domingo, 28 de fevereiro de 2016

Configuração de WLAN ESS no Cisco Aironet via CLI

Olá Pessoal,

Este é mais um artigo sobre a configuração do AP Cisco Aironet através da linha de comando (CLI), dessa vez com o objetivo de listar o processo de configuração de um ambiente ESS de WLAN em que existem múltiplos APs para aumentar a área de cobertura em redes fisicamente maiores. Para demonstrar esse processo, as configurações apresentadas serão baseadas na topologia da figura abaixo. 


Antes de fazer qualquer configuração, um conceito fundamental é a divisão da banda total em canais menores para viabilizar a construção de redes com várias células para disponibilizar seu sinal em grandes áreas de cobertura, de maneira que a configuração de canais não sobrepostos torna-se uma estratégia fundamental para evitar interferência entre células vizinhas. Por exemplo, considerando a banda de 2.4GHz, existem apenas 3 canais sem sobreposição e que utilizamos no planejamento das células providas pelos APs, formando um ambiente maior denominado Extended Service Set (ESS) na arquitetura IEEE 802.11, conforme ilustrado na figura abaixo.



Observem na topologia que existem 3 APs conectados no sistema de distribuição que são os switches responsáveis pela infraestrutura da rede. Embora sejam APs distintos, todos serão configurados como membros do mesmo SSID denominado NOME para que os clientes em movimento possam fazer a transição transparente entre células, sem necessidade de reconfiguração das propriedades da WLAN. Um cuidado importante, seguindo o planejamento anterior, é garantir que os APs adjacentes operem em canais distantes para evitar interferência, motivo pelo qual optamos por colocar os APs para operar nos canais 1, 6 e 11. É óbvio que esse procedimento depende também da realização de um mapeamento dos canais menos poluídos no ambiente (site survey).

A configuração dos APs é praticamente a mesma, visto que compartilham a mesma WLAN e que os mecanismos de autenticação devem ser consistentes ao longo de toda a rede, sendo que a única diferença é a o canal de operação da célula. Não vou detalhar cada configuração específica, visto que o leitor pode encontrar mais informações sobre as configurações básicas de um AP Aironet em outro artigo intitulado "Configuração Básica do AP Cisco Aironet via CLI".

!--- Configuração do AP1
AP1# configure terminal
AP1(config)# dot11 ssid NOME
AP1(config-ssid)# guest-mode
AP1(config-ssid)# authentication open
AP1(config-ssid)# authentication key-management wpa ver 2
AP1(config-ssid)# wpa-psk ascii PASSWORD
AP1(config-ssid)# exit
AP1(config)# interface dot11radio0
AP1(config-if)# channel 1
AP1(config-if)# encryption mode ciphers aes-ccm
AP1(config-if)# ssid NOME
AP1(config-if)# no shut 
AP1(config-if)# exit

!--- Configuração do AP2
AP2# configure terminal
AP2(config)# dot11 ssid NOME
AP2(config-ssid)# guest-mode
AP2(config-ssid)# authentication open
AP2(config-ssid)# authentication key-management wpa ver 2
AP2(config-ssid)# wpa-psk ascii PASSWORD
AP2(config-ssid)# exit
AP2(config)# interface dot11radio0
AP2(config-if)# channel 6
AP2(config-if)# encryption mode ciphers aes-ccm
AP2(config-if)# ssid NOME
AP2(config-if)# no shut 
AP2(config-if)# exit

!-- Configuração do AP3
AP3# configure terminal
AP3(config)# dot11 ssid NOME
AP3(config-ssid)# guest-mode
AP3(config-ssid)# authentication open
AP3(config-ssid)# authentication key-management wpa ver 2
AP3(config-ssid)# wpa-psk ascii PASSWORD
AP3(config-ssid)# exit
AP3(config)# interface dot11radio0
AP3(config-if)# channel 11
AP3(config-if)# encryption mode ciphers aes-ccm
AP3(config-if)# ssid NOME
AP3(config-if)# no shut 
AP3(config-if)# exit

Façam seus testes...

Samuel.

3 comentários:

  1. Samuel, Parabéns por suas matérias! Passa o Linkedin :) ?


    Uma duvida, porque inserimos a linha "AP1(config-ssid)# authentication open"

    Se vamos inserir uma senha posteriormente?

    AP1(config-ssid)# authentication key-management wpa ver 2

    AP1(config-ssid)# wpa-psk ascii PASSWORD

    Se pudesse, gostaria de ver videos de configuração mais avança de APs. Obrigado!

    ResponderExcluir
    Respostas
    1. O comando "authentication open" SOZINHO equivale a configurar a rede em modo aberto. No entanto, esse comando não quer dizer que a rede esteja sendo configurada em modo aberto, desde que na sequência seja configurado o método complementar de autenticação que atualmente deve ser WPA2 (exemplo desse post) ou WPA2/EAP com servidor externo.

      O comando "authenticatoin open" é necessário porque permite que qualquer cliente possa iniciar comunicação com o AP, mas a associação efetiva com liberação do tráfego de dados somente ocorre depois que o AP entender que o cliente pode ser autorizado com base nas configurações complementares. No Aironet as configurações são realizadas dessa maneira.

      Excluir