Cisco Access Point Modları
Çoğu Cisco Access Point, hangi image’ın yüklü olduğuna bağlı olarak Autonomous veya Lightweight modda çalışabilir.
Mobility Express image’ı yüklü olan bir Access Point; kendi web arayüzünden veya komut satırından konfigürasyonu gerçekleştirilerek, Wireless Controller’a ihtiyaç duymaksızın çalışabilir. Bu mod, Autonomous olarak adlandırılır.
Lightweight image’ı yüklü bir Access Point’in konfigürasyonu ise Wireless Controller üzerinden gerçekleştirilir ve Access Point Wireless Controller üzerinden yönetilir. Bu mod ise, Lightweight olarak adlandırılır.
Catalyst 9800 Wireless Controller’dan, Lightweight Access Point’i aşağıdaki özel amaçlı modlardan birinde çalışacak şekilde de yapılandırabilirsiniz.
Local
Local Mode, varsayılan moddur. Local moddaki her Access Point ile Wireless Controller arasında iki adet CAPWAP Tunnel açılır.
Bunlardan ilki, CAPWAP Control, Access Point’in yönetilmesi için kullanılır. CAPWAP Control DTLS Tunnel, UDP 5246 portunu kullanır.
Bir diğeri ise, CAPWAP Data, kablosuz ağ kullanıcılarının trafiğini Wireless Controller’a taşımak için kullanılır. Kablosuz kullanıcı trafiğini Wireless Controller yönetir ve bu davranış Central Switching olarak adlandırılır. CAPWAP Data DTLS Tunnel, UDP 5247 portunu kullanır.
CAPWAP hakkında daha detaylı bilgi için Cisco Access Point’lerin Wireless Controller’a Join Süreci başlıklı yazımı okuyabilirsiniz.
FlexConnect
FlexConnect moddaki bir Access Point, kendisine bağlı olan kablosuz kullanıcının data trafiğini Wireless Controller’a taşımaz, direkt yönlendirir. Bu davranış Local Switching olarak adlandırılır. Autonomous Access Point gibi davranır fakat Wireless Controller üzerinden yönetilir.
Bu yazının ilerleyen kısımlarında FlexConnect detaylıca ele alınacak ve konfigürasyonu yapılacaktır.
Sniffer
Sniffer moddaki bir Access Point, belirli bir kanaldaki tüm paketleri yakalayıp paket analiz yazılımı çalıştıran (Wireshark) bir makineye gönderir. Bu paketler zaman damgaları, sinyal gücü, paket boyutları gibi bilgileri içerir. Bu sayede ağ etkinliğini izleyebilir, kaydedebilir ve sorunları tespit edebilirsiniz.
Sniffer moddaki Access Point’i tekrar Local veya Flex modda kullanabilmek için Clear Mode’a çekmelisiniz.
Bu yazının son kısmı Sniffer Mode konfigürasyonuna ayrılmıştır.
Monitor
Monitor moddaki bir Access Point; hiçbir şekilde iletim yapmaz, özel bir sensör gibi davranır. IDS olaylarını kontrol eder, Rouge Access Point’leri tespit eder ve Wireless Station’ların konumunu belirler.
SE-Connect
SE-Connect (Spectrum Expert Connection) moddaki bir Access Point tüm wireless kanallarında Spectrum analizi yapar. Interference (parazit) kaynaklarını keşfetmek amacıyla Spectrum analiz verilerini toplar. Cisco Spectrum Expert veya MetaGeek Chanalyzer gibi bir yazılımla SE-Connect moddaki Access Point’ten verileri toplayabilir ve analiz edebilirsiniz.
Rogue Detector
Rogue Detector moddaki bir Access Point, kablolu ağdaki MAC adresleriyle kablosuz ağdaki MAC adreslerini ilişkilendirir ve tam zamanlı olarak Rogue Device’ları tespit eder. Rogue Device’lar, her iki ağda da görünen cihazlardır. Bu modda çalışan Access Point, SSID yayını yapmaya devam eder ve kablosuz kullanıcılar bağlanabilir.
Bridge
Bridge moddaki iki Access Point, iki uzak noktayı birbirine bağlamakla görevlidir. Noktadan noktaya veya noktadan çok noktaya bağlantı gerçekleştirilebilir. Kablosuz kullanıcılar, Bridge moddaki Access Point’lere bağlanamazlar.
Flex+Bridge
Bridge moddaki Access Point’lerin, Flex özelliklerini kullanmasına olanak tanıyan özel bir moddur.
Kaynak: CCNA 200-301 Official Cert Guide, Volume 1
Flex Konfigürasyonu
Flex ya da FlexConnect; bir Access Point’in, kablosuz kullanıcılardan gelen trafiğin doğrudan Access Point düzeyinde ağa mı aktarılacağını (Local Switching) yoksa Catalyst 9800 Wireless Controller’a mı yönlendireceğini (Central Switching) belirleme yeteneğini ifade eder.
Bu yazı boyunca gerçekleştirilecek olan konfigürasyonun görsel şeması:
Konfigürasyon akışı:
- VLAN’ların Oluşturulması
- WLAN Profile’ların Oluşturulması
- Policy Profile’ların Oluşturulması
- Policy Tag’in Oluşturulması
- Flex Profile’ın Oluşturulması
- Site Tag’in Oluşturulması
- Policy Tag ve Site Tag’in Access Point’e Atanması
VLAN’ların Oluşturulması
Herhangi bir konfigürasyona başlamadan önce Central Switching‘te kullanacağınız VLAN’ları Wireless Controller’da oluşturmalısınız. Aynı durum Local Switching için geçerli değil, Flex’te kullanacağınız VLAN’ları Wireless Controller’da oluşturmanıza gerek yok.
Adım 1. Configuration > Layer2 > VLAN > + Add
Adım 2. Gerekli bilgileri (VLAN ID, Name) girin ve Apply to Device butonuna tıklayın.
Not: Eğer “Name” alanını boş bırakırsanız VLAN ismi “VLANXXXX” olarak atanır; burada XXXX, VLAN ID’dir.
Local Switching‘te kullanacağınız tüm VLAN’lar için adım 1 ve adım 2’yi tekrarlayın.
Adım 3. Oluşturduğunuz VLAN’ların Trunk portun “Allowed Vlan” listesinde olup olmadığını kontrol edin.
Port Channel kullanıyorsanız, Configuration > Interface > Logical > Port Channel Name > General‘a gidin. “Allowed Vlan” alanında “All” seçeneğinin işaretli olduğunu görürseniz ekstra bir konfigürasyon yapmanıza gerek yok. “Allowed Vlan” alanında “Vlan IDs” seçeneği işaretli ise, kullandığınız VLAN’ları listeye ekleyin ve “Update & Apply to Device” butonuna tıklayın.
Port Channel kullanmıyorsanız, Configuration > Interface > Ethernet > Interface Name > General‘a gidin. “Allowed Vlan” alanında “All” seçeneğinin işaretli olduğunu görürseniz ekstra bir konfigürasyon yapmanıza gerek yok. “Allowed Vlan” alanında “Vlan IDs” seçeneği işaretli ise, kullandığınız VLAN’ları listeye ekleyin ve “Update & Apply to Device” butonuna tıklayın.
Konfigürasyonda değişiklik yapmanıza gerek yok:
Kullandığınız VLAN’ları listeye eklemelisiniz:
CLI:
configure terminal
vlan 2660
name Central-1
exit
interface GigabitEthernet2
switchport trunk allowed vlan add 2660
end
writeWLAN Profile’ların Oluşturulması
Adım 1. Configuration > Tags & Profiles > WLANs > + Add
Adım 2. Gerekli bilgileri (Profile Name, SSID, Security Type vb.) girin ve Apply to Device butonuna tıklayın.
Adım 3. Flex 1 ve Flex 2 WLAN Profile’larını da oluşturun.
CLI:
configure terminal
wlan [profile-name] [wlan-id] [ssid]
--- desired settings ---
no shutdown
exit
writePolicy Profile’ların Oluşturulması
Adım 1. Configuration > Tags & Profiles > Policy > + Add
Adım 2. General sekmesinde Name alanını doldurun, Status durumunu Enabled konuma getirin ve Central Switching durumunun Enabled olduğundan emin olun.
Adım 3. Access Policies sekmesinde Central Switching’te kullanacağınız VLAN’ı seçin. VLAN’ların Oluşturulması başlığı altında, VLAN ID’si 2660 olan Central-1 isimli VLAN’ı oluşturmuştuk, bu senaryoda onu seçiyoruz. Ardından Apply to Device butonuna tıklayın.
Adım 4. Flex Policy Profile’ları oluştururken Central Switching ve Central DHCP durumlarının Disabled olduğundan emin olun.
Central Switching’i devre dışı bıraktığınızda bir uyarı ekranı çıkacaktır, Yes butonuna tıklayarak devam edin.
Adım 5. Access Policies sekmesinde Local Switching’te kullanacağınız VLAN’ı girin. Flex’te kullanacağınız VLAN’ları Wireless Controller’da oluşturmanıza gerek yok, sadece Policy Profile’da girmeniz yeterlidir. Ardından Apply to Device butonuna tıklayın.
Adım 6. Adım 4 ve adım 5’i Flex 2 Policy Profile için de uygulayın.
Sonuçta, default-policy-profile’a ek olarak 3 adet Policy Profile oluşturuldu.
CLI:
configure terminal
wireless profile policy central-1-policy-profile
description "Policy Profile for Central 1"
vlan Central-1
no shutdown
exit
wireless profile policy flex-1-policy-profile
no central dhcp
no central switching
description "Policy Profile for Flex 1"
vlan 2685
no shutdown
exit
wireless profile policy flex-2-policy-profile
no central dhcp
no central switching
description "Policy Profile for Flex 2"
vlan 2686
no shutdown
end
writePolicy Tag’in Oluşturulması
Policy Tag, SSID ile Policy Profile’ın bağlantısını sağlayan bir yapıdır. WLAN’ın hangi VLAN’da çalışacağını belirler.
Adım 1. Configuration > Tags & Profiles > Tags > Policy > + Add
Adım 2. Gerekli bilgileri (Name, Description) girin ve WLAN-POLICY Maps alanındaki + Add butonuna tıklayarak oluşturduğunuz WLAN Profile ve Policy Profile’ları seçin, Apply (✓) butonuna tıklayın.
Tüm WLAN Profile ve Policy Profile’ları ekledikten sonra Apply to Device butonuna tıklayın.
CLI:
configure terminal
wireless tag policy policy-tag
description "Policy Tag"
wlan flex-1-wlan-profile policy flex-1-policy-profile
wlan flex-2-wlan-profile policy flex-2-policy-profile
wlan central-1-wlan-profile policy central-1-policy-profile
end
writeFlex Profile’ın Oluşturulması
Adım 1. Configuration > Tags & Profiles > Flex > + Add
Adım 2. Gerekli bilgileri (Name, Description, Native VLAN ID) girin. Flex Modda çalıştırdığınız Access Point’lerin, Switch’lerdeki portları trunk modda olmalıdır, Access Point ise o porttaki Native VLAN’dan IP alır. Dolayısıyla Access Point’lerin bağlı olduğu Switch’lerin portlarındaki Native VLAN bilgisini burada da girmelisiniz.
Adım 3. VLAN sekmesinde kullanacağınız VLAN’ları oluşturun. Bu senaryoda Flex-1 için 2685, Flex-2 için 2686 VLAN’larını kullanacağız.
Adım 4. Tüm VLAN’ları oluşturduktan sonra Apply to Device butonuna tıklayın.
CLI:
configure terminal
wireless profile flex new-flex-profile
description "New Flex Profile"
native-vlan-id 2601
vlan-name Flex-1
vlan-id 2685
vlan-name Flex-2
vlan-id 2686
end
writeSite Tag’in Oluşturulması
Adım 1. Configuration > Tags & Profiles > Tags > Site > + Add
Adım 2. Gerekli bilgileri (Name, Description) girin. Site Tag içinde Flex Profile seçeneğinin aktif olabilmesi için Enable Local Site seçeneğini inaktif etmelisiniz. Bir Access Point, Enable Local Site seçeneği inaktif bir Site Tag’e atandığında modunu FlexConnect’e dönüştürecektir. Oluşturduğunuz Flex Profile’ı seçtikten sonra Apply to Device butonuna tıklayın.
CLI:
configure terminal
wireless tag site new-site-tag
description "New Site Tag"
flex-profile new-flex-profile
no local-site
end
writePolicy Tag ve Site Tag’in Access Point’e Atanması
Site Tag’i direkt bir Access Point’e veya birden çok Access Point’e toplu olarak atayabilirsiniz.
Policy ve Site Tag’in Tek Access Point’e Atanması
Adım 1. Configuration > Wireless > Access Points > AP-Name
Adım 2. General > Tags alanında oluşturduğunuz Policy ve Site Tag’i seçin ve Update & Apply to Device butonuna tıklayın.
Not: Access Point’teki Policy ve Site Tag’i değiştirmeniz durumunda Access Point ile Wireless Controller arasındaki bağlantı yaklaşık 1 dakikalığına düşecektir, ardından Access Point Wireless Controller’a tekrar Join olur.
Policy ve Site Tag’in Access Point’lere Toplu Atanması
Adım 1. Configuration > Wireless Setup > Advanced > Start Now > Tag APs
Adım 2. Site Tag’i atayacağınız tüm Access Point’leri seçip + Tag APs butonuna tıklayın.
Adım 3. Access Point’lere atamak istediğiniz Policy ve Site Tag’i seçin, Apply to Device butonuna tıklayın.
CLI:
configure terminal
ap [ap-ethernet-mac-address]
policy-tag new-policy-tag
site-tag new-site-tag
end
writeFlex konfigürasyonu bitti.
Flex Access Control List’ler
Local Switching’te çalışan bir WLAN’ınız olduğunda göz önünde bulundurmanız gereken konulardan biri, Access Control List’lerin kablosuz kullanıcılara nasıl uygulanacağıdır.
Central Switching’te çalışan bir WLAN’da kablosuz kullanıcıların tüm trafiği Wireless Controller üstünden geçtiği için Access Control List’in Wireless Controller’da var olması yeterlidir fakat Local Switching’te durum böyle değildir.
Local Switching’te kablosuz kullanıcının tüm trafiği Access Point üzerinden aktığı için Access Control List’lerin Access Point’e gönderilmesi gerekmektedir.
Access Control List’in Oluşturulması
Test etmek amacıyla, kablosuz kullanıcıların 1.1.1.1 adresine ping atmasını engelleyecek bir Access Control List oluşturmakla başlıyoruz.
Adım 1. Configuration > Security > ACL > + Add
Adım 2. ACL Name alanını doldurduktan sonra Destination IP’si 1.1.1.1 olan ICMP paketlerini engelleyen ACL yazın, onun dışındaki her şeye izin verin.
Central Switching’te ACL’in Uygulanması
Central Switching’te, Access Control List’in Policy Profile’da aktif edilmesi yeterlidir.
Configuration > Tags & Profiles > Policy > central-1-policy-profile
Access Policies sekmesindeki WLAN ACL alanında oluşturduğunuz ACL’i seçin ve Update & Apply to Device butonuna tıklayın.
Local Switching’te ACL’in Uygulanması
Local Switching’te, Access Control List’in Policy Profile’da aktif edilmesine ek olarak Flex Profile’da da aktif edilmesi gerekmektedir.
Configuration > Tags & Profiles > Flex > new-flex-profile
Policy ACL sekmesindeki + Add butonuna tıklayarak oluşturduğunuz ACL’i seçin ve Update & Apply to Device butonuna tıklayın.
Access Control List’lerin Kontrolü
Kablosuz kullanıcılara Access Control List’lerin uygulanıp uygulanmadığını Monitoring > Wireless > Clients sayfasından kullanıcıyı seçerek General > Security Information sekmesindeki Policies alanlarından kontrol edebilirsiniz.
Ayrıca Access Point’e SSH ile bağlanarak show ip access-lists komutuyla Access List’leri kontrol edebilirsiniz.
Konfigürasyon Doğrulama
Aşağıdaki komutları kullanarak konfigürasyonunuzu kontrol edebilirsiniz.
VLAN ve Interface Konfigürasyonu
show vlan brief
show interfaces trunk
show running-config interface [interface-id]WLAN Konfigürasyonu
show wlan summary
show running-config wlan [wlan-profile-name]
show wlan { id [wlan-id] | name [wlan-profile-name] | all }Profile Konfigürasyonu
show wireless profile { flex | policy } summary
show wireless profile { flex | policy } detailed [profile-name]
show ap profile name [ap-join-profile-name] detailedTag Konfigürasyonu
show wireless tag { policy | site | rf } summary
show wireless tag { policy | site | rf } detailed [tag-name]Access Point Konfigürasyonu
show ap summary
show ap tag summary
show ap name [ap-name] tag { info | detail }Kaynak: Understand FlexConnect on Catalyst 9800 Wireless Controller
Sniffer Konfigürasyonu
Adım 1. Configuration > Wireless > Access Points > AP-Name
Adım 2. General > AP Mode alanında Sniffer’ı seçin ve Update & Apply to Device butonuna tıklayın.
Access Point’in modunu değiştirdiğinizde reboot edecektir.
Adım 3. Access Point, Wireless Controller’a tekrar Join olduktan sonra Configuration > Access Points > { 6 GHz Radios | 5 GHz Radios | 2.4 GHz Radios } > AP-Name sayfasına erişin. Sniffer Channel Assignment alanında Sniffing‘i aktif ettikten sonra “koklamak” istediğiniz kanalı seçin ve Wireshark kurulu olan bilgisayarınızın IP’sini Sniffer IP alanına girin.
Adım 4. Sniffer IP alanına girdiğiniz IP’ye sahip Interface’i Wireshark’ta dinleyin. Çok fazla paket akacağı için UDP 5555 ve UDP 5000 paketlerini filtreleyebilirsiniz.
Kullanabileceğiniz Wireshark Filtresi:
udp.srcport == 5555 && udp.dstport == 5000 && !icmp
Adım 5. Paketlerin içeriğini görmek için PEEKREMOTE olarak decode etmelisiniz.
Vee ta taa! 🎉
Unutmadan, Sniffer moddaki Access Point’i tekrar Local veya Flex modda kullanabilmek için Clear Mode‘a çekmelisiniz.
