Configuracin de un controlador WLAN

Topologa

Escenario En los dos laboratorios siguientes, congurarn una solucin wireless involucrando un router con un controlador WLAN integrado como mdulo del mismo, dos puntos de acceso ligeros y una red cableada. Si tiene un cliente inalmrico cerca, conctelo a la WLAN y acceda a los dispositivos desde el interior del pod para vericar la conguracin del controlador y los puntos de acceso. Nota: Se requiere que actualice la imagen del rmware del WLC a la 4.0.206.0 o superior para poder realizar esta prctica. Tarea 1: configurar la red Paso 1 Borre la configuracin de los dispositivos y pngales su nombre de host correspondiente. Paso 2 Explicacin de las VLANs:

VLAN1: es la subred de gestin para el WLC VLAN2 y VLAN3: son para los equipos en las WLANs VLAN10: subred para los hosts cableados VLAN50: subred de los LWAP VLAN100: subred para la interfaz de gestin de APs del WLC
1

Congure los switches ALS1 y ALS2 para ejecutar VTP en modo transparente y en el domino VTP CISCO. Cree las VLAN 10 y 50 en ellos. Tambin congure el enlace troncal entre ellos y entre ALS1 y el router.
ALS1(config)# vtp mode transparent Setting device to VTP TRANSPARENT mode. ALS1(config)# vtp domain CISCO Changing VTP domain name from NULL to CISCO ALS1(config)# vlan 10,50 ALS1(config-vlan)# int fastethernet0/1 ALS1(config-if)# switchport mode trunk ALS1(config-if)# int fastethernet0/11 ALS1(config-if)# switchport mode trunk ALS2(config)# vtp mode transparent Setting device to VTP TRANSPARENT mode. ALS2(config)# vtp domain CISCO Changing VTP domain name from NULL to CISCO ALS2(config)# vlan 10,50 ALS2(config-if)# int fastethernet0/11 ALS2(config-if)# switchport mode trunk

Configure las subinterfaces en el router R1 para las dos FastEthernet. Ambas deben ser configuradas como enlaces troncales 802.1q con una VLAN en cada subinterfaz. Asegrese de usar la VLAN nativa en la interfaz fsica del controlador, wlan-controller1/0, por que no ser capaz de conectar con el controlador a no ser que haya una direccin IP en la interfaz fsica. (En realidad va a funcionar tambin si usamos subinterfaces solamente y hacemos la subinterfaz nativa.) No olvide aadir el comando no shutdown en ambas interfaces fsicas.
R1(config)# int fastethernet0/0 R1(config-if)# no shutdown R1(config-if)# int fastethernet0/0.10 R1(config-subif)# encapsulation dot1q 10 R1(config-subif)# ip address 172.16.10.1 255.255.255.0 R1(config-subif)# int fastethernet0/0.50 R1(config-subif)# encapsulation dot1q 50 R1(config-subif)# ip address 172.16.50.1 255.255.255.0 R1(config-subif)# int Fa0/1 R1(config-subif)# encapsulation dot1q 1 R1(config-subif)# ip address 172.16.1.1 255.255.255.0 R1(config-subifif)# no shutdown R1(config-subif)# interface Fa0/1.2 R1(config-subif)# encapsulation dot1q 2 R1(config-subif)# ip address 172.16.2.1 255.255.255.0 R1(config-subif)# intterface Fa0/1.3 R1(config-subif)# encapsulation dot1q 3 R1(config-subif)# ip address 172.16.3.1 255.255.255.0 R1(config-subif)# interface Fa 1/0.100 R1(config-subif)# encapsulation dot1q 100 R1(config-subif)# ip address 172.16.100.1 255.255.255.0

Paso 4 DHCP ofrece direcciones IP dinmicas en una subred a los dispositivos de red o hosts mejor que asignndolas estticamente. Esto es til cuando tratamos con puntos de acceso ligeros, que usualmente no tienen ninguna configuracin inicial. El controlador al que se asocian los LWAP define la configuracin. Un punto de acceso ligero puede recibir una configuracin IP automticamente y entonces comunicarse con el controlador WLAN.
2

En este escenario, deber asignar tambin direcciones IP a los hosts que se conectan a las WLANs. Primero, configure R1 para excluir las 150 primeras direcciones de cada subred para evitar conflictos con direcciones asignadas estticamente. Para ello use el comando ip dhcp excluded-address.
R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# ip ip ip ip ip ip dhcp dhcp dhcp dhcp dhcp dhcp excluded-address excluded-address excluded-address excluded-address excluded-address excluded-address 172.16.1.1 172.16.1.150 172.16.2.1 172.16.2.150 172.16.3.1 172.16.3.150 172.16.10.1 172.16.10.150 172.16.50.1 172.16.50.150 172.16.100.1 172.16.100.150

Para anunciar las subredes cree pools dhcp para cada una con el comando ip dhcp pool. Despus de que el pool haya sido configurado para una subred determinada, el servidor DHCP de IOS procesar las peticiones en esa subred, ya que ese es su comportamiento por defecto. En el modo de configuracin del pool, emplee el comando network para indicar la subred que debe asignar. Asigne tambin la puerta de enlace mediante el comando default-router. El comando option en el modo de configuracin de DHCP permite especificar diversas opciones DHCP. La opcin 43 (una opcin especfica del proveedor) permite anunciar a los puntos de acceso ligeros las direcciones IP de la interfaz de gestin de los controladores en la red. Se emplear esta opcin en la VLAN 50 (donde estn ubicados nuestros puntos de acceso). Las direcciones IP de los controladores se pueden especificar en decimal o en hexadecimal. Cuando se hace en hexadecimal las direcciones se indican en formato TLV (tipo, longitud, valor). En este formato se concatenan, en hexadecimal, primero el tipo de valor que se va a emplear, luego se pone la longitud del valor que se va a indicar y finalmente el valor o los valores a indicar. En nuestro caso, el nmero hexadecimal que debemos poner es F104AC106464. F1 indica el tipo de valor, direcciones IP; 04 la longitud, 4 octetos; AC106464 es la direccin IP del controlador (172.16.100.100) en hexadecimal. La forma de introducir el comando es:
option 43 hex F104AC106464

[Otro ejemplo. Queremos anunciar dos controladores con direcciones IP 192.168.10.5 y 192.168.10.20. El tipo es 0xf1. La longitud es 2*4 octetos = 8 0x08. Las IP en hexadecimal son c0a80a05 (192.168.10.5) and c0a80a14 (192.168.10.20). Concatenando todos los valores no sale la cadena hexadecimal F108C0A80A05C0A80A14.] Tambin emplearemos la opcin 60 para anunciar los identificadores de los AP. Esto funciona con los puntos de acceso Aironet serie 1240. Si emplea otros AP diferentes consulte la documentacin de Cisco.
R1(config)# ip dhcp pool POOL-VLAN-1 R1(dhcp-config)# network 172.16.1.0 /24 R1(dhcp-config)# default-router 172.16.1.1 R1(dhcp-config)# ip dhcp pool POOL-VLAN-2 R1(dhcp-config)# network 172.16.2.0 /24 R1(dhcp-config)# default-router 172.16.2.1 R1(dhcp-config)# ip dhcp pool POOL-VLAN-3 R1(dhcp-config)# network 172.16.3.0 /24 R1(dhcp-config)# default-router 172.16.3.1 R1(dhcp-config)# ip dhcp pool POOL-VLAN-10 R1(dhcp-config)# network 172.16.10.0 /24
3

R1(dhcp-config)# R1(dhcp-config)# R1(dhcp-config)# R1(dhcp-config)# R1(dhcp-config)# R1(dhcp-config)# R1(dhcp-config)# R1(dhcp-config)# R1(dhcp-config)#

default-router 172.16.10.1 ip dhcp pool POOL-VLAN-50 network 172.16.50.0 /24 default-router 172.16.50.1 option 43 hex f104ac106464 option 60 ascii "Cisco AP c1240" ip dhcp pool POOL-VLAN-100 network 172.16.100.0 /24 default-router 172.16.100.1

Paso 5 En ambos switches, configure los puntos de acceso para sortear los estados de puerto de spanning tree mediante el comando spanning-tree portfast. Con este comando los puertos a los que se conectan los LWAP pasan al estado de envo directamente sin pasar por todos los estados de STP. As, los LWAP reciben su direccin IP inmediatamente sin preocuparse de la temporizacin. Configure tambin los puertos para que estn situados en la VLAN 50. El router enrutar el trfico inalmbrico tunelizado hacia la interfaz de gestin de AP de los controladores.
ALS1(config)# int fastethernet0/5 ALS1(config-if)# switchport mode access ALS1(config-if)# switchport access vlan 50 ALS1(config-if)# spanning-tree portfast ALS2(config)# int fastethernet0/5 ALS2(config-if)# switchport mode access ALS2(config-if)# switchport access vlan 50 ALS2(config-if)# spanning-tree portfast

Paso 6 Configure el host conectado al switch ALS1 en la VLAN10. Configure primero el puerto del switch asignndolo a la VLAN10 con portfast. El trfico de gestin desde el host hacia el controlador inalmbrico ser enrutado por R1 hacia la interfaz de gestin del WLC.
ALS1(config)# interface fastethernet0/6 ALS1(config-if)# switchport mode access ALS1(config-if)# switchport access vlan 10 ALS1(config-if)# spanning-tree portfast

A continuacin asigne al host la siguiente configuracin IP

Direccin IP: Mscara: Gateway:

172.16.10.50 255.255.255.0 172.16.10.1

Compruebe la conectividad con la puerta de enlace haciendo ping a la subinterfaz Fa0/0.10 de R1. El pin debera ser exitoso. Si no lo es, haga un diagnstico de errores verificando la VLAN del puerto del switch, y las direcciones IP y mscaras de subred en cada dispositivo.
C:\Documents and Settings\Administrator> ping 172.16.10.1 Pinging 172.16.10.1 with 32 bytes of data: Reply Reply Reply Reply from from from from 172.16.10.1: 172.16.10.1: 172.16.10.1: 172.16.10.1: bytes=32 bytes=32 bytes=32 bytes=32 time=1ms time<1ms time<1ms time<1ms
4

TTL=255 TTL=255 TTL=255 TTL=255

Ping statistics for 172.16.10.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 1ms, Average = 0ms

Paso 7 R1 enrutar entre todas las subredes porque est conectado a todas ellas. Esto puede verificarse viendo la tabla de rutas con el comando show ip route. En ella deberan aparecer todas las subredes.
R1#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set C C C C C C 172.16.0.0/24 is subnetted, 6 subnets 172.16.50.0 is directly connected, FastEthernet0/0.50 172.16.10.0 is directly connected, FastEthernet0/0.10 172.16.1.0 is directly connected, wlan-controller1/0 172.16.2.0 is directly connected, wlan-controller1/0.2 172.16.3.0 is directly connected, wlan-controller1/0.3 172.16.100.0 is directly connected, wlan-controller1/0.100

Tarea 2: Configuracin del controlador inalmbrico Paso 1 Ahora que est configurada la infraestructura de red subyacente se puede empezar a configurar la red inalmbrica. Borre la configuracin del controlador inalmbrico. Para ello, resetee el controlador con el comando reset system e interrumpa el arranque pulsando la tecla ESC para mostrar el men de inicio.
Booting Primary Image... Press <ESC> now for additional boot options... ***** External Console Active ***** Boot Options Please choose an option from below: 1. Run primary image (version 4.1.192.17) (active) 2. Run backup image (version 4.2.99.0) 3. Manually update images 4. Change active boot image 5. Clear Configuration Please enter your choice: 5

Introduzca la opcin 5 para borrar la configuracin y deje al WLC reiniciarse. Paso 2 Al arrancar el controlador sin configuracin se mostrar el asistente de configuracin inicial. Configure el controlador segn se indica. En primer lugar introduzca el usuario y la contrasea de administracin del WLC.
Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup
5

System Name [Cisco_49:43:c0]: Enter Administrative User Name (24 characters max): cisco Enter Administrative Password (24 characters max): <cisco>

A continuacin, introduzca la interfaz de gestin. Esta interfaz est situada en la VLAN 1, pero dado que esta es la VLAN nativa el trfico va sin etiquetar, as que ponga 0 como identificador de la VLAN.
Management Management Management Management Management Management Interface Interface Interface Interface Interface Interface IP Address: 172.16.1.100 Netmask: 255.255.255.0 Default Router: 172.16.1.1 VLAN Identifier (0 = untagged): 0 Port Num [1]: 1 DHCP Server IP Address: 172.16.1.1

Configure la interfaz de gestin de los LWAP. A travs de esta interfaz el controlador se comunica con los puntos de acceso. Est en la VLAN 100.
AP AP AP AP AP AP Manager Manager Manager Manager Manager Manager Interface Interface Interface Interface Interface Interface IP Address: 172.16.100.100 Netmask: 255.255.255.0 Default Router: 172.16.100.1 VLAN Identifier (0 = untagged): 100 Port Num [1]: 1 DHCP Server (172.16.1.1): 172.16.100.1

Configure la direccin de la puerta de enlace virtual como 1.1.1.1. Como no se usa para enrutar no va a dar problemas. Esta direccin IP suele ser una direccin ficticia, no asignada en la red, que se emplea en temas de seguridad de capa 3 y gestin de la movilidad.
Virtual Gateway IP Address: 1.1.1.1

Configure el grupo de movilidad y el nombre de la red como ccnawpod. Permita direcciones estticas. No configure el servidor Radius.
Mobility/RF Group Name: ccnppod Network Name (SSID): ccnppod Allow Static IP Addresses [YES][no]: Configure a RADIUS Server now? [YES][no]: no Warning! The default WLAN security policy requires a RADIUS server. Please see documentation for more details.

Fije el pais como Espaa. Habilite las redes 802.11b y g y deshabilite las 802.11a. Habilite tambin el Auto-RF. No configure el servidor NTP y ajuste la hora localmente.
Enter Country Code (enter 'help' for a list of countries) [US]: ES Enable 802.11b Network [YES][no]: Enable 802.11a Network [YES][no]: Enable 802.11g Network [YES][no]: Enable Auto-RF [YES][no]: Configure a NTP server now? [YES][no]: no Configure the system time now? [YES][no]: yes Enter the date in MM/DD/YY format: 02/14/07 Enter the time in HH:MM:SS format: 02:17:00 Configuration correct? If yes, system will save it and reset. [yes][NO]: yes Configuration saved! Resetting system with new configuration

Paso 3 El controlador salva la configuracin y se reinicia. Introduzca el nombre de usuario y la contrasea cuando se lo pida.
User: cisco Password: <cisco>

Cambie el prompt del controlador a WLC_1 con el comando config prompt.

(Cisco Controller) > config prompt WLC_1 (WLC_1) >

Habilite el acceso al controlador por Telnet y HTTP. HTTPS est habilitado por defecto.
(WLC_1) > config network telnet enable (WLC_1) > config network webmode enable

Salve la configuracin con el comando save config (anlogo a copy runn start en IOS).
(WLC_1) > save config Are you sure you want to save? (y/n) y Configuration Saved!

Verifique la configuracin con los comandos show interface summary, show VLAN summary y show run-config. Tarea 2: Configurar las redes inalmbricas Acceda a la interfaz web del controlador introduciendo su direccin IP de gestin (172.16.1.100) en la barra de navegacin de un navegador. Al haber habilitado el acceso HTTP no hay que preocuparse de explicitar el protocolo https. Pulse en el botn de Login e identifquese con el nombre de usuario y contrasea configurados con el asistente. Paso 1 La poltica de seguridad inalmbrica por defecto de los controladores es autenticacin por Radius. Para realizar la actividad es mejor desactivarla. Vaya a la pestaa SECURITY y ya lo ver maana. Paso 2 Cree las dos subredes inalmbricas para las VLANs 2 y 3 donde se ubicarn los clientes inalmbricos. La VLAN 2 est reservada para los empleados de la empresa y tendr el SSID STAFF. La VLAN 3 es una VLAN para invitados por lo que su SSID ser GUESTS. Para crear las redes inalmbricas primero debe crear una interfaz, despus crear la WLAN y asociarla a la interfaz correspondiente. Para crear la interfaz vaya a: CONTROLLER Interfaces New Introduzca el nombre de la interfaz y la VLAN y cree la interfaz pulsando el botn Apply.
7

El navegador ir automticamente a la configuracin de la interfaz. Introduzca la configuracin IP, incluyendo el nmero de puerto (1) al que est conectada al controlador y el identificador de la VLAN asociada. Para la VLAN de personal introduzca la siguiente configuracin: Pulse Apply cuando haya terminado. El navegador regresar a la pgina de Interfaces. Qu otras interfaces se muestran en la seccin de Interfaces?

VLAN de personal En Interfaces > New Interface name: VLAN id: En Interfaces > Edit Port number: VLAN identifier: IP Address: Netmask: Gateway: Primary DHCP Server:

VLAN de invitados En Interfaces > New Staff Interface name: 2 VLAN id: En Interfaces > Edit 1 Port number: 2 VLAN identifier: 172.16.2.2 IP Address: 1 3 172.16.3.2 255.255.255.0 172.16.3.1 172.16.3.1 Guests 3

255.255.255.0 Netmask: 172.16.2.1 Gateway: 172.16.2.1 Primary DHCP Server:

Paso 3 Cree las redes inalmbricas correspondientes y ascielas con la interfaz correspondiente. Navegue hasta WLANS, seleccione la opcin Create New y pulse el botn Go.

En la seccin WLANs > New introduzca los datos de la red indicando el tipo, un nombre de perfil el SSID y un nmero de identificacin (ID). NOTA: Este nmero es slo para identificar las WLANs en el controlador y no tiene nada que ver con la etiqueta de las VLANS. Cuntas redes inalmbricas podemos crear?

Introduzca los datos siguientes:

Tipo: Profile Name: SSID: ID:

WLAN Test STAFF 1

Pulse Apply. El navegador ir automticamente a la seccin de edicin de la WLANs recin creada (WLANs > Edit). En la pestaa General asocie la interfaz con el SSID STAFF.

A continuacin vaya a la pestaa Security y seleccione la opcin de seguridad de capa 2 None para desactivar la seguridad de la red inalmbrica. Pulse el botn Apply para guardar los cambios. El navegador regresar a la pgina de WLANs y mostrar la WLAN recin creada en el listado de WLANs. Finalmente asegrese de que la interfaz est habilitada. Para ello navegue a WLANs > Status > Enabled Repita los pasos anteriores para crear la WLAN correspondiente a la VLAN de invitados. No se olvide de guardar la configuracin al final.

10

Tarea 3: Comprobacin de la funcionalidad de la red Compruebe que tanto el AP1 como el AP2 se han asociado al controlador. Esto se puede hacer de dos maneras. La primera es observando los mensajes de la CLI del AP. Reinicie uno de los puntos de acceso y observe el proceso de asociacin con el controlador. La segunda opcin es a travs de la interfaz web del controlador. Navegue hasta Management > All APs y observe que estn los dos APs en el listado. Entre en la configuracin de cada uno de ellos y asegrese de que reciben la configuracin IP por DHCP deshabilitando la

11