Tecnología inalámbrica / Movilidad : LAN inalámbrica (WLAN)

Ejemplos de configuración de autenticación de controladores para redes LAN inalámbricas

15 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (9 Julio 2010) | Comentarios

Contenido

Introducción
Requisitos previos
      Requerimientos
      Componentes utilizados
      Convenciones
Autenticación en WLC
      Soluciones de la capa 1
      Soluciones de la capa 2
      Soluciones de la capa 3
Ejemplos de configuración
      Soluciones de seguridad de la capa 1
      Soluciones de seguridad de la capa 2
      Soluciones de seguridad de la capa 3
Resolución de problemas
      Comandos para resolución de problemas
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento proporciona ejemplos de configuración que explican cómo configurar distintos métodos de autenticación de la capa 1, la capa 2 y la capa 3 en los controladores para redes LAN inalámbricas (WLC).

Requisitos previos

Requerimientos

Asegúrese de que cumple estos requerimientos antes de intentar esta configuración:

  • Tener conocimiento de la configuración de los puntos de acceso ligeros (LAP) y los WLC de Cisco

  • Tener conocimiento de las normas de seguridad de 802.11i

Componentes utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware:

  • WLC Cisco 2006 que utiliza firmware versión 4.0

  • LAP de la serie 1000 de Cisco

  • Adaptador de cliente inalámbrico Cisco 802.11a/b/g que utiliza firmware versión 2.6

  • Servidor Cisco Secure ACS versión 3.2

La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.

Autenticación en WLC

La solución de seguridad de red inalámbrica unificada (UWN) de Cisco agrupa componentes de seguridad de punto de acceso (AP) de capa 1, capa 2 y capa 3 potencialmente complicados en un simple administrador de políticas que personaliza las políticas de seguridad a nivel de sistema para cada LAN inalámbrica (WLAN). La solución de seguridad UWN de Cisco proporciona herramientas de administración simples, unificadas y sistemáticas.

Estos mecanismos de seguridad se pueden implementar en los WLC.

Soluciones de la capa 1

Restrinja el acceso del cliente en función del número de intentos consecutivos fallidos.

Soluciones de la capa 2

Ninguna autenticación: si se selecciona esta opción en el menú Layer 2 Security (Seguridad de la capa 2), no se realiza ninguna autenticación de la capa 2 en la WLAN. Es igual que la autenticación abierta de la norma 802.11.

WEP estática: con la privacidad alámbrica equivalente (WEP) estática, todos los AP y las NIC de radio del cliente de una WLAN particular deben usar la misma clave de cifrado. Cada estación de envío cifra el cuerpo de las tramas con una clave WEP antes de la transmisión y la estación de recepción lo descifra utilizando una clave idéntica al recibirlo.

802.1x: configura la WLAN para utilizar la autenticación basada en 802.1x. El uso de IEEE 802.1X ofrece una infraestructura eficaz para autenticar y controlar el tráfico de usuarios en una red protegida, así como claves de cifrado que varían dinámicamente. 802.1X relaciona el protocolo llamado Protocolo de autenticación extensible (EAP) con ambos medios, alámbrico y WLAN, y admite varios métodos de autenticación.

WEP estática + 802.1x: este parámetro de configuración de seguridad de la capa 2 habilita tanto la WEP estática como 802.1x. Los clientes pueden utilizar la autenticación de WEP estática o 802.1x para conectarse a la red.

Acceso Wi-Fi protegido (WPA) WPA o WPA1 y WPA2 son soluciones de seguridad basadas en normas de Wi-Fi Alliance que proporcionan protección de datos y control de acceso para los sistemas WLAN. WPA1 es compatible con la norma IEEE 802.11i, aunque se implementó antes de la ratificación de la norma. WPA2 es la implementación de Wi-Fi Alliance de la norma IEEE 802.11i ratificada.

De forma predeterminada, WPA1 utiliza el protocolo de integridad de clave temporal (TKIP) y la verificación de integridad del mensaje (MIC) para la protección de datos. WPA2 utiliza el algoritmo de cifrado más resistente de norma de cifrado avanzado en modo de contador con el protocolo Cipher Block Chaining Message Authentication Code Protocol (AES-CCMP). Tanto WPA1 como WPA2 utilizan, de forma predeterminada, 802.1X para la administración de claves autenticadas. Sin embargo, también están disponibles las siguientes opciones: PSK, CCKM y CCKM+802.1x. Si selecciona CCKM, Cisco solamente admite a los clientes compatibles con CCKM. Si selecciona CCKM+802.1x, Cisco admite también a los que no son clientes de CCKM.

CKIP: el protocolo de integridad de claves de Cisco (CKIP) es un protocolo de seguridad patentado por Cisco para cifrar medios de 802.11. CKIP mejora la seguridad de 802.11 en modo de infraestructura mediante la permutación de claves, MIC y el número de secuencia de mensaje. La versión 4.0 del software admite CKIP con una clave estática. Para que esta característica funcione correctamente, debe activar los elementos de información de Aironet (IE) para WLAN. La configuración de CKIP especificada en WLAN es obligatoria para cualquier cliente que intente asociarse. Si la WLAN está configurada tanto para la permutación de claves de CKIP, como para MMH MIC, el cliente debe admitir ambos procedimientos. Si la WLAN está configurada sólo para una de estas funciones, el cliente debe admitir sólo la función CKIP. Los WLC sólo admiten CKIP estático (como WEP estática). Los WLC no admiten CKIP con 802.1x (CKIP dinámico).

Soluciones de la capa 3

None (Ninguna): si se selecciona esta opción en el menú de seguridad de la capa 3, no se realiza ninguna autenticación de la capa 3 en la WLAN.

Nota: El ejemplo de configuración de ninguna autenticación de la capa 3 y de ninguna autenticación de la capa 2 se explica en la sección Ninguna autenticación.

Política de Web (autenticación y transferencia Web): la autenticación Web suelen utilizarla los clientes que desean implementar una red con acceso para invitados. En la red con acceso para invitados, hay una autenticación inicial de nombre de usuario y contraseña, aunque para el tráfico posterior no se exige ninguna seguridad. Las implementaciones típicas pueden incluir ubicaciones "hot spot" como T-Mobile o Starbucks.

La autenticación Web para WLC de Cisco se realiza localmente. Primero se crea una interfaz y después se asocia una WLAN o identificador de conjunto de servicios (SSID) a dicha interfaz.

La autenticación Web proporciona una autenticación sencilla sin solicitante ni cliente. Tenga presente que la autenticación Web no proporciona ningún cifrado de datos. La autenticación Web se suele utilizar como un simple acceso para invitados, ya sea para un "hot spot" o para un entorno de oficina central donde la única preocupación es la conectividad.

La transferencia Web es una solución mediante la cual los usuarios inalámbricos son redirigidos a una página de política de uso aceptable sin tener que autenticarse cuando se conectan a Internet. De esta redirección se encarga el propio WLC. El único requisito es configurar el WLC para la transmisión Web que es, básicamente, una autenticación Web sin necesidad de introducir ninguna credencial.

VPN Passthrough (Transferencia VPN): VPN Passthrough (Transferencia VPN) es una función que permite al cliente establecer un túnel solamente con un servidor VPN específico. Por lo tanto, si necesita acceder de manera segura al servidor VPN configurado, igual que a cualquier otro servidor VPN o a Internet, no es posible si la opción VPN Passthrough (Transferencia VPN) está activada en el controlador.

En las siguientes secciones, se proporcionan ejemplos de configuración para cada uno de los mecanismos de autenticación.

Ejemplos de configuración

Antes de que configure las WLAN y los tipos de autenticación, debe configurar el WLC para el funcionamiento básico y registrar los LAP en el WLC. En este documento se asume que el WLC está configurado para el funcionamiento básico y que los LAP están registrados en el WLC. Si es un usuario nuevo que intenta configurar el WLC para el funcionamiento básico con los LAP, consulte Registro de AP ligero (LAP) en un controlador para redes LAN inalámbricas (WLC) (en inglés).

Soluciones de seguridad de la capa 1

Los clientes inalámbricos pueden tener el acceso restringido en función del número de intentos consecutivos fallidos para acceder a la red WLAN. En estas condiciones, de forma predeterminada, se produce la exclusión del cliente. Estos valores no se pueden cambiar.

  • Fallo consecutivo de autenticación de 802.11 (cinco veces consecutivas; el sexto intento queda excluido)

  • Fallo consecutivo de asociación de 802.11 (cinco veces consecutivas; el sexto intento queda excluido)

  • Fallo consecutivo de autenticación de 802.1x (tres veces consecutivas; el cuarto intento queda excluido)

  • Fallo del servidor de políticas externo

  • Intento de utilizar una dirección IP ya asignada a otro dispositivo (IP Theft or IP Reuse (Robo o reutilización de IP))

  • Fallo consecutivo de autenticación Web (3 veces consecutivas; el cuarto intento queda excluido)

Esta ventana muestra las políticas de exclusión de cliente. Para acceder a ella, haga clic en Security (Seguridad) en el menú superior y después seleccione Client Exclusion Policies (Políticas de exclusión de cliente) en el menú de la izquierda, en la sección Wireless Protection Policies (Políticas de protección inalámbrica).

wlc-authenticate1.gif

Se puede configurar el temporizador de exclusión. Las opciones de exclusión pueden activarse o desactivarse por controlador. El temporizador de exclusión puede activarse o desactivarse por WLAN.

wlc-authenticate2.gif

El valor de Maximum Number of Concurrent Logins (Número máximo de conexiones seguidas) para un único nombre de usuario es 0 de forma predeterminada. Puede introducir cualquier valor entre 0 y 8. Este parámetro puede establecerse en SECURITY > AAA > User Login Policies (Seguridad > AAA > Políticas de conexión de usuario) y le permite especificar el número máximo de conexiones seguidas para un único nombre de cliente, entre uno y ocho, o bien 0 = ilimitado. Aquí tiene un ejemplo:

wlc-authenticate2a.gif

Soluciones de seguridad de la capa 2

Ninguna autenticación

Este ejemplo muestra una WLAN que está configurada sin ninguna autenticación.

Nota: Este ejemplo también es valido para la no autenticación de la capa 3.

wlc-authenticate3a.gif

Configuración de WLC para ninguna autenticación

Siga los pasos a continuación para configurar el WLC para esta instalación:

  1. Haga clic en WLANs en la interfaz gráfica de usuario del controlador para crear una WLAN.

    Aparece la ventana de WLAN. Esta ventana enumera las WLAN configuradas en el controlador.

  2. Haga clic en New (Nueva) para configurar una WLAN nueva.

  3. Introduzca valores para WLAN ID y WLAN SSID.

    En este ejemplo, la WLAN se llama NullAuthentication y su ID es 1.

    wlc-authenticate4.gif

  4. Haga clic en Apply (Aplicar).

  5. En la ventana WLANs > Edit (WLANs > Editar), defina los parámetros específicos de la WLAN.

  6. En los menús desplegables de Layer 2 Security (Seguridad de la capa 2) y Layer 3 Security (Seguridad de la capa 2), elija None (Ninguna).

    De esta forma, no se activa ninguna autenticación para la WLAN. Seleccione el resto de parámetros, que depende de los requisitos de diseño. En este ejemplo, se utilizan los valores predeterminados.

    wlc-authenticate5.gif

  7. Haga clic en Apply (Aplicar).

Configuración de cliente inalámbrico para ninguna autenticación

Siga los pasos a continuación para configurar el cliente de LAN inalámbrica para esta instalación:

Nota: En este documento, se utiliza el adaptador de cliente 802.11a/b/g de Aironet que ejecuta el firmware 3.5 y se explica la configuración del adaptador del cliente con ADU versión 3.5.

  1. Para crear un perfil nuevo, haga clic en la ficha Profile Management (Administración de perfil) en ADU.

  2. Haga clic en New (Nuevo).

  3. Cuando aparezca la ventana de Profile Management (Administración de perfil) (General), siga estos pasos para configurar el nombre del perfil, el nombre del cliente y el SSID.

    1. Introduzca el nombre del perfil en el campo Profile Name (Nombre del perfil).

      En este ejemplo, se utiliza NoAuthentication como nombre del perfil.

    2. Introduzca el nombre del cliente en el campo Client Name (Nombre del cliente).

      El nombre del cliente se utiliza para identificar el cliente inalámbrico en la red WLAN. En esta configuración, se utiliza el nombre Client 1 para el cliente.

    3. En Network Names (Nombres de la red), introduzca el SSID que se va a utilizar para este perfil.

      El SSID es el mismo que se ha configurado en el WLC. El SSID de este ejemplo es NullAuthentication.

      wlc-authenticate6.gif

  4. Haga clic en la ficha Security (Seguridad).

  5. Elija None (Ninguna) en Set Security Options (Establecer opciones de seguridad). A continuación, haga clic en Apply (Aplicar).

    wlc-authenticate7.gif

    Cuando el SSID está activado, el cliente inalámbrico se conecta a la WLAN sin ninguna autenticación, como se muestra a continuación.

    wlc-authenticate8.gif

WEP estática

Este ejemplo muestra una WLAN que está configurada con la WEP estática.

wlc-authenticate9a.gif

Configuración de WLC para WEP estática

Siga los pasos a continuación para configurar el WLC para esta instalación:

  1. Haga clic en WLANs en la interfaz gráfica de usuario del controlador para crear una WLAN.

    Aparece la ventana de WLAN. Esta ventana enumera las WLAN configuradas en el controlador.

  2. Haga clic en New (Nueva) para configurar una WLAN nueva.

  3. Introduzca valores para WLAN ID y WLAN SSID.

    En este ejemplo, la WLAN se llama StaticWEP y su ID es 2.

    wlc-authenticate10.gif

  4. Haga clic en Apply (Aplicar).

  5. En la ventana WLANs > Edit (WLANs > Editar), defina los parámetros específicos de la WLAN.

    1. En el menú desplegable Layer 2 Security (Seguridad de la capa 2), elija Static WEP (WEP estática).

      De esta forma, se activa la WEP estática para la WLAN.

    2. En Static WEP Parameters (Parámetros de WEP estática), elija el tamaño de clave WEP, el índice de clave e introduzca la clave de cifrado de la WEP estática.

      El tamaño de la clave puede ser de 40 bits, 104 bits o 128 bits. El valor de índice de clave oscila entre 1 y 4. Puede aplicarse un único índice de clave WEP a cada WLAN. Puesto que hay sólo cuatro índices de clave WEP, solamente pueden configurarse cuatro WLAN para el cifrado de la capa 2 de la WEP estática.

      wlc-authenticate11.gif

      En este ejemplo, se utiliza la WEP de 104 bits y la clave WEP utilizada es 1234567890abcdef.

      wlc-authenticate12.gif

  6. Seleccione el resto de parámetros, que depende de los requisitos de diseño.

    En este ejemplo, se utilizan los valores predeterminados.

  7. Haga clic en Apply (Aplicar).

    Nota: Si desea activar la autenticación de clave compartida para la WLAN, active la casilla de verificación Allow Shared-Key Authentication (Permitir autenticación de clave compartida) en Static WEP Parameters (Parámetros de WEP estática). De este modo, si el cliente está configurado también para la autenticación de clave compartida, se realizará la autenticación de clave compartida seguida del cifrado WEP de paquetes en la WLAN.

Configuración de cliente inalámbrico para WEP estática

Siga los pasos a continuación para configurar el cliente de LAN inalámbrica para esta instalación:

  1. Para crear un perfil nuevo, haga clic en la ficha Profile Management (Administración de perfil) en ADU.

  2. Haga clic en New (Nuevo).

  3. Cuando aparezca la ventana de Profile Management (Administración de perfil) (General), siga estos pasos para configurar el nombre del perfil, el nombre del cliente y el SSID.

    1. Introduzca el nombre del perfil en el campo Profile Name (Nombre del perfil).

      En este ejemplo, se utiliza StaticWEP como nombre del perfil.

    2. Introduzca el nombre del cliente en el campo Client Name (Nombre del cliente).

      El nombre del cliente se utiliza para identificar el cliente inalámbrico en la red WLAN. En esta configuración, se utiliza el nombre Client 2 para el cliente.

    3. En Network Names (Nombres de la red), introduzca el SSID que se va a utilizar para este perfil.

      El SSID es el mismo que se ha configurado en el WLC. El SSID de este ejemplo es StaticWEP.

      wlc-authenticate13.gif

  4. Haga clic en la ficha Security (Seguridad).

  5. Elija Pre-Shared Key (Static WEP) (Clave previamente compartida (WEP estática)) en Set Security Options (Establecer opciones de seguridad).

  6. Haga clic en Configure (Configurar) y defina el tamaño de clave WEP y la clave WEP.

    Estos valores deben coincidir con la clave WEP configurada en el WLC para esta WLAN.

  7. Haga clic en Apply (Aplicar).

    wlc-authenticate14.gif

    wlc-authenticate15.gif

    Cuando el SSID está activado, el cliente inalámbrico se conecta a la WLAN y los paquetes se cifran mediante la clave WEP estática.

    wlc-authenticate16.gif

Autenticación 802.1x

Este ejemplo muestra una WLAN que está configurada con la autenticación 802.1x:

wlc-authenticate17a.gif

Configuración de WLC para autenticación 802.1x

Siga los pasos a continuación para configurar el WLC para esta instalación:

  1. Haga clic en WLANs en la interfaz gráfica de usuario del controlador para crear una WLAN.

    Aparece la ventana de WLAN. Esta ventana enumera las WLAN configuradas en el controlador.

  2. Haga clic en New (Nueva) para configurar una WLAN nueva.

    En este ejemplo, la WLAN se llama 802.1x y su ID es 3.

    wlc-authenticate18.gif

  3. Haga clic en Apply (Aplicar).

  4. En la ventana WLANs > Edit (WLANs > Editar), defina los parámetros específicos de la WLAN.

    1. En el menú desplegable Layer 2 Security (Seguridad de la capa 2), elija 802.1x.

      De esta forma, se activa la autenticación 802.1x para la WLAN.

    2. En los parámetros de Radius Servers (Servidores Radius), seleccione el servidor RADIUS que se utilizará para autenticar los credenciales del cliente.

    3. Seleccione el resto de parámetros, que depende de los requisitos de diseño.

      En este ejemplo, se utilizan los valores predeterminados.

  5. Haga clic en Apply (Aplicar).

    wlc-authenticate19.gif

    Nota: Si se elige 802.1x en la seguridad de la capa 2, no puede utilizarse CCKM. Si elige WPA 1 or WPA 2 (WPA1 o WPA2) como método de seguridad de la capa 2, tendrá las siguientes opciones en Auth Key Management (Administración de clave de autenticación):

    • 802.1x+CCKM

    • 802.1x

    • CCKM

    • PSK

    El tipo de autenticación EAP utilizado para validar los clientes depende del tipo de EAP configurado en el servidor RADIUS y los clientes inalámbricos. Una vez activado 802.1x en el WLC, éste permite que fluyan todos los tipos de paquetes EAP entre el LAP, el cliente inalámbrico y el servidor RADIUS.

    Los siguientes documentos proporcionan ejemplos de configuración de algunos tipos de autenticación EAP:

Configuración de cliente inalámbrico para autenticación 802.1x

Siga los pasos a continuación para configurar el cliente de LAN inalámbrica para esta instalación:

  1. Para crear un perfil nuevo, haga clic en la ficha Profile Management (Administración de perfil) en ADU.

  2. Haga clic en New (Nuevo).

  3. Cuando aparezca la ventana de Profile Management (Administración de perfil) (General), siga estos pasos para configurar el nombre del perfil, el nombre del cliente y el SSID.

    1. Introduzca el nombre del perfil en el campo Profile Name (Nombre del perfil).

      En este ejemplo, se utiliza EAPAuth como nombre del perfil.

    2. Introduzca el nombre del cliente en el campo Client Name (Nombre del cliente).

      El nombre del cliente se utiliza para identificar el cliente inalámbrico en la red WLAN. En esta configuración, se utiliza el nombre Client 3 para el cliente.

    3. En Network Names (Nombres de la red), introduzca el SSID que se va a utilizar para este perfil.

      El SSID es el mismo que se ha configurado en el WLC. El SSID en este ejemplo es 802.1x.

      wlc-authenticate20.gif

  4. Haga clic en la ficha Security (Seguridad).

  5. Elija 802.1x en Set Security Options (Establecer opciones de seguridad).

  6. En el menú desplegable de 802.1x EAP Type (Tipo de EAP de 802.1x), elija el tipo de EAP utilizado.

  7. Haga clic en Configure (Configurar) para configurar los parámetros específicos del tipo de EAP elegido.

    wlc-authenticate21.gif

    wlc-authenticate22.gif

  8. Haga clic en Apply (Aplicar).

    Si el SSID está activado, el cliente inalámbrico se conecta a la WLAN mediante la autenticación 802.1x. Las claves WEP dinámicas se utilizarán para las sesiones.

    wlc-authenticate22a.gif

Autenticación de WEP estática + 802.1x

Este ejemplo muestra una WLAN que está configurada con la autenticación de WEP estática + 802.1x.

wlc-authenticate23a.gif

Siga los pasos a continuación para configurar el WLC para esta instalación:

  1. Haga clic en WLANs en la interfaz gráfica de usuario del controlador para crear una WLAN.

    Aparece la ventana de WLAN. Esta ventana enumera las WLAN configuradas en el controlador.

  2. Haga clic en New (Nueva) para configurar una WLAN nueva.

  3. Introduzca valores para WLAN ID y WLAN SSID.

    En este ejemplo, la WLAN se llama WEP+802.1x y su ID es 4.

    wlc-authenticate24.gif

  4. Haga clic en Apply (Aplicar).

  5. En la ventana WLANs > Edit (WLANs > Editar), defina los parámetros específicos de la WLAN.

    1. En el menú desplegable Layer 2 Security (Seguridad de la capa 2), elija Static-WEP+802.1x (WEP estática+802.1x).

      De esta forma, se activan tanto la autenticación de WEP estática, como la 802.1x para esta WLAN.

    2. En los parámetros de servidores Radius, seleccione el servidor RADIUS que se utilizará para autenticar los credenciales del cliente con 802.1x.

    3. En los parámetros de WEP estática, elija el tamaño de clave WEP, el índice de clave e introduzca la clave de cifrado de la WEP estática.

    4. Seleccione el resto de parámetros, que depende de los requisitos de diseño.

      En este ejemplo, se utilizan los valores predeterminados.

      wlc-authenticate25.gif

Configuración del cliente inalámbrico para WEP estática y 802.1x

Consulte las secciones Configuración de cliente inalámbrico para autenticación 802.1x y Configuración de cliente inalámbrico para WEP estática para obtener información sobre cómo configurar el cliente inalámbrico.

Una vez creados los perfiles del cliente, los clientes configurados para la WEP estática se asocian con el LAP. Utilice SSID WEP+802.1x para conectarse a la red.

De manera parecida, los clientes inalámbricos que están configurados para el uso de la autenticación 802.1x, se autentican mediante EAP y acceden a la red con el mismo valor de SSID WEP+802.1x.

Acceso Wi-Fi protegido

Este ejemplo muestra una WLAN que está configurada con WPA.

wlc-authenticate26a.gif

Configuración de WLC para WPA

Siga los pasos a continuación para configurar el WLC para esta instalación:

  1. Haga clic en WLANs en la interfaz gráfica de usuario del controlador para crear una WLAN.

    Aparece la ventana de WLAN. Esta ventana enumera las WLAN configuradas en el controlador.

  2. Haga clic en New (Nueva) para configurar una WLAN nueva.

    En este ejemplo, la WLAN se llama WPA y su ID es 5.

    wlc-authenticate27.gif

  3. Haga clic en Apply (Aplicar).

  4. En la ventana WLANs > Edit (WLANs > Editar), defina los parámetros específicos de la WLAN.

    1. En Security Policies (Políticas de seguridad), elija WPA1+WPA2 en el cuadro desplegable de Layer 2 Security (Seguridad de la capa 2).

    2. En WPA1+WPA2 Parameters (Parámetros de WPA1+WPA2), active la casilla de verificación WPA1 Policy (Política de WPA1) para activar WPA1, active la casilla de verificación WPA2 Policy (Política de WPA2) para activar WPA2 o active las dos casillas de verificación para activar tanto WPA1, como WPA2.

      Las casillas están desactivadas de forma predeterminada tanto para WPA1, como para WPA2. Si deja desactivado tanto WPA1, como WPA2, los puntos de acceso se revelan en sus señalizaciones y sondean los elementos de información de respuesta solamente para el método de administración de claves de autenticación elegido.

    3. Active la casilla de verificación AES con objeto de activar el cifrado de datos AES o la casilla de verificación TKIP para activar el cifrado de datos TKIP para WPA1, WPA2 o para los dos.

      Los valores predeterminados son TKIP para WPA1 y AES para WPA2.

    4. Elija uno de estos métodos de administración de claves en el cuadro desplegable Auth Key Mgmt (Administración de claves de autenticación):

      • 802.1x

      • CCKM

      • PSK

      • 802.1x+CCKM

      En este ejemplo se utiliza 802.1x.

      wlc-authenticate28.gif

      wlc-authenticate29.gif

      Nota: Si elige PSK, seleccione ascii o hex en el cuadro desplegable de PSK Format (Formato de PSK) y, a continuación, introduzca en el campo en blanco la clave previamente compartida. Las claves previamente compartidas WPA tienen que contener de 8 a 63 caracteres de texto ASCII o 64 caracteres hexadecimales.

  5. Haga clic en Apply (Aplicar) para confirmar los cambios.

Configuración del cliente inalámbrico para WPA

Siga los pasos a continuación para configurar el cliente de LAN inalámbrica para esta instalación:

  1. En la ventana Profile Management (Administración de perfil) en ADU, haga clic en New (Nuevo) para crear un perfil nuevo.

    Aparecerá una ventana nueva donde podrá establecer la configuración para WPA.

  2. En la ficha General, introduzca Profile Name (Nombre del perfil) y el SSID que el adaptador del cliente va a utilizar.

    En este ejemplo, el nombre del perfil y el SSID son WPA. El SSID debe coincidir con el SSID configurado en el WLC para WPA.

    wlc-authenticate30.gif

  3. Haga clic en la pestaña Security (Seguridad) y, a continuación, seleccione WPA/WPA2/CCKM y elija el tipo de EAP adecuado en el menú WPA/WPA2/CCKM EAP Type (Tipo de EAP WPA/WPA2/CCKM).

    Esta acción activa el WPA.

    wlc-authenticate31.gif

  4. Haga clic en Configure (Configurar) para definir la configuración de EAP específica para el tipo de EAP seleccionado.

    wlc-authenticate32.gif

  5. Haga clic en Apply (Aplicar).

    Cuando este perfil está activado, el cliente se autentica mediante 802.1x y, si la autenticación se lleva a cabo con éxito, el cliente se conecta a la WLAN. Compruebe el estado actual de ADU para verificar que el cliente utiliza el cifrado TKIP (cifrado predeterminado utilizado por WPA1) y la autenticación EAP.

    wlc-authenticate33.gif

CKIP

Este ejemplo muestra una WLAN que está configurada con CKIP.

wlc-authenticate34.gif

Configuración del WLC para CKIP

Siga los pasos a continuación para configurar el WLC para esta instalación:

  1. Haga clic en WLANs en la interfaz gráfica de usuario del controlador para crear una WLAN.

    Aparece la ventana de WLAN. Esta ventana enumera las WLAN configuradas en el controlador.

  2. Haga clic en New (Nueva) para configurar una WLAN nueva.

    En este ejemplo, la WLAN se llama CKIP y su ID es 6.

    wlc-authenticate35.gif

  3. En la ventana WLANs > Edit (WLANs > Editar), defina los parámetros específicos de la WLAN.

    wlc-authenticate35a.gif

    1. En el menú desplegable Layer 2 Security (Seguridad de la capa 2), elija CKIP.

      Esto activa CKIP para la WLAN.

    2. En los parámetros de CKIP, seleccione el tamaño de clave, el índice de clave e introduzca la clave de cifrado estática.

      El tamaño de la clave puede ser de 40 bits, 104 bits o 128 bits. El valor de índice de clave oscila entre 1 y 4. Puede aplicarse un único índice de clave WEP a cada WLAN. Puesto que hay sólo cuatro índices de clave WEP, únicamente pueden configurarse cuatro WLAN para el cifrado de la capa 2 de WEP estática.

    3. Elija MMH Mode (Modo MMH) y/o la opción Key Permutation (Permutación de claves) para CKIP.

      Uno de estos parámetros o ambos deben seleccionarse para que CKIP funcione de la forma deseada. Si no se seleccionan estos parámetros, la WLAN permanece en estado inactivo.

    En este ejemplo, se utiliza la clave de 104 bits, que es 1234567890abc.

    wlc-authenticate36.gif

  4. Seleccione el resto de parámetros, que depende de los requisitos de diseño.

    En este ejemplo, se utilizan los valores predeterminados.

    wlc-authenticate37.gif

  5. Haga clic en Apply (Aplicar).

    Nota: CKIP funciona en los AP 1100, 1130 y 1200, aunque no en el AP 1000. Aironet IE tiene que estar activado para que esta característica funcione. CKIP extiende las claves de cifrado hasta 16 bytes.

Configuración del cliente inalámbrico para CKIP

Siga los pasos a continuación para configurar el cliente de LAN inalámbrica para esta instalación:

  1. Para crear un perfil nuevo, haga clic en la ficha Profile Management (Administración de perfil) en ADU y, a continuación, haga clic en New (Nuevo).

  2. Cuando aparezca la ventana de Profile Management (Administración de perfil) (General), siga estos pasos para configurar el nombre del perfil, el nombre del cliente y el SSID.

    1. Introduzca el nombre del perfil en el campo Profile Name (Nombre del perfil).

      En este ejemplo, se utiliza CKIP como nombre del perfil.

    2. Introduzca el nombre del cliente en el campo Client Name (Nombre del cliente).

      El nombre del cliente se utiliza para identificar el cliente inalámbrico en la red WLAN. En esta configuración, se utiliza el nombre Client6 para el cliente.

    3. En Network Names (Nombres de la red), introduzca el SSID que se va a utilizar para este perfil.

      El SSID es el mismo que se ha configurado en el WLC. El SSID en este ejemplo es CKIP.

      wlc-authenticate38.gif

  3. Haga clic en la ficha Security (Seguridad).

    wlc-authenticate39.gif

  4. Elija Pre-Shared Key (Static WEP) (Clave previamente compartida (WEP estática)) en Set Security Options (Establecer opciones de seguridad). Haga clic en Configure (Configurar) y defina el tamaño de clave WEP y la clave WEP.

    Estos valores deben coincidir con la clave WEP configurada en el WLC para esta WLAN.

    wlc-authenticate40.gif

  5. Haga clic en Apply (Aplicar).

    Cuando el SSID está activado, el cliente inalámbrico negocia con el LAP y el WLC el uso del CKIP para el cifrado de paquetes.

    wlc-authenticate41.gif

Soluciones de seguridad de la capa 3

Política de Web (autenticación y transferencia Web)

Consulte Ejemplo de configuración de autenticación Web de controladores para redes LAN inalámbricas (en inglés) para obtener información acerca de cómo activar la autenticación Web en una red WLAN.

Consulte Ejemplo de configuración de autenticación Web externa con controladores para redes LAN inalámbricas para obtener información acerca de cómo configurar la autenticación Web externa y la autenticación de transferencia Web en una WLAN.

VPN Passthrough (Transferencia VPN)

Consulte Ejemplo de configuración de cliente de VPN a través de LAN inalámbrica con WLC para obtener información acerca de cómo configurar la transferencia VPN en una WLAN.

Resolución de problemas

Comandos para resolución de problemas

Puede utilizar los comandos de depuración para resolver problemas de configuración.

Nota: Consulte Información importante sobre comandos de depuración (en inglés) antes de utilizar los comandos de depuración.

Depuraciones para autenticación Web:

  • debug mac addr <dirección-MAC-cliente xx:xx:xx:xx:xx:xx>: configura la depuración de la dirección MAC para el cliente.

  • debug aaa all enable: configura la depuración para todos los mensajes AAA.

  • debug pem state enable: configura la depuración de la máquina de estado del administrador de políticas.

  • debug pem events enable: configura la depuración de los eventos del administrador de políticas.

  • debug dhcp message enable: utilice este comando para mostrar la información de depuración sobre las actividades del cliente del protocolo de configuración de host dinámico (DHCP) y para supervisar el estado de los paquetes DHCP.

  • debug dhcp packet enable: utilice este comando para mostrar información de nivel de paquete DHCP.

  • debug pm ssh-appgw enable: configura la depuración de puertas de enlace de aplicaciones.

  • debug pm ssh-tcp enable: configura la depuración de la gestión tcp del administrador de políticas.

Depuraciones para WEP: ninguna depuración para WEP porque se realiza en el AP; active debug dot11 all enable.

Depuraciones para el almacenamiento en memoria caché de 802.1X/WPA/RSN/PMK:

  • debug mac addr <dirección-MAC-cliente xx:xx:xx:xx:xx:xx>: configura la depuración de la dirección MAC para el cliente.

  • debug dot1x all enable: utilice este comando para mostrar la información de depuración de 802.1X.

  • debug dot11 all enable: utilice este comando para activar la depuración de las funciones de radio.

  • debug pem events enable: configura la depuración de los eventos del administrador de políticas.

  • debug pem state enable: configura la depuración de la máquina de estado del administrador de políticas.

  • debug dhcp message enable: utilice este comando para mostrar la información de depuración sobre las actividades del cliente del protocolo de configuración de host dinámico (DHCP) y para supervisar el estado de los paquetes DHCP.

  • debug dhcp packet enable: utilice este comando para mostrar información de nivel de paquete DHCP.

  • debug mobility handoff enable (for intra-switch roaming): configura la depuración de paquetes de movilidad.

  • show client detail <mac>: muestra información detallada de el cliente por dirección mac. Compruebe la configuración del tiempo de espera de sesión de WLAN y RADIUS.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 82135