■ 河南 郭建伟

在企业网络环境中，无线网络所占的比重越来越大。对于无线网络来说，AP 占据着非常重要的作用，客户一般都是通过AP，才可以接入无线网络。例如,对于常用的Cisco AP 来说，就提供了Local、FlexConnect、Monitor、Rogue Detector、Sniffer、Bridge 和Flex+Bridge 等模式。网络管理员必须熟悉和了解这些模式的特点和功能，才可以对AP 进行灵活的管理和配置，保证无线网络顺畅运行。

AP 各工作模式的特点

在众多模式中，Local是最常用的数据转发模式，FlexConnext 是 本 地 转发 模 式，Flex+Bridge 是FlexConnext 的一种特殊工作模式。Local 模式主要用于数据服务，与其相连的交换机接口处于Access 状态，通过DHCP 获取IP，AP 和WLC之间通过CAPWAP 隧道连接，在其中传输控制层面和数据层面的流量。

在FlexConnext 模式下，AP 和交换机以Trunk 方式连接，在CAPWAP 隧道中仅仅传输控制和管理层面流量，数据流量在AP 本地通过Trunk进入指定的VLAN。注意，Local 模式也提供监控服务，可以扫描其他的信道来发现恶意AP/Client，只是其扫描的效能很低，同时可以分析和管理帧有关的攻击行为。

登录到无线控制器上，在工具栏上选择“WIRELESS”项，在左侧选择“802.11b/g/n”→“RRM”→“General”项，在右侧的“Channel Scan Internal”栏中设置扫描周期，默认为180 s。为了增加扫描的时间，可以将该值适当调小一些。当然，为了提高扫描效能，最好使用单独的AP 来进行该工作，使其工作在“Monitor”模式，其并不提供数据服务功能，而只会发送Beacon 信标帧，对WLAN 进行全面监控，利用特定的策略来发现和拦截恶意AP 和客户端。

对于阻断操作来说，当WLC 重启后是不保存的。对于Rogue Detector 模式来说，主要用来检测恶意设备是否进入了有线网络，当发现一个恶意的无线设备接入到本有线网络中后，会产生告警信息，但是不会进行阻断操作。对于非法AP 来说，会对无线网络安全造成很大威胁，诸如窃取明文通讯数据，发起DoS 或者中间人攻击，发送恶意CTS 报文造成合法用户无法访问网络资源等。

实际上，内部员工也可以将非授权的AP 连入有线网络，造成其他用户无需认证即可直接接入内部网络，引发重大的安全问题。对于Monitor 和Rogue Detector模式来说，其之所以可以发现非法AP，依靠的是Rogue Location DiscoveryProtoco l（RLDP）协议，该协议可以关联不加密的AP，并关联到该恶意AP，发送De-Authentication 消息给连接到该AP 的所有客户端并关闭其信道，并通过该恶意AP向WLC 发送UDP 包，如果WLC接收到该包的话，就会表标记其为恶意AP 并发送警告信息给管理员。

当然，对于5 GHz 的DFS信道来说，是不支持RLDP 的。对于DFS 来说，在正常情况下，是没有开放给WiFi 使用的。

注意，如果使用处于Local 或 者FlexConnect 模式 的AP 来 执 行RLDP 检 测话，那么在执行检测的时候，所有连接的客户端就会掉线，直到RLDP 测试完成，客户端才会再次上线。如果在WLC 上针对所有的AP 配置了RLDP 功能，WLC 一般只是选择使用了Monitor 模式的AP来执行检测操作。

搭建简单实验网络

这里使用简单的网络，来说明如何使用各种AP 工作模式。本例中存在一台WLC控制器，其通过G0/1 连接到核心交换机SW1Fa0/24 接口上，该连接处于Trunk 模式。在SW1 上存在VLAN10，VLAN20 和VLAN30 三个VLAN，其IP 范围分别为10.1.1.0/24，20.1.1.0/24 和30.1.1.0/24，对应的SVI 地址分别为10.1.1.254，20.1.1.254 和30.1.1.254。其中的VLAN10用于管理，WLC 的管理口IP为10.1.1.100，其余的VLAN为客户端分配地址。在SW1上分别为AP1 和AP2 配置地址池，指定其默认网关和WLC的地址。

交换机SW2 的G1/0/1 接口和SW1 的Fa0/1 接口通过Trunk 进行连接，在SW2 上存在VLAN 30，AP1 连接到SW2的G1/0/2 接口上，通过DHCP获取IP 并利用CAPWAP 隧道和控制器连接连接。交换机SW3 的G1/0/1 接口和SW1 的Fa0/2 接 口通 过Trunk 进行连接，在SW3 上存在VLAN20，AP2 连接到SW3 的G1/0/2 接口上，通过DHCP 获取IP 并利用CAPWAP 隧道和控制器连接连接。有一台来历不明的AP3 胖AP 连 接 到SW1 的Fa0/3 接口上，该接口处于Access 模式。其获取的IP为20.1.1.20，在该AP 上创建了SSID，处于未加密状态，其扮演恶意AP 的角色。

配置和使用Monitor 模式

登录到WLC 管理界面，点击工具栏上的“WIRELESS”项，在 左 侧 选 择“Access Points”项，在右侧显示已经连接的AP，点击某个AP（例如AP1），在其属性窗口的“General”面板中的“AP Mode”列表中显示所有的工作模式，默认为Local 模式。在其中选择“Monitor”项，将其切换到Monitor 模式。在“Advanced”面板中会看到“Rogue Detection”项自动处于选择状态，说明对于Monitor 模式来说，是默认要进行RLDP 检测的。之后该AP 会重启，才可以完成模式的切换。

在 工 具 栏 上 点 击“SECURITY”项，在左 侧 选择“Wireless Protection Policies”→“Rogue Polici es”→“General”项，在右侧的“Rogue Detection Security Level”栏中选择安全检测级别，包括Low、High、Critical和Custom等。对于Low 级别来说，只进行最基本的检测。

对于High 级别来说，不仅进行基本的检测，还可以自动进行阻塞，对于Critical 级 别 来 说，在 前两者的基础上，还可以利用RLDP 连接恶意AP，来执行高级检测操作。对于Custom级别来说，可以进行灵活的自定义操作。

例如，在“Rogue Locatio n Discovery Protocol”列表中选择执行RLDP 协议的对象，包括开启Monotor的AP，所 有 的AP 或 者 禁用 该 功 能 等。 在“Auto Containment Level”列表中可以设置自动阻塞的等级，包括自动或者合适的AP 数量（从1 到4），这样，最多可以指定4 个AP 来执行阻塞操作。点击“Apply”按钮，保存配置信息。

查看恶意无线设备

当该AP 重启后，就会执行对恶意无线设备的监控操作。在WLC 管理界面工具栏上点击“MONITOR”项，在“Rogue Summary”栏中显示活动的恶意AP 数量，恶意客户端的数量。在“Active Rogue APs”栏右侧点击“Detail”链接，显示所有的恶意AP 的信息，包括其MAC地址、SSID、信道和状态等内容。

例如，在其中就可以看到上述名为AP3 的接入设备。在“Active Rogue Clients”栏右侧点击“Detail”链接，显示处于活动状态的恶意客户，包括其MAC 地址、关联的AP 的MAC 地 址、使 用 的SSID、上次发现的时间以及状态等内容。

对于发现的恶意连接，可以基于AP 或者客户级别进行阻塞。例如，发现名为“EYClient”的恶意客户，可以在上述恶意客户详细信息中点击该客户项目，在其详细信息窗口中的“Update Status” 列 表中 选 择“Contain”项，在“Maximum number of APs to contain the rogue”列表中选择“Auto”项，点击“Apply”按钮，将其阻塞掉，之后该客户的无线连接就会自动断开。之所以可以实现该效果，其实就是模拟该客户连接的AP，向该客户连续不断的发送要求认证的DeAuthentication 包，该 包中的源MAC 为该恶意AP 的MAC 地址，目的MAC 为该客户机的MAC 地址，其作用就是要求该客户进行认证，直到将其踢下线为止。

无线AP 的分类原则

在左侧选择“Regous”→“Unclassfied APs”项，在右侧显示为归类的所有AP，其中有些是恶意AP 有些则可能不是。但是，所有这些AP的状态均处于Alert 告警模式。

为了便于控制恶意AP，可以创建对应的规则，对这些AP 进行分类管理。类别 包 括Friendly（友 好）、Malicious（恶意）、Custom（自定义）和Umclassified（未归类）等。

注意，默认没有任何一个归类规则是激活的，所有位置的AP 都会被放入未归类类型。

当创建了一个规则，为其配置了条件，当激活该规则后，那么未归类的所有AP 将重新进行分类。当修改了该规则，则仅仅会应用到的所有的状态了Alert 的AP。对于已经归类的AP 来说，是不会生效的。

对于分类的行为来说，WLC 会先在信任的MAC 地址列表中查询此可疑AP 的MAC地址，如果找到的话将其会分到Friendly 类别中。

在 工 具 栏 上 点 击“SECURITY”项，在左 侧 选择“Wireless Protection Policies”→“Rogue Policies”→“Fridendy Rogue”项，在右侧可以输入目标MAC 地址，即可将其添加到友好类别中。

如果该非法AP 的MAC 地址不再信任列表中，WLC 即可对其进行应用分类规则。

如果该诶发AP 已经被分类到了Malicious、Alert，Friendly、Internal、External 等类别之中，WLC就不会对其进行归类操作。

如果必须进行分类，则需要手工进行调整。例如将Malicious 类别中的某个AP手工划分到Friendly 类别中等。WLC 会按照优先级应用所有的分类规则，如果该非法AP 符合规则，就按照该规则对其进行归类。

如果其不匹配任何预设的规则，那么其会被称为未分类状态。

注意，如果RLDP 检测出非法AP 连接到本地有线网络中，WLC 会认为该AP 具有破坏性并将其标示为恶意AP。如果该AP 没有连接在本地有线网络中，WLC 会将其标识为Alert状态，每个WLC 最多支持64 个规则，在每个恶意AP 中只能显示最多256 个非法客户。

创建简单的分类规则

在 工 具 栏 上 点 击“SECURITY”项，选择“Wirele ss Protection Policies”→“Rogue Rules”项，在右侧点击“Add Rule”按钮，添加新的规则，输入规则的名称（例如“rule1”），在“Rule Type”列表中选择“Friendly”项，在“Notify”列 表 中 选 择“All” 项，在“Status” 列表中选择“ALert”项，点击“Add”按钮，创建该规则。在列表中点击该规则，在其属性 窗 口 中 的“Conditions”列表中选择选择各种条件，包括SSID，连接时长，信号强度，连接客户数量，是否加密等。例如选择“SSID”项，点击“Add Condition”按 钮，输入合适的SSID 名称（例如“ssid1”），点 击“Add SSID”按钮将其添加进来，同理可以添加多个SSID。这样，只要是和上述SSID 相关的AP全部添加到Friendly 类别中。

注意，必须选择“Enable Rule”项，才可以将该规则激活。

在WLC 管理界面工具栏上点击“MONITOR”项，选择“Rogues”→“Friendly APs”项，显示所有的友好的AP。

配置复杂的分类规则

按照上述方法，创建名为“DetectEY”的 规 则，在“Rule Type”列表中选择“Malicious”项，在“Status”列表中选择“Contain”项。

这样只要符合该规则的AP，就将其视为恶意AP 并将其阻断。

在其属性窗口中的“Conditions”列 表 选 择“SSID”项，输入并添加其SSID 名称（例如“EYSSID”）。在“Conditions” 列 表 选择“RSSI”项，输入合适的最小信号强制（例如“→20 dbm”，该值越小强度越大）。

在“Conditions”列表选择“No Encryption”项，选择“No Encryption”项，表示其没有加密。

在“Conditions”列表选择“Client Count”项，输入连接的客户数量。

当然，可以根据需要添加更多的条件。在“Match Operation”栏中选择“Match All”项，表示必须符合所有的条件。选择“Match Any”项，表示符合任意条件即可。

点击“Apply”按钮应用该规则。这样，只要符合条件的AP 就被视为恶意AP 并被阻断。

选择“Rogues”→“Mali cious APs”项，显示所有恶意的AP。

Sniffer 模式的工作方式

在 目 标AP（例 如“AP2”）的属性窗口中选择“Sniffer”项，使其处于Sniffer 模式。

注意，模式切换后必须重启AP。该AP 只负载抓取数据包，当然，需要设置其针对哪个信道抓包。

这样，该信道的所有流量数据都会通过CAPWAP 隧道送到WLC 上，在WLC 上需要设置用于分析数据的主机的IP，之后将这些数据包发送过去，当然，WLC 会将这些数据进行封装，前部为源和目的地址，中间为UDP 头部，端口号为5555，后部为抓取的数据包。

在客户机上必须安装诸如AiroPeek 之类软件，便于解码UDP5555 格式的封装包。

注意，要实现Sniffer模式，需要在WLC 的命令行接口中执行“config network ip-macbinding disable”命令，取消控制器的IP-MAC 绑定功能。还必 须 激 活1 号WAN，否 则 该AP 无法发送数据包。

在工具栏上选择“WIREL ESS”项，在左侧选择“Access Points”→“Radios”→“80 2.11 b/g/n”项，在右侧选择目标AP，在其配置界面中选择“Sniff”项，激活其抓包功能。

在“Channel”列 表 中选择需要监控的信道。在“Server IP Address”栏中输入安装了分析软件的主机IP，在“Assignment Method”列表中选择“Custom”项，选择同样的信道。当然，这里这针对的是2.4 Ghz 射频模式，也可以针对802.11 a/n/ac 模式进行设置。这样，在指定的主机上就可以接收和分析数据包了。注意，目标信道不能处于加密状态。

Bridge 模式的功能和特点

在目标AP（例如“AP2”）的属性窗口中选择“Bridge”项，使其处于Bridge 模式，对于瘦AP 来说，利用该模式可以实现无线Mash 网络。

对于Mash 网络来说只有根AP（RAP，即Root Access Point）连接到有线网络中，其 余 的AP（MAP，即Mesh Access Point）全部是无线连接的。

这些AP 之间可以建立多跳的无线链路，并使用AWPP（Cisco Adaptive Wireless Path Protocol）协议来相互发现并建立连接，决定到WLC的最佳传输路径。

无线Mash 网络具有高性价比、可扩展性强、应用范围广和高可靠性等特点。

无线Mesh 网络中各AP实现的是全连接，从某个MAP 到RAP 之间存在多条链路，可以有效避免单点故障。MAP 采 用MAC 认 证 或 外 部RADIUS 认证两种方式，接入到无线Mesh 网络中。

对于前者来说，将MAP的MAC 地址加入到数据库中便于其关联到指定的WLC。对于后者来说，可以通过外部的RADIUS 认证设备来关联指定的WLC。Mesh AP 支持 Wireless mesh、WLAN backhaul、点对多点无线桥接、点对点无线桥接等模式。

用Bridge 模式构建Mesh 网络

为了便于说明，这里将上述实验环境稍加修改，将SW2和SW1 之间的连接取消，让AP1 必须通过Bridge 模式通过AP2 连接到WLC。

在AP1 和AP2 的属性窗口中的“AP Mode”列表中均选择“Bridge”项，将其切换到Bridge 模式。

注意，如果直接切换会出现错误信息，提示需要手工指派信道和发射功率。

为此可以先在左侧选择“Access Point”→“Radio s”→“802.11 a/n/ac”项，在目标AP 右侧点击蓝色的按钮，在弹出菜单中选择“Configure”项。

在配置界面中的“RF Channel Assignment”中的“Assignment Method”栏中选择“Custom”项，选择合适的信道（例如“149”）。

在“Tx Power Level As signment”栏中选择“Custo m”项，输入合适的发射功率（例如“1”）。

注意，需要在所有的AP 上设置相同的参数。

在“802.11 a/n/g”射频模式下也需要进行相同的配置。

为了实现无线流量的透传，需要在SW2 和AP1 连接交换机端口上开启Trunk 模式，在SW3 和AP2 连接的端口上也开启Trunk 模式。

例如，在SW2 全局配置模式下“default interface GigabitEthernet 1/0/2”，“interface GigabitEthern et 1/0/2”，“switch trunk native vlan 20”，“switch mode trunk”等指令即可。

当切换到Bridge 模式后，必须将其MAC 地址添加到WLC 的数据库中，否则其无法顺利连接。

在WLC 管理界面工具栏 上 选 择“SECURITY”项，在左侧选择“AAA”→“MAC Filtering”项，在右侧点击“New”按钮，输入相关AP 的MAC 地址，点击“Apply”按钮将其添加进来。

当关闭了SW2 和SW1 的连接后，在WLC 的AP 列表中就暂时看不到AP1，在AP2 的属性窗口中的“Mesh”面板中的“AP Role”列表中选择“RootAP”项，将其设置为根AP。

AP1 会通过无线口进行连接，从AP2 得到控制器地址，之后连接到WLC 上。

之后在列表中才会显示该AP，而且其获取的IP 属于SW3 上的VLAN 20 网段，AP1就成为了MeshAP 的角色。

在工具栏上边选择“WIRELESS”的 选项，在左侧 选 择“WLANs”的 选 项，在右侧点击“New”按钮，输 入WLAN 的 名 称（例 如“WLAN100”），点 击“Apply”按钮创建该WLAN。

在 其 属 性 窗 口 中的“Security”面 板 中 的“Layer2”标签中的“PSK”栏中选择“Enable”项，输入预共享密钥。

为了便于为客户端分配IP，可以在SW3 上开启DHCP功能。

例 如， 执 行“dhcp pool dzpool1”，“network 10.1.1.0 255.255.255”，“default →router 10.1.1.254”等指令。

在客户端上可以搜索并连接到上述WLAN 上，输入预共享密码后，就可以连接到网络中。当然，两个AP 均可以发送连接信息，但是两者的信道是不同的，客户端可能通过其中任意一个进行连接。

如 果 在 左 侧 选 择“Advanced”→“Mesh”项，在右 侧 的“Backhaul Client Access”栏中选择“Enabled”项，激活回传功能，即允许客户连接使用5Ghz 射频的RAP，来传输数据。

在“VLAN Transparent”栏中默认选择“Enabled”项，说明已经激活了VLAN 透传功能。

这 样，在SW2 和SW3 上都创建新的VLAN 后（例如VLAN200），那么连接到SW2上的有线客户机就可以通过Trunk 连接，直接访问SW3 中相同VLAN 中的设备。