1) Configurar la autenticacin con el servidor radius (en el ejemplo 192.168.1.111 ): ap(config) # radius-server host 192.168.1.

80 auth-port 1645 acct-port 1646 k ey 7 CedarCisco debern colocar el password que utilizan en el servidor Radius para autenticar dis positivos. 2) Habilitar el nuevo modelo de autenticacin, autorizacin y contabilizacin: ap(config) # aaa new-model 3) Definir un grupo de servidores Radius: ap(config) # aaa group server radius [ccc-radius] utilizaremos este grupo para configurar la autenticacin. 3.1) Agregar el/los servidor/es que realizar/n la autenticacin (paso 1) al grupo r ecin creado: ap(config-sg-radius) # server 192.168.1.80 auth-port 1645 acct-port 1646 4) Crear el mtodo de autenticacin eap_auth y agregar el grupo de servidores Radius : ap(config)# aaa authentication login eap_auth group [mis-radius] con esto ya tenemos configurado un mtodo de autenticacin que luego asignaremos al SSID. 5) Configurar un SSID para el AP (es posible tener mltiples SSID). En el ejemplo lo llamaremos AP_Wireless (si, muy original...): ap(config)# dot11 ssid [CCC] 5.1) Utilizar autenticacin open eap (Extensible Authentication Protocol) con el s ervidor Radius del grupo de servidores mis-radius (ver pasos 1 - 3): ap(config-ssid)# authentication open eap eap_auth Existen varios tipos de autenticacin y Cisco permite una buena variedad. EAP nos permite que la autenticacin la realice un servidor externo, y no el mismo AP. Que la autenticacin sea open no quiere decir que los datos viajen planos, sino qu e esta es la forma en que Cisco define el tipo de autenticacin que no utilizan pr otocolos Cisco (LEAP). 5.2) Realizar la administracin de claves con WPA: ap(config-ssid)# authentication key-management wpa 5.3) Utilizar el modo guest para que la antena haga broadcast del SSID. Si no de sean divulgar el SSID, saltear este paso: ap(config-ssid)# guest-mode 5.4) Setear el intervalo entre beacons DTIM. Estos beacons se envan a los cliente s para que despierten y checkeen si tienen paquetes pendientes. Intervalos DTIM largos permiten preservar energa.

ap(config-ssid)# mbssid guest-mode dtim-period 75 6) Configurar la interfaz wireless para que autentique clientes utilizando Radiu s y WPA: ap(config)# interface Dot11Radio 0 6.1) Definir el algoritmo de encripcin (AES): ap(config-if)# encryption mode ciphers aes-ccm 6.2) Asociar el SSID a la intefaz: ap(config-if) # ssid [CCC] Con los pasos anteriores el AP ya est configurado y listo. Si no poseen un servid or DHCP en la red, o bien si quieren fijar una direccin IP al AP, pueden hacerlo de la siguiente forma: 1) Acceder a la interfaz virtual BVI 1 (Bridge-Group Virtual Interface): ap(config)# interface BVI 1 esta interfaz virtual agrupa todas las interfaces que estn en el grupo bridge 1. 2) Configurar la direccin IP y la mscara: ap(config-if)# ip address [ip AP xxx.xxx.xxx.xxx] [255.255.255.0] 3) Definir el gateway: ap(config)# ip default-gateway [xxx.xxx.xxx.xxx] Algo a tener en cuenta es que por defecto tanto la interfaz wireless como la fas t ethernet estn en el grupo bridge 1, pero si no lo estn, pueden configurarlo de l a siguiente forma: ap(config)# interface FastEthernet 0 ap(config-if)# bridge-group 1 ap(config-if)# exit ap(config)# interface Dot11Radio0 ap(config-if)# bridge-group 1