User Tools

Site Tools


wiki:site:cisco:wlan_zaklady

Wireless LAN základy

IEEE 802.11
- spojení je vždy half duplex
CSMA/CA = Carrier Sense Multiple Access / Collision Avoidance

  • Potvrzování - příjemce potvrzuje přijaté rámce, tím se ověří zda během vysílání nedošlo ke kolizi a zda rámec dorazil v pořádku
  • Zařízení poslouchá, jestli je v éteru volno:
    • Nikdo nevysílá - zař. může začít vysílat rámec, příjemce jej musí potvrdit
    • Někdo právě vysílá - zař. musí počkat až bude v éteru volno, v rámci 802.11 je uvedena délka “duration” rámce. Po skončení rámce, musí všechna zař. počkat ještě krátký čas DIFS (DCF InterFrame Space). V éteru je volno a zař. která chtějí vysílat musí počkat náhodný čas než se pokusí vysílat (random backoff timer). ⇒ DCF = Distributed Coordination Function

V terminologii 802.11 je skupina zařízení označována jako service set.
SSID = Service Set ID, textový řetězec, přenášen v každém rámci.

IBSS (ad hoc) = Independent Basic Service Set, klienti mezi sebou nezávisle komunikují.
BSS = Basic Service Set, klienti se asociují s AP, prostřednictvím něhož komunikují.(nezávisle na asociaci s AP může kdokoliv poslouchat provoz v éteru)
ESS = Extended Service Set, AP jsou v různých lokalitách a jsou propojena switchovanou sítí.

AP

  • Bridg mezi WLAN a LAN
  • Mapuje VLANy na SSID
  • Je-li připojeno trunkem 802.1Q, lze mapovat více VLAN na SSID
  • Zajišťuje autentizaci klientů
  • Spoje AP-to-AP, daisy-chain(cisco prop.)
  • WLAN Cell = buňka, dosah jednoho AP
  • Dvě překrývající se buňky nesmí mít stejné freq.!!!
  • Roaming = cestování klienta mezi buňkami, klient je vždy asociován jen s jedním AP
  • Layer2 roaming = klient má stále stejnou IP adresu
  • Layer3 roaming = klientovi se mění IP adresa

Při plánování pokrytí, není dobré vždy uvažovat plný výkon AP - čím větší výkon, tím větší kolizní doména ⇒ vyplatí se, použít více AP s menším výkonem (vzniknou tak tzv. microcells nebo picocells).
Autonomous mode = každé AP se konfiguruje zvlášť, každé si samo hlídá frekvence, má vlastní security policies. Administrace větší sítě je náročná. Cisco Unified Wireless Network Architecture = centralizovaná správa AP

Cisco Unified Wireless Network Architecture

  • LAP - Lightweight Access Point - stará se jen real-time záležitosti(vysílání/příjem, šifrování, L1/L2)
  • WLC - Wireless Lan Controller - společný centrální prvek (RF nastavení, QoS, management asociace, zabezpečení)
  • split-MAC architecture = architektura WLC+LAP, funkce MAC vrstvy je rozdělena do dvou zařízení
  • LAP a WLC mohou a nemusí být ve stejné VLANě nebo subnetu, jsou mezi nimi sestaveny tunely, ve kterých se přenášejí kontrolní zprávy a data
  • LWAPP = LightWeight Access Point Protocol (Cisco prop./IETF draft), na WLC UDP porty 12222 a 12223
  • CAPWAP = Controll and Provisioning Wireless Accesspoint Protocol (RFC-4118), na WLC UDP porty 5246 a 5247
  • Tunel pro řídící zprávy = přenášené zprávy jsou šifrované a authentifikované, aby LAP mohl řídit jen příslušný WLC.
  • Tunel pro data = data jsou v něm enkapsulována nešifrovaně
  • Zařízení mají už z výroby X.509 certifikát, kterým se vzájemně autentizují

WLC

Funkce

  • Dynamic channel assignment - WLC nastaví kanály podle ostatních AP v lokalitě
  • Transmit power optimization - WLC automaticky upravuje potřebný výkon
  • Self-healing wireless coverage - pokud LAP umře, WLC zvedne výkon okolních LAP, tím se zakryje vzniklá díra v pokrytí
  • Flexible client roaming - klient může cestovat (L2/L3) mezi LAP s krátkými přechodovými časy
  • Dynamic client load balancing - zakrývají-li dvě LAP stejný prostor, WLC dokáže nové klienty asociovat s méně využitým LAP
  • RF monitoring - WLC skenuje éter a má přehled o jeho využití
  • Security management
WLC Počet LAP
2100 6,12,15 LAPs
4400 12,25,50 LAPs
5500 12,25,50,100,250 LAPs
WiSM 150 per WiSM,2xWiSM až 300 LAPs
WLC modul 6,8,12,25 LAPs
3750G+WLC 50 per sw, 200 per stack

WLC řada 2100 WLC 4402 a 4404 WLC 5500 WLC modul pro 6500 WiSM WLC modul pro ISR 2800 a 3800 Cat 3750 s integrovaným WLC

WCS = Wireless Controll System - volitelný server pro centralizovanou správu více WLC v síti (WEB GUI), dokáže pracovat s mapami budov, a pomocí triangulace určovat polohu uživatelů s přesností na metry. Může být spojeno Wireless Location Appliance pro sledování pohybu klientů, popř.záškodníků.

LAP

Zero-touch = LAP není třeba nijak konfigurovat

Proces náběhu LAP

  1. Lízne si IP adr. z DHCP
  2. Zjistí IP dostupných WLC (DHCP option 43 = list WLC adres, nebo pošle JOIN na bcast subnetu)
  3. Pošle “JOIN request” prvnímu WLC které má v seznamu, WLC pošle “JOIN reply”. Nedostane-li LAP odpověď, zkusí další WLC. Tímto se LAP a WLC svážou.
  4. WLC porovná firmware v LAP s firmw. uloženým lokálně, liší-li se, LAP si jej stáhne z WLC a restartuje se.
  5. WLC a LAP mezi sebou sestaví LWAPP nebo CAPWAP tunely

LAP je vždy spojeno jen s jedním WLC, avšak drží si list IP adr. až 3 WLC (primary,secondary,teritary). Jakmile WLC umře, klienti nejsou schopni komunikovat (LAP zahodí všechny asociace), LAP se musí resartovat a svázat se s jiným WLC.
HREAP = (Cisco prop.) Hybrid Remote Edge Access Point - Pokud je LAP ve vzdálené lokalitě připojené WAN linkou, která spadne, LAP v lokalitě dále funguje jako AP a klienti mohou v rámci lokality dále komunikovat.

  • Komunikace mezi klienty v rámci jednoho LAP vždy prochází přes WLC, je-li provoz ve vzduch šifrován, v tunelech mezi LAP a WLC šifrován není.

Na obrázcích je vidět, že WLC je připojeno trunkem ke switchi, v trunku se přenáší klientské VLANy A a B, avšak od WLC směrem ke klientům je znázorněna už jen jedna VLAN Z. Dalo by se říci, že LAP nebudou mít konektivitu s příslušnými VLANami. Na druhém obrázku je znázorněno, že každé LAP má s WLC pro každé SSID navázaný tunel, ve kterém se přenáší data příslušné VLANy.

Roaming v Cisco Unified Wireless síti

Roaming přes autonomní AP - klient se přeasociuje z jednoho AP na druhé, což si s nimi musí nejdřív vyjednat. Řeší se zde také problém s daty, které jsou v bufferu předchozího AP. Tento roaming funguje jen na L2. Pro L3 to chce přidat nějaký fičury.
Roaming v Unif.Wireless síti - klienti si asociaci s LAP vyjednávají přímo s WLC

Intracontroller Roaming

Obě LAP mají stejné SSID. Jakmile se klient přesune pod LAP2, asociuje se s ním a veškeré potřebné změny se dějí jen v rámci WLC (přesunutí dat z bufferů do nového LWAPP/CAPWAP tunelu).
Před RoamingemPo Roamingu

Intercontroller Roaming

WLC1 a WLC2 jsou ve stejném IP subnetu

Předání asociace se děje pomocí zprávy “Mobility exchange”, po této zprávě klient se svou původní IP adr. komunikuje skrz LAP2.
Před RoamingemPo Roamingu

WLC1 a WLC2 nejsou ve stejném IP subnetu

Zde klietovi také zůstane původní IP adr., směrem od klienta probíhá komunikace normálně. Směrem ke klientovi je IP provoz směrován na WLC1 kde je enkapsulován do Ether-IP tunelu a přenesen do WLC2, kde je deenkapsulován a normálně doručen klientovi. Domovské LAP se nazývá Anchor, cizí LAP se nazývá Foreign. Při roamingu mimo domovskou buňku se vždy vytváří nový Ether-IP tunel mezi Anchor WLC a Foreign WLC.
Ether-IP tunel = enkapsulace L2 rámce do L3 paketu pomocí IP protokolu 97.
Před RoamingemPo Roamingu

Mobility groups
  • Aby WLC byly shopni si mezi svými LAP předávat klienty, jsou konfigurováni do tzv. “Mobility group”.
  • Až 24 WLC per group
  • Klient může přejít do jiné mobility group, avšak v té původní jsou o něm všechny inf. ztraceny (IP adresa, apod.).

Konfigurace

  • Jsou popsány jen konfigurace portů switche

Autonomous AP

Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport trunk allowed vlan 10,20,30
Switch(config-if)# switchport mode trunk
Switch(config-if)# spanning-tree portfast trunk

Lightweight AP

  • Nachází se v prístupové (access) vrstvě sítě
  • LAP vyžaduje access port (ne trunk)
  • Potřeba je pouze VLAN, ve které je DHCP a je přes ní dostupný WLC
  • LAP může být v libovolné VLAN, doporučuje se zvláštní VLAN jen pro LAPs
  • Na portu se může zapnout portfast - nehrozí zde vytvoření smyčky vzduchem mezi LAP

Switch(config)# vlan 100
Switch(config-vlan)# name ap-management
Switch(config-vlan)# exit
Switch(config)# interface gigabitethernet1/0/10
Switch(config-if)# switchport
Switch(config-if)# switchport access vlan 100
Switch(config-if)# switchport mode access
Switch(config-if)# spanning-tree portfast
Switch(config-if)# power inline auto
Switch(config-if)# exit

WLC

  • Měl by se nacházet v distribuční vrstvě sítě
  • Pokud se bezdrátem distribuuje více VLAN, WLC se musí připojit trunkem
  • Trunk může tvořit Etherchannel, který musí být nastaven na pevno (“ON”, WLC si ho neumí vyjednat)

Switch(config)# interface range gigabitethernet1/0/41 - 44
Switch(config-if)# switchport
Switch(config-if)# channel-group 1 mode on
Switch(config-if)# exit

Switch(config)# interface port-channel 1
Switch(config-if)# switchport encapsulation dot1q
Switch(config-if)# switchport trunk allowed vlan 10,20,30
Switch(config-if)# switchport mode trunk
Switch(config-if)# spanning-tree portfast trunk
Switch(config-if)# no shutdown
Switch(config-if)# exit
wiki/site/cisco/wlan_zaklady.txt · Last modified: 2018/01/17 14:09 by root