明晰AP工作模式，輕松管理無線網絡

郭建偉

在企業網絡環境中，無線網絡所占的比重越來越大。對于無線網絡來說，AP占據著非常重要的作用，客戶一般都是通過AP，才可以接入無線網絡。例如對于常用的Cisco AP來說，就提供了Local、FlexConnect、Monitor、Rogue Detector、Sniffer、Bridge和Flex+Bridge等模式。對于網絡管理員來說，必須熟悉和了解這些模式的特點和功能，才可以對AP進行靈活的管理和配置，保證無線網絡順暢運行。

AP各工作模式的特點

在眾多模式中，Local是最常用的數據轉發模式，FlexConnext是本地轉發模式，Flex+Bridge是FlexConnext的一種特殊工作模式。Local模式主要用于數據服務，與其相連的交換機接口處于Access狀態，通過DHCP獲取IP，AP和WLC之間通過CAPWAP隧道連接，在其中傳輸控制層面和數據層面的流量。

在FlexConnext模式下，AP和交換機以Trunk方式連接，在CAPWAP隧道中僅僅傳輸控制和管理層面流量，數據流量在AP本地通過Trunk進入指定的VLAN。注意，Local模式也提供監控服務，可以掃描其他的信道來發現惡意AP/Client，只是其掃描的效能很低，同時可以分析和管理幀有關的攻擊行為。

登錄到無線控制器上，在工具欄上選擇“WIRELESS”項，在左側選擇“802.11b/g/n”→“RRM”→“General”項，在右側的“Channel Scan Internal”欄中設置掃描周期，默認為180秒。為了增加掃描的時間，可以將該值適當調小一些。當然，為了提高掃描效能，最好使用單獨的AP來進行該工作，使其工作在“Monitor”模式，其并不提供數據服務功能，而只會發送Beacon信標幀，對WLAN進行全面監控，利用特定的策略來發現和攔截惡意AP和客戶端。

對于阻斷操作來說，當WLC重啟后是不保存的。對于Rogue Detector模式來說，主要用來檢測惡意設備是否進入了有線網絡，當發現一個惡意的無線設備接入到本有線網絡中后，會產生告警信息，但是不會進行阻斷操作。對于非法AP來說，會對無線網絡安全造成很大威脅，諸如竊取明文通訊數據、發起DoS或者中間人攻擊、發送惡意CTS報文造成合法用戶無法訪問網絡資源等。

實際上，內部員工也可以將非授權的AP連入有線網絡，造成其他用戶無須認證即可直接接入內部網絡，引發重大的安全問題。對于Monitor和Rogue Detector模式來說，其之所以可以發現非法AP，依靠的是Rogue Location DiscoveryProtocol（RLDP）協議，該協議可以關聯不加密的AP，并關聯到該惡意AP，發送De-Authentication消息給連接到該AP的所有客戶端并關閉其信道，并通過該惡意AP向WLC發送UDP包，如果WLC接收到該包的話，就會表標記其為惡意AP并發送警告信息給管理員。

當然，對于5GHz的DFS信道來說，是不支持RLDP的。對于DFS來說，在正常情況下，是沒有開放給Wi-Fi使用的。注意，如果使用處于Local或者FlexConnect模式的AP來執行RLDP檢測話，那么在執行檢測的時候，所有連接的客戶端就會掉線，直到RLDP測試完成，客戶端才會再次上線。如果在WLC上針對所有的AP配置了RLDP功能，WLC一般只是選擇使用了Monitor模式的AP來執行檢測操作。

搭建簡單實驗網絡

這里使用簡單的網絡，來說明如何使用各種AP工作模式。本例中存在一臺WLC控制器，其通過G0/1連接到核心交換機SW1Fa0/24接口上，該連接處于Trunk模式。在SW1上存在VLAN10、VLAN20和VLAN30三個VLAN，其中的VLAN10用于管理，WLC的管理口IP為10.1.1.100，其余的VLAN為客戶端分配地址。在SW1上分別為AP1和AP2配置地址池，指定其默認網關和WLC的地址。

交換機SW2的G1/0/1接口和SW1的Fa0/1接口通過Trunk進行連接，在SW2上存在VLAN30，AP1連接到SW2的G1/0/2接口上，通過DHCP獲取IP并利用CAPWAP隧道和控制器連接連接。交換機SW3的G1/0/1接口和SW1的Fa0/2接口通過Trunk進行連接，在SW3上存在VLAN20，AP2連接到SW3的G1/0/2接口上，通過DHCP獲取IP并利用CAPWAP隧道和控制器連接連接。有一臺來歷不明的AP3胖AP連接到SW1的Fa0/3接口上，該接口處于Access模式。其獲取的IP為20.1.1.20，在該AP上創建了SSID，處于未加密狀態，其扮演惡意AP的角色。

配置和使用Monitor模式

登錄到WLC管理界面，點擊工具欄上的“WIRELESS”項，在左側選擇“Access Points”項，在右側顯示已經連接的AP，點擊某個AP（例如AP1），在其屬性窗口的“General”面板（圖1）中的“AP Mode”列表中顯示所有的工作模式，默認為Local模式。在其中選擇“Monitor”項，將其切換到Monitor模式。在“Advanced”面板中會看到“Rogue Detection”項自動處于選擇狀態，說明對于Monitor模式來說，是默認要進行RLDP檢測的。之后該AP會重啟，才可以完成模式的切換。

在工具欄上點擊“SECURITY”項，在左側選擇“Wireless Protection Policies”→“Rogue Policies”→“General”項，在右側的“Rogue Detection Security Level”欄中選擇安全檢測級別（圖2），包括Low、High、Critical和Custom等。對于Low級別來說，只進行最基本的檢測。對于High級別來說，不僅進行基本的檢測，還可以自動進行阻塞，對于Critical級別來說，在前兩者的基礎上，還可以利用RLDP來連接惡意AP，來執行高級檢測操作。對于Custom級別來說，可以進行靈活的自定義操作。

例如在“Rogue Location Discovery Protocol”列表中選擇執行RLDP協議的對象，包括開啟Monotor的AP，所有的AP或者禁用該功能等。在“Auto Containment Level”列表中可以設置自動阻塞的等級，包括自動或者合適的AP數量（從1到4），這樣，最多可以指定4個AP來執行阻塞操作。點擊“Apply”按鈕，保存配置信息。

查看惡意無線設備

當該AP重啟后，就會執行對惡意無線設備的監控操作。在WLC管理界面工具欄上點擊“MONITOR”項，在“Rogue Summary”欄中顯示活動的惡意AP數量，惡意客戶端的數量。在“Active Rogue APs”欄右側點擊“Detail”鏈接，顯示所有的惡意AP的信息，包括其MAC地址、SSID、信道、狀態等內容。例如，在其中就可以看到上述名為AP3的接入設備。在“Active Rogue Clients”欄右側點擊“Detail”鏈接，顯示處于活動狀態的惡意客戶，包括其MAC地址、關聯的AP的MAC地址、使用的SSID、上次發現的時間、狀態等內容。

對于發現的惡意連接，可以基于AP或者客戶級別進行阻塞。例如發現名為“EYClient”的惡意客戶，可以在上述惡意客戶詳細信息中點擊該客戶項目，在其詳細信息窗口中的“Update Status”列表中選擇“Contain”項，在“Maximum number of APs to contain the rogue”列表中選擇“Auto”項，點擊“Apply”按鈕，將其阻塞掉，之后該客戶的無線連接就會自動斷開。之所以可以實現該效果，其實就是模擬該客戶連接的AP，向該客戶連續不斷的發送要求認證的DeAuthentication包，該包中的源MAC為該惡意AP的MAC地址，目的MAC為該客戶機的MAC地址，其作用就是要求該客戶進行認證，直到將其踢下線為止。

無線AP的分類原則

在左側選擇“Regous”→“Unclassfied APs”項，在右側顯示為歸類的所有AP，其中有些是惡意AP有些則可能不是。但是，所有這些AP的狀態均處于Alert告警模式。為了便于控制惡意AP，可以創建對應的規則，對這些AP進行分類管理。類別包括Friendly（友好）、Malicious（惡意）、Custom（自定義）和Umclassified（未歸類）等。注意，默認沒有任何一個歸類規則是激活的，所有位置的AP都會被放入未歸類類型。

當創建了一個規則，為其配置了條件，當激活該規則后，那么未歸類的所有AP將重新進行分類。當修改了該規則，則僅僅會應用到所有Alert的AP。對于已經歸類的AP來說，是不會生效的。對于分類的行為來說，WLC會先在信任的MAC地址列表中查詢此可疑AP的MAC地址，如果找到的話將其會分到Friendly類別中。在工具欄上點擊“SECURITY”項，在左側選擇“Wireless Protection Policies”→“Rogue Policies”→“Fridendy Rogue”項，在右側可以輸入目標MAC地址，即可將其添加到友好類別中。

如果該非法AP的MAC地址不再信任列表中，WLC即可對其進行應用分類規則。如果該非法AP已經被分類到了Malicious、Alert、Friendly、Internal、External等類別之中，WLC就不會對其進行歸類操作。如果必須進行分類，則需要手工進行調整。例如將Malicious類別中的某個AP手工劃分到Friendly類別中等。WLC會按照優先級應用所有的分類規則，如果該非法AP符合規則，就按照該規則對其進行歸類。

如果其不匹配任何預設的規則，那么其會被稱為未分類狀態。注意，如果RLDP檢測出非法AP連接到本地有線網絡中，WLC會認為該AP具有破壞性并將其標示為惡意AP。如果該AP沒有連接在本地有線網絡中，WLC會將其標識為Alert狀態，每個WLC最多支持64個規則，在每個惡意AP中只能顯示最多256個非法客戶。

創建簡單的分類規則

在工具欄上點擊“SECURITY”項，在左側選擇“Wireless Protection Policies”→“Rogue Rules”項，在右側點擊“Add Rule”按鈕，添加新的規則，輸入規則的名稱（例如“rule1”），在“Rule Type”列表中選擇“Friendly”項，在“Notify”列表中選擇“All”項，在“Status”列表中選擇“Alert”項，點擊“Add”按鈕，創建該規則。其作用是將特定AP添加到Friendly類別中，其默認處于Alert狀態。

在列表中點擊該規則，在其屬性窗口中的“Conditions”列表中選擇選擇各種條件，包括SSID、連接時長、信號強度、連接客戶數量、是否加密等。例如選擇“SSID”項，點擊“Add Condition”按鈕，輸入合適的SSID名稱（例如“ssid1”），點擊“Add SSID”按鈕將其添加進來，同理可以添加多個SSID。這樣，只要是和上述SSID相關的AP全部添加到Friendly類別中。注意，必須選擇“Enable Rule”項，才可以將該規則激活。在WLC管理界面工具欄上點擊“MONITOR”項，在左側選擇“Rogues”→“Friendly APs”項，顯示所有的友好AP。

配置復雜的分類規則

按照上述方法，創建名為“DetectEY”的規則，在“Rule Type”列表中選擇“Malicious”項，在“Status”列表中選擇“Contain”項。這樣只要符合該規則的AP，就將其視為惡意AP并將其阻斷。在其屬性窗口（圖3）中的“Conditions”列表選擇“SSID”項，輸入并添加其SSID名稱（例如“EYSSID”）。在“Conditions”列表選擇“RSSI”項，輸入合適的最小信號強制（例如“→20 dbm”，該值越小強度越大）。

在“Conditions”列表選擇“No Encryption”項，選擇“No Encryption”項，表示其沒有加密。在“Conditions”列表選擇“Client Count”項，輸入連接的客戶數量。當然，可以根據需要添加更多的條件。在“Match Operation”欄中選擇“Match All”項，表示必須符合所有的條件。選擇“Match Any”項，表示符合任意條件即可。點擊“Apply”按鈕應用該規則。這樣，只要符合條件的AP就被被視為惡意AP并被阻斷。在左側選擇“Rogues”→“Malicious APs”項，顯示所有的惡意的AP。

Sniffer模式的工作方式

在目標AP（例如“AP2”）的屬性窗口中選擇“Sniffer”項，使其處于Sniffer模式。注意，模式切換后必須重啟AP。該AP只負載抓取數據包，當然需要設置其針對哪個信道抓包。這樣，該信道的所有流量數據都會通過CAPWAP隧道送到WLC上，在WLC上需要設置用于分析數據的主機的IP，之后將這些數據包發送過去，當然WLC會將這些數據進行封裝，前部為源和目的地址，中間為UDP 頭部，端口號為5555，后部為抓取的數據包。

在客戶機上，必須安裝諸如的AIROPEEK之類軟件，便于解碼UDP5555格式的封裝包。注意，要實現Sniffer模式，需要在WLC的命令行接口中執行“config network ip-mac-binding disable”命令，取消控制器的IP-MAC綁定功能。還必須激活1號WAN，否則該AP無法發送數據包。在工具欄上選擇“WIRELESS”項，在左側選擇“Access Points”→“Radios”→“802.11 b/g/n”項，在右側選擇目標AP，在其配置界面中選擇“Sniff”項，激活其抓包功能（圖4）。

在“Channel”列表中選擇需要監控的信道。在“Server IP Address”欄中輸入安裝了分析軟件的主機IP，在“Assignment Method”列表中選擇“Custom”項，選擇同樣的信道。當然，這里這針對的是2.4Ghz射頻模式，也可以針對802.11a/n/ac模式進行設置。這樣在指定的主機上就可以接收和分析這些數據包，注意目標信道不能處于加密狀態。

Bridge模式的功能和特點

在目標AP（例如“AP2”）的屬性窗口中選擇“Bridge”項，使其處于Bridge模式，對于瘦AP來說，利用該模式可以實現無線Mash網絡。對于Mash網絡來說只有根AP（RAP，即Root Access Point）連接到有線網絡中，其余的AP（MAP，即Mesh Access Point）全部是無線連接的。

無線Mash網絡具有高性價比，可擴展性強，應用范圍廣，高可靠性等特點。無線Mesh網絡中各AP實現的是全連接，從某個MAP到RAP之間存在多條鏈路，可以有效避免單點故障。MAP采用MAC認證或外部RADIUS認證兩種方式，接入到無線Mesh網絡中。對于前者來說，將MAP的MAC地址加入到數據庫中便于其關聯到指定的WLC。對于后者來說，可以通過外部的RADIUS認證設備來關聯指定的WLC。Mesh AP支持Wireless mesh、WLAN backhaul、點對多點無線橋接、點對點無線橋接等模式。

使用Bridge模式構建Mesh網絡

為了便于說明，這里將上述實驗環境稍加修改，將SW2和SW1之間的連接取消，讓AP1必須通過Bridge模式通過AP2連接到WLC。在AP1和AP2的屬性窗口中的“AP Mode”列表中均選擇“Bridge”項，將其切換到Bridge模式。注意，如果直接切換會出現錯誤信息，提示需要手工指派信道和發射功率。為此可以先在左側選擇“Access Point”→“Radios”→“802.11 a/n/ac”項，在目標AP右側點擊藍色的按鈕，在彈出菜單中選擇“Configure”項，在配置界面中的“RF Channel Assignment”中的“Assignment Method”欄中選擇“Custom”項，選擇合適的信道（例如“149”）。在“Tx Power Level Assignment”欄中選擇“Custom”項，輸入合適的發射功率（例如“1”）。注意，需要在所有的AP上設置相同的參數。

在“802.11a/n/g”射頻模式下也需要進行相同的配置。為了實現無線流量的透傳，需要在SW2和AP1連接交換機端口上開啟Trunk模式，在SW3和AP2連接的端口上也開啟Trunk模式。例如在SW2全局配置模式下“default interface GigabitEthernet 1/0/2”“interface GigabitEthernet 1/0/2”“switch trunk native vlan 20”“switch mode trunk”等指令即可。當切換到Bridge模式后，必須將其MAC地址添加到WLC的數據庫中，否則其無法順利連接。

在WLC管理界面工具欄上選擇“SECURITY”項，在左側選擇“AAA”→“MAC Filtering”項，在右側點擊“New”按鈕，輸入相關AP的MAC地址，點擊“Apply”按鈕將其添加進來。當關閉了SW2和SW1的連接后，在WLC的AP列表中就暫時看不到AP1，在AP2的屬性窗口中的“Mesh”面板（圖5）中的“AP Role”列表中選擇“RootAP”項，將其設置為根AP。

AP1會通過無線口進行連接，從AP2得到控制器地址，之后連接到WLC上。之后在列表中才會顯示該AP，而且其獲取的IP屬于SW3上的VLAN20網段，AP1就成了MeshAP的角色。在工具欄上選擇“WIRELESS”項，在左側選擇“WLANs”項，在右側點擊“New”按鈕，輸入WLAN的名稱（例如“WLAN100”），點擊“Apply”按鈕創建該WLAN。在其屬性窗口中的“Security”面板中的“Layer2”標簽中的“PSK”欄中選擇“Enable”項，輸入預共享密鑰。為了便于為客戶端分配IP，可以在SW3上開啟DHCP功能，

在客戶端上可以搜索并連接到上述WLAN上，輸入預共享密碼后，就可以連接到網絡中。當然，兩個AP均可以發送連接信息，但是兩者的信道是不同的，客戶端可能通過其中任意一個進行連接。如果在左側選擇“Advanced”→“Mesh”項，在右側的“Backhaul Client Access”欄中選擇“Enabled”項，激活回傳功能，即允許客戶連接使用5Ghz射頻的RAP，來傳輸數據。在“VLAN Transparent”欄中默認選擇“Enabled”項，說明已經激活了VLAN透傳功能（圖6）。這樣，在SW2和SW3上都創建新的VLAN后（例如VLAN200），那么連接到SW2上的有線客戶機就可以通過Trunk連接，直接訪問SW3中相同VLAN中的設備。

將WLAN和VLAN進行關聯

在管理主機上打開瀏覽器（例如Firefox，不建議使用IE），訪問“https：//192.168.1.100”地址，輸入預設的WLC的管理員名稱和密碼，進入其管理界面。其默認使用的簡單模式，點擊右側的“Advanced”按鈕進入高級配置模式。對于AP來說，其默認的用戶名為“cisco”，默認密碼為“Cisco”，如果需要清除AP配置的話，可以執行“clear capwap private-config”“reload”命令即可。

當AP啟動后，會發起廣播來獲取WLC地址，因為這是跨網段的，所以廣播無法奏效。只有通過DHCP服務來獲取WLC的地址，之后才可以完成注冊操作。在WLC管理界面工具欄上點擊“WIRELESS”按鈕，可以看到注冊成功的AP。點擊該AP，可以深入配置其各項屬性。在工具欄上點擊“CONTROLLER”項，在左側點擊“Interface”項，在右側點擊“management”項，選擇“Enable Dynamic”項，表示將Management Interface和AP Management合二為一了。

返回上級菜單，點擊“New”按鈕，創建新的動態接口，輸入其名稱（例如“dt1”），設置與其關聯的VLAN號（例如VLAN200）。點擊“Apply”按鈕保存配置信息，在其屬性窗口（圖7）中的“Port Number”欄中輸入“1”，表示該動態接口的流量會從端口1出去。在“IP Address”欄中設置可用的地址（例如“172.16.1.253”），并在其下設置掩碼和網關等參數，在“DHCP Information”欄中輸入DHCP服務器的地址，例如172.16.1.254。點擊“Apply”按鈕，提交修改信息。

注意，對于思科WLC控制器來說，必須在工具欄上部點擊“Save Configuration”按鈕，才可以讓配置保存。點擊工具欄上的“WLANs”按鈕，點擊默認的WLAN項，在其屬性窗口中的“General”面板中的“SSID”欄中輸入SSID標識符，在“Status”和“Broadcast SSID”欄中確保選擇“Enable”項。在“Interface/Interface Group”列表中選擇上述動態接口“dt1”，讓兩者實現關聯。

在“Security”面板（圖8）中打開“Layer2”標簽，在“PSK”欄中選擇“Enable”項，輸入合適的密碼，啟用預共享密鑰認證功能。這樣，在客戶端就可以檢測到該SSID，選擇該SSID，輸入預設的密碼，就可以連接到上述網絡中了。執行“ipconfig /all”命令，可以看到從上述DHCP地址池中獲取的IP地址，而且DHCP服務器的地址是不可路由的地址（例如“1.1.1.1”等），這樣可以保護真實的DHCP服務器。

本地轉發模式的特點

Flex Connect本地轉發可以通過WAN鏈路，在中心配置和控制分支機構的AP，能夠在分支機構本地轉發數據，并執行本地身份驗證操作。當然，還可以設定AP中某些SSID的VLAN的流量，某些SSID的VLAN流量可以進行中心轉發。這樣，如果和中心的無線控制器失去聯系，可以將這些流量進行本地轉發，當恢復聯系時，依然可以將相關的流量進行中心轉發。

Flex Connect包含兩種運行模式，包括連接模式（Connected Mode）和獨立模式（Standalone Mode），分別對應可以連接到WLC和無法連接到WLC的情形。注意，對于獨立模式來說，AP是可以獨立連接3A服務器進行身份驗證的。值得說明的是，中心轉發指的是數據流量通過WAPCAP隧道傳到WLC進行轉發，本地轉發指的是數據流量經過本地有線接口直接進入本地交換網絡。