sk2:wlan:cisco

Sieci bezprzewodowe w CISCO

Link do materiałów o poruszaniu się w konsoli CISCO z poprzedniego semestru: cisco_wstep
Przypomnienie: komenda do obsługi portu szeregowego: picocom /dev/ttyS0 (wyjście: ctrl+a ctrl+q)

Uwaga: domyślne hasło do trybu uprzywilejowanego (enable) na AP używanych na zajęciach to Cisco

Na początku sprawdź komendą show startup-config wykonaną w trybie uprzywilejowanym czy na urządzeniu nie ma starej konfiguracji. Jeśli jest - wykonaj erase startup-config, a następnie reload.

Komendy CISCO przydatne do obsługi sieci bezprzewodowych, część 1:

tryb użytkownika (>):
- enable - przechodzi do trybu uprzywilejowanego
tryb uprzywilejowany (#):
- show interfaces description - wyświetla stan interfejsów ¹⁾
- show dot11 bssid - wyświetla listę aktywnych BSSID i ESSID, oraz informację czy sieci są ogłaszane
- show dot11 associations [all] - wyświetla listę podłączonych stacji
- show running-config - pokazuje bieżącą konfigurację
- configure terminal - wchodzi w tryb konfiguracji
tryb konfiguracji ((config) #):
- dot11 ssid nazwa_sieci - wchodzi w konfigurację sieci.
  W CISCO osobno konfiguruje się ustawienia sieci, osobno przypisuje się sieć do karty sieciowej.
  Ustawienia sieci ((config-ssid) #):
  - guest-mode - ustawienie rozgłaszania sieci; bez tego sieć nie pojawia się w wynikach skanowania
  - authentication open - ustawia otwarte uwierzytelnianie
  - authentication key-management wpa [version 2] - ustawia używanie WPA
  - wpa-psk ascii haslo_wpa - ustawienie klucza (hasła) do sieci
    jeśli wprowadzono dwie powyższe komendy (i nie skonfigurowano EAP), to sieć będzie używać zabezpieczeń WPA-PSK
- interface Dot11Radio numer_karty - wchodzi w konfigurację interfejsu bezprzewodowego.
  Ustawienia interfejsu ((config-if) #):
  - encryption mode ciphers aes-ccm - ustawia jak ma być szyfrowana transmisja
    aes-ccm lub starsze tkip wymusza użycie WPA
  - ssid nazwa_sieci - wskazuje którą sieć ma obsługiwać karta
  - no shutdown - włącza interfejs
  - channel kanał/częstotliwość_w_mhz - ustawia kanał / częstotliwość

Przykładowa konfiguracja sieci o nazwie ''jakasNazwaSieci'' bez zabezpieczeń:

dot11 ssid jakasNazwaSieci
  authentication open
  guest-mode   
  exit
interface Dot11Radio 1
  ssid jakasNazwaSieci
  no shut

Przykładowa konfiguracja sieci o nazwie ''innaNazwaSieci'' z zabezpieczeniami WPA-PSK z hasłem (kluczem) ''somePreSharedKey'':

dot11 ssid jakasNazwaSieci
  authentication open
  authentication key-management wpa
  wpa-psk ascii somePreSharedKey
  guest-mode   
  exit
interface Dot11Radio 1
  encryption mode ciphers aes-ccm
  ssid jakasNazwaSieci
  no shut

Komendy CISCO przydatne do obsługi sieci bezprzewodowych, część 2 - wiele sieci z jednego interfejsu:

tryb konfiguracji ((config) #):
- dot11 ssid nazwa_sieci ((config-ssid) #):
  - mbssid guest-mode - ustawienie rozgłaszania sieci; bez tego sieć nie pojawia się w wynikach skanowania ²⁾
  - vlan numer_vlanu - ustawia numer vlanu z którego będą przychodzić dane na interfejsie bezprzewodowym; pozwala to rozróżnić dane z różnych sieci na tym samym interfejsie; (pomysł cisco - częstszy pomysł to osobne wirtualne interfejsy na każdą rozgłaszaną sieć)
- interface Dot11Radio numer_karty ((config-if) #):
  - mbssid - zmienia działanie interfejsu tak, by akceptował wiele komend ssid naraz
  - encryption vlan numer_vlanu mode ciphers metodySzyfrowania - ustawia jak dane której sieci (identyfikowana przez vlan!) mją być szyfrowane, np:
    encryption vlan 50 mode ciphers aes-ccm - nakazuje sieci skonfigurowanej jako vlan 50 użycie WPA
  - ssid nazwa_sieci - dodaje kolejną sieć do interfejsu; musi być wpisane po mbssid
- interface Dot11Radio numer_karty.numer_vlanu - konfiguruje subintefejs odpowiedzialny za vlan numer_vlanu, np:
  interface Dot11Radio0.60 - vlan 60 na interfejsie Dot11Radio0
  Prompt ((config-subif) #):
  - encapsulation dot1Q numer_vlanu [native] - wymagane, by dało się używać ssidu skonfigurowanego jako vlan numer_vlanu, np.
    encapsulation dot1Q 60 - pozwala włączyć na interfejsie ssid używający vlan 60, a pakiety z pasujących sieci będą pojawiać się na tym subinterfejsie
    encapsulation dot1Q 1 native - jak wyżej, plus vlan 1 jest traktowany specjalnie: dokumentacja cisco
  - bridge-group numer_mostka - dodaje subinterfejs do mostka; patrz niżej
- interface FastEthernetnumer_karty.numer_vlanu - konfiguruje vlan na połączeniu ethernetowym, np:
  interface FastEthernet0.60 - vlan 60 na interfejsie FastEthernet0
  Prompt ((config-subif) #):
  - encapsulation dot1Q numer_vlan - pakuje / rozpakowuje dane do podanego vlanu
  - bridge-group numer_mostka - dodaje subinterfejs do mostka
    połączenie mostkiem np. Dot11Radio0.60 i FastEthernet0.60 przekaże pakiety z sieci bezprzewodowej dla której ustawiono vlan 60 jako vlan 60 po kablu ethernetowym

Przykładowa konfiguracja kilku sieci:

dot11 ssid SiecZabezpieczona
   authentication open
   wpa-psk ascii AlaMaKota
   authentication key-management wpa
   mbssid guest-mode
   vlan 1
dot11 ssid SiecOtwarta
   authentication open
   mbssid guest-mode
   vlan 2

interface Dot11Radio0
   mbssid
   encryption vlan 1 mode ciphers aes-ccm
interface Dot11Radio0.1
   encapsulation dot1Q 1 native
interface Dot11Radio0.2
   encapsulation dot1Q 2
   bridge-group 2
interface Dot11Radio0
   ssid SiecZabezpieczona
   ssid SiecOtwarta
interface FastEthernet0.2
   encapsulation dot1Q 2
   bridge-group 2

¹⁾ Komenda show ip interfaces brief też wyświetla stan interfejsów, ale tylko dla interfejsów na których może działać protokół IP; show interfaces description pokaże wszystkie interfejsy

²⁾ ustawienie guest-mode jest ignorowane jeśli karta rozgłasza wiele sieci