Académique Documents
Professionnel Documents
Culture Documents
UNIVERSIDAD NACIONAL DE
TRUJILLO
FACULTAD DE INGENIERIA
ESCUELA DE ING. DE SISTEMAS
ALUMNOS :
CICLO : IX
TRUJILLO- PERÚ
2018
UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES
Contenido
Fundamentos del diseño de la LAN inalámbrica del campus........................................................ 3
Infraestructura .......................................................................................................................... 3
Cisco WLAN Controladores ....................................................................................................... 4
Modelos de diseño inalámbrico ................................................................................................ 5
Consideraciones de diseño inalámbrico.................................................................................... 5
Alta disponibilidad ................................................................................................................. 5
Alta disponibilidad SSO ......................................................................................................... 6
N + 1 alta disponibilidad ........................................................................................................ 6
Agregación de enlace de controlador WLAN ........................................................................ 6
Soporte Multicast ...................................................................................................................... 7
Controladores WLAN de Cisco .............................................................................................. 7
Puntos de acceso Cisco OfficeExtend .................................................................................... 8
Modelos de diseño de OfficeExtend ..................................................................................... 8
Cisco adapta el sistema WIPS ................................................................................................ 9
Selección de banda.................................................................................................................. 10
Asignación flexible de radio .................................................................................................... 10
Cisco ClientLink........................................................................................................................ 10
Selección dinámica de ancho de banda - DBS......................................................................... 11
Campus Inalámbrico CleanAir ................................................................................................. 11
WLANs seguras ........................................................................................................................ 12
Control de acceso administrativo........................................................................................ 13
Perfiles Locales .................................................................................................................... 14
Lista de verificación de mejores prácticas .............................................................................. 15
2| Página
UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES
Infraestructura
La WLAN del campus se basa en estos componentes principales de hardware y software:
• AP ligero de Cisco
• Cisco Mobility Services Engine (MSE) / Cisco Connected Mobile Experiences (CMX)
3| Página
UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES
Los controladores WLAN de Cisco son responsables de las funciones WLAN de todo el sistema,
como las políticas de seguridad, la intrusión prevención, gestión de RF, QoS y movilidad.
Funcionan junto con los AP ligeros de Cisco para admitir aplicaciones inalámbricas críticas para
la empresa. Desde servicios de voz y datos hasta el seguimiento de ubicaciones, Cisco WLAN
los controladores proporcionan el control, la escalabilidad, la seguridad y la confiabilidad que
los administradores de red necesitan para construir de forma segura redes inalámbricas
escalables.
La siguiente tabla resume los controladores WLAN de Cisco a los que se hace referencia en
esta guía.
4| Página
UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES
Los métodos de alta disponibilidad discutidos en esta guía de diseño son los siguientes:
5| Página
UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES
N + 1 alta disponibilidad
Puede utilizar la arquitectura N + 1 HA para proporcionar redundancia a los controladores WLAN
en un solo sitio o en sitios geográficamente separados con un menor costo general de
implementación. A menudo se implementa junto con la arquitectura FlexConnect para
proporcionar alta disponibilidad en los centros de datos para sucursales remotas. Puede usar un
único controlador WLAN de respaldo para proporcionar respaldo para múltiples controladores
WLAN primarios. La funcionalidad HA SSO no es compatible con N + 1 HA. Cuando el controlador
primario falla, la máquina de estado AP CAPWAP se reinicia. Con N + 1 HA, los controladores
WLAN son independientes entre sí y no comparten la configuración o las direcciones IP en
ninguna de sus interfaces. Cada WLC debe administrarse por separado, puede ejecutar
hardware diferente y puede implementarse en diferentes centros de datos a través del enlace
WAN. Se recomienda (pero no es obligatorio) que ejecute la misma versión de software en los
WLC utilizados para N + 1 HA, a fin de reducir el tiempo de inactividad a medida que los AP
establecen sesiones CAPWAP para los controladores de respaldo. Puede configurar APs con una
prioridad con N + 1 HA. Los AP con alta prioridad en el controlador primario siempre se conectan
primero al controlador de respaldo, incluso si tienen que expulsar AP de baja prioridad. Cuando
un WLC primario reanuda la operación, los AP retroceden automáticamente desde el WLC de
respaldo al WLC primario, si la opción de respaldo de AP está habilitada.
6| Página
UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES
Soporte Multicast
Las aplicaciones de video y voz continúan creciendo a medida que los teléfonos inteligentes,
tabletas y computadoras se agregan a las redes inalámbricas en todos los aspectos de nuestra
vida cotidiana. En cada uno de los modelos de diseño inalámbrico, el soporte de multidifusión
al que los usuarios están acostumbrados en una red cableada está disponible de forma
inalámbrica. Se requiere multidifusión para permitir la entrega eficiente de ciertas aplicaciones
de uno a muchos, tales como video y comunicaciones de grupo push-to-talk. Al ampliar el
soporte de multidifusión más allá del campus y el centro de datos, los usuarios móviles ahora
pueden usar aplicaciones basadas en multidifusión.
La WLAN del campus admite la transmisión de multidifusión para el controlador in situ mediante
el uso del modo de multidifusión multidifusión, que utiliza una dirección IP de multidifusión para
comunicar de manera más eficiente flujos de multidifusión a AP que tienen usuarios
inalámbricos suscritos a un grupo de multidifusión en particular. En esta guía, el modo de
multidifusión multidifusión es compatible con los Controladores de red inalámbrica (WLAN)
Cisco 3500, 5500 y 8500.
Los sitios remotos que usan el Cisco vWLC que usa FlexConnect de Cisco en el modo de
conmutación local también pueden beneficiarse del uso de aplicaciones basadas en
multidifusión. La multidifusión en sitios remotos aprovecha la compatibilidad de WAN y LAN
subyacente del tráfico de multidifusión. Cuando se combinan con AP en el modo FlexConnect
utilizando la conmutación local, los suscriptores a las transmisiones de multidifusión se atienden
directamente a través de la red WAN o LAN sin que se coloque una sobrecarga adicional en el
controlador WLAN.
Un controlador independiente puede admitir hasta 500 sitios Cisco OfficeExtend. Para una
solución resistente, Cisco recomienda implementar controladores en pares.
Los siguientes controladores son las opciones preferidas para Cisco OfficeExtend:
Para permitir a los usuarios conectar sus dispositivos terminales a la red inalámbrica de la
organización o a sus redes inalámbricas de teletrabajo sin reconfiguración, Cisco OfficeExtend
utiliza los mismos SSID inalámbricos en los hogares de los teletrabajadores que aquellos que
admiten datos y voz dentro de la organización.
7| Página
UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES
Cisco OfficeExtend brinda rendimiento inalámbrico 802.11ac y evita la congestión causada por
dispositivos residenciales porque opera simultáneamente en las bandas de RF de 2,4 GHz y 5
GHz. El AP también proporciona conectividad Ethernet por cable además de inalámbrica. El
punto de acceso Cisco OfficeExtend proporciona segmentación cableada e inalámbrica del
tráfico doméstico y corporativo, lo que permite la conectividad del dispositivo doméstico sin
introducir riesgos de seguridad para la política corporativa.
8| Página
UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES
• AP en el modo de monitor Cisco WIPS, en modo local mejorado, o con Cisco WSM
• Controlador (s) WLAN
• Cisco MSE ejecuta el servicio Cisco wIPS
• Infraestructura principal de Cisco
Una implementación integrada de wIPS es un diseño de sistema en el que los AP del modo no
WIPS y los AP del modo wIPS se entremezclan en el (los) mismo (s) controlador (es) y son
administrados por la misma Infraestructura principal. Puede ser cualquier combinación de modo
local, modo FlexConnect, modo local mejorado, modo de monitor y AP modulares que admiten
WSM. Al superponer la protección WIPS y los recursos compartidos de datos utilizando WSM en
los AP, puede reducir los costos de infraestructura.
9| Página
UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES
Selección de banda
La mayoría de los dispositivos de consumo que se lanzan hoy operan en uno o en ambos rangos
de frecuencia, o las bandas de dispositivos de doble banda son bastante comunes; sin embargo,
las bandas compatibles con los dispositivos no se crean por igual. Las propiedades y el número
de frecuencias disponibles para los dispositivos de 2,4 GHz y 5 GHz difieren significativamente,
con 5 GHz que tienen tanto como 8 veces el ancho de banda disponible como 2,4 GHz. Aun así,
las propiedades físicas de 2,4 GHz permiten que un dispositivo se escuche mucho más (1,5 veces
más) que los dispositivos de 5 GHz que operan al mismo nivel de potencia.
Se recomienda a las organizaciones habilitar la selección de banda en todos los entornos. Para
obtener más información sobre cómo configurar la Selección de Banda, visite cisco.com y busque
"Wireless Controller Configuration 802.11 Bands".
FRA primero identifica los AP redundantes y luego logra cambiar la radio XOR individual a otra
banda. FRA confía en hardware capaz así como en DCA existente para administrar la
conmutación de roles de interfaz. FRA también proporciona una nueva métrica, Factor de
superposición de cobertura, que los administradores pueden usar para seleccionar y configurar
radios redundantes de forma manual dentro de la implementación.
Cisco ClientLink
La tecnología de red inalámbrica Cisco ClientLink utiliza la formación de haces para mejorar la
relación señal / ruido para todos los clientes inalámbricos y no está limitada a aquellos que
admiten el estándar 802.11n (que tiene una adopción mínima de la implementación del cliente)
o el estándar 802.11ac. Todos los Cisco 2800 Series y 3800 AP admiten Cisco ClientLink, que se
habilita automáticamente y proporciona una mayor relación señal / ruido percibida para todos
los clientes (incluso los heredados 802.11a, b, g). Como resultado, la red permite velocidades de
datos más altas y una mayor eficiencia de tiempo aire. En resumen, la comunicación es más
rápida, por lo que hay más tiempo disponible para todos.
10| Página
UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES
ClientLink es una innovación de Cisco disponible desde 2010 para hacer que las redes 802.11
sean más robustas. La implementación de ClientLink es única porque no requiere la asistencia
del cliente, lo que significa que no depende del fabricante del cliente implementar nada para
lograr los beneficios de ClientLink
En el nivel del controlador, puede usar dos estrategias de mitigación para ayudar a mantener
su red y evitar interrupciones asociadas con fuentes comunes de interferencia que no sean
WiFi:
11| Página
UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES
• ED-RRM: ayuda a mitigar las interrupciones de las fuentes de interferencia (quizás una
cámara de video) que usan el 100% del tiempo de aire disponible cuando está habilitado.
Debido a que esta interferencia no es reconocible como otra cosa que no sea ruido al
chipset 802.11, todos los clientes y AP generalmente esperan que el canal esté menos
ocupado
WLANs seguras
Los dispositivos inalámbricos deben conectarse a la infraestructura de red de forma segura
siempre que sea posible. En un entorno empresarial, debe configurar WLAN para admitir WPA2
con encriptación AES-CCMP y autenticación de dispositivos 802.1x. Esto a veces se denomina
WPA Enterprise en dispositivos inalámbricos. La mayoría de los dispositivos inalámbricos
modernos son compatibles con WPA2. No se recomienda el uso de métodos de seguridad
anteriores, como WEP o WPA, debido a las vulnerabilidades de seguridad conocidas. La
autenticación 802.1x requiere un servidor AAA, como Cisco ISE, que proporciona administración
y control centralizados y basados en políticas para que los usuarios finales accedan a la red
inalámbrica.
12| Página
UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES
PMF requieren clientes inalámbricos para admitir PMF. Cisco también ofrece una versión
anterior de Management Frame Protection (MFP) que tiene componentes de infraestructura y
de cliente.
En un entorno de oficina doméstica, puede ser necesario configurar una WLAN para admitir
WPA2 con clave precompartida (PSK). Esto a veces se denomina WPA Personal en dispositivos
inalámbricos. Esto puede ser necesario porque la implementación de un servidor AAA no es
rentable para la cantidad de usuarios finales que acceden a la WLAN. Esto también puede ser
necesario en otros entornos si no hay un usuario final asociado con un dispositivo inalámbrico,
el dispositivo inalámbrico no admite la capacidad de configurar un ID de usuario y contraseña,
o el dispositivo inalámbrico no puede admitir un certificado digital. Como el PSK se comparte
entre todos los dispositivos que acceden a la infraestructura inalámbrica, puede ser necesario
cambiar el PSK si un empleado que conoce el PSK deja la organización. Además, con WPA PSK,
no hay una pista de auditoría sencilla del acceso de cada empleado a la red.
El uso de una WLAN abierta y dedicada sigue siendo común, pero no ideal, para el acceso de
invitados inalámbricos. Por lo tanto, la configuración de una WLAN no segura en la
infraestructura de red aún puede ser necesaria. Las WLAN de invitado de acceso abierto a
menudo se implementan para minimizar la complejidad de incorporar a un invitado que solo
necesita conectividad de red inalámbrica temporal. Normalmente, la WLAN invitada finaliza
fuera del firewall corporativo, lo que no permite el acceso a los recursos corporativos, por lo que
solo se permite el acceso a Internet. Dependiendo de los requisitos de la organización, se puede
requerir que los huéspedes se autentiquen antes de que se les permita acceder a Internet.
Normalmente, se utiliza un modelo de portal cautivo con WebAuth, en el cual las sesiones web
de los invitados se redirigen a un portal, que autentica al huésped antes de permitir el acceso a
Internet.
13| Página
UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES
Perfiles Locales
Cisco ISE actualmente ofrece un amplio conjunto de características que proporcionan
identificación de dispositivos, incorporación, postura y políticas. Como alternativa, el perfilado
local en el WLC realiza el perfilado de dispositivos basados en protocolos como HTTP y DHCP
para identificar los dispositivos finales en la red. El usuario puede configurar las políticas basadas
en dispositivos y hacer cumplir por usuario o por política de dispositivo en la red. El WLC también
mostrará estadísticas basadas en puntos finales y políticas aplicables por dispositivo o por
usuario por dispositivo. Con la creación de perfiles locales, puede implementar BYOD a pequeña
escala dentro del propio WLC.
VLAN
• ACL
• Hora de término de la sesión
• QoS
• Cliente dormido
• FlexConnect ACL
• Perfil AVC (agregado en versión 8.0)
• Perfil mDNS (agregado en versión 8.0)
El usuario puede configurar estas políticas y hacer cumplir los puntos finales con políticas
específicas. Los clientes inalámbricos se perfilan en función de MAC OUI, DHCP y agente de
usuario HTTP (se requiere Internet válido para el perfil HTTP satisfactorio). El WLC usa estos
atributos y perfiles de clasificación predefinidos para identificar el dispositivo.
14| Página
UNIVERSIDAD NACIONAL DE TRUJILLO ANÁLISIS Y DISEÑO DE REDES
15| Página