(b)Frequency 頻率: 每秒出現全波的次數,單位以Hz計算。比如一秒出現一次為1Hz,一秒出現1百萬次為1MHz。
(c)Amplitude振幅: 波長上下幅度的變化。
(了解波長與振幅的圖形:http://zonalandeducation.com/mstm/physics/waves/introduction /introductionWaves.html)
(d)EIRP有效全向輻射功率: Effective Isotropic Radiated Power,簡單的說就是最後輸出的功率,FCC與EIRP都會訂定天線最後輸出的功率標準,就是以EIRP的功率來定義,這裡記個簡單功式,因為會考:
EIRP = Transmitter output power – cable loss + antenna gain
(e)Free Path Loss Model: 像把石頭丟入平靜水面產生向外擴散且漸漸消失的波紋,這就是無線電波的波紋
(f)Absorption吸收:影響無線訊號的因素之一,會使振幅減少,減少後會產生熱能,就像微波爐會使食物變熱一樣
(g)Reflection反射:當訊號傳達到易反射的介面,如鏡子時,會有反射的狀況,這會使得接收器會在不同時間收到同一個訊號而產生干擾
(h)Scattering散射:訊號在空氣中因雨、雪等因素造成訊號無法照原射向發送而產身的分散狀況
(i)Refraction折射:訊號穿過如水的介質而產生折射的狀況
(j)Line of Sight視線: 即兩個天線直直對射的狀況,這裡提醒的是,雖然對射,但仍要考慮前面介紹過的影響,如 absorption,reflection,scattering….,還有一個要特別考慮的,就是地球本身是圓形的,在地表其實是有角度問題,也會是訊號影響的一個因素
(k)Received Signal Strength Indicator訊號接收強度指標:簡稱RSSI,用來評估訊號強弱程度,通常每一家廠商有自已的指標,所以無法拿來統一評定,指標通常以dBm為單位
(l) Signal-to-Noise Ratio訊號雜訊比:簡稱SNR,常用看看訊號的清析度
(m)Link Budget連線預算: 用來計算需要傳輸多少功率才能傳送到接收端,功式如下:
Received Power(dBm) = Transmitted Power (dBm) + Gains (dB) – Losses(dB)
四、WLAN Technologies and Topologies
(1)General Wireless Topologies:
WPAN無線個人網路: 範圍小於10m,802.15,代表的如bluetooth
WLAN無線區域網路: 範圍小於100m,802.11系列
WMAN無線都會網路: 802.16,代表的如WiMAX
WWAN無線廣域網路: 通常要付費,如GSM,CDMA
(2)Original 802.11 Topologies:
有兩種主要架構”Ad Hoc Mode””Infrastructure mode”:
Ad Hoc:兩台電腦對接的架構,一台設定SSID讓另一台連過來(要在同一網段),這稱為Basic Service Set(BSS),又因完全獨立,可以稱作Independent Basic Service Set(IBSS)
Infrastructure: 簡單的說,就是有AP的架構,AP同時扮演兩個角色,一個像Hub一樣在空氣中半雙功的運作,另一個像Bridge一樣把訊號在無線與有線之間轉換。再來再記幾個Infrastructure的專有名詞:
STA-Station- 無線網路中的Client
Infrastructure Device –無線網路中的AP
BSA - Basic Service Area為一台AP所覆蓋的範圍
ESA – Extended Service Area 為兩台以上AP所覆蓋相同LAN的範圍
Distribution System - 無線Client的流量透過Controller進到有線網路環境的系統
SSID – Service Set Identifiers由MAC與網路名稱所組合而成,讓無線Client可以辨示與連線
(3)Vendor-Specific Topology Extensions:
廠商定義的拓蹼架構,所以不會套用到每一家:
Workgroup Bridges – 用AP來Bridge兩個有線網段,Cisco定義了兩個種類,”aWGB””uWGB”,都是Cisco設備就叫Autonomous Workgroup Bridge,有其它設備就叫Universal Workgroup Bridge
Repeaters – 一台沒有接線路的AP在兩個無線網路之間進行訊號傳送(訊號放大),最理想的overlaping是50%,而且Repeater的throughput 是原數值的一半,因要同時傳送與接收
Outdoor Wireless Bridges – 距離較長的戶外Bridge Outdoor Mesh Networks – 在兩個網路之間的Bridge透過多個AP,不會因為某個AP出問題而失效
五、Antenna Communacations
(1)Principles of Antennas
天線訊號的發射會有振幅,這個振幅就是電磁波變動的方向,又叫極性(Polariztion), 有三種極性方向要了解,”Vertical”為上下變動的極性、”Horizontal”水平變動的極性,”Circular”圓形方向變動的極性,以 Cisco來說,所有設備都是Vertical極性的天線。
(2)Common Antenna Type
可以簡單的將分類分成兩種,全向性與指向性,”Omnidirectional Antennas”全向性天線,適合室內使用的全面覆蓋,可以透過天線的水平圖H-plane與垂視圖E-plane選擇合適的天線,另一種天線為”Directional Antennas”適合掛在牆上或柱子上,適合兩邊無線Bridge或是加強某個地方的訊號。還有一點是,計算天線功率的單位是dBi。
(3)Antenna Connectors and Hardware
天線的其它配件如:
Attenuators衰減器 – 訊號過強影響其它網段,這時就用的上
Amplifiers 放大器 - 裝在AP與天線間來加強訊號
Lightning Arrestors 避雷器 – 避免閃電突波電流把設備用掛
Splitters分流器 – 如果原本天線要拉到某一個地方,但有死角,可以利用分流器把天線拉到兩個地點,但兩條天線的訊號會下降
六、Overview of the 802.11 WLAN Protocols
無線網路協定定義了傳輸資料的大小、調變技術…等,在CCNA的考試只要懂802.11 a/b/g/n這四個就夠了,下面只記錄關鍵字,建議要k一下相關說明
(1) 802.11a Protocol : OFDM/5.0GHz/BPSK,QPSK,16QAM,64QAM/6,9,12,18,24,36,48,54M
(2) 802.11b Protocol: DSSS/2.4GHz/DBPSK,DQPSK/1,2,5.5,11M
(3) 802.11g Protocol: DSSS,OFDM/2.4G,5.0G/BPSK,DQPSK/1,2,5.5,11M with DSSS/6,9,12,18,24,36,48,54Mwith OFDM
(4) 802.11n Protocol:
採用MIMO(Multiple-Input Multiple-Output)來運作,是一種多天線的架構,要同時多天線進行傳收,是透過transmit beamformin(TxBF)來達成,有三種MIMO架構”Precoding””Spatial Multiplexing””Diversity Coding”。
802.11n有兩種頻道寬度20MHz與40MHz,達到40MHz的方法就是把兩個20MHz的頻寬bound在一起。
在傳送Frame上,有兩個加速的方法,一個是Block achnowledgement就是在收到frame的回應之前就傳送數個Frames,另一個是RIFS(Reduced Interframe Space),來減少Frame傳送等待時間
七、Wireless Traffic Flow and AP Discovery
(1) Wireless Frame Transmission
訊框的種類有三種:
。Management – 用來加入與離開某個無線網路
。Control – 用來告知訊框已經收到
。Data – 資料訊框就是放資料的
訊框的傳送:
因為無線網路以CSMA/CA(Carrier sense multiple access/ collision avoidance)運作,所以在訊框傳送之前都需要一段”聽”的時間,網路上沒有流量自已在能把東西往外丟,這裡有一個詞叫”IFS” Interframe Space訊框溝通空間,IFS有三個種類:Short interframe space(SIFS):比較高的優先順序,用來快速傳遞訊框用,用在ACK的回應、Point-coordination interframe space(PIFS):用在由AP掌握網路時、Distributed-coordination interframe space(DIFS):一般的訊框空間,常應用於Data frame中。
(2) Wireless Frame Headers
無線網路的Header基本上都一樣,主要功能在告知這個Frame是什麼種類(management,control,data),與Mac位址資訊,無線網路的訊框會有三個MAC位址:
Destination Address(DA)即為傳送目的地的位址、Transmitter Address(TA)負責傳送無線訊號的AP、Source Address(SA)即來源電腦。有時候還會有第四個MAC位址: Receiving Address(RA)負責接收訊號的AP。
(3) Frame Types
訊框的內容(body)可以分為三種”Management””Control””Data”在前面已簡單說明,這裡再稍作補充:
。管理訊框(Management Frame):是用來管理訊框的連線,如發出一個Beacon好讓在範圍內的Client可以知道有這個AP可以連線、利用Probe request(Response)來找尋連線、Authentication Request(Response)來驗證連線、Association Request(Response) Reassociation Request(Response)來溝通建立連線、Deauthentication 來離開連線
。控制訊框(Control Frame):有兩種運作環境,會有不同的控制訊框:
- DCF(Distribution Coordination Function): 由各別電腦控制連線,常用到的如ACK來回應收到、RTS(Request to Send)要求傳送、CTS(Clear to Send)回應RTS可以傳送
- PCF(Point Coordination Function):由AP控制連線,如CF-Poll(Connection Free)告知可以開始傳送、CF-ACK回應CF-Poll收到了、PS-Poll(Power Save)進入省電模式的電腦告知AP已經回復
(4) A Wireless Connection
一台電腦進入到一個無線AP的連線如下
代碼:
Client (((((((((( AP 送出Beacons
Probe Request -->-->
<--<-- Probe Response
Authentication Request -->-->
<--<-- Authentication Response
Association Request -->-->
<--<-- Association Response
Request to Send -->-->
<--<-- Clear to Send
Data -->-->
<--<-- ACK
再來Client會決定傳輸的速率,會參考RSSI與SNR的數值決定。
八、Additional Wireless Technologies
(1) Cordless Phone: 無線電話,運作於1.8G~1.9GHz之間
(2) Bluetooth: 藍牙,運作於2.4GHz,利用跳頻技術(FHSS),目前最高的傳輸速度可達4Mbps,有一個受人喜愛的技術Piconet藍牙微網,可以同時連接8 個設備(一台Master、七台Slave),定義於802.15.1
(3) ZigBee:群蜂,運作於 868,915MHz,2.4GHz,定義於802.15.4,主要特點在於低功率傳輸、低資料量、安全可靠
(4) WiMax: 全名為Worldwide Interoperability for Microwave Access,運作於10~66GHz,定義於802.16,理論值可以傳輸到40Mbps,在非線性環境Non-LOS(Line of Sight),可以傳到3~4英哩,約30Mbps,在線性環境LOS可以傳到40Mbps
九、Delivering Packets from the wireless to wired network
(1) The Wireless Network Road Trip
這個架構是以Thin AP架構來說明,上面有聊過Client與AP的溝通,而
在溝通之後,如何把無線傳輸到有線呢?如下:
代碼:
Client )))))) (((((((((( AP -------------WLC ---------------------------Switch -----------Gateway
ARP Request (TA,SA,DA)-->-->
AP進行Frame Check Sequence&等待SIFS
<--<-- ACK for frame transmission
LWAPP傳送給WLC -->-->
WLC重新封裝成802.3格式-->-->
Switch flood除了來源port-->-->
连连Gateway以unicast回應ARP Request
<--<-- WLC重新封裝成802.11格式、以LWAPP傳給AP
<--<-- ARP Response (TA,SA,DA,�]知道Gateway的MAC)
(2) Using VLANs to Add Control
會需要用VLAN於無線網路的環境,原因很簡單,就是因為當AP以兩個SSID運作時,就像無線的VLAN環境,叫Logical VLAN,但是,當無線的兩個網段透過AP有線連接到WLC時,怎麼確保兩個網段是分開的
?就是要在有線連接的Switch上設定VLAN。
(3) Configure VLAN and Trunks
簡單回憶VLAN的設定指令 -
。設定兩個VLAN:
引言回覆:
Conf t
Vlan 10
Exit
Vlan 20
Exit
Show vlan brief
。設定vlan到port上:
引言回覆:
Conf t
Int f0/5
Switchport mode access
Swithchport access vlan10
Show interface status
。設定trunk ports:
引言回覆:
Interface range f0/1-3
Switchport trunk encapsulation dot1q
Switchport mode trunk
Switchport nonegotiate
Switchport trunk native vlan 1
End
Show interface trunk
Part II Cisco無線網路
一、Cisco Wireless Networks Architecture
(1) The Need for Centralized Control
通常一台AP(稱作Autonomous access或Fat AP)就能解獨立解決無線網路環境的問題,這是很好的架構,但是如果環境大,考慮到擴充與管理時,集中式的管理就成為必需,所以讓AP更輕巧 (lightweight AP或Thin AP)再連接後端一台集中控制平台進行設定與管理,即可滿足大環境與擴充性需求
(2) The Cisco Solution
Cisco的無線解決方案稱作CUWN(Cisco Unified Wireless Network)顧名思意就是一個集中式的統一管理網路架構,架構的成員如下:
。Wireless Client –
即一台需要無線上網的電腦,也可進行網路管理
。APs in the CUWN –
在Cisco的環境裡AP都建議以ThinAP搭配WLC(Wireless LAN Controller)來建構,之間以LWAPP(Lightweight AP Protocol)進行溝通,LWAPP有兩模式Layer2與layer3,運作於Layer2時AP與WLC要在同一個網段裡,Cisco建議用 Layer3,如此就能跨網段的讓Thin AP與WLC運作在更大的環境架構裡。
Thin AP通常負責的工作有: Frame exchange, Client Side Exchange , Transmits Beacons ,Power-Save Mode Frame Buffer ,Response Probe Request , Monitor Channels Noise, Provide Real-time quality Info
。WLC in the CUWN –
WLC收到的不只是Client的資料,還有訊號強度RSSI與SNR以做為訊號覆蓋範圍的參考,一台WLC最多可以接300台AP,超過300台AP的環境,可以建置多台WLC,再以WCS(Wireless control System)把WLC Group起來,就可以管理更大的環境。通常WLC負責的工作有: Association, Roaming Association, Authentication, Frame Translation, Frame Bridging。
AP傳送給WLC的資料有一部份為控制訊號,作為RRM(Radio Resource Management),可作為觀察流量、Dynamic Channel Assigment, Interference detection and avoidance, TCP(Transmit Power Control)
(3) Supporting Multiple Networks
在多網路無線環境,一台AP最多個支援512個SSID(VLAN)、一台WLC最多也是512個VLAN,但當串在一起時,WLC最多只能讓一台
Thin AP 支援到16個VLAN。有VLAN的好處是可以在一台AP上分割不同的網域(如訪客用與員工用切開),還可以針對不同的VLAN設定不同的QoS Policy
(4) The CUWN Architectur
Cisco統一無線網路架構有五大功能-
1.Wireless Clients-
如果有Cisco 網卡,可以用ADU(Aironet Desktop Utility)來管理,另外也可以裝SSC(Secure Services Client)來設定Cisco設備的profile
2.Access Points –
在CUWN的架構,AP的概念是”不用管理的”(Zero-Touch Managemnet),也就是你只要把AP接上線,其它都是透過WLC來管理,AP型號如下:
。1130AG – FAT,Thin,HREAP/Indoor/abg/54M
。1240AG – FAT,Thin,HREAP/Rugged Indoor/abg/54M
。1250AP – FAT,Thin/Rugged Indoor/abgn/300M
。1300AP – FAT,Thin,bridge/Outdoor/bg/54M
。1400 – Bridge Only/Outdoor/abg/None
3.Network Unification –
就是WLC,通常選擇WLC很簡單的,就看你要管理多少台AP,型號如下:
。4400 – 100AP/stand alone appliance
。3750G - 50AP/2U appliance
。WiSM - 3600AP(每片300AP)/可插入65系列或ISR的模組
。2106 WLC – 6AP/Desktop appliance
。WLCM – 6AP/模組
4.Network Management –
即WCS(Wireless Control System)軟體式可安裝於win,linux平台管理,一台WCS可以管理3000台Thin AP或1250台自治AP,如果透過WCS Navigator,可以看到不同Controller的AP,最多達30,000台
5.Network Services –
其它的無線安全模組,如ASA,IDS等安全服務
二、Controller Discovery and Association
(1)Understanding the Different LWAPP Modes
LWAPP運作兩種模式,Layer2與Layer3,這之間的差異只是在AP與WLC之間是以MAC互通或是以IP溝通,Layer3的封包是以UDP 傳送。無線傳輸運作如下:
Client )))))) (((((((( AP ---------------------WLC -------------------------Switch -----------------Gateway
Client傳送802.11封包-->-->
AP封裝LWAPP與802.11成Ethernet Frame-->-->
WLC移除802.3與LWAPP,處理802.11
WLC再封裝成802.3並加入802.1Q-->-->
封包透過Switch傳到目的地-->-->
(2)LWAPP AP Discovers a Controller
。Layer2模式:
AP開機後會進入Discovery Mode,首先會送出Layer2的Discovery broadcast,如果環境有WLC收到即會回應,如果沒有,AP會看自已的Config是否有IP address,如果沒有,會以DHCP要一個IP,然後再利用拿到的IP試著與WLC溝通,如果再失敗,AP會回到Layer2重覆上述流程,直到找到一個WLC
。Layer3模式:
AP有三種方式來找Controller –
1.Subnet Broadcast: AP會在同的個網段定發出Broadcast找controller,然後再從空中找其它AP在空氣中傳輸的資訊是否也有其它Controller的資訊,叫OTAP(Over the Air Provisioning)
2.DHCP Option43: 這是廠商提供的選項,可以直接用option43來學習管理介面的controller資訊
3.DHCP DNS entry: AP先透過DHCP取得IP與DNS entry,再透過DNS entry尋問Controller的IP位址,再針對問到的IP發出Discovery query找到Controller之後的動作叫”AP Priming”,就是把所有找到的Controller的資訊列成清單,放在NVRAM,如AP重開機後,只需要把清單拿出來進行broadcast就可以找到
(3)LWAPP AP Chooses a Controller and Joins It
如果已有Priming的controller清單,AP會將Join Request依序送給Primary,Secondary,Tertiary的Controller。但如果沒有Primed清單,會將Join Request送給Master Controller(一個Mobility Domain只會有一個Master Controller),Controller收到Request後會回應給AP即完成Joing動作
(4)LWAPP AP Receives Its Configuration
加入Controller之後,會馬上比對image資訊,如果不同會馬上進升級或降級、重開機,重開後就重覆之前的流程 ->Discovery->Join->image比對,如果image資訊一樣,即跳到下一步”Config Data”,這時AP會送出一個Configure Request(通常是空的)給Controller,Controller收到後會回應相關的設定資訊給AP,然後AP會將它存在NVRAM,如果重開 AP就會自已把config road出來跑
(5)Redundancy for APs and Controllers
。AP備援:
必需在同一個無線Domain,通常發生在AP自已身上,比如某台AP掛點,附近的AP增強自身的功率以增加覆蓋率、或改變自已的頻道提供備援
。Controller備援:
Controller的備援,就是在AP上設定Primary, Secondary, Tertiary Controller,即可達成備援。其它可用的備援方式如LAG(Link Aggregation),Multiple AP managers
(6)The AP Is Joined, Now What?[/b]
大部份的人連到AP後就是想連上網路,但是不同的AP模式有不同的功能,說明如下-
。Local Mode:
大部份AP運作這個模式,也只為他每180秒會scan全部的頻道(每60ms掃一次),也用來做為SiteSurvey,這個模式也可以當作IDS用,會檢查management packet
。Monitor Mode:
這個模式,AP是被動的,不會主動送出訊號,也不允許Client連線進來,可以作為rogue AP找尋、IDS、Troubleshooting、Sitesurvey
。Sniffer Mode:
這個模式與Monitor模式的差別是會抓取所有的封包,就像wireshark一樣,抓到封包後可以提供給其它設備,或是做為 troubleshooting、數位鑑識使用
。Rogue Detection Mode:
這個特殊的模式,作為AP與WLC之間的溝通,AP會關掉它的RF訊號,只聽取來自有線的ARP資訊,然後比對在Controller上的合法MAC清單,是否有非法的ARP請求,如果有的話WLC就會發出Alarm
。H-REAP Mode:
H-REAP(Hybrid Remote Edge AP)模式運用在AP與Controller的連線需要跨到Internet時,這個模式要注意WAN的連線速度,如果太慢可能會無法連結成功
。Bridge Mode:
運作Bridge的AP可以允許Client直接連線,再透過AWPP(Adaptive Wireless Path Protocol)選出合適的路徑(在Cisco indoor稱為iMesh、outdoor稱為mesh)
三、Adding Mobility with Roaming
(1)Understanding Roaming
漫遊(Roaming)簡單的說,就是可以跨不同的AP仍能保持上線的狀態,聽起來很簡單,其實背後有很多同步的技術。這裡介紹兩個名詞:
。Mobility Group:
同一個Group的Controller會互相分享要漫游的Client資訊
。Mobility Domain:
由不同的Mobility Group組成,可以共享不同Group的Client資訊,一台Controller只能在一個Mobility Group與一個Mobility Domain
(2)Types of Roaming
Controller要支援Roaming有幾個先決條件:
- Same Mobility Domain
- Same Code version
- Same LWAPP mode
- Same ACL
- Same SSID(WLAN)
如此才能支援Roaming,而漫游有兩種運作方式,L2與L3:
。Layer2 Roaming:
只要Client移動到另一個AP,仍是在同一個VLAN、同一個網段就是L2的roaming,L2的Roaming如果發生在同一個 Controller下的不同AP稱為”Intracontroller Roaming”,約會有10ms時間差,如果是在不同的Controller之間的AP稱為”Intercontroller Roaming”,約會有20ms時間差
。Layer3 Roaming:
L3 Roaming的差別在於需要在不同Controller的不同網段之間保持連線,解決方法就是在Controller上進行tunnel好讓 Client保持原IP,而Tunnel又可分為兩種Asymmetric與symmetric,預設Cisco是以Asymmetric為主:
- Asymmetric Tunneling: 非同步的Tunnel的命名是因為這個技術的來源IP是不同的,由Anchor Controller負責把這個不一樣的來源IP進行tunnel到Foreign Controller進行連線
- Symmetric Tunneling: 同步的Tunnel技術使得來源IP變的一樣,方法就是改由Foreign Controller進行與Anchor的Tunnel,這個技術可以避免網路間其它設備將來源IP不同介為是攻擊
四、Simple Network Configuration and Monitoring with
the Cisco Controller
(1)Contoller Terminology
在WLC裡有幾個專有名詞:
- Interface: 是logical的,它包括了VLAN與其它資訊
- Port: 概念就像實體的連接介面,會與VLAN、SSID綁在一起
- Dynamic Interface :管理者定義的介面,用802.1Q的header,類似subinterface的概念
- Management Interface: 可以控制所有實體port溝通的介面,也是唯一可以持續ping的通的介面
- AP manager interface: 運作於Layer3,用來與AP溝通的介面
- Virtual Interface: 用來管理L3 Security, Mobility manager communications, 也有DNS Gateway的Hostname, Wireless Auth Website(通常IP為1.1.1.1)
- Service Port: 為Out-of-band,的管理維護介面,也是唯在一boot mode時就啟動的port
(2)Connecting to the Controller
連線的方式就像大部份設備一樣,可以透過Serial port連接,進行CLI,或以初始IP:192.168.1.1 以HTTPS連線設定,在router我們會以:
Copy run start 來存設定資訊,而在WLC的指令改成: save config
(3)Configuring the Controller Using the Web Interface[/b]
設定Web介面的基本設置順序如下:
1. 建立Controller Interface: 這裡要先設定給VLAN的Interface
2. 設立WLAN並綁到Interface: 這裡設定WLAN的ProfileName與SSID並與上一步設定的Interface綁在一起
3. 修改安全設定: 選擇Layer2即可,因為預設Layer3是沒有policy的
五、Migrating Standalone APs to LWAPP
(1)Connecting to a Standalone AP
連線到AP有幾種方式,consloe,telnet,HTTP,SSH,如果沒有IP的話,只要接到有DHCP的環境,就會抓到了。
(2)Using the Express Setup and Express Security fo Basic Configuration
這是AP上兩個快速設定的精靈可以快速設定AP
(3)Converting to LWAPP
AP預設都是Autonomous模式,要改成Thin AP有三個方式,一個是下載windows的upgrade應用程式(IOS to LWAPP conversion utility);另一個是從WCS上面去更改,也是比較建議的方式;第三個是將IOS的image archive到AP
如果要把AP從Thin AP改為FAT AP,只要進CLI讓AP回復工廠預設,指令如下:
Config ap tftp-downgrade tftp-server-ip-address filename apname
接下來要按住mode的扭到LED燈變成紅色,AP重開後就會去找tftp server裡命名為cplatform_name-k9w7-tar.default的檔案,再進行回復動作
六、Cisco Mobility Express
(1)Overview of the small Business Communication System
Cisco的Moility 解決方案包括了526 Controller與521 AP,在500系列,最多可支援到48個使用者,中央控管可以透過CCA(Cisco Configuration Assistant),可以支援2台controller,每台Controller可以支援6台AP,要注意的是Cisco 521 AP是無法與CUWN的Controller溝通的,而526 Controller也無法與CUWN的AP溝通
(2)Configuring the 521 AP and 526 Controller
透過Console連線到controller,設定好IP後,再以HTTPS連入設定。
也可以安裝Windows based的軟體CCA,CCA是專門用來設定mobility 解決方案的,安裝好後在桌面就有圖示可以開啟應用程式,連線controller管理,也有圖形化的架構圖方便管理
七、Wireless Clients
(1)Using Windows to Connect to a Wireless LAN
在Windows下,Cisco提供一套軟基本的軟體”Windows Wireless Zero Configuration(WZC)”供連線使用。
(2)Using a Mac to Connect to a Wireless LAN
在Mac下,可以利用AirPort 或AirPort Extreme進行無線連線
(3)Using Linux to Connect to a Wireless LAN
在Linux下,可以利用可以利用CLI或是GUI,CLI的工具叫iwconfig,在GUI下利用Network Manager
(4)Using the ADU to Connect to a Wireless LAN
在windows下除了WZC之外,如果是利用Cisco網卡,還可以利用ADU(Aironet Desktop Utility)來進行管理,把網卡功能全開,在安裝時,同時也可以選擇CSSU(Cisco Site Survey Utility),可以用來了解環境的訊號強度
(5)The ACAU
ACAU(Aironet Configuration Administration Utility)用來協助Client profile設定、與ADU的自動佈屬
(6)The Cisco Secure Service Client
SSC(Secure Service Client)提供有線與無線的802.1x認證機制,SSC包括了三個部份: SSC軟體、SSC Administration Utility、SSC Log Package。MFP v2需要支援SSC或CCX5才能使用。
(7)The Cisco Client Extension Program
CCX(Cisco Client Extention)是免費的延伸軟體,可以知道Cisco最新的技術資訊與產品訊息,CCX5以上版本還可當Client MFP(Management Frame Protection)保護AP傳輸安全
Part III WLAN維護與管理
一、Securing the Wireless Network
(1)Threat to Wireless Networks
無線網路的威脅可以概分為四類:
1.Ad Hoc Networks:
使用Ad Hoc的威脅是因為可能資料的傳輸繞過公司的政策,而有資訊外流的可能性
2.Rogue APs:
Rogue AP並非全部是壞的,只有是沒組織架構中的AP就稱為Rogue AP,如有同時自已在公司內放一台Fat AP就算Rogue AP
3.Clients Misassociation
Clients的錯誤連線是有可能發生,比如你的作業系統會記住最近連過的SSID資訊,下次開機會自動幫你連上去,那如果有人偽裝這個SSID,結果作業系統就自動連上這個SSID的無線環境了。
有一個方式可以避免這個狀況,稱作”Management Frame Protection”(MFP),MFP有兩種模式,第一個為Infrastructure MFP,這種模式AP會在每個FCS(Frame Check Sequence)之前加入MIC(Message Integrity Check)來判斷是不是與他相關的Frame,另一種模式為Client MFP,Client端需要安裝CCX5(Cisco Compatible Extension)或SSC(Secure Service Client)才能進行MIC確認與回報給Controller。
MFP除了可以保護Clients黑白連(Misassociation),還可以防止DoS,只要沒有MIC的Frame直接丟棄可以避免DoS可能性發生
4.Wireless Attack
無線網路的攻擊常見有三類:
- Reconnaissance attacks: 攻擊者試著知道無線環境的資訊,包括隱藏的SSID也可能被發現
- Access attacks:攻擊者會試著存取無線網路的資料、設備、網路,利用MAC過濾是一個不錯的方法,但,MAC也容易被偽裝,用WEB的驗證機制,也可以,但有可能在4~7分鐘內被破解
- Denial-of-service attack:
讓合法的使用者無法使用無線網路,(由於無線網路是半雙工,用無線抓P2P也可能形成DoS^^),可以透過無線IPS/IDS來解決
(2)Simple Authentications
簡單的驗證大致有三種如下:
1. Open Authentication:
這是最簡單的驗證,流程超Open!
代碼:
Client ------------------------------------ AP
Authentication Request-->-->
<--<--Authentication Response
Association Request -->-->
<--<--Association Confirmation
2. Preshared Key Authentication with Wired Equivalent Privacy:
WEP驗證基本上是不看人的,只看那把Key,直接看圖,如下:
代碼:
Client ----------------------------------------------------------------------- AP
Authentication Request-->-->
<--<--Authentication Response + Challenge Clear-text
Use text to Encrypt (Association Request) -->-->
<--<--Compare static WEP keys & Association Confirmation
WEP是使用RC4加密,也因為用RC4,所以容易被破解~WEP的長度有40,104,128bits,包括了IV(Initialization Vector),IV是一組數字,用來產生獨特的encryption key。
3. MAC Address Filtering:
設過AP的都知道可以設定MAC,沒有列上去的就不能連線到AP,但因MAC容易偽裝,所以不夠安全
(3) Centralized Authentication
集中式驗證的一個代表就是PKI(Public Key Infrastructure),集中式驗證的重點是”身份識別”,透過PKI(通常會有第三方信任機構,稱為CA)所發出的加密安全憑證 (Certificates)就可用來識別這個人的身份合法性。憑證的機制也應用在802.1x來對Client進行驗證,再搭配不同的EAP方式就有很多不同驗證的變化,說明如下:
。 802.1x:
802.1x是由IEEE所訂定的一種驗證標準,可應用在無線與有線網路。802.1x是一個平台,實際的驗證溝通方式需透過 EAP(Extensible Authentication Protocol)來達成,只要通過,802.1x平台可以決定哪個port要開或關。在802.1x架構有三個角色要認識:
Client ----------------------------Switch -------------------------Auth Server
(又稱Supplicant) ( 稱為Authenticator) (稱為Authentication Server)
驗證通過前沒有訊框可以通過Authenticator,流程如下:
代碼:
Client )))))) (((((((( AP --------------------------------Auth Server
Association -->-->
<--<--Authentication Request
Authentication Response -->-->
<--<-- Association Request
Association Response -->-->
(此刻AP還沒把Port打�}讓Frame通過)
Send Credentials-->-->
Send Auth Info Via RADIUS Packet-->-->
<--<-----------------------------Forwarded<--<--------RADIUS Traffic Return
(Got Unique Session Key) (Got Unique SessionKey)
<--<--Success Message + Session WEP key
<--<--Keep Session WEP Key and send
然後Client與AP就可利用Session Key來解開加密的資料
。 EAP Process:
EAP專門用來控制Credentials如何傳送,不管何使用何種EAP有相同的流程如下-
代碼:
Client )))))) (((((((( AP --------------------------------Auth Server
Request Access ->-->
<--<-- Identity Query
Proof of Identity 迳 迳 transfer 迳 迳 迳 迳
<--<-- <--<-- <--<-- <--<-- Success/Fail
。 EAP-TLS:
全名為Extensible Authentication Protocol – Transport Layer Security,這是最普遍的EAP機制,加密機制跟SSL很相近,在EAP-TLS裡憑證必需要同時安裝在Server與Client,所以被認為是很安全的機制,流程如下-
代碼:
Client )))))) (((((((( AP --------------------------------Auth Server
EAP Start -->-->
<--<-- Request Identity
Identity -->--> -->--> -->--> -->-->
<--<-- <--<-- <--<-- Server Send it’s Cert
Client Send it’s Cert -->--> -->--> -->-->
<--<-- Auth Server :Symmetric Session Keys (或稱master session key)
<--<-- Master Key to AP or Contrller
<--<-- Encryption Between Client and AP Using WEP or WPA/WPA2
在EAP的溝通裡,主要還是Client與Auth Server,中間的AP很簡單的運作於Layer2進行轉傳是Port的開關,所以在設定上也很簡單的選擇802.1x就可以了
。 EAP-FAST:
全名為Extensible Authentication Protocol-Flexible Authentication via
Secure Tunnel,這是Cisco所開發的協定,目的是為了加強另一個cisco
開發的協定LEAP(Lightweight Extensible Authentication Protocol)的安
全,在EAP-FAST裡面沒有使用PKI,而是用每個Clietn獨有的安全Share
key :PAC(Protected Access Credential)來取代。在EAP的溝通裡有三個
階段,Phase0: PAC分配到Auth Server與Client身上,Phase1: Auth
Server與Client建立起TLS Tunnel,Phase2:驗證使用者身份,流程:
代碼:
Client )))))) (((((((( AP --------------------------------Auth Server
EAP Start -->-->
<--<-- EAP Request Identity
EAP Response Identity -->--> -->--> -->--> -->-->
<--<-- EAP-FAST start (AID) <--<-- EAP Request Challenge (Authority-ID)
PAC Opaque -->--> -->--> -->-->
<--<-- <--<--<--<-- <--<-- <--<--Cipher Trust Protocol Set
Confirm cipher Trust Protocol Set -->--> -->-->
===================Tunnel Below==========================
<--<-- <--<-- <--<-- Identity Request
Authentication Response (EAP GTC) -->--> -->--> -->-->
<--<-- <--<-- <--<-- Success/Fail
。 PEAP:
全名為Protected EAP,只有在Server安裝憑證來建立tunnel與驗證,這是由Cisco, Microsoft, RSA所共同開發的,所以如果要與AD整合,可以利用MS-CHAPv2來驗證,其它可以利用GTC(Generic Token Card)來驗證,其溝通流程如下:
代碼:
Client )))))) (((((((( AP --------------------------------Auth Server
EAP Start -->-->
<--<-- EAP Request Identity
EAP Response Identity -->--> -->--> -->-->
<--<-- <--<-- <--<-- <--<-- Server Cert(EAP-TLS)
Pre-Master Secret -->--> -->--> -->-->
===================Tunnel Below==========================
<--<-- <--<-- <--<-- <--<--<--<--
Identity Request/Response -->--> -->-->
<--<-- <--<--<--<-- EAP MSCHAPv2 Challenge
EAP MSCHAPv2 Response -->--> -->-->
<--<-- <--<-- EAP Success/Fail
。 LEAP:
全名為Lightweight Extensible Authentication Protocol,也是Cisco所開發,目前在一些802.11b的網路還看的見,因為這個機制可以被離線攻擊,所以要小心使用
(4) Authentication and Encrypption
由於WEP使用RC4加密,容易被破解,所以有了更安全的
。 WPA:
全名為Wi-Fi Protected Access,是WiFi聯盟替換WEP的驗證與加密方式,WPA使用TKIP(Temporal Key Integrity Protocol)協定來動態變更加密金鑰,不過因為加密方式仍然是RC4所以還是有風險,變通方式有兩個,一個是直接把IV值變大,讓加密方式更複雜,另一個升級硬體到可以使用AES加密機制。
WPA有兩種運作模式,一個是要透過Auth Server的,稱為Enterprise Mode,另一個是直接發送Preshared key的機制,稱為Personal Mode。其驗證機制如下:
代碼:
Client )))))) (((((((( AP --------------------------------Auth Server
<--Security Capability Discovery迳
<--<-- <--<-- 802.1x Authentication 迳 迳 迳 迳 迳
<--<--<--<--Pairwise Master Key (PMK)
<--<-- <--<-- <--<--<--<-- Pairwise Master Key (PMK)
(( 4 Way Handshake for key))
(Derive PTK) <--<-- <--<-- Random Number
Random Number -->-- -->--> (Derive PTK (Pairwise Transient Key))
(Install PTK) <--<-- <--<-- Resend Random Number
PTK Done -->--> -->--> (Install PTK)
((2Way Group Key Handshake))
-->--> -->-->
<--<-- <--<--
。 WPA2:
WPA2與WPA的運作時一樣的,差別在於加密方式,由RC4改為AES/CCMP(Advanced Encryption Standard-Cipher Block Chaining Message Authentication Code Protocol),所以需要硬體升級或是換新的硬體才能從舊款設備支援
二、Enterprise Wireless Management with the WCS and
Location Appliance
WCS全名為Wireless Control System,是一套軟體可以安裝在Windows與Linux上,主要的工作在協助無線網路的佈屬、設計與管理,要佈屬在較的環境裡,Cisco比較建議將WCS安裝在Linux-Base的環境下。
在佈屬上,需要考慮到它所需要開放的Port連線(其實是Apache的Web Server):
Java: 1299,8009,8456,8457
HTTP:80
HTTPS:443
FTP: 21 , TFTP:69
SNMP:162
其它的建議實際操作過一下WCS的畫面。
三、Maintaining Wireless Networks
這部份提供是WCS, Controller, AP的升級,大致了解過就可以了^^
四、Troubleshooting Wireless Networks
從網路管理的角度來看,大部份的問題都發生在OSI的Layer1~Layer3,也建議從Layer1往上檢查問題,可以幫助節省許多時間,在實體的檢查順序如下:
AP 迳 Switch , Switch 迳 Switch , Switch 迳 Controller ,
Controller 迳 Distribution
檢查實體線路與燈號,通常燈號紅色代表有問題、燈色代表不好、綠色代表正常。再來檢查Client端的問題,因為無線網路通常都是由Client來告訴你,”我不能上網”,可以檢查這幾個項目:
。Client Card (網卡) : 看看有沒有啟動
。SSID : 看看有沒有設對、或抓錯台
。頻率使用: 看看電腦有沒有用到同頻率的其它服務
。MAC: 看看有沒有加入AP的黑名單或白名單
。如使用802.1x 驗證,要確認一下使用的EAP方式有沒有支援
。看看有沒有被ACL擋住
。看看Client電腦的Firewall與Anti-Virus是不是有擋到啥咪
。環境有NAC(Network Access Control)設備的話,確認有沒有擋到
。如果用Pre-ShareKey,確認Client的設定
除了這些,有幾個無線網路常碰到的狀況與解決方法如下:
1. Hidden Node Issue: 這個狀況發生在同一個AP的環境下,兩台電腦因為看不到對方,而使用同一個頻道與AP溝通,造成半雙功的AP無法同時處理兩個訊號。解決方案如讓AP的覆蓋範圍變小、減少Frame的最大size、強制每個訊號都要使用RTS/CTS控制訊框進入與離開
2. Exposed Node Issue:這個狀況就是兩台AP放太近,而且運作於同一個頻率與通道(802.11b/g)而造成相互的干擾,解決方案就是要調整AP的擺放位置、或將另一台改為802.11a
3. Near/Far Issue: 這個狀況就是AP的訊號太強,覆蓋範圍較大,當一個Client在範圍內,但它能傳送的訊號送不了像AP那麼遠,就會造成無法與AP溝通的狀況而無法連線,這個狀況要縮小AP的訊號,神奇的是,透過WCS可以自動發覺Client的訊號,調整AP的訊號大小
4. Degrade Data Rate: 這個狀況常發生,如一台b的電腦接到g的AP,或a/b/g的電腦接到n的AP的環境,這會使用傳輸速率無法用到最大~可以強制只能使用某種頻率來控制
最後再記幾個Debug的指令就ok啦~
引言回覆:
Show client summary
Show client detail
Debug lwapp events enable
Debug dot11
參考書目:
802.11無線區域網路通訊協定及應用 文魁 N3014
初探無線網路 First-step Ciscopress ISBN-9867199-02-2
CCNA Wireless Official Exam Certification Guide Ciscopress
Cisco Wireless LAN Controller Configuration Guide Very Happy
1 則留言:
請問ccna wireless有兩個編號
640-721及640-722這兩種認證有何不同?
張貼留言