Cisco Access Point Modları, Flex ve Sniffer Konfigürasyonu

15 Aralık 2023 · 7 dakika okuma

Cisco Access Point Modları

Çoğu Cisco Access Point, hangi image'ın yüklü olduğuna bağlı olarak Autonomous veya Lightweight modda çalışabilir.

Mobility Express image'ı yüklü olan bir Access Point; kendi web arayüzünden veya komut satırından konfigürasyonu gerçekleştirilerek, Wireless Controller'a ihtiyaç duymaksızın çalışabilir. Bu mod, Autonomous olarak adlandırılır.

Lightweight image'ı yüklü bir Access Point'in konfigürasyonu ise Wireless Controller üzerinden gerçekleştirilir ve Access Point Wireless Controller üzerinden yönetilir. Bu mod ise, Lightweight olarak adlandırılır.

Catalyst 9800 Wireless Controller'dan, Lightweight Access Point'i aşağıdaki özel amaçlı modlardan birinde çalışacak şekilde de yapılandırabilirsiniz.

Local

Local Mode, varsayılan moddur. Local moddaki her Access Point ile Wireless Controller arasında iki adet CAPWAP Tunnel açılır.

Bunlardan ilki, CAPWAP Control, Access Point'in yönetilmesi için kullanılır. CAPWAP Control DTLS Tunnel, UDP 5246 portunu kullanır.

Bir diğeri ise, CAPWAP Data, kablosuz ağ kullanıcılarının trafiğini Wireless Controller'a taşımak için kullanılır. Kablosuz kullanıcı trafiğini Wireless Controller yönetir ve bu davranış Central Switching olarak adlandırılır. CAPWAP Data DTLS Tunnel, UDP 5247 portunu kullanır.

CAPWAP hakkında daha detaylı bilgi için Cisco Access Point'lerin Wireless Controller'a Join Süreci başlıklı yazımı okuyabilirsiniz.

FlexConnect

FlexConnect moddaki bir Access Point, kendisine bağlı olan kablosuz kullanıcının data trafiğini Wireless Controller'a taşımaz, direkt yönlendirir. Bu davranış Local Switching olarak adlandırılır. Autonomous Access Point gibi davranır fakat Wireless Controller üzerinden yönetilir.

Bu yazının ilerleyen kısımlarında FlexConnect detaylıca ele alınacak ve konfigürasyonu yapılacaktır.

Sniffer

Sniffer moddaki bir Access Point, belirli bir kanaldaki tüm paketleri yakalayıp paket analiz yazılımı çalıştıran (Wireshark) bir makineye gönderir. Bu paketler zaman damgaları, sinyal gücü, paket boyutları gibi bilgileri içerir. Bu sayede ağ etkinliğini izleyebilir, kaydedebilir ve sorunları tespit edebilirsiniz.

Sniffer moddaki Access Point'i tekrar Local veya Flex modda kullanabilmek için Clear Mode'a çekmelisiniz.

Bu yazının son kısmı Sniffer Mode konfigürasyonuna ayrılmıştır.

Monitor

Monitor moddaki bir Access Point; hiçbir şekilde iletim yapmaz, özel bir sensör gibi davranır. IDS olaylarını kontrol eder, Rouge Access Point'leri tespit eder ve Wireless Station'ların konumunu belirler.

SE-Connect

SE-Connect (Spectrum Expert Connection) moddaki bir Access Point tüm wireless kanallarında Spectrum analizi yapar. Interference (parazit) kaynaklarını keşfetmek amacıyla Spectrum analiz verilerini toplar. Cisco Spectrum Expert veya MetaGeek Chanalyzer gibi bir yazılımla SE-Connect moddaki Access Point'ten verileri toplayabilir ve analiz edebilirsiniz.

Rogue Detector

Rogue Detector moddaki bir Access Point, kablolu ağdaki MAC adresleriyle kablosuz ağdaki MAC adreslerini ilişkilendirir ve tam zamanlı olarak Rogue Device'ları tespit eder. Rogue Device'lar, her iki ağda da görünen cihazlardır. Bu modda çalışan Access Point, SSID yayını yapmaya devam eder ve kablosuz kullanıcılar bağlanabilir.

Bridge

Bridge moddaki iki Access Point, iki uzak noktayı birbirine bağlamakla görevlidir. Noktadan noktaya veya noktadan çok noktaya bağlantı gerçekleştirilebilir. Kablosuz kullanıcılar, Bridge moddaki Access Point'lere bağlanamazlar.

Flex+Bridge

Bridge moddaki Access Point'lerin, Flex özelliklerini kullanmasına olanak tanıyan özel bir moddur.

Kaynak: CCNA 200-301 Official Cert Guide, Volume 1

Flex Konfigürasyonu

Flex ya da FlexConnect; bir Access Point'in, kablosuz kullanıcılardan gelen trafiğin doğrudan Access Point düzeyinde ağa mı aktarılacağını (Local Switching) yoksa Catalyst 9800 Wireless Controller'a mı yönlendireceğini (Central Switching) belirleme yeteneğini ifade eder.

Bu yazı boyunca gerçekleştirilecek olan konfigürasyonun görsel şeması:

Konfigürasyon akışı:

1. VLAN'ların Oluşturulması
2. WLAN Profile'ların Oluşturulması
3. Policy Profile'ların Oluşturulması
4. Policy Tag'in Oluşturulması
5. Flex Profile'ın Oluşturulması
6. Site Tag'in Oluşturulması
7. Policy Tag ve Site Tag'in Access Point'e Atanması

VLAN'ların Oluşturulması

Herhangi bir konfigürasyona başlamadan önce Central Switching'te kullanacağınız VLAN'ları Wireless Controller'da oluşturmalısınız. Aynı durum Local Switching için geçerli değil, Flex'te kullanacağınız VLAN'ları Wireless Controller'da oluşturmanıza gerek yok.

Adım 1. Configuration > Layer2 > VLAN > + Add

Adım 2. Gerekli bilgileri (VLAN ID, Name) girin ve Apply to Device butonuna tıklayın.

Not: Eğer "Name" alanını boş bırakırsanız VLAN ismi "VLANXXXX" olarak atanır; burada XXXX, VLAN ID'dir.

Local Switching'te kullanacağınız tüm VLAN'lar için adım 1 ve adım 2'yi tekrarlayın.

Adım 3: Oluşturduğunuz VLAN'ların Trunk portun "Allowed Vlan" listesinde olup olmadığını kontrol edin.

Eğer Port Channel kullanıyorsanız, Configuration > Interface > Logical > Port Channel Name > General'a gidin. "Allowed Vlan" alanında "All" seçeneğinin işaretli olduğunu görürseniz ekstra bir konfigürasyon yapmanıza gerek yok. "Allowed Vlan" alanında "Vlan IDs" seçeneği işaretli ise, kullandığınız VLAN'ları listeye ekleyin ve "Update & Apply to Device" butonuna tıklayın.

Eğer Port Channel kullanmıyorsanız, Configuration > Interface > Ethernet > Interface Name > General'a gidin. "Allowed Vlan" alanında "All" seçeneğinin işaretli olduğunu görürseniz ekstra bir konfigürasyon yapmanıza gerek yok. "Allowed Vlan" alanında "Vlan IDs" seçeneği işaretli ise, kullandığınız VLAN'ları listeye ekleyin ve "Update & Apply to Device" butonuna tıklayın.

Konfigürasyonda değişiklik yapmanıza gerek yok:

Kullandığınız VLAN'ları listeye eklemelisiniz:

CLI:

configure terminal

 vlan 2660
  name Central-1
  exit

 interface GigabitEthernet2
  switchport trunk allowed vlan add 2660
  end

write

WLAN Profile'ların Oluşturulması

Adım 1: Configuration > Tags & Profiles > WLANs > + Add

Adım 2: Gerekli bilgileri (Profile Name, SSID, Security Type vb.) girin ve Apply to Device butonuna tıklayın.

Adım 3: Flex 1 ve Flex 2 WLAN Profile'larını da oluşturun.

CLI:

configure terminal

 wlan [profile-name] [wlan-id] [ssid]
  --- desired settings ---
  no shutdown
exit

write

Policy Profile'ların Oluşturulması

Adım 1: Configuration > Tags & Profiles > Policy > + Add

Adım 2: General sekmesinde Name alanını doldurun, Status durumunu Enabled konuma getirin ve Central Switching durumunun Enabled olduğundan emin olun.

Adım 3: Access Policies sekmesinde Central Switching'te kullanacağınız VLAN'ı seçin. VLAN'ların Oluşturulması başlığı altında, VLAN ID'si 2660 olan Central-1 isimli VLAN'ı oluşturmuştuk, bu senaryoda onu seçiyoruz. Ardından Apply to Device butonuna tıklayın.

Adım 4: Flex Policy Profile'ları oluştururken Central Switching ve Central DHCP durumlarının Disabled olduğundan emin olun.

Central Switching'i devre dışı bıraktığınızda bir uyarı ekranı çıkacaktır, Yes butonuna tıklayarak devam edin.

Adım 5: Access Policies sekmesinde Local Switching'te kullanacağınız VLAN'ı girin. Flex'te kullanacağınız VLAN'ları Wireless Controller'da oluşturmanıza gerek yok, sadece Policy Profile'da girmeniz yeterlidir. Ardından Apply to Device butonuna tıklayın.

Adım 6: Adım 4 ve adım 5'i Flex 2 Policy Profile için de uygulayın.

Sonuçta, default-policy-profile'a ek olarak 3 adet Policy Profile oluşturuldu.

CLI:

configure terminal

 wireless profile policy central-1-policy-profile
  description "Policy Profile for Central 1"
  vlan Central-1
  no shutdown
  exit

 wireless profile policy flex-1-policy-profile
  no central dhcp
  no central switching
  description "Policy Profile for Flex 1"
  vlan 2685
  no shutdown
  exit

 wireless profile policy flex-2-policy-profile
  no central dhcp
  no central switching
  description "Policy Profile for Flex 2"
  vlan 2686
  no shutdown
  end

write

Policy Tag'in Oluşturulması

Policy Tag, SSID ile Policy Profile'ın bağlantısını sağlayan bir yapıdır. WLAN'ın hangi VLAN'da çalışacağını belirler.

Adım 1: Configuration > Tags & Profiles > Tags > Policy > + Add

Adım 2: Gerekli bilgileri (Name, Description) girin ve WLAN-POLICY Maps alanındaki + Add butonuna tıklayarak oluşturduğunuz WLAN Profile ve Policy Profile'ları seçin, Apply (✓) butonuna tıklayın.

Tüm WLAN Profile ve Policy Profile'ları ekledikten sonra Apply to Device butonuna tıklayın.

CLI:

configure terminal

 wireless tag policy policy-tag
  description "Policy Tag"
  wlan flex-1-wlan-profile policy flex-1-policy-profile
  wlan flex-2-wlan-profile policy flex-2-policy-profile
  wlan central-1-wlan-profile policy central-1-policy-profile 
  end

write

Flex Profile'ın Oluşturulması

Adım 1: Configuration > Tags & Profiles > Flex > + Add

Adım 2: Gerekli bilgileri (Name, Description, Native VLAN ID) girin. Flex Modda çalıştırdığınız Access Point'lerin, Switch'lerdeki portları trunk modda olmalıdır, Access Point ise o porttaki Native VLAN'dan IP alır. Dolayısıyla Access Point'lerin bağlı olduğu Switch'lerin portlarındaki Native VLAN bilgisini burada da girmelisiniz.

Adım 3: VLAN sekmesinde kullanacağınız VLAN'ları oluşturun. Bu senaryoda Flex-1 için 2685, Flex-2 için 2686 VLAN'larını kullanacağız.

Adım 4: Tüm VLAN'ları oluşturduktan sonra Apply to Device butonuna tıklayın.

CLI:

configure terminal

 wireless profile flex new-flex-profile
  description "New Flex Profile"
  native-vlan-id 2601
  vlan-name Flex-1
   vlan-id 2685
  vlan-name Flex-2
   vlan-id 2686
  end

write

Site Tag'in Oluşturulması

Adım 1: Configuration > Tags & Profiles > Tags > Site > + Add

Adım 2: Gerekli bilgileri (Name, Description) girin. Site Tag içinde Flex Profile seçeneğinin aktif olabilmesi için Enable Local Site seçeneğini inaktif etmelisiniz. Bir Access Point, Enable Local Site seçeneği inaktif bir Site Tag'e atandığında modunu FlexConnect'e dönüştürecektir. Oluşturduğunuz Flex Profile'ı seçtikten sonra Apply to Device butonuna tıklayın.

CLI:

configure terminal

 wireless tag site new-site-tag
  description "New Site Tag"
  flex-profile new-flex-profile
  no local-site
  end

write

Policy Tag ve Site Tag'in Access Point'e Atanması

Site Tag'i direkt bir Access Point'e veya birden çok Access Point'e toplu olarak atayabilirsiniz.

Policy ve Site Tag'in Tek Access Point'e Atanması

Adım 1: Configuration > Wireless > Access Points > AP-Name

Adım 2: General > Tags alanında oluşturduğunuz Policy ve Site Tag'i seçin ve Update & Apply to Device butonuna tıklayın.

Not: Access Point'teki Policy ve Site Tag'i değiştirmeniz durumunda Access Point ile Wireless Controller arasındaki bağlantı yaklaşık 1 dakikalığına düşecektir, ardından Access Point Wireless Controller'a tekrar Join olur.

Policy ve Site Tag'in Access Point'lere Toplu Atanması

Adım 1: Configuration > Wireless Setup > Advanced > Start Now > Tag APs

Adım 2: Site Tag'i atayacağınız tüm Access Point'leri seçip + Tag APs butonuna tıklayın.

Adım 3: Access Point'lere atamak istediğiniz Policy ve Site Tag'i seçin, Apply to Device butonuna tıklayın.

CLI:

configure terminal

 ap [ap-ethernet-mac-address]
  policy-tag new-policy-tag
  site-tag new-site-tag
  end

write

Flex konfigürasyonu bitti.

Flex Access Control List'ler

Local Switching'te çalışan bir WLAN'ınız olduğunda göz önünde bulundurmanız gereken konulardan biri, Access Control List'lerin kablosuz kullanıcılara nasıl uygulanacağıdır.

Central Switching'te çalışan bir WLAN'da kablosuz kullanıcıların tüm trafiği Wireless Controller üstünden geçtiği için Access Control List'in Wireless Controller'da var olması yeterlidir fakat Local Switching'te durum böyle değildir.

Local Switching'te kablosuz kullanıcının tüm trafiği Access Point üzerinden aktığı için Access Control List'lerin Access Point'e gönderilmesi gerekmektedir.

Access Control List'in Oluşturulması

Test etmek amacıyla, kablosuz kullanıcıların 1.1.1.1 adresine ping atmasını engelleyecek bir Access Control List oluşturmakla başlıyoruz.

Adım 1: Configuration > Security > ACL > + Add

Adım 2: ACL Name alanını doldurduktan sonra Destination IP'si 1.1.1.1 olan ICMP paketlerini engelleyen ACL yazın, onun dışındaki her şeye izin verin.

Central Switching'te ACL'in Uygulanması

Central Switching'te, Access Control List'in Policy Profile'da aktif edilmesi yeterlidir.

Configuration > Tags & Profiles > Policy > central-1-policy-profile

Access Policies sekmesindeki WLAN ACL alanında oluşturduğunuz ACL'i seçin ve Update & Apply to Device butonuna tıklayın.

Local Switching'te ACL'in Uygulanması

Local Switching'te, Access Control List'in Policy Profile'da aktif edilmesine ek olarak Flex Profile'da da aktif edilmesi gerekmektedir.

Configuration > Tags & Profiles > Flex > new-flex-profile

Policy ACL sekmesindeki + Add butonuna tıklayarak oluşturduğunuz ACL'i seçin ve Update & Apply to Device butonuna tıklayın.

Access Control List'lerin Kontrolü

Kablosuz kullanıcılara Access Control List'lerin uygulanıp uygulanmadığını Monitoring > Wireless > Clients sayfasından kullanıcıyı seçerek General > Security Information sekmesindeki Policies alanlarından kontrol edebilirsiniz.

Ayrıca Access Point'e SSH ile bağlanarak show ip access-lists komutuyla Access List'leri kontrol edebilirsiniz.

Konfigürasyon Doğrulama

Aşağıdaki komutları kullanarak konfigürasyonunuzu kontrol edebilirsiniz.

VLAN ve Interface Konfigürasyonu

show vlan brief
show interfaces trunk
show running-config interface [interface-id]

WLAN Konfigürasyonu

show wlan summary
show running-config wlan [wlan-profile-name]
show wlan { id [wlan-id] | name [wlan-profile-name] | all }

Profile Konfigürasyonu

show wireless profile { flex | policy } summary
show wireless profile { flex | policy } detailed [profile-name]
show ap profile name [ap-join-profile-name] detailed

Tag Konfigürasyonu

show wireless tag { policy | site | rf } summary
show wireless tag { policy | site | rf } detailed [tag-name]

Access Point Konfigürasyonu

show ap summary
show ap tag summary
show ap name [ap-name] tag { info | detail }

Kaynak: Understand FlexConnect on Catalyst 9800 Wireless Controller

Sniffer Konfigürasyonu

Adım 1: Configuration > Wireless > Access Points > AP-Name

Adım 2: General > AP Mode alanında Sniffer'ı seçin ve Update & Apply to Device butonuna tıklayın.

Access Point'in modunu değiştirdiğinizde reboot edecektir.

Adım 3: Access Point, Wireless Controller'a tekrar Join olduktan sonra Configuration > Access Points > { 6 GHz Radios | 5 GHz Radios | 2.4 GHz Radios } > AP-Name sayfasına erişin. Sniffer Channel Assignment alanında Sniffing'i aktif ettikten sonra "koklamak" istediğiniz kanalı seçin ve Wireshark kurulu olan bilgisayarınızın IP'sini Sniffer IP alanına girin.

Adım 4: Sniffer IP alanına girdiğiniz IP'ye sahip Interface'i Wireshark'ta dinleyin. Çok fazla paket akacağı için UDP 5555 ve UDP 5000 paketlerini filtreleyebilirsiniz.

Kullanabileceğiniz Wireshark Filtresi:

udp.srcport == 5555 && udp.dstport == 5000

Adım 5: Paketlerin içeriğini görmek için PEEKREMOTE olarak decode etmelisiniz.

Vee ta taa! 🎉

Unutmadan, Sniffer moddaki Access Point'i tekrar Local veya Flex modda kullanabilmek için Clear Mode'a çekmelisiniz.

Kaynak: WiFi Captures with Sniffer mode AP