明晰AP工作模式,轻松管理无线网络
时间:2020-10-31 11:12:25 来源:达达文档网 本文已影响 人
郭建伟
在企业网络环境中,无线网络所占的比重越来越大。对于无线网络来说,AP占据着非常重要的作用,客户一般都是通过AP,才可以接入无线网络。例如对于常用的Cisco AP来说,就提供了Local、FlexConnect、Monitor、Rogue Detector、Sniffer、Bridge和Flex+Bridge等模式。对于网络管理员来说,必须熟悉和了解这些模式的特点和功能,才可以對AP进行灵活的管理和配置,保证无线网络顺畅运行。
AP各工作模式的特点
在众多模式中,Local是最常用的数据转发模式,FlexConnext是本地转发模式,Flex+Bridge是FlexConnext的一种特殊工作模式。Local模式主要用于数据服务,与其相连的交换机接口处于Access状态,通过DHCP获取IP,AP和WLC之间通过CAPWAP隧道连接,在其中传输控制层面和数据层面的流量。
在FlexConnext模式下,AP和交换机以Trunk方式连接,在CAPWAP隧道中仅仅传输控制和管理层面流量,数据流量在AP本地通过Trunk进入指定的VLAN。注意,Local模式也提供监控服务,可以扫描其他的信道来发现恶意AP/Client,只是其扫描的效能很低,同时可以分析和管理帧有关的攻击行为。
登录到无线控制器上,在工具栏上选择“WIRELESS”项,在左侧选择“802.11b/g/n”→“RRM”→“General”项,在右侧的“Channel Scan Internal”栏中设置扫描周期,默认为180秒。为了增加扫描的时间,可以将该值适当调小一些。当然,为了提高扫描效能,最好使用单独的AP来进行该工作,使其工作在“Monitor”模式,其并不提供数据服务功能,而只会发送Beacon信标帧,对WLAN进行全面监控,利用特定的策略来发现和拦截恶意AP和客户端。
对于阻断操作来说,当WLC重启后是不保存的。对于Rogue Detector模式来说,主要用来检测恶意设备是否进入了有线网络,当发现一个恶意的无线设备接入到本有线网络中后,会产生告警信息,但是不会进行阻断操作。对于非法AP来说,会对无线网络安全造成很大威胁,诸如窃取明文通讯数据、发起DoS或者中间人攻击、发送恶意CTS报文造成合法用户无法访问网络资源等。
实际上,内部员工也可以将非授权的AP连入有线网络,造成其他用户无须认证即可直接接入内部网络,引发重大的安全问题。对于Monitor和Rogue Detector模式来说,其之所以可以发现非法AP,依靠的是Rogue Location DiscoveryProtocol(RLDP)协议,该协议可以关联不加密的AP,并关联到该恶意AP,发送De-Authentication消息给连接到该AP的所有客户端并关闭其信道,并通过该恶意AP向WLC发送UDP包,如果WLC接收到该包的话,就会表标记其为恶意AP并发送警告信息给管理员。
当然,对于5GHz的DFS信道来说,是不支持RLDP的。对于DFS来说,在正常情况下,是没有开放给Wi-Fi使用的。注意,如果使用处于Local或者FlexConnect模式的AP来执行RLDP检测话,那么在执行检测的时候,所有连接的客户端就会掉线,直到RLDP测试完成,客户端才会再次上线。如果在WLC上针对所有的AP配置了RLDP功能,WLC一般只是选择使用了Monitor模式的AP来执行检测操作。
搭建简单实验网络
这里使用简单的网络,来说明如何使用各种AP工作模式。本例中存在一台WLC控制器,其通过G0/1连接到核心交换机SW1Fa0/24接口上,该连接处于Trunk模式。在SW1上存在VLAN10、VLAN20和VLAN30三个VLAN,其中的VLAN10用于管理,WLC的管理口IP为10.1.1.100,其余的VLAN为客户端分配地址。在SW1上分别为AP1和AP2配置地址池,指定其默认网关和WLC的地址。
交换机SW2的G1/0/1接口和SW1的Fa0/1接口通过Trunk进行连接,在SW2上存在VLAN30,AP1连接到SW2的G1/0/2接口上,通过DHCP获取IP并利用CAPWAP隧道和控制器连接连接。交换机SW3的G1/0/1接口和SW1的Fa0/2接口通过Trunk进行连接,在SW3上存在VLAN20,AP2连接到SW3的G1/0/2接口上,通过DHCP获取IP并利用CAPWAP隧道和控制器连接连接。有一台来历不明的AP3胖AP连接到SW1的Fa0/3接口上,该接口处于Access模式。其获取的IP为20.1.1.20,在该AP上创建了SSID,处于未加密状态,其扮演恶意AP的角色。
配置和使用Monitor模式
登录到WLC管理界面,点击工具栏上的“WIRELESS”项,在左侧选择“Access Points”项,在右侧显示已经连接的AP,点击某个AP(例如AP1),在其属性窗口的“General”面板(图1)中的“AP Mode”列表中显示所有的工作模式,默认为Local模式。在其中选择“Monitor”项,将其切换到Monitor模式。在“Advanced”面板中会看到“Rogue Detection”项自动处于选择状态,说明对于Monitor模式来说,是默认要进行RLDP检测的。之后该AP会重启,才可以完成模式的切换。
在工具栏上点击“SECURITY”项,在左侧选择“Wireless Protection Policies”→“Rogue Policies”→“General”项,在右侧的“Rogue Detection Security Level”栏中选择安全检测级别(图2),包括Low、High、Critical和Custom等。对于Low级别来说,只进行最基本的检测。对于High级别来说,不仅进行基本的检测,还可以自动进行阻塞,对于Critical级别来说,在前两者的基础上,还可以利用RLDP来连接恶意AP,来执行高级检测操作。对于Custom级别来说,可以进行灵活的自定义操作。
例如在“Rogue Location Discovery Protocol”列表中选择执行RLDP协议的对象,包括开启Monotor的AP,所有的AP或者禁用该功能等。在“Auto Containment Level”列表中可以设置自动阻塞的等级,包括自动或者合适的AP数量(从1到4),这样,最多可以指定4个AP来执行阻塞操作。点击“Apply”按钮,保存配置信息。
查看恶意无线设备
当该AP重启后,就会执行对恶意无线设备的监控操作。在WLC管理界面工具栏上点击“MONITOR”项,在“Rogue Summary”栏中显示活动的恶意AP数量,恶意客户端的数量。在“Active Rogue APs”栏右侧点击“Detail”链接,显示所有的恶意AP的信息,包括其MAC地址、SSID、信道、状态等内容。例如,在其中就可以看到上述名为AP3的接入设备。在“Active Rogue Clients”栏右侧点击“Detail”链接,显示处于活动状态的恶意客户,包括其MAC地址、关联的AP的MAC地址、使用的SSID、上次发现的时间、状态等内容。
对于发现的恶意连接,可以基于AP或者客户级别进行阻塞。例如发现名为“EYClient”的恶意客户,可以在上述恶意客户详细信息中点击该客户项目,在其详细信息窗口中的“Update Status”列表中选择“Contain”项,在“Maximum number of APs to contain the rogue”列表中选择“Auto”项,点击“Apply”按钮,将其阻塞掉,之后该客户的无线连接就会自动断开。之所以可以实现该效果,其实就是模拟该客户连接的AP,向该客户连续不断的发送要求认证的DeAuthentication包,该包中的源MAC为该恶意AP的MAC地址,目的MAC为该客户机的MAC地址,其作用就是要求该客户进行认证,直到将其踢下线为止。
无线AP的分类原则
在左侧选择“Regous”→“Unclassfied APs”项,在右侧显示为归类的所有AP,其中有些是恶意AP有些则可能不是。但是,所有这些AP的状态均处于Alert告警模式。为了便于控制恶意AP,可以创建对应的规则,对这些AP进行分类管理。类别包括Friendly(友好)、Malicious(恶意)、Custom(自定义)和Umclassified(未归类)等。注意,默认没有任何一个归类规则是激活的,所有位置的AP都会被放入未归类类型。
当创建了一个规则,为其配置了条件,当激活该规则后,那么未归类的所有AP将重新进行分类。当修改了该规则,则仅仅会应用到所有Alert的AP。对于已经归类的AP来说,是不会生效的。对于分类的行为来说,WLC会先在信任的MAC地址列表中查询此可疑AP的MAC地址,如果找到的话将其会分到Friendly类别中。在工具栏上点击“SECURITY”项,在左侧选择“Wireless Protection Policies”→“Rogue Policies”→“Fridendy Rogue”项,在右侧可以输入目标MAC地址,即可将其添加到友好类别中。
如果该非法AP的MAC地址不再信任列表中,WLC即可对其进行应用分类规则。如果该非法AP已经被分类到了Malicious、Alert、Friendly、Internal、External等类别之中,WLC就不会对其进行归类操作。如果必须进行分类,则需要手工进行调整。例如将Malicious类别中的某个AP手工划分到Friendly类别中等。WLC会按照优先级应用所有的分类规则,如果该非法AP符合规则,就按照该规则对其进行归类。
如果其不匹配任何预设的规则,那么其会被称为未分类状态。注意,如果RLDP检测出非法AP连接到本地有线网络中,WLC会认为该AP具有破坏性并将其标示为恶意AP。如果该AP没有连接在本地有线网络中,WLC会将其标识为Alert状态,每个WLC最多支持64个规则,在每个恶意AP中只能显示最多256个非法客户。
创建简单的分类规则
在工具栏上点击“SECURITY”项,在左侧选择“Wireless Protection Policies”→“Rogue Rules”项,在右侧点击“Add Rule”按钮,添加新的规则,输入规则的名称(例如“rule1”),在“Rule Type”列表中选择“Friendly”项,在“Notify”列表中选择“All”项,在“Status”列表中选择“Alert”项,点击“Add”按钮,创建该规则。其作用是将特定AP添加到Friendly类别中,其默认处于Alert状态。
在列表中点击该规则,在其属性窗口中的“Conditions”列表中选择选择各种条件,包括SSID、连接时长、信号强度、连接客户数量、是否加密等。例如选择“SSID”项,点击“Add Condition”按钮,输入合适的SSID名称(例如“ssid1”),点击“Add SSID”按钮将其添加进来,同理可以添加多个SSID。这样,只要是和上述SSID相关的AP全部添加到Friendly类别中。注意,必须选择“Enable Rule”项,才可以将该规则激活。在WLC管理界面工具栏上点击“MONITOR”项,在左侧选择“Rogues”→“Friendly APs”项,显示所有的友好AP。
配置复杂的分类规则
按照上述方法,創建名为“DetectEY”的规则,在“Rule Type”列表中选择“Malicious”项,在“Status”列表中选择“Contain”项。这样只要符合该规则的AP,就将其视为恶意AP并将其阻断。在其属性窗口(图3)中的“Conditions”列表选择“SSID”项,输入并添加其SSID名称(例如“EYSSID”)。在“Conditions”列表选择“RSSI”项,输入合适的最小信号强制(例如“→20 dbm”,该值越小强度越大)。
在“Conditions”列表选择“No Encryption”项,选择“No Encryption”项,表示其没有加密。在“Conditions”列表选择“Client Count”项,输入连接的客户数量。当然,可以根据需要添加更多的条件。在“Match Operation”栏中选择“Match All”项,表示必须符合所有的条件。选择“Match Any”项,表示符合任意条件即可。点击“Apply”按钮应用该规则。这样,只要符合条件的AP就被被视为恶意AP并被阻断。在左侧选择“Rogues”→“Malicious APs”项,显示所有的恶意的AP。
Sniffer模式的工作方式
在目标AP(例如“AP2”)的属性窗口中选择“Sniffer”项,使其处于Sniffer模式。注意,模式切换后必须重启AP。该AP只负载抓取数据包,当然需要设置其针对哪个信道抓包。这样,该信道的所有流量数据都会通过CAPWAP隧道送到WLC上,在WLC上需要设置用于分析数据的主机的IP,之后将这些数据包发送过去,当然WLC会将这些数据进行封装,前部为源和目的地址,中间为UDP 头部,端口号为5555,后部为抓取的数据包。
在客户机上,必须安装诸如的AIROPEEK之类软件,便于解码UDP5555格式的封装包。注意,要实现Sniffer模式,需要在WLC的命令行接口中执行“config network ip-mac-binding disable”命令,取消控制器的IP-MAC绑定功能。还必须激活1号WAN,否则该AP无法发送数据包。在工具栏上选择“WIRELESS”項,在左侧选择“Access Points”→“Radios”→“802.11 b/g/n”项,在右侧选择目标AP,在其配置界面中选择“Sniff”项,激活其抓包功能(图4)。
在“Channel”列表中选择需要监控的信道。在“Server IP Address”栏中输入安装了分析软件的主机IP,在“Assignment Method”列表中选择“Custom”项,选择同样的信道。当然,这里这针对的是2.4Ghz射频模式,也可以针对802.11a/n/ac模式进行设置。这样在指定的主机上就可以接收和分析这些数据包,注意目标信道不能处于加密状态。
Bridge模式的功能和特点
在目标AP(例如“AP2”)的属性窗口中选择“Bridge”项,使其处于Bridge模式,对于瘦AP来说,利用该模式可以实现无线Mash网络。对于Mash网络来说只有根AP(RAP,即Root Access Point)连接到有线网络中,其余的AP(MAP,即Mesh Access Point)全部是无线连接的。
无线Mash网络具有高性价比,可扩展性强,应用范围广,高可靠性等特点。无线Mesh网络中各AP实现的是全连接,从某个MAP到RAP之间存在多条链路,可以有效避免单点故障。MAP采用MAC认证或外部RADIUS认证两种方式,接入到无线Mesh网络中。对于前者来说,将MAP的MAC地址加入到数据库中便于其关联到指定的WLC。对于后者来说,可以通过外部的RADIUS认证设备来关联指定的WLC。Mesh AP支持Wireless mesh、WLAN backhaul、点对多点无线桥接、点对点无线桥接等模式。
使用Bridge模式构建Mesh网络
为了便于说明,这里将上述实验环境稍加修改,将SW2和SW1之间的连接取消,让AP1必须通过Bridge模式通过AP2连接到WLC。在AP1和AP2的属性窗口中的“AP Mode”列表中均选择“Bridge”项,将其切换到Bridge模式。注意,如果直接切换会出现错误信息,提示需要手工指派信道和发射功率。为此可以先在左侧选择“Access Point”→“Radios”→“802.11 a/n/ac”项,在目标AP右侧点击蓝色的按钮,在弹出菜单中选择“Configure”项,在配置界面中的“RF Channel Assignment”中的“Assignment Method”栏中选择“Custom”项,选择合适的信道(例如“149”)。在“Tx Power Level Assignment”栏中选择“Custom”项,输入合适的发射功率(例如“1”)。注意,需要在所有的AP上设置相同的参数。
在“802.11a/n/g”射频模式下也需要进行相同的配置。为了实现无线流量的透传,需要在SW2和AP1连接交换机端口上开启Trunk模式,在SW3和AP2连接的端口上也开启Trunk模式。例如在SW2全局配置模式下“default interface GigabitEthernet 1/0/2”“interface GigabitEthernet 1/0/2”“switch trunk native vlan 20”“switch mode trunk”等指令即可。当切换到Bridge模式后,必须将其MAC地址添加到WLC的数据库中,否则其无法顺利连接。
在WLC管理界面工具栏上选择“SECURITY”项,在左侧选择“AAA”→“MAC Filtering”项,在右侧点击“New”按钮,输入相关AP的MAC地址,点击“Apply”按钮将其添加进来。当关闭了SW2和SW1的连接后,在WLC的AP列表中就暂时看不到AP1,在AP2的属性窗口中的“Mesh”面板(图5)中的“AP Role”列表中选择“RootAP”项,将其设置为根AP。
AP1会通过无线口进行连接,从AP2得到控制器地址,之后连接到WLC上。之后在列表中才会显示该AP,而且其获取的IP属于SW3上的VLAN20网段,AP1就成了MeshAP的角色。在工具栏上选择“WIRELESS”项,在左侧选择“WLANs”项,在右侧点击“New”按钮,输入WLAN的名称(例如“WLAN100”),点击“Apply”按钮创建该WLAN。在其属性窗口中的“Security”面板中的“Layer2”标签中的“PSK”栏中选择“Enable”项,输入预共享密钥。为了便于为客户端分配IP,可以在SW3上开启DHCP功能,
在客户端上可以搜索并连接到上述WLAN上,输入预共享密码后,就可以连接到网络中。当然,两个AP均可以发送连接信息,但是两者的信道是不同的,客户端可能通过其中任意一个进行连接。如果在左侧选择“Advanced”→“Mesh”项,在右侧的“Backhaul Client Access”栏中选择“Enabled”项,激活回传功能,即允许客户连接使用5Ghz射频的RAP,来传输数据。在“VLAN Transparent”栏中默认选择“Enabled”项,说明已经激活了VLAN透传功能(图6)。这样,在SW2和SW3上都创建新的VLAN后(例如VLAN200),那么连接到SW2上的有线客户机就可以通过Trunk连接,直接访问SW3中相同VLAN中的设备。
将WLAN和VLAN进行关联
在管理主机上打开浏览器(例如Firefox,不建议使用IE),访问“https://192.168.1.100”地址,输入预设的WLC的管理员名称和密码,进入其管理界面。其默认使用的简单模式,点击右侧的“Advanced”按钮进入高级配置模式。对于AP来说,其默认的用户名为“cisco”,默认密码为“Cisco”,如果需要清除AP配置的話,可以执行“clear capwap private-config”“reload”命令即可。
当AP启动后,会发起广播来获取WLC地址,因为这是跨网段的,所以广播无法奏效。只有通过DHCP服务来获取WLC的地址,之后才可以完成注册操作。在WLC管理界面工具栏上点击“WIRELESS”按钮,可以看到注册成功的AP。点击该AP,可以深入配置其各项属性。在工具栏上点击“CONTROLLER”项,在左侧点击“Interface”项,在右侧点击“management”项,选择“Enable Dynamic”项,表示将Management Interface和AP Management合二为一了。
返回上级菜单,点击“New”按钮,创建新的动态接口,输入其名称(例如“dt1”),设置与其关联的VLAN号(例如VLAN200)。点击“Apply”按钮保存配置信息,在其属性窗口(图7)中的“Port Number”栏中输入“1”,表示该动态接口的流量会从端口1出去。在“IP Address”栏中设置可用的地址(例如“172.16.1.253”),并在其下设置掩码和网关等参数,在“DHCP Information”栏中输入DHCP服务器的地址,例如172.16.1.254。点击“Apply”按钮,提交修改信息。
注意,对于思科WLC控制器来说,必须在工具栏上部点击“Save Configuration”按钮,才可以让配置保存。点击工具栏上的“WLANs”按钮,点击默认的WLAN项,在其属性窗口中的“General”面板中的“SSID”栏中输入SSID标识符,在“Status”和“Broadcast SSID”栏中确保选择“Enable”项。在“Interface/Interface Group”列表中选择上述动态接口“dt1”,让两者实现关联。
在“Security”面板(图8)中打开“Layer2”标签,在“PSK”栏中选择“Enable”项,输入合适的密码,启用预共享密钥认证功能。这样,在客户端就可以检测到该SSID,选择该SSID,输入预设的密码,就可以连接到上述网络中了。执行“ipconfig /all”命令,可以看到从上述DHCP地址池中获取的IP地址,而且DHCP服务器的地址是不可路由的地址(例如“1.1.1.1”等),这样可以保护真实的DHCP服务器。
本地转发模式的特点
Flex Connect本地转发可以通过WAN链路,在中心配置和控制分支机构的AP,能够在分支机构本地转发数据,并执行本地身份验证操作。当然,还可以设定AP中某些SSID的VLAN的流量,某些SSID的VLAN流量可以进行中心转发。这样,如果和中心的无线控制器失去联系,可以将这些流量进行本地转发,当恢复联系时,依然可以将相关的流量进行中心转发。
Flex Connect包含两种运行模式,包括连接模式(Connected Mode)和独立模式(Standalone Mode),分别对应可以连接到WLC和无法连接到WLC的情形。注意,对于独立模式来说,AP是可以独立连接3A服务器进行身份验证的。值得说明的是,中心转发指的是数据流量通过WAPCAP隧道传到WLC进行转发,本地转发指的是数据流量经过本地有线接口直接进入本地交换网络。