Tecnología inalámbrica : Productos Cisco Wireless LAN Controller de la serie 4400

Preguntas Más Frecuentes sobre Acceso Guest Inalámbrico

7 Septiembre 2014 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (2 Abril 2014) | Comentarios


Preguntas


Introducción

Este documento proporciona la información sobre lo más frecuentemente las preguntas hechas (FAQ) sobre la característica inalámbrica del acceso de invitado, que es una parte de la red del Cisco Unified Wireless.

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Q. ¿Cuál es un Ethernet sobre el túnel IP (EoIP) al área de la red insegura?

A. Cisco recomienda el uso de un regulador dedicado al tráfico del invitado. Este regulador se conoce como el regulador del ancla del invitado.

El regulador del ancla del invitado está situado generalmente en un área de la red insegura, a menudo llamada las zonas desmilitarizadas (DMZ). Otros Controladores de WLAN internos de donde el tráfico origina están situados en la empresa LAN. Un túnel de EoIP se establece entre los Controladores de WLAN internos y el regulador del ancla del invitado para asegurar el aislamiento de la trayectoria del tráfico del invitado del tráfico de datos de la empresa. El aislamiento de la trayectoria es una característica crítica de la Administración de seguridad para el acceso de invitado. Se asegura de que las directivas de la Seguridad y del Calidad de Servicio (QoS) puedan ser separadas, y se distingue entre el tráfico del invitado y corporativo o el tráfico interno.

Una característica importante de la arquitectura de red del Cisco Unified Wireless es la capacidad de utilizar un túnel de EoIP para asociar estáticamente uno o más aprovisionado WLAN (es decir, SSID) a un regulador específico del ancla del invitado dentro de la red. Todo el tráfico — ambos a y desde una red inalámbrica (WLAN) asociada — atraviesa un túnel estático de EoIP que se establezca entre un controlador remoto y el regulador del ancla del invitado.

Usando esta técnica, todo el tráfico asociado del invitado se puede transportar transparente a través de la red para empresas a un regulador del ancla del invitado que resida en el área de la red insegura.

Q. ¿Cómo selecciono al regulador adecuado desplegar como regulador del ancla del invitado?

A. La selección del regulador del ancla del invitado es una función de la cantidad de tráfico del invitado según lo definido por el número de sesiones de cliente activas del invitado, o según lo definido por la capacidad de la interfaz de link ascendente en el regulador, o ambos.

Las limitaciones del caudal útil total y del cliente por el regulador del ancla del invitado son como sigue:

  • Regulador del Wireless LAN del Cisco 2504 – 4 * interfaces del 1 Gbps y 1000 clientes del invitado

  • Regulador del Wireless LAN de Cisco 5508 (WLC) – 8 Gbps y 7,000 clientes del invitado

  • Módulo de Servicios inalámbricos de las Cisco Catalyst 6500 Series (WiSM-2) – 20 Gbps y 15,000 clientes

  • Regulador del Wireless LAN de Cisco 8500 (WLC) – 10 Gbps y 64,000 clientes

Nota: El WLCs del Cisco 7500 no se puede configurar como regulador del ancla del invitado. ¿Refiérase a qué reguladores se pueden utilizar para soportar el acceso de invitado en el área de la red insegura? para la lista de WLCs que soporta la función del ancla del invitado.

Un máximo de 2048 nombres de usuario y contraseña del invitado se puede salvar en la base de datos de cada regulador. Por lo tanto, si el número total de credenciales activas del invitado está superior a este número, más de un regulador será necesario. Alternativamente, las credenciales del invitado se pueden salvar en un servidor RADIUS externo.

Los números de punto de acceso en la red no afectan la selección del regulador del ancla del invitado.

Q. ¿Cuánto Ethernet sobre IP (EoIP) hace un túnel se puede terminar en un regulador del ancla del invitado?

A. Un regulador del ancla del invitado puede terminar hasta 71 túneles de EoIP de los Controladores de WLAN internos. Esta capacidad es lo mismo a través de cualquier modelo del Controlador de LAN de la Red Inalámbrica Cisco excepto WLC- 2504. El regulador 2504 puede terminar hasta 15 túneles de EoIP. Más de un regulador del ancla del invitado puede ser configurado si se requieren los túneles adicionales.

Los túneles de EoIP se cuentan por el Controlador de WLAN, independientemente del número de WLAN tunneled o aseguran los identificadores del conjunto (SSID) en cada EoIP.

Un túnel de EoIP se configura entre el regulador del ancla del invitado y cada regulador interno que soporte los Puntos de acceso con las asociaciones del cliente del invitado.

Q. ¿Puedo crear los Ethernetes sobre los túneles IP (EoIP) entre los reguladores que funcionan con diversas versiones de software?

A. No todas las versiones de software del regulador del Wireless LAN soportan esto. En estos casos el regulador del telecontrol y del ancla debe funcionar con la misma versión de software de WLC. Sin embargo, las versiones del software reciente permiten que los reguladores del telecontrol y del ancla tengan diversas versiones.

Esta matriz enumera las versiones de software del regulador del Wireless LAN con las cuales usted puede crear los túneles de EoIP.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/107458-wga-faq-01.gif

Q. ¿Se puede el regulador del Wireless LAN de las 2100/2500 Series de Cisco utilizar como regulador del ancla del invitado en el área de la red insegura?

A. Sí, comenzando la versión de software de red del Cisco Unified Wireless 7.4, el regulador del Wireless LAN de las Cisco 2500 Series puede terminar el tráfico del invitado (de hasta 15 túneles de EoIP) fuera del Firewall. El regulador del Wireless LAN de las Cisco 2000 Series puede originar solamente los túneles del invitado.

Q. ¿Se puede el Módulo controlador de LAN de la Red Inalámbrica Cisco para el Routers de los Servicios integrados (WLCM o WLCM2) utilizar como regulador del ancla del invitado en el área de la red insegura?

A. No, el WLCM o WLCM2 no pueden terminar los túneles del invitado. El WLCM puede originar solamente los túneles del invitado.

Q. ¿Qué reguladores se pueden utilizar para soportar el acceso de invitado en el área de la red insegura?

A. La función del ancla del túnel del invitado, que incluye la terminación del túnel, la autenticación Web, y el control de acceso de EoIP de los clientes del invitado, se soporta en estas Plataformas del Controlador de LAN de la Red Inalámbrica Cisco con las imágenes del software de la versión 4.0 o posterior:

  • Módulo de Servicios inalámbricos de las Cisco Catalyst 6500 Series (WiSM2)

  • Regulador del Wireless LAN de la serie de Cisco WiSM-2

  • Regulador integrado del Wireless LAN del Cisco Catalyst 3750G

  • Regulador del Wireless LAN de las Cisco 5508 Series

  • Regulador del Wireless LAN de las Cisco 2500 Series (soporte introducido en el Software Release 7.4)

Q. ¿Si un regulador del ancla del invitado se utiliza fuera del Firewall, qué puertos de firewall están abiertos para que el acceso de invitado trabaje?

A. En cualquier Firewall entre el regulador del ancla del invitado y los controladores remotos, estos puertos necesitan estar abiertos:

  • Protocolo IP 97 para el tráfico de datos del usuario

  • Puerto UDP para el tráfico de control del túnel

Para la Administración opcional, necesidad de estos puertos de firewall de estar abierto:

  • SSH/Telnet — Puerto TCP 22/23

  • TFTP — Puerto 69 UDP

  • NTP — Puerto 123 UDP

  • SNMP — Puertos 161 (consigue y fija) y 162 UDP (desvíos)

  • HTTPS/HTTP — Puerto TCP 443/80

  • Syslog — Puerto TCP 514

  • Auth RADIUS/puerto 1812 y 1813 de la cuenta UDP

Q. ¿Puede el tráfico del invitado pasar con un Firewall con el Network Address Translation (NAT) configurado?

A. Un a un NAT se debe utilizar en el túnel de EoIP que pasa con un Firewall.

Q. En un ancla - ¿Escenario no nativo del WLC, que el WLC envía las estadísticas RADIUS?

A. En este escenario, la autenticación es hecha siempre por el WLC del ancla. Por lo tanto, las estadísticas RADIUS son enviadas por el WLC del ancla.

Q. El túnel del invitado entre el regulador interno y el regulador del ancla falla. Veo que éstos abren una sesión el WLC: mm_listen.c:5373 MM-3-INVALID_PKT_RECVD: Recibió un paquete no válido a partir de 10. 40.220.18. Desconocido del miembro de fuente de la fuente member:0.0.0.0. ¿por qué?

A. Usted marca el estatus del túnel del WLC GUI en la página WLAN. Haga clic en la casilla desplegable cerca de un WLAN y elija las anclas de la movilidad que contenga el estatus del control y del trayecto de datos. El mensaje de error es considerado debido a una de estas razones:

  1. El ancla y los reguladores internos están en diversas versiones del código. Aseegurelos funcionan con las mismas versiones del código.

  2. Misconfigurations en la configuración del ancla de la movilidad. Marque que el DMZ está configurado pues el ancla de la movilidad y el WLCs interno tienen el WLC DMZ configurado como el ancla de la movilidad. Para más información sobre cómo configurar el ancla de la movilidad, refiera a la sección auto de la movilidad del ancla que configura de la guía de configuración del Controlador de LAN de la Red Inalámbrica Cisco, la versión 7.0. Esto daría lugar a los Usuarios invitados incapaces de pasar el tráfico.

Q. En una configuración inalámbrica del acceso de invitado, los clientes no reciben la dirección IP del servidor DHCP. Thu el 22 de enero 16:39:09 2009: XX: XX: XX: XX: XX: XX EL DHCP que cae la CONTESTACIÓN del mensaje de error Exportación-no nativo STA aparece en el regulador interno. ¿por qué?

A. En una configuración inalámbrica del acceso de invitado, la configuración de representación del DHCP en los reguladores del ancla del invitado y el regulador interno deben hacer juego. , El pedido de DHCP de los clientes se cae y usted ve este mensaje de error en el regulador interno:

Thu Jan 22 16:39:09 2009: XX:XX:XX:XX:XX:XX  DHCP dropping REPLY from Export-Foreign STA

Utilice este comando para cambiar la configuración de representación DHCP en el WLC:

(Cisco Controller) >config dhcp proxy ?

enable         Enable DHCP processing's proxy style behaviour.
disable        Disable DHCP processing's proxy style behaviour.

Utilice el comando del proxy DHCP de la demostración en ambos reguladores para verificar que ambos reguladores tienen la misma configuración de representación del DHCP.

(Cisco Controller) >show dhcp proxy

DHCP Proxy Behaviour: enabled

(Cisco Controller) >

Q. ¿Si el tráfico del invitado es tunneled al área de la red insegura, de dónde los clientes del invitado consiguen un IP Address?

A. El tráfico del invitado se transporta dentro de la empresa en la capa 3 vía EoIP. Por lo tanto, la primera punta en la cual el Protocolo de configuración dinámica de host (DHCP) mantiene se puede implementar está localmente en el regulador del ancla del invitado, o el regulador del ancla del invitado puede retransmitir los pedidos de DHCP del cliente a un servidor externo. Éste es también el método por el cual el address resolution del Domain Name System (DNS) es manejado.

Q. ¿El Controlador de LAN de la Red Inalámbrica Cisco soporta los portales web para la autenticación del invitado?

A. Los Controladores de LAN de la Red Inalámbrica Cisco, la versión de software 3.2 o más adelante, proporcionan un portal web incorporado que capture las credenciales del invitado para la autenticación y ofrezca las capacidades de marcado en caliente simples, junto con la capacidad de visualizar la información de la negación y del Acceptable Use Policy.

Q. ¿Cómo personalizo el portal web?

A. Para la información sobre cómo personalizar un portal web, refiera a elegir las páginas de registro de la autenticación Web.

Q. ¿Cómo se manejan las credenciales del invitado?

A. Las credenciales del invitado se pueden crear y manejar centralmente usando la versión 7.0 del Cisco Wireless Control System (WCS) y o el ver 1.0 del Sistema de control de redes (NC). Un administrador de la red puede establecer una cuenta administrativa del limitado-privilegio dentro del WCS que del “acceso embajador del pasillo” de los permisos con el fin de crear las credenciales del invitado. En el WCS o los NC, la persona con una cuenta del embajador del pasillo puede crear, asignar, monitorear, y borrar al invitado las credenciales para la porción del regulador como invitado aseguran el regulador.

El embajador del pasillo puede ingresar el nombre de usuario del invitado (o la identificación del usuario) y la contraseña, o las credenciales pueden ser autogeneradas. Hay también un Parámetro de configuración global que habilita el uso de un nombre de usuario y contraseña para todos los invitados, o un nombre de usuario único y una contraseña para cada invitado.

Para configurar la cuenta del embajador del pasillo en el WCS, refiera a la sección de las cuentas de Usuario invitado que crea de la guía de configuración del Cisco Wireless Control System, la versión 7.0.

Q. ¿Está la función del embajador del pasillo disponible en el Controlador de LAN de la Red Inalámbrica Cisco además del sistema de control inalámbrico (WCS) o de los NC?

A. Sí. Si el WCS o los NC no se despliega, un administrador de la red puede establecer una cuenta del embajador del pasillo en el regulador del ancla del invitado. Una persona que registra en el regulador del ancla del invitado que usa la cuenta del embajador del pasillo tendrá acceso solamente a las funciones de administración del Usuario invitado.

Si hay reguladores múltiples del ancla del invitado, un WCS o los NC se debe utilizar para configurar simultáneamente los nombres de usuario en los reguladores múltiples del ancla del invitado.

Para la información sobre cómo crear las cuentas del embajador del pasillo usando los reguladores del Wireless LAN, refiera a crear una sección de embajador Account del pasillo de la guía de configuración del Controlador de LAN de la Red Inalámbrica Cisco, la versión 7.0.

Q. ¿Pueden los invitados ser autenticados con una autenticación externa, una autorización, y un servidor de las estadísticas (AAA)?

A. Sí. Los pedidos de autenticación del invitado se pueden retransmitir a un servidor RADIUS externo.

Q. ¿Qué ocurre cuando un invitado abre una sesión?

A. Cuando un invitado inalámbrico abre una sesión a través del portal web, el regulador del ancla del invitado maneja la autenticación realizando estos pasos:

  1. El regulador del ancla del invitado marca sus bases de datos locales para el nombre de usuario y contraseña, y si están presentes, el acceso de las concesiones.

  2. Si no hay credenciales de usuario presentes localmente en el regulador del ancla del invitado, el regulador del ancla del invitado marca los valores de configuración de la red inalámbrica (WLAN) para ver si un servidor del externo RADIUS se ha configurado para la red inalámbrica (WLAN) del invitado. Si es así el regulador crea un paquete access-request RADIUS con el nombre de usuario y contraseña y adelante lo al servidor de RADIUS seleccionado para la autenticación.

  3. Si no se ha configurado a ningunos servidores de RADIUS específicos para la red inalámbrica (WLAN), el regulador marca sus configuraciones globales de la configuración de servidor de RADIUS. Cualquier servidor RADIUS externo configurado con la opción para autenticar al “usuario de la red” será preguntado con las credenciales del Usuario invitado. Si no, si ningunos servidores tienen el “usuario de la red” seleccionado, y el usuario no se ha autenticado con los pasos 1 o 2, la autenticación fallará.

Q. ¿Es posible saltar la autenticación de Usuario invitado y visualizar solamente la opción de la negación de la página web?

A. Sí. Otra opción de configuración del acceso de invitado inalámbrico es desviar la autenticación de usuario en conjunto y permitir el acceso libre. Sin embargo, pudo haber una necesidad de presentar una página del Acceptable Use Policy y de la negación a los invitados antes de conceder el acceso. Para hacer esto, una red inalámbrica (WLAN) del invitado se puede configurar para el passthrough de la directiva de la red. En este escenario, reorientan a un Usuario invitado a una página del portal web que contenga la información de la negación. Para habilitar la identificación del Usuario invitado, el modo de paso a travésdirecto también tiene una opción para que un usuario ingrese una dirección email antes de conectar.

Q. ¿Necesitamos tener el regulador del ancla del controlador remoto y del invitado en el mismo grupo de la movilidad?

A. No. El regulador del ancla del invitado y el controlador remoto pueden estar en los Grupos de movilidad separados.

Q. ¿Si hay más de un invitado SSID, se puede cada red inalámbrica (WLAN) (SSID) dirigir a un portal único de la página web?

A. Sí. Todo el tráfico del invitado, en los WLAN solos o múltiples se reorienta a una página web. A partir de la versión 4.2 o posterior del WLC, cada red inalámbrica (WLAN) se puede dirigir a una página única del portal web. Refiera al login, a la falla de registro, y a las páginas de asignación del logout por la sección de la red inalámbrica (WLAN) de la guía de configuración del Controlador de LAN de la Red Inalámbrica Cisco, la versión 7.0.

Q. ¿Cuál es las funciones de la nueva configuración en la versión 7.0 del WLC, WebAuth en el error del filtro del mac?

A. Si una red inalámbrica (WLAN) tiene una capa 2 (mac-filtro) y acoda la Seguridad 3 (webauth-en-macfilter-error) configurada, el cliente se traslada al estado de FUNCIONAMIENTO si se pasa cualquiera uno. Y si falla la Seguridad de la capa 2 (mac-filtro), mueven al cliente para acodar la Seguridad 3 (webauth-en-macfilter-error).

Q. ¿El cliente actúa correctamente si configuran al navegador para el servidor proxy?

A. Antes de la versión 7.0, el cliente no podría establecer una conexión TCP cuando el servidor proxy fue configurado en el navegador. Después de la versión 7.0, se agrega este soporte del servidor proxy de WebAuth y la dirección IP y el puerto del servidor proxy se pueden configurar en el regulador.

Q. ¿Hay una Guía de despliegue para el acceso de invitado inalámbrico?

A. Éste es el link a la Guía de despliegue:

Guía de despliegue: Acceso de invitado de Cisco usando el Controlador de LAN de la Red Inalámbrica Cisco

Q. ¿Hay una guía de diseño para el acceso de invitado atado con alambre y inalámbrico?

A. Éste es el link a las guías de diseño:

Servicios del acceso de invitado del Cisco Unified Wireless

Acceso a Invitado Conectado con Ejemplo de configuración de Cisco WLAN Controllers

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 107458