Configurar WLAN WPA2 Enterprise en WLC
Resumen
Aprenderás a configurar una WLAN WPA2 Enterprise en WLC. ¡¡Empieza a aprender CCNA 200-301 gratis ahora mismo!!
¡Bienvenido!: Este tema forma parte del Módulo 13 del curso de Cisco CCNA 2, para un mejor seguimiento del curso puede ir a la sección CCNA 2 para guiarte del índice.
1. Vídeo – Definir un servidor RADIUS y SNMP en el WLC
El tema anterior trataba acerca de configurar una WLAN en el WLC. Ahora aprenderá a configurar una red WLAN WPA2 Enterprise.
Haz clic en reproducir en la figura para ver una demostración de cómo configurar servicios de SNMP y RADIUS en el WLC.
2. SNMP y RADIUS
En la figura, PC-A esta ejecutando software de servidor de Simple Network Management Protocol (SNMP) y Remote Authentication Dial-In User Service (RADIUS). SNMP se utiliza para monitorear la red El administrador de la red desea que el WLC reenvíe mensajes de registro de SNMP, llamados traps, al servidor SNMP.
Además, para la autenticación con el WLAN, el administrador de la red desea usar el servidor RADIUS para los servicios de autenticación, autorización y registro (AAA). En vez de ingresar una llave pre-compartida para autenticarse, como se hace con WPA2-PSK, los usuarios ingresan sus propio usuario y contraseña. Los credenciales serán verificados en el servidor RADIUS. De esta manera, el acceso de cada usuario puede ser rastreado y auditado de manera individual, de ser necesario las cuentas de usuario pueden ser agregadas o modificadas desde una locación central. El servidor RADIUS es requerido cuando las redes WLAN están usando autenticación WPA2 Enterprise.
Nota: La configuración del servidor SNMP y del servidor RADIUS esta fuera del alcance de este modulo.
Topología
SNMP y RADIUS
La figura muestra una topología de red. PC-A es un servidor RADIUS/SNMP conectado a R1 en la interfaz F0/0 de R1. PC-B está conectado a S1 en el puerto F0/6 de S1. R1 y S1 están conectados entre sí en la interfaz F0/1 de R1 y en la interfaz F0/5 de S1. S1 está conectado a un WLC en su puerto F0/18. En el puerto F0/1 de S1 está conectado a un punto de acceso, AP1. Un portátil está conectado inalámbricamente a AP1.
3. Configurar Información del Servidor SNMP
Haz clic en la pestaña MANAGEMENT para accesar una variedad de funciones de administración. SNMP esta listado en la parte superior del menú de la izquierda. Haz clic en SNMP para expandir los sub-menús, y luego haz clic en Trap Receivers. Haz clic en New… para configurar un nuevo SNMP trap receiver, como se muestra en la figura.
Información del Servidor SNMP
Agrega el nombre del SNMP Community y la dirección IP (IPv4 o IPv6) del servidor SNMP. Haz clic en Apply. Ahora el WLC enviará los mensajes de registro de SNMP al servidor SNMP.
Configurar Servidor SNMP
Configurar los servidores RADIUS
4. Configurar Información del Servidor RADIUS
En nuestra configuración de ejemplo, el administrador de la red desea configurar una WLAN usando WPA2 Enterprise, en vez de WPA2 Personal o WPA2 PSK. La autenticación será manejada por el servidor RADIUS que se esta ejecutando en PC-A.
Para configurar el WLC con la información del servidor RADIUS, haz clic en la pestaña SECURITY > RADIUS > Authentication. No existen servidores RADIUS configurados Haz clic en New… para agregar la PC-A como el servidor RADIUS.
Información del Servidor RADIUS
Introduce la dirección IPv4 del PC-A y el secreto compartido. Esta es la contraseña usada entre el WLC y el servidor RADIUS. No es para los usuarios. Haz clic en Apply, como se muestra en la figura.
WLC y servidor RADIUS.
Después de hacer clic en Apply, la lista de RADIUS Authentication Servers configurados se refresca con el nuevos servidor listado, como se muestra en la figura.
Configurar Servidor RADIUS
5. Vídeo – Configurar una VLAN para una nueva WLAN
Haz clic en reproducir en la figura para ver una demostración de cómo configurar una VLAN en el WLC.
6. Topología con Dirección VLAN 5
Cada WLAN configurada en el WLC necesita su propia interfaz virtual. El WLC tiene cinco puertos físicos para el tráfico de datos. Cada puerto físico puede ser configurado para soportar múltiples WLANs, cada una en su propia interfaz virtual. Los puertos físicos se pueden enlazar entre ellos para crear enlaces con mayor capacidad de ancho de banda
El administrador de la red ha decidido que la nueva WLAN use la interfaz VLAN 5 y la red 192.168.5.0/24. R1 ya tiene un sub-interfaz configurada y activa para VLAN 5, tal como se muestra en la topología y en la salida del comando show ip interface brief.
Topología Dirección VLAN 5
Topología
R1# show ip interface brief Interface IP-Address OK? Method Status Protocol FastEthernet0/0 172.16.1.1 YES manual up up FastEthernet0/1 unassigned YES unset up up FastEthernet0/1.1 192.168.200.1 YES manual up up FastEthernet0/1.5 192.168.5.254 YES manual up up (output omitted) R1#
7. Configurar una Nueva Interfaz
La configuración WLAN en el WLC incluye los siguientes pasos:
- Crear una nueva interfaz
- Configurar el nombre y el ID de la VLAN
- Configurar la dirección del puerto y la interfaz
- Configurar la dirección del servidor DHCP
- Aplicar y Confirmar
- Verificar interfaces
Haz clic en cada paso a continuación para obtener más información y una GUI de ejemplo.
1. Crear una nueva interfaz
Para agregar una nueva interfaz, haz clic en CONTROLLER > Interfaces > New..., como se muestra en la figura.
Crear nueva interfaz
2. Configurar el nombre y el ID de la VLAN
En la figura se muestra que el administrador de la red configura el nombre de la interfaz como vlan5 y el ID de la VLAN como 5. Haciendo clic en Apply se crea la nueva interfaz.
Configurar nombre y ID VLAN
3. Configurar la dirección del puerto y la interfaz
En la página Edit de la interfaz, configura el número de puerto físico. G1 en la topología es el Puerto número 1 en el WLC. Luego, configura el direccionamiento de la interfaz de la VLAN 5. En la figura, la VLAN 5 tiene asignada la dirección IPv4 192.168.5.254/24. R1 es la puerta de enlace con la dirección IPv4 192.168.5.1.
Configurar dirección del puerto y interfaz
4. Configurar la dirección del servidor DHCP
En empresas grandes, los WLCs se configuran para que reenvíen los mensajes de DHCP a un servidor dedicado. Desplázate hacia abajo en la página para configurar el servidor DHCP primario con la dirección IPv4 192.168.5.1, como se muestra en la figura. Esta es la dirección del router de puerta de enlace predeterminado. El router está configurado con un pool DHCP para la red WLAN. Conforme los dispositivos host se unen a la WLAN asociada con la interfaz VLAN 5, van recibiendo las direcciones IP de este pool.
Configurar dirección del servidor DHCP
5. Aplicar y Confirmar
Desplázate hacia arriba y haz clic en Apply, como se muestra en la figura. Haz clic en OK para el mensaje de advertencia.
Aplicar y Confirmar
6. Verificar interfaces
Haz clic en Interfaces. La nueva interfaz vlan5 ahora se muestra en la lista de interfaces con su dirección IPv4, como se muestra en la figura.
Verificar interfaces
8. Vídeo – Configurar el Alcance DHCP
Haz clic en reproducir en la figura para ver una demostración de cómo configurar servicios de DHCP.
9. Configurar el Ámbito DHCP
La configuración del ámbito/alcance de DHCP incluye los siguientes pasos:
- Configurar el ámbito DHCP
- Nombrar un ámbito DHCP
- Verificar el nuevo ámbito DHCP
- Configurar y activar un nuevo ámbito DHCP
- Verificar el nuevo ámbito DHCP
Haz clic en cada paso a continuación para obtener más información y una GUI de ejemplo.
1. Crea un nuevo ámbito DHCP.
Un alcance DHCP es muy similar a un pool de DHCP en un router. Puede incluir una variedad de información como grupos de direcciones para asignar a los clientes de DHCP, información del servidor DNS, tiempos de asignación y mas. Para configurar un nuevo alcance DHCP, haz clic en Internal DHCP Server > DHCP Scope > New..., como se muestra en la figura.
Crear nuevo ámbito DHCP
2. Nombrar un alcance DHCP.
En la siguiente pantalla, nombra el alcance/ámbito. EL alcance aplica para la red de administración inalámbrica, entonces el administrador de la red usará Wireless_Management para el nombre del alcance y después debes hacer clic en Apply.
Nombrar alcance DHCP
3. Verificar el nuevo alcance DHCP
Vuelve a la página DHCP Scopes y ahí verifica que el alcance está listo para ser configurado. Haz clic en el nombre del nuevo alcance para configurar el alcance de DHCP.
Verificar nuevo alcance DHCP
4. Configurar y activar un nuevo ámbito DHCP
En la pantalla Edit del ámbito Wireless_Management, configura un pool de direcciones para la red 192.168.200.0/24 que comienza en .240 y termina en .249. La dirección de red y la máscara de subred están configuradas. Se configura la dirección IPv4 del router por defecto, que es la subinterfaz para R1 en 192.168.200.1. Para este ejemplo, el resto del alcance se deja sin cambios. El administrador de la red selecciona Enabled en el menú desplegable de Status y hace clic en Apply.
Configurar y activar nuevo ámbito DHCP
5. Verificar el nuevo ámbito DHCP
El administrador de red será llevado de vuelta la página de DHCP Scopes y podrá verificar que el ámbito/alcance está listo para ser asignado a una nueva WLAN.
Verificar nuevo ámbito DHCP
10. Vídeo – Configurar una WLAN WPA2 Enterprise
Haz clic en reproducir en la figura para ver una demostración de cómo configurar una WLAN con WPA2 Enterprise en el WLC.
11. Configurar una WLAN WPA2 Enterprise
De manera predeterminada, todas las WLANs creadas recientemente en el WLC van a usar WPA2 con el Sistema Avanzado de Encripción (AES). 802.1X es el protocolo de manejo de claves predeterminado que se usa para comunicarse con el servidor RADIUS. El administrador ya había configurado la dirección IPv4 del servidor RADIUS ejecutándose en PC-A, de tal manera que la única configuración pendiente es crear una nueva WLAN para que use la interfaz vlan5.
La configuración WLAN en el WLC incluye los siguientes pasos:
- Crear una nueva WLAN
- Configurar el nombre y el SSID de la WLAN
- Habilitar la WLAN para VLAN 5
- Verificar los valores predeterminados de AES y 802.1X.
- Configurar la seguridad de WLAN para que use el servidor RADIUS
- Verificar que la nueva WLAN este disponible
Haz clic en cada paso a continuación para obtener más información y una GUI de ejemplo.
1. Crear una nueva WLAN
Haz clic en la pestaña WLANs y luego en Go para crear una nueva WLAN, como se muestra en la figura.
Crear nueva WLAN
2. Configurar el nombre y el SSID de la WLAN
Rellena el nombre del perfil y el SSID. Para ser consistente con la VLAN que fue configurada previamente, elige un ID de 5. Sin embargo, se puede utilizar cualquier valor disponible. Haz clic en Apply para crear la nueva WLAN, como se muestra en la figura.
Configurar nombre y SSID de WLAN
3. Habilitar la WLAN para VLAN 5
La WLAN se crea, pero todavía tiene que ser activada y asociada con la interfaz VLAN correcta. Cambia el estado a Enabled y elige vlan5 de la lista desplegable Interface/Interface Group(G). Haz clic en Apply y haga clic en OK para aceptar el mensaje emergente, como se muestra en la figura.
Habilitar WLAN para VLAN 5
4. Verifica los valores predeterminados de AES y 802.1X.
Haz clic en la pestaña Security para ver la configuración predeterminada de seguridad para la WLAN nueva. La WLAN usará seguridad WPA2 con encriptación AES. El tráfico de autenticación es manejado por 802.1X entre el WLC y el servidor RADIUS.
Verificar valores predeterminados de AES y 802.1X
5. Configurar el servidor RADIUS.
Ahora necesitamos seleccionar el servidor RADIUS que va a usarse para autenticar los usuarios de esta WLAN. Haz clic en la pestaña AAA Servers. En la lista desplegable seleccionar el servidor RADIUS que fue configurado previamente en el WLC. Aplica los cambios.
Configurar el servidor RADIUS.
6. Verifica que la nueva WLAN este disponible
Para verificar que la nueva WLAN esta listada y activa, haz clic en Back o en el sub-menú WLANs a la izquierda. Tanto la WLAN Wireless_LAN como la WLAN CompanyName están listadas. En la figura, nota que ambos están activos. Wireless_LAN esta usando WPA2 con autenticación PSK. CompanyName esta usando seguridad WPA2 con autenticación 802.1X.
Verificar nueva WLAN este disponible
12. Packet Tracer – Configurar WPA2 Enterprise WLAN en WLC
En esta actividad, vas a configurar una nueva WLAN en un controlador inalámbrico LAN (WLC), incluyendo la interfaz VLAN que se usaras. Deberás configurar la WLAN para que use un servidor RADIUS y WPA2-Enterprise para autenticar usuarios. Configurarás también el WLC para usar un servidor SNMP.
Glosario: Si tienes dudas con algún término especial, puedes consultar este diccionario de redes informáticas.
¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.
