Configuración de un VAP en WAP351, WAP131 y WAP371

Objetivo

Los puntos de acceso virtuales (VAP) segmentan la LAN inalámbrica en varios dominios de difusión que son el equivalente inalámbrico de las VLAN Ethernet. Los VAP simulan varios puntos de acceso en un dispositivo WAP físico. El Cisco WAP131 admite hasta cuatro VAP y el Cisco WAP351 y WAP371 admiten hasta ocho VAP.

El objetivo de este documento es mostrarle cómo configurar un VAP en los puntos de acceso WAP351, WAP131 y WAP371.

Dispositivos aplicables

· WAP351

· WAP131

· WAP371

Versión del software

· V1.0.0.39 (WAP351)

· V1.0.0.39 (WAP131)

· V1.2.0.2 (WAP371)

Agregar y configurar un VAP

Nota: Cada VAP se identifica mediante un identificador de conjunto de servicios (SSID) configurado por el usuario. Varios VAP no pueden tener el mismo nombre SSID.

Nota: Para que la red inalámbrica funcione, la radio con la que está asociada su VAP configurada debe estar habilitada y configurada correctamente. Para obtener más información, consulte Configuración de los Parámetros de Radio Básicos en WAP131 y WAP351 o Configuración de los Parámetros de Radio Básicos en el WAP371.

Paso 1. Inicie sesión en la utilidad de configuración web y navegue hasta Wireless > Networks. Aparece la página Redes:

Paso 2. En el campo Radio, seleccione el botón de opción de la radio inalámbrica en la que desea configurar los VAP.

Paso 3. Para agregar un VAP nuevo, haga clic en Agregar. Aparecerá un nuevo VAP en la tabla.

Nota: El WAP131 admite hasta 4 VAP, mientras que el WAP371 y el WAP351 admiten hasta 8 VAP.

Paso 4. Para empezar a editar un VAP, haga clic en la casilla de verificación situada en el extremo izquierdo de la entrada de la tabla y, a continuación, haga clic en Editar. Esto le permitirá modificar los campos atenuados del VAP que ha seleccionado.

Paso 5. Para habilitar el uso del VAP, asegúrese de que la casilla de verificación Enable esté marcada.

Paso 6. En el campo VLAN ID, especifique el ID de VLAN que desea asociar al VAP. Si utiliza el WAP131 o el WAP371, introduzca el ID de VLAN. El valor máximo que puede introducir es 4094.

Nota: El ID de VLAN que se ingresa debe existir en su red y estar configurado correctamente. Consulte Configuración de VLAN en el Punto de Acceso WAP351, Administración de ID de VLAN Etiquetadas y No Etiquetadas en WAP131, o Administración de ID de VLAN Etiquetadas y No Etiquetadas en el WAP371 para obtener más información.

Paso 7. Introduzca el nombre de la red inalámbrica en el campo SSID Name (Nombre de SSID). Cada VAP debe tener un nombre SSID único.

Paso 8. Si desea que el nombre de SSID se transmita a los clientes, marque la casilla de verificación SSID Broadcast (Difusión de SSID). Esto mostrará el nombre SSID a los clientes en su lista de redes disponibles.

Configuración de los parámetros de seguridad

Paso 1. Elija el método de autenticación necesario para conectarse al VAP en la lista desplegable Seguridad. Si se selecciona otra opción que no sea Ninguno, aparecerán campos adicionales.

Las opciones disponibles son las siguientes:

•Ninguno

WEP estática ·

WEP dinámica ·

· WPA Personal

· WPA Enterprise

Nota: WPA Personal y WPA Enterprise son los tipos de autenticación preferidos para lograr la máxima seguridad. La WEP estática y la WEP dinámica sólo se deben utilizar con equipos heredados y requieren que la radio se configure en el modo 802.11a o 802.11b/g que se va a utilizar. Para obtener más información, consulte Configuración de los Parámetros de Radio Básicos en WAP131 y WAP351 o Configuración de los Parámetros de Radio Básicos en el WAP371.

WEP estática

El WEP estático es el método de autenticación menos seguro. Cifra los datos de la red inalámbrica basándose en una clave estática. Se ha vuelto sencillo obtener esta clave estática de forma ilegítima, por lo que la autenticación WEP sólo se debe utilizar cuando sea necesario con dispositivos antiguos.

Nota: Al seleccionar WEP estática como método de seguridad, aparecerá un mensaje que le indicará que la elección del método de seguridad es muy insegura.

Paso 1. En la lista desplegable Índice de clave de transferencia, seleccione el índice de la clave WEP de la lista de claves que el dispositivo utilizará para cifrar datos.

Paso 2. Elija un botón de opción del campo Longitud de la clave para especificar si la clave tiene 64 bits o 128 bits de longitud.

Paso 3. En el campo Tipo de clave, elija si desea introducir las claves en formato ASCII o hexadecimal. El ASCII incluye todas las letras, números y símbolos presentes en el teclado mientras que el hexadecimal sólo debe utilizar números o letras A-F.

Paso 4. En el campo WEP Keys, introduzca hasta 4 claves WEP diferentes para el dispositivo. Cada cliente que se conecte a esta red debe tener una de las mismas claves WEP en la misma ranura especificada por el dispositivo.

Paso 5. (Opcional) Haga clic en la casilla de verificación del campo Mostrar clave como texto sin cifrar, si muestra las cadenas de caracteres de las claves.

Nota: Cuando se utiliza un firmware diferente en WAP351, WAP131 o WAP371, puede que falte el campo Mostrar clave como texto sin formato. 

Paso 6. En el campo Autenticación 802.1X, especifique el algoritmo de autenticación que desea utilizar eligiendo las opciones Sistema abierto y/o Clave compartida. El algoritmo de autenticación define el método que se utiliza para determinar si una estación cliente puede asociarse con el dispositivo WAP cuando WEP estático es el modo de seguridad.

Las opciones disponibles se definen de la siguiente manera:

· sistema abierto: la autenticación permite que cualquier estación cliente se asocie con el dispositivo WAP, independientemente de si esa estación cliente tiene o no la clave WEP correcta. Este algoritmo se utiliza en los modos de texto sin formato, IEEE 802.1X y WPA. Cuando el algoritmo de autenticación se establece en Open System, cualquier cliente puede asociarse con el dispositivo WAP.

· clave compartida: la autenticación requiere que la estación cliente tenga la clave WEP correcta para asociarse con el dispositivo WAP. Cuando el algoritmo de autenticación se establece en Shared Key, una estación con una clave WEP incorrecta no puede asociarse con el dispositivo WAP.

· Sistema abierto y Clave compartida: cuando ha seleccionado ambos algoritmos de autenticación, las estaciones cliente configuradas para utilizar WEP en el modo de clave compartida deben tener una clave WEP válida para asociarse con el dispositivo WAP. Además, las estaciones cliente configuradas para utilizar WEP como sistema abierto (el modo de clave compartida no está habilitado) pueden asociarse con el dispositivo WAP incluso si no tienen la clave WEP correcta.

Paso 7. Click Save.

WEP dinámica

WEP dinámico hace referencia a la combinación de la tecnología 802.1x y el protocolo de autenticación extensible (EAP). Este modo requiere el uso de un servidor RADIUS externo para autenticar a los usuarios. El dispositivo WAP requiere un servidor RADIUS que admita EAP, como Microsoft Internet Authentication Server. Para trabajar con clientes de Microsoft Windows, el servidor de autenticación debe admitir EAP protegido (PEAP) y MSCHAP v2. Puede utilizar cualquiera de los diversos métodos de autenticación que admite el modo IEEE 802.1X, incluidos los certificados, Kerberos y la autenticación de clave pública, pero debe configurar las estaciones cliente para utilizar el mismo método de autenticación que utiliza el dispositivo WAP.

Paso 1. De forma predeterminada, la opción Usar configuración global del servidor RADIUS está marcada. Desmarque la casilla de verificación si desea configurar el VAP para utilizar un conjunto diferente de servidores RADIUS. De lo contrario, vaya directamente al paso 8.

Paso 2. En el campo Server IP Address Type, seleccione el tipo de dirección IP del servidor que utiliza el dispositivo WAP. Las opciones son IPv4 o IPv6. IPv4 utiliza números binarios de 32 bits representados en la notación decimal con puntos. IPv6 utiliza números y dos puntos hexadecimales para representar un número binario de 128 bits. El dispositivo WAP sólo se pone en contacto con el servidor RADIUS o los servidores para el tipo de dirección que seleccionó en este campo. Si elige IPv6, vaya directamente al paso 4.

Paso 3. Si ha seleccionado IPv4 en el Paso 2, introduzca la dirección IP del servidor RADIUS que utilizan todos los VAP de forma predeterminada. A continuación, vaya directamente al paso 5.

Nota: Puede tener hasta tres direcciones de servidor RADIUS de respaldo IPv4. Si la autenticación falla con el servidor primario, cada servidor de respaldo configurado se prueba en secuencia.

Paso 4. Si ha seleccionado IPv6 en el paso 2, introduzca la dirección IPv6 del servidor RADIUS global principal.

Nota: Puede tener hasta tres direcciones de servidor RADIUS de respaldo IPv6. Si la autenticación falla con el servidor primario, cada servidor de respaldo configurado se prueba en secuencia.

Paso 5. En el campo Key-1, ingrese la clave secreta compartida que el dispositivo WAP utiliza para autenticar al servidor RADIUS primario.

Paso 6. En los campos Key-2 to Key-4, ingrese en la clave RADIUS asociada con los servidores RADIUS de respaldo configurados. La dirección IP del servidor 2 utiliza Key-2, la dirección IP del servidor 3 utiliza la Key-3 y la dirección IP del servidor 4 utiliza la Key-4.

Paso 7. (Opcional) En el campo Enable RADIUS Accounting, marque la casilla de verificación si desea habilitar el seguimiento y la medición de los recursos que un usuario determinado ha consumido. Al activar la contabilización RADIUS se realizará un seguimiento del tiempo del sistema y de la cantidad de datos transmitidos y recibidos. La información se almacenará en el servidor Radius. Esto se activará para el servidor RADIUS primario y todos los servidores de respaldo.

Nota: Si ha activado la contabilización RADIUS, se habilita para el servidor RADIUS primario y todos los servidores de respaldo

Paso 8. Elija el primer servidor que esté activo en el campo Servidor activo. Esto habilita la selección manual del servidor RADIUS activo, en lugar de hacer que el dispositivo WAP intente contactarse con cada servidor configurado en secuencia y elija el primer servidor que está activo.

Paso 9. En el campo Velocidad de actualización de clave de difusión, introduzca el intervalo en el que se actualiza la clave de difusión (grupo) para los clientes asociados a este VAP. El valor predeterminado es 300 segundos.

Paso 10. En el campo Tasa de actualización de clave de sesión, introduzca el intervalo en el que el dispositivo WAP actualiza la clave de sesión (unidifusión) para cada cliente asociado con el VAP. El valor predeterminado es 0.

WPA Personal

WPA Personal es un estándar Wi-Fi Alliance IEEE 802.11i, que incluye cifrado AES-CCMP y TKIP. WPA utiliza una clave previamente compartida (PSK) en lugar de utilizar IEEE 802.1X y EAP, como se utiliza en el modo de seguridad WPA empresarial. El PSK se utiliza sólo para una comprobación inicial de las credenciales. WPA también se conoce como WPA-PSK. Este modo de seguridad es compatible con versiones anteriores para los clientes inalámbricos que admiten el WPA original.

Paso 1. En el campo Versiones WPA, active la casilla de verificación WPA-TKIP si desea activar WPA-TKIP. Puede tener WPA-TKIP y WPA2-AES habilitados al mismo tiempo. WAP siempre admite WPA2-AES, por lo que no podrá configurarlo.

Las opciones disponibles se definen de la siguiente manera:

· WPA-TKIP: la red tiene algunas estaciones cliente que sólo admiten el WPA original y el protocolo de seguridad TKIP. Según los últimos requisitos de WiFi Alliance, no se recomienda elegir solo WPA-TKIP.

· WPA2-AES: todas las estaciones cliente de la red admiten WPA2 y AES-CCMP cifrado/protocolo de seguridad. Esta versión de WPA proporciona la mejor seguridad según el estándar IEEE 802.11i. Según el último requisito de WiFi Alliance, el AP debe soportar este modo todo el tiempo.

· WPA-TKIP y WPA2-AES: si la red tiene una combinación de clientes, algunos de los cuales admiten WPA2 y otros que sólo admiten el WPA original, active ambas casillas de verificación. Esta configuración permite asociar y autenticar estaciones cliente WPA y WPA2, pero utiliza el WPA2 más robusto para los clientes que lo admiten. Esta configuración WPA permite una mayor interoperabilidad en lugar de cierta seguridad.

Nota: Los clientes WPA deben tener una de estas claves (una clave TKIP válida o una clave AES-CCMP válida) para poder asociarse con el dispositivo WAP.

Paso 2. En el campo Key, introduzca la clave secreta compartida para la seguridad WPA Personal. Introduzca al menos 8 caracteres y un máximo de 63 caracteres.

Nota: Los caracteres aceptables incluyen letras alfabéticas mayúsculas y minúsculas, dígitos numéricos y símbolos especiales (?!/\@#$%^&*).

Paso 3. (Opcional) Marque la casilla de verificación Mostrar clave como texto transparente si desea que el texto que escribe sea visible. La casilla de verificación está desactivada de forma predeterminada.

Nota: Cuando se utiliza un firmware diferente en WAP351, WAP131 o WAP371, puede que falte el campo Mostrar clave como texto sin formato. 

Nota: El campo Key Strength Meter (Medidor de potencia de la clave) es donde el dispositivo WAP verifica la clave según los criterios de complejidad, como cuántos tipos diferentes de caracteres se utilizan y cuánto tiempo dura la clave. Si la función de comprobación de la complejidad WPA-PSK está activada, la clave no se acepta a menos que cumpla los criterios mínimos. Para obtener más información sobre la complejidad de WPA-PSK, consulte Configuración de la Complejidad de la Contraseña para WAP131, WAP351 y WAP371.

Paso 4. En el campo Velocidad de actualización de clave de difusión, introduzca el intervalo en el que se actualiza la clave de difusión (grupo) para los clientes asociados a este VAP. El valor predeterminado es 300 segundos.

WPA Enterprise

WPA Enterprise con RADIUS es una implementación del estándar IEEE 802.11i de Wi-Fi Alliance, que incluye CCMP (AES) y cifrado TKIP. El modo Enterprise requiere el uso de un servidor RADIUS para autenticar a los usuarios. El modo de seguridad es compatible con versiones anteriores con los clientes inalámbricos que admiten el WPA original.

Nota: El modo de VLAN dinámica se habilita de forma predeterminada, lo que permite que el servidor de autenticación RADIUS decida qué VLAN se utiliza para las estaciones.

Paso 1. En el campo Versiones WPA, active la casilla de verificación para ver los tipos de estaciones cliente que se van a admitir. Todas están habilitadas de forma predeterminada. El AP debe soportar WPA2-AES todo el tiempo para que no pueda configurarlo.

Las opciones disponibles se definen de la siguiente manera:

· WPA-TKIP: la red tiene algunas estaciones cliente que sólo admiten el WPA original y el protocolo de seguridad TKIP. Tenga en cuenta que no se permite seleccionar solo WPA-TKIP para el punto de acceso según el último requisito de WiFi Alliance.

· WPA2-AES: todas las estaciones cliente de la red admiten la versión WPA2 y el protocolo de seguridad/cifrado AES-CCMP. Esta versión de WPA proporciona la mejor seguridad según el estándar IEEE 802.11i. Según el último requisito de Wi-Fi Alliance, el WAP debe soportar este modo todo el tiempo.

· Habilitar la autenticación previa: si elige sólo WPA2 o WPA y WPA2 como versión WPA, puede habilitar la autenticación previa para los clientes WPA2. Marque esta opción si desea que los clientes inalámbricos WPA2 envíen los paquetes de autenticación previa. La información de autenticación previa se retransmite desde el dispositivo WAP que el cliente está utilizando actualmente al dispositivo WAP de destino. La activación de esta función puede ayudar a acelerar la autenticación para clientes de roaming que se conectan a varios WAP. Estas opciones no se aplican si ha seleccionado WPA para las versiones WPA porque el WPA original no admite esta función.

Nota: Las estaciones cliente configuradas para utilizar WPA con RADIUS deben tener una de estas direcciones y claves: Un TKIP RADIUS válido o una dirección IP CCMP (AES) válida y una clave RADIUS.

Paso 2. De forma predeterminada, la opción Usar configuración global del servidor RADIUS está marcada. Desmarque la casilla de verificación si desea configurar el VAP para utilizar un conjunto diferente de servidores RADIUS. De lo contrario, vaya directamente al paso 9.

Paso 3. En el campo Server IP Address Type, seleccione el tipo de dirección IP del servidor que utiliza el dispositivo WAP. Las opciones son IPv4 o IPv6. IPv4 utiliza números binarios de 32 bits representados en la notación decimal con puntos. IPv6 utiliza números y dos puntos hexadecimales para representar un número binario de 128 bits. El dispositivo WAP sólo se pone en contacto con el servidor RADIUS o los servidores para el tipo de dirección que seleccionó en este campo.

Paso 4. Si ha seleccionado IPv4 en el Paso 2, introduzca la dirección IP del servidor RADIUS que utilizan todos los VAP de forma predeterminada. A continuación, vaya al paso 6.

Nota: Puede tener hasta tres direcciones de servidor RADIUS de respaldo IPv4. Si la autenticación falla con el servidor primario, cada servidor de respaldo configurado se prueba en secuencia.

Paso 5. Si ha seleccionado IPv6 en el paso 2, introduzca la dirección IPv6 del servidor RADIUS global principal.

Nota: Puede tener hasta tres direcciones de servidor RADIUS de respaldo IPv6. Si la autenticación falla con el servidor primario, cada servidor de respaldo configurado se prueba en secuencia.

Paso 6. En el campo Key-1, ingrese la clave secreta compartida que el dispositivo WAP utiliza para autenticar al servidor RADIUS primario.

Paso 7. En los campos Key-2 to Key-4, ingrese la clave RADIUS asociada con los servidores RADIUS de respaldo configurados. La dirección IP del servidor 2 utiliza Key-2, la dirección IP del servidor 3 utiliza la Key-3 y la dirección IP del servidor 4 utiliza la Key-4.

Paso 8. (Opcional) En el campo Enable RADIUS Accounting, marque la casilla de verificación si desea habilitar el seguimiento y la medición de los recursos que un usuario determinado ha consumido. Si habilita la contabilización RADIUS, podrá realizar un seguimiento de la hora del sistema de un usuario concreto y de la cantidad de datos transmitidos y recibidos.

Nota: Si habilitó la contabilización RADIUS, se habilita para el servidor RADIUS primario y todos los servidores de respaldo.

Paso 9. Elija el primer servidor que esté activo en el campo Servidor activo. Esto habilita la selección manual del servidor RADIUS activo, en lugar de hacer que el dispositivo WAP intente contactar cada servidor configurado en secuencia.

Paso 10. En el campo Velocidad de actualización de clave de difusión, introduzca el intervalo en el que se actualiza la clave de difusión (grupo) para los clientes asociados a este VAP. El valor predeterminado es 300 segundos.

Paso 11. En el campo Tasa de actualización de clave de sesión, introduzca el intervalo en el que el dispositivo WAP actualiza las claves de sesión (unicast) para cada cliente asociado con el VAP. El valor predeterminado es 0.

Filtro MAC

El filtro MAC especifica si las estaciones que pueden acceder a este VAP están restringidas a una lista global configurada de direcciones MAC.

Paso 1. En la lista desplegable MAC Filter, elija el tipo deseado de filtrado MAC.

Las opciones disponibles se definen de la siguiente manera:

· Desactivado: no utiliza filtrado MAC.

· Local: utiliza la lista de autenticación MAC que configura en la sección Filtrado de MAC para obtener más información sobre el Filtrado de MAC, consulte Cómo configurar el Filtrado de MAC en WAP351 y WAP131.

· RADIUS: utiliza la lista de autenticación MAC en un servidor RADIUS externo.

Aislamiento de canales

Cuando se desactiva el aislamiento de canales, los clientes inalámbricos pueden comunicarse entre sí normalmente enviando tráfico a través del dispositivo WAP. Cuando se activa, el dispositivo WAP bloquea la comunicación entre los clientes inalámbricos en el mismo VAP. El dispositivo WAP todavía permite el tráfico de datos entre sus clientes inalámbricos y los dispositivos con cables en la red, a través de un link WDS, y con otros clientes inalámbricos asociados con un VAP diferente, pero no entre los clientes inalámbricos.

Paso 1. En el campo Aislamiento del canal, marque la casilla de verificación si desea habilitar Aislamiento del canal.

Paso 2. Click Save.

Nota: Una vez guardados los nuevos parámetros, se pueden detener y reiniciar los procesos correspondientes. Cuando ocurre esta condición, el dispositivo WAP puede perder conectividad. Le recomendamos que cambie la configuración del dispositivo WAP cuando la pérdida de conectividad afecte menos a sus clientes inalámbricos.

Band Steer

El controlador de banda sólo está disponible en el WAP371. Band Steer utiliza de forma eficaz la banda de 5 GHz al dirigir clientes compatibles con doble banda desde la banda de 2,4 GHz hasta la banda de 5 GHz. Esto libera la banda de 2,4 GHz para que la utilicen los dispositivos antiguos que no tienen soporte de radio dual.

Nota: Es necesario habilitar tanto las radios de 5 GHz como las de 2,4 GHz para utilizar Band Steer. Para obtener más información sobre cómo habilitar las radios, refiérase a Cómo Configurar los Parámetros de Radio Básicos en el WAP371.

Paso 1. El controlador de banda se configura por VAP y debe habilitarse en ambas radios. Si desea activar el control de banda, active la casilla de verificación en el campo Dirección de banda.

Nota: No se recomienda Band Steer en los VAP con tráfico de voz o vídeo urgente. Incluso si la radio de 5 GHz utiliza menos ancho de banda, intenta dirigir clientes a esa radio.

Paso 2. Click Save.

Eliminación de un VAP

Paso 1. Marque la casilla de verificación del VAP que desea eliminar.

Paso 2. Haga clic en Eliminar para eliminar el VAP.

Paso 3. Haga clic en Guardar para guardar su eliminación de forma permanente.