明晰AP工作模式，轻松管理无线网络

郭建伟

在企业网络环境中，无线网络所占的比重越来越大。对于无线网络来说，AP占据着非常重要的作用，客户一般都是通过AP，才可以接入无线网络。例如对于常用的Cisco AP来说，就提供了Local、FlexConnect、Monitor、Rogue Detector、Sniffer、Bridge和Flex+Bridge等模式。对于网络管理员来说，必须熟悉和了解这些模式的特点和功能，才可以對AP进行灵活的管理和配置，保证无线网络顺畅运行。

AP各工作模式的特点

在众多模式中，Local是最常用的数据转发模式，FlexConnext是本地转发模式，Flex+Bridge是FlexConnext的一种特殊工作模式。Local模式主要用于数据服务，与其相连的交换机接口处于Access状态，通过DHCP获取IP，AP和WLC之间通过CAPWAP隧道连接，在其中传输控制层面和数据层面的流量。

在FlexConnext模式下，AP和交换机以Trunk方式连接，在CAPWAP隧道中仅仅传输控制和管理层面流量，数据流量在AP本地通过Trunk进入指定的VLAN。注意，Local模式也提供监控服务，可以扫描其他的信道来发现恶意AP/Client，只是其扫描的效能很低，同时可以分析和管理帧有关的攻击行为。

登录到无线控制器上，在工具栏上选择“WIRELESS”项，在左侧选择“802.11b/g/n”→“RRM”→“General”项，在右侧的“Channel Scan Internal”栏中设置扫描周期，默认为180秒。为了增加扫描的时间，可以将该值适当调小一些。当然，为了提高扫描效能，最好使用单独的AP来进行该工作，使其工作在“Monitor”模式，其并不提供数据服务功能，而只会发送Beacon信标帧，对WLAN进行全面监控，利用特定的策略来发现和拦截恶意AP和客户端。

对于阻断操作来说，当WLC重启后是不保存的。对于Rogue Detector模式来说，主要用来检测恶意设备是否进入了有线网络，当发现一个恶意的无线设备接入到本有线网络中后，会产生告警信息，但是不会进行阻断操作。对于非法AP来说，会对无线网络安全造成很大威胁，诸如窃取明文通讯数据、发起DoS或者中间人攻击、发送恶意CTS报文造成合法用户无法访问网络资源等。

实际上，内部员工也可以将非授权的AP连入有线网络，造成其他用户无须认证即可直接接入内部网络，引发重大的安全问题。对于Monitor和Rogue Detector模式来说，其之所以可以发现非法AP，依靠的是Rogue Location DiscoveryProtocol（RLDP）协议，该协议可以关联不加密的AP，并关联到该恶意AP，发送De-Authentication消息给连接到该AP的所有客户端并关闭其信道，并通过该恶意AP向WLC发送UDP包，如果WLC接收到该包的话，就会表标记其为恶意AP并发送警告信息给管理员。

当然，对于5GHz的DFS信道来说，是不支持RLDP的。对于DFS来说，在正常情况下，是没有开放给Wi-Fi使用的。注意，如果使用处于Local或者FlexConnect模式的AP来执行RLDP检测话，那么在执行检测的时候，所有连接的客户端就会掉线，直到RLDP测试完成，客户端才会再次上线。如果在WLC上针对所有的AP配置了RLDP功能，WLC一般只是选择使用了Monitor模式的AP来执行检测操作。

搭建简单实验网络

这里使用简单的网络，来说明如何使用各种AP工作模式。本例中存在一台WLC控制器，其通过G0/1连接到核心交换机SW1Fa0/24接口上，该连接处于Trunk模式。在SW1上存在VLAN10、VLAN20和VLAN30三个VLAN，其中的VLAN10用于管理，WLC的管理口IP为10.1.1.100，其余的VLAN为客户端分配地址。在SW1上分别为AP1和AP2配置地址池，指定其默认网关和WLC的地址。

交换机SW2的G1/0/1接口和SW1的Fa0/1接口通过Trunk进行连接，在SW2上存在VLAN30，AP1连接到SW2的G1/0/2接口上，通过DHCP获取IP并利用CAPWAP隧道和控制器连接连接。交换机SW3的G1/0/1接口和SW1的Fa0/2接口通过Trunk进行连接，在SW3上存在VLAN20，AP2连接到SW3的G1/0/2接口上，通过DHCP获取IP并利用CAPWAP隧道和控制器连接连接。有一台来历不明的AP3胖AP连接到SW1的Fa0/3接口上，该接口处于Access模式。其获取的IP为20.1.1.20，在该AP上创建了SSID，处于未加密状态，其扮演恶意AP的角色。

配置和使用Monitor模式

登录到WLC管理界面，点击工具栏上的“WIRELESS”项，在左侧选择“Access Points”项，在右侧显示已经连接的AP，点击某个AP（例如AP1），在其属性窗口的“General”面板（图1）中的“AP Mode”列表中显示所有的工作模式，默认为Local模式。在其中选择“Monitor”项，将其切换到Monitor模式。在“Advanced”面板中会看到“Rogue Detection”项自动处于选择状态，说明对于Monitor模式来说，是默认要进行RLDP检测的。之后该AP会重启，才可以完成模式的切换。

在工具栏上点击“SECURITY”项，在左侧选择“Wireless Protection Policies”→“Rogue Policies”→“General”项，在右侧的“Rogue Detection Security Level”栏中选择安全检测级别（图2），包括Low、High、Critical和Custom等。对于Low级别来说，只进行最基本的检测。对于High级别来说，不仅进行基本的检测，还可以自动进行阻塞，对于Critical级别来说，在前两者的基础上，还可以利用RLDP来连接恶意AP，来执行高级检测操作。对于Custom级别来说，可以进行灵活的自定义操作。

例如在“Rogue Location Discovery Protocol”列表中选择执行RLDP协议的对象，包括开启Monotor的AP，所有的AP或者禁用该功能等。在“Auto Containment Level”列表中可以设置自动阻塞的等级，包括自动或者合适的AP数量（从1到4），这样，最多可以指定4个AP来执行阻塞操作。点击“Apply”按钮，保存配置信息。

查看恶意无线设备

当该AP重启后，就会执行对恶意无线设备的监控操作。在WLC管理界面工具栏上点击“MONITOR”项，在“Rogue Summary”栏中显示活动的恶意AP数量，恶意客户端的数量。在“Active Rogue APs”栏右侧点击“Detail”链接，显示所有的恶意AP的信息，包括其MAC地址、SSID、信道、状态等内容。例如，在其中就可以看到上述名为AP3的接入设备。在“Active Rogue Clients”栏右侧点击“Detail”链接，显示处于活动状态的恶意客户，包括其MAC地址、关联的AP的MAC地址、使用的SSID、上次发现的时间、状态等内容。

对于发现的恶意连接，可以基于AP或者客户级别进行阻塞。例如发现名为“EYClient”的恶意客户，可以在上述恶意客户详细信息中点击该客户项目，在其详细信息窗口中的“Update Status”列表中选择“Contain”项，在“Maximum number of APs to contain the rogue”列表中选择“Auto”项，点击“Apply”按钮，将其阻塞掉，之后该客户的无线连接就会自动断开。之所以可以实现该效果，其实就是模拟该客户连接的AP，向该客户连续不断的发送要求认证的DeAuthentication包，该包中的源MAC为该恶意AP的MAC地址，目的MAC为该客户机的MAC地址，其作用就是要求该客户进行认证，直到将其踢下线为止。

无线AP的分类原则

在左侧选择“Regous”→“Unclassfied APs”项，在右侧显示为归类的所有AP，其中有些是恶意AP有些则可能不是。但是，所有这些AP的状态均处于Alert告警模式。为了便于控制恶意AP，可以创建对应的规则，对这些AP进行分类管理。类别包括Friendly（友好）、Malicious（恶意）、Custom（自定义）和Umclassified（未归类）等。注意，默认没有任何一个归类规则是激活的，所有位置的AP都会被放入未归类类型。

当创建了一个规则，为其配置了条件，当激活该规则后，那么未归类的所有AP将重新进行分类。当修改了该规则，则仅仅会应用到所有Alert的AP。对于已经归类的AP来说，是不会生效的。对于分类的行为来说，WLC会先在信任的MAC地址列表中查询此可疑AP的MAC地址，如果找到的话将其会分到Friendly类别中。在工具栏上点击“SECURITY”项，在左侧选择“Wireless Protection Policies”→“Rogue Policies”→“Fridendy Rogue”项，在右侧可以输入目标MAC地址，即可将其添加到友好类别中。

如果该非法AP的MAC地址不再信任列表中，WLC即可对其进行应用分类规则。如果该非法AP已经被分类到了Malicious、Alert、Friendly、Internal、External等类别之中，WLC就不会对其进行归类操作。如果必须进行分类，则需要手工进行调整。例如将Malicious类别中的某个AP手工划分到Friendly类别中等。WLC会按照优先级应用所有的分类规则，如果该非法AP符合规则，就按照该规则对其进行归类。

如果其不匹配任何预设的规则，那么其会被称为未分类状态。注意，如果RLDP检测出非法AP连接到本地有线网络中，WLC会认为该AP具有破坏性并将其标示为恶意AP。如果该AP没有连接在本地有线网络中，WLC会将其标识为Alert状态，每个WLC最多支持64个规则，在每个恶意AP中只能显示最多256个非法客户。

创建简单的分类规则

在工具栏上点击“SECURITY”项，在左侧选择“Wireless Protection Policies”→“Rogue Rules”项，在右侧点击“Add Rule”按钮，添加新的规则，输入规则的名称（例如“rule1”），在“Rule Type”列表中选择“Friendly”项，在“Notify”列表中选择“All”项，在“Status”列表中选择“Alert”项，点击“Add”按钮，创建该规则。其作用是将特定AP添加到Friendly类别中，其默认处于Alert状态。

在列表中点击该规则，在其属性窗口中的“Conditions”列表中选择选择各种条件，包括SSID、连接时长、信号强度、连接客户数量、是否加密等。例如选择“SSID”项，点击“Add Condition”按钮，输入合适的SSID名称（例如“ssid1”），点击“Add SSID”按钮将其添加进来，同理可以添加多个SSID。这样，只要是和上述SSID相关的AP全部添加到Friendly类别中。注意，必须选择“Enable Rule”项，才可以将该规则激活。在WLC管理界面工具栏上点击“MONITOR”项，在左侧选择“Rogues”→“Friendly APs”项，显示所有的友好AP。

配置复杂的分类规则

按照上述方法，創建名为“DetectEY”的规则，在“Rule Type”列表中选择“Malicious”项，在“Status”列表中选择“Contain”项。这样只要符合该规则的AP，就将其视为恶意AP并将其阻断。在其属性窗口（图3）中的“Conditions”列表选择“SSID”项，输入并添加其SSID名称（例如“EYSSID”）。在“Conditions”列表选择“RSSI”项，输入合适的最小信号强制（例如“→20 dbm”，该值越小强度越大）。

在“Conditions”列表选择“No Encryption”项，选择“No Encryption”项，表示其没有加密。在“Conditions”列表选择“Client Count”项，输入连接的客户数量。当然，可以根据需要添加更多的条件。在“Match Operation”栏中选择“Match All”项，表示必须符合所有的条件。选择“Match Any”项，表示符合任意条件即可。点击“Apply”按钮应用该规则。这样，只要符合条件的AP就被被视为恶意AP并被阻断。在左侧选择“Rogues”→“Malicious APs”项，显示所有的恶意的AP。

Sniffer模式的工作方式

在目标AP（例如“AP2”）的属性窗口中选择“Sniffer”项，使其处于Sniffer模式。注意，模式切换后必须重启AP。该AP只负载抓取数据包，当然需要设置其针对哪个信道抓包。这样，该信道的所有流量数据都会通过CAPWAP隧道送到WLC上，在WLC上需要设置用于分析数据的主机的IP，之后将这些数据包发送过去，当然WLC会将这些数据进行封装，前部为源和目的地址，中间为UDP 头部，端口号为5555，后部为抓取的数据包。

在客户机上，必须安装诸如的AIROPEEK之类软件，便于解码UDP5555格式的封装包。注意，要实现Sniffer模式，需要在WLC的命令行接口中执行“config network ip-mac-binding disable”命令，取消控制器的IP-MAC绑定功能。还必须激活1号WAN，否则该AP无法发送数据包。在工具栏上选择“WIRELESS”項，在左侧选择“Access Points”→“Radios”→“802.11 b/g/n”项，在右侧选择目标AP，在其配置界面中选择“Sniff”项，激活其抓包功能（图4）。

在“Channel”列表中选择需要监控的信道。在“Server IP Address”栏中输入安装了分析软件的主机IP，在“Assignment Method”列表中选择“Custom”项，选择同样的信道。当然，这里这针对的是2.4Ghz射频模式，也可以针对802.11a/n/ac模式进行设置。这样在指定的主机上就可以接收和分析这些数据包，注意目标信道不能处于加密状态。

Bridge模式的功能和特点

在目标AP（例如“AP2”）的属性窗口中选择“Bridge”项，使其处于Bridge模式，对于瘦AP来说，利用该模式可以实现无线Mash网络。对于Mash网络来说只有根AP（RAP，即Root Access Point）连接到有线网络中，其余的AP（MAP，即Mesh Access Point）全部是无线连接的。

无线Mash网络具有高性价比，可扩展性强，应用范围广，高可靠性等特点。无线Mesh网络中各AP实现的是全连接，从某个MAP到RAP之间存在多条链路，可以有效避免单点故障。MAP采用MAC认证或外部RADIUS认证两种方式，接入到无线Mesh网络中。对于前者来说，将MAP的MAC地址加入到数据库中便于其关联到指定的WLC。对于后者来说，可以通过外部的RADIUS认证设备来关联指定的WLC。Mesh AP支持Wireless mesh、WLAN backhaul、点对多点无线桥接、点对点无线桥接等模式。

使用Bridge模式构建Mesh网络

为了便于说明，这里将上述实验环境稍加修改，将SW2和SW1之间的连接取消，让AP1必须通过Bridge模式通过AP2连接到WLC。在AP1和AP2的属性窗口中的“AP Mode”列表中均选择“Bridge”项，将其切换到Bridge模式。注意，如果直接切换会出现错误信息，提示需要手工指派信道和发射功率。为此可以先在左侧选择“Access Point”→“Radios”→“802.11 a/n/ac”项，在目标AP右侧点击蓝色的按钮，在弹出菜单中选择“Configure”项，在配置界面中的“RF Channel Assignment”中的“Assignment Method”栏中选择“Custom”项，选择合适的信道（例如“149”）。在“Tx Power Level Assignment”栏中选择“Custom”项，输入合适的发射功率（例如“1”）。注意，需要在所有的AP上设置相同的参数。

在“802.11a/n/g”射频模式下也需要进行相同的配置。为了实现无线流量的透传，需要在SW2和AP1连接交换机端口上开启Trunk模式，在SW3和AP2连接的端口上也开启Trunk模式。例如在SW2全局配置模式下“default interface GigabitEthernet 1/0/2”“interface GigabitEthernet 1/0/2”“switch trunk native vlan 20”“switch mode trunk”等指令即可。当切换到Bridge模式后，必须将其MAC地址添加到WLC的数据库中，否则其无法顺利连接。

在WLC管理界面工具栏上选择“SECURITY”项，在左侧选择“AAA”→“MAC Filtering”项，在右侧点击“New”按钮，输入相关AP的MAC地址，点击“Apply”按钮将其添加进来。当关闭了SW2和SW1的连接后，在WLC的AP列表中就暂时看不到AP1，在AP2的属性窗口中的“Mesh”面板（图5）中的“AP Role”列表中选择“RootAP”项，将其设置为根AP。

AP1会通过无线口进行连接，从AP2得到控制器地址，之后连接到WLC上。之后在列表中才会显示该AP，而且其获取的IP属于SW3上的VLAN20网段，AP1就成了MeshAP的角色。在工具栏上选择“WIRELESS”项，在左侧选择“WLANs”项，在右侧点击“New”按钮，输入WLAN的名称（例如“WLAN100”），点击“Apply”按钮创建该WLAN。在其属性窗口中的“Security”面板中的“Layer2”标签中的“PSK”栏中选择“Enable”项，输入预共享密钥。为了便于为客户端分配IP，可以在SW3上开启DHCP功能，

在客户端上可以搜索并连接到上述WLAN上，输入预共享密码后，就可以连接到网络中。当然，两个AP均可以发送连接信息，但是两者的信道是不同的，客户端可能通过其中任意一个进行连接。如果在左侧选择“Advanced”→“Mesh”项，在右侧的“Backhaul Client Access”栏中选择“Enabled”项，激活回传功能，即允许客户连接使用5Ghz射频的RAP，来传输数据。在“VLAN Transparent”栏中默认选择“Enabled”项，说明已经激活了VLAN透传功能（图6）。这样，在SW2和SW3上都创建新的VLAN后（例如VLAN200），那么连接到SW2上的有线客户机就可以通过Trunk连接，直接访问SW3中相同VLAN中的设备。

将WLAN和VLAN进行关联

在管理主机上打开浏览器（例如Firefox，不建议使用IE），访问“https：//192.168.1.100”地址，输入预设的WLC的管理员名称和密码，进入其管理界面。其默认使用的简单模式，点击右侧的“Advanced”按钮进入高级配置模式。对于AP来说，其默认的用户名为“cisco”，默认密码为“Cisco”，如果需要清除AP配置的話，可以执行“clear capwap private-config”“reload”命令即可。

当AP启动后，会发起广播来获取WLC地址，因为这是跨网段的，所以广播无法奏效。只有通过DHCP服务来获取WLC的地址，之后才可以完成注册操作。在WLC管理界面工具栏上点击“WIRELESS”按钮，可以看到注册成功的AP。点击该AP，可以深入配置其各项属性。在工具栏上点击“CONTROLLER”项，在左侧点击“Interface”项，在右侧点击“management”项，选择“Enable Dynamic”项，表示将Management Interface和AP Management合二为一了。

返回上级菜单，点击“New”按钮，创建新的动态接口，输入其名称（例如“dt1”），设置与其关联的VLAN号（例如VLAN200）。点击“Apply”按钮保存配置信息，在其属性窗口（图7）中的“Port Number”栏中输入“1”，表示该动态接口的流量会从端口1出去。在“IP Address”栏中设置可用的地址（例如“172.16.1.253”），并在其下设置掩码和网关等参数，在“DHCP Information”栏中输入DHCP服务器的地址，例如172.16.1.254。点击“Apply”按钮，提交修改信息。

注意，对于思科WLC控制器来说，必须在工具栏上部点击“Save Configuration”按钮，才可以让配置保存。点击工具栏上的“WLANs”按钮，点击默认的WLAN项，在其属性窗口中的“General”面板中的“SSID”栏中输入SSID标识符，在“Status”和“Broadcast SSID”栏中确保选择“Enable”项。在“Interface/Interface Group”列表中选择上述动态接口“dt1”，让两者实现关联。

在“Security”面板（图8）中打开“Layer2”标签，在“PSK”栏中选择“Enable”项，输入合适的密码，启用预共享密钥认证功能。这样，在客户端就可以检测到该SSID，选择该SSID，输入预设的密码，就可以连接到上述网络中了。执行“ipconfig /all”命令，可以看到从上述DHCP地址池中获取的IP地址，而且DHCP服务器的地址是不可路由的地址（例如“1.1.1.1”等），这样可以保护真实的DHCP服务器。

本地转发模式的特点

Flex Connect本地转发可以通过WAN链路，在中心配置和控制分支机构的AP，能够在分支机构本地转发数据，并执行本地身份验证操作。当然，还可以设定AP中某些SSID的VLAN的流量，某些SSID的VLAN流量可以进行中心转发。这样，如果和中心的无线控制器失去联系，可以将这些流量进行本地转发，当恢复联系时，依然可以将相关的流量进行中心转发。

Flex Connect包含两种运行模式，包括连接模式（Connected Mode）和独立模式（Standalone Mode），分别对应可以连接到WLC和无法连接到WLC的情形。注意，对于独立模式来说，AP是可以独立连接3A服务器进行身份验证的。值得说明的是，中心转发指的是数据流量通过WAPCAP隧道传到WLC进行转发，本地转发指的是数据流量经过本地有线接口直接进入本地交换网络。