===== Wireless LAN základy =====
IEEE 802.11\\
- spojení je vždy half duplex\\
**CSMA/CA** = Carrier Sense Multiple Access / Collision Avoidance\\
* Potvrzování - příjemce potvrzuje přijaté rámce, tím se ověří zda během vysílání nedošlo ke kolizi a zda rámec dorazil v pořádku
* Zařízení poslouchá, jestli je v éteru volno:
* Nikdo nevysílá - zař. může začít vysílat rámec, příjemce jej musí potvrdit
* Někdo právě vysílá - zař. musí počkat až bude v éteru volno, v rámci 802.11 je uvedena délka "duration" rámce. Po skončení rámce, musí všechna zař. počkat ještě krátký čas DIFS (DCF InterFrame Space). V éteru je volno a zař. která chtějí vysílat musí počkat náhodný čas než se pokusí vysílat (random backoff timer). => **DCF** = Distributed Coordination Function
{{ :wiki:site:cisco:15-1.png }}
V terminologii 802.11 je skupina zařízení označována jako //service set//.\\
**SSID** = Service Set ID, textový řetězec, přenášen v každém rámci.\\
**IBSS** (ad hoc) = Independent Basic Service Set, klienti mezi sebou nezávisle komunikují.\\
**BSS** = Basic Service Set, klienti se //asociují// s AP, prostřednictvím něhož komunikují.(nezávisle na asociaci s AP může kdokoliv poslouchat provoz v éteru)\\
**ESS** = Extended Service Set, AP jsou v různých lokalitách a jsou propojena switchovanou sítí.\\
{{ :wiki:site:cisco:15-2.png }}
===== AP =====
* Bridg mezi WLAN a LAN
* Mapuje VLANy na SSID
* Je-li připojeno trunkem 802.1Q, lze mapovat více VLAN na SSID
* Zajišťuje autentizaci klientů
* Spoje AP-to-AP, daisy-chain(cisco prop.)
* WLAN Cell = buňka, dosah jednoho AP
* Dvě překrývající se buňky nesmí mít stejné freq.!!!
* Roaming = cestování klienta mezi buňkami, klient je vždy asociován jen s jedním AP
* Layer2 roaming = klient má stále stejnou IP adresu
* Layer3 roaming = klientovi se mění IP adresa
Při plánování pokrytí, není dobré vždy uvažovat plný výkon AP - čím větší výkon, tím větší kolizní doména => vyplatí se, použít více AP s menším výkonem (vzniknou tak tzv. //microcells// nebo //picocells//).\\
**Autonomous mode** = každé AP se konfiguruje zvlášť, každé si samo hlídá frekvence, má vlastní security policies. Administrace větší sítě je náročná.
**Cisco Unified Wireless Network Architecture** = centralizovaná správa AP
===== Cisco Unified Wireless Network Architecture =====
* LAP - Lightweight Access Point - stará se jen real-time záležitosti(vysílání/příjem, šifrování, L1/L2)
* WLC - Wireless Lan Controller - společný centrální prvek (RF nastavení, QoS, management asociace, zabezpečení)
* //split-MAC architecture// = architektura WLC+LAP, funkce MAC vrstvy je rozdělena do dvou zařízení
* LAP a WLC mohou a nemusí být ve stejné VLANě nebo subnetu, jsou mezi nimi sestaveny tunely, ve kterých se přenášejí kontrolní zprávy a data
* LWAPP = LightWeight Access Point Protocol (Cisco prop./IETF draft), na WLC UDP porty 12222 a 12223
* CAPWAP = Controll and Provisioning Wireless Accesspoint Protocol (RFC-4118), na WLC UDP porty 5246 a 5247
* Tunel pro řídící zprávy = přenášené zprávy jsou šifrované a authentifikované, aby LAP mohl řídit jen příslušný WLC.
* Tunel pro data = data jsou v něm enkapsulována nešifrovaně
* Zařízení mají už z výroby X.509 certifikát, kterým se vzájemně autentizují
{{ :wiki:site:cisco:15-9.png }}
==== WLC ====
=== Funkce ===
* Dynamic channel assignment - WLC nastaví kanály podle ostatních AP v lokalitě
* Transmit power optimization - WLC automaticky upravuje potřebný výkon
* Self-healing wireless coverage - pokud LAP umře, WLC zvedne výkon okolních LAP, tím se zakryje vzniklá díra v pokrytí
* Flexible client roaming - klient může cestovat (L2/L3) mezi LAP s krátkými přechodovými časy
* Dynamic client load balancing - zakrývají-li dvě LAP stejný prostor, WLC dokáže nové klienty asociovat s méně využitým LAP
* RF monitoring - WLC skenuje éter a má přehled o jeho využití
* Security management
^ WLC ^ Počet LAP ^
|2100 |6,12,15 LAPs |
|4400 |12,25,50 LAPs |
|5500 |12,25,50,100,250 LAPs |
|WiSM |150 per WiSM,2xWiSM až 300 LAPs|
|WLC modul |6,8,12,25 LAPs |
|3750G+WLC |50 per sw, 200 per stack |
{{:wiki:site:cisco:2100.jpg?150|WLC řada 2100}}
{{:wiki:site:cisco:4400.jpg?150|WLC 4402 a 4404}}
{{:wiki:site:cisco:5500.jpg?150|WLC 5500}}
{{:wiki:site:cisco:wism.jpg?150|WLC modul pro 6500 WiSM}}
{{:wiki:site:cisco:wireless_lan_controller_mod.jpg?150|WLC modul pro ISR 2800 a 3800}}
{{:wiki:site:cisco:3750g_bg.jpg?150|Cat 3750 s integrovaným WLC}}
**WCS** = Wireless Controll System - volitelný server pro centralizovanou správu více WLC v síti (WEB GUI), dokáže pracovat s mapami budov, a pomocí triangulace určovat polohu uživatelů s přesností na metry. Může být spojeno Wireless Location Appliance pro sledování pohybu klientů, popř.záškodníků.
==== LAP ====
//Zero-touch// = LAP není třeba nijak konfigurovat
=== Proces náběhu LAP ===
- Lízne si IP adr. z DHCP
- Zjistí IP dostupných WLC (DHCP option 43 = list WLC adres, nebo pošle JOIN na bcast subnetu)
- Pošle "JOIN request" prvnímu WLC které má v seznamu, WLC pošle "JOIN reply". Nedostane-li LAP odpověď, zkusí další WLC. Tímto se LAP a WLC svážou.
- WLC porovná firmware v LAP s firmw. uloženým lokálně, liší-li se, LAP si jej stáhne z WLC a restartuje se.
- WLC a LAP mezi sebou sestaví LWAPP nebo CAPWAP tunely
LAP je vždy spojeno jen s jedním WLC, avšak drží si list IP adr. až 3 WLC (primary,secondary,teritary). Jakmile WLC umře, klienti nejsou schopni komunikovat (LAP zahodí všechny asociace), LAP se musí resartovat a svázat se s jiným WLC.\\
**HREAP** = (Cisco prop.) Hybrid Remote Edge Access Point - Pokud je LAP ve vzdálené lokalitě připojené WAN linkou, která spadne, LAP v lokalitě dále funguje jako AP a klienti mohou v rámci lokality dále komunikovat.\\
* Komunikace mezi klienty v rámci jednoho LAP vždy prochází přes WLC, je-li provoz ve vzduch šifrován, v tunelech mezi LAP a WLC šifrován není.
{{:wiki:site:cisco:15-11.png}}{{:wiki:site:cisco:15-12.png}}
Na obrázcích je vidět, že WLC je připojeno trunkem ke switchi, v trunku se přenáší klientské VLANy A a B, avšak od WLC směrem ke klientům je znázorněna už jen jedna VLAN Z. Dalo by se říci, že LAP nebudou mít konektivitu s příslušnými VLANami. Na druhém obrázku je znázorněno, že každé LAP má s WLC pro každé SSID navázaný tunel, ve kterém se přenáší data příslušné VLANy.
==== Roaming v Cisco Unified Wireless síti ====
Roaming přes autonomní AP - klient se přeasociuje z jednoho AP na druhé, což si s nimi musí nejdřív vyjednat. Řeší se zde také problém s daty, které jsou v bufferu předchozího AP. Tento roaming funguje jen na L2. Pro L3 to chce přidat nějaký fičury.\\
Roaming v Unif.Wireless síti - klienti si asociaci s LAP vyjednávají přímo s WLC
=== Intracontroller Roaming ===
Obě LAP mají stejné SSID. Jakmile se klient přesune pod LAP2, asociuje se s ním a veškeré potřebné změny se dějí jen v rámci WLC (přesunutí dat z bufferů do nového LWAPP/CAPWAP tunelu).\\
{{:wiki:site:cisco:15-13.png|Před Roamingem}}{{:wiki:site:cisco:15-14.png|Po Roamingu}}
=== Intercontroller Roaming ===
== WLC1 a WLC2 jsou ve stejném IP subnetu ==
Předání asociace se děje pomocí zprávy "Mobility exchange", po této zprávě klient se svou původní IP adr. komunikuje skrz LAP2.\\
{{:wiki:site:cisco:15-15.png|Před Roamingem}}{{:wiki:site:cisco:15-16.png|Po Roamingu}}
== WLC1 a WLC2 nejsou ve stejném IP subnetu ==
Zde klietovi také zůstane původní IP adr., směrem od klienta probíhá komunikace normálně. Směrem ke klientovi je IP provoz směrován na WLC1 kde je enkapsulován do Ether-IP tunelu a přenesen do WLC2, kde je deenkapsulován a normálně doručen klientovi. Domovské LAP se nazývá **Anchor**, cizí LAP se nazývá **Foreign**. Při roamingu mimo domovskou buňku se vždy vytváří nový Ether-IP tunel mezi Anchor WLC a Foreign WLC.\\
//Ether-IP tunel// = enkapsulace L2 rámce do L3 paketu pomocí IP protokolu 97.\\
{{:wiki:cisco:15-17.png|Před Roamingem}}{{:wiki:cisco:15-18.png|Po Roamingu}}
== Mobility groups ==
* Aby WLC byly shopni si mezi svými LAP předávat klienty, jsou konfigurováni do tzv. "Mobility group".
* Až 24 WLC per group
* Klient může přejít do jiné mobility group, avšak v té původní jsou o něm všechny inf. ztraceny (IP adresa, apod.).
===== Konfigurace =====
* Jsou popsány jen konfigurace portů switche
==== Autonomous AP ====
{{:wiki:cisco:15-19.png}}
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport trunk allowed vlan 10,20,30
Switch(config-if)# switchport mode trunk
Switch(config-if)# spanning-tree portfast trunk
==== Lightweight AP ====
* Nachází se v prístupové (access) vrstvě sítě
* LAP vyžaduje access port (ne trunk)
* Potřeba je pouze VLAN, ve které je DHCP a je přes ní dostupný WLC
* LAP může být v libovolné VLAN, doporučuje se zvláštní VLAN jen pro LAPs
* Na portu se může zapnout //portfast// - nehrozí zde vytvoření smyčky vzduchem mezi LAP
{{:wiki:cisco:15-20.png}}
Switch(config)# vlan 100
Switch(config-vlan)# name ap-management
Switch(config-vlan)# exit
Switch(config)# interface gigabitethernet1/0/10
Switch(config-if)# switchport
Switch(config-if)# switchport access vlan 100
Switch(config-if)# switchport mode access
Switch(config-if)# spanning-tree portfast
Switch(config-if)# power inline auto
Switch(config-if)# exit
==== WLC ====
* Měl by se nacházet v distribuční vrstvě sítě
* Pokud se bezdrátem distribuuje více VLAN, WLC se musí připojit trunkem
* Trunk může tvořit Etherchannel, který musí být nastaven na pevno ("ON", WLC si ho neumí vyjednat)
{{:wiki:cisco:15-20.png}}
Switch(config)# interface range gigabitethernet1/0/41 - 44
Switch(config-if)# switchport
Switch(config-if)# channel-group 1 mode on
Switch(config-if)# exit
Switch(config)# interface port-channel 1
Switch(config-if)# switchport encapsulation dot1q
Switch(config-if)# switchport trunk allowed vlan 10,20,30
Switch(config-if)# switchport mode trunk
Switch(config-if)# spanning-tree portfast trunk
Switch(config-if)# no shutdown
Switch(config-if)# exit