為什麼選Cisco AP?(Why Cisco AP?)

佈了這麼多AP終於知道，Why Cisco AP ??

    昨天到客戶端佈建兩顆AP，一顆1142N、一顆1042N。由於客戶環境是對IT較苛求的環境，所以$$都要花在刀口上，即使只購了兩顆AP，必需讓主管了解效益才行，於是陪著客戶測試與原有AP差異在哪?

       首先，我們挑選了一個偏遠的地點，AP訊號幾乎都是臨界值，如下圖為用inSSID所抓的圖示:

                  圖中紅色線為原始Third Party AP訊號，較粗的微黃色線為Cisco AP訊號。

                 

 這張圖可以看出兩件事:

 1.訊號強度:  兩條線的訊號平均都在-70 ~ -80dB之間，可見無線訊號強度相近。

                         這個數值其實意義不大，因為每個國家都會規定其訊號強度，所以理論上各家

                         AP的訊號強度都是一樣的。

 2.訊號穩定度: 訊號穩定度可以從上圖兩個地方來看:

             a.振幅: 由於無線訊號是透過空氣傳送，接收端會看見訊號波是上上下下的圖示

                        ，愈穩定的訊號如上圖中間有一條很平穩的長線，這是Cisco AP 另一個頻

                         率(5G Hz)的波長，這條平穩的線代表的是接收端能穩定的接收訊號。如果

                         看見不斷上下變動的訊號，一般使用者就會覺得訊號忽然有、忽然沒有的。

            b.訊號連續性: 上圖仔細看Third Party的紅色訊號線，可以發現線會忽然消失、再出

                                     線的不連續線形，這代表訊號接收端已經接收不到訊號，如果有資

                                     料在傳輸會有斷斷續續的感受。

從圖確實可以推測出使用情況，透過實際使用可以更容易了解差異。
下圖是Cisco AP位於臨界點的測試狀況，左邊是長Ping中華電信DNS主機的狀況，下圖右
邊是以Hinet測試上傳與下載的速度:

從圖可以得知長Ping狀況穩定，上傳5.38Mbps、下載6.94Mbps。

左相同的位置下面是Third Party AP的狀況:

左邊可以看的到Ping偶而才可以用，而右邊的Hinet連線測試，網頁根本開不起來。

測試中可以了解，看AP訊號不是只看訊號強度，如上面測試兩顆AP訊號強度幾乎一樣，
但實際使用確有兩個極大的差異。

這次安裝讓自已了解為何要花較多的$$買Cisco AP，也分享這個測試狀況。

簡單設定Aruba AP(Aruba Thin AP Basic Config)

最近碰到客戶使用這款AP，不過thin AP不外就是設定IP與Controller，指令不同，如下:

print                                             \\先看現有設定

setenv name AP-123                        \\設定AP名稱

setenv group aruba-group                     \\設定群組

setenv master 192.168.1.1                       \\設定Conterller IP

setenv serverip 192.168.1.1                     \\設定Conterller IP

setenv ipaddr 172.16.1.3                           \\設定AP IP

setenv netmask 255.255.255.0                 \\ AP遮照

setenv gatewayip 172.16.1.254                   \\ AP Gateway

save                                                      \\存起來

重開後就可以在Controller發現它的踨影了!!

Cisco 瘦AP加入Controller (Lightweight AP join the Controller)

如何把Thin AP (Lightweight  AP)加入Controller內?

最近常有機會在不同的環境將thin ap 加入controller裡面好讓controller控制，方法很多，到底環境要用什麼樣的方式來加呢?先了解ap如何與controller溝通，再依不同的環境選合適的方式。

Cisco 瘦AP加入Controller的順序依序如下:

1.區域廣播(Local IP Subnet Discovery):

原理:先用廣播的方式，找到環境內的Controller，也就是thin AP與Controller在同一個網段裡，這是最快也最簡單的方式。

方法:只要把AP插上電與網路即可。

2.空中廣播Over The Air Provisioning(OTAP):

原理:當從網路線上廣播找不到controller時，第二步透過空氣中的無線電廣播，找尋有沒有其它ap已經有controller的資訊，有的話就跟著去找到Controller

方法: 把AP放置在已加入controller的thin ap 附近。

3.Locally Stored Controller IP Address:

原理:如果從空氣中找不到其它AP的訊號，第三步就是找尋自已AP內是不是有設定過Controller的資訊?Controller 的IP地址，有的話即透過此IP地址去找Controller

方法:以console線接到ap，從CLI輸入下列指令

lwapp ap controller ip add x.x.x.x

上面指令即是告訴AP controller在哪裡，如果環境沒有dhcp先配方ip的話，需要先設定ip給thin ap，指令如下:

lwapp ap ip address x.x.x.x x.x.x.x

4. DHCP option 43:

原理:如果AP本身沒有設定Controller的IP資訊，接下來即找尋DHCP的option43資訊，是否有設定controller的位址，有的話即套用此IP位址與controller溝通

方法: 以cisco switch為例，設定dhcp 的option如下:

ip dhcp pool wireless

   network 192.168.1.x 255.255.255.0

   dns-server 192.168.1.x

   default-router 192.168.1.254

   option 43 hex f104.c0a8.a202

簡單說明option 43，option43是16進制的IP位址，所以在option43之前需指定hex(16進)，而這16進的號碼是由Type + Length + Value 所組成。Type比較簡單，永遠是0xF1，只取F1為開頭。而Length就看有設定多少個IP位址，以IPv4來說，192.168.10.5是一個IP有四段，所以length為4，如果是兩個ip，比如192.168.10.5與192.168.10.6有兩個IP， length為8。最後Value就是把IP位址改成16進。

下面的例子是把192.168.10.5與192.168.10.20這兩個controller ip設定成option 43的格式:

option 43 hex f108c0a80a05c0a80a14

5. DNS Discovery:

原理:最後，DHCP沒設定option 43的話，就是看DNS有沒有指定Controller在哪?有的話即進行與controller的溝通。

方法: 即是在DNS上加入一比Recorder ，如下:

 CISCO-CAPWAP-CONTROLLER.localdomain  10.0.0.1

後面的localdomain為環境的網域名稱，上面紅色的部份是ap會找尋的固定名稱，需要一樣

當跑完上面五個流程都沒找到，就會從頭再來一次，直到找到controller為止，因為…thin AP沒辦法像FAT AP能夠勇敢、單獨的存在著。

所以可以簡單的把Thin AP 加入Controller的方式概分為兩種環境:

1.同一個網段裡: 這是最簡單的，即上面介紹的第一種方式區域廣播，只需要確認ap有電、有網路線即可。

2.不同網段裡:跨網段可以從上面2~4方式選一種，以簡單方便為主。

Cisco 胖AP 的基本設定 (Autonomous AP Basic Config)

雖然Cisco的胖AP比市售的胖AP貴的許多，但市場上還是可以看見很多將Cisco的Thin AP更改為胖AP單用的狀況，原因是因為:

不想常去"重開就會好"

特別是需要一直放著提供無線服務的環境，不得不佩服它的技術。
下面針對胖AP的CLI基本設定做介紹(第一次有GUI的速度慢到讓我想學CLI)，
幫助大家快速設定這個胖子...(笑)

Part 1. 快速讓胖AP可用: 

Step.1 設定802.11的無線SSID:

ap#config t 
ap(config)#dot11 ssid MySSID  
ap(config-ssid)#authentication open 
ap(config-ssid)#guest-mode 

設定的同時，也必需指令驗證方式，我們先用開放驗證(open)方式讓它通就好。而guest-mode是讓SSID進行廣播，可以方便初始化的連線，為了安全可以不用設定(Client端需要指定好SSID才能連線)

Step.2 指定無線訊號的SSID與開啟無線通訊:
下面是一顆1131AG的AP，所以有兩個協定802.11a與802.11g，分別在dot11Radio 0與dot11Radio 1，預設是關閉的，需要進去介面打開:

ap(config)#int dot11Radio 0 
ap(config-if)#ssid MySSID 
ap(config-if)#no shutdown
ap(config)#int dot11Radio 1 
ap(config-if)#ssid MySSID
ap(config-if)#no shutdown

Step.3 設定BVI:
如果是DHCP的環境是可以略過這個步驟，因為預設會自已抓好，Fat AP是靠BVI(Bridge Virtual Interface)來讓實體網路與無線網路通訊，所以必需設定一個實體環境的IP給它:  

ap(config-if)#int bvi 1 
ap(config-if)#ip addr dhcp 

或是以手動指定IP:

ap(config-if)#int bvi 1 
ap(config-if)#ip addr 192.168.1.3 255.255.255.0

搞定!!把自已的電腦利用無線連看看!!

Part 2. 常用基本設定: 

ARP Cache:

AP的運作就像Hub一樣,廣播是它們必做的事，開啟Arp-Cache，可以加快效能(雖然感受不到)，
當AP收到一個ARP封包，會比對Cache裡的資料，如果不在Cache就不廣播把封包丟掉，以減少廣播封包。

ap(config)#dot11 arp-cache

Time:

可能希望與NTP Server同步時間

ap(config)#sntp server 220.130.158.82

或是直接設定時間

ap#clock set 12:21:00 3 Sep 2010

再show一下時間狀況

ap#show clock

DNS:
環境沒有DHCP Server的話，可以手動幫AP設定DNS Server

ap(config)#ip name-server 168.95.1.1

SNMP:
可能需要開SNMP給網管軟體看 -
最後面可以選擇ro(Read Only)或是rw(Read and Write)

ap(config)#snmp-server community public ro

Part 3. 基本加密驗證: 
通常胖AP較常用的是WEP或是WPA-PSK這兩種驗證方式，說明如下
WEP:
首先我們先看一下Web的驗證方式，可以更了解為何這麼設定，
WEP驗證基本上是不看人的，只看那把Key，如下:

Client --------------------------------------------- AP
Authentication Request--> -->
<--<--Authentication Response + Challenge Clear-text Use text to Encrypt (Association Request) -->-->
<--<--Compare static WEP keys & Association Confirmation

從上面的驗證流程可以知道AP在第二個步驗會請Client輸入Cler-text，這就是我們在連線AP時，
會跳出一個畫面(或在連線的設定裡)要我們輸入一個passphase，輸入後就可以把資料加密送給AP，
AP收到後就用我們現在要設定的Key來解密碼看，可以解開就送Association Confirmation給Client。

了解流程後，在設定Cisco AP時要記住:
1.設定驗證放式是在SSID下
2.設定加密方式要在無線訊號(Radio)下

而設定順序一定要先設定加密方式，再設定驗證方式，因為要先有key，才可以在驗證方式裡選用key麻~下面就先到無線訊號下設定加密，設定WEP加密方式要先設定一個key1~4, size可以選擇40或128，設定40就需要設定十位元的文字(連線的密碼)，設定128的話，需要設定26個字的密碼，如下的1234567890就是很Client連線要輸入的key.然後再指定模式為WEP

ap(config)#inter dot11Radio 0
ap(config-if)#encryption key 1 size 40 1234567890
ap(config-if)#encryption mode wep mandatory key-hash

然後再進到ssid裡面，指定驗證模式為開放

ap(config)#dot11 ssid abc
ap(config-ssid)#authentication open

如此就完成WEP的設定啦^^

凍一下~~~不是設定WEP嗎?怎麼驗證是用開放咧!!??
嘿~這就要從什麼是開放說起，下面是開放驗證流程:

Client ------------------------------------ AP
Authentication Request-->-->
<--<--Authentication Response Association Request -->-->
<--<--Association Confirmation

再往上與WEP的流程比較一下，會發覺整個流程都一樣，說穿了WEP只是在開放驗證裡多了一個
passphase的確認機制，所以Cisco認為WEP還是一個開放的認證(真是嚴格呀~)
Ps. 上面OPEN流程也可以說明為什麼在PartI時，我們只設authenticaion open，就可以不用輸入密碼使用AP了

WPA-PSK:
因為FAT AP通常不會結合到RADIUS等的認證平台，反而在導Thin AP時都需要與驗證平台做驗證，在沒有驗證平台的情況下，我們可以透過設定PreShareKey(PSK)來取代驗證平台，方法如下:

一樣，要先在無線頻道下指定加密方式，因為是WPA,會用TKIP來動態更改key加強安全

ap(config)#inter dot11Radio 0
ap(config-if)#encryption mode ciphers tkip

再進到ssid下面設定驗證方式,由於只是wpa-psk，所以不用設定EAP驗證，我們以開放式(open)驗證即可，而key-managemnet就是用WPA，最後再設定WPA的PreShareKey(即Client連線的密碼)就搞定啦!

ap(config)#dot11 ssid abc
ap(config-ssid)#authentication open
ap(config-ssid)#authentication key-management wpa
ap(config-ssid)#wpa-psk ascii 12345678

設完後你就會發覺，原來WPS-PSK的驗證流程，還是OPEN的四個方式，但比WEP還強的是，有TKIP的自動變更key機制，所以較為安全^^(我說的是…"較為")

Cisco AP之瘦變胖與胖變瘦(Autonomous & LightWeight )

怎麼把 Thin AP 變成Fat AP,FAT AP變成Thin AP?
看書寫的很簡單，AP預設就是Fat AP，所以只需要把AP改成預設值就可以了，
但是經過親身體驗，拆開一顆新的1131，預設是Thin AP @@

書本(原廠文件)提到改回預設的方式是:
更改的方式是在開機時按住"Mode"鍵2~3秒，看燈號為橙色後放開!!
這時Thin AP會自已將IP設定為10.0.0.1的IP, 然後自動去尋找同網段內的tftp伺服器，
如果有的話會從裡面自動下載IOS，會尋找的檔名為"型號-k9w7-tar.default"(如:c1130-k9w7-tar.default)

但…實際上我試了一個下午@@
深刻體認到，理論與實務的差距，原來…有那麼大=.=!

還好，有個實力堅強的同事Jonce的協助，解決了這個惱人的問題。

胖變瘦(Autonomous to LightWeight):

方法1. 重開大法:

    如同手冊說的，重開機讓它去抓預設網段裡的胖AP IOS，差別只是按住mode的時間比原廠說的多十倍@@
Step 1.把自已電腦(要當TFTP伺服器那台)的IP改為10.0.0.x網段的IP，因為AP變成default後，會設自已IP為10.0.0.1來抓同網段的IOS
Step 2.先把瘦AP IOS抓下來，放到TFTP上，變更名稱，
             如:   c1130-rcvk9w8-tar.124-21a.JA2.tar  改為    c1130-rcvk9w8-tar.default
step 3. 把電源拔掉，按住mode鈕，再插上電源，可能要30秒左右，按到燈變紅色，或是你看到console畫面自已有在解開IOS為止
Step 4. Reload一下就ok啦!

方法2. IOS大挪移:
其實，說穿了，Thin AP與Fat AP的差別只在於IOS的不同，
我們只要想法辦法更換不同的IOS就好了，這裡有一個參考指令:

ap#archive download tftp://1.1.1.1/c1130-k9w7-tar.124-21a.JA1.tar

利用archive來更換IOS，所以我們要把胖AP換成Thin AP的方法是:

Step 1. 先把瘦AP IOS抓下來，放到TFTP上，變更名稱，
             如:   c1130-rcvk9w8-tar.124-21a.JA2.tar  改為    c1130-rcvk9w8-tar.default

Step 2. 把IOS給copy回去

      ap#archive download tftp://1.1.1.1/c1130-rcvk9w8-tar.default

 Step 3.再Reload一下就搞定了!!

就這麼簡單^^

瘦變胖(Lightweight to Autonomous):

 
當你要從瘦AP變回胖AP , 會發現:
1.想下指令 config ap tftp-downgrade tftp-server-ip-address filename apname，但thin ap上根本沒指令，這時候會想問候別人的爸媽。
2.想用上面的archive來換IOS，也沒有archive的指令可用

方法1. 重開大法:

跟胖變瘦流程都一樣，所以看一下上面的流程，差別只是放在tftp上的IOS是胖AP的IOS。


方法2. IOS大挪移:
這個方法不一定每一個IOS都支援，方法就是透過下面這個指令來讓隱藏的archive指令出現!指令如下:

debug lwapp console cli

 這個指令下了之後，就可以打"archive"

步驟如下:

Step 1. 先把胖AP IOS抓下來，放到TFTP上，變更名稱，
             如:   c1130-rcvk9w8-tar.124-21a.JA2.tar  改為    c1130-rcvk9w8-tar.default
Step 2. 執行指令: (不見得每一個IOS都支援，不支援的就用方法一重開大法吧)

ap#debug lwapp console cli

Step 3. archive出現了!趕快把IOS給copy回去吧!

      ap#archive download tftp://1.1.1.1/c1130-k9w7-tar.124-21a.JA1.tar

 Step 4.都ok後再Reload一下就搞定了!!

搞定!收工!!

CCNA Wireless IUWNE640-721學習筆記

文章同步發於vLAB Online ^^ http://www.vlab.com.tw
Part I 無線網路概念
一、Wireless Networking Concepts:
(1)Bandwidth from RF Signals:
要了解在無線訊號中使用頻寬，有兩個名詞要懂”802.11””Modulation”。
802.11是IEEE所訂定來規範無線網路的傳送、接收規則，較重要的概念就是無線網路的傳輸必需是半雙功，且工作頻率不需許可執照;有了無線的傳輸規範讓大家遵守，那在傳送上，要把電子訊號傳送到無線的訊號、還要將資料一同傳送出去，Modulation調變就是用來加資料到無線訊號用的，如日常生活中的廣播，就是用FM(Frequency Modulation)調頻、AM(Amplitude Modulation)調幅技術來加入聲音的技術。
另外這裡也提到幾個常見的無線網路頻譜:
900M: 這段902~928MHz的頻率常見於日常生活中無線電話
2.4G: 這段2.4000~2.4835GHz在WLAN的運用很多，如802.11b,802.11g,802.11n，每22M一個頻道，總共可分14個頻道，其中只有3個不覆蓋頻道(1,6,11)最常用，這個頻率使用的傳輸技術是DSSS(Direct Sequence Spread Spectrum)。
5G: 這段運用於802.11a與802.11n，每20M一個頻道，共有23個不覆蓋頻道，這個頻率的調變技術使用OFDM(orthogonal Frequency Division Multiplexing)
(2)Modulation Technique
調變(Modultaion)為一種改變訊號的技術，透過訊號的改變，可以降低傳送的失誤、讓訊號傳的更遠…，調變的技術有三個部份組成”Amplitude””Phase””Frequency”
Amplitude振幅: 波長上下幅度的變化
Phase相位: 兩個波頂之間的時間
Frequency頻率: 每秒出現全波的次數
在無線網路中常見的調變技術有三種”DSSS””OFDM””MIMO”
DSSS: 直接序列展頻Direct Sequence Spread Spectrum，運用了兩個技術，一個是編碼(Encoding)、一個是調變(Modulation)。編碼的概念就是把一個位元的資訊轉變成一串 Chip Sequence，如把1用1101來代替，目的是讓無線傳輸因干擾造成某一個位元沒收到，還是可以辨示其值，編碼會用如Barker code(較多位元較少資料傳輸率)與CCK Code(較少位元數較高資料傳輸率)進行。調變的技術，利用Phase Shift來展開頻率，如BPSK與QPSK，BPSK利用兩個180相位差來調變展頻，而QPSK則是利用90度相位差來產生四個訊號波展頻。
OFDM: 正交分頻多功Orthogonal Frequency Division Multiplexing利用附屬頻道技術來達成高傳輸率，以一個20MHz的通道來說，可以有52個300Hz的附屬通道傳送資料。
MIMO: Multiple-Input Multiple-Output為802.11n調變技術，這個技術使用多個天線(通常2~3個)來傳送與接收訊號，好處是可以在同一通道同時傳送超過 100M的資料，就算是非MIMO的設備，也能提高30%的傳輸效率。

二、Standard Bodies
無網網路的協會，大概有印象就可以了:
FCC: Federal Communication Commission美國聯邦通訊委員會
ETSI: European Telecommunication Standers Institute 歐洲電信標準協會
IEEE: Institute of Electrical and Electronic Engineers 電機電子工程師協會
Wi-Fi: Wi-Fi無線網路聯盟

三、WLAN RF Principles
這章比較簡單，了解幾個無線網路專有名詞的定義就可以了 –
(a)Wavelength波長: 兩個波頂(crests)間的距離。
(b)Frequency 頻率: 每秒出現全波的次數，單位以Hz計算。比如一秒出現一次為1Hz，一秒出現1百萬次為1MHz。
(c)Amplitude振幅: 波長上下幅度的變化。
(了解波長與振幅的圖形:http://zonalandeducation.com/mstm/physics/waves/introduction /introductionWaves.html)
(d)EIRP有效全向輻射功率: Effective Isotropic Radiated Power，簡單的說就是最後輸出的功率，FCC與EIRP都會訂定天線最後輸出的功率標準，就是以EIRP的功率來定義，這裡記個簡單功式，因為會考:
EIRP = Transmitter output power – cable loss + antenna gain
(e)Free Path Loss Model: 像把石頭丟入平靜水面產生向外擴散且漸漸消失的波紋，這就是無線電波的波紋
(f)Absorption吸收:影響無線訊號的因素之一，會使振幅減少，減少後會產生熱能，就像微波爐會使食物變熱一樣
(g)Reflection反射:當訊號傳達到易反射的介面，如鏡子時，會有反射的狀況，這會使得接收器會在不同時間收到同一個訊號而產生干擾
(h)Scattering散射:訊號在空氣中因雨、雪等因素造成訊號無法照原射向發送而產身的分散狀況
(i)Refraction折射:訊號穿過如水的介質而產生折射的狀況
(j)Line of Sight視線: 即兩個天線直直對射的狀況，這裡提醒的是，雖然對射，但仍要考慮前面介紹過的影響，如 absorption,reflection,scattering….，還有一個要特別考慮的，就是地球本身是圓形的，在地表其實是有角度問題，也會是訊號影響的一個因素
(k)Received Signal Strength Indicator訊號接收強度指標:簡稱RSSI，用來評估訊號強弱程度，通常每一家廠商有自已的指標，所以無法拿來統一評定，指標通常以dBm為單位
(l) Signal-to-Noise Ratio訊號雜訊比:簡稱SNR，常用看看訊號的清析度
(m)Link Budget連線預算: 用來計算需要傳輸多少功率才能傳送到接收端，功式如下:
Received Power(dBm) = Transmitted Power (dBm) + Gains (dB) – Losses(dB)

四、WLAN Technologies and Topologies
(1)General Wireless Topologies:
WPAN無線個人網路: 範圍小於10m，802.15，代表的如bluetooth
WLAN無線區域網路: 範圍小於100m，802.11系列
WMAN無線都會網路: 802.16，代表的如WiMAX
WWAN無線廣域網路: 通常要付費，如GSM,CDMA
(2)Original 802.11 Topologies:
有兩種主要架構”Ad Hoc Mode””Infrastructure mode”:
Ad Hoc:兩台電腦對接的架構，一台設定SSID讓另一台連過來(要在同一網段)，這稱為Basic Service Set(BSS)，又因完全獨立，可以稱作Independent Basic Service Set(IBSS)
Infrastructure: 簡單的說，就是有AP的架構，AP同時扮演兩個角色，一個像Hub一樣在空氣中半雙功的運作，另一個像Bridge一樣把訊號在無線與有線之間轉換。再來再記幾個Infrastructure的專有名詞:
STA-Station- 無線網路中的Client
Infrastructure Device –無線網路中的AP
BSA - Basic Service Area為一台AP所覆蓋的範圍
ESA – Extended Service Area 為兩台以上AP所覆蓋相同LAN的範圍
Distribution System - 無線Client的流量透過Controller進到有線網路環境的系統
SSID – Service Set Identifiers由MAC與網路名稱所組合而成，讓無線Client可以辨示與連線
(3)Vendor-Specific Topology Extensions:
廠商定義的拓蹼架構，所以不會套用到每一家:
Workgroup Bridges – 用AP來Bridge兩個有線網段，Cisco定義了兩個種類，”aWGB””uWGB”，都是Cisco設備就叫Autonomous Workgroup Bridge，有其它設備就叫Universal Workgroup Bridge
Repeaters – 一台沒有接線路的AP在兩個無線網路之間進行訊號傳送(訊號放大)，最理想的overlaping是50%，而且Repeater的throughput 是原數值的一半，因要同時傳送與接收
Outdoor Wireless Bridges – 距離較長的戶外Bridge Outdoor Mesh Networks – 在兩個網路之間的Bridge透過多個AP，不會因為某個AP出問題而失效

五、Antenna Communacations
(1)Principles of Antennas
天線訊號的發射會有振幅，這個振幅就是電磁波變動的方向，又叫極性(Polariztion), 有三種極性方向要了解，”Vertical”為上下變動的極性、”Horizontal”水平變動的極性，”Circular”圓形方向變動的極性，以 Cisco來說，所有設備都是Vertical極性的天線。
(2)Common Antenna Type
可以簡單的將分類分成兩種，全向性與指向性，”Omnidirectional Antennas”全向性天線，適合室內使用的全面覆蓋，可以透過天線的水平圖H-plane與垂視圖E-plane選擇合適的天線，另一種天線為”Directional Antennas”適合掛在牆上或柱子上，適合兩邊無線Bridge或是加強某個地方的訊號。還有一點是，計算天線功率的單位是dBi。
(3)Antenna Connectors and Hardware
天線的其它配件如:
Attenuators衰減器 – 訊號過強影響其它網段，這時就用的上
Amplifiers 放大器 - 裝在AP與天線間來加強訊號
Lightning Arrestors 避雷器 – 避免閃電突波電流把設備用掛
Splitters分流器 – 如果原本天線要拉到某一個地方，但有死角，可以利用分流器把天線拉到兩個地點，但兩條天線的訊號會下降

六、Overview of the 802.11 WLAN Protocols
無線網路協定定義了傳輸資料的大小、調變技術…等，在CCNA的考試只要懂802.11 a/b/g/n這四個就夠了，下面只記錄關鍵字，建議要k一下相關說明
(1) 802.11a Protocol : OFDM/5.0GHz/BPSK,QPSK,16QAM,64QAM/6,9,12,18,24,36,48,54M
(2) 802.11b Protocol: DSSS/2.4GHz/DBPSK,DQPSK/1,2,5.5,11M
(3) 802.11g Protocol: DSSS,OFDM/2.4G,5.0G/BPSK,DQPSK/1,2,5.5,11M with DSSS/6,9,12,18,24,36,48,54Mwith OFDM
(4) 802.11n Protocol:
採用MIMO(Multiple-Input Multiple-Output)來運作，是一種多天線的架構，要同時多天線進行傳收，是透過transmit beamformin(TxBF)來達成，有三種MIMO架構”Precoding””Spatial Multiplexing””Diversity Coding”。
802.11n有兩種頻道寬度20MHz與40MHz，達到40MHz的方法就是把兩個20MHz的頻寬bound在一起。
在傳送Frame上，有兩個加速的方法，一個是Block achnowledgement就是在收到frame的回應之前就傳送數個Frames，另一個是RIFS(Reduced Interframe Space)，來減少Frame傳送等待時間

七、Wireless Traffic Flow and AP Discovery
(1) Wireless Frame Transmission
訊框的種類有三種:
。Management – 用來加入與離開某個無線網路
。Control – 用來告知訊框已經收到
。Data – 資料訊框就是放資料的
訊框的傳送:
因為無線網路以CSMA/CA(Carrier sense multiple access/ collision avoidance)運作，所以在訊框傳送之前都需要一段”聽”的時間，網路上沒有流量自已在能把東西往外丟，這裡有一個詞叫”IFS” Interframe Space訊框溝通空間，IFS有三個種類:Short interframe space(SIFS):比較高的優先順序，用來快速傳遞訊框用，用在ACK的回應、Point-coordination interframe space(PIFS):用在由AP掌握網路時、Distributed-coordination interframe space(DIFS):一般的訊框空間，常應用於Data frame中。
(2) Wireless Frame Headers
無線網路的Header基本上都一樣，主要功能在告知這個Frame是什麼種類(management,control,data)，與Mac位址資訊，無線網路的訊框會有三個MAC位址:
Destination Address(DA)即為傳送目的地的位址、Transmitter Address(TA)負責傳送無線訊號的AP、Source Address(SA)即來源電腦。有時候還會有第四個MAC位址: Receiving Address(RA)負責接收訊號的AP。
(3) Frame Types
訊框的內容(body)可以分為三種”Management””Control””Data”在前面已簡單說明，這裡再稍作補充:
。管理訊框(Management Frame):是用來管理訊框的連線，如發出一個Beacon好讓在範圍內的Client可以知道有這個AP可以連線、利用Probe request(Response)來找尋連線、Authentication Request(Response)來驗證連線、Association Request(Response) Reassociation Request(Response)來溝通建立連線、Deauthentication 來離開連線
。控制訊框(Control Frame):有兩種運作環境，會有不同的控制訊框:
- DCF(Distribution Coordination Function): 由各別電腦控制連線，常用到的如ACK來回應收到、RTS(Request to Send)要求傳送、CTS(Clear to Send)回應RTS可以傳送
- PCF(Point Coordination Function):由AP控制連線，如CF-Poll(Connection Free)告知可以開始傳送、CF-ACK回應CF-Poll收到了、PS-Poll(Power Save)進入省電模式的電腦告知AP已經回復
(4) A Wireless Connection
一台電腦進入到一個無線AP的連線如下
代碼:
Client (((((((((( AP 送出Beacons
Probe Request -->-->
<--<-- Probe Response Authentication Request -->-->
<--<-- Authentication Response Association Request -->-->
<--<-- Association Response Request to Send -->-->
<--<-- Clear to Send Data -->-->
<--<-- ACK 再來Client會決定傳輸的速率，會參考RSSI與SNR的數值決定。 八、Additional Wireless Technologies (1) Cordless Phone: 無線電話，運作於1.8G~1.9GHz之間 (2) Bluetooth: 藍牙，運作於2.4GHz，利用跳頻技術(FHSS)，目前最高的傳輸速度可達4Mbps，有一個受人喜愛的技術Piconet藍牙微網，可以同時連接8 個設備(一台Master、七台Slave)，定義於802.15.1 (3) ZigBee:群蜂，運作於 868,915MHz,2.4GHz，定義於802.15.4，主要特點在於低功率傳輸、低資料量、安全可靠 (4) WiMax: 全名為Worldwide Interoperability for Microwave Access，運作於10~66GHz，定義於802.16，理論值可以傳輸到40Mbps，在非線性環境Non-LOS(Line of Sight)，可以傳到3~4英哩，約30Mbps，在線性環境LOS可以傳到40Mbps 九、Delivering Packets from the wireless to wired network (1) The Wireless Network Road Trip 這個架構是以Thin AP架構來說明，上面有聊過Client與AP的溝通，而 在溝通之後，如何把無線傳輸到有線呢?如下: 代碼: Client )))))) (((((((((( AP -------------WLC ---------------------------Switch -----------Gateway ARP Request (TA,SA,DA)-->-->
AP進行Frame Check Sequence&等待SIFS
<--<-- ACK for frame transmission LWAPP傳送給WLC -->-->
WLC重新封裝成802.3格式-->-->
Switch flood除了來源port-->-->
连连Gateway以unicast回應ARP Request
<--<-- WLC重新封裝成802.11格式、以LWAPP傳給AP <--<-- ARP Response (TA,SA,DA，�]知道Gateway的MAC) (2) Using VLANs to Add Control 會需要用VLAN於無線網路的環境，原因很簡單，就是因為當AP以兩個SSID運作時，就像無線的VLAN環境，叫Logical VLAN，但是，當無線的兩個網段透過AP有線連接到WLC時，怎麼確保兩個網段是分開的 ?就是要在有線連接的Switch上設定VLAN。 (3) Configure VLAN and Trunks 簡單回憶VLAN的設定指令 - 。設定兩個VLAN: 引言回覆: Conf t Vlan 10 Exit Vlan 20 Exit Show vlan brief 。設定vlan到port上: 引言回覆: Conf t Int f0/5 Switchport mode access Swithchport access vlan10 Show interface status 。設定trunk ports: 引言回覆: Interface range f0/1-3 Switchport trunk encapsulation dot1q Switchport mode trunk Switchport nonegotiate Switchport trunk native vlan 1 End Show interface trunk Part II Cisco無線網路
一、Cisco Wireless Networks Architecture
(1) The Need for Centralized Control
通常一台AP(稱作Autonomous access或Fat AP)就能解獨立解決無線網路環境的問題，這是很好的架構，但是如果環境大，考慮到擴充與管理時，集中式的管理就成為必需，所以讓AP更輕巧 (lightweight AP或Thin AP)再連接後端一台集中控制平台進行設定與管理，即可滿足大環境與擴充性需求
(2) The Cisco Solution
Cisco的無線解決方案稱作CUWN(Cisco Unified Wireless Network)顧名思意就是一個集中式的統一管理網路架構，架構的成員如下:
。Wireless Client –
即一台需要無線上網的電腦，也可進行網路管理
。APs in the CUWN –
在Cisco的環境裡AP都建議以ThinAP搭配WLC(Wireless LAN Controller)來建構，之間以LWAPP(Lightweight AP Protocol)進行溝通，LWAPP有兩模式Layer2與layer3，運作於Layer2時AP與WLC要在同一個網段裡，Cisco建議用 Layer3，如此就能跨網段的讓Thin AP與WLC運作在更大的環境架構裡。
Thin AP通常負責的工作有: Frame exchange, Client Side Exchange , Transmits Beacons ,Power-Save Mode Frame Buffer ,Response Probe Request , Monitor Channels Noise, Provide Real-time quality Info
。WLC in the CUWN –
WLC收到的不只是Client的資料，還有訊號強度RSSI與SNR以做為訊號覆蓋範圍的參考，一台WLC最多可以接300台AP，超過300台AP的環境，可以建置多台WLC，再以WCS(Wireless control System)把WLC Group起來，就可以管理更大的環境。通常WLC負責的工作有: Association, Roaming Association, Authentication, Frame Translation, Frame Bridging。
AP傳送給WLC的資料有一部份為控制訊號，作為RRM(Radio Resource Management)，可作為觀察流量、Dynamic Channel Assigment, Interference detection and avoidance, TCP(Transmit Power Control)
(3) Supporting Multiple Networks
在多網路無線環境，一台AP最多個支援512個SSID(VLAN)、一台WLC最多也是512個VLAN，但當串在一起時，WLC最多只能讓一台
Thin AP 支援到16個VLAN。有VLAN的好處是可以在一台AP上分割不同的網域(如訪客用與員工用切開)，還可以針對不同的VLAN設定不同的QoS Policy
(4) The CUWN Architectur
Cisco統一無線網路架構有五大功能-
1.Wireless Clients-
如果有Cisco 網卡，可以用ADU(Aironet Desktop Utility)來管理，另外也可以裝SSC(Secure Services Client)來設定Cisco設備的profile
2.Access Points –
在CUWN的架構，AP的概念是”不用管理的”(Zero-Touch Managemnet)，也就是你只要把AP接上線，其它都是透過WLC來管理，AP型號如下:
。1130AG – FAT,Thin,HREAP/Indoor/abg/54M
。1240AG – FAT,Thin,HREAP/Rugged Indoor/abg/54M
。1250AP – FAT,Thin/Rugged Indoor/abgn/300M
。1300AP – FAT,Thin,bridge/Outdoor/bg/54M
。1400 – Bridge Only/Outdoor/abg/None
3.Network Unification –
就是WLC，通常選擇WLC很簡單的，就看你要管理多少台AP，型號如下:
。4400 – 100AP/stand alone appliance
。3750G - 50AP/2U appliance
。WiSM - 3600AP(每片300AP)/可插入65系列或ISR的模組
。2106 WLC – 6AP/Desktop appliance
。WLCM – 6AP/模組
4.Network Management –
即WCS(Wireless Control System)軟體式可安裝於win,linux平台管理，一台WCS可以管理3000台Thin AP或1250台自治AP，如果透過WCS Navigator，可以看到不同Controller的AP，最多達30,000台
5.Network Services –
其它的無線安全模組，如ASA,IDS等安全服務

二、Controller Discovery and Association
(1)Understanding the Different LWAPP Modes
LWAPP運作兩種模式，Layer2與Layer3，這之間的差異只是在AP與WLC之間是以MAC互通或是以IP溝通，Layer3的封包是以UDP 傳送。無線傳輸運作如下:
Client )))))) (((((((( AP ---------------------WLC -------------------------Switch -----------------Gateway
Client傳送802.11封包-->-->
AP封裝LWAPP與802.11成Ethernet Frame-->-->
WLC移除802.3與LWAPP，處理802.11
WLC再封裝成802.3並加入802.1Q-->-->
封包透過Switch傳到目的地-->-->
(2)LWAPP AP Discovers a Controller
。Layer2模式:
AP開機後會進入Discovery Mode，首先會送出Layer2的Discovery broadcast，如果環境有WLC收到即會回應，如果沒有，AP會看自已的Config是否有IP address，如果沒有，會以DHCP要一個IP，然後再利用拿到的IP試著與WLC溝通，如果再失敗，AP會回到Layer2重覆上述流程，直到找到一個WLC
。Layer3模式:
AP有三種方式來找Controller –
1.Subnet Broadcast: AP會在同的個網段定發出Broadcast找controller，然後再從空中找其它AP在空氣中傳輸的資訊是否也有其它Controller的資訊，叫OTAP(Over the Air Provisioning)
2.DHCP Option43: 這是廠商提供的選項，可以直接用option43來學習管理介面的controller資訊
3.DHCP DNS entry: AP先透過DHCP取得IP與DNS entry，再透過DNS entry尋問Controller的IP位址，再針對問到的IP發出Discovery query找到Controller之後的動作叫”AP Priming”，就是把所有找到的Controller的資訊列成清單，放在NVRAM，如AP重開機後，只需要把清單拿出來進行broadcast就可以找到
(3)LWAPP AP Chooses a Controller and Joins It
如果已有Priming的controller清單，AP會將Join Request依序送給Primary,Secondary,Tertiary的Controller。但如果沒有Primed清單，會將Join Request送給Master Controller(一個Mobility Domain只會有一個Master Controller)，Controller收到Request後會回應給AP即完成Joing動作
(4)LWAPP AP Receives Its Configuration
加入Controller之後，會馬上比對image資訊，如果不同會馬上進升級或降級、重開機，重開後就重覆之前的流程 ->Discovery->Join->image比對，如果image資訊一樣，即跳到下一步”Config Data”，這時AP會送出一個Configure Request(通常是空的)給Controller，Controller收到後會回應相關的設定資訊給AP，然後AP會將它存在NVRAM，如果重開 AP就會自已把config road出來跑
(5)Redundancy for APs and Controllers
。AP備援:
必需在同一個無線Domain，通常發生在AP自已身上，比如某台AP掛點，附近的AP增強自身的功率以增加覆蓋率、或改變自已的頻道提供備援
。Controller備援:
Controller的備援，就是在AP上設定Primary, Secondary, Tertiary Controller，即可達成備援。其它可用的備援方式如LAG(Link Aggregation),Multiple AP managers
(6)The AP Is Joined, Now What?[/b]
大部份的人連到AP後就是想連上網路，但是不同的AP模式有不同的功能，說明如下-
。Local Mode:
大部份AP運作這個模式，也只為他每180秒會scan全部的頻道(每60ms掃一次)，也用來做為SiteSurvey，這個模式也可以當作IDS用，會檢查management packet
。Monitor Mode:
這個模式，AP是被動的，不會主動送出訊號，也不允許Client連線進來，可以作為rogue AP找尋、IDS、Troubleshooting、Sitesurvey
。Sniffer Mode:
這個模式與Monitor模式的差別是會抓取所有的封包，就像wireshark一樣，抓到封包後可以提供給其它設備，或是做為 troubleshooting、數位鑑識使用
。Rogue Detection Mode:
這個特殊的模式，作為AP與WLC之間的溝通，AP會關掉它的RF訊號，只聽取來自有線的ARP資訊，然後比對在Controller上的合法MAC清單，是否有非法的ARP請求，如果有的話WLC就會發出Alarm
。H-REAP Mode:
H-REAP(Hybrid Remote Edge AP)模式運用在AP與Controller的連線需要跨到Internet時，這個模式要注意WAN的連線速度，如果太慢可能會無法連結成功
。Bridge Mode:
運作Bridge的AP可以允許Client直接連線，再透過AWPP(Adaptive Wireless Path Protocol)選出合適的路徑(在Cisco indoor稱為iMesh、outdoor稱為mesh)

三、Adding Mobility with Roaming
(1)Understanding Roaming
漫遊(Roaming)簡單的說，就是可以跨不同的AP仍能保持上線的狀態，聽起來很簡單，其實背後有很多同步的技術。這裡介紹兩個名詞:
。Mobility Group:
同一個Group的Controller會互相分享要漫游的Client資訊
。Mobility Domain:
由不同的Mobility Group組成，可以共享不同Group的Client資訊，一台Controller只能在一個Mobility Group與一個Mobility Domain
(2)Types of Roaming
Controller要支援Roaming有幾個先決條件:
- Same Mobility Domain
- Same Code version
- Same LWAPP mode
- Same ACL
- Same SSID(WLAN)
如此才能支援Roaming，而漫游有兩種運作方式，L2與L3:
。Layer2 Roaming:
只要Client移動到另一個AP，仍是在同一個VLAN、同一個網段就是L2的roaming，L2的Roaming如果發生在同一個 Controller下的不同AP稱為”Intracontroller Roaming”，約會有10ms時間差，如果是在不同的Controller之間的AP稱為”Intercontroller Roaming”，約會有20ms時間差
。Layer3 Roaming:
L3 Roaming的差別在於需要在不同Controller的不同網段之間保持連線，解決方法就是在Controller上進行tunnel好讓 Client保持原IP，而Tunnel又可分為兩種Asymmetric與symmetric，預設Cisco是以Asymmetric為主:
- Asymmetric Tunneling: 非同步的Tunnel的命名是因為這個技術的來源IP是不同的，由Anchor Controller負責把這個不一樣的來源IP進行tunnel到Foreign Controller進行連線
- Symmetric Tunneling: 同步的Tunnel技術使得來源IP變的一樣，方法就是改由Foreign Controller進行與Anchor的Tunnel，這個技術可以避免網路間其它設備將來源IP不同介為是攻擊

四、Simple Network Configuration and Monitoring with
the Cisco Controller
(1)Contoller Terminology
在WLC裡有幾個專有名詞:
- Interface: 是logical的，它包括了VLAN與其它資訊
- Port: 概念就像實體的連接介面，會與VLAN、SSID綁在一起
- Dynamic Interface :管理者定義的介面，用802.1Q的header，類似subinterface的概念
- Management Interface: 可以控制所有實體port溝通的介面，也是唯一可以持續ping的通的介面
- AP manager interface: 運作於Layer3，用來與AP溝通的介面
- Virtual Interface: 用來管理L3 Security, Mobility manager communications, 也有DNS Gateway的Hostname, Wireless Auth Website(通常IP為1.1.1.1)
- Service Port: 為Out-of-band，的管理維護介面，也是唯在一boot mode時就啟動的port
(2)Connecting to the Controller
連線的方式就像大部份設備一樣，可以透過Serial port連接，進行CLI，或以初始IP:192.168.1.1 以HTTPS連線設定，在router我們會以:
Copy run start 來存設定資訊，而在WLC的指令改成: save config
(3)Configuring the Controller Using the Web Interface[/b]
設定Web介面的基本設置順序如下:
1. 建立Controller Interface: 這裡要先設定給VLAN的Interface
2. 設立WLAN並綁到Interface: 這裡設定WLAN的ProfileName與SSID並與上一步設定的Interface綁在一起
3. 修改安全設定: 選擇Layer2即可，因為預設Layer3是沒有policy的

五、Migrating Standalone APs to LWAPP
(1)Connecting to a Standalone AP
連線到AP有幾種方式，consloe,telnet,HTTP,SSH，如果沒有IP的話，只要接到有DHCP的環境，就會抓到了。
(2)Using the Express Setup and Express Security fo Basic Configuration
這是AP上兩個快速設定的精靈可以快速設定AP
(3)Converting to LWAPP
AP預設都是Autonomous模式，要改成Thin AP有三個方式，一個是下載windows的upgrade應用程式(IOS to LWAPP conversion utility);另一個是從WCS上面去更改，也是比較建議的方式;第三個是將IOS的image archive到AP
如果要把AP從Thin AP改為FAT AP，只要進CLI讓AP回復工廠預設，指令如下:
Config ap tftp-downgrade tftp-server-ip-address filename apname
接下來要按住mode的扭到LED燈變成紅色，AP重開後就會去找tftp server裡命名為cplatform_name-k9w7-tar.default的檔案，再進行回復動作

六、Cisco Mobility Express
(1)Overview of the small Business Communication System
Cisco的Moility 解決方案包括了526 Controller與521 AP，在500系列，最多可支援到48個使用者，中央控管可以透過CCA(Cisco Configuration Assistant)，可以支援2台controller，每台Controller可以支援6台AP，要注意的是Cisco 521 AP是無法與CUWN的Controller溝通的，而526 Controller也無法與CUWN的AP溝通
(2)Configuring the 521 AP and 526 Controller
透過Console連線到controller，設定好IP後，再以HTTPS連入設定。
也可以安裝Windows based的軟體CCA，CCA是專門用來設定mobility 解決方案的，安裝好後在桌面就有圖示可以開啟應用程式，連線controller管理，也有圖形化的架構圖方便管理

七、Wireless Clients
(1)Using Windows to Connect to a Wireless LAN
在Windows下，Cisco提供一套軟基本的軟體”Windows Wireless Zero Configuration(WZC)”供連線使用。
(2)Using a Mac to Connect to a Wireless LAN
在Mac下，可以利用AirPort 或AirPort Extreme進行無線連線
(3)Using Linux to Connect to a Wireless LAN
在Linux下，可以利用可以利用CLI或是GUI，CLI的工具叫iwconfig，在GUI下利用Network Manager
(4)Using the ADU to Connect to a Wireless LAN
在windows下除了WZC之外，如果是利用Cisco網卡，還可以利用ADU(Aironet Desktop Utility)來進行管理，把網卡功能全開，在安裝時，同時也可以選擇CSSU(Cisco Site Survey Utility)，可以用來了解環境的訊號強度
(5)The ACAU
ACAU(Aironet Configuration Administration Utility)用來協助Client profile設定、與ADU的自動佈屬
(6)The Cisco Secure Service Client
SSC(Secure Service Client)提供有線與無線的802.1x認證機制，SSC包括了三個部份: SSC軟體、SSC Administration Utility、SSC Log Package。MFP v2需要支援SSC或CCX5才能使用。
(7)The Cisco Client Extension Program
CCX(Cisco Client Extention)是免費的延伸軟體，可以知道Cisco最新的技術資訊與產品訊息，CCX5以上版本還可當Client MFP(Management Frame Protection)保護AP傳輸安全

Part III WLAN維護與管理
一、Securing the Wireless Network
(1)Threat to Wireless Networks
無線網路的威脅可以概分為四類:
1.Ad Hoc Networks:
使用Ad Hoc的威脅是因為可能資料的傳輸繞過公司的政策，而有資訊外流的可能性
2.Rogue APs:
Rogue AP並非全部是壞的，只有是沒組織架構中的AP就稱為Rogue AP，如有同時自已在公司內放一台Fat AP就算Rogue AP
3.Clients Misassociation
Clients的錯誤連線是有可能發生，比如你的作業系統會記住最近連過的SSID資訊，下次開機會自動幫你連上去，那如果有人偽裝這個SSID，結果作業系統就自動連上這個SSID的無線環境了。
有一個方式可以避免這個狀況，稱作”Management Frame Protection”(MFP)，MFP有兩種模式，第一個為Infrastructure MFP，這種模式AP會在每個FCS(Frame Check Sequence)之前加入MIC(Message Integrity Check)來判斷是不是與他相關的Frame，另一種模式為Client MFP，Client端需要安裝CCX5(Cisco Compatible Extension)或SSC(Secure Service Client)才能進行MIC確認與回報給Controller。
MFP除了可以保護Clients黑白連(Misassociation)，還可以防止DoS，只要沒有MIC的Frame直接丟棄可以避免DoS可能性發生
4.Wireless Attack
無線網路的攻擊常見有三類:
- Reconnaissance attacks: 攻擊者試著知道無線環境的資訊，包括隱藏的SSID也可能被發現
- Access attacks:攻擊者會試著存取無線網路的資料、設備、網路，利用MAC過濾是一個不錯的方法，但，MAC也容易被偽裝，用WEB的驗證機制，也可以，但有可能在4~7分鐘內被破解
- Denial-of-service attack:
讓合法的使用者無法使用無線網路，(由於無線網路是半雙工，用無線抓P2P也可能形成DoS^^)，可以透過無線IPS/IDS來解決
(2)Simple Authentications
簡單的驗證大致有三種如下:
1. Open Authentication:
這是最簡單的驗證，流程超Open!
代碼:
Client ------------------------------------ AP
Authentication Request-->-->
<--<--Authentication Response Association Request -->-->
<--<--Association Confirmation 2. Preshared Key Authentication with Wired Equivalent Privacy: WEP驗證基本上是不看人的，只看那把Key，直接看圖，如下: 代碼: Client ----------------------------------------------------------------------- AP Authentication Request-->-->
<--<--Authentication Response + Challenge Clear-text Use text to Encrypt (Association Request) -->-->
<--<--Compare static WEP keys & Association Confirmation WEP是使用RC4加密，也因為用RC4，所以容易被破解~WEP的長度有40,104,128bits，包括了IV(Initialization Vector)，IV是一組數字，用來產生獨特的encryption key。 3. MAC Address Filtering: 設過AP的都知道可以設定MAC，沒有列上去的就不能連線到AP，但因MAC容易偽裝，所以不夠安全 (3) Centralized Authentication 集中式驗證的一個代表就是PKI(Public Key Infrastructure)，集中式驗證的重點是”身份識別”，透過PKI(通常會有第三方信任機構，稱為CA)所發出的加密安全憑證 (Certificates)就可用來識別這個人的身份合法性。憑證的機制也應用在802.1x來對Client進行驗證，再搭配不同的EAP方式就有很多不同驗證的變化，說明如下: 。 802.1x: 802.1x是由IEEE所訂定的一種驗證標準，可應用在無線與有線網路。802.1x是一個平台，實際的驗證溝通方式需透過 EAP(Extensible Authentication Protocol)來達成，只要通過，802.1x平台可以決定哪個port要開或關。在802.1x架構有三個角色要認識: Client ----------------------------Switch -------------------------Auth Server (又稱Supplicant) ( 稱為Authenticator) (稱為Authentication Server) 驗證通過前沒有訊框可以通過Authenticator，流程如下: 代碼: Client )))))) (((((((( AP --------------------------------Auth Server Association -->-->
<--<--Authentication Request Authentication Response -->-->
<--<-- Association Request Association Response -->-->
(此刻AP還沒把Port打�}讓Frame通過)
Send Credentials-->-->
Send Auth Info Via RADIUS Packet-->-->
<--<-----------------------------Forwarded<--<--------RADIUS Traffic Return (Got Unique Session Key) (Got Unique SessionKey) <--<--Success Message + Session WEP key <--<--Keep Session WEP Key and send 然後Client與AP就可利用Session Key來解開加密的資料 。 EAP Process: EAP專門用來控制Credentials如何傳送，不管何使用何種EAP有相同的流程如下- 代碼: Client )))))) (((((((( AP --------------------------------Auth Server Request Access ->-->
<--<-- Identity Query Proof of Identity 迳 迳 transfer 迳 迳 迳 迳 <--<-- <--<-- <--<-- <--<-- Success/Fail 。 EAP-TLS: 全名為Extensible Authentication Protocol – Transport Layer Security，這是最普遍的EAP機制，加密機制跟SSL很相近，在EAP-TLS裡憑證必需要同時安裝在Server與Client，所以被認為是很安全的機制，流程如下- 代碼: Client )))))) (((((((( AP --------------------------------Auth Server EAP Start -->-->
<--<-- Request Identity Identity -->--> -->--> -->--> -->-->
<--<-- <--<-- <--<-- Server Send it’s Cert Client Send it’s Cert -->--> -->--> -->-->
<--<-- Auth Server :Symmetric Session Keys (或稱master session key) <--<-- Master Key to AP or Contrller <--<-- Encryption Between Client and AP Using WEP or WPA/WPA2 在EAP的溝通裡，主要還是Client與Auth Server，中間的AP很簡單的運作於Layer2進行轉傳是Port的開關，所以在設定上也很簡單的選擇802.1x就可以了 。 EAP-FAST: 全名為Extensible Authentication Protocol-Flexible Authentication via Secure Tunnel，這是Cisco所開發的協定，目的是為了加強另一個cisco 開發的協定LEAP(Lightweight Extensible Authentication Protocol)的安 全，在EAP-FAST裡面沒有使用PKI，而是用每個Clietn獨有的安全Share key :PAC(Protected Access Credential)來取代。在EAP的溝通裡有三個 階段，Phase0: PAC分配到Auth Server與Client身上，Phase1: Auth Server與Client建立起TLS Tunnel，Phase2:驗證使用者身份，流程: 代碼: Client )))))) (((((((( AP --------------------------------Auth Server EAP Start -->-->
<--<-- EAP Request Identity EAP Response Identity -->--> -->--> -->--> -->-->
<--<-- EAP-FAST start (AID) <--<-- EAP Request Challenge (Authority-ID) PAC Opaque -->--> -->--> -->-->
<--<-- <--<--<--<-- <--<-- <--<--Cipher Trust Protocol Set Confirm cipher Trust Protocol Set -->--> -->-->
===================Tunnel Below==========================
<--<-- <--<-- <--<-- Identity Request Authentication Response (EAP GTC) -->--> -->--> -->-->
<--<-- <--<-- <--<-- Success/Fail 。 PEAP: 全名為Protected EAP，只有在Server安裝憑證來建立tunnel與驗證，這是由Cisco, Microsoft, RSA所共同開發的，所以如果要與AD整合，可以利用MS-CHAPv2來驗證，其它可以利用GTC(Generic Token Card)來驗證，其溝通流程如下: 代碼: Client )))))) (((((((( AP --------------------------------Auth Server EAP Start -->-->
<--<-- EAP Request Identity EAP Response Identity -->--> -->--> -->-->
<--<-- <--<-- <--<-- <--<-- Server Cert(EAP-TLS) Pre-Master Secret -->--> -->--> -->-->
===================Tunnel Below==========================
<--<-- <--<-- <--<-- <--<--<--<-- Identity Request/Response -->--> -->-->
<--<-- <--<--<--<-- EAP MSCHAPv2 Challenge EAP MSCHAPv2 Response -->--> -->-->
<--<-- <--<-- EAP Success/Fail 。 LEAP: 全名為Lightweight Extensible Authentication Protocol，也是Cisco所開發，目前在一些802.11b的網路還看的見，因為這個機制可以被離線攻擊，所以要小心使用 (4) Authentication and Encrypption 由於WEP使用RC4加密，容易被破解，所以有了更安全的 。 WPA: 全名為Wi-Fi Protected Access，是WiFi聯盟替換WEP的驗證與加密方式，WPA使用TKIP(Temporal Key Integrity Protocol)協定來動態變更加密金鑰，不過因為加密方式仍然是RC4所以還是有風險，變通方式有兩個，一個是直接把IV值變大，讓加密方式更複雜，另一個升級硬體到可以使用AES加密機制。 WPA有兩種運作模式，一個是要透過Auth Server的，稱為Enterprise Mode，另一個是直接發送Preshared key的機制，稱為Personal Mode。其驗證機制如下: 代碼: Client )))))) (((((((( AP --------------------------------Auth Server <--Security Capability Discovery迳 <--<-- <--<-- 802.1x Authentication 迳 迳 迳 迳 迳 <--<--<--<--Pairwise Master Key (PMK) <--<-- <--<-- <--<--<--<-- Pairwise Master Key (PMK) (( 4 Way Handshake for key)) (Derive PTK) <--<-- <--<-- Random Number Random Number -->-- -->--> (Derive PTK (Pairwise Transient Key))
(Install PTK) <--<-- <--<-- Resend Random Number PTK Done -->--> -->--> (Install PTK)
((2Way Group Key Handshake))
-->--> -->-->
<--<-- <--<--

。 WPA2:
WPA2與WPA的運作時一樣的，差別在於加密方式，由RC4改為AES/CCMP(Advanced Encryption Standard-Cipher Block Chaining Message Authentication Code Protocol)，所以需要硬體升級或是換新的硬體才能從舊款設備支援

二、Enterprise Wireless Management with the WCS and
Location Appliance
WCS全名為Wireless Control System，是一套軟體可以安裝在Windows與Linux上，主要的工作在協助無線網路的佈屬、設計與管理，要佈屬在較的環境裡，Cisco比較建議將WCS安裝在Linux-Base的環境下。
在佈屬上，需要考慮到它所需要開放的Port連線(其實是Apache的Web Server):
Java: 1299,8009,8456,8457
HTTP:80
HTTPS:443
FTP: 21 , TFTP:69
SNMP:162
其它的建議實際操作過一下WCS的畫面。
三、Maintaining Wireless Networks
這部份提供是WCS, Controller, AP的升級，大致了解過就可以了^^
四、Troubleshooting Wireless Networks
從網路管理的角度來看，大部份的問題都發生在OSI的Layer1~Layer3，也建議從Layer1往上檢查問題，可以幫助節省許多時間，在實體的檢查順序如下:
AP 迳 Switch , Switch 迳 Switch , Switch 迳 Controller ,
Controller 迳 Distribution
檢查實體線路與燈號，通常燈號紅色代表有問題、燈色代表不好、綠色代表正常。再來檢查Client端的問題，因為無線網路通常都是由Client來告訴你，”我不能上網”，可以檢查這幾個項目:
。Client Card (網卡) : 看看有沒有啟動
。SSID : 看看有沒有設對、或抓錯台
。頻率使用: 看看電腦有沒有用到同頻率的其它服務
。MAC: 看看有沒有加入AP的黑名單或白名單
。如使用802.1x 驗證，要確認一下使用的EAP方式有沒有支援
。看看有沒有被ACL擋住
。看看Client電腦的Firewall與Anti-Virus是不是有擋到啥咪
。環境有NAC(Network Access Control)設備的話，確認有沒有擋到
。如果用Pre-ShareKey，確認Client的設定
除了這些，有幾個無線網路常碰到的狀況與解決方法如下:
1. Hidden Node Issue: 這個狀況發生在同一個AP的環境下，兩台電腦因為看不到對方，而使用同一個頻道與AP溝通，造成半雙功的AP無法同時處理兩個訊號。解決方案如讓AP的覆蓋範圍變小、減少Frame的最大size、強制每個訊號都要使用RTS/CTS控制訊框進入與離開
2. Exposed Node Issue:這個狀況就是兩台AP放太近，而且運作於同一個頻率與通道(802.11b/g)而造成相互的干擾，解決方案就是要調整AP的擺放位置、或將另一台改為802.11a
3. Near/Far Issue: 這個狀況就是AP的訊號太強，覆蓋範圍較大，當一個Client在範圍內，但它能傳送的訊號送不了像AP那麼遠，就會造成無法與AP溝通的狀況而無法連線，這個狀況要縮小AP的訊號，神奇的是，透過WCS可以自動發覺Client的訊號，調整AP的訊號大小
4. Degrade Data Rate: 這個狀況常發生，如一台b的電腦接到g的AP，或a/b/g的電腦接到n的AP的環境，這會使用傳輸速率無法用到最大~可以強制只能使用某種頻率來控制
最後再記幾個Debug的指令就ok啦~
引言回覆:
Show client summary
Show client detail
Debug lwapp events enable
Debug dot11




參考書目:
802.11無線區域網路通訊協定及應用 文魁 N3014
初探無線網路 First-step Ciscopress ISBN-9867199-02-2
CCNA Wireless Official Exam Certification Guide Ciscopress
Cisco Wireless LAN Controller Configuration Guide Very Happy