Cisco 胖AP 的基本設定

Cisco 胖AP 的基本設定 (Autonomous AP Basic Config)
Part 1. 快速讓胖AP可用:

Step.1 設定802.11的無線SSID:

ap#config t

ap(config)#dot11 ssid MySSID

ap(config-ssid)#authentication open

ap(config-ssid)#guest-mode

設定的同時，也必需指令驗證方式，我們先用開放驗證(open)方式讓它通就好。而guest-mode是讓SSID進行廣播，可以方便初始化的連線，為了安全可以不用設定(Client端需要指定好SSID才能連線)

Step.2 指定無線訊號的SSID與開啟無線通訊:

下面是一顆1131AG的AP，所以有兩個協定802.11a與802.11g，分別在dot11Radio 0與dot11Radio 1，預設是關閉的，需要進去介面打開:

ap(config)#int dot11Radio 0

ap(config-if)#ssid MySSID

ap(config-if)#no shutdown

ap(config)#int dot11Radio 1

ap(config-if)#ssid MySSID

ap(config-if)#no shutdown

Step.3 設定BVI:

如果是DHCP的環境是可以略過這個步驟，因為預設會自已抓好，Fat AP是靠BVI(Bridge Virtual Interface)來讓實體網路與無線網路通訊，所以必需設定一個實體環境的IP給它:

ap(config-if)#int bvi 1

ap(config-if)#ip addr dhcp

或是以手動指定IP:

ap(config-if)#int bvi 1

ap(config-if)#ip addr 192.168.1.3 255.255.255.0

搞定!!把自已的電腦利用無線連看看!!


Part 2. 常用基本設定:

ARP Cache:
AP的運作就像Hub一樣,廣播是它們必做的事，開啟Arp-Cache，可以加快效能(雖然感受不到)，
當AP收到一個ARP封包，會比對Cache裡的資料，如果不在Cache就不廣播把封包丟掉，以減少廣播封包。

ap(config)#dot11 arp-cache

Time:
可能希望與NTP Server同步時間

ap(config)#sntp server 220.130.158.82

或是直接設定時間

ap#clock set 12:21:00 3 Sep 2010

再show一下時間狀況

ap#show clock

DNS:
環境沒有DHCP Server的話，可以手動幫AP設定DNS Server

ap(config)#ip name-server 168.95.1.1

SNMP:
可能需要開SNMP給網管軟體看 -

最後面可以選擇ro(Read Only)或是rw(Read and Write)

ap(config)#snmp-server community public ro

Part 3. 基本加密驗證:
通常胖AP較常用的是WEP或是WPA-PSK這兩種驗證方式，說明如下

WEP:
首先我們先看一下Web的驗證方式，可以更了解為何這麼設定，
WEP驗證基本上是不看人的，只看那把Key，如下:

Client --------------------------------------------- AP

Authentication Request--> --> <--<--Authentication Response + Challenge Clear-text Use text to Encrypt (Association Request) -->--> <--<--Compare static WEP keys & Association Confirmation

從上面的驗證流程可以知道AP在第二個步驗會請Client輸入Cler-text，這就是我們在連線AP時，

會跳出一個畫面(或在連線的設定裡)要我們輸入一個passphase，輸入後就可以把資料加密送給AP，

AP收到後就用我們現在要設定的Key來解密碼看，可以解開就送Association Confirmation給Client。

了解流程後，在設定Cisco AP時要記住:

1.設定驗證放式是在SSID下

2.設定加密方式要在無線訊號(Radio)下

而設定順序一定要先設定加密方式，再設定驗證方式，因為要先有key，才可以在驗證方式裡選用key麻~下面就先到無線訊號下設定加密，設定WEP加密方式要先設定一個key1~4, size可以選擇40或128，設定40就需要設定十位元的文字(連線的密碼)，設定128的話，需要設定26個字的密碼，如下的1234567890就是很Client連線要輸入的key.然後再指定模式為WEP

ap(config)#inter dot11Radio 0

ap(config-if)#encryption key 1 size 40 1234567890

ap(config-if)#encryption mode wep mandatory key-hash

然後再進到ssid裡面，指定驗證模式為開放

ap(config)#dot11 ssid abc

ap(config-ssid)#authentication open

如此就完成WEP的設定啦^^

凍一下~~~不是設定WEP嗎?怎麼驗證是用開放咧!!??

嘿~這就要從什麼是開放說起，下面是開放驗證流程:

Client ------------------------------------ AP Authentication Request-->--> <--<--Authentication Response Association Request -->--> <--<--Association Confirmation

再往上與WEP的流程比較一下，會發覺整個流程都一樣，說穿了WEP只是在開放驗證裡多了一個passphase的確認機制，所以Cisco認為WEP還是一個開放的認證(真是嚴格呀~)

Ps. 上面OPEN流程也可以說明為什麼在PartI時，我們只設authenticaion open，就可以不用輸入密碼使用AP了

WPA-PSK:
因為FAT AP通常不會結合到RADIUS等的認證平台，反而在導Thin AP時都需要與驗證平台做驗證，在沒有驗證平台的情況下，我們可以透過設定PreShareKey(PSK)來取代驗證平台，方法如下:
一樣，要先在無線頻道下指定加密方式，因為是WPA,會用TKIP來動態更改key加強安全

ap(config)#inter dot11Radio 0

ap(config-if)#encryption mode ciphers tkip

再進到ssid下面設定驗證方式,由於只是wpa-psk，所以不用設定EAP驗證，我們以開放式(open)驗證即可，而key-managemnet就是用WPA，最後再設定WPA的PreShareKey(即Client連線的密碼)就搞定啦!

ap(config)#dot11 ssid abc

ap(config-ssid)#authentication open

ap(config-ssid)#authentication key-management wpa

ap(config-ssid)#wpa-psk ascii 12345678

設完後你就會發覺，原來WPS-PSK的驗證流程，還是OPEN的四個方式，但比WEP還強的是，有TKIP的自動變更key機制，所以較為安全^^(我說的是…"較為")