Sem fio : Controladores de LAN sem fio Cisco série 4400

Perguntas Mais Freqüentes sobre o Design e os Recursos do WLC (Wireless LAN Controller)

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (20 Dezembro 2010) | Feedback

Perguntas

Introdução
Perguntas Mais Freqüentes sobre o Design
Perguntas Mais Freqüentes sobre os Recursos
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento apresenta as perguntas mais freqüentes sobre o design e os recursos disponíveis em um WLC (Wireless LAN Controller).

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos.

Perguntas Mais Freqüentes sobre o Design

P. Todo o tráfego de rede de entrada e saída de um cliente da WLAN é enviado por meio de um túnel, através de um WLC (Wireless LAN Controller), depois que o ponto de acesso (AP) é registrado no controlador?

R. Quando o AP ingressa em um controlador, um túnel LWAPP (Lightweight Access Point Protocol) é formado entre os dois dispositivos. Todo o tráfego, incluindo todo o tráfego do cliente, é enviado através desse túnel.

A única exceção é quando um AP está no modo REAP (Remote Edge AP). Nesse caso, o tráfego de controle ainda será enviado ao controlador por meio de um túnel, mas o tráfego de dados permanecerá conectado à LAN local por meio de uma bridge.

P. Posso instalar um ponto de acesso (AP) em um escritório remoto e um Cisco WLC (Wireless LAN Controller) na matriz? O LWAPP (Lightweight AP Protocol) funciona em uma WAN?

R. Sim, você pode ter os WLCs na WAN a partir dos APs. O LWAPP funciona em uma WAN. Utilize o modo REAP (Remote Edge AP). O REAP permite o controle de um AP por um controlador remoto conectado através de um link de WAN. O tráfego é conectado ao link de LAN localmente por meio de uma bridge, o que torna desnecessário enviar o tráfego local pelo link de WAN. Essa é uma das maiores vantagens de se ter WLCs na rede wireless.

Nota: Nem todos os Lightweight APs oferecem suporte ao REAP. Por exemplo, o AP 1030 oferece suporte ao REAP, mas os APs 1010 e 1020 não. Antes de planejar a implementação do REAP, verifique se os APs oferecem suporte a ele. Os APs do Cisco IOS® Software que foram convertidos no LWAPP não oferecem suporte ao REAP.

P. Quero configurar o Cisco 1030 LAP (Lightweight Access Point) com um WLC (Cisco Wireless LAN Controller) no modo REAP (Remote Edge AP). Nesse modo, todo o tráfego wireless retorna ao WLC por meio de um túnel? Além disso, se o AP não conseguir contatar o WLC, o que acontecerá com os clientes wireless?

R. O AP 1030 envia, por meio de um túnel, todo o tráfego do WLC (de controle e gerenciamento) para esse controlador via LWAPP (Lightweight AP Protocol). Todo o tráfego de dados é mantido localmente no AP. O REAP 1030 só pode residir em uma única sub-rede, pois não é capaz de executar a marcação de VLAN IEEE 802.1Q. Dessa maneira, o tráfego em cada SSID (service set identifier) encerra na mesma sub-rede na rede com fio. Assim, embora o tráfego wireless possa ser segmentado entre SSIDs, o tráfego do usuário não é separado no lado com fio. O acesso aos recursos da rede local é mantido durante as interrupções da WAN.

Quando há uma interrupção do link de WAN, todas as WLANs, com exceção da primeira, são desativadas. Portanto, utilize a WLAN 1 como a WLAN principal e planeje políticas de segurança conforme adequado. A Cisco recomenda o uso de um método de criptografia/autenticação local, como a WPA-PSK (Wi-Fi Protected Access Pre-Shared Key), nessa primeira WLAN.

Nota: Embora o WEP (Wired Equivalent Privacy) seja suficiente, esse método não é recomendado devido às suas vulnerabilidades de segurança conhecidas.

Se você utilizar a WPA-PSK (ou WEP), os usuários configurados de forma adequada ainda poderão acessar os recursos da rede local, mesmo quando o link de WAN estiver inativo.

P. Qual é a diferença entre REAP (Remote-Edge AP) e H-REAP (Hybrid-REAP)?

R. Esta tabela resume as diferenças entre o REAP e o H-REAP:

wlc-design-ftrs-faq1.gif

Consulte Exemplo de Configuração do REAP (Remote-Edge AP) com Lightweight APs e WLCs (Wireless LAN Controllers) para obter mais informações sobre o REAP.

Consulte Configurando o Hybrid REAP para obter mais informações sobre o H-REAP.

P. Provisionamos duas WLANs com duas interfaces dinâmicas diferentes. Cada interface possui sua própria VLAN, que é diferente da VLAN da interface de gerenciamento. Isso aparentemente funciona, mas não provisionamos as portas de tronco para habilitar as VLANs utilizadas por nossas WLANs. O ponto de acesso (AP) marca os pacotes com a VLAN da interface de gerenciamento?

R. O AP não marca os pacotes com a VLAN da interface de gerenciamento. O AP encapsula os pacotes dos clientes no LWAPP (Lightweight AP Protocol) e envia-os para o WLC. Em seguida, o WLC retira o cabeçalho LWAPP e encaminha os pacotes para o gateway com a marca VLAN adequada. Essa marca depende da WLAN à qual o cliente pertence. O WLC depende do gateway para rotear os pacotes para o seu destino. Se desejar encaminhar o tráfego para várias VLANs, você deverá configurar o switch de uplink como uma porta de tronco. Este diagrama explica como as VLANs funcionam com controladores:

wlc-design-ftrs-faq2.gif

P. Tenho dez Cisco 1000 Series LAPs (Lightweight Access Points) e dois WLCs (Wireless LAN Controllers) na mesma VLAN. Como posso registrar seis LAPs para associá-los ao WLC1 e os outros quatro LAPs para associá-los ao WLC2?

R. O LWAPP (Lightweight AP Protocol) oferece redundância e balanceamento de carga dinâmicos. Por exemplo, se você especificar mais de um endereço IP para a opção 43, um LAP enviará solicitações de descoberta LWAPP a cada um dos endereços IP recebidos pelo AP. Na resposta da descoberta LWAPP do WLC, esse controlador incorporará as seguintes informações:

  • Informações sobre a carga atual de LAPs, que é definida como o número de LAPs que ingressaram no WLC na ocasião
  • A capacidade do LAP
  • O número de clientes wireless conectados ao WLC

Em seguida, o LAP tentará ingressar no WLC menos sobrecarregado, que é o WLC com a maior capacidade de LAP disponível. Além disso, depois que um LAP ingressar em um WLC, ele aprenderá os endereços IP dos outros WLCs que fazem parte do grupo de mobilidade do WLC no qual ele ingressou. Posteriormente, o AP enviará solicitações de descoberta principal LWAPP a cada um dos WLCs do grupo de mobilidade. Os WLCs responderão ao AP com uma resposta de descoberta principal. Essa resposta inclui informações sobre o tipo de WLC, a capacidade total e a carga atual do AP. Desde que o WLC tenha o parâmetro AP Fallback habilitado, o AP poderá decidir mudar para um WLC menos sobrecarregado.

Opcionalmente, se desejar conectar o LAP a um WLC específico, você poderá configurar os nomes dos controladores principal, secundário e terciário quando o LAP for preparado pela primeira vez. Dessa maneira, quando o LAP for implementado, ele procurará o WLC marcado como principal e se registrará nesse controlador. Se o WLC principal não estiver disponível, o LAP tentará se registrar no WLC secundário e assim por diante.

P. Tenho dois WLCs (Wireless LAN Controllers) chamados WLC1 e WLC2 configurados no mesmo grupo de mobilidade para failover. Meu LAP (Lightweight Access Point) está registrado atualmente no WLC1. Se esse controlador falhar, o AP registrado nele será reinicializado durante sua transição para o WLC (WLC2) que está funcionando? Além disso, durante o failover, o cliente da WLAN perde sua conectividade com o LAP?

R. Sim, o LAP cancela o registro no WLC1, é reinicializado e registra-se novamente no WLC2, se o WLC1 falhar. Como o LAP é reinicializado, os clientes da WLAN associados perdem a conectividade com ele.

P. Se eu tiver um esquema de redundância N+1 (2 controladores ativos, 1 backup) e tiver configurado o recurso de anulação de WLAN em alguns ou em todos os meus pontos de acesso (APs), os APs manterão os valores de anulação de WLAN quando ocorrer o failover para o backup?

R. Os APs manterão os valores de anulação de WLAN quando forem registrados em outros controladores.

P. O roaming depende do modo LWAPP (Lightweight Access Point Protocol) que o WLC (Wireless LAN Controller) está configurado para utilizar? Um WLC que opera no modo LWAPP da Camada 2 pode executar o roaming da Camada 3?

R. Desde que o grupo de mobilidade esteja configurado corretamente nos controladores, o roaming do cliente deverá funcionar sem problemas. Esse recurso não é afetado pelo modo LWAPP (Camada 2 ou 3). Entretanto, é recomendável utilizar o LWAPP da Camada 3 sempre que possível.

P. Qual processo ocorre quando um cliente decide fazer roaming para um novo ponto de acesso (AP) ou controlador?

R. Esta é a seqüência de eventos que ocorrem quando um cliente faz roaming para um novo AP:

  1. O cliente envia uma solicitação de reassociação ao WLC através do AP.
  2. Como não há um fast secure roaming, o WLC solicita a identidade e as credenciais do cliente. Em seguida, o WLC autentica o cliente com a ajuda de um servidor RADIUS.
  3. Depois que a autenticação 802.1x do cliente é concluída com êxito, o WLC envia o pacote de mobilidade para outros membros do grupo de mobilidade e solicita informações sobre o cliente. O WLC envia essas informações para descobrir a qual WLC o cliente está associado no momento, bem como outras informações sobre esse cliente.
  4. O WLC ao qual o cliente está associado responde a essa mensagem de mobilidade.
  5. Com base nessa resposta, o WLC atualiza a entrada do cliente em seu banco de dados.

Nota:  O cliente wireless não envia uma solicitação de autenticação (802.11) durante a reassociação. Ele apenas envia a reassociação imediatamente. Em seguida, ele concluirá o processo de autenticação 802.1x.

P. Quais portas preciso habilitar para a comunicação via LWAPP (Lightweight Access Point Protocol) quando há um firewall na rede?

R. Você deve habilitar as seguintes portas:

  • Habilite estas portas UDP para o tráfego LWAPP:
    • Dados - 12222
    • Controle - 12223
  • Habilite estas portas UDP para o tráfego de mobilidade:
    • 16666 - 16666
    • 16667 - 16667
  • TCP 161 e 162 para SNMP (para o Wireless Control System [WCS])

Estas portas são opcionais (dependendo das suas necessidades):

  • UDP 69 para TFTP
  • TCP 80 e/ou 443 para HTTP ou HTTPS para acesso via GUI
  • TCP 23 e/ou 22 para Telnet ou secure shell (SSH) para acesso via CLI

P. Há suporte ao RARP (Reverse ARP) nos WLCs (Wireless LAN Controllers)?

R. O suporte ao RARP com WLCs está disponível na versão 4.0.217.0 ou posterior do firmware. Nenhuma das versões anteriores oferece suporte ao RARP.

P. Posso utilizar o servidor DHCP interno no WLC (Wireless LAN Controller) para atribuir endereços IP aos LAPs (Lightweight Access Points)?

R. Os controladores contêm um servidor DHCP interno. Esse servidor é normalmente utilizado nas filiais que ainda não têm um servidor DHCP. Geralmente a rede wireless contém dez pontos de acesso (APs) ou menos, sendo que os APs se encontram na mesma sub-rede IP que o controlador. O servidor interno fornece endereços DHCP aos clientes wireless, APs de conexão direta, APs no modo de aplicativo na interface de gerenciamento e solicitações DHCP que são retransmitidas a partir dos APs. Há suporte somente para LAPs. Os WLCs nunca oferecerão endereços para os dispositivos upstream. Não há suporte para a opção de DHCP 43 no servidor interno. Portanto, o AP deve utilizar um método alternativo para localizar o endereço IP da interface de gerenciamento do controlador, como broadcast da sub-rede local, DNS, priming ou descoberta sem fio.

Nota: As versões de firmware do WLC anteriores à 4.0 não oferecem suporte ao serviço DHCP em LAPs, a menos que os LAPs estejam conectados diretamente ao WLC. O recurso de servidor DHCP interno foi utilizado somente para fornecer endereços IP aos clientes que se conectam à rede LAN wireless.

P. Como o CCKM (Cisco Centralized Key Management) funciona em um ambiente LWAPP (Lightweight Access Point Protocol)?

R. Durante a associação inicial do cliente, o AP ou o WLC negocia uma PMK (pair-wise master key) depois que a autenticação 802.1x do cliente wireless é concluída com êxito. O WLC ou o AP do WDS armazena em cache a PMK de cada cliente. Quando um cliente wireless faz a reassociação ou o roaming, a autenticação 802.1x é ignorada e a PMK é imediatamente validada.

A única implementação especial do WLC no CCKM é que os WLCs fazem o intercâmbio do CCKM do cliente por meio de pacotes de mobilidade, como o UDP 16666.

P. Há uma forma de rastrear o nome do LAP (Lightweight Access Point) quando ele não está registrado no controlador?

R. Se o AP estiver totalmente inativo e não estiver registrado no controlador, não será possível rastreá-lo através do controlador. Você poderá apenas acessar o switch ao qual esses APs estão conectados e descobrir a qual porta do switch eles estão conectados utilizando este comando:

show mac-address-table address <mac address>

Isso fornecerá o número da porta do switch à qual o AP está conectado. Em seguida, execute este comando:

show cdp nei <type/num> detail

A saída desse comando também fornece o nome do LAP. Entretanto, esse método só poderá ser utilizado quando o AP estiver ativado e conectado ao switch.

P. Há suporte para Bridges Ethernet Linksys em uma Cisco Wireless Unified Solution?

R. Não. Embora a Cisco Wireless Unified Solution não ofereça suporte às Bridges Ethernet Linksys WET54G e WET11B, você poderá utilizar esses dispositivos em uma configuração dessa solução se seguir estas diretrizes:

  • Conecte somente um dispositivo à bridge WET54G ou WET11B.
  • Habilite o recurso de clonagem de MAC na bridge WET54G ou WET11B a fim de clonar o dispositivo conectado.
  • Instale o firmware e os drivers mais recentes nos dispositivos conectados à bridge WET54G ou WET11B. Essa diretriz é especialmente importante no caso de Impressoras JetDirect, pois versões anteriores do firmware causam problemas com DHCP.

Nota:  Como não há suporte para esses dispositivos na Cisco Wireless Unified Solution, o Suporte Técnico da Cisco não poderá ajudá-lo no troubleshooting de problemas associados a eles.

Perguntas Mais Freqüentes sobre os Recursos

P. Como defino o tipo de EAP (Extensible Authentication Protocol) no WLC (Wireless LAN Controller)? Desejo fazer a autenticação em um aplicativo ACS (Access Control Server) e recebo uma mensagem de tipo de EAP sem suporte nos logs.

R. Não há uma definição de tipo de EAP separada no WLC. Para LEAP (Light EAP), EAP-FAST (EAP Flexible Authentication via Secure Tunneling) ou MS-PEAP (Microsoft Protected EAP), configure simplesmente o IEEE 802.1x ou a WPA (Wi-Fi Protected Access) (se você utilizar o 802.1x com WPA). Qualquer tipo de EAP com suporte no back-end do RADIUS e no cliente será aceito por meio da marca 802.1x. A definição do EAP no cliente e no servidor RADIUS deverá ser a mesma.

Siga estes passos para habilitar o EAP através da GUI no WLC:

  1. Na janela Summary, clique em WLANs.
  2. Clique em New do lado direito da janela a fim de definir um novo SSID (service set identifier) para a WLAN.
  3. Na janela WLAN > New, insira o SSID da rede WLAN, escolha o identificador da WLAN no menu suspenso e clique em Apply. A janela WLAN > Edit será exibida.
  4. Escolha Security Policies > Layer 2 Security, escolha a autenticação 802.1x no menu suspenso e clique em Apply. Você também pode configurar os parâmetros 802.1x disponíveis na mesma janela. Em seguida, o WLC encaminhará os pacotes de autenticação EAP entre o cliente wireless e o servidor de autenticação. Para obter informações sobre como habilitar a opção EAP nos WLCs através da CLI (interface de linha de comando), consulte a seção Configurando a Segurança da Camada 2 de Configurando LANs Wireless.

P. O que é PKC e como ele funciona com o WLC (Wireless LAN Controller)?

R. PKC é o acrônimo de Proactive Key Caching. Ele foi criado como uma extensão do padrão 802.11i IEEE.

O PKC é um recurso habilitado nos Cisco 2006/410x/440x Series Controllers que permite que os clientes wireless equipados de forma adequada façam roaming sem uma reautenticação completa em um servidor AAA. Para compreender o PKC, é necessário primeiro entender o conceito de Armazenamento de Chaves no Cache.

O recurso de Armazenamento de Chaves no Cache foi adicionado à WPA2. Ele permite que uma estação móvel armazene no cache as chaves mestres (Pairwise Master Key [PMK]) obtidas através de uma autenticação bem-sucedida em um ponto de acesso (AP) e a reutilize em uma associação futura ao mesmo AP. Isso significa que um dispositivo móvel precisará se autenticar uma vez em um AP específico e armazenar a chave no cache para uso futuro. O Armazenamento de Chaves no Cache é gerenciado através de um mecanismo conhecido como PMKID (PMK Identifier), que consiste em um hash da PMK, uma seqüência de caracteres, a estação e os endereços MAC do AP. O PMKID identifica de maneira exclusiva a PMK.

Mesmo com o Armazenamento de Chaves no Cache, uma estação wireless deverá fazer a autenticação em cada AP do qual deseja obter um serviço. Isso resulta em latência e sobrecargas significativas, as quais atrasam o processo de entrega, bem como podem prejudicar o suporte a aplicativos em tempo real. Para resolver esse problema, o PKC foi introduzido com a WPA2.

O PKC permite que uma estação reutilize a PMK obtida anteriormente através de um processo de autenticação bem-sucedido. Isso torna desnecessário a autenticação da estação em novos APs durante o roaming.

Portanto, em um roaming dentro do controlador, quando um dispositivo móvel passa de um AP para outro no mesmo controlador, o cliente calcula novamente um PMKID utilizando a PMK usada anteriormente e apresenta-o durante o processo de associação. O WLC pesquisa o cache de PMKs para verificar se ele contém essa entrada. Se ele contiver, o WLC ignorará o processo de autenticação 802.1X e iniciará imediatamente o intercâmbio de chaves WPA2. Caso contrário, ele concluirá o processo de autenticação 802.1X padrão.

O PKC está habilitado por padrão com a WPA2. Portanto, quando você habilita a WPA2 como a segurança da Camada 2 na configuração de WLAN do WLC, o PKC é habilitado nesse controlador. Além disso, configure o servidor AAA e o cliente wireless para a autenticação EAP adequada.

O suplicante utilizado no cliente também deve oferecer suporte à WPA-2 para que o PKC funcione. O PKC também pode ser implementado em um ambiente de roaming entre controladores.

Nota: O PKC não funciona com o ADU (Aironet Desktop Utility) como o suplicante do cliente.

P. Há suporte para a atribuição de VLANs dinâmicas baseada no ID do usuário (através do RADIUS) em WLCs (Wireless LAN Controllers) no modo LWAPP (Lightweight Access Point Protocol) com pontos de acesso (APs) Cisco Aironet 1242? Em caso afirmativo, quantas VLANs podem ser mapeadas para um SSID (service set identifier)?

R. Sim, o suporte para a atribuição de VLANs dinâmicas baseada no ID de usuário do cliente (através do RADIUS) está disponível nos WLCs. Quando um nome de interface VLAN ou uma marca VLAN está presente na Aceitação de Acesso do RADIUS, o sistema coloca o cliente em uma interface específica. Para obter mais informações, consulte a seção Configurando a Rede de Identidade de Configurando Soluções de Segurança. Um SSID (uma WLAN, na terminologia do controlador) só poderá ser mapeado para uma VLAN (uma interface, na terminologia do controlador). Portanto, você poderá ter 16 VLANs diferentes para 16 SSIDs diferentes. Se você utilizar um AP convertido pelo Cisco IOS Software, como o Aironet 1241, a interface de rádio oferecerá suporte somente a oito SSIDs diferentes. Essa é uma limitação do hardware.

P. Há suporte para o IPv6 nos Cisco WLCs (Wireless LAN Controllers) e nos LAPs (Lightweight Access Points)?

R. No momento, os controladores das séries 4400 e 4100 só oferecem suporte à passagem de cliente IPv6. O suporte nativo ao IPv6 não está disponível.

Para habilitar o IPv6 no WLC, marque a caixa de seleção IPv6 Enable na configuração do SSID da WLAN, na página WLAN > Edit.

Além disso, o suporte ao IPv6 requer o EMM (Ethernet Multicast Mode). Se você desabilitar o EMM, os dispositivos clientes que utilizarem o IPv6 perderão a conectividade. Para habilitar o EMM, vá para a página Controller > General e, no menu suspenso Ethernet Multicast Mode, escolha Unicast ou Multicast. Isso habilitará o multicast no modo Unicast ou Multicast. Quando o multicast está habilitado como unicast, os pacotes são replicados em cada AP. Como esse procedimento poderá fazer uso intensivo do processador, utilize-o com cautela. O multicast habilitado como multicast utiliza o endereço multicast atribuído pelo usuário a fim de realizar um multicast mais tradicional para os pontos de acesso (APs).

Nota: Não há suporte para o IPv6 nos controladores 2006.

Além disso, há o bug da Cisco com ID CSCsg78176, que impede o uso da passagem IPv6 quando o recurso de anulação de AAA é utilizado.

P. Como configuro as definições de duplex no WLC (Wireless LAN Controller) e nos LAPs (Lightweight Access Points)?

R. Os produtos Wireless da Cisco funcionam melhor quando tanto a velocidade como o duplex são negociados automaticamente, mas você tem a opção de configurar as definições de duplex no WLC e nos LAPs.

Para configurar as definições de velocidade/duplex do AP, você pode configurar as definições de duplex dos LAPs no controlador e, em seguida, enviá-las aos LAPs. Este é o comando utilizado para configurar as definições de duplex através da CLI:

configure ap ethernet duplex <auto/half/full> speed <auto/10/100/1000>
   <all/Cisco AP Name>

Só há suporte para este comando nas versões 4.1 e posteriores.

Para configurar as definições de duplex das interfaces físicas do WLC, utilize este comando:

config port physicalmode {all | port} {100h | 100f | 10h | 10f}

Este comando define uma ou todas as portas Ethernet 10/100BASE-T do painel frontal para operação dedicada no modo full-duplex ou half-duplex, a 10 Mbps ou 100 Mbps. Observe que é necessário desabilitar a negociação automática com o comando config port autoneg antes de configurar manualmente qualquer modo físico na porta. Além disso, observe que o comando config port autoneg substitui as definições especificadas com o comando config port physicalmode . Por padrão, todas as portas são definidas para negociação automática.

Nota: Não é possível alterar as definições de velocidade nas portas de fibra.

P. Estamos nos preparando para implementar listas de controle de acesso (ACLs) em nossos WLCs (Wireless LAN Controllers). Temos SSIDs (service set identifiers) associados a marcas VLAN diferentes e, portanto, a segmentos IP diferentes. Na WLAN principal do usuário, desejamos permitir o acesso IP irrestrito à rede. Na WLAN secundária, desejamos restringir o acesso a alguns servidores específicos (quatro servidores) na rede interna, além do acesso à Internet. Temos três perguntas. Primeiro, se configurarmos uma ACL, o processamento da lista ocorrerá de cima para baixo e será interrompido quando uma entrada correspondente for encontrada?

R. As ACLs são lidas de cima para baixo, e seu processamento é interrompido quando uma entrada correspondente é encontrada.

P. Segundo, se tivermos definido uma lista de controle de acesso (ACL) e não houver nenhuma entrada correspondente na lista, o tráfego será permitido ou negado? Em outras palavras, se todas as nossas regras fizerem referência à rede IP do segmento de acesso restrito, o que acontecerá com o tráfego da sub-rede de acesso irrestrito?

R. Há uma negação implícita no final de toda lista de acesso. Portanto, se nenhuma correspondência for encontrada, o tráfego será negado. Você deverá adicionar instruções de permissão à sub-rede de acesso irrestrito se ela estiver na mesma interface.

P. Finalmente, há alguma forma de aplicar uma lista de controle de acesso (ACL) com base em uma interface lógica ou WLAN?

R. Sim, é possível aplicar uma ACL à WLAN. A sintaxe do comando é esta:

 config wlan acl [<Wlan id>] [<ACL name> | none]

P. O Cisco 2000 Series Wireless LAN Controller (WLC) oferece suporte à Autenticação de usuários convidados na Web? A solução WLC é capaz de impedir o broadcast do SSID (service set identifier)?

R. Todos os Cisco WLCs oferecem suporte à autenticação na Web. Siga estes passos para habilitar esse recurso:

  1. Na GUI, clique em Edit para editar os parâmetros específicos da WLAN, marque a caixa de seleção Web Authentication e clique em Apply.
  2. Salve sua configuração e faça a reinicialização para que o recurso de Autenticação na Web seja habilitado.
  3. Em Security, escolha Local Net User e execute estas ações:
    1. Defina o nome de usuário e a senha que o convidado deverá utilizar para fazer logon. Esses valores fazem distinção entre maiúsculas e minúsculas.
    2. Selecione o ID de WLAN utilizado.

R. Para desabilitar o broadcast do SSID, desmarque a caixa de seleção Broadcast SSID na janela WLAN Edit.

P. Tenho uma WLAN filtrada por MAC e outra totalmente aberta em minha rede. O cliente escolherá a WLAN aberta por padrão ou se associará automaticamente ao ID de WLAN definido no filtro MAC? Além disso, por que há uma opção "interface" em um filtro MAC?

R. O cliente poderá se associar a qualquer WLAN à qual esteja configurado para se conectar. A opção de interface no filtro MAC permite aplicar esse filtro a uma WLAN ou a uma interface. Se várias WLANs estiverem conectadas à mesma interface, você poderá aplicar o filtro MAC à interface sem a necessidade de criar um filtro para cada WLAN.

P. O que significa "Over the Air QoS" em um controlador?

R. Over the Air QoS é um parâmetro de QoS definido em um controlador. Ele varia de acordo com a classe do usuário.

Em um ambiente do Cisco Unified Wireless Networking, os usuários de uma LAN wireless podem ser categorizados e atribuídos a qualquer um destes perfis de QoS:

  • Platinum
  • Gold
  • Silver
  • Bronze

Esses perfis podem ser encontrados na página Controller > QoS profiles.

Para cada um desses perfis, a Cisco tem o parâmetro configurável Over the Air QoS, que é encontrado na página de edição de cada perfil. Esse parâmetro especifica duas definições diferentes para a classe de usuário específica (perfil de QoS):

  • Maximum radio frequency (RF) usage (per access point [AP]) — Esta é a porcentagem máxima de largura de banda aérea fornecida a uma classe de usuário. Por exemplo, se você tiver uma rede na qual o perfil de QoS do convidado tenha a limitação de largura de banda máxima de bronze definida como 10%, mesmo que um único usuário com perfil bronze esteja utilizando o AP, ele nunca poderá receber mais de 10% da largura de banda total disponível.
  • Queue Depth — Esta é a profundidade da fila da classe específica. Ela faz com que os pacotes maiores do que o valor especificado sejam descartados no AP.

    Nota: Somente a 1000 Series oferece suporte à definição máxima de uso de RF.

P. Configurei 512 usuários em meu controlador. Há alguma forma de aumentar o número padrão de usuários no WLC (Wireless LAN Controller)?

R. O banco de dados de usuário local tem um limite máximo de 2048 entradas e é definido com o valor padrão de 512 entradas na página Security > General. Esse banco de dados é compartilhado pelos usuários locais de gerenciamento (incluindo recepcionistas), usuários da rede (incluindo usuários convidados), entradas do filtro MAC e clientes desabilitados. Juntos, todos esses tipos de usuários não podem exceder o tamanho configurado do banco de dados.

Se você tentar configurar mais de 512 usuários sem aumentar o tamanho padrão do banco de dados, o WLC exibirá um erro. Por exemplo, se você tentar adicionar um filtro MAC quando já existirem 512 usuários configurados no banco de dados e o tamanho padrão desse banco de dados não tiver sido aumentado, a seguinte mensagem de erro será exibida:

Error in creating MAC filter

Para aumentar o banco de dados local para 2048, utilize este comando na CLI:

<Cisco Controller>config database size ?
<count>        Enter the maximum number of entries (512-2048)

P. O que é LAG (Link Aggregation)? Como habilito o LAG nos WLCs (Wireless LAN Controllers)?

R. O LAG agrupa todas as portas do sistema de distribuição de um controlador em um único EtherChannel. Isso reduz o número de endereços IP necessários para configurar as portas no controlador. Quando o LAG é habilitado, o sistema gerencia dinamicamente a redundância de portas e faz o balanceamento de carga dos pontos de acesso (APs) de forma transparente para o usuário.

Os Cisco 4400 Series Controllers oferecem suporte ao LAG nas releases 3.2 e posteriores do software; além disso, o LAG é habilitado automaticamente nos controladores no Cisco WiSM e no Catalyst 3750G Integrated Wireless LAN Controller Switch. Sem o LAG, cada porta do sistema de distribuição no controlador oferece suporte a até 48 APs. Com o LAG habilitado, a porta lógica de um controlador 4402 oferece suporte a até 50 APs, a porta lógica de um controlador 4404 oferece suporte a até 100 APs, e a porta lógica de cada controlador Cisco WiSM oferece suporte a até 150 APs.

Não há suporte para o LAG quando duas ou mais portas do controlador estão conectadas a switches diferentes.

Consulte Habilitando o Link Aggregation para obter mais informações sobre o LAG e como habilitá-lo em WLCs.

P. Temos uma rede wireless com mais de 500 pontos de acesso (APs); além disso, temos algumas VLANs que só podem existir em determinados prédios por motivos de segurança. Como restrinjo um SSID (service set identifier) por AP de modo que todos os SSIDs não sejam enviados a todos os APs no sistema?

R. Você pode utilizar o recurso de Anulação de WLAN. Siga estes passos para configurar esse recurso:

  1. Na GUI do WLC, navegue para Wireless e escolha se deseja trabalhar com os rádios IEEE 802.11b/g ou IEEE 802.11a.
  2. Para selecionar o AP que deseja modificar, clique no link Configure ao lado do nome desse AP.
  3. No menu suspenso WLAN Override, escolha Enable.

    Nota: O menu WLAN Override é o último item do lado esquerdo da janela.

    A lista de todas as WLANs configuradas no WLC será exibida.
  4. Nessa lista, marque as WLANs que devem aparecer no AP e clique em Apply.
  5. Salve sua configuração após fazer essas alterações. Se você salvar a configuração, as alterações serão mantidas quando o WLC for reinicializado.

P. Como posso configurar o controlador/LAP (Lightweight Access Point) para fazer a reautenticação no servidor RADIUS a cada três minutos ou em um período de tempo especificado?

R. O parâmetro de timeout de sessão na página WLAN > Edit pode ser utilizado para fazer isso. Por padrão, esse parâmetro é configurado como 1800 segundos antes de ocorrer uma reautenticação.

Altere esse valor para 180 segundos a fim de que a reautenticação do cliente ocorra após três minutos.

Quando enviado em um Access-Accept com um valor de Termination-Action da Solicitação RADIUS, o atributo Session-Timeout especifica o número máximo de segundos de serviço fornecido antes da reautenticação. Nesse caso, o atributo Session-Timeout é utilizado para carregar a constante reAuthPeriod na máquina de estado do Temporizador de Reautenticação de 802.1X.

P. O que é o recurso de Mobilidade Auto-anchor nas Unified Wireless Networks?

R. A Mobilidade Auto-anchor (ou mobilidade da WLAN convidada) é utilizada para melhorar o balanceamento de carga e a segurança dos clientes de roaming nas LANs wireless (WLANs). Sob condições normais, os dispositivos clientes ingressam em uma WLAN e são ancorados ao primeiro controlador com o qual entram em contato. Se um cliente fizer roaming para outra sub-rede, o controlador para o qual ele fez roaming configurará uma sessão externa para o cliente com o controlador âncora. Entretanto, esse recurso permite que você especifique um controlador ou um conjunto de controladores como pontos de ancoragem para os clientes em uma WLAN.

No modo de Mobilidade Auto-anchor, um subconjunto de um grupo de mobilidade é especificado como os controladores âncora de uma WLAN. Você pode utilizar esse recurso para restringir uma WLAN a uma única sub-rede, independentemente do ponto de entrada do cliente na rede. Em seguida, os clientes poderão acessar uma WLAN convidada em toda a empresa, mas ainda ficarão restritos a uma sub-rede específica. A Mobilidade Auto-anchor também é capaz de fornecer o balanceamento de carga geográfico, pois as WLANs podem representar uma seção específica de um prédio (como uma recepção, um restaurante etc.), criando efetivamente um conjunto de controladores domésticos para uma WLAN. Em vez de serem ancorados ao primeiro controlador com o qual entram em contato, os clientes móveis podem ser ancorados aos controladores que controlam os pontos de acesso em determinada área.

Nota: A âncora de mobilidade não deve ser configurada para mobilidade da Camada 3. Ela é utilizada somente para o tunneling do Convidado.

Quando um cliente se associa pela primeira vez a um controlador de um grupo de mobilidade que foi pré-configurado como uma âncora de mobilidade de uma WLAN, o cliente se associará ao controlador localmente, e uma sessão local será criada para ele. Os clientes podem ser ancorados somente aos controladores âncora pré-configurados da WLAN. Para determinada WLAN, você deve configurar o mesmo conjunto de controladores âncora em todos os controladores do grupo de mobilidade. Consulte Configurando a Mobilidade Auto-Anchor para obter mais informações.

P. Tenho um túnel de convidado, o túnel EoIP (Ethernet over IP), configurado entre meu WLC (Wireless LAN Controller) 4400, que funciona como o controlador âncora, e vários controladores remotos. Esse controlador âncora pode encaminhar broadcasts da sub-rede, por meio do túnel EoIP, a partir da rede com fio para os clientes wireless associados aos controladores remotos?

R. Não, o WLC 4400 não encaminha broadcasts da sub-rede IP do lado com fio para os clientes wireless por meio do túnel EoIP. Não há suporte para esse recurso. A Cisco não oferece suporte ao tunneling de broadcast ou multicast da sub-rede na topologia de acesso de convidados. A WLAN convidada força um ponto de presença do cliente para um local muito específico na rede, em sua maior parte fora do firewall. O tunneling de broadcast da sub-rede poderá ser um problema de segurança.

P. Os Cisco WLCs (Wireless LAN Controllers) oferecem suporte ao recurso de failover (ou redundância)?

R. Sim, se houver dois ou mais WLCs em sua rede WLAN, você poderá configurá-los para redundância. Consulte Exemplo de Configuração de Failover de WLAN Controllers para Lightweight Access Points para obter mais informações.

P. Como posso configurar VLANs em meu WLC (Wireless LAN Controller)?

R. Para configurar VLANs em seu WLC, siga o procedimento descrito no Exemplo de Configuração de VLANs em Wireless LAN Controllers.

P. Como posso configurar a autenticação TACACS para usuários de gerenciamento no WLC (Wireless LAN Controller)?

R. O suporte ao TACACS está disponível nos WLCs a partir da versão 4.1. Consulte Configurando o TACACS+ a fim de saber como configurar o TACACS+ para autenticar os usuários de gerenciamento do WLC.

P. Posso utilizar o servidor DHCP interno no WLC (Wireless LAN Controller) para atribuir endereços IP aos LAPs (Lightweight Access Points)?

R. Você pode fazer isso com a versão 4.0 no WLC. Todas as outras versões podem atribuir endereços IP somente aos clientes.

P. Qual é a utilidade das listas de controle de acesso (ACLs) de pré-autenticação nos WLCs (Wireless LAN Controllers)?

R. As ACLs de pré-autenticação são normalmente utilizadas para autenticação externa na Web com os 2000 Series WLCs. Em um Cisco 2000 Series WLC, você deve configurar uma ACL de pré-autenticação na WLAN para o servidor Web externo. Essa ACL deverá ser definida como a ACL de pré-autenticação da WLAN em Web Policy. Depois, essa ACL redirecionará o cliente para o URL de autenticação externa (no servidor Web externo).

Este é um exemplo de ACL de pré-autenticação:

wlc-design-ftrs-faq3.gif

Neste exemplo, 192.168.2.70 é o endereço IP do servidor Web externo.

Entretanto, não é necessário configurar uma ACL de pré-autenticação para os Cisco 4100 Series WLCs e os Cisco 4400 Series WLCs.

P. Em uma configuração de WLC (Wireless LAN Controller) e LWAPP (Lightweight Access Point Protocol), quais são os valores de DSCP (Differentiated Services Code Point) passados para o tráfego de voz? Como o QoS é implementado no controlador?

R. As WLANs da Cisco Unified Wireless Network (UWN) Solution oferecem suporte a quatro níveis de QoS:

  • Platinum/Voice
  • Gold/Video
  • Silver/Best Effort (padrão)
  • Bronze/Background

Você pode configurar a WLAN de tráfego de voz para utilizar o nível de QoS Platinum, atribuir o nível de QoS Bronze à WLAN de baixa largura de banda e atribuir os demais níveis de QoS a todo o tráfego restante.

Consulte Configurando o QoS (Quality of Service) para obter mais informações.

P. Quando um usuário wireless tentar se autenticar por meio da autenticação na Web em um SSID (service set identifier), e o WLC (Wireless LAN Controller) enviar a solicitação de autenticação a um ACS (Access Control Server) (RADIUS), qual endereço IP do WLC será utilizado como o endereço de origem do NAS (network access server) da perspectiva do servidor RADIUS neste cenário?

R. Utilize a interface de endereço IP de gerenciamento do WLC como o endereço IP do NAS.

P. É possível configurar um Cisco 2006 WLC (Wireless LAN Controller) como um controlador âncora de uma WLAN?

R. Não é possível designar um Cisco 2000 Series WLC como um controlador âncora de uma WLAN. Entretanto, uma WLAN criada em um Cisco 2000 Series WLC poderá ter um Cisco 4100 Series WLC e um Cisco 4400 Series WLC como âncora.

P. Quais são as explicações destas definições de timeout no controlador: Address Resolution Protocol (ARP) timeout, User timeout e Session timeout?

R. O ARP timeout é utilizado para excluir as entradas ARP da Interface de gerenciamento e do AP Manager.

O WLC só utilizará as definições user timeout e session timeout para encerrar as sessões do cliente se o balanceamento de carga agressivo estiver desabilitado.

A definição user timeout é utilizada nas situações em que um cliente poderá sair do LAP (lightweight access point) associado sem notificá-lo. Isso poderá ocorrer se a bateria do cliente acabar. Nesses casos, essa definição de timeout informará ao controlador quanto tempo ele deverá esperar o cliente wireless antes de cancelar sua autenticação e limpar a memória etc. Se o controlador receber um pacote do cliente, ele reinicializará esse temporizador e continuará a operação com o cliente. O timeout do usuário é global para o controlador.

A definição session timeout é o timeout geral de todos os clientes na LAN wireless (WLAN). Esse é um tempo fixo e não é redefinido por nenhum pacote. Se você utilizar um método EAP (Extensible Authentication Protocol) com o gerenciamento de chaves, a recodificação ocorrerá em intervalos regulares para obtenção de uma nova chave de criptografia. Sem o gerenciamento de chaves, esse valor de timeout será o tempo que os clientes wireless precisam para fazer uma reautenticação completa. O timeout de sessão é específico da WLAN.

O código foi alterado na versão 4.0 do Controlador; nessa versão, se você configurar a segurança da Camada 2 com WEP (Wired Equivalent Privacy) estático, CKIP (Cisco Key Integrity Protocol) ou WPA1+WPA2 (Wi-Fi Protected Access), o controlador definirá automaticamente o timeout de sessão como 0.

P. Qual é a utilidade da definição de falha por autenticação excessiva na Web em um WLC (Wireless LAN Controller)?

R. Essa definição é uma das políticas de exclusão de clientes. A exclusão de clientes é um recurso de segurança do controlador. A política é utilizada para criar uma lista de clientes não confiáveis, a fim de impedir o acesso ilegal à rede ou ataques à rede wireless.

Com essa política de falha por autenticação excessiva na Web habilitada, quando o número de tentativas mal-sucedidas de autenticação na Web de um cliente exceder o valor 5, o controlador considerará que o cliente excedeu o número máximo dessas tentativas e o colocará em uma lista de clientes não confiáveis.

R. Siga estes passos para habilitar ou desabilitar essa definição:

  1. Na GUI do WLC, vá para Security > Wireless Protection Policies > Client Exclusion Policies.
  2. Marque ou desmarque Excessive Web Authentication Failures.

P. Converti meu ponto de acesso (AP) autônomo no modo lightweight. No modo LWAPP (Lightweight AP Protocol) com o servidor RADIUS AAA para contabilização do cliente, normalmente o cliente é rastreado por meio da contabilização RADIUS com base no endereço IP do controlador. É possível definir a contabilização RADIUS com base no endereço MAC do AP associado a esse controlador e não no endereço IP do controlador?

R. Sim, é possível fazer isso por meio da configuração do controlador. Execute estes passos:

  1. Na GUI do controlador, em security > radius accounting, há uma caixa suspensa para Call Station ID Type. Escolha AP MAC Address.
  2. Verifique isso através do log do AP LWAPP. Nesse log, observe que o campo de ID da estação chamada exibe o endereço MAC do AP ao qual o cliente está associado.

P. Um WLC (Wireless LAN Controller) pode oferecer suporte à autenticação na Web utilizando um banco de dados LDAP (Lightweight Directory Access Protocol)?

R. No momento, os WLCs não oferecem suporte à autenticação na Web com o uso de um banco de dados LDAP.

P. Como é possível alterar o valor de timeout do handshake WPA (Wi-Fi Protected Access) em um WLC (Wireless LAN Controller) através da CLI ? Sei que posso fazer isso nos Pontos de Acesso (APs) do Cisco IOS® com o comando dot11 wpa handshake timeout value, mas como isso é possível em um WLC?

R. Até a release mais recente do WLC, não há uma opção disponível para aumentar o valor de timeout do handshake WPA.

P. Tenho algumas impressoras Zebra que executam a WPA (Wi-Fi Protected Access) e que precisam ter um valor maior de timeout do handshake WPA definido. Como no momento não existe um comando disponível no WLC (Wireless LAN Controller) para alterar esse valor, há algum outro método para fazer isso de modo que as impressoras Zebra funcionem melhor com o WLC?

R. O valor padrão de timeout do handshake WPA nos LPAs (Lightweight Access Points) é 100 milissegundos, o qual é muito curto para as impressoras Zebra. A solução para esse problema é alterar o AP para o modo REAP (Remote Edge AP). Assim, o valor de timeout do handshake será alterado automaticamente para 1000 milissegundos (1 seg), que é um valor compatível com as impressoras Zebra. Dessa maneira, você poderá modificar o valor de timeout do handshake WPA do WLC para que ele funcione melhor com essas impressoras.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 98673