适用于WSSI的Aironet AP模块部署指南

简介

本文档提供用于无线安全和频谱智能(WSSI)的Cisco Aironet接入点模块的一般配置和部署指南。 WSSI是可插入模块化接入点(AP)（例如Cisco 3600系列AP）的附加模块。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

无线安全和频谱智能模块需要最低代码版本：

• 无线局域网控制器(WLC)- 7.4.xx.xx或更高版本

• 接入点(AP)- 7.4.xx.xx或更高版本

• Prime基础设施(PI)- 1.3.xx.xx或更高版本

• 移动服务引擎(MSE)- 7.4.xx.xx版或更高版本

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

产品概述

思科无线安全和频谱智能模块利用Cisco Aironet 3600系列AP的灵活模块化设计，提供前所未有的不间断安全扫描和频谱智能。这有助于您避免射频(RF)干扰，从而在无线网络上获得更好的覆盖范围和性能。

• 24 x 7全频监控和缓解，适用于aWIPS、CleanAir、情景感知、欺诈检测和无线电资源管理

• 24 x 7通道内aWIPS威胁防护

• 安全性和频谱覆盖范围提高23倍

• 与专用监控模式AP相比，CAPEX成本节省30%以上

• 零接触配置

WSSI现场可升级模块是专用无线电，可将所有监控和安全服务从客户端/数据服务无线电卸载到安全监控模块。这不仅可实现更好的客户端性能，而且通过消除将这些设备连接到其网络所需的专用监控模式AP和以太网基础设施，还降低了成本。

3600系列AP和WSSI模块使您能够同时为所有信道（2.4-GHz和5-GHz频段）上的Wi-Fi客户端提供最先进的安全和频谱分析功能。

部署后，该模块会不断扫描所有信道，以帮助确保业界提供最安全、最强健的无线体验。

WSSI模式的优点

增强型本地模式(ELM):

• 降低网络成本和运营。通过将WSSI模块集成到3600系列中，您最多可以更换三台独立设备。这可将三种独立功能整合到单个、多用途的3600系列AP中。

  

• 现在，客户可以将单个以太网连接（电缆和端口）用于有线网络，而通常需要最多三根单独的以太网电缆和接入端口用于有线网络。这显着降低了他们的资本支出。

• 通过将所有这些功能集成到单个AP，客户可以简化其无线基础设施和网络的日常管理和监控，同时大幅减少AP数量。WSSI模块对WLC和管理系统而言是支持特定3600系列AP中802.11b/g/a/n客户端设备（2.4和5 GHz）的附加无线电。

• 零接触配置、安装、通电和启动。使WSSI模块能够启动并运行，并立即监控和保护无线网络，完全无需配置。WSSI模块插入并固定到任何3600系列AP。当AP重新通电时，模块会与AP中的其他无线电一起初始化，并立即开始监控2.4和5 GHz上的所有信道，以发现任何潜在安全威胁和干扰源。

• 自适应wIPS可针对来自空中攻击、欺诈AP和对等连接的所有信道提供准确而高效的威胁检测，并能够对其进行分类、通知、缓解和报告，以实现持续监控和主动管理。与思科移动服务引擎(MSE)配合使用。

ELM:

• 为7x24通道扫描（2.4GHz和5 GHz）添加wIPS安全扫描，并尽力提供通道外支持。

• 该AP还为客户端提供服务，并通过G2系列AP在信道（2.4GHz和5GHz）上启用CleanAir频谱分析。

监控模式:

• 监控模式AP(MMAP)专用于在监控模式下运行，可以选择添加所有通道（2.4GHz和5GHz）的wIPS安全扫描。

• G2系列AP支持在所有信道（2.4GHz和5GHz）上执行CleanAir频谱分析。

• MMAP不为客户端提供服务。

带WSSI模块的AP3600:无线安全和频谱的演变

• 业界首款使用CleanAir技术促进客户端服务、wIPS安全扫描和频谱分析的AP。

• 专用2.4GHz和5GHz无线电，具有自己的天线，可在2.4GHz和5GHz频段中对所有无线信道进行7x24扫描。

• 单个以太网基础设施可通过更少的设备简化操作，以管理和优化AP3600无线基础设施和以太网有线基础设施的投资回报。

• Cisco CleanAir技术：提供主动的高速频谱智能，以应对由于无线干扰而导致的性能问题。业界首款先进的射频分析技术，可对可能严重影响无线网络质量的设备的能量模式（签名）进行检测和分类。

• 无线电资源管理(RRM):简化的高级射频管理，可根据从Cisco CleanAir技术接收的信息自动适应无线网络环境。一旦识别出干扰源，RRM就能够将客户端设备移动到远离干扰的信道，并调整传输功率以远离干扰源。这为用户提供了更好的射频质量。

• 入侵检测:检测并报告后门网络访问和对无线客户端的访问。

• 位置和情景感知：提供实时感知和跟踪无线终端的功能。

借助这些功能，思科无线安全和频谱智能模块以及思科3600系列AP可为企业用户和数据提供最安全、最强健的企业级无线网络。

使用WSSI模块的通道内与通道外

本地模式AP在信道上扫描CleanAir干扰源和wIP攻击者。这意味着AP只扫描其服务的信道。具有2.4GHz无线电服务信道1和5GHz无线电服务信道64的本地模式AP仅对信道1和64提供保护。

MMAP扫描CleanAir干扰源和wIP攻击者的信道外。这意味着AP扫描所有信道。2.4GHz无线电扫描所有2.4GHz信道，5GHz信道扫描所有5GHz信道。

Cisco 3600系列AP结合使用通道内和通道外。2.4GHz和5GHz无线电在信道上扫描，WSSI模块在信道外扫描，在所有2.4GHz和5GHz信道之间循环。

WSSI模块的建议部署密度

在传统监控AP部署中，思科建议将1 MMAP与每5个本地模式AP的比率。这取决于网络设计和专家指导，因此可能有所不同，以获得最佳覆盖。使用WSSI模块时，根据功能提供不同的部署建议，以实现与MMAP的覆盖奇偶校验。

对于CleanAir，建议每5个本地或Flexconnect AP部署1个WSSI模块。此1:5部署提供与启用CleanAir的MMAP相同的性能，但仍允许AP为客户端提供服务。这是执行CleanAir的WSSI模块的推荐部署：

对于wIPS保护，建议为每5个本地或FlexConnect AP部署2个WSSI模块。信道外攻击的wIPS检测时间约为MMAP的两倍。因此，需要2:5部署才能提供wIPS检测奇偶校验。这是执行wIPS保护的WSSI模块的推荐部署：

带WSSI模块的Cisco 3600 AP利用通道内和通道外扫描，在为客户端提供服务的同时，提供行业领先的解决方案。

安装WSSI模块

AP3600 WSSI模块的配置

无需配置WSSI模块。该模块使用0x4（仅接收）0 Tx天线x 4 Rx天线自动扫描两个频段上的所有信道。

请注意，WSSI模块仅在本地模式或FlexConnect模式下配置的AP3600上处于活动状态。WSSI模块在所有其他模式下都被禁用。

WSSI模块的电源要求

安装了WSSI模块的AP3600超过15.4瓦(802.3af)。 AP需要(802.3at - PoE+)、增强型PoE、本地交流电源或思科PoE馈电器(AIR-PWRINJ4)。

注意：

• 增强型PoE由思科创建，是802.3at PoE+的先驱。它提供高达20W的功率。

• PoE+可提供高达30W的功率。

WSSI模块上的无线电资源管理

WSSI模块在2.4GHz频段和5GHz频段进行所有RRM测量。测量结果显示在WLC GUI的“监控”(Monitor)>“接入点”(Access Points)> 802.11a/n > AP_NAME >详细信息(Details)或“监控”(Monitor)>“接入点”(Access Points)> 802.11b/g/n > AP_NAME >详细信息(Details)下。

WSSI模块上的CleanAir

WSSI模块以与MMAP相同的精度检测CleanAir干扰源。思科建议以1:5的密度部署WSSI模块，其中每5个AP必须有1个WSSI模块。这与MMAP的建议密度相同。

当WSSI模块在无子模式下启用时，模块将扫描2.4GHz频段和5GHz频段。该模块在每个信道上扫描1.2秒，并扫描CleanAir干扰源。

CleanAir可以仅在2.4GHz、仅5GHz以及2.4GHz和5GHz上启用。这可从WLC CLI或GUI中进行选择。以下是在WLC CLI上配置CleanAir的示例：

(Cisco Controller) >config 802.11-abgn cleanair enable APNAME 2.4GHz
(Cisco Controller) >config 802.11-abgn cleanair enable APNAME 5GHz

可以通过Wireless > Dual-Band Radios > Configure在GUI上应用相同的配置。以下是一个示例：

要验证WSSI模块是否检测到CleanAir干扰源，请从AP控制台发出show cleanair interferers命令：

SJC14-21A-AP-DUNGENESS-X# show cleanair interferers 
CleanAir: slot 0 band 2.4 number of devices 0:
CleanAir: slot 1 band 5.0 number of devices 0:
CleanAir: slot 2 band 2.4 number of devices 0:
CleanAir: slot 2 band 5.0 number of devices 1:
IDR: 24(3159) Video Camera
     ISI=0, -74 dBm, duty=100
     c=00180000 sig(4)=1057CA80
     on/report/seen 22/22/22 secs ago

可以通过Wireless > Dual-Band Radios > Configure在GUI上应用相同的配置。示例如下：

CleanAir干扰源在WLC GUI中报告。干扰源按频段显示。这意味着在5GHz频段的WSSI模块上检测到的干扰源显示在Monitor > 802.11a/n > Interference Devices下。

要验证WSSI模块是否检测到CleanAir干扰源，请从AP控制台发出show cleanair interferers:

SJC14-21A-AP-DUNGENESS-X# show cleanair interferers 
CleanAir: slot 0 band 2.4 number of devices 0:
CleanAir: slot 1 band 5.0 number of devices 0:
CleanAir: slot 2 band 2.4 number of devices 0:
CleanAir: slot 2 band 5.0 number of devices 1:
IDR: 24(3159) Video Camera
     ISI=0, -74 dBm, duty=100
     c=00180000 sig(4)=1057CA80
     on/report/seen 22/22/22 secs ago

WSSI模块上的wIPS

WSSI模块检测wIPS攻击者的精度与MMAP几乎相同。对于wIPS，思科建议在AP之间部署WSSI模块，比率为2:5。这意味着每5个AP中，两个AP必须包含WSSI模块。

可以配置两种wIPS模式：

• wIPS子模式 — 启用wIPS攻击检测并扫描1.2s的所有通道。除wIPS检测外，此模式还允许AP捕获所有RRM报告。

• 增强的wIPS模式 — 启用wIPS攻击检测并扫描所有信道250毫秒。信道停留时间越短，安全模块能够更快地检测攻击者。

从Prime基础设施(PI)页面，转到配置>接入点> AP_NAME。WSSI模块可配置为wIPS子模式或wIPS子模式+增强型wIPS引擎支持。这也可作为AP配置模板的一部分推送。

wIPS攻击显示在Prime基础设施的Home > Security选项卡上。

PI显示网络级视图，但是，您可以通过从AP控制台发出show capwap am alarm ALARM_NUM命令来显示对具有WSSI模块的AP3600的攻击。

例如，警报52是拒绝服务，身份验证泛洪。要查看是否在WSSI模块上检测到该攻击，请发出show capwap am alarm 52命令：

SJC14-21A-AP-DUNGENESS-X# show capw am alarm 52
capwap_am_show_alarm = 52

<A id='47C30C9E'> 
<AT>52</AT> 
<FT>2012/10/01 21:04:22</FT> 
<LT>2012/10/01 21:04:49</LT> 
<DT>2012/10/01 18:49:08</DT> 
<SM>00:40:96:B5:85:8D-a</SM> <SNT>2</SNT> 
<DM>00:22:55:F2:80:9F-a</DM> <DNT>1</DNT> 
 <CH>11</CH> 
 <FID>0</FID> 
 pAlarm.bPendingUpload = 0

WSSI模块上的欺诈检测

WSSI模块可检测与MMAP具有相同精度的欺诈AP。WLC和PI中都显示欺诈AP列表。

这是WLC GUI中未分类的欺诈AP的列表。在WLC GUI中的“监控”(Monitor)>“欺诈”(Rogues)下可以查看欺诈AP。

您可以验证使用AP控制台的WSSI模块是否检测到欺诈AP。在控制台中，输入show capwap rm rogue ap d2 all命令。这将显示在WSSI模块无线电中看到的所有欺诈AP。

SJC14-21A-AP-DUNGENESS-X# show capwap rm rogue ap dot11radio2 all
 ****************** CURRENT ROGUE APS ****************

ROGUE AP: 0  BSSID = 64:D9:89:42:24:3E, channel = 149
	SSID = alpha_phone
	heard 7 seconds ago
	authFailedCount=0
	NumOfPkts = 2, wep = 1, SP = 0, adHoc = 0, wpa = 1, 11g = 0, 11n=2
	antenna 1 pkts 2 avgRssi -81 avgSnr 13


 ****************** MASTER ROGUE APS ****************

ROGUE AP: 0  BSSID = C4:3D:C7:8A:EE:90, channel = 1
	SSID = NETGEAR_11ng
	heard 7 seconds ago
	authFailedCount=0
	isBeingContained = 0 
	seen at 0 seconds for 0 times and valid = 1
	NumOfPkts = 16108, wep = 0, SP = 1, adHoc = 0, wpa = 0, 11g = 1, 11n=2
	antenna 1 pkts 16108 avgRssi -73 avgSnr 12

ROGUE AP: 1  BSSID = EC:44:76:81:C0:02, channel = 1
	SSID = alpha_byod
	heard 151 seconds ago
	authFailedCount=0
	isBeingContained = 0 
	seen at 0 seconds for 0 times and valid = 1
	NumOfPkts = 413, wep = 1, SP = 1, adHoc = 0, wpa = 1, 11g = 1, 11n=2
	antenna 1 pkts 413 avgRssi -84 avgSnr 5

使用WSSI模块的欺诈遏制

WSSI模块是0x4模块（仅接收天线），这意味着将在2.4GHz或5GHz无线电上执行非法遏制。为了将WSSI配置为自动包含欺诈AP，您必须确保在WLC GUI中的“安全”>“无线保护策略”>“欺诈策略”>“常规”下，“仅监控模式AP的自动遏制”未启用（请参阅下一屏幕截图）。 可以启用所有其他复选框。

WSSI模块上的情景感知位置

当与Cisco MSE连接时，WSSI模块提供与MMAP相同精度的情景感知位置数据。

WSSI模块许可

WSSI模块使用wIPS监控模式许可证。

相关信息

• 技术支持和文档 - Cisco Systems

Revision History