quarta-feira, 20 de abril de 2016

Descoberta de Controladoras em WLAN Cisco (CUWN)

Olá Pessoal,

A arquitetura tradicional de redes sem fio (WLAN) é totalmente distribuída, sendo que os APs responsáveis pela área de cobertura do sinal são dispositivos autônomos, ou seja, independentes uns dos outros ou que qualquer elemento externo. Essa característica distribuída pode se tornar um grande problema em redes maiores que possuem uma grande área de cobertura, já que são necessários diversos APs para assegurar que todos os clientes móveis possam se conectar. 

O impasse é que apesar do modelo tradicional ser distribuído, o esforço de configuração é unificado porque deve existir coerência nas configurações dos APs, principalmente no planejamento de canais não sobrepostos e no que diz respeito à potência do sinal de transmissão para que haja células com algum grau de sobreposição a fim de evitar áreas de sombra. 

A Cisco possui uma solução própria de gerenciamento centralizado de redes sem fio denominada Cisco Unified Wireless Network (CUWN). Essa abordagem da Cisco basicamente separa as funções dos APs em dois novos componentes: (1) WLC e (2) LAP:

Fonte: CCNA Wireless 200-355 - Official Certification Guide (Cisco Press)

  • WLC (Wireless LAN Controller): Todo o gerenciamento dos APs do ambiente passa a ser realizado por esse componente de maneira centralizada e automatizada, por exemplo através do RRM (Radio Resource Management) que permite a configuração dinâmica das células e dos canais de rádiofrequência;
  • LAP (Lightweight Access Point): O LAP é um dispositivo que possui apenas as funções básicas para viabilizar o acesso dos clientes à rede wireless, ou seja, ele transfere toda a responsabilidade do plano de controle para o WLC.

Fonte: CCNA Wireless 200-355 - Official Certification Guide (Cisco Press)


Uma vez que o WLC assume o papel de elemento principal do ponto de vista de inteligência da rede WiFi, não há necessidade de nenhuma configuração nos LAPs, bastando a fixação adequada do equipamento na sua área de cobertura. Por outro lado, sem a presença de uma controladora o LAP não passa de uma caixa fria sem utilidade. É por isso que o LAP, assim que é ligado, imediatamente começa a buscar pela presença de uma ou mais controladoras que possam atendê-lo. Esse processo de descoberta é fundamental e pode ser configurado através de diferentes maneiras.

Um LAP precisa estabelecer um túnel CAPWAP (Control and Provisioning of Wireless Access Points) com uma ou mais controladoras WLC para que o tráfego de controle e de dados seja protegido, uma vez que será necessário passar pela infraestrutura cabeada, o que torna o tráfego dessas mensagens passível de tentativas de ataque. Nas sub-seções abaixo trago uma síntese dos principais métodos que um LAP utiliza na tentativa de descoberta de um WLC:



1. Mensagem de Descoberta em Broadcast no Link Local (Sub-Rede)

Uma primeira maneira simplista para descobrir um WLC é o LAP enviar uma mensagem "CAPWAP Discovery Request" (UDP/5246) de natureza broadcast para seu link local (sub-rede). Caso exista algum WLC no enlace, o LAP será respondido com uma mensagem "CAPWAP Discovery Response" e o túnel CAPWAP será estabelecido. A limitação dessa abordagem é que frequentemente o WLC está inserido em outra sub-rede diferente daquela em que os LAPs são instalados, ou seja, o tráfego de broadcast é interrompido na interface do roteador que é gateway da sub-rede de origem da mensagem de descoberta. Para contornar essa limitação é possível configurar a interface do roteador para realizar o relay (encaminhamento) das mensagens broadcast recebidas na porta UDP/5246, apontando para o(s) respectivo(s) controlador(es). Esse procedimento pode ser realizado através dos comandos abaixo:

Router(config)# ip forward-protocol udp 5246
Router(config)# interface g0/0
Router(config-if)# ip helper-address <WLC1-IP>
Router(config-if)# ip helper-address <WLC2-IP>



2. Utilização de Endereços de WLCs Previamente Armazenados

Um LAP pode estar previamente "abastecido" com os endereços de três WLCs, informação que fica armazenada na NVRAM (memória não volátil). Por exemplo, se um LAP já foi anteriormente associado com alguma controladora, as informações da controladora ficarão armazenadas na sua NVRAM. Dessa forma, não há necessidade de refazer o processo de descoberta em caso de boot do LAP, o que agiliza o processo de vínculo da LAP com sua(s) WLC(s).



3. Uso da Opção 43 do DHCP

Também é possível ensinar o endereço da(s) controladora(s) através da configuração da opção adicional 43 no servidor DHCP. Essa configuração não é assim tão simples quanto incluir a opção 43 no servidor DHCP e informar o IP da WLC. Na realidade, o conteúdo do campo da opção 43 do DHCP é uma string hexadecimal iniciada em 0xf1 que deve obedecer à seguinte estrutura:

"f1" + 4x"qtde WLCs" + "IP1+IP2+IP3"

A string hexadecimal necessariamente deve começar com "f1". Na sequência a string deve ser complementada com quatro vezes a quantidade de WLCs que existem na rede (em hexadecimal). Por fim, devem ser informados os IPs das controladoras de maneira sequencial (em hexadecimal). Por exemplo, assumindo uma rede com um único WLC (destaque em azul) que responde pelo IP 192.168.56.100 (destaque em amarelo), a string hexadecimal seria: f104c0a83864

Abaixo trago um exemplo de configuração de duas WLCs (.100 e .101) no escopo DHCP do IOS:

Router(config)# ip dhcp excluded-address 192.168.56.1 192.168.56.3
Router(config)# ip dhcp excluded-address 192.168.56.100 192.168.56.101
Router(config)# ip dhcp pool ESCOPO
Router(dhcp-config)# network 192.168.56.0 255.255.255.0
Router(dhcp-config)# default-router 192.168.56.1
Router(dhcp-config)# dns-servers 192.168.56.2 192.168.56.3
Router(dhcp-config)# domain-name nome.com.br
Router(dhcp-config)# option 43 hex f108c0a83864c0a83865

No link abaixo o leitor encontra mais informações na página de suporte da Cisco:
http://www.cisco.com/c/en/us/support/docs/wireless-mobility/wireless-lan-wlan/97066-dhcp-option-43-00.html



4. Uso de Nome DNS

Por padrão um LAP Aironet tenta resolver o nome CISCO-CAPWAP-CONTROLLER.localdomain, sendo que localdomain é o domínio em uso no ambiente da empresa e que foi aprendido via DHCP. Ou seja, através da inserção de um registro nos servidores DNS da empresa é possível mapear esse nome com o respectivo endereço IP da controladora principal que o LAP deverá criar vínculo.   



Samuel.

2 comentários:

  1. Professor Samuel, o Livro "Laboratórios e Tecnologias CISCO" temm pra vender em e-Book?

    ResponderExcluir
    Respostas
    1. Os livros somente estão disponíveis na versão impressa.

      Excluir