Mejores prácticas de configuración de un
controlador para redes LAN inalámbricas (WLC)
Contenido
Introducción Requisitos previos Requerimientos Componentes utilizados Convenciones Mejores prácticas Sistema inalámbrico/radiofrecuencia Conectividad de red Diseño de red Movilidad Seguridad Administración generalIntroducción
Este documento ofrece breves consejos de configuración que abarcan varios problemas
relacionados con las infraestructuras unificadas inalámbricas y que se han tratado en el Centro de asistencia técnica de Cisco (TAC).
El objetivo es proporcionar notas importantes que se pueden aplicar en la mayoría de las implementaciones de red para minimizar los problemas que puedan surgir.
Nota: Todas las redes no son iguales, por lo que algunos consejos no se podrán aplicar en su instalación. Verifique siempre dichos consejos antes de llevar a cabo cualquier cambio en una red que esté en funcionamiento.
Requisitos previos
Requerimientos
Cisco recomienda poseer ciertos conocimientos acerca de estos temas:
Tener conocimientos de cómo configurar el controlador para redes LAN inalámbricas (WLC) y el punto de acceso ligero (LAP) para el funcionamiento básico
Tener conocimientos básicos del protocolo de punto de acceso ligero (LWAPP) y de los métodos de seguridad inalámbricos
Componentes utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
WLC de las series 2000/2100/4400 de Cisco que utilizan firmware 3.2 o 4.0
Puntos de acceso basados en LWAPP, series 1230, 1240, 1130, 10x0 y 1500
La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Convenciones
Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.
Mejores prácticas
Sistema inalámbrico/radiofrecuencia
Las siguientes son las mejores prácticas de sistema inalámbrico/radiofrecuencia:
Para cualquier implementación inalámbrica, lleve a cabo siempre un estudio adecuado para asegurarse de la correcta calidad del servicio para los clientes inalámbricos. Los
requerimientos de implementaciones de voz y ubicación son más estrictos que los de los servicios de datos. La RF automática puede ayudar en la administración de la configuración de canal y potencia, pero no puede corregir un diseño incorrecto de RF.
Dicho estudio del sitio debe llevarse a cabo mediante dispositivos que coincidan con el
comportamiento de potencia y propagación de los dispositivos que se utilizarán en la red real. Por ejemplo, no utilice una radio de 350 para 802.11B con antena omnidireccional a la hora de estudiar la cobertura si la red final utiliza radios duales de 1240 para 802.11A y G.
Asimismo, limite el número de identificadores de conjunto de servicios (SSID) configurados en el controlador. Basándose en su modelo de punto de acceso, puede configurar 8 o 16 SSID simultáneamente, pero, puesto que cada WLAN/SSID necesita respuestas de prueba independientes y señalizaciones, la contaminación de RF aumenta cada vez que se agregan nuevos SSID. El resultado es que algunas estaciones inalámbricas de menor tamaño como PDA, teléfonos WiFi y escáneres de códigos de barras no pueden afrontar una elevada cantidad de información de SSID básicos (BSSID). Esto causa bloqueos, recargas y fallos de asociación. Asimismo, cuantos más SSID, más señalizaciones se necesitan, por lo que el espacio de RF disminuye para la transmisión de datos reales.
Para entornos de RF que sean espacios vacíos, como fábricas donde hay puntos de acceso en un amplio espacio sin muros, puede que sea necesario ajustar los umbrales de potencia de transmisión del valor predeterminado -65 dBm a un valor inferior como -76 dBm. Esto permite disminuir las interferencias entre canales (número de BSSID recibido de un cliente inalámbrico en un determinado momento) El valor más apropiado depende de las
características ambientales de cada sitio, por lo que debería evaluarse detenidamente mediante un estudio del sitio.
Umbral de transmisión de potencia: este valor, expresado en dBm, es el nivel de señal límite al que el algoritmo de control de potencia de transmisión (TPC) ajusta hacia abajo los niveles de potencia, de manera que el valor sea la fuerza con la que se oiga el tercer vecino más fuerte de un AP.
Parte del software cliente de 802.11 puede encontrar dificultades si oye más de un número fijo determinado de BSSID (por ejemplo, 24 o 31 BSSID). Al reducir el umbral de potencia de transmisión y, por consiguiente, la media del nivel de transmisión de AP, puede reducir el número de BSSID de dichos clientes.
No active el equilibrio de carga agresivo a no ser que la red tenga disponibles puntos de acceso de alta densidad en dicha área y, en ningún caso, si se transmite voz a través de la red inalámbrica. Si activa esta función con puntos de acceso colocados lejos unos de los otros, puede confundir al algoritmo de roaming de algunos clientes e inducir a la aparición de agujeros de cobertura en algunos casos. En las últimas versiones del software, esta función está desactivada de manera predeterminada.
Conectividad de red
Las siguientes son las mejores prácticas de conectividad de red:
No utilice ningún árbol de expansión en los controladores.
Para la mayoría de las topologías, no es necesario el protocolo de árbol de expansión (STP) que se ejecuta en el controlador. El protocolo STP está desactivado de manera
predeterminada.
Para switches que no sean de Cisco, también se recomienda desactivar STP por puerto. Utilice este comando para verificar:
Cisco Controller) >show spanningtree switch
STP Specification... IEEE 802.1D STP Base MAC Address... 00:18:B9:EA:5E:60 Spanning Tree Algorithm... Disable
STP Bridge Priority... 32768
STP Bridge Max. Age (seconds)... 20
STP Bridge Hello Time (seconds)... 2
STP Bridge Forward Delay (seconds)... 15
(Cisco Controller) >
A pesar de que la mayoría de las configuraciones de controladores se aplican sobre la marcha, es recomendable volver a cargar los controladores una vez que cambie los siguientes valores de configuración:
Configuración de SNMP: este valor es de gran importancia si utiliza un software anterior.
En todos los puertos troncales que estén conectados a los controladores, filtre las VLAN que no estén en uso.
Por ejemplo, en switches de Cisco IOS®, si la interfaz de administración está en una VLAN 20 y la VLAN 40 y 50 se utilizan para dos WLAN diferentes, utilice el comando de
configuración del lado del switch:
Cisco Controller) >show spanningtree switch
STP Specification... IEEE 802.1D STP Base MAC Address... 00:18:B9:EA:5E:60 Spanning Tree Algorithm... Disable
STP Bridge Priority... 32768
STP Bridge Max. Age (seconds)... 20
STP Bridge Hello Time (seconds)... 2
STP Bridge Forward Delay (seconds)... 15
(Cisco Controller) >
No configure el puerto de servicio con una subred superpuesta en la interfaz de administración.
No deje la interfaz con una dirección 0.0.0.0, por ejemplo, un puerto de servicio sin configurar. Esto puede afectar a la gestión DHCP del controlador.
Así se puede verificar:
(Cisco Controller) >show interface summary
Interface Name Port Vlan Id IP Address Type Ap Mgr -- ---- -- --- - ---ap-manager LAG 15 192.168.15.66 Static Yes
example LAG 30 0.0.0.0 Dynamic No
management LAG 15 192.168.15.65 Static No service-port N/A N/A 10.48.76.65 Static No test LAG 50 192.168.50.65 Dynamic No virtual N/A N/A 1.1.1.1 Static No
No es recomendable utilizar la incorporación de enlaces (LAG), a menos que todos los puertos de la red del controlador estén conectados.
Así se puede verificar el estado de los puertos:
(Cisco Controller) >show port summary
STP Admin Physical Physical Link Link Mcast
Pr Type Stat Mode Mode Status Status Trap Appliance POE -- ---- --- --- --- -- ---1 Normal Forw Enable Auto ---1000 Full Up Enable Enable N/A 2 Normal Disa Enable Auto 1000 Full Down Enable Enable N/A 3 Normal Forw Enable Auto 1000 Full Up Enable Enable N/A
4 Normal Forw Enable Auto 1000 Full Up Enable Enable N/A
No utilice LAG a menos que todos los puertos del controlador tengan la misma configuración de la capa 2 en el lado del switch. Por ejemplo, evite filtrar sólo algunas VLAN en un puerto y no el resto.
Cuando utiliza LAG, el controlador se basa en el switch en lo relativo a las decisiones de equilibrio de carga sobre el tráfico que proviene de la red. Espera que el tráfico que pertenece a un AP (LWAPP o red para un usuario inalámbrico) siempre llegue al mismo puerto. Utilice sólo las opciones de equilibrio de carga ip-src o ip-src ip-dst de la configuración de
EtherChannel del switch. Algunos modelos de switches pueden utilizar mecanismos de equilibrio de carga no compatibles de manera predeterminada, por lo que es importante verificar antes este aspecto.
Así se pueden verificar los mecanismos de equilibrio de carga de EtherChannel:
switch#show etherchannel load-balance EtherChannel Load-Balancing Configuration: src-dst-ip
EtherChannel Load-Balancing Addresses Used Per-Protocol: Non-IP: Source XOR Destination MAC address
IPv4: Source XOR Destination IP address IPv6: Source XOR Destination IP address
Así se puede cambiar la configuración del switch (IOS):
switch(config)#port-channel load-balance src-dst-ip
No configure ninguna conexión LAG que se extienda a través de varios switches. Al utilizar LAG, debe hacerlo con todos los puertos que pertenecen al mismo valor de EtherChannel que va hacia el mismo switch físico. Es posible evitar esta limitación mediante utilizando escenarios específicos únicamente con la funcionalidad EtherChannel de pila cruzada 3750.
Si no utiliza una tipología LAG, debe crear siempre un administrador de AP para cada puerto físico, para la redundancia y la escalabilidad.
No configure nunca un puerto de respaldo para una interfaz de administrador de AP, incluso aunque esté permitido en versiones anteriores del software. Las interfaces múltiples de administrador de AP proporcionan redundancia, tal y como se ha indicado anteriormente en este documento.
Diseño de red
Las siguientes son las mejores prácticas para el diseño de red:
Limite el número de puntos de acceso para cada VLAN. Un número recomendable oscila entre 30 y 60, dependiendo de las características de la red. Esto ayuda a minimizar los problemas de reasociación en caso de que se produzca un fallo de la red.
En relación con el primer consejo, no coloque más de 20 puntos de acceso en la misma VLAN con la interfaz de administración del controlador. Es posible que debido al elevado número de mensajes de difusión generados por los puntos de acceso, algunos mensajes de detección no se procesen, lo que provocará así procesos de unión de puntos de acceso más lentos.
Según el diseño, la mayoría del tráfico iniciado en la CPU se envía desde la dirección de administración del controlador. Por ejemplo, trampas SNMP, solicitudes de autenticación RADIUS, etc.
La excepción a esta regla es el tráfico relacionado con DHCP, que se envía desde la interfaz relacionada con la configuración de WLAN para las versiones 4.0 y posteriores del software del controlador. Por ejemplo, si una WLAN utiliza una interfaz dinámica, la solicitud DHCP se reenvía utilizando la dirección de la capa 3.
Es importante tener esto último en cuenta cuando se configuren políticas de firewall o se diseñe la topología de red. Es importante evitar configurar una interfaz dinámica en la misma subred de un servidor que tenga que ser accesible para la CPU del controlador, por ejemplo, un servidor RADIUS, puesto que puede causar problemas de enrutamiento asimétrico.
Movilidad
Las siguientes son las mejores prácticas de movilidad:
Todos los controladores de un grupo de movilidad deben tener la misma dirección IP para una interfaz virtual, por ejemplo 1.1.1.1. Esto es importante para el roaming.
Así se puede verificar:
(Cisco Controller) >show interface summary
Interface Name Port Vlan Id IP Address Type Ap Mgr --- --- -- --- - ---ap-manager LAG 15 192.168.15.66 Static Yes management LAG 15 192.168.15.65 Static No service-port N/A N/A 10.48.76.65 Static No test LAG 50 192.168.50.65 Dynamic No virtual N/A N/A 1.1.1.1 Static No
La dirección de la puerta de enlace virtual debe ser "no enrutable" dentro de la infraestructura de red. Sólo un cliente inalámbrico debe poder alcanzarla cuando se conecte a un controlador y nunca desde una conexión alámbrica.
No cree grandes grupos de movilidad innecesariamente. Un grupo de movilidad debe tener sólo aquellos controladores que tienen puntos de acceso en el área donde un cliente puede realizar físicamente el roaming, por ejemplo todos los controladores con puntos de acceso de un edificio. Si tiene un escenario donde muchos edificios están separados, deberían dividirse en varios grupos de movilidad. De este modo, se puede ahorrar memoria y CPU, puesto que los controladores no necesitan mantener largas listas de clientes válidos, elementos no autorizados y puntos de acceso dentro del grupo, que no interactúan en modo alguno.
En escenarios donde existe más de un controlador en un grupo de movilidad, es normal ver algunas alertas de puntos de acceso de elementos no autorizados sobre nuestros propios puntos de acceso en la red después de que un controlador vuelva a cargarse. Esto se debe al tiempo que transcurre mientras se actualizan las listas de puntos de acceso, clientes y
elementos no autorizados entre los miembros de grupos de movilidad.
La opción DHCP Required (DHCP obligatorio) de la configuración WLAN permite al usuario obligar a los clientes a llevar acabo una solicitud/renovación de la dirección DHCP cada vez que se asocian a la WLAN antes de que se les permita enviar o recibir otro tráfico en la red. Desde el punto de vista de la seguridad, esto permite un control más estricto de las
direcciones IP que están en uso, aunque también puede tener efectos en el tiempo total de roaming antes de que se permita que el tráfico vuelva a fluir.
Además, esto puede afectar a algunas implementaciones de clientes que no llevan a cabo renovaciones de DHCP hasta que caduca el tiempo de validez. Por ejemplo, los teléfonos Cisco 7920 o 7921 pueden presentar problemas de voz mientras realizan el roaming si esta opción está activada, puesto que el controlador no permite que el tráfico de voz o de señales pase hasta que la fase DHCP haya finalizado. Algunos servidores de impresoras de terceros podrían también verse afectados. En general, es recomendable no usar esta opción si la WLAN tiene clientes que no son clientes Windows. Esto se debe a que los controles más estrictos pueden inducir a problemas relacionados con la conectividad, dependiendo de cómo esté implementado el lado del cliente DHCP. Así se puede verificar:
(Cisco Controller) >show wlan 1
WLAN Identifier... 1 Profile Name... 4400 Network Name (SSID)... 4400 Status... Enabled MAC Filtering... Disabled Broadcast SSID... Enabled AAA Policy Override... Disabled Number of Active Clients... 0
Exclusionlist Timeout... 60 seconds Session Timeout... 1800 seconds Interface... management WLAN ACL... unconfigured DHCP Server... Default
DHCP Address Assignment Required... Disabled
Quality of Service... Silver (best effort) WMM... Disabled
CCX - AironetIe Support... Enabled CCX - Gratuitous ProbeResponse (GPR)... Disabled Dot11-Phone Mode (7920)... Disabled Wired Protocol... None
Seguridad
Se recomienda cambiar el tiempo de espera de RADIUS a 5 segundos. El valor
predeterminado de 2 segundos se considera aceptable para errores rápidos de RADIUS, pero probablemente no será suficiente para protocolo de autenticación extensible- seguridad de capa de transporte (EAP-TLS) o si el servidor RADIUS debe ponerse en contacto con bases de datos externas (Active Directory, NAC, SQL, etc.)
Así se puede verificar:
(Cisco Controller) >show radius summary
Vendor Id Backward Compatibility... Disabled Credentials Caching... Disabled Call Station Id Type... IP Address Administrative Authentication via RADIUS.... Enabled Aggressive Failover... Disabled
Keywrap... DisabledAuthentication Servers
This portion of code has been wrapped to several lines due to spatial !---concerns. Idx Type Server Address Port State Tout RFC3576
--- ---- -- --- - ---- ---1 N ---10.48.76.50 ---18---12 Enabled 2 Enabled
IPSec -AuthMode/Phase1/Group/Lifetime/Auth/Encr ---Disabled - none/unknown/group-0/0 none/none
Así se puede configurar:
config radius auth retransmit-timeout 1 5
Compruebe el usuario predeterminado SNMPv3. El controlador presenta de manera predeterminada un nombre de usuario que debe cambiarse o desactivarse.
Así se puede verificar:
(Cisco Controller) >show snmpv3user
SNMP v3 User SNMP v3 User Name AccessMode Authentication Encryption - ----
---default Read/Write HMAC-MD5 CBC-DES
Así se puede configurar:
(Cisco Controller) >show snmpv3user
SNMP v3 User SNMP v3 User Name AccessMode Authentication Encryption - ----
---default Read/Write HMAC-MD5 CBC-DES
Tenga en cuenta que la configuración de SNMP debe coincidir entre el controlador y el sistema de control inalámbrico (WCS). Asimismo, debe utilizar claves de cifrado y hash que coincidan con sus políticas de seguridad.
utilice ningún servidor que tenga un servidor Web y un servidor proxy al mismo tiempo para albergar la página de inicio de sesión. El controlador permite el paso del tráfico HTTP desde el cliente inalámbrico al servidor antes de que se haya completado la autenticación. Esto permite que el cliente pueda navegar mediante el servicio proxy del servidor.
En los controladores, el tiempo de espera predeterminado para las solicitudes de identidad de EAP es de 1 segundo, no siendo suficiente para algunas situaciones como One Time
Password o implementaciones Smart Card, en las que se avisa al usuario de que debe escribir un PIN o una contraseña antes de que el cliente inalámbrico pueda responder a la solicitud de identificación. En puntos de acceso autónomos, el valor predeterminado es de 30 segundos, lo que debe tenerse en cuenta al migrar redes autónomas a redes inalámbricas de infraestructura.
Así se puede cambiar:
config advanced eap identity-request-timeout 30
En entornos agresivos, una función útil es la activación de la autenticación de puntos de acceso con un umbral de 2. Esto permite detectar posibles suplantaciones y minimizar las detecciones de falsos positivos.
Así se puede configurar:
config advanced eap identity-request-timeout 30
En relación con el consejo anterior, la protección de tramas de administración (MFP) también puede utilizarse para autenticar todo el tráfico de administración de 802.11 detectado entre puntos de acceso cercanos en la infraestructura inalámbrica. Tenga en cuenta que algunas tarjetas inalámbricas de terceros comunes presentan problemas en la implementación de su controlador y no manejan de forma correcta los elementos de información adicional que MFP agrega. Asegúrese de que utiliza las últimas versiones de los controladores antes de probar y utilizar MFP.
NTP es muy importante por varias razones. Es obligatorio utilizar la sincronización NTP en controladores si utiliza alguna de las siguientes funciones: ubicación, SNMPv3, autenticación de puntos de acceso o MFP.
Así se puede configurar:
config advanced eap identity-request-timeout 30
Para verificar, busque entradas como ésta en su registro de trampas:
config advanced eap identity-request-timeout 30
Si utiliza EAP protegido y el protocolo de autenticación por desafío mutuo de Microsoft versión 2 (PEAP-MSCHAPv2) con Microsoft XP SP2 y Configuración inalámbrica rápida de Microsoft (WZC), debe aplicar la revisión de Micrososft KB885453 . Así podrá prevenir muchos problemas de autenticación relacionados con la reanudación rápida de PEAP.
Si, por razones de seguridad, los clientes inalámbricos se encuentran separados en varias subredes, cada una con políticas de seguridad diferentes, es recomendable utilizar una o dos WLAN (por ejemplo, cada una con una política de cifrado de la capa 2 diferente), junto con la función AAA-Override (Anulación AAA). Dicha función permite asignar configuraciones a cada usuario. Por ejemplo, mover al usuario a cualquier interfaz dinámica específica de una VLAN independiente o aplicar una lista de control de acceso a cada usuario.
A pesar de que los controladores y los puntos de acceso no admiten WLAN con SSID mediante acceso protegido WiFi (WPA) y WPA2 simultáneamente, es muy común que algunos controladores de clientes inalámbricos no sean capaces de administrar
configuraciones complejas de SSID. En general, es recomendable mantener políticas de seguridad sencillas para SSID, por ejemplo, mediante WLAN/SSID con WPA y el protocolo de integridad de clave temporal (TKIP), junto con una independiente con WPA2 y la norma de cifrado avanzado (AES).
Administración general
Las siguientes son las mejores prácticas de administración general:
Antes de llevar a cabo cualquier tipo de actualización, es recomendable realizar una copia de seguridad binaria de la configuración. Los WLC admiten la conversión de información relativa a configuraciones anteriores en nuevas versiones, pero no existe compatibilidad con el
proceso contrario. Esto se aplica a versiones principales y secundarias diferentes.
El uso de una configuración nueva en una versión anterior puede hacer que algunos de los parámetros se pierdan (listas de acceso, interfaces, etc.) o puede producirse un
funcionamiento incorrecto de algunas funciones. Si necesita retornar a una versión anterior del controlador, es recomendable que una vez realizada dicha acción, elimine la
configuración, vuelva a configurar las direcciones de la interfaz de administración y cargue el archivo de copia de seguridad binaria de TFTP.
