CCNP SWITCH 15: Integrando LAN Inalámbricas

Conceptos básicos de redes Wireless

Comparar redes cableadas (LAN)  de inalámbricas (Wireless)

IEEE 802.11 WLAN es siempre half duplex ya que las estaciones que transmiten y reciben usan la misma frecuencia. Solo una estación puede transmitir a la vez, de lo contrario se producen colisiones.

Para que una estación sepa que se ha recibido su paquete el receptor manda un ACK notificando su correcta recepción.

802.11g es compatible con y sucesor de 802.11b que usa una parte del espectro de solo tres canales que no se solapan.

WLAN usa Carrier Sense Multiple-Acceess/Collision Avoidance (CSMA/CA).

WLAN es half duplex. CSMA/CA usa mensajes RTS (request to send) y CTS (clear to send) para evitar colisiones.

RF se susceptible a interferencias, distorsiones y ruido, a menudo causadas por estructuras físicas y materiales específicos.

Los diseños WLAN deben incluir el hecho de que los clientes a menudo se mueven y usan baterias.

Los APs pueden conectarse mediante PoE para evitar alimentadores/enchufes cerca pero hay que tener en cuenta que consumen 15W.

Evitando colisiones en WLAN

Para evitar colisiones todas las estaciones deben escuchar antes de transmitir una trama (frame). Cuando una estación necesita enviar una trama puede ocurrir una de estas condiciones:

  • No hay ningún dispositivo transmitiendo - La estación puede transmitir su trama inmediatamente. La estación que recibe la trama envia una trama de reconocimiento para confirmar que la trama original llego sin errores e intacta.
  • Otro dispositivo ya está transmitiendo una trama - La estación debe esperar hasta que la trama en progreso se haya transmitido, entonces debe esperar una cantidad de tiempo aleatorio antes de transmitir.

Las tramas wireless puede variar en tamaño por lo que se añade la duración a la cabecera 802.11. Además el estándar 802.11 requiere que todas las estaciones esperen un corto periodo de tiempo llamada espacio intratramas DCF (DCF interframe space = DIFS) antes de transmitir cualquier trama.

WLAN construyendo bloques

En la terminología IEEE 802.11 cualquier grupo de dispositivos de red se conoce como conjunto de servicio (service set). Estos dispositivos deben compartir un identificador de conjunto de servicio común (service set identifier = SSID) que es una cadena de texto incluida en cada trama enviada. para que dos dispositivos puedan comunicarse deben estar en el mismo SSID.

IMPORTANTE: el nombre SSID distingue entre mayúsculas y minúsculas, por lo que podría fallar la conexión si son diferentes.

Hay dos modos de conexión:

  • Ad-hoc:
    • también conocido como IBSS = Independent Basic Service Set
    • Los clientes se comunican directamente entre ellos sin usar un punto de acceso (Access Point = AP).
    • Limitado en rango y función
  • Infraestructura:
    • BSS (Basic Service Set):
      • centraliza todo el tráfico en un dispositivo llamado access point (AP) y cada cliente debe ser miembro del grupo SSID que gestiona el AP.
      • el rango de la señal (o microcelda o microcell) debe abarcar a todos los clientes.
    • ESS (Extended Service Set)
      • es lo mismo que BSS pero hay más de un AP que cada cliente se conecta al AP más cercano y los AP se comunican vía cable ethernet, con lo que el ambito inalámbrico es mucho más amplio.
      • Multiples APs que solapan zonas de las microceldas conectados por un sistema común de distribución.
      • Para datos las microceldas debem solapar 10-15%
      • Para voz las microceldas deben solapar 15-20%.

Malla inalámbrica (Wireless Mesh):

  • Suelen estar diseñadas para largas distancias. Solo los APs en los extremos de la malla conectan con la infraestructura cableada el resto se conectan de AP a AP como repetidores.
  • Cada AP intermedio tiene multiples caminos a través de la malla, todos coordinados por el protocolo Adaptive Wireless Path (AWP), el cual elige el mejor camino y también una camino de backup en caso de que el primero falle.

Operaciones de punto de acceso

Por defecto un AP está conectado a una red cableada mediante un puerto de acceso con lo cual todos los dispositivos conectados a ese AP están en esa misma VLAN, es una extensión inalámbrica de la VLAN. Pero un AP puede conectarse a un switch mediante un Trunk (el AP debe soportar esta característica) con lo cual se pueden mapear vlan con grupos de SSID, por ejemplo vlan 30 al SSID XXX y la VLAN 50 al SSID YYY.

Secuencia de conectividad:

  • el cliente envía petición de sonda y escucha respuestas de sonda y beacons (probe responses and beacons).
  • el AP responde a la petición con una respuesta de sonda (probe response)
  • el cliente entonces inicia una asociación con el access point (AP). Durante la asociación la autenticación 802.1x o cualquier otra información de seguridad se pasa al AP.
  • el AP acepta la asociación. Se intercambian entre el cliente y el AP la dirección MAC y el SSID.
  • el AP añade la dirección MAC del cliente a su lista de asociaciones.

Celdas de red inalámbrica

Si el cliente mantiene la misma dirección IP mientra se desplaza entre APs a esto se le llama Layer 2 roaming. Si el cliente se desplaza entre APs localizados en diferentes subredes se llama Layer 3 roaming.

Arquitectura WLAN

Arquitectura WLAN tradicional

Cada AP es independiente (standalone) o autonomo (autonomous) dentro de la red más grande. Cisco llam a esto autonomous mode AP para distinguirlo de otras arquitecturas.

En este tipo de arquitecturas autónomas todo el tráfico debe pasar por el AP, ya sea el tráfico de un cliente a otra parte de la red cableada o internet o hacia otro cliente inalámbrico, no puede haber tráfico directo entre clientes inalámbricos.

Solo se permite roaming de capa 2.

Un caso especial de AP es el repetidor (repeaters) que NO van conectados a ninguna red por cable. Debe haber al menos un AP conectado a una red de cable para que haya el menos un repetidor. El SSID entre el AP y el repetidor deben coincidir el el porcentaje de solapamiento debe ser del 50%. El repetidor está configurado en el mismo canal (channel) que el AP conectado a la red por cable. Y pro lo tanto la comunicación es Half-Duplex.

Si convertimos un AP en un LAP (ver más abajo que es) debemos tener en cuenta lo siguiente:

  • El AP ya no soporta Wireless Domain Services (WDS) pero el WLC puede proporcionar esta funcionalidad.
  • Soportan 8 BSSIDs por radio y un total de 8 WLANs por AP
  • Necesitan obtener una IP ya sea por DHCP, DNS o broadcast para comunicarse con el WLC.
  • No soportan LWAPP de capa 2
  • Su puerto de consola es de solo lectura (read-only).

Arquitectura de red inalámbrica unificada de Cisco

Este modelo de arquitectura de Cisco se compone de 5 capas:

  • Dispositivos de clientes: clientes finales inalámbricos (portátiles, teléfonos inteligentes, etc). NOTA: Cisco menciona que estos dispositivos "deben" ser aprobados aunque casi todos funcionaran.
  • Plataforma de movilidad: Puntos de acceso y puentes inalámbricos (Wireless bridges).
  • Unificación de la red: Redes cableadas existentes (routers, switches, controladores WLAN).
  • Gestión de la red: Localización de WLAN, gestión y seguridad (Cisco Wireless Control System WCS).
  • Servicios de movilidad (también llamados Servicios avanzados unificados): productos avanzados y servicios como teléfonos IP inalámbricos, firewalls RF, etc.

En las redes inalámbrica unificadas de Cisco las funciones de un AP se dividen en 2, un AP ligero ( lightweight access point = LAP) que solo gestiona el tráfico y un controlador de red inalámbrica (wireless LAN controller = WLC) que tiene las funciones de autenticar, gestionar politicas de seguridad incluso seleccionar canales RF y potencia de salida (output power). Con esto conseguimos que una red donde hay varios LAPs tengan un único punto de gestión WLC para todo ellos.

La división de esta labor se conoce como arquitectura de MAC dividida (split-MAC architecture). Cada LAP debe comunicarse con el WLC para poder soportar clientes inalámbricos y el WLC se convierte en el punto central que soporta cierto número de LAP a lo largo de la red.

Por lo general los LAP y el WLC pueden estar en la misma red y vlan pero el WLC puede estar en una red y vlan diferente de los LAP

La comunicación entre LAP y WLC se hace a través de túneles que pueden usar el protocolo de punto de aceso ligero (Lightweight Access Point Protocol = LWAPP) o el protocolo de puntos de acceso  para el aprovisionamiento y control de redes inalámbricas (Control and Provisioning Wireless Access Point protocol = CAPWAP, RFC 4118). LWAPP usa los puertos destino UDP 12222 y 12223 y UDP 1024 como origen en el WLC y CAPWAP usa los puertos UDP 5246 y 5247.

Ambos protocolos consisten en DOS túneles:

  • Mensajes de control (Control messages): Intercambian información usada para configurar el LAP y gestiona su operación. Estos mensajes están autenticados y cifrados por lo que el LAP está controlado por el WLC de forma segura.
  • Datos (Data): Son paquetes desde y para clientes inalámbricos asociados con el LAP. Estos datos son encapsulado dentro del protocolo LWAPP o CAPWAP pero no está cifrado o protegido de cualquier otra forma entre el LAP y el WLC.

Funciones WLC

Cuando los túneles LWAPP o CAPWAP se establecen entre el WLC y uno o varios LAP se ofrecen varias funciones:

  • Dynamic channel assignament.
  • Transit power optimization.
  • Self-healing wireless coverage.
  • Flexible client roaming.
  • Dynamic client load balancing.
  • RF monitoring.
  • Security management.

Operación AP de peso ligero (lightweight)

LAP está diseñado para que sea configuración cero por lo que debe encontrar un WLC y obtener su configuración de él, con lo cual nos ahorramos la configuración de un LAP ya sea por consola o por red.

La secuencia que un LAP debe seguir antes de estar operativo completamente:

  1. el LAP obtiene una dirección IP de un servidor DHCP
  2. el LAP envía petición para descubrir WLC (Discovery Request) donde aprende direcciones IP de cualquier WLC disponibles (puede guardar hasta 3, primario, secundario y terciario).
  3. el WLC responde (usando LWAPP o CAPWAP) al LAP (Discovery Response) que incluye el número de LAP asociados a él.
  4. el LAP envia petición de unirse (Join Request) al primer WLC que tenga en su lista de direcciones (en algunos documentos al WLC con menos LAP asociados). Si el primero falla lo intenta con el siguiente. Cuando un WLC acepta al LAP, le devuelve una respuesta de unión para procede con la unión de ambos.
  5. el WLC responde al LAP (Joint Response) y compara la versión de la imagen del código del LAP con la que tiene almacenada, si son diferentes el LAP se descarga la que está almacenada en el WLC y se reinicia.
  6. Se establecen los túneles LWAPPo CAPWAP de forma segura para la gestión de tráfico y no segura para los datos de clientes inalámbricos.

Cuando un LAP se aísla de un WLC las asociaciones de clientes por lo general descartadas y no pasa información de datos entre clientes.

Cisco Hybrid Remote Edge Access Point (H-REAP) es un caso especial para sitios remotos donde los LAPs están separados del WLC por un enlace WAN. con HREAP los LAPs remotos pueden operar incluso mientras el enlace WAN está caído y su WLC no está disponible, al estilo de un AP autónomo. Esto permite a los clientes inalámbricos mantener comunicación con el sitio remoto hasta que el enlace WAN y el WLC se restauran.

Patrones de tráfico en una red inalámbrica unificada de Cisco (CUWN)

El tráfico entre dos clientes inalámbricos va desde el client A pasa por el LAP luego por el túnel LWAPP o CAPWAP hasta llegar al WLC y luego vuelta por el túnel pasando por el LAP hasta el cliente B.  Aunque el tráfico cifrado (cuando se usa cifrado como en un AP normal) no pasa por el túnel (LWAPP o CAPWAP), el tráfico cifrado va entre el cliente y el LAP, lo mismo que la autenticación. Todos los paquetes de cifrado y autenticación se mantienen dentro del hardware LAP no se distribuyen hasta el WLC.

Roaming en una red inalámbrica unificada de Cisco

El roaming siempre es iniciado por el cliente y no está definido por un estándar IEEE.

Para los clientes de Cisco el roaming puede ser causado por uno de estos eventos:

  • Maximum data retry count is exceeded.
  • Data rate is reduced.
  • Missed too many beacons from the associate AP.
  • Datarate shift
  • Initial startup
  • Periodic client interval (si se ha configurado para buscar otros APs).

Para el roaming de clientes se debe tener configurado:

  • Todos los APs deben ser configurados con idénticas VLANs.
  • Todos los APs deben ser configurados con idénticas subnets.
  • Todos los APs deben ser configurados con idénticos SSIDs.

Intracontroller Roaming

Solo existe un controlador WLC para diferentes LAPs, con lo cual cuando un cliente se mueve de un LAP a otro LAP (siempre controlados por el mismo WLC y tengan el mismo SSID), el WLC lo único que debe hacer es actualizar sus tablas de túneles para saber que el cliente ha pasado de un LAP a otro LAP. Por ejemplo un cliente A está en el LAP1 controlado por el WLC1 (asociación LAP1-WLC1), cuando el cliente A pasa al LAP2, el controlador WLC1 debe cambiar la asociación por WLC1-LAP2 para alcanzar al cliente A.

Intercontroller Roaming

En este caso existen más de un controlador y cuando un cliente pasa de un LAP (controlado por un WLC) a otro LAP (controlado por otro WLC diferente), la asociación entre LAP1-WLC1 pasa a ser LAP2-WLC2 mediante intercambio de mensajes de movilidad (mobility messages) entre los dos WLC. Para que esto ocurra los WLC deben estar en la misma red y se debe mantener el SSID.

Un caso especial es cuando los controladores WLC están en diferente red y VLAN, entonces cuando un cliente pasa de un LAP en una red a otro LAP en otra red, la IP del cliente se mantiene en la red y vlan originales, por lo que se establece un túnel (llamada Ether-IP RFC 3378) entre ambos controladores (en diferentes redes).

El túnel Ether-IP es simplemente una forma que los controladores pueden encapsular los datos de la capa MAC dentro de un paquete IP usando el protocolo 97. PAra mover paquetes entre y hacia el cliente, un controlador encapsula paquetes y los envía al otro controlador. Paquetes recibidos por el túnel son desencapsulados por el otro controlador donde aparecen en su formato original.

El tráfico del cliente en el nuevo LAP y controlador (nueva red y VLAN) sale por el nuevo LAP y controlador (cliente->LAP2->WLC2->salida) pero la vuelta lo hace a través del viejo controlador que envía el tráfico al nuevo controlador (entrada->WLC1->WLC2->LAP2->cliente).

Grupos de movilidad

Un grupo de movilidad puede tener hasta 24 WLC de cualquier tipo o plataforma. Un cliente puede saltar (roam) a cualquier LAP (y su WLC asociado) mientras se mantenga dentro del grupo de movilidad.

Alguna veces un cliente puede pasar de un LAP a otro LAP que están en diferentes grupos de movilidad, entonces el cliente puede transferir su asociación al nuevo grupo de movilidad, pero su IP y toda su información de sesión mantenidas en el WLC son descartadas (perdidas).

Configurando puertos de switch para usarlos de WLAN

Configurando soporte para APs autónomas.

En este escenario cada SSID que soporte el AP debe estar mapeado contra una VLAN diferente y por consiguiente el puerto donde esté conectado deber ser Trunk con la VLANs marcadas, si solo hay un SSID y una VLAN el puerto estará en modo ACCESS.

También podemos agregar a la configuración del puerto el comando "spanning-tree portfast" para una sola VLAN y modo ACCESS o "spanning-tree portfast trunk" para varias VLANs y modo TRUNK, para acortar el tiempo requerido por STP para levantar el puerto en su estado FORWARDING.

Configurando soporte para LAPs

Los LAPs de Cisco están diseñados apra que sean dispositivos de "cero configuración" por parte del administrador ya que es el WLC quien lo configurará, actualizará o lo que necesite.

Los LAPs se conectan (es la capa de acceso) a un puerto en modo ACCESS (nunca en modo TRUNK) ya que la única VLAN que necesitan es la VLAN que las dé la IP al propio LAP para comunicarse con el WLC. Se recomiendo tener una VLAN (y su red) específica para la gestión de los LAPs. Esta VLAN solo llega hasta el LAP y no se extiende más allá por lo que es segura y no hay problema de bucles en la nube inalámbrica.

Cualquier VLAN que deba ser mapeada a un SSID se transporta dentro del túnel LWAPP o CAPWAP desde el LAP al WLC, por lo que NO es necesario conectar estas VLANs mediante un TRUNK.

Configurando soporte para WLCs

Los WLC se deben conectar en la capa de distribución y que se le debe proporcionar las VLANs necesarias que deben llegar a los LAPs y claro está a los clientes, por lo que debe ser un TRUNK.

Retro

Lugares

Redes

Sistemas

Varios