Switching & Routning flashcards
Start sekvens på en switch
Först: POST som lagras i ROM
Andra: Bootloader som lagras i ROM
Tredje: Bootloader Initierar CPU
Fjärde: Boot loader initierar Filsystemet på flashminnet
Femte: Cisco IOS - flash minnet.
Store-and-Forward
Tar emot hela framen och kollar checksum innan den skickar ut, krävs vid asymmetrisk switching och QoS.
Cut-Through
Direkt när framen tas emot skickas den ut enligt framens destinations adress.
Fragment-free switching
Kompromiss där man först läser in 64 bytes innan man skickar ut framen.
Kollisions domän
Om data skickas samtidigt från enheter i samma kollisions domän så blir det en kollisions domän.
Hub är problematisk tack vare kollisions domäner, på switchar så är var port en egen kollisions domän, där av undviker vi kollisioner. Samt genom att använda oss av Full-duplex istället för halv-duplex
Broadcast Domän
Routern är gränsen för nätverkets broadcast domäner.
Antalet portar på routern bestämmer hur många broadcast domäner som finns på nätverket.
Hur klassificerar man ett nätverk?
Små nätverk: 0-200 enheter
Medel stora nätverk: 200-1000 enheter
Stora nätverk: över 1000 enheter.
Stockning i stora nätverk
För att motverka stockning så bör man använda:
-Hög bandbredd
-Snabb intern switching kapacitet (bakplan)
-Stor buffer för köer
Tre lagers modellen
Core Layer
Distribution Layer
Access Layer
Tre lagers modellen är ett bra exempel på hur man bygger Skalbara nätverk
Core Layer
Backbone
Ansvarar för att flytta trafik så snabbt som möjligt mellan olika delar av nätverket
Distribution Layer
Ansvarar för att aggregera broadcast domäner (L2) och även routingdomäner (L3)
Ökad tillgänglighet via redundans
Access Layer
Början och slutet på ett nätverk där trafik kommer in eller ut
Används även som anslutning för end devices och accesspoints.
VLAN
Virtual Local Area Network
Det är en logisk uppdelning av fysiska nätverk.
VLAN protokoll
IEEE 802.1q (dotOneQ)
Hur identifieras VLAN?
Genom VLAN-ID, t.ex. VLAN 20
Default SVI på switchar är vlan1
VLAN delas även upp i subnät.
Dynamiska VLAN
VMPS (VLAN Management Policy Server)
Automatiskt tilldelad VLAN beroende på MAC adress.
Fördelar med VLAN
Ökad säkerhet
Minskad kostnad, färre enheter.
Ökad prestanda
Trunk
Trunk är en länk mellan nätverks enheter som transporterar flera VLAN.
Protokoll som oftast används i trunk är dotOneQ
Trafik på en trunk-port går alltid taggat.
VLAN header
Mellan src MAC och type/length på headern i VLAN så läggs där till en TAG.
Taggen innehåller:
-Type = protokoll, dotOneQ
-pri = VLAN-prioritet
-CFI = Prioritet för trafiken
-VID = VLAN ID
Access-port
Vanliga portar på en switch kallas för Access-port.
På en access-port så går trafiken otaggat.
Native VLAN
Native VLAN är ett vlan som inte taggas i en trunk. (untagged/otaggat)
är som default VLAN1 men rekommenderas att byta.
VLAN inställningar
Bör alltid speglas på alla switchar.
Dynamic Trunking Protocol
DTP förhandlar om en port ska vara trunk eller inte.
Static trunk
Switchport mode trunk - för på
Switchport mode nonegotiate - för av
Dynamic trunk
Switchport mode dynamic auto
Access-port conf.
switchport mode access
switchport access vlan 10,20,30
vlan-frame
från dator till switch = otaggat
från switch till switch(trunk) = taggat med vlan ID
från switch till dator = otaggad
VLAN i HP
istället för trunk så använder man sig utav untagged och tagged
SVI
Ett logiskt interface i ett VLAN
Rensa VLAN conf
VLAN sparas i en databas.
för att radera configuration av VLAN måste man skriva:
del vlan.dat
databasen sparas i Flash-minnet.
Vad gör en router?
Tillåter kommunikation mellan nätverk via en routingtabell
Agerar default gateway
Använder sin routingtabell för att hitta bästa vägen till ett nätverk
Vad har en router
-CPU
-OS
-Minne och lagring
Routerns minnen
OS, Running conf, routing tabell sparas i RAM
Startup-conf sparas i NVRAM
IOS sparas i flash
POST sparas i ROM
Forwarding
CPU innehåller routingtabellen och styr ingress och egress, Data kommer från ingress och går igenom Data Plane och därifrån till Control Plane (CPU) och sen tillbaks till Data Plane och slutgiltiges till egress
Tre snabba sätt för Paket Forwarding
Process switching
Fast switching
Cisco Express Forwarding
Process switching
Varje paket går genom routerns Control Plane
Metoden är väldigt långsam.
används i SSH
Fast Switching
Första paketet process-switchas.
Routern lagrar beslutet i en Fast Forward Cache.
Följande paket skickas till samma destination utan att gå genom Control Plane.
Cisco Express Forwarding
Skapar en FIB (Forwarding Information Base) och en Adjacency Table.
Metoden gör att alla paket switchas snabbt enligt en cache utan att belasta CPU
Cisco’s egna. (“Cisco är alltid bäst” ~ sonny 2022)
Default Gateway
Gateway of last resort
Används för att kunna nå och nås av andra nätverk
Routerns portar
Lan-portar (L3)
Console port (configuration)
WAN-port
WAN-interface
Används för DLS, Fiber, Seriellt interface
Routing
Vid besök av hemsida så genereras det en HTTP GET.
Sedan paketeras det på L4 med port 80 eller 443
sedan vidare till L3 och L2 där följande händer:
L3 - SRC + DEST IP address
L2 - MAC address
Switchen bestämmer vad paketet ska skickas.
Sedan tar routern emot och skickar vidare ut på internet tills det når hemsidans webbserver.
BGP
Border Gateway Protocol
Används efter att paketet har lämnat Default gateway
Routing tabellen
Directly-connected routes
Remote routes
Default Routes
Directly-Connected Routes
Routes som routern har lärt sig på grund av de nät som routern är direkt kopplad till. Alla portar på en router är ett nytt nätverk.
Remote Routes
Statiskt eller dynamiskt tillagda för att hitta en väg till ett specifikt nätverk som inte är directly-connected
Default Routes
Precis som datorer kan även routrar ha en default gateway som de skickar all trafik som de inte hittar en mer specifik route till i sin tabell.
Hur hittar routern bästa vägen via sin routing tabell?
Prefix > AD > Metric
Först går den på prefixet som matchar bäst (IP adressen)
Sedan går den efter Administrativ Distans (AD)
Statisk routing har AD 1, vilket är lägre än OSPF som är 110, då vinner Statisk routing då den med lägst AD vinner.
Till sist går den efter Metric (kostnad):
Antal hopp (RIP)
Bandwidth (OSPF)
Bandwidth, belastning, tillförlitlighet (EIGRP)
Statisk routing
Bygger på att nätverks Admin manuellt lägger till vägen till olika nätverk
Dynamisk routing
Använder ett protokoll för att dynamiskt lära sig och uppdatera nya nätverk.
Inter-VLAN routing
Legacy Inter-VLAN routing
Router-on-a-stick
Lager 3-switching
Legacy Inter-VLAN routing
Varje VLAN har ett eget fysiskt interface på routern.
Router-on-a-stick
Bygger på subinterface på routern som är kopplade till VLAN, t.ex.
R1(config-if)# interface g0/0.10
Kräver någon form av encapsulation så som dot1q samt vilket VLAN subinterfacet tillhör.
Kräver bara 1 fysisk port för flera VLAN, bygger på trunk för att fungera.
Lager 3-switching
Den vanligaste och modernaste varianten.
Även känd som Multi Layer Switch.
Det är en switch med routing-funktionalitet.
Har även möjlighet för flera SVI.
för att aktivera routing-funktionerna så skriver man:
ip routing
L2 och L3 portar
L2 = Switchade portar
L3 = Routade portar
För att konfigurera en L2 port till en L3 port på en L3 switch så skriver man:
no switchport
Routing
Routing är en process som gör att enheter på olika nätverk kan kommunicera
Fördelar med statisk routing
Ökad säkerhet.
Statiska routes använder mindre prestanda.
Vägen som routern använder är alltid tydlig.
Enkel att konfigurera.
Nackdelar med statisk routing
Stor risk för L8-fel.
Vid ändringar måste om konfiguration göras.
Inte skalbart om nätverket växer.
Olika typer av routes
Standard static route
Default static route
Floating static route
Summary static route
När ska man använda statiska routes?
När nätverket kommer se likadant ut, utan några större ändringar under en långtid.
I ett Stub nätverk då det bara finns en väg ut och en väg in.
Default routes behövs i alla nät som ska nå internet. (quad-zero)
Default route config
R1(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.1
Quad-zero för ip adress följt av Quad-zero för nätmask sedan next-hop adressen.
Floating static route
En floating static route är en route där vi modifierar AD värdet på slutet av kommandot.
192.168.10.0 255.255.255.0 10.0.0.1 80
Summary Static Route
Används i större nätverk för att summera flera nätverk bakom en och samma route.
Nackdelar med Dynamisk routing
Mer komplex att implementera.
Mindre säkert
Tar prestanda från CPU,RAM och Nätverket.
Fördelar med dynamisk routing
Smidigare i stora nätverk.
Inte beroende av en viss nätverks storlek, fungerar både i stora och små nätverk.
Anpassar sig automatiskt till ändringar i nätverket.
Syfte med Routingprotokoll
Hitta nya nätverk.
Upprätthålla korrekt och uppdaterad information om nätverket.
Välja bästa vägen till nätverket.
Hitta nya vägar ifall av ändringar eller avbrott.
RIP
Routing Information Protocol.
Ett av de första routing protokollen.
Baserar sin metric på antal router hopp.
Baserat på timers (Uppdateringar per tidsintervall)
EIGRP
Enhanced Interior Gateway Routing Protocol.
Baserar sin metric på bandbredd och delay.
Cisco-proprietär protokoll.
OSPF
Open Shortest Path First
Öppen standard
Baserar sin metric på bandbredd.
Reagerar snabbt på ändringar i nätverket.
Resurskrävande.
BGP
Border Gateway Protocol.
Används mellan olika ISP.
Använder inte metric, baseras istället på en bestämd policy.
Convergence
När alla routrar i ett nätverk har all information om det övriga nätverket.
Convergence time är hur långtid det tar för routingprotokollet att nå Convergence.
DV
Distance Vector-protokoll
Distans, antal hopp eller någon annan form av metric.
Vektor, en riktning t.ex. next-hop.
Egenskaper för DV-protokoll
Kommunicerar endast med grannen.
Hela routing tabellen skickas vid uppdateringar.
Uppdateringar via Broadcast/multicast.
Fördelar/nackdelar med DV
Fördelar:
-Enkel implementation
-Relativt lite resurser behövs.
Nackdelar:
-Långsam Convergence
-Ineffektivt i väldigt stora nätverk.
-Routing loopar kan förekomma.
Routing protokoll (DV)
RIP är ett vanligt routing protokoll då den baserar sin metric på next-hop.
RIP använder broadcast eller multicast.
Vid förändrade routes skickas Triggered Update, som innehåller förändrade routes.
LS-protokoll
Link-state protocol
Alla routrar har en bild av nätverket, inte bara till nästa granne.
LS konvergerar snabbare än DV, men kräver mer CPU och minne.
SPF är ett vanligt LS protokoll.
Redundans
Det finns flera vägar till samma ställe.
t.ex. dubbla kablar till samma switch/router
Problem med Redundans
Broadcast-stormar
Redundanta frames
Instabil CAM-tabell
Vad är redundanta frames?
När destinationen på nätverket får dubbla frames.
STP
Spanning-tree protocol
Förhindrar loopar på L2 genom att blockera kommunikation på redundanta portar.
Conf.
S1(config)# spanning-tree mode rapid-pvst
Är som cisco-standard PVST.
Väljer automatiskt rätt väg till destinationen och skickar inte ut redundanta frames på switchar som inte behöver det.
BPDU
Bridge Protocol Data Unit
Skickas via frames och används av STP för att räkna ut vem som ska blir root-brygga.
Root-brygga
Den switch som har alla portar öppna samt lägst BID enligt BPDU.
Extended system ID
Är samma som VLAN.
Bridge Priority + Extended System ID = BID
Lägst bid blir root-brygga.
STP i 3 Lagers Modulen
I tre lagers modulen körs enbart STP mellan ALS och DLS, då DLS är root-brygga
Varianter av STP
Öppna standarder:
STP - IEEE 802.1D
RSTP - IEEE 802.1w
MSTP - IEEE 802.1s
Cisco-Standarder
PVST+
PVRST+
För att välja root-brygga
För att välja root-brygga måste du bestämma vilken switch som ska vara primary eller secondary.
S1(config)# spanning-tree VLAN 1 root primary
S2(config)# spanning-tree VLAN 1 root secondary
Edge-port
Är en port som inte är till för att ansluta till en annan switch.
PortFast
Stänger av vissa delar av STP-processen för att snabba upp öppning av porten
BPDU Guard
Blockerar BPDU-frames och stänger av porten om dessa kommer in.
EtherChannel
Används när man kör STP och portarna stängs av.
Ger oss full kapacitet i kablarna genom att slå ihop fysiska kablar till en logisk anslutning.
EtherChannel kallas för
I cisco:
- Port-channel
- Channel-group
- Link aggregation
- EtherChannel
I HP:
- Trunk
- Bridge-aggregation
- Link aggregation
Link aggregation
EtherChannel skapar en logisk förbindelse av flera fysiska kablar, som standard 8 per logisk förbindelse.
Det kan aldrig uppstå en loop i en logisk förbindelse.
Tre sätt att skapa en EtherChannel
PAgP
LACP
Statiskt/manuellt
PAgP
Port Aggregation Protocol
Det är Ciscos egna standard för förhandling av EtherChannel.
Tre lägen:
On: Channel member without negotiation.
Desirable: Actively asking if the other side can or will participate.
Auto: Passively waiting for the other side.
LACP
Link Aggregation Control Protocol
Öppen standard för förhandling av EtherChannel. Det är även den vanligaste standarden.
Tre lägen:
On: Channel member without negotiation
Active: Actively asking if the other side can or will participate.
Passive: Passively waiting for the other side.
Vad krävs för att EtherChannel ska fungera?
Samma länk hastighet
Samma duplex inställning
Samma VLAN-ID
om det är trunk krävs även samma “allowed VLAN”-inställning
Last balansering
EtherChannel kan last balansera med olika metoder;
src-mac / dst-mac /src-dst-mac är den vanligaste.
om trafiken går till samma MAC-adress t.ex. default gateway så använder man dst-ip istället för dst-mac.
DHCP
Dynamic Host Configuration Protocol
Hanterar dynamisk tilldelning av nätverkskonfiguration till klienter.
DHCP tilldelning
Statisk
Dynamisk
DHCP Port
UDP port 67 och 68
Från klienten: src port 68, dest. port 67.
Från servern: src port 67, dest. port 68.
Paket för DHCP
klienten skickar DHCPDISCOVER broadcast till servern.
Servern skickar en Unicast DHCPOFFER till klienten.
klienten skickar en DHCP REQUEST broadcast.
Servern skickar Unicast DHCP ACK
DHCP server
Kan konfigureras på L3-switchar och routrar, men i större företag så är det oftast en egen enhet
Vad gör en DHCP server?
Delar ut IPv4 och IPv6 adresser till klienter på nätverket.
Exkludera adresser för utdelning
Det här används om man har ett viss spann av IP adresser som man inte vill ge ut.
DHCP Relay
IP helper address
Skickar vidare UDP-broadcast till en viss ip-adress. Paketet som kommer till “relay” skickas vidare som unicast till DHCP-servern.
Använder GIADDR
GIADDR
Gateway IP Address
Används i DHCP Relay i DHCP-paket för att “routa” via DHCP relay.
DHCP-servern använder också subnätet som GIADDR tillhör för att bestämma vilken adress som ska tilldelas.
APIPA
Automatic Private IP Addressing
Används på Windows datorer när DHCP servern misslyckats med att skapa ip adress för klienten.
Oftast pga. fel konfiguration.
169.254.0.1/16 är ett exempel på APIPA-adress.
Addressing IPv6
Med hjälp av SLAAC kan klienter få en global unicast address utan en DHCP-server.
Görs via Router Solicitation (RS) och Router Advertisement (RA)
Hur får klienter IPv6 adresser genom SLAAC?
Klienten skickar ut en RS
Routern svarar med RA
RA-meddelandet innehåller IPv6-prefix för nätverket.
Till slut så görs det en DAD (Duplicate Address Detection) för att se så att adressen är ledig.
Stateless DHCPv6
Klienter får adress av SLAAC, men övriga inställningar, t.ex. DNS sköts av DHCPv6
Stateful DHCPv6
SLAAC inaktiveras och DHCP-servern sköter all ip adressering
FHRP
First-Hop Redundancy
Ett protokoll som gör att flera routrar kan ha samma virtuella ip och MAC-adress.
Det tillåter andra routrar att ta över ifall huvud routern skulle sluta och fungera.
Olika FHRP protokoll
ICMP Router Discovery Protocol (IRDP)
Hot Standby Router Protocol (HSRP) - Cisco standard
Virtual Router Redundancy Protocol (VRRPv2) - Öppen standard
Gateway Load Balancing Protocol (GLBP) - Cisco standard, Last balansering.
HSRP Active & Standby
Active & Standby
Active: HSRP svarar på ARP med MAC-adressen för den virtuella routern.
Tar hand om paket som skickas till den virtuella routern.
Skickar Hello-paket.
Standby: Lyssnar på Hello-paket
Tar emot paket till den virtuella routern om den inte får Hello-paket.
Tar över trafiken om den aktiva routern slutar fungera.
Olika HSRP lägen
- Initial: Precis vid en ändring, eller när ett interface blir tillgängligt
- Learn: Virtuell IP är inte satt, och inget hello-paket har inkommit
- Listen: Virtuell IP är satt, routern är varken standby eller active
- Speak: Routern skickar Hello-paket
- Standby: Routern är backup-router i HSRP
- Active: routern är aktiv HSRP-router
Parametrar i HSRP
Prioriteten bestämmer vilken router bli Active och vilken som blir Standby.
Högst prioritet vinner.
om en standby router blir Active så kommer den förbli det även fast huvud router fungerar igen. Detta löses genom att sätta “preemption” på huvud routern.
GLBP
Gateway Load Balancing Protocol
GLBP är ett FHRP som gör att vi kan utnyttja hela bandbredden i våra routrar.
Användbart när vi t.ex. har två routrar med samma specifikationer och bandbredd.
VRRP
Öppen standard.
Master istället för Active
Backup istället för Standby
Preemption är igång som standard
Vanliga nätverksattacker
Distributed Denial of Service
Stöld/läckor av hemlig information
Skadlig kod (Malware)
Klassisk Endpoint Security
IPS (Intrusion Prevention System)
Brandvägg (firewall)
Antivirus program.
Cisco Endpoint Security
AMP (Advanced Malware Protection)
ESA (Email Security Appliance)
WSA (Web Security Appliance)
AAA
Authentication
Authorization
Accounting
IEEE 802.1x
Säkra portar i lokala nätverk och tillåter oss att använda AAA på det lokala nätverket.
Tre olika roller:
Supplicant (t.ex. en klient)
Authenticator (t.ex. en Switch)
Authentication server (t.ex. en AAA-server som kör RADIUS protokollet)
Attacker mot L2
MAC-tabell attacker
VLAN-attacker
DHCP-attacker
ARP-attacker
Address spoofing-attacker
STP-attacker
Attack mot CAM
Felaktiga MAC-adresser läggs till i CAM-tabellen.
Ett attack verktyg som används för sådan attack är “macof”
När tabellen är full skickas frames ut på alla portar i samma VLAN.
Port Security
Ett sätt att skydda sig mot CAM-tabell attacker är genom Port Security.
Port Security kan användas för att begränsa antalet source-MAC som tillåts på en port.
Som standard tillåts endast 1 MAC åt gången, detta går att öka med hjälp av ett kommando.
Port Security Aging
Port Security Aging är den tid som en MAC-adress sparas.
Indelat i två delar; Absolute och Inactivity.
Port Security Violations
Vid en överträdelse finns tre olika violations:
Protect
Minst säker, vid en överträdelse slängs frames från den okända MAC-adressen.
Ingen notifikation skickas till Admin.
Restrict
Samma som Protect med tillägget att en notifikation skickas till Admin.
Shutdown
Standardläge och även det säkraste.
Vid överträdelse blir porten Error-Disabled.
Switch Spoofing Attack
Utnyttjar DTP mot en client port.
Lösning: switchport nonegotiate
Double tagging attack
Utnyttjar Native VLAN:
1. Klienten sitter på samma VLAN som Native VLAN och skickar ut ett paket med dubbla VLAN-taggar.
- Switchen tar sedan bort första taggen (Native)
- Klienten har tillgång till valfritt VLAN.
Lösning: Använd ett separat VLAN för Native VLAN.
Best Practice VLAN säkerhet
Skapa ett “black-hole VLAN” för oanvända portar.
Stäng av portar som är oanvända (shutdown)
Ha ett separat MGMT VLAN.
Ha ett separat Native VLAN.
använd aldrig DTP för att förhandla om trunk. Stäng även av det på Access-portar.
DHCP Starvation
DHCP-serverns scope fylls upp av skräp utlåningar.
Räknas som DoS-attack.
Lösning: Port-Security
DHCP Spoofing
Någon sätter upp en otillåten DHCP server i nätverket.
Genom den kan man då ändra Default Gateway, DNS-server, IP-adresser m.m.
Lösning: DHCP Snooping
DHCP Snooping
Portar ställs i Trusted och Untrusted.
ARP Spoofing/poisoning
Man-in-the-middle attack.
Bygger på att man spoofar en Gratuitous ARP där man säger att MAC-adressen för t.ex. Default Gateway har ändrats.
Detta gör sen i sin tur att all trafik går till hackerns dator istället.
Manipulation av STP-processen
Genom att skicka egen byggda BPDU:er kan en hacker bli root brygga i nätverket.
Lösning: BPDU guard.
Vad är WLAN?
Wireless Local Area Network.
Det vanligaste sättet att koppla upp enheter i ett modernt nätverk.
Kallas även för Wi-Fi eller IEEE 802.11
Sköter sin trafik genom en AP (Access Point)
Radiofrekvenser
Trådlösa enheter använder elektromagnetiska radiovågor för att kommunicera.
Inom WLAN så använder vi oss utav 2.4GHz och 5GHz.
Vad krävs för att WLAN kommunikation ska fungera?
Trådlöst NIC
en eller flera AP (Access Point)
Switch
Router med Gateway funktion
Eventuell kontrollenhet för att hantera AP.
Eventuell repeater om signalen inte når.
Trådlös Hemma Router
ISR Router
inbyggd:
AP, Switch, Router.
En trådlös router skickar ut information genom Beacons om nätverket via ett SSID (Service set Identifier) som identifierar nätverket.
Wireless Access Point
Autonomous AP
- är självständiga enheter som konfigureras enskilt, används oftast om man har ett fåtal APs.
Controller-based AP
-sköts istället via en central enhet (WLC)
-Används på större företag.
-Kommunikationen mellan AP och WLC sköts via ett utav följande protokoll:
-LWAPP (Legacy)
-CAPWAP (standard)
Antenner
Omnidirectional:
Ger jämn täckning åt alla håll.
Directional:
Fokuserar signalen åt ett specifikt håll.
WLAN-Metoder
AD Hoc-läge
Används för att koppla ihop två trådlösa enheter utan någon central enhet (AP)
Infrastructure-läge
Används när alla enheter ansluter via en annan enhet (AP) och sedan ansluter via nätverket, t.ex. via en switch.
Tethering-läge
Används när en mobiltelefon skapar en Hotspot som delar sitt nätverk med en annan enhet.
Infrastructure-läge
Det vanligaste läget att använda sig utav.
Använder två byggstenar:
Basic Service Set (BSS)
Extended Service Set (ESS)
BSS
Basic Service Set
En AP bygger upp ett BSS, denna har ett Basic Service Area (BSA) där den har signal styrka.
En klient måste vara inom BSA för att komma åt nätverket.
Ett BSS identifieras genom accesspunktens MAC-adress som är ett Basic Service Set Identifier (BSSID)
ESS
Extended Service Set
När en enskild BSS inte täcker tillräckligt med yta kan man slå ihop flera BSS till ett gemensamt distributionssystem till ett ESS.
Ett ESS identifieras med SSID, och varje enskilt BSS med ett BSSID.
Detta gör att klienterna i olika BSA kan kommunicera inom ett Extended Service Area (ESA), det blir också “sömnlös” anslutning mellan dessa.
802.11-framen
Liknar Ethernet framen förutom att där är 4 nya adresser.
1. Mottagaradress, MAC till AP
2. Transmitter Address, Klientens MAC
3. Destinations Adress, Gateway
4. Används för Ad hoc
CSMA/CA
Använder sig utav liknande metoder som CSMA/CD, fast istället använder den sig utav ACK för att motverka kollisioner.
Används främst i trådlösa nätverk.
Vad krävs för att ansluta till en AP?
SSID
Password
Network Mode
Security Mode
Channel Setting (2.4GHz eller 5GHz)
Hur kan en klient upptäcka en AP?
- Passive
Klienten väntar på Beacons som skickas som broadcast från AP - Active
Klienten måste manuellt fylla i SSID och standarder som stöds.
CAPWAP
Control and Provisioning of Wireless Access Points
CAPWAP är protokollet som används för kommunikation mellan AP och WLC.
Används för att enkapsulera trafik mellan AP och WLC.
Trafik krypteras med hjälp av DTLS.
Kontroll trafik är som standard krypterad och Datatrafik är som standard okrypterad.
Split MAC Architecture
används i CAPWAP för att WLC och AP ska sköta olika saker.
AP sköter Beacons, bekräftelse, om skickningar och kryptering.
WLC sköter autentisering, roaming, konvertering till trådad media.
DSSS
Direct-Sequence Spread Spectrum
Sprider signalen över ett stort frekvensband.
FHSS
Frequency-Hopping Spread Spectrum
Hoppar mellan olika frekvenser, t.ex. Bluetooth.
OFDM
Orthogonal Frequency-Division Multiplexing
Skapar subkanaler, t.ex. 802.11a/g/n/ac/ax
Vilken kanal ska användas?
Best Practice är att inte använda överlappande kanaler.
2.4 GHz-kanaler
i Europa har vi 13 kanaler och i Nord Amerika är där 11.
För att minska överlapp kan man använda t.ex. 1,6,11.
5 GHz-kanaler
Standard på 5GHz är 24 kanaler med olika frekvens spann.
Detta leder till flera icke-överlappande kanaler som går att använda.
Nackdel: Kortare räckvidd.
Fördel: Ökad bandbredd.
Planering för WLAN
Sprid ut APs för att undvika överlappning
Passive site survey, Heat maps.
Hot mot trådlösa nätverk
Avlyssning
Inkräktare
DoS-attacker
Rogue APs
Skyddsåtgärder för trådlösa nätverk
SSID Cloaking
Innebär att man inte skickar ut Beacons med SSID
MAC adressfiltering
Är ett sätt att filtrera MAC-adresser.
Olika former av Autentisering på Trådlösa nätverk
Open System Authentication
Kräver inget lösenord och är öppet för alla.
Shared Key Authentication
Kräver en delad nyckel, autentisering och kryptering sköts av standarder som WPA2
Wireless Mesh
Istället för att koppla kabel till varje AP bygger Wireless Mesh på att dessa sätts upp i ett stort kluster.
