Configurar APs Wireless Cisco

Después de una intensa lucha con el AP Wireless Cisco (ver el artículo anterior), logré configurarlo de forma satisfactoria, y como de costumbre, comparto la experiencia en el blog por si alguien más debe enfrentar este reto =)

En los siguientes pasos mostraré cómo configurar un Access Point Cisco Aironet de la serie 1240 (probablemente funcione en otros), para que utilice autenticación Radius, manejo de claves WPA y encripción AES (es decir, utilizar el estándar WPA2). Son el resultado de horas de lectura de artículos y manuales, así que espero que les sirva =)

Lo primero que haremos es revisar que el AP tenga instalado un IOS que funcione como autónomo:

ap # show version

Si el IOS es uno Lightweight, conseguir un IOS que funcione en modo autónomo y realizar los pasos explicados en Revertir Lightweight (LWAPP) Mode a Autonomous Mode para configurar APs Cisco.

Utilizando el IOS en modo autónomo, realizar los siguientes pasos. Tener en cuenta el prompt para saber donde estamos parados. Por ejemplo ap(config) indica que estamos en la configuración global, ap(config-if) es la configuración de interfaz, ap(config-ssid) es la configuración del SSID, etc.

1) Configurar la autenticación con el servidor radius (en el ejemplo 192.168.1.111):

ap(config) # radius-server host 192.168.1.111 auth-port 1645 acct-port 1646 key 7 password-con-radius

deberán colocar el password que utilizan en el servidor Radius para autenticar dispositivos.

2) Habilitar el nuevo modelo de autenticación, autorización y contabilización:

ap(config) # aaa new-model

3) Definir un grupo de servidores Radius:

ap(config) # aaa group server radius mis-radius

utilizaremos este grupo para configurar la autenticación.

3.1) Agregar el/los servidor/es que realizará/n la autenticación (paso 1) al grupo recién creado:

ap(config-sg-radius) # server 192.168.1.111 auth-port 1645 acct-port 1646

4) Crear el método de autenticación eap_auth y agregar el grupo de servidores Radius:

ap(config)# aaa authentication login eap_auth group mis-radius

con esto ya tenemos configurado un método de autenticación que luego asignaremos al SSID.

5) Configurar un SSID para el AP (es posible tener múltiples SSID). En el ejemplo lo llamaremos AP_Wireless (si, muy original…):

ap(config)# dot11 ssid AP_Wireless

5.1) Utilizar autenticación open eap (Extensible Authentication Protocol) con el servidor Radius del grupo de servidores mis-radius (ver pasos 1 – 3):

ap(config-ssid)# authentication open eap eap_auth

Existen varios tipos de autenticación y Cisco permite una buena variedad. EAP nos permite que la autenticación la realice un servidor externo, y no el mismo AP.
Que la autenticación sea open no quiere decir que los datos viajen planos, sino que esta es la forma en que Cisco define el tipo de autenticación que no utilizan protocolos Cisco (LEAP).

5.2) Realizar la administración de claves con WPA:

ap(config-ssid)# authentication key-management wpa

5.3) Utilizar el modo guest para que la antena haga broadcast del SSID. Si no desean divulgar el SSID, saltear este paso:

ap(config-ssid)# guest-mode

5.4) Setear el intervalo entre beacons DTIM. Estos beacons se envían a los clientes para que despierten y checkeen si tienen paquetes pendientes. Intervalos DTIM largos permiten preservar energía.

ap(config-ssid)# mbssid guest-mode dtim-period 75

6) Configurar la interfaz wireless para que autentique clientes utilizando Radius y WPA:

ap(config)# interface Dot11Radio0

6.1) Definir el algoritmo de encripción (AES):

ap(config-if)# encryption mode ciphers aes-ccm

6.2) Asociar el SSID a la intefaz:

ap(config-if) # ssid AP_Wireless

Con los pasos anteriores el AP ya está configurado y listo. Si no poseen un servidor DHCP en la red, o bien si quieren fijar una dirección IP al AP, pueden hacerlo de la siguiente forma:
1) Acceder a la interfaz virtual BVI 1 (Bridge-Group Virtual Interface):

ap(config)# interface BVI 1

esta interfaz virtual agrupa todas las interfaces que estén en el grupo bridge 1.

2) Configurar la dirección IP y la máscara:

ap(config-if)# ip address 192.168.1.80 255.255.255.0

3) Definir el gateway:

ap(config)# ip default-gateway 192.168.1.1

Algo a tener en cuenta es que por defecto tanto la interfaz wireless como la fast ethernet están en el grupo bridge 1, pero si no lo están, pueden configurarlo de la siguiente forma:

ap(config)# interface FastEthernet 0
ap(config-if)# bridge-group 1
ap(config-if)# exit
ap(config)# interface Dot11Radio0
ap(config-if)# bridge-group 1

Referencias

Cisco IOS Software Configuration Guide for Cisco Aironet Access Points
EAP Authentication with RADIUS Server
Autonomous APs: Network EAP vs. Open with EAP, the right combination
Cisco 802.11 Wireless Networking: Installing and Configuring Access Points
Configuring Cisco Aironet in Home Lab – Part 2
Configuring WPA and WPA2 on Cisco Aironet

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *