Dokumen tersebut memberikan ringkasan tentang teknologi jaringan nirkabel CCNA Wireless 640-722. Beberapa poin penting yang dijelaskan adalah definisi istilah dan topologi jaringan nirkabel seperti ad hoc dan infrastruktur mode, standar dan lembaga pengatur seperti IEEE dan FCC, serta teknologi-teknologi nirkabel lain seperti WiFi, Bluetooth, dan WiMax.
2. ilham.my.id Page 2
Daftar Isi
1. Terminology and Topology................................................................................................5
1.1 Ad Hoc Mode..............................................................................................................5
1.2 Infrastructure Mode.....................................................................................................5
1.3 Controller ....................................................................................................................6
2. Standards and Regulatory Bodies.......................................................................................7
2.1 Layer 1 and layer 2 protocols......................................................................................7
2.2 Interoperability testing ................................................................................................7
2.3 Regulation Organisasition...........................................................................................7
3. Radio Frequency (RF) 101 .................................................................................................8
4. Power Math.........................................................................................................................9
5. Antennas ...........................................................................................................................10
5.1 Effective Isotropic Radiated Power (EIRP) ..............................................................10
5.2 Uni vs Omni directional, Polarity .............................................................................11
5.3 Diversity, Connectors, Amplifiers ............................................................................11
6. 802.11 and Beyond...........................................................................................................13
7. Frames and WLAN Etiquette ...........................................................................................17
8. A tale of 10 frames ...........................................................................................................19
9. Other Wireless Tech .........................................................................................................22
9.1 Wimax.......................................................................................................................22
9.2 Zigbee........................................................................................................................22
9.3 Bluetooth...................................................................................................................23
10. AP-WLC Traffic Flow..................................................................................................24
11. VLAN & SSID..............................................................................................................28
11.1 Configuration Examples:...........................................................................................30
12. Deploy the WLAN Controller (WLC)..........................................................................33
13. Ahhh, the first WLAN ..................................................................................................35
13.1 Mating Patterns for APs and WLCs..........................................................................36
13.2 Courting process........................................................................................................38
14. AP a la mode.................................................................................................................41
14.1 Access Point modes...................................................................................................41
15 Wireless Roaming.........................................................................................................43
15.1 a mobility Group (domain)........................................................................................43
3. ilham.my.id Page 3
15.2 Layer 2, layer 3..........................................................................................................44
15.3 Symmetric vs Asymmetric........................................................................................45
15.4 Anchors and “Mobility Anchors” .............................................................................47
15.5 Static address tunneling.............................................................................................47
16 Converting APs.............................................................................................................49
16.1 New AP – Zero touch? (LAP)...................................................................................49
16.2 Autonomous AP........................................................................................................50
16.3 Other tools.................................................................................................................51
17 Security 101.5 ...............................................................................................................52
17.1 Authentication...........................................................................................................52
17.2 Encryption.................................................................................................................52
17.3 Keys are key..............................................................................................................53
18 802.1x and EAP ............................................................................................................56
18.1 802.1x........................................................................................................................56
18.2 Cara kerja 802.1x ......................................................................................................56
18.3 EAP: Extensible Authentication Protocol.................................................................57
18.3.1 Lightweight EAP (LEAP)..................................................................................57
18.3.2 EAP Flexible Authentication via Securing Tunnel (EAP-FAST) .....................57
18.3.3 PKI and Certificates...........................................................................................58
19 Keys and Encryption........................................................................................................60
19.1 WEP (old and weak) .................................................................................................60
19.2 WPA (TKIP and optionally AES).............................................................................60
19.3 802.11i / WPA2 (AES/CCMP) .................................................................................60
19.4 Enterprise vs Personal (Radius or not)......................................................................61
19.5 PMK (session key) & PTK........................................................................................61
19.6 Likely options:...........................................................................................................62
20 No Supplicant, No Problem: Web Auth ..........................................................................64
20.1 Web authentication process.......................................................................................64
20.2 Authentication options ..............................................................................................64
20.3 User Experience ........................................................................................................65
21 Wireless Control System (WCS) .....................................................................................68
21.1 Features and version of WCS....................................................................................68
21.2 Getting around in the GUI.........................................................................................68
4. ilham.my.id Page 4
21.3 Monitoring the Network............................................................................................70
22 Identifying and Solving Issues.........................................................................................72
22.1 Controller commands:...............................................................................................72
22.2 Aironet IE (Information Element).............................................................................73
22.3 MFP (Management Client Protection)......................................................................73
23 Rogues..............................................................................................................................75
23.1 What is rouge AP?.....................................................................................................75
23.2 Radio Resource Management....................................................................................75
23.3 How to tame a Rouge? ..............................................................................................76
23.4 Clean Air and AQI ....................................................................................................76
23.5 wIPS (wireless intrusion prevention system)............................................................77
24 Clients and BYOD (Bring Your Own Devices) ..............................................................78
24.1 Modular AnyConnect................................................................................................80
5. ilham.my.id Page 5
1. Terminology and Topology
1.1 Ad Hoc Mode
BSS – Basic Service Set
IBSS – Independent Basic Service Set
Gambar 1-1 - Basic Service Set
1.2 Infrastructure Mode
AP – Access Point (Hotspot)
BSA – Basic Service Area (cell)
SSID – Service Set Identifier
Distribution System
Gambar 1-2 - Infrastructure Mode
6. ilham.my.id Page 6
1.3 Controller
ESS – Extended Service Set
Roaming
Gambar 1-3 - Extended Service Set
7. ilham.my.id Page 7
2. Standards and Regulatory Bodies
2.1 Layer 1 and layer 2 protocols
- IEEE 802.11 series
Study the apps and uses of WLANs
Publish protocols modulation, frequency, framing, physical
2.2 Interoperability testing
- Wi-Fi Alliance “Did it make the grade”?
2.3 Regulation Organisasition
- FCC - Federal Communications Commission
- ETSI – European Telecomunications Standards Institute
- TELEC – Telecom Engineering Center
- BRAI – Broadcasting Regulatory Authority of India
8. ilham.my.id Page 8
3. Radio Frequency (RF) 101
How fast 1 Hz, 1 KHz, 1 MHz, 1 GHz, 1 THz (Frequency)
How wide is One Cycle (Wavelenght)
How tall (Amplitude) more energy = more Amplitude
Gambar 3-1 - Range Frekuensi
RSSI: Received Signal Strenght Indicator
When bad things happen to good RF signals
- Path loss and Scattering (free of charge)
- Lead (and other obstacles absorbing the RF)
- Mirror mirror (reflection, multipath, fade)
- Long range atmhosphere refraction
- Noise (Interference with the RF)
Upfade: the signal is stronger than it should be because multiple signal paths are received
twice at exactly the same time, wich results in the multiple signals being in-phase.
RSSI minus Noise = Signal to Noise Ration (SNR)
9. ilham.my.id Page 9
4. Power Math
What’s watt?
- Energy measurement, 1/1000 = mW, 1000 kW
Let me hear you say Decibel
10 dB = 10x, 0 dB = same, -10 dB = .1
dB in relation to 1 mW (m)
10 dBm = 10 mW, 0 dBm = 1 mW, -10 dBm = .1mW
3 is the new 2 (don’t shoot the messenger)
Coverting between mW & dBm
- 46 dBm as mW
- 2400 mW as dBm
Gambar 4-1 - Power Math Calculation
Power Math
10 = 10x
3 = 2x
0 = same
-3 = 1/2x
-10 = 1/10 x
10. ilham.my.id Page 10
5. Antennas
Radiates Waveforms H-Plane, E-Plane
H-Plane: top view
E-Pane: side view
Gambar 5-1 - H-Plane
Gambar 5-2 - E-Plane
5.1 Effective Isotropic Radiated Power (EIRP)
Tx Power (dBm) + Antenna Gain (dBi) – Cable Loss
Dipole reference (dBd) = 2.15 dBi gain
4.90 dBd = ? dBi
4.90 dBd + 2.15 dBi = 7.05dbi
Menghitung EIRP:
Tx Power = 24 dBm
Antenna Gain = 8.5 dBd
11. ilham.my.id Page 11
Mengubah antenna gain dari dBd ke Dbi
8.50 dBd + 2.15 dBi = 10.65 dBi
Hasil perhitungan diatas dijumlahkan dengan Tx Power
24 dBm + 10.65 dBi = 34.65 dBm
5.2 Uni vs Omni directional, Polarity
Gambar 5-3 - Uni Directional Antenna
Gambar 5-4 - Omni Directional Antenna
5.3 Diversity, Connectors, Amplifiers
Gambar 5-5 - Diversity
12. ilham.my.id Page 12
Diversity adalah kemampuan access point untuk memilih antenna mana yang akan digunakan
untuk mengirim sinyal berdasarkan kualitas udara.
Gambar 5-6 - Ilustrasi Splitter
Connectors adalah penggubung access point dengan antenna, dan biasanya proprietary.
Amplifiers adalah penguat sinyal yang dikirim access point ke antenna.
Attenuator adalah sebaliknya.
Splitter adalah pemisah antara access point dengan antena.
13. ilham.my.id Page 13
6. 802.11 and Beyond
ISM (Industrial, Scientific, and Medical) and UNII (Unlincensed National Information
Infrastructure) Bands
~2.4 GHz and ~5 GHz
Spread Spectrum
802.11, 11b, 11a, 11g, 11n
Gambar 6-1 - 802.11 Family
Gambar 6-2 - Lebar Frekuensi 802.11 DSSS
14. ilham.my.id Page 14
Gambar 6-3 - Lebar Frekuensi 802.11 OFDM
Backward compability, misalnya dari 802.11g ke 802.11b dapat menyebabkan penurunan
data rate.
Gambar 6-4 - Lebar Frekuensi
Gambar 6-5 - MIMO dan Spatial Multiplexing pada 802.11n
15. ilham.my.id Page 15
MIMO dan Spatial Multiplexing dapat mengirimkan dapat dalam beberapa stream.
Gambar 6-6 - Transmit Beamfoming pada 802.11n
Jika antena 1 dan 3 mengirim data pada stream yang sama, makan akan terjadi out phase,
karena antena 1 lebih jauh dari antena 3. Transmit Beamfoming adalah metode untuk
mendelay pengiriman data pada antena 3 agar updafe dengan antena 1 ketika data diterima
client.
Gambar 6-7 - MRC (Max Ratio Combining) pada 802.11n
MRC adalah kemampuan access point untuk menerima sinyal dalam beberapa stream dari
client yang telah dipantulakan, direfleksikan, dsb. Sinyal yang out of phase-nya besar akan
dihapus, dan yang out phase-nya sedikit akan digabungkan.
Salah satu kelebihan 802.11n adalah block ACK atau pengelompokan acknowledgement.
802.11n dapat menggunakan lebar pita 20 MHz maupung 40 MHz
16. ilham.my.id Page 16
Gambar 6-8 - Contoh 40 MHz pada Frekuensi 2.4 Ghz
Penggunaan lebar pita 40 MHz pada frekuensi 2.4 GHz tidak disarankan, karena hanya akan
ada satu channel yang tersedia.
Gambar 6-9 - Contoh 40 MHz pada Frekuensi 5 Ghz
17. ilham.my.id Page 17
7. Frames and WLAN Etiquette
Frame type:
- Management: Beacons, Probes, Association, Authentication
- Control: RTS (Request to Send), CTS (Clear to Send), ACK
- Data: Payload
Beacons adalah frame yang dikirim access point ke cell. Isinya berupa informasi tentang
SSID, channel number, vendor, dsb. Pada keadaaan ini client akan mendengarkan secara
pasif.
Gambar 7-1 - Contoh Beacons
Probes adalah frame yang dikirimkan oleh client (probe request) untuk sebuah access point
untuk join ke access point tersebut. Setelah itu access point akan merespon dengan probe
response.
RTS adalah permintaan dari client untuk mengirim data ke access point setelah menunggu
selama beberapa waktu. CTS adalah response bahwa client boleh mengirim data. Sedangkan
ACK adalah response bahwa data sudah di terima.
Network Allocation Vector (NAV) adalah pemberitahuaan dari sebuah client seberapa lama
ia membutuhkan waktu untuk mengirimkan data ke access point.
DCF: Distributed Coordination Function (not PCF)
DCF adalah sebuah metode untuk memastikan bahwa setiap client tidak saling tumpang
tindih ketika ingin mengirim data. Metode yang digunakan dengan menggunakan RTS dan
CTS.
PCF: Point Coordinat Function
Pada PCF, access point mengontrol trafik. Siapa yang bicara, siapa yang boleh bicara. Tidak
pernah diimplementasikan
18. ilham.my.id Page 18
802.11 menggunakan metode CSMA/CA.
SIFS and DIFS: Short and DCF Inter-Frame Space
SIFS dan DIFS adalah normal delay antara frame. Terjadi setelah pemberitahuan bahwa data
sudah diterima melalui ACK.
SIFS adalah prioritas pengiriman data. Contohnya adalah ACK. Waktunya lebih cepat dari
DIFS
DIFS adalah normal delay. Waktunya 2x SIFS
Sending Frame: pick a number, listen, wait some more.
ClientA akan menentukan sebuah angka (misal 30), lalu ia akan menhitung mundur. Pada
saat menghitung mundur, ClientA mendengar ClientB sedang mengirim data ke access point
dan NAV clientB adalah 40. Maka ClientA akan menambahkan 40 ke dalam hitungan
mundurnya.
Setelah waktu habis, maka ClientA akan mengirimkan RTS lalu akan dibalas dengan CTS.
Setelah data dikirim semua, maka akan ada ACK + normal delay (SIFS atau DIFS)
Gambar 7-2 - Ilustrasi
19. ilham.my.id Page 19
8. A tale of 10 frames
Gambar 8-1 - Ilustrasi Topology
Apple pings Alpha, over Wireless
Which devices are involved
Who sends data to whom?
Data direction: to or from DS?
Which addresses in the frames?
Will RTS/CTS always be used?
20. ilham.my.id Page 20
Gambar 8-2 - Ilustrasi Pengiriman Frame
Diatas adalah ilustrasi pengiriman ping dari Apple ke Alpha melalui Dlink access point
(autonomous).
Pada baris 2, 6,8, dan 10; source address tidak ada karena hanya berupa CTS dan ACK, serta
untuk menghemat frame juga.
Hidden node adalah kejadian dimana client Apple dan Alpha tidak dapat mendeteksi
keberadan satu sama lain di dalam sebuah cell. Maka ketika Apple mengirim RTS ke access
point, maka CTS akan dikirimkan ke semua client di dalam range access point tersebut,
termasuk Alpha. Sehingga Alpha (dan mungkin client lainnya) dapat mengetahui bahwa ada
client (Apple) yang akan mengirimkan data dan NAV dari Apple akan ditambahkan ke
perhitungan mundur client lainnya yang ada di dalam cell tersebut.
Gambar 8-3 - Contoh Hidden Node
21. ilham.my.id Page 21
DS adalah distribution system, dalam hal ini Access point.
Gambar 8-4 - Skema From DS to DS
0 0 cotohnya adalah ad hoc.
0 1. Ketika Apple mengirim ping ke Alpha, paket akan mampir ke DS (access point) dulu.
1 0. Frame dari DS (access point) akan diteruskan ke Alpha.
1 1 adalah ketika menggunakan mesh atau repeater.
RTS/CTS tidak selalu digunakan pada proses pengiriman data di wireless.
RTS/CTS tidak digunakan ketika hanya ada sebuah client dalam satu cell, maka client
tersebut akan langsung mengirimkan data ke access point. Bisa juga ketika frame yang
dikirim kecil / tidak melewati treshold (2.000 bytes).
Kadang-kadang RTS saja tanpa CTS.
Ada juga CTS self: mengirim CTS ke diri sendiri
22. ilham.my.id Page 22
9. Other Wireless Tech
9.1 Wimax
Wimax (802.16) dapat bekerja pada frekuensi 2-11 GHz atau 10-66 GHz. Biasanya Wimax
sering dioperasikan pada frekuensi 10-66 GHz.
Gambar 9-1 - Contoh Penggunaan Wimax
9.2 Zigbee
Zigbee biasanya digunakan pada perangkat rumah otomatis, seperti pagar, selang penyiram
tanaman, dsb. Biasanya dikendalikan melalui remote control.
Gambar 9-2 - Zigbee
23. ilham.my.id Page 23
9.3 Bluetooth
Bluetooth dikategorikan sebagai Personal Area Network (PAN) dan terdiri dari 3 jenis (lihat
gambar). Setiap jenis dibedakan berdasarkan tenanga yang dikelurkan Bluetooth. Jenis kedua
adalah yang sering digunakan. Jenis pertama (100mW) dapat mencapai range 100 meter,
yang kedua 10 meter, dan yang ketiga 1 meter. Modulasi yang digunakan FHSS.
Gambar 9-3 - Bluetooth
Items that may get in the way:
Gaming, Phones, Ovens, Monitors, Lights
Benda-benda yang dapat mengganggu sinyal wifi biasanya adalah benda2 yang
mengeluarkan sinyal dalam pengoperasiannya.
DECT: Digital Enhanced Cordless Telecommunications. DECT beroperasi pada frekuensi
900 MHz, 2.4 GHz and 5.8 GHz ISM bands
Sinyal RF dapat menabrak lights (lampu) dan menyebabkan refleksi
24. ilham.my.id Page 24
10. AP-WLC Traffic Flow
Dynamic duo: AP, WLC = Split MAC
WLC adalah singkatan dari Wireless LAN Controller.
WLC biasanya digunakan pada jaringan yang berskala menengah ke besar. Tujuannya adalah
untuk memudahkan pengontrolan banyak access point.
Split MAC adalah kemampuan untuk membagi tugas antara AP dan WLC. AP bertugas
untuk menyediakan layanan 802.11 secara realtime, misalnya menyebarkan beacon, ssid, dan
merespon probe request. Tugas AP berikutnya adalah mengirim ACK kepada client ketika
client mengirim data, serta RTS/CTS.
Gambar 10-1 - Tugas Access Point pada metode Split MAC
Sedangkan tugas WLC pada split MAC adalah authentication, authorization, dis-association,
policy, dan sebagainya.
25. ilham.my.id Page 25
Gambar 10-2 - Tugas WLC pada Split MAC
Lalu pertanyaannya sekarang adalah bagaimana caranya AP dan WLC saling berkomunikasi?
AP dan WLC berkomunikasi menggunakan protokol CAPWAP.
CAPWAP adalah singkatan dari Control and Provisioning of Wireless Access Point.
Ketika client mengirimkan data melalui wireless, frame 802.11 yang diterima AP dari client
akan di enkapsulasi kedalam CAPWAP untuk diteruskan ke WLC.
Pada CAPWAP terdapat dua stream, yaitu Control dan Data.
Untuk pengontrolan access point, misalnya push configuration, merubah sinyal; stream yang
akan digunakan adalah Control.
Sedangkan untuk data dari client, stream yang akan digunakan AP dan WLC adalah stream
Data.
Tugas WLC juga adalah merubah frame 802.11 ke 802.3 (ethernet) untuk diteruskan
ke Distribution System.
Ini berbeda dengan autonmous AP, yang perubahan frame dari 802.11 ke 802.3 dilakukan
oleh AP itu sendiri.
26. ilham.my.id Page 26
Gambar 10-3 - Ilustrasi CAPWAP
WLC juga memiliki kemampuan untuk merubah kekuatan sinyal dari AP untuk
mengakomodasi coverage hole detection.
Gambar 10-4 - Coverage Hole Detection
Jika kita memiliki banyak access point maka untuk mengontrolnya di perlukan WLC.
Jika kita memiliki banyak WLC, maka diperlukan WCS untuk memanage WLC-WLC
tersebut.
WCS adalah singkatan dari Wireless Control System.
Jika kita memiliki banyak WCS, maka diperlukan WCS Navigator untuk memanage
WCS-WCS tersebut.
27. ilham.my.id Page 27
Produk lainnya untuk manajemen wireless adalah MSE.
MSE adalah singkatan dari Mobility Service Engine.
Salah satu fitur yang disediakan MSE adalah wIPS (Wireless Intrusion Preventions System).
Salah satu kemampuan wIPS adalah dapat medeteksi keberadaan rouge dan unauthorized AP.
Gambar 10-5 - Kuis
28. ilham.my.id Page 28
11. VLAN & SSID
Gambar 11-1 - Konsep VLAN dan Trunk
Access vs Trunk Ports; 802.1q Tags
MBSSID (Virtual AP)
Switch config:
Create Vlan
Static access port to LW-AP
(trus dscp, add portfast)
Trunk to WLC, Autonomous AP & H-REAPs
(trust cos, add portfast)
29. ilham.my.id Page 29
Gambar 11-2 - Topologi
Link dari SW ke LAP adalah Access Port.
Access point boleh dibuatkan ke dalam Vlan selain Vlan SSID, misalnya vlan 30. Yang
penting LAP mempunyai default-gateway dan tahu akses ke WLC
Link dari SW ke WLC adalah trunk Port.
Gambar 11-3 - Penggunaan Trunk Port
Trunk port tidak hanya digunakan untuk akses dari SW ke WLC saja. Autonomous AP
dan H-REAP juga memerlukan koneksi trunk ke SW.
30. ilham.my.id Page 30
H-REAP adalah singkatan dari Hybrid Remote Edge Access Point.
Konsepnya adalah jika kita punya WLC di kantor pusat dan AP di kantor cabang. Koneksi
Internet dari kantor cabang dan kantor pusat lambat. Ketika clientA di kantor cabang ingin
mengirim file ke clientB di kantor cabang yang sama, maka H-REAP memungkinkan data
untuk tidak harus menuju WLC dulu. Jadi, ClientA dan ClientB dapat langsung
berkomunikasi tanpa datanya mampir di WLC dulu.
Bagaimanapun juga, jika komunikasi antara client di kantor cabang dengan VLAN yang
berbeda maka data harus ke WLC dulu, karena komunikasi beda VLAN memerlukan trunk
port.
11.1 Configuration Examples:
Gambar 11-4 - Config 1
32. ilham.my.id Page 32
Vlan 50 = Guest
Vlan 60 = Corporate
Vlan 70 = Mgmnt
Access port to customer connections
Int g0/20 -22 = vlan 50 mode access
Access port for LW-AP
Int g0/23 = vlan 60 mode access
Spanning-tree portfast
Mls qos trust dscp (layer 3)
Trunk to WLC
Int g0/24 = to WLC
Switchport mode trunk encapsulation dot1q
Spanning-tree portfast trunk
Mls qos trust cos (layer 2)
33. ilham.my.id Page 33
12. Deploy the WLAN Controller (WLC)
Gambar 12-1 - Topologi Yang Digunakan
Service port (Out of Band Management) adalah port yang digunakan untuk management
WLC. Service port ini berbeda dengan management interface.
Gambar 12-2 - Port pada WLC
WLAN Controller options, Interface and Ports
34. ilham.my.id Page 34
Going Virtual with ESX
Port Groups VLANs / Trunks / Security
Deploy OVF Template
Edit VM Network adapters
1 – service port
2- data port (trunked)
Answer the WLC setup questions
Reboot and use HTTPS to connect
Acticvate License
35. ilham.my.id Page 35
13. Ahhh, the first WLAN
Verify that the AP and WLC Hooked up
Name your AP, set Mode
Create new logical interface
Create new WLAN (SSID)
Connect
Gambar 13-1 - Gambar
By default, AP dapat dikonfigurasi dari WLC menggunakan SSH (Telnet disable).
Gambar 13-2 - Default Config AP
36. ilham.my.id Page 36
13.1 Mating Patterns for APs and WLCs
Pada port dari SW ke AP, di config switch access VLAN untuk AP tersebut. Perlu diingat,
VLAN AP berbeda dengan VLAN user.
Gambar 13-3 - Proses AP
Discovery options:
Broadcast, Flash, DHCP, DNS
Pertama kali AP disambungkan ke jaringan, maka AP akan membroadcast frame (ffff) untuk
mencari dimana WLC berada.
Gambar 13-4 - AP Broadcast Add untuk mencari WLC
37. ilham.my.id Page 37
Jika AP sebelumnya pernah tersambung di jaringan, maka data IP add WLC akan tersimpan
di dalam flash AP. Maka setelah mem-broadcast, AP akan melihat data WLC pada memori
flash-nya.
Kemudian AP akan mencari IP Add-nya melalui DHCP. Jika WLC berada di subnet yang
berbeda dengan AP, maka DHCP option 43 harus digunakan. DHCP opt 43 adalah fitur untuk
menunjukkan alamat IP add WLC.
Dan yang terakhir, AP juga bisa mencari keberadaan WLC dengan fitur DNS request mencari
specific name: CISCO-CAPWAP-CONTROLLER
Gambar 13-5 - Packet Capture AP Discovery WLC
Gambar 13-6 - Packet Capture AP Discovery WLC (DHCP opt 43)
38. ilham.my.id Page 38
Gambar 13-7 - Konfigurasi DHCP opt 43 pada Router
Gambar 13-8 - Konfigurasi DNS pada Router
Pecking order for selection:
Primary, 2nd, 3rd, Master, least busy
Ketika AP sudah tau dimana letak WLC, maka AP akan memilih primary WLC dulu,
kemudian 2nd, dan 3rd.
Jika AP baru pertama kali connect ke jaringan, maka AP akan join ke Master Controller. Jika
fitur Master Controller aktif di WLC (pada default, Master Controller tidak aktif di WLC).
Jika Master Controller tidak ada, maka AP akan join dengan WLC yang tidak sibuk.
Misalnya ada WLC_A yang yang sedang menghandle 10 dari maks 100 AP, dan WLC_B
sedang menghandle 20 dari maks 100 AP, maka AP akan memilih WLC_A karena WLC_A
tidak lebih sibuk dari WLC_B.
Ketika nanti AP sudah join dengan sebuah controller, maka disitu bisa di setting primary,
2nd, and 3rd WLC-nya. Sehingga, ketika AP reboot suatu waktu, maka AP tersebut akan
langsung join dengan WLC primary dst.
Setelah AP join dengan sebuah WLC, maka WLC akan bertanya ke AP, apakah AP memiliki
code IOS yang sesuai atau tidak. Jika sesuai lanjut ke Get Config, jika tidak sesuai maka
WLC akan mem-push code IOS ke AP, dan kemudian AP akan reboot ulang lagi.
13.2 Courting process
Control DTLS UDP: 5246
Code / Config / Heartbeat
39. ilham.my.id Page 39
Setelah AP terhubung dengan WLC, maka akan ada 2 channel dari WLC ke AP. Channel
yang pertama ada Control Channel. Di dalam control channel, AP dan WLC akan saling
bertukar informasi tentang konfigurasi, kode AP, heartbeat, data client yang connect, dll.
Heartbeat adalah frame yang dikirim ke WLC beberapa detik sekali untuk memastikan WLC
masih aktif. Semacam hello paket di OSPF.
Tujuan port dari AP pada Control channel adalah 5246 UDP menggunakan Datagram
Transport Layer Security.
Pada permulaan control channel AP akan mengirim Client Hello. Kemudian WLC mengirim
sertifikatnya ke AP dan setelah itu AP juga akan mengirimkan sertifikatnya ke WLC.
Gambar 13-9 - Pertukaran Sertifikat Pada DTLS
Gambar 13-10 - Application Data pada DTLS
Application data pada DTLS berisi tentang informasi user, misalnya autentikasi, asosiasi,
dsb. Data tersebut di enkripsi
Client data UDP: 5247
40. ilham.my.id Page 40
Channel yang dibangun antara WLC dan AP adalah Data Channel. Channel ini berisi data
user. Menggunakan UDP port 5247, dan by default tidak terenkripsi.
Ketika client ingin mengirim paket ke Internet (misalnya ping ke google), maka paket dari
client akan masuk AP terlebih dahulu. Kemudian AP akan meng enkapsulasi paket tersebut
dalam CAPWAP dan kemudian di teruskan ke WLC.
WLC akan men dekapsulasi paket dari WLC itu dan meneruskannya akan tujuan paket.
Gambar 13-11 - Proses pengiriman paket pada CAPWAP
41. ilham.my.id Page 41
14. AP a la mode
14.1 Access Point modes
Local (Data + Monitoring)
Pada mode ini AP akan bekerja seperti biasa, yaitu meng handle traffic data dari client. Selain
itu AP pada Local mode juga bisa memonitoring RF channel yang sedang ia gunakan untuk
dikirim ke WLC.
Monitor (Monitoring only)
Pada mode ini, AP tidak menerima koneksi dari client, tapi ia akan bekerja untuk
memonitoring RF channel yang sedang ia gunakan.
Sniffer (Redirect Frames)
Pada Sniffer mode, AP akan mengkoleksi semua informasi dari spesifik channel, untuk
kemudian dikirim ke komputer Admin untuk dianalisis. Koleksi informasi tersebut juga
termasuk SSID dari AP lain.
Rogue Detector (Wired only)
AP mode ini terkoneksi ke SW dengan mode Trunk dan radio mati.
Informasi tentang Rouge AP yang di dapat WLC dari AP Local Mode, akan dikirimkan ke
AP Rouge Detector, untuk kemudian dikomparasi dengan jaringan LAN yang terhubung
dengan AP Rouge Detector tersebut.
Jika MAC add rouge AP yang dikirim WLC juga terdapat di dalam jaringan LAN, maka
MAC add tersebut juga akan dinotifikasi sebagai Rouge juga di jaringan LAN
Bridge (Mesh AP Network)
Biasa digunakan di jaringan WLAN outdoor.
SE-Connect Mode (Spectrum Exp.)
Digunakan untuk mengkoleksi data RF dari spesifik channel, untuk kemudian dikirimkan ke
aplikasi Spectrum Expert.
OEAP (Office Extend AP)
Jika di kantor ada SSID Corporate yang terhubung langsung dengan WLC, maka di rumah
juga kita bisa memasang AP dengan SSID yang sama untuk kemudian dihubungkan dengan
WLC di kantor. Jadi semua policy yang ada pada WLC di kantor akan sama juga seperti yang
di dapatkan oleh AP dengan mode OEAP ini.
Jika ada SSID Guest, maka data bisa langsung di alihkan ke Internet.
42. ilham.my.id Page 42
Gambar 14-1- AP mode OEAP
H-REAP aka FlexConnect
Sama seperti OEAP, AP mode ini juga ditujukan untuk remote office. Namun, AP H-REAP
atau FlexConnect ini bisa autentikasi atau switching secara lokal, jika koneksi AP dengan
WLC di kantor pusat terputus, atau jaringan Internet sangat lambat.
Gambar 14-2 - AP mode H-REAP aka FlexConnect
43. ilham.my.id Page 43
15 Wireless Roaming
15.1 a mobility Group (domain)
Gambar 15-1 - Yang diperlukan untuk roaming
Untuk memungkinkan roaming, semua controller harus berada di dalam mobility group dan
mobility domain yang sama. Kesemua controller itu juga harus setuju dengan protokol yang
digunakan (CAPWAP atau LWAPP), memiliki virtual IP yang sama, dan semua controller
harus kompatible dengan fitur Roaming (versi yang sama). Dan yang terakhir, setiap
controller diberi tahu tentang controller lain yang akan ikut support roaming juga.
Kesemua controller harus juga mengeluarkan SSID yang sama (ESS / Extended Service Set)
yang di asosiasikan dengan VLAN yang sama pula.
Gambar 15-2 - Satu Grup Beda Domain
44. ilham.my.id Page 44
Gambar 15-3 - Mping dan Eping
Untuk troubleshoot koneksi antara controller yang roaming bisa dilakukan dengan mping
untuk control path dan eping untuk data path troubleshooting.
15.2 Layer 2, layer 3
Jika roaming terjadi di AP yang berbeda tapi controller yang sama, maka prosesnya akan
lebih cepat karena controller sudah memiliki data client tersebut. Ini adalah layer 2 roaming.
Layer 2 roaming berikutnya adalah jika roaming diantara AP dan controller yang berbeda.
Maka controller yang pertama kali client connect akan memberikan data client tersebut ke
controller yang sekarang menangani client tersebut.
Proses layer 2 roaming diatas terjadi di subnet yang sama.
Gambar 15-4 - Layer 2 Roaming
45. ilham.my.id Page 45
Gambar 15-5 - Layer 3 Roaming
Pada layer 3 roaming proses yang terjadi antara controller lebih rumit lagi. Roaming layer 3
terjadi pada subnet yang berbeda.
Controller yang pertama kali client connect akan menjadi Anchor controller dan controller
yang sekarang client connect pada subnet yang berbeda akan menjadi Foreign Controller.
Antara anchor dan foreign akan saling bertukar data client. Pada layer 3 roaming ini IP client
akan tetap sama seperti IP sebelumnya, walaupun controller foreign memiliki subnet yang
berbeda dengan anchor controller. Access point tidak peduli dengan IP client karena ia hanya
menerukan layer 2 frame.
15.3 Symmetric vs Asymmetric
Pada layer 3 roaming, ketika client ingin mengirim data ke server dari foreign controller,
maka foreign controller akan langsung mengirimkannya ke server. Ketika server ingin me
reply data dari client, makan server akan mengirim ke anchor controller terlebih dahulu dan
kemudian meneruskannya ke foreign controller, untuk kemudian di teruskan di client. Proses
ini dinamakan Asymmetric tunneling.
46. ilham.my.id Page 46
Gambar 15-6 - Proses Asymmetric tunneling
Asymmetric tunneling sekarang jarang digunakan karena biasanya firewall akan memblok
koneksi tersebut.
Yang sering digunakan sekarang adalah Symmetric tunneling. Proses pada symmetric adalah
foreign controller akan meneruskan data dari client ke anchor controller terlebih dahulu,
untuk kemudian diteruskan ke server. Dan ketika server me reply, reply akan dikirim ke
anchor controller diteruskan ke foreign dan kemudian berakhir di client.
Gambar 15-7 - Proses Symmetric Tunneling
47. ilham.my.id Page 47
15.4 Anchors and “Mobility Anchors”
Mobility anchor berbeda dengan Anchor. Jika pada layer 3 roaming, Achor adalah controller
yang pertama kali connect, maka Mobility Anchor adalah controller yang biasanya digunakan
sebagai pusat controller untuk SSID tertentu (biasanya Guest).
Gambar 15-8 - Mobility Anchor
Policy untuk SSID Guest tidak perlu di apply di semua controller, cukup satu controller saja
(misalnya controller_A). Jadi jika client Guest connect ke sebuah AP pada controller_B atau
controller yang lainnya, maka data client guest tersebut akan di tunnel ke controller_A, yang
bertindak sebagai Mobility Anchor. Pada mobility anchor inilah semua keputusan dilakukan
(misalnya policy).
15.5 Static address tunneling
Jika ada client yang memiliki static address, maka ketika ia ingin connet ke sebuah AP yang
terhubungan dengan sebuah controller tapi sayangnya ip add client berbeda subet dengan ip
add controller tersebut. Maka controller akan memberitahu ke controller lain yang berada di
dalam satu mobility group, siapa yang memiliki subnet untuk client ini.
Jika ada controller yang menjawab bahwa ia memiliki range subnet itu, maka controller itu
akan menjadi Anchor Controller.
49. ilham.my.id Page 49
16 Converting APs
16.1 New AP – Zero touch? (LAP)
DNS, DHCP, Local controller
Pada LAP, proses ketika booting adalah broadcast untuk mencari controller, mencari
controller di flash (jika AP sudah pernah terpasang), DHCP opt 43, dan DNS name.
Bootstrap an AP
TFTP server, images
Lw=k9w8, autonomous=k9w7
Platform-k9w7-tar.default
Yang diperlukan untuk konversi dari LAP ke autonomous adalah TFTP server dan images.
Image LAP memiliki kode w8 dan autonomous memiliki kode w7.
Image w8 dan w7 tersebut di ubah menjadi platform-k9w7-tar.default (misalnya “c1130-
k9w7-tar.default”).
IP add pada TFTP server adalah 10.0.x. Autonomous AP akan memiliki AP 10.0.0.1.
Cara konversinya adalah, lepas power, kemudian tekan tombol kecil dengan pulpen dan
tahan, kemudian hidupkan AP. Ketika LED berwarna merah, lepas tekanan pada tombol kecil
tersebut dan AP otomomatis akan membroadcast TFTP pada subnet diatas untuk mencari file
.default. Kemudian image akan di letakkan di dalam flash AP.
Proses ini juga bisa dilakukan untuk konversi dari Automous AP ke LAP.
Gambar 16-1 - Konversi LAP ke Autonomous
50. ilham.my.id Page 50
Gambar 16-2 - File Images
Gambar 16-3 - CLI proses konversi LAP ke Autonomous
16.2 Autonomous AP
DHCP, BV1, HTTP, “Cisco”
Pada Autonmous AP, logical interface yang up adalah BV1 dan akan mencari ip add melalui
DHCP. Diakses menggunakan HTTP ip add AP dengan username dikosongkan, dan pasword
“Cisco”.
Jika Autonomous AP ingin support banyak VLAN maka ia harus di set pada SW dengan
mode trunk. Berbeda dengan LAP yang di set dengan switchport mode access. AP dengan
mode H-REAP/FlexConnect juga harus di set dengan mode trunk pada switch, karena AP
dengan mode H-REAP/FlexConnect memiliki kemampuan untuk melakukan local switching
VLAN, bisa jadi dengan VLAN yang berbeda.
51. ilham.my.id Page 51
Gambar 16-4 - Port pada berbagai mode AP
Ketika client connect ke Autonomous AP pada topologi dibawah, maka client akan
mendapatkan IP add VLAN 20.
Gambar 16-5 - Client Connect Pada Autonomous AP
Untuk menkonversi Autonomous AP ke LAP, bisa dilakukan dengan cara yang seperti diatas.
16.3 Other tools
Konversi bisa dilakukan dari CLI dari WLC.
52. ilham.my.id Page 52
17 Security 101.5
17.1 Authentication
Autentikasi bisa dapat terdiri dalam beberapa kategori, yang pertama adalah apa yang Anda
tau (password, pin), apa yang Anda punya (kartu ATM), dan siapa Anda (finger print).
Jika autentikasi menggunakan 2 kategori atau lebih, maka disebut multi-factor autentikasi.
Jika menggunakan 1 kategori saja, maka disebut single-factor autentikasi.
Jika menggunakan single-faktor autentikasi, sebaiknya menggunakan beberapa kriteria,
misalnya untuk kategori apa yang Anda tau, ditanyakan siapa nama Anda, tempat lahir Anda,
nama Ibu Anda, dan sebagainya.
Gambar 17-1 - Multi-Faktor Autentikasi
Komputer dan user bisa juga di autentikasi.
Gambar 17-2 - Autentikasi User dan Komputer
17.2 Encryption
Enkripsi adalah proses penyembunyian data yang sedang dikirim di jaringan, agar orang lain
tidak bisa membacanya. Yang bisa membacanya hanya yang memiliki kuncinya saja.
Telnet adalah contoh protokol yang tidak meng enkripsi datanya, sedangkan SSH lebih aman.
53. ilham.my.id Page 53
Gambar 17-3 - Ilustrasi Enkripsi
17.3 Keys are key
Gambar 17-4 - Membuka Enkripsi Data dengan Key
Untuk membuka data yang terenkripsi diperlukan key. Lihat gambar diatas.
Cara kerjanya adalah ketika data dikirim, data tersebut akan disembunyikan isinya dengan
key yang sudah ditentukan. Contohnya adalah dengan Abjad yang dinaikkan untuk key nya.
Symmetrical menggunakan key yang sama untuk pengirim dan penerima, sedangkan
asymmetrical tidak. Akan tetapi, Asymmetrical memerlukan CPU proses yang lebih besar
namun lebih aman.
Gambar 17-5 - Pre Shared Key
54. ilham.my.id Page 54
Pre Shared Key adalah key yang digunakan untuk autentikasi, dan bisa juga untuk enkripsi.
Semua user memiliki PSK yang sama. Kelemahannya adalah jika PSK diketahui oleh orang
yang tidak bertanggung jawab, maka keamanan jaringan bisa berbahaya.
Untuk lebih amannya, PSK yang sama dimiliki oleh semua user, namun ketika user sudah
connect, PSK antara user dan AP akan dibuatkan unik secara dinamik. PSK berlaku hanya
ketika user sedang connect saja.
WEP adalah singkatan dari Wired Equivalent Privacy.
WEP adalah contoh implementasi PSK. Key pada AP sama dengan key pada client. PSK bisa
digunakan untuk autentikasi dan enkripsi. Sedikit lebih baik dari pada tidak ada security sama
sekali.
Gambar 17-6 - Contoh Open Auth
55. ilham.my.id Page 55
Gambar 17-7 - Contoh Capture WEP
MAC Filtering digunakan untuk mem filter client-client mana saja yang boleh connect ke
AP. Tidak efektif, karena MAC add pada client dengan mudah diubah sesuai dengan
keinginan user.
AAA server digunakan untuk sentralisasi daftar MAC add yang ingin di block. Jika tidak
menggunakan AAA Server, maka MAC add harus di input di setiap controller.
56. ilham.my.id Page 56
18 802.1x and EAP
18.1 802.1x
Role pada 802.1x adalah Supplicant, Authenticator, Authenticator Server.
Supplicant adalah client, Authenticator adalah access point, dan AAA Server adalah
Authentication Server.
AAA Server adalah server yang tersentralisasi untuk validasi user.
Beberapa jenis AAA Server adalah Cisco ACS dengan produknya ISE (Identity Service
Engine), dan AAA Server ada juga yang open source.
Protokol yang digunakan untuk komunikasi antara Authenticator dengan AAA Server adalah
Radius.
Gambar 18-1 - Ilustrasi 802.1x
18.2 Cara kerja 802.1x
Bob (Supplicant) ingin connect ke jaringan, AP (Authenticator) kemudian minta
user/password, kemudian Bob mengetiknya, dan user/pass yang diketik Bob di kirim oleh AP
ke AAA Server (Authentication Server) melalui koneksi/protokol Radius dan kemudian
server akan menyetujui/tidak.
Session Bob ini memiliki key tersendiri, dan session Bob dengan Louis (misalnya) adalah
berbeda. Key session disimpan di Supplicant dan Authenticator
57. ilham.my.id Page 57
18.3 EAP: Extensible Authentication Protocol
EAP adalah tipe koneksi yang ingin digunakan pada lingkungan 802.1x. EAP merupakan
framework dalam autentikasi tersebut.
Beberapa jenis EAP:
Gambar 18-2 - Jenis-Jenis EAP
18.3.1Lightweight EAP (LEAP)
Tidak menggunakan digital sertifikat. Akan terjadi mutual autentikasi, maksudnya server dan
client akan sama-sama saling meng-autentikasi. Hal ini dapat menghindari client terkoneksi
ke server yang salah oleh Rouge AP.
Gambar 18-3 - LEAP
18.3.2 EAP Flexible Authentication via Securing Tunnel (EAP-FAST)
Pada EAP-FAST juga tidak ada digital sertifikat. User dan server juga akan sama-sama saling
meng-autentikasi. FAST menggunakan secure tunneling (logical connection). FAST
menggunakan PAC (Protected Access Credential). PAC adalah kalkulasi dan algoritma yang
akan digunakan dalam proses FAST. Client harus support FAST.
Gambar 18-4 - FAST
58. ilham.my.id Page 58
18.3.3 PKI and Certificates
PKI adalah singkatan Public Key Infrastructure.
2 jenis algoritma kriptograpi:
Symmetrical: 1 key digunakan untuk enkrip dan dekrip data.
Asymmetrical: menggunakan key pair / 2 key. 1 key untuk enkrip data dan satunya lagi untuk
dekrip data. Kedua key ini saling berhubungan. Biasanya di sebut sebagai Public/Private.
Public key bisa diberikan ke semua orang, sedangkan private tidak bisa.
Ketika kita connect ke online banking menggunakan HTTPS, bank akan mengirimkan digital
sertifikat. Digital sertifikat digunakan untuk memberitahu kita bahwa kita benar sedang
connect ke bank tersebut.
Digital sertifikat memiliki public key dan di tanda tangani oleh seseorang yang kita percaya
(CA). Ketika bank mengirim digital sertifikat, client akan melihat sertifikat tersebut di signed
oleh orang terpercaya (CA) dan kemudian public key di extract. Digital sertifikat adalah
publik key.
CA adalah singkatand dari Certified Authorities, seperti VerySign, GoDaddy, dll. Browser-
browser memiliki list digital sertifikat. Cara kerjanya adalah client mengirim data dengan
public key bank, kemudian bank meng-extract data tersebut dengan private key-nya.
Bank mengetahui siapa kita dengan meminta username/password. Kita mengetahui
(memvalidasi) bank dengan Digital Sertifikat.
Gambar 18-5 - Public Key Infrastructure
59. ilham.my.id Page 59
18.3.3.1 Protected EAP (PEAP)
Pada PEAP terdapat beberapa turunannya lagi.
Gambar 18-6 - PEAP
Pada AAA server terdapat digital sertifikat. Client memvalidasi server dengan sertifikat yang
dimiliki server. Server memvalidasi client dengan usernam/password. Sama-sama saling
meng-autentikasi dan melindungi client dari salah koneksi ke Rouge AP.
18.3.3.2 EAP-Transport Layer Security (EAP-TLS)
Client dan Server sama-sama memerlukan Digital Sertifikat untuk saling meng-autentikasi
dan validasi dirinya masing-masing.
60. ilham.my.id Page 60
19 Keys and Encryption
Jika menggunakan wifi public di cafe, biasanya koneksi antara client dan AP tidak
terenkripsi. Untuk lebih aman bisa menggunakan SSL/IPSec VPN (layer 2/3). Bisa mencegah
terjadinya Evesdropping.
Gambar 19-1 - Ilustrasi Koneksi di Cafe
Yang penting untuk di enkripsi adalah koneksi dari AP ke client melalui RF.
19.1 WEP (old and weak)
WEP menggunakan PSK (Pre Shared Key) untuk autentikasi dan enkripsi.
19.2 WPA (TKIP and optionally AES)
WPA (Wifi Protected Access) di rilis oleh Wi-Fi Alliance.
WPA menggunakan TKIP (Temporal Key Integrating Protocol). TKIP ini sendiri
menggunakan Initialization Vector (IV), untuk membuat enkripsi kuat.
WPA bisa menggunakan AES, tapi tidak harus. AES(Advanced Encryption Standard) adalah
algoritma enkripsi symmetrical.
19.3 802.11i / WPA2 (AES/CCMP)
Dirilis oleh IEEE. 802.11i dan WPA2 adalah sama.
Pada 802.11i, AES adalah keharusan untuk digunakan (mandatory) dan menggunakan CCMP
(Counter Chyper Mode Protocol), yang merupakan trik tambahan untuk IV. CCMP
meningkatkan kemanan enkripsi.
61. ilham.my.id Page 61
19.4 Enterprise vs Personal (Radius or not)
Pada Personal Environment, menggunakan PSK (pre shared key) yang dikonfigurasi di AP
dan client.
Pada Enterprise environment, menggunakan AAA server dengan protokol Radius.
19.5 PMK (session key) & PTK
Pada Enterprise, ketika client connect ke AP, AP akan meneruskan informasi ke AAA server.
Ketika server menyetujui koneksi tersebut, maka server tersebut akan membuat key unik
untuk setiap user, yang disimpan di AP dan client.
PMK adalah singkatan dari Pairwise Master Key. PMK atau session key dibuat oleh
AAA server ketika client berhasil di autentikasi. PMK akan disimpan di AP dan client. Setiap
user memiliki PMK yang unik.
PTK adalah singkatan dari Pairwise Transient Key. PTK adalah tambahan fitur yang
dilakukan oleh AP dan client. Menggunakan 4 way-handshake. AP dan client akan membuat
PTK dan digunakan untuk berbagai fungsi.
Gambar 19-2 - PMK dan PTK
Gambar 19-3 - Basic Topology Enterprise Environment
62. ilham.my.id Page 62
AP dan WLC boleh dibilang sebagai satu ke satuan, sebagai Authenticator.
19.6 Likely options:
WPA2 + AES
Pada Enterprise menggunakan AAA Server. Sedangkan di Personal menggukan PSK.
Best practice adalah menggunakan WPA2 + AES
WPA + AES (if all devices support it)
WPA + TKIP + AES (if all devices can support it)
Metode diatas sangat kompleks.
WPA + TKIP
Gambar 19-4 - Contoh Topologi pada Enterprise
Enkripsi akan terjadi dari client ke AP. Data dari AP akan di enkapsulasi dengan CAPWAP
ke WLC. Kemudian, WLC akan menggunakan protokol Radius untuk meneruskannya ke
AAA Server (disini menggukana ISE).
AP-Manager interface adalah interface untuk komunikasi antara WLC dan AP.
Dynamic interface adalah virtual interface yang bisa dibuat untuk di asosiasikan dengan
berbagai VLAN.
63. ilham.my.id Page 63
Shared secret antara AAA Server dengan WLC harus sama. Shared secret digunakan untuk
meng enkripsi username/password dari supplicant (client). Koneksi antara ISE dan Radius
tidak terenkripsi, kecuali usernam/password supplicant. Koneksi tersebut menggunakan UDP
1812.
Gambar 19-5 - Shared Secret antara WLC dan AAA Server
AAA Server bisa meng-override interface yang di config oleh WLC. Misalnya, menurut
WLC Bob berada di Vlan 20, sedangkan menurut AAA Server Bob berada di Vlan 30, AAA
Server bisa meng-override konfigurasi dari WLC.
64. ilham.my.id Page 64
20 No Supplicant, No Problem: Web Auth
20.1 Web authentication process
Ketika kita connect ke jaringan wifi publik, yang kita perlukan adalah SSID, sinyal, dan
credentials. Jaringan pada wifi publik tidak di enkripsi, jadi lebih baik menggunakan VPN.
Pada web autentikasi, ketika seorang client ingin connect ke wifi, terlebih dahulu client akan
mendapatkan ip add melalui DHCP dan DNS name. Kemudian ketika client ingin
mengunjungi sebuah website, maka client akan terlebih dahulu di alihkan ke sebuah halaman
untuk keperluan autentikasi.
Gambar 20-1 - Proses Web Autentikasi
20.2 Authentication options
Autentikasi bisa berupa username/password atau hanya menyetujui ‘agree n terms’ saja.
Client akan diahlikan ke alamat virtual ip address pada DHCP.
Autentikasi juga bisa berdasarkan username/password pada Radius Server atau LDAP
(Lightweight Directory Access Protocol) Server.
Seteleh client terautentikasi, maka WLC bisa di setting untuk mengalihkan halaman ke
sebuah website tertentu, misalnya website hotel tersebut. Halaman web page untuk
autentikasi bisa dari internal WLC, template dari Cisco.com, atau halaman eksternal dari
server lain.
65. ilham.my.id Page 65
Gambar 20-2 - Opsi Autentikasi
20.3 User Experience
Client hanya memerlukan SSID dan sinyal. Mereka associate ke SSID tersebut, mendapatkan
IP via DHCP berikut dengan DNS name. Kemudian client akan dialihkan ke sebuah halaman.
Setelah mereka melakukan perintah yang ada di halaman tersebut, mereka bisa mengakses
Internet seperti biasa.
Pada web autentikasi, Layer 2 security adalah None. Jadi data tidak akan di enkripsi sama
sekali. Yang di perlukan pada web autentikasi adalah layer 3 security. Pada web autentikasi
kita memiliki beberapa opsi bagaimana user akan di autentikasi; bisa melalui local database,
radius server, atau LDAP server.
Gambar 20-3 - Cara men setting LDAP server
66. ilham.my.id Page 66
Gambar 20-4 - Opsi Web Autentikasi pada WLC
Management via Wireless adalah kemampuan client untuk me-manage WLC via jaringan
wireless. Secara default fitur ini di disable, namun bisa di enable.
Gambar 20-5 - Management via Wireless
67. ilham.my.id Page 67
Gambar 20-6 - Ilustrasi Management via Wireless
Kalau client connect ke AP_1 dan ingin me-manage WLC_1, sedangkan di WLC_1 opsi
management via wireless tidak di aktifkan, maka client akan ditolak untuk manage WLC_1
via AP_1.
Jika WLC_2 terhubung dengan WLC_1, dan client ingin me-manage WLC_2, sedangkan di
WLC_2 fitur management via wireless tidak di aktifkan juga, maka client yang terhubung ke
AP_1 bisa melakukan hal tersebut (me-manage WLC_2). Hal ini dimungkinkan karena
WLC_2 tidak tahu kalau koneksi management tersebut datang dari wireless. Yang dia tahu
koneksi datang dari WLC_1.
68. ilham.my.id Page 68
21 Wireless Control System (WCS)
21.1 Features and version of WCS
WLC adalah produk Cisco yang digunakan untuk me-manage beberapa lightweight access
point (LAP).
WCS adalah sebuah produk Cisco yang digunakan untuk me-manage beberapa WLC
(controller). Sedangkan WCS Navigator digunakan untuk memanage banyak WCS Server.
Beberapa versi WCS berdasarkan lisensi:
Yang pertama adalah Base License, Lisensi biasa yang digunakan untuk memange beberapa
controller.
Kemudian Plus License, fitur yang ditambahkan adalah High Availability (HA) dan MSE
(Mobility Service Engine).
Lisensi yang terakhir adalah, Enterprise-Plus. Pada WCS Enterprise-Plus, fitur yang
ditambahkan adalah Navigator WCS. Jika menggunakan Navigator, kita bisa me-manage 30
ribu access point.
21.2 Getting around in the GUI
Pada alarm summary, panah merah adalah Critical, panah orange adalah Major, dan bulat
kuning adalah minor.
Gambar 21-1 - Alarm Summary
Jika kita ingin alarm summary lengkap, maka klik Panah Biru.
Rouge AP akan membuat minor alarm.
Untuk menambahkan controller, kita menuju ke Configure -> Controller
69. ilham.my.id Page 69
Gambar 21-2 - Menambahkan Controller
Telnet/SSH parameter di perlukan WCS untuk memanage WLC menggunakan protokol
tersebut. Telnet secara default di disable pada WLC, jadi kita harus mengaktifkannya.
Parameter ini diperlukan untuk mem-push template ke WLC. Template adalah sebuah
konfigurasi yang sejenis untuk beberapa controller atau access point. Jadi kita tidak perlu
melakukan pekerjaan yang berulang-ulang, untuk jenis pekerjaan yang sama.
SNMP parameters juga harus di setting dengan benar. Ketika WCS sukses me-manage WLC,
WCS akan menjadi SNMP Traps destination. Log WLC bisa dikirimkan ke WCS sebagai
SNAMP Traps, dan WCS akan bertindak sebagai SNMP Traps destination. WCS juga bisa
meminta request ke WLC.
Untuk melihat maps pada WCS, kita menuju Monitor -> Maps.
70. ilham.my.id Page 70
Gambar 21-3 - Ikon pada Maps WCS
Bagian atas adalah radio A/N (5 GHz) dan bagian bawah adalah radio B/G/N (2.4 GHz). Jika
merah, tandanya Major fault. Kuning adalah minor fault. Hijau adalah OK. Dan abu-abu
adalah radio administratively disabled.
Warna tanda panah akan cenderung untuk mengikuti fault yang paling parah. Misalnya atas
merah dan bawah kuning, maka panah akan bewarna merah. Jika ada tanda X di tengah ikon,
maka kedua radio di-disable. Jika X dibawah, makan radio 2.4 GHz di-disable
administratively.
21.3 Monitoring the Network
Untuk setting autentikasi user, kita menuju Administration -> AAA.
Radius adalah protokol yang digunakan untuk autentikasi user. TACACS+ adalah protokol
yang digunakan untuk autentikasi user admin devices.
Untuk generate reports, kita menuju Reports -> Report Launch Pad.
Untuk me-manage client, kita menuju Monitor -> Clients. Bisa juga dari homepage.
WLSE (Wireless LAN Solution Engine) adalah produk Cisco untuk me-manage Autonomous
AP. Di dalam WLSE juga ada fitur untuk meng-konversi Autonomous AP ke Lightweight
AP. Jadi kita tidak perlu konversi Autonomous AP ke LAP. WLSE saat ini sudah EoL (End
of Life).
Pengganti WLSE adalah CPI (Cisco Prime Infrastructure). CPI di prediksi juga akan
menggantikan WCS di masa depan.
72. ilham.my.id Page 72
22 Identifying and Solving Issues
Divide and conquer
WLC
AP
Client
Troubleshooting yang baik adalah dengan cara memilih-milah jenis perangkat yang
kemungkinan bermasalah, dimulai dari WLC, AP, dan kemudian Client.
22.1 Controller commands:
Show run-config commands
Show arp switch
Eping ip add -> testing control plane pada mobility domain
Mping ip add -> testing data plane pada mobility domain
Show ap summary
Show ap join stats summary all
Debug capwap
Debug dhcp
Debug dot11
Debug capwap events enable
Debug disable-all
Config ap tftp-downgrade
Show client summary
Show client detail mac_add
Jika vlan management di WLC di set vlan 10, maka pada switch akan di masukkan ke dalam
vlan 10.
73. ilham.my.id Page 73
Jika pada switch, native vlan pada 10, maka tagging pada management interface WLC di set
ke vlan 0. Ketika data dari wlc yang tidak di tag dikirim ke switch, maka switch akan
memasukkan data tersebut ke vlan 10.
Gambar 22-1 - Native VLAN
Lihat lisensi WLC, country code harus sesuai dengan dimana kita tinggal, image AP (w7 atau
w8).
Ketika AP join ke network, WLC akan mengirim sertifikatnya dan AP kemudian akan
memvalidasinya. Dan setelah itu, AP juga akan mengirim sertifikat untuk WLC, yang
kemudian akan di validasi oleh WLC.
MIC adalah singkatan Manufacture Installed Certificated.
WLC dan AP baru akan membuat setifikat sendiri, jika sertifikat yang valid belum di push.
Lihat juga compatible AP dengan WLC.
22.2 Aironet IE (Information Element)
Ketika client menyebarkan probe request dan AP membalas dengan probe response, jika
client memiliki CCX (Cisco Compatible Extension) maka client bisa memilih AP mana yang
memiliki sinyal yang lebih baik. Bisa di-disable untuk melihat client yang tidak bisa connect.
22.3 MFP (Management Client Protection)
MFP juga bisa di-disable. MFP akan memvalidasi management frame di dalam 802.11. MFP
menambahkan message integrity chech ke dalam management frame. Menghindari rouge AP
untuk menggangu sinyal AP yang valid tersebut.
74. ilham.my.id Page 74
Disabled client mac add bisa juga menyebabkan client tidak bisa connect.
Kemudian bisa dengan mematikan shot preamble (Wireless -> b/g/n -> network).
Client tidak bisa men-support mandatory rates untuk sebuah radio.
Controller bisa mengirim logging/crash log ke syslog server (Management -> Logs ->
Config).
Controller akan mengirimkan logging berurutan dari atas ke bawah.
Gambar 22-2 - Urutan Logging
Jika yang dipilih adalah Errors, maka controller akan mengirim logging error, alert, critical,
dan emergency. Jika yang dipilih adalah debug, maka controller akan mengirimkan logging
debug, infarmational, dan ke bawah.
Jika controller crash, bisa dilihat juga information crash controller.
AP crash log juga ada.
75. ilham.my.id Page 75
23 Rogues
23.1 What is rouge AP?
Rouge AP adalah AP yang tidak dikenali oleh controller kita. Rouge AP.
Secara default, type rouge AP adalah unclassified. Namun bisa kita setting ke Friendly,
Malicious, atau custom. Kalau kita setting ke malicious, settingan tersebut tidak bisa di undo.
Update status untuk rouge AP adalah dua, yaitu alert (default) dan contain. Jika alert, maka
controller akan mengirimkan log ke syslog server yang telah kita setting.
Jika update status diubah menjadi contain, maka AP kita yang mendeteksi rouge AP tersebut
akan mengirimkan frame deautentikasi kepada client-client yang ingin connect ke AP
tersebut. Jadi client tidak bisa connect ke AP rouge tersebut. Contain rouge AP ini tidak
boleh dilakukan sembarangan, karena bisa jadi rouge AP yang di contain adalah AP milik
direktur utama.
WCS atau CPI (Cisco Prime Infra) bisa mendeteksi keberadaan rouge AP dengan
memasukkannya ke dalam maps. Jadi kita bisa tahu dimana letak rouge AP tersebut.
Gambar 23-1 - Contain Rouge AP
23.2 Radio Resource Management
Dynamic channels, rouge AP classification
Ada sebuah konsep yang dikenal dengan Event Drivent RRM (Radio Resource
Management).
Yang bisa dilakukan RRM adalah memilih channel untuk AP secara dinamik/otomatis, sesuai
dengan kualitas Radio Frekuensi. RRM juga bisa mengklasifikasi rouge AP secara dinamis.
Disamping itu, klasifikasi rouge AP juga bisa kita lakukan secara manual.
76. ilham.my.id Page 76
23.3 How to tame a Rouge?
Rouge AP bisa dijinakkan dengan contain, sebagaimana yang dijelaskan diatas.
23.4 Clean Air and AQI
Clean Air and AQI (air quality index): 1 – 100
Clear Air adalah kemampuan AP untuk melihat tingkat kualitas RF di tempat AP tersebut
berada. Ukurannya adalah dengan AQI (air quality index). AQI 100 adalah bagus, dan 1
adalah jelek.
Teknologi clean air sangat berhubungan dengan RRM.
Harus dilihat, apakah controller dan WLC support untuk clean air.
Clean air akan melihat apakah pada suatu RF banyak interferensi disana, jika iya maka
controller akan otomotas merubah channel AP ke channel yang lebih baik.
Kualitas sinyal diukur dengan severity level untuk interferensi (1 = bagus dan 100 = jelek).
AP bisa disetting, jika AQI melewati suatu angka, maka pindah channel AP tersebut.
Treshold-nya adalah 100 = High sensitivity, 50 = medium, low = 35.
Severity level dan AQI adalah ukurang yang berbeda. Namun severity level dapat
mempengaruhi nilai AQI.
Gambar 23-2 - Clean Air
77. ilham.my.id Page 77
23.5 wIPS (wireless intrusion prevention system)
wIPS digunakan untuk melihat signature di RF yang berbahaya, misalnya deautentikasi yang
dikeluarkan oleh AP lain. Menandakan AP lain mengenal AP kita sebagai rouge AP dan
meng-contain-nya.
Untuk menjalankan wIPS perlu dilihat apakah WLC dan AP support untuk fitur ini.
Kemudian AP harus dalam setting-an yang benar, seperti local dan monitor.
Gambar 23-3 - wIPS
78. ilham.my.id Page 78
24 Clients and BYOD (Bring Your Own Devices)
Windows, Mac OSX
Wireless Icon
Pada MAC, iconnya adalah AirPort.
Profile configuration
Pada windows dan MAC, kedua OS ini dapat mengingat SSID yang pernah kita connect.
Pada Apple, fitur ini bisa di non aktifkan. Kelemahan dari fitur mengingat ini adalah
keamanan yang kurang, karena orang bisa membuat SSID yang serupa dan laptop kita akan
otomatis connect ke SSID tersebut. Padahal SSID tersebut berasal dari Rouge AP.
Gambar 24-1 - Icon pada Windows
Icon 3 komputer adalah adhoc mode. Garis 5 bar adalah infrastructure mode. Sedangkan
tanda bintang bewarna orange adalah jaringan tersebut tidak memiliki autentikasi dan
enkripsi.
79. ilham.my.id Page 79
Gambar 24-2 - Wifi pada MAC
Pada Mac, tanda kunci menandakan SSID ada autentikasi dan enkripsi. Yang tidak ada tanda
kunci adalah sebaliknya.
Gambar 24-3 - Detail SSID
80. ilham.my.id Page 80
24.1 Modular AnyConnect
SSL, Ipsec, 802.1x
Modules include:
Network Access Manager (NAM)
Diagnostic AnyConnect Reporting Tool (DART) -> Untuk troubleshooting
VPN, Posture, Telemetry, Web Security
Any connect dapat di instal per modul dan modul yang tidak perlu, boleh tidak di instal.
Modul pertama yang harus di instal adalah NAM.
AnyConnect juga mempunyai fitur supplicant 802.1x.
Lisensi produk ini biasanya di dapatkan jika kita membeli produk Cisco, misalnya ASA
Firewall.
Apple IOS and Android
Smartphone biasanya tidak support untuk connect ke jaringan WiFi yang lebar pitanya 40
MHz, dalam hal ini 802.11n, karena dapat menguras tenaga baterai smartphone.
Harus di cek juga handheld devices yang support untuk kedua radio (2.4 dan 5 GHz).
iPhone 4 hanya 2.4 GHz. iPad v1 ke atas dan iPhone 5 keatas support 2.4 GHz dan 5GHz.