Cisco

Cisco Access Point Kurulumu

Makaleye başlarken amacım Cisco Access point ürün ailesini hakkında bir makale yazmaktı. Makaleye başladıktan sonra anladım ki benim yazmaktan hoşlanmadığım bir makale olacaktı ve onun için konfigürasyon tarafını yazmak istedim. Bu makalede yine Cisco AP ürün ailesinden kısaca bahsedeceğim ve seri hallinde Cisco tarafında Wireless çözümleri hakkında bilgi vereceğim.  İlk makalede stand-alone (bağımsız) bir AP i konfigüre edeceğiz. İlerleyen makalelerde, merkezi yönetim sağlayan Wireless Lan Controller (WLC) ürün gamı ve konfigürasyonu hakkında bilgiler verip Wireless Lan Solution Engine (WLSE) ve Wireless Control Sytem (WCS) hakkında kısa bilgiler vereceğim.


 


image001


Benim şu anda kullandığım AP, 1130 serisi. Bu AP genelde ofis ortamları için kullanıma uygun, şık görünüşlü bir cihaz. Üzerinde 3.0 DBI omnidirectional entegre anten bulunmaktadır.  802.11af protokolünü destekler; (PoE) ethernetten enerji verilebilir.


Tüm Cisco AP lerde varsayılan password olarak; user: cisco pass: Cisco olarak gelir ve dhcp den ip alır.


 


image002


 


AP ‘ nin ip sini yazdığımızdaki gelen ekran görüntüsü. Buradan Logları, Interface durumlarını kontrol edebilirsiniz.


 


image003


 


Express setup kısmından hostname ve IP değiştirilebilir ve AP ‘ nin rolünü atayabilirsiniz. Express Security kısmında ise SSID oluşturabilir. Buradan WPA-PSK ayarlarını yapamıyoruz ben ilk önce wpa ayarlarını yapıp daha sonra SSID oluşturacağım.


Bu ayarları oluşturmadan önce şifreleme algoritmaları hakkında genel bir bilgi vermek isterim.


WEP (Wired Equivalent Privacy) IEEE 802.11 tarafından Eylül 1999 da onaylandı. 2001 senesi başlarında WEP’ in kullandığı algoritmada ciddi güvenlik açıkları tespit edildi ve saniyeler içinde kırılabiliyor hale geldi. Günümüzde WEP kullanmak, Wireless ‘ tarafında şifre koymamak ile eşdeğerdir. Bu güvenlik açıkları tespit edildikten sonra IEEE 802.11i (WPA ve WPA2) yi geliştirdi. 2003 yılında WPA (Wi-Fi Protected Access), WEP in yerini aldı. Bir sene sonra  WPA2 geliştirildi. WPA2 ilk çıktığında donamımsal upgrade gerektiriyordu. İlk başlarda çok yaygın olarak WPA2 kullanılamadı fakat günümüzde artık her wireless cihazın ve kartların wpa2 desteği var.  PSK (Preshared key) kullanılarak en güvenli yapı WPA2 dir. Eğer enterprise tarafında AP ler kullanılıyorsa 802.1x tarafına yönelinebilir, zira günümüzde WPA da Rainbow Table lar kullanılarak kırılabiliyor.  Eğer komplike ve uzun bir parola (63 Karakter gibi) belirlenirse, hacking süresi günler hatta bazen aylar mertebesine çıkabiliyor.


Biz bunları bildiğimiz için WPA2 kullanacağız.



image004


 


WPA için kullanacağımız algoritmayı seçiyoruz. AES, WPA2 de desteklenir. TKIP ise WPA da. Apply deyip kaydediyoruz.



image005



SSID kısmında isim yazıp hangi interface e atayacağımızı belirliyoruz. Biz EMEA bölgesindeyiz ve ETSI standartlarını kullanırız. Bu standartlara göre 802.11a nın ülkemizde kullanımı yasal değildir.



image006



Sayfanın altına gidip  Key Management ayarlıyoruz. Burada Mandatory ve WPA yı seçiyoruz. İsterseniz sadece WPA2 yi aktif kılabilirsiniz. WPA yı seçerseniz, client ın wireless adaptörü wpa2 desteği var ise wpa2 olarak bağlanır. Yoksa WPAv1 olarak bağlanır. En güçlü algoritma her zaman önceliklidir.


Bu ayarları seçtikten sonra apply ediyoruz.



image007



Daha sonra sayfanın el altına Infrastructure SSID ayarlarını yapıyoruz. SSID miz beacon paketlerinde brodcast olacaktır. SSID yi broadcast etmemek artık çok güvenli bir uygulama değil. Birtakım tool lar sayesinde artık çok rahatlıkla SSID broadcast edilmese bile görülebiliyor.



Apply edip, ayarlarımızı kaydediyoruz.



image008



Fabrika ayarlarında cihazın Radio Interface leri kapalı gelir. Radio0 interface i 802.11b/g yi, Radio1 interface i  802.11a yı temsil eder. Network interfaces menüsünden 802.11g ye gelip interface i enable ediyoruz.


Role In the Network: Burada bazı seçenekler görüyorsunuz.  Biz Access point olarak seçtik. Peki bu cihazın Ethernet ile alakalı bir sıkıntısı olduğunda ne olacak? Örneğin kablosal bir problem bu AP e bağlı olan clientlar data göndermeye devam edecektir fakat kaynağına ulaşamayacağı için paketlerde kayıplara neden olur. Birde kullanılan protokol UDP ise paket kayıpları takip edilemeyecektir. Birçok kişi Access point rolünde bırakır. Peki diğer opsiyonlar ne işe yarıyor;


Access Point (Fallback to Radio Shutdown) : FastEthernet down olursa radio interface ini kapatır.


Access Point (Fallback to Repeater) : FastEthernet down olursa ve cihazın kapsama alanında başka bir AP (Radio ayarları aynı ise) var ise cihaz tekrarlayıcı (Repeater Mode) olarak görev yapar.


Repeater: Burada ise cihaz başka bir AP den aldığı sinyali tekrarlar. Önerilen mode değildir, çünkü tüm yük Root AP nin üzerinde olur ve Repeater mode daki cihaz sadece dataları alıp Root a iletir. Repater mode, kablonun gidemediği lokasyonlar için kullanılması uygundur.


Diğer rolleri ilerleyen makalelerde anlatacağım.



image009


 


Data Rates bölümü. Ben burada Best Throughput seçtim.



image010


 


Kanal ayarlarını yaptığımız yer.  Default ayarlarda tüm kanallar seçili gelir ve en az enterferans a uğrayan kanalı seçmeye çalışır. Bir network yapısında, switch, router veya AP olabilir. Bir protokol var ise ve auto kelimesi geçiyor ise, bu çoğunlukla bir güvenlik açığı veya önerilen bir uygulama değildir.  Buradaki ayar içinde bu geçerlidr. Cisco bunun Auto da bırakılmasını önermez. Doğru uygulama, site survey yapıldığında en az çakışan veya cihazın kesişmediği kanalı seçmektir. Non-Overlapping channels, 1,6 ve 11 dir. Buradaki uygulamada 1,6 ve 11 kanallarını seçip auto da bıraktık. Cihazın çalışacağı lokasyon hakkında bilgimiz yok ise uygulanabilir.



image011



Sayfanın en altından Apply dediğimizde bir uyarı belirtiyor. Burada 802.11b clientların bağlantısının önleneceğini uyarıyor. Performans açısından doğru olanda budur. 802.11b client bağlandığında, protection mode a geçer ve cihazın data rate oranlarında düşüşler yaşanır ve bu da dolaylı olarak performanıs ciddi bir şekilde etkiler. Bu Cisco ya özel bir durum değildir. Herhangi bir 802.11g ye B client a bağlandığında bu durum gerçekleşir.   Ok diyoruz.


Wireless tarafındaki ayarlarımız bitti. Şu anda SSID miz yayın yapıyor. Son olarak cihaza ulaşımı daha güvenli hale getireceğiz.



image012


 


Default password ü değiştiriyoruz.


 


image013


Cihazın tarih ayarlarını yapıyoruz. Burası loglamaları analiz ederken önemlidir çünkü tarih yanlış ise ne zaman olduğunu tespit edemezsiniz.


image014


Telnet i kapatıp. SSH ı açıyoruz.


image015


 


HTTP yi kapatıp, HTTPS etkin kılıyoruz.


Stand Alone AP mizin ayarlarını yaptık. Cisco AP lerde 2 çeşittir. AP ve LAP (Light Access Point). LAP cihazlar, WLC ile yönetilebilir ve dump cihazlardır. Cihazda LWAPP image bulunur ve tüm konfigürasyon bilgilerini WLC  dan alır. Bir sonraki makalede WLC lar hakkında bahsedeceğim.  Bu makalemde Kablosuz ağlar ve standartları hakkında genel bilgiler ve Cisco AP konfigürasyonunu anlatmaya çalıştım. Aslında kablosuz ağların geçmişi eskiye dayanır.  Bu makaleyi yazarken çok fazla teknik bilgilere girmemeye çalıştım ama okurken de fark ettim ki yazıya dökmek istediğim birçok konu eksik kaldı. Umarım ilerleyen bölümlerde kablosuz ağlar hakkında bir makale yazabilirim.


Makaleyi bitirmedin Cisco AP ürün ailesi hakkında biraz bilgi vermek isterim; 1130 serisi bir AP ile konfigürasyon yaptık. Bu modelin bir üstü 1140 serisidir. Bu cihazlar piyasada çok yeni olup stand-alone versiyonları daha bulunmamaktadır. LAP olarak sadece WLC ile yönetilebilir. Wireless N destekler. 1200 serisinden, 1231 AP ler Haziran 2009 da End-of-Sale oldu bunun bir üst model 1242 AP lerdir. Metal kasa oldukları için depo gibi alanlarda kullanıma uygundur. 1131 cihazlara göre daha sıcağa dayanıklıdır. Voice uygulamalarında performans ı 1100 sersine göre daha iyidir. 1242 lere harici anten takılabiliyor ve bu modellerin entegre antenli modeli yok. 1252 AP ise, Cisco nun ilk çıkardığı N destekli cihazdır. 1200 serisi gibi dış ortamlara daha dayanıklı ve güçlü bir cihazdır. Outdoor olarak 1300 serisi olan 1310 AP ler, hem entegre anten (13 dbi) hemde harici anten takılabilir olan modelleri vardır. İlerleyen makalelerde 1310 ile Root – Non-Root konfigürasyon örneğini yapıp iki binayı birbirine wireless olarak bağlayacağız. Onun için Outdoor tarafındaki çözümlerden fazla bahsetmeyeceğim.


 


Son olarak yaptığımız konfigürasyonun CLI tarafındaki çıktısını yolluyorum. Bir sonraki makalede görüşmek üzere.


 


Murat GÜÇLÜ


ap#sh u
Building configuration…


 


Current configuration : 3619 bytes
!
! Last configuration change at 11:52:18 +0300 Thu Jul 2 2009 by cisco
! NVRAM config last updated at 11:52:18 +0300 Thu Jul 2 2009 by cisco
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$IM/K$AnLobiTIjamvYzdmxQRHR1
!
no aaa new-model
clock timezone +0300 3
ip domain name muratguclu.com
!
!
dot11 ssid Test
   authentication open
   authentication key-management wpa
   guest-mode
   wpa-psk ascii 7 101F5B4A5142445C545D7A
power inline negotiation prestandard source
!
username admin privilege 15 password 7 135445415F5952
!
bridge irb
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm tkip
!       
ssid Test
!
speed  basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
channel least-congested 2412 2437 2462
station-role root
world-mode dot11d country TR indoor bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
no dfs band block
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address dhcp client-id FastEthernet0
no ip route-cache
!
no ip http server
ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
bridge 1 route ip
!        
line con 0
line vty 0 4
login local
!
end

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu