WLC Slides

Introducci
on a una red Wireless de Campus

Protocolo LWAPP/CAPWAP
Configuraci
on
Conclusiones y Consideraciones
Referencias
Red Wireless Universitaria

Andres Barbieri, Matas Robles, Leandro Bilbao
CeSPI - UNLP
Marzo de 2010
Introducci
Configuraci
on
Referencias
Introducci
on
Objetivos Caractersticas
Soluci
on
Introduccion, Problematica
Las redes Wireless hoy est
an muy difundidas y forman parte
de la infraestructura de red de casi cualquier organizacion.
Cada vez hay mas casos en los cuales se tienen redes wireless
de gran tama
no para brindar el servicio.
Las soluciones de APs (Access Points) autonomos
diseminados por el
area no escala bien, se suma la naturaleza
dinamica de las redes wireless.
La integracion con el resto de la red principal no debera ser
un problema.
Problemas habituales:
Resolucion de problemas, localizaci
on y control de los APs.
Actualizacion, Configuracion de los APs.
Expansi
on de la red.
Control de Acceso a la red (AAA).
Introducci
Configuraci
on
Referencias
Introducci
on
Soluci
on
Objetivo: Red Wireless Universitaria

Desplegar una red wireless con administracion centralizada
para cubrir las dependencias de la Universidad Nacional de La
Plata (UNLP).
17 Facultades mas otras dependencias distribuidas en la
ciudad.
Dotar de acceso wireless a todas las personas que trabajan,
estudian o desempe
nan alguna actividad en el ambito de la
Universidad.
El acceso debe ser homogeneo sin importar en la dependencia
de la Universidad en la que se encuentren.
La mayora de las dependencias se encuentran conectadas de
forma alambrica (cableadas por FO). Permite Implementar
esquema centralizado.
Introducci
Configuraci
on
Referencias
Introducci
on
Soluci
on
Mapa de la Red
Introducci
Configuraci
on
Referencias
Introducci
on
Soluci
on
Caractersticas Necesarias
Proveer diferentes WLAN (redes wireless virtuales) con
diferentes objetivos (targets) sobre los mismos APs.
Concentrar la administracion/configuraci
on de toda la red en
uno o mas dispositivos y que el servicio sea consistente.
Debe ser transparente para los clientes.
Debe proveer seguridad.
Ofrecer un esquema de autenticaci
on y autorizacion
centralizado.
Proveer portales Captivos/Cautivos para brindar acceso.
Brindar QoS al tr
afico wireless.
Poder tener interoperabilidad.
Introducci
Configuraci
on
Referencias
Introducci
on
Soluci
on
Algunas Soluciones en el Mercado

Varios fabricantes han desarrollado nuevas arquitecturas y
soluciones.
Las arquitecturas que se imponen son las que tienen un
controlador centralizado, con diferentes grados de distribuci
on
de la capa MAC:
Local MAC: los AP son mas autonomos en el Data Plane.
Split MAC: tareas sobre el controlador. Centralizada.
Cisco provee WLC (Wireless LAN Controllers) y LAPs

(Lightweight APs).
3Com provee WSM (Wireless Switch Manager) y MAP
(Managed APs).
Lucent-Alcatel con Wireless LAN Family.
Mikrotik integracion con Radius Manager y virtual APs.
Introducci
Configuraci
on
Referencias
Introducci
on
Soluci
on
Solucion Seleccionada
Se selecciono: Cisco WLC.
Buen soporte, mucha documentaci
on, soluci
on difundida.
Desarrolladores del protocolo CAPWAP que tiene como
objetivo interoperabilidad.
Una de las de mas costosas.
Soporte de IPv6 o al menos IPv6 pass-through.
Soluci
on centralizada, con posibilidad de delegar mas tareas a
los AP.
Hbrido de red cableada para distribuci
on/transporte y red
wireless para acceso.
Introducci
Configuraci
on
Referencias
Comunicaci
on entre AC y AP
Fases del Protocolo y T
unel
Tr
afico sobre el T
unel
Comunicacion entre Controladora y APs
Protocolo que define la comunicacion entre AC (Access

Controller) y APs.
Primeras implementaciones (Hasta sw versi
on 5.2): protocolo
propietario LightWeight Access Point Protocol (LWAPP).
Luego protocolo estandarizado en el la IETF: Control and
Provisioning of Wireless Access Points protocol (CAPWAP):
[RFC-4564], [RFC-5415], [RFC-5416].
Permite inter-operar con AP de otros fabricantes.
A
un muy nuevo, no mucha compatibilidad.
Introducci
Configuraci
on
Referencias
Comunicaci
on entre AC y AP
unel
Tr
afico sobre el T
unel
Componentes de LWAPP/CAPWAP
WTP (Wireless Termination Points): APs (Access Point)

administrados por controladoras centrales.
Nombrados tambien como LAP (Lightweight AP).
AC (Access Controller): nombrados como WLC o WSM. Entidad
de la red que provee acceso a los AP a la
infraestructura de la red en el plano de control y en
el plano de datos.
STA Clientes/Estaciones: usuarios de la infraestructura wireless.
Introducci
Configuraci
on
Referencias
Comunicaci
on entre AC y AP
unel
Tr
afico sobre el T
unel
CAPWAP Define como los WTPs (LAPs) se comunican con el
AC (WLC).
Montado sobre UDP:
CAPWAP: 5246 y 5247 (control y datos).
LWAPP: 12222 y 12223 (datos y control).
Tipos de Mensajes:
Data Plane: Protocolo de Datos.
Control Plane: Protocolo de Control.
Protocolo de control cifrado: AES-CCM. Los mensajes de

discovery no.
Protocolo de Datos de LWAPP no cifrado, si para CAPWAP.
Introducci
Configuraci
on
Referencias
Comunicaci
on entre AC y AP
unel
Tr
afico sobre el T
unel
Protocolo LWAPP/CAPWAP (Contd)
Se crea un t
unel UDP, aunque podra trabajar en L2
(directamente sobre capa de enlace).
Debido a que los PDUs pueden exceder el MTU, el protocolo
debe manejar la fragmentaci
on.
Introducci
Configuraci
on
Referencias
Comunicaci
on entre AC y AP
unel
Tr
afico sobre el T
unel
Fases LWAPP/CAPWAP
Encendido del WTP (LAP).
Descubrimiento y uni
on al AC (WLC) por parte del WTP.
Establecimiento del t
unel. Se establece un canal seguro.
Acuerdo en el OS (firmware del WTP), posible

upgrade/downgrade.
Configuracion del WTP por parte del AC.
El WTP puede comenzar a dar servicio de datos.
Mensajes de control, keep-alive y estadsticas se intercambian

con el AC.
Introducci
Configuraci
on
Referencias
Comunicaci
on entre AC y AP
unel
Tr
afico sobre el T
unel
Fases LWAPP/CAPWAP (Contd)
Introducci
Configuraci
on
Referencias
Comunicaci
on entre AC y AP
unel
Tr
afico sobre el T
unel
Modos de Tunel LWAPP/CAPWAP
LWAPP Layer 2 Transport Mode (NO recomendado):

Crea el tunel sin utilizar protocolo de L3.
Encapsula datos de LWAPP en tramas Ethernet con Ethertype
0x88BB. En documentacion se ha encontrado el valor
0xBBBB.
LWAPP Layer 3 Transport Mode y CAPWAP:

Crea el tunel utilizando UDP (0x11).
Encapsula datos de CAPWAP/LWAPP en datagramas UDP,
permite rutearse.
Introducci
Configuraci
on
Referencias
Comunicaci
on entre AC y AP
unel
Tr
afico sobre el T
unel
LWAPP L3TM: Proceso de Discovery

1
2
3
4
5
Implementacion de Cisco de CAPWAP.

El WTP intenta obtener una configuraci
on va DHCP (Podra
tener IP estatica).
El DHCP podra entregar la IP del AC, opci
on 0x43.
WTP Broadcast LWAPP Discovery Request (L3).
Los ACs que esten en la red responden Unicast LWAPP
Discovery Reply. Le responde con la IP primaria, pero le da la
IP de management para que se conecte.
El WTP puede intentar resolver va DNS (Unicast/Bcast) el
nombre CISCO-LWAPP-CONTROLLER.localdomain o
CISCO-CAPWAP-CONTROLLER, dependiendo de la
version y/o implementaci
on.
Si no reciben LWAPP Discovery Reply, reset y vuelven a
arrancar.
Introducci
Configuraci
on
Referencias
Comunicaci
on entre AC y AP
unel
Tr
afico sobre el T
unel
LWAPP L3TM: Proceso de Join
El WTP selecciona un AC al cual unirse y enva Unicast

LWAPP Join Request.
Si tiene configurado en NVRAM orden de controladores,

intenta unirse en ese orden.
Si no tiene o falla busca en los Reply quien es MASTER

CONTROLLER.
Una vez que seleccion

o uno enva Unicast LWAPP Join
Request con su certificado.
El AC acepta con LWAPP Join Reply.
Introducci
Configuraci
on
Referencias
Comunicaci
on entre AC y AP
unel
Tr
afico sobre el T
unel
Fases LWAPP/CAPWAP y Capturas
Introducci
Configuraci
on
Referencias
Comunicaci
on entre AC y AP
unel
Tr
afico sobre el T
unel
Fases LWAPP/CAPWAP y Capturas
Introducci
Configuraci
on
Referencias
Comunicaci
on entre AC y AP
unel
Tr
afico sobre el T
unel
Camino que realiza el trafico

El WTP recibe la trama 802.11 desde el cliente.
El WTP encapsula la trama 802.11 en el mensaje UDP (t
unel
LWAPP, CAPWAP).
El AC recibe el mensaje mediante el t
unel, lo desencapsula,
analiza, valida y switchea:
El switching se realiza a traves de la direcci
on MAC destino de
la trama 802.11.
Si el mensaje era para un cliente de la misma WLAN en el
mismo WTP, se re-encapsula y regresa.
Si el mensaje era para un cliente de la misma WLAN en otro
WTP, lo enva al otro WTP switchendolo y encapsulandolo en
otro tunel.
Introducci
Configuraci
on
Referencias
Comunicaci
on entre AC y AP
unel
Tr
afico sobre el T
unel
Camino que realiza el trafico (Contd)
El AC recibe el mensaje mediante el t

unel, lo desencapsula,
analiza, valida y switchea:
Si el mensaje es para una red externa o para otra WLAN, en
este caso la MAC destino es la del router en la VLAN local,
primero se desencapsul
o del t
unel y luego se saco el
encabezado 802.11, por
ultimo se enva por una VLAN
particular al router encargado del ruteo encapsulandolo en la
trama Ethernet. El router lo recibe y lo procesa como un
mensaje tradicional.
Introducci
Configuraci
on
Referencias
Comunicaci
on entre AC y AP
unel
Tr
afico sobre el T
unel
Camino que realiza el trafico (Contd)
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
Configuracion del AC (WLC)

Interfaces:
Management: es la interfaz para configuraci
on in-band. L2
comunicacion entre WTP y AC.
AP Management: puede tener varias. Interfaces para
comunicarse con los APs en L3. Terminacion de
LWAPP t
unel.
Virtual Interface: es la utilizada para DHCP relay y como
front-end del portal captivo/cautivo y para la
movilidad. Esta debe ser la misma para todos
los AC.
Interfaces Dinamicas: asocia VLANs y WLANs.
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
Configuracion del AC (WLC) (Contd)

Interfaces:
Management: es la interfaz para configuraci
on in-band. L2
comunicacion entre WTPs y AC.
AP Management: puede tener varias. Interfaces para
comunicarse con los APs en L3. Terminacion de
LWAPP t
unel.
Virtual Interface: es la utilizada para DHCP Relay y como
front-end del portal captivo/cautivo. NO
debera ser una dir. IP enrutable. Cisco sugiere:
1.1.1.1. Antiguamente Bogon network. Hoy ya
no, se debera cambiar.
inetnum: 1.0.0.0 - 1.0.0.255 netname: Debogon-prefix
descr: APNIC Debogon Project
Interfaces Dinamicas: asocia VLANs y WLANs.
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
Esquema Implementado
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
Configuracion de Interfaces AC (WLC)
(Cisco Controller) >show run-config commands

...
interface create 511-alumnos 511
interface create 512-docentes 512
interface create 513-nodocentes 513
interface create 514-autoridades 514
interface create 515-invitados 515
interface
interface
interface
interface
interface
address
address
address
address
address
dynamic-interface
dynamic-interface
dynamic-interface
dynamic-interface
dynamic-interface
511-alumnos 192.168.11.254 255.255.255.0

512-docentes 192.168.12.254 255.255.255.0
513-nodocentes 192.168.13.254 255.255.255.0
514-autoridades 192.168.14.254 255.255.255.0
515-invitados 192.168.15.254 255.255.255.0
interface address ap-manager 192.168.1.253 255.255.255.0 192.168.1.254

interface address management 192.168.1.254 255.255.255.0 192.168.1.1
interface address virtual 1.1.1.1
...
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
Configuracion de Interfaces del AC (WLC) (Contd)

(Cisco Controller) >show interface summary
Interface Name Port Vlan Id IP Address
Type
ApMgr
----------------------------------------------------------511-alumnos
2
511
192.168.11.254 Dynamic No
512-docentes
2
512
192.168.12.254 Dynamic No
513-nodocentes 2
513
192.168.13.254 Dynamic No
514-autoridades 2
514
192.168.14.254 Dynamic No
515-invitados
2
515
192.168.15.254 Dynamic No
ap-manager
2
untagged 192.168.1.253
Static Yes
management
2
untagged 192.168.1.254
Static No
virtual
N/A N/A
1.1.1.1
Static No
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
Configuracion de VLANs y Puertos del AC (WLC)

...
interface vlan 511-alumnos 511
interface vlan 512-docentes 512
interface vlan 513-nodocentes 513
interface vlan 514-autoridades 514
interface vlan 515-invitados 515
interface
interface
interface
interface
interface
interface
interface
...
port
port
port
port
port
port
port
511-alumnos 2
512-docentes 2
513-nodocentes 2
514-autoridades 2
515-invitados 2
ap-manager 2
management 2
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
Configuracion de WLANs en AC (WLC)

(Cisco Controller)
...
wlan create 1 VLAN
wlan create 2 VLAN
wlan create 3 VLAN
wlan create 4 VLAN
wlan create 5 VLAN
wlan
wlan
wlan
wlan
wlan
...
interface
interface
interface
interface
interface
1
2
3
4
5
>show run-config commands

Alumnos 511-alumnos
Docentes 512-docentes
No Docentes 513-nodocentes
Autoridades 514-autoridades
Invitados 515-invitados
511-alumnos
512-docentes
513-nodocentes
514-autoridades
515-invitados
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
WLANs
Cisco Controller) >show wlan summary

Number of WLANs.................................. 5
WLANID WLAN Profile Name / SSID
Status Interface Name
-----------------------------------------------------------1 VLAN Alumnos/511-alumnos
Enabled 511-alumnos
2 VLAN Docentes/512-docentes
Enabled 512-docentes
3 VLAN No Docentes/513-nodocentes Enabled 513-nodocentes
4 VLAN Autoridades/514-autoridades Enabled 514-autoridades
5 VLAN Invitados/515-invitados
Enabled 515-invitados
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
WLANs (Contd)
(Cisco Controller) >show wlan 1

WLAN Identifier..................................
Profile Name.....................................
Network Name (SSID)..............................
Status...........................................
MAC Filtering....................................
Broadcast SSID...................................
AAA Policy Override..............................
Network Admission Control ...
1
VLAN Alumnos
511-alumnos
Enabled
Disabled
Enabled
Disabled
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
QoS en WLAN

! ### Per User BW Control
...
qos description bronze VLAN-511-Alumnos
qos average-data-rate bronze 10 ! ### TCP
qos burst-data-rate bronze 15 ! ### UDP
qos protocol-type bronze dot1p
...
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
Configuracion de DHCP Relay en AC (WLC)

...
interface dhcp dynamic-interface 511-alumnos
primary 192.168.1.1
interface dhcp dynamic-interface 512-docentes
primary 192.168.1.1
interface dhcp dynamic-interface 513-nodocentes
primary 192.168.1.1
...
interface dhcp ap-manager primary 192.168.1.1
interface dhcp management primary 192.168.1.254
...
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
Configuracion de Autenticacion en AC (WLC)

...
ldap add 1 192.10.41.48 38911 ou=511-alumnos,...
ldap add 2 192.10.41.48 38912 ou=512-docentes.
ldap add 3 192.10.41.48 38913 ou=513-nodocent.
ldap add 4 192.10.41.48 38914 ou=514-autorida.
ldap add 5 192.10.41.48 38915 ou=515-invitado.
ldap retransmit-timeout 3 5
ldap retransmit-timeout 4 5
wlan ldap add 1 1
wlan ldap add 2 1
...
wlan ldap add 5 1
...
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
Configuracion de Autenticacion en AC (WLC)

...
wlan security web-auth enable 1
...
wlan security web-auth server-precedence 1 ldap
...
...
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
APs Asociados al AC (WLC)

(Cisco Controller) >show ap summary
Number of APs.................................... 4
Global AP User Name......................... Not Configured
Global AP Dot1x User Name................... Not Configured
AP Name
Slots AP Model
Ethernet MAC
---------------------------------------------------------APOD4-0026.0b4d.ce1a 2 AIR-LAP1242G-A-K9 00:26:0b:4d:ce:1a
APOD2-0026.0b4d.cdfc 2 AIR-LAP1242G-A-K9 00:26:0b:4d:cd:fc
APOD3-0026.0b4d.ce0c 2 AIR-LAP1242G-A-K9 00:26:0b:4d:ce:0c
APOD1-0026.0b4d.ce0e 2 AIR-LAP1242G-A-K9 00:26:0b:4d:ce:0e
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
AP Asociados al AC (WLC) (Contd)
Cisco Controller) >show ap summary

Location
Port
---------------- ---Subsuelo Odontol 2
Pasillo Calle 50 2
Pasillo Calle 1
2
Edificio Nuevo d 2
Country
------AR
AR
AR
AR
Priority
--------1
1
1
1
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
Clientes Wireless
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
Configuracion Router (DHCP Server)

UNLP-WLCRouter#show running-config
...
ip dhcp excluded-address 192.168.11.1 192.168.11.9
...
ip dhcp excluded-address 192.168.11.100 192.168.11.254
...
ip dhcp pool POOL-DHCP-VLAN511
network 192.168.11.0 255.255.255.0
dns-server 163.10.0.65 163.10.0.67
default-router 192.168.11.1
!
ip dhcp pool POOL-DHCP-VLAN512
...
ip dhcp pool POOL-DHCP-APS
origin file flash:/DHCP-APS-static.txt
...
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
Configuracion Router (DHCP Server) (Contd)
UNLP-WLCRouter#more flash:DHCP-APS-static.txt
*time* Mar 12 2010 01:52 PM
*version* 2
!IP address
Type
! Odonto 1,2,3,4
192.168.1.11 /24
id
192.168.1.12 /24
id
...
Hardware address
Lease expiration
0100.260b.4dce.0e Infinite
0100.260b.4dcd.fc Infinite
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
Configuracion Router (Firewall, QoS)

...
ip inspect name IN-FWALL-VLAN511 icmp
ip inspect name IN-FWALL-VLAN511 tcp
ip inspect name IN-FWALL-VLAN511 udp timeout 300
ip inspect name IN-FWALL-VLAN512 ...
class-map match-any CLASS-VLAN-511-WLAN-ALUMNOS
match input-interface Vlan511
...
policy-map POL-WIRELESS-OUTPUT
class CLASS-VLAN-511-WLAN-ALUMNOS
bandwidth 3000
police 4000000
class CLASS-VLAN-512-WLAN-AUTORIDADES
...
class CLASS-VLAN-513-WLAN-DOCENTES
Andres
... Barbieri, Matas Robles, Leandro Bilbao
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
Configuracion Router (NAT)

ip nat inside source list ACL-NAT interface
FastEthernet0/1 overload
!
ip access-list standard ACL-NAT
...
permit 192.168.1.254
permit 192.168.11.0 0.0.0.255
permit 192.168.12.0 0.0.0.255
permit 192.168.13.0 0.0.0.255
permit 192.168.14.0 0.0.0.255
permit 192.168.15.0 0.0.0.255
!
...
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
Configuracion Router (Interfaces)

...
interface FastEthernet0/1
description #### Upstream WAN - CoreL3cisco.G0/31 ####
ip address #### PUBLIC-IP/MASK ####
ip nat outside
service-policy output POL-WIRELESS-OUTPUT
!
interface FastEthernet0/1/2
description #### WLC-1 F0/2 ####
switchport trunk native vlan 510
switchport trunk allowed vlan 1,510-515,1002-1005
switchport mode trunk
...
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
Configuracion Router (Interfaces) (Contd)
!
interface FastEthernet0/1/3
description #### Downstream-APs - CoreL3.G0/32 ####
switchport trunk allowed vlan 1,510,1002-1005
switchport mode trunk
!
...
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
Configuracion Router (VLANs)

...
interface Vlan510
description #### VLAN WLC Management ####
ip address 192.168.1.1 255.255.255.0
ip nat inside
!
interface Vlan511
description #### WLAN 511-Alumnos ####
ip address 192.168.11.1 255.255.255.0
ip access-group ACL-FIREWALL-VLAN511-IN in
ip access-group ACL-FIREWALL-VLAN511-OUT out
ip nat inside
ip inspect IN-FWALL-VLAN511 in
service-policy output POL-WLAN-511
!
Andres Barbieri,
Matas Robles, Leandro Bilbao
interface
Vlan512
Introducci
Configuraci
on
Referencias
Implementaci
on
Configuraci
on del AC (WLC)
Configuraci
on Router
Configuraci
on Switch(es)
Configuracion de Switch
UNLP-Odontologia#show running-config
...
interface ethernet 1/g22
description #####_WLESS_UNLP_AP-1_#####
sflow 1 polling 5
switchport access vlan 510
!
interface ethernet 1/g24
description ####_Port_de_Trunk_UpStream_####
sflow 1 polling 5
switchport mode general
switchport general allowed vlan add 456,500,510,656 tagged
...
interface vlan 510
name "VLAN-WIRELESS"
...
Introducci
Configuraci
on
Referencias
Facil de Implementar.
Soluci
on de mayor costo.
Ubicacion de la controladora.
Alimentacion electrica de los AP.
Servidor de autenticaci
on y autorizacion.
Necesidad de Servicio de Directorio para las informacion de
los usuarios.
Introducci
Configuraci
on
Referencias
Propuesta
Discutir la implementaci
on de una red Wireless
inter-universitaria.
Ejemplo: EDUROAM.
Red wireless con inicio en Europa, expandida a otros lugares
del mundo, permite a los usuarios (investigadores, profesores,
estudiantes, personal) de las instituciones participantes
(Universidades y centros de investigaci
on) tener acceso a
Internet desde cualquier instituci
on con EDUROAM
habilitado.
Introducci
Configuraci
on
Referencias
Propuesta (Contd)
El principio de EDUROAM se basa en el hecho de que la

autenticaci
on del usuario es realizada por la instituci
on de
origen del usuario, mientras que la decisi
on de autorizacion
que permite el acceso a los recursos es realizada por la red
visitada.
Utilizacion de CAs para certificados.
Existe el proyecto EDUROAM-LA.
Servidor de autenticaci
on y autorizacion.
Introducci
Configuraci
on
Referencias
Requerimientos para Implementar Propuesta
Conceptos basicos de administracion de redes wireless (Si la

red es extensa ver la posibilidad de implementar de forma
centralizada).
Capacidades administrativas de protocolos de autenticaci
on
RADIUS, LDAP u otros.
Conocimientos de Firewall, ACL, etc.
Conformar la infraestructura wireless.
Servicio de Directorio/Autenticaci
on distribuido.
Introducci
Configuraci
on
Referencias
Referencias
RFC-4564: http://www.ietf.org/rfc/rfc4564.txt.
Objectives for Control and Provisioning of Wireless Access Points (CAPWAP). S. Govindan, H. Cheng, ZH.
Yao, WH. Zhou, L. Yang. 2006.
Control And Provisioning of Wireless Access Points (CAPWAP) Protocol Specification. P. Calhoun, M.
Montemurro, D. Stanley. 2009.
Control and Provisioning of Wireless Access Points (CAPWAP) Protocol Binding for IEEE 802.11. P.
Calhoun, M. Montemurro, D. Stanley. 2009.
Cisco 440X Series Wireless LAN Controllers Deployment Guide.
Cisco LWAPP Traffic Study.
Eduroam (education roaming). www.eduroam.org.

WLC Slides

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

WLC Slides

Încărcat de

Drepturi de autor:

Formate disponibile

Introducci

on a una red Wireless de Campus

Red Wireless Universitaria

Andres Barbieri, Matas Robles, Leandro Bilbao

Red Wireless Universitaria

Red Wireless Universitaria

Objetivo: Red Wireless Universitaria

Red Wireless Universitaria

Andres Barbieri, Matas Robles, Leandro Bilbao

Red Wireless Universitaria

Red Wireless Universitaria

Algunas Soluciones en el Mercado

Cisco provee WLC (Wireless LAN Controllers) y LAPs

Red Wireless Universitaria

Andres Barbieri, Matas Robles, Leandro Bilbao

Red Wireless Universitaria

Comunicacion entre Controladora y APs

Protocolo que define la comunicacion entre AC (Access

Andres Barbieri, Matas Robles, Leandro Bilbao

Red Wireless Universitaria

WTP (Wireless Termination Points): APs (Access Point)

Andres Barbieri, Matas Robles, Leandro Bilbao

Red Wireless Universitaria

Protocolo de control cifrado: AES-CCM. Los mensajes de

Andres Barbieri, Matas Robles, Leandro Bilbao

Red Wireless Universitaria

Protocolo LWAPP/CAPWAP (Contd)

Red Wireless Universitaria

Encendido del WTP (LAP).

Acuerdo en el OS (firmware del WTP), posible

Configuracion del WTP por parte del AC.

El WTP puede comenzar a dar servicio de datos.

Mensajes de control, keep-alive y estadsticas se intercambian

Andres Barbieri, Matas Robles, Leandro Bilbao

Red Wireless Universitaria

Fases LWAPP/CAPWAP (Contd)

Andres Barbieri, Matas Robles, Leandro Bilbao

Red Wireless Universitaria

Modos de Tunel LWAPP/CAPWAP

LWAPP Layer 2 Transport Mode (NO recomendado):

LWAPP Layer 3 Transport Mode y CAPWAP:

Andres Barbieri, Matas Robles, Leandro Bilbao

Red Wireless Universitaria

LWAPP L3TM: Proceso de Discovery

Implementacion de Cisco de CAPWAP.

Red Wireless Universitaria

LWAPP L3TM: Proceso de Join

El WTP selecciona un AC al cual unirse y enva Unicast

Si tiene configurado en NVRAM orden de controladores,

Si no tiene o falla busca en los Reply quien es MASTER

Una vez que seleccion

El AC acepta con LWAPP Join Reply.

Andres Barbieri, Matas Robles, Leandro Bilbao

Red Wireless Universitaria

Fases LWAPP/CAPWAP y Capturas

Andres Barbieri, Matas Robles, Leandro Bilbao

Red Wireless Universitaria

Fases LWAPP/CAPWAP y Capturas

Andres Barbieri, Matas Robles, Leandro Bilbao

Red Wireless Universitaria

Camino que realiza el trafico

Andres Barbieri, Matas Robles, Leandro Bilbao

Red Wireless Universitaria