===== Sieci bezprzewodowe w CISCO =====
Link do materiałów o poruszaniu się w konsoli CISCO z poprzedniego semestru: [[sk1:cisco_wstep]]
\\
Przypomnienie: komenda do obsługi portu szeregowego: ''picocom /dev/ttyS0'' (wyjście: ''ctrl+a ctrl+q'')
Uwaga: domyślne hasło do trybu uprzywilejowanego (''enable'') na AP używanych na zajęciach to **''Cisco''**
Na początku sprawdź komendą ''show startup-config'' wykonaną w trybie uprzywilejowanym czy na urządzeniu nie ma starej konfiguracji.
Jeśli jest - wykonaj ''erase startup-config'', a następnie ''reload''.
Komendy CISCO przydatne do obsługi sieci bezprzewodowych, część 1:
* tryb użytkownika (''>''):
* ''enable'' - przechodzi do trybu uprzywilejowanego
* tryb uprzywilejowany (''#''):
* ''show interfaces description'' - wyświetla stan interfejsów ((Komenda ''show ip interfaces brief'' też wyświetla stan interfejsów, ale tylko dla interfejsów na których może działać protokół IP; ''show interfaces description'' pokaże wszystkie interfejsy))
* ''show dot11 bssid'' - wyświetla listę aktywnych BSSID i ESSID, oraz informację czy sieci są ogłaszane
* ''show dot11 associations [all]'' - wyświetla listę podłączonych stacji
* ''show running-config'' - pokazuje bieżącą konfigurację
* ''configure terminal'' - wchodzi w tryb konfiguracji
* tryb konfiguracji (''(config) #''):
* ''dot11 ssid //nazwa_sieci//'' - wchodzi w konfigurację sieci. \\ W CISCO osobno konfiguruje się ustawienia sieci, osobno przypisuje się sieć do karty sieciowej. \\ Ustawienia sieci (''(config-ssid) #''):
* ''guest-mode'' - ustawienie rozgłaszania sieci; bez tego sieć nie pojawia się w wynikach skanowania
* ''authentication open'' - ustawia otwarte uwierzytelnianie
* ''authentication key-management wpa [version 2]'' - ustawia używanie WPA
* ''wpa-psk ascii //haslo_wpa//'' - ustawienie klucza (hasła) do sieci \\ jeśli wprowadzono dwie powyższe komendy (i nie skonfigurowano EAP), to sieć będzie używać zabezpieczeń WPA-PSK
* ''interface Dot11Radio //numer_karty//'' - wchodzi w konfigurację interfejsu bezprzewodowego. \\ Ustawienia interfejsu (''(config-if) #''):
* ''encryption mode ciphers aes-ccm'' - ustawia jak ma być szyfrowana transmisja \\ ''aes-ccm'' lub starsze ''tkip'' wymusza użycie WPA
* ''ssid //nazwa_sieci//'' - wskazuje którą sieć ma obsługiwać karta
* ''no shutdown'' - włącza interfejs
* ''channel //kanał/częstotliwość_w_mhz//'' - ustawia kanał / częstotliwość
++++ Przykładowa konfiguracja sieci o nazwie ''jakasNazwaSieci'' bez zabezpieczeń: |
dot11 ssid jakasNazwaSieci
authentication open
guest-mode
exit
interface Dot11Radio 1
ssid jakasNazwaSieci
no shut
++++
++++ Przykładowa konfiguracja sieci o nazwie ''innaNazwaSieci'' z zabezpieczeniami WPA-PSK z hasłem (kluczem) ''somePreSharedKey'': |
dot11 ssid jakasNazwaSieci
authentication open
authentication key-management wpa
wpa-psk ascii somePreSharedKey
guest-mode
exit
interface Dot11Radio 1
encryption mode ciphers aes-ccm
ssid jakasNazwaSieci
no shut
++++
Komendy CISCO przydatne do obsługi sieci bezprzewodowych, część 2 - wiele sieci z jednego interfejsu:
* tryb konfiguracji (''(config) #''):
* ''dot11 ssid //nazwa_sieci//'' (''(config-ssid) #''):
* ''mbssid guest-mode'' - ustawienie rozgłaszania sieci; bez tego sieć nie pojawia się w wynikach skanowania ((ustawienie ''guest-mode'' jest ignorowane jeśli karta rozgłasza wiele sieci))
* ''vlan //numer_vlanu//'' - ustawia numer vlanu z którego będą przychodzić dane na interfejsie bezprzewodowym; pozwala to rozróżnić dane z różnych sieci na tym samym interfejsie; (pomysł cisco - częstszy pomysł to osobne wirtualne interfejsy na każdą rozgłaszaną sieć)
* ''interface Dot11Radio //numer_karty//'' (''(config-if) #''):
* ''mbssid'' - zmienia działanie interfejsu tak, by akceptował wiele komend ''ssid'' naraz
* ''encryption vlan //numer_vlanu// mode ciphers //metodySzyfrowania//'' - ustawia jak dane której sieci (identyfikowana przez vlan!) mją być szyfrowane, np: \\ ''encryption vlan 50 mode ciphers aes-ccm'' - nakazuje sieci skonfigurowanej jako vlan 50 użycie WPA
* ''ssid //nazwa_sieci//'' - dodaje kolejną sieć do interfejsu; musi być wpisane po ''mbssid''
* ''interface Dot11Radio //numer_karty//.//numer_vlanu//'' - konfiguruje subintefejs odpowiedzialny za vlan //numer_vlanu//, np: \\ ''interface Dot11Radio0.60'' - vlan 60 na interfejsie Dot11Radio0 \\ Prompt (''(config-subif) #''):
* ''encapsulation dot1Q //numer_vlanu// [native]'' - wymagane, by dało się używać ssidu skonfigurowanego jako vlan //numer_vlanu//, np. \\ ''encapsulation dot1Q 60'' - pozwala włączyć na interfejsie ssid używający vlan 60, a pakiety z pasujących sieci będą pojawiać się na tym subinterfejsie \\ ''encapsulation dot1Q 1 native'' - jak wyżej, plus vlan 1 jest traktowany specjalnie: [[https://www.cisco.com/c/en/us/support/docs/wireless-mobility/wireless-lan-wlan/69773-vlan-ap-config.html#native|dokumentacja cisco]]
* ''bridge-group //numer_mostka//'' - dodaje subinterfejs do mostka; patrz niżej
* ''interface FastEthernet//numer_karty//.//numer_vlanu//'' - konfiguruje vlan na połączeniu ethernetowym, np: \\ ''interface FastEthernet0.60'' - vlan 60 na interfejsie FastEthernet0 \\ Prompt (''(config-subif) #''):
* ''encapsulation dot1Q //numer_vlan//'' - pakuje / rozpakowuje dane do podanego vlanu
* ''bridge-group //numer_mostka//'' - dodaje subinterfejs do mostka \\ połączenie mostkiem np. ''Dot11Radio0.60'' i ''FastEthernet0.60'' przekaże pakiety z sieci bezprzewodowej dla której ustawiono vlan 60 jako vlan 60 po kablu ethernetowym
++++ Przykładowa konfiguracja kilku sieci: |
dot11 ssid SiecZabezpieczona
authentication open
wpa-psk ascii AlaMaKota
authentication key-management wpa
mbssid guest-mode
vlan 1
dot11 ssid SiecOtwarta
authentication open
mbssid guest-mode
vlan 2
interface Dot11Radio0
mbssid
encryption vlan 1 mode ciphers aes-ccm
interface Dot11Radio0.1
encapsulation dot1Q 1 native
interface Dot11Radio0.2
encapsulation dot1Q 2
bridge-group 2
interface Dot11Radio0
ssid SiecZabezpieczona
ssid SiecOtwarta
interface FastEthernet0.2
encapsulation dot1Q 2
bridge-group 2
++++