Sem fio : Cisco Aironet 3600 Series

Módulo do Cisco Aironet AP para a segurança Wireless e o guia de distribuição da inteligência do espectro (WSSI)

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece a configuração geral e as diretrizes de distribuição para o módulo do Access point do Cisco Aironet para a inteligência da segurança Wireless e do espectro (WSSI). O WSSI é uns módulos de adição que possam ser introduzidos nos pontos de acesso modular (AP) como o Cisco 3600 Series AP.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide01.gif

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide02.gif

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide03.gif

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

O módulo da inteligência da segurança Wireless e do espectro precisa as versões do código mínimo:

  • Controlador do Wireless LAN (WLC) – Versão 7.4.xx.xx ou mais tarde

  • Access Point (AP) – Versão 7.4.xx.xx ou mais tarde

  • Infraestrutura principal (PI) – Versão 1.3.xx.xx ou mais tarde

  • Motor dos Serviços de mobilidade (MSE) – Versão 7.4.xx.xx ou mais tarde

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Visão geral do produto

O módulo da inteligência da segurança Cisco Wireless e do espectro, aproveitando-se do projeto modular flexível do 3600 Series AP do Cisco Aironet, entrega inaudito, sempre-na exploração da Segurança e na inteligência do espectro. Isto ajuda-o a evitar a interferência do Radio Frequency (RF) de modo que você obtenha a melhores cobertura e desempenho em sua rede Wireless.

  • 24 monitores completos e mitigação do espectro x 7 para o aWIPS, o CleanAir, a conscientização do contexto, a detecção desonesto e a gerência de recursos do rádio

  • 24 proteções da ameaça do aWIPS do em-canal x 7

  • 23 vezes mais cobertura da Segurança e do espectro

  • Poupanças de despesas 30%+ CAPEX contra o modo de monitor dedicado AP

  • Configuração zero do toque

O módulo campo-atualizável WSSI é um rádio dedicado que as fora-cargas toda a monitoração e Serviços de segurança do cliente/serviço dos dados transmitam por rádio ao módulo do monitor da Segurança. Isto permite não somente o melhor desempenho cliente, mas igualmente reduz custos eliminando a necessidade para o modo de monitor dedicado AP e a infraestrutura de Ethernet exigida para conectar aqueles dispositivos em sua rede.

Junto, o 3600 Series AP e o módulo WSSI permitem-no de fornecer simultaneamente funções avançadas da Segurança e da análise de espectro para clientes do Wi-fi em todos os canais, as faixas em 2.4-GHz e em 5-GHz.

Uma vez que distribuído, o módulo está fazendo a varredura constantemente de todos os canais para ajudar a assegurar a experiência wireless a mais segura e a mais robusta disponível na indústria.

Vantagens do modo WSSI

Modo local aumentado (OLMO):

  • Reduz custos de rede e operações. Integrando o módulo WSSI no 3600 Series, você pode substituir até três dispositivos separados. Isto fornece três funções separadas em um único, 3600 Series de múltiplos propósitos AP.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide04.gif

  • Os clientes podem agora leverage uma única conexão Ethernet (cabo e porta) em sua rede ligada com fio, no lugar do que exigiria tipicamente até três cabos do Ethernet separados e uma porta de acesso em sua rede ligada com fio. Isto reduz significativamente seu CAPEX.

  • Integrando todas estas características a um único AP, os clientes simplificam o Gerenciamento e a monitoração do dia a dia de seus infraestrutura Wireless e rede com um número extremamente reduzido de AP. O módulo WSSI aparece ao WLC e aos sistemas de administração como um rádio adicional que apoia os dispositivos do cliente 802.11b/g/a/n (2.4 e gigahertz 5) dentro do 3600 Series específico AP.

  • A configuração zero do toque, instala, ligação inicial e vai. Não há absolutamente nenhuma configuração exigida para permitir o módulo WSSI de estar em serviço, e imediatamente monitorando e de fixação sua rede Wireless. O módulo WSSI é introduzido e fixado a qualquer 3600 Series AP. Quando o AP é apoio posto o módulo está inicializado junto com os outros rádios no AP e começa imediatamente a monitorar todos os canais em ambos os 2.4 e gigahertz 5 para todas as ameaças e origens de interferência da segurança potencial.

  • O wIPS adaptável fornece a detecção exata e eficiente da ameaça em todos os canais sobre - dos ataques de ar, os AP desonestos, e as conexões ad hoc, assim como a capacidade para classificar, notificar, abrandar e relatar para a monitoração e o gerenciamento pró-ativo constantes. Trabalhos conjuntamente com o motor dos Serviços de mobilidade de Cisco (MSE).

OLMO:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide05.gif

  • Adiciona a exploração da Segurança do wIPS para 7x24 na exploração do canal (gigahertz 2.4GHz e 5), com melhor esforço fora do apoio do canal.

  • O AP está servindo adicionalmente clientes e com o G2 Series dos AP, permite a análise de espectro de CleanAir nos canais (2.4GHz e 5GHz).

Modo de monitor:

  • O modo de monitor AP (MMAP) é dedicado para operar-se no modo de monitor e tem a opção para adicionar a exploração da Segurança do wIPS de todos os canais (2.4GHz e 5GHz).

  • O G2 Series dos AP permite a análise de espectro de CleanAir em todos os canais (2.4GHz e 5GHz).

  • MMAPs não serve clientes.

AP3600 com módulo WSSI: A evolução da segurança Wireless e do espectro

  • O primeiro AP da indústria que facilita o serviço de cliente, a exploração da Segurança do wIPS e a análise de espectro simultâneos usando a tecnologia de CleanAir.

  • Rádio 2.4GHz e 5GHz dedicado com suas próprias Antenas que permite a exploração 7x24 de todos os canais wireless nas faixas 2.4GHz e 5GHz.

  • Uma única infraestrutura de Ethernet fornece a operação simplificada com menos dispositivos para controlar e o returno de investimento aperfeiçoado do infraestrutura Wireless AP3600 e da infraestrutura ligada com fio dos Ethernet.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide06.gif

  • Tecnologia de Cisco CleanAir: fornece a inteligência dinâmica, de alta velocidade do espectro combater os problemas de desempenho devido à interferência wireless. Tecnologia avançada da análise RF da indústria a primeira que inspeciona e classifica os testes padrões da energia (assinaturas) dos dispositivos que podem significativamente impactar a qualidade de uma rede Wireless.

  • Radio Resource Management (RRM): o Gerenciamento simplificado, avançado RF, adapta-se automaticamente ao ambiente de rede Wireless baseado na informação recebida da tecnologia de Cisco CleanAir. Uma vez que as interferências são identificadas, RRM pode mover dispositivos do cliente para os canais longe da interferência e ajustar a potência do trânsito mover-se longe do origem de interferência. Isto fornece a melhor qualidade RF ao usuário.

  • Detecção desonesto: detecta e relata o acesso de rede e o acesso secretos aos clientes Wireless.

  • Conscientização do lugar e do contexto: fornece a conscientização do tempo real e a capacidade seguir o ponto final Wireless.

Com estas características, o módulo da inteligência da segurança Cisco Wireless e do espectro, junto com o Cisco 3600 Series AP, fornece a rede Wireless a mais segura e a mais robusta da classe da empresa possível para seus usuários corporativos e dados.

Em-canal contra o Fora-canal usando o módulo WSSI

Um modo local AP faz a varredura para o em-canal dos atacantes das interferências e dos wIPs de CleanAir. Isto significa as varreduras AP somente o canal que está servindo. Um modo local AP com um canal de serviço 1 do rádio 2.4GHz e canal de serviço 5GHz de rádio 64, fornece somente a proteção nos canais 1 e 64.

Um MMAP faz a varredura para o fora-canal dos atacantes das interferências e dos wIPs de CleanAir. Isto significa que o AP faz a varredura de todos os canais. O rádio 2.4GHz faz a varredura de todos os canais 2.4GHz e o canal 5GHz faz a varredura de todos os canais 5GHz.

Um Cisco 3600 Series AP usa uma combinação de em-canal e de fora-canal. Os rádios 2.4GHz e 5GHz fazem a varredura do em-canal e o módulo WSSI faz a varredura do fora-canal, dando um ciclo entre todos os canais 2.4GHz e 5GHz.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide07.gif

Densidade sugerida do desenvolvimento para o módulo WSSI

No desenvolvimento tradicional do monitor AP, Cisco recomenda uma relação de 1 MMAP a cada 5 modo local AP. Isto pode variar baseado no projeto de rede e na orientação do perito para a melhor cobertura. Com o módulo WSSI, há umas recomendações de distribuição diferentes baseadas na funcionalidade para conseguir a paridade da cobertura com um MMAP.

Para CleanAir, recomenda-se distribuir 1 módulo WSSI para cada local 5 ou Flexconnect AP. Este desenvolvimento de 1:5 oferece o mesmo desempenho que um MMAP permitido CleanAir, mas ainda permite que o AP serva clientes. Este é um desenvolvimento recomendado para um módulo CleanAir de execução WSSI:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide08.gif

Para a proteção do wIPS, recomenda-se distribuir 2 módulos WSSI para cada local 5 ou FlexConnect AP. O tempo de detecção do wIPS para um ataque do fora-canal é aproximadamente duas vezes que de um MMAP. Consequentemente, um desenvolvimento de 2:5 é exigido para fornecer a paridade da detecção do wIPS. Este é o desenvolvimento recomendado para um módulo WSSI que executa a proteção do wIPS:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide09.gif

O Cisco 3600 AP com um módulo WSSI utiliza o em-canal e a exploração do fora-canal para fornecer uma solução principal da indústria ao servir clientes.

Instalando o módulo WSSI

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide10.gif

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide11.gif

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide12.gif

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide13.gif

Configuração para o módulo AP3600 WSSI

Não há nenhuma configuração para o módulo WSSI necessário. O módulo faz a varredura automaticamente de todos os canais em ambas as faixas usando seu 0x4 (receba - somente) Antenas de 0 Tx x 4 Antenas RX.

Note que o módulo WSSI é somente ativo em AP3600s configurado no modo local ou no modo de FlexConnect. O módulo WSSI é desabilitado em todos modos restantes.

Requisito de energia para o módulo WSSI

O AP3600 com um módulo WSSI instalado excede 15.4 watts (802.3af). O AP exige qualquer um (802.3at - PoE+), PoE aumentado, uma fonte de energia AC local, ou o injetor Poe Cisco (AIR-PWRINJ4).

Notas:

  • O PoE aumentado foi criado por Cisco e é um precursor a 802.3at PoE+. Fornece até 20W da potência.

  • PoE+ pode entregar até 30W da potência.

Gerência de recursos de rádio no módulo WSSI

O módulo WSSI toma todas as medidas RRM a faixa em faixa 2.4GHz e em 5GHz. As medidas são indicadas no WLC GUI sob o monitor > os Access point > o 802.11a/n > o AP_NAME > os detalhes ou o monitor > os Access point > o 802.11b/g/n > o AP_NAME > os detalhes.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide14.gif

CleanAir no módulo WSSI

O módulo WSSI detecta interferências de CleanAir com a mesma precisão que um MMAP. Cisco recomenda que o módulo WSSI esteja distribuído com uma densidade de 1:5, onde deve haver 1 módulo WSSI para cada 5 AP. Esta está à mesma densidade recomendada que para um MMAP.

Quando o módulo WSSI é permitido sem o secundário-MODE, o módulo faz a varredura a faixa de faixa 2.4GHz e de 5GHz. O módulo reside em cada canal para 1.2secs e faz a varredura para interferências de CleanAir.

CleanAir pode ser permitido em 2.4GHz somente, em 5GHz somente, e 2.4GHz e 5GHz. Isto é selecionável do WLC CLI ou do GUI. Está aqui um exemplo de configurar CleanAir no WLC CLI:

(Cisco Controller) >config 802.11-abgn cleanair enable APNAME 2.4GHz
(Cisco Controller) >config 802.11-abgn cleanair enable APNAME 5GHz

A mesma configuração pode ser aplicada no GUI através dos rádios do Sem fio > da Duplo-faixa > configura. Está aqui um exemplo deste:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide15.gif

A fim verificar que as interferências de CleanAir estiveram detectadas pelo módulo WSSI, emita as interferências do cleanair da mostra comandam do console AP:

SJC14-21A-AP-DUNGENESS-X# show cleanair interferers 
CleanAir: slot 0 band 2.4 number of devices 0:
CleanAir: slot 1 band 5.0 number of devices 0:
CleanAir: slot 2 band 2.4 number of devices 0:
CleanAir: slot 2 band 5.0 number of devices 1:
IDR: 24(3159) Video Camera
     ISI=0, -74 dBm, duty=100
     c=00180000 sig(4)=1057CA80
     on/report/seen 22/22/22 secs ago

A mesma configuração pode ser aplicada no GUI através dos rádios do Sem fio > da Duplo-faixa > configura. Aqui está um exemplo:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide16.gif

As interferências de CleanAir são relatadas no WLC GUI. As interferências são indicadas POR A FAIXA. Isto significa que as interferências detectadas no módulo WSSI na faixa 5GHz estão indicadas sob o monitor > o 802.11a/n > os dispositivos da interferência.

A fim verificar que as interferências de CleanAir estiveram detectadas pelo módulo WSSI, emita as interferências do cleanair da mostra do console AP:

SJC14-21A-AP-DUNGENESS-X# show cleanair interferers 
CleanAir: slot 0 band 2.4 number of devices 0:
CleanAir: slot 1 band 5.0 number of devices 0:
CleanAir: slot 2 band 2.4 number of devices 0:
CleanAir: slot 2 band 5.0 number of devices 1:
IDR: 24(3159) Video Camera
     ISI=0, -74 dBm, duty=100
     c=00180000 sig(4)=1057CA80
     on/report/seen 22/22/22 secs ago

wIPS no módulo WSSI

O módulo WSSI detecta atacantes do wIPS com quase a mesma precisão que um MMAP. Para o wIPS, Cisco recomenda distribuir o módulo WSSI com uma relação de 2:5 entre AP. Este os meios para cada 5 AP, dois dos AP devem conter o módulo WSSI.

Há dois modos do wIPS que podem ser configurados:

  • submode do wIPS - Permite a detecção de ataque do wIPS e faz a varredura de todos os canais para 1.2s. Este modo permite que o AP ainda capture todos os relatórios RRM além do que detecções do wIPS.

  • Modo aumentado do wIPS - Permita a detecção de ataque do wIPS e faça a varredura de todos os canais para 250ms. O tempo de interrupção menor do canal permite que o módulo da Segurança detecte atacantes mais rapidamente.

Da página principal da infraestrutura (PI), vai configurar > Acesss aponta > AP_NAME. O módulo WSSI pode ser configurado ao submode do wIPS ou ao submode do wIPS + apoio de motor aumentado do wIPS. Isto pode igualmente ser empurrado como parte de um gabarito de configuração AP.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide17.gif

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide18.gif

Os ataques do wIPS são indicados na infraestrutura principal da aba home do > segurança.

O PI indica um visualização de nível de rede, mas você pode indicar o ataque em um AP3600 com um módulo WSSI emitindo o comando do alarme ALARM_NUM am do capwap da mostra do console AP.

Por exemplo, o alarme 52 é uma recusa de serviço, inundação da autenticação. A fim ver se esse ataque foi detectado no módulo WSSI, emita o comando do alarme 52 am do capwap da mostra:

SJC14-21A-AP-DUNGENESS-X# show capw am alarm 52
capwap_am_show_alarm = 52

<A id='47C30C9E'> 
<AT>52</AT> 
<FT>2012/10/01 21:04:22</FT> 
<LT>2012/10/01 21:04:49</LT> 
<DT>2012/10/01 18:49:08</DT> 
<SM>00:40:96:B5:85:8D-a</SM> <SNT>2</SNT> 
<DM>00:22:55:F2:80:9F-a</DM> <DNT>1</DNT> 
 <CH>11</CH> 
 <FID>0</FID> 
 pAlarm.bPendingUpload = 0

O rogue detecta no módulo WSSI

O módulo WSSI detecta AP desonestos com a mesma precisão que um MMAP. Uma lista do rogue AP é indicada no WLC e no PI.

Esta é a lista do rogue não classificado AP do WLC GUI. Os AP desonestos podem ser vistos no WLC GUI sob o monitor > os rogues.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide19.gif

Você pode verificar que o módulo WSSI que usa o console AP detectou um rogue AP. Do console, inscreva o comando all ap d2 do rogue do rm do capwap da mostra. Isto indica todo o rogue AP visto no rádio do módulo WSSI.

SJC14-21A-AP-DUNGENESS-X# show capwap rm rogue ap dot11radio2 all
 ****************** CURRENT ROGUE APS ****************

ROGUE AP: 0  BSSID = 64:D9:89:42:24:3E, channel = 149
	SSID = alpha_phone
	heard 7 seconds ago
	authFailedCount=0
	NumOfPkts = 2, wep = 1, SP = 0, adHoc = 0, wpa = 1, 11g = 0, 11n=2
	antenna 1 pkts 2 avgRssi -81 avgSnr 13


 ****************** MASTER ROGUE APS ****************

ROGUE AP: 0  BSSID = C4:3D:C7:8A:EE:90, channel = 1
	SSID = NETGEAR_11ng
	heard 7 seconds ago
	authFailedCount=0
	isBeingContained = 0 
	seen at 0 seconds for 0 times and valid = 1
	NumOfPkts = 16108, wep = 0, SP = 1, adHoc = 0, wpa = 0, 11g = 1, 11n=2
	antenna 1 pkts 16108 avgRssi -73 avgSnr 12

ROGUE AP: 1  BSSID = EC:44:76:81:C0:02, channel = 1
	SSID = alpha_byod
	heard 151 seconds ago
	authFailedCount=0
	isBeingContained = 0 
	seen at 0 seconds for 0 times and valid = 1
	NumOfPkts = 413, wep = 1, SP = 1, adHoc = 0, wpa = 1, 11g = 1, 11n=2
	antenna 1 pkts 413 avgRssi -84 avgSnr 5

Retenção desonesto usando o módulo WSSI

O módulo WSSI é um módulo 0x4 (receba Antenas somente), significando que a retenção do rogue estará executada no rádio 2.4GHz ou 5GHz. A fim configurar o WSSI para conter automaticamente AP desonestos, você deve assegurar-se de que no WLC GUI sob a Segurança > as políticas wireless da proteção > eliminem as plantas pouco vigorozas políticas > general que a auto retenção somente para o modo de monitor AP não está permitida (veja o tiro de tela seguinte). Todas caixas de seleção restantes podem ser permitidas.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide21.gif

Ciente-lugar do contexto no módulo WSSI

Quando conectado com Cisco MSE, o módulo WSSI fornece o contexto ciente – dados do lugar com a mesma precisão que um MMAP.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide20.gif

Licenciar do módulo WSSI

O módulo WSSI usa licenças do modo de monitor do wIPS.


Informações Relacionadas


Document ID: 115612