## 개요 AP는 무선 통신을 하고자 하는 사용자의 기기를 유선 네트워크와 연결해주는 역할을 수행한다. 무선 클라이언트의 연결 요청을 받아서 인증, IP 할당, 트래픽 전달을 수행한다 * 단순히 **중계 역할**을 수행한다고 하여 `Dummy` 라고 부르기도 한다. * `WAP, Wireless Access Point`라고 부르기도 한다. * 유선 네트워크, 무선 네트워크 사이를 중계하는 역할 ### 기본 동작 방식 분류 Cisco AP는 WLC(Wireless LAN Controller)에 의해 제어되는 구조다. 그런데 AP가 WLC와 어떤 방식으로 상호작용하느냐에 따라서 모드가 달라진다. ## AP의 설정 항목 AP에게 설정되어야 하는 항목 * SSID 정의 * 사용자에게 보여지는 네트워크 이름 * 보안 방식 * WPA2, WPA3, 인증 방식 등 * 트래픽 처리 방식 * 중앙 포워딩 vs 로컬 스위칭 * VLAN 매핑 * SSID마다 VLAN 연결 * 송신 전력 / 채널 선택 * 전파 간섭 조절 ## AP의 종류 ### 1. Autonomous AP #### 정의 ==**컨트롤러(WLC) 없이**== 자체적으로 설정하여 사용하는 AP. Cisco에서는 `Standalone AP` 또는 `Fat AP` 라고 불리기도 한다 #### 목적 소규모 네트워크에서 WLC 없이 단독으로 무선 서비스를 제공할 수 있도록 함. #### 구조 AP 자체에 SSID, VLAN, 보안 정책, 트래픽 처리 기능 내장 #### 특징 * 각각의 AP를 개별적으로 설정 * CLI/Web UI 기반 설정 필요 ### 2. Controller-Based AP (Lightweight AP) #### 정의 **모든 제어/설정/정책은 ==컨트롤러(WLC)에 의해 처리**==되고 AP는 무선 트래픽의 중계만 담당하는 **경량화된 장치**. `Lightweight AP(LWAP)`라고 하기도 한다 #### 목적 대규모 네트워크 환경에서 중앙 집중 관리 및 자동화된 운영을 가능하게 한다 #### 구조 * AP는 부팅 시 CAPWAP 프로토콜을 통해 WLC에 Join * AP는 단독으로 **SSID/VLAN 구성 불가** * WLC가 AP의 운영 모드(예: Local, FlexConnect)를 설정함 #### 특징 * **무선 환경 전체를 통합 관리** * WLC가 정책, RF 파라미터, 인증 방식을 통제 * 다양한 운영 모드(Local, FlexConnect 등)를 통해 유연한 트래픽 처리 가능 ### 3. Mobility Express Mode AP #### 정의 하나의 AP가 내부적으로 WLC 기능을 수행하여, 별도의 WLC 장비 없이 경량 컨트롤러 역할을 제공하는 하이브리드 구조. #### 목적 소규모/중소 규모 네트워크 환경에서 비용 효율적인 무선 제어 솔루션 제공 #### 구조 * AP 중 하나가 WLC 기능 수행 (Master AP) * 나머지 AP들은 Subordinate Lightweight AP가 되어 마스터에 Join #### 특징 * 자체 GUI 또는 CLI를 통해 전체 무선망 구성 가능 * CAPWAP 기반 Lightweight 구조를 유지하므로 기존 WLC 아키텍처와 호환성 확보 * 중복 구성을 통해 Master AP 이중화 가능 (HA 구성) --- ## **Controller-Based AP (Lightweight AP)의 모드** ### ▷ Local Mode * **정의**: 기본 운영 모드. AP가 받은 모든 트래픽은 WLC에 통해 처리되는 AP 운영 모드. (AP ⇨ WLC ⇨ 외부) * **목적**: **중앙 집중형 제어**를 통해 보안, 정책, 로밍 등에 적용되는 정책이나 제어가 일정하게 적용되게 하기 위함 * **동작 방식** * AP는 사용자의 트래픽을 CAPWAP Tunnel을 통해 WLC로 전송 * WLC가 실제 트래픽 스위칭, 라우팅, 정책 적용, VLAN tagging, mapping, QoS, ACL 등을 수행한다 * **사용 환경** * 고정된 사무실 환경 * 지연과 장애 가능성이 낮은 환경에서 중앙 집중형 네트워크를 구성할 때 사용 * **전제 조건** * WLC와 안정적인 L3 통신 (CAPWAP)이 필요하다 * SSID 및 정책은 WLC에 사전 구성돼야 함 * **특징** * 원격 환경에서 사용하기엔 비효율적인 부분이 있다 * ==클라이언트에게 무선 서비스를 제공하는 동시에 채널 스캔이 가능하다== ### ▷ FlexConnect Mode (H-REAP) * **정의**: WLC에 연결된 상태에서 데이터 트래픽을 로컬에서 직접 브리지하거나 WAN이 끊겼을 때도 독립적으로 서비스 제공이 가능한 AP 운영 모드 * **목적** * WAN 장애 시에도 **SSID 브로드캐스트 및 트래픽 처리** 지속 * **중앙 WLC의 통제 유지 + 로컬 자원 연결 최적화** * 지사 환경 최적화, 로컬 자원(서버, 프린터 등)과 빠른 연결이 가능함 * **동작 방식**: FlexConnect는 두 가지 기준으로 동작 방식이 나뉜다 * **트래픽 스위칭 방식** * **Local Switching** * 무선 클라이언트의 트래픽을 AP가 직접 로컬 VLAN으로 전달 * WAN을 거치지 않음 * 주로 사용되는 방식 * WLC와 CAPWAP Control Tunnel은 계속 유지되는 상태에서 데이터 트래픽은 **===로컬에서 스위칭한다===** (Data Tunnel은 사용 안한다는 뜻) * * ==신규 클라이언트의 연결 요청은 모두 거부한다. 이미 연결되어 있는 상태의 클라이언트는 인증을 이미 완료한 상태이므로 세션을 그대로 유지한다 == * **Central Switching** * 무선 클라이언트의 트래픽을 CAPWAP을 통해 WLC로 터널링 * Local Mode와 유사하게 동작 (CAPWAP의 Control Tunnel, Data Tunnel 둘 다 사용하는 상태) * **인증 처리 방식** * **Central Authentication** * 클라이언트의 인증 요청을 WLC나 RADIUS 서버로 전달 * WAN 장애 시 인증 불가 → 서비스 중단 가능성 있음 * **Local Authentication** * AP 자체가 로컬에서 클라이언트 인증 처리 * WAN 없이도 인증이 가능함. 이를 통해 진정한 독립 동작 가능하게 된다. 그러나 로컬 인증에 필요한 정책은 미리 WLC에서 푸시되어야 함 * **특징** - **AP Fallback**: WLC 복구 시 AP가 자동으로 Central Switching으로 복귀할지 여부 설정 가능 - **FlexConnect Group**: 동일 설정을 갖는 AP들을 묶어 설정 자동화 - **Split Tunneling**: SSID 또는 VLAN별로 Central/Local Switching 분기 가능 ### ▷ Monitor Mode * **정의**: AP가 무선 트래픽을 전송하지 않고, 주변 RF 환경을 모니터링 및 스캔하는 전용(특수) 모드이다 * **목적** * Rogue AP 탐지 [[WIPS (Wireless Intrusion Prevention System)]] * 무선 RF 환경 분석 * 채널 간섭 * 잡음 * 채널 활용도 * 스펙트럼 최적화 및 WLAN 보안 위협 탐지 * CleanAir 지원 시, 스펙트럼 간섭원(전자레인지, 블루투스 등) 분석 가능 * **동작 방식** * **RF 스캐너 역할**만 수행 * 자신이 속한 채널은 물론 **다른 채널도 주기적으로 순환 모니터링** 한다 * 수집된 정보는 CAPWAP Control Tunnel을 통해 WLC로 전송 * **사용 환경** - 고밀도 무선 환경에서의 채널 간섭 문제 탐지 - 무선 위협 분석 (Rogue AP, 악성 클라이언트, DoS 공격 등) - 공항, 병원, 금융권처럼 무선 보안이 중요한 장소 - WLC 기반 무선 위협 탐지 시스템 구축 시 - **전제 조건** - AP는 WLC에 CAPWAP Control Tunnel을 통해 연결되어야 함 - WLC에서 AP의 Mode를 Monitor로 수동 설정해야 함 * **보안 기능** * CleanAir * Spectrum Expert 연동 가능 * **특징** * Monitor Mode는 무선 보안 감시와 RF 상태 수집을 WLC로 보고하는 데 초점 * SE-Connect Mode는 RF 전파 자체의 특성을 외부 PC에서 직접 분석하기 위해, ### ▷ SE-Connect Mode * **정의**: Cisco CleanAir 지원 RF 스펙트럼 정보를 실시간으로 수집하여, 외부 PC에서 실행 중인 Spectrum Expert 소프트웨어로 직접 전송하는 모드. **RF 간섭원 분석 전용 모드다**. (전자레인지, 블루투스, 무선 전화기 등) * **목적** * 실시간 무선 스펙트럼 분석 * 물리 계층의 전파 간섭 문제를 시각화하고 분석 * 전문 RF 엔지니어들이 사용하는 디버깅/분석 모드 * **동작 방식** * AP가 CleanAir 하드웨어 엔진을 통해 스펙트럼 정보를 수집 * 수집된 데이터는 CAPWAP이 아닌, 전용 포맷으로 Spectrum Expert 소프트웨어로 전달 * 사용자는 PC에 설치된 Spectrum Expert 툴에서 실시간으로 스펙트럼 상태를 시각화하여 분석 * **사용 환경** * 고난이도 무선 품질 장애 분석 필요 시 * 간헐적인 연결 끊김, 대역폭 저하, 간섭 추적 등 무선 PHY 계층 문제 추적 * **전제 조건** * Cisco CleanAir 지원 AP (예: 2600/3600/3700/2800/3800 등) * 외부 분석 장비 (노트북) + Spectrum Expert 소프트웨어 설치 * **특징** * Wi-Fi 프레임이 아닌, 물리 계층(RF energy)의 신호 강도와 간섭원 정보를 분석함 * 트래픽 처리 안함 * 단일 처리 집중 분석 ### ▷ Sniffer Mode * **정의**: AP가 특정 무선 채널에서 수신한 모든 802.11 프레임을 캡처하고 지정된 원격 분석 장비로 실시간 전송하는 전용(특수) 모드 * **목적** * 패킷 분석/디버깅 전용 * 무선 패킷 수준의 정밀 분석 * 연결 실패, 인증 문제, Roaming 문제 등 무선 트래픽 레벨의 디버깅 * **동작 방식** * 지정된 단일 채널만 수신 * 지정된 단일 채널만 수신한다. * Monitor Mode는 여러 채널을 순환하는데 Sniffer Mode는 고정 채널임 * 수신된 802.11 프레임은 CAPWAP 터널을 사용 안하고 원격 분석 장비로 Raw 형태로 보냄 * 분석 장비는 받은 Raw 를 .pcap 형식으로 캡처해감 * **사용 환경** * 무선 클라이언트의 연결 문제 원인 분석 * 핸드오프(로밍), 재연결 시도, 인증 실패 트래픽 분석 * 단일 채널 집중 분석 ### ▷ Sensor Mode * **정의**: AP를 클라이언트처럼 동작시켜서 무선 연결 상태, 인증 과정, DHCP, DNS, 속도 테스트, 웹 접속 등 전반적인 무선 사용자 경험을 시뮬레이션해서 DNAC 또는 Cisco Wireless Assurance에 자동 보고하는 전용(특수) 모드 * **목적** * 네트워크 운영자가 실제 클라이언트가 체감하는 Wi-Fi 환경을 사전에 시뮬레이션하고 문제를 탐지 * 클라이언트 없이도 AP 스스로 다양한 연결 시나리오를 자동 테스트 * Wireless Assurance 및 Health Score 정확도 향상 * **동작 방식** * AP가 Sensor Mode로 전환되면, 실제 무선 클라이언트처럼 SSID에 연결 시도 * 이후 다음과 같은 테스트를 자동 수행한다 * SSID 연결 * 802.1X / PSK 인증 * DHCP 서버 응답 확인 * DNS 질의 테스트 * 인터넷 연결 여부 (Ping / Web 접속) * Throughput 측정 (iPerf / Speedtest 등) * 이 결과를 Cisco DNA Center 또는 WLC에 보고 * 정책 기반 스케줄링도 가능 (예: 매일 아침 8시, 주요 SSID 체크) * **사용 환경** * 대형 캠퍼스/사무실, 무선 서비스 수준을 주기적으로 점검해야 하는 환경 * 신규 구축 후 품질 검증 * **고위험 구역(응급실, 공장 라인, 금융 업무 공간)**에서 무선 성능 상태를 상시 모니터링할 때 * **전제 조건** * AP가 Cisco Sensor 기능을 지원하는 모델이어야 함 * DNAC 또는 Cisco Wireless Assurance 플랫폼과 연동되어 있어야 의미 있음 ### ▷ OfficeExtend Mode (제대로 정리 x) * 원격 근무 환경에서 AP를 사용하는 데 적합하며, ==트래픽을 암호화하여 본사 컨트롤러로 전송한다== * `High availability` 설정이 비활성화되면 WAN 장애 시 AP의 생존성이 보장되지 않는다 ### ▷ Bridge Mode (제대로 정리 x) * 특수 모드 * AP를 무선 브릿지 (PtP, PtMP)역할로 사용한다 * 건물 간 무선 링크를 구성해준다 ### ▷ Rouge Detector Mode (제대로 정리 x) * 특수 모드 * 유선 트래픽 기반 Rouge를 탐지한다 * 무선망에는 아무 역할을 하지 않는다 * 스위칭 트래픽을 분석해서 자신의 유선망에 로그가 있는지 확인한다 * 무선 인터페이스 역할은 하지 않고 WLC나 다른 AP와 연계해서 사용하는 경우가 있다 ### ▷ Mesh Mode (제대로 정리 x) * 특수 모드 * 다수의 AP가 무선 Backhaul을 통해 유선 연결 없이 메쉬 구조를 형성한다 --- ## **AP 동작 흐름** ### 💡부팅 및 WLC 연결 단계 AP는 부팅 후, AP가 **WLC(무선 LAN 컨트롤러)** 와 연결되기 위한 일련의 단계를 수행한다. 1. DHCP를 통해 IP 획득 2. WLC Discovery 3. CAPWAP Tunnel 수립 4. 이미지 다운로드 및 업로드 (필요 시) 5. WLC 등록 및 운영 상태로 전환 ### 🔎 AP의 WLC Discovery **WLC를 찾는 방법은 순차적으로 시도되며, 다음과 같은 탐색 순서를 따른다.** 1. **Static configuration** * Primary/Secondary/Tertiary WLC IP 수동 설정 ^ee27c0 * 관리자가 수동으로 설정한 WLC IP가 있는지 확인한다 * 이 정보들은 NVRAM에 저장되어 있다 2. **Previously joined WLC** * Flash에 저장된 이전 WLC 정보를 이용해 연결을 시도한다 3. **DHCP Option 43** * DHCP 서버로부터 WLC IP와 관련 옵션 값들이 있는지 확인한다 4. **DNS Discovery** * `CISCO-CAPWAP-CONTROLLER.localdomain`다 > [!info] ✅ **NVRAM 저장 방식 설명** > - 관리자가 AP에 수동으로 지정한 WLC 정보는 **AP 내부 NVRAM에 저장** > - 이 정보는 재부팅 후에도 유지되며, 자동 탐색보다 **우선 사용** > - 구성 명령 예: > - `capwap ap primary-base WLC1 192.168.1.10` > - `capwap ap secondary-base WLC2 192.168.1.20` > - 이 방식은 **컨트롤러 장애 시 빠른 복구를 가능하게 하며**, DHCP Option 43이나 DNS 방식은 fallback으로만 사용됨 ### 📎참고: 최근 변화 * SD-Access 기반에서는 AP가 [[ZTP (Zero-Touch Provisioning)]]을 통해 자동으로 등록된다 * 이 과정에서 Cisco Catalyst가 통합 관리자가 되어 전통적인 WLC Discovery 단계를 생략하거나 축소 시킨다 ### 💡클라이언트 연결 후: IP 주소 할당 과정 무선 클라이언트가 AP를 통해 네트워크에 연결되면, 다음 순서로 **IP 주소를 획득하기 위한 프로세스**가 진행된다 1. 클라이언트가 SSID에 연결 -> Association 완료 2. 클라이언트가 DHCP Discover 메시지를 브로드캐스트 3. AP는 이 요청을 유선 네트워크로 포워딩 4. 이후 처리 경로는 AP의 동작 모드에 따라 나뉜다 * **Local Mode** * WLC가 직접 DHCP 처리하거나 Relay한다 * **DHCP 흐름** 1. 클라이언트 2. AP 3. CAPWAP Tunnel 4. WLC 5. DHCP Server * **FlexConnect Mode** * Central Switching * WLC가 직접 DHCP 처리하거나 Relay한다 * **DHCP 흐름** 1. 클라이언트 2. CAPWAP Tunnel 3. WLC * Local Switching * 수동 설정 `ip helper-address` 필요 * **DHCP 흐름** 1. 클라이언트 2. AP 3. 로컬 VLAN 4. L3 스위치/라우터 5. **DHCP** Server > [!NOTE] **DHCP 릴레이** 스위치 또는 라우터가 VLAN 별로 DHCP 요청을 전달하도록 설정해야 한다 ### 📎자세한 구성 및 설명 [[무선 네트워크의 주소 할당 구조]] 문서에서 다룸. --- ## **관련 용어 정리** ### AP의 커버리지 셀 커버리지 셀은 AP가 커버할 수 있는 무선 신호 범위를 의미 * 5GHz 대역 * 최대 23개의 비중첩 채널을 제공 * 인접한 AP들의 커버리지 셀이 겹치는 경우 비중첩 채널(non-overlapping channels) 을 사용해야 간섭을 최소화할 수 있음 --- ## **AP 연결 시나리오** ```scss [무선 클라이언트] ↓ (Wi-Fi 접속) [AP] ├── SSID: Company → VLAN 10 (태깅) ├── SSID: Guest → VLAN 20 (태깅) └── Mgmt 트래픽 → VLAN 99 (untagged) ↓ [AP 포트] └── 트래픽에 VLAN Tag를 붙임 (802.1Q tagging) ↓ [Switch 포트: Trunk Mode 설정됨] ├── tagged 프레임 (VLAN 10, 20)을 받아들임 └── untagged 프레임 → Native VLAN (99)으로 간주 ↓ [Switch 내부] ├── VLAN 10: 직원 네트워크 ├── VLAN 20: 손님 네트워크 └── VLAN 99: AP 관리 네트워크 ``` --- ## **상황별 해결 방법** ### ✅ High-Density AP 환경에서 수신 성능 저하 > **조건** > - 많은 수의 AP가 근거리에 설치되어 있으며 커버리지가 중첩됨 > - 클라이언트의 밀도도 높고, 멀리 있는 클라이언트와도 통신 가능 > - 결과적으로 RF 환경이 매우 혼잡함 > **문제** > - AP가 약한 신호까지 수신하면 오히려 성능 저하 > - 멀리 있는 클라이언트의 신호까지 demodulation 시도 → 처리 부하 > - AP 간 간섭 증가 > **원인 분석** > - 기본적으로 AP는 수신되는 모든 프레임을 처리하려고 시도함 > - RSSI가 낮아도 Demodulation을 수행함 > **해결 방법: RX-SOP 설정** > RX-SOP(Receive Start of Packet) 기능을 활성화하여, > 일정 신호 세기 이하의 무선 프레임은 **아예 demodulate하지 않도록 설정**한다. > - 예: -80dBm 이상의 신호만 수신 > - 설정 명령: > `config 802.11a rx-sop threshold -80` > > 📌 RX-SOP는 특히 고밀도 환경에서 클라이언트 수신 품질을 선별적으로 높이는 데 효과적이다. ### ✅ CleanAir가 간섭을 감지했지만 AP가 채널을 바꾸지 않음 > **조건** > - 5GHz 대역에서 동작 중 > - AP는 CleanAir 기능이 활성화되어 있음 > - interference trap 설정 완료 → 간섭 감지는 성공 > - 그러나 AP는 채널 변경(DCA)을 수행하지 않음 > **문제** > - 간섭은 분명히 감지되지만, 자동 채널 재조정이 발생하지 않음 > - 주변 무선 성능 저하가 지속됨 > **원인 분석** > - Cisco의 기본 RRM 동작은 **정기적 스케줄 기반(DCA 스케줄링)** > → 즉, CleanAir가 간섭을 탐지해도, > → DCA는 스케줄 타이밍에 맞춰야 작동한다. > - **이벤트 기반 반응(Event-Driven)**이 활성화되어 있지 않으면 > → 실시간 대응이 일어나지 않음 > **해결 방법: Event-Driven RRM 활성화** > - Event-Driven RRM(ED-RRM)은 **간섭, 신호 약화, AP Join 등 이벤트 발생 시**, > **즉시 DCA(채널 재조정) 또는 Tx Power 조정**을 수행할 수 있게 한다. > > - 설정 명령 (예시): > ```bash > config advanced 802.11a channel update event-driven enable > config advanced 802.11a txPower update event-driven enable > ``` > > 📌 이 기능은 CleanAir, TPC, DCA를 실시간 반응형으로 만드는 핵심 옵션이다. > 🔗 관련 문서: [[RRM]], [[CleanAir]], [[DCA]] --- ## **AP 제어 및 인증 구성 요소** > 이 섹션은 AP의 동작에 직접적인 영향을 주는 WLC 기반의 제어 정책, > 보안 인증 메커니즘, RF 최적화 알고리즘 등을 정리한다. ### 🔧 RRM (Radio Resource Management) - Cisco WLC가 AP의 무선 설정(RF 파라미터)을 자동으로 최적화하는 기능 - 주요 기능: - 채널 자동 조정 (DCA) - 전력 자동 조정 (TPC) - 이벤트 기반 재구성 (Event-Driven RRM) ### 🔐 MIC 기반 AP 인증 (Manufacture Installed Certificate) - AP가 WLC와 연결 시, **사전 설치된 MIC 인증서**를 통해 인증 절차 수행 - 다음과 같은 설정을 통해 **등록된 AP만 허용** 가능: - `auth-list` 기반 제한 - AAA 연동 제한 - ---