Radioenlace entre edificios distantes con dos Cisco Aironet 1240AG

31 10 2007

Este post explica cómo configurar estos punto de acceso de doble banda de Cisco para unir sin cables dos edificios separados unos 100m; la banda 802.11a la usamos para crear el enlace inalámbrico entre ambos edificios, y a la vez, en ambos Puntos de Acceso configuramos la banda 802.11g para dar acceso WiFi a los clientes.

Revisamos también la seguridad inalámbrica tanto en la encriptación de los datos como en la autenticación de los usuarios.

Topología

Como refleja el siguiente esquema, el radioenlace unirá el almacén al edificio principal. Además, tanto el AP del almacén como el del edificio principal, sirven a los clientes inalámbricos para acceder a la red local y a internet desde portátiles, sobremesas, PDA’s, etc.

Hardware

  • 2 Puntos de Acceso Cisco Aironet 1242AG 802.11a/g (IOS 12.4) (PRECIO: 400€ + IVA aprox. cada uno)
  • 2 antenas unidireccionales exteriores para el radioenlace AIR-ANT5195P-R Cisco Aironet – Antena /5GHz 9.5dBi Patch w/RP-TNC Connect (PRECIO: 140€ + IVA aprox. cada una)
  • 2+2 antenas omnidireccionales para las WiFi interiores AIR-ANT4941 Cisco Aironet – Antena – 2 dBi – omnidireccional 2.4 GHz,2.2 dBi Dipole Antenna w/ RP-TNC Connect (PRECIO: 10 € + IVA aprox. cada una)

Configuración

La configuración se realizará usando la interfaz gráfica de los puntos de acceso. Por defecto vienen con IP dinámica y de login Cisco, password en blanco. Lo mejor es conectarse por consola, y configurar una IP fija en el rango que queramos mediante hyperterminal. Estos puntos de acceso no enrutan, y por tanto no se usan de gateway, por lo que la IP se usa sólo para propósitos de administración y configuración. No obstante, podemos localizar la IP que tiene uno de estos AP’s mediante la utilidad IPSU de Cisco. Una vez accedamos mediante el navegador, saldrá algo similar a esto:

Lo primero: cambiar la password por defecto, configurar los hostnames de ambos AP’s para identificarlos correctamente, encriptar las passwords, configurar los logs para que muestre el mayor detalle, etc.

Vamos a configurar el radioenlace 802.11a (5 Ghz). Lo primero, hay que designar los roles (Role in Radio Network) de ambos puntos. Uno de ellos deberá funcionar como Root Bridge y el otro como Non-root. Luego creamos el SSID correspondiente en ambos puntos, que llamaremos “ENLACE” en Security-SSID Manager. Completando las opciones requeridas en los roles de ambos AP’s, terminaremos de configurar lo básico. El led azul en ambos se encenderá cuando estén enlazados. Respecto a la seguridad de este enlace, se recomienda usar el mismo procedimiento que el que se explica a continuación t para la parte WiFi para cifrado y autenticación, aunque al ser una red a 5 Ghz, las posibilidades de intercepción y crackeo de la señal son mucho menores que para la red WiFi. En mi caso, para el cifrado del ENLACE lo he configurado como AES CCMP y autenticación mediante RADIUS , aunque es bastante exagerado.

Lo mismo sucede con la parte WiFi. Básicamente, primero hemos de crear los SSID’s que queremos, en este caso dos en cada punto de acceso, uno más seguro y otro más inseguro. NOTA: los AP’s permiten emitir varios SSID’s simultáneamente, aunque eso requeriría el uso de VLAN’s. Aquí nos interesa simplemente que existan 2 SSID’s, y que uno de ellos esté oculto.

El SSID menos seguro lo configuraremos como oculto en el menú SSID Manager. Este SSID será el que usen dispositivos como PDA’s, portátiles de visitantes a la empresa, o equipos cuyo software de gestión de la WiFi no permita el protocolo LEAP o el cifrado AES (por ejemplo la utilidad de WiFi de Windows). Para la encriptación usaremos WPA doméstico (con Shared Secret), y para el cifrado usaremos TKIP. Para conectarse, los clientes no verán la red WiFi al escanear, ya que está oculta, y tendrán a mano que introducir una nueva red, y poner el nombre del SSID; luego a los clientes se les solicitará la clave Shared Secret para autenticarlos. Una vez hecho esto se podrán conectar sin problemas.

NOTA IMPORTANTE: Windows ha corregido en el siguiente KB893357 el problema que impedía que un equipo que usase su utilidad se conectase a redes con el SSID oculto la compatibilidad con WPA2. Es necesario instalarlo si se usa la utilidad de Windows para redes inalámbricas (Windows Zero Configuration)

El SSID más seguro se emitirá, será público, y está destinado a los clientes que usan o bien tarjetas Cisco, o bien tarjetas compatibles con el protocolo de autenticación LEAP y con AES CCMP, como por ejemplo el Intel Proset Wireless. La utilidad de Windows no lo soporta, como hemos dicho, ni tampoco utilidades como la propia de Linksys, a pesar de ser una marca de Cisco.

Autenticación y accounting (Security->Server Manager): Para la autenticación de los clientes vamos a usar el servidor RADIUS que integran estos AP’s; Configuramos uno de ellos como servidor RADIUS, poniendo su propia IP (Security->Local Radius Server). Como protocolo elegiremos LEAP, que es un protocolo propietario de Cisco. Esto también es importante: el RADIUS integrado sólo soporta LEAP, y ningún otro protocolo como PEAP, con lo que no es compatible con la utilidad de Windows. Si queremos usar esta para autenticar a los clientes mediante RADIUS, tendríamos que contar con un servidor RADIUS externo (el de Windows 2003, por ejemplo) y configurar los Puntos de Acceso como autenticadores contra el servidor de autenticación. Con la utilidad de Intel Proset Wireless sí que podríamos usarlo.

En este AP que hemos configurado como servidor de autenticación RADIUS, creamos los usuarios y las contraseñas; en el otro AP, ponemos como servidor RADIUS la IP del anterior.

Los puertos por los que escuchan/envían es conveniente dejarlos así: 1812 para la autenticación y 1813 para accounting.

Es necesario bajo el párrafo “Default Server Priorities” seleccionar en “EAP Authentication” la IP del AP que hemos configurado como RADIUS.

También, en “SSID Manager” hay que marcar la casilla “Network EAP” bajo “Accounting Settings” para los SSID’s que queramos que usen este método.
Cifrado (Security->Encryption Manager): el cifrado tiene que ser el mismo para todo (al contrario que pasa con la autenticación), aunque se permiten elecciones dobles, como es nuestro caso. Para que soporte los dos tipos de cifrado que estamos implantando en este caso, en la parte de “Cypher” elegiremos AES CCMP + TKIP, con lo que se los AP’s serán capaces de comunicarse con los clientes con estos dos métodos de cifrado.

Rendimiento: en este caso, la distancia entre ambos edificios es mucho menor que la que los AP’s con las antenas direccionales serían capaces de alcanzar. La velocidad es muy buena, a 54 mbps y no se aprecia ninguna caída del rendimiento con condiciones meterológicas adversas. En estos casos quizá convenga limitar la potencia de emisión de las antenas

El siguiente documento de Cisco resume paso a paso un ejemplo de configuración de un Aironet con WPA2 Empresarial, como hemos explicado en este documento:

Wi-Fi Protected Access 2 (WPA 2) Configuration Example


Acciones

Information

One response

1 11 2007
CarlosFV

Muy bueno Marcos, la verdad esta de puta madre que Cisco de la opción de configurar mediante Interfaz grafica sus productos..
Aunque sigo pensando que al final vas a tener que seguir accediendo a los comandos IOS.. ya sea cuando se te queda frito el aparato o alguna opción de configuración, es una pena, esto hace que eche atrás mucha gente a la hora de afrontar implantaciones con electrónica Cisco

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




A %d blogueros les gusta esto: