Tecnología inalámbrica / Movilidad : LAN inalámbrica (WLAN)

Mejores prácticas de configuración de un controlador para redes LAN inalámbricas (WLC)

17 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (16 Noviembre 2013) | Inglés (18 Octubre 2013) | Comentarios

Contenido

Introducción
Requisitos previos
      Requerimientos
      Componentes utilizados
      Convenciones
Mejores prácticas
      Sistema inalámbrico/radiofrecuencia
      Conectividad de red
      Diseño de red
      Movilidad
      Seguridad
      Administración general
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento ofrece breves consejos de configuración que abarcan varios problemas relacionados con las infraestructuras unificadas inalámbricas y que se han tratado en el Centro de asistencia técnica de Cisco (TAC).

El objetivo es proporcionar notas importantes que se pueden aplicar en la mayoría de las implementaciones de red para minimizar los problemas que puedan surgir.

Nota: Todas las redes no son iguales, por lo que algunos consejos no se podrán aplicar en su instalación. Verifique siempre dichos consejos antes de llevar a cabo cualquier cambio en una red que esté en funcionamiento.

Requisitos previos

Requerimientos

Cisco recomienda poseer ciertos conocimientos acerca de estos temas:

  • Tener conocimientos de cómo configurar el controlador para redes LAN inalámbricas (WLC) y el punto de acceso ligero (LAP) para el funcionamiento básico

  • Tener conocimientos básicos del protocolo de punto de acceso ligero (LWAPP) y de los métodos de seguridad inalámbricos

Componentes utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • WLC de las series 2000/2100/4400 de Cisco que utilizan firmware 3.2 o 4.0

  • Puntos de acceso basados en LWAPP, series 1230, 1240, 1130, 10x0 y 1500

La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.

Mejores prácticas

Sistema inalámbrico/radiofrecuencia

Las siguientes son las mejores prácticas de sistema inalámbrico/radiofrecuencia:

  • Para cualquier implementación inalámbrica, lleve a cabo siempre un estudio adecuado para asegurarse de la correcta calidad del servicio para los clientes inalámbricos. Los requerimientos de implementaciones de voz y ubicación son más estrictos que los de los servicios de datos. La RF automática puede ayudar en la administración de la configuración de canal y potencia, pero no puede corregir un diseño incorrecto de RF.

  • Dicho estudio del sitio debe llevarse a cabo mediante dispositivos que coincidan con el comportamiento de potencia y propagación de los dispositivos que se utilizarán en la red real. Por ejemplo, no utilice una radio de 350 para 802.11B con antena omnidireccional a la hora de estudiar la cobertura si la red final utiliza radios duales de 1240 para 802.11A y G.

  • Asimismo, limite el número de identificadores de conjunto de servicios (SSID) configurados en el controlador. Basándose en su modelo de punto de acceso, puede configurar 8 o 16 SSID simultáneamente, pero, puesto que cada WLAN/SSID necesita respuestas de prueba independientes y señalizaciones, la contaminación de RF aumenta cada vez que se agregan nuevos SSID. El resultado es que algunas estaciones inalámbricas de menor tamaño como PDA, teléfonos WiFi y escáneres de códigos de barras no pueden afrontar una elevada cantidad de información de SSID básicos (BSSID). Esto causa bloqueos, recargas y fallos de asociación. Asimismo, cuantos más SSID, más señalizaciones se necesitan, por lo que el espacio de RF disminuye para la transmisión de datos reales.

  • Para entornos de RF que sean espacios vacíos, como fábricas donde hay puntos de acceso en un amplio espacio sin muros, puede que sea necesario ajustar los umbrales de potencia de transmisión del valor predeterminado -65 dBm a un valor inferior como -76 dBm. Esto permite disminuir las interferencias entre canales (número de BSSID recibido de un cliente inalámbrico en un determinado momento) El valor más apropiado depende de las características ambientales de cada sitio, por lo que debería evaluarse detenidamente mediante un estudio del sitio.

    Umbral de transmisión de potencia: este valor, expresado en dBm, es el nivel de señal límite al que el algoritmo de control de potencia de transmisión (TPC) ajusta hacia abajo los niveles de potencia, de manera que el valor sea la fuerza con la que se oiga el tercer vecino más fuerte de un AP.

  • Parte del software cliente de 802.11 puede encontrar dificultades si oye más de un número fijo determinado de BSSID (por ejemplo, 24 o 31 BSSID). Al reducir el umbral de potencia de transmisión y, por consiguiente, la media del nivel de transmisión de AP, puede reducir el número de BSSID de dichos clientes.

  • No active el equilibrio de carga agresivo a no ser que la red tenga disponibles puntos de acceso de alta densidad en dicha área y, en ningún caso, si se transmite voz a través de la red inalámbrica. Si activa esta función con puntos de acceso colocados lejos unos de los otros, puede confundir al algoritmo de roaming de algunos clientes e inducir a la aparición de agujeros de cobertura en algunos casos. En las últimas versiones del software, esta función está desactivada de manera predeterminada.

Conectividad de red

Las siguientes son las mejores prácticas de conectividad de red:

  • No utilice ningún árbol de expansión en los controladores.

    Para la mayoría de las topologías, no es necesario el protocolo de árbol de expansión (STP) que se ejecuta en el controlador. El protocolo STP está desactivado de manera predeterminada.

    Para switches que no sean de Cisco, también se recomienda desactivar STP por puerto.

    Utilice este comando para verificar:

    Cisco Controller) >show spanningtree switch
    
    STP Specification...................... IEEE 802.1D
    STP Base MAC Address................... 00:18:B9:EA:5E:60
    Spanning Tree Algorithm................ Disable
    STP Bridge Priority.................... 32768
    STP Bridge Max. Age (seconds).......... 20
    STP Bridge Hello Time (seconds)........ 2
    STP Bridge Forward Delay (seconds)..... 15
    
    (Cisco Controller) >
  • A pesar de que la mayoría de las configuraciones de controladores se aplican sobre la marcha, es recomendable volver a cargar los controladores una vez que cambie los siguientes valores de configuración:

    • Dirección de administración

    • Configuración de SNMP: este valor es de gran importancia si utiliza un software anterior.

  • En todos los puertos troncales que estén conectados a los controladores, filtre las VLAN que no estén en uso.

    Por ejemplo, en switches de Cisco IOS®, si la interfaz de administración está en una VLAN 20 y la VLAN 40 y 50 se utilizan para dos WLAN diferentes, utilice el comando de configuración del lado del switch:

    switchport trunk allowed vlans 20,40,50
  • No configure el puerto de servicio con una subred superpuesta en la interfaz de administración.

  • No deje la interfaz con una dirección 0.0.0.0, por ejemplo, un puerto de servicio sin configurar. Esto puede afectar a la gestión DHCP del controlador.

    Así se puede verificar:

    (Cisco Controller) >show interface summary
    Interface Name        Port  Vlan Id   IP Address       Type     Ap Mgr
    --------------------  ----  --------  ---------------  -------  ------
    ap-manager            LAG   15        192.168.15.66    Static   Yes
    example               LAG   30        0.0.0.0          Dynamic  No
    management            LAG   15        192.168.15.65    Static   No
    service-port          N/A   N/A       10.48.76.65      Static   No
    test                  LAG   50        192.168.50.65    Dynamic  No
    virtual               N/A   N/A       1.1.1.1          Static   No
  • No es recomendable utilizar la incorporación de enlaces (LAG), a menos que todos los puertos de la red del controlador estén conectados.

    Así se puede verificar el estado de los puertos:

    (Cisco Controller) >show port summary
    STP   Admin   Physical   Physical   Link   Link    Mcast
    Pr  Type   Stat   Mode     Mode      Status   Status  Trap   Appliance   POE
    -- ------- ---- ------- ---------- ---------- ------ ------- --------- -------
    1  Normal  Forw Enable  Auto       1000 Full  Up     Enable  Enable     N/A
    2  Normal  Disa Enable  Auto       1000 Full  Down   Enable  Enable     N/A
    3  Normal  Forw Enable  Auto       1000 Full  Up     Enable  Enable     N/A
    4  Normal  Forw Enable  Auto       1000 Full  Up     Enable  Enable     N/A 
  • No utilice LAG a menos que todos los puertos del controlador tengan la misma configuración de la capa 2 en el lado del switch. Por ejemplo, evite filtrar sólo algunas VLAN en un puerto y no el resto.

  • Cuando utiliza LAG, el controlador se basa en el switch en lo relativo a las decisiones de equilibrio de carga sobre el tráfico que proviene de la red. Espera que el tráfico que pertenece a un AP (LWAPP o red para un usuario inalámbrico) siempre llegue al mismo puerto. Utilice sólo las opciones de equilibrio de carga ip-src o ip-src ip-dst de la configuración de EtherChannel del switch. Algunos modelos de switches pueden utilizar mecanismos de equilibrio de carga no compatibles de manera predeterminada, por lo que es importante verificar antes este aspecto.

    Así se pueden verificar los mecanismos de equilibrio de carga de EtherChannel:

    switch#show etherchannel load-balance
    EtherChannel Load-Balancing Configuration:
    src-dst-ip
    
    EtherChannel Load-Balancing Addresses Used Per-Protocol:
    Non-IP: Source XOR Destination MAC address
    IPv4: Source XOR Destination IP address
    IPv6: Source XOR Destination IP address

    Así se puede cambiar la configuración del switch (IOS):

    switch(config)#port-channel load-balance src-dst-ip 
  • No configure ninguna conexión LAG que se extienda a través de varios switches. Al utilizar LAG, debe hacerlo con todos los puertos que pertenecen al mismo valor de EtherChannel que va hacia el mismo switch físico. Es posible evitar esta limitación mediante utilizando escenarios específicos únicamente con la funcionalidad EtherChannel de pila cruzada 3750.

  • Si no utiliza una tipología LAG, debe crear siempre un administrador de AP para cada puerto físico, para la redundancia y la escalabilidad.

  • No configure nunca un puerto de respaldo para una interfaz de administrador de AP, incluso aunque esté permitido en versiones anteriores del software. Las interfaces múltiples de administrador de AP proporcionan redundancia, tal y como se ha indicado anteriormente en este documento.

Diseño de red

Las siguientes son las mejores prácticas para el diseño de red:

  • Limite el número de puntos de acceso para cada VLAN. Un número recomendable oscila entre 30 y 60, dependiendo de las características de la red. Esto ayuda a minimizar los problemas de reasociación en caso de que se produzca un fallo de la red.

  • En relación con el primer consejo, no coloque más de 20 puntos de acceso en la misma VLAN con la interfaz de administración del controlador. Es posible que debido al elevado número de mensajes de difusión generados por los puntos de acceso, algunos mensajes de detección no se procesen, lo que provocará así procesos de unión de puntos de acceso más lentos.

  • Según el diseño, la mayoría del tráfico iniciado en la CPU se envía desde la dirección de administración del controlador. Por ejemplo, trampas SNMP, solicitudes de autenticación RADIUS, etc.

    La excepción a esta regla es el tráfico relacionado con DHCP, que se envía desde la interfaz relacionada con la configuración de WLAN para las versiones 4.0 y posteriores del software del controlador. Por ejemplo, si una WLAN utiliza una interfaz dinámica, la solicitud DHCP se reenvía utilizando la dirección de la capa 3.

    Es importante tener esto último en cuenta cuando se configuren políticas de firewall o se diseñe la topología de red. Es importante evitar configurar una interfaz dinámica en la misma subred de un servidor que tenga que ser accesible para la CPU del controlador, por ejemplo, un servidor RADIUS, puesto que puede causar problemas de enrutamiento asimétrico.

Movilidad

Las siguientes son las mejores prácticas de movilidad:

  • Todos los controladores de un grupo de movilidad deben tener la misma dirección IP para una interfaz virtual, por ejemplo 1.1.1.1. Esto es importante para el roaming.

    Así se puede verificar:

    (Cisco Controller) >show interface summary
    
    Interface Name      Port   Vlan Id   IP Address       Type     Ap Mgr
    -----------------   -----  --------  ---------------  -------  ------
    ap-manager           LAG   15        192.168.15.66    Static   Yes
    management           LAG   15        192.168.15.65    Static   No
    service-port         N/A   N/A       10.48.76.65      Static   No
    test                 LAG   50        192.168.50.65    Dynamic  No
    virtual              N/A   N/A       1.1.1.1          Static   No
  • La dirección de la puerta de enlace virtual debe ser "no enrutable" dentro de la infraestructura de red. Sólo un cliente inalámbrico debe poder alcanzarla cuando se conecte a un controlador y nunca desde una conexión alámbrica.

  • No cree grandes grupos de movilidad innecesariamente. Un grupo de movilidad debe tener sólo aquellos controladores que tienen puntos de acceso en el área donde un cliente puede realizar físicamente el roaming, por ejemplo todos los controladores con puntos de acceso de un edificio. Si tiene un escenario donde muchos edificios están separados, deberían dividirse en varios grupos de movilidad. De este modo, se puede ahorrar memoria y CPU, puesto que los controladores no necesitan mantener largas listas de clientes válidos, elementos no autorizados y puntos de acceso dentro del grupo, que no interactúan en modo alguno.

  • En escenarios donde existe más de un controlador en un grupo de movilidad, es normal ver algunas alertas de puntos de acceso de elementos no autorizados sobre nuestros propios puntos de acceso en la red después de que un controlador vuelva a cargarse. Esto se debe al tiempo que transcurre mientras se actualizan las listas de puntos de acceso, clientes y elementos no autorizados entre los miembros de grupos de movilidad.

  • La opción DHCP Required (DHCP obligatorio) de la configuración WLAN permite al usuario obligar a los clientes a llevar acabo una solicitud/renovación de la dirección DHCP cada vez que se asocian a la WLAN antes de que se les permita enviar o recibir otro tráfico en la red. Desde el punto de vista de la seguridad, esto permite un control más estricto de las direcciones IP que están en uso, aunque también puede tener efectos en el tiempo total de roaming antes de que se permita que el tráfico vuelva a fluir.

    Además, esto puede afectar a algunas implementaciones de clientes que no llevan a cabo renovaciones de DHCP hasta que caduca el tiempo de validez. Por ejemplo, los teléfonos Cisco 7920 o 7921 pueden presentar problemas de voz mientras realizan el roaming si esta opción está activada, puesto que el controlador no permite que el tráfico de voz o de señales pase hasta que la fase DHCP haya finalizado. Algunos servidores de impresoras de terceros podrían también verse afectados. En general, es recomendable no usar esta opción si la WLAN tiene clientes que no son clientes Windows. Esto se debe a que los controles más estrictos pueden inducir a problemas relacionados con la conectividad, dependiendo de cómo esté implementado el lado del cliente DHCP. Así se puede verificar:

    (Cisco Controller) >show wlan 1
    
    
    WLAN Identifier.................................. 1
    Profile Name..................................... 4400
    Network Name (SSID).............................. 4400
    Status........................................... Enabled
    MAC Filtering.................................... Disabled
    Broadcast SSID................................... Enabled
    AAA Policy Override.............................. Disabled
    Number of Active Clients......................... 0
    Exclusionlist Timeout............................ 60 seconds
    Session Timeout.................................. 1800 seconds
    Interface........................................ management
    WLAN ACL......................................... unconfigured
    DHCP Server...................................... Default
    DHCP Address Assignment Required................. Disabled 
    Quality of Service............................... Silver (best effort)
    WMM.............................................. Disabled
    CCX - AironetIe Support.......................... Enabled
    CCX - Gratuitous ProbeResponse (GPR)............. Disabled
    Dot11-Phone Mode (7920).......................... Disabled
    Wired Protocol................................... None

Seguridad

Las siguientes son las mejores prácticas de seguridad:

  • Se recomienda cambiar el tiempo de espera de RADIUS a 5 segundos. El valor predeterminado de 2 segundos se considera aceptable para errores rápidos de RADIUS, pero probablemente no será suficiente para protocolo de autenticación extensible- seguridad de capa de transporte (EAP-TLS) o si el servidor RADIUS debe ponerse en contacto con bases de datos externas (Active Directory, NAC, SQL, etc.)

    Así se puede verificar:

    (Cisco Controller) >show radius summary
    Vendor Id Backward Compatibility............ Disabled
    Credentials Caching......................... Disabled
    Call Station Id Type........................ IP Address
    Administrative Authentication via RADIUS.... Enabled
    Aggressive Failover......................... Disabled
    Keywrap..................................... DisabledAuthentication Servers
    
    
    !--- This portion of code has been wrapped to several lines due to spatial
    !--- concerns.
    
    Idx  Type  Server Address    Port    State    Tout RFC3576
    ---  ----  ----------------  ------  --------  ----  -------
    1    N     10.48.76.50       1812    Enabled   2    Enabled
    
    IPSec -AuthMode/Phase1/Group/Lifetime/Auth/Encr
    ------------------------------------------------
    Disabled - none/unknown/group-0/0 none/none

    Así se puede configurar:

    config radius auth retransmit-timeout 1 5
    
  • Compruebe el usuario predeterminado SNMPv3. El controlador presenta de manera predeterminada un nombre de usuario que debe cambiarse o desactivarse.

    Así se puede verificar:

    (Cisco Controller) >show snmpv3user
    
    SNMP v3 User SNMP v3 User Name AccessMode Authentication Encryption
    -------------------- ----------- -------------- ----------
    default Read/Write HMAC-MD5 CBC-DES 

    Así se puede configurar:

    config snmp v3user delete default
    config snmp v3user create nondefault rw hmacsha des authkey encrkey

    Tenga en cuenta que la configuración de SNMP debe coincidir entre el controlador y el sistema de control inalámbrico (WCS). Asimismo, debe utilizar claves de cifrado y hash que coincidan con sus políticas de seguridad.

  • Cuando lleve a cabo una autenticación Web con una página de autenticación externa, no utilice ningún servidor que tenga un servidor Web y un servidor proxy al mismo tiempo para albergar la página de inicio de sesión. El controlador permite el paso del tráfico HTTP desde el cliente inalámbrico al servidor antes de que se haya completado la autenticación. Esto permite que el cliente pueda navegar mediante el servicio proxy del servidor.

  • En los controladores, el tiempo de espera predeterminado para las solicitudes de identidad de EAP es de 1 segundo, no siendo suficiente para algunas situaciones como One Time Password o implementaciones Smart Card, en las que se avisa al usuario de que debe escribir un PIN o una contraseña antes de que el cliente inalámbrico pueda responder a la solicitud de identificación. En puntos de acceso autónomos, el valor predeterminado es de 30 segundos, lo que debe tenerse en cuenta al migrar redes autónomas a redes inalámbricas de infraestructura.

    Así se puede cambiar:

    config advanced eap identity-request-timeout 30
    
  • En entornos agresivos, una función útil es la activación de la autenticación de puntos de acceso con un umbral de 2. Esto permite detectar posibles suplantaciones y minimizar las detecciones de falsos positivos.

    Así se puede configurar:

    config wps ap-authentication enable
    config wps ap-authentication threshold 2
  • En relación con el consejo anterior, la protección de tramas de administración (MFP) también puede utilizarse para autenticar todo el tráfico de administración de 802.11 detectado entre puntos de acceso cercanos en la infraestructura inalámbrica. Tenga en cuenta que algunas tarjetas inalámbricas de terceros comunes presentan problemas en la implementación de su controlador y no manejan de forma correcta los elementos de información adicional que MFP agrega. Asegúrese de que utiliza las últimas versiones de los controladores antes de probar y utilizar MFP.

  • NTP es muy importante por varias razones. Es obligatorio utilizar la sincronización NTP en controladores si utiliza alguna de las siguientes funciones: ubicación, SNMPv3, autenticación de puntos de acceso o MFP.

    Así se puede configurar:

    config time ntp server 1 10.1.1.1

    Para verificar, busque entradas como ésta en su registro de trampas:

    30 Tue Feb 6 08:12:03 2007 Controller time base status -
    Controller is in sync with the central timebase. 
  • Si utiliza EAP protegido y el protocolo de autenticación por desafío mutuo de Microsoft versión 2 (PEAP-MSCHAPv2) con Microsoft XP SP2 y Configuración inalámbrica rápida de Microsoft (WZC), debe aplicar la revisión de Micrososft KB885453 leavingcisco.com. Así podrá prevenir muchos problemas de autenticación relacionados con la reanudación rápida de PEAP.

  • Si, por razones de seguridad, los clientes inalámbricos se encuentran separados en varias subredes, cada una con políticas de seguridad diferentes, es recomendable utilizar una o dos WLAN (por ejemplo, cada una con una política de cifrado de la capa 2 diferente), junto con la función AAA-Override (Anulación AAA). Dicha función permite asignar configuraciones a cada usuario. Por ejemplo, mover al usuario a cualquier interfaz dinámica específica de una VLAN independiente o aplicar una lista de control de acceso a cada usuario.

  • A pesar de que los controladores y los puntos de acceso no admiten WLAN con SSID mediante acceso protegido WiFi (WPA) y WPA2 simultáneamente, es muy común que algunos controladores de clientes inalámbricos no sean capaces de administrar configuraciones complejas de SSID. En general, es recomendable mantener políticas de seguridad sencillas para SSID, por ejemplo, mediante WLAN/SSID con WPA y el protocolo de integridad de clave temporal (TKIP), junto con una independiente con WPA2 y la norma de cifrado avanzado (AES).

Administración general

Las siguientes son las mejores prácticas de administración general:

  • Antes de llevar a cabo cualquier tipo de actualización, es recomendable realizar una copia de seguridad binaria de la configuración. Los WLC admiten la conversión de información relativa a configuraciones anteriores en nuevas versiones, pero no existe compatibilidad con el proceso contrario. Esto se aplica a versiones principales y secundarias diferentes.

  • El uso de una configuración nueva en una versión anterior puede hacer que algunos de los parámetros se pierdan (listas de acceso, interfaces, etc.) o puede producirse un funcionamiento incorrecto de algunas funciones. Si necesita retornar a una versión anterior del controlador, es recomendable que una vez realizada dicha acción, elimine la configuración, vuelva a configurar las direcciones de la interfaz de administración y cargue el archivo de copia de seguridad binaria de TFTP.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 82463