Tecnología inalámbrica / Movilidad : LAN inalámbrica (WLAN)

Ejemplo de configuración de la asignación de VLAN dinámica con servidor RADIUS y controlador para redes LAN inalámbricas

19 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (24 Septiembre 2012) | Comentarios

Contenido

Introducción
Requisitos previos
      Requerimientos
      Componentes utilizados
      Convenciones
Antecedentes
Configuración
      Diagrama de la red
      Configuración
      Pasos de configuración
      Configuración del servidor RADIUS
      Configuración del switch para varias VLAN
      Configuración de WLC
      Configuración de la utilidad de cliente inalámbrico
Verificación
Resolución de problemas
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento introduce el concepto de asignación de VLAN dinámica. El documento describe cómo configurar el controlador para redes LAN inalámbricas (WLC) y un servidor RADIUS para asignar clientes de LAN inalámbrica (WLAN) a una VLAN específica dinámicamente.

Requisitos previos

Requerimientos

Asegúrese de que cumple estos requerimientos antes de intentar esta configuración:

  • Tener conocimientos básicos del WLC y de los puntos de acceso ligeros (LAP)

  • Tener conocimiento del funcionamiento del servidor AAA

  • Tener conocimiento completo de las redes inalámbricas y de los problemas de la seguridad inalámbrica

  • Tener conocimiento básico del protocolo de AP ligero (LWAPP)

Consulte Comprensión del protocolo de punto de acceso ligero (LWAPP) (en inglés) para obtener más información.

Componentes utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware:

  • WLC 2006 de Cisco que ejecuta firmware versión 4.0

  • LAP de la serie 1000 de Cisco

  • Adaptador de cliente inalámbrico 802.11a/b/g de Cisco que ejecuta firmware versión 2.6

  • Cisco Aironet Desktop Utility (ADU), que ejecuta la versión 2.6.0.1

  • Cisco Secure Access Control Server (ACS), que ejecuta la versión 3.2

  • Switch de la serie 2950 de Cisco

La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.

Antecedentes

En la mayoría de los sistemas WLAN, cada WLAN tiene una política estática que se aplica a todos los clientes asociados a un identificador de conjunto de servicios (SSID) o WLAN en la terminología del controlador. Aunque es potente, este método tiene limitaciones ya que requiere que los clientes se asocien a diferentes SSID para heredar distintas políticas de QoS y de seguridad.

Sin embargo, la solución de WLAN de Cisco admite redes de identidad. Esto permite que la red anuncie un SSID único y que usuarios específicos hereden diferentes políticas de QoS o de seguridad basadas en la credencial del usuario.

La asignación de VLAN dinámica es una función que ubica a un usuario inalámbrico en una VLAN específica en función de las credenciales proporcionadas por el usuario. Esta tarea de asignación de usuarios a una VLAN específica es administrada por un servidor de autenticación RADIUS, como CiscoSecure ACS. Esto se puede utilizar, por ejemplo, para permitir que el host inalámbrico permanezca en la misma VLAN a medida que se mueve dentro de una red de oficinas centrales.

Por lo tanto, cuando un cliente se intenta asociar a un LAP registrado con un controlador, el LAP transmite las credenciales del usuario al servidor RADIUS para la validación. Cuando la autenticación es correcta, el servidor RADIUS transmite una serie de atributos del Grupo de trabajo en ingeniería de Internet (IETF) al usuario. Estos atributos de RADIUS deciden la ID de VLAN que se debe asignar al cliente inalámbrico. El SSID (WLAN, en términos de WLC) del cliente no es importante ya que el usuario siempre está asignado a esta ID de VLAN predeterminada.

Los atributos del usuario de RADIUS que se utilizan para la asignación del ID de VLAN son:

  • IETF 64 (Tunnel Type) (Tipo de túnel): configure este atributo como VLAN.

  • IETF 65 (Tunnel Medium Type) (Tipo medio de túnel): configure este atributo como 802.

  • IETF 81 (Tunnel Private Group ID) (ID de grupo privado de túnel): configure este atributo como ID de VLAN.

La ID de VLAN es 12 bits y recibe un valor entre 1 y 4094, ambos incluidos. Como Tunnel-Private-Group-ID (ID de grupo privado de túnel) es el tipo de cadena, definido en RFC2868 para uso con IEEE 802.1X, el valor íntegro del ID de VLAN se codifica como una cadena. Una vez que se envían estos atributos del túnel, es necesario rellenar el campo Tag (Etiqueta).

Como se indica en RFC2868 en la sección 3.1: El campo Tag (etiqueta) tiene un octeto de longitud y está diseñado para proporcionar un medio de agrupamiento de atributos en el mismo paquete que hace referencia al mismo túnel. Los valores válidos para este campo son de 0x01 a 0x1F, ambos incluidos. Si el campo Tag (Etiqueta) no se utiliza, debe tener el valor (0x00). Consulte RFC 2868 para obtener más información sobre todos los atributos de RADIUS.

Configuración

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Diagrama de la red

En este documento se utiliza la siguiente configuración de red:

dynamicvlan-config1A.gif

A continuación se presentan los detalles de configuración de los componentes utilizados en este diagrama:

  • La dirección IP del servidor de ACS (RADIUS) es 172.16.1.1.

  • La dirección de la interfaz de administración de WLC es 172.16.1.30.

  • La dirección IP de la interfaz del administrador de AP de WLC es 172.16.1.31.

  • La dirección IP del servidor DHCP 172.16.1.1 se utiliza para asignara el LWAPP a la dirección IP. El servidor DHCP interno del controlador se utiliza para asignar la dirección IP a los clientes inalámbricos.

  • VLAN10 y VLAN11 se utilizan en toda esta configuración. User1 (Usuario 1) está configurado para que el servidor RADIUS lo coloque en la VLAN10 y user2 (Usuario 2) está configurado para que el servidor RADIUS lo coloque en la VLAN11.

    Nota: Este documento sólo muestra la información de configuración relacionada con user1. Siga el mismo procedimiento que se explica en este documento para user2.

  • Este documento utiliza 802.1x con LEAP como mecanismo de seguridad.

Configuración

Antes de la configuración, este asume que LAP ya se ha registrado como WLC. Consulte Ejemplo de configuración básica del controlador para redes LAN inalámbricas y de los puntos de acceso ligero (en inglés) para obtener más información. Consulte Registro de AP ligero (LAP) en un controlador para redes LAN inalámbricas (WLC) (en inglés) para obtener más información sobre el procedimiento de registro implicado.

Pasos de configuración

La configuración se divide en tres categorías:

  1. Configuración del servidor RADIUS

  2. Configurar switch para varias VLAN

  3. Configuración de WLC

  4. Configuración de la utilidad de cliente inalámbrico

Configuración del servidor RADIUS

Esta configuración requiere los siguientes pasos:

Configuración del cliente AAA para WLC en el servidor RADIUS

Este procedimiento explica cómo agregar un WLC como un cliente AAA en el servidor RADIUS de manera que WLC pueda transmitir las credenciales del usuario al servidor RADIUS.

Complete estos pasos:

  1. En la interfaz gráfica de usuario de ACS, haga clic en Network Configuration (Configuración de red).

  2. Haga clic en la sección Add Entry (Agregar entrada) del campo de clientes AAA.

  3. Introduzca el valor correspondiente en AAA Client IP Address (Dirección IP del cliente AAA) y Key (Clave).

    La dirección IP debe ser la dirección IP de la interfaz de administración de WLC.

    Asegúrese de que la clave que introduce es la misma que la que está configurada en WLC en la ventana de seguridad. Ésta es la clave secreta que se utiliza para la comunicación entre el cliente AAA (WLC) y el servidor RADIUS.

  4. Seleccione RADIUS (Cisco Aironet) en el campo Authenticate Using (Autenticar mediante) para definir el tipo de autenticación.

    dynamicvlan-config2A.gif

Configuración de usuarios y atributos RADIUS (IETF) que se utilizan para la asignación de VLAN dinámica en el servidor RADIUS

Este procedimiento explica cómo configurar los usuarios del servidor RADIUS y los atributos RADIUS (IETF) que se utilizan para asignar las ID de VLAN a estos usuarios.

Complete estos pasos:

  1. En la interfaz gráfica de usuario de ACS, haga clic en User Setup (Configuración de usuario).

  2. En la ventana User Setup (Configuración de usuario), introduzca un nombre de usuario en el campo User (Usuario) y haga clic en Add/Edit (Agregar/editar).

    dynamicvlan-config3A.gif

  3. En la página Edit (Editar), introduzca la información del usuario necesaria, como se muestra a continuación:

    dynamicvlan-config4A.gif

    En este diagrama, observe que la contraseña que se introduce en la sección User Setup (Configuración de usuario) tiene que ser la misma que la que se proporcione en la parte del cliente, durante la autenticación del usuario.

  4. Desplácese hacia abajo en la página Edit (Editar) y busque el campo IETF RADIUS Attributes (Atributos IETF de RADIUS).

  5. En el campo IETF RADIUS Attributes (Atributos IETF de RADIUS), active las casillas de verificación junto a los tres atributos de túnel y configure los valores del atributo, como se muestra a continuación:

    dynamicvlan-config5.gif

    Nota: En la configuración inicial del servidor ACS, puede que no aparezcan los atributos IETF de RADIUS.

    1. Seleccione Interface Configuration > RADIUS (IETF) (Configuración de la interfaz > RADIUS (IETF)) para activar los atributos IETF en la ventana de configuración del usuario.

    2. A continuación, active las casillas de verificación de los atributos 64, 65 y 81 en las columnas User (Usuario) y Group (Grupo).

      dynamicvlan-config6.gif

      Nota: Para que el servidor RADIUS asigne dinámicamente el cliente a una VLAN específica, es necesario que la ID de VLAN, configurada en el campo IETF 81 (Tunnel-Private-Group-ID) (ID de grupo privado de túnel) del servidor RADIUS, exista en el WLC.

    3. Active la casilla de verificación del atributo Per User TACACS+/RADIUS (TACACS+/RADIUS por usuario) situada en Interface Configuration > Advanced Options (Configuración de la interfaz > Opciones avanzadas) para activar el servidor RADIUS para las configuraciones por usuario.

    4. Asimismo, ya que LEAP se utiliza como el protocolo de autenticación, asegúrese de que está activado en la ventana System Configuration (Configuración del sistema) del servidor RADIUS, como se muestra aquí:

      dynamicvlan-config7.gif

Configurar switch para varias VLAN

Para permitir varias VLAN a través del switch, es necesario ejecutar los siguientes comandos para configurar el puerto del switch conectado al controlador:

  1. Switch(config-if)#switchport mode trunk

  2. Switch(config-if)#switchport trunk encapsulation dot1q

Nota: De forma predeterminada, la mayoría de los switches permiten a todas las VLAN creadas en ese switch que pasen a través del puerto troncal.

Estos comandos varían para un switch del sistema operativo Catalyst (CatOS).

Si se conecta una red alámbrica al switch, se puede aplicar esta misma configuración al puerto del switch que se conecta con la red alámbrica. De esta manera, se permite la comunicación entre las mismas VLAN en la red alámbrica e inalámbrica.

Nota: Este documento no trata la comunicación entre redes VLAN. Este tema no se incluye en este documento. Hay que comprender que para el enrutamiento entre redes VLAN, es necesario un switch de capa 3 o un router externo con configuraciones de VLAN y troncales correctas. Existen distintos documentos que explican la configuración de enrutamiento entre redes VLAN.

Configuración de WLC

Esta configuración requiere los siguientes pasos:

Configuración de WLC con los detalles del servidor de autenticación

Hay que configurar WLC para que pueda comunicarse con el servidor RADIUS para autenticar clientes y también para cualquier otro tipo de transacción.

Complete estos pasos:

  1. En la interfaz gráfica de usuario del controlador, haga clic en Security (Seguridad).

  2. Introduzca la dirección IP del servidor RADIUS y la clave secreta compartida que se utiliza entre el servidor RADIUS y WLC.

    Esta clave secreta compartida debe ser la misma que la que esté configurada en el servidor RADIUS en Network Configuration > AAA Clients > Add Entry (Configuración de red > Clientes AAAA > Agregar entrada). Aquí tiene una ventana de ejemplo del WLC:

    dynamicvlan-config8.gif

Configuración de las interfaces dinámicas (VLAN)

Este procedimiento explica cómo configurar interfaces dinámicas en WLC. Como se ha explicado anteriormente en este documento, la ID de VLAN que se especifique en el atributo Tunnel-Private-Group ID (ID de grupo privado de túnel) del servidor RADIUS también debe existir en el WLC.

En este ejemplo, user1 (usuario 1) se ha especificado con el valor 10 en Tunnel-Private-Group ID (ID de grupo privado de túnel) (VLAN =10) en el servidor RADIUS. Consulte la sección de IETF RADIUS Attributes (Atributos IETF de RADIUS) en la ventana User Setup (Configuración de usuario) del usuario 1.

Puede observar la misma interfaz dinámica (VLAN=10) configurada en WLC es este ejemplo. En la interfaz gráfica de usuario del controlador, en la ventana Controller > Interfaces (Controlador > Interfaces), se configura la interfaz dinámica.

dynamicvlan-config17.gif

  1. Haga clic en Apply (Aplicar) en esta ventana.

    Esto le llevará a la ventana Edit (Editar) de la interfaz dinámica (aquí VLAN 10).

  2. Introduzca la dirección IP y la puerta de enlace predeterminada de esta interfaz dinámica.

    dynamicvlan-config18.gif

    Nota: Como este documento utiliza un servidor DHCP interno en el controlador, el servidor DHCP primario de esta ventana apunta a la interfaz de administración del propio WLC. También puede utilizar un servidor DHCP externo, un router o el propio servidor RADIUS como servidor DHCP para los clientes inalámbricos. En estos casos, el campo del servidor DHCP primario apunta a la dirección IP del dispositivo utilizado como servidor DHCP. Consulte la documentación del servidor DHCP para obtener más información.

    La dirección IP rodeada con un círculo en el diagrama representa la dirección de la interfaz de administración de WLC.

  3. Haga clic en Apply (Aplicar).

    Ahora se ha configurado con una interfaz dinámica en WLC. De manera parecida, puede configurar una serie de interfaces dinámicas en WLC. Sin embargo, recuerde que la misma ID de VLAN debe existir también en el servidor RADIUS para la VLAN particular que se asigna al cliente.

Configuración de las WLAN (SSID)

Este procedimiento explica cómo configurar las WLAN en WLC.

Complete estos pasos:

  1. En la interfaz gráfica de usuario del controlador, seleccione WLANs > New (WLAN > Nueva) para crear una nueva WLAN.

    Aparece la ventana para WLAN nuevas.

  2. Introduzca la información correspondiente en WLAN ID y en WLAN SSID.

    Puede introducir cualquier nombre en WLAN SSID. En este ejemplo se utiliza VLAN10 como WLAN SSID.

    dynamicvlan-config9.gif

  3. Haga clic en Apply (Aplicar) para ir a la ventana Edit (Editar) de WLAN SSID10.

    dynamicvlan-config10.gif

    Observe los valores en los campos Interface Name (Nombre de la interfaz) y Allow AAA Override (Permitir anulación AAA), que aparecen rodeados con un círculo.

    Normalmente, en un controlador para redes LAN inalámbrica, cada WLAN se asigna a una VLAN (SSID) determinada de manera que el usuario que pertenece a esa WLAN se ubica en la VLAN específica asignada. Normalmente, esta asignación se hace en el campo Interface Name (Nombre de la interfaz) de la ventana WLAN SSID.

    En el ejemplo proporcionado, el servidor RADIUS se ocupa de asignar un cliente inalámbrico a una VLAN determinada a partir de una correcta autenticación. No es necesario asignar las WLAN a una interfaz dinámica determinada en WLC. O bien, aunque se realice la asignación de la WLAN a una interfaz dinámica en WLC, el servidor RADIUS anula esta asignación y asigna el usuario que llega a través de esa WLAN a la VLAN especificada en el campo Tunnel-Group-Private-ID (ID de grupo privado de túnel) del servidor RADIUS.

  4. Active la casilla de verificación Allow AAA Override (Permitir anulación AAA) como se muestra con un círculo en el ejemplo, para que el servidor RADIUS anule las configuraciones de WLC.

  5. Active Allow AAA Override (Permitir anulación AAA) en el controlador para todas las WLAN (SSID) que tenga configuradas.

    Cuando la casilla Allow AAA Override (Permitir anulación de AAA) está activada y un cliente tiene parámetros de autenticación del controlador para redes WLAN y de AAA incompatibles, la autenticación del cliente se realiza mediante el servidor AAA (RADIUS). Como parte de esta autenticación, el sistema operativo mueve a los clientes a una VLAN devuelta por el servidor AAA. Esto está predefinido en la configuración de la interfaz del controlador.

    Por ejemplo, si la WLAN corporativa utiliza principalmente una interfaz de administración asignada a VLAN 2 y la anulación AAA devuelve una redireccionada a VLAN 100, el sistema operativo redirecciona todas las transmisiones del cliente a VLAN 100, independientemente del puerto físico al que esté asignada VLAN 100. Cuando la anulación AAA está desactivada, toda la autenticación de clientes se realiza según lo predeterminado en la configuración de parámetros de autenticación y sólo la realiza el servidor AAA si la WLAN del controlador no incluye ningún parámetro de autenticación específico de clientes.

Configuración de la utilidad de cliente inalámbrico

Este documento utiliza ADU como la utilidad cliente para la configuración de perfiles de usuarios. Esta configuración también utiliza LEAP como el protocolo de autenticación. Configure ADU como se muestra en el ejemplo de esta sección.

En la barra de menú de ADU, seleccione Profile Management > New (Administración de perfil > Nuevo) para crear un nuevo perfil.

Este cliente de ejemplo está configurado como parte de SSID VLAN10. Estos diagramas muestran cómo configurar un perfil de usuario en un cliente:

dynamicvlan-config11.gif

dynamicvlan-config13.gif

dynamicvlan-config12.gif

Verificación

Active el perfil del usuario que ha configurado en ADU. Según su configuración, se le solicitará un nombre de usuario y contraseña. También puede indicar a ADU para que utilice el nombre de usuario y la contraseña de Windows para la autenticación. Hay una serie de opciones a partir de las que se puede autenticar al cliente. Puede configurar estas opciones en la ficha Security > Configure (Seguridad > Configurar) del perfil del usuario que ha creado.

En el ejemplo anterior, observe que user1 está asignado a VLAN10, como se especificó en el servidor RADIUS.

Este ejemplo utiliza el nombre de usuario y la contraseña del lado del cliente para recibir autenticación y para que el servidor RADIUS realice la asignación a VLAN:

  • User Name = user1 (Nombre de usuario = usuario1)

  • Password = user1 (Contraseña = usuario 1)

Este ejemplo muestra cómo se le solicita a SSID VLAN10 el nombre de usuario y la contraseña. El nombre de usuario y la contraseña se introducen en el siguiente ejemplo:

dynamicvlan-config14.gif

Una vez que la autenticación y la validación correspondiente se llevan a cabo con éxito, se notifica en el mensaje de estado que se recibe.

A continuación, es necesario verificar que el cliente se ha asignado a la VLAN correcta según los atributos de RADIUS enviados. Para ello, complete los siguientes pasos:

  1. En la interfaz gráfica de usuario del controlador, seleccione Wireless > AP (Inalámbrico > AP).

  2. Haga clic en Clients (Clientes), que aparece en la esquina izquierda de la ventana de puntos de acceso (AP).

    Aparecen las estadísticas del cliente.

    dynamicvlan-config15.gif

  3. Haga clic en Details (Detalles) para identificar todos los detalles del cliente, como la dirección IP, la VLAN a la que se asigna, etc.

    Este ejemplo muestra estos detalles del cliente, user1:

    dynamicvlan-config16.gif

    En esta ventana, puede observar que este cliente está asignado a VLAN10 según los atributos de RADIUS configurados en el servidor RADIUS.

Utilice esta sección para confirmar que la configuración funciona correctamente.

  • debug aaa events enable: este comando se puede utilizar para asegurar una transferencia correcta de los atributos de RADIUS al cliente a través del controlador. Esta parte del resultado de la depuración asegura una transmisión correcta de los atributos de RADIUS:

    Fri Jan 20 02:25:08 2006: 00:40:96:ac:e6:57 processing avps[0]:
    attribute 64, vendorId 0, valueLen 4
    Fri Jan 20 02:25:08 2006: 00:40:96:ac:e6:57 processing avps[1]:
    attribute 65, vendorId 0, valueLen 4
    Fri Jan 20 02:25:08 2006: 00:40:96:ac:e6:57 processing avps[2]:
    attribute 81, vendorId 0, valueLen 3
    Fri Jan 20 02:25:08 2006: 00:40:96:ac:e6:57 processing avps[3]:
    attribute 79, vendorId 0, valueLen 32
    Fri Jan 20 02:25:08 2006: 00:40:96:ac:e6:57 Received EAP Attribute
    (code=2, length=32,id=0) for mobile 00:40:96:ac:e6:57
    Fri Jan 20 02:25:08 2006: 00000000: 02 00 00 20 11 01 00 18
    4a 27 65 69 6d e4 05 f5
    ........J'eim...00000010: d0 98 0c cb 1a 0c 8a 3c
    ........44 a9 da 6c 36 94 0a f3  <D..l6...
    Fri Jan 20 02:25:08 2006: 00:40:96:ac:e6:57 processing avps[4]:
    attribute 1, vendorId 9, valueLen 16
    Fri Jan 20 02:25:08 2006: 00:40:96:ac:e6:57 processing avps[5]:
    attribute 25, vendorId 0, valueLen 28
    Fri Jan 20 02:25:08 2006: 00:40:96:ac:e6:57 processing avps[6]:
    attribute 80, vendorId 0, valueLen 16
    Fri Jan 20 02:25:08 2006: 00:40:96:ac:e6:57 Tunnel-Type 16777229
    should be 13 for STA 00:40:96:ac:e6:57
    Fri Jan 20 02:25:08 2006: 00:40:96:ac:e6:57 Tunnel-Medium-Type 16777222
    should be 6 for STA 00:40:96:ac:e6:57
    Fri Jan 20 02:30:00 2006: 00:40:96:ac:e6:57 Station 00:40:96:ac:e6:57
    setting dot1x reauth timeout = 1800
  • Estos comandos también pueden ser útiles:

    • debug dot1x aaa enable

    • debug aaa packets enable

Resolución de problemas

Actualmente, no hay información específica disponible sobre resolución de problemas para esta configuración.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 71683