Configurar APs Wireless Cisco
Después de una intensa lucha con el AP Wireless Cisco (ver el artículo anterior), logré configurarlo de forma satisfactoria, y como de costumbre, comparto la experiencia en el blog por si alguien más debe enfrentar este reto =)

En los siguientes pasos mostraré cómo configurar un Access Point Cisco Aironet de la serie 1240 (probablemente funcione en otros), para que utilice autenticación Radius, manejo de claves WPA y encripción AES (es decir, utilizar el estándar WPA2). Son el resultado de horas de lectura de artículos y manuales, así que espero que les sirva =)

Lo primero que haremos es revisar que el AP tenga instalado un IOS que funcione como autónomo:
ap # show version
Si el IOS es uno Lightweight, conseguir un IOS que funcione en modo autónomo y realizar los pasos explicados en Revertir Lightweight (LWAPP) Mode a Autonomous Mode para configurar APs Cisco.

Utilizando el IOS en modo autónomo, realizar los siguientes pasos. Tener en cuenta el prompt para saber donde estamos parados. Por ejemplo ap(config) indica que estamos en la configuración global, ap(config-if) es la configuración de interfaz, ap(config-ssid) es la configuración del SSID, etc.

1) Configurar la autenticación con el servidor radius (en el ejemplo 192.168.1.111):
ap(config) # radius-server host 192.168.1.111 auth-port 1645 acct-port 1646 key 7 password-con-radius
deberán colocar el password que utilizan en el servidor Radius para autenticar dispositivos.

2) Habilitar el nuevo modelo de autenticación, autorización y contabilización:
ap(config) # aaa new-model
3) Definir un grupo de servidores Radius:
ap(config) # aaa group server radius mis-radius
utilizaremos este grupo para configurar la autenticación.

3.1) Agregar el/los servidor/es que realizará/n la autenticación (paso 1) al grupo recién creado:
ap(config-sg-radius) # server 192.168.1.111 auth-port 1645 acct-port 1646
4) Crear el método de autenticación eap_auth y agregar el grupo de servidores Radius:
ap(config)# aaa authentication login eap_auth group mis-radius
con esto ya tenemos configurado un método de autenticación que luego asignaremos al SSID.

5) Configurar un SSID para el AP (es posible tener múltiples SSID). En el ejemplo lo llamaremos AP_Wireless (si, muy original...):
ap(config)# dot11 ssid AP_Wireless
5.1) Utilizar autenticación open eap (Extensible Authentication Protocol) con el servidor Radius del grupo de servidores mis-radius (ver pasos 1 - 3):
ap(config-ssid)# authentication open eap eap_auth
Existen varios tipos de autenticación y Cisco permite una buena variedad. EAP nos permite que la autenticación la realice un servidor externo, y no el mismo AP.
Que la autenticación sea open no quiere decir que los datos viajen planos, sino que esta es la forma en que Cisco define el tipo de autenticación que no utilizan protocolos Cisco (LEAP).

5.2) Realizar la administración de claves con WPA:
ap(config-ssid)# authentication key-management wpa
5.3) Utilizar el modo guest para que la antena haga broadcast del SSID. Si no desean divulgar el SSID, saltear este paso:
ap(config-ssid)# guest-mode
5.4) Setear el intervalo entre beacons DTIM. Estos beacons se envían a los clientes para que despierten y checkeen si tienen paquetes pendientes. Intervalos DTIM largos permiten preservar energía.
ap(config-ssid)# mbssid guest-mode dtim-period 75
6) Configurar la interfaz wireless para que autentique clientes utilizando Radius y WPA:
ap(config)# interface Dot11Radio0
6.1) Definir el algoritmo de encripción (AES):
ap(config-if)# encryption mode ciphers aes-ccm
6.2) Asociar el SSID a la intefaz:
ap(config-if) # ssid AP_Wireless
Con los pasos anteriores el AP ya está configurado y listo. Si no poseen un servidor DHCP en la red, o bien si quieren fijar una dirección IP al AP, pueden hacerlo de la siguiente forma:
1) Acceder a la interfaz virtual BVI 1 (Bridge-Group Virtual Interface):
ap(config)# interface BVI 1
esta interfaz virtual agrupa todas las interfaces que estén en el grupo bridge 1.

2) Configurar la dirección IP y la máscara:
ap(config-if)# ip address 192.168.1.80 255.255.255.0
3) Definir el gateway:
ap(config)# ip default-gateway 192.168.1.1

Algo a tener en cuenta es que por defecto tanto la interfaz wireless como la fast ethernet están en el grupo bridge 1, pero si no lo están, pueden configurarlo de la siguiente forma:
ap(config)# interface FastEthernet 0
ap(config-if)# bridge-group 1
ap(config-if)# exit
ap(config)# interface Dot11Radio0
ap(config-if)# bridge-group 1


Referencias

- Cisco IOS Software Configuration Guide for Cisco Aironet Access Points
- EAP Authentication with RADIUS Server
- Autonomous APs: Network EAP vs. Open with EAP, the right combination
- Cisco 802.11 Wireless Networking: Installing and Configuring Access Points
- Configuring Cisco Aironet in Home Lab - Part 2
- Configuring WPA and WPA2 on Cisco Aironet

3 comentarios:

mdmejia41 dijo...

Buen día. Muy buen material.
Quisiera saber si existe la posibilidad de configurara este Ap sin un servidor Radius?.
seria de gran ayuda tu aporte. Gracias

d3m4s1@d0v1v0 dijo...

Hola mdmejia, es posible configurar el AP sin RADIUS, simplemente tenes que elegir alguno de los métodos de autenticación alternativos.
En uno de los links que dejé en las referencias (http://networking-newbie.blogspot.com.ar/2008/11/configuring-wpa-and-wpa2-on-cisco.html) explican cómo configurar el AP con una clave compartida (PSK), en lugar de utilizar RADIUS.

kankim dijo...

buenas tardes muy buena tu información, quisiera saber cual es el script para configurar un access point de forma autonama sin radius. el modelo es aironet 1040. Por favor ayudame.

gracias de ante mano.

Publicar un comentario