Beberapa hal yang harus diketahui sebagai wireless engineer

Beberapa hal yang harus diketahui untuk seorang wireless engineer (beserta info satuannya):

1. Fade margin (x dB)
2. RSSI (x dBm)
3. Receive sensitivity (-x dBm)
4. SNR (+x dB)
5. Throughput (x Mbps)
6. SOM = Link budget (dBm)
7. Free Path Loss (-dB)
8. Inverse square law
9. dB, dBm, dBi dan dBd

Algoritma Troubleshooting AP ga Join ke WLC

Algoritma troubleshooting:
1. Cari Mac-address AP yang tidak join. Jika sudah memilikinya tidak usah lakukan langkah ini.
2. Setelah mac-address AP didapatkan, ketik show ap join stats detailed AP_Mac_Address
3. Cari alasan kenapa AP tidak bisa join. Dengan mempelajari output dari command langkah 3. Output ini terbagi atas 3 fase: discovery phase, join phase, configuration phase.

Command WLC yang digunakan:
1. Show ap join stats summary [all | AP_Mac_Address]

2.Show ap join stats detailed AP_Mac_Address

Beberapa alasan yang menyebabkan Akses Poin gagal join WLC:

1. Waktu/time/clock yang berjalan di WLC di luar kevalidan sertifikat yang tersimpan di dalam akses poin.

2. AP mengirim request paket menggunakan VLAN yang berbeda.

3. SSC (self-signed certificate) di akses poin tidak ditemukan di lokal WLC.

Mau memecahkan masalah wireless LAN

Tes kemampuan dulu cuy. Misalkan kamu dihadapkan dengan masalah dibawah ini, kamu dah bisa membantu untuk troubleshooting-nya ga?


Masalah #1:
Perangkat Tuti tidak bisa melihat SSID A. Apakah anda bisa membantunya?

Masalah #2:
Perangkat Tuti bisa melihat SSID A. Tapi tidak bisa join kedalamnya. Apakah anda bisa membantunya?

Masalah #3:
Perangkat Tuti bisa melihat dan join ke SSID A. Tapi ia tidak bisa mengirim data. Apakah anda bisa membantunya?

Kalau sudah tahu jawaban dari masalah diatas berarti kamu sudah tidak perlu membaca artikel dibawah ini.

Untuk menjawab pertanyaan - pertanyaan diatas, kamu harus berkutat diseputar:
Frekuensi, Channel, datarate, power/amplitude/level strength, Security type (tipe authentication, tipe enkripsi).

Tips:
Gue pernah pengalaman, gue baru ganti password login suatu SSID. Nama SSID tidak berubah.
Selanjutnya, setelah gue lakukan pergantian password gue gagal autentikasi terus, walaupun gue pastiin pass yang gue masukin bener.
Solusinye: coba remove profile wireless yang bermasalah itu di laptop kamu. Setelah kamu remove, tu SSID akan muncul lagi otomatis, selanjutnya kamu bisa pasti berhasil login. Beres masalah kamu.

VTP from dumb

Contoh 1 (no vtp password):
Tujuan: apakah 2 buah switch (R1 dan R2) dengan VTP domain = null, VTP password = tidak ada dan configuration register yang berbeda bisa saling berkonvergensi?

R1 = VTP mode server
R1 = domain <null>
R1 = configuration register = 1 = tambah VLAN 10
//R1 sudah tidak default setting switch out-of-box

R2 = VTP mode server
R2 = domain <null>
R2 = configuration register = 0
//R2 masih menggunakan setting-an default switch out-of-box

Kesimpulan: antara R1 dan R2 tidak terjadi perubahan apa-apa / tidak berkonvergensi dikarenakan domain mereka sama-sama <null>


Perubahan mode dari client ke server atau sebaliknya tidak mempengaruhi configuration revision suatu switch.

Perubahan mode dari client ke transparent atau dari server ke transparent mereset configuration revision. Nama domain tidak di-reset alias tetap.

Untuk switch dengan domain null dan switch domain cisco, domain null akan mengalah dan mengikuti isi dari vlan table switch domain cisco dan mengikuti nilai configuration registernya.

Selebihnya sama, configuration register yang lebih besar yang menang. Untuk jelasnya, alur komparasi antara VTP update inputan dan VTP database di suatu switch adalah sebagai berikut:
VTP mode and VTP domain and VTP password and Configuration register.

VTP mode: server, VTP domain sama, VTP password sama, Configuration Register lebih besar -> Terima list VLAN yang ditawarkan melalui VTP update -> Teruskan VTP update ke switch lain

VTP mode: server, VTP domain beda, (kondisi yang lainnya tidak diperiksa) --> Tolak list VLAN yang ditawarkan melalui VTP update -> Teruskan VTP update ke switch lain

Dan seterusnya (tinggal di variasi-in)...

Etherchannel

Etherchannel
-=-=-=-=-=-=-

Etherchannel -> 2 physical links  --> 1 logical link = 1 logical interface = 1 port-channel interface.

Any commands that applied in a port-channel configuration mode apply to all physical links in that port-channel's channel group.

Contoh:
(config)# interface range fa0/1 - 2
(config-if-range)# channel-group 1 mode on
(config-if-range)# exit
(config)# interface port-channel 1
(config-if)# switchport mode trunk
(config-if)# exit
(config)# show run int fa0/1
--> hasil dari perintah diatas akan menunjukkan bahwa interface fa0/1 telah berubah menjadi switchport mode trunk (sesuai dengan hukum 1 :), command yang diaplikasikan di suatu interface port-channel akan diaplikasikan juga kedalam semua fisikal link yang termasuk kedalam channel-group dari interface port-channel itu)

Frequency

Sifat frekuensi terhadap bandwidth, data rates, range dan terhadap solid objects:

• Frequency tinggi --> bandwidth tinggi --> data rates tinggi --> less range --> subject to greater attenuation from solid objects.
• Frequency yang lebih rendah --> limited bandwidth --> lower data rates --> better range --> less attenuation from solid objects

3 band frequency yang digolongkan sebagai ISM (Medical bands di United States (US). Band ini adalah free license:
1. 900 Mhz
2. 2.4 Ghz
3. 5 Ghz (UNII 1, UNII 2, UNII 3)

802.11 Modulation techniques

Ada beberapa tehnik modulasi.
Tehnik modulasi digunakan untuk mengenkode data yang ingin ditransmisikan / dikirim ke dalam sinyal RF.
Tehnik modulasi digunakan untuk meningkatkan probabilitas penerima menerima data dengan baik. Jadi mengurangi proses retransmisi. Pengurangan proses retransmisi akan meningkatkan throughput.

Teknik modulasi bervariasi dalam kompleksitasnya dan ketahanannya terhadap gangguan propagasi.

Free Space Path Loss

Free Space Path Loss
============
A simpler way to estimate free space path loss is called the 6dB rule.
The 6dB rule state that doubling the distance will result in a loss of amplitude of 6 dB.

Berikut nilai loss (- dB) terhadap fungsi jarak 2 buah antena:
200 m = -86 dB
100 m = -80 dB
50m = -74 dB
25m =  -68 dB
12.5 m =  -62 dB
6.25 m =  -56 dB
3.125 m = -50 dB
1.5625 m = -44 dB
0.78125 m = - 38 dB
0.39062 m = - 32 dB

Data di atas jika diperhatikan loss bukanlah sesuatu yang linear terhadap jarak tetapi bersifat logaritmik terhadap jarak.

Nilai-nilai loss diatas bisa dihitung juga dengan menggunakan rumus Free Space Path Loss berikut:

LP = 32.4 + (20log10F) + (20log10D)
LP = path loss in dB
F = frequency in MHz
D = distance in kilometers between antennas

Tapi untuk memudahkan, kita bisa menggunakan rule 6dB seperti diawal artikel sudah dijelaskan.

Artikel ini disadur dari: Certified Wireless Network Administrator Study Guide karya David D. Coleman dan David A. Westcott.

Troubleshooting Why an AP Does Not Join a Controller

Diambil dari Troubleshooting Technotes Cisco.

Langkah membuka Technotes ini -->

Klik http://www.cisco.com/en/US/products/ps6366/prod_tech_notes_list.html kemudian drag mouse anda ke bawah hingga muncul tulisan Basic Configuration / Troubleshooting. Kemudian klik tulisan ini dibawah tulisan yang tadi: Lightweight AP (LAP) Registration to a Wireless LAN Controller (WLC).

Oke, start. Berikut saripatinya:
Command yang akan digunakan pada proses troubleshooting ini adalah show ap join stats melalui command CLI dan Monitor > Statistics > AP Joins untuk membukanya melalui GUI. Output dari command ini akan dianalisa untuk melihat sumber masalah.

Akses poin yang digunakan adalah Lightweight Access Poin. Untuk seterusnya pada artikel ini akan disebut akses poin.

Dan, ada Wireless LAN Controller tentunya, yang selanjutnya akan kita sebut WLC.

Oke first, masih ingat kan proses asosiasi akses poin (Lightweigh Access Point) ke WLC? 
Proses itu berbeda-beda. Contoh untuk protokol CAPWAP prosesnya --> Discovery phase, DTLS Handshake phase, Join Phase, Configuration Phase.
Untuk protokol LWAPP prosesnya --> Discovery phase, Join Phase dan Configuration phase (DTLS Handshake Phase tidak diikutsertakan; karena disinilah letak perbedaan antara protokol CAPWAP dan protokol LWAPP)

So? Ada konsep fase (phase) ya di dalam proses asosiasi akses poin ini ke WLC?
Yup, betul! Fase itu di mulai / start dari fase Discovery phase dan berakhir pada fase Configuration phase. WLC ditugaskan untuk men-tracking / meng-update jalannya proses asosiasi suatu akses poin ini dari fase start hingga ke fase lain ini dan menyimpan informasi-informasi ini di dalam sistemnya dengan baik. 


Untuk memanggil output dari command ini, ketik perintah show ap join stats dan jika menggunakan GUI, klik Monitor > Statistics > AP Join.

Ok. What's the clue? Apa nih panduannya yang perlu kita ketahui mengenai informasi yang ditampilkan dari command CLI atau dari GUI ini?
Begini bro, setiap saat WLC menerima paket yang berjudul "Discovery Request" dari akses poin, si WLC akan mengupdate table statistiknya ini.

So, no discovery request received by the WLC, no update right?
Correct!

Hmm.. Untuk lebih memperjelas berikut aku tampilkan gambarnya GUI Monitor>Statistics>AP Join:

Tampilan GUI Monitor > Statistics >AP Join

Kalau kamu perhatikan, di bagian window yang berwarna putih terdapat 4 kolom, kolom itu berisi parameter/informasi bagi sebuah akses poin, Base Radio MAC, AP Name, Status, Ethernet MAC, IP Address, Last Join Time. Atau disingkatnya, MAC address akses poin itu, nama hostname-nya, statusnya apakah akses poin itu sedang JOIN atau NOT JOIN, IP address yang diberikan kepadanya, dan Waktu, kapan dia terakhir mengirimkan JOIN message.

Jadi, apa pertanyaannya disini? Apakah dengan tampilan gambar diatas kita bisa melakukan proses troubleshooting?

Compatibility matrix layer 2 security dengan layer 3 security WLC

https://docs.google.com/spreadsheet/pub?key=0ApSl0ZstVGYFdEtXUnByeVJidjZoT21RTkdYcmF1Nnc&output=html

Pengenalan ACS

Terminologi yang memusingkan: 
ACS and AAA and AAA Protocols and RADIUS and TACACS+, what's the connections?

AAA is a well-know feature sesuai dengan kepanjangan namanya, AAA adalah Authentication, Authorization and Accounting. Jadi AAA adalah fitur autentikasi, autorisasi dan accounting. Fitur ini diimplementasikan oleh 2 buah protokol yang ternama yaitu RADIUS and TACACS+. 

ACS adalah sebuah server.

ACS adalah server yang melayani layanan AAA ini. ACS bisa kita gunakan mengelola proses autentikasi , autorisasa dan accounting user atau mesin ke perangkat cisco dan non-Cisco device serta aplikasi-aplikasi. 

Oke-oke, apa yang dibutuhkan untuk mengkonfigurasi si ACS ini?
untuk mengkonfigurasi ACS ini kita perlu belajar yang namanya model kebijakan rule-based policy model. 

Trus untuk apasih rule-based policy model ini? Dengan rule-based policy model ini kita bisa mengimplementasikan dynamic conditions and attributes untuk mencapai kebutuhan akan adanya kebijakan akses yang rumit / kompleks.

Menyediakan fungsi AAA function using this two protocols whether RADIUS or TACACS+. 

So configuring an ACS it means we are configuring AAA feature (for just Authenticating and Accounting; or for Authenticating, Authorization and Accounting) dan tergantung dari framework yang digunakan. Contoh:
1. Jika kita menggunakan framework protokol RADIUS. 

ACS mengontrol akses users dan host machines ke network (ini bisa disebut sebagai fitur Authentikasi untuk user dan mesin) dan manages the accounting of the network used (ini bisa disebut sebagai fitur Accounting). So just part of Authenticating and accounting yang di cover dari framework RADIUS ini, funny eh?

Eits, tunggu dulu, RADIUS-based sendiri mempunyai banyak metode untuk proses autentikasinya, termasuk PAP, CHAP, MSCHAPv1, MSCHAPv2. Dan juga masih anggota keluarga dari protokol EAP seperti EAP-MD5, LEAP, PEAP, EAP-FAST dan EAP-TLS. So, mau pilih yang mana untuk metode authentikasinya?
Aliran jadi begini: ACS nya untuk RADIUS atau TACACS+?, kalau RADIUS bapak mau pilih metode autentikasi apa?

2. Dibawah bingkaikerja (framework) dari protokol TACACS+, ACS membantu dalam hal menelola perangkat Cisco dan non-Cisco. Contoh: switch, wireless access point, ruter, dan gateway-gateway. ACS juga membantu untuk mengatur layanan dan entiti seperti layanan dialup, layanan VPN dan layanan Firewall.

User dan perangkat yang mencoba terhubung ke jaringan anda akan di identifikasi oleh ACS ini. Trus data-data user yang boleh dan tidak boleh masuk bisa disimpan dimana saja? data-data user yang boleh dan tidak boleh masuk bisa disimpan di lokal dan external. Di penyimpanan lokal (local repositores--bahasa inggrisnya) berada identity information tadi disimpan di dalam ACS itu.

Jika saya boleh bilang. Berdasarkan help guide di cisco ACS yang bertulisan bahasa inggris itu, perbedaan antara TACACS+ dan RADIUS itu bisa dilihat dari 2 perbandingan kalimat berikut ini:
Under the framework of the RADIUS protocol, ACS controls the wired and wireless access by users and host machines
Under the framework of the TACACS+ protocol, ACS helps to manage Cisco and non-Cisco network devices

Disitu ada tulisan wired dan wireless access, user dan host machines, Cisco and non-cisco network devices.

Sementara, ACS juga bisa menggunakan Active Directory sebagai external identity repository nya untuk hal perizinan siapa saja yang boleh mengakses jaringan.

ACS juga menyediakan alat-alat monitoring, reporting dan troubleshooting lanjutan (advance) yang bisa membantu ada untuk dalam pengadaan ACS.

Akhir kata, Cisco Secure ACS:
1. Enforces access policies for VPN and wireless users.
2. Provides simplified device administration.
3 .Provides advanced monitoring, reporting, and troubleshooting tools.

6.5.1.3 The IP Security Architecture (IPSec)

6.5.1.3 The IP Security Architecture (IPSec)

(source : http://www.redbooks.ibm.com/redbooks/pdfs/sg242580.pdf)

The IP Security Architecture (IPSec) provides a framework for security at the IP
layer for both IPv4 and IPv6. By providing security at this layer, higher layer
transport protocols and applications can use IPSec protection without the need of
being changed. This has turned out to be a major advantage in designing modern
networks and has made IPSec one of the most, if not the most attractive
technologies to provide IP network security.
IPSec is an open, standards-based security architecture (RFC 2401-2412, 2451)
that offers the following features:
• Provides authentication, encryption, data integrity and replay protection
• Provides secure creation and automatic refresh of cryptographic keys
• Uses strong cryptographic algorithms to provide security
• Provides certificate-based authentication
• Accommodation of future cryptographic algorithms and key exchange
protocols
• Provides security for L2TP and PPTP remote access tunneling protocols


IPSec was designed for interoperability. When correctly implemented, it does not
affect networks and hosts that do not support it. IPSec uses state-of-the-art
cryptographic algorithms. The specific implementation of an algorithm for use by
an IPSec protocol is often called a transform. For example, the DES algorithm
used in ESP is called the ESP DES-CBC transform. The transforms, as the
protocols, are published in RFCs and in Internet drafts.
Authentication Header (AH)
AH provides origin authentication for a whole IP datagram and is an effective
measure against IP spoofing and session hijacking attacks. AH provides the
following features:
• Provides data integrity and replay protection
• Uses hashed message authentication codes (HMAC), based on shared
secrets
• Cryptographically strong but economical on CPU load
• Datagram content is not encrypted
• Does not use changeable IP header fields to compute integrity check value
(ICV), which are:
• TOS, Flags, Fragment Offset, TTL, Checksum
AH adds approximately 24 bytes per packet that can be a consideration for
throughput calculation, fragmentation, and path MTU discovery. AH is illustrated
in Figure 94 on page 202.


IPSec was designed for interoperability. When correctly implemented, it does not
affect networks and hosts that do not support it. IPSec uses state-of-the-art
cryptographic algorithms. The specific implementation of an algorithm for use by
an IPSec protocol is often called a transform. For example, the DES algorithm
used in ESP is called the ESP DES-CBC transform. The transforms, as the
protocols, are published in RFCs and in Internet drafts.

Authentication Header (AH)

AH provides origin authentication for a whole IP datagram and is an effective
measure against IP spoofing and session hijacking attacks. AH provides the
following features:
• Provides data integrity and replay protection
• Uses hashed message authentication codes (HMAC), based on shared
secrets
• Cryptographically strong but economical on CPU load
• Datagram content is not encrypted
• Does not use changeable IP header fields to compute integrity check value
(ICV), which are:
• TOS, Flags, Fragment Offset, TTL, Checksum
AH adds approximately 24 bytes per packet that can be a consideration for
throughput calculation, fragmentation, and path MTU discovery. AH is illustrated
in Figure 94 on page 202.

The following transforms are supported with AH:
• Mandatory authentication transforms
• HMAC-MD5-96 (RFC 2403)
• HMAC-SHA-1-96 (RFC 2404)
• Optional authentication transforms
• DES-MAC
• Obsolete authentication transforms
• Keyed-MD5 (RFC 1828)

Encapsulating Security Payload (ESP)

ESP encrypts the payload of IP packet using shared secrets. The Next Header
field actually identifies the protocol carried in the payload. ESP also optionally
provides data origin authentication, data integrity, and replay protection in a
similar way as AH. However, the protection of ESP does not extend over the
whole IP datagram as opposed to AH.
ESP adds approximately 24 bytes per packet that can be a consideration for
throughput calculation, fragmentation, and path MTU discovery. ESP is illustrated
in Figure 95 on page 203.

The following transforms are supported with ESP:
• Mandatory encryption transforms
• DES_CBC (RFC 2405)
• NULL (RFC 2410)
• Optional encryption transforms
• CAST-128 (RFC 2451)
• RC5 (RFC 2451)
• IDEA (RFC 2451)
• Blowfish (RFC 2451)
• 3DES (RFC 2451)
• Mandatory authentication transforms
• HMAC-MD5-96 (RFC 2403)
• HMAC-SHA-1-96 (RFC 2404)
• NULL (RFC 2410)
• Optional authentication transforms
• DES-MAC
Note: The NULL transform cannot be used for both encryption and authentication
at the same time.

Internet Key Exchange Protocol (IKE)

The IPSec protocols AH and ESP require that shared secrets are known to all
participating parties that require either manual key entry or out-of-band key
distribution. The problem is that keys can become lost, compromised or simply
expire. Moreover, manual techniques do not scale when there are many Security
Associations to manage (for example for an Extranet VPN). A robust key
exchange mechanism for IPSec must therefore meet the following requirements:

• Independent of specific cryptographic algorithms
• Independent of a specific key exchange protocol
• Authentication of key management entities
• Establish SA over "unsecured" transport
• Efficient use of resources
• Accommodate on-demand creation of host and session-based SAs
The Internet Key Exchange Protocol (IKE) has been designed to meet those
requirements. It is based on the Internet Security Associations and Key
Management Protocol (ISAKMP) framework and the Oakley key distribution
protocol. IKE offers the following features:
• Key generation and identity authentication procedures
• Automatic key refresh
• Solves the "first key" problem
• Each security protocol (that is, AH, ESP) has its own Security Parameter Index
(SPI) space
• Built-in protection
• Against resource-clogging (denial-of-service) attacks
• Against connection/session hijacking
• Perfect forward secrecy (PFS)
• Two-phased approach
• Phase 1 - Establish keys and SA for key exchanges
• Phase 2 - Establish SAs for data transfer
• Implemented as application over UDP, port 500
• Supports host-oriented (IP address) and user-oriented (long-term identity)
certificates
• Uses strong authentication for ISAKMP exchanges
• Pre-shared keys
• No actual keys are shared, only a token used to create keying material
• Digital signatures (using either DSS or RSA methods)
• Public key encryption (RSA and revised RSA)
• For performance reasons revised RSA uses a generated secret key
instead of a public/private key during the second Phase 1 exchange.
The differences between those authentication methods is illustrated in Figure
96 on page 205.

As mentioned before, IKE requires two phases be completed before traffic can be
protected with AH and/or ESP.

IKE Phase 1

During phase 1, the partners exchange proposals for the ISAKMP SA and agree
on one. This contains specifications of authentication methods, hash functions
and encryption algorithms to be used to protect the key exchanges. The partners
then exchange information for generating a shared master secret:
• "Cookies" that also serve as SPIs for the ISAKMP SA
• Diffie-Hellman values
• Nonces (random numbers)
• Optionally exchange IDs when public key authentication is used
Both parties then generate keying material and shared secrets before exchanging
additional authentication information.
Note: When all goes well, both parties derive the same keying material and actual encryption and authentication keys without ever sending any keys over the
network.

IKE Phase 2

During phase 2, the partners exchange proposals for Protocol SAs and agree on one. This contains specifications of authentication methods, hash functions and encryption algorithms to be used to protect packets using AH and/or ESP. To generate keys, both parties use the keying material from a previous phase 1 exchange and they can optionally perform an additional Diffie-Hellman exchange for PFS.
The phase 2 exchange is protected by the keys that have been generated during
phase 1, which effectively ties a phase 2 to a particular phase 1. However, you
can have multiple phase 2 exchanges under the same phase 1 protection to provide granular protection for different applications between the same two systems. For instance, you may want to encrypt FTP traffic with a stronger algorithm than TELNET, but you want to refresh the keys for TELNET more often

than those for FTP. Systems can also negotiate protocol SAs for third-parties (proxy negotiation) which is used to automatically create tunnel filter rules in security gateways.