(T) Teoria punktów dostępowych AP*

Teoria punktów dostępowych AP

Tryby działania AP

  • Local – Domyślny tryb pracy punktów dostępowych (Lightweight AP), umożliwia udostępnianie sieci bezprzewodowych (BSS), na ustalonych przez kontroler WLC kanałach (Channel). W czasie kiedy punkty AP nie obsługują ruchu klienckiego, skanują sieć bezprzewodową (W tym inne kanały) w celu monitorowania zakłóceń (Noise floor), poszukiwania nieautoryzowanych urządzeń czy skanowania IDS (Intrusion Detection System).
  • Monitor – Punkty dostępowe (LAP), nie udostępniają żadnych sieci (BSS), skupiając się na skanowaniu sieci.
  • FlexConnect – Punkty dostępowe (LAP), umożliwiają lokalną obsługę ruchu sieciowego pomiędzy sieciami bezprzewodowymi (SSID) a sieciami wirtualnymi VLAN. W przypadku braku połączenia CAPWAP z kontrolerem WLC, bądź też odpowiedniej konfiguracji.
  • Sniffer – Punkty dostępowe (LAP), nasłuchują wszystkich transmisji 802.11 w celu przechwycenia ruchu sieciowego (Sniffer), a następnie przekazania go do urządzenia przechwytującego, wyposażonego w odpowiednie oprogramowanie (Np. Wireshark).
  • Rogue detector – Punkty dostępowe (LAP), skupiają się na poszukiwaniu nieautoryzowanych urządzeń.
  • Bridge – Punkty dostępowe (LAP), działają jak mostek (Bridge).
  • Flex + Bridge – Punkty dostępowe (LAP), działają w topologi rozproszonej (Mesh AP).
  • SE-Connect – Punkty dostępowe (LAP), umożliwiają wykrywanie źródła interferencji.

Wykrywanie punktów dostępowych LAP przez kontroler WLC

  • Punkty dostępowe (LAP) został zaprojektowane zgodnie z zasadą „Touch Free”, dzięki czemu jedyna konfiguracja niezbędna do ich aktywowania, musi być wykonana po stronie przełącznika dostępowego.
  • Proces aktywacji punktu dostępowego (LAP) jest nazwany „State Machine”, i wygląda następująco:
    1. AP boots – Po otrzymaniu zasilania punkt dostępowy (LAP), uruchamia podstawowy system operacyjny Cisco IOS umożliwiający pobranie adresu IP za pomocą protokołu DHCP, bądź jego statyczną konfigurację.
    2. WLC discovery – Punkt dostępowy (LAP) postępuje zgodnie z ustalonymi regułami w celu zlokalizowania dostępnych kontrolerów WLC. Dzięki czemu możliwe staje się stworzenie listy dostępnych kontrolerów WLC.
      1. Broadcast on the local subnet – Punkt dostępowy (LAP) rozgłasza poprzez wiadomość rozgłoszeni-ową (Broadcast), zapytanie CAPWAP Discovery Request (Link do konfiguracji funkcji Helper względem kontrolerów WLC).
      2. Use locally stored WLC address – Punkt dostępowy (LAP) przetrzymuje w pamięci nie ulotnej informacje o trzech ostatnio używanych kontrolerach WLC. Proces ich pozyskiwania zwany jest „Primed”.
      3. Use DHCP – Punkt dostępowy (LAP) wykorzystuje opcję 43 oferowaną przez protokół DHCP, w celu pozyskania do trzech adresów IP kontrolerów WLC (Więcej informacji na temat opcji 43 jest dostępnych w artykule Opcja 43).
      4. Use DNS – Punkt dostępowy (LAP) spróbuje rozwiązać nazwę domenową CISO-CAPWAP-CONTROLER.lokalna-domena za pomocą serwera DNS. W celu pozyskania adresu IP kontrolera WLC.
      5. Reset and try again – Punkt dostępowy (LAP) zresetuje się, a następnie ponowi próbę pozyskania adresu IP kontrolera WLC.
    3. CAPWAP tunnel – Punkt dostępowy (LAP) próbuje nawiązać połączenie CAPWAP z wykrytymi kontrolerami WLC, za pomocą bezpiecznego połączenia DTLS (Datagram Transport Layer Security), przy wykorzystaniu certyfikatów cyfrowych.
      1. Punkt dostępowy (LAP) wysyła zapytanie (CAPWAP Discovery Request).
      2. Kontroler WLC odsyła odpowiedź (CAPWAP Discovery Reply), zawierającą następujące informacje: Nazwę, adres IP interfejsu AP-manager, liczbę obecnie obsługiwanych punktów dostępowych (LAP) oraz maksymalną liczbę obsługiwanych punktów dostępowych (LAP).
    4. WLC join – Punkt dostępowy (LAP) postępuje zgodnie z ustalonymi regułami w celu wybrania jednego kontrolera WLC, do którego wyśle wiadomość CAPWAP Join Request.
      1. Try primed address – Jeżeli punkt dostępowy (LAP) był wcześniej podłączony do kontrolera WLC, spróbuje ponownie nawiązać z nimi połączenie.
      2. Try the master controller – Jeżeli punkt dostępowy (LAP) nie był wcześniej podłączony do żadnego kontrolera WLC, rozgłosi wiadomość rozgłoszeni-ową (Broadcast) w celu wykrycia kontrolera w sieci lokalnej.
      3. Try the least-loaded controller – Punkt dostępowy (LAP) próbuje nawiązać połączenia z najmniej obciążonym kontrolerem WLC.
    5. Download image – Kontroler WLC informuje punkt dostępowy (LAP) o swojej wersji systemu operacyjnego, jeżeli punkt LAP posiada inną wersję systemu, niż ta którą posiada kontroler WLC, pobierze i zainstaluje odpowiedni obraz pobrany z kontrolera WLC.
    6. Download config – Punkt dostępowy (LAP) pobiera bieżącą konfiguracje z kontrolera WLC.
    7. Run state – Punkt dostępowy (LAP) przechodzi do trybu aktywnego „Run”.
    8. Reset – Jeżeli kontroler WLC wyśle nakaz restartu, punkt dostępowy (LAP) przerwie tunel CAPWAP, porzuci wszystkich klientów a następnie zresetuje się.
Wszystkie kontrolery WLC do których przypisane są te same punkty dostępowe (LAP), powinny posiadać tą samą wersję systemu operacyjnego. W przeciwnym razie, po każdorazowej utrzecie połączenia punktu LAP z kontrolerem, punkt dostępowy przełączy się na inny kontroler WLC a następnie rozpocznie proces reinstalacji obrazu.
Kontroler WLC może odpowiedzieć na prośbę o dołączenie Join, wiadomością Get Rejected. W sytuacji w której liczba obsługiwanych punktów dostępowych (LAP) osiągnęła swój maksymalny poziom. Aby zapobiec takiej sytuacji każdemu punktowi LAP można przypisać priorytet.
Punkt dostępowy (LAP) może wykryć do trzech kontrolerów WLC, jednak tylko z jednym nawiąże połączenie CAPWAP.

Sprawdzanie dostępność (Keepalive)

  • Domyślnie co 30 sekund punkt dostępowy (LAP) wysyła do kontrolera WLC wiadomość Keepalive zwaną również Heartbeat. Jeżeli nie otrzyma na nią odpowiedzi wyśle kolejne cztery wiadomości eskalacyjne w odstępach co 3 sekundy. W przypadku ponownego nie otrzymania odpowiedzi, punkt dostępowy (LAP) spróbuje nawiązać połączenie z innym kontrolerem WLC z listy.
  • Domyślne odstępy czasowe w nadawaniu wiadomości Keepalive, umożliwiają wykrycie awarii w ciągu 35 sekund. Istnieje jednak możliwość zmiany domyślnych wartości Keepalive w zakresie od 1 do 30 sekund oraz odstępów eskalacji od 1 do 10 sekund, co umożliwi wykrycie awarii w zaledwie 6 sekund.

Pozostałe tematy związane z sieciami bezprzewodowymi

Kontroler WLC

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz