Беспроводные сети : Контроллеры беспроводной локальной сети Cisco серии 4400

Посторонний менеджмент в Unified Wireless Network

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Беспроводные сети расширяют границы проводных сетей и повышают производительность работников, упрощая доступ к информации. Однако несанкционированно развернутая беспроводная сеть становится дополнительным фактором риска для безопасности. Защита порта в проводных сетях не является предметом особого внимания, а беспроводные сети организуются как простое расширение проводных сетей. Поэтому сотрудник, который приносит его собственную точку доступа (Cisco или Non Cisco) в хорошо защищенное радио или соединенную проводом инфраструктуру и предоставляет доступ неавторизованный пользователей к этому в противном случае защищенная сеть, может легко поставить под угрозу защищенную сеть.

Постороннее обнаружение позволяет администратору сети контролировать и устранять эту проблему безопасности. Архитектура Единой сети Cisco предоставляет методы для постороннего обнаружения, которые включают завершенную постороннюю идентификацию и решение для включения без потребности в дорогих и твердо выравниваемых по ширине оверлейных сетях и программных средствах.

Предварительные условия

Требования

Этот документ предполагает, что вы знакомы с основными конфигурациями контроллера.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco Унифицированные Контроллеры (2100, 5500, 4400, WiSM и Серия WLC NM) рабочая версия 7.0

  • Контроль и инициализация протокола точки беспроводного доступа (CAPWAP) - базировали LAP - 1130AG, 1140, 3500, 1200, 1230AG, 1240AG, 1250, и LAP серии 1260

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Посторонний обзор

Любое устройство, которое совместно использует спектр и не управляется вами, можно считать жуликом. Жулик становится опасным в этих сценариях:

  • Когда настройка для использования того же SSID в качестве сети (honeypot).

  • Когда это обнаружено на проводной сети также.

  • Оперативные жулики являются также большой угрозой.

  • Настройка посторонним, большинство раз, со злым умыслом.

Существует три основных этапа управления неконтролируемого устройства в единой беспроводной сети Cisco (UWN) (UWN) решение:

  • Обнаружение – сканирование Управления радиоресурсами (RRM) используется для обнаружения присутствия неконтролируемых устройств.

  • Если неконтролируемое устройство связано с проводной сетью, классификация – Посторонний протокол обнаружения местоположения (RLDP), Посторонние Детекторы и отслеживание порта коммутатора используются, чтобы определить. Посторонние правила классификации также помогают в фильтровании жуликов в определенные категории на основе их характеристик.

  • Смягчение – закрытие Порта коммутатора, постороннее местоположение и постороннее включение используются в разыскивании его физического размещения и аннулировать угрозу неконтролируемого устройства.

handling-rogue-cuwn-01.gif

Посторонние Теоретические сведения о принципах действия менеджмента

Постороннее обнаружение

Жулик является по существу любым устройством, которое совместно использует спектр, но не находится в контроле. Это включает неавторизованные точки доступа (AP), беспроводной маршрутизатор, посторонние клиенты и посторонние разовые сети. Cisco UWN использует много методов для обнаружения Основанных на Wi-Fi неконтролируемых устройств включая сканирование вне канала и выделенные возможности режима отслеживания. Cisco Spectrum Expert может также использоваться для определения неконтролируемых устройств не на основе протокола 802.11, таких как мосты Bluetooth.

Сканирование вне канала

Эта операция выполнена Автономным режимом и H−REAP (в связанном режиме) AP и использует способ квантования времени, который позволяет сервис клиента и сканирование канала с помощью того же радио. Путем ухода канала сроком на 50 мс каждые 16 секунд, AP, по умолчанию, только тратит небольшой процент своего времени, не служащего клиентам. Кроме того, примечание там является интервалом изменения канала на 10 мс, который произойдет. В scan interval по умолчанию 180 секунд каждый канал FCC на 2.4 ГГц (1−11) просмотрен, по крайней мере, один раз. Для других управляющих домен, таких как ETSI, AP будет от канала для немного более высокого процента времени. И список каналов и scan interval могут быть отрегулированы в конфигурации RRM. Это ограничивает влияние на производительность максимумом 1.5%, и интеллект встроен в алгоритм для приостановки сканирования, когда высокоприоритетное QoS структурирует, такие как голос, потребность, которая будет отправлена.

handling-rogue-cuwn-03.gif

Этот рисунок является описанием алгоритма сканирования вне канала для точки доступа в локальном режиме в полосе частот на 2.4 ГГц. Если AP имеет один подарок, подобная операция выполняется параллельно по радио на 5 ГГц. Каждый красный квадрат представляет время, проведенное на домашнем канале AP, тогда как каждый синий квадрат представляет время, проведенное на соседних каналах для сканирования целей.

Сканирование режима отслеживания

Эта операция выполнена Режимом отслеживания и Адаптивными wIPS AP режима отслеживания, который использует 100% времени радио для сканирования всех каналов в каждой соответствующей полосе частот. Это позволяет большую скорость обнаружения и позволяет большему количеству времени быть проведенным на каждый отдельный канал. AP режима отслеживания также намного выше при обнаружении посторонних клиентов, поскольку у них есть больше полного представления действия, происходящего в каждом канале.

/image/gif/paws/112045/handling-rogue-cuwn-04.gif

Этот рисунок является описанием алгоритма сканирования вне канала для точки доступа в режиме мониторинга в полосе частот на 2.4 ГГц. Если AP имеет один подарок, подобная операция выполняется параллельно по радио на 5 ГГц.

Автономный режим и сравнение режима отслеживания

Точка доступа в локальном режиме разделяет свои циклы между служащими клиентами WLAN и каналами сканирования для угроз. В результате это берет точку доступа в локальном режиме дольше для циклической работы через все каналы, и это тратит данные сбора меньшего количества времени по любому определенному каналу так, чтобы не были разрушены операции клиента. Следовательно, времена постороннего и обнаружения атак более длинны (3 - 60 минут), и меньший диапазон сверхвоздушных атак может быть обнаружен, чем с точкой доступа в режиме мониторинга. Кроме того, обнаружение для пульсирующего трафика, такого как посторонние клиенты, намного менее детерминировано, потому что AP должен быть на канале трафика в то же время, трафик передается или получается. Это становится осуществлением в вероятностях. Точка доступа в режиме мониторинга тратит все свои циклы, просматривая каналы, ища сверхвоздушные атаки и жулики. Точка доступа в режиме мониторинга может одновременно использоваться для Адаптивного wIPS, местоположение сервисы (с учетом контекста) и другие сервисы режима отслеживания. Когда AP режима отслеживания развернуты, преимущества являются более низким временем к обнаружению. Когда AP режима отслеживания дополнительно настроены с Адаптивным wIPS, более широкий диапазон сверхвоздушных угроз и атак может быть обнаружен.

handling-rogue-cuwn-05.gif

Посторонняя идентификация

Если тестовый ответ или маяки от неконтролируемого устройства слышат или автономным режимом, режимом H-REAP или AP режима отслеживания, то эта информация передана через CAPWAP к Контроллеру беспроводной локальной сети (WLC) для обработки. Для предотвращения ошибочных допусков много методов используются для обеспечения другого управляемого на основе Cisco, AP не определены как неконтролируемое устройство. Эти методы включают обновления группы мобильности, пакеты соседнего узла RF и белые перечисляющие автономные AP через Wireless Control System (WCS).

Посторонние записи

В то время как база данных контроллера неконтролируемых устройств содержит только текущую компанию обнаруженных жуликов, WCS также включает историю события и регистрирует жулики, которые больше не замечаются.

Посторонние подробные данные

AP CAPWAP идет вне канала для 50 мс для прислушиваний к посторонним клиентам, монитору для шума и интерференции канала. Любые обнаруженные посторонние клиенты или AP передаются контроллеру, который собирает эту информацию:

  • MAC-адрес постороннего AP

  • Название AP обнаружило жулик

  • Посторонний MAC-адрес подключенного клиента (ов)

  • Защищены ли кадры с WPA или WEP

  • Преамбула

  • Отношение сигнала к шуму (SNR)

  • Индикатор уровня сигнала получателя (RSSI)

  • Канал Постороннего обнаружения

  • Радио, в котором обнаружен жулик

  • Посторонний SSID (если посторонний SSID передан),

  • Посторонний IP-адрес

  • О первом и последнем времени жулик сообщают

  • Ширина канала

Экспорт посторонних событий

Для экспорта посторонних событий в стороннюю Систему управления сетью (NMS) для архивации WLC разрешает дополнительным приемникам прерываний SNMP Trap Receiver быть добавленными. Когда жулик обнаружен или очищен контроллером, trap-сообщение, содержащее эту информацию, передано ко всем приемникам прерываний SNMP Trap Receiver. Одно предупреждение с экспортом событий через SNMP состоит в том, что, если несколька контроллеров обнаруживают тот же жулик, копировать события замечены NMS, как корреляция только сделана в WCS.

Посторонний рекордный таймаут

Как только посторонний AP был добавлен к записям WLC, это останется там, пока это больше не будет замечено. После конфигурируемого пользователем таймаута (секундный по умолчанию 1200 года), устаревает жулик в _unclassified_ категории. Жулики в других состояниях, таких как _Contained_ и _Friendly_ сохранятся так, чтобы соответствующая классификация была применена к ним, если они вновь появляются.

Существует максимальный размер базы данных для посторонних записей, который является переменным по платформам контроллера:

  • 21XX и WLCM - 125 жуликов

  • 44XX - 625 жуликов

  • WiSM - 1250 жуликов

  • 5508 - 2000 жуликов

Посторонняя классификация

По умолчанию все жулики, которые обнаружены Cisco UWN, считают Несекретными. Как изображено в этом рисунке, жулики могут быть классифицированы в ряде критериев включая RSSI, SSID, Тип безопасности, сеть включения - выключения и количество клиентов:

handling-rogue-cuwn-06.gif

Ложная точка доступа для обнаружения

Ложная точка доступа для обнаружения стремится коррелировать постороннюю информацию, которую услышали по воздуху с информацией о ARP, полученной из проводной сети. Если MAC-адрес слышат по воздуху как посторонний AP или клиент и также слышат на проводной сети, то жулик полон решимости быть на проводной сети. Если жулик обнаружен, чтобы быть на проводной сети, то важность сигнала для того постороннего AP повышена до _critical_. Нужно обратить внимание, что ложная точка доступа для обнаружения не успешна при определении посторонних клиентов позади устройства с помощью NAT.

handling-rogue-cuwn-07.gif

Факторы масштабируемости

Ложная точка доступа для обнаружения может обнаружить до 500 жуликов и 500 посторонних клиентов. Если посторонний детектор размещен в транк со слишком многими неконтролируемыми устройствами, то эти пределы могли бы быть превышены, который вызывает проблемы. Чтобы препятствовать тому, чтобы это произошло, поддержите посторонние AP детектора при распределении или уровне доступа сети.

RLDP

Если определенный посторонний AP связан с проводной инфраструктурой, цель RLDP состоит в том, чтобы определить. Эта функция по существу использует самый близкий Унифицированный AP для соединения с неконтролируемым устройством как беспроводной клиент. Если AP связан с проводной сетью, после соединения как клиент пакет передан с адресом назначения (DA) WLC, чтобы оценить. Если жулик обнаружен, чтобы быть на проводной сети, то важность сигнала для того постороннего AP повышена до важного.

handling-rogue-cuwn-08.gif

Алгоритм RLDP перечислен здесь:

  1. Определите самый близкий Унифицированный AP жулику, использующему значения уровня сигнала.

  2. AP тогда соединяется с жуликом как клиент WLAN, делая попытку трех ассоциаций перед таймаутом.

  3. Если ассоциация успешна, AP тогда использует DHCP для получения IP-адреса.

  4. Если IP-адрес был получен, AP (действующий как клиент WLAN) передает пакет UDP к каждому из IP-адресов контроллера.

  5. Если контроллер получает даже один из пакетов RLDP от клиента, тот жулик отмечен как напроводном со степенями серьезности ошибки важных.

Примечание: Пакеты RLDP неспособны достигнуть контроллера, если правила фильтрации существуют между сетью контроллера и сетью, где расположено неконтролируемое устройство.

Предупреждения RLDP

  • RLDP только работает с открытыми посторонними AP, передающими их SSID с аутентификацией и отключенным шифрованием.

  • RLDP требует, чтобы Управляемый AP, действующий как клиент, был в состоянии получить IP-адрес через DHCP в посторонней сети

  • Ручной RLDP может использоваться для попытки и след RLDP на жулике многократно.

  • Во время процесса RLDP AP неспособен служить клиентам. Это негативно повлияет на производительность и подключение для AP автономного режима.

  • RLDP не пытается соединиться с посторонним AP, работающим в канале DFS на 5 ГГц.

Отслеживание порта коммутатора

Отслеживание порта коммутатора является посторонним методом подавления AP, сначала внедренным в этих 5.1 выпусках. Несмотря на то, что отслеживание порта коммутатора инициируется в WCS, оно использует и CDP и сведения SNMP для разыскивания жулика к определенному порту в сети. Для отслеживания порта коммутатора для выполнения все коммутаторы в сети должны быть добавлены к WCS с учетными данными SNMP. Несмотря на то, что учетные данные только для чтения работают для определения порта, жулик идет, учетные данные чтения-записи позволяют WCS также завершать работу порта, таким образом содержащего угрозу. В это время эта функция работает только с коммутаторами Cisco, которые выполняют IOS с CDP, включенным, и CDP должен также быть включен на Управляемых AP.

handling-rogue-cuwn-09.gif

Алгоритм для отслеживания порта коммутатора перечислен здесь:

  • WCS находит самый близкий AP, который обнаруживает посторонний сверхвоздух AP и получает его соседей CDP.

  • WCS тогда использует SNMP для исследования таблицы CAM в соседнем коммутаторе, ища положительное совпадение для определения местоположения жуликов.

  • Положительное совпадение основывается на точном постороннем MAC-адресе, +1/−1 посторонний MAC-адрес, любые посторонние MAC - адреса клиента или соответствие OUI на основе информации поставщика, свойственной от MAC-адреса.

  • Если положительное совпадение не найдено на самом близком коммутаторе, WCS продолжает искать соседние коммутаторы до двух переходов далеко (по умолчанию).

handling-rogue-cuwn-10.gif

Посторонние правила классификации

Посторонние правила классификации, представленные в этих 5.0 выпусках, позволяют вам определять ряд условий, которые отмечают жулик или как злонамеренный или как дружелюбный. Эти правила настроены в WCS или WLC, но они всегда выполняются на контроллере, поскольку обнаружены новые жулики.

Считайте Правило документа Базирующаяся Посторонняя Классификация в Контроллерах беспроводной локальной сети (WLC) и Wireless Control System (WCS) для получения дополнительной информации о посторонних правилах в WLC.

Постороннее смягчение

Постороннее включение

Включение является методом использования сверхвоздушных пакетов для временного прерывания сервиса на неконтролируемом устройстве, пока это не может физически быть удалено. Включение работает путем спуфинга de-пакетов-проверки-подлинности с поддельным адресом источника постороннего AP так, чтобы были начаты любые привязанные клиенты.

handling-rogue-cuwn-11.gif

Посторонние подробные данные включения

Включение, инициируемое на постороннем AP без клиентов, будет только использовать кадры de-аутентификации, переданные для широковещательного адреса:

handling-rogue-cuwn-12.gif

Включение, инициируемое на постороннем AP с клиентом (ами), будет использовать кадры de-аутентификации, переданные для широковещательного адреса и для адреса клиента (ов):

handling-rogue-cuwn-13.gif

Пакеты включения переданы на уровне мощности управляемого AP и в самой низкой включенной скорости передачи данных.

Включение передает минимум 2 пакетов каждые 100 мс:

handling-rogue-cuwn-14.gif

Примечание: От 6.0 выпусков включение, выполненное AP нережима отслеживания, передается в интервале 500 мс вместо интервала на 100 мс, используемого AP режима отслеживания.

  • Отдельное неконтролируемое устройство может содержаться 1 - 4 управляемыми AP, которые работают совместно для смягчения угрозы временно.

  • Включение может быть выполнено с помощью автономного режима, режима отслеживания и H-REAP (Связанные) AP режима. Для автономного режима AP H-REAP может содержаться максимум трех неконтролируемых устройств на радио. Для AP режима отслеживания может содержаться максимум шести неконтролируемых устройств на радио.

Автовключение

В дополнение к ручному инициированию включения на неконтролируемом устройстве через WCS или GUI WLC, существует также возможность автоматически запустить включение согласно определенным, некоторый сценариям. Эта конфигурация найдена под Общим в Постороннем разделе Политики WCS или интерфейса контроллера. Каждая из этих опций отключена по умолчанию и должна только быть позволена аннулировать самые разрушительные угрозы.

  • Жулик на Проводе - Если неконтролируемое устройство определено, чтобы быть присоединенным к проводной сети, то это автоматически размещено под включением.

  • Использование нашего SSID - Если неконтролируемое устройство использует SSID, который совпадает с, который настроил на контроллере, он автоматически содержится. Эта функция стремится обращаться к атаке горшка с медом, прежде чем она нанесет ущерб.

  • Допустимый клиент на Постороннем AP - Если клиент, перечисленный в ACS, как находят, привязан к неконтролируемому устройству, включение, запущен против того клиента только, препятствуя тому, чтобы он связался к любому неуправляемому AP.

  • AP Жулика AdHoc - Если разовая сеть обнаружена, она автоматически содержится.

Посторонние предупреждения включения

  • Поскольку включение использует часть радио-времени управляемого AP для передачи кадров de-аутентификации, на производительность и к данным и к речевым клиентам негативно влияют максимум на 20%. Для клиентов данных влияние является пониженной пропускной способностью. Для речевых клиентов включение может вызвать прерывания в диалогах и уменьшенном качестве голосовой связи.

  • Включение может иметь правовые последствия, когда запущено против соседних сетей. Гарантируйте, что неконтролируемое устройство в сети и излагает угрозу безопасности перед запуском включения.

Закрытие порта коммутатора

Как только порт коммутатора отслежен с помощью SPT, существует опция для отключения того порта в WCS. Администратор должен сделать это осуществление вручную. Если жулик физически удален из сети, опция доступна для включения порта коммутатора через WCS.

Настройте посторонний менеджмент

Настройте постороннее обнаружение

Постороннее обнаружение включено в контроллере по умолчанию.

Для обнаружения посторонних подробных данных в контроллере с помощью графического интерфейса перейдите к Монитору> Жулики.

handling-rogue-cuwn-15.gif

На этой странице другая классификация для жуликов доступна:

  • Дружественные AP – Aps, которые отмечены как дружественные администратором.

  • Злонамеренные AP – Aps, которые определены как злонамеренное использование RLDP или Ложная точка доступа для обнаружения.

  • Несекретные AP – посторонними AP по умолчанию покажут как несекретный список в контроллере.

  • Посторонние Клиенты – Клиенты соединились с Посторонними AP.

  • Оперативные Жулики – Оперативные посторонние клиенты.

  • Посторонний черный список AP – Aps перечислен через WCS.

Примечание: Если WLC и автономным AP будет управлять тот же WCS, то WLC будет автоматически перечислять этот автономный AP в Постороннем черном списке AP. Нет никакой дополнительной настройки, требуемой в WLC активировать эту опцию.

От CLI:

(Cisco Controller) >show rogue ap summary

Rogue on wire Auto-Contain....................... Disabled
Rogue using our SSID Auto-Contain................ Disabled
Valid client on rogue AP Auto-Contain............ Disabled
Rogue AP timeout................................. 1200

MAC Address        Classification     # APs # Clients Last Heard
-----------------  ------------------ ----- --------- -----------------------
00:14:1b:5b:1f:90  Unclassified       1     0         Thu Jun 10 19:04:51 2010
00:14:1b:5b:1f:91  Unclassified       1     0         Thu Jun 10 18:58:51 2010
00:14:1b:5b:1f:92  Unclassified       1     0         Thu Jun 10 18:49:50 2010
00:14:1b:5b:1f:93  Unclassified       1     0         Thu Jun 10 18:55:51 2010
00:14:1b:5b:1f:96  Unclassified       1     0         Thu Jun 10 18:58:51 2010
00:17:df:a9:08:00  Unclassified       1     0         Thu Jun 10 18:49:50 2010
00:17:df:a9:08:10  Unclassified       1     0         Thu Jun 10 18:55:51 2010
00:17:df:a9:08:11  Unclassified       1     0         Thu Jun 10 19:04:51 2010
00:17:df:a9:08:12  Unclassified       1     0         Thu Jun 10 18:49:50 2010
00:17:df:a9:08:16  Unclassified       1     0         Thu Jun 10 19:04:51 2010



Нажмите определенную постороннюю запись для получения подробных данных того жулика.

handling-rogue-cuwn-16.gif

От CLI:

(Cisco Controller) >show rogue ap detailed 00:14:1b:5b:1f:90

Rogue BSSID...................................... 00:14:1b:5b:1f:90
Is Rogue on Wired Network........................ No
Classification................................... Unclassified
Manual Contained................................. No
State............................................ Alert
First Time Rogue was Reported.................... Thu Jun 10 18:37:50 2010
Last Time Rogue was Reported..................... Thu Jun 10 19:04:51 2010
Reported By
    AP 1
        MAC Address.............................. 00:24:97:8a:09:30
        Name..................................... AP_5500
        Radio Type............................... 802.11g
        SSID..................................... doob
        Channel.................................. 6
        RSSI..................................... -51 dBm
        SNR...................................... 27 dB
        Encryption............................... Disabled
        ShortPreamble............................ Enabled
        WPA Support.............................. Disabled
        Last reported by this AP................. Thu Jun 10 19:04:51 2010

Настройте сканирование канала для постороннего обнаружения

Для local/Hreap Режима/Точки доступа в режиме мониторинга существует опция под конфигурацией RRM, которая позволяет пользователю выбирать, какой канал просмотрен для жуликов. В зависимости от config AP просматривает весь канал канала/DCA канала/страны для жуликов.

Для настройки этого от GUI перейдите к беспроводным сетям> 802.11a/802.11b> RRM> Общий.

handling-rogue-cuwn-17.gif

От CLI:

(Cisco Controller) >config  advanced 802.11a monitor channel-list ?

all            Monitor all channels
country        Monitor channels used in configured country code
dca            Monitor channels used by automatic channel assignment

Для настройки этих опций перейдите к Безопасности> беспроводная Политика обеспечения защиты> Посторонняя Политика> Общий.

  1. Измените таймаут для посторонних AP.

  2. Включите обнаружение оперативных посторонних сетей.

handling-rogue-cuwn-18.gif

От CLI:

(Cisco Controller) >config rogue ap timeout ?

<seconds>      The number of seconds<240 - 3600> before rogue entries are flushed

(Cisco Controller) >config rogue adhoc enable/disable

Настройте постороннюю классификацию

Вручную классифицируйте посторонний AP

Для классификации постороннего AP как дружественный, злонамеренный, или несекретный перейдите к Монитору> Жулик> Несекретные AP и нажмите определенное постороннее название AP. Выберите опцию из выпадающего списка.

handling-rogue-cuwn-19.gif

От CLI:

(Cisco Controller) >config rogue ap ?

classify       Configures rogue access points classification.
friendly       Configures friendly AP devices.
rldp           Configures Rogue Location Discovery Protocol.
ssid           Configures policy for rogue APs advertsing our SSID.
timeout        Configures the expiration time for rogue entries, in seconds.
valid-client   Configures policy for valid clients using rogue APs.

Для удаления посторонней записи вручную из постороннего списка перейдите к Монитору> Жулик> Несекретные AP и нажмите Remove.

handling-rogue-cuwn-20.gif

Для настройки Постороннего AP как дружественного AP перейдите к Безопасности> беспроводная Политика обеспечения защиты> Посторонняя Политика> Дружелюбные Жулики и добавьте посторонний MAC-адрес.

Добавленные дружественные посторонние записи могут быть проверены от страницы Monitor> Rogues> Friendly Rogue.

handling-rogue-cuwn-21.gif

handling-rogue-cuwn-22.gif

Настройте ложную точку доступа для обнаружения

Для настройки AP как постороннего детектора с помощью GUI перейдите к беспроводным сетям> Все AP. Выберите название AP и измените Режим AP.

handling-rogue-cuwn-23.gif

От CLI:

(Cisco Controller) >config ap mode rogue AP_Managed

Changing the AP's mode will cause the AP to reboot.
Are you sure you want to continue? (y/n) y

Настройте Switchport для ложной точки доступа для обнаружения


interface GigabitEthernet1/0/5
description Rogue Detector
switchport trunk encapsulation dot1q
switchport trunk native vlan 113
switchport mode trunk
spanning−tree portfast trunk

Примечание: Собственный VLAN в этой конфигурации является тем, который имеет возможность подключения с помощью IP-адреса к WLC.

Настройте RLDP

Для настройки RLDP в GUI контроллера перейдите к Безопасности> беспроводная Политика обеспечения защиты> Посторонняя Политика> Общий.

handling-rogue-cuwn-24.gif

AP Режима отслеживания – Позволяют только AP в режиме отслеживания участвовать в RLDP.

Все AP – AP режима Local/Hreap/Monitor участвуют в процессе RLDP.

Отключенный – RLDP не вызван автоматически. Однако пользователь может вызвать RLDP вручную для определенного MAC - адреса через CLI.

Примечание: Точка доступа в режиме мониторинга получит предпочтение по local/Hreap AP для выполнения RLDP, если они оба обнаружат определенный жулик выше-85dbm RSSI.

От CLI:

(Cisco Controller) >config rogue ap rldp enable ?

alarm-only     Enables RLDP and alarm if rogue is detected
auto-contain   Enables RLDP, alarm and auto-contain if rogue is detected.

(Cisco Controller) >config rogue ap rldp enable alarm-only ?

monitor-ap-only Perform RLDP only on monitor AP

RLDP scheduling and triggering manually is configurable only through Command 
    prompt

To Initiate RLDP manually:

(Cisco Controller) >config rogue ap rldp initiate ?

<MAC addr>     Enter the MAC address of the rogue AP (e.g. 01:01:01:01:01:01).
For Scheduling RLDP

Note: RLDP scheduling and option to configure RLDP retries are two options 
    introduced in 7.0 through CLI

RLDP Scheduling :

(Cisco Controller) >config rogue ap rldp schedule ?

add            Enter the days when RLDP scheduling to be done.
delete         Enter the days when RLDP scheduling needs to be deleted.
enable         Configure to enable RLDP scheduling.
disable        Configure to disable RLDP scheduling.


(Cisco Controller) >config rogue ap rldp schedule add ?

mon            Configure Monday for RLDP scheduling.
tue            Configure Tuesday for RLDP scheduling.
wed            Configure Wednesday for RLDP scheduling.
thu            Configure Thursday for RLDP scheduling.
fri            Configure Friday for RLDP scheduling.
sat            Configure Saturday for RLDP scheduling.
sun            Configure Sunday for RLDP scheduling.



RLDP retries can be configured using the command 

(Cisco Controller) >config rogue ap rldp retries ?

<count>        Enter the no.of times(1 - 5) RLDP to be tried per Rogue AP.

Для настройки проверки AAA для посторонних клиентов перейдите к Безопасности> беспроводная Политика обеспечения защиты> Посторонняя Политика> Общий.

Включение этой опции удостоверяется, что посторонний адрес клиента/AP проверен с AAA-сервером прежде, чем классифицировать его как злонамеренный.

handling-rogue-cuwn-25.gif

От CLI:

(Cisco Controller) >config rogue client aaa ?

disable        Disables use of AAA/local database to detect valid mac addresses.
enable         Enables use of AAA/local database to detect valid mac addresses.

Проверить определенный посторонний клиент - проводной жулик, существует опция для проверки достижимости того определенного жулика от контроллера (если контроллер в состоянии обнаружить посторонний IP-адрес клиента). К этой опции можно обратиться на подробной странице постороннего клиента и доступна только через графический интерфейс.

handling-rogue-cuwn-26.gif

Для настройки отслеживания порта коммутатора сошлитесь на Описание технологических решений менеджмента Жулика документа (только зарегистрированные клиенты).

Настройте постороннее смягчение

Настройте ручное включение:

Для содержания постороннего AP вручную, перейдите к Монитору> Жулики> Несекретный.

handling-rogue-cuwn-27.gif

От CLI:

(Cisco Controller) >config rogue client ?

aaa            Configures to validate if a rogue client is a valid client using
                   AAA/local database.
alert          Configure the rogue client to the alarm state.
contain        Start containing a rogue client.

(Cisco Controller) >config rogue client contain 01:22:33:44:55:66 ?

<num of APs>   Enter the maximum number of Cisco APs to actively contain the
                   rogue client [1-4].

Примечание: Определенный жулик может содержаться с помощью 1-4 AP. По умолчанию контроллер использует один AP для содержания клиента. Если два AP в состоянии обнаружить определенный жулик, AP с самым высоким RSSI содержит клиент независимо от Режима AP.

Для настройки автоматического включения перейдите к Безопасности> беспроводная Политика обеспечения защиты> Посторонняя Политика> Общий, и включите все допустимые варианты для сети.

handling-rogue-cuwn-28.gif

От CLI:

(Cisco Controller) >config rogue adhoc ?

alert          Stop Auto-Containment, generate a trap upon detection of the
                   adhoc rogue.
auto-contain   Automatically containing adhoc rogue.
contain        Start containing adhoc rogue.
disable        Disable detection and reporting of Ad-Hoc rogues.
enable         Enable detection and reporting of Ad-Hoc rogues.
external       Acknowledge presence of a adhoc rogue.

(Cisco Controller) >config rogue adhoc auto-contain ?
(Cisco Controller) >config rogue adhoc auto-contain
 Warning! Using this feature may have legal consequences
         Do you want to continue(y/n) :y

Устранение неполадок

Если не обнаружен жулик:

  • Проверьте, что постороннее обнаружение включено на AP с помощью этой команды. По умолчанию постороннее обнаружение включено на AP.

    (Cisco_Controller) >show ap config general Managed_AP
    
    Cisco AP Identifier.............................. 2
    Cisco AP Name.................................... Managed_AP
    Country code..................................... US  - United States
    Regulatory Domain allowed by Country............. 802.11bg:-A     802.11a:-A
    AP Country code.................................. US  - United States
    AP Regulatory Domain............................. 802.11bg:-A    802.11a:-A
    Switch Port Number .............................. 2
    MAC Address...................................... 00:1d:a1:cc:0e:9e
    IP Address Configuration......................... DHCP
    IP Address....................................... 10.8.99.104
    IP NetMask....................................... 255.255.255.0
    Gateway IP Addr.................................. 10.8.99.1
    CAPWAP Path MTU.................................. 1485
    Telnet State..................................... Enabled
    Ssh State........................................ Disabled
    Cisco AP Location................................ india-banaglore
    Cisco AP Group Name.............................. default-group
    Primary Cisco Switch Name........................ Cisco_e9:d9:23
    Primary Cisco Switch IP Address.................. 10.44.81.20
    Secondary Cisco Switch Name......................
    Secondary Cisco Switch IP Address................ Not Configured
    Tertiary Cisco Switch Name.......................
    Tertiary Cisco Switch IP Address................. Not Configured
    Administrative State ............................ ADMIN_ENABLED
    Operation State ................................. REGISTERED
    Mirroring Mode .................................. Disabled
    AP Mode ......................................... Local
    Public Safety ................................... Disabled
    AP SubMode ...................................... Not Configured
    Remote AP Debug ................................. Disabled
    Logging trap severity level ..................... informational
    Logging syslog facility ......................... kern
    S/W  Version .................................... 7.0.98.0
    Boot  Version ................................... 12.3.7.1
    Mini IOS Version ................................ 3.0.51.0
    Stats Reporting Period .......................... 209
    LED State........................................ Enabled
    PoE Pre-Standard Switch.......................... Enabled
    PoE Power Injector MAC Addr...................... Override
    Power Type/Mode.................................. Power injector / Normal mode
    Number Of Slots.................................. 2
    AP Model......................................... AIR-LAP1242AG-A-K9
    AP Image......................................... C1240-K9W8-M
    IOS Version...................................... 12.4(23c)JA
    Reset Button..................................... Enabled
    AP Serial Number................................. FTX1137B22V
    AP Certificate Type.............................. Manufacture Installed
    AP User Mode..................................... AUTOMATIC
    AP User Name..................................... Not Configured
    AP Dot1x User Mode............................... GLOBAL
    AP Dot1x User Name............................... Cisco12
    Cisco AP system logging host..................... 255.255.255.255
    AP Up Time....................................... 13 days, 15 h 01 m 33 s
    AP LWAPP Up Time................................. 13 days, 15 h 00 m 40 s
    Join Date and Time............................... Tue Jun  1 10:36:38 2010
    
    Join Taken Time.................................. 0 days, 00 h 00 m 52 s
    Ethernet Port Duplex............................. Auto
    Ethernet Port Speed.............................. Auto
    AP Link Latency.................................. Enabled
     Current Delay................................... 0 ms
     Maximum Delay................................... 56 ms
     Minimum Delay................................... 2 ms
     Last updated (based on AP Up Time).............. 13 days, 15 h 00 m 44 s
    Rogue Detection.................................. Enabled
    AP TCP MSS Adjust................................ Disabled
    

    Постороннее обнаружение может быть включено на AP с помощью этой команды:

    (Cisco Controller) >config rogue detection enable ?
    all                    Applies the configuration to all connected APs.
    <Cisco AP>     Enter the name of the Cisco AP.
    
  • Точка доступа в локальном режиме просматривает только каналы каналов/DCA страны в зависимости от конфигурации. Если жулик находится в каком-либо другом канале, контроллер не в состоянии определить жулик, если у вас нет AP режима отслеживания в сети. Данная команда используется для того, чтобы проверить:

    (Cisco Controller) >show advanced 802.11a monitor
    
    Default 802.11a AP monitoring
      802.11a Monitor Mode........................... enable
      802.11a Monitor Mode for Mesh AP Backhaul...... disable
      802.11a Monitor Channels....................... Country channels
      802.11a AP Coverage Interval................... 180 seconds
      802.11a AP Load Interval....................... 60 seconds
      802.11a AP Noise Interval...................... 180 seconds
      802.11a AP Signal Strength Interval............ 60 seconds
    
  • Посторонний AP может не передавать SSID.

  • Удостоверьтесь, что MAC-адрес постороннего AP не добавлен в дружественном постороннем списке или белый перечисленный через WCS.

  • Маяки от постороннего AP могут не быть достижимыми жуликам обнаружения AP. Это может быть проверено путем получения пакета с помощью анализатора близко к обнаруживающему AP жулику.

  • Точка доступа в локальном режиме может занять до 9 минут для обнаружения жулика (3 цикла 180x3).

  • AP Cisco не в состоянии обнаружить жулики на частотах как канал общественной безопасности (4.9 ГГц).

  • AP Cisco не в состоянии обнаружить жулики, работающие на FHSS (Расширенный спектр Со скачкообразной перестройкой частоты).

Полезные отладки

debug client < mac> (If rogue mac is known)

debug dot11 rogue enable

(Cisco_Controller) >*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 
    Looking for Rogue 00:27:0d:8d:14:12 in known AP table
*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 Rogue AP 00:27:0d:8d:14:12
    is not found either in AP list or neighbor, known or Mobility group AP lists
*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 Change state from 0 to 1 
    for rogue AP 00:27:0d:8d:14:12
*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 rg change state Rogue AP: 
    00:27:0d:8d:14:12

*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 New RSSI report from AP 
    00:1b:0d:d4:54:20  rssi -74, snr -9 wepMode 129
*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 rg send new rssi -74 
*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 Updated AP report 
    00:1b:0d:d4:54:20  rssi -74, snr -9 
*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 Manual Contained Flag = 0

*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 rg new Rogue AP: 
    00:27:0d:8d:14:12

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Found Rogue AP: 
    00:24:97:2d:bf:90 on slot 0

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Added Rogue AP: 
    00:24:97:2d:bf:90

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Looking for Rogue 
    00:24:97:2d:bf:90 in known AP table
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Rogue AP 00:24:97:2d:bf:90
    is not found either in AP list or neighbor, known or Mobility group AP lists
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Change state from 0 to 1 
    for rogue AP 00:24:97:2d:bf:90
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg change state Rogue AP: 
    00:24:97:2d:bf:90

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 New RSSI report from AP 
    00:1b:0d:d4:54:20  rssi -56, snr 34 wepMode 129
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg send new rssi -56 
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Updated AP report 
    00:1b:0d:d4:54:20  rssi -56, snr 34 
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Manual Contained Flag = 0

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg new Rogue AP: 
    00:24:97:2d:bf:90

*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Found Rogue AP: 
    9c:af:ca:0f:bd:40 on slot 0

*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Added Rogue AP: 
    9c:af:ca:0f:bd:40 

*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Looking for Rogue 
    9c:af:ca:0f:bd:40 in known AP table
*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Rogue AP 9c:af:ca:0f:bd:40
    is not found eithe*apfRogueTask: Jun 15 01:45:09.011: 00:25:45:a2:e1:62 
    Updated AP report 00:1b:0d:d4:54:20  rssi -73, snr 24 
*apfRogueTask: Jun 15 01:45:09.012: 00:25:45:a2:e1:62 Manual Contained Flag = 0

*apfRogueTask: Jun 15 01:45:09.012: 00:25:45:a2:e1:62 rg new Rogue AP: 
    00:25:45:a2:e1:62

*apfRogueTask: Jun 15 01:45:09.012: 00:24:c4:ad:c0:40 Found Rogue AP: 
    00:24:c4:ad:c0:40 on slot 0

*apfRogueTask: Jun 15 01:45:09.012: 00:24:c4:ad:c0:40 Added Rogue AP: 
    00:24:c4:ad:c0:40

Ожидаемые журналы trap-сообщения

Как только жулик обнаружен


9Fri Jun 18 06:40:06 2010 Rogue AP : 00:1e:f7:74:f3:50 detected on Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -97 and SNR:
1 and Classification: unclassified 

10Fri Jun 18 06:40:06 2010 Rogue AP : 00:22:0c:97:af:83 detected on Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -81 and SNR: 18
and Classification: unclassified 
	
11Fri Jun 18 06:40:06 2010 Rogue AP : 00:26:cb:9f:8a:21 detected on Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -82 and SNR: 20
and Classification: unclassified 

12Fri Jun 18 06:40:06 2010 Rogue AP : 00:26:cb:82:5d:c0 detected on Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -98 and SNR: -2
and Classification: unclassified

Как только посторонняя запись удалена из постороннего списка

50Fri Jun 18 06:36:06 2010 Rogue AP : 00:1c:57:42:53:40 removed from Base Radio 
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g)

51Fri Jun 18 06:36:06 2010 Rogue AP : 00:3a:98:5c:57:a0 removed from Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g)

Рекомендации

  1. Настройте сканирование канала ко всем каналам, если вы подозреваете потенциальные жулики в сети

  2. В зависимости от плана проводной сети количество и местоположение посторонних AP детектора могут варьироваться от одного на пол одному на здание. Желательно иметь по крайней мере одну ложную точку доступа для обнаружения на каждом этаже здания. Поскольку ложная точка доступа для обнаружения требует транка ко всем доменам сетевой широковещательной рассылки уровня 2, которые должны быть проверены, размещение зависит от логического плана сети.

Если жулик не становится классифицированным

  • Проверьте, что посторонние правила настроены должным образом.

  • Если жулик находится в канале DFS, RLDP не работает.

  • RLDP работает, только если WLAN жулика открыт, и DHCP доступен.

  • Если точка доступа в локальном режиме будет служить клиенту в канале DFS, то она не будет участвовать в процессе RLDP.

Полезные отладки

(Cisco Controller) > debug dot11 rogue rule enable
(Cisco Controller) > debug dot11 rldp enable

Received Request to detect rogue: 00:1A:1E:85:21:B0
00:1a:1e:85:21:b0 found closest monitor AP 00:17:df:a7:20:d0slot =1 channel = 44
Found RAD: 0x158f1ea0, slotId = 1
rldp started association, attempt 1
Successfully associated with rogue: 00:1A:1E:85:21:B0 


!--- ASSOCIATING TO ROGUE AP


Starting dhcp
00:1a:1e:85:21:b0 RLDP DHCP SELECTING for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 Initializing RLDP DHCP for rogue 00:1a:1e:85:21:b0
.00:1a:1e:85:21:b0 RLDP DHCPSTATE_INIT for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 RLDP DHCPSTATE_REQUESTING sending for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 Sending DHCP packet through rogue AP 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 RLDP DHCP REQUEST RECV for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 RLDP DHCP REQUEST received for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 RLDP DHCP BOUND state for rogue 00:1a:1e:85:21:b0
Returning IP 172.20.226.246, netmask 255.255.255.192, gw 172.20.226.193 


!--- GETTING IP FROM ROGUE


Found Gateway MacAddr: 00:1D:70:F0:D4:C1
Send ARLDP to 172.20.226.198 (00:1D:70:F0:D4:C1) (gateway)
Sending ARLDP packet to 00:1d:70:f0:d4:c1 from 00:17:df:a7:20:de
Send ARLDP to 172.20.226.197 (00:1F:9E:9B:29:80)
Sending ARLDP packet to 00:1f:9e:9b:29:80 from 00:17:df:a7:20:de
Send ARLDP to 0.0.0.0 (00:1D:70:F0:D4:C1) (gateway)
Sending ARLDP packet to 00:1d:70:f0:d4:c1 from 00:17:df:a7:20:de  


!--- SENDING ARLDP PACKET


Received 32 byte ARLDP message from: 172.20.226.24642
Packet Dump:
sourceIp: 172.20.226.246
destIp: 172.20.226.197
Rogue Mac: 00:1A:1E:85:21:B0 


!--- RECEIVING ARLDP PACKET


security: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

Рекомендации

  1. Инициируйте RLDP вручную на подозрительных посторонних записях.

  2. Планируйте RLDP периодически.

  3. Если вы знали посторонние записи, добавьте их в дружественном списке или включите проверку с AAA и удостоверьтесь, что записи известного клиента находятся там в базе данных AAA.

  4. RLDP может быть развернут на AP режима отслеживания или локальном. Для наиболее масштабируемых развертываний, и устранить любое влияние на сервис клиента, RLDP должен быть развернут на AP режима отслеживания, если это возможно. Однако эта рекомендация требует, чтобы наложение точки доступа в режиме мониторинга было развернуто с типичным соотношением как 1 точка доступа в режиме мониторинга для каждых 5 AP автономного режима. AP в Адаптивном wIPS режиме отслеживания могут также быть усилены для этой задачи.

Ложная точка доступа для обнаружения

Посторонняя запись в постороннем детекторе может быть замечена использующая эту команду в консоли AP. Для проводных жуликов будет установлен флаг.

Rogue_Detector_5500#show capwap rm rogue detector
 CAPWAP Rogue Detector Mode
  Current Rogue Table:
  Rogue hindex = 0: MAC 0023.ebdc.1ac6, flag = 0, unusedCount = 1
  Rogue hindex = 2: MAC 0023.04c9.72b9, flag = 1, unusedCount = 1


!--- once the flag is set, rogue is detected on wire


  Rogue hindex = 2: MAC 0023.ebdc.1ac4, flag = 0, unusedCount = 1
  Rogue hindex = 3: MAC 0026.cb4d.6e20, flag = 0, unusedCount = 1
  Rogue hindex = 4: MAC 0026.cb9f.841f, flag = 0, unusedCount = 1
  Rogue hindex = 4: MAC 0023.04c9.72bf, flag = 0, unusedCount = 1
  Rogue hindex = 4: MAC 0023.ebdc.1ac2, flag = 0, unusedCount = 1
  Rogue hindex = 4: MAC 001c.0f80.d450, flag = 0, unusedCount = 1
  Rogue hindex = 6: MAC 0023.04c9.72bd, flag = 0, unusedCount = 1

Полезные команды отладки в Консоли AP

Rogue_Detector#debug capwap rm rogue detector

*Jun 18 08:37:59.747: ROGUE_DET: Received a rogue table update of length 170
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1ac4
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1ac5
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1aca
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acb
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acc
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acd
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acf
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0024.1431.e9ef
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0024.148a.ca2b
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2d
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2f
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.3570
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.3574
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357b
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357c
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357d
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357f
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3dcd
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3ff0
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3ff2
*Jun 18 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4aec
*Jun 18 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4b77
*Jun 18 08:37:59.774: ROGUE_DET: Flushing rogue entry 0040.96b9.4794
*Jun 18 08:37:59.774: ROGUE_DET: Flushing rogue entry 0022.0c97.af80
*Jun 18 08:37:59.775: ROGUE_DET: Flushing rogue entry 0024.9789.5710
*Jun 18 08:38:19.325: ROGUE_DET: Got ARP src 001d.a1cc.0e9e
*Jun 18 08:38:19.325: ROGUE_DET: Got wired mac 001d.a1cc.0e9e
*Jun 18 08:39:19.323: ROGUE_DET: Got ARP src 001d.a1cc.0e9e
*Jun 18 08:39:19.324: ROGUE_DET: Got wired mac 001d.a1cc.0e9e

Если не происходит постороннее включение:

  1. local/Hreap AP режима может содержать 3 устройства за один раз на радио, и точка доступа в режиме мониторинга может содержать 6 устройств на радио. В результате удостоверьтесь, что AP уже содержит максимальное число разрешенных устройств. В этом сценарии клиент находится во включении, ожидающем состояние.

  2. Проверьте автоматические правила включения.

Ожидаемые журналы trap-сообщения

Fri Jul 23 12:49:10 2010Rogue AP: Rogue with MAC Address: 00:17:0f:34:48:a1
    has been contained manually by 2 APs 8

Fri Jul 23 12:49:10 2010 Rogue AP : 00:17:0f:34:48:a1 with Contained mode added 
    to the Classified AP List.

Заключение

Постороннее обнаружение и включение в централизованном решении для контроллера Cisco являются самым эффективным и наименее навязчивым методом в отрасли. Гибкость, предоставленная администратору сети, обеспечивает более специализированную адаптацию, которая может принять любые требования к сети.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения