“Año del Diálogo y la Reconciliación Nacional”

UNIVERSIDAD NACIONAL DE
TRUJILLO
FACULTAD DE INGENIERIA
ESCUELA DE ING. DE SISTEMAS

ANÁLISIS Y DISEÑO DE REDES

TEMA : Fundamentos del diseño de la LAN inalámbrica del campus

DOCENTE : Mg. SUAREZ REBAZA, CAMILO ERNESTO

ALUMNOS :

 ASENCIO ORTIZ, DANIEL ALEXANDER

 CARRANZA TORRES, BRANDON J.
 DIAZ PAREDES, JORGE LUIS
 GUEVARA LINARES, PAÚL JHEFERSON
 SAAVEDRA MIGUEL, REISSON MIGUEL

CICLO : IX

TRUJILLO- PERÚ

2018
 UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES

Contenido
Fundamentos del diseño de la LAN inalámbrica del campus........................................................ 3
Infraestructura .......................................................................................................................... 3
Cisco WLAN Controladores ....................................................................................................... 4
Modelos de diseño inalámbrico ................................................................................................ 5
Consideraciones de diseño inalámbrico.................................................................................... 5
Alta disponibilidad ................................................................................................................. 5
Alta disponibilidad SSO ......................................................................................................... 6
N + 1 alta disponibilidad ........................................................................................................ 6
Agregación de enlace de controlador WLAN ........................................................................ 6
Soporte Multicast ...................................................................................................................... 7
Controladores WLAN de Cisco .............................................................................................. 7
Puntos de acceso Cisco OfficeExtend .................................................................................... 8
Modelos de diseño de OfficeExtend ..................................................................................... 8
Cisco adapta el sistema WIPS ................................................................................................ 9
Selección de banda.................................................................................................................. 10
Asignación flexible de radio .................................................................................................... 10
Cisco ClientLink........................................................................................................................ 10
Selección dinámica de ancho de banda - DBS......................................................................... 11
Campus Inalámbrico CleanAir ................................................................................................. 11
WLANs seguras ........................................................................................................................ 12
Control de acceso administrativo........................................................................................ 13
Perfiles Locales .................................................................................................................... 14
Lista de verificación de mejores prácticas .............................................................................. 15

2| Página
 UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES

Fundamentos del diseño de la LAN inalámbrica del campus

La WLAN del campus proporciona datos ubicuos y conectividad de voz para los empleados,
acceso inalámbrico a Internet para invitados y dispositivos de conectividad para Internet de las
cosas. Independientemente de su ubicación dentro de la organización, en campus grandes o en
sitios remotos: los usuarios inalámbricos tienen la misma experiencia cuando se conectan a voz,
video, y servicios de datos.

Los beneficios de la WLAN del campus incluyen:

 Mejoras de productividad a través de un acceso a la red seguro e independiente de la

ubicación: mejoras cuantificables de la productividad y comunicación.
 Flexibilidad de red adicional: ubicaciones difíciles de cablear conectadas de forma
inalámbrica, sin costosas construcciones.
 Implementación rentable: adopción de tecnologías virtualizadas dentro de la
arquitectura inalámbrica general.
 Fácil de administrar y operar: desde un único panel de cristal, control centralizado de
un entorno inalámbrico distribuido.
 Implementación Plug-and-Play: aprovisionamiento automático cuando un AP está
conectado a la red cableada de soporte.
 Diseño resistente y tolerante a fallas: conectividad inalámbrica confiable en entornos
de misión crítica, que incluyen gestión completa del espectro de radiofrecuencia (RF).
 Soporte para usuarios inalámbricos: traiga su propio dispositivo (BYOD), modelos de
diseño.
 Transmisión eficiente de tráfico de multidifusión: soporte para muchas aplicaciones de
comunicación grupales, como video y push-to-talk.

Infraestructura
La WLAN del campus se basa en estos componentes principales de hardware y software:

• Controladores WLAN de Cisco

• AP ligero de Cisco

• Cisco Prime Infrastructure (PI)

• Cisco Mobility Services Engine (MSE) / Cisco Connected Mobile Experiences (CMX)

3| Página
 UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES

Cisco WLAN Controladores

El WLAN del campus es un diseño inalámbrico basado en controlador, que simplifica la
administración de la red al usar Cisco Controladores WLAN (WLC) para centralizar la
configuración y el control de AP inalámbricos. Este enfoque permite WLAN para operar como
una red de información inteligente y para soportar servicios avanzados. Los siguientes son
algunos de los beneficios del diseño basado en controlador:

• Menores gastos operacionales: permite configuraciones de cero-contacto para AP

ligeros; diseño fácil de canal y configuraciones de potencia y administración en tiempo
real, incluida la identificación de cualquier orificio de RF para optimizar la RF ambiente;
movilidad fluida a través de varios AP dentro del grupo de movilidad; y una visión
holística de la red, apoyando decisiones sobre escala, seguridad y operaciones
generales.
• Activación optimizada: permite la configuración simplificada del controlador WLAN y la
red inalámbrica general mediante la implementación de las mejores prácticas durante
la configuración inicial de WLC.
• Retorno de inversión mejorado: permite instancias virtualizadas del controlador de
WLAN, solo para el virtual
 Controlador LAN inalámbrico (vWLC): reduce el costo total de propiedad al aprovechar
su inversión en virtualización.
• Forma más fácil de escalar con un diseño óptimo: permite que la red escale bien, al
admitir un sistema centralizado (local mode) para entornos de campus, y el diseño de
Cisco FlexConnect para sitios lean remotos.
• Conmutación con estado de alta disponibilidad: permite una conectividad sin
interrupciones a los dispositivos inalámbricos del cliente durante una falla del
controlador WLAN.

Los controladores WLAN de Cisco son responsables de las funciones WLAN de todo el sistema,
como las políticas de seguridad, la intrusión prevención, gestión de RF, QoS y movilidad.
Funcionan junto con los AP ligeros de Cisco para admitir aplicaciones inalámbricas críticas para
la empresa. Desde servicios de voz y datos hasta el seguimiento de ubicaciones, Cisco WLAN
los controladores proporcionan el control, la escalabilidad, la seguridad y la confiabilidad que
los administradores de red necesitan para construir de forma segura redes inalámbricas
escalables.

La siguiente tabla resume los controladores WLAN de Cisco a los que se hace referencia en
esta guía.

4| Página
 UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES

Plataformas de Controlador WLAN

Plataforma Modo de Topología preferida Máximo Clientes Rendimiento

implementación APs máximos del
controlador
Cisco 8540 Centralizada o Gran sitio único o 6000 64000 40 Gbps
Flexconnect múltiple
Cisco 5520 Centralizada o Gran sitio único o 1500 20000 20 Gbps
Flexconnect múltiple
Cisco 3504 Centralizada o Sitio pequeño 150 3000 4 Gbps
Flexconnect controlador local
Cisco vWLC Flexconnect Número medio de 200 6000 500 Mbps
(Pequeño) sitios pequeños
Cisco vWLC Flexconnect Gran cantidad de 3000 32000 1 Gbps
(Largo) sitios pequeños

Debido a que la flexibilidad de la licencia de software le permite agregar AP adicionales cuando

cambian los requisitos del negocio, puede elegir el controlador que respaldará sus necesidades
a largo plazo, pero usted compra licencias incrementales de punto de acceso solo cuando las
necesite.

Modelos de diseño inalámbrico

Existen tres modelos de diseño y de uso recomendado:

• Modelo de diseño centralizado (modo local)

• Modelo de diseño FlexConnect

• Modelo de diseño inalámbrico SD-Access

Consideraciones de diseño inalámbrico

Alta disponibilidad
A medida que más dispositivos con funciones críticas se trasladan al medio inalámbrico, la alta
disponibilidad de la infraestructura inalámbrica se está volviendo cada vez más importante. La
comunicación de audio, video y texto en tiempo real se basa en la red inalámbrica corporativa,
y la expectativa de cero-tiempo de inactividad se está convirtiendo en la norma. Los impactos
negativos de las interrupciones de la red inalámbrica son tan impactantes como las
interrupciones de la red cableada. La implementación de una alta disponibilidad dentro de la
infraestructura inalámbrica involucra múltiples componentes y funcionalidades desplegados a
lo largo de toda la infraestructura de red, que a su vez debe diseñarse para alta disponibilidad.
Esta sección trata sobre la alta disponibilidad específica para la implementación de plataformas
de controlador inalámbrico. La redundancia a nivel de plataforma se refiere a la capacidad de
mantener el servicio inalámbrico cuando se pierde la conectividad con una o más plataformas
físicas de controladoras WLAN dentro de un sitio.

Los métodos de alta disponibilidad discutidos en esta guía de diseño son los siguientes:

• Alta disponibilidad SSO

• N + 1 alta disponibilidad
• Agregación de enlace de controlador WLAN

5| Página
 UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES

Alta disponibilidad SSO

Cisco AireOS admite conmutación con estado de punto de acceso y conmutación con estado de
cliente. Estas dos características se conocen colectivamente como HA SSO. Por simplicidad y
eficacia, HA SSO es la opción preferida para proporcionar alta disponibilidad. Al utilizar el modelo
de licencia HA SSO rentable, las implementaciones inalámbricas de Cisco pueden mejorar la
disponibilidad de la red inalámbrica con los tiempos de recuperación del controlador en el rango
inferior a un segundo durante una interrupción del controlador WLAN. Además, HA SSO permite
que el controlador de WLAN resistente tenga una licencia rentable como controlador resistente
de reserva con su cuenta de licencia de punto de acceso heredada automáticamente de su
controlador de WLAN primario emparejado. Esto se logra mediante la compra de un controlador
resistente de reserva utilizando el HA SKU disponible para los controladores WLAN de las Cisco
5500 y 8500 Series. La configuración y las actualizaciones de software del controlador de WLAN
principal se sincronizan automáticamente con el controlador de WLAN en espera elástico.

N + 1 alta disponibilidad
Puede utilizar la arquitectura N + 1 HA para proporcionar redundancia a los controladores WLAN
en un solo sitio o en sitios geográficamente separados con un menor costo general de
implementación. A menudo se implementa junto con la arquitectura FlexConnect para
proporcionar alta disponibilidad en los centros de datos para sucursales remotas. Puede usar un
único controlador WLAN de respaldo para proporcionar respaldo para múltiples controladores
WLAN primarios. La funcionalidad HA SSO no es compatible con N + 1 HA. Cuando el controlador
primario falla, la máquina de estado AP CAPWAP se reinicia. Con N + 1 HA, los controladores
WLAN son independientes entre sí y no comparten la configuración o las direcciones IP en
ninguna de sus interfaces. Cada WLC debe administrarse por separado, puede ejecutar
hardware diferente y puede implementarse en diferentes centros de datos a través del enlace
WAN. Se recomienda (pero no es obligatorio) que ejecute la misma versión de software en los
WLC utilizados para N + 1 HA, a fin de reducir el tiempo de inactividad a medida que los AP
establecen sesiones CAPWAP para los controladores de respaldo. Puede configurar APs con una
prioridad con N + 1 HA. Los AP con alta prioridad en el controlador primario siempre se conectan
primero al controlador de respaldo, incluso si tienen que expulsar AP de baja prioridad. Cuando
un WLC primario reanuda la operación, los AP retroceden automáticamente desde el WLC de
respaldo al WLC primario, si la opción de respaldo de AP está habilitada.

Agregación de enlace de controlador WLAN

La mayoría de los dispositivos con control inalámbrico de Cisco tienen múltiples puertos físicos
de 1 o 10 Gigabit Ethernet. En las implementaciones típicas, una o más WLAN / identificadores
de conjuntos de servicios (SSID) se asignan a una interfaz dinámica, que luego se asigna a un
puerto físico. En un diseño centralizado, el tráfico inalámbrico se transfiere a través de la
infraestructura de red y termina en los puertos físicos. Con el uso de un único puerto físico por
WLAN, el rendimiento de cada WLAN se limita al rendimiento del puerto. Por lo tanto, una
alternativa es implementar la agregación de enlaces (LAG) a través de los puertos del sistema
de distribución, agrupándolos en una única interfaz de alta velocidad.

6| Página
 UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES

Soporte Multicast
Las aplicaciones de video y voz continúan creciendo a medida que los teléfonos inteligentes,
tabletas y computadoras se agregan a las redes inalámbricas en todos los aspectos de nuestra
vida cotidiana. En cada uno de los modelos de diseño inalámbrico, el soporte de multidifusión
al que los usuarios están acostumbrados en una red cableada está disponible de forma
inalámbrica. Se requiere multidifusión para permitir la entrega eficiente de ciertas aplicaciones
de uno a muchos, tales como video y comunicaciones de grupo push-to-talk. Al ampliar el
soporte de multidifusión más allá del campus y el centro de datos, los usuarios móviles ahora
pueden usar aplicaciones basadas en multidifusión.

La WLAN del campus admite la transmisión de multidifusión para el controlador in situ mediante
el uso del modo de multidifusión multidifusión, que utiliza una dirección IP de multidifusión para
comunicar de manera más eficiente flujos de multidifusión a AP que tienen usuarios
inalámbricos suscritos a un grupo de multidifusión en particular. En esta guía, el modo de
multidifusión multidifusión es compatible con los Controladores de red inalámbrica (WLAN)
Cisco 3500, 5500 y 8500.

Los sitios remotos que usan el Cisco vWLC que usa FlexConnect de Cisco en el modo de
conmutación local también pueden beneficiarse del uso de aplicaciones basadas en
multidifusión. La multidifusión en sitios remotos aprovecha la compatibilidad de WAN y LAN
subyacente del tráfico de multidifusión. Cuando se combinan con AP en el modo FlexConnect
utilizando la conmutación local, los suscriptores a las transmisiones de multidifusión se atienden
directamente a través de la red WAN o LAN sin que se coloque una sobrecarga adicional en el
controlador WLAN.

Controladores WLAN de Cisco

Los controladores WLAN de Cisco funcionan en conjunto con los AP de Cisco OfficeExtend para
admitir aplicaciones inalámbricas críticas para el negocio de los teletrabajadores. Los
controladores WLAN de Cisco proporcionan el control, la escalabilidad, la seguridad y la
confiabilidad que los administradores de redes necesitan para construir un entorno de
teletrabajador seguro y escalable.

Un controlador independiente puede admitir hasta 500 sitios Cisco OfficeExtend. Para una
solución resistente, Cisco recomienda implementar controladores en pares.

Los siguientes controladores son las opciones preferidas para Cisco OfficeExtend:

• Controlador LAN inalámbrico serie Cisco 3500

• Controlador de LAN inalámbrica serie Cisco 5500

Debido a que la flexibilidad de la licencia de software le permite agregar AP adicionales a medida

que cambian los requisitos del negocio, puede elegir el controlador que respaldará sus
necesidades a largo plazo, permitiéndole pagar solo lo que necesita, cuando lo necesita.

Para permitir a los usuarios conectar sus dispositivos terminales a la red inalámbrica de la
organización o a sus redes inalámbricas de teletrabajo sin reconfiguración, Cisco OfficeExtend
utiliza los mismos SSID inalámbricos en los hogares de los teletrabajadores que aquellos que
admiten datos y voz dentro de la organización.

7| Página
 UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES

Puntos de acceso Cisco OfficeExtend

El punto de acceso OfficeExtend de Cisco Aironet serie 1810W es liviano, lo que significa que no
puede actuar independientemente de un controlador WLAN. Para ofrecer conectividad WLAN
remota utilizando el mismo perfil que en la oficina corporativa, el AP valida todo el tráfico contra
las políticas de seguridad centralizadas. Mediante el uso de controladores WLAN para la
centralización de políticas, Cisco OfficeExtend minimiza la sobrecarga de administración
asociada con los firewalls basados en el hogar. Una conexión de seguridad de capa de transporte
de datagrama protege las comunicaciones entre el AP y el controlador WLAN.

Cisco OfficeExtend brinda rendimiento inalámbrico 802.11ac y evita la congestión causada por
dispositivos residenciales porque opera simultáneamente en las bandas de RF de 2,4 GHz y 5
GHz. El AP también proporciona conectividad Ethernet por cable además de inalámbrica. El
punto de acceso Cisco OfficeExtend proporciona segmentación cableada e inalámbrica del
tráfico doméstico y corporativo, lo que permite la conectividad del dispositivo doméstico sin
introducir riesgos de seguridad para la política corporativa.

Modelos de diseño de OfficeExtend

Para la implementación más flexible y segura de Cisco OfficeExtend, implemente un par de
controladoras dedicadas para Cisco OfficeExtend utilizando los Controladores LAN inalámbricos
de la serie 5500 o 3500 de Cisco. En el modelo de diseño dedicado, el controlador se conecta
directamente a la DMZ de borde de Internet y el tráfico de Internet finaliza en la DMZ (a
diferencia de en la red interna), mientras que el tráfico del cliente todavía está conectado
directamente a la red interna.

Modelo de diseño dedicado de Cisco OfficeExtend

8| Página
 UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES

Cisco adapta el sistema WIPS

Los componentes básicos del sistema para un sistema Cisco adaptativo WIPS incluyen:

• AP en el modo de monitor Cisco WIPS, en modo local mejorado, o con Cisco WSM
• Controlador (s) WLAN
• Cisco MSE ejecuta el servicio Cisco wIPS
• Infraestructura principal de Cisco

Una implementación integrada de wIPS es un diseño de sistema en el que los AP del modo no
WIPS y los AP del modo wIPS se entremezclan en el (los) mismo (s) controlador (es) y son
administrados por la misma Infraestructura principal. Puede ser cualquier combinación de modo
local, modo FlexConnect, modo local mejorado, modo de monitor y AP modulares que admiten
WSM. Al superponer la protección WIPS y los recursos compartidos de datos utilizando WSM en
los AP, puede reducir los costos de infraestructura.

Operación wIPS con Cisco MSE

9| Página
 UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES

Selección de banda
La mayoría de los dispositivos de consumo que se lanzan hoy operan en uno o en ambos rangos
de frecuencia, o las bandas de dispositivos de doble banda son bastante comunes; sin embargo,
las bandas compatibles con los dispositivos no se crean por igual. Las propiedades y el número
de frecuencias disponibles para los dispositivos de 2,4 GHz y 5 GHz difieren significativamente,
con 5 GHz que tienen tanto como 8 veces el ancho de banda disponible como 2,4 GHz. Aun así,
las propiedades físicas de 2,4 GHz permiten que un dispositivo se escuche mucho más (1,5 veces
más) que los dispositivos de 5 GHz que operan al mismo nivel de potencia.

La selección de banda permite la identificación de clientes de doble banda y ayuda a los

dispositivos a tomar decisiones informadas sobre qué rango de frecuencia y AP seleccionar. El
sistema hace esto simplemente sin responder a las sondas de 2,4 GHz de un cliente y
respondiendo inmediatamente al cliente cuando el cliente usa sondas de 5 GHz. Este
comportamiento del sistema alienta a los clientes a usar el ancho de banda superior disponible
en 5 GHz y aumenta la capacidad general de la red.

Se recomienda a las organizaciones habilitar la selección de banda en todos los entornos. Para
obtener más información sobre cómo configurar la Selección de Banda, visite cisco.com y busque
"Wireless Controller Configuration 802.11 Bands".

Asignación flexible de radio

Flexible Radio Assignment (FRA) es una nueva característica que aprovecha las opciones de
hardware disponibles en los puntos de acceso de la serie Cisco 2800/3800. Nota de la discusión
de selección de banda que hay limitaciones a 2.4 GHz. Si está desplegando AP para una cobertura
y densidad óptimas de 5 GHz, es probable que tenga una densidad innecesariamente alta de
radios de 2.4 GHz y sus opciones limitadas de selección de canales, lo que causará problemas de
interferencia. FRA mide esto e identifica los AP cuya radio de 2.4 GHz puede ser asignada
selectivamente a un rol que optimice el uso del espectro de RF.

FRA primero identifica los AP redundantes y luego logra cambiar la radio XOR individual a otra
banda. FRA confía en hardware capaz así como en DCA existente para administrar la
conmutación de roles de interfaz. FRA también proporciona una nueva métrica, Factor de
superposición de cobertura, que los administradores pueden usar para seleccionar y configurar
radios redundantes de forma manual dentro de la implementación.

Cisco ClientLink
La tecnología de red inalámbrica Cisco ClientLink utiliza la formación de haces para mejorar la
relación señal / ruido para todos los clientes inalámbricos y no está limitada a aquellos que
admiten el estándar 802.11n (que tiene una adopción mínima de la implementación del cliente)
o el estándar 802.11ac. Todos los Cisco 2800 Series y 3800 AP admiten Cisco ClientLink, que se
habilita automáticamente y proporciona una mayor relación señal / ruido percibida para todos
los clientes (incluso los heredados 802.11a, b, g). Como resultado, la red permite velocidades de
datos más altas y una mayor eficiencia de tiempo aire. En resumen, la comunicación es más
rápida, por lo que hay más tiempo disponible para todos.

10| Página
 UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES

ClientLink es una innovación de Cisco disponible desde 2010 para hacer que las redes 802.11
sean más robustas. La implementación de ClientLink es única porque no requiere la asistencia
del cliente, lo que significa que no depende del fabricante del cliente implementar nada para
lograr los beneficios de ClientLink

Selección dinámica de ancho de banda - DBS

Con la introducción de 802.11n, y más tarde con 802.11ac Wave 1 y Wave 2, tiene la capacidad
de usar múltiples canales juntos como una única asignación en un AP determinado. Esto
aumenta la cantidad de ancho de banda disponible para un canal dado y mejora el rendimiento
y la velocidad aparente percibida por el cliente. Sin embargo, para usar estos canales
combinados, un AP y un cliente deben soportar la capacidad, lo que no es posible con los clientes
802.11n. Los clientes de características reducidas y casi todos los teléfonos inteligentes 802.11n
están limitados a un ancho de canal de 20 MHz; mientras que un cliente 802.11ac debe admitir
un ancho de canal de hasta 80 MHz para poder certificarse. Actualmente, los clientes en la
mayoría de las redes son en gran parte dispositivos 802.11n, junto con algunos clientes
802.11ac. Se espera que este entorno mixto sea común durante algún tiempo en el mercado.

Campus Inalámbrico CleanAir

Cisco CleanAir es una solución de inteligencia de espectro diseñada para administrar
proactivamente la interferencia que no sea WiFi, que también opera en los espectros de 2,4 y 5
GHz. Muchos dispositivos de consumo también usan las mismas frecuencias que usa en WiFi
802.11. Los dispositivos como los auriculares Bluetooth, los hornos microondas y muchos
dispositivos IOT nuevos usan protocolos diferentes pero ocupan las mismas frecuencias
requeridas para el funcionamiento de la WLAN. Cisco CleanAir es una innovación disponible solo
cuando se implementa en el silicio de los AP con capacidad CleanAir. CleanAir está dedicado a
detectar e identificar fuentes de interferencia que, de lo contrario, simplemente aparecerían
como ruido en un chipset de Wi-Fi. Todos los puntos de acceso Cisco 2800 Series y 3800 Series
incluyen el conjunto de chips CleanAir. La tecnología fue lanzada en 2010 y se ha adaptado
continuamente para mantenerse al día con el mercado y la naturaleza cambiante del espectro
WLAN. CleanAir supervisa la capacidad de ancho de banda de canal completo de un AP
compatible con CleanAir independientemente de los requisitos de despliegue, y como resultado,
supervisa el rango de canales de 20 MHz a 160 MHz. CleanAir puede informar el análisis y los
hallazgos a través del controlador WLAN. Puede usar ciertas implementaciones CMX y Cisco
Prime para mapear tanto la interferencia como el impacto de la interferencia para facilitar el
análisis y la resolución de problemas.

En el nivel del controlador, puede usar dos estrategias de mitigación para ayudar a mantener
su red y evitar interrupciones asociadas con fuentes comunes de interferencia que no sean
WiFi:

• Evitación de interferencia persistente: permite que WLC rastree e informes

interferentes que no sean Wi-Fi a DCA. Por ejemplo, puede haber un horno de
microondas que se vuelve bastante activo a la hora del almuerzo todos los días. La
Evitación persistente de interferencias recuerda este dispositivo e instruye a DCA para
que elija canales para los AP afectados que no serán interferidos por esta fuente de
interferencia periódica.

11| Página
 UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES

• ED-RRM: ayuda a mitigar las interrupciones de las fuentes de interferencia (quizás una
cámara de video) que usan el 100% del tiempo de aire disponible cuando está habilitado.
Debido a que esta interferencia no es reconocible como otra cosa que no sea ruido al
chipset 802.11, todos los clientes y AP generalmente esperan que el canal esté menos
ocupado

WLANs seguras
Los dispositivos inalámbricos deben conectarse a la infraestructura de red de forma segura
siempre que sea posible. En un entorno empresarial, debe configurar WLAN para admitir WPA2
con encriptación AES-CCMP y autenticación de dispositivos 802.1x. Esto a veces se denomina
WPA Enterprise en dispositivos inalámbricos. La mayoría de los dispositivos inalámbricos
modernos son compatibles con WPA2. No se recomienda el uso de métodos de seguridad
anteriores, como WEP o WPA, debido a las vulnerabilidades de seguridad conocidas. La
autenticación 802.1x requiere un servidor AAA, como Cisco ISE, que proporciona administración
y control centralizados y basados en políticas para que los usuarios finales accedan a la red
inalámbrica.

Normalmente, el servidor AAA implementará el protocolo RADIUS entre él y el WLC. La

autenticación de los usuarios finales se realiza a través de una sesión de protocolo de
autenticación extensible (EAP) entre el dispositivo inalámbrico y el servidor AAA. La sesión EAP
se transporta a través de RADIUS entre el WLC y el servidor AAA. Dependiendo de las
capacidades del dispositivo inalámbrico, las capacidades del servidor AAA y los requisitos de
seguridad de la organización, se pueden implementar múltiples variantes de EAP, como PEAP y
EAP-TLS. PEAP hace uso de las credenciales de usuario estándar (ID de usuario y contraseña)
para la autenticación. EAP-TLS hace uso de certificados digitales para autenticación.

Se recomienda encarecidamente que implemente servidores AAA redundantes para alta

disponibilidad en caso de que uno o más servidores se vuelvan temporalmente no disponibles.
A menudo, el servidor AAA está configurado para hacer referencia a un directorio externo o un
almacén de datos como el Active Directory (AD) de Microsoft. Esto permite que el administrador
de red aproveche las credenciales de AD existentes en lugar de duplicarlas dentro del servidor
AAA. Esto también se puede ampliar para proporcionar control de acceso basado en roles (RBAC)
para los usuarios finales mediante el uso de grupos de AD. Por ejemplo, puede ser deseable
proporcionar acceso restringido a la red a contratistas a largo plazo, a diferencia del acceso
otorgado a los empleados. El uso de un directorio externo o almacén de datos también puede
proporcionar un único punto para otorgar o revocar credenciales, no solo para acceder a la
infraestructura de red, sino también para acceder a otros recursos dentro de la organización. El
servidor AAA mismo puede aplicar reglas adicionales basadas en políticas para la autorización a
la red, tales como tipo de dispositivo, hora del día, ubicación, etc., dependiendo de las
capacidades del servidor AAA. Los registros y la contabilidad de AAA se pueden usar para
proporcionar un registro de auditoría del acceso de cada empleado a la infraestructura de la red
inalámbrica.

El uso de WPA2 con cifrado AES-CCMP en la WLAN no se extiende a marcos de administración.

Por lo tanto, el uso opcional de marcos de gestión protegidos (PMF) es aconsejable para WLAN
cuando sea posible. PMF es parte del estándar IEEE 802.11, que proporciona un nivel de
protección criptográfica a marcos de administración robustos, como marcos de des-
autenticación y disociación, evitando que sean falsificados. Cabe señalar que los beneficios de

12| Página
 UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES

PMF requieren clientes inalámbricos para admitir PMF. Cisco también ofrece una versión
anterior de Management Frame Protection (MFP) que tiene componentes de infraestructura y
de cliente.

En un entorno de oficina doméstica, puede ser necesario configurar una WLAN para admitir
WPA2 con clave precompartida (PSK). Esto a veces se denomina WPA Personal en dispositivos
inalámbricos. Esto puede ser necesario porque la implementación de un servidor AAA no es
rentable para la cantidad de usuarios finales que acceden a la WLAN. Esto también puede ser
necesario en otros entornos si no hay un usuario final asociado con un dispositivo inalámbrico,
el dispositivo inalámbrico no admite la capacidad de configurar un ID de usuario y contraseña,
o el dispositivo inalámbrico no puede admitir un certificado digital. Como el PSK se comparte
entre todos los dispositivos que acceden a la infraestructura inalámbrica, puede ser necesario
cambiar el PSK si un empleado que conoce el PSK deja la organización. Además, con WPA PSK,
no hay una pista de auditoría sencilla del acceso de cada empleado a la red.

El uso de una WLAN abierta y dedicada sigue siendo común, pero no ideal, para el acceso de
invitados inalámbricos. Por lo tanto, la configuración de una WLAN no segura en la
infraestructura de red aún puede ser necesaria. Las WLAN de invitado de acceso abierto a
menudo se implementan para minimizar la complejidad de incorporar a un invitado que solo
necesita conectividad de red inalámbrica temporal. Normalmente, la WLAN invitada finaliza
fuera del firewall corporativo, lo que no permite el acceso a los recursos corporativos, por lo que
solo se permite el acceso a Internet. Dependiendo de los requisitos de la organización, se puede
requerir que los huéspedes se autentiquen antes de que se les permita acceder a Internet.
Normalmente, se utiliza un modelo de portal cautivo con WebAuth, en el cual las sesiones web
de los invitados se redirigen a un portal, que autentica al huésped antes de permitir el acceso a
Internet.

Control de acceso administrativo

Se recomienda implementar un control de acceso administrativo seguro a los componentes de
la infraestructura inalámbrica para mitigar el acceso no autorizado. Por lo general, puede
implementar el control de acceso administrativo a través de la base de datos de usuario local en
cada dispositivo de infraestructura, o a través de un servidor AAA centralizado, como Cisco ISE.

Para una pequeña cantidad de dispositivos de infraestructura de red, la configuración de cuentas

individuales de administrador local en cada dispositivo de infraestructura puede ser aceptable.
Se recomienda que la cantidad de administradores sea limitada y que cada administrador tenga
una cuenta única. Una cuenta de administrador compartido limita la capacidad de auditar quién
accedió a un dispositivo de red particular y posiblemente realizó cambios de configuración.
Cuando los empleados abandonan la organización o se mudan a otros grupos, su acceso
administrativo debe revocarse inmediatamente. Con cuentas de administrador individuales,
solo se debe revocar la cuenta para el empleado en particular.

A medida que crece la cantidad de dispositivos de infraestructura dentro de la red, la carga

administrativa de configurar cuentas de administrador local individuales en cada dispositivo de
infraestructura puede volverse inmanejable. Por lo tanto, se recomienda que controle el acceso
administrativo a través de un servidor AAA, que proporciona administración y control
centralizados y basados en políticas. Se recomienda que implemente servidores AAA
redundantes para alta disponibilidad en caso de que uno o más servidores se vuelvan
temporalmente no disponibles. Los administradores de red aún pueden configurar una cuenta

13| Página
 UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES

de administrador local individual en cada dispositivo de infraestructura para el acceso local a

través del puerto de consola, en caso de que se pierda todo el acceso a la red al dispositivo de
la infraestructura.

Perfiles Locales
Cisco ISE actualmente ofrece un amplio conjunto de características que proporcionan
identificación de dispositivos, incorporación, postura y políticas. Como alternativa, el perfilado
local en el WLC realiza el perfilado de dispositivos basados en protocolos como HTTP y DHCP
para identificar los dispositivos finales en la red. El usuario puede configurar las políticas basadas
en dispositivos y hacer cumplir por usuario o por política de dispositivo en la red. El WLC también
mostrará estadísticas basadas en puntos finales y políticas aplicables por dispositivo o por
usuario por dispositivo. Con la creación de perfiles locales, puede implementar BYOD a pequeña
escala dentro del propio WLC.

El perfilado y la aplicación de políticas se configuran como dos componentes separados. La

configuración en el WLC se basa en parámetros definidos específicos para los clientes que se
unen a la red. Los atributos de política que son de interés son:

• Rol: define el tipo de usuario o el grupo de usuarios al que pertenece el usuario

(Ejemplos: Estudiante o Empleado)
• Dispositivo: define el tipo de dispositivo (por ejemplo: máquina Windows, teléfono
inteligente o dispositivo Apple)
• Hora del día: permite definir la configuración a la hora del día en que se permiten los
puntos finales en la red.
• EAP Type: comprueba el método EAP utilizado por el cliente.

Los parámetros anteriores se pueden configurar como atributos de coincidencia de política.

Después de que el WLC tiene una coincidencia correspondiente a los parámetros anteriores
por punto final, la aplicación de la política entra en escena. La aplicación de la política se
basará en los atributos de la sesión tales como:

VLAN

• ACL
• Hora de término de la sesión
• QoS
• Cliente dormido
• FlexConnect ACL
• Perfil AVC (agregado en versión 8.0)
• Perfil mDNS (agregado en versión 8.0)

El usuario puede configurar estas políticas y hacer cumplir los puntos finales con políticas
específicas. Los clientes inalámbricos se perfilan en función de MAC OUI, DHCP y agente de
usuario HTTP (se requiere Internet válido para el perfil HTTP satisfactorio). El WLC usa estos
atributos y perfiles de clasificación predefinidos para identificar el dispositivo.

14| Página
 UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES

Lista de verificación de mejores prácticas

Para la comodidad de los ingenieros de despliegue de red, comenzando con el lanzamiento del
software CUWN (AireOS) 8.1, se encuentra disponible una lista de verificación de mejores
prácticas dentro del tablero para los controladores WLAN. La lista de verificación se utiliza para
ajustar con precisión la configuración de WLC para que coincida con las mejores prácticas según
lo sugerido por Cisco. La lista de verificación compara la configuración local en el controlador
con las mejores prácticas recomendadas y resalta todas las características que difieren. El
cheque también proporciona un panel de configuración simple para activar las mejores
prácticas. El uso de las mejores prácticas es muy recomendable para una implementación de
WLAN que involucre WLC.

15| Página