www.SAMURAJ-cz.com 

21.04.2024 Alexandra Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Cisco WLC C9800 - obecně o Wi-Fi 6 a 6E, WPA3 a dalších standardech

Úterý, 26.09.2023 16:27 | Samuraj - Petr Bouška |
Před zhruba 4 lety Cisco kompletně přepracovalo svoje řešení pro bezdrátovou infrastrukturu. Dřívější kontrolery pro bezdrátové sítě (WLC) byly založeny na systému Cisco AireOS. Nové využívají Cisco IOS XE a jde o řadu Cisco Catalyst 9800 Series Wireless Controllers. Spolu s nimi se objevily nové přístupové body (Access Points) Catalyst 9100 Access Points, které jsou již v druhé generaci. V tomto prvním díle se stručně podíváme na moderní standardy a protokoly, které nové kontrolery a AP podporují.

Pozn.: Popis v článku vychází z Cisco Catalyst 9800-L Wireless Controller s Cisco IOS XE Cupertino verze 17.9.3 (v tuto chvíli doporučená verze). Ke kterému jsou připojeny přístupové body (Access Point) Cisco Catalyst 9164I AP.

Bezdrátové kontroléry řady Catalyst 9800

Nová generace Cisco bezdrátových kontrolérů (WLC) je kompletně přepsána a postavena na operačním systému Cisco IOS XE, který je společny pro switche Catalyst 9000, WLC 9800 a Catalyst 9100 AP. Oproti předchozímu AireOS je to velký krok vpřed. Při konfiguraci v CLI můžeme používat standardní IOS příkazy, třeba pro konfigurace sítě, autentizace nebo zálohování (pomocí příkazu archive). Pro konfiguraci bezdrátových sítí jsou přidány nové příkazy. GUI, o kterém se mluví jako o WebUI, je modernější a přehlednější.

Cisco Catalyst 9800 Series Wireless Controller WebUI (GUI)

Konfigurace WLAN je postavena na novém konfiguračním modelu, který využívá profily a tagy. Principiálně se příliš neliší od původní konfigurace a kdo pracoval s GUI předchozí verze WLC, tak asi nebude mít problém zvládat tuto. C9800 kontrolery podporují nejnovější bezdrátové standardy a protokoly.

WLC - Wireless Controller

Nejmenší WLC model je Catalyst 9800-L. Podporuje až 250 Access Points, 5000 klientů a propustnost 5 Gbps. Při použití Performance license jsou hodnoty dvojnásobné. Umožňuje vytvořit cluster.

Cisco Catalyst 9800-L Wireless Controller

Speciální variantou je Embedded Wireless Controller na Catalyst Access Points. WLC můžeme provozovat i virtuálně (lokálně nebo v cloudu), jeho označení je Catalyst 9800-CL.

Přístupové body - Access Points

Přístupové body řady Catalyst 9100 Access Points podporují Wi-Fi 6. Aktuálně nejnovější modely podporují také Wi-Fi 6E, tedy rozšíření standardu IEEE 802.11ax, který využívá pásmo 6 GHz.

Patří sem Cisco Catalyst 9164I AP vybavený pěti rádii - 2.4 GHz (2x2), 5 GHz (4x4), 6 GHz (4x4), IoT rádio a skenovací rádio. Podporuje CleanAir Pro. Napájení je možné pomocí PoE+ 25W (IEEE 802.3af) nebo včetně USB portu pomocí UPOE 30W (IEEE 802.3bt), případně pomocí napájecího adaptéru. Pokud je napájení slabší, například Enhanced PoE 20W, tak se AP rozběhne, ale nejdou spustit radia (asi to nelze nijak obejít, že by se zapnulo alespoň jedno radio).

Cisco Catalyst 9164I Access Point

Dokumentace

Bezdrátová bezpečnost, standardy a protokoly

Základní termíny

  • AP - Wireless Access Point - přístupový bod slouží k připojení bezdrátových zařízení do IP sítě, funguje na principu vysílání a přijímání rádiového signálu, starší modely se označovaly jako Cisco Aironet AP, nové Cisco Catalyst AP, při nasazování je dobré vymyslet rozumnou jmennou konvenci a adresování (třeba DHCP s rezervací)
  • WLC - Wireless LAN Controller nebo Wireless Controller - síťové zařízení, které centrálně spravuje konfiguraci, bezpečnostní politiky a provoz více AP
  • CAPWAP - Control and Provisioning of Wireless Access Points Protocol - standardizovaný protokol (RFC 5415) pro komunikaci mezi AP a WLC
  • WLAN - Wireless Local Area Network - bezdrátová lokální počítačová síť (Wi-Fi)
  • SSID - Service Set Identifier - každá bezdrátová síť (WLAN) je identifikována svým jménem SSID (může být skryté, nevysílané), které se používá pro připojení do sítě

Standardy pro bezdrátové sítě

Rodina standardů IEEE 802.11 definuje bezdrátovou komunikaci v lokálních sítích. Používá se označení Wi-Fi (WiFi), Wireless LAN či WLAN. V roce 2018 začala Wi-Fi Alliance používat označení pomocí čísla generace pro používané 802.11 protokoly.

  • IEEE 802.11b - pásmo 2,4 GHz, max. rychlost 1 až 11 Mbps, dosah 35 m
  • IEEE 802.11a - pásmo 5 GHz, max. rychlost 6 až 54 Mbps, dosah 35 m
  • IEEE 802.11g - pásmo 2,4 GHz, max. rychlost 6 až 54 Mbps, dosah 38 m
  • IEEE 802.11n - pásmo 2,4 a 5 GHz, max. rychlost 72 až 600 Mbps, dosah 70 m
  • IEEE 802.11ac (Wi-Fi 5) - pásmo 5 GHz, max. rychlost 433 až 6 933 Mbps, dosah 35 m
  • IEEE 802.11ax (Wi-Fi 6) - pásmo 2,4 a 5 GHz, max. rychlost 600 až 9 608 Mbps, dosah 30 m
  • IEEE 802.11ax (Wi-Fi 6E) - pásmo 6 GHz, max. rychlost 600 až 9 608 Mbps, dosah 15 m, není zpětně kompatibilní

Pozn.: Maximální rychlost je teoretická hodnota, kterou za nejoptimálnějších podmínek dosahuje technologie. V praxi ji asi nikdy nedosáhneme, u nejnovější standardů je reálná rychlost výrazně nižší. Přesto nové standardy přináší řadu nových technologií, které zlepšují připojení do sítě a přenos dat.

Pozn.: Dosah je velice přibližná hodnota v budově, spíše pro srovnání.

IEEE 802.11ax - Wi-Fi 6 a 6E

V tuto chvíli poslední verze je standard IEEE 802.11ax. Pracuje v pásmu 2,4 a 5 GHz pod označením Wi-Fi 6 (blíží se Wi-Fi 7). Později byl standard rozšířen také o pásmo 6 GHz pod označením Wi-Fi 6E. Oproti předchůdci IEEE 802.11ac zvyšuje propustnost na plochu v prostorech s vysokou hustotou klientů (kanceláře, nákupní centra, apod).

Novinkou jsou vlastnosti jako Orthogonal frequency-division multiple access (OFDMA), Trigger-based Random Access, Spatial frequency reuse a Target Wake Time (TWT). Vylepšené je Multi-user MIMO.

Wi-Fi 6 certifikace vyžaduje podporu WPA3, s tím souvisí také povinné využití Protected Management Frame (PMF). Wi-Fi 6E vyžaduje podporu OWE a WPA3 se SAE nebo 802.1x-SHA256. Nemá zpětnou kompatibilitu s WPA2 nebo Open, není možné využít Mixed Mode (kombinaci více security method).

Bezpečnostní standardy - WLAN Security Standards - L2 Security Methods

Používá se řada obecných termínů pro označení zabezpečení bezdrátových sítí, kam patří Open, WEP, WPA, WPA2 a WPA3. Například pouze zabezpečení (Security), bezpečnostní standardy (Security Standards), bezpečnostní metody (Security Methods). Případně s upřesňujícím přídavkem Wireless, WLAN či Wi-Fi nebo Cisco používá L2.

Jde o neformální seskupení autentizace a šifrování. Využívá se, aby se zabránilo neoprávněným uživatelům v přístupu k bezdrátové síti a aby byl přenos chráněn. Hlavním typem je Wi-Fi Protected Access (WPA), dnes verze WPA2 a WPA3, již se nepoužívá Wired Equivalent Privacy (WEP) a první verze WPA. Trochu speciální, a pro určité účely využívaná, je Open Security, kde se nepoužívá žádné šifrování ani autentizace (na L2, můžeme použít autentizaci na L3 pomocí Web Auth).

Jako šifrovací protokol se dnes využívá převážně Advanced Encryption Standard (AES), nepoužívá se starý Temporal Key Integrity Protocol (TKIP). Autentizace je obecně pomocí standardu IEEE 802.1X nebo Pre-Shared Key (PSK).

WPA3 - Wi-Fi Protected Access 3

Wi-Fi Protected Access (WPA) je označení pro zabezpečení bezdrátových sítí, které určuje bezpečnostní standard. Jde o bezpečnostní certifikační program Wi-Fi Alliance.

Obecně WPA rozdělujeme (podle autentizace) na

  • WPA-Personal - kde se používá klíč (64 hexadecimálních číslic nebo fráze 8 až 63 znaků), také se označuje jako WPA-PSK mód
  • WPA-Enterprise - vyžaduje autentizační (RADIUS) server, pro autentizaci využívá různé druhy IEEE 802.1X Extensible Authentication Protocol (EAP), také se označuje jako WPA-802.1X mód

Nejnovější verze je WPA3 z roku 2018. Ve WPA3 Personal je nahrazeno PSK (Pre-Shared Key) za SAE (Simultaneous Authentication of Equals). Z uživatelského pohledu jde stále o použití klíče (hesla), ale je bezpečnější. WPA3 Enterprise stále využívá IEEE 802.1X/EAP.

Je vyžadováno použití Protected Management Frame (PMF), někde se označuje jako Management Protection Frame (MFP), dle IEEE 802.11w, které chrání management zprávy mezi AP a klientem (jako je autentizace, asociace, beacon, probes).

Jako minimální šifrovací algoritmus nařizuje CCMP-128 (AES-128 v CCM módu), který byl již ve WPA2. Přidává možnost využít 192-bitové šifrování s GCPM-256 (AES-256 v GCM módu). CCMP - Counter Mode with Cipher Block Chaining  Message Authentication Code Protocol, GCMP - Galois/Counter Mode Protocol.

Podporuje Transition mode, což je Mixed Mode, který umožňuje použití WPA2 pro připojení klientů, kteří nepodporují WPA3.

WPA3 módy

  • WPA3-Personal Only - používá WPA3 SAE + PMF
  • WPA3-Personal Transition - používá WPA3 SAE + PMF a WPA2 PSK (volitelně PMF), klienti bez podpory WPA3 se připojí pomocí WPA2
  • WPA3-Enterprise Only - používá WPA3 802.1X/EAP + PMF
  • WPA3-Enterprise Transition - používá WPA3 802.1X/EAP + PMF a WPA2 802.1X/EAP (volitelně PMF), klienti bez podpory WPA3 se připojí pomocí WPA2
  • WPA3-Enterprise 192-Bit - používá WPA3 EAP-TLS (vyžaduje certifikáty) + PMF, šifrování GCMP & ECCP, SHA384

Zařízení, která podporují Wi-Fi 6 (IEEE 802.11ax) musí podporovat WPA3. Ale i řada starších zařízení s podporou Wi-Fi 5 (IEEE 802.11ac) zvládá WPA3.

Enhanced Open a Opportunistic Wireless Encryption (OWE)

Jako náhrada za otevřené (Open) nezabezpečené bezdrátové sítě vzniklo Enhanced Open Security. Využívá Opportunistic Wireless Encryption (OWE) protokol definovaný v RFC 8110.

Pomocí Diffie-Hellman algoritmu se ustanoví unikátní klíče pro šifrování (pomocí 4-Way Handshake). Pro uživatele se chová stejně jako Open, nemusí zadávat žádné heslo (klíč) pro připojení do sítě. Komunikace je šifrována, ale nedochází k žádnému ověření (autentizaci). Podpora OWE u klientů není zatím příliš velká, ale je vyžadováno pro Wi-Fi 6E certifikaci.

OWE může pracovat ve dvou režimech:

  • Enhanced Open Only - používá OWE protokol pro poskytnutí 128-bit CCMP/AES šifrování, vyžaduje PMF
  • Enhanced Open Transition - pro zpětnou kompatibilitu zařízení, která OWE nepodporují, vyžaduje 2 SSID (jedno OWE, druhé Open)

IEEE 802.11r Fast Transition a IEEE 802.11k

Fast Transition (IEEE 802.11r) je standard pro rychlý roaming. Má zajistit nepřetržitou konektivitu bezdrátového zařízení při pohybu, s rychlým a bezpečným přechodem z jednoho AP na druhé. Počáteční autentizační handshake s cílovým AP (tj. dalším přístupovým bodem, ke kterému se klient hodlá připojit) se provádí ještě předtím, než se klient asociuje k cílovému AP.

IEEE 802.11k je standard pro Radio Resource Measurement. Poskytuje informace k nalezení nejlepšího dostupného přístupového bodu. Standardně se klient připojuje k AP s nejsilnějším signálem. Pokud je hodně vytížené, tak může být dostupné optimálnější AP se slabším signálem. Klienti mohou požádat o seznam sousedů obsahující informace o známých sousedních AP vhodných pro roaming (v rámci stejného stejného SSID).

FlexConnect

Lightweight Access Point, tedy AP spravované pomocí WLC (nemůže pracovat samostatně), může pracovat buď v lokálním nebo FlexConnect režimu. Nastavuje se pomocí Site Tag.

  • Local Mode - běžný režim provozu, který využívá Central Switching, tuneluje jak bezdrátový uživatelský provoz, tak veškerý řídicí provoz přes CAPWAP na WLC, kde je uživatelský provoz mapován na dynamické rozhraní/VLAN (vstupuje do sítě)
  • FlexConnect Mode - je určen pro pobočky a vzdálené kanceláře, AP mohou být připojena k WLC v centrále skrze WAN, uživatelský provoz může vstupovat do sítě lokálně z AP pomocí Local Switching nebo centrálně skrze WLC pomocí Central Switching, může také využívat Local Authentication, AP funguje i při ztrátě spojení s WLC

Pozn.: Další možné režimy jsou Sniffer, Sensor, Monitor nebo Bridge. Konfigurují se přímo na AP.

Windows 10 a Wi-Fi 6E

Patrně nejrozšířenější bezdrátové adaptéry s podporou Wi-Fi 6E jsou Intel AX210 a AX211 (Intel Wi-Fi 6E AX211 160MHz). Pro nové funkce je potřeba mít co nejnovější ovladače (i pro značkové počítače můžeme použít originální Intel ovladač) Windows 10 and Windows 11 Wi-Fi Drivers for Intel Wireless Adapters. Dokonce jsem narazil na problém, že notebooky se starším ovladačem končily na modré obrazovce, když použily WPA3.

Windows zobrazují informaci o podpoře Wi-Fi 6 Faster and more secure Wi-Fi in Windows. Uvádí, že pro podporu Wi-Fi 6 a WPA3 je potřeba Windows 10 20H1 (verze 2004). Nenalezl jsem oficiální informaci o podpoře Wi-Fi 6E a pásmu 6 GHz. V článku Wi-Fi problems and your home layout je uvedeno 6 GHz pouze u Windows 11. Intel také uvádí, že je potřeba Windows 11 How to Enable Wi-Fi 6E/ 6GHz Band Using Intel Wi-Fi 6E (Gig+) products.

Praktické testy (a různé diskuse) potvrzují, že ve Windows 10 nefunguje Wi-Fi 6E. Daná WLAN (SSID) se vůbec nezobrazí v seznamu. Překvapuje mne, že nestačí podpora v síťovém adaptéru a ovladači. Několik diskusí uvádí, že se dá zprovoznit, když se použije Intel ovladač verze 22.45.1.1. Mě se v žádném testu zprovoznit nepovedlo.

zobrazeno: 1357krát | Komentáře [0]

Autor:

Související články:

Cisco WLC

Wireless LAN Controller je Cisco zařízení pro centrální správu WiFi sítě (přístupových bodů). Články se věnují popisu funkce a konfigurace Cisco bezdrátových sítí. Od Access Points (tedy přístupových bodů), přes WLC, Wireless Control System (WCS) po Cisco Prime Infrastructure.

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

Zatím tento záznam nikdo nekomentoval.

Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách