實例詳析無線AP 工作模式

■ 河南 郭建偉

在企業網絡環境中，無線網絡所占的比重越來越大。對于無線網絡來說，AP 占據著非常重要的作用，客戶一般都是通過AP，才可以接入無線網絡。例如,對于常用的Cisco AP 來說，就提供了Local、FlexConnect、Monitor、Rogue Detector、Sniffer、Bridge 和Flex+Bridge 等模式。網絡管理員必須熟悉和了解這些模式的特點和功能，才可以對AP 進行靈活的管理和配置，保證無線網絡順暢運行。

AP 各工作模式的特點

在眾多模式中，Local是最常用的數據轉發模式，FlexConnext 是 本 地 轉發 模 式，Flex+Bridge 是FlexConnext 的一種特殊工作模式。Local 模式主要用于數據服務，與其相連的交換機接口處于Access 狀態，通過DHCP 獲取IP，AP 和WLC之間通過CAPWAP 隧道連接，在其中傳輸控制層面和數據層面的流量。

在FlexConnext 模式下，AP 和交換機以Trunk 方式連接，在CAPWAP 隧道中僅僅傳輸控制和管理層面流量，數據流量在AP 本地通過Trunk進入指定的VLAN。注意，Local 模式也提供監控服務，可以掃描其他的信道來發現惡意AP/Client，只是其掃描的效能很低，同時可以分析和管理幀有關的攻擊行為。

登錄到無線控制器上，在工具欄上選擇“WIRELESS”項，在左側選擇“802.11b/g/n”→“RRM”→“General”項，在右側的“Channel Scan Internal”欄中設置掃描周期，默認為180 s。為了增加掃描的時間，可以將該值適當調小一些。當然，為了提高掃描效能，最好使用單獨的AP 來進行該工作，使其工作在“Monitor”模式，其并不提供數據服務功能，而只會發送Beacon 信標幀，對WLAN 進行全面監控，利用特定的策略來發現和攔截惡意AP 和客戶端。

對于阻斷操作來說，當WLC 重啟后是不保存的。對于Rogue Detector 模式來說，主要用來檢測惡意設備是否進入了有線網絡，當發現一個惡意的無線設備接入到本有線網絡中后，會產生告警信息，但是不會進行阻斷操作。對于非法AP 來說，會對無線網絡安全造成很大威脅，諸如竊取明文通訊數據，發起DoS 或者中間人攻擊，發送惡意CTS 報文造成合法用戶無法訪問網絡資源等。

實際上，內部員工也可以將非授權的AP 連入有線網絡，造成其他用戶無需認證即可直接接入內部網絡，引發重大的安全問題。對于Monitor 和Rogue Detector模式來說，其之所以可以發現非法AP，依靠的是Rogue Location DiscoveryProtoco l（RLDP）協議，該協議可以關聯不加密的AP，并關聯到該惡意AP，發送De-Authentication 消息給連接到該AP 的所有客戶端并關閉其信道，并通過該惡意AP向WLC 發送UDP 包，如果WLC接收到該包的話，就會表標記其為惡意AP 并發送警告信息給管理員。

當然，對于5 GHz 的DFS信道來說，是不支持RLDP 的。對于DFS 來說，在正常情況下，是沒有開放給WiFi 使用的。

注意，如果使用處于Local 或 者FlexConnect 模式 的AP 來 執 行RLDP 檢 測話，那么在執行檢測的時候，所有連接的客戶端就會掉線，直到RLDP 測試完成，客戶端才會再次上線。如果在WLC 上針對所有的AP 配置了RLDP 功能，WLC 一般只是選擇使用了Monitor 模式的AP來執行檢測操作。

搭建簡單實驗網絡

這里使用簡單的網絡，來說明如何使用各種AP 工作模式。本例中存在一臺WLC控制器，其通過G0/1 連接到核心交換機SW1Fa0/24 接口上，該連接處于Trunk 模式。在SW1 上存在VLAN10，VLAN20 和VLAN30 三個VLAN，其IP 范圍分別為10.1.1.0/24，20.1.1.0/24 和30.1.1.0/24，對應的SVI 地址分別為10.1.1.254，20.1.1.254 和30.1.1.254。其中的VLAN10用于管理，WLC 的管理口IP為10.1.1.100，其余的VLAN為客戶端分配地址。在SW1上分別為AP1 和AP2 配置地址池，指定其默認網關和WLC的地址。

交換機SW2 的G1/0/1 接口和SW1 的Fa0/1 接口通過Trunk 進行連接，在SW2 上存在VLAN 30，AP1 連接到SW2的G1/0/2 接口上，通過DHCP獲取IP 并利用CAPWAP 隧道和控制器連接連接。交換機SW3 的G1/0/1 接口和SW1 的Fa0/2 接 口通 過Trunk 進行連接，在SW3 上存在VLAN20，AP2 連接到SW3 的G1/0/2 接口上，通過DHCP 獲取IP 并利用CAPWAP 隧道和控制器連接連接。有一臺來歷不明的AP3 胖AP 連 接 到SW1 的Fa0/3 接口上，該接口處于Access 模式。其獲取的IP為20.1.1.20，在該AP 上創建了SSID，處于未加密狀態，其扮演惡意AP 的角色。

配置和使用Monitor 模式

登錄到WLC 管理界面，點擊工具欄上的“WIRELESS”項，在 左 側 選 擇“Access Points”項，在右側顯示已經連接的AP，點擊某個AP（例如AP1），在其屬性窗口的“General”面板中的“AP Mode”列表中顯示所有的工作模式，默認為Local 模式。在其中選擇“Monitor”項，將其切換到Monitor 模式。在“Advanced”面板中會看到“Rogue Detection”項自動處于選擇狀態，說明對于Monitor 模式來說，是默認要進行RLDP 檢測的。之后該AP 會重啟，才可以完成模式的切換。

在 工 具 欄 上 點 擊“SECURITY”項，在左 側 選擇“Wireless Protection Policies”→“Rogue Polici es”→“General”項，在右側的“Rogue Detection Security Level”欄中選擇安全檢測級別，包括Low、High、Critical和Custom等。對于Low 級別來說，只進行最基本的檢測。

對于High 級別來說，不僅進行基本的檢測，還可以自動進行阻塞，對于Critical 級 別 來 說，在 前兩者的基礎上，還可以利用RLDP 連接惡意AP，來執行高級檢測操作。對于Custom級別來說，可以進行靈活的自定義操作。

例如，在“Rogue Locatio n Discovery Protocol”列表中選擇執行RLDP 協議的對象，包括開啟Monotor的AP，所 有 的AP 或 者 禁用 該 功 能 等。 在“Auto Containment Level”列表中可以設置自動阻塞的等級，包括自動或者合適的AP 數量（從1 到4），這樣，最多可以指定4 個AP 來執行阻塞操作。點擊“Apply”按鈕，保存配置信息。

查看惡意無線設備

當該AP 重啟后，就會執行對惡意無線設備的監控操作。在WLC 管理界面工具欄上點擊“MONITOR”項，在“Rogue Summary”欄中顯示活動的惡意AP 數量，惡意客戶端的數量。在“Active Rogue APs”欄右側點擊“Detail”鏈接，顯示所有的惡意AP 的信息，包括其MAC地址、SSID、信道和狀態等內容。

例如，在其中就可以看到上述名為AP3 的接入設備。在“Active Rogue Clients”欄右側點擊“Detail”鏈接，顯示處于活動狀態的惡意客戶，包括其MAC 地址、關聯的AP 的MAC 地 址、使 用 的SSID、上次發現的時間以及狀態等內容。

對于發現的惡意連接，可以基于AP 或者客戶級別進行阻塞。例如，發現名為“EYClient”的惡意客戶，可以在上述惡意客戶詳細信息中點擊該客戶項目，在其詳細信息窗口中的“Update Status” 列 表中 選 擇“Contain”項，在“Maximum number of APs to contain the rogue”列表中選擇“Auto”項，點擊“Apply”按鈕，將其阻塞掉，之后該客戶的無線連接就會自動斷開。之所以可以實現該效果，其實就是模擬該客戶連接的AP，向該客戶連續不斷的發送要求認證的DeAuthentication 包，該 包中的源MAC 為該惡意AP 的MAC 地址，目的MAC 為該客戶機的MAC 地址，其作用就是要求該客戶進行認證，直到將其踢下線為止。

無線AP 的分類原則

在左側選擇“Regous”→“Unclassfied APs”項，在右側顯示為歸類的所有AP，其中有些是惡意AP 有些則可能不是。但是，所有這些AP的狀態均處于Alert 告警模式。

為了便于控制惡意AP，可以創建對應的規則，對這些AP 進行分類管理。類別 包 括Friendly（友 好）、Malicious（惡意）、Custom（自定義）和Umclassified（未歸類）等。

注意，默認沒有任何一個歸類規則是激活的，所有位置的AP 都會被放入未歸類類型。

當創建了一個規則，為其配置了條件，當激活該規則后，那么未歸類的所有AP 將重新進行分類。當修改了該規則，則僅僅會應用到的所有的狀態了Alert 的AP。對于已經歸類的AP 來說，是不會生效的。

對于分類的行為來說，WLC 會先在信任的MAC 地址列表中查詢此可疑AP 的MAC地址，如果找到的話將其會分到Friendly 類別中。

在 工 具 欄 上 點 擊“SECURITY”項，在左 側 選擇“Wireless Protection Policies”→“Rogue Policies”→“Fridendy Rogue”項，在右側可以輸入目標MAC 地址，即可將其添加到友好類別中。

如果該非法AP 的MAC 地址不再信任列表中，WLC 即可對其進行應用分類規則。

如果該誒發AP 已經被分類到了Malicious、Alert，Friendly、Internal、External 等類別之中，WLC就不會對其進行歸類操作。

如果必須進行分類，則需要手工進行調整。例如將Malicious 類別中的某個AP手工劃分到Friendly 類別中等。WLC 會按照優先級應用所有的分類規則，如果該非法AP 符合規則，就按照該規則對其進行歸類。

如果其不匹配任何預設的規則，那么其會被稱為未分類狀態。

注意，如果RLDP 檢測出非法AP 連接到本地有線網絡中，WLC 會認為該AP 具有破壞性并將其標示為惡意AP。如果該AP 沒有連接在本地有線網絡中，WLC 會將其標識為Alert狀態，每個WLC 最多支持64 個規則，在每個惡意AP 中只能顯示最多256 個非法客戶。

創建簡單的分類規則

在 工 具 欄 上 點 擊“SECURITY”項，選擇“Wirele ss Protection Policies”→“Rogue Rules”項，在右側點擊“Add Rule”按鈕，添加新的規則，輸入規則的名稱（例如“rule1”），在“Rule Type”列表中選擇“Friendly”項，在“Notify”列 表 中 選 擇“All” 項，在“Status” 列表中選擇“ALert”項，點擊“Add”按鈕，創建該規則。在列表中點擊該規則，在其屬性 窗 口 中 的“Conditions”列表中選擇選擇各種條件，包括SSID，連接時長，信號強度，連接客戶數量，是否加密等。例如選擇“SSID”項，點擊“Add Condition”按 鈕，輸入合適的SSID 名稱（例如“ssid1”），點 擊“Add SSID”按鈕將其添加進來，同理可以添加多個SSID。這樣，只要是和上述SSID 相關的AP全部添加到Friendly 類別中。

注意，必須選擇“Enable Rule”項，才可以將該規則激活。

在WLC 管理界面工具欄上點擊“MONITOR”項，選擇“Rogues”→“Friendly APs”項，顯示所有的友好的AP。

配置復雜的分類規則

按照上述方法，創建名為“DetectEY”的 規 則，在“Rule Type”列表中選擇“Malicious”項，在“Status”列表中選擇“Contain”項。

這樣只要符合該規則的AP，就將其視為惡意AP 并將其阻斷。

在其屬性窗口中的“Conditions”列 表 選 擇“SSID”項，輸入并添加其SSID 名稱（例如“EYSSID”）。在“Conditions” 列 表 選擇“RSSI”項，輸入合適的最小信號強制（例如“→20 dbm”，該值越小強度越大）。

在“Conditions”列表選擇“No Encryption”項，選擇“No Encryption”項，表示其沒有加密。

在“Conditions”列表選擇“Client Count”項，輸入連接的客戶數量。

當然，可以根據需要添加更多的條件。在“Match Operation”欄中選擇“Match All”項，表示必須符合所有的條件。選擇“Match Any”項，表示符合任意條件即可。

點擊“Apply”按鈕應用該規則。這樣，只要符合條件的AP 就被視為惡意AP 并被阻斷。

選擇“Rogues”→“Mali cious APs”項，顯示所有惡意的AP。

Sniffer 模式的工作方式

在 目 標AP（例 如“AP2”）的屬性窗口中選擇“Sniffer”項，使其處于Sniffer 模式。

注意，模式切換后必須重啟AP。該AP 只負載抓取數據包，當然，需要設置其針對哪個信道抓包。

這樣，該信道的所有流量數據都會通過CAPWAP 隧道送到WLC 上，在WLC 上需要設置用于分析數據的主機的IP，之后將這些數據包發送過去，當然，WLC 會將這些數據進行封裝，前部為源和目的地址，中間為UDP 頭部，端口號為5555，后部為抓取的數據包。

在客戶機上必須安裝諸如AiroPeek 之類軟件，便于解碼UDP5555 格式的封裝包。

注意，要實現Sniffer模式，需要在WLC 的命令行接口中執行“config network ip-macbinding disable”命令，取消控制器的IP-MAC 綁定功能。還必 須 激 活1 號WAN，否 則 該AP 無法發送數據包。

在工具欄上選擇“WIREL ESS”項，在左側選擇“Access Points”→“Radios”→“80 2.11 b/g/n”項，在右側選擇目標AP，在其配置界面中選擇“Sniff”項，激活其抓包功能。

在“Channel”列 表 中選擇需要監控的信道。在“Server IP Address”欄中輸入安裝了分析軟件的主機IP，在“Assignment Method”列表中選擇“Custom”項，選擇同樣的信道。當然，這里這針對的是2.4 Ghz 射頻模式，也可以針對802.11 a/n/ac 模式進行設置。這樣，在指定的主機上就可以接收和分析數據包了。注意，目標信道不能處于加密狀態。

Bridge 模式的功能和特點

在目標AP（例如“AP2”）的屬性窗口中選擇“Bridge”項，使其處于Bridge 模式，對于瘦AP 來說，利用該模式可以實現無線Mash 網絡。

對于Mash 網絡來說只有根AP（RAP，即Root Access Point）連接到有線網絡中，其 余 的AP（MAP，即Mesh Access Point）全部是無線連接的。

這些AP 之間可以建立多跳的無線鏈路，并使用AWPP（Cisco Adaptive Wireless Path Protocol）協議來相互發現并建立連接，決定到WLC的最佳傳輸路徑。

無線Mash 網絡具有高性價比、可擴展性強、應用范圍廣和高可靠性等特點。

無線Mesh 網絡中各AP實現的是全連接，從某個MAP 到RAP 之間存在多條鏈路，可以有效避免單點故障。MAP 采 用MAC 認 證 或 外 部RADIUS 認證兩種方式，接入到無線Mesh 網絡中。

對于前者來說，將MAP的MAC 地址加入到數據庫中便于其關聯到指定的WLC。對于后者來說，可以通過外部的RADIUS 認證設備來關聯指定的WLC。Mesh AP 支持 Wireless mesh、WLAN backhaul、點對多點無線橋接、點對點無線橋接等模式。

用Bridge 模式構建Mesh 網絡

為了便于說明，這里將上述實驗環境稍加修改，將SW2和SW1 之間的連接取消，讓AP1 必須通過Bridge 模式通過AP2 連接到WLC。

在AP1 和AP2 的屬性窗口中的“AP Mode”列表中均選擇“Bridge”項，將其切換到Bridge 模式。

注意，如果直接切換會出現錯誤信息，提示需要手工指派信道和發射功率。

為此可以先在左側選擇“Access Point”→“Radio s”→“802.11 a/n/ac”項，在目標AP 右側點擊藍色的按鈕，在彈出菜單中選擇“Configure”項。

在配置界面中的“RF Channel Assignment”中的“Assignment Method”欄中選擇“Custom”項，選擇合適的信道（例如“149”）。

在“Tx Power Level As signment”欄中選擇“Custo m”項，輸入合適的發射功率（例如“1”）。

注意，需要在所有的AP 上設置相同的參數。

在“802.11 a/n/g”射頻模式下也需要進行相同的配置。

為了實現無線流量的透傳，需要在SW2 和AP1 連接交換機端口上開啟Trunk 模式，在SW3 和AP2 連接的端口上也開啟Trunk 模式。

例如，在SW2 全局配置模式下“default interface GigabitEthernet 1/0/2”，“interface GigabitEthern et 1/0/2”，“switch trunk native vlan 20”，“switch mode trunk”等指令即可。

當切換到Bridge 模式后，必須將其MAC 地址添加到WLC 的數據庫中，否則其無法順利連接。

在WLC 管理界面工具欄 上 選 擇“SECURITY”項，在左側選擇“AAA”→“MAC Filtering”項，在右側點擊“New”按鈕，輸入相關AP 的MAC 地址，點擊“Apply”按鈕將其添加進來。

當關閉了SW2 和SW1 的連接后，在WLC 的AP 列表中就暫時看不到AP1，在AP2 的屬性窗口中的“Mesh”面板中的“AP Role”列表中選擇“RootAP”項，將其設置為根AP。

AP1 會通過無線口進行連接，從AP2 得到控制器地址，之后連接到WLC 上。

之后在列表中才會顯示該AP，而且其獲取的IP 屬于SW3 上的VLAN 20 網段，AP1就成為了MeshAP 的角色。

在工具欄上邊選擇“WIRELESS”的 選項，在左側 選 擇“WLANs”的 選 項，在右側點擊“New”按鈕，輸 入WLAN 的 名 稱（例 如“WLAN100”），點 擊“Apply”按鈕創建該WLAN。

在 其 屬 性 窗 口 中的“Security”面 板 中 的“Layer2”標簽中的“PSK”欄中選擇“Enable”項，輸入預共享密鑰。

為了便于為客戶端分配IP，可以在SW3 上開啟DHCP功能。

例 如， 執 行“dhcp pool dzpool1”，“network 10.1.1.0 255.255.255”，“default →router 10.1.1.254”等指令。

在客戶端上可以搜索并連接到上述WLAN 上，輸入預共享密碼后，就可以連接到網絡中。當然，兩個AP 均可以發送連接信息，但是兩者的信道是不同的，客戶端可能通過其中任意一個進行連接。

如 果 在 左 側 選 擇“Advanced”→“Mesh”項，在右 側 的“Backhaul Client Access”欄中選擇“Enabled”項，激活回傳功能，即允許客戶連接使用5Ghz 射頻的RAP，來傳輸數據。

在“VLAN Transparent”欄中默認選擇“Enabled”項，說明已經激活了VLAN 透傳功能。

這 樣，在SW2 和SW3 上都創建新的VLAN 后（例如VLAN200），那么連接到SW2上的有線客戶機就可以通過Trunk 連接，直接訪問SW3 中相同VLAN 中的設備。