Preguntas frecuentes sobre diseño y características del controlador de LAN inalámbrica (WLC)
Contenido
Introducción
Este documento proporciona información sobre las preguntas más frecuentes (FAQ) sobre el diseño y las funciones disponibles con un Controlador de LAN inalámbrica (WLC).
Preguntas frecuentes de diseño
P. ¿Cómo configuro el switch para conectar con el WLC?
R. Configure el puerto del switch, al que está conectado el WLC, como puerto troncal IEEE 802.1Q. Asegúrese de que sólo se permiten las VLAN necesarias en el switch. Por lo general, la administración y la interfaz AP-Manager del WLC quedan sin etiquetar. Esto significa que asumen la VLAN nativa del switch conectado. Esto no es necesario. Puede asignar una VLAN independiente a estas interfaces. Para obtener más información, consulte la sección Configuración del Switch para el WLC del Ejemplo de Configuración Básica del Controlador de LAN Inalámbrica y del Punto de Acceso Ligero.
P. ¿Todo el tráfico de red desde y hacia un túnel cliente WLAN a través de un controlador de LAN inalámbrica (WLC) una vez que el punto de acceso (AP) se registra con el controlador?
R. Cuando el AP se une a un WLC, se forma un túnel de control y aprovisionamiento de puntos de acceso inalámbricos (CAPWAP) entre los dos dispositivos. Todo el tráfico, que incluye todo el tráfico del cliente, se envía a través del túnel CAPWAP.
La única excepción a esto es cuando un AP está en modo de hybrid-REAP. Los puntos de acceso de hybrid-REAP pueden conmutar el tráfico de datos del cliente localmente y realizar la autenticación del cliente localmente cuando se pierde su conexión con el controlador. Cuando se conectan al controlador, también pueden enviar tráfico de vuelta al controlador.
P. ¿Puedo instalar puntos de acceso ligeros (LAP) en una oficina remota e instalar un controlador LAN inalámbrico (WLC) de Cisco en mi sede central? ¿Funciona el LWAPP/CAPWAP sobre una WAN?
R. Sí, puede tener los WLC a través de la WAN desde los AP. El LWAPP/CAPWAP funciona sobre una WAN cuando los LAP se configuran en el modo AP de Borde Remoto (REAP) o AP de Borde Remoto Híbrido (H-REAP). Cualquiera de estos modos permite el control de un AP por un controlador remoto que está conectado a través de un link WAN. El tráfico se puentea en el link LAN localmente, lo que evita la necesidad de enviar innecesariamente tráfico local a través del link WAN. Esta es precisamente una de las mayores ventajas de tener WLC en su red inalámbrica.
Nota: No todos los AP ligeros soportan estos modos. Por ejemplo, el modo H-REAP se soporta solamente en los LAP 1131, 1140, 1242, 1250 y AP801. El modo REAP se soporta solamente en el 1030 AP, pero los AP 1010 y 1020 no soportan REAP. Antes de implementar estos modos, verifique si los LAPs lo soportan. Los AP de software Cisco IOS® (AP autónomos) que se han convertido al LWAPP no admiten REAP.
P. ¿Cómo funcionan los modos REAP y H-REAP?
R. En el modo REAP, todo el tráfico de control y administración, que incluye el tráfico de autenticación, se tuneliza nuevamente al WLC. Pero todo el tráfico de datos se conmuta localmente dentro de la LAN de la oficina remota. Cuando se pierde la conexión con el WLC, se terminan todas las WLAN excepto la primera WLAN (WLAN1). Se retienen todos los clientes que están asociados actualmente a esta WLAN. Para permitir que los nuevos clientes autentiquen y reciban correctamente el servicio en esta WLAN dentro del tiempo de inactividad, configure el método de autenticación para esta WLAN como WEP o WPA-PSK de modo que la autenticación se realice localmente en el REAP. Para obtener más información sobre la implementación de REAP, refiérase a la Guía de Implementación de REAP en la Sucursal.
En el modo H-REAP, un punto de acceso tuneliza el tráfico de control y administración, que incluye el tráfico de autenticación, de vuelta al WLC. El tráfico de datos de una WLAN se puentea localmente en la oficina remota si la WLAN se configura con conmutación local H-REAP, o el tráfico de datos se envía de vuelta al WLC. Cuando se pierde la conexión con el WLC, se terminan todas las WLAN, excepto las primeras ocho WLAN configuradas con conmutación local H-REAP. Se retienen todos los clientes que actualmente están asociados a estas WLAN. Para permitir que los nuevos clientes autentiquen y reciban correctamente el servicio en estas WLAN dentro del tiempo de inactividad, configure el método de autenticación para esta WLAN como WEP, WPA PSK o WPA2 PSK para que la autenticación se realice localmente en H-REAP.
Para obtener más información sobre H-REAP, refiérase a la Guía de Diseño e Implementación de H-REAP.
P. ¿Cuál es la diferencia entre el AP de borde remoto (REAP) y el Hybrid-REAP (H-REAP)?
R. REAP no soporta el etiquetado IEEE 802.1Q VLAN. Por lo tanto, no admite varias VLAN. El tráfico de todos los identificadores de conjunto de servicios (SSID) termina en la misma subred, pero H-REAP admite el etiquetado de VLAN IEEE 802.1Q. El tráfico de cada SSID se puede segmentar en una VLAN única.
Cuando se pierde la conectividad con el WLC, es decir, en el modo autónomo, REAP sólo atiende una WLAN, es decir, la primera WLAN. El resto de las WLAN están desactivadas. En H-REAP, se soportan hasta 8 WLANs dentro del tiempo de inactividad.
Otra diferencia importante es que, en el modo REAP, el tráfico de datos sólo se puede puentear localmente. No se puede volver a conmutar a la oficina central, pero, en el modo H-REAP, tiene la opción de volver a conmutar el tráfico a la oficina central. El tráfico de las WLANs configuradas con el switching local de H-REAP se conmuta localmente. El tráfico de datos de otras WLAN se conmuta de vuelta a la oficina central.
Consulte Ejemplo de Configuración de Remote-Edge AP (REAP) con AP Ligeros y Controladores de LAN Inalámbricos (WLCs) para obtener más información sobre REAP.
Consulte Configuración de Hybrid REAP para obtener más información sobre H-REAP.
P. ¿Cuántas WLAN se soportan en el WLC?
R. Desde la versión de software 5.2.157.0, el WLC ahora puede controlar hasta 512 WLAN para puntos de acceso ligeros. Cada WLAN tiene un ID de WLAN separado (1 a 512), un nombre de perfil separado y un SSID de WLAN, y se le pueden asignar políticas de seguridad únicas. El controlador publica hasta 16 WLAN en cada punto de acceso conectado, pero puede crear hasta 512 WLAN en el controlador y luego publicar selectivamente estas WLAN (usando grupos de puntos de acceso) en diferentes puntos de acceso para administrar mejor su red inalámbrica.
Nota: Los controladores 2106, 2112 y 2125 de Cisco soportan solamente hasta 16 WLAN.
Nota: Para obtener información detallada sobre las pautas para configurar las WLAN en los WLC, lea la sección Creación de WLANs de la Guía de Configuración del Controlador de LAN Inalámbrica Cisco, Versión 7.0.116.0.
P. ¿Cómo puedo configurar las VLAN en mi controlador de LAN inalámbrica (WLC)?
R. En el WLC, las VLAN están vinculadas a una interfaz configurada en una subred IP única. Esta interfaz se asigna a una WLAN. A continuación, los clientes que se asocian a esta WLAN pertenecen a la VLAN de la interfaz y se les asigna una dirección IP de la subred a la que pertenece la interfaz. Para configurar las VLAN en su WLC, complete el procedimiento en el Ejemplo de Configuración de VLAN en Controladores LAN Inalámbricos.
P. Hemos aprovisionado dos WLANs con dos interfaces dinámicas diferentes. Cada interfaz tiene su propia VLAN, que es diferente a la VLAN de la interfaz de administración. Esto parece funcionar, pero no hemos aprovisionado los puertos troncales para permitir las VLAN que utilizan nuestras WLAN. ¿El punto de acceso (AP) etiqueta los paquetes con la VLAN de la interfaz de administración?
R. El AP no etiqueta los paquetes con la VLAN de la interfaz de administración. El AP encapsula los paquetes de los clientes en el protocolo ligero AP (LWAPP)/CAPWAP, y luego pasa los paquetes al WLC. El WLC luego quita el encabezado LWAPP/CAPWAP y reenvía los paquetes al gateway con la etiqueta VLAN apropiada. La etiqueta VLAN depende de la WLAN a la que pertenece el cliente. El WLC depende del gateway para rutear los paquetes a su destino. Para poder pasar tráfico para varias VLAN, debe configurar el switch de link ascendente como puerto troncal. Este diagrama explica cómo funcionan las VLAN con los controladores:
P. ¿Qué dirección IP del WLC se utiliza para la autenticación con el servidor AAA?
R. El WLC utiliza la dirección IP de la interfaz de administración para cualquier mecanismo de autenticación (Capa 2 o Capa 3) que involucre un servidor AAA. Para obtener más información sobre los puertos e interfaces en el WLC, refiérase a la sección Configuración de Puertos e Interfaces de la Guía de Configuración del Controlador de LAN Inalámbrica de Cisco, Versión 7.0.116.0.
P. Tengo diez puntos de acceso ligeros (LAP) Cisco serie 1000 y dos controladores de LAN inalámbrica (WLC) en la misma VLAN. ¿Cómo puedo registrar seis LAPs para asociarlos al WLC1 y los otros cuatro LAPs para asociarlos al WLC2?
R. El LWAPP/CAPWAP permite la redundancia dinámica y el balanceo de carga. Por ejemplo, si especifica más de una dirección IP para la opción 43, un LAP envía solicitudes de detección de LWAPP/CAPWAP a cada una de las direcciones IP que recibe el AP. En la respuesta de detección de LWAPP/CAPWAP del WLC, el WLC incrusta esta información:
Información sobre la carga actual del LAP, que se define como el número de LAPs que se unen al WLC en el momento
La capacidad de LAP
El número de clientes inalámbricos que están conectados al WLC
El LAP entonces intenta unirse al WLC menos cargado, que es el WLC con la mayor capacidad LAP disponible. Además, después de que un LAP se une a un WLC, el LAP aprende las direcciones IP de los otros WLC en el grupo de movilidad de su WLC unido.
Una vez que un LAP se une a un WLC, puede hacer que el LAP se una a un WLC específico dentro de su siguiente reinicio. Para hacer esto, asigne un WLC primario, secundario y terciario para un LAP. Cuando el LAP se reinicia, busca el WLC primario y se une a ese WLC independiente de la carga en ese WLC. Si el WLC primario no responde, busca el secundario y, si no responde, el terciario. Para obtener más información sobre cómo configurar el WLC primario para un LAP, refiérase a la sección Asignar Controladores Primarios, Secundarios y Terciarios para el Lightweight AP de la Configuración de Failover del Controlador WLAN para Puntos de Acceso Ligeros.
P. ¿Cuáles son las funciones que no se admiten en los controladores de LAN inalámbrica (WLC) de la serie 2100?
R. Estas funciones de hardware no son compatibles con los controladores de la serie 2100:
Puerto de servicio (interfaz Ethernet de 10/100 Mb/s de administración fuera de banda independiente)
Estas funciones de software no son compatibles con los controladores de la serie 2100:
Terminación de VPN (como IPsec y L2TP)
Terminación de túneles del controlador invitado (se admite la creación de túneles del controlador invitado)
Lista del servidor Web de la autenticación del Web externa
Layer 2 LWAPP
Spanning Tree
Reflejo de Puerto
Cranita
Fortaleza
AppleTalk
Contratos de ancho de banda de QoS por usuario
Traspaso IPv6
Agregación de enlaces (LAG)
Modo de unidifusión de multidifusión
Acceso de invitado por cable
P. ¿Qué funciones no se admiten en los controladores de la serie 5500?
R. Estas funciones de software no son compatibles con los controladores de la serie 5500:
Interfaz estática del administrador AP
Nota: Para los controladores de la serie 5500, no es necesario configurar una interfaz de administrador de AP. La interfaz de administración actúa como una interfaz de administrador de AP de forma predeterminada, y los puntos de acceso pueden unirse en esta interfaz.
Tunelización de movilidad asimétrica
Spanning Tree Protocol (STP)
Reflejo de Puerto
Compatibilidad con la lista de control de acceso (ACL) de capa 2
Terminación VPN (tal como IPSec y L2TP)
opción de paso VPN
Configuración de puentes 802.3, AppleTalk y protocolo punto a punto sobre Ethernet (PPPoE)
P. ¿Qué funciones no se admiten en las redes de malla?
R. Estas funciones del controlador no se soportan en las redes de malla:
Compatibilidad con varios países
CAC basado en la carga (las redes de malla solo admiten CAC estática o basada en el ancho de banda).
Alta disponibilidad (latido rápido y temporizador de incorporación de detección principal)
Autenticación EAP-FASTv1 y 802.1X
Prioridad de unión del punto de acceso (los puntos de acceso de malla tienen una prioridad fija).
Certificado de importancia local
Servicios basados en la ubicación
P. ¿Cuál es el período de validez de los certificados instalados por el fabricante (MIC) en un controlador de LAN inalámbrica y de los certificados de AP ligeros?
R. El período de validez de un MIC en un WLC es de 10 años. El mismo período de validez de 10 años se aplica a los certificados de AP ligeros desde su creación (ya sea un MIC o un Certificado con firma automática (SSC)).
P. Tengo dos controladores de LAN inalámbrica (WLC) denominados WLC1 y WLC2 configurados dentro del mismo grupo de movilidad para conmutación por fallas. My Lightweight Access Point (LAP) está registrado actualmente en WLC1. Si el WLC1 falla, ¿el AP se registra en el WLC1 se reinicia durante su transición hacia el WLC superviviente (WLC2)? Además, durante este failover, ¿el cliente WLAN pierde conectividad WLAN con el LAP?
R. Sí, el LAP elimina el registro del WLC1, reinicia y luego vuelve a registrarse con el WLC2, si falla el WLC1. Debido a que el LAP se reinicia, los clientes WLAN asociados pierden la conectividad con el LAP de reinicio. Para obtener información relacionada, consulte Balanceo de Carga de AP y Reserva de AP en Redes Inalámbricas Unificadas.
P. ¿Depende la itinerancia del modo LWAPP (protocolo de punto de acceso ligero) para el que se ha configurado el controlador de LAN inalámbrica (WLC)? ¿Puede un WLC que opera en el modo LWAPP de Capa 2 realizar el roaming de Capa 3?
R. Siempre y cuando la agrupación de movilidad en los controladores esté configurada correctamente, la itinerancia del cliente debería funcionar bien. El modo LWAPP no afecta al roaming (capa 2 o capa 3). Sin embargo, se recomienda utilizar el LWAPP de Capa 3 siempre que sea posible.
Nota: El modo de Capa 2 sólo es soportado por los Cisco 410x y 440x Series de WLC y los Cisco 1000 Series Access Point. El LWAPP de Capa 2 no es soportado por el otro controlador de LAN inalámbrica y por las plataformas Lightweight Access Point.
P. ¿Cuál es el proceso de itinerancia que ocurre cuando un cliente decide desplazarse a un nuevo punto de acceso (AP) o controlador?
R. Esta es la secuencia de eventos que ocurre cuando un cliente se traslada a un nuevo AP:
El cliente envía una solicitud de reasociación al WLC a través del LAP.
El WLC envía el mensaje de movilidad a otros WLC en el grupo de movilidad para averiguar con qué WLC el cliente estaba asociado previamente.
El WLC original responde con información, como la dirección MAC, la dirección IP, QoS, el contexto de seguridad, etc. sobre el cliente a través del mensaje de movilidad.
El WLC actualiza su base de datos con los detalles del cliente proporcionados; el cliente entonces pasa por el proceso de reautenticación, si es necesario. El nuevo LAP con el que el cliente está asociado actualmente también se actualiza junto con otros detalles en la base de datos del WLC. De esta manera, la dirección IP del cliente se retiene a través de los itinerarios entre los WLC, lo que ayuda a proporcionar un roaming sin problemas.
Para obtener más información sobre roaming en un entorno unificado, refiérase a la sección Configuración de Grupos de Movilidad de la Guía de Configuración del Controlador de LAN Inalámbrica Cisco, Versión 7.0.116.0.
Nota: El cliente inalámbrico no envía una solicitud de autenticación (802.11) durante la reasociación. El cliente inalámbrico acaba de enviar la reasociación de inmediato. Luego, pasará a través de la autenticación 802.1x.
P. ¿Qué puertos necesito para permitir la comunicación LWAPP/CAPWAP cuando hay un firewall en la red?
R.Debe habilitar estos puertos:
Habilite estos puertos UDP para el tráfico LWAPP:
Datos - 12222
Control - 12223
Habilite estos puertos UDP para el tráfico CAPWAP:
Datos - 5247
Control - 5246
Habilite estos puertos UDP para el tráfico de movilidad:
16666 - Modo seguro
16667 - Modo no seguro
Los mensajes de datos y movilidad se intercambian generalmente a través de paquetes EtherIP. El protocolo IP 97 debe estar permitido en el firewall para permitir paquetes EtherIP. Si utiliza ESP para encapsular los paquetes de movilidad, debe permitir ISAKMP a través del firewall cuando abra el puerto UDP 500. También debe abrir el protocolo IP 50 para permitir que los datos cifrados pasen a través del firewall.
Estos puertos son opcionales (dependiendo de sus requisitos):
TCP 161 y 162 para SNMP (para el sistema de control inalámbrico [WCS])
UDP 69 para TFTP
TCP 80 y/o 443 para HTTP o HTTPS para acceso a GUI
TCP 23 y/o 22 para Telnet o Secure Shell (SSH) para acceso CLI
P. ¿Los controladores de LAN inalámbrica admiten tanto SSHv1 como SSHv2?
R. Los controladores de LAN inalámbrica soportan solamente SSHv2.
P. ¿Se admite ARP inverso (RARP) a través de controladores de LAN inalámbrica (WLC)?
R. Reverse Address Resolution Protocol (RARP) es un protocolo de capa de enlace utilizado para obtener una dirección IP para una dirección de capa de enlace determinada, como una dirección Ethernet. El RARP se soporta con los WLCs con la versión de firmware 4.0.217.0 o posterior. RARP no se soporta en ninguna de las versiones anteriores.
P. ¿Puedo utilizar el servidor DHCP interno en el controlador de LAN inalámbrica (WLC) para asignar direcciones IP a los puntos de acceso ligeros (LAP)?
R. Los controladores contienen un servidor DHCP interno. Este servidor se utiliza normalmente en las sucursales que no tienen ya un servidor DHCP. Para acceder al servicio DHCP, haga clic en el menú Controller desde la GUI del WLC; a continuación, haga clic en la opción Servidor DHCP interno en el lado izquierdo de la página. Para obtener más información sobre cómo configurar el alcance DHCP en el WLC, refiérase a la sección Configuración de DHCP de la Guía de Configuración del Controlador de LAN Inalámbrica Cisco, Versión 7.0.116.0.
El servidor interno proporciona direcciones DHCP a los clientes inalámbricos, los LAP, los AP en modo dispositivo en la interfaz de administración y las solicitudes DHCP que se retransmiten desde los LAP. Los WLC nunca ofrecen direcciones a los dispositivos ascendentes en la red cableada. La opción DHCP 43 no se soporta en el servidor interno, por lo que el AP debe utilizar un método alternativo para ubicar la dirección IP de la interfaz de administración del controlador, tales como broadcast de subred local, DNS, Priming, o detección de Over-the-air.
Nota: Las versiones de firmware del WLC anteriores a la 4.0 no soportan el servicio DHCP para los LAPs a menos que los LAPs estén conectados directamente al WLC. La función de servidor DHCP interno se utilizó sólo para proporcionar direcciones IP a los clientes que se conectan a la red LAN inalámbrica.
P. ¿Qué significa el campo DHCP Required bajo una WLAN?
R. DHCP Required es una opción que se puede habilitar para una WLAN. Necesita que todos los clientes que se asocian a esa WLAN en particular obtengan direcciones IP a través de DHCP. Los clientes con direcciones IP estáticas no pueden asociarse a la WLAN. Esta opción se encuentra en la pestaña Advanced (Opciones avanzadas) de una WLAN. El WLC permite el tráfico hacia/desde un cliente solamente si su dirección IP está presente en la tabla MSCB del WLC. El WLC registra la dirección IP de un cliente durante su solicitud DHCP o la renovación DHCP. Esto requiere que un cliente renueve su dirección IP cada vez que se reasocia al WLC porque cada vez que el cliente se desasocia como parte de su proceso de roaming o tiempo de espera de sesión, su entrada se borra de la tabla MSCB. El cliente debe volver a autenticarse y reasociarse al WLC, que vuelve a hacer la entrada del cliente en la tabla.
P. ¿Cómo funciona Cisco Centralized Key Management (CCKM) en un entorno LWAPP/CAPWAP?
R. Durante la asociación inicial del cliente, el AP o el WLC negocia una clave maestra de par en par (PMK) después de que el cliente inalámbrico pase la autenticación 802.1x. El WLC o WDS AP almacena en memoria caché el PMK para cada cliente. Cuando un cliente inalámbrico se reasocia o se traslada, omite la autenticación 802.1x y valida el PMK de inmediato.
La única implementación especial del WLC en CCKM es que los WLC intercambian PMK del cliente a través de paquetes de movilidad, como UDP 16666.
P. ¿Cómo configuro los parámetros dúplex en el controlador de LAN inalámbrica (WLC) y los puntos de acceso ligeros (LAP)?
R. Los productos inalámbricos de Cisco funcionan mejor cuando la velocidad y el dúplex se negocian automáticamente, pero usted tiene la opción de establecer la configuración dúplex en el WLC y los LAP. Para configurar los parámetros de velocidad/dúplex del AP, puede configurar los ajustes dúplex para los LAPs en el controlador y luego, a su vez, empujarlos a los LAPs.
configure ap ethernet duplex <auto/half/full> speed <auto/10/100/1000> <all/Cisco AP Name> es el comando para establecer la configuración de dúplex a través de la CLI. Este comando se soporta solamente con las versiones 4.1 y posteriores.
Para establecer la configuración dúplex para las interfaces físicas del WLC, use el puerto config fisicalmode {all | port} {100h | 100 septies | 10 h | 10f}.
Este comando establece los puertos Ethernet 10/100BASE-T especificados o todos los del panel frontal para el funcionamiento dedicado de 10 Mbps o 100 Mbps, semidúplex o dúplex completo. Tenga en cuenta que debe inhabilitar la negociación automática con el comando config port autoneg disable antes de configurar manualmente cualquier modo físico en el puerto. Además, observe que el comando config port autoneg invalida las configuraciones realizadas con el comando config port fisicalmode. De forma predeterminada, todos los puertos están configurados para la negociación automática.
Nota: No hay forma de cambiar la configuración de velocidad en los puertos de fibra.
P. ¿Hay alguna manera de realizar un seguimiento del nombre del Lightweight Access Point (LAP) cuando no está registrado en el controlador?
R. Si su AP está completamente fuera de servicio y no está registrado en el controlador, no hay manera de que pueda rastrear el LAP a través del controlador. La única manera que queda es que puede acceder al switch en el cual estos AP están conectados, y puede encontrar el switchport en el cual están conectados usando este comando:
show mac-address-table addressEsto le da el número de puerto en el switch al cual este AP está conectado. Luego, ejecute este comando:
show cdp neidetail El resultado de este comando también da el nombre del LAP. Sin embargo, este método sólo es posible cuando su AP está encendido y conectado al switch.
P. He configurado 512 usuarios en mi controlador. ¿Hay alguna forma de aumentar el número de usuarios en el controlador de LAN inalámbrica (WLC)?
R. La base de datos de usuarios local está limitada a un máximo de 2048 entradas en la página Seguridad > General. Esta base de datos es compartida por los usuarios de administración local (que incluye embajadores de vestíbulo), usuarios netos (que incluye usuarios invitados), entradas de filtro MAC, entradas de lista de autorización de puntos de acceso y entradas de lista de exclusión. Juntos, todos estos tipos de usuarios no pueden exceder el tamaño de base de datos configurado.
Para aumentar la base de datos local, utilice este comando desde la CLI:
<Cisco Controller>config database size ? <count> Enter the maximum number of entries (512-2048)Nota: Debe guardar la configuración y restablecer el sistema (mediante el comando reset system) para que el cambio surta efecto.
P. ¿Cómo se aplica una política de contraseña segura en los WLC?
R. Los WLC le permiten definir una política de contraseña segura. Esto se puede hacer mediante la CLI o la GUI.
En la GUI, vaya a Security > AAA > Password Policies. Esta página tiene una serie de opciones que se pueden seleccionar para aplicar una contraseña segura.Aquí tiene un ejemplo:
Para hacer esto desde la CLI del WLC, use el config switchconfig strong-pwd {case-check | comprobación consecutiva | default-check | username-check | all-check} {enable | disable} comando:
comprobación de casos: verifica la aparición del mismo carácter tres veces consecutivamente.
verificación consecutiva: verifica si se están utilizando los valores predeterminados o sus variantes.
default-check: verifica si se está utilizando el nombre de usuario o su reverso.
all-check - Habilita/inhabilita todas las verificaciones de contraseñas seguras.
P. ¿Cómo se utiliza la función de cliente pasivo en los controladores de LAN inalámbrica?
R. Los clientes pasivos son dispositivos inalámbricos, como escalas e impresoras configuradas con una dirección IP estática. Estos clientes no transmiten ninguna información IP como la dirección IP, la máscara de subred y la información de gateway cuando se asocian a un punto de acceso. Como resultado, cuando se utilizan clientes pasivos, el controlador nunca conoce la dirección IP a menos que utilicen el DHCP.
Los WLC actúan actualmente como proxy para las solicitudes ARP. Al recibir una solicitud ARP, el controlador responde con una respuesta ARP en lugar de pasar la solicitud directamente al cliente. Este escenario tiene dos ventajas:
El dispositivo ascendente que envía la solicitud ARP al cliente no sabrá dónde se encuentra el cliente.
La alimentación de los dispositivos que funcionan con batería, como teléfonos móviles e impresoras, se conserva porque no tienen que responder a cada solicitud ARP.
Dado que el controlador inalámbrico no tiene ninguna información relacionada con IP sobre los clientes pasivos, no puede responder a ninguna solicitud ARP. El comportamiento actual no permite la transferencia de solicitudes ARP a clientes pasivos. Cualquier aplicación que intente acceder a un cliente pasivo fallará.
La función de cliente pasivo permite que las solicitudes y respuestas ARP se intercambien entre clientes por cable e inalámbricos. Esta función, cuando está activada, permite que el controlador pase las solicitudes ARP de los clientes por cable a los clientes inalámbricos hasta que el cliente inalámbrico deseado alcance el estado RUN.
Para obtener información sobre cómo configurar la función de cliente pasivo, lea la sección sobre Uso de la GUI para Configurar el Cliente Pasivo en la Guía de Configuración del Controlador de LAN Inalámbrica de Cisco, versión 7.0.116.0.
P. ¿Cómo puedo configurar el cliente para que se vuelva a autenticar con el servidor RADIUS cada tres minutos o en cualquier período de tiempo especificado?
R. El parámetro de tiempo de espera de sesión en el WLC se puede utilizar para lograr esto. De forma predeterminada, el parámetro de tiempo de espera de sesión se configura durante 1800 segundos antes de que se produzca una nueva autenticación.
Cambie este valor a 180 segundos para hacer que el cliente se vuelva a autenticar después de tres minutos.
Para acceder al parámetro de tiempo de espera de sesión, haga clic en el menú WLANs en la GUI. Muestra la lista de WLANs configuradas en el WLC. Haga clic en la WLAN a la que pertenece el cliente. Vaya a la pestaña Avanzado y encontrará el parámetro Enable Session Timeout. Cambie el valor predeterminado a 180 y haga clic en Aplicar para que los cambios surtan efecto.
Cuando se envía en un Access-Accept, junto con un valor Termination-Action de RADIUS-Request, el atributo Session-Timeout especifica el número máximo de segundos de servicio proporcionados antes de la reautenticación. En este caso, el atributo Session-Timeout se utiliza para cargar la constante ReAuthPeriod dentro de la máquina de estado del temporizador de reautenticación 802.1X.
P. Tengo un túnel de túnel de invitado, Ethernet sobre IP (EoIP), configurado entre mi 4400 Wireless LAN Controller (WLC), que actúa como WLC de anclaje, y varios WLC remotos. ¿Puede este WLC de anclaje reenviar las transmisiones de subred a través del túnel EoIP desde la red cableada a los clientes inalámbricos asociados con los controladores remotos?
R. No, el WLC 4400 no reenvía las transmisiones de subred IP desde el lado cableado a los clientes inalámbricos a través del túnel EoIP. Esta función no es compatible. Cisco no admite tunelización de difusión de subred o multidifusión en la topología de acceso de invitado. Dado que la WLAN de invitado fuerza el punto de presencia del cliente a una ubicación muy específica en la red, principalmente fuera del firewall, la tunelización de la difusión de subred puede ser un problema de seguridad.
P. En una configuración de controlador de LAN inalámbrica (WLC) y protocolo de punto de acceso ligero (LWAPP), ¿qué valores de punto de código de servicios diferenciados (DSCP) se pasan para el tráfico de voz? ¿Cómo se implementa QoS en el WLC?
R. Las WLAN de la solución Cisco Unified Wireless Network (UWN) admiten cuatro niveles de QoS:
Platino/Voz
Gold/Video
Silver/Best Effort (Esfuerzo óptimo) (valor predeterminado)
Bronce/Fondo
Puede configurar la WLAN de tráfico de voz para utilizar QoS Platinum, asignar la WLAN de ancho de banda bajo para utilizar QoS de bronce y asignar el resto del tráfico entre los otros niveles de QoS. Consulte Asignación de un Perfil de QoS a una WLAN para obtener más información.
P. ¿Se admiten puentes Ethernet de Linksys en una solución unificada inalámbrica de Cisco?
R. No, el WLC soporta solamente productos Cisco WGB. Los WGB de Linksys no son compatibles. Aunque la solución unificada inalámbrica de Cisco no admite los puentes Ethernet WET54G y WET11B de Linksys, puede utilizar estos dispositivos en una configuración de la solución unificada inalámbrica si utiliza estas instrucciones:
Conecte sólo un dispositivo al puente Ethernet WET54G o al puente Ethernet WET11B.
Habilite la función de clonación MAC en el WET54G o WET11B para clonar el dispositivo conectado.
Instale los controladores y el firmware más recientes en los dispositivos conectados al WET54G o al WET11B. Esta directriz es especialmente importante para las impresoras JetDirect porque las versiones anteriores del firmware causan problemas con DHCP.
Nota: No se admiten otros puentes de terceros. Los pasos mencionados también se pueden probar para otros puentes de terceros.
P. ¿Cómo guardo los archivos de configuración en el controlador de LAN inalámbrica (WLC)?
R. El WLC contiene dos tipos de memoria:
RAM volátil: mantiene la configuración actual del controlador activo
RAM no volátil (NVRAM): contiene la configuración de reinicio
Cuando configura el sistema operativo en el WLC, está modificando la RAM volátil. Debe guardar la configuración de la memoria RAM volátil a la NVRAM para asegurarse de que el WLC se reinicia en la configuración actual.
Es importante saber qué memoria está modificando al realizar estas tareas:
Utilice el asistente de configuración.
Borre la configuración del controlador.
Guarde las configuraciones.
Reinicie el controlador.
Cierre la sesión de la CLI.
Preguntas frecuentes sobre características
P. ¿Cómo configuro el tipo de protocolo de autenticación extensible (EAP) en el controlador de LAN inalámbrica (WLC)? Deseo autenticarme con un dispositivo de Access Control Server (ACS) y obtengo un tipo "EAP no compatible" en los registros.
R. No hay configuración de tipo EAP independiente en el WLC. Para EAP ligero (LEAP), autenticación EAP flexible a través de tunelación segura (EAP-FAST) o EAP protegido de Microsoft (MS-PEAP), simplemente configure IEEE 802.1x o acceso Wi-Fi protegido (WPA) (si utiliza 802.1x con WPA). Cualquier tipo EAP que se soporta en el back end RADIUS y en el cliente se soporta a través de la etiqueta 802.1x. La configuración EAP en el cliente y el servidor RADIUS debe coincidir.
Complete estos pasos para habilitar EAP a través de la GUI en el WLC:
- Desde la GUI del WLC , haga clic en WLANs.
- Aparece una lista de WLANs configuradas en el WLC. Haga clic en WLAN.
- En WLANs > Edit, haga clic en la ficha Security.
- Haga clic en Capa 2 y elija Seguridad de Capa 2 como 802.1x o WPA+WPA2. También puede configurar los parámetros 802.1x que están disponibles en la misma ventana. Luego, el WLC reenvía los paquetes de autenticación EAP entre el cliente inalámbrico y el servidor de autenticación.
- Haga clic en los servidores AAA y elija el servidor de autenticación en el menú desplegable para esta WLAN. Suponemos que el servidor de autenticación ya está configurado globalmente. Para obtener información sobre cómo habilitar la opción EAP en los WLC a través de la interfaz de línea de comandos (CLI), refiérase a la sección Uso de la CLI para Configurar RADIUS de la Guía de Configuración del Controlador de LAN Inalámbrica de Cisco, Versión 7.0.116.0.
P. ¿Qué está cambiando Fast SSID?
R. Fast SSID Changing permite a los clientes moverse entre los SSID. Cuando el cliente envía una nueva asociación para un SSID diferente, la entrada del cliente en la tabla de conexión del controlador se borra antes de que el cliente se agregue al nuevo SSID. Cuando Fast SSID Changing se inhabilita, el controlador aplica un retraso antes de que se permita a los clientes pasar a un nuevo SSID. Para obtener información sobre cómo habilitar el Fast SSID Changing, refiérase a la sección Configuración del Cambio Rápido de SSID de la Guía de Configuración del Controlador de LAN Inalámbrica de Cisco, Versión 7.0.116.0.
P. ¿Puedo establecer un límite en el número de clientes que pueden conectarse a una LAN inalámbrica?
R. Puede establecer un límite al número de clientes que pueden conectarse a una WLAN, lo que es útil en escenarios donde tiene un número limitado de clientes que pueden conectarse a un controlador. El número de clientes que puede configurar por WLAN depende de la plataforma que esté utilizando.
Lea la sección Configuración del Número Máximo de Clientes por WLAN de la Guía de Configuración del Controlador de LAN Inalámbrica de Cisco, Versión 7.0.116.0 para obtener información sobre los límites de cliente por WLAN para las diferentes plataformas de Controladores de LAN Inalámbrica.
P. ¿Qué es PKC y cómo funciona con el controlador de LAN inalámbrica (WLC)?
R. PKC significa almacenamiento en caché de claves proactivo. Se diseñó como una extensión del estándar IEEE 802.11i.
PKC es una función habilitada en los Cisco 2006/410x/440x Series Controllers que permite a los clientes inalámbricos bien equipados vagar sin reautenticación completa con un servidor AAA. Para entender el PKC, primero debe entender el almacenamiento en caché de claves.
Key Caching es una función que se agregó a WPA2. Esto permite a una estación móvil almacenar en caché las claves principales (clave maestra de pares [PMK]) que obtiene mediante una autenticación exitosa con un punto de acceso (AP) y reutilizarla en una futura asociación con el mismo AP. Esto significa que un dispositivo móvil determinado necesita autenticarse una vez con un AP específico y almacenar en caché la clave para su uso futuro. El almacenamiento en caché de claves se gestiona a través de un mecanismo conocido como el identificador PMK (PMKID), que es un hash del PMK, una cadena, la estación y las direcciones MAC del AP. El PMKID identifica de forma única al PMK.
Incluso con Key Caching, una estación inalámbrica debe autenticarse con cada AP desde el que desea obtener el servicio. Esto introduce una latencia y sobrecargas significativas, que retrasan el proceso de entrega y pueden inhibir la capacidad de admitir aplicaciones en tiempo real. Para resolver este problema, PKC se introdujo con WPA2.
PKC permite a una estación reutilizar un PMK que había ganado previamente a través de un proceso de autenticación exitoso. Esto elimina la necesidad de que la estación se autentique contra los nuevos AP cuando se hace roaming.
Por lo tanto, en un roaming dentro del controlador, cuando un dispositivo móvil se mueve de un AP a otro en el mismo controlador, el cliente vuelve a calcular un PMKID usando el PMK usado previamente y lo presenta durante el proceso de asociación. El WLC busca su memoria caché PMK para determinar si tiene tal entrada. Si lo hace, omite el proceso de autenticación 802.1x e inicia inmediatamente el intercambio de claves WPA2. Si no lo hace, pasa por el proceso de autenticación estándar 802.1X.
PKC se habilita de forma predeterminada con WPA2. Por lo tanto, cuando habilita WPA2 como seguridad de Capa 2 bajo la configuración WLAN del WLC, PKC está habilitado en el WLC. Además, configure el servidor AAA y el cliente inalámbrico para la autenticación EAP apropiada.
El suplicante utilizado en el lado del cliente también debe soportar WPA2 para que PKC funcione. PKC también se puede implementar en un entorno de roaming entre controladores.
Nota: PKC no funciona con Aironet Desktop Utility (ADU) como suplicante del cliente.
P. ¿Cuáles son las explicaciones para estas configuraciones de tiempo de espera en el controlador? ¿Tiempo de espera de protocolo de resolución de direcciones (ARP), tiempo de espera de inactividad del usuario y tiempo de espera de sesión?
R. El tiempo de espera ARP se utiliza para eliminar entradas ARP en el WLC para los dispositivos aprendidos de la red.
Tiempo de espera de inactividad del usuario: Cuando un usuario está inactivo sin ninguna comunicación con el LAP por la cantidad de tiempo configurado como Tiempo de espera inactivo del usuario, el WLC desautentica al cliente. El cliente debe volver a autenticarse y reasociarse al WLC. Se utiliza en situaciones en las que un cliente puede abandonar su LAP asociado sin notificar al LAP. Esto puede ocurrir si la batería se apaga en el cliente o los asociados del cliente se mueven.
Nota: Para acceder a ARP y al tiempo de espera de inactividad del usuario en la GUI del WLC , vaya al menú Controller. Elija General en el lado izquierdo para encontrar los campos ARP y User Idle Timeout.
El Tiempo de Espera de Sesión es el tiempo máximo para una sesión de cliente con el WLC. Después de este tiempo, el WLC desautentica al cliente, y el cliente pasa por todo el proceso de autenticación (reautenticación) de nuevo. Esto forma parte de una precaución de seguridad para rotar las claves de encriptación. Si utiliza un método de protocolo de autenticación extensible (EAP) con gestión de claves, la nueva codificación se produce en cada intervalo normal para derivar una nueva clave de cifrado. Sin la administración de claves, este valor de tiempo de espera es el tiempo que los clientes inalámbricos necesitan para realizar una reautenticación completa. El tiempo de espera de la sesión es específico de la WLAN. Se puede acceder a este parámetro desde el menú WLANs > Edit.
P. ¿Qué es un sistema RFID? ¿Qué etiquetas RFID admite actualmente Cisco?
R. La identificación de radiofrecuencia (RFID) es una tecnología que utiliza la comunicación de radiofrecuencia para una comunicación de corto alcance. Un sistema RFID básico se compone de etiquetas RFID, lectores RFID y el software de procesamiento.
Actualmente, Cisco admite etiquetas RFID de AeroScout y Pango. Para obtener más información sobre cómo configurar las etiquetas AeroScout, refiérase a Configuración de WLC para las Etiquetas RFID AeroScout.
P. ¿Puedo realizar la autenticación EAP localmente en el WLC? ¿Hay algún documento que explique esta función EAP local?
R. Sí, la autenticación EAP se puede realizar localmente en el WLC. EAP local es un método de autenticación que permite a los usuarios y clientes inalámbricos autenticarse localmente en el WLC. Se ha diseñado para su uso en oficinas remotas que desean mantener la conectividad con clientes inalámbricos cuando el sistema backend se interrumpe o cuando el servidor de autenticación externo se desactiva. Cuando habilita el EAP local, el WLC funciona como el servidor de autenticación. Para obtener más información sobre cómo configurar un WLC para la autenticación local EAP-Fast, refiérase al Ejemplo de Configuración de Autenticación EAP Local en el Controlador de LAN Inalámbrica con EAP-FAST y Servidor LDAP.
P. ¿Cuál es la función de invalidación de WLAN? ¿Cómo configuro esta función? ¿Los LAPs mantendrán los valores de invalidación de WLAN cuando conmuten por error al WLC de respaldo?
R. La función de invalidación de WLAN nos permite elegir WLANs entre las WLANs configuradas en un WLC que se pueden utilizar activamente en un LAP individual. Complete estos pasos para configurar un reemplazo de WLAN:
- En la GUI del WLC, haga clic en el menú Wireless.
- Haga clic en la opción Radios en el lado izquierdo y elija 802.11 a/n o 802.11 b/g/n.
- Haga clic en el enlace Configure del menú desplegable que se encuentra en el lado derecho que corresponde al nombre del AP en el que desea configurar el reemplazo de WLAN.
- Elija Enable en el menú desplegable WLAN Override. El menú WLAN Override es el último elemento en el lado izquierdo de la ventana.
- Aparece la lista de todas las WLANs configuradas en el WLC.
- De esta lista, verifique las WLAN que desea que aparezcan en el LAP y haga clic en Aplicar para que los cambios surtan efecto.
- Guarde la configuración después de realizar estos cambios.
Los AP conservan los valores de invalidación de WLAN cuando se registran a otros WLC, siempre que los perfiles de WLAN y los SSID que desea invalidar estén configurados en todos los WLC.
Nota: En la versión 5.2.157.0 del software del controlador, la función de invalidación de WLAN se ha eliminado tanto de la GUI del controlador como de la CLI. Si su controlador está configurado para la invalidación de WLAN y usted actualiza a la versión 5.2.157.0 del software del controlador, el controlador elimina la configuración de WLAN y transmite todas las WLAN. Puede especificar que sólo se transmitan ciertas WLAN si configura grupos de puntos de acceso. Cada punto de acceso anuncia solamente las WLANs habilitadas que pertenecen a su grupo de puntos de acceso.
Nota: Los grupos de puntos de acceso no habilitan la transmisión de las WLAN por cada interfaz de radio del AP.
P. ¿Se admite IPv6 en los controladores de LAN inalámbrica (WLC) y los puntos de acceso ligeros (LAP) de Cisco?
R. Actualmente, los controladores de las series 4400 y 4100 sólo admiten el paso a través del cliente IPv6. No se admite la compatibilidad con IPv6 nativo.
Para habilitar IPv6 en el WLC, marque la casilla de verificación IPv6 Enable en la configuración WLAN SSID en la página WLAN > Edit.
Además, se necesita el modo de multidifusión Ethernet (EMM) para admitir IPv6. Si desactiva EMM, los dispositivos cliente que utilizan IPv6 pierden conectividad. Para habilitar EMM, vaya a la página Controller > General y desde el menú desplegable Ethernet Multicast Mode , elija Unicast o Multicast. Esto habilita multicast en el modo Unicast o en el modo Multicast. Cuando multicast se habilita como multicast unicast, los paquetes se replican para cada AP. Esto puede requerir un uso intensivo del procesador, así que utilícelo con precaución. La multidifusión habilitada como multidifusión de multidifusión utiliza la dirección de multidifusión asignada por el usuario para realizar una multidifusión más tradicional hacia los puntos de acceso (AP).
Nota: Los controladores de 2006 no admiten IPv6.
Además, existe el ID de bug de Cisco CSCsg78176, que evita el uso del paso a través de IPv6 cuando se utiliza la función de anulación de AAA.
P. ¿Es compatible el controlador de LAN inalámbrica (WLC) de Cisco serie 2000 con la autenticación web para los usuarios invitados?
R. La autenticación web es soportada en todos los WLC de Cisco. La autenticación Web es un método de autenticación de Capa 3 utilizado para autenticar a los usuarios con credenciales de autenticación simples. No hay cifrado involucrado. Complete estos pasos para habilitar esta función:
- Desde la GUI, haga clic en el menú WLAN.
- Haga clic en una WLAN.
- Vaya a la pestaña Seguridad y elija Capa 3.
- Marque la casilla Web Policy y elija Authentication.
- Haga clic en Aply para guardar los cambios.
- Para crear una base de datos en el WLC contra la cual autenticar a los usuarios, vaya al menú Seguridad en la GUI, elija Usuario de Red Local, y complete estas acciones:
- Defina el nombre de usuario y la contraseña de invitado que el invitado utilizará para iniciar sesión. Estos valores distinguen entre mayúsculas y minúsculas.
- Elija el ID de WLAN que utiliza.
Nota: Para obtener una configuración más detallada, refiérase al Ejemplo de Configuración de Autenticación Web del Controlador de LAN Inalámbrica.
P. ¿Se puede administrar el WLC en modo inalámbrico?
R. El WLC se puede administrar a través del modo inalámbrico una vez que esté habilitado. Para obtener más información sobre cómo habilitar el modo inalámbrico, refiérase a la sección Habilitación de Conexiones Inalámbricas a la GUI y la CLI de la Guía de Configuración del Controlador de LAN Inalámbrica de Cisco, Versión 7.0.116.0.
P. ¿Qué es la agregación de enlaces (LAG)? ¿Cómo se activa el LAG en los controladores de LAN inalámbrica (WLC)?
R. El LAG agrupa todos los puertos en el WLC en una sola interfaz EtherChannel. El sistema administra dinámicamente el balanceo de carga de tráfico y la redundancia de puerto con LAG.
Generalmente, la interfaz en el WLC tiene varios parámetros asociados con él, que incluyen la dirección IP, el gateway predeterminado (para la subred IP), el puerto físico primario, el puerto físico secundario, la etiqueta VLAN y el servidor DHCP. Cuando no se utiliza LAG, cada interfaz se asigna normalmente a un puerto físico, pero también se pueden mapear varias interfaces a un único puerto WLC. Cuando se utiliza LAG, el sistema asigna dinámicamente las interfaces al canal de puerto agregado. Esto ayuda en la redundancia de puertos y el balanceo de carga. Cuando un puerto falla, la interfaz se mapea dinámicamente al siguiente puerto físico disponible y los LAP se equilibran entre los puertos.
Cuando el LAG se habilita en un WLC, el WLC reenvía tramas de datos en el mismo puerto en el que fueron recibidas. El WLC se basa en el switch vecino para balancear la carga del tráfico a través del EtherChannel. El WLC no realiza ningún balanceo de carga EtherChannel por sí solo.
P. ¿Qué modelos de controladores de LAN inalámbrica (WLC) admiten la agregación de enlaces (LAG)?
R. Los Cisco 5500 Series Controllers admiten LAG en la versión de software 6.0 o posterior, los Cisco 4400 Series Controllers soportan LAG en la versión de software 3.2 o posterior, y LAG se habilita automáticamente en los controladores dentro del Cisco WiSM y el Catalyst 3750G Integrated Wireless LAN Controller Switch. Sin LAG, cada puerto del sistema de distribución en un Cisco 4400 Series Controller soporta hasta 48 puntos de acceso. Con LAG habilitado, el puerto lógico de un controlador Cisco 4402 admite hasta 50 puntos de acceso, el puerto lógico de un controlador Cisco 4404 admite hasta 100 puntos de acceso y el puerto lógico en el switch Catalyst 3750G Integrated Wireless LAN Controller y en cada controlador Cisco WiSM admite hasta 150 puntos de acceso.
Los WLC 2106 y 2006 de Cisco no soportan LAG. Los modelos anteriores, como el WLC de la serie Cisco 4000, no soportan LAG.
P. ¿Cuál es la función de movilidad de anclaje automático en las redes inalámbricas unificadas?
R. La movilidad de anclaje automático (o movilidad WLAN de invitado) se utiliza para mejorar el equilibrio de carga y la seguridad de los clientes de itinerancia en las LAN inalámbricas (WLAN). En condiciones normales de roaming, los dispositivos cliente se unen a una WLAN y están anclados al primer controlador con el que se ponen en contacto. Si un cliente se traslada a una subred diferente, el controlador al que el cliente traslada configura una sesión externa para el cliente con el controlador de anclaje. Con el uso de la función de movilidad de anclaje automático, puede especificar un controlador o conjunto de controladores como puntos de anclaje para los clientes en una WLAN.
Nota: El anclaje de movilidad no se debe configurar para la movilidad de Capa 3. El ancla de movilidad se utiliza sólo para la tunelización de invitados.
P. ¿Se puede configurar un controlador de LAN inalámbrica (WLC) Cisco 2006 como ancla para una WLAN?
R. Un WLC de la serie 2000 de Cisco no puede ser designado como ancla para una WLAN. Sin embargo, una WLAN creada en un WLC de la serie Cisco 2000 puede tener un WLC de la serie Cisco 4100 y un WLC de la serie Cisco 4400 como su ancla.
P. ¿Qué tipo de tunelización de movilidad utiliza el controlador de LAN inalámbrica?
R. Las versiones 4.1 a 5.1 del software del controlador admiten tunelización de movilidad asimétrica y simétrica. La versión 5.2 o posterior del software del controlador soporta solamente la tunelización de movilidad simétrica, que ahora está siempre habilitada de forma predeterminada.
En la tunelización asimétrica, el tráfico del cliente a la red por cable se rutea directamente a través del controlador externo. La tunelización asimétrica se interrumpe cuando un router ascendente tiene activado el filtrado de ruta inversa (RPF). En este caso, el tráfico del cliente se descarta en el router porque la verificación RPF garantiza que la trayectoria de regreso a la dirección de origen coincida con la trayectoria de la que proviene el paquete.
Cuando se habilita la tunelización de movilidad simétrica, todo el tráfico del cliente se envía al controlador de anclaje y luego puede pasar con éxito la verificación RPF. La tunelización de movilidad simétrica también es útil en estas situaciones:
Si una instalación de firewall en el trayecto del paquete del cliente descarta paquetes porque la dirección IP de origen no coincide con la subred en la que se reciben los paquetes, esto es útil.
Si la VLAN de grupo de punto de acceso en el controlador de anclaje es diferente de la VLAN de interfaz WLAN en el controlador externo: en este caso, el tráfico del cliente se puede enviar en una VLAN incorrecta durante los eventos de movilidad.
P. ¿Cómo accedemos al WLC cuando la red está inactiva?
R. Cuando la red está inactiva, el puerto de servicio puede acceder al WLC. A este puerto se le asigna una dirección IP en una subred completamente diferente de otros puertos del WLC y así se le denomina administración fuera de banda. Para obtener más información, consulte la sección Configuración de Puertos e Interfaces de la Guía de Configuración del Controlador de LAN Inalámbrica de Cisco, Versión 7.0.116.0.
P. ¿Los controladores de LAN inalámbrica (WLC) de Cisco admiten la función de conmutación por fallo (o redundancia)?
R. Sí, si tiene dos o más WLC en su red WLAN, puede configurarlos para redundancia. Generalmente, un LAP se une al WLC primario configurado. Una vez que el WLC primario falla, el LAP se reinicia y se une a otro WLC en el grupo de movilidad. La conmutación por fallas es una función donde el LAP sondea para el WLC primario y se une al WLC primario una vez que es funcional. Refiérase al Ejemplo de Configuración de Failover del Controlador WLAN para Puntos de Acceso Ligeros para obtener más información.
P. ¿Cuál es el uso de las listas de control de acceso (ACL) de autenticación previa en los controladores de LAN inalámbrica (WLC)?
R. Con la ACL de autenticación previa, como implica el nombre, puede permitir el tráfico del cliente hacia y desde una dirección IP específica incluso antes de que el cliente se autentique. Cuando se utiliza un servidor Web externo para la autenticación Web, algunas de las plataformas WLC necesitan una ACL de autenticación previa para el servidor Web externo (el controlador Cisco serie 5500, un controlador Cisco serie 2100, Cisco serie 2000 y el módulo de red del controlador). Para las otras plataformas WLC, la ACL de autenticación previa no es obligatoria. Sin embargo, es una buena práctica configurar una ACL de autenticación previa para el servidor web externo cuando se usa autenticación web externa.
P. Tengo una WLAN filtrada por MAC y una WLAN completamente abierta en mi red. ¿El cliente elige la WLAN abierta de forma predeterminada? ¿O el cliente se asocia automáticamente con el ID de WLAN que está configurado en el filtro MAC? Además, ¿por qué hay una opción de "interfaz" en un filtro MAC?
R. El cliente puede asociarse a cualquier WLAN a la que el cliente esté configurado para conectarse. La opción de interfaz en el filtro MAC permite aplicar el filtro a una WLAN o a una interfaz. Si hay varias WLAN vinculadas a la misma interfaz, puede aplicar el filtro MAC a la interfaz sin necesidad de crear un filtro para cada WLAN individual.
P. ¿Cómo puedo configurar la autenticación TACACS para los usuarios de administración en el controlador de LAN inalámbrica (WLC)?
R. A partir de la versión 4.1 del WLC, TACACS es soportado en los WLC. Refiérase a Configuración de TACACS+ para entender cómo configurar TACACS+ para autenticar a los usuarios de administración del WLC.
P. ¿Cuál es el uso de la configuración de falla de autenticación excesiva en un controlador de LAN inalámbrica (WLC)?
R. Esta configuración es una de las políticas de exclusión de clientes. La exclusión del cliente es una función de seguridad en el controlador. La política se utiliza para incluir en la lista negra a los clientes con el fin de evitar el acceso ilegal a la red o los ataques a la red inalámbrica.
Con esta política excesiva de falla de autenticación web habilitada, cuando el número de intentos fallidos de autenticación web de un cliente excede de 5, el controlador considera que el cliente ha excedido los intentos máximos de autenticación web y lista negra al cliente.
Complete estos pasos para habilitar o inhabilitar esta configuración:
- Desde la GUI del WLC, vaya a Security > Wireless Protection Policies > Client Exclusion Policies.
- Verifique o desmarque Fallas excesivas de autenticación Web.
P. He convertido mi punto de acceso autónomo (AP) al modo ligero. En el modo de protocolo ligero de punto de acceso (LWAPP) con el servidor AAA RADIUS para la contabilización del cliente, normalmente se realiza un seguimiento del cliente con la contabilización RADIUS basada en la dirección IP del WLC. ¿Es posible establecer la contabilización RADIUS basada en la dirección MAC del AP asociado a ese WLC y no en la dirección IP del WLC?
R. Sí, esto se puede hacer con la configuración del lado del WLC.Complete estos pasos:
- Desde la GUI del controlador, en Seguridad > Contabilidad Radius, hay un cuadro desplegable para Tipo de ID de la estación de llamada. Elija AP MAC Address.
- Verifique esto a través del registro AP LWAPP. Allí, puede ver el campo de ID de la estación llamada que muestra la dirección MAC del AP al que está asociado el cliente particular.
P. ¿Cómo cambia el valor del tiempo de espera de entrada en contacto del acceso Wi-Fi protegido (WPA) en un controlador de LAN inalámbrica (WLC) a través de la CLI? Sé que puedo hacer esto en los puntos de acceso Cisco IOS® (AP) con el comando dot11 wpa handshake timeout value, pero ¿cómo se realiza esto en un WLC?
R. La capacidad de configurar el tiempo de espera de intercambio de señales WPA a través de los WLC se integró en la versión de software 4.2 y posterior. No necesita esta opción en versiones anteriores del software WLC.
Estos comandos se pueden utilizar para cambiar el tiempo de espera de intercambio de señales WPA:
config advanced eap eapol-key-timeout <value> config advanced eap eapol-key-retries <value>Los valores predeterminados continúan reflejando el comportamiento actual de los WLC.
- the default value for eapol-key-timeout is 1 second. - the default value for eapol-key-retries is 2 retriesNota: En los AP IOS, esta configuración se puede configurar con el comando do11 wpa handshake.
También puede configurar los otros parámetros EAP con las opciones bajo el comando config advanced eap.
(Cisco Controller) >config advanced eap ? eapol-key-timeout Configures EAPOL-Key Timeout in seconds. eapol-key-retries Configures EAPOL-Key Max Retries. identity-request-timeout Configures EAP-Identity-Request Timeout in seconds. identity-request-retries Configures EAP-Identity-Request Max Retries. key-index Configure the key index used for dynamic WEP(802.1x) unicast key (PTK). max-login-ignore-identity-response Configure to ignore the same username count reaching max in the EAP identity response request-timeout Configures EAP-Request Timeout in seconds. request-retries Configures EAP-Request Max Retries.
P. ¿Cuál es el propósito de la función de canal de diagnóstico en la página WLAN > Edit > Advanced?
R. La función de canal de diagnóstico le permite resolver problemas con respecto a la comunicación del cliente con una WLAN. El cliente y los puntos de acceso pueden ser sometidos a un conjunto definido de pruebas para identificar la causa de las dificultades de comunicación que experimenta el cliente y, a continuación, permitir la adopción de medidas correctivas para que el cliente funcione en la red. Puede utilizar la GUI o CLI del controlador para habilitar el canal de diagnóstico y puede utilizar la CLI o WCS del controlador para ejecutar las pruebas de diagnóstico.
El canal de diagnóstico sólo se puede utilizar para la prueba. Si intenta configurar la autenticación o el cifrado para la WLAN con el canal de diagnóstico habilitado, verá este error:
P. ¿Cuál es el número máximo de grupos AP que se pueden configurar en un WLC?
R. Esta lista muestra el número máximo de grupos AP que puede configurar en un WLC:
Un máximo de 50 grupos de puntos de acceso para los módulos de red de controlador y controlador de la serie Cisco 2100
Un máximo de 300 grupos de puntos de acceso para los controladores de la serie Cisco 4400, Cisco WiSM y Cisco 3750G Wireless LAN Controller Switch
Un máximo de 500 grupos de puntos de acceso para Cisco 5500 Series Controllers
Información Relacionada
- Preguntas frecuentes sobre Wireless LAN Controller (WLC)
- Preguntas Más Frecuentes sobre Mensajes de Error y de Sistema del Controlador de la LAN inalámbrica (WLC)
- Preguntas frecuentes sobre los puntos de acceso ligeros
- Guía de Configuración del Controlador de LAN Inalámbrica de Cisco, Versión 7.0.116.0
- Compatibilidad con IPv6 en el controlador de LAN inalámbrica
- Soporte de Productos de Red Inalámbrica
- Soporte Técnico y Documentación - Cisco Systems
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)