Если вы серьезно относитесь к Wi-Fi, то свое лабораторное оборудование у вас точно есть.
На мой взгляд, без этого нам не обойтись.
Если вы собираетесь серьезно заняться Wi-Fi, то рано или поздно вам понадобится лаборатория.
В этой статье я расскажу, как это сделать с минимальными затратами и для каких задач может понадобиться лаборатория, на реальных примерах.
Более 40% (по данным statista.com) корпоративного Wi-Fi занимает Cisco. Вероятно, это то оборудование, которое вам понадобится.
Сначала вам нужно будет купить 2-3 точки доступа второй свежести.
Например, AIR-CAP1702I-R-K9. Эти точки поддерживают 802.11ac, но стоят не так дорого, как новые.
Для некоторых задач подходит даже AIR-CAP1602I-R-K9. Не советую брать старые.
Часто точки должны поддерживаться новым программным обеспечением, которое необходимо протестировать, но новое программное обеспечение не поддерживает старые точки.
Например на 8.6 даже 1602 не запустится.
Если у вас достаточно денег, то можно взять свежие баллы от Mobility Express, например 1852 или 2802. Тогда контроллер вам может и не понадобится поначалу, но функционал реального контроллера все равно будет богаче, и он вам пригодится.
позже.
Вы можете понять разницу, прочитав руководство по настройке для обоих.
Где я могу купить?
Купить можно у знакомого дистрибьютора с максимальной скидкой, либо на сайте НФР цена, если вы работаете на партнерского интегратора.Хотя руководство интегратора не всегда любит одобрять покупку чего-то «для себя», даже НФР цена.
Если вам нужно найти технику по минимальной цене и за наличные, то ваш выбор – Авито или ebay. Там есть очень интересные предложения.
Регуляторный домен точки доступа не имеет значения, так как на контроллере вы зададите нужный вам RU. При покупке у нас, в России, советую записать все контакты продавца и сделать скриншот объявления, так как есть небольшая вероятность, что баллы украли какие-то злые установщики.
Когда мы запускали один крупный объект, 10 точек доступа из 200 были украдены и найдены в соседнем ломбарде через Авито.
Итак, вы приобрели точки доступа.
Если вы купили автономные баллы, то передайте их контролеру( КАПВАП ) режим (и наоборот) - дело десяти минут, умело.
Погуглил по запросу типа: Cisco 1702 от легкого до автономного.
Если у вас уже есть свободные баллы, например, от комплекта запчастей, вам повезло.
Можно сразу переходить к следующему этапу – контроллеру.
Cisco имеет два основных типа контроллеров: аппаратные и виртуальные.
Virtual работает только в режиме FlexConnect и это накладывает ряд ограничений, но во многих случаях этого достаточно.
У него есть одно неоспоримое преимущество: он условно-бесплатный.
Точнее, полнофункциональная демо-лицензия почти на 3 месяца активируется сразу после установки.
3 месяца – достаточный срок для тестирования.
Если вам нужно его продлить, просто переустановите контроллер (сохранив конфиг) или еще проще откатитесь к ранее созданному снимку виртуальной машины ;) опять же не забудьте сохранить конфиг.
Железный контроллер типа 2504 можно купить недорого там же, где и точки.
Их сейчас на рынке много.
Для установки виртуального контроллера вам понадобится:
1. Сервер где будет крутиться виртуальная машина.Для задач лабораторного контроллера подойдет любой ноутбук с 64-битным процессором, поддерживающим VT-x. Например, у меня опытный Thinkpad X220 на i5. Если у вас есть доступ к мощному блейду с ESXi в работе, конечно, уместно воспользоваться его мощью.
В общем, выбирайте из того, что есть.
2. Программное обеспечение для виртуализации например VMware Workstation (немного платная) или VirtualBox (раздают бесплатно).
Какой из них выбрать – решать вам.
По моему опыту, шаблон OVA с виртуальным контроллером не разворачивался и не работал на всех версиях VirtualBox. Я заработал только на старшей, 5.0.16, и не сразу.
Не работало на 5.1.8. На 5.2.6 не запускается конкретная OVA с версией 8.5 контроллера.
На VMware Workstation он запустился сразу и работал как часы, поэтому я могу его рекомендовать.
3. пакет ОВА с архивом всего необходимого, включая образ контроллера.
Официально загружено на cisco.com, если у вас есть доступ.
Например, стабильная версия 8.0.152.0 доступна для скачивания просто так (если вы зарегистрированы на cisco.com).
Если доступа к интересующему вас программному обеспечению нет, но есть партнерство, то вы можете запросить его по дружбе.
Если ни то, ни другое, будьте умны.
Подробно с картинками рассказывать как развернуть ОВА не буду, делается это как обычно.
Открываем .
ova, указываем где хранить машину и в путь.
Дальше все произойдет автоматически и вскоре вы увидите, что контроллер загружается.
После загрузки вы увидите обычный диалог первых настроек контроллера, к которому вы, конечно же, подготовились заранее.
На всякий случай в спойлере напомню параметры, которые потребуются.
Конечно, вы должны задать свои собственные значения, но важно поместить сервисный порт в другую подсеть.
Параметры
После чего контроллер перезагрузится и начнет работать.System Name [Cisco_2c:4d:2f] (31 characters max): vWLC Enter Administrative User Name (24 characters max): wlcadmin Enter Administrative Password (3 to 24 characters): ******** Re-enter Administrative Password : ******** Service Interface IP Address Configuration [static][DHCP]: static 172.16.0.8 Management Interface IP Address: 10.8.8.2 Management Interface Netmask: 255.255.255.0 Management Interface Default Router: 10.8.8.1 Management Interface VLAN Identifier (0 = untagged): 0 Management Interface DHCP Server IP Address: 10.8.8.1 Enable HA [yes][NO]: NO Virtual Gateway IP Address: 198.51.100.108 Mobility/RF Group Name: LAB Network Name (SSID): TEST Configure DHCP Bridging Mode [yes][NO]: no Allow Static IP Addresses [YES][no]: no Configure a RADIUS Server now? [YES][no]: no Warning! The default WLAN security policy requires a RADIUS server. Please see documentation for more details. Enter Country Code list (enter 'help' for a list of countries) [RU]: RU Enable 802.11b Network [YES][no]: Enable 802.11a Network [YES][no]: Enable Auto-RF [YES][no]: yes Configure a NTP server now? [YES][no]: 10.8.8.1 Configure the system time now? [YES][no]: no Warning! No AP will come up unless the time is set. Please see documentation for more details. Configuration correct? If yes, system will save it and reset. [yes][NO]: yes Configuration saved! Resetting system with new configuration.
В консоли VMware будет доступ к консоли, через браузер по указанному IP-адресу Management Interface будет https доступ к WEB, что удобнее.
Вы также можете использовать ssh. 
Если веб-доступа нет, возможно, вы назначили неправильный виртуальный сетевой адаптер.
Изменить – Редактор виртуальной сети решит эту проблему.
Далее с контроллером все как обычно, за исключением того, что точки доступа для работы необходимо перевести в режим FlexConnect. И не забудьте активировать лицензию, иначе вы долго будете недоумевать, почему не устанавливается DTLS-туннель!
Несколько примеров того, чем полезна лаборатория
Проверка нестандартных решений Например, на одном заводе необходимо было подключить несколько сетевых устройств на движущемся кране через Wi-Fi. Клиент использовал точку доступа Cisco 1532E в В.Г.
Б.
автономный режим.
Этот режим хорош тем, что позволяет гибко настраивать параметры роуминга, а устройства, подключенные по WGB, видны по их MAC в сети.
Клиент хотел обеспечить короткое время роуминга в этом режиме.
Одну точку я перевел в автономный режим WGB и носил ее на длинном шнуре в офисе, перемещаясь между двумя контрольными точками, висящими на потолке.
Ноутбук был подключен к точке тем же шнуром, поэтому в логах по мере перемещения точки появлялись аналогичные записи, что наглядно позволяло судить о времени роуминга.
бревно *Mar 1 01:39:34.265: %DOT11-4-UPLINK_DOWN: Interface Dot11Radio1, parent lost: Too many retries
*Mar 1 01:39:34.265: E76D58EB-1 Uplink: Lost AP, Too many retries
*Mar 1 01:39:34.265: E76D597D-1 Uplink: Setting No. of retries in channel scan to 2
*Mar 1 01:39:34.265: E76D5985-1 Uplink: Wait for driver to stop
*Mar 1 01:39:34.265: E76D5FBB-1 Uplink: Enabling active scan
*Mar 1 01:39:34.265: E76D5FCA-1 Uplink: Not busy, scan all channels
*Mar 1 01:39:34.265: E76D5FD2-1 Uplink: Scanning
*Mar 1 01:39:34.313: E76E2161-1 Uplink: Rcvd response from 003a.7db3.c54f channel 161 538
*Mar 1 01:39:34.325: E76E231F-1 Uplink: An AP responded, try to assoc to the best one
*Mar 1 01:39:34.341: E76E82D7-1 Uplink: dot11_uplink_scan_done: rsnie_accept returns 0x0 key_mgmt 0xFAC02 encrypt_type 0x200
*Mar 1 01:39:34.341: E76E82ED-1 Uplink: ssid GMXM-C auth open
*Mar 1 01:39:34.341: E76E82F4-1 Uplink: try 003a.7db3.c54f, enc 200 key 4, priv 1, eap 0
*Mar 1 01:39:34.341: E76E82FE-1 Uplink: Authenticating
*Mar 1 01:39:34.341: E76E855C-1 Uplink: Associating
*Mar 1 01:39:34.341: E76E8DEB-1 Uplink: EAP authenticating
*Mar 1 01:39:34.353: %DOT11-4-UPLINK_ESTABLISHED: Interface Dot11Radio1, Associated To AP GMXM-1702i-1 003a.7db3.c54f [None WPAv2 PSK]
*Mar 1 01:39:34.353: E76EB2C7-1 Uplink: Done
В этом примере на сканирование, выбор и переключение было потрачено 353-265=88мс.
Различные варианты эксперимента показали время до 200мс, что устроило всех.
Возможно, для анализа времени роуминга правильнее было бы использовать перехватчик пакетов, прослушивать эфир с двух адаптеров и анализировать его потом, но на тот момент этого казалось достаточным.
Проверка нового ПО на стабильность Есть полезное правило: лучшее – враг хорошего.
Если ваше программное обеспечение актуально, рекомендовано как стабильное и его возможностей вам достаточно, менять его нет необходимости.
Если вам нужны новые функции, такие как AVC на FlexConnect, вам, вероятно, придется обновить программное обеспечение.
Если вы обслуживаете большую сеть с сотнями или тысячами точек доступа, существует риск того, что с новейшим программным обеспечением что-то пойдет не так.
Для этого полезно иметь лабораторию, где можно в течение недели запустить необходимое программное обеспечение и протестировать его.
Сколько стоит 1 час простоя сети на вашем предприятии? Сколько стоит лабораторный набор? Сравните эти цены и решите сами.
Проверка времени простоя при использовании некоторых команд Если вы настраиваете живую сеть, то это гораздо интереснее, просто нужно быть внимательнее и заранее знать результат своих действий.
Если простая живая сеть создает проблемы, то лучше заранее попробовать команды, требующие точек перезагрузки.
Например, есть такая удобная вещь, как RF Profile, в которой изменяются скорость передачи данных, рабочая MCS, параметры автоматического радиоуправления, а также ряд других полезных параметров, таких как RxSOP. Этот профиль привязывается к группе точек, настраивая их сразу.
При этом нужно помнить, что если вы измените существующий профиль, который уже используется, то результата не будет. Никаких изменений не будет. Вам необходимо присоединить к группе точек другой профиль, точки перезагрузятся с его настройками, затем присоедините исходный, который вы изменили, и далее, после повторной перезагрузки, точки будут работать с новыми настройками.
Узнать, сколько времени это займет, можно, проведя эксперимент в офисе, а затем договориться с заказчиком о небольшом перерыве в общении.
Вразумите несговорчивых соседей через Wi-Fi Допустим, ваша офисная сеть построена на UniFi. Соседнее помещение арендует другая компания, и ее админ, не зная, что в диапазоне 2,4 ГГц всего три непересекающихся канала, настроил точку рядом с вашей на 3-й канал, да еще занял 40 МГц! Или даже не админ это сделал, а кривая прошивка сама выбрала 3-й канал.
При этом через этот третий канал люди постоянно скачивают торренты.
Ваши коллеги начали жаловаться, что Wi-Fi работает хуже.
Что делать? В идеале перевести всё (оборудование) и всех (клиентов) на 5ГГц и забыть про то ужасное время, когда ваш анализатор спектра показывал такие картинки 
В реальной жизни это пока невозможно.
2,4 ГГц по-прежнему популярен в РФ, благодаря производителям бюджетных китайских смартфонов.
Значит, перевести не получится, нужно общаться с соседним офисом.
Скорее всего, если вы доходчиво объясните, почему нужно менять настройки, вопрос быстро решится.
Если никакие уговоры не помогают или соседних офисов много и непонятно, кто источник ваших беспокойств (хотя это можно обнаружить каким-нибудь бесплатным Wi-Fi анализатором на вашем смартфоне), то можно применить тяжелую артиллерию.
В разделе Монитор — Мошенники найдите интересующую вас точку и выберите Содержать в статусе обновления.
При этом контролер заботливо предупредит вас, что это может быть незаконно.
По сути, вы инициируете DoS-атаку на сеть вашего соседа, отправляя кадры деаутентификации 802.11 из ваших точек 802.11 от имени точки соседа ее клиентам.
И всё, если услышать эту точку хотя бы на уровне -70 дБм и нажать кнопку Apply, выбрав максимальное количество ТД для сдерживания мошенника, то все его клиенты просто перестанут работать.
Люди не понимают, что происходит, потому что это физически отключается и делает невозможным подключение.
Пробуют менять настройки, не помогает. Если при этом (через пару дней) вы заметите, что канал поменялся, и успешно, то статус Содержать снимается и все довольны.
Если нет, то решайте сами.
По моему опыту, однажды через пару недель обнаружилось, что люди установили новую точку доступа, SSID остался прежним, но канал снова был настроен криво.
Если кто-нибудь знает, какие правовые последствия это может повлечь за собой в РФ, буду рад вашим комментариям.
Также любопытно, какие доказательства могут быть приняты.
Обнаружить, что на вас нацелены, можно, но нужно иметь серьезную инфраструктуру, которая увидит, что это происходит, и скажет об этом так: Внимание: Наша точка доступа с базовым радио MAC f4:ea:67:00:01 :08 подвергается атаке (сдерживается) другой точкой доступа на радиоканале 802.11b/g. Если у кого-то есть такая инфраструктура, то крайне маловероятно, что он допустит такие грубые ошибки в настройке.
Если у вас есть программное обеспечение типа Omnipeek для перехвата кадров 802.11 и адаптер, умеющий работать в беспорядочном режиме, то это поможет обнаружить такую проблему.
В вашем любимом Kali Linux вы уже знаете, как ловить кадры и что делать.
Таким образом, если вдруг люди в вашей сети вдруг полностью перестанут подключаться к Wi-Fi, поищите программы для перехвата, а перед этим проверьте, не мешаете ли вы соседям.
Если вы сомневались, стоит ли просить начальника (или себя) выделить средства на покупку трех точек доступа, чтобы собрать очень полезную лабораторию Wi-Fi, надеюсь, ваши сомнения развеяны.
Теги: #cisco #cisco #Беспроводные технологии #Сетевые технологии #сделай сам #wi-fi #Лаборатория #wi-fi по-человечески #wi-fi контроллер
-
Тенденции Кибербезопасности От Bi.zone
19 Oct, 24 -
Отслеживание Установки Приложений
19 Oct, 24 -
Открытие Блога «Барахолка»
19 Oct, 24 -
Как Стать Успешным Фрилансером
19 Oct, 24 -
Skype 3.5 Для Windows – Новые Возможности
19 Oct, 24 -
Ssl-Проводник
19 Oct, 24 -
Что Такое Цифровая Рукописная Подпись (Dhs)
19 Oct, 24
