Tecnología inalámbrica : Cisco Wireless LAN Controllers de la serie 4400

Preguntas Frecuentes sobre el Diseño y las Funciones de Wireless LAN Controller (WLC)

25 Agosto 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (20 Diciembre 2010) | Comentarios

Preguntas

Introducción
Preguntas Frecuentes sobre Diseño
Preguntas Frecuentes sobre Funciones
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En este documento, se proporciona información sobre las preguntas frecuentes acerca del diseño y de las funciones disponibles en un Wireless LAN Controller (WLC).

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones del documento.

Preguntas Frecuentes sobre Diseño

P. Una vez que el AP (access point) se registra en el WLC (Wireless LAN Controller), ¿se envía todo el tráfico de red desde y hacia un cliente WLAN a través de un Wireless LAN Controller (WLC)?

R. Cuando el AP se conecta con un controlador, se forma un túnel Lightweight Access Point Protocol (LWAPP) entre los dos dispositivos. Todo el tráfico, incluido todo el tráfico de clientes, se envía a través del túnel LWAPP.

La única excepción es cuando un AP está en modo Remote Edge AP (REAP). Cuando el AP está en modo REAP, el tráfico de control aún se envía a través del túnel al controlador, pero el tráfico de datos puenteado (bridged) localmente en la LAN local.

P. ¿Puedo instalar un punto de acceso (AP) en una oficina remota e instalar un Cisco Wireless LAN Controller (WLC) en mi oficina principal? ¿Funciona el Lightweight AP Protocol (LWAPP) sobre una WAN?

R. Sí, puede tener WLC a través de la WAN desde los AP. El LWAPP funciona sobre una WAN. Utilice el modo Remote Edge AP(REAP). El REAP permite que un controlador remoto conectado mediante un link WAN controle un AP. El tráfico es puenteado (bridged) localmente, lo cual evita el envío innecesario de tráfico local sobre el enlace WAN. Ésta es precisamente una de las mayores ventajas de tener WLC en una red inalámbrica.

Nota: No todos los AP Lightweight soportan REAP. Por ejemplo, el AP 1030 permite utilizar REAP, pero los AP 1010 y 1020 no permiten su uso. Antes de planear la implementación de REAP, controle si los AP permiten utilizarlo. Los AP con Cisco IOS® Software que se han convertido a LWAPP no permiten utilizar REAP.

P. Deseo configurar un Cisco 1030 Lightweight Access Point (LAP) con un Cisco Wireless LAN Controller (WLC) en modo Remote Edge AP(REAP). En este modo, ¿se envía por túnel todo el tráfico inalámbrico al WLC? Además, si el AP no puede contactar al WLC, ¿qué sucede con los clientes inalámbricos?

R. El AP 1030 envía por túnel todo el tráfico WLC (tráfico de control y administración) al WLC mediante el Lightweight AP Protocol (LWAPP). Todo el tráfico de datos se mantiene local al AP. El REAP 1030 sólo puede residir en una sola subred porque no puede realizar el etiquetado VLAN IEEE 802.1Q. Por lo tanto, el tráfico de cada service set identifier (SSID) termina en la misma subred de la red alámbrica. Por lo tanto, si bien es posible que el tráfico inalámbrico se segmente en el aire entre los SSID, el tráfico de usuario no se separa en la red alámbrica. El acceso a los recursos de red local se mantiene durante las interrupciones de WAN.

Durante las interrupciones del link WAN, todas las WLANs excepto la primera quedan fuera de servicio. Por lo tanto, utilice la WLAN 1 como WLAN primaria y planifique las políticas de seguridad en consecuencia. Para esta primera WLAN, Cisco recomienda utilizar un método de autenticación o encriptado local, por ejemplo, Wi-Fi Protected Access Pre-Shared Key (WPA-PSK).

Nota: Wired Equivalent Privacy (WEP) es suficiente, pero no se recomienda por sus conocidas vulnerabilidades de seguridad.

Si utiliza la WPA-PSK (o WEP), los usuarios configurados apropiadamente aún podrán obtener acceso a los recursos de la red local, incluso cuando el link WAN está inactivo.

P. ¿Cuál es la diferencia entre el Remote Edge AP(REAP) y el Hybrid-REAP (H-REAP)?

R. En esta tabla, se resumen las diferencias entre REAP y H-REAP:

wlc-design-ftrs-faq1.gif

Consulte Ejemplo de Configuración de Remote Edge AP(REAP) con AP Ligeros y Wireless LAN Controllers (WLC) para obtener más información sobre REAP.

Consulte Configuración de Hybrid-REAP para obtener más información sobre H-REAP.

P. Hemos instalado dos interfaces dinámicas diferentes en dos WLANs. Cada interfaz tiene su propia VLAN, que es diferente de la VLAN de la interfaz de administración. Aparentemente esto funciona, pero no hemos instalado los puertos trunk para permitir las VLANs que utilizan nuestras WLANs. ¿Etiqueta el punto de acceso (AP) los paquetes con la VLAN de la interfaz de administración?

R. El AP no etiqueta paquetes con la VLAN de la interfaz de administración. El AP encapsula los paquetes de los clientes con el Lightweight AP Protocol (LWAPP) y luego los pasa al WLC. El WLC quita el encabezado LWAPP y reenvía los paquetes a la gateway con la etiqueta VLAN correspondiente. La etiqueta VLAN depende de la WLAN a la que pertenece el cliente. El WLC depende de la gateway para rutear los paquetes a su destino. Para pasar tráfico por varias VLANs, debe configurar el uplink switch como puerto trunk. En este diagrama, se explica cómo funcionan las VLANs con los controladores:

wlc-design-ftrs-faq2.gif

P. Tengo diez Cisco 1000 Series Lightweight Access Points (LAP) y dos Wireless LAN Controllers (WLC) en la misma VLAN. ¿Cómo puedo registrar seis LAP para asociarlos a WLC1 y los otros cuatro LAP para asociarlos a WLC2?

R. El Lightweight AP Protocol (LWAPP) permite la redundancia dinámica y el balanceo de carga. Por ejemplo, si especifica más de una dirección IP para la opción 43, un LAP envía peticiones de detección LWAPP a cada una de las direcciones IP que recibe el AP. En la respuesta de detección LWAPP de WLC, el WLC incorpora la siguiente información:

  • Información sobre la carga LAP actual, que se define como la cantidad de LAP conectados al WLC en ese momento.
  • La Capacidad del LAP.
  • Cantidad de clientes inalámbricos que están conectados al WLC.

El LAP intenta conectarse con el WLC menos cargado, que es el que tiene mayor capacidad del LAP disponible. Además, después de que un LAP se conecta con un WLC, aprende las direcciones IPes de los demás WLC del grupo de movilidad a través de dicho WLC. Posteriormente, el AP envía peticiones de detección primarias LWAPP a cada uno de los WLC del grupo de movilidad. Los WLC proporcionan una respuesta de detección primaria al AP. La respuesta de detección primaria incluye información sobre el tipo de WLC, la capacidad total y la carga de AP actual. Mientras el WLC tenga el parámetro AP Fallback habilitado, el AP puede optar por cambiar a un WLC menos cargado.

Como opción alternativa, si desea que el LAP se conecte a un WLC específico, puede configurar los nombres de controlador primario, secundario y terciario cuando se prepara el LAP por primera vez. De este modo, cuando se implementa el LAP, éste busca el WLC que está marcado como primario y se registra con él. Si el WLC primario no está disponible, intenta registrarse con el WLC secundario, y así sucesivamente.

P. Tengo dos Wireless LAN Controllers (WLC), denominados WLC1 y WLC2, configurados dentro del mismo grupo de movilidad para failover. El Access Point Lightweight (LAP) actualmente está registrado con el WLC1. Si WLC1 falla, ¿se reinicia el AP registrado en WLC1 durante su transición hacia el WLC que funciona (WLC2)? Además, durante esta conmutación, ¿el cliente WLAN pierde la conectividad WLAN con el LAP?

R. Sí, si WLC1 falla, el LAP "desregistra" de WLC1, se reinicia y luego se vuelve a registrar en WLC2. Debido a que se reinicia el LAP, los clientes WLAN asociados pierden la conectividad con el LAP que se reinicia.

P. Si tengo un esquema de redundancia N+1 (2 controladores activos y 1 de respaldo) y he configurado la función override de WLAN en algunos o en todos los puntos de acceso (AP), ¿mantendrán éstos los valores de override de WLAN cuando conmuten por error al controlador de respaldo?

R. Los AP conservarán los valores de override de WLAN cuando se registren en otros controladores.

P. ¿Depende el roaming del modo Lightweight Access Point Protocol (LWAPP) que el Wireless LAN Controller (WLC) está configurado para utilizar? ¿Puede un WLC que opera en el modo LWAPP de capa 2 realizar roaming de capa 3?

R. Mientras los grupos de movilidad de los controladores estén configurados correctamente, el roaming de cliente debe funcionar bien. El roaming no se ve afectado por el modo LWAPP (ya sea de capa 2 o de capa 3). Sin embargo, se recomienda utilizar LWAPP de capa 3 siempre que sea posible.

P. ¿Cuál es el proceso de roaming que se produce cuando un cliente decide trasladarse a un punto de acceso (AP) o controlador nuevo?

R. Ésta es la secuencia de eventos que se produce cuando un cliente se traslada a un AP nuevo:

  1. El cliente envía una petición de reasociación a WLC a través del AP.
  2. Debido a que no existe Fast Secure Roaming, WLC solicita la identidad y las credenciales del cliente. Luego, el WLC autentica el cliente con la ayuda de un servidor RADIUS.
  3. Una vez que el cliente completa correctamente la autenticación 802.1x, el WLC envía el paquete de movilidad a los otros miembros del grupo de movilidad y solicita información sobre el cliente. El WLC envía esta información para averiguar a cuál WLC está asociado actualmente el cliente y para obtener otros datos sobre él.
  4. El WLC al que el cliente está asociado responde este mensaje de movilidad.
  5. Según esta respuesta, el WLC actualiza la entrada del cliente en su base de datos.

Nota: El cliente inalámbrico no envía una petición de autenticación (802.11) durante esta reasociación. El cliente inalámbrico sólo envía la reasociación en forma inmediata. Luego, pasará por la autenticación 802.1x.

P. ¿Qué puertos debo permitir para la comunicación mediante Lightweight Access Point Protocol (LWAPP) cuando hay un firewall en la red?

R. Debe activar los siguientes puertos:

  • Active los siguientes puertos UDP para el tráfico LWAPP:
    • Datos: 12222
    • Control: 12223
  • Active los siguientes puertos UDP para el tráfico de movilidad:
    • 16666 - 16666
    • 16667 - 16667
  • TCP 161 y 162 para SNMP (para Wireless Control System [WCS])

Los siguientes puertos son opcionales (según sus requisitos):

  • UDP 69 para TFTP
  • TCP 80 ó 443 para HTTP o HTTPS para el acceso a la Interfaz Gráfica de Usuario (GUI)
  • TCP 23 ó 22 para Telnet o Secure Shell (SSH) para el acceso a la Interfaz de la Línea de Comandos (CLI)

P. ¿Permiten los Wireless LAN Controllers (WLC) utilizar ARP Inverso (RARP)?

R. Los WLC con versión de firmware 4.0.217.0 o posteriores permiten utilizar el RARP. Las versiones anteriores no permiten utilizar el RARP.

P. ¿Puedo utilizar el servidor DHCP interno en el Wireless LAN Controller (WLC) para asignar las direcciones IP a los Access Point Lightweight (LAP)?

R. Los controladores contienen un servidor DHCP interno. Este servidor generalmente se utiliza en las sucursales que no tienen un servidor DHCP. La red inalámbrica generalmente contiene 10 puntos de acceso (AP) o menos, ubicados en la misma subred IP que el controlador. El servidor interno proporciona las direcciones DHCP a los clientes inalámbricos, los AP de conexión directa, los AP de modo dispositivo de la interfaz de administración y las peticiones DHCP que se retransmiten desde los AP. Sólo se permite utilizar los LAP. Los WLC nunca ofrecerán direcciones a los dispositivos en sentido ascendente. No se permite utilizar la opción 43 del DHCP en el servidor interno. Por lo tanto, el AP debe utilizar un método alternativo para ubicar la dirección IP de la interfaz de administración del controlador, por ejemplo, el broadcast de subred local, el Sistema de Nombres de Dominio (DNS), priming o over-the-air discovery.

Nota: Las versiones de firmware de WLC anteriores a la 4.0 no permiten utilizar el servicio DHCP para los LAP, a menos que los LAP estén conectados directamente al WLC. La función del servidor DHCP interno sólo se utilizó para proporcionar direcciones IP a los clientes que se conectan a la red LAN inalámbrica.

P. ¿Cómo funciona Cisco Centralized Key Management (CCKM) en un entorno de Lightweight Access Point Protocol (LWAPP)?

R. Durante la asociación inicial de cliente, el AP o WLC negocian una Pairwise Master Key [PMK] (Clave Maestra Pairwise) después de que el cliente inalámbrico pasa la autenticación 802.1x. El WLC o el AP de WDS almacenan la PMK de cada cliente en la memoria caché. Cuando un cliente inalámbrico se reasocia o se traslada, omite la autenticación 802.1x y valida la PMK en forma inmediata.

La única implementación especial del WLC en CCKM es que los WLC intercambian el CCKM de cliente a través de paquetes de movilidad, por ejemplo, UDP 16666.

P. ¿Existe alguna manera de realizar el seguimiento del nombre del Punto de Acceso Ligero (LAP) cuando no está registrado en el controlador?

R. Si su AP está completamente inactivo y no está registrado en el controlador, no hay manera de realizar un seguimiento del LAP a través del controlador. La única manera es acceder al switch al que estos AP están conectados y, por medio del siguiente comando, buscar el puerto de switch al que están conectados:

show mac-address-table address <mac address>

De esta manera, obtendrá el número de puerto del switch al que está conectado el AP. Luego, emita el siguiente comando:

show cdp nei <type/num> detail

El resultado de este comando también incluye el nombre del LAP. Sin embargo, este método sólo es posible cuando el AP está encendido y conectado al switch.

P. ¿Permite Cisco Wireless Unified Solution utilizar Ethernet Linksys Bridges?

R. No. Si bien Cisco Wireless Unified Solution no permite utilizar Ethernet Linksys Bridges WET54G o WET11B, estos dispositivos pueden utilizarse en una configuración de Wireless Unified Solution si se siguen las siguientes directrices:

  • Conecte sólo un dispositivo al WET54G o WET11B.
  • Active la función de clonación MAC en el WET54G o WET11B para clonar el dispositivo conectado.
  • Instale el firmware y los controladores más recientes en los dispositivos conectados al WET54G o WET11B. Esta directriz es especialmente importante en el caso de las impresoras JetDirect, ya que las versiones anteriores de firmware ocasionan problemas con el DHCP.

Nota: Debido a que Cisco Wireless Unified Solution no permite utilizar estos dispositivos, el Soporte Técnico de Cisco no puede ayudarlo a resolver problemas asociados con ellos.

Preguntas Frecuentes sobre Funciones

P. ¿Cómo configuro el tipo Extensible Authentication Protocol (EAP) en un Wireless LAN Controller (WLC)? Deseo autenticar en un dispositivo Access Control Server (ACS) y en los registros obtengo un tipo "unsupported EAP" ("EAP no soportado").

R. No existe una configuración separada para cada tipo de EAP en el WLC. Para Light EAP (LEAP), EAP Flexible Authentication via Secure Tunneling (EAP-FAST) o Microsoft Protected EAP (MS-PEAP), simplemente configure IEEE 802.1x o Wi-Fi Protected Access (WPA), si utiliza 802.1x con WPA. Todos los tipos de EAP soportados con el RADIUS de back end y el cliente se pueden utilizar con la etiqueta 802.1x. Los parámetros EAP del cliente y del servidor RADIUS deben coincidir.

Complete los siguientes pasos para activar el EAP a través de la GUI en el WLC:

  1. En la ventana Summary, haga clic en WLANs.
  2. Haga clic en New, a la derecha de la ventana, para definir un nuevo identificador de conjunto de servicios (SSID) para la WLAN.
  3. En la ventana WLAN > New, ingrese el SSID para la red WLAN, elija el identificador WLAN del menú desplegable y haga clic en Apply. Aparece la ventana WLAN > Edit.
  4. Elija Security Policies > Layer 2 Security, elija la autenticación 802.1x del menú desplegable y haga clic en Apply. También puede configurar los parámetros 802.1x que están disponibles en la misma ventana. Luego, el WLC reenvía los paquetes de autenticación EAP entre el cliente inalámbrico y el servidor de autenticación. Para obtener información sobre cómo activar la opción EAP en los WLC a través de la Interfaz de la Línea de Comandos (CLI), consulte la sección Configuración de Seguridad de Capa 2 de Configuración de LAN Inalámbricas.

P. ¿Qué es PKC y cómo funciona con el Wireless LAN Controller (WLC)?

R. PKC significa Proactive Key Caching. Se diseñó como una extensión del estándar IEEE 802.11i.

PKC es una función habilitada en los Cisco 2006/410x/440x Series Controllers que permite a los clientes inalámbricos apropiadamente equipados trasladarse sin la reautenticación completa con un servidor AAA. Para comprender PKC, primero debe comprender qué significa Key Caching (Almacenamiento de Claves en Memoria Caché).

Key Caching es una función que se agregó a WPA2. Esto permite que una estación móvil almacene en la memoria caché las claves maestras (Clave Maestra Pairwise [PMK]) que obtiene a través de una autenticación correcta con un punto de acceso (AP) y volver a utilizarla en una asociación futura con el mismo AP. Esto significa que un dispositivo móvil determinado se debe autenticar una vez con un AP específico, y almacenar la clave en la memoria caché para utilizarla en el futuro. Key Caching se procesa mediante un mecanismo conocido como Identificador PMK (PMKID), que es un hash de la PMK, una cadena, la estación y las direcciones MAC del AP. El PMKID identifica de manera exclusiva a la PMK.

Incluso con Key Caching, una estación inalámbrica debe autenticarse con cada AP del que desea obtener servicio. Esto introduce latencia y sobrecargas significativas, lo que demora el proceso de transferencia y puede inhibir la capacidad de permitir el uso de aplicaciones en tiempo real. Para resolver este problema, se introdujo PKC con WPA2.

PKC permite que una estación vuelva a utilizar una PMK que había obtenido previamente a través de un proceso de autenticación correcto. Esto evita que se deba autenticar la estación en los AP nuevos cuando se traslada.

Por lo tanto, en un roaming dentro del controlador, cuando un dispositivo móvil pasa de un AP a otro en el mismo controlador, el cliente vuelve a calcular un PMKID con la PMK previamente utilizada y lo presenta durante el proceso de asociación. El WLC busca su PMK en la memoria caché para determinar si tiene tal entrada. Si es así, omite el proceso de autenticación 802.1X e inmediatamente inicia el intercambio de claves de WPA2. De lo contrario, realiza el proceso de autenticación 802.1X estándar.

PKC está habilitado de forma predeterminada en WPA2. Por lo tanto, cuando activa WPA2 como seguridad de capa 2 en la configuración WLAN del WLC, PKC queda habilitado en el WLC. Además, configure el servidor AAA y el cliente inalámbrico para la autenticación EAP correspondiente.

El solicitante utilizado en lado el cliente también debe permitir el uso de WPA-2 para que PKC funcione. PKC también se puede implementar en un entorno de roaming entre controladores.

Nota: PKC no funciona con Aironet Desktop Utility (ADU) como solicitante de cliente.

P. ¿Permiten los Wireless LAN Controllers (WLC) en modo Lightweight Access Point Protocol (LWAPP) con Puntos de Acceso (AP) Cisco Aironet 1242 utilizar la asignación de VLAN dinámica basada en el User ID (a través de RADIUS)? Si es así, ¿cuántas VLANs se pueden mapear a un service set identifier (SSID)?

R. Sí, los WLC permiten utilizar la asignación de VLAN dinámica basada en el User ID del cliente (a través de RADIUS). Cuando un nombre de interfaz VLAN o una etiqueta VLAN está presente en una Aceptación de Acceso de RADIUS, el sistema ubica al cliente en una interfaz específica. Para obtener más información, consulte la sección Configuración de Identity Networking de Configuración de Soluciones de Seguridad. Un SSID (WLAN, en terminología de controladores) sólo se puede mapear a una VLAN (una interfaz, en terminología de controladores). Por lo tanto, puede tener 16 VLANs diferentes para 16 SSID diferentes. Si utiliza un AP convertido a Cisco IOS Software, por ejemplo, Aironet 1241, la interfaz de radio sólo permite utilizar 8 SSID diferentes. Ésta es una limitación de hardware.

P. ¿Permiten los Cisco Wireless LAN Controllers (WLC) y los Access Point Lightweight (LAP) utilizar IPv6?

R. Actualmente, los controladores de las series 4400 y 4100 sólo permiten utilizar passthrough de cliente IPv6. No se permite utilizar IPv6 nativo.

Para activar IPv6 en el WLC, marque la casilla de verificación IPv6 Enable en la configuración del SSID de WLAN en la página WLAN > Edit.

También se requiere el Modo de Multicast Ethernet (EMM) para que se permita utilizar IPv6. Si desactiva el EMM, los dispositivos de clientes que utilizan IPv6 pierden conectividad. Para activar el EMM, vaya a la página Controller > General y en el menú desplegable Ethernet Multicast Mode, elija Unicast o Multicast. Esto activa la multicast en el modo unicast o multicast. Cuando la multicast se activa como unicast por multicast, los paquetes se replican para cada AP. Esto puede requerir un uso intensivo del procesador, por lo que debe utilizarse con precaución. La multicast activada como multicast por multicast utiliza la dirección de multicast asignada al usuario para realizar una multicast más tradicional hacia los puntos de acceso (AP).

Nota: Los controladores 2006 no permiten utilizar IPv6.

Además, el Id. de error CSCsg78176 de Cisco impide el uso de la transferencia IPv6 cuando se utiliza la función AAA Override.

P. ¿Cómo establezco la configuración de duplex en el Wireless LAN Controller (WLC) y los Access Point Lightweight (LAP)?

R. Los productos inalámbricos Cisco funcionan mejor cuando la velocidad y el duplex se negocian automáticamente, pero tiene la opción de establecer la configuración de duplex en el WLC y los LAP.

Para establecer la configuración de duplex y velocidad de los AP, puede establecer la configuración de duplex de los LAP en el controlador y luego enviarla a los LAP. El siguiente es el comando para establecer la configuración de duplex a través de la CLI:

configure ap ethernet duplex <auto/half/full> speed <auto/10/100/1000>  
   <all/Cisco AP Name>

Este comando sólo es soportado en las versiones 4.1 o posteriores.

El siguiente es el comando para establecer la configuración de duplex para las interfaces físicas del WLC:

config port physicalmode {all | port} {100h | 100f | 10h | 10f}

Este comando establece uno o todos los puertos Ethernet 10/100BASE-T del panel frontal para la operación dedicada de half-duplex o full-duplex de 10 Mbps o 100 Mbps. Tenga en cuenta que debe desactivar la negociación automática con el comando config port autoneg antes de configurar manualmente un modo físico en el puerto. También tenga en cuenta que el comando config port autoneg anula la configuración realizada con el comando config port physicalmode. De forma predeterminada, todos los puertos están configurados con la negociación automática.

Nota: No se puede cambiar la configuración de velocidad en los puertos de fibra.

P. Estamos planeando implementar listas de control de acceso (ACL) en nuestros Wireless LAN Controllers (WLC). Tenemos identificadores de conjunto de servicio (SSID) que están todos asociados con etiquetas de VLANs diferentes y, por lo tanto, con distintos segmentos IP. En la WLAN de usuario primaria, deseamos acceso IP sin restricciones a la red. En nuestra WLAN secundaria, deseamos restringir el acceso a algunos servidores específicos (cuatro servidores) de la red inside, más el acceso a Internet. Tenemos tres preguntas. Primero, si configuramos una ACL, ¿el procesamiento de la lista se produce en orden descendente de la secuencia y se detiene cuando coincide una entrada?

R. Las ACL se leen en orden descendente y se detienen cuando coincide una entrada.

P. Segundo, si hemos definido una lista de control de acceso (ACL) y no hay coincidencias en la lista, ¿se permite o se deniega el tráfico? En otras palabras, si todas nuestras reglas se refieren a la red IP del segmento restringido, ¿qué sucede con el tráfico de nuestra subred sin restricciones?

R. Todas las listas de acceso tienen una denegación implícita al final. Por lo tanto, si no hay coincidencias, se deniega el tráfico. Si la subred sin restricciones está en la misma interfaz, debe agregar sentencias de permiso para esta subred.

P. Por último, ¿existe alguna manera de aplicar una lista de control de acceso (ACL) por WLAN o por interfaz lógica?

R. Sí, se puede aplicar una ACL a la WLAN. La siguiente es la sintaxis del comando:

 config wlan acl [<Wlan id>] [<ACL name> | none]

P. ¿Permite el Cisco 2000 Series Wireless LAN Controller (WLC) la autenticación web para usuarios invitados? ¿Puede la solución WLC abstenerse de el broadcast del identificador de conjunto de servicios (SSID)?

R. Todos los WLC de Cisco permiten utilizar la autenticación web. Complete los siguientes pasos para activar esta función:

  1. En la GUI, haga clic en Edit para editar los parámetros de la WLAN específica, marque la casilla de verificación Web Authentication y haga clic en Apply.
  2. Guarde y reinicie para que la función de autenticación web tenga efecto.
  3. En Security, elija Local Net User y realice las siguientes acciones:
    1. Defina el nombre de usuario y la contraseña que el invitado utilizará para iniciar sesión. Estos valores distinguen entre mayúsculas y minúsculas.
    2. Seleccione el Id. de WLAN que utiliza.

R. Para desactivar el broadcast del SSID, desmarque la casilla de verificación Broadcast SSID en la ventana Edit de la WLAN.

P. En mi red, tengo una WLAN filtrada por MAC y una WLAN completamente abierta. ¿Elige el cliente la WLAN abierta de forma predeterminada? ¿O el cliente se asocia automáticamente con el Id. de WLAN que está configurado en el filtro MAC? Además, ¿por qué hay una opción "interfaz" en el filtro MAC?

R. El cliente puede asociarse con cualquier WLAN a la cual el cliente está configurado para conectarse. La opción de interfaz del filtro MAC brinda la posibilidad de aplicar el filtro a una WLAN o a una interfaz. Si varias WLANs están vinculadas a la misma interfaz, puede aplicar el filtro MAC a la interfaz sin necesidad de crear un filtro para cada WLAN individual.

P. ¿Qué significa Calidad de Servicio (QoS) en el Aire en un controlador?

R. La QoS en el Aire es un parámetro de QoS definido en un controlador. Este parámetro varía según la clase de usuario.

En un entorno de Cisco Unified Wireless Networking, los usuarios de una LAN inalámbrica se pueden categorizar y asignar a uno de los siguientes perfiles de QoS:

  • Platinum (Platino)
  • Gold (Oro)
  • Silver (Plata)
  • Bronze (Bronce)

Estos perfiles se encuentran en la página Controller > QoS profiles.

Para cada uno de estos perfiles, Cisco tiene el parámetro configurable QoS en el Aire, que se encuentra en la página Edit de cada perfil QoS. Esta QoS en el Aire especifica dos configuraciones diferentes para cada clase de usuario determinada (perfil QoS):

  • Uso Máximo de Radiofrecuencia (RF) por Punto de Acceso (AP): Éste es el porcentaje máximo de ancho de banda en el aire otorgado a una clase de usuario. Por ejemplo, si tiene una red en la que el perfil QoS de invitados tiene establecido el límite máximo de ancho de banda en un 10%, incluso si un único usuario de bronce está utilizando el AP, nunca puede recibir más del 10% del total de ancho de banda disponible.
  • Profundidad de la Cola: Ésta es la profundidad de la cola para una clase determinada. Esto hace que se descarten del AP los paquetes que exceden el valor determinado.

    Nota: Sólo la serie 1000 permite utilizar la configuración de uso máximo de RF.

P. He configurado 512 usuarios en mi controlador. ¿Existe alguna manera de aumentar la cantidad predeterminada de usuarios en el Wireless LAN Controller (WLC)?

R. La base de datos de usuarios locales está limitada a un máximo de 2048 entradas y está configurada con un valor predeterminado de 512 entradas en la página Security > General. Esta base de datos es compartida por los usuarios de administración locales (incluidos los embajadores), los usuarios de red (incluidos los usuarios invitados), las entradas del filtro MAC y los clientes deshabilitados. Juntos, todos estos tipos de usuario no pueden exceder el tamaño configurado de la base de datos.

Si intenta configurar más de 512 usuarios sin aumentar el tamaño predeterminado de la base de datos, el WLC muestra un error. Por ejemplo, si intenta agregar un filtro MAC cuando ya hay 512 usuarios configurados en la base de datos, y no se aumentó el valor predeterminado del tamaño de la base de datos, aparece el siguiente mensaje de error:

Error in creating MAC filter

Para aumentar la base de datos local a 2048, utilice el siguiente comando de la CLI:

<Cisco Controller>config database size ?
<count>        Enter the maximum number of entries (512-2048)

P. ¿Qué es Link Aggregation (LAG)? ¿Cómo activo la LAG en los Wireless LAN Controllers (WLC)?

R. La LAG agrupa todos los puertos del sistema de distribución de un controlador en un único EtherChannel. Esto reduce la cantidad de direcciones IP necesarias para configurar los puertos en el controlador. Cuando la LAG está habilitada, el sistema administra dinámicamente la redundancia de puertos y equilibra la carga de los puntos de acceso (AP) de modo transparente para el usuario.

Los Cisco 4400 Series Controllers permiten utilizar la LAG en las versiones de software 3.2 y posteriores, y la LAG está habilitada automáticamente en los controladores incluidos en Cisco WiSM y Catalyst 3750G Integrated Wireless LAN Controller Switch. Sin la LAG, cada puerto del sistema de distribución del controlador permite utilizar hasta 48 AP. Con la LAG habilitada, el puerto lógico de un controlador 4402 permite utilizar hasta 50 AP, el puerto lógico de un controlador 4404 permite utilizar hasta 100 AP y el puerto lógico de cada controlador Cisco WiSM permite utilizar hasta 150 AP.

No se permite utilizar la LAG cuando dos o más puertos del controlador están conectados a switches diferentes.

Consulte Activación de Link Aggregation para obtener más información sobre la LAG y cómo activarla en los WLC.

P. Tenemos una red inalámbrica con más de 500 puntos de acceso (AP), y tenemos algunas VLANs que sólo pueden existir en ciertos edificios por razones de seguridad. ¿Cómo restrinjo un service set identifier (SSID) por AP para que no se envíen todos los SSID a todos los AP del sistema?

R. Puede utilizar la función WLAN Override. Complete los siguientes pasos para configurar la Override de WLAN:

  1. En la GUI del WLC, vaya a Wireless y elija si desea trabajar con los radios IEEE 802.11b/g o los radios IEEE 802.11a.
  2. Para seleccionar el AP que desea modificar, haga clic en el link Configure que se encuentra junto al nombre de ese AP.
  3. En el menú desplegable WLAN Override, elija Enable.

    Nota: El menú WLAN Override es el último elemento a la izquierda de la ventana.

    Aparece la lista de todas las WLANs que están configuradas en el WLC.
  4. En esta lista, seleccione las WLANs que desea que aparezcan en el AP y haga clic en Apply.
  5. Guarde la configuración después de realizar estos cambios. Si guarda la configuración, se conservan los cambios cuando se reinicia el WLC.

P. ¿Cómo puedo configurar el controlador y los Access Point Lightweight (LAP) para volver a realizar la autenticación con el servidor RADIUS cada tres minutos u otro período de tiempo especificado?

R. Puede utilizar el parámetro de tiempo de espera de sesión en la página WLAN > Edit. De forma predeterminada, el parámetro de tiempo de espera de sesión está configurado para que se vuelva a realizar una autenticación cada 1800 segundos.

Cambie este valor a 180 segundos para que el cliente se vuelva a autenticar cada tres minutos.

Cuando se envía en un mensaje Access-Accept junto con un valor Termination-Action de petición RADIUS, el atributo Session-Timeout especifica la cantidad máxima de segundos de servicio proporcionado antes de la reautenticación. En este caso, el atributo Session-Timeout se utiliza para cargar la constante reAuthPeriod dentro de la máquina de estado Temporizador de Reautenticación de 802.1X.

P. ¿Qué es la función Auto-anchor Mobility en Unified Wireless Networks?

R. Auto-anchor Mobility (o movilidad de WLAN de invitados) se utiliza para mejorar el balanceo de carga y la seguridad de los clientes de roaming en las LAN inalámbricas (WLAN). En condiciones normales de roaming, los dispositivos de clientes se conectan a una WLAN y se anclan al primer controlador que contactan. Si un cliente se traslada a otra subred, el controlador al cual se traslada el cliente establece una sesión remota para el cliente con el controlador de anclaje. Sin embargo, mediante el uso de la función Auto-anchor Mobility, se puede especificar un controlador o un grupo de controladores como puntos de anclaje para los clientes de una WLAN.

En el modo Auto-anchor Mobility, se especifica un subgrupo de un grupo de movilidad como controladores de anclaje de una WLAN. Puede utilizar esta función para restringir una WLAN a una sola subred, independientemente del punto de entrada de un cliente a la red. Los clientes pueden acceder a una WLAN de invitados a través de una empresa pero aún estarán restringidos a una subred específica. La Movilidad de Anclaje Automático también puede proporcionar un balanceo de carga geográfico, ya que la WLAN puede representar una sección determinada de un edificio (por ejemplo, un vestíbulo, un restaurante, etcétera), lo cual efectivamente crea un grupo de controladores locales de una WLAN. En lugar de anclarse al primer controlador que contactan, los clientes móviles pueden anclarse a los controladores que controlan los puntos de acceso de un área determinada.

Nota: El anclaje de movilidad no debe configurarse para la movilidad de capa 3. El anclaje de movilidad sólo se utiliza para la tunelización de Invitados.

Cuando un cliente se asocia por primera vez a un controlador de un grupo de movilidad que se ha configurado previamente como un anclaje de movilidad de una WLAN, el cliente se asocia localmente al controlador, y se crea una sesión local para el cliente. Los clientes sólo se pueden anclar a los controladores de anclaje previamente configurados de la WLAN. Para una WLAN determinada, debe configurar el mismo grupo de controladores de anclaje en todos los controladores del grupo de movilidad. Consulte Configuración de la Auto-anchor Mobility para obtener más información.

P. Tengo una tunelización de invitados, túnel Ethernet sobre IP (EoIP), configurada entre mi 4400 Wireless LAN Controller (WLC), que funciona como el controlador de anclaje, y varios controladores remotos. ¿Puede este controlador de anclaje reenviar difusiones de subred a través del túnel EoIP desde la red alámbrica a los clientes inalámbricos asociados con los controladores remotos?

R. No, WLC 4400 no reenvía difusiones de subred IP desde la red alámbrica a los clientes inalámbricos a través del túnel EoIP. Ésta no es una función soportada. Cisco no permite utilizar la tunelización de broadcast o multicast de subred en una topología de acceso de invitados. La WLAN de invitados ubica el punto de presencia de un cliente en una ubicación muy específica de la red, generalmente fuera del firewall. La tunelización de el broadcast de subred puede ser un problema de seguridad.

P. ¿Permiten los Cisco Wireless LAN Controllers (WLC) utilizar la función de failover (o redundancia)?

R. Sí, si tiene dos o más WLC en su red WLAN, puede configurarlos para redundancia. Consulte Ejemplo de Configuración de Failover del Controlador de WLAN para Access Point Lightweight para obtener más información.

P. ¿Cómo puedo configurar las VLANs en un Wireless LAN Controller (WLC)?

R. Para configurar las VLANs en un WLC, complete el procedimiento del Ejemplo de Configuración de VLAN en Wireless LAN Controllers.

P. ¿Cómo puedo configurar la autenticación TACACS para los usuarios de administración en un Wireless LAN Controller (WLC)?

R. A partir de la versión 4.1 de WLC, los WLC permiten utilizar TACACS. Consulte Configuración de TACACS+ para comprender cómo configurar TACACS+ a fin de autenticar usuarios de administración de un WLC.

P. ¿Puedo utilizar el servidor DHCP interno en el Wireless LAN Controller (WLC) para asignar las direcciones IP a los Access Point Lightweight (LAP)?

R. Puede hacerlo con la versión 4.0 de WLC. Todas las otras versiones pueden asignar direcciones IP sólo a los clientes.

P. ¿Para qué sirven las listas de control de acceso (ACL) de autenticación previa en los Wireless LAN Controllers (WLC)?

R. Las ACL de autenticación previa normalmente se utilizan para la autenticación web externa en 2000 Series WLC. En Cisco 2000 Series WLC, debe configurar una ACL de autenticación previa en la WLAN para el servidor web externo. En la Política de Red, esta ACL debe establecerse como la ACL de autenticación previa de la WLAN. La ACL de autenticación previa luego redirige el cliente a la dirección URL de autenticación externa (en el servidor web externo).

El siguiente es un ejemplo de ACL de autenticación previa:

wlc-design-ftrs-faq3.gif

En este ejemplo, 192.168.2.70 es la dirección IP del servidor web externo.

Sin embargo, no es necesario configurar ninguna ACL de autenticación previa para Cisco 4100 Series WLC y Cisco 4400 Series WLC.

P. En una configuración de Wireless LAN Controller (WLC) y Lightweight Access Point Protocol (LWAPP), ¿qué valores de Differentiated Services Code Point (DSCP) pasan para el tráfico de voz? ¿Cómo se implementa la QoS en el controlador?

R. Las WLANs de Cisco Unified Wireless Network (UWN) Solution permiten utilizar cuatro niveles de QoS:

  • Platinum/Voz
  • Gold/Video
  • Silver/Mejor Esfuerzo (predeterminado)
  • Bronze/Segundo Plano

Puede configurar la WLAN de tráfico de voz para utilizar Platinum QoS, asignar la WLAN de ancho de banda bajo para utilizar Bronze QoS y asignar todo el otro tráfico a los niveles de QoS restantes.

Consulte Configuración de la Calidad de Servicio para obtener más información.

P. Cuando un usuario inalámbrico intenta autenticarse mediante la autenticación web en un service set identifier (SSID) y el Wireless LAN Controller (WLC) envía la petición de autenticación a un Access Control Server (ACS), RADIUS, ¿qué dirección IP de WLC se utiliza como dirección de origen para el servidor de acceso a la red (NAS) desde la perspectiva del servidor RADIUS en este escenario?

R. Utilice la interfaz de la dirección IP de administración de WLC para la dirección IP del NAS.

P. ¿Se puede configurar Cisco 2006 Wireless LAN Controller (WLC) como anclaje para una WLAN?

R. No se puede designar un Cisco 2000 Series WLC como anclaje para una WLAN. Sin embargo, una WLAN creada en Cisco 2000 Series WLC puede tener como anclaje un Cisco 4100 Series WLC y Cisco 4400 Series WLC.

P. ¿Qué significan estas configuraciones de tiempo de espera en el controlador: tiempo de espera de Address Resolution Protocol (ARP), tiempo de espera de usuario y tiempo de espera de sesión?

R. El tiempo de espera ARP se utiliza para eliminar las entradas ARP de administración y de la Interfaz de Administración del AP.

El WLC sólo utiliza el tiempo de espera de usuario y el tiempo de espera de sesión para terminar las sesiones de clientes si agressive load balancing está deshabilitado.

El tiempo de espera de usuario se utiliza en situaciones en las que un cliente puede salir de su Punto de Acceso Ligero (LAP) asociado sin notificar al LAP. Esto puede ocurrir si al cliente se le acaba la batería. En tales casos, esta configuración de tiempo de espera le indica al controlador cuánto debe esperar a un cliente inalámbrico determinado antes de anular la autenticación de ese cliente, limpiar la memoria, etcétera. Si el controlador recibe un paquete del cliente, restablece este temporizador y continúa la operación con el cliente. El tiempo de espera de usuario es global para el controlador.

El tiempo de espera de sesión es el tiempo de espera total para todos los clientes de la LAN inalámbrica (WLAN). Es un tiempo fijo y no se restablece mediante paquetes. Si utiliza un método de Extensible Authentication Protocol (EAP) con administración de claves, la regeneración de claves se produce cada intervalos regulares para derivar una nueva clave de encriptado. Sin la administración de claves, este valor de tiempo de espera es el tiempo que los clientes inalámbricos necesitan para realizar una reautenticación completa. El tiempo de espera de sesión es específico para la WLAN.

El código se ha cambiado para el Controller versión 4.0, donde si se configura una seguridad de capa 2 con Wired Equivalent Privacy (WEP) estática, Cisco Key Integrity Protocol (CKIP) o Acceso Protegido Wi-Fi (WPA1+WPA2), el controlador automáticamente establece el tiempo de espera de sesión en 0.

P. ¿Para qué sirve el parámetro excessive web authentication failure en un Wireless LAN Controller (WLC)?

R. Esta configuración es una de las políticas de exclusión de clientes. La exclusión de clientes es una función de seguridad del controlador. La política se utiliza para crear una lista negra de clientes a fin de impedir el acceso ilegal a la red o los ataques a la red inalámbrica.

Al activar esta política de excessive web authentication failure, , cuando un cliente realiza más de 5 intentos de autenticación web erróneos, el controlador considera que el cliente ha superado el máximo de intentos de autenticación web y coloca al cliente en una lista negra.

R. Complete los siguientes pasos para activar o desactivar esta configuración:

  1. En la GUI del WLC, vaya a Security > Wireless Protection Policies > Client Exclusion Policies.
  2. Marque o desmarque Excessive Web Authentication Failures.

P. He convertido el punto de acceso (AP) autónomo al modo ligero. En el modo Lightweight AP Protocol (LWAPP) con el servidor RADIUS AAA para la contabilidad de clientes, normalmente se realiza el seguimiento del cliente con la contabilidad RADIUS basada en la dirección IP del controlador. ¿Es posible configurar la contabilidad RADIUS basada en la dirección MAC del AP asociado a ese controlador y no a la dirección IP del controlador?

R. Sí, esto se puede realizar mediante la configuración del lado del controlador. Complete los siguientes pasos:

  1. En la GUI del controlador, en security > radius accounting, se encuentra la casilla desplegable Call Station ID Type. Elija AP MAC Address.
  2. Verifique esto mediante el log LWAPP AP. Allí puede ver el campo Called-Station ID, donde se muestra la dirección MAC del AP al que está asociado un cliente determinado.

P. ¿Puede un Wireless LAN Controller (WLC) permitir el uso de la autenticación web con la base de datos del Lightweight Directory Access Protocol (LDAP)?

R. Actualmente, un WLC no permite utilizar la autenticación web con la base de datos del LDAP.

P. ¿Cómo se cambia el valor del tiempo de espera del handshake de Wi-Fi Protected Access (WPA) en un Wireless LAN Controller (WLC) a través de la CLI? Sé que en los puntos de acceso (AP) de Cisco IOS®, puedo hacerlo con el comando dot11 wpa handshake timeout value, ¿pero cómo se realiza esto en un WLC?

R. Hasta la versión más reciente de WLC, no hay una opción disponible en los WLC para aumentar el valor del tiempo de espera de WPA handshake.

P. Tengo algunas impresoras Zebra en las que se ejecuta el Wi-Fi Protected Access (WPA) y necesito configurar un valor más prolongado para el tiempo de espera de WPA handshake. Dado que actualmente no existe un comando disponible en los Wireless LAN Controllers (WLC) para cambiar el valor del tiempo de espera de WPA handshake, ¿existe algún otro método para realizar esto a fin de que las impresoras Zebra funcionen mejor con el WLC?

R. Los Access Point Lightweight (LAP) tienen 100 milisegundos como valor predeterminado de tiempo de espera de WPA handshake, lo cual es muy poco para las impresoras Zebra. La solución para este problema es cambiar el AP al modo Remote Edge AP(REAP). Luego, el valor de tiempo de espera de entrada en contacto se cambia automáticamente a 1000 milisegundos (1 segundo), lo cual es soportado en las impresoras Zebra. De este modo, puede modificarse el valor del tiempo de espera de WPA handshake en el WLC para que funcione mejor con las impresoras Zebra.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 98673