N o ta d e Ap lica ci n

G ru p o d e U su a rio s

Nota de Aplicacin Grupo de Usuarios

Rev 081408 2

Tabla de Contenidos

Antecedentes ........................................................................................................................... 3
Descripcin .............................................................................................................................. 3
Beneficios ................................................................................................................................ 4
Teora de Operacin ................................................................................................................ 4
Interaccin con otras caractersticas .................................................................................... 6
Configuracin .......................................................................................................................... 6
Configuracin de grupos de usuarios utilizando la interfase de administracin Web (WMI) ........................ 6
Configuracin de grupo de usuario utilizando la interfase de comando de lnea (CLI) ............................... 17
Ejemplo de Aplicacin .......................................................................................................... 19
Tips y Recomendaciones ...................................................................................................... 20
Cuando es recomendado un grupo de usuarios? ................................................................................................ 20
Cuando no es recomendado utilizar un grupo de usuarios? ............................................................................. 20
Como configuro SSIDs con grupo de usuarios? ................................................................................................ 20
Qu polticas debera definir al nivel de SSID? ................................................................................................... 20
Qu polticas debera definir al nivel de grupo de usuarios? ............................................................................. 20
Dnde puedo encontrar ms informacin acerca de RADIUS? ...................................................................... 20

Nota de Aplicacin Grupo de Usuarios

Rev 081408 3

Antecedentes
Las redes Wi-Fi de hoy han dejado de ser los Hotspots bsicos de hace algunos aos; hoy han tomado
su lugar a la par de las redes almbricas. Debido a que las redes inalmbricas han madurado con
mayores niveles de seguridad e incrementado su desempeo, hemos visto una migracin hacia un
modelo donde el inalmbrico se est convirtiendo en el medio primario de conectividad en el lmite de
nuestras redes debido a la movilidad que provee.
Conforme esta migracin contina su expansin, estamos viendo mayor nmero de usuarios
conectandose inalmbricamente a la red. Esto resulta en la necesidad de mayor segmentacin y
control sobre los clients inalmbricos.

La segmentacin va el uso de SSIDs es an la forma ms comn de separar y clasificar usuarios.
Dentro de la SSID, se pueden definer polticas que ofrecen un conjunto de privilegios a los clients
asociados; esto incluye acceso en horas del da, requerimientos de autenticacin, tasas de
transferencia, mapeo de VLAN, etc. Estas polcitas son claves para la administracin de una base
grande de usuarios, sin embargo conforme el nmero de clientes inalmbricos con diferentes derechos
crece, tambin el nmero de SSIDs requerido. Un mtodo es requerido para definir polticas de
usuarios independientemente de la SSID de tal forma que la SSID pueda ser configurada con
parmetros de acceso bsico, como das de acceso y tipo de autenticacin, y otros mtodos puedan
ser utilizados dentro de la SSID para definir mayores derechos individuales, como mapeo de VLAN,
tasas de transferencia permitidas, reglas de QoS, etc. Estas polticas de definicin de usuarios son
identificadas como grupos de usuarios y residen sobre la SSID.
Descripcin
El arreglo Wi-Fi de Xirrus ofrece servicios de grupo de usuarios para proveer una administracin
simplificada de usuarios en esos ambientes donde mltiples polticas declasificacin de clientes es
requerida. Los clientes son mapeados a asignaciones de grupos de usuarios de forma dinmica a
travs de un servidor RADIUS externo. Cualquier servidor RADIUS estndar puede proveer esta
funcin.
Los grupos de usuarios pueden ser definidos con alguno o todos los parmetros/polticas siguientes
aplicados al trfico del cliente:
Mapeo VLAN
Listas de Filtros
Niveles de Qos
Servicios de Roaming
Pilas de DHCP
Lmite de estaciones
Lmite de trfico
Tiempo de habilitar / Tiempo de deshabilitar
Das de funcionamiento / Dias inhabilitados
Redireccin de pgina Web

Nota de Aplicacin Grupo de Usuarios

Rev 081408 4

Beneficios
Los grupos de usuarios simplifican enormemente la administracin de los clientes inalmbricos y
ofrecen los siguientes beneficios directos:

Simplifican la configuracin de usuarios
Una SSID puede proveer diferentes niveles de acceso a la red a un grupo de usuarios
especfico. Utilizando una SSID para mltiples grupos de usuarios reduce la sobrecarga en un
medio inalmbrico.

Administracin de acceso a la red
Habilita al administrador a definir un grupo de usuarios basados en los recursos de la red que
los clientes requieren para realizar su trabajo. Tambin puede ser usado para segmentar los
recursos de la red por razones de seguridad. Hasta 16 grupos de usuarios son soportados por
SSID.

Nivel de servicio
El arreglo puede ofreces diferentes niveles de servicios a cada usuario cuando el grupo de
usuarios es implementado en combinacin con QoS, controles de ancho de banda, lista de
filtros y WPR. Al aplicar lista de filtros al nivel de grupo de usuarios, los administradores pueden
estar seguros de que los usuarios slo accesarn a los recursos apropiados de red. Esto
proporciona a los administradores control completo sobre la calidad de experiencia para los
usuarios finales.

Cambios de Polticas
El administrado puede hacer cambios en polticas individual o a un grupo de clientes sin tener
que hacer cambios a las SSIDs existentes. Los cambios ocurren como son requeridos sin
impactar a los clientes que no deben ser parte del cambio.
Teora de Operacin
Los clientes inalmbricos son mapeados a los grupos de usuarios basados en la informacin
configurada en el servidor RADIUS. El servidor RADIUS interno del arreglo o un servidor RADIUS
externo pueden ser utilizados para esta operacin. Cuando es utilizado el servidor RADIUS externo, el
mapeo es realizado con el identificador del filtro (filter-ID attribute 11) RADIUS. El ID del filtro es
asociado con la informacin del cliente inalmbrico en la base de datos RADIUS. Cuando el cliente es
autenticado, este ID del filtro acompaa la autorizacin del servidor RADIUS hacia el arreglo Wi-Fi.
Esta informacin es utilizada por el arreglo para mapear al cliente al apropiado grupo; independiente
de la SSID que el cliente se ha unido. Este mismo proceso funciona incluso si la informacin de
Microsoft Active Directory es usada por el servicio RADIUS para la validacin del cliente.

Nota de Aplicacin Grupo de Usuarios

Rev 081408 5

El siguiente diagrama demuestra el proceso que ocurre para la autenticacin de los clientes
inalmbricos en una red inalmbrica y mapeo a un grupo de usuarios especfico.



Figura 1: Proceso de autenticacin del cliente.

Nota de Aplicacin Grupo de Usuarios

Rev 081408 6

Interaccin con otras caractersticas
El arreglo Wi-Fi tiene muchas caractersticas avanzadas y capacidades de administracin. Esta
seccin identifica esas caractersticas con dependencia asociada al grupo de usuarios.

Las SSIDs son siempre requeridas para una conexin Wi-Fi bsica y deben ser
configuradas primero. Los grupos de usuarios son situados lgicamente arriba de las SSIDs
permitiendo a un grupo moverse en las SSIDs o tener varios grupos con una sola SSID.
Los administradores de red pueden colocar lmites de trfico en el nivel de SSID o en el
nivel de grupo de usuarios. Los lmites de trfico puede ser usados para restringir trfico de
datos basados en das de la semana, horas del da o cantidad de trfico. Si el lmite de
trfico es especificado en ambos, el nivel de grupo de usuarios y de SSID, mayor ser el
efecto restrictivo del lmite de trfico.
Las VLANs pueden ser definidas dentro de un grupo de usuarios y deberan ser
configuradas primero que los grupos.
Los grupos de usuarios usan mapeos estticos de grupo hacia las VLANs en el
arreglo. Se debe tener cuidado de no clasifica al mismo usuario para ser asignado
dinmicamente a una VLAN y como miembro de un grupo de usuarios. El arreglo
tirar la VLAN dinmica pasada en el proceso RADIUS acceso-aceptado si el atributo
de ID del filtro (Filter-ID) est presente.
Las listas de filtros son opcionales cuando se utilizan grupos de usuarios, pero utilizando las
mismas permiten el control de un grupo de usuarios abajo del nivel de protocolo y puerto.
Las pilas DHCP son opcionales cuando se utilizan los grupos de usuarios, pero permiten al
administrador el controlar la asignacin de direcciones IP a nivel de grupo.
El control de Roaming en nivel 3 es opcional con los grupos de usuarios, pero permiten al
administrador el control por grupo de usuarios.
Configuracin
La configuracin de grupo de usuarios en el arreglo Wi-Fi requiere de ajustar varios componentes en la
red, incluyendo el servidor RADIUS y los switches con VLANs. La configuracin del arreglo puede ser
realizada va la interfase de administracin Web (WMI) o la interfase de comandos de lnea (CLI).
Configuracin de grupos de usuarios utilizando la interfase de administracin Web
(WMI)

1. Las SSIDs deberan ser configuradas primero al ajuste de los grupos de usuarios. Desde la
pantalla de administracin SSIDs/SSID en WMI, crear las SSIDs que sern soportadas en la red
inalmbrica, en este ejemplo es la SSID xirrus. Como toda configuracin WMI, cuando se
termine en una pantalla, oprima Apply y luego Save para salvar los cambios.

Nota de Aplicacin Grupo de Usuarios

Rev 081408 7

2. Las VLANs deberan ser configuradas primero a los ajustes de grupo de usuarios, tpicamente
uno por cada tipo de grupo. Desde la pantalla de administracin VLANs/VLAN, configure las
VLANs. En este ejemplo son creadas las VLANs student=169, Staff=170 y Guest=171.

3. La configuracin del servidor RADIUS en el arreglo es lo siguiente que debe ser realizado.
Desde la pantalla Security/External Radius, configure la direccin IP, nmero de Puerto y
secretos compartidos del servidor RADIUS.

Nota de Aplicacin Grupo de Usuarios

Rev 081408 8

Nota de Aplicacin Grupo de Usuarios

Rev 081408 9

4. Luego configure el grupo de usuarios en el arreglo. Desde la pantalla Groups/Group
Management, configure los diferentes grupos basados en el perfil del usuario. Los nombres de
los grupos son sensitivos a Maysculas y pueden tener hasta 32 caracteres alfanumricos, sin
embargo no pueden tener espacios.

El campo de RADIUS ID debe ser igual que el ajuste Filter-ID en el servidor RADIUS.



5. Los siguiente pasos proveen un ejemplo de configuracin con un servidor Microsoft IAS
configurado para trabajar en conjunto con un grupo de usuarios en el arreglo. La configuracin
actual puede variar basado en los requerimientos especficos de la implementacin.

6. Configure el cliente RADIUS en el servidor IAS. El cliente en este caso es el arreglo y un secreto
debe ser proporcionado. Eso permite al arreglo comunicarse con el servidor IAS en nombre de
los clientes autenticandose a travs del arreglo.

Nota de Aplicacin Grupo de Usuarios

Rev 081408 10

7. Configure el objeto arreglo en el servidor IAS.

8. Agregue usuarios en el servidor IAS. En este ejemplo, agregamos Student1, Staff1 y Guest1.

Nota de Aplicacin Grupo de Usuarios

Rev 081408 11

9. Agregue grupos en el servidor IAS al oprimir el mouse derecho en Users / New / Groups /
Create Students / Staff. Guest es ya parte de los grupos de Active Directory.



10. Agregue usuarios a los grupos al dar doble click en el grupo Student y agregando Student1 a
este grupo. Haga lo mismo para los grupos Staff y Guest con los usuarios Staff1 y Guest1.

Nota de Aplicacin Grupo de Usuarios

Rev 081408 12

11. Luego configure los ajustes de clientes en el servidor IAS para autenticacin utilizando Grupos.
Cree un nombre de perfil que ser nico para la autenticacin de este grupo. En este ejemplo, el
nombre es Student1, la SSID es Xirrus, y el grupo de usuario es Student.

Nota de Aplicacin Grupo de Usuarios

Rev 081408 13

12. Bajo los ajustes de seguridad para el perfil Student, configure los parmetros de seguridad de la
conexin inalmbrica. En este ejemplo, hemos colocado WPA2-Enterprise con AES-CCMP,
PEAP, MS-CHAP-V2. Inserte las siguiente credenciales: Nombre de usuario es Student1 y el
dominio es HomeLab1.net. El identificador de Roaming generalmente debe ser igual que el
campo de nombre de usuario, por lo tanto ingrese Student1 en este rengln.

Nota de Aplicacin Grupo de Usuarios

Rev 081408 14

13. El certificado que est siendo utilizado en este ejemplo es un certificado llamado Homelab Test
Certificate. Vea el tip tcnico de Xirrus llamado Xirrus Wi-Fi Array Configuration Guide WPA-
EAP-PEAP with Microsoft IAS (TT-1002) para una descripcin de cmo generar un certificado.
Este documento provee detalles en como configurar un servidor IAS, Active Directory y servicios
adicionales.

14. Los siguientes pasos proven un ejemplo de configuracin en una estacin con Windows XP. La
configuracin actual puede variar basado en los requerimientos especficos de la
implementacin y el sistema operativo utilizado.

Nota de Aplicacin Grupo de Usuarios

Rev 081408 15

15. Vea las redes inalmbricas disponibles al oprimir con el botn derecho en el icono inalmbrico
de Windows.



16. Vaya a la seccin de cambiar el orden de las redes preferidas.



17. Seleccione la SSID que la estacin estar conectandose y cambie las propiedades de esa
SSID.



18. Configure autenticacin:
a. Habilite IEEE 802.1x authentication
b. Coloque PEAP en EAP
c. Asegurese de que la casilla Authenticate as computer when computer information is
available no est seleccionada (a menos que la informacin de la computadora
username/password sean los mismos para autenticarse con el grupo de usuarios)

Nota de Aplicacin Grupo de Usuarios

Rev 081408 16



19. Coloque las propiedades PEAP:
a. La estacin no debera validar el certificado del servidor
b. El mtodo de autenticacin debera ser Secured password

Nota de Aplicacin Grupo de Usuarios

Rev 081408 17

20. Asocie un cliente para verificar que la asignacin correcta al grupo de usuario. En este ejemplo,
el usuario final Station1 debera adquirir una direccin IP en la VLAN-169 en la red
192.168.10.0/24. Verifique que la estacin est asignada a la correcta salida VLAN/User Group
en la table de estaciones.

Configuracin de grupo de usuario utilizando la interfase de comando de lnea (CLI)

1. Las SSIDs deberan ser configuradas antes de los ajustes de grupo de usuarios. Desde el modo
de configuracin en el CLI, tecle ssid, luego add ssidname enable encryption wpa-both.
Tecle save para salvar la configuracin.

2. Luego configure las VLANs. Desde el modo de configuracin en el CLI, tecle vlans luego add
vlan-name number vlan#. En este ejemplo, configure las VLANs Student=169, Staff=170, y
Guest=171.

3. Luego configure el servidor RADIUS. Desde el modo de configuracin en el CLI, tecle radius-
server, luego external, luego primary, luego ipip-address. Coloque el secreto luego al
teclear secret secret.

4. Luego configure los grupos de usuarios. Desde el modo de configuracin en el CLI, tecle
groups luego add user-group-namevlanvlan-name radius-id radius-id-name on. En este
ejemplo, el nombre de grupo de usuario, nombre de VLAN y ID RADIUS son los mismos:
Student. Repita para los grupos restantes.

Nota de Aplicacin Grupo de Usuarios

Rev 081408 18



5. La configuracin de un servidor RADIUS externo es requerido para operar los grupos de
usuarios. Refirase a los pasos 5-13 de la configuracin en WMI para un ejemplo de
configuracin de servidor RADIUS.

6. Una vez asociado, verifique que las estaciones son asignadas al correcto grupo de usuarios al
teclear show associated-stations.

Nota de Aplicacin Grupo de Usuarios

Rev 081408 19

Ejemplo de Aplicacin
A continuacin hay un ejemplo de como los grupos de usuarios pueden ser implementados en un
ambiente acadmico.

El grupo de usuarios Student representa los estudiantes y prove solo acceso a los recursos de
los estudiantes y al internet.

El grupo de usuarios Staff representa el administrativo de la escuela y prove acceso a todos
los recursos en la red y al internet.

El grupo de usuarios Guest representa los invitados y proveedores dando slo acceso al
internet. En adicin, estos usuarios estn limitados a una tasa de 2000pps.

Nota de Aplicacin Grupo de Usuarios

Rev 081408 20

Tips y Recomendaciones
Cuando es recomendado un grupo de usuarios?
Los grupos de usuarios deberan ser implementados cuando mltiples tipos de perfiles de usuarios
existen y que pueden utilizar el mismo tipo de encriptacin, pero tienen la necesidad de diferentes
recursos de la red debido a polticas de seguridad.

Cuando no es recomendado utilizar un grupo de usuarios?
No es recomendado utilizar un grupo de usuarios cuando se estn utilizando VLANs dinmicas. El
ajuste de VLAN del grupo de usuarios invalidar el ajuste de VLAN dinmico.

Como configuro SSIDs con grupo de usuarios?
El nmero de SSIDs puede ser reducido cuando se implementan grupos de usuarios. Del ejemplo en
la seccin de Ejemplo de Aplicacin, 3 potenciales SSIDs diferentes pueden reducirse en 2: una
SSID para estudiantes y administrativos con WPA2 y autenticacin y otra SSID para invitados y
proveedores que es abierta y con autenticacin a travs de pgina web.

Qu polticas debera definir al nivel de SSID?
Esto depende de cmo la SSID vaya a ser utilizada. Ejemplos de polticas para configurar a nivel de
SSID incluyen:

Bandas de radios 11a/b/g/n
Autenticacin 802.1x
Tipo de Encriptacin: WPA2/WPA/WEP
Servidor RADIUS

Qu polticas debera definir al nivel de grupo de usuarios?
Polticas al nivel de grupo de usuarios generalmente sern muy especficas al perfil del tipo de usuario.
Un ejemplo para el grupo de estudiantes:

Lmites de trfico por estacin
Tiempo del dia con acceso
Das de la semana con acceso
Web Page Redirect utilizando autenticacin y aceptanto la polticas de uso.

Dnde puedo encontrar ms informacin acerca de RADIUS?
RFC 2865 Remote Authentication Dial In User Service (RADIUS)
Xirrus TechTip TT-1002 prove detalles en como realizar los ajustes y configuracin de un
servidor Microsoft IAS RADIUS.