Cisco Access Point Kurulumu Makaleye başlarken amacım Cisco Access point ürün ailesini hakkında bir makale yazmaktı. Makaleye başladıktan sonra anladım ki benim yazmaktan hoşlanmadığım bir makale olacaktı ve onun için konfigürasyon tarafını yazmak istedim. Bu makalede yine Cisco AP ürün ailesinden kısaca bahsedeceğim ve seri hallinde Cisco tarafında Wireless çözümleri hakkında bilgi vereceğim. İlk makalede stand-alone (bağımsız) bir AP i konfigüre edeceğiz. İlerleyen makalelerde, merkezi yönetim sağlayan Wireless Lan Controller (WLC) ürün gamı ve konfigürasyonu hakkında bilgiler verip Wireless Lan Solution Engine (WLSE) ve Wireless Control Sytem (WCS) hakkında kısa bilgiler vereceğim. Benim şu anda kullandığım AP, 1130 serisi. Bu AP genelde ofis ortamları için kullanıma uygun, şık görünüşlü bir cihaz. Üzerinde 3.0 DBI omnidirectional entegre anten bulunmaktadır. 802.11af protokolünü destekler; (PoE) ethernetten enerji verilebilir. Tüm Cisco AP lerde varsayılan password olarak; user: cisco pass: Cisco olarak gelir ve dhcp den ip alır.
AP nin ip sini yazdığımızdaki gelen ekran görüntüsü. Buradan Logları, Interface durumlarını kontrol edebilirsiniz.
Express setup kısmından hostname ve IP değiştirilebilir ve AP nin rolünü atayabilirsiniz. Express Security kısmında ise SSID oluşturabilir. Buradan WPA-PSK ayarlarını yapamıyoruz ben ilk önce wpa ayarlarını yapıp daha sonra SSID oluşturacağım. Bu ayarları oluşturmadan önce şifreleme algoritmaları hakkında genel bir bilgi vermek isterim. WEP (Wired Equivalent Privacy) IEEE 802.11 tarafından Eylül 1999 da onaylandı. 2001 senesi başlarında WEP in kullandığı algoritmada ciddi güvenlik açıkları tespit edildi ve saniyeler içinde kırılabiliyor hale geldi. Günümüzde WEP kullanmak, Wireless tarafında şifre koymamak ile eşdeğerdir. Bu güvenlik açıkları tespit edildikten sonra IEEE 802.11i (WPA ve WPA2) yi geliştirdi. 2003 yılında WPA (Wi-Fi Protected Access), WEP in yerini aldı. Bir sene sonra WPA2 geliştirildi. WPA2 ilk çıktığında donamımsal upgrade gerektiriyordu. İlk başlarda çok yaygın olarak WPA2 kullanılamadı fakat günümüzde artık her wireless cihazın ve kartların wpa2 desteği var. PSK (Preshared key) kullanılarak en güvenli yapı WPA2 dir. Eğer enterprise tarafında AP ler kullanılıyorsa 802.1x tarafına yönelinebilir, zira günümüzde WPA da Rainbow Table lar kullanılarak kırılabiliyor. Eğer komplike ve uzun bir parola (63 Karakter gibi) belirlenirse, hacking süresi günler hatta bazen aylar mertebesine çıkabiliyor. Biz bunları bildiğimiz için WPA2 kullanacağız. WPA için kullanacağımız algoritmayı seçiyoruz. AES, WPA2 de desteklenir. TKIP ise WPA da. Apply deyip kaydediyoruz.
SSID kısmında isim yazıp hangi interface e atayacağımızı belirliyoruz. Biz EMEA bölgesindeyiz ve ETSI standartlarını kullanırız. Bu standartlara göre 802.11a nın ülkemizde kullanımı yasal değildir. Sayfanın altına gidip Key Management ayarlıyoruz. Burada Mandatory ve WPA yı seçiyoruz. İsterseniz sadece WPA2 yi aktif kılabilirsiniz. WPA yı seçerseniz, client ın wireless adaptörü wpa2 desteği var ise wpa2 olarak bağlanır. Yoksa WPAv1 olarak bağlanır. En güçlü algoritma her zaman önceliklidir. Bu ayarları seçtikten sonra apply ediyoruz.
Daha sonra sayfanın el altına Infrastructure SSID ayarlarını yapıyoruz. SSID miz beacon paketlerinde brodcast olacaktır. SSID yi broadcast etmemek artık çok güvenli bir uygulama değil. Birtakım tool lar sayesinde artık çok rahatlıkla SSID broadcast edilmese bile görülebiliyor. Apply edip, ayarlarımızı kaydediyoruz. Fabrika ayarlarında cihazın Radio Interface leri kapalı gelir. Radio0 interface i 802.11b/g yi, Radio1 interface i 802.11a yı temsil eder. Network interfaces menüsünden 802.11g ye gelip interface i enable ediyoruz. Role In the Network: Burada bazı seçenekler görüyorsunuz. Biz Access point olarak seçtik. Peki bu cihazın Ethernet ile alakalı bir sıkıntısı olduğunda ne olacak? Örneğin kablosal bir problem bu AP e bağlı olan clientlar data göndermeye devam edecektir fakat kaynağına
ulaşamayacağı için paketlerde kayıplara neden olur. Birde kullanılan protokol UDP ise paket kayıpları takip edilemeyecektir. Birçok kişi Access point rolünde bırakır. Peki diğer opsiyonlar ne işe yarıyor; Access Point (Fallback to Radio Shutdown) : FastEthernet down olursa radio interface ini kapatır. Access Point (Fallback to Repeater) : FastEthernet down olursa ve cihazın kapsama alanında başka bir AP (Radio ayarları aynı ise) var ise cihaz tekrarlayıcı (Repeater Mode) olarak görev yapar. Repeater: Burada ise cihaz başka bir AP den aldığı sinyali tekrarlar. Önerilen mode değildir, çünkü tüm yük Root AP nin üzerinde olur ve Repeater mode daki cihaz sadece dataları alıp Root a iletir. Repater mode, kablonun gidemediği lokasyonlar için kullanılması uygundur. Diğer rolleri ilerleyen makalelerde anlatacağım. Data Rates bölümü. Ben burada Best Throughput seçtim.
Kanal ayarlarını yaptığımız yer. Default ayarlarda tüm kanallar seçili gelir ve en az enterferans a uğrayan kanalı seçmeye çalışır. Bir network yapısında, switch, router veya AP olabilir. Bir protokol var ise ve auto kelimesi geçiyor ise, bu çoğunlukla bir güvenlik açığı veya önerilen bir uygulama değildir. Buradaki ayar içinde bu geçerlidr. Cisco bunun Auto da bırakılmasını önermez. Doğru uygulama, site survey yapıldığında en az çakışan veya cihazın kesişmediği kanalı seçmektir. Non-Overlapping channels, 1,6 ve 11 dir. Buradaki uygulamada 1,6 ve 11 kanallarını seçip auto da bıraktık. Cihazın çalışacağı lokasyon hakkında bilgimiz yok ise uygulanabilir. Sayfanın en altından Apply dediğimizde bir uyarı belirtiyor. Burada 802.11b clientların bağlantısının önleneceğini uyarıyor. Performans açısından doğru olanda budur. 802.11b client bağlandığında, protection mode a geçer ve cihazın data rate oranlarında düşüşler yaşanır ve bu da dolaylı olarak performanıs ciddi bir şekilde etkiler. Bu Cisco ya özel bir durum değildir. Herhangi bir 802.11g ye B client a bağlandığında bu durum gerçekleşir. Ok diyoruz. Wireless tarafındaki ayarlarımız bitti. Şu anda SSID miz yayın yapıyor. Son olarak cihaza ulaşımı daha güvenli hale getireceğiz.
Default password ü değiştiriyoruz.
Cihazın tarih ayarlarını yapıyoruz. Burası loglamaları analiz ederken önemlidir çünkü tarih yanlış ise ne zaman olduğunu tespit edemezsiniz. Telnet i kapatıp. SSH ı açıyoruz.
HTTP yi kapatıp, HTTPS etkin kılıyoruz. Stand Alone AP mizin ayarlarını yaptık. Cisco AP lerde 2 çeşittir. AP ve LAP (Light Access Point). LAP cihazlar, WLC ile yönetilebilir ve dump cihazlardır. Cihazda LWAPP image bulunur ve tüm konfigürasyon bilgilerini WLC dan alır. Bir sonraki makalede WLC lar hakkında bahsedeceğim. Bu makalemde Kablosuz ağlar ve standartları hakkında genel bilgiler ve Cisco AP konfigürasyonunu anlatmaya çalıştım. Aslında kablosuz ağların geçmişi eskiye dayanır. Bu makaleyi yazarken çok fazla teknik bilgilere girmemeye çalıştım ama okurken de fark ettim ki yazıya dökmek istediğim birçok konu eksik kaldı. Umarım ilerleyen bölümlerde kablosuz ağlar hakkında bir makale yazabilirim. Makaleyi bitirmedin Cisco AP ürün ailesi hakkında biraz bilgi vermek isterim; 1130 serisi bir AP ile konfigürasyon yaptık. Bu modelin bir üstü 1140 serisidir. Bu cihazlar piyasada çok yeni olup stand-alone versiyonları daha bulunmamaktadır. LAP olarak sadece WLC ile yönetilebilir. Wireless N destekler. 1200 serisinden, 1231 AP ler Haziran 2009 da End-of-Sale oldu bunun bir üst model 1242 AP lerdir. Metal kasa oldukları için depo gibi alanlarda kullanıma uygundur. 1131 cihazlara göre daha sıcağa dayanıklıdır. Voice uygulamalarında performans ı 1100 sersine göre daha iyidir. 1242 lere harici anten takılabiliyor ve bu modellerin entegre antenli modeli yok. 1252 AP ise, Cisco nun ilk çıkardığı N destekli cihazdır. 1200 serisi gibi dış ortamlara daha dayanıklı ve güçlü bir cihazdır. Outdoor olarak 1300 serisi olan 1310 AP ler, hem entegre anten (13 dbi) hemde harici anten takılabilir olan modelleri vardır. İlerleyen makalelerde 1310 ile Root - Non-Root konfigürasyon örneğini yapıp iki binayı birbirine wireless olarak bağlayacağız. Onun için Outdoor tarafındaki çözümlerden fazla bahsetmeyeceğim. Son olarak yaptığımız konfigürasyonun CLI tarafındaki çıktısını yolluyorum. Bir sonraki makalede görüşmek üzere. Murat GÜÇLÜ ap#sh u Building configuration... Current configuration : 3619 bytes Last configuration change at 11:52:18 +0300 Thu Jul 2 2009 by cisco NVRAM config last updated at 11:52:18 +0300 Thu Jul 2 2009 by cisco version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption
hostname ap enable secret 5 $1$IM/K$AnLobiTIjamvYzdmxQRHR1 no aaa new-model clock timezone +0300 3 ip domain name muratguclu.com dot11 ssid Test authentication open authentication key-management wpa guest-mode wpa-psk ascii 7 101F5B4A5142445C545D7A power inline negotiation prestandard source username admin privilege 15 password 7 135445415F5952 bridge irb interface Dot11Radio0 no ip address no ip route-cache encryption mode ciphers aes-ccm tkip ssid Test speed basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic- 24.0 basic-36.0 basic-48.0 basic-54.0 channel least-congested 2412 2437 2462 station-role root world-mode dot11d country TR indoor bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled interface Dot11Radio1 no ip address no ip route-cache shutdown no dfs band block channel dfs station-role root bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto bridge-group 1 no bridge-group 1 source-learning bridge-group 1 spanning-disabled interface BVI1 ip address dhcp client-id FastEthernet0 no ip route-cache no ip http server ip http secure-server ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag bridge 1 route ip line con 0 line vty 0 4 login local end