2010年9月3日 星期五

Cisco 胖AP 的基本設定 (Autonomous AP Basic Config)

雖然Cisco的胖AP比市售的胖AP貴的許多,但市場上還是可以看見很多將Cisco的Thin AP更改為胖AP單用的狀況,原因是因為:

不想常去"重開就會好"

特別是需要一直放著提供無線服務的環境,不得不佩服它的技術。
下面針對胖AP的CLI基本設定做介紹(第一次有GUI的速度慢到讓我想學CLI),
幫助大家快速設定這個胖子...(笑)

Part 1. 快速讓胖AP可用: 

Step.1 設定802.11的無線SSID:
ap#config t 
ap(config)#dot11 ssid MySSID  
ap(config-ssid)#authentication open 
ap(config-ssid)#guest-mode 
設定的同時,也必需指令驗證方式,我們先用開放驗證(open)方式讓它通就好。而guest-mode是讓SSID進行廣播,可以方便初始化的連線,為了安全可以不用設定(Client端需要指定好SSID才能連線)

Step.2 指定無線訊號的SSID與開啟無線通訊:
下面是一顆1131AG的AP,所以有兩個協定802.11a與802.11g,分別在dot11Radio 0與dot11Radio 1,預設是關閉的,需要進去介面打開:

ap(config)#int dot11Radio 0 
ap(config-if)#ssid MySSID 
ap(config-if)#no shutdown
ap(config)#int dot11Radio 1 
ap(config-if)#ssid MySSID
ap(config-if)#no shutdown
Step.3 設定BVI:
如果是DHCP的環境是可以略過這個步驟,因為預設會自已抓好,Fat AP是靠BVI(Bridge Virtual Interface)來讓實體網路與無線網路通訊,所以必需設定一個實體環境的IP給它:  
ap(config-if)#int bvi 1 
ap(config-if)#ip addr dhcp 
或是以手動指定IP:
ap(config-if)#int bvi 1 
ap(config-if)#ip addr 192.168.1.3 255.255.255.0
搞定!!把自已的電腦利用無線連看看!!

Part 2. 常用基本設定: 

ARP Cache:

AP的運作就像Hub一樣,廣播是它們必做的事,開啟Arp-Cache,可以加快效能(雖然感受不到),
當AP收到一個ARP封包,會比對Cache裡的資料,如果不在Cache就不廣播把封包丟掉,以減少廣播封包。
ap(config)#dot11 arp-cache


Time:

可能希望與NTP Server同步時間
ap(config)#sntp server 220.130.158.82
或是直接設定時間
ap#clock set 12:21:00 3 Sep 2010
再show一下時間狀況
ap#show clock

DNS:
環境沒有DHCP Server的話,可以手動幫AP設定DNS Server
ap(config)#ip name-server 168.95.1.1

SNMP:
可能需要開SNMP給網管軟體看 -
最後面可以選擇ro(Read Only)或是rw(Read and Write)
ap(config)#snmp-server community public ro

Part 3. 基本加密驗證: 
通常胖AP較常用的是WEP或是WPA-PSK這兩種驗證方式,說明如下
WEP:
首先我們先看一下Web的驗證方式,可以更了解為何這麼設定,
WEP驗證基本上是不看人的,只看那把Key,如下:
Client --------------------------------------------- AP
Authentication Request--> -->
<--<--Authentication Response + Challenge Clear-text Use text to Encrypt (Association Request) -->-->
<--<--Compare static WEP keys & Association Confirmation






從上面的驗證流程可以知道AP在第二個步驗會請Client輸入Cler-text,這就是我們在連線AP時,
會跳出一個畫面(或在連線的設定裡)要我們輸入一個passphase,輸入後就可以把資料加密送給AP,
AP收到後就用我們現在要設定的Key來解密碼看,可以解開就送Association Confirmation給Client。

了解流程後,在設定Cisco AP時要記住:
1.設定驗證放式是在SSID下
2.設定加密方式要在無線訊號(Radio)下

而設定順序一定要先設定加密方式,再設定驗證方式,因為要先有key,才可以在驗證方式裡選用key麻~下面就先到無線訊號下設定加密,設定WEP加密方式要先設定一個key1~4, size可以選擇40或128,設定40就需要設定十位元的文字(連線的密碼),設定128的話,需要設定26個字的密碼,如下的1234567890就是很Client連線要輸入的key.然後再指定模式為WEP
ap(config)#inter dot11Radio 0
ap(config-if)#encryption key 1 size 40 1234567890
ap(config-if)#encryption mode wep mandatory key-hash
然後再進到ssid裡面,指定驗證模式為開放
ap(config)#dot11 ssid abc
ap(config-ssid)#authentication open
如此就完成WEP的設定啦^^

凍一下~~~不是設定WEP嗎?怎麼驗證是用開放咧!!??
嘿~這就要從什麼是開放說起,下面是開放驗證流程:
Client ------------------------------------ AP
Authentication Request-->-->
<--<--Authentication Response Association Request -->-->
<--<--Association Confirmation






再往上與WEP的流程比較一下,會發覺整個流程都一樣,說穿了WEP只是在開放驗證裡多了一個
passphase的確認機制,所以Cisco認為WEP還是一個開放的認證(真是嚴格呀~)
Ps. 上面OPEN流程也可以說明為什麼在PartI時,我們只設authenticaion open,就可以不用輸入密碼使用AP了

WPA-PSK:
因為FAT AP通常不會結合到RADIUS等的認證平台,反而在導Thin AP時都需要與驗證平台做驗證,在沒有驗證平台的情況下,我們可以透過設定PreShareKey(PSK)來取代驗證平台,方法如下:

一樣,要先在無線頻道下指定加密方式,因為是WPA,會用TKIP來動態更改key加強安全
ap(config)#inter dot11Radio 0
ap(config-if)#encryption mode ciphers tkip
再進到ssid下面設定驗證方式,由於只是wpa-psk,所以不用設定EAP驗證,我們以開放式(open)驗證即可,而key-managemnet就是用WPA,最後再設定WPA的PreShareKey(即Client連線的密碼)就搞定啦!
ap(config)#dot11 ssid abc
ap(config-ssid)#authentication open
ap(config-ssid)#authentication key-management wpa
ap(config-ssid)#wpa-psk ascii 12345678
設完後你就會發覺,原來WPS-PSK的驗證流程,還是OPEN的四個方式,但比WEP還強的是,有TKIP的自動變更key機制,所以較為安全^^(我說的是…"較為")

沒有留言: