terça-feira, 9 de fevereiro de 2016

Configuração Básica do AP Cisco Aironet 1600 via CLI

Olá Pessoal,

A família Aironet de Access Points (AP) da Cisco provê uma solução de rede sem fio (WLAN) que combina mobilidade e flexibilidade em ambientes corporativos de qualquer porte, permitindo seu gerenciamento através do tradicional sistema operacional IOS amplamente disseminado em switches e roteadores. Além disso, há diversos modelos que possuem diferentes características. Por exemplo, há APs que operam de maneira autônoma (identificados pela palavra SAP no código do produto) ou através de controladoras (indicados pela palavra CAP no código do produto), além de APs que possuem apenas antenas embutidas internamente (identificados pela letra "i" no código do produto) ou que suportam a inserção de antenas externas para ambientes mais ruidosos (identificados pela letra "e" no código do produto).

A figura abaixo traz uma síntese dos modelos 1600/2600/3600 que são bastante comuns no mercado (suportam o padrão 802.11n), lembrando que já existem os modelos 1700/2700/3700 e 1850 que são baseados no recente padrão 802.11ac. Cabe destacar que o Aironet 3600 permite o acoplamento de um módulo compatível com o recente padrão 802.11ac (clique no link para ler mais sobre o padrão ac). 

Fonte: Cisco Systems (www.cisco.com)

A maneira mais simples de configurar um AP Aironet que esteja operando em modo autônomo (standalone) é através da interface web, ilustrada abaixo. No entanto, é importante destacar que o equipamento possui o sistema operacional IOS e pode ser totalmente configurado através da interface de linha de comando (CLI). Não há muito a detalhar em relação à interface web, visto que ela tende a ser bem intuitiva por si só. Basicamente ela é composta de um menu superior com as opções principais, além de um menu lateral (à esquerda) com as sub-opções de cada aba que compõe do menu superior. 

Fonte: Cisco Systems (www.cisco.com)

Quando o AP é conectado na infraestrutura da rede cabeada através da sua interface Ethernet, automaticamente é realizada uma operação de bridge entre as redes LAN (cabeada) e WLAN (wireless) através de uma interface virtual denominada Bridge Virtual Interface (BVI). Dessa forma, ao invés de existirem IPs separados para as interfaces Ethernet e de Rádio (Dot11Radio), o mesmo endereço representa o AP na rede. O procedimento para configurar um IP no AP é listado abaixo, destacando que deve ser realizado na interface virtual BVI para que seja possível acessar o dispositivo remotamente.

ap> enable
ap# configure terminal
ap(config)# hostname AP1600
AP1600(config)# interface BVI1
AP1600(config-if)# ip address 192.168.0.101 255.255.255.0
AP1600(config-if)# ipv6 address 2001:db8:cafe::101/64

Outra aspecto básico das configurações iniciais é a autenticação/autorização (AAA) de usuários que terão acesso ao dispositivo AP. Considerando que estamos configurando um Aironet 1600 em ambiente de pequeno porte que não possui nenhum servidor RADIUS ou TACACS+ especificamente para autenticação centralizada, então podemos habilitar uma base local de usuários através das linhas abaixo, oportunidade em que criaremos o usuário ADMIN com privilégios administrativos (nível 15). Também ativaremos o protocolo SSH no segundo bloco para acesso remoto seguro:

AP1600# configure terminal
AP1600(config)# aaa new-model
AP1600(config)# aaa authentication login default local
AP1600(config)# aaa authorization exec default local
AP1600(config)# aaa authorization network default local
AP1600(config)# aaa authentication enable default none
AP1600(config)# username ADMIN privilege 15 secret SENHA

AP1600(config)# ip domain-name nome.com.br
AP1600(config)# crypto key generate rsa
AP1600(config)# ip ssh version 2
AP1600(config)# no ip ssh version 1
AP1600(config)# ip ssh timie-out 30
AP1600(config)# ip ssh authentication retries 3

Outras configurações básicas que faremos na sequência é ativar o cache de ARP (linha 02) para reduzir o tráfego na WLAN para que o AP evite enviar requisições ARP para os clientes wireless que já estejam associados e, portanto, tenham seus endereços MAC conhecidos pelo AP. Também configuraremos o relógio do AP através do SNTP que possui apenas um cliente NTP, apontando para os servidores NTP públicos do NTP.br (linhas 03 e 04). Por fim, informaremos um servidor DNS público qualquer para resolver nomes na Internet (linha 05). Estou partindo do princípio de que não existem servidores NTP ou DNS próprios na empresa, o que explica o uso dos serviços públicos.

01. AP1600# configure terminal
02. AP1600(config)# dot11 arp-cache
03. AP1600(config)# sntp server 200.160.7.186
04. AP1600(config)# sntp broadcast client
05. AP1600(config)# ip name-server 208.67.222.222 208.67.220.220

Antes de dar continuidade às configurações básicas da WLAN em um AP Aironet, é fundamental compreender conceitualmente e, somente então, defnir o papel que o dispositivo irá desempenhar na rede sem fio. De maneira simplista, um AP Aironet pode ser configurado nos seguintes modos de operação:



Modo: Ponto de Acesso (Access Point)

A maneira mais comum de operação de um AP é conectá-lo diretamente à rede cabeada e prover uma célula denominada BSS (Basic Service Setpara conexão dos usuários de dispositivos sem fio. Também é possível, embora pouco interessante, o AP ser instalado exclusivamente para prover a BSS sem qualquer conexão física com a infraestrutura.

Em ambientes maiores uma WLAN pode ter vários APs conectados através de um sistema de distribuição para aumentar a ára de cobertura. Assim os usuários podem se mover na área de cobertura dos diversos APs sem perder a conexão, através de um processo denominado roaming. ESS (Extended Service Set) é o conjunto de células BSS com áreas de cobertura com alguma sobreposição para evitar pontos cegos de maneira bastante similar o modelo das redes de telefonia celular. Para evitar interferência as células vizinhas que compõem uma ESS não devem operar em canais adjacentes.

Em síntese, as regras para projetar ambientes ESS são:

1) Deve existir algum grau de sobreposição das células para evitar pontos cegos;
2) Não deve existir sobreposição de canais para evitar interferência.

Fonte: Cisco Systems (www.cisco.com)


Modo: Repetidor (Repeater)

É possível ampliar a área de cobertura de um ambiente através da configuração de um repetidor que recebe e amplifica o sinal antes de retransmití-lo para um AP principal (ou outro repetidor). Embora um repetidor tenha aplicações úteis em redes sem fio, por exemplo no encaminhamento do sinal em caso de obstrução, nem sempre essa é a melhor estratégia.

A maior restrição da repetição de sinal é que o AP e seu(s) repetidor(es) continua(m) sendo uma única BSS maior operando no mesmo canal, exatamente o oposto do que acontece quando projetamos uma ESS com células menores para diminuir a quantidade de usuários pendurados na célula e melhorar o desempenho. Outro ponto negativo é que aqueles clientes conectados atrás de um repetidor terão maior latência na comunicação até que seu sinal possa chegar no AP principal conectado à infraestrutura cabeada.

Fonte: Cisco Systems (www.cisco.com)


Modo: Ponte (Bridge)

Os APs também podem ser configurados como ponte, de maneira que dois APs estabelecem um link wireless ponto-a-ponto para passagem de tráfego entre dois sites. Nesse caso, um AP é configurado como raíz (unidade principal) e outro é associado a ele como cliente.

Também é possível criar uma ponte entre múltiplos APs, de maneira que vários APs clientes (non-root) estabelecem um link wireless ponto-multiponto com um AP principal (root). Cabe observar, no entanto, que em topologias ponto-multiponto a vazão é reduzida em função da quantidade de APs clientes associados ao raíz. Por exemplo, em uma WLAN 802.11g que opera nominalmente a 54Mbps, a vazão máxima é cerca de 25Mbps em um link ponto-a-ponto, enquanto que com 3 APs ligados de maneira ponto-multiponto essa vazão é reduzida para cerca de 12,5Mbps.

Fonte: Cisco Systems (www.cisco.com)


Voltando aos procedimentos básicos de configuração de um Aironet, levando em consideração que a segunda geração de APs opera em dualband para suportar o padrão 802.11n, cada antena é identificada através de sua própria interface. O rádio 2.4GHz é configurado através da interface Dot11Radio0, enquanto que o rádio 5GHz é configurado através da interface Dot11Radio1

A configuração abaixo cria um SSID denominado NOME, sendo que haverá anúncio desse SSID (guest-mode). Observem no destaque em amarelo que foi configurado o papel do AP e que, em caso de queda da interface Ethernet, ele irá desfazer as associações ativas, uma estratégia interessante para permitir que as estações clientes façam uma nova associação com outro AP que eventualmente esteja disponível nas proximidades. Será utilizado o WPA2 (AES) como mecanismo segurança para que os clientes possam se associar ao AP através de autenticação local. Cabe destacar que um AP suporta até 50 clientes autenticados localmente, sendo capaz de processar 5 autenticações por segundo. Em ambientes maiores é necessário utilizar algum mecanismo mais sofisticado de autenticação centralizada para não comprometer o desempenho do AP, por exemplo servidores RADIUS ou TACACS+.

!-- Configura um SSID
AP1600# configure terminal
AP1600(config)# dot11 ssid NOME
AP1600(config-ssid)# guest-mode
AP1600(config-ssid)# max-associations 20
AP1600(config-ssid)# authentication open
AP1600(config-ssid)# authentication key-management wpa ver 2
AP1600(config-ssid)# wpa-psk ascii PASSWORD
AP1600(config-ssid)# end

!-- Atribui um SSID ao Rádio 2.4GHz e Configura WPA
AP1600# configure terminal
AP1600(config)# interface dot11radio0
AP1600(config-if)# station-role root access-point fallback shutdown
AP1600(config-if)# channel 11
AP1600(config-if)# encryption mode ciphers aes-ccm
AP1600(config-if)# ssid NOME
AP1600(config-if)# no shut
AP1600(config-if)# end

!-- Atribui um SSID ao Rádio 5GHz e Configura WPA
AP1600# configure terminal
AP1600(config)# interface dot11radio1
AP1600(config-if)# encryption mode ciphers aes-ccm
AP1600(config-if)# ssid NOME
AP1600(config-if)# no shut
AP1600(config-if)# end

Façam seus testes...

Samuel.

20 comentários:

  1. Otimo artigo. Muito bem trabalhado

    ResponderExcluir
  2. Excelente artigo.

    Caro Samuel, poderia tirar uma dúvida por favor?

    Existe algum comando que liste as MIBs que o AP possui?

    Obrigado.

    Abs.

    Atenciosamente,
    Rodrigo Rosa

    ResponderExcluir
    Respostas
    1. Samuel,

      Este já havia encontrado. Mas de qualquer forma muito obrigado pelo rápido retorno.

      Preciso achar o comando, se existir é claro, para poder listar as MIBs que existem dentro dos APs que tenho na rede. Estamos tentando monitorar os APs. No entanto, conseguimos monitorar as interface de um e as interfaces do outro não aparecem no monitoramento...E os APS são os mesmos, com o firmware atualizado... Vou pesquisar mais para ver se acho alguma coisa... E caso ache posto aqui o resultado.

      Obrigado.

      Abraços.

      Atenciosamente,
      Rodrigo Rosa

      Excluir
  3. Samuel,
    Primeiro parabéns!
    Segundo, o aironet já está disponível no packet tracert 6.3.0?

    ResponderExcluir
  4. Estou com dificuldade, QoS no cisco aironet, Ele só prioriza os pacotes marcados que chegam em sua interface. Ou ele também marca os pacotes ?
    Alguém tem alguma exemplo funcional de configuração.

    ResponderExcluir
  5. Bom dia,

    Não estou conseguindo subir o ap em 802.11N. O notebook contém uma placa b/g/n porém só fecha em 54 Mbps. Ja resetei o Ap e fiz diversas tentativas e nada. Com um Dlink está funcionando normal o 802.11N. Alguma dica do que possa ser ? Abs., Michael

    ResponderExcluir
    Respostas
    1. Conseguiu colocar ele para funcionar em 150mb e 300mb?
      O que você fez?

      Excluir
    2. Conseguiu colocar ele para funcionar em 150mb e 300mb?
      O que você fez?

      Excluir
  6. é possivel o ap 1600 funcionar com poe modelo pe03-eia? no meu caso, ele liga mas a interface g tem Up e protocolo down.

    ResponderExcluir
  7. Boa Tarde,
    Configurei um Cisco AP 1600 como Access Point porém ele só funciona a 54mbs, como eu faço para ele funcionar a 150mb e 300mb?
    Alguém sabe onde configura?

    ResponderExcluir
  8. Fiquei com uma duvida, e possivel configurar em uma casa um aironet sem precisar da controller? Tenho um ap deste aqui comigo e queria um meio de instalar eu mesmo sem precisar das licenças

    ResponderExcluir
  9. muito bom......
    Samuel,qual o comando para zerar as configurações ou quebrar senha?
    obg!!!!

    ResponderExcluir
  10. Muito bom!!!!
    Samuel por favor,poderia me dizer como consigo quebrar a senha do AP CISCO AIRONET 1602E-T-K9,ou voltar para a configuração de fábrica...
    Muito obrigado!!!!

    ResponderExcluir
  11. Olá!

    Gostaria de uma ajuda de voces, acredito que seja bem simples mas não me ensinaram como fazer isso aqui.
    Tenho que ativar um equipamento Aironet CAP AP série 800, pois preciso realizar a atualização da firmware dele para standalone que não consegue fazer a requisicao do IP. Utilizei já Putty com conexão DHCP mas o aparelho não pegou nenhum ip.
    Então queria saber se tem como eu configurar?

    Obrigado!
    Cristiano

    ResponderExcluir