Cisco 胖AP 的基本设定

2010年9月3日星期五

Cisco 胖AP 的基本設定(Autonomous AP Basic Config)

雖然Cisco的胖AP比市售的胖AP貴的許多，但市場上還是可以看見很多將Cisco的Thin AP更改為胖AP單用的狀況，原因是因為:

不想常去"重開就會好"

特別是需要一直放著提供無線服務的環境，不得不佩服它的技術。

下面針對胖AP的CLI基本設定做介紹(第一次有GUI的速度慢到讓我想學CLI)，

幫助大家快速設定這個胖子...(笑)

Part 1. 快速讓胖AP可用:

Step.1設定802.11的無線SSID:

ap#config t

ap(config)#dot11 ssid MySSID

ap(config-ssid)#authentication open

ap(config-ssid)#guest-mode

設定的同時，也必需指令驗證方式，我們先用開放驗證(open)方式讓它通就好。而guest-mode是讓SSID進行廣播，可以方便初始化的連線，為了安全可以不用設定(Client端需要指定好SSID才能連線)

Step.2 指定無線訊號的SSID與開啟無線通訊:

下面是一顆1131AG的AP，所以有兩個協定802.11a與802.11g，分別在dot11Radio 0與dot11Radio 1，預設是關閉的，需要進去介面打開:

ap(config)#int dot11Radio 0

ap(config-if)#ssid MySSID

ap(config-if)#no shutdown

ap(config)#int dot11Radio 1

ap(config-if)#ssid MySSID

ap(config-if)#no shutdown

Step.3 設定BVI:

如果是DHCP的環境是可以略過這個步驟，因為預設會自已抓好，Fat AP是靠BVI(Bridge Virtual Interface)來讓實體網路與無線網路通訊，所以必需設定一個實體環境的IP給它:

ap(config-if)#int bvi 1

ap(config-if)#ip addr dhcp

或是以手動指定IP:

ap(config-if)#int bvi 1

ap(config-if)#ip addr 192.168.1.3 255.255.255.0

搞定!!把自已的電腦利用無線連看看!!

Part 2. 常用基本設定:

ARP Cache:

AP的運作就像Hub一樣,廣播是它們必做的事，開啟Arp-Cache，可以加快效能(雖然感受不到)，

當AP收到一個ARP封包，會比對Cache裡的資料，如果不在Cache就不廣播把封包丟掉，以減少廣播封包。ap(config)#dot11 arp-cache

Time:

可能希望與NTP Server同步時間

ap(config)#sntp server 220.130.158.82

或是直接設定時間

ap#clock set 12:21:00 3 Sep 2010

再show一下時間狀況

ap#show clock

DNS:

環境沒有DHCP Server的話，可以手動幫AP設定DNS Server

ap(config)#ip name-server 168.95.1.1

SNMP:

可能需要開SNMP給網管軟體看-

最後面可以選擇ro(Read Only)或是rw(Read and Write)

ap(config)#snmp-server community public ro

Part 3. 基本加密驗證:

通常胖AP較常用的是WEP或是WPA-PSK這兩種驗證方式，說明如下

WEP:

首先我們先看一下Web的驗證方式，可以更了解為何這麼設定，

WEP驗證基本上是不看人的，只看那把Key，如下:

Client --------------------------------------------- AP

Authentication Request--> -->

<--<--Authentication Response + Challenge Clear-text Use text to Encrypt (Association Request) -->-->

<--<--Compare static WEP keys & Association Confirmation

從上面的驗證流程可以知道AP在第二個步驗會請Client輸入Cler-text，這就是我們在連線AP時，

會跳出一個畫面(或在連線的設定裡)要我們輸入一個passphase，輸入後就可以把資料加密送給AP，

AP收到後就用我們現在要設定的Key來解密碼看，可以解開就送Association Confirmation給Client。

了解流程後，在設定Cisco AP時要記住:

1.設定驗證放式是在SSID下

2.設定加密方式要在無線訊號(Radio)下

而設定順序一定要先設定加密方式，再設定驗證方式，因為要先有key，才可以在驗證方式裡選用key麻~下面就先到無線訊號下設定加密，設定WEP加密方式要先設定一個key1~4, size可以選擇40或128，設定40就需要設定十位元的文字(連線的密碼)，設定128的話，需要設定26個字的密碼，如下的1234567890就是很Client連線要輸入的key.然後再指定模式為WEP

ap(config)#inter dot11Radio 0

ap(config-if)#encryption key 1 size 40 1234567890

ap(config-if)#encryption mode wep mandatory key-hash

然後再進到ssid裡面，指定驗證模式為開放

ap(config)#dot11 ssid abc

ap(config-ssid)#authentication open

如此就完成WEP的設定啦^^

凍一下~~~不是設定WEP嗎?怎麼驗證是用開放咧!!??

嘿~這就要從什麼是開放說起，下面是開放驗證流程:

Client ------------------------------------ AP

Authentication Request-->-->

<--<--Authentication Response Association Request -->-->

<--<--Association Confirmation

再往上與WEP的流程比較一下，會發覺整個流程都一樣，說穿了WEP只是在開放驗證裡多了一個

passphase的確認機制，所以Cisco認為WEP還是一個開放的認證(真是嚴格呀~)

Ps. 上面OPEN流程也可以說明為什麼在PartI時，我們只設authenticaion open，就可以不用輸入密碼使用AP了

WPA-PSK: