(8) Comentários

Por André Ortega, 07/03/2013 13:29

É comum que a autenticação nas redes sem fio corporativas seja feita com as mesmas credenciais de acesso ao computador. Ou seja, integrada ao LDAP.

Isso melhora a segurança, uma vez que não é utilizada uma chave compartilhada, facilita a vida do usuário, que usa as mesmas credenciais para logar no computador e entrar na rede e também ajuda o administrador de rede, já que é possível verificar o nome do usuário nos logs.

Segue um passo-a-passo da configuração, onde usei a Cisco WLAN Controller com software 7.4.100 e o Microsoft AD 2008, mas também funciona para outras versões.

Configurando Cisco WLC e integração com LDAP

1°) Após acessar a WLC, na aba Security, escolha a opção LDAP, do lado esquerdo da tela, e então clique em New…

Na tela que se abrirá informe o IP e porta do servidor, selecione a opção Simple Bind Authenticated e informe o usuário e senha que a WLC usará para ler o AD. Este usuário deve estar no AD e ter ao menos privilégio de leitura.

Continuando, informe o caminho do AD e o atributo que será usado para fazer a autenticação (sAMAccountName) e o tipo do objeto no AD (Person).

Clique em Apply e depois em Save Configuration.

OBS: Em outras versões de LDAP o User Attribute pode ser outro. Ou você pode desejar usar outro campo para autenticação, como o email ao invés do username.

2°) Na aba WLAN crie uma nova WLAN, informando o nome do profile e o nome do SSID. Na sequencia, na aba General, selecione a opção Status Enable.

3º) Agora clique na aba Security e então Layer 2, ainda dentro da WLAN que estamos criando. Selecione a opção WPA+WPA2 em Layer 2 Security. Na parte de baixo, marque a opção WPA2 Policy e AES como WPA2 Encryption.

Também é possível usar WPA e TKIP, mas estas opções são menos seguras.

Para terminar este passo selecione a opção 801.2x enable. Esta opção é que vai permitir utilizarmos a autenticação via LDAP.

4º) Agora clique na aba AAA Servers, e selecione o servidor que configuramos no passo 1 na opção LDAP Servers. Clique em Apply e depois Save Configuration

Pronto, a rede sem fio será acessada mediante apresentação das credenciais de rede.

O principal ponto de atenção nesta configuração é o item 1. Se a autenticação não funcionar revise a configuração, e garanta que a Base DN está correta, bem como os demais itens.

Mais informações sobre a configuração da WLC no Configuration Guide.

Até a próxima.

(5) Comentários

Por André Ortega, 28/11/2012 17:37

Desde sua criação, o padrão 802.11 e os equipamentos para rede sem fio vem evoluindo. E atualmente já vemos o interesse na substituição da rede cabeada por um rede totalmente sem fio.

Na minha opinião, ainda não estamos neste ponto, mas sem dúvida as redes sem fio hoje são bem estáveis e em alguns casos até podem ser uma opção a rede cabeada.

Talvez pensando nisso, e também de olho na explosão de dispositivos móveis, a Cisco tem investido pesado em novas funcionalidades para seus produtos sem fio.

Abaixo algumas das funcionalidades lançadas nos últimos dois anos, que fazem a diferença na solução sem fio da Cisco.

Bonjour Services Directory: A integração entre produtos Apple é fantástica, e um dos segredos por trás desta mágica é o Bonjour. Este protocolo permite que dispositivos Apple descubram automaticamente quais serviços estão disponíveis na rede. Porém, o Bonjour gera muito tráfego e foi criado para comunicação de equipamentos na mesma rede ( foi projetado para redes domésticas…).

Para melhorar o funcionamento do Bonjour em redes sem fio, foi criado o Bonjour Services Directory, que permite a redução do tráfego deste protocolo na rede e ainda permite o descobrimento de serviços entre dispositivos em redes diferentes, o que faz todo sentido em redes corporativas.

Neste blog do Cisco, mais detalhes sobre o Bonjour Service Directory.

CleanAir: O CleanAir é uma tecnologia criada pela Cisco, e implementada em hardware, que permite que o access-point identifique interferências não Wi-Fi. Ou seja, com ele é possível identificar dispositivos que utilizam a mesma frequência dos access-points (2.4 GHz e 5 GHz), sem respeitar o padrão 802.11.

Sem o CleanAir, apesar de interferir diretamente na utilização da rede sem fio,  este tipo de interferência torna-se imperceptível.

O CleanAir é ainda uma ótima ferramenta para troubleshooting, permitindo identificar e localizar a fonte de interferência.

Mais detalhes sobre o Cisco CleanAir aqui.

ClientLink: O Beamforming é uma tecnologia onde o sinal do access-point “é direcionado para o cliente”, melhorando a qualidade do sinal recebido pelo client. Para funcionar precisa que o access-point e o client tenham suporte a esta funcionalidade. E ai é que está o problema, pois muitos dispositivos não tem suporte ao Beamforming.

O Cisco ClientLink é uma evolução do Beamforming, onde o access-point é capaz de direcionar o sinal para todos os clients, sem depender de nenhuma funcionalidade do lado client.

Mais informações sobre o ClientLink neste link.

Band Select: Esta funcionalidade faz com que clients dual band (com suporte à 2.4GHz e 5 GHz) se conectem ao rádio 5 GHz do AP, preferencialmente.

Para isso o access-point não responde (ou demora um pouco mais para responder) a primeira tentativa de conexão no rádio 2.4 GHz. Com isso o client dual band poderá tentar se associar ao rádio 5 GHz, onde a resposta do access-point será realizada imediatamente.

Assim os clients dual band utilizam a frequência menos poluída (5 GHz), e deixam o 2.4 GHz para os clients sem suporte ao 5 GHz.

Mais informações sobre o Band Select aqui.

VideoStream: Access-points são como “hubs sem fio”. Eles não sabem como tratar multicast, e tráfego deste tipo são encaminhados como broadcast, tornando a utilização do meio físico (o ar, neste caso) ineficiente. Este é o principal problema quando tentamos fazer um streaming de vídeo sobre Wi-Fi.

O VideoStream faz com que o access-point seja capaz de encaminhar tráfego multicast como unicast, evitando assim que um streaming acabe com a banda da rede sem fio.

Neste link tem um material com mais detalhes sobre esta funcionalidades.

Até a próxima.

Só um comentário

Por André Ortega, 06/11/2012 14:10

Quando utilizamos uma controladora, além da facilidade da gerência centralizada, é mais fácil verificar como está a conexão de um usuário. Porém, mesmo em access-points em modo autônomo podemos conseguir informações sofre a conexão do usuário.

Para isso temos dois comandos: show dot11 associations e show dot11 associations mac-address-do-usuario.

O primeiro comando mostra os usuários conectados ao access-point, de uma forma resumida, informando MAC address, IP dos usuários, como está a associação, e se o client suporta CCX – Cisco Compatible Extensions.

BrainAP#show dot11 associations

802.11 Client Stations on Dot11Radio0:

SSID [Brainwork] :

MAC Address    IP address      Device        Name            Parent         State
0002.729f.eb38 10.10.8.252     ccx-client      -               self           EAP-Assoc
0002.729f.f729 10.10.8.141      ccx-client      -               self           EAP-Assoc
0002.72a1.2fd2 10.10.8.104     ccx-client      -               self           EAP-Assoc
78ca.3941.2cc6 10.10.8.34        unknown     -               self           EAP-Assoc
cc05.1b52.6890 0.0.0.0             unknown      -               self           AAA_Auth
cc08.e084.fc29 10.10.8.193       unknown      -               self           EAP-Assoc
e0f8.4731.374a 10.10.8.117     unknown      -                self           EAP-Assoc
e0f8.4731.4a86 10.10.8.69        unknown      -               self           EAP-Assoc

Já o segundo, permite a visualização de informações de um usuário (MAC Address) específico.

BrainAP#show dot11 associations 0002.729f.f729
Address          : 0002.729f.f729     Name              : NONE
IP Address      : 10.10.8.141        Interface          : Dot11Radio 0
Device             : ccx-client         Software Version : NONE
CCX Version       : 5

State             : EAP-Assoc                      Parent           : self
SSID              : Brainwork
VLAN              : 10
Hops to Infra  : 1                                 Association Id   : 202
Clients Associated: 0                  Repeaters associated: 0
Tunnel Address    : 0.0.0.0
Key Mgmt type     : WPAv2                   Encryption       : AES-CCMP
Current Rate        : 54.0                        Capability       : WMM ShortHdr ShortSlot
Supported Rates   : 1.0 2.0 5.5 6.0 9.0 11.0 12.0 18.0 24.0 36.0 48.0 54.0
Voice Rates        : disabled
Signal Strength  : -62  dBm             Connected for    : 67 seconds
Signal to Noise   : 26  dBm               Activity Timeout : 20 seconds
Power-save        : Off                          Last Activity    : 0 seconds ago
Apsd DE AC(s)    : NONE

Packets Input     : 260                     Packets Output   : 110
Bytes Input         : 43926                  Bytes Output     : 34736
Duplicates Rcvd   : 0                           Data Retries     : 3
Decrypt Failed     : 0                            RTS Retries      : 0
MIC Failed           : 0                           MIC Missing      : 0
Packets Redirected: 0                       Redirect Filtered: 0
Session timeout   : 0 seconds
Reauthenticate in : never

BrainAP#

Note, que entre outras informações, podemos identificar a potência e ruído do sinal (Signal Strength e Signal to Noise), que pode ser útil quando tentamos identificar problemas na conexão sem fio de um dado usuário.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 02/10/2012 09:40

Há exatos 3 anos era finalizada a padronização do 802.11n, que permite teóricos 600 Mbps de throughput em redes WiFi.

Agora, um novo padrão está saindo do forno do IEEE, que permitirá as redes WiFi atingirem até 6900 Mbps (em teoria). Isso mesmo, quase 7 Gbps.

Se o 802.11n era necessário pela necessidade de banda gerada por novas aplicações, o 802.11ac (também conhecido como Gigabit WiFi) vem para suprir esta mesma demanda e ainda suportar a explosão de dispositivos móveis que está ocorrendo.

O padrão ainda está em desenvolvimento, mas a previsão é que em menos de um ano vamos ter dispositivos “profissionais” no mercado já de acordo com este novo padrão.

802.11ac

Para fornecer toda essa banda, o padrão 802.11ac será bem diferente do 802.11n, e a primeira diferença está na frequência de operação. Enquanto o padrão 802.11n podem operar em 2.4 GHz e 5GHz, o 802.11ac está sendo concebido com suporte apenas 5GHz.

Isto fará com que seja utilizado uma frequência “mais limpa”, já que até agora o 2.4 GHz é a frequência predominante. Além disso nesta faixa (5GHz) temos mais canais que não se sobrepõe.

Outra diferença neste novo padrão é a utilização de canais de 80 MHz e 160 MHz (no futuro), contra 20 MHz e 40 MHz dos equipamentos atuais. Além disso, o 802.11ac permitirá até 8 Spatial Streams ao invés dos 4 suportados no 802.11n.

E aqui um parêntese: apesar da tecnologia permitir até quase 7 Gbps, no primeiro momento são esperados equipamentos com capacidade para até 1.3 Gbps, já que deverão trabalhar com apenas 3 Spatial Streams inicialmente (3 streams de 433.3Mbps e 80MHz).

Note que ainda assim teremos o dobro de banda do padrão atual.

O 802.11ac ainda contará com multiuser MIMO e modulação de 256 QAM (alta densidade) contra 64 QAM do 802.11n.

Mas apesar de todas essas diferenças, felizmente, será obrigatório que equipamentos 802.11ac sejam compatíveis com dispositivos 802.11n (5 GHz).

Veja no vídeo abaixo, do TechWise TV da Cisco, mais informações sobre estas e outras diferenças do 802.11ac.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 28/03/2012 11:12

Fazer o backup das configurações e atualizar o software de uma WLAN Controller – Cisco, é bem simples. Estes procedimentos podem ser realizados por linha de comando (CLI) ou pela interface gráfica (GUI), como ilustrado abaixo.

Para fazer o backup basta um computador com um TFTP Server instalado, e conectado diretamente a porta de serviços da WLC (gerência out-of-band). Também é possível fazer o backup através das distributions ports, usando a rede (neste caso verifica a conectividade antes de começar).

Backup da Configuração

1°) Acesse a WLC (https://IP_PORTA_SERVIÇO), faça o login e clique na guia COMMANDS.

2°) Clique na opção Upload File, e faça a seguinte configuração:

• File Type: Configuration
• Transfer Mode: TFTP
• IP Address: IP do TFTP Server
• File Path: ./
• File Name: Nome desejado

3º) Clique no botão Upload.

Ao termino da transferência você verá a mensagem “File transfer operation completed sucessfully”, e o arquivo backup estará salvo no diretório configurado no TFTP Server.

Atualizando o software

Antes de começar, faça o download do novo software da WLC no site da Cisco, veja o upgrade path para a versão que você deseja usar, compatibilidade do software com o seu hardware (WLC e access-points), bem como possíveis limitações.

Atenção: WLCs com software anterior a versão 5.2.157.0 não podem ir diretamente para a versão 7.0.230.0 (versão mais recente no momento).

1°) Acesse a WLC (https://IP_PORTA_SERVIÇO), faça o login e clique na guia COMMANDS.

2°) Clique na opção Download File, e faça a seguinte configuração:

• File Type: Code
• Transfer Mode: TFTP
• IP Address: IP do TFTP Server
• Maximum retries: 10
• Timeout (seconds): 6
• File Path: ./
• File Name: Nome do software

3º) Clique no botão Download.

Ao termino da transferência você verá a mensagem “TFTP File transfer is successful. Reboot the switch for update to complete”. Ou seja, você precisa reiniciar a WLC para que o novo software seja carregado.

Após reiniciar a WLC repita o procedimento e envie o arquivo ER.aes (Emergency Software Image).

Estes procedimentos podem ser realizados nas WLC appliances (2000, 2100, 3500, 4000, 4100, 4400, 5500), nos módulos para roteadores e 6500, e ainda para o 3750 com WLC integrada.

Um procedimento detalhado pode ser encontrado no site da Cisco e as informações sobre o software 7.0.230.0 estão aqui.

Até a próxima.