Tecnología inalámbrica / Movilidad : LAN inalámbrica (WLAN)

Mejores prácticas de la configuración del regulador del Wireless LAN (WLC)

16 Noviembre 2013 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (17 Abril 2008) | Inglés (18 Octubre 2013) | Comentarios

Introducción

Este documento ofrece breves consejos de configuración que cubren varios problemas de la Infraestructura unificada inalámbrica que se tratan habitualmente en el Centro de Asistencia Técnica (TAC). El objetivo es proporcionar las NOTAS IMPORTANTES que usted puede aplicar en la mayoría de las implementaciones de la red para minimizar los Posibles problemas.

Nota: No todas las redes son iguales, por lo tanto algunas extremidades no pudieron ser aplicables en su instalación. Verifiquelas siempre antes de que usted realice cualquier cambio en una red en funcionamiento.

Contribuido por los ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Conocimiento de cómo configurar el regulador del Wireless LAN (WLC) y el Lightweight Access Point (REVESTIMIENTO) para la operación básica

  • Conocimientos básicos del control y aprovisionamiento de los métodos del protocolo y de la seguridad de red inalámbrica de los untos de acceso de red inalámbrica (CAPWAP)

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • WLC del módulo (WiSM)/de las WiSM2 Series de Cisco 5508/4400/7500/Servicios inalámbricos que ejecuta la versión de firmware 7,4

  • Puntos de acceso CAPWAP-basados, serie 1140/1260/3500/1600/2600/3600

    Nota: Cualquier referencia a 4400 WLCs se basa en la versión de firmware 7,0.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Mejores medidas

Wireless/RF

Éstas son las mejores prácticas para la Tecnología inalámbrica/el Radiofrecuencia (RF):

  • Para cualquier despliegue inalámbrico, haga siempre un estudio sobre el sitio apropiado para asegurar la calidad adecuada del servicio para sus clientes de red inalámbrica. Los requisitos para las implementaciones de la Voz o de la ubicación son más estrictos que para los servicios de datos. El RF auto pudo ayudar en la Administración del canal y de las configuraciones de energía, pero no puede corregir un mún diseño RF.

  • El estudio sobre el sitio se debe hacer con los dispositivos que hacen juego el poder y el comportamiento de la propagación de los dispositivos de ser utilizado en la red real. Por ejemplo, no utilice una radio 1240 802.11B/G con la antena del omni para estudiar la cobertura si los usos de la red finales 3600 radios duales para el 802.11a y G con las velocidades de datos N.

    • Usted debe planear cuidadosamente el proceso para inhabilitar o para habilitar las velocidades de datos. Si su cobertura es suficiente, es a menudo una buena idea inhabilitar lentamente las velocidades de datos inferiores uno por uno. Las tramas de la Administración como el ACK o los faros serán enviados a la tarifa obligatoria más baja (típicamente 1Mbps) que retrasa la producción entera.

    • Es también bueno intentar no tener demasiadas velocidades de datos soportadas de modo que los clientes desplacen su tarifa hacia abajo más rápidamente. Los clientes intentan típicamente enviar a la velocidad de datos más rápida que pueden y si la trama no la hizo a través, que retransmitirán a 1 velocidad de datos debajo de ése y así sucesivamente hasta que vaya a través. El retiro de algunas velocidades soportadas significa que los clientes que retransmiten una trama directamente desplazan varias velocidades de datos hacia abajo, que aumenta la ocasión para que la trama vaya a través en la segunda tentativa.

    • Recuerde que las tramas de la Administración están enviadas a la tarifa obligatoria más baja. El Multicast se envía a la tarifa obligatoria más alta.

    • Usted puede ser que tome una decisión consciente para no inhabilitar todas las tarifas debajo de 11Mbps (incluido) para parar el soporte de los clientes 802.11b-only.

    • Los comandos CLI son: la tarifa del 802.11b de los config inhabilitada/obligatoria/soportó el list> del <rate y la tarifa del 802.11a de los config inhabilitada/obligatoria/soportó el list> del <rate.

  • En la misma idea relacionada, limite el número de los identificadores del conjunto de servicio (SSID) configurados en el regulador. Usted puede configurar 16 SSID simultáneos (por la radio en cada punto de acceso), sino como cada WLAN/SSID necesita las respuestas separadas de la sonda y el balizaje, la contaminación RF aumenta mientras que se agregan más SSID. Los resultados son que algunas estaciones inalámbricas más pequeñas como el PDA, los teléfonos de WiFi, y los escáneres del código de barras no pueden hacer frente a un número alto de información básica SSID (BSSID). Esto da lugar a las cárceles, a las recargas, o a los errores de la asociación. También más SSID, el balizaje necesario, así que menos espacio RF están disponibles para los datos reales transmiten.

  • Para los entornos RF que son espacios claros, como las fábricas donde hay Puntos de acceso en un espacio grande sin las paredes, puede ser que sea necesario ajustar el umbral de la potencia de transmisión del valor por defecto del dBm -65, a un valor inferior como el dBm -76. Esto permite que usted baje la interferencia del cocanal (número de BSSID recibido noticias un cliente de red inalámbrica en un momento dado). El mejor valor es dependiente en las características ambientales de cada sitio, así que debe ser evaluado cuidadosamente con un estudio sobre el sitio.

    El poder transmite el umbral - Este valor, expresado en el dBm, es el nivel de la señal del atajo en el cual el algoritmo del control de potencia de transmisión (TPC) ajusta los niveles de potencia hacia abajo, tales que este valor es la fuerza en la cual oyen al tercer vecino más fuerte de un AP.

  • Un cierto software de cliente del 802.11 pudo encontrar las dificultades si oye más que cierto número fijo de BSSIDs (por ejemplo, 24 o 32 BSSIDs.) Cuando usted reduce el umbral de la potencia de transmisión y por lo tanto el AP medio transmite el nivel, usted puede reducir el número de BSSIDs que tales clientes oyen.

  • No habilite el Equilibrio de carga agresivo a menos que la red tenga una alta densidad de los Puntos de acceso disponibles en el área, y nunca si hay Voz sobre la Tecnología inalámbrica. Si usted habilita esta característica con los Puntos de acceso espaciados demasiado lejos de uno a, puede ser que confunda el algoritmo de itinerancia de algunos clientes e induzca los agujeros de la cobertura en algunos casos.

Conectividad de red

Éstas son las mejores prácticas para la conectividad de red:

  • No utilice atravesar - árbol en los reguladores.

    Para la mayoría de las topologías, el Spanning Tree Protocol (STP) esos funcionamientos en el regulador no es necesario. El STP se inhabilita por abandono.

    Para el Switches del no Cisco, se recomienda que usted también inhabilita el STP en una basada en cada puerto.

    Ingrese este comando para verificar:

    Cisco Controller) >show spanningtree switch

    STP Specification...................... IEEE 802.1D
    STP Base MAC Address................... 00:18:B9:EA:5E:60
    Spanning Tree Algorithm................ Disable
    STP Bridge Priority.................... 32768
    STP Bridge Max. Age (seconds).......... 20
    STP Bridge Hello Time (seconds)........ 2
    STP Bridge Forward Delay (seconds)..... 15
  • Aunque la mayor parte de la configuración de controlador sea “simultánea aplicado”, es buena idea recargar los reguladores después de que usted cambie estos valores de configuración:

    • Dirección de administración

    • Configuración SNMP

  • Generalmente, la interfaz de administración del WLC se deja untagged. En este caso, el paquete enviado a y desde la interfaz de administración asume el VLAN nativo del puerto troncal con el cual el WLC está conectado. Sin embargo, si usted quisiera que la interfaz de administración estuviera en un diverso VLA N, marqúelo con etiqueta al VLA N apropiado con el comando vlan del <vlan-id> de la Administración de la interfaz de los config de Controller> del <Cisco. Asegúrese de que el VLAN correspondiente esté permitido en el switchport y marcado con etiqueta por el trunk (vlan extranjero).

  • Para todos los puertos troncales que conecten con los reguladores, filtre hacia fuera los VLA N que son parados.

    Por ejemplo en el Switches del ® del Cisco IOS, si la interfaz de administración está en el VLAN20, más el VLA N 40 y 50 se utiliza para dos diversos WLAN, utiliza este comando configuration en el lado del Switch:

    switchport trunk allowed vlans 20,40,50
  • No deje una interfaz con un direccionamiento de 0.0.0.0, por ejemplo un puerto del servicio del unconfigured. Puede ser que afecte al DHCP que dirigía en el regulador.

    Éste es cómo usted verifica:

    (Cisco Controller) >show interface summary
    Interface Name Port Vlan Id IP Address Type Ap Mgr
    -------------------- ---- -------- --------------- ------- ------
    ap-manager LAG 15 192.168.15.66 Static Yes
    example LAG 30 0.0.0.0 Dynamic No

    management LAG 15 192.168.15.65 Static No
    service-port N/A N/A 10.48.76.65 Static No
    test LAG 50 192.168.50.65 Dynamic No
    virtual N/A N/A 1.1.1.1 Static No
  • No utilice la agregación del link (RETRASO) a menos que todos los puertos del regulador tengan la misma configuración de la capa 2 en el lado del Switch. Por ejemplo, evite filtrar algunos VLA N en un puerto, y no los otros.

  • Cuando usted utiliza el RETRASO, el regulador confía en el Switch para las decisiones del Equilibrio de carga sobre el tráfico que vienen de la red. Espera que ese tráfico que pertenece a un AP siempre ingresa en el mismo puerto. Utilice solamente el IP-src o las opciones del Equilibrio de carga del IP-dst del IP-src en la configuración de EtherChannel del Switch. Algunos modelos de switches pudieron utilizar los mecanismos sin apoyo del Equilibrio de carga por abandono, así que es importante verificar.

    Éste es cómo verificar el mecanismo de equilibrio de la carga EtherChannel:

    switch#show etherchannel load-balance
    EtherChannel Load-Balancing Configuration:
    src-dst-ip

    EtherChannel Load-Balancing Addresses Used Per-Protocol:
    Non-IP: Source XOR Destination MAC address
    IPv4: Source XOR Destination IP address
    IPv6: Source XOR Destination IP address

    Éste es cómo cambiar la configuración del switch (IOS):

    switch(config)#port-channel load-balance src-dst-ip 

    Con el Cisco IOS Software Release 12.2(33)SXH6, hay una opción para que el chasis del modo PFC3C excluya el VLA N en la distribución de carga. Utilice el Src-dst-ip del balance de carga de port-channel excluyen el comando vlan para implementar esta característica. Esta característica se asegura que ese tráfico que pertenece a un REVESTIMIENTO ingresa en el mismo puerto.

  • RETRÁSESE mientras que usa el VSS, o el interruptor de apilado (3750/2960) o el nexo VPC, debe trabajar mientras los fragmentos de un paquete del IP se envíen al mismo puerto. La idea es que si usted va a los switches múltiples, los puertos deben pertenecer al mismo L2 “entidad” con los respetos de las decisiones del Equilibrio de carga.

  • Si usted quiere conectar el WLC con más de un Switch, usted debe crear un AP manager para cada puerto físico y RETRASO de la neutralización. Esto proporciona la Redundancia y el scalability.

    Nota: En el WLCs modelo de Cisco 4400-100, usted necesita por lo menos tres puertos físicos activos para utilizar la capacidad máxima de 100 Puntos de acceso para cada WLC. Para el WLCs modelo de Cisco 4400-50, usted necesita dos puertos físicos para utilizar la capacidad máxima de 50 Puntos de acceso para cada WLC.

     

  • Siempre que sea posible, no cree un puerto de backup para una interfaz del AP manager, incluso si se permite en más viejas versiones de software. La Redundancia es proporcionada por las interfaces múltiples del AP manager según lo mencionado anterior en este documento.

  • Para el Reenvío de multicast, el mejor funcionamiento y menos uso del ancho de banda se alcanza con el modo del Multicast.

    Éste es cómo verificar el modo del Multicast en el regulador:

    (WiSM-slot1-1) >show network summary
    RF-Network Name............................. 705
    Web Mode.................................... Enable
    Secure Web Mode............................. Enable
    Secure Web Mode Cipher-Option High.......... Disable
    Secure Shell (ssh).......................... Enable
    Telnet...................................... Enable
    Ethernet Multicast Mode..................... Enable Mode: Mcast 239.0.1.1
    Ethernet Broadcast Mode..................... Disable
    IGMP snooping............................... Disabled
    IGMP timeout................................ 60 seconds
    User Idle Timeout........................... 300 seconds
    ARP Idle Timeout............................ 300 seconds
    ARP Unicast Mode............................ Disabled
    Cisco AP Default Master..................... Disable
    Mgmt Via Wireless Interface................. Disable
    Mgmt Via Dynamic Interface.................. Disable
    Bridge MAC filter Config.................... Enable
    Bridge Security Mode........................ EAP
    Over The Air Provisioning of AP's........... Enable
    Apple Talk ................................. Disable
    AP Fallback ................................ Enable

    Éste es cómo configurar las operaciones del Multicast-Multicast en la línea de comando del WLC:

    config network multicast mode multicast 239.0.1.1
    config network multicast global enable
  • El regulador utiliza a la dirección Multicast para remitir el tráfico a los Puntos de acceso. Es importante que no hace juego otro direccionamiento funcionando en su red por otros protocolos. Por ejemplo, si usted utiliza 224.0.0.251, rompe el mDNS usado por algunas aplicaciones de terceros. Se recomienda que el direccionamiento esté en el rango privado (239.0.0.0-239.255.255.255, que no incluye 239.0.0.x y 239.128.0.x.). Es también importante que el Multicast IP Address esté fijado a un diverso valor en cada WLC. Usted no quiere un WLC que habla a sus Puntos de acceso para alcanzar los AP de otro WLC.

  • Si los Puntos de acceso están en un diverso red secundario que el que está usado en la interfaz de administración, su infraestructura de red debe proporcionar el ruteo multicast entre la subred de la interfaz de administración y el red secundario AP.

Diseño de red

Éstas son las mejores prácticas para el diseño de red:

  • Para los AP en el modo local, configure el puerto del switch con el portfast. Para hacer esto, fije el puerto que se conectará como puerto del “host” (comando switchport host) o directamente con el comando portfast. Esto permite un más rápido se une al proceso para un AP. Nunca no hay riesgo de loopes, como los Bridges del LWAPP AP entre los VLA N.

  • Por el diseño, la mayor parte del tráfico iniciado CPU se envía de la dirección de administración en el regulador. Por ejemplo, SNMP traps, peticiones de la autenticación de RADIUS, Reenvío de multicast, y así sucesivamente.

    La excepción a esta regla es tráfico relacionado DHCP. Usted puede también habilitar en cada SSID “interfaz del radio sobregraba” y entonces el radio para esta red inalámbrica (WLAN) será enviado de la interfaz dinámica. Sin embargo, esto crea los problemas de diseño con trae su propio flujo del dispositivo (BYOD) y cambio de la autorización (CoA).

    Esto es importante tener en cuenta cuando usted configura las políticas del firewall o diseña la topología de red. Es importante evitar configurar una interfaz dinámica en el mismo red secundario que un servidor que tenga que ser accesible por el regulador CPU, por ejemplo un servidor de RADIUS, como puede ser que cause los problemas del Asymmetric Routing.

    Configure siempre los switchports en el “modo de acceso” para los AP en el modo local. Para los switchports en el modo tronco que van a los AP en el modo de FlexConnect (que hace el Local Switching) y al WLCs, pode siempre los VLA N para permitir solamente los que está configurados en el FlexConnect AP y WLC (según lo mencionado previamente). Además, ingrese el comando switchport nonegotiate en esos trunks para inhabilitar el Dynamic Trunking Protocol (DTP) en el switchport y evitar la necesidad del AP/WLC de procesar las tramas que no se necesitan pues no soportan el DTP. También, los recursos serían perdidos en el Switch, que intentaría negociar con un dispositivo que no puede soportarlo.

Movilidad

Éstas son las mejores prácticas para la movilidad:

  • Todos los reguladores en un grupo de la movilidad deben tener la misma dirección IP para una interfaz virtual, por ejemplo 1.1.1.1. Esto es importante para vagar por. Si todos los reguladores dentro de un grupo de la movilidad no utilizan la misma interfaz virtual, el inter-regulador que vaga por puede aparecer trabajar, pero la mano-apagado no completa y el cliente pierde la Conectividad por un período de tiempo.

    Éste es cómo verificar:

    (Cisco Controller) >show interface summary

    Interface Name Port Vlan Id IP Address Type Ap Mgr
    ----------------- ----- -------- --------------- ------- ------
    ap-manager LAG 15 192.168.15.66 Static Yes
    management LAG 15 192.168.15.65 Static No
    service-port N/A N/A 10.48.76.65 Static No
    test LAG 50 192.168.50.65 Dynamic No
    virtual N/A N/A 1.1.1.1 Static No
  • La dirección del gateway virtual debe ser no routable dentro de su infraestructura de red. Se piensa solamente para ser accesible para un cliente de red inalámbrica cuando está conectado con un regulador, nunca de una conexión alámbrica. De hecho, 1.1.1.1 ahora es una dirección pública válida así que cambíelo cualquier cosa único y unroutable en su red. 1.1.1.1 fue utilizado en este ejemplo porque sigue siendo el valor predeterminado.

  • La conectividad del IP debe existir entre las interfaces de administración de todos los reguladores.

  • En la mayoría de las situaciones, todos los reguladores se deben configurar con el mismo nombre del grupo de la movilidad. Las excepciones a esta regla son implementaciones en los reguladores para la característica del acceso de invitado, típicamente en las zonas desmilitarizadas (DMZ).

  • Es un truco seguro para ejecutar todo el WLCs en las mismas versiones del código del software para asegurarse que usted no hace frente a las conductas incoherentes debido a los bug presentes en algún WLCs y no otros. Para el Software Release 6.0 y Posterior, todas las versiones son intercompatibles para los propósitos de la movilidad así que no es obligatorio.

  • No cree a los Grupos de movilidad innecesariamente grandes. Un grupo de la movilidad debe solamente tener todos los reguladores que tengan Puntos de acceso en el área donde un cliente puede vagar por físicamente, por ejemplo todos los reguladores con los Puntos de acceso en un edificio. Si usted tiene un escenario donde se separan varios edificios, deben estar rotos en varios Grupos de movilidad. Esto guarda la memoria y el CPU, pues los reguladores no necesitan guardar las listas grandes de clientes, de granujas y de Puntos de acceso válidos dentro del grupo, que no obraría recíprocamente de todos modos.

    También, intente acomodar la distribución AP a través de los reguladores en el grupo de la movilidad de modo que haya AP. Por ejemplo, por el suelo o por el regulador, y una distribución no de la sal y de la pimienta. Esto reduce el intercontroller que vaga por, que tiene menos impacto en la actividad de grupo de la movilidad.

  • En los escenarios donde hay más de un regulador en un grupo de la movilidad, es normal ver algunas alertas del punto de acceso no autorizado sobre nuestros propios Puntos de acceso en la red después de que una recarga del regulador. Esto sucede debido a las listas del tiempo que toma para poner al día el Punto de acceso, del cliente y del granuja entre los miembros de grupo de movilidad.

  • La opción obligatoria del DHCP en las configuraciones de la red inalámbrica (WLAN) permite que usted fuerce a los clientes a hacer una solicitud del DHCP Address/renueva cada vez que se asocian a la red inalámbrica (WLAN) antes de que a les se permita enviar o recibir el otro tráfico a la red. De un punto de vista de la seguridad, esto permite un más control estricto de los IP Addresses funcionando, pero también pudo tener influencias en el tiempo total para vagar por antes de que el tráfico se permita pasar otra vez.

    Además, esto pudo afectar a algunas implementaciones del cliente que no hacen un DHCP renuevan hasta que expire el Tiempo de validez. Por ejemplo, los teléfonos de Cisco 7921 o 7925 pudieron tener problemas de la Voz mientras que vagan por si se habilita esta opción, pues el regulador no permite que la Voz o la señalización de tráfico pase hasta que se complete la fase del DHCP. Algunos servidores de tercera persona de la impresora pudieron también ser afectados. Es generalmente una buena idea no utilizar esta opción si la red inalámbrica (WLAN) tiene los clientes del no Windows. Esto está porque más controles estrictos pudieron inducir los problemas de conectividad, sobre la base de cómo se implementa el lado del Cliente de DHCP. Éste es cómo usted verifica:

    (Cisco Controller) >show wlan 1

    WLAN Identifier.................................. 1
    Profile Name..................................... 4400
    Network Name (SSID).............................. 4400
    Status........................................... Enabled
    MAC Filtering.................................... Disabled
    Broadcast SSID................................... Enabled
    AAA Policy Override.............................. Disabled
    Number of Active Clients......................... 0
    Exclusionlist Timeout............................ 60 seconds
    Session Timeout.................................. 1800 seconds
    Interface........................................ management
    WLAN ACL......................................... unconfigured
    DHCP Server...................................... Default
    DHCP Address Assignment Required................. Disabled
    Quality of Service............................... Silver (best effort)
    WMM.............................................. Disabled
    CCX - AironetIe Support.......................... Enabled
    CCX - Gratuitous ProbeResponse (GPR)............. Disabled
    Dot11-Phone Mode (7920).......................... Disabled
    Wired Protocol................................... None
  • Es recomendable configurar el modo del Multicast para la movilidad. Esto permite que el cliente anuncie los mensajes que se enviarán en el Multicast entre los pares de la movilidad, en vez del unicast enviado a cada regulador, con las ventajas en el tiempo, el USO de la CPU, y la utilización de la red.

    Éste es cómo verificar:

    (WiSM-slot1-1) >show mobility summary 

    Symmetric Mobility Tunneling (current) .......... Disabled
    Symmetric Mobility Tunneling (after reboot) ..... Disabled
    Mobility Protocol Port........................... 16666
    Mobility Security Mode........................... Disabled
    Default Mobility Domain.......................... 705
    Multicast Mode .................................. Enabled
    Mobility Domain ID for 802.11r................... 0x8e5e
    Mobility Keepalive Interval...................... 10
    Mobility Keepalive Count......................... 3
    Mobility Group Members Configured................ 2
    Mobility Control Message DSCP Value.............. 0

    Controllers configured in the Mobility Group

    MAC Address IP Address Group Name Multicast IP Status
    00:14:a9:bd:da:a0 192.168.100.22 705 239.0.1.1 Up

    00:19:06:33:71:60 192.168.100.67 705 239.0.1.1 Up

Seguridad

Éstas son las mejores prácticas para la Seguridad:

  • Es una buena idea cambiar el descanso RADIUS a 5 segundos. El valor por defecto de 2 segundos es aceptable para una Conmutación por falla rápida RADIUS, pero probablemente no bastante para la autenticación de la Seguridad de la capa del Protocolo-transporte de la autenticación ampliable (EAP-TLS), o si el servidor de RADIUS tiene que entrar en contacto las bases de datos externas (Active Directory, NAC, SQL, y así sucesivamente).

    Éste es cómo verificar:

    (Cisco Controller) >show radius summary 
    Vendor Id Backward Compatibility............ Disabled
    Credentials Caching......................... Disabled
    Call Station Id Type........................ IP Address
    Administrative Authentication via RADIUS.... Enabled
    Aggressive Failover......................... Disabled
    Keywrap..................................... DisabledAuthentication Servers

    !--- This portion of code has been wrapped to several lines due to spatial!
    --- concerns.

    Idx Type Server Address Port State Tout RFC3576
    --- ---- ---------------- ------ -------- ---- -------
    1 N 10.48.76.50 1812 Enabled 2 Enabled

    IPSec -AuthMode/Phase1/Group/Lifetime/Auth/Encr
    ------------------------------------------------
    Disabled - none/unknown/group-0/0 none/none

    Éste es cómo configurar:

    config radius auth retransmit-timeout 1 5
  • Control en el usuario predeterminado del SNMPv3. Por abandono, el regulador viene con un nombre de usuario que deba ser inhabilitado o ser cambiado.

    Éste es cómo verificar:

    (Cisco Controller) >show snmpv3user 
    SNMP v3 User SNMP v3 User Name AccessMode Authentication Encryption
    -------------------- ----------- -------------- ----------
    default Read/Write HMAC-MD5 CBC-DES

    Éste es cómo configurar:

    config snmp v3user delete default
    config snmp v3user create nondefault rw hmacsha des authkey encrkey

    Tenga presente que sus configuraciones SNMP deben hacer juego entre el regulador y el control inalámbrico System(NCS) del /Network del sistema de control (WCS)/la infraestructura de la prima (PI). También, usted debe utilizar las claves del cifrado y del hash que hacen juego sus políticas de seguridad.

  • En los reguladores, el tiempo de espera predeterminado para la petición de la identidad EAP es 1 segundo, que no es bastante para algunas situaciones como las implementaciones de las contraseñas o de la placa inteligente de una vez, donde se indica al usuario que escriba un PIN o una contraseña antes de que el cliente de red inalámbrica pueda contestar a la petición de la identidad. En los Puntos de acceso autónomos el valor por defecto es 30 segundos, así que esto debe ser tenida en cuenta mientras que usted emigra autónomo a las redes inalámbricas de la infraestructura.

    Éste es cómo cambiar:

    config advanced eap identity-request-timeout 30
  • En los entornos agresivos, una característica útil es habilitar la autenticación del Punto de acceso con un umbral de 2. Esto permite que ambos detecten la personificación posible y que minimicen las detecciones del falso positivo.

    Éste es cómo configurar:

    config wps ap-authentication enable
    config wps ap-authentication threshold 2
  • En relación con la extremidad anterior, la protección del capítulo de la Administración (MFP) se puede también utilizar para autenticar todo el tráfico de administración del 802.11 detectado entre los Puntos de acceso próximos en la infraestructura de red inalámbrica. Tome en la consideración que algunas placas de red inalámbrica comunes del otro vendedor tienen problemas en su implementación del driver que no manejen correctamente los elementos de información extra agregados por MFP. Aseegurele utilizar a los últimos drivers de su fabricante del indicador luminoso LED amarillo de la placa muestra gravedad menor antes de que usted pruebe y utilice MFP.

  • El Network Time Protocol (NTP) es muy importante para varias características. Es obligatorio utilizar la sincronización NTP en los reguladores si usted utiliza ninguno de estos características: Ubicación, SNMPv3, autenticación del Punto de acceso, o MFP.

    Éste es cómo configurar:

    config time ntp server 1 10.1.1.1

    Para verificar, marcar para saber si hay entradas como esto en su traplog:

    30 Tue Feb 6 08:12:03 2007 Controller time base status - 
    Controller is in sync with the central timebase.
  • Si separan a los clientes de red inalámbrica en varios redes secundarios por razones de seguridad, cada uno con diversas políticas de seguridad, es una buena idea utilizar uno o dos WLAN (por ejemplo, cada uno tiene una diversa política de encripción de la capa 2) así como la característica de la AAA-invalidación. Esta característica permite que usted asigne por los ajustes de usuario. Por ejemplo, mueva al usuario a una interfaz dinámica específica en un VLA N separado o aplique a por la lista de control de acceso (ACL) del usuario.

  • Aunque el regulador y los Puntos de acceso soporten la red inalámbrica (WLAN) con el SSID usando WiFi protegió el acceso (WPA) y WPA2 simultáneamente, es muy común que algunos drivers del cliente de red inalámbrica no pueden manejar las configuraciones complejas SSID. Es generalmente una buena idea mantener las políticas de seguridad simples para cualquier SSID. Por ejemplo, utilice un WLAN/SSID con el WPA y el Temporal Key Integrity Protocol (TKIP) más separado con el WPA2 y el Advanced Encryption Standard (AES).

La administración general

Éstas son las mejores prácticas para la administración general:

  • Generalmente antes de que cualquier actualización él sea una buena idea de hacer un respaldo FTP/TFTP de la configuración.

  • El AP puede utilizar un servidor de Syslog para enviar la información de Troubleshooting. No obstante, por abandono, se envía como broadcast local. Si el AP no está en la misma subred como el servidor de Syslog, es recomendable cambiar a una dirección de Unicast. Este cambio es para poder recoger esta información y reducir la posibilidad de una tormenta de broadcast causada por los mensajes de Syslog enviados al broadcast local, en caso de que haya una incidencia que afecta a todos los AP en el mismo red secundario. Para marcar esta configuración:

    (WiSM-slot1-1) >show ap config general AP1130-9064    

    Cisco AP Identifier.............................. 164
    Cisco AP Name.................................... AP1130-9064
    Country code..................................... BE - Belgium
    Regulatory Domain allowed by Country............. 802.11bg:-E 802.11a:-E
    AP Country code.................................. BE - Belgium
    AP Regulatory Domain............................. 802.11bg:-E 802.11a:-E
    Switch Port Number .............................. 29
    MAC Address...................................... 00:16:46:f2:90:64
    IP Address Configuration......................... DHCP
    IP Address....................................... 192.168.100.200
    IP NetMask....................................... 255.255.255.0
    Gateway IP Addr.................................. 192.168.100.1
    Telnet State..................................... Disabled
    Ssh State........................................ Disabled
    Cisco AP Location................................ default location
    Cisco AP Group Name.............................. default-group
    Primary Cisco Switch Name........................ Cisco_ea:5e:63
    Primary Cisco Switch IP Address.................. Not Configured
    Secondary Cisco Switch Name......................
    Secondary Cisco Switch IP Address................ Not Configured
    Tertiary Cisco Switch Name.......................
    Tertiary Cisco Switch IP Address................. Not Configured
    Administrative State ............................ ADMIN_ENABLED
    Operation State ................................. REGISTERED
    Mirroring Mode .................................. Disabled
    AP Mode ......................................... Local
    Public Safety ................................... Global: Disabled, Local: Disabled
    Remote AP Debug ................................. Disabled
    S/W Version .................................... 5.0.152.0
    Boot Version ................................... 12.3.7.1
    Mini IOS Version ................................ 3.0.51.0
    Stats Reporting Period .......................... 180
    LED State........................................ Enabled
    PoE Pre-Standard Switch.......................... Enabled
    PoE Power Injector MAC Addr...................... Disabled
    Power Type/Mode.................................. Power injector / Normal mode
    Number Of Slots.................................. 2
    AP Model......................................... AIR-LAP1131AG-E-K9
    IOS Version...................................... 12.4(20080324:062820)
    Reset Button..................................... Enabled
    AP Serial Number................................. FHK0952C0FC
    AP Certificate Type.............................. Manufacture Installed
    Management Frame Protection Validation........... Enabled (Global MFP Disabled)
    AP User Mode..................................... AUTOMATIC
    AP User Name..................................... cisco
    Cisco AP system logging host..................... 255.255.255.255

    Para cambiarla a un servidor disponible sabido para todos los AP en el regulador:

    config ap syslog host global 10.48.76.33
  • El AP puede tener los credenciales locales para el acceso a la consola (acceso físico al AP). Es buena práctica de la Seguridad fijar un nombre de usuario/una contraseña a todos los AP. Para marcar esta configuración:

    (WiSM-slot1-1) >show ap config general AP1130-9064

    Cisco AP Identifier.............................. 164
    Cisco AP Name.................................... AP1130-9064
    Country code..................................... BE - Belgium
    Regulatory Domain allowed by Country............. 802.11bg:-E 802.11a:-E
    AP Country code.................................. BE - Belgium
    AP Regulatory Domain............................. 802.11bg:-E 802.11a:-E
    Switch Port Number .............................. 29
    MAC Address...................................... 00:16:46:f2:90:64
    IP Address Configuration......................... DHCP
    IP Address....................................... 192.168.100.200
    IP NetMask....................................... 255.255.255.0
    Gateway IP Addr.................................. 192.168.100.1
    Telnet State..................................... Disabled
    Ssh State........................................ Disabled
    Cisco AP Location................................ default location
    Cisco AP Group Name.............................. default-group
    Primary Cisco Switch Name........................ Cisco_ea:5e:63
    Primary Cisco Switch IP Address.................. Not Configured
    Secondary Cisco Switch Name......................
    Secondary Cisco Switch IP Address................ Not Configured
    Tertiary Cisco Switch Name.......................
    Tertiary Cisco Switch IP Address................. Not Configured
    Administrative State ............................ ADMIN_ENABLED
    Operation State ................................. REGISTERED
    Mirroring Mode .................................. Disabled
    AP Mode ......................................... Local
    Public Safety ................................... Global: Disabled, Local: Disabled
    Remote AP Debug ................................. Disabled
    S/W Version .................................... 5.0.152.0
    Boot Version ................................... 12.3.7.1
    Mini IOS Version ................................ 3.0.51.0
    Stats Reporting Period .......................... 180
    LED State........................................ Enabled
    PoE Pre-Standard Switch.......................... Enabled
    PoE Power Injector MAC Addr...................... Disabled
    Power Type/Mode.................................. Power injector / Normal mode
    Number Of Slots.................................. 2
    AP Model......................................... AIR-LAP1131AG-E-K9
    IOS Version...................................... 12.4(20080324:062820)
    Reset Button..................................... Enabled
    AP Serial Number................................. FHK0952C0FC
    AP Certificate Type.............................. Manufacture Installed
    Management Frame Protection Validation........... Enabled (Global MFP Disabled)
    AP User Mode..................................... AUTOMATIC
    AP User Name..................................... cisco

    Para cambiarla a un servidor disponible sabido para todos los AP en el regulador:

    config ap mgmtuser add username cisco password Cisco123 secret
    AnotherComplexPass all

Cómo transferir el archivo de la caída del WLC del WLC CLI al servidor TFTP

Ingrese estos comandos para transferir el archivo de la caída del WLC del WLC CLI al servidor TFTP.

transfer upload datatype crashfile
transfer upload serverip <IP address of the TFTP Server>

transfer upload path <Enter directory path>


transfer upload filename <Name of the Crash File>


transfer upload start<yes>

Nota: Cuando usted ingresa el trayecto del directorio, “/” significa generalmente el directorio raíz predeterminado en el servidor TFTP.

Aquí tiene un ejemplo:

(Cisco Controller) >debug transfer tftp enable

(Cisco Controller) >debug transfer trace enable

(Cisco Controller) >transfer upload datatype crashfile

(Cisco Controller) >transfer upload filename aire2cra.txt

(Cisco Controller) >transfer upload path /

(Cisco Controller) >transfer upload serverip X.Y.Z.A

(Cisco Controller) >transfer upload start

Mode............................................. TFTP TFTP Server
IP................................... X.Y.Z.A TFTP
Path........................................ / TFTP
Filename.................................... aire2cra.txt Data
Type........................................ Crash File

Are you sure you want to start? (y/N) yes
Thu Dec 29 10:13:17 2005: RESULT_STRING: TFTP Crash File transfer starting.
Thu Dec 29 10:13:17 2005: RESULT_CODE:1

TFTP Crash File transfer starting.
Thu Dec 29 10:13:21 2005: Locking tftp semaphore, pHost=X.Y.Z.A
pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005:
Semaphore locked, now unlocking,
pHost=X.Y.Z.A pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005:
Semaphore successfully unlocked,
pHost=X.Y.Z.A pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005:
tftp rc=0, pHost=X.Y.Z.A pFilename=/aire2cra.txt
pLocalFilename=/mnt/application/bigcrash
Thu Dec 29 10:13:22 2005: RESULT_STRING: File transfer operation
completed successfully.
Thu Dec 29 10:13:22 2005: RESULT_CODE:11 File transfer operation
completed successfully.

Archivo del vaciado de memoria de la carga a un servidor FTP

Para ayudar a resolver problemas las caídas del regulador, usted puede configurar el regulador para cargar automáticamente su archivo del vaciado de memoria a un servidor FTP después de que experimente una caída con estos comandos CLI:

config coredump {enable | disable}

config coredump ftp server_ip_address filename

config coredump username ftp_username password ftp_password

show coredump summary

Usted puede ahora cargar el volcado de la consola que los resultados de una reinicialización perro-iniciada software del regulador que sigue una caída con el comando CLI del regulador del perro-caída-ARCHIVO del datatype de la carga de la transferencia. El módulo del perro guardián del software marca la integridad de la interna del software y se asegura periódicamente de que el sistema no permanece en un contrario o un estado no operacional durante un largo periodo de tiempo.

Usted puede también cargar la información del pánico del corazón si un pánico del corazón ocurre con el comando CLI del regulador del pánico-caída-ARCHIVO del datatype de la carga de la transferencia.

Con la versión 5,2 del regulador del Wireless LAN, usted puede ahora cargar el archivo de radio del vaciado de memoria a un TFTP o el servidor FTP con el regulador GUI. Previamente, las cargas de radio del vaciado de memoria se podían configurar solamente del regulador CLI.

Facilidad de manejo

  • Se recomienda para permitir al “cambio rápido SSID” para evitar bloquear a los usuarios que intercambian entre los SSID a menos que usted utilice un supplicant estricto como AnyConnect y espere solamente que sus clientes conecten siempre con el perfil correcto primero.

  • El valor de tiempo de espera de sesión debe tener diversas configuraciones dependientes sobre la Seguridad requerida. Treinta minutos son demasiado pequeños lejano para un tipo SSID del “red-auth” del invitado mientras que está perfectamente muy bien para un SSID asegurado 802.1x. La Voz SSID no debe tener ninguna descansos para evitar las interrupciones.

  • A menos que usted necesite las características (por ejemplo, debido a las políticas de seguridad) y haya confirmado realmente que los clientes de red inalámbrica que conectan con la red inalámbrica (WLAN) las soportan sin los problemas, usted puede ser que quiera inhabilitar estas configuraciones avanzadas red inalámbrica (WLAN). Éste es para evitar los problemas de compatibilidad con algunos tipos de clientes de red inalámbrica:

    • MFP

    • Aironet IE

    • Exclusión del cliente


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 82463