Conceptos de SSID - CCNA Wireless

SSID (Service Set Identifier)

Nombre de la red inalámbrica, está compuesto por valores alfanuméricos sensibles a mayúsculas desde 2 hasta 32 caracteres. Un cliente inalámbrico debe configurarse con el SSID correcto antes de unirse a la red del correspondiente SSID, que está también configurado en cada AP.

BSSID (Basic Service Set Identifier)

Nombre de la dirección MAC asociada a un SSID. Debido a que la dirección de MAC deriva normalmente de la interfaz de radio, es común que el AP pueda generar varias de ellas, permitiendo soportar varios SSID en una misma área.

MBSSID (Multiple Basic Service Set Identifier)Conjunto de direcciones MAC asociadas a su SSID correspondiente operando en un mismo AP. Debido a que cada SSID creado comparte un mismo AP (misma interfaz de radio - half duplex), si dos usuarios con distinto SSID en el mismo AP tratan de enviar una trama al mismo tiempo, las tramas podrían colisionar. Aun si están en diferentes SSID el espacio wireless es el mismo.

Asociación de ISE al AD - Cisco ISE

TAREA 1: Creación de equipo ISE en Active Directory (AD).

Paso 1.1: En el Active Directory (AD) se debe crear el nodo ISE en el domain computers. Se debe dirigirse a;

Start> Administrative Tools> Active Directory Users and Computers 

Paso 1.2: En la carpeta Cumputers crear un nuevo agregar New> Cumputers > Nombre ISE> Ok

TAREA 2: Asociar el equipo ISE al Active Directory (AD).

Paso 2.1: En el equipo ISE navegar a;

Administration> Identity Management> External Identity Sources

Paso 2.2: Seleccionar Active Directory

Paso 2.3: Seleccionar Add, aparecerá una nueva ventana donde se deben agregar la siguiente información;

Join Point Name:             Soporte    

Active Directory Domain:     soporte.cl

Paso 2.4: Seleccionar Submit

Paso 2.5: Una vez ingresada la información solicitada, aparecerá una nueva ventana “Join Domain” en donde se deben ingresar las cuentas de administración del AD.

Paso 2.6: Ingresadas las credenciales de administración del AD tendremos la asociación del equipo ISE al AD.

NOTA: Para que los equipos puedan asociarse entre sí deben tener el mismo horario.

TAREA 3: Probar cuentas de usuarios creadas en el AD

Paso 3.1: En el equipo ISE navegar a;

Administration> Identity Management> External Identity Sources

Paso 3.2: Seleccionar el AD al cual se realizaran las pruebas de cuentas de usuario.

Paso 3.3: Seleccionar Test User.

Paso 3.3: Ingresar las credenciales del usuario que se encuentran configuradas en el AD y probar.

Reset Password GUI - Cisco ISE

Ingresar al ISE a través de SSH con la cuenta CLI de administración. Recuerde que la cuenta "admin" de consola CLI es diferente a la cuenta de "admin" de GUI. Tienen los mismos username pero diferentes password.

ise/admin# application reset-passwd ise admin

Enter new password:   XXXX

Confirm new password: XXXX

Password reset successfully.

ise/admin#

Configuración de Usuario de Administración - Cisco ISE

A continuación se detalla cómo configurar un usuario de administración en el equipo ISE.

Se debe dirigir a;

Administration >System >Admin Access

Administrators >Admin Users +Add

El nuevo usuario debe ser agregado al grupo Super Admin para tener la administración total del equipo.

Perdida de Espacio Libre - CCNA Wireless

Cuando una señal de RF es transmitida desde una antena, su amplitud disminuye cuando viaja a través del espacio libre. Aun si no hay obstáculos en la ruta entre el transmisor y el receptor, la fuerza de la señal se ira debilitando, siendo esto conocido como perdida de espacio libre.

La onda tiene forma de curva tridimensional que se expande cuando viaja. Esta expansión la que causa que la fuerza de la señal se debilite.

Técnicamente la perdida de espacio libre corresponde a la atenuación provocada por el medio de transmisión (aire) al paso de la señal de radio.

La pérdida de espacio libre se mide en dB y puede ser calculada de acuerdo a la siguiente ecuación;

       FSPL (dB)= 20log (f) + 20 Log (d) + 32.44

Siendo;

d: la distancia medida en klmts.

f: la frecuencia medida en MHz.

La pérdida de la señal es una función exponencial, es decir la fuerza de la señal cae rápidamente cercana al transmisor pero más lentamente cuando se aleja.

La pérdida es una función de la distancia y de la frecuencia solamente.

La pérdida de espacio libre es mayor en la banda de 5GHz que en la de 2,4GHz. Esto significa que los dispositivos 802.11b/g/n (2,4GHz) tienen un mayor rango efectivo que los equipos 802.11a/n (5GHz)  asumiendo una igual fuerza de señal transmitida.

Link Budget - CCNA Wireless

Link Budget es el valor que cuenta todas las ganancias y pérdidas que pueden existir entre el transmisor y receptor, permitiendo determinar cuanta potencia es necesaria transmitir para que la señal sea alcanzada y entendida efectivamente por el receptor.

A continuación se muestra la formula correspondiente al factor de Link Budget.

La figura muestra un ejemplo de cálculo de Link Budget.

Instalación de Cisco Prime Infrastructure

Paso 1: Cuando se enciende por primera vez el Cisco Prime es necesario ingresar setup para comenzar a configurar el dispositivo.

**********************************************

Please type 'setup' to configure the appliance

**********************************************

Server login: setup

Paso 2: A continuación se procederá a configurar cada uno los datos solicitados en el equipo.

Enter hostname []: Prime-Sup

Enter IP address[]: 192.168.124.40

Enter IP default netmask[]: 255.255.255.0

Enter IP default gateway[]: 192.168.124.1

Enter default DNS domain[]: support.com

Enter primary nameserver[]: 192.168.23.51

Add/Edit another nameserver? Y/N : N

Enter primary NTP server[time.nist.gov]: ntp.shoa.cl

Add/Edit secondary NTP server? Y/N : N

Enter system timezone[UTC]: US/Pacific

Enter username[admin]: admin

Enter password: supp01.admin

Enter password again: supp01.admin

Bringing up network interface...

Pinging the gateway...

Pinging the primary nameserver...

Do not use 'Ctrl-C' from this point on...

Appliance is configured

Installing applications...

Installing NCS ...

************************************************

* Cisco Prime Network Control System Setup *

************************************************

Enter "^" to return to previous question.

********************************************

* High Availability Role Selection *

********************************************

Will this server be used as a Secondary for HA? (yes/no): no

********************************************

* Web Interface Root Password Selection *

********************************************

Enter root password: supp01.root

Enter root password again: supp01.root

********************************************

* FTP Password Selection *

********************************************

Enter ftp password: supp01.ftp

Enter ftp password again: supp01.ftp

************************************************

* Summary *

************************************************

Server will not be a Secondary

Root Password is set.

Ftp Password is set.

Apply these settings? (y/n)y

Paso 3: Una vez reiniciado el Cisco Prime podemos ingresar las credenciales para entrar al dispositivo y verificar que se encuentra con todos sus servicios activos.

Prime-Sop login: admin

Password: supp01.admin

Prime-Sup/admin# ncs status

Health Monitor is running.

 Ftp Server is running

 Database server is running

 Tftp Server is running

 Matlab Server is running

 NMS Server is running.

 Plug and Play Gateway is running.

 SAM Daemon is running ...

 DA Daemon is running ...

 Syslog Daemon is running ..

Paso 4: Encontrándose con todos sus servicios habilitados podemos ingresar a través de interfaz gráfica (GUI)

https://prime-ipaddress.

https://192.168.124.40

Configuración de Central Web Authebtication (CWA) en WLC e ISE

TAREA 1: Configuración de WLC

Paso 1.1: En el equipo WLC asegurar que el servicio CoA (FRC3576) este habilitado, para esto se debe dirigir a; 

Security> AAA> RADIUS> Authentication

Paso 1.2: Configurar un nuevo SSID abierto “Open” con “MAC Filtering” a nivel de seguridad de capa 2, además de la siguiente información;

Paso 1.3: Configurar una ACL para redirección. Esta lista de acceso será configurada en el ISE definiendo el tráfico que será redireccionado (deny) y que tráfico no deberá ser redireccionado (permit). Para esto se debe configurar cada una de las siguientes líneas en;

Security> Access Control Lists> Access Control Lists

TAREA 2: Configuración de Perfil de Autorización en ISE.

Paso 2.1: Configurar un perfil de autorización que permita a los usuarios redirigirse al CWA, para esto se debe dirigir a;

Policy> Policy Elements> Results

Paso 2.2: Expandir la carpeta Authorization y seleccionar Authorization Profile.

Paso 2.3: Seleccionar Add

Paso 2.4: Configurar el nombre del perfil y seleccione ACESS_ACCEPT desde el tipo de acceso.

Paso 2.5: Marcar Web Redirection (CWA, MDM, NSP, CPP) y seleccionar Centralized Web Auth, y la ACL correspondiente a la configurada en el WLC (Paso 1.3).

Paso 2.6: Seleccionar el valor de Self-Registered Guest Portal, en este caso el usuario se enviara al portal para auto registrarse y le entregara un usuario y contraseña.

TAREA 3: Configuración de Condición de Autorización

Paso 3.1: Configurar una condición para hacerla coincidir con el SSID de invitados, permitiendo que sea usada dentro de las políticas de autorización para esto se debe dirigir a; 

Policy> Policy Elements> Conditions> Authorization> Simple Conditions

Paso 3.2: Configurar una condición asociada al SSID que se conecten los usuarios invitados de acuerdo a lo siguiente;

Paso 3.3: Configurar Value correspondiente a la expresión regular .*(:nombre del SSID)$

TAREA 4: Configuración una regla de Autenticación

Paso 4.1: Configurar una regla de autenticación que permita al ISE aceptar todas las autenticaciones de direcciones MAC desde el WLC, para esto se debe dirigir a; 

Policy> Authentication>

Paso 4.2: Configurar MAB que ya existe por defecto y seleccione Edit, manteniendo lo siguiente;

Paso 4.3: Configurar en Internal Endpoints lo siguiente;

TAREA 5: Configuración Políticas de Autorización

Paso 5.1: Configurar las políticas de autorización de acuerdo al siguiente orden, para esto se debe ir a; 

Policy> Authorization>

Paso 5.2: Configurar una nueva regla. (Ej. Redirección Invitados) en el campo condition(s) seleccione (+), y elija create a new condition.

Paso 5.3: Seleccionar en select attribute la opción Network Access y dentro de esta opción elegir UseCase.

Paso 5.4: Seleccionar el operador Equals y elegir Host Loockup.

Paso 5.5: Seleccionar Add Condition from Library y AND en Select Condition elegir Simple Condition y buscar la condición creada en la Tarea 3 correspondiente al nombre del SSID.

Paso 5.6: Seleccionar then y elegir el perfil de autorización correspondiente al Portal de Autenticación (Ej. Wireless_Portal, Tarea 2)

Paso 5.7: Configurar una nueva política de autenticación, la cual debe estar posicionada antes de la creada anteriormente (Ej. Redirección Invitados) para esto se debe ir a; 

Policy> Authorization>

Paso 5.8: Configurar una nueva regla. (Ej. Redirección Invitados) en el campo condition(s) seleccione (+), y elija create a new condition.

Paso 5.9: Seleccionar en select attribute la opción Network Access y dentro de esta opción elegir UseCase.

Paso 5.10: Seleccionar el operador Equals y elegir GuestFlow.

Paso 5.11: Seleccionar Add Condition from Library y AND en Select Condition elegir Simple Condition y buscar la condición creada en la Tarea 3 correspondiente al nombre del SSID.

Paso 5.12: Seleccionar then y elegir PermitAccess

Paso 5.13: Finalmente debiese quedar configurado de la siguiente forma;

TAREA 6: Verificación de Usuario Conectado

Paso 6.1: Finalmente para verificar que los usuarios se están conectando sin problemas se debe dirigir a;

Operations> Authentications>