Os Pontos de Acesso Virtuais (VAPs) segmentam a LAN sem fio em vários domínios de broadcast que são o equivalente sem fio das VLANs Ethernet. Os VAPs simulam vários pontos de acesso em um dispositivo WAP físico. Até quatro VAPs são suportados no Cisco WAP131 e até oito VAPs são suportados no Cisco WAP351 e WAP371.
O objetivo deste documento é mostrar como configurar um VAP nos pontos de acesso WAP351, WAP131 e WAP371.
WAP351
WAP131
WAP371
V1.0.0.39 (WAP351)
V1.0.0.39 (WAP131)
V1.2.0.2 (WAP371)
Note: Cada VAP é identificado por um SSID (Service Set Identifier, identificador do conjunto de serviços) configurado pelo usuário. Vários VAPs não podem ter o mesmo nome SSID.
Note: Para que sua rede sem fio funcione, o rádio ao qual o VAP configurado está associado deve estar ativado e configurado corretamente. Consulte Configurando as configurações básicas de rádio no WAP131 e WAP351 ou Configurando as configurações básicas de rádio no WAP371 para obter mais informações
Etapa 1. Faça login no utilitário de configuração da Web e navegue para Wireless > Networks. A página Redes é exibida:
Etapa 2. No campo Radio, selecione o botão de opção do rádio sem fio no qual deseja configurar VAPs.
Etapa 3. Para adicionar um novo VAP, clique em Adicionar. Um novo VAP será exibido na tabela.
Note: O WAP131 suporta até 4 VAPs, enquanto o WAP371 e o WAP351 suportam até 8 VAPs.
Etapa 4. Para começar a editar um VAP, clique na caixa de seleção à esquerda da entrada da tabela e clique em Editar. Isso permitirá que você modifique os campos esmaecidos do VAP selecionado.
Etapa 5. Para habilitar o uso do VAP, certifique-se de que a caixa de seleção Habilitar esteja marcada.
Etapa 6. No campo VLAN ID, especifique a ID da VLAN que você gostaria de associar ao VAP. Se estiver usando o WAP131 ou WAP371, digite o ID da VLAN. O valor máximo que você pode inserir é 4094.
Note: A ID da VLAN inserida deve existir na rede e estar configurada corretamente. Consulte Configuração de VLAN no ponto de acesso WAP351, Gerenciamento de IDs de VLAN rotuladas e não rotuladas no WAP131 ou Gerenciamento de IDs de VLAN rotuladas e não rotuladas no WAP371 para obter mais informações.
Passo 7. Digite o nome da rede sem fio no campo SSID Name (Nome do SSID). Cada VAP deve ter um nome SSID exclusivo.
Etapa 8. Se desejar que o nome SSID seja transmitido aos clientes, marque a caixa de seleção SSID Broadcast. Isso mostrará o nome SSID aos clientes em sua lista de redes disponíveis.
Etapa 1. Escolha o método de autenticação necessário para se conectar ao VAP na lista suspensa Segurança. Se qualquer opção diferente de Nenhum estiver selecionada, campos adicionais serão exibidos.
As opções disponíveis são as seguintes:
•Nenhum
Static WEP
Dynamic WEP
WPA Personal
WPA Enterprise
Note: WPA Personal e WPA Enterprise são os tipos de autenticação preferidos para máxima segurança. A WEP estática e a WEP dinâmica devem ser usadas apenas com equipamentos herdados e exigem que o rádio seja definido para o modo 802.11a ou 802.11b/g a ser usado. Consulte Configurando as configurações básicas de rádio no WAP131 e WAP351 ou Configurando as configurações básicas de rádio no WAP371 para obter mais informações.
O WEP estático é o método de autenticação menos seguro. Criptografa os dados na rede sem fio com base em uma chave estática. Tornou-se simples obter essa chave estática ilegitimamente, portanto a autenticação WEP deve ser usada somente quando necessário com dispositivos herdados.
Note: Ao selecionar WEP estática como método de segurança, um prompt será exibido e informará que sua escolha de método de segurança é muito insegura.
Etapa 1. Na lista suspensa Índice da chave de transferência, selecione o índice da chave WEP na lista de chaves abaixo que o dispositivo usará para criptografar dados.
Etapa 2. Escolha um botão de opção no campo Key Length para especificar se a chave tem 64 bits ou 128 bits de comprimento.
Etapa 3. No campo Tipo de chave, escolha se deseja inserir as chaves no formato ASCII ou hexadecimal. ASCII inclui todas as letras, números e símbolos presentes no teclado, enquanto hexadecimal deve usar apenas números ou letras A-F.
Etapa 4. No campo WEP Keys, insira até 4 chaves WEP diferentes para seu dispositivo. Cada cliente que se conecta a essa rede deve ter uma das mesmas chaves WEP no mesmo slot especificado pelo dispositivo.
Etapa 5. (Opcional) Clique na caixa de seleção no campo Show Key as Clear Text, se você revelar as strings de caracteres das chaves.
Observação: ao usar um firmware diferente no WAP351, WAP131 ou WAP371, o campo Show Key as Clear Text pode estar ausente.
Etapa 6. No campo 802.1X Authentication, especifique o algoritmo de autenticação que deseja usar escolhendo as opções Open System e/ou Shared Key. O algoritmo de autenticação define o método usado para determinar se uma estação cliente tem permissão para se associar ao dispositivo WAP quando o WEP estático é o modo de segurança.
As opções disponíveis são definidas da seguinte forma:
Open System (Sistema aberto) — A autenticação permite que qualquer estação cliente se associe ao dispositivo WAP, independentemente de a estação cliente ter ou não a chave WEP correta. Esse algoritmo é usado nos modos de texto simples, IEEE 802.1X e WPA. Quando o algoritmo de autenticação é definido como Open System, qualquer cliente pode se associar ao dispositivo WAP.
Chave compartilhada — A autenticação exige que a estação cliente tenha a chave WEP correta para se associar ao dispositivo WAP. Quando o algoritmo de autenticação é definido como Shared Key, uma estação com uma chave WEP incorreta não pode se associar ao dispositivo WAP.
Open System (Sistema aberto) e Shared Key (Chave compartilhada) — Quando você selecionou ambos os algoritmos de autenticação, as estações cliente configuradas para usar WEP no modo de chave compartilhada devem ter uma chave WEP válida para se associar ao dispositivo WAP. Além disso, as estações clientes configuradas para usar WEP como um sistema aberto (modo de chave compartilhada não habilitado) podem se associar ao dispositivo WAP mesmo que não tenham a chave WEP correta.
Passo 7. Click Save.
O WEP dinâmico refere-se à combinação da tecnologia 802.1x com o Extensible Authentication Protocol (EAP). Este modo exige o uso de um servidor RADIUS externo para autenticar usuários. O dispositivo WAP requer um servidor RADIUS que suporte EAP, como o Microsoft Internet Authentication Server. Para trabalhar com clientes Microsoft Windows, o servidor de autenticação deve suportar PEAP (Protected EAP) e MSCHAP v2. Você pode usar qualquer um dos vários métodos de autenticação suportados pelo modo IEEE 802.1X, incluindo certificados, Kerberos e autenticação de chave pública, mas você deve configurar as estações cliente para usar o mesmo método de autenticação usado pelo dispositivo WAP.
Etapa 1. Por padrão, a opção Usar configurações globais do servidor RADIUS está marcada. Desmarque a caixa de seleção se desejar configurar o VAP para usar um conjunto diferente de servidores RADIUS. Caso contrário, vá para a Etapa 8.
Etapa 2. No campo Server IP Address Type, selecione o tipo de endereço IP do servidor usado pelo dispositivo WAP. As opções são IPv4 ou IPv6. O IPv4 usa números binários de 32 bits representados em notação decimal pontuada. O IPv6 usa números hexadecimais e dois-pontos para representar um número binário de 128 bits. O dispositivo WAP entra em contato apenas com o servidor ou servidores RADIUS para o tipo de endereço selecionado neste campo. Se você escolher IPv6, vá para a Etapa 4.
Etapa 3. Se você selecionou IPv4 na Etapa 2, digite o endereço IP do servidor RADIUS que todos os VAPs usam por padrão. Em seguida, vá para a Etapa 5.
Note: Você pode ter até três endereços de servidor RADIUS de backup IPv4. Se a autenticação falhar com o servidor primário, cada servidor de backup configurado é tentado em sequência.
Etapa 4. Se você selecionou IPv6 na Etapa 2, insira o endereço IPv6 do servidor RADIUS global primário.
Note: Você pode ter até três endereços de servidor RADIUS de backup IPv6. Se a autenticação falhar com o servidor primário, cada servidor de backup configurado é tentado em sequência.
Etapa 5. No campo Key-1, insira a chave secreta compartilhada que o dispositivo WAP usa para autenticar o servidor RADIUS principal.
Etapa 6. Nos campos Key-2 to Key-4, insira a chave RADIUS associada aos servidores RADIUS de backup configurados. O Server IP Address-2 usa Key-2, Server IP Address 3 usa Key-3 e Server IP Address 4 usa Key-4.
Passo 7. (Opcional) No campo Habilitar Contabilidade RADIUS, marque a caixa de seleção se desejar habilitar o rastreamento e a medição dos recursos que um usuário específico consumiu. Habilitar a contabilidade RADIUS irá rastrear a hora do sistema e a quantidade de dados transmitidos e recebidos. As informações serão armazenadas no servidor Radius. Isso será ativado para o servidor RADIUS principal e todos os servidores de backup.
Note: Se você habilitou a contabilidade RADIUS, ela será habilitada para o servidor RADIUS principal e para todos os servidores de backup
Etapa 8. Escolha o primeiro servidor ativo no campo Servidor ativo. Isso permite a seleção manual do servidor RADIUS ativo, em vez de fazer com que o dispositivo WAP tente entrar em contato com cada servidor configurado em sequência e escolha o primeiro servidor ativo.
Etapa 9. No campo Broadcast Key Refresh Rate, insira o intervalo no qual a chave de broadcast (grupo) é atualizada para clientes associados a esse VAP. O padrão é 300 segundos.
Etapa 10. No campo Session Key Refresh Rate, insira o intervalo no qual o dispositivo WAP atualiza a chave de sessão (unicast) para cada cliente associado ao VAP. O padrão é 0.
A WPA Personal é um padrão IEEE 802.11i da Wi-Fi Alliance, que inclui criptografia AES-CCMP e TKIP. O WPA usa uma chave pré-compartilhada (PSK) em vez de usar o IEEE 802.1X e o EAP, como é usado no modo de segurança WPA empresarial. A PSK é usada somente para uma verificação inicial de credenciais. O WPA também é conhecido como WPA-PSK. Este modo de segurança é compatível com versões anteriores para os clientes sem fio que suportam a WPA original.
Etapa 1. No campo Versões WPA, marque a caixa de seleção WPA-TKIP se quiser habilitar WPA-TKIP. Você pode ter WPA-TKIP e WPA2-AES ativados ao mesmo tempo. O WAP sempre oferece suporte a WPA2-AES para que você não possa configurá-lo.
As opções disponíveis são definidas da seguinte forma:
WPA-TKIP — A rede tem algumas estações clientes que suportam apenas o protocolo de segurança WPA e TKIP original. De acordo com os últimos requisitos da WiFi Alliance, não é recomendável escolher somente WPA-TKIP.
WPA2-AES — Todas as estações clientes na rede suportam protocolo de segurança/criptografia WPA2 e AES-CCMP. Esta versão WPA fornece a melhor segurança de acordo com o padrão IEEE 802.11i. De acordo com o requisito mais recente da WiFi Alliance, o AP tem que suportar esse modo o tempo todo.
WPA-TKIP e WPA2-AES — Se a rede tiver uma combinação de clientes, alguns deles suportam WPA2 e outros que suportam somente a WPA original, marque as duas caixas de seleção. Essa configuração permite que as estações cliente WPA e WPA2 se associem e autentiquem, mas usa a WPA2 mais robusta para clientes que a suportam. Essa configuração WPA permite mais interoperabilidade em vez de alguma segurança.
Note: Os clientes WPA devem ter uma dessas chaves (uma chave TKIP válida ou uma chave AES-CCMP válida) para poderem se associar ao dispositivo WAP.
Etapa 2. No campo Key, insira a chave secreta compartilhada para a segurança WPA Personal. Digite pelo menos 8 caracteres e no máximo 63 caracteres.
Note: Os caracteres aceitáveis incluem letras maiúsculas e minúsculas, dígitos numéricos e símbolos especiais (?!/\@#$%^&*).
Etapa 3. (Opcional) Marque a caixa de seleção Show Key as Clear Text se desejar que o texto digitado esteja visível. A caixa de seleção está desmarcada por padrão.
Observação: ao usar um firmware diferente no WAP351, WAP131 ou WAP371, o campo Show Key as Clear Text pode estar ausente.
Note: O campo Key Strength Meter é onde o dispositivo WAP verifica a chave em relação aos critérios de complexidade, como quantos tipos diferentes de caracteres são usados e quanto tempo a chave tem. Se o recurso de verificação de complexidade WPA-PSK estiver ativado, a chave não será aceita, a menos que atenda aos critérios mínimos. Para obter mais informações sobre a complexidade de WPA-PSK, consulte Configuração da Complexidade de Senha para WAP131, WAP351 e WAP371.
Etapa 4. No campo Broadcast Key Refresh Rate, insira o intervalo no qual a chave de broadcast (grupo) é atualizada para clientes associados a esse VAP. O padrão é 300 segundos.
A WPA Enterprise com RADIUS é uma implementação do padrão IEEE 802.11i da Wi-Fi Alliance, que inclui CCMP (AES) e criptografia TKIP. O modo Enterprise requer o uso de um servidor RADIUS para autenticar os usuários. O modo de segurança é compatível com versões anteriores dos clientes sem fio que suportam a WPA original.
Note: O modo de VLAN dinâmico é ativado por padrão, o que permite que o servidor de autenticação RADIUS decida qual VLAN é usada para as estações.
Etapa 1. No campo Versões WPA, marque a caixa de seleção dos tipos de estações clientes a serem suportadas. Por padrão, todos estão habilitados. O AP deve suportar WPA2-AES o tempo todo para que você não possa configurá-lo.
As opções disponíveis são definidas da seguinte forma:
WPA-TKIP — A rede tem algumas estações clientes que suportam somente protocolo de segurança WPA e TKIP originais. Observe que a seleção apenas de WPA-TKIP para o ponto de acesso não é permitida de acordo com o requisito mais recente da WiFi Alliance.
WPA2-AES — Todas as estações cliente na rede suportam a versão WPA2 e protocolo de segurança/cifra AES-CCMP. Esta versão WPA fornece a melhor segurança de acordo com o padrão IEEE 802.11i. De acordo com o requisito mais recente da Wi-Fi Alliance, o WAP tem de suportar este modo o tempo todo.
Ativar pré-autenticação — Se escolher somente WPA2 ou WPA2 como a versão WPA, você poderá ativar a pré-autenticação para os clientes WPA2. Marque essa opção se desejar que os clientes sem fio WPA2 enviem os pacotes de pré-autenticação. As informações de pré-autenticação são retransmitidas do dispositivo WAP que o cliente está usando no momento para o dispositivo WAP de destino. Ativar esse recurso pode ajudar a acelerar a autenticação de clientes móveis que se conectam a vários WAPs. Esta opção não se aplica se você selecionou WPA para versões WPA porque a WPA original não oferece suporte a esse recurso.
Note: As estações cliente configuradas para usar WPA com RADIUS devem ter um destes endereços e chaves: Um RADIUS TKIP válido ou um endereço IP CCMP (AES) válido e uma chave RADIUS.
Etapa 2. Por padrão, a opção Usar configurações globais do servidor RADIUS está marcada. Desmarque a caixa de seleção se desejar configurar o VAP para usar um conjunto diferente de servidores RADIUS. Caso contrário, vá para a Etapa 9.
Etapa 3. No campo Server IP Address Type, selecione o tipo de endereço IP do servidor usado pelo dispositivo WAP. As opções são IPv4 ou IPv6. O IPv4 usa números binários de 32 bits representados em notação decimal pontuada. O IPv6 usa números hexadecimais e dois-pontos para representar um número binário de 128 bits. O dispositivo WAP entra em contato apenas com o servidor ou servidores RADIUS para o tipo de endereço selecionado neste campo.
Etapa 4. Se você selecionou IPv4 na Etapa 2, digite o endereço IP do servidor RADIUS que todos os VAPs usam por padrão. Em seguida, vá para a etapa 6.
Note: Você pode ter até três endereços de servidor RADIUS de backup IPv4. Se a autenticação falhar com o servidor primário, cada servidor de backup configurado é tentado em sequência.
Etapa 5. Se você selecionou IPv6 na Etapa 2, digite o endereço IPv6 do servidor RADIUS global primário.
Note: Você pode ter até três endereços de servidor RADIUS de backup IPv6. Se a autenticação falhar com o servidor primário, cada servidor de backup configurado é tentado em sequência.
Etapa 6. No campo Key-1, insira a chave secreta compartilhada que o dispositivo WAP usa para autenticar o servidor RADIUS principal.
Passo 7. Nos campos Key-2 to Key-4, insira a chave RADIUS associada aos servidores RADIUS de backup configurados. O Server IP Address-2 usa Key-2, Server IP Address 3 usa Key-3 e Server IP Address 4 usa Key-4.
Etapa 8. (Opcional) No campo Habilitar Contabilidade RADIUS, marque a caixa de seleção se desejar habilitar o rastreamento e a medição dos recursos que um usuário específico consumiu. Habilitar a contabilidade RADIUS permitirá que você controle a hora do sistema de um usuário específico e a quantidade de dados transmitidos e recebidos.
Note: Se você habilitou a contabilidade RADIUS, ela será habilitada para o servidor RADIUS principal e para todos os servidores de backup.
Etapa 9. Escolha o primeiro servidor ativo no campo Servidor ativo. Isso permite a seleção manual do servidor RADIUS ativo, em vez de fazer com que o dispositivo WAP tente entrar em contato com cada servidor configurado em sequência.
Etapa 10. No campo Broadcast Key Refresh Rate, insira o intervalo no qual a chave de broadcast (grupo) é atualizada para clientes associados a esse VAP. O padrão é 300 segundos.
Etapa 11. No campo Session Key Refresh Rate, insira o intervalo no qual o dispositivo WAP atualiza chaves de sessão (unicast) para cada cliente associado ao VAP. O padrão é 0.
O Filtro MAC especifica se as estações que podem acessar esse VAP estão restritas a uma lista global configurada de endereços MAC.
Etapa 1. Na lista suspensa Filtro MAC, escolha o tipo desejado de filtragem MAC.
As opções disponíveis são definidas da seguinte forma:
Desativado - Não usa filtragem de MAC.
· Local — Usa a lista de autenticação MAC configurada na seção Filtragem MAC, para saber mais sobre a Filtragem MAC, consulte Como configurar a Filtragem MAC no WAP351 e WAP131.
RADIUS — Usa a lista de autenticação MAC em um servidor RADIUS externo.
Quando o Channel Isolation está desativado, os clientes sem fio podem se comunicar entre si normalmente enviando tráfego através do dispositivo WAP. Quando habilitado, o dispositivo WAP bloqueia a comunicação entre os clientes sem fio no mesmo VAP. O dispositivo WAP ainda permite o tráfego de dados entre seus clientes sem fio e os dispositivos com fio na rede, através de um link WDS e com outros clientes sem fio associados a um VAP diferente, mas não entre os clientes sem fio.
Etapa 1. No campo Channel Isolation, marque a caixa de seleção se deseja habilitar o Channel Isolation.
Etapa 2. Click Save.
Note: Depois que novas configurações forem salvas, os processos correspondentes poderão ser interrompidos e reiniciados. Quando essa condição ocorre, o dispositivo WAP pode perder a conectividade. Recomendamos que você altere as configurações do dispositivo WAP quando uma perda de conectividade não afetar os clientes sem fio.
O Steer da banda só está disponível no WAP371. A Band Steer utiliza efetivamente a banda de 5 GHz, direcionando os clientes compatíveis com banda dupla da banda de 2,4 GHz para a banda de 5 GHz. Isso libera a banda de 2,4 GHz para uso por dispositivos antigos que não têm suporte para rádio duplo.
Note: Os rádios de 5 GHz e 2,4 GHz precisam ser ativados para usar o Steer de banda. Para obter mais informações sobre como ativar os rádios, consulte Como configurar as configurações básicas de rádio no WAP371.
Etapa 1. O Steer da banda é configurado por VAP e precisa ser ativado em ambos os rádios. Se desejar habilitar o Steer de banda, marque a caixa de seleção no campo Band Steer.
Note: O Steer da banda não é incentivado em VAPs com tráfego de voz ou vídeo sensível ao tempo. Mesmo que o rádio de 5 GHz use menos largura de banda, ele tenta direcionar os clientes para esse rádio.
Etapa 2. Click Save.
Etapa 1. Marque a caixa de seleção do VAP que deseja excluir.
Etapa 2. Clique em Excluir para excluir o VAP.
Etapa 3. Clique em Salvar para salvar a exclusão permanentemente.