Cisco Access Point Modları, Flex ve Sniffer Konfigürasyonu
15 Aralık 2023 · 7 dakika okuma
- Cisco Access Point Modları
- Flex Konfigürasyonu
- VLAN'ların Oluşturulması
- WLAN Profile'ların Oluşturulması
- Policy Profile'ların Oluşturulması
- Policy Tag'in Oluşturulması
- Flex Profile'ın Oluşturulması
- Site Tag'in Oluşturulması
- Policy Tag ve Site Tag'in Access Point'e Atanması
- Policy ve Site Tag'in Tek Access Point'e Atanması
- Policy ve Site Tag'in Access Point'lere Toplu Atanması
- Flex Access Control List'ler
- Access Control List'in Oluşturulması
- Central Switching'te ACL'in Uygulanması
- Local Switching'te ACL'in Uygulanması
- Access Control List'lerin Kontrolü
- Konfigürasyon Doğrulama
- Sniffer Konfigürasyonu
Cisco Access Point Modları
Çoğu Cisco Access Point, hangi image'ın yüklü olduğuna bağlı olarak Autonomous veya Lightweight modda çalışabilir.
Mobility Express image'ı yüklü olan bir Access Point; kendi web arayüzünden veya komut satırından konfigürasyonu gerçekleştirilerek, Wireless Controller'a ihtiyaç duymaksızın çalışabilir. Bu mod, Autonomous olarak adlandırılır.
Lightweight image'ı yüklü bir Access Point'in konfigürasyonu ise Wireless Controller üzerinden gerçekleştirilir ve Access Point Wireless Controller üzerinden yönetilir. Bu mod ise, Lightweight olarak adlandırılır.
Catalyst 9800 Wireless Controller'dan, Lightweight Access Point'i aşağıdaki özel amaçlı modlardan birinde çalışacak şekilde de yapılandırabilirsiniz.
Local
Local Mode, varsayılan moddur. Local moddaki her Access Point ile Wireless Controller arasında iki adet CAPWAP Tunnel açılır.
Bunlardan ilki, CAPWAP Control, Access Point'in yönetilmesi için kullanılır. CAPWAP Control DTLS Tunnel, UDP 5246 portunu kullanır.
Bir diğeri ise, CAPWAP Data, kablosuz ağ kullanıcılarının trafiğini Wireless Controller'a taşımak için kullanılır. Kablosuz kullanıcı trafiğini Wireless Controller yönetir ve bu davranış Central Switching olarak adlandırılır. CAPWAP Data DTLS Tunnel, UDP 5247 portunu kullanır.
![CAPWAP](images/CAPWAP-light.webp)
CAPWAP hakkında daha detaylı bilgi için Cisco Access Point'lerin Wireless Controller'a Join Süreci başlıklı yazımı okuyabilirsiniz.
FlexConnect
FlexConnect moddaki bir Access Point, kendisine bağlı olan kablosuz kullanıcının data trafiğini Wireless Controller'a taşımaz, direkt yönlendirir. Bu davranış Local Switching olarak adlandırılır. Autonomous Access Point gibi davranır fakat Wireless Controller üzerinden yönetilir.
Bu yazının ilerleyen kısımlarında FlexConnect detaylıca ele alınacak ve konfigürasyonu yapılacaktır.
Sniffer
Sniffer moddaki bir Access Point, belirli bir kanaldaki tüm paketleri yakalayıp paket analiz yazılımı çalıştıran (Wireshark) bir makineye gönderir. Bu paketler zaman damgaları, sinyal gücü, paket boyutları gibi bilgileri içerir. Bu sayede ağ etkinliğini izleyebilir, kaydedebilir ve sorunları tespit edebilirsiniz.
Sniffer moddaki Access Point'i tekrar Local veya Flex modda kullanabilmek için Clear Mode'a çekmelisiniz.
Bu yazının son kısmı Sniffer Mode konfigürasyonuna ayrılmıştır.
Monitor
Monitor moddaki bir Access Point; hiçbir şekilde iletim yapmaz, özel bir sensör gibi davranır. IDS olaylarını kontrol eder, Rouge Access Point'leri tespit eder ve Wireless Station'ların konumunu belirler.
SE-Connect
SE-Connect (Spectrum Expert Connection) moddaki bir Access Point tüm wireless kanallarında Spectrum analizi yapar. Interference (parazit) kaynaklarını keşfetmek amacıyla Spectrum analiz verilerini toplar. Cisco Spectrum Expert veya MetaGeek Chanalyzer gibi bir yazılımla SE-Connect moddaki Access Point'ten verileri toplayabilir ve analiz edebilirsiniz.
Rogue Detector
Rogue Detector moddaki bir Access Point, kablolu ağdaki MAC adresleriyle kablosuz ağdaki MAC adreslerini ilişkilendirir ve tam zamanlı olarak Rogue Device'ları tespit eder. Rogue Device'lar, her iki ağda da görünen cihazlardır. Bu modda çalışan Access Point, SSID yayını yapmaya devam eder ve kablosuz kullanıcılar bağlanabilir.
Bridge
Bridge moddaki iki Access Point, iki uzak noktayı birbirine bağlamakla görevlidir. Noktadan noktaya veya noktadan çok noktaya bağlantı gerçekleştirilebilir. Kablosuz kullanıcılar, Bridge moddaki Access Point'lere bağlanamazlar.
Flex+Bridge
Bridge moddaki Access Point'lerin, Flex özelliklerini kullanmasına olanak tanıyan özel bir moddur.
Kaynak: CCNA 200-301 Official Cert Guide, Volume 1
Flex Konfigürasyonu
Flex ya da FlexConnect; bir Access Point'in, kablosuz kullanıcılardan gelen trafiğin doğrudan Access Point düzeyinde ağa mı aktarılacağını (Local Switching) yoksa Catalyst 9800 Wireless Controller'a mı yönlendireceğini (Central Switching) belirleme yeteneğini ifade eder.
![Local Switching - Central Switching](images/Local-Switching-Central-Switching-light.webp)
Bu yazı boyunca gerçekleştirilecek olan konfigürasyonun görsel şeması:
![Network Topolojisi](images/Network-Topolojisi-Flex-light.webp)
Konfigürasyon akışı:
- VLAN'ların Oluşturulması
- WLAN Profile'ların Oluşturulması
- Policy Profile'ların Oluşturulması
- Policy Tag'in Oluşturulması
- Flex Profile'ın Oluşturulması
- Site Tag'in Oluşturulması
- Policy Tag ve Site Tag'in Access Point'e Atanması
VLAN'ların Oluşturulması
Herhangi bir konfigürasyona başlamadan önce Central Switching'te kullanacağınız VLAN'ları Wireless Controller'da oluşturmalısınız. Aynı durum Local Switching için geçerli değil, Flex'te kullanacağınız VLAN'ları Wireless Controller'da oluşturmanıza gerek yok.
Adım 1. Configuration > Layer2 > VLAN > + Add
![Configuration VLAN](images/Configuration-VLAN-light.webp)
Adım 2. Gerekli bilgileri (VLAN ID, Name) girin ve Apply to Device butonuna tıklayın.
![Create VLAN](images/Create-VLAN-light.webp)
Not: Eğer "Name" alanını boş bırakırsanız VLAN ismi "VLANXXXX" olarak atanır; burada XXXX, VLAN ID'dir.
Local Switching'te kullanacağınız tüm VLAN'lar için adım 1 ve adım 2'yi tekrarlayın.
Adım 3: Oluşturduğunuz VLAN'ların Trunk portun "Allowed Vlan" listesinde olup olmadığını kontrol edin.
Eğer Port Channel kullanıyorsanız, Configuration > Interface > Logical > Port Channel Name > General'a gidin. "Allowed Vlan" alanında "All" seçeneğinin işaretli olduğunu görürseniz ekstra bir konfigürasyon yapmanıza gerek yok. "Allowed Vlan" alanında "Vlan IDs" seçeneği işaretli ise, kullandığınız VLAN'ları listeye ekleyin ve "Update & Apply to Device" butonuna tıklayın.
Eğer Port Channel kullanmıyorsanız, Configuration > Interface > Ethernet > Interface Name > General'a gidin. "Allowed Vlan" alanında "All" seçeneğinin işaretli olduğunu görürseniz ekstra bir konfigürasyon yapmanıza gerek yok. "Allowed Vlan" alanında "Vlan IDs" seçeneği işaretli ise, kullandığınız VLAN'ları listeye ekleyin ve "Update & Apply to Device" butonuna tıklayın.
Konfigürasyonda değişiklik yapmanıza gerek yok:
![Trunk Allowed Vlan: All](images/Trunk-Allowed-Vlan-All-light.webp)
Kullandığınız VLAN'ları listeye eklemelisiniz:
![Trunk Allowed Vlan: Vlan IDs](images/Trunk-Allowed-Vlan-Vlan-IDs-light.webp)
CLI:
configure terminal
vlan 2660
name Central-1
exit
interface GigabitEthernet2
switchport trunk allowed vlan add 2660
end
write
WLAN Profile'ların Oluşturulması
Adım 1: Configuration > Tags & Profiles > WLANs > + Add
![WLANs Add](images/WLANs-Add-light.webp)
Adım 2: Gerekli bilgileri (Profile Name, SSID, Security Type vb.) girin ve Apply to Device butonuna tıklayın.
![Add WLAN](images/Add-WLAN-light.webp)
Adım 3: Flex 1 ve Flex 2 WLAN Profile'larını da oluşturun.
![WLANs](images/WLANs-light.webp)
CLI:
configure terminal
wlan [profile-name] [wlan-id] [ssid]
--- desired settings ---
no shutdown
exit
write
Policy Profile'ların Oluşturulması
Adım 1: Configuration > Tags & Profiles > Policy > + Add
![Policy Profile Add](images/Policy-Profile-Add-light.webp)
Adım 2: General sekmesinde Name alanını doldurun, Status durumunu Enabled konuma getirin ve Central Switching durumunun Enabled olduğundan emin olun.
![Add Policy Profile for Central 1 - General](images/Add-Policy-Profile-for-Central-1-General-light.webp)
Adım 3: Access Policies sekmesinde Central Switching'te kullanacağınız VLAN'ı seçin. VLAN'ların Oluşturulması başlığı altında, VLAN ID'si 2660 olan Central-1 isimli VLAN'ı oluşturmuştuk, bu senaryoda onu seçiyoruz. Ardından Apply to Device butonuna tıklayın.
![Add Policy Profile for Central 1 - Access Policies](images/Add-Policy-Profile-for-Central-1-Access-Policies-light.webp)
Adım 4: Flex Policy Profile'ları oluştururken Central Switching ve Central DHCP durumlarının Disabled olduğundan emin olun.
![Add Policy Profile for Flex 1 - General](images/Add-Policy-Profile-for-Flex-1-General-light.webp)
Central Switching'i devre dışı bıraktığınızda bir uyarı ekranı çıkacaktır, Yes butonuna tıklayarak devam edin.
![Disabling Central Switching](images/Disabling-Central-Switching-light.webp)
Adım 5: Access Policies sekmesinde Local Switching'te kullanacağınız VLAN'ı girin. Flex'te kullanacağınız VLAN'ları Wireless Controller'da oluşturmanıza gerek yok, sadece Policy Profile'da girmeniz yeterlidir. Ardından Apply to Device butonuna tıklayın.
![Add Policy Profile for Flex 1 - Access Policies](images/Add-Policy-Profile-for-Flex-1-Access-Policies-light.webp)
Adım 6: Adım 4 ve adım 5'i Flex 2 Policy Profile için de uygulayın.
![Add Policy Profile for Flex 2 - General](images/Add-Policy-Profile-for-Flex-2-General-light.webp)
![Add Policy Profile for Flex 2 - Access Policies](images/Add-Policy-Profile-for-Flex-2-Access-Policies-light.webp)
Sonuçta, default-policy-profile'a ek olarak 3 adet Policy Profile oluşturuldu.
![Policy Profile](images/Policy-Profile-light.webp)
CLI:
configure terminal
wireless profile policy central-1-policy-profile
description "Policy Profile for Central 1"
vlan Central-1
no shutdown
exit
wireless profile policy flex-1-policy-profile
no central dhcp
no central switching
description "Policy Profile for Flex 1"
vlan 2685
no shutdown
exit
wireless profile policy flex-2-policy-profile
no central dhcp
no central switching
description "Policy Profile for Flex 2"
vlan 2686
no shutdown
end
write
Policy Tag'in Oluşturulması
Policy Tag, SSID ile Policy Profile'ın bağlantısını sağlayan bir yapıdır. WLAN'ın hangi VLAN'da çalışacağını belirler.
Adım 1: Configuration > Tags & Profiles > Tags > Policy > + Add
![Policy Tag](images/Policy-Tag-light.webp)
Adım 2: Gerekli bilgileri (Name, Description) girin ve WLAN-POLICY Maps alanındaki + Add butonuna tıklayarak oluşturduğunuz WLAN Profile ve Policy Profile'ları seçin, Apply (✓) butonuna tıklayın.
![Add Policy Tag](images/Add-Policy-Tag-1-light.webp)
Tüm WLAN Profile ve Policy Profile'ları ekledikten sonra Apply to Device butonuna tıklayın.
![Add Policy Tag](images/Add-Policy-Tag-2-light.webp)
CLI:
configure terminal
wireless tag policy policy-tag
description "Policy Tag"
wlan flex-1-wlan-profile policy flex-1-policy-profile
wlan flex-2-wlan-profile policy flex-2-policy-profile
wlan central-1-wlan-profile policy central-1-policy-profile
end
write
Flex Profile'ın Oluşturulması
Adım 1: Configuration > Tags & Profiles > Flex > + Add
![Flex Profile](images/Flex-Profile-light.webp)
Adım 2: Gerekli bilgileri (Name, Description, Native VLAN ID) girin. Flex Modda çalıştırdığınız Access Point'lerin, Switch'lerdeki portları trunk modda olmalıdır, Access Point ise o porttaki Native VLAN'dan IP alır. Dolayısıyla Access Point'lerin bağlı olduğu Switch'lerin portlarındaki Native VLAN bilgisini burada da girmelisiniz.
![Add Flex Profile - General](images/Add-Flex-Profile-General-light.webp)
Adım 3: VLAN sekmesinde kullanacağınız VLAN'ları oluşturun. Bu senaryoda Flex-1 için 2685, Flex-2 için 2686 VLAN'larını kullanacağız.
![Add Flex Profile - Add VLAN](images/Add-Flex-Profile-Add-VLAN-light.webp)
Adım 4: Tüm VLAN'ları oluşturduktan sonra Apply to Device butonuna tıklayın.
![Add Flex Profile - Added VLAN](images/Add-Flex-Profile-Added-VLAN-light.webp)
CLI:
configure terminal
wireless profile flex new-flex-profile
description "New Flex Profile"
native-vlan-id 2601
vlan-name Flex-1
vlan-id 2685
vlan-name Flex-2
vlan-id 2686
end
write
Site Tag'in Oluşturulması
Adım 1: Configuration > Tags & Profiles > Tags > Site > + Add
![Site Tag](images/Site-Tag-light.webp)
Adım 2: Gerekli bilgileri (Name, Description) girin. Site Tag içinde Flex Profile seçeneğinin aktif olabilmesi için Enable Local Site seçeneğini inaktif etmelisiniz. Bir Access Point, Enable Local Site seçeneği inaktif bir Site Tag'e atandığında modunu FlexConnect'e dönüştürecektir. Oluşturduğunuz Flex Profile'ı seçtikten sonra Apply to Device butonuna tıklayın.
![Add Site Tag](images/Add-Site-Tag-light.webp)
CLI:
configure terminal
wireless tag site new-site-tag
description "New Site Tag"
flex-profile new-flex-profile
no local-site
end
write
Policy Tag ve Site Tag'in Access Point'e Atanması
Site Tag'i direkt bir Access Point'e veya birden çok Access Point'e toplu olarak atayabilirsiniz.
Policy ve Site Tag'in Tek Access Point'e Atanması
Adım 1: Configuration > Wireless > Access Points > AP-Name
![Access Points](images/Access-Points-light.webp)
Adım 2: General > Tags alanında oluşturduğunuz Policy ve Site Tag'i seçin ve Update & Apply to Device butonuna tıklayın.
![Edit AP Policy Site](images/Edit-AP-Policy-Site-light.webp)
Not: Access Point'teki Policy ve Site Tag'i değiştirmeniz durumunda Access Point ile Wireless Controller arasındaki bağlantı yaklaşık 1 dakikalığına düşecektir, ardından Access Point Wireless Controller'a tekrar Join olur.
Policy ve Site Tag'in Access Point'lere Toplu Atanması
Adım 1: Configuration > Wireless Setup > Advanced > Start Now > Tag APs
![Advanced Wireless Setup](images/Advanced-Wireless-Setup-light.webp)
Adım 2: Site Tag'i atayacağınız tüm Access Point'leri seçip + Tag APs butonuna tıklayın.
![Tag APs Site Tag](images/Tag-APs-Site-Tag-light.webp)
Adım 3: Access Point'lere atamak istediğiniz Policy ve Site Tag'i seçin, Apply to Device butonuna tıklayın.
![Tag APs Policy Tag Site Tag](images/Tag-APs-Policy-Tag-Site-Tag-light.webp)
CLI:
configure terminal
ap [ap-ethernet-mac-address]
policy-tag new-policy-tag
site-tag new-site-tag
end
write
Flex konfigürasyonu bitti.
Flex Access Control List'ler
Local Switching'te çalışan bir WLAN'ınız olduğunda göz önünde bulundurmanız gereken konulardan biri, Access Control List'lerin kablosuz kullanıcılara nasıl uygulanacağıdır.
Central Switching'te çalışan bir WLAN'da kablosuz kullanıcıların tüm trafiği Wireless Controller üstünden geçtiği için Access Control List'in Wireless Controller'da var olması yeterlidir fakat Local Switching'te durum böyle değildir.
Local Switching'te kablosuz kullanıcının tüm trafiği Access Point üzerinden aktığı için Access Control List'lerin Access Point'e gönderilmesi gerekmektedir.
Access Control List'in Oluşturulması
Test etmek amacıyla, kablosuz kullanıcıların 1.1.1.1 adresine ping atmasını engelleyecek bir Access Control List oluşturmakla başlıyoruz.
Adım 1: Configuration > Security > ACL > + Add
![ACL](images/ACL-light.webp)
Adım 2: ACL Name alanını doldurduktan sonra Destination IP'si 1.1.1.1 olan ICMP paketlerini engelleyen ACL yazın, onun dışındaki her şeye izin verin.
![Add ACL Setup](images/Add-ACL-Setup-light.webp)
Central Switching'te ACL'in Uygulanması
Central Switching'te, Access Control List'in Policy Profile'da aktif edilmesi yeterlidir.
Configuration > Tags & Profiles > Policy > central-1-policy-profile
Access Policies sekmesindeki WLAN ACL alanında oluşturduğunuz ACL'i seçin ve Update & Apply to Device butonuna tıklayın.
![Edit Policy Profile WLAN ACL](images/Edit-Policy-Profile-WLAN-ACL-light.webp)
Local Switching'te ACL'in Uygulanması
Local Switching'te, Access Control List'in Policy Profile'da aktif edilmesine ek olarak Flex Profile'da da aktif edilmesi gerekmektedir.
Configuration > Tags & Profiles > Flex > new-flex-profile
Policy ACL sekmesindeki + Add butonuna tıklayarak oluşturduğunuz ACL'i seçin ve Update & Apply to Device butonuna tıklayın.
![Edit Flex Profile Policy ACL](images/Edit-Flex-Profile-Policy-ACL-light.webp)
Access Control List'lerin Kontrolü
Kablosuz kullanıcılara Access Control List'lerin uygulanıp uygulanmadığını Monitoring > Wireless > Clients sayfasından kullanıcıyı seçerek General > Security Information sekmesindeki Policies alanlarından kontrol edebilirsiniz.
![Monitoring Wireless Clients](images/Monitoring-Wireless-Clients-light.webp)
Ayrıca Access Point'e SSH ile bağlanarak show ip access-lists komutuyla Access List'leri kontrol edebilirsiniz.
Konfigürasyon Doğrulama
Aşağıdaki komutları kullanarak konfigürasyonunuzu kontrol edebilirsiniz.
VLAN ve Interface Konfigürasyonu
show vlan brief
show interfaces trunk
show running-config interface [interface-id]
WLAN Konfigürasyonu
show wlan summary
show running-config wlan [wlan-profile-name]
show wlan { id [wlan-id] | name [wlan-profile-name] | all }
Profile Konfigürasyonu
show wireless profile { flex | policy } summary
show wireless profile { flex | policy } detailed [profile-name]
show ap profile name [ap-join-profile-name] detailed
Tag Konfigürasyonu
show wireless tag { policy | site | rf } summary
show wireless tag { policy | site | rf } detailed [tag-name]
Access Point Konfigürasyonu
show ap summary
show ap tag summary
show ap name [ap-name] tag { info | detail }
Kaynak: Understand FlexConnect on Catalyst 9800 Wireless Controller
Sniffer Konfigürasyonu
Adım 1: Configuration > Wireless > Access Points > AP-Name
![Access Points Sniffer](images/Access-Points-light.webp)
Adım 2: General > AP Mode alanında Sniffer'ı seçin ve Update & Apply to Device butonuna tıklayın.
![Edit AP - AP Mode](images/Edit-AP-General-AP-Mode-Sniffer-light.webp)
Access Point'in modunu değiştirdiğinizde reboot edecektir.
Adım 3: Access Point, Wireless Controller'a tekrar Join olduktan sonra Configuration > Access Points > { 6 GHz Radios | 5 GHz Radios | 2.4 GHz Radios } > AP-Name sayfasına erişin. Sniffer Channel Assignment alanında Sniffing'i aktif ettikten sonra "koklamak" istediğiniz kanalı seçin ve Wireshark kurulu olan bilgisayarınızın IP'sini Sniffer IP alanına girin.
![Edit Radios 2.4 GHz Band - Enable Sniffing](images/Edit-Radios-24-GHz-Band-Enable-Sniffing-light.webp)
Adım 4: Sniffer IP alanına girdiğiniz IP'ye sahip Interface'i Wireshark'ta dinleyin. Çok fazla paket akacağı için UDP 5555 ve UDP 5000 paketlerini filtreleyebilirsiniz.
Kullanabileceğiniz Wireshark Filtresi:
udp.srcport == 5555 && udp.dstport == 5000
![Wireshark Capture - 1](images/Wireshark-Capture-1.webp)
Adım 5: Paketlerin içeriğini görmek için PEEKREMOTE olarak decode etmelisiniz.
![Wireshark Capture - 2](images/Wireshark-Capture-2.webp)
![Wireshark Capture - 3](images/Wireshark-Capture-3.webp)
Vee ta taa! 🎉
![Wireshark Capture - 4](images/Wireshark-Capture-4.webp)
Unutmadan, Sniffer moddaki Access Point'i tekrar Local veya Flex modda kullanabilmek için Clear Mode'a çekmelisiniz.
![Edit AP - AP Mode Clear](images/Edit-AP-General-AP-Mode-Clear-light.webp)