Tecnología inalámbrica / Movilidad : LAN inalámbrica (WLAN)

Guía de implementación para REAP en una sucursal

17 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (1 Febrero 2007) | Comentarios

Contenido

Introducción
Requisitos previos
      Requerimientos
      Componentes utilizados
      Convenciones
Introducción a la arquitectura de 1030 REAP
      ¿Cuándo es aconsejable utilizar AP tipo REAP?
Implementación de REAP
      Funciones básicas de preparación de REAP
      Requisitos de enlace de REAP a controlador
Limitaciones de REAP
      Redes de área local inalámbrica (WLAN)
      Seguridad
      Traducción de direcciones de red (NAT)
      Calidad del servicio (QoS)
      Roaming y equilibrio de carga del cliente
      Administración de recursos de radio (RRM)
      Detección de elementos no autorizados y funcionalidad IDS
      Resumen de las limitaciones de REAP
Administración de REAP y arquitectura de WLAN central
      Arquitectura centralizada de WLAN con REAP
Apéndice A
Apéndice B
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento proporciona información que se debe tener en cuenta a la hora de implementar el punto de acceso de extremo remoto (REAP). Consulte Ejemplo de configuración de puntos de acceso de extremo remoto (REAP) con puntos de acceso (AP) ligeros y controladores para redes LAN inalámbricas (WLC) para obtener información básica acerca de la configuración REAP.

Los puntos de acceso (AP) basados en el tradicional protocolo para puntos de acceso ligero (LWAPP) de Cisco, también conocidos como LAP, por ejemplo los AP de las series 1010, 1020, 1100 y 1200 que ejecutan la versión de software de Cisco IOS® 12.3(7)JX o posteriores, permiten la administración y control centrales a través de los controladores para redes LAN inalámbricas (WLC) de Cisco. Asimismo, estos LAP permiten a los administradores aprovechar estos controladores como puntos individuales de agrupamiento de datos inalámbricos.

Mientras que estos LAP permiten a los controladores llevar a cabo funciones avanzadas como la aplicación de QoS o listas de control de acceso (ACL), el requisito de que el controlador sea un único punto de entrada y salida para el tráfico de cliente inalámbrico puede perjudicar más que contribuir a cubrir las necesidades del usuario. En algunos entornos, como oficinas remotas, la llegada de todos los datos de usuario a los controladores puede provocar un uso de ancho de banda demasiado intensivo, especialmente cuando hay un rendimiento limitado disponible a través de un enlace WAN. Asimismo, cuando los enlaces entre LAP y WLC son propensos a interrupciones, algo común con los enlaces WAN a oficinas remotas, el uso de LAP que dependen de WCL para terminación de datos de usuario origina una conectividad inalámbrica interrumpida durante los tiempos de interrupción de WAN.

Como alternativa, puede utilizar una arquitectura AP en donde el plano tradicional de control LWAPP se aprovecha para llevar a cabo tareas, como la administración de configuración dinámica, la actualización del software AP y la detección de intrusiones inalámbricas. Esto permite que los datos inalámbricos continúen siendo locales y la infraestructura inalámbrica se pueda administrarse de manera central y flexible durante interrupciones de WAN.

Requisitos previos

Requerimientos

No hay requerimientos específicos para este documento.

Componentes utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.

Introducción a la arquitectura de 1030 REAP

Cisco 1030 REAP separa el plano de control LWAPP del plano de datos inalámbricos para proporcionar así una funcionalidad remota. Los WLC de Cisco se utilizan para una administración y control centralizados como si se trataran de LAP. La diferencia radica en que todos los datos de usuario están conectados con puente de manera local en el AP. El acceso a los recursos de red local se mantiene durante las interrupciones de WAN. La figura 1 muestra una arquitectura básica de REAP.

Figura 1: Diagrama de arquitectura básica de REAP

reap-deployguide1.gif

Nota: Consulte el apéndice A para obtener una lista con las diferencias básicas de las funciones REAP comparadas con los tradicionales LAP.

¿Cuándo es aconsejable utilizar AP tipo REAP?

El AP Cisco 1030 REAP se debe utilizar principalmente en los siguientes dos casos:

  • Si el enlace entre LAP y WLC es propenso a interrupciones, 1030 REAP puede utilizarse para permitir el acceso a datos ininterrumpido a los usuarios inalámbricos durante fallos de enlace.

  • Si todos los datos de usuario deben terminar de forma local, es decir, en el puerto alámbrico del AP (en lugar de en el controlador, como los datos para todos los demás LAP), 1030 REAP puede utilizarse para permitir el control central a través de la interfaz del controlador o el sistema de control inalámbrico (WCS). Esto permite que los datos continúen siendo locales.

Cuando la densidad de la cobertura o de usuarios requiere más de dos o tres AP 1030 REAP en un único sitio, se aconseja la implementación de un WLC 2006 o 2106. Estos controladores pueden admitir hasta 6 LAP de cualquier tipo. Esto demuestra una mayor viabilidad económica y proporciona un superconjunto de características y funciones en comparación con la implementación exclusiva REAP.

Al igual que todos los AP de la serie 1000, un único AP 1030 cubre aproximadamente 450 metros cuadrados. Esto depende de las características de propagación de la radiofrecuencia (RF) de cada sitio, así como del número de usuarios inalámbricos requerido y sus necesidades de rendimiento. En la mayoría de las implementaciones comunes, un único AP de la serie 1000 puede admitir a la vez 12 usuarios a 512 kbps en 802.11b y 12 usuarios a 2 mbps en 802.11a. Como ocurre con todos las tecnologías basadas en 802.11, se comparte el acceso a medios. Como consecuencia, al aumentar el número de usuarios que se conectan al AP inalámbrico, el rendimiento se comparte en consonancia. De nuevo, a medida que la densidad de usuarios o los requisitos de rendimiento aumentan, se debe considerar la adición de un WLC local para ahorrar en coste por usuario e incrementar la funcionalidad.

Nota: Puede configurar los 1030 REAP para que funcionen exactamente igual que otros LAP. Como consecuencia, al agregar WLC para ajustar el tamaño de las infraestructuras de WLAN de sitios remotos, se puede seguir aprovechando las inversiones REAP ya existentes.

Implementación de REAP

Puesto que 1030 REAP está diseñado para su ubicación en sitios remotos lejos de la infraestructura de WLC, no se suelen emplear los tradicionales LAP de métodos sin intervención, utilizados para detectar controladores y conectarse a ellos (por ejemplo la opción 43 de DHCP). En su lugar, primero se debe preparar el LAP para permitir que el 1030 se conecte a un WLC en un sitio central.

Esta preparación es un proceso en el que los LAP reciben una lista de WLC a los que se pueden conectar. Una vez unidos a un WLC, se informa a los LAP de todos los controladores en el grupo de movilidad y se les suministran todos los datos necesarios para unirse a cualquier controlador del grupo. Consulte Implementación de los controladores para redes LAN inalámbricas de la serie 440X de Cisco (en inglés) para obtener más información acerca de los grupos de movilidad, el equilibrio de carga y la redundancia de controladores.

Para llevar a cabo todas estas acciones desde un sitio central, como un centro de operaciones de red (NOC) o un centro de datos, los REAP deben estar conectados a la red alámbrica. Esto les permite detectar un único WLC. Una vez conectados a un controlador, los LAP descargan la versión OP de LAP correspondiente a la infraestructura WLAN. A continuación, las direcciones IP de todos los WLC del grupo de movilidad se transfieren a los AP. Esto permite que los AP, cuando están encendidos en sus sitios remotos, puedan detectar el controlador menos utilizado de la lista y unirse a él, siempre que la conectividad IP esté disponible.

Nota: La opción 43 de DHCP y la búsqueda del sistema de nombres de dominio (DNS) también funcionan con los REAP. Consulte Implementación de los controladores para redes LAN inalámbricas de la serie 440X de Cisco (en inglés) para obtener más información acerca de cómo configurar DHCP o DNS en sitios remotos para permitir que los AP detecten controladores centrales.

En este punto, se pueden asignar direcciones estáticas a los 1030, si se desea. Esto garantiza que el esquema de direccionamiento IP coincida con el sitio remoto de destino. Asimismo, se pueden introducir nombres de WLC para indicar los tres controladores con los que se intentará conectar cada LAP. Si los tres fallan, la función de equilibrio de carga automático de LWAPP permite al LAP elegir el AP menos saturado del resto de la lista de controladores del clúster. La edición de la configuración LAP se puede realizar a través de la interfaz de línea de comandos (CLI) o la interfaz gráfica de usuario del WLC, o bien mediante el WCS para mayor facilidad.

Nota: Los 1030 REAP requieren que los WLC a los que se conectan funcionen en modo LWAPP de capa 3. Esto significa que es necesario que los controladores tengan direcciones IP. Asimismo, los WLC requieren que un servidor DHCP esté disponible en cada sitio remoto, o bien que se les asigne una dirección estática durante el proceso de preparación. La función DHCP incorporada en los controladores no se puede utilizar para proporcionar direcciones a los LAP 1030 o a sus usuarios.

Antes de apagar los LAP 1030 para enviar a sitios remotos, asegúrese de que todos los 1030 están establecidos en modo REAP. Esto es muy importante porque el modo predeterminado de todos los LAP consiste en realizar funciones locales de manera regular y los 1030 deben estar establecidos para funciones REAP. Esto puede realizarse en el nivel de LAP a través de la CLI o la interfaz gráfica de usuario del controlador, o bien mediante plantillas WCS para mayor facilidad.

Funciones básicas de preparación de REAP

Una vez que los 1030 REAP están conectados a un WLC del grupo de movilidad al que los REAP se conectan cuando se ubican en sitios remotos, se puede recopilar la siguiente información:

Configuración REAP requerida

  • Lista de direcciones IP para el WLC en el grupo de movilidad (proporcionada automáticamente por conexión controlador/AP)

  • Modo REAP de AP (los AP deben estar configurados para funcionar en modo REAP para llevar a cabo funciones REAP)

Configuración REAP opcional

  • Direcciones IP asignadas de forma estática (una entrada de configuración opcional por AP)

  • Nombres WLC primarios, secundarios y terciarios (una entrada de configuración opcional por AP o mediante plantillas WCS)

  • Nombre AP (una entrada de configuración informativa opcional por AP)

  • Información de ubicación de AP (una entrada de configuración informativa opcional por AP o mediante plantillas WCS)

Requisitos de enlace de REAP a controlador

Cuado desee implementar los REAP, debe tener en cuenta una serie de requisitos. Estos requisitos están relacionados con la velocidad y latencia de los enlaces WAN que el tráfico de control REAP LWAPP atravesará. LAP 1030 se ha diseñado para su uso en enlaces WAN, como el túnel de seguridad IP, Frame Relay, DSL (no PPPoE) y líneas alquiladas.

Nota: La implementación 1030 REAP LWAPP asume que existe una trayecto MTU de 1500 bytes entre el AP y el WLC. Cualquier fragmentación que tenga lugar durante el tránsito debido a un MTU inferior a 1500 bytes puede ocasionar resultados impredecibles. Por lo tanto, LAP 1030 no es adecuado para entornos, por ejemplo PPPoE, en los que los router fragmentan de manera proactiva los paquetes menores de 1500 bytes.

La latencia del enlace WAN es especialmente importante porque cada LAP 1030 devuelve, de forma predeterminada, los mensajes de latido a los controladores cada 30 segundos. Una vez perdidos los mensajes de latido, los LAP envían 5 latidos sucesivos, uno por segundo. Si ninguno tiene éxito, el LAP determina que se ha interrumpido la conectividad del controlador y los 1030 vuelven al modo REAP independiente. Aunque LAP 1030 puede tolerar latencias largas entre él y el WLC, es necesario que garantizar que la latencia entre el LAP y el controlador no supera los 100 ms. Esto se debe a los temporizadores del lado del cliente que limitan la cantidad de tiempo que los clientes esperan antes de que los temporizadores determinen que una autenticación ha fallado.

Limitaciones de REAP

Aunque AP 1030 está diseñado para administrarse de forma centralizada y para proporcionar servicio WLAN durante las interrupciones del enlace WAN, hay algunas diferencias entre los servicios que el REAP ofrece con conectividad WLC y los que puede proporcionar cuando la conectividad se ha interrumpido.

Redes de área local inalámbrica (WLAN)

Aunque cada 1030 REAP puede admitir hasta 16 WLAN (cada perfil inalámbrico contiene un identificador de conjunto de servicios [SSID], además de toda la seguridad, QoS y otras políticas) con su propio Multiple Basic Service Set ID (MBSSID), 1030 REAP solamente puede admitir la primera WLAN cuando se interrumpe la conectividad con un controlador. Durante las interrupciones del enlace WAN, todas las WLAN excepto la primera quedan fuera de servicio. Por ello, se debe intentar que la WLAN 1 sea la WLAN primaria y que las políticas de seguridad se planifiquen en consonancia. La seguridad de esta primera WLAN es especialmente importante porque si el enlace WAN falla, también fallará la autenticación RADIUS de segundo plano. Esto sucede porque ese tipo de tráfico atraviesa el plano de control LWAPP. Por lo tanto, no se permite el acceso inalámbrico a ningún usuario.

Se recomienda el uso de un método de autenticación/cifrado local, por ejemplo la parte de clave previamente compartida de acceso Wi-Fi protegido (WPA-PSK), en la primera WLAN. La privacidad alámbrica equivalente (WEP) es suficiente, pero no se recomienda por sus conocidas vulnerabilidades de seguridad. Cuando se utiliza una WPA-PSK (o una WEP), los usuarios configurados correctamente seguirán teniendo acceso a los recursos de red locales, incluso aunque el enlace WAN esté desactivado.

Nota: Todos los métodos basados en RADIUS requieren que se transmitan mensajes de autenticación de nuevo hacia el sitio central a través del plano de control LWAPP. Por lo tanto, ninguno de los servicios basados en RADIUS estará disponible durante las interrupciones de WAN. En estos se incluyen, sin limitación, la autenticación MAC basada en RADIUS, 802.1X, WPA, WPA2 y 802.11i.

1030 REAP sólo puede residir en una subred simple porque no puede realizar el etiquetado VLAN 802.1q. Por lo tanto, el tráfico de cada SSID termina en la misma subred de la red alámbrica. Esto significa que aunque es posible que el tráfico inalámbrico se segmente en el aire entre los SSID, el tráfico del usuario no se separa en el lado alámbrico.

Seguridad

1030 REAP puede proporcionar todas las políticas de seguridad de capa 2 admitidas por la arquitectura WAN basada en el controlador de Cisco. Esto incluye todos los tipos de autenticación y cifrado de capa 2, por ejemplo WEP, 802.1X, WPA, WPA2 y 802.11i. Como se ha mencionado anteriormente, la mayoría de estas políticas de seguridad necesitan una conectividad WLC para la autenticación de segundo plano. WEP y WPA-PSK están completamente implementadas en el nivel AP y no necesitan autenticación RADIUS de segundo plano. Por lo tanto, los usuarios pueden seguir conectados incluso aunque el enlace WAN esté desactivado. La función de lista de exclusión de cliente del WLC de Cisco se admite en LAP 1030. Se admiten también funciones de filtrado MAC en el 1030 si la conectividad de vuelta al controlador está disponible.

Nota: REAP no admite WPA2-PSK si el AP está en modo independiente.

Ninguna políticas de seguridad de capa 3 está disponible con LAP 1030. En esta políticas de seguridad se incluyen la autenticación Web, la terminación VPN basada en controlador, las ACL y el bloqueo de par a par, debido a que están ya implementadas en el controlador. La transferencia por VPN funciona con los clientes que se conectan a concentradores VPN externos. Sin embargo, la función del controlador que sólo permite el tráfico destinado a un concentrador VPN específico (sólo transferencia VPN) no funciona.

Traducción de direcciones de red (NAT)

Los WLC a los que se conecta REAP no pueden residir detrás de los límites de NAT. Sin embargo, los REAP de los sitios remotos se pueden establecer detrás de una caja NAT, si los puertos utilizados por LWAPP (puertos UDP 12222 y 12223) se reenvían a los 1030. Esto significa que cada REAP debe tener una dirección estática para que el reenvío al puerto funcione de forma confiable y que sólo puede residir un AP simple detrás de cada instancia de NAT. La razón de esto es que sólo puede existir una instancia de reenvío al puerto por dirección IP de NAT, lo que significa que sólo un LAP puede trabajar detrás de cada servicio de NAT en sitios remotos. Las NAT uno a uno pueden trabajar con REAP múltiples porque los puertos LWAPP se pueden reenviar para cada dirección IP externa a cada dirección IP interna (dirección IP de REAP estática).

Calidad del servicio (QoS)

La priorización de paquetes basada en los bits de precedencia 802.1p no está disponible porque REAP no puede realizar el etiquetado 802.1q. Esto significa que no se admiten Wi-Fi Multimedia (WMM) ni 802.11e. Se admiten la priorización de paquetes basada en SSID y las redes basadas en identidad. Sin embargo la asignación de VLAN mediante redes basadas en identidad no funciona con REAP porque no puede realizar el etiquetado 802.1q.

Roaming y equilibrio de carga del cliente

En entornos en los que haya presentes más de un REAP y donde se espera movilidad entre los AP, cada LAP debe estar en la misma subred. LAP 1030 no admite movilidad de capa 3. Normalmente esto no resulta una limitación porque las oficinas remotas no suelen utilizan suficientes LAP para necesitar ese tipo de flexibilidad.

Se proporciona un equilibrio de carga de clientes agresivo en todos los REAP en sitios con más de un AP simple, si se dispone de conectividad de controlador de flujo ascendente (sólo si el equilibrio de carga está activado en el controlador host).

Administración de recursos de radio (RRM)

Cuando existe conectividad con los controladores, los LAP 1030 reciben canal dinámico y salida de alimentación desde el mecanismo RRM de los WLC. Si el enlace WAN no está activo, la RRM no funcionará y no se cambiará la configuración de canal y alimentación.

Detección de elementos no autorizados y funcionalidad IDS

La arquitectura REAP admite todas las detecciones de elementos no autorizados y firmas de detección de intrusiones (IDS) que coincidan con las de los AP comunes. Sin embargo, si se pierde la conectividad con un controlador central, la información recopilada no se comparte. Por tanto, se pierde la visibilidad en dominios de RF de sitios remotos.

Resumen de las limitaciones de REAP

La tabla del apéndice B resume las capacidades de REAP durante su funcionamiento normal y cuando no está disponible la conexión con el WLC a través del enlace WAN.

Administración de REAP y arquitectura de WLAN central

La administración de 1030 REAP no es diferente de la de un LAP o WLC comunes. La administración y la configuración se realizan totalmente en el nivel del controlador, bien a través de la CLI de cada controlador o a de la interfaz gráfica de usuario Web. La configuración de todo el sistema y la visibilidad de la red se consiguen a través del WCS, donde todos los controladores y los AP (de tipo REAP o cualquier otro) se pueden administrar como un único sistema. Cuando se interrumpe la conectividad REAP-controlador, las capacidades de administración también se interrumpen.

Arquitectura centralizada de WLAN con REAP

La figura 2 muestra cómo cada parte de la arquitectura LWAPP centralizada funciona de manera conjunta para cubrir las diferentes necesidades de la red inalámbrica. Los servicios de administración y ubicación se proporcionan centralmente a través del WCS y del dispositivo de localización 2700.

Figura 2: Arquitectura WLAN centralizada con REAP

reap-deployguide2.gif

Apéndice A

¿Cuáles son las principales diferencias entre la arquitectura REAP y los LAP comunes?

  • Si la opción 43 del DHCP o la resolución DNS no están disponibles en sitios remotos, primero debe prepararse el 1030 en la oficina central. A continuación, se envía al sitio de destino.

  • En caso de que falle el enlace WAN, sólo el primer WLAN permanece activo.

    • Las políticas de seguridad que RADIUS requiere fallarán.

    • Para WLAN 1 se recomienda autenticación/cifrado que utilice WPA-PSK. WEP funcionará, pero no se recomienda.

  • No existe cifrado de capa 3 (sólo cifrado de capa 2).

  • Los WLC a los que se conecta REAP no pueden residir detrás de los límites de NAT. Sin embargo, los REAP sí pueden, siempre que cada dirección IP de REAP interna estática le reenvíe los dos puertos LWAPP (12222 y 12223).

    Nota: No se admite traducción de direcciones de puerto (PAT)/NAT con sobrecarga, ya que el puerto de origen del tráfico LWAPP que se origina desde el LAP puede variar con el tiempo. Esto causa la ruptura de la asociación LWAPP. Puede surgir el mismo problema con las implementaciones NAT para REAP donde la dirección del puerto varía, por ejemplo PIX/ASA, lo que depende de la configuración.

  • Sólo los mensajes de control de LWAPP atraviesan el enlace WAN.

  • El tráfico de datos se conecta con puente al puerto Ethernet del 1030.

  • LAP 1030 no lleva a cabo el etiquetado 802.1Q (VLAN). Por consiguiente, el tráfico inalámbrico desde todos los SSID finaliza en la misma subred alámbrica.

Apéndice B

¿Cuáles son las diferencias de funcionalidad entre los modos de REAP normal e independiente?

 

REAP (modo normal)

REAP (modo independiente)

Protocolos

IPv4

IPv6

El resto de los protocolos

Sí (sólo si el cliente también tiene IP activada)

Sí (sólo si el cliente también tiene IP activada)

ARP de proxy IP

No

No

WLAN

Número de SSID

16

1 (el primero)

Asignación de canal dinámica

No

Control de alimentación dinámico

No

Equilibrio de carga dinámico

No

VLAN

Interfaces múltiples

No

No

Soporte 802.1Q

No

No

Seguridad WLAN

Detección de AP no autorizado

No

Lista de exclusión

Sí (sólo miembros existentes)

Bloqueo de par a par

No

No

Sistema de detección de intrusiones

No

Seguridad de capa 2

Autenticación MAC

No

802.1X

No

WEP (64/128/152 bits)

WPA-PSK

WPA2-PSK

No

WPA-EAP

No

WPA2-EAP

No

Seguridad de capa 3

Autenticación Web

No

No

IPsec

No

No

L2TP

No

No

Transferencia por VPN

No

No

Listas de control de acceso

No

No

QoS

Perfiles de QoS

QoS de enlace descendente (colas de ordenamiento cíclico ponderado)

Soporte 802.1p

No

No

Contratos de ancho de banda por usuario

No

No

WMM

No

No

802.11e (futuro)

No

No

Anulación de perfil QoS de AAA

No

Movilidad

Dentro de la subred

Entre las subredes

No

No

DHCP

Servidor DHCP interno

No

No

Servidor DHCP externo

Topología

Direct connect (2006)

No

No


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 81784