Wprowadzenie: czym jest i czym nie jest punkt dostępowy
W nomenklaturze sieciowej punkt dostępowy (Access Point, AP) jest jednym z najbardziej fundamentalnych, a jednocześnie często mylonych urządzeń. Na poziomie akademickim, kluczowe jest ścisłe zdefiniowanie jego roli: punkt dostępowy jest urządzeniem warstwy 2 (łącza danych), które pełni funkcję mostu (bridge) między dwoma różnymi standardami medium transmisyjnego: przewodowym Ethernetem (IEEE 802.3) a bezprzewodowym Wi-Fi (IEEE 802.11). Jego podstawowym zadaniem jest translacja (tłumaczenie) ramek z jednego formatu na drugi, umożliwiając bezprzewodowym klientom (hostom) komunikację z siecią przewodową (i vice versa) w sposób przezroczysty. Warto tu stanowczo oddzielić „czysty” punkt dostępowy, spotykany w sieciach korporacyjnych (np. Cisco Aironet, MikroTik cAP), od „domowego routera Wi-Fi”. To drugie urządzenie jest w rzeczywistości wielofunkcyjnym kombajnem, który *zawiera* w sobie punkt dostępowy, ale także przełącznik (switch) z kilkoma portami oraz, co najważniejsze, router (urządzenie warstwy 3), który wykonuje translację adresów NAT i routing IP. Czysty AP nie zajmuje się adresacją IP; adresy IP po prostu „przepływają” przez niego, zamknięte w ramkach warstwy 2.
Podstawową jednostką funkcjonalną, którą tworzy AP, jest podstawowy zestaw usług (BSS – Basic Service Set). Każdy BSS jest unikalnie identyfikowany przez BSSID (Basic Service Set Identifier), który jest niczym innym jak adresem MAC interfejsu radiowego AP. Kiedy konfigurujemy sieć Wi-Fi, podajemy jej przyjazną dla człowieka nazwę, czyli SSID (Service Set Identifier). W praktyce, AP może rozgłaszać (broadcastować) wiele SSID jednocześnie (np. „Pracownicy”, „Goscie”, „IoT”). Aby to osiągnąć, AP tworzy wirtualne interfejsy, a każdy z nich ma swój unikalny BSSID (zazwyczaj bazujący na głównym MAC-u urządzenia). Co kluczowe, każdy z tych SSID jest następnie mapowany (mostkowany) do odpowiedniej sieci VLAN (Virtual LAN) w sieci przewodowej. Pozwala to na logiczną segmentację – ruch z sieci „Goscie” (VLAN 20) jest w pełni odizolowany od ruchu „Pracownicy” (VLAN 10) już na poziomie warstwy 2.
Anatomia mostu: tablica MAC i procesy decyzyjne AP
Sercem punktu dostępowego jest mechanizm mostu (bridge) warstwy 2, działający analogicznie do przełącznika Ethernet. AP utrzymuje tablicę adresów MAC (MAC address table), którą buduje dynamicznie, analizując źródłowe adresy MAC (SA) ramek przychodzących z obu stron – bezprzewodowej i przewodowej. Dla interfejsu przewodowego (portu uplink Ethernet), AP uczy się adresów MAC urządzeń znajdujących się „za” tym portem (np. routera, serwerów). Dla interfejsu bezprzewodowego (radio), AP uczy się adresów MAC wszystkich klientów (hostów), którzy pomyślnie się z nim skojarzyli (associated). Ta tablica jest kluczowa dla podejmowania decyzji o przekazywaniu (forwardingu) ramek. Kiedy AP odbiera ramkę, sprawdza jej docelowy adres MAC (DA – Destination Address) i podejmuje jedną z trzech decyzji.
Po pierwsze, jeśli docelowy adres MAC znajduje się w tablicy i jest skojarzony z interfejsem przewodowym (np. klient Wi-Fi wysyła ruch do routera), AP dokonuje translacji ramki 802.11 na ramkę 802.3 i wysyła ją przez swój port Ethernet. Po drugie, jeśli docelowy adres MAC jest skojarzony z interfejsem bezprzewodowym (tzn. jest to inny klient Wi-Fi podłączony do tego samego AP), AP *nie wysyła* tej ramki na port przewodowy. Zamiast tego, dokonuje translacji ramki 802.11 na… inną ramkę 802.11 i retransmituje ją z powrotem w eter, tym razem adresując ją do docelowego klienta. Wiele nowoczesnych AP posiada funkcję „client isolation”, która celowo blokuje ten drugi scenariusz, uniemożliwiając klientom w tej samej sieci Wi-Fi komunikację między sobą (kluczowe dla sieci gościnnych). Po trzecie, jeśli docelowy adres MAC jest nieznany (unknown unicast) lub jest to adres rozgłoszeniowy (broadcast, FF:FF:FF:FF:FF:FF) lub multicast, AP wykonuje zalewanie (flooding) – wysyła kopię ramki zarówno na port przewodowy, jak i do wszystkich skojarzonych klientów bezprzewodowych.
Kluczowy proces: translacja ramek 802.11 na 802.3
Najważniejszym zadaniem AP jest translacja nagłówków ramek. Jest to konieczne, ponieważ nagłówek ramki Ethernet (IEEE 802.3) jest prosty i zawiera tylko dwa adresy MAC, podczas gdy nagłówek ramki Wi-Fi (IEEE 802.11) jest znacznie bardziej złożony, ponieważ musi zarządzać medium współdzielonym (eterem) i posiada aż trzy (lub cztery) pola adresowe. Zrozumienie tych trzech adresów jest kluczem do zrozumienia działania AP. W standardowej ramce 802.11 (w trybie infrastruktury) mamy:
- Adres 1 (Address 1): Odbiorca (Receiver Address) – kto ma fizycznie odebrać tę ramkę z eteru.
- Adres 2 (Address 2): Nadawca (Transmitter Address) – kto fizycznie wysłał tę ramkę w eter.
- Adres 3 (Address 3): W zależności od kierunku, jest to ostateczny adres docelowy (DA) lub pierwotny adres źródłowy (SA).
O tym, co oznaczają te adresy, decydują dwie flagi w nagłówku: „To DS” (Do Systemu Dystrybucji) i „From DS” (Z Systemu Dystrybucji). System Dystrybucji (DS) to po prostu sieć przewodowa, do której podłączony jest AP.
Przeanalizujmy scenariusz Host1 (Wi-Fi) -> AP -> Host2 (Przewodowy Ethernet).
- Host1 (Wi-Fi) wysyła ramkę do AP: Host1 chce wysłać pakiet IP do Host2. Wie, że Host2 jest w sieci, więc adresuje ramkę L2 do Host2. Ale fizycznie, ramka musi zostać wysłana *do AP*.
- Flagi: `To DS = 1` (ramka idzie DO sieci przewodowej), `From DS = 0` (idzie OD klienta Wi-Fi).
- Adres 1 (Odbiorca): `MAC_AP` (BSSID) – ramkę ma fizycznie odebrać AP.
- Adres 2 (Nadawca): `MAC_Host1` – ramkę fizycznie wysłał Host1.
- Adres 3 (Cel): `MAC_Host2` – ostatecznym celem jest Host2.
- AP przetwarza i tłumaczy ramkę: AP odbiera ramkę 802.11 (ponieważ Adres 1 to jego MAC). Patrzy na Adres 3 (`MAC_Host2`). Sprawdza swoją tablicę MAC i widzi, że `MAC_Host2` znajduje się na jego porcie Ethernet.
- AP wysyła ramkę do Host2 (Ethernet): AP *usuwa* cały nagłówek 802.11 i tworzy *nową, standardową ramkę 802.3 (Ethernet)*.
- Docelowy MAC (DA): `MAC_Host2` (pobrany z Adresu 3 ramki 802.11).
- Źródłowy MAC (SA): `MAC_Host1` (pobrany z Adresu 2 ramki 802.11).
Zauważmy, że Host2 otrzymuje ramkę Ethernet, która wygląda tak, jakby została wysłana bezpośrednio przez Host1. AP jest w tym procesie całkowicie przezroczysty – na tym polega idea mostu L2.
### Schemat: Nagłówek ramki 802.3 (Ethernet) ###
| Preambuła | SFD | DA (6B) | SA (6B) | Typ/Dł. | Dane (Payload) | FCS (4B) |
+-----------+-----+---------+---------+---------+----------------+----------+
| |
+---------+---------+
(Tylko 2 adresy MAC)
### Schemat: Nagłówek ramki 802.11 (Wi-Fi) (uproszczony) ###
| Kontrola | Czas | Adres 1 (6B) | Adres 2 (6B) | Adres 3 (6B) | Seq. | Dane (Payload) | FCS (4B) |
+----------+------+--------------+--------------+--------------+------+----------------+----------+
| | |
+--------------+--------------+--------------+
(Aż 3 adresy MAC w typowej komunikacji)
Scenariusz: Komunikacja Host1 (Wi-Fi) -> AP -> Host2 (Wi-Fi)
Sytuacja staje się jeszcze bardziej interesująca, gdy dwóch klientów podłączonych do tego samego AP chce się ze sobą komunikować. W tym scenariuszu ruch *nigdy* nie trafia do sieci przewodowej (chyba że włączona jest izolacja klienta, która wymusza ruch przez router). Proces ten wymaga dwóch oddzielnych transmisji bezprzewodowych i dwukrotnej zmiany nagłówka 802.11.
Krok 1: Host1 (Wi-Fi) -> AP
Host1 wysyła ramkę, która fizycznie jest adresowana do AP, ale logicznie do Host2.
- Flagi: `To DS = 1` (nadal idzie „do systemu”, którym zarządza AP), `From DS = 0`.
- Adres 1 (Odbiorca): `MAC_AP` (BSSID)
- Adres 2 (Nadawca): `MAC_Host1`
- Adres 3 (Cel): `MAC_Host2`
Krok 2: AP -> Host2 (Wi-Fi)
AP odbiera ramkę (Adres 1 to jego MAC). Patrzy na Adres 3 (`MAC_Host2`). Sprawdza swoją tablicę MAC i widzi, że `MAC_Host2` jest również jego klientem bezprzewodowym. AP musi teraz „odwrócić” ramkę i wysłać ją z powrotem w eter, tym razem do Host2. Tworzy nową ramkę 802.11:
- Flagi: `To DS = 0` (ramka idzie OD systemu), `From DS = 1` (idzie DO klienta Wi-Fi).
- Adres 1 (Odbiorca): `MAC_Host2` – teraz celem fizycznym jest Host2.
- Adres 2 (Nadawca): `MAC_AP` (BSSID) – ramkę fizycznie wysyła AP.
- Adres 3 (Źródło): `MAC_Host1` – ostatecznym źródłem jest Host1.
Dzięki temu Host2 otrzymuje ramkę, która fizycznie pochodzi od AP (Adres 2), ale wie, że logicznie jej autorem jest Host1 (Adres 3). Ta złożona żonglerka adresami jest tym, co pozwala na bezproblemowe mostkowanie L2 w środowisku bezprzewodowym.
Konfiguracja i diagnostyka w Cisco i MikroTik RouterOS
W praktyce, konfiguracja AP polega na zdefiniowaniu parametrów radiowych (kanał, moc) oraz logicznych (SSID, bezpieczeństwo, VLAN). W nowoczesnych sieciach rzadko konfiguruje się AP pojedynczo (tryb „standalone” lub „fat AP”). Zamiast tego, używa się kontrolerów (WLC – Wireless LAN Controller), które centralnie zarządzają flotą „lekkich” AP (Lightweight APs).
W ekosystemie Cisco, konfiguracja odbywa się na WLC. Administrator tworzy „WLAN”, definiuje jego SSID, przypisuje go do interfejsu (który jest zmapowany na VLAN w sieci przewodowej) i określa politykę bezpieczeństwa (np. WPA2/WPA3). Lekkie AP (LAP) po podłączeniu do sieci automatycznie znajdują kontroler (przez DHCP Option 43 lub DNS) i pobierają z niego całą konfigurację. Diagnostyka polega na monitorowaniu stanu na WLC.
Cisco_WLC>! Sprawdzenie podsumowania stanu podłączonych AP Cisco_WLC> show ap summary Number of APs.................................. 2 AP Name Slots AP Model Ethernet MAC Location ------------------ ----- -------------------- ----------------- -------- AP_Biuro_1F 2 C9120AXI-E 00:aa:bb:cc:11:22 Pietro1 AP_Magazyn_Gowny 2 C9115AXI-E 00:aa:bb:cc:33:44 Magazyn Cisco_WLC>! Sprawdzenie podłączonych klientów Cisco_WLC> show client summary Number of Clients.............................. 3 Client MAC Address AP Name WLAN Status Protocol ----------------- ----------------- ---- ------------- -------- a0:b1:c2:d3:e4:f5 AP_Biuro_1F 10 Associated 802.11ax 1a:2b:3c:4d:5e:6f AP_Biuro_1F 10 Associated 802.11ac f0:e1:d2:c3:b4:a5 AP_Magazyn_Gowny 20 Associated 802.11ax
W ekosystemie MikroTik RouterOS, centralne zarządzanie realizuje pakiet CAPsMAN (Controlled AP system Manager). Jeden router MikroTik działa jako kontroler (CAPsMAN), a inne urządzenia (np. cAP, wAP) działają jako klienty (CAP). Konfiguracja na kontrolerze polega na stworzeniu profili (bezpieczeństwa, kanałów, datapath), które są następnie automatycznie dystrybuowane do AP. Kluczowy jest profil „datapath”, w którym definiujemy, że ruch z danego interfejsu bezprzewodowego ma być mostkowany (bridged) do konkretnego VLAN-u na porcie Ethernet.
[admin@MikroTik_CAPsMAN] >! 1. Definicja profilu datapath (mostkowanie do VLAN 10) [admin@MikroTik_CAPsMAN] > /caps-man datapath [admin@MikroTik_CAPsMAN] /caps-man datapath> add name=dp_pracownicy \ ... bridge=bridge_firmowy vlan-mode=use-tag vlan-id=10 [admin@MikroTik_CAPsMAN] >! 2. Definicja konfiguracji, która łączy profile [admin@MikroTik_CAPsMAN] > /caps-man configuration [admin@MikroTik_CAPsMAN] /caps-man configuration> add name=cfg_pracownicy \ ... ssid=Firma_WiFi security=profil_sec_wpa2 datapath=dp_pracownicy [admin@MikroTik_CAPsMAN] >! 3. Sprawdzenie zarejestrowanych klientów (odpowiednik Cisco) [admin@MikroTik_CAPsMAN] > /caps-man registration-table print # INTERFACE MAC-ADDRESS SSID U... 0 cap1 A0:B1:C2:D3:E4:F5 Firma_WiFi ... 1 cpa1 1A:2B:3C:4D:5E:6F Firma_WiFi ... [admin@MikroTik_CAPsMAN] >! 4. Sprawdzenie tablicy MAC na moście (sercu AP) [admin@MikroTik_CAPsMAN] > /interface bridge host print where bridge=bridge_firmowy Flags: X - disabled, I - invalid, D - dynamic, L - local, E - external # MAC-ADDRESS VID ON-INTERFACE BRIDGE 0 D A0:B1:C2:D3:E4:F5 10 cap1 bridge_firmowy 1 D 1A:2B:3C:4D:5E:6F 10 cap1 bridge_firmowy 2 D 00:11:22:AA:BB:CC 10 ether1 (uplink) bridge_firmowy <-- MAC routera
