ccna wireless 640 722 survival note

CCNA Wireless 640-722 Survival Note

ilham.my.id

Daftar Isi 1. Terminology and Topology ................................................................................................ 5

1.1 Ad Hoc Mode .............................................................................................................. 5

1.2 Infrastructure Mode ..................................................................................................... 5

1.3 Controller .................................................................................................................... 6

2. Standards and Regulatory Bodies ....................................................................................... 7

2.1 Layer 1 and layer 2 protocols ...................................................................................... 7

2.2 Interoperability testing ................................................................................................ 7

2.3 Regulation Organisasition ........................................................................................... 7

3. Radio Frequency (RF) 101 ................................................................................................. 8

4. Power Math......................................................................................................................... 9

5. Antennas ........................................................................................................................... 10

5.1 Effective Isotropic Radiated Power (EIRP) .............................................................. 10

5.2 Uni vs Omni directional, Polarity ............................................................................. 11

5.3 Diversity, Connectors, Amplifiers ............................................................................ 11

6. 802.11 and Beyond ........................................................................................................... 13

7. Frames and WLAN Etiquette ........................................................................................... 17

8. A tale of 10 frames ........................................................................................................... 19

9. Other Wireless Tech ......................................................................................................... 22

9.1 Wimax ....................................................................................................................... 22

9.2 Zigbee ........................................................................................................................ 22

9.3 Bluetooth ................................................................................................................... 23

10. AP-WLC Traffic Flow .................................................................................................. 24

11. VLAN & SSID .............................................................................................................. 28

11.1 Configuration Examples:........................................................................................... 30

12. Deploy the WLAN Controller (WLC) .......................................................................... 33

13. Ahhh, the first WLAN .................................................................................................. 35

13.1 Mating Patterns for APs and WLCs .......................................................................... 36

13.2 Courting process ........................................................................................................ 38

14. AP a la mode ................................................................................................................. 41

14.1 Access Point modes ................................................................................................... 41

15 Wireless Roaming ......................................................................................................... 43

15.1 a mobility Group (domain) ........................................................................................ 43

ilham.my.id

15.2 Layer 2, layer 3.......................................................................................................... 44

15.3 Symmetric vs Asymmetric ........................................................................................ 45

15.4 Anchors and “Mobility Anchors” ............................................................................. 47

15.5 Static address tunneling ............................................................................................. 47

16 Converting APs ............................................................................................................. 49

16.1 New AP – Zero touch? (LAP) ................................................................................... 49

16.2 Autonomous AP ........................................................................................................ 50

16.3 Other tools ................................................................................................................. 51

17 Security 101.5 ............................................................................................................... 52

17.1 Authentication ........................................................................................................... 52

17.2 Encryption ................................................................................................................. 52

17.3 Keys are key .............................................................................................................. 53

18 802.1x and EAP ............................................................................................................ 56

18.1 802.1x ........................................................................................................................ 56

18.2 Cara kerja 802.1x ...................................................................................................... 56

18.3 EAP: Extensible Authentication Protocol ................................................................. 57

18.3.1 Lightweight EAP (LEAP) .................................................................................. 57

18.3.2 EAP Flexible Authentication via Securing Tunnel (EAP-FAST) ..................... 57

18.3.3 PKI and Certificates ........................................................................................... 58

19 Keys and Encryption ........................................................................................................ 60

19.1 WEP (old and weak) ................................................................................................. 60

19.2 WPA (TKIP and optionally AES) ............................................................................. 60

19.3 802.11i / WPA2 (AES/CCMP) ................................................................................. 60

19.4 Enterprise vs Personal (Radius or not) ...................................................................... 61

19.5 PMK (session key) & PTK........................................................................................ 61

19.6 Likely options:........................................................................................................... 62

20 No Supplicant, No Problem: Web Auth .......................................................................... 64

20.1 Web authentication process ....................................................................................... 64

20.2 Authentication options .............................................................................................. 64

20.3 User Experience ........................................................................................................ 65

21 Wireless Control System (WCS) ..................................................................................... 68

21.1 Features and version of WCS .................................................................................... 68

21.2 Getting around in the GUI ......................................................................................... 68

ilham.my.id

21.3 Monitoring the Network ............................................................................................ 70

22 Identifying and Solving Issues ......................................................................................... 72

22.1 Controller commands: ............................................................................................... 72

22.2 Aironet IE (Information Element) ............................................................................. 73

22.3 MFP (Management Client Protection) ...................................................................... 73

23 Rogues.............................................................................................................................. 75

23.1 What is rouge AP?..................................................................................................... 75

23.2 Radio Resource Management.................................................................................... 75

23.3 How to tame a Rouge? .............................................................................................. 76

23.4 Clean Air and AQI .................................................................................................... 76

23.5 wIPS (wireless intrusion prevention system) ............................................................ 77

24 Clients and BYOD (Bring Your Own Devices) .............................................................. 78

24.1 Modular AnyConnect ................................................................................................ 80

ilham.my.id

1. Terminology and Topology

1.1 Ad Hoc Mode

BSS – Basic Service Set

IBSS – Independent Basic Service Set

Gambar 1-1 - Basic Service Set

1.2 Infrastructure Mode AP – Access Point (Hotspot)

BSA – Basic Service Area (cell)

SSID – Service Set Identifier

Distribution System

Gambar 1-2 - Infrastructure Mode

ilham.my.id

1.3 Controller ESS – Extended Service Set

Roaming

Gambar 1-3 - Extended Service Set

ilham.my.id

2. Standards and Regulatory Bodies

2.1 Layer 1 and layer 2 protocols

- IEEE 802.11 series

Study the apps and uses of WLANs

Publish protocols modulation, frequency, framing, physical

2.2 Interoperability testing

- Wi-Fi Alliance “Did it make the grade”?

2.3 Regulation Organisasition

- FCC - Federal Communications Commission

- ETSI – European Telecomunications Standards Institute

- TELEC – Telecom Engineering Center

- BRAI – Broadcasting Regulatory Authority of India

ilham.my.id

3. Radio Frequency (RF) 101

How fast 1 Hz, 1 KHz, 1 MHz, 1 GHz, 1 THz (Frequency)

How wide is One Cycle (Wavelenght)

How tall (Amplitude) more energy = more Amplitude

Gambar 3-1 - Range Frekuensi

RSSI: Received Signal Strenght Indicator

When bad things happen to good RF signals

- Path loss and Scattering (free of charge)

- Lead (and other obstacles absorbing the RF)

- Mirror mirror (reflection, multipath, fade)

- Long range atmhosphere refraction

- Noise (Interference with the RF)

Upfade: the signal is stronger than it should be because multiple signal paths are received

twice at exactly the same time, wich results in the multiple signals being in-phase.

RSSI minus Noise = Signal to Noise Ration (SNR)

ilham.my.id

4. Power Math

What’s watt?

- Energy measurement, 1/1000 = mW, 1000 kW

Let me hear you say Decibel

10 dB = 10x, 0 dB = same, -10 dB = .1

dB in relation to 1 mW (m)

10 dBm = 10 mW, 0 dBm = 1 mW, -10 dBm = .1mW

3 is the new 2 (don’t shoot the messenger)

Coverting between mW & dBm

- 46 dBm as mW

- 2400 mW as dBm

Gambar 4-1 - Power Math Calculation

Power Math

10 = 10x

3 = 2x

0 = same

-3 = 1/2x

-10 = 1/10 x

ilham.my.id

5. Antennas

Radiates Waveforms H-Plane, E-Plane

H-Plane: top view

E-Pane: side view

Gambar 5-1 - H-Plane

Gambar 5-2 - E-Plane

5.1 Effective Isotropic Radiated Power (EIRP) Tx Power (dBm) + Antenna Gain (dBi) – Cable Loss

Dipole reference (dBd) = 2.15 dBi gain

4.90 dBd = ? dBi

4.90 dBd + 2.15 dBi = 7.05dbi

Menghitung EIRP:

Tx Power = 24 dBm

Antenna Gain = 8.5 dBd

ilham.my.id

Mengubah antenna gain dari dBd ke Dbi

8.50 dBd + 2.15 dBi = 10.65 dBi

Hasil perhitungan diatas dijumlahkan dengan Tx Power

24 dBm + 10.65 dBi = 34.65 dBm

5.2 Uni vs Omni directional, Polarity

Gambar 5-3 - Uni Directional Antenna

Gambar 5-4 - Omni Directional Antenna

5.3 Diversity, Connectors, Amplifiers

Gambar 5-5 - Diversity

ilham.my.id

Diversity adalah kemampuan access point untuk memilih antenna mana yang akan digunakan

untuk mengirim sinyal berdasarkan kualitas udara.

Gambar 5-6 - Ilustrasi Splitter

Connectors adalah penggubung access point dengan antenna, dan biasanya proprietary.

Amplifiers adalah penguat sinyal yang dikirim access point ke antenna.

Attenuator adalah sebaliknya.

Splitter adalah pemisah antara access point dengan antena.

ilham.my.id

6. 802.11 and Beyond

ISM (Industrial, Scientific, and Medical) and UNII (Unlincensed National Information

Infrastructure) Bands

~2.4 GHz and ~5 GHz

Spread Spectrum

802.11, 11b, 11a, 11g, 11n

Gambar 6-1 - 802.11 Family

Gambar 6-2 - Lebar Frekuensi 802.11 DSSS

ilham.my.id

Gambar 6-3 - Lebar Frekuensi 802.11 OFDM

Backward compability, misalnya dari 802.11g ke 802.11b dapat menyebabkan penurunan

data rate.

Gambar 6-4 - Lebar Frekuensi

Gambar 6-5 - MIMO dan Spatial Multiplexing pada 802.11n

ilham.my.id

MIMO dan Spatial Multiplexing dapat mengirimkan dapat dalam beberapa stream.

Gambar 6-6 - Transmit Beamfoming pada 802.11n

Jika antena 1 dan 3 mengirim data pada stream yang sama, makan akan terjadi out phase,

karena antena 1 lebih jauh dari antena 3. Transmit Beamfoming adalah metode untuk

mendelay pengiriman data pada antena 3 agar updafe dengan antena 1 ketika data diterima

client.

Gambar 6-7 - MRC (Max Ratio Combining) pada 802.11n

MRC adalah kemampuan access point untuk menerima sinyal dalam beberapa stream dari

client yang telah dipantulakan, direfleksikan, dsb. Sinyal yang out of phase-nya besar akan

dihapus, dan yang out phase-nya sedikit akan digabungkan.

Salah satu kelebihan 802.11n adalah block ACK atau pengelompokan acknowledgement.

802.11n dapat menggunakan lebar pita 20 MHz maupung 40 MHz

ilham.my.id

Gambar 6-8 - Contoh 40 MHz pada Frekuensi 2.4 Ghz

Penggunaan lebar pita 40 MHz pada frekuensi 2.4 GHz tidak disarankan, karena hanya akan

ada satu channel yang tersedia.

Gambar 6-9 - Contoh 40 MHz pada Frekuensi 5 Ghz

ilham.my.id

7. Frames and WLAN Etiquette

Frame type:

- Management: Beacons, Probes, Association, Authentication

- Control: RTS (Request to Send), CTS (Clear to Send), ACK

- Data: Payload

Beacons adalah frame yang dikirim access point ke cell. Isinya berupa informasi tentang

SSID, channel number, vendor, dsb. Pada keadaaan ini client akan mendengarkan secara

pasif.

Gambar 7-1 - Contoh Beacons

Probes adalah frame yang dikirimkan oleh client (probe request) untuk sebuah access point

untuk join ke access point tersebut. Setelah itu access point akan merespon dengan probe

response.

RTS adalah permintaan dari client untuk mengirim data ke access point setelah menunggu

selama beberapa waktu. CTS adalah response bahwa client boleh mengirim data. Sedangkan

ACK adalah response bahwa data sudah di terima.

Network Allocation Vector (NAV) adalah pemberitahuaan dari sebuah client seberapa lama

ia membutuhkan waktu untuk mengirimkan data ke access point.

DCF: Distributed Coordination Function (not PCF)

DCF adalah sebuah metode untuk memastikan bahwa setiap client tidak saling tumpang

tindih ketika ingin mengirim data. Metode yang digunakan dengan menggunakan RTS dan

CTS.

PCF: Point Coordinat Function

Pada PCF, access point mengontrol trafik. Siapa yang bicara, siapa yang boleh bicara. Tidak

pernah diimplementasikan

ilham.my.id

802.11 menggunakan metode CSMA/CA.

SIFS and DIFS: Short and DCF Inter-Frame Space

SIFS dan DIFS adalah normal delay antara frame. Terjadi setelah pemberitahuan bahwa data

sudah diterima melalui ACK.

SIFS adalah prioritas pengiriman data. Contohnya adalah ACK. Waktunya lebih cepat dari

DIFS

DIFS adalah normal delay. Waktunya 2x SIFS

Sending Frame: pick a number, listen, wait some more.

ClientA akan menentukan sebuah angka (misal 30), lalu ia akan menhitung mundur. Pada

saat menghitung mundur, ClientA mendengar ClientB sedang mengirim data ke access point

dan NAV clientB adalah 40. Maka ClientA akan menambahkan 40 ke dalam hitungan

mundurnya.

Setelah waktu habis, maka ClientA akan mengirimkan RTS lalu akan dibalas dengan CTS.

Setelah data dikirim semua, maka akan ada ACK + normal delay (SIFS atau DIFS)

Gambar 7-2 - Ilustrasi

ilham.my.id

8. A tale of 10 frames

Gambar 8-1 - Ilustrasi Topology

Apple pings Alpha, over Wireless

Which devices are involved

Who sends data to whom?

Data direction: to or from DS?

Which addresses in the frames?

Will RTS/CTS always be used?

ilham.my.id

Gambar 8-2 - Ilustrasi Pengiriman Frame

Diatas adalah ilustrasi pengiriman ping dari Apple ke Alpha melalui Dlink access point

(autonomous).

Pada baris 2, 6,8, dan 10; source address tidak ada karena hanya berupa CTS dan ACK, serta

untuk menghemat frame juga.

Hidden node adalah kejadian dimana client Apple dan Alpha tidak dapat mendeteksi

keberadan satu sama lain di dalam sebuah cell. Maka ketika Apple mengirim RTS ke access

point, maka CTS akan dikirimkan ke semua client di dalam range access point tersebut,

termasuk Alpha. Sehingga Alpha (dan mungkin client lainnya) dapat mengetahui bahwa ada

client (Apple) yang akan mengirimkan data dan NAV dari Apple akan ditambahkan ke

perhitungan mundur client lainnya yang ada di dalam cell tersebut.

Gambar 8-3 - Contoh Hidden Node

ilham.my.id

DS adalah distribution system, dalam hal ini Access point.

Gambar 8-4 - Skema From DS to DS

0 0 cotohnya adalah ad hoc.

0 1. Ketika Apple mengirim ping ke Alpha, paket akan mampir ke DS (access point) dulu.

1 0. Frame dari DS (access point) akan diteruskan ke Alpha.

1 1 adalah ketika menggunakan mesh atau repeater.

RTS/CTS tidak selalu digunakan pada proses pengiriman data di wireless.

RTS/CTS tidak digunakan ketika hanya ada sebuah client dalam satu cell, maka client

tersebut akan langsung mengirimkan data ke access point. Bisa juga ketika frame yang

dikirim kecil / tidak melewati treshold (2.000 bytes).

Kadang-kadang RTS saja tanpa CTS.

Ada juga CTS self: mengirim CTS ke diri sendiri

ilham.my.id

9. Other Wireless Tech

9.1 Wimax

Wimax (802.16) dapat bekerja pada frekuensi 2-11 GHz atau 10-66 GHz. Biasanya Wimax

sering dioperasikan pada frekuensi 10-66 GHz.

Gambar 9-1 - Contoh Penggunaan Wimax

9.2 Zigbee

Zigbee biasanya digunakan pada perangkat rumah otomatis, seperti pagar, selang penyiram

tanaman, dsb. Biasanya dikendalikan melalui remote control.

Gambar 9-2 - Zigbee

ilham.my.id

9.3 Bluetooth

Bluetooth dikategorikan sebagai Personal Area Network (PAN) dan terdiri dari 3 jenis (lihat

gambar). Setiap jenis dibedakan berdasarkan tenanga yang dikelurkan Bluetooth. Jenis kedua

adalah yang sering digunakan. Jenis pertama (100mW) dapat mencapai range 100 meter,

yang kedua 10 meter, dan yang ketiga 1 meter. Modulasi yang digunakan FHSS.

Gambar 9-3 - Bluetooth

Items that may get in the way:

Gaming, Phones, Ovens, Monitors, Lights

Benda-benda yang dapat mengganggu sinyal wifi biasanya adalah benda2 yang

mengeluarkan sinyal dalam pengoperasiannya.

DECT: Digital Enhanced Cordless Telecommunications. DECT beroperasi pada frekuensi

900 MHz, 2.4 GHz and 5.8 GHz ISM bands

Sinyal RF dapat menabrak lights (lampu) dan menyebabkan refleksi

ilham.my.id

10. AP-WLC Traffic Flow

Dynamic duo: AP, WLC = Split MAC

WLC adalah singkatan dari Wireless LAN Controller.

WLC biasanya digunakan pada jaringan yang berskala menengah ke besar. Tujuannya adalah

untuk memudahkan pengontrolan banyak access point.

Split MAC adalah kemampuan untuk membagi tugas antara AP dan WLC. AP bertugas

untuk menyediakan layanan 802.11 secara realtime, misalnya menyebarkan beacon, ssid, dan

merespon probe request. Tugas AP berikutnya adalah mengirim ACK kepada client ketika

client mengirim data, serta RTS/CTS.

Gambar 10-1 - Tugas Access Point pada metode Split MAC

Sedangkan tugas WLC pada split MAC adalah authentication, authorization, dis-association,

policy, dan sebagainya.

ilham.my.id

Gambar 10-2 - Tugas WLC pada Split MAC

Lalu pertanyaannya sekarang adalah bagaimana caranya AP dan WLC saling berkomunikasi?

AP dan WLC berkomunikasi menggunakan protokol CAPWAP.

CAPWAP adalah singkatan dari Control and Provisioning of Wireless Access Point.

Ketika client mengirimkan data melalui wireless, frame 802.11 yang diterima AP dari client

akan di enkapsulasi kedalam CAPWAP untuk diteruskan ke WLC.

Pada CAPWAP terdapat dua stream, yaitu Control dan Data.

Untuk pengontrolan access point, misalnya push configuration, merubah sinyal; stream yang

akan digunakan adalah Control.

Sedangkan untuk data dari client, stream yang akan digunakan AP dan WLC adalah stream

Data.

Tugas WLC juga adalah merubah frame 802.11 ke 802.3 (ethernet) untuk diteruskan

ke Distribution System.

Ini berbeda dengan autonmous AP, yang perubahan frame dari 802.11 ke 802.3 dilakukan

oleh AP itu sendiri.

ilham.my.id

Gambar 10-3 - Ilustrasi CAPWAP

WLC juga memiliki kemampuan untuk merubah kekuatan sinyal dari AP untuk

mengakomodasi coverage hole detection.

Gambar 10-4 - Coverage Hole Detection

Jika kita memiliki banyak access point maka untuk mengontrolnya di perlukan WLC.

Jika kita memiliki banyak WLC, maka diperlukan WCS untuk memanage WLC-WLC

tersebut.

WCS adalah singkatan dari Wireless Control System.

Jika kita memiliki banyak WCS, maka diperlukan WCS Navigator untuk memanage

WCS-WCS tersebut.

ilham.my.id

Produk lainnya untuk manajemen wireless adalah MSE.

MSE adalah singkatan dari Mobility Service Engine.

Salah satu fitur yang disediakan MSE adalah wIPS (Wireless Intrusion Preventions System).

Salah satu kemampuan wIPS adalah dapat medeteksi keberadaan rouge dan unauthorized AP.

Gambar 10-5 - Kuis

ilham.my.id

11. VLAN & SSID

Gambar 11-1 - Konsep VLAN dan Trunk

Access vs Trunk Ports; 802.1q Tags

MBSSID (Virtual AP)

Switch config:

Create Vlan

Static access port to LW-AP

(trus dscp, add portfast)

Trunk to WLC, Autonomous AP & H-REAPs

(trust cos, add portfast)

ilham.my.id

Gambar 11-2 - Topologi

Link dari SW ke LAP adalah Access Port.

Access point boleh dibuatkan ke dalam Vlan selain Vlan SSID, misalnya vlan 30. Yang

penting LAP mempunyai default-gateway dan tahu akses ke WLC

Link dari SW ke WLC adalah trunk Port.

Gambar 11-3 - Penggunaan Trunk Port

Trunk port tidak hanya digunakan untuk akses dari SW ke WLC saja. Autonomous AP

dan H-REAP juga memerlukan koneksi trunk ke SW.

ilham.my.id

H-REAP adalah singkatan dari Hybrid Remote Edge Access Point.

Konsepnya adalah jika kita punya WLC di kantor pusat dan AP di kantor cabang. Koneksi

Internet dari kantor cabang dan kantor pusat lambat. Ketika clientA di kantor cabang ingin

mengirim file ke clientB di kantor cabang yang sama, maka H-REAP memungkinkan data

untuk tidak harus menuju WLC dulu. Jadi, ClientA dan ClientB dapat langsung

berkomunikasi tanpa datanya mampir di WLC dulu.

Bagaimanapun juga, jika komunikasi antara client di kantor cabang dengan VLAN yang

berbeda maka data harus ke WLC dulu, karena komunikasi beda VLAN memerlukan trunk

port.

11.1 Configuration Examples:

Gambar 11-4 - Config 1

ilham.my.id



ilham.my.id

Vlan 50 = Guest

Vlan 60 = Corporate

Vlan 70 = Mgmnt

Access port to customer connections

Int g0/20 -22 = vlan 50 mode access

Access port for LW-AP

Int g0/23 = vlan 60 mode access

Spanning-tree portfast

Mls qos trust dscp (layer 3)

Trunk to WLC

Int g0/24 = to WLC

Switchport mode trunk encapsulation dot1q

Spanning-tree portfast trunk

Mls qos trust cos (layer 2)

ilham.my.id

12. Deploy the WLAN Controller (WLC)

Gambar 12-1 - Topologi Yang Digunakan

Service port (Out of Band Management) adalah port yang digunakan untuk management

WLC. Service port ini berbeda dengan management interface.

Gambar 12-2 - Port pada WLC

WLAN Controller options, Interface and Ports

ilham.my.id

Going Virtual with ESX

Port Groups VLANs / Trunks / Security

Deploy OVF Template

Edit VM Network adapters

1 – service port

2- data port (trunked)

Answer the WLC setup questions

Reboot and use HTTPS to connect

Acticvate License

ilham.my.id

13. Ahhh, the first WLAN

Verify that the AP and WLC Hooked up

Name your AP, set Mode

Create new logical interface

Create new WLAN (SSID)

Connect

Gambar 13-1 - Gambar

By default, AP dapat dikonfigurasi dari WLC menggunakan SSH (Telnet disable).

Gambar 13-2 - Default Config AP

ilham.my.id

13.1 Mating Patterns for APs and WLCs

Pada port dari SW ke AP, di config switch access VLAN untuk AP tersebut. Perlu diingat,

VLAN AP berbeda dengan VLAN user.

Gambar 13-3 - Proses AP

Discovery options:

Broadcast, Flash, DHCP, DNS

Pertama kali AP disambungkan ke jaringan, maka AP akan membroadcast frame (ffff) untuk

mencari dimana WLC berada.

Gambar 13-4 - AP Broadcast Add untuk mencari WLC

ilham.my.id

Jika AP sebelumnya pernah tersambung di jaringan, maka data IP add WLC akan tersimpan

di dalam flash AP. Maka setelah mem-broadcast, AP akan melihat data WLC pada memori

flash-nya.

Kemudian AP akan mencari IP Add-nya melalui DHCP. Jika WLC berada di subnet yang

berbeda dengan AP, maka DHCP option 43 harus digunakan. DHCP opt 43 adalah fitur untuk

menunjukkan alamat IP add WLC.

Dan yang terakhir, AP juga bisa mencari keberadaan WLC dengan fitur DNS request mencari

specific name: CISCO-CAPWAP-CONTROLLER

Gambar 13-5 - Packet Capture AP Discovery WLC

Gambar 13-6 - Packet Capture AP Discovery WLC (DHCP opt 43)

ilham.my.id

Gambar 13-7 - Konfigurasi DHCP opt 43 pada Router

Gambar 13-8 - Konfigurasi DNS pada Router

Pecking order for selection:

Primary, 2nd, 3rd, Master, least busy

Ketika AP sudah tau dimana letak WLC, maka AP akan memilih primary WLC dulu,

kemudian 2nd, dan 3rd.

Jika AP baru pertama kali connect ke jaringan, maka AP akan join ke Master Controller. Jika

fitur Master Controller aktif di WLC (pada default, Master Controller tidak aktif di WLC).

Jika Master Controller tidak ada, maka AP akan join dengan WLC yang tidak sibuk.

Misalnya ada WLC_A yang yang sedang menghandle 10 dari maks 100 AP, dan WLC_B

sedang menghandle 20 dari maks 100 AP, maka AP akan memilih WLC_A karena WLC_A

tidak lebih sibuk dari WLC_B.

Ketika nanti AP sudah join dengan sebuah controller, maka disitu bisa di setting primary,

2nd, and 3rd WLC-nya. Sehingga, ketika AP reboot suatu waktu, maka AP tersebut akan

langsung join dengan WLC primary dst.

Setelah AP join dengan sebuah WLC, maka WLC akan bertanya ke AP, apakah AP memiliki

code IOS yang sesuai atau tidak. Jika sesuai lanjut ke Get Config, jika tidak sesuai maka

WLC akan mem-push code IOS ke AP, dan kemudian AP akan reboot ulang lagi.

13.2 Courting process

Control DTLS UDP: 5246

Code / Config / Heartbeat

ilham.my.id

Setelah AP terhubung dengan WLC, maka akan ada 2 channel dari WLC ke AP. Channel

yang pertama ada Control Channel. Di dalam control channel, AP dan WLC akan saling

bertukar informasi tentang konfigurasi, kode AP, heartbeat, data client yang connect, dll.

Heartbeat adalah frame yang dikirim ke WLC beberapa detik sekali untuk memastikan WLC

masih aktif. Semacam hello paket di OSPF.

Tujuan port dari AP pada Control channel adalah 5246 UDP menggunakan Datagram

Transport Layer Security.

Pada permulaan control channel AP akan mengirim Client Hello. Kemudian WLC mengirim

sertifikatnya ke AP dan setelah itu AP juga akan mengirimkan sertifikatnya ke WLC.

Gambar 13-9 - Pertukaran Sertifikat Pada DTLS

Gambar 13-10 - Application Data pada DTLS

Application data pada DTLS berisi tentang informasi user, misalnya autentikasi, asosiasi,

dsb. Data tersebut di enkripsi

Client data UDP: 5247

ilham.my.id

Channel yang dibangun antara WLC dan AP adalah Data Channel. Channel ini berisi data

user. Menggunakan UDP port 5247, dan by default tidak terenkripsi.

Ketika client ingin mengirim paket ke Internet (misalnya ping ke google), maka paket dari

client akan masuk AP terlebih dahulu. Kemudian AP akan meng enkapsulasi paket tersebut

dalam CAPWAP dan kemudian di teruskan ke WLC.

WLC akan men dekapsulasi paket dari WLC itu dan meneruskannya akan tujuan paket.

Gambar 13-11 - Proses pengiriman paket pada CAPWAP

ilham.my.id

14. AP a la mode

14.1 Access Point modes

Local (Data + Monitoring)

Pada mode ini AP akan bekerja seperti biasa, yaitu meng handle traffic data dari client. Selain

itu AP pada Local mode juga bisa memonitoring RF channel yang sedang ia gunakan untuk

dikirim ke WLC.

Monitor (Monitoring only)

Pada mode ini, AP tidak menerima koneksi dari client, tapi ia akan bekerja untuk

memonitoring RF channel yang sedang ia gunakan.

Sniffer (Redirect Frames)

Pada Sniffer mode, AP akan mengkoleksi semua informasi dari spesifik channel, untuk

kemudian dikirim ke komputer Admin untuk dianalisis. Koleksi informasi tersebut juga

termasuk SSID dari AP lain.

Rogue Detector (Wired only)

AP mode ini terkoneksi ke SW dengan mode Trunk dan radio mati.

Informasi tentang Rouge AP yang di dapat WLC dari AP Local Mode, akan dikirimkan ke

AP Rouge Detector, untuk kemudian dikomparasi dengan jaringan LAN yang terhubung

dengan AP Rouge Detector tersebut.

Jika MAC add rouge AP yang dikirim WLC juga terdapat di dalam jaringan LAN, maka

MAC add tersebut juga akan dinotifikasi sebagai Rouge juga di jaringan LAN

Bridge (Mesh AP Network)

Biasa digunakan di jaringan WLAN outdoor.

SE-Connect Mode (Spectrum Exp.)

Digunakan untuk mengkoleksi data RF dari spesifik channel, untuk kemudian dikirimkan ke

aplikasi Spectrum Expert.

OEAP (Office Extend AP)

Jika di kantor ada SSID Corporate yang terhubung langsung dengan WLC, maka di rumah

juga kita bisa memasang AP dengan SSID yang sama untuk kemudian dihubungkan dengan

WLC di kantor. Jadi semua policy yang ada pada WLC di kantor akan sama juga seperti yang

di dapatkan oleh AP dengan mode OEAP ini.

Jika ada SSID Guest, maka data bisa langsung di alihkan ke Internet.

ilham.my.id

Gambar 14-1- AP mode OEAP

H-REAP aka FlexConnect

Sama seperti OEAP, AP mode ini juga ditujukan untuk remote office. Namun, AP H-REAP

atau FlexConnect ini bisa autentikasi atau switching secara lokal, jika koneksi AP dengan

WLC di kantor pusat terputus, atau jaringan Internet sangat lambat.

Gambar 14-2 - AP mode H-REAP aka FlexConnect

ilham.my.id

15 Wireless Roaming

15.1 a mobility Group (domain)

Gambar 15-1 - Yang diperlukan untuk roaming

Untuk memungkinkan roaming, semua controller harus berada di dalam mobility group dan

mobility domain yang sama. Kesemua controller itu juga harus setuju dengan protokol yang

digunakan (CAPWAP atau LWAPP), memiliki virtual IP yang sama, dan semua controller

harus kompatible dengan fitur Roaming (versi yang sama). Dan yang terakhir, setiap

controller diberi tahu tentang controller lain yang akan ikut support roaming juga.

Kesemua controller harus juga mengeluarkan SSID yang sama (ESS / Extended Service Set)

yang di asosiasikan dengan VLAN yang sama pula.

Gambar 15-2 - Satu Grup Beda Domain

ilham.my.id

Gambar 15-3 - Mping dan Eping

Untuk troubleshoot koneksi antara controller yang roaming bisa dilakukan dengan mping

untuk control path dan eping untuk data path troubleshooting.

15.2 Layer 2, layer 3 Jika roaming terjadi di AP yang berbeda tapi controller yang sama, maka prosesnya akan

lebih cepat karena controller sudah memiliki data client tersebut. Ini adalah layer 2 roaming.

Layer 2 roaming berikutnya adalah jika roaming diantara AP dan controller yang berbeda.

Maka controller yang pertama kali client connect akan memberikan data client tersebut ke

controller yang sekarang menangani client tersebut.

Proses layer 2 roaming diatas terjadi di subnet yang sama.

Gambar 15-4 - Layer 2 Roaming

ilham.my.id

Gambar 15-5 - Layer 3 Roaming

Pada layer 3 roaming proses yang terjadi antara controller lebih rumit lagi. Roaming layer 3

terjadi pada subnet yang berbeda.

Controller yang pertama kali client connect akan menjadi Anchor controller dan controller

yang sekarang client connect pada subnet yang berbeda akan menjadi Foreign Controller.

Antara anchor dan foreign akan saling bertukar data client. Pada layer 3 roaming ini IP client

akan tetap sama seperti IP sebelumnya, walaupun controller foreign memiliki subnet yang

berbeda dengan anchor controller. Access point tidak peduli dengan IP client karena ia hanya

menerukan layer 2 frame.

15.3 Symmetric vs Asymmetric

Pada layer 3 roaming, ketika client ingin mengirim data ke server dari foreign controller,

maka foreign controller akan langsung mengirimkannya ke server. Ketika server ingin me

reply data dari client, makan server akan mengirim ke anchor controller terlebih dahulu dan

kemudian meneruskannya ke foreign controller, untuk kemudian di teruskan di client. Proses

ini dinamakan Asymmetric tunneling.

ilham.my.id

Gambar 15-6 - Proses Asymmetric tunneling

Asymmetric tunneling sekarang jarang digunakan karena biasanya firewall akan memblok

koneksi tersebut.

Yang sering digunakan sekarang adalah Symmetric tunneling. Proses pada symmetric adalah

foreign controller akan meneruskan data dari client ke anchor controller terlebih dahulu,

untuk kemudian diteruskan ke server. Dan ketika server me reply, reply akan dikirim ke

anchor controller diteruskan ke foreign dan kemudian berakhir di client.

Gambar 15-7 - Proses Symmetric Tunneling

ilham.my.id

15.4 Anchors and “Mobility Anchors” Mobility anchor berbeda dengan Anchor. Jika pada layer 3 roaming, Achor adalah controller

yang pertama kali connect, maka Mobility Anchor adalah controller yang biasanya digunakan

sebagai pusat controller untuk SSID tertentu (biasanya Guest).

Gambar 15-8 - Mobility Anchor

Policy untuk SSID Guest tidak perlu di apply di semua controller, cukup satu controller saja

(misalnya controller_A). Jadi jika client Guest connect ke sebuah AP pada controller_B atau

controller yang lainnya, maka data client guest tersebut akan di tunnel ke controller_A, yang

bertindak sebagai Mobility Anchor. Pada mobility anchor inilah semua keputusan dilakukan

(misalnya policy).

15.5 Static address tunneling

Jika ada client yang memiliki static address, maka ketika ia ingin connet ke sebuah AP yang

terhubungan dengan sebuah controller tapi sayangnya ip add client berbeda subet dengan ip

add controller tersebut. Maka controller akan memberitahu ke controller lain yang berada di

dalam satu mobility group, siapa yang memiliki subnet untuk client ini.

Jika ada controller yang menjawab bahwa ia memiliki range subnet itu, maka controller itu

akan menjadi Anchor Controller.

ilham.my.id

Gambar 15-9 - Proses Static Add Tunneling

ilham.my.id

16 Converting APs

16.1 New AP – Zero touch? (LAP)

DNS, DHCP, Local controller

Pada LAP, proses ketika booting adalah broadcast untuk mencari controller, mencari

controller di flash (jika AP sudah pernah terpasang), DHCP opt 43, dan DNS name.

Bootstrap an AP

TFTP server, images

Lw=k9w8, autonomous=k9w7

Platform-k9w7-tar.default

Yang diperlukan untuk konversi dari LAP ke autonomous adalah TFTP server dan images.

Image LAP memiliki kode w8 dan autonomous memiliki kode w7.

Image w8 dan w7 tersebut di ubah menjadi platform-k9w7-tar.default (misalnya “c1130-

k9w7-tar.default”).

IP add pada TFTP server adalah 10.0.x. Autonomous AP akan memiliki AP 10.0.0.1.

Cara konversinya adalah, lepas power, kemudian tekan tombol kecil dengan pulpen dan

tahan, kemudian hidupkan AP. Ketika LED berwarna merah, lepas tekanan pada tombol kecil

tersebut dan AP otomomatis akan membroadcast TFTP pada subnet diatas untuk mencari file

.default. Kemudian image akan di letakkan di dalam flash AP.

Proses ini juga bisa dilakukan untuk konversi dari Automous AP ke LAP.

Gambar 16-1 - Konversi LAP ke Autonomous

ilham.my.id

Gambar 16-2 - File Images

Gambar 16-3 - CLI proses konversi LAP ke Autonomous

16.2 Autonomous AP

DHCP, BV1, HTTP, “Cisco”

Pada Autonmous AP, logical interface yang up adalah BV1 dan akan mencari ip add melalui

DHCP. Diakses menggunakan HTTP ip add AP dengan username dikosongkan, dan pasword

“Cisco”.

Jika Autonomous AP ingin support banyak VLAN maka ia harus di set pada SW dengan

mode trunk. Berbeda dengan LAP yang di set dengan switchport mode access. AP dengan

mode H-REAP/FlexConnect juga harus di set dengan mode trunk pada switch, karena AP

dengan mode H-REAP/FlexConnect memiliki kemampuan untuk melakukan local switching

VLAN, bisa jadi dengan VLAN yang berbeda.

ilham.my.id

Gambar 16-4 - Port pada berbagai mode AP

Ketika client connect ke Autonomous AP pada topologi dibawah, maka client akan

mendapatkan IP add VLAN 20.

Gambar 16-5 - Client Connect Pada Autonomous AP

Untuk menkonversi Autonomous AP ke LAP, bisa dilakukan dengan cara yang seperti diatas.

16.3 Other tools

Konversi bisa dilakukan dari CLI dari WLC.

ilham.my.id

17 Security 101.5

17.1 Authentication Autentikasi bisa dapat terdiri dalam beberapa kategori, yang pertama adalah apa yang Anda

tau (password, pin), apa yang Anda punya (kartu ATM), dan siapa Anda (finger print).

Jika autentikasi menggunakan 2 kategori atau lebih, maka disebut multi-factor autentikasi.

Jika menggunakan 1 kategori saja, maka disebut single-factor autentikasi.

Jika menggunakan single-faktor autentikasi, sebaiknya menggunakan beberapa kriteria,

misalnya untuk kategori apa yang Anda tau, ditanyakan siapa nama Anda, tempat lahir Anda,

nama Ibu Anda, dan sebagainya.

Gambar 17-1 - Multi-Faktor Autentikasi

Komputer dan user bisa juga di autentikasi.

Gambar 17-2 - Autentikasi User dan Komputer

17.2 Encryption Enkripsi adalah proses penyembunyian data yang sedang dikirim di jaringan, agar orang lain

tidak bisa membacanya. Yang bisa membacanya hanya yang memiliki kuncinya saja.

Telnet adalah contoh protokol yang tidak meng enkripsi datanya, sedangkan SSH lebih aman.

ilham.my.id

Gambar 17-3 - Ilustrasi Enkripsi

17.3 Keys are key

Gambar 17-4 - Membuka Enkripsi Data dengan Key

Untuk membuka data yang terenkripsi diperlukan key. Lihat gambar diatas.

Cara kerjanya adalah ketika data dikirim, data tersebut akan disembunyikan isinya dengan

key yang sudah ditentukan. Contohnya adalah dengan Abjad yang dinaikkan untuk key nya.

Symmetrical menggunakan key yang sama untuk pengirim dan penerima, sedangkan

asymmetrical tidak. Akan tetapi, Asymmetrical memerlukan CPU proses yang lebih besar

namun lebih aman.

Gambar 17-5 - Pre Shared Key

ilham.my.id

Pre Shared Key adalah key yang digunakan untuk autentikasi, dan bisa juga untuk enkripsi.

Semua user memiliki PSK yang sama. Kelemahannya adalah jika PSK diketahui oleh orang

yang tidak bertanggung jawab, maka keamanan jaringan bisa berbahaya.

Untuk lebih amannya, PSK yang sama dimiliki oleh semua user, namun ketika user sudah

connect, PSK antara user dan AP akan dibuatkan unik secara dinamik. PSK berlaku hanya

ketika user sedang connect saja.

WEP adalah singkatan dari Wired Equivalent Privacy.

WEP adalah contoh implementasi PSK. Key pada AP sama dengan key pada client. PSK bisa

digunakan untuk autentikasi dan enkripsi. Sedikit lebih baik dari pada tidak ada security sama

sekali.

Gambar 17-6 - Contoh Open Auth

ilham.my.id

Gambar 17-7 - Contoh Capture WEP

MAC Filtering digunakan untuk mem filter client-client mana saja yang boleh connect ke

AP. Tidak efektif, karena MAC add pada client dengan mudah diubah sesuai dengan

keinginan user.

AAA server digunakan untuk sentralisasi daftar MAC add yang ingin di block. Jika tidak

menggunakan AAA Server, maka MAC add harus di input di setiap controller.

ilham.my.id

18 802.1x and EAP

18.1 802.1x

Role pada 802.1x adalah Supplicant, Authenticator, Authenticator Server.

Supplicant adalah client, Authenticator adalah access point, dan AAA Server adalah

Authentication Server.

AAA Server adalah server yang tersentralisasi untuk validasi user.

Beberapa jenis AAA Server adalah Cisco ACS dengan produknya ISE (Identity Service

Engine), dan AAA Server ada juga yang open source.

Protokol yang digunakan untuk komunikasi antara Authenticator dengan AAA Server adalah

Radius.

Gambar 18-1 - Ilustrasi 802.1x

18.2 Cara kerja 802.1x

Bob (Supplicant) ingin connect ke jaringan, AP (Authenticator) kemudian minta

user/password, kemudian Bob mengetiknya, dan user/pass yang diketik Bob di kirim oleh AP

ke AAA Server (Authentication Server) melalui koneksi/protokol Radius dan kemudian

server akan menyetujui/tidak.

Session Bob ini memiliki key tersendiri, dan session Bob dengan Louis (misalnya) adalah

berbeda. Key session disimpan di Supplicant dan Authenticator

ilham.my.id

18.3 EAP: Extensible Authentication Protocol

EAP adalah tipe koneksi yang ingin digunakan pada lingkungan 802.1x. EAP merupakan

framework dalam autentikasi tersebut.

Beberapa jenis EAP:

Gambar 18-2 - Jenis-Jenis EAP

18.3.1 Lightweight EAP (LEAP)

Tidak menggunakan digital sertifikat. Akan terjadi mutual autentikasi, maksudnya server dan

client akan sama-sama saling meng-autentikasi. Hal ini dapat menghindari client terkoneksi

ke server yang salah oleh Rouge AP.

Gambar 18-3 - LEAP

18.3.2 EAP Flexible Authentication via Securing Tunnel (EAP-FAST)

Pada EAP-FAST juga tidak ada digital sertifikat. User dan server juga akan sama-sama saling

meng-autentikasi. FAST menggunakan secure tunneling (logical connection). FAST

menggunakan PAC (Protected Access Credential). PAC adalah kalkulasi dan algoritma yang

akan digunakan dalam proses FAST. Client harus support FAST.

Gambar 18-4 - FAST

ilham.my.id

18.3.3 PKI and Certificates

PKI adalah singkatan Public Key Infrastructure.

2 jenis algoritma kriptograpi:

Symmetrical: 1 key digunakan untuk enkrip dan dekrip data.

Asymmetrical: menggunakan key pair / 2 key. 1 key untuk enkrip data dan satunya lagi untuk

dekrip data. Kedua key ini saling berhubungan. Biasanya di sebut sebagai Public/Private.

Public key bisa diberikan ke semua orang, sedangkan private tidak bisa.

Ketika kita connect ke online banking menggunakan HTTPS, bank akan mengirimkan digital

sertifikat. Digital sertifikat digunakan untuk memberitahu kita bahwa kita benar sedang

connect ke bank tersebut.

Digital sertifikat memiliki public key dan di tanda tangani oleh seseorang yang kita percaya

(CA). Ketika bank mengirim digital sertifikat, client akan melihat sertifikat tersebut di signed

oleh orang terpercaya (CA) dan kemudian public key di extract. Digital sertifikat adalah

publik key.

CA adalah singkatand dari Certified Authorities, seperti VerySign, GoDaddy, dll. Browser-

browser memiliki list digital sertifikat. Cara kerjanya adalah client mengirim data dengan

public key bank, kemudian bank meng-extract data tersebut dengan private key-nya.

Bank mengetahui siapa kita dengan meminta username/password. Kita mengetahui

(memvalidasi) bank dengan Digital Sertifikat.

Gambar 18-5 - Public Key Infrastructure

ilham.my.id

18.3.3.1 Protected EAP (PEAP)

Pada PEAP terdapat beberapa turunannya lagi.

Gambar 18-6 - PEAP

Pada AAA server terdapat digital sertifikat. Client memvalidasi server dengan sertifikat yang

dimiliki server. Server memvalidasi client dengan usernam/password. Sama-sama saling

meng-autentikasi dan melindungi client dari salah koneksi ke Rouge AP.

18.3.3.2 EAP-Transport Layer Security (EAP-TLS)

Client dan Server sama-sama memerlukan Digital Sertifikat untuk saling meng-autentikasi

dan validasi dirinya masing-masing.

ilham.my.id

19 Keys and Encryption

Jika menggunakan wifi public di cafe, biasanya koneksi antara client dan AP tidak

terenkripsi. Untuk lebih aman bisa menggunakan SSL/IPSec VPN (layer 2/3). Bisa mencegah

terjadinya Evesdropping.

Gambar 19-1 - Ilustrasi Koneksi di Cafe

Yang penting untuk di enkripsi adalah koneksi dari AP ke client melalui RF.

19.1 WEP (old and weak)

WEP menggunakan PSK (Pre Shared Key) untuk autentikasi dan enkripsi.

19.2 WPA (TKIP and optionally AES)

WPA (Wifi Protected Access) di rilis oleh Wi-Fi Alliance.

WPA menggunakan TKIP (Temporal Key Integrating Protocol). TKIP ini sendiri

menggunakan Initialization Vector (IV), untuk membuat enkripsi kuat.

WPA bisa menggunakan AES, tapi tidak harus. AES(Advanced Encryption Standard) adalah

algoritma enkripsi symmetrical.

19.3 802.11i / WPA2 (AES/CCMP)

Dirilis oleh IEEE. 802.11i dan WPA2 adalah sama.

Pada 802.11i, AES adalah keharusan untuk digunakan (mandatory) dan menggunakan CCMP

(Counter Chyper Mode Protocol), yang merupakan trik tambahan untuk IV. CCMP

meningkatkan kemanan enkripsi.

ilham.my.id

19.4 Enterprise vs Personal (Radius or not)

Pada Personal Environment, menggunakan PSK (pre shared key) yang dikonfigurasi di AP

dan client.

Pada Enterprise environment, menggunakan AAA server dengan protokol Radius.

19.5 PMK (session key) & PTK

Pada Enterprise, ketika client connect ke AP, AP akan meneruskan informasi ke AAA server.

Ketika server menyetujui koneksi tersebut, maka server tersebut akan membuat key unik

untuk setiap user, yang disimpan di AP dan client.

PMK adalah singkatan dari Pairwise Master Key. PMK atau session key dibuat oleh

AAA server ketika client berhasil di autentikasi. PMK akan disimpan di AP dan client. Setiap

user memiliki PMK yang unik.

PTK adalah singkatan dari Pairwise Transient Key. PTK adalah tambahan fitur yang

dilakukan oleh AP dan client. Menggunakan 4 way-handshake. AP dan client akan membuat

PTK dan digunakan untuk berbagai fungsi.

Gambar 19-2 - PMK dan PTK

Gambar 19-3 - Basic Topology Enterprise Environment

ilham.my.id

AP dan WLC boleh dibilang sebagai satu ke satuan, sebagai Authenticator.

19.6 Likely options:

WPA2 + AES

Pada Enterprise menggunakan AAA Server. Sedangkan di Personal menggukan PSK.

Best practice adalah menggunakan WPA2 + AES

WPA + AES (if all devices support it)

WPA + TKIP + AES (if all devices can support it)

Metode diatas sangat kompleks.

WPA + TKIP

Gambar 19-4 - Contoh Topologi pada Enterprise

Enkripsi akan terjadi dari client ke AP. Data dari AP akan di enkapsulasi dengan CAPWAP

ke WLC. Kemudian, WLC akan menggunakan protokol Radius untuk meneruskannya ke

AAA Server (disini menggukana ISE).

AP-Manager interface adalah interface untuk komunikasi antara WLC dan AP.

Dynamic interface adalah virtual interface yang bisa dibuat untuk di asosiasikan dengan

berbagai VLAN.

ilham.my.id

Shared secret antara AAA Server dengan WLC harus sama. Shared secret digunakan untuk

meng enkripsi username/password dari supplicant (client). Koneksi antara ISE dan Radius

tidak terenkripsi, kecuali usernam/password supplicant. Koneksi tersebut menggunakan UDP

1812.

Gambar 19-5 - Shared Secret antara WLC dan AAA Server

AAA Server bisa meng-override interface yang di config oleh WLC. Misalnya, menurut

WLC Bob berada di Vlan 20, sedangkan menurut AAA Server Bob berada di Vlan 30, AAA

Server bisa meng-override konfigurasi dari WLC.

ilham.my.id

20 No Supplicant, No Problem: Web Auth

20.1 Web authentication process

Ketika kita connect ke jaringan wifi publik, yang kita perlukan adalah SSID, sinyal, dan

credentials. Jaringan pada wifi publik tidak di enkripsi, jadi lebih baik menggunakan VPN.

Pada web autentikasi, ketika seorang client ingin connect ke wifi, terlebih dahulu client akan

mendapatkan ip add melalui DHCP dan DNS name. Kemudian ketika client ingin

mengunjungi sebuah website, maka client akan terlebih dahulu di alihkan ke sebuah halaman

untuk keperluan autentikasi.

Gambar 20-1 - Proses Web Autentikasi

20.2 Authentication options

Autentikasi bisa berupa username/password atau hanya menyetujui ‘agree n terms’ saja.

Client akan diahlikan ke alamat virtual ip address pada DHCP.

Autentikasi juga bisa berdasarkan username/password pada Radius Server atau LDAP

(Lightweight Directory Access Protocol) Server.

Seteleh client terautentikasi, maka WLC bisa di setting untuk mengalihkan halaman ke

sebuah website tertentu, misalnya website hotel tersebut. Halaman web page untuk

autentikasi bisa dari internal WLC, template dari Cisco.com, atau halaman eksternal dari

server lain.

ilham.my.id

Gambar 20-2 - Opsi Autentikasi

20.3 User Experience

Client hanya memerlukan SSID dan sinyal. Mereka associate ke SSID tersebut, mendapatkan

IP via DHCP berikut dengan DNS name. Kemudian client akan dialihkan ke sebuah halaman.

Setelah mereka melakukan perintah yang ada di halaman tersebut, mereka bisa mengakses

Internet seperti biasa.

Pada web autentikasi, Layer 2 security adalah None. Jadi data tidak akan di enkripsi sama

sekali. Yang di perlukan pada web autentikasi adalah layer 3 security. Pada web autentikasi

kita memiliki beberapa opsi bagaimana user akan di autentikasi; bisa melalui local database,

radius server, atau LDAP server.

Gambar 20-3 - Cara men setting LDAP server

ilham.my.id

Gambar 20-4 - Opsi Web Autentikasi pada WLC

Management via Wireless adalah kemampuan client untuk me-manage WLC via jaringan

wireless. Secara default fitur ini di disable, namun bisa di enable.

Gambar 20-5 - Management via Wireless

ilham.my.id

Gambar 20-6 - Ilustrasi Management via Wireless

Kalau client connect ke AP_1 dan ingin me-manage WLC_1, sedangkan di WLC_1 opsi

management via wireless tidak di aktifkan, maka client akan ditolak untuk manage WLC_1

via AP_1.

Jika WLC_2 terhubung dengan WLC_1, dan client ingin me-manage WLC_2, sedangkan di

WLC_2 fitur management via wireless tidak di aktifkan juga, maka client yang terhubung ke

AP_1 bisa melakukan hal tersebut (me-manage WLC_2). Hal ini dimungkinkan karena

WLC_2 tidak tahu kalau koneksi management tersebut datang dari wireless. Yang dia tahu

koneksi datang dari WLC_1.

ilham.my.id

21 Wireless Control System (WCS)

21.1 Features and version of WCS

WLC adalah produk Cisco yang digunakan untuk me-manage beberapa lightweight access

point (LAP).

WCS adalah sebuah produk Cisco yang digunakan untuk me-manage beberapa WLC

(controller). Sedangkan WCS Navigator digunakan untuk memanage banyak WCS Server.

Beberapa versi WCS berdasarkan lisensi:

Yang pertama adalah Base License, Lisensi biasa yang digunakan untuk memange beberapa

controller.

Kemudian Plus License, fitur yang ditambahkan adalah High Availability (HA) dan MSE

(Mobility Service Engine).

Lisensi yang terakhir adalah, Enterprise-Plus. Pada WCS Enterprise-Plus, fitur yang

ditambahkan adalah Navigator WCS. Jika menggunakan Navigator, kita bisa me-manage 30

ribu access point.

21.2 Getting around in the GUI

Pada alarm summary, panah merah adalah Critical, panah orange adalah Major, dan bulat

kuning adalah minor.

Gambar 21-1 - Alarm Summary

Jika kita ingin alarm summary lengkap, maka klik Panah Biru.

Rouge AP akan membuat minor alarm.

Untuk menambahkan controller, kita menuju ke Configure -> Controller

ilham.my.id

Gambar 21-2 - Menambahkan Controller

Telnet/SSH parameter di perlukan WCS untuk memanage WLC menggunakan protokol

tersebut. Telnet secara default di disable pada WLC, jadi kita harus mengaktifkannya.

Parameter ini diperlukan untuk mem-push template ke WLC. Template adalah sebuah

konfigurasi yang sejenis untuk beberapa controller atau access point. Jadi kita tidak perlu

melakukan pekerjaan yang berulang-ulang, untuk jenis pekerjaan yang sama.

SNMP parameters juga harus di setting dengan benar. Ketika WCS sukses me-manage WLC,

WCS akan menjadi SNMP Traps destination. Log WLC bisa dikirimkan ke WCS sebagai

SNAMP Traps, dan WCS akan bertindak sebagai SNMP Traps destination. WCS juga bisa

meminta request ke WLC.

Untuk melihat maps pada WCS, kita menuju Monitor -> Maps.

ilham.my.id

Gambar 21-3 - Ikon pada Maps WCS

Bagian atas adalah radio A/N (5 GHz) dan bagian bawah adalah radio B/G/N (2.4 GHz). Jika

merah, tandanya Major fault. Kuning adalah minor fault. Hijau adalah OK. Dan abu-abu

adalah radio administratively disabled.

Warna tanda panah akan cenderung untuk mengikuti fault yang paling parah. Misalnya atas

merah dan bawah kuning, maka panah akan bewarna merah. Jika ada tanda X di tengah ikon,

maka kedua radio di-disable. Jika X dibawah, makan radio 2.4 GHz di-disable

administratively.

21.3 Monitoring the Network

Untuk setting autentikasi user, kita menuju Administration -> AAA.

Radius adalah protokol yang digunakan untuk autentikasi user. TACACS+ adalah protokol

yang digunakan untuk autentikasi user admin devices.

Untuk generate reports, kita menuju Reports -> Report Launch Pad.

Untuk me-manage client, kita menuju Monitor -> Clients. Bisa juga dari homepage.

WLSE (Wireless LAN Solution Engine) adalah produk Cisco untuk me-manage Autonomous

AP. Di dalam WLSE juga ada fitur untuk meng-konversi Autonomous AP ke Lightweight

AP. Jadi kita tidak perlu konversi Autonomous AP ke LAP. WLSE saat ini sudah EoL (End

of Life).

Pengganti WLSE adalah CPI (Cisco Prime Infrastructure). CPI di prediksi juga akan

menggantikan WCS di masa depan.

ilham.my.id

Gambar 21-4 - Kuis 1

Gambar 21-5 - Kuis 2

ilham.my.id

22 Identifying and Solving Issues

Divide and conquer

WLC

AP

Client

Troubleshooting yang baik adalah dengan cara memilih-milah jenis perangkat yang

kemungkinan bermasalah, dimulai dari WLC, AP, dan kemudian Client.

22.1 Controller commands:

Show run-config commands

Show arp switch

Eping ip add -> testing control plane pada mobility domain

Mping ip add -> testing data plane pada mobility domain

Show ap summary

Show ap join stats summary all

Debug capwap

Debug dhcp

Debug dot11

Debug capwap events enable

Debug disable-all

Config ap tftp-downgrade

Show client summary

Show client detail mac_add

Jika vlan management di WLC di set vlan 10, maka pada switch akan di masukkan ke dalam

vlan 10.

ilham.my.id

Jika pada switch, native vlan pada 10, maka tagging pada management interface WLC di set

ke vlan 0. Ketika data dari wlc yang tidak di tag dikirim ke switch, maka switch akan

memasukkan data tersebut ke vlan 10.

Gambar 22-1 - Native VLAN

Lihat lisensi WLC, country code harus sesuai dengan dimana kita tinggal, image AP (w7 atau

w8).

Ketika AP join ke network, WLC akan mengirim sertifikatnya dan AP kemudian akan

memvalidasinya. Dan setelah itu, AP juga akan mengirim sertifikat untuk WLC, yang

kemudian akan di validasi oleh WLC.

MIC adalah singkatan Manufacture Installed Certificated.

WLC dan AP baru akan membuat setifikat sendiri, jika sertifikat yang valid belum di push.

Lihat juga compatible AP dengan WLC.

22.2 Aironet IE (Information Element)

Ketika client menyebarkan probe request dan AP membalas dengan probe response, jika

client memiliki CCX (Cisco Compatible Extension) maka client bisa memilih AP mana yang

memiliki sinyal yang lebih baik. Bisa di-disable untuk melihat client yang tidak bisa connect.

22.3 MFP (Management Client Protection)

MFP juga bisa di-disable. MFP akan memvalidasi management frame di dalam 802.11. MFP

menambahkan message integrity chech ke dalam management frame. Menghindari rouge AP

untuk menggangu sinyal AP yang valid tersebut.

ilham.my.id

Disabled client mac add bisa juga menyebabkan client tidak bisa connect.

Kemudian bisa dengan mematikan shot preamble (Wireless -> b/g/n -> network).

Client tidak bisa men-support mandatory rates untuk sebuah radio.

Controller bisa mengirim logging/crash log ke syslog server (Management -> Logs ->

Config).

Controller akan mengirimkan logging berurutan dari atas ke bawah.

Gambar 22-2 - Urutan Logging

Jika yang dipilih adalah Errors, maka controller akan mengirim logging error, alert, critical,

dan emergency. Jika yang dipilih adalah debug, maka controller akan mengirimkan logging

debug, infarmational, dan ke bawah.

Jika controller crash, bisa dilihat juga information crash controller.

AP crash log juga ada.

ilham.my.id

23 Rogues

23.1 What is rouge AP?

Rouge AP adalah AP yang tidak dikenali oleh controller kita. Rouge AP.

Secara default, type rouge AP adalah unclassified. Namun bisa kita setting ke Friendly,

Malicious, atau custom. Kalau kita setting ke malicious, settingan tersebut tidak bisa di undo.

Update status untuk rouge AP adalah dua, yaitu alert (default) dan contain. Jika alert, maka

controller akan mengirimkan log ke syslog server yang telah kita setting.

Jika update status diubah menjadi contain, maka AP kita yang mendeteksi rouge AP tersebut

akan mengirimkan frame deautentikasi kepada client-client yang ingin connect ke AP

tersebut. Jadi client tidak bisa connect ke AP rouge tersebut. Contain rouge AP ini tidak

boleh dilakukan sembarangan, karena bisa jadi rouge AP yang di contain adalah AP milik

direktur utama.

WCS atau CPI (Cisco Prime Infra) bisa mendeteksi keberadaan rouge AP dengan

memasukkannya ke dalam maps. Jadi kita bisa tahu dimana letak rouge AP tersebut.

Gambar 23-1 - Contain Rouge AP

23.2 Radio Resource Management

Dynamic channels, rouge AP classification

Ada sebuah konsep yang dikenal dengan Event Drivent RRM (Radio Resource

Management).

Yang bisa dilakukan RRM adalah memilih channel untuk AP secara dinamik/otomatis, sesuai

dengan kualitas Radio Frekuensi. RRM juga bisa mengklasifikasi rouge AP secara dinamis.

Disamping itu, klasifikasi rouge AP juga bisa kita lakukan secara manual.

ilham.my.id

23.3 How to tame a Rouge?

Rouge AP bisa dijinakkan dengan contain, sebagaimana yang dijelaskan diatas.

23.4 Clean Air and AQI

Clean Air and AQI (air quality index): 1 – 100

Clear Air adalah kemampuan AP untuk melihat tingkat kualitas RF di tempat AP tersebut

berada. Ukurannya adalah dengan AQI (air quality index). AQI 100 adalah bagus, dan 1

adalah jelek.

Teknologi clean air sangat berhubungan dengan RRM.

Harus dilihat, apakah controller dan WLC support untuk clean air.

Clean air akan melihat apakah pada suatu RF banyak interferensi disana, jika iya maka

controller akan otomotas merubah channel AP ke channel yang lebih baik.

Kualitas sinyal diukur dengan severity level untuk interferensi (1 = bagus dan 100 = jelek).

AP bisa disetting, jika AQI melewati suatu angka, maka pindah channel AP tersebut.

Treshold-nya adalah 100 = High sensitivity, 50 = medium, low = 35.

Severity level dan AQI adalah ukurang yang berbeda. Namun severity level dapat

mempengaruhi nilai AQI.

Gambar 23-2 - Clean Air

ilham.my.id

23.5 wIPS (wireless intrusion prevention system)

wIPS digunakan untuk melihat signature di RF yang berbahaya, misalnya deautentikasi yang

dikeluarkan oleh AP lain. Menandakan AP lain mengenal AP kita sebagai rouge AP dan

meng-contain-nya.

Untuk menjalankan wIPS perlu dilihat apakah WLC dan AP support untuk fitur ini.

Kemudian AP harus dalam setting-an yang benar, seperti local dan monitor.

Gambar 23-3 - wIPS

ilham.my.id

24 Clients and BYOD (Bring Your Own Devices)

Windows, Mac OSX

Wireless Icon

Pada MAC, iconnya adalah AirPort.

Profile configuration

Pada windows dan MAC, kedua OS ini dapat mengingat SSID yang pernah kita connect.

Pada Apple, fitur ini bisa di non aktifkan. Kelemahan dari fitur mengingat ini adalah

keamanan yang kurang, karena orang bisa membuat SSID yang serupa dan laptop kita akan

otomatis connect ke SSID tersebut. Padahal SSID tersebut berasal dari Rouge AP.

Gambar 24-1 - Icon pada Windows

Icon 3 komputer adalah adhoc mode. Garis 5 bar adalah infrastructure mode. Sedangkan

tanda bintang bewarna orange adalah jaringan tersebut tidak memiliki autentikasi dan

enkripsi.

ilham.my.id

Gambar 24-2 - Wifi pada MAC

Pada Mac, tanda kunci menandakan SSID ada autentikasi dan enkripsi. Yang tidak ada tanda

kunci adalah sebaliknya.

Gambar 24-3 - Detail SSID

ilham.my.id

24.1 Modular AnyConnect

SSL, Ipsec, 802.1x

Modules include:

Network Access Manager (NAM)

Diagnostic AnyConnect Reporting Tool (DART) -> Untuk troubleshooting

VPN, Posture, Telemetry, Web Security

Any connect dapat di instal per modul dan modul yang tidak perlu, boleh tidak di instal.

Modul pertama yang harus di instal adalah NAM.

AnyConnect juga mempunyai fitur supplicant 802.1x.

Lisensi produk ini biasanya di dapatkan jika kita membeli produk Cisco, misalnya ASA

Firewall.

Apple IOS and Android

Smartphone biasanya tidak support untuk connect ke jaringan WiFi yang lebar pitanya 40

MHz, dalam hal ini 802.11n, karena dapat menguras tenaga baterai smartphone.

Harus di cek juga handheld devices yang support untuk kedua radio (2.4 dan 5 GHz).

iPhone 4 hanya 2.4 GHz. iPad v1 ke atas dan iPhone 5 keatas support 2.4 GHz dan 5GHz.

ccna wireless 640 722 survival note

Technology