Configuração do Wireless Domain Services

(1)

Configuração do Wireless Domain Services

Índice

Introdução Pré-requisitos Requisitos Componentes Utilizados Convenções

Wireless Domain Services Função do Dispositivo WDS

Função dos Pontos de Acesso Usando o Dispositivo WDS Configuração

Designar um AP como WDS Designar um WLSM como WDS

Designar um AP como Dispositivo de Infra-estrutura Definir o Método de Autenticação de Clientes Verificação

Troubleshooting

Comandos para Troubleshooting

Introdução

Este documento introduz o conceito de Wireless Domain Services (WDS). O documento também descreve como configurar um ponto de acesso (AP) ou o Wireless LAN Services Module (WLSM) como o WDS e pelo menos um outro como um AP de infra-estrutura. O procedimento descrito neste documento o orienta sobre um WDS funcional e permite que clientes se associem ao AP do WDS ou a um AP da infra-estrutura. O objetivo deste documento é estabelecer uma base para que você possa configurar o Fast Secure Roaming ou introduzir um Wireless LAN Solutions Engine (WLSE) na rede, a fim de usar os recursos.

Pré-requisitos

Requisitos

Verifique se você atende a estes requisitos antes de tentar esta configuração:

Possua conhecimento profundo sobre LANs wireless e problemas de segurança wireless.

Possua conhecimento sobre os métodos de segurança atuais do Extensible Authentication Protocol (EAP).

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware: Pontos de acesso com Cisco IOS® Software

Cisco IOS Software Release 12.3(2)JA2 ou posterior Catalyst 6500 Series Wireless LAN Services Module

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos

utilizados neste documento foram iniciados com uma configuração padrão e um endereço IP na interface BVI1, para que a unidade seja acessível através da interface do Cisco IOS Software ou da interface de linha de comando (CLI). Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

(2)

Wireless Domain Services

O WDS é um novo recurso para pontos de acesso no Cisco IOS Software e a base do Catalyst 6500 Series WLSM. O WDS é uma função central que permite o uso de outros recursos como estes:

Fast Secure Roaming Interação do WLSE Gerenciamento de rádio

Você precisa estabelecer relações entre os pontos de acesso que participam do WDS e o WLSM antes que qualquer outro recurso baseado em WDS funcione. Uma das finalidades do WDS é eliminar a necessidade de validação de credenciais de usuário pelo servidor de autenticação e reduzir o tempo necessário para as autenticações de cliente.

Para usar o WDS, você deve designar um AP ou o WLSM como o WDS. Um AP do WDS deve usar um nome de usuário e uma senha do WDS para estabelecer um relacionamento com um servidor de autenticação. O servidor de autenticação pode ser um servidor RADIUS externo ou o recurso de Servidor RADIUS Local no AP do WDS. O WLSM deve estabelecer uma relação com o servidor de autenticação, mesmo que não precise ser autenticado no servidor.

Outros pontos de acesso, chamados de pontos de acesso de infra-estrutura, comunicam-se com o WDS. Antes que o registro ocorra, os pontos de acesso de infra-estrutura precisam autenticar a si próprios no WDS. Um grupo de servidores de infra-estrutura no WDS define essa autenticação de infra-estrutura.

Um ou mais grupos de clientes-servidores no WDS definem a autenticação de clientes.

Quando um cliente tenta se associar a um AP de infra-estrutura, esse AP passa as credenciais do usuário para o WDS para validação. Se for a primeira vez em que as credenciais são fornecidas ao WDS, ele recorrerá ao servidor de autenticação para validá-las. Em seguida, o WDS armazenará em cache as credenciais, de modo a não precisar retornar ao servidor de autenticação quando o mesmo usuário tentar novamente a autenticação. Os exemplos de reautenticação incluem:

Re-keying Roaming

Quando o usuário inicia o dispositivo cliente

Qualquer protocolo de autenticação EAP baseado em RADIUS pode ser enviado por túnel através do WDS, como por exemplo: Lightweight EAP (LEAP)

Protected EAP (PEAP)

EAP-Transport Layer Security (EAP-TLS)

EAP-Flexible Authentication through Secure Tunneling (EAP-FAST)

A autenticação de endereço MAC também pode estabelecer um túnel para um servidor de autenticação externo ou para uma lista local em um AP do WDS. O WLSM não oferece suporte à autenticação de endereço MAC.

O WDS e os pontos de acesso de infra-estrutura se comunicam através de um protocolo de multicast denominado WLAN Context Control Protocol (WLCCP). Essas mensagens de multicast não podem ser roteadas, portanto, o WDS e seus pontos de acesso de infra-estrutura associados devem estar na mesma sub-rede IP e no mesmo segmento de LAN. Entre o WDS e o WLSE, o WLCCP usa TCP e User Datagram Protocol (UDP) na porta 2887. Quando o WDS e o WLSE estão em sub-redes diferentes, um protocolo como Network Address Translation (NAT) não pode converter os pacotes.

Um AP configurado como o dispositivo WDS oferece suporte a até 60 pontos de acesso participantes. Um ISR (Integrated Services Router) configurado como o dispositivo WDS oferece suporte a até 100 pontos de acesso participantes. E um switch equipado com WLSM oferece suporte a até 600 pontos de acesso participantes e até 240 grupos de mobilidade. Um único AP oferece suporte a até 16 grupos de mobilidade. Nota: A Cisco recomenda que os pontos de acesso de infra-estrutura executem a mesma versão do IOS que o dispositivo WDS. Se você usar uma versão mais antiga do IOS, é possível que os pontos de acesso não consigam fazer a autenticação no dispositivo WDS. Além disso, a Cisco recomenda a utilização da versão mais recente do Cisco IOS. Você pode encontrar essa versão na página Downloads Wireless.

(3)

O dispositivo WDS executa várias tarefas na LAN wireless:

Anuncia seu recurso WDS e participa da seleção do melhor dispositivo WDS para a LAN wireless. Ao configurar a LAN wireless para WDS, configure um dispositivo como o candidato WDS principal e um ou mais dispositivos adicionais como candidatos WDS alternativos. Se o dispositivo WDS principal se tornar off-line, um dos dispositivos WDS alternativos tomará seu lugar.

Autentica todos os pontos de acesso na sub-rede e estabelece um canal de comunicação seguro com cada um deles. Coleta dados de rádio dos pontos de acesso na sub-rede, agrega os dados e encaminha-os ao dispositivo WLSE na rede. Atua como passagem para todos os dispositivos clientes autenticados por 802.1x associados aos pontos de acesso participantes.

Registra todos os dispositivos clientes da sub-rede que usam chaves dinâmicas, estabelece chaves de sessão para eles e armazena em cache suas credenciais de segurança. Quando um cliente faz roaming para outro AP, o dispositivo WDS encaminha as credenciais de segurança do cliente para novo AP.

Função dos Pontos de Acesso Usando o Dispositivo WDS

Os pontos de acesso da LAN wireless interagem com o dispositivo WDS nestas atividades:

Descobrir e rastrear o dispositivo WDS atual e retransmitir anúncios WDS para a LAN wireless. Fazer a autenticação no dispositivo WDS e estabelecer um canal de comunicação seguro com ele. Registrar os dispositivos clientes associados no dispositivo WDS.

Relatar os dados de rádio para o dispositivo WDS.

Configuração

O WDS apresenta a configuração de forma modular e ordenada. Cada conceito se baseia no conceito que o precede. O WDS omite outros itens de configuração como senhas, acesso remoto e configurações de rádio por motivos de clareza e para se concentrar no assunto principal.

Esta seção apresenta as informações necessárias para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Designar um AP como WDS

O primeiro passo é designar um AP como o WDS. O AP do WDS é o único que se comunica com o servidor de autenticação. Execute estes passos para designar um AP como WDS:

Para configurar o servidor de autenticação no AP do WDS, escolha Security > Server Manager para exibir a guia Server Manager: 1.

Em Corporate Servers, digite o endereço IP do servidor de autenticação no campo Server. a.

Especifique o segredo compartilhado e as portas. b.

Em Default Server Priorities, defina o campo Priority 1 como o endereço IP do servidor, no tipo de autenticação adequado. c.

(4)

Como alternativa, execute estes comandos na CLI:

WDS_AP#configure terminal

Enter configuration commands, one per line. End with CNTL/Z. WDS_AP(config)#aaa group server radius rad_eap

WDS_AP(config-sg-radius)#server 10.0.0.3 auth-port 1645 acct-port 1646 WDS_AP(config-sg-radius)#exit

WDS_AP(config)#aaa new-model

WDS_AP(config)#aaa authentication login eap_methods group rad_eap WDS_AP(config)#radius-server host 10.0.0.3 auth-port 1645

acct-port 1646 key labap1200ip102

!--- Este comando é exibido aqui em duas linhas devido a limitações de espaço.

WDS_AP(config)#end WDS_AP#write memory

O próximo passo é configurar o AP do WDS no servidor de autenticação como um cliente de autenticação, autorização e contabilidade (AAA). Para isso, é necessário adicionar o AP do WDS como um cliente AAA. Execute estes passos:

2.

(5)

No Cisco Secure Access Control Server (ACS), isso ocorre na página Configuração de Rede, onde você define estes atributos para o AP do WDS: a. Nome Endereço IP Segredo compartilhado Método de autenticação

RADIUS Cisco Aironet

RADIUS Internet Engineering Task Force [IETF] Clique em Submit.

Para obter informações sobre outros servidores de autenticação não-ACS, consulte a documentação do fabricante.

Além disso, no Cisco Secure ACS, configure o ACS para executar a autenticação LEAP na página Configuração do Sistema -Configuração de Autenticação Global. Primeiro, clique em System Configuration e, em seguida, em Global Authentication Setup.

b.

Role a página para baixo até a configuração de LEAP. Quando a caixa é selecionada, o ACS autentica o LEAP. c.

(6)

Para configurar as definições de WDS no AP do WDS, escolha Wireless Services > WDS nesse AP e clique na guia General Set-Up. Execute estes passos:

3.

Em WDS-Wireless Domain Services - Global Properties, selecione Use this AP as Wireless Domain Services. a.

Defina o valor do campo Wireless Domain Services Priority como aproximadamente 254, pois ele é o primeiro. Você pode configurar um ou mais pontos de acesso ou switches como candidatos para fornecer o WDS. O dispositivo com a prioridade mais alta fornecerá esse serviço.

(7)

Enter configuration commands, one per line. End with CNTL/Z. WDS_AP(config)#wlccp wds priority 254 interface BVI1

Escolha Wireless Services > WDS e vá para a guia Server Groups: 4.

Defina um Nome de Grupo de Servidor que autentique os outros pontos de acesso, um grupo de infra-estrutura. a.

Defina Priority 1 para o servidor de autenticação configurado anteriormente. b.

Clique no botão de opção Use Group For: Infrastructure Authentication. c.

Aplique essas definições aos Service Set Identifiers (SSIDs) relevantes. d.

Enter configuration commands, one per line. End with CNTL/Z. WDS_AP(config)#wlccp authentication-server infrastructure

method_Infrastructure

WDS_AP(config)#aaa group server radius Infrastructure WDS_AP(config-sg-radius)#server 10.0.0.3 auth-port 1645

(8)

WDS_AP(config-sg-radius)#exit

WDS_AP(config)#aaa authentication login method_Infrastructure

group Infrastructure

!--- Alguns dos comandos nesta tabela são exibidos em duas linhas devido a

!--- limitações de espaço. Certifique-se de digitar esses comandos em uma única linha.

Configure o nome de usuário e a senha do WDS como um usuário do servidor de autenticação. 5.

No Cisco Secure ACS, isso ocorre na página Configuração do Usuário, onde você define o nome de usuário e a senha do WDS. Para obter informações sobre outros servidores de autenticação não-ACS, consulte a documentação do fabricante.

Nota: Não coloque o usuário do WDS em um grupo ao qual estejam atribuídos muitos direitos e privilégios: o WDS exige apenas autenticação limitada.

Escolha Wireless Services > AP e clique em Enable para a opção Participate in SWAN infrastructure. Em seguida, digite o nome de usuário e a senha do WDS.

6.

Você deve definir um nome de usuário e uma senha do WDS no servidor de autenticação para todos os dispositivos que designam membros do WDS.

(9)

Enter configuration commands, one per line. End with CNTL/Z. WDS_AP(config)#wlccp ap username wdsap password wdsap

Escolha Wireless Services > WDS. Na guia WDS AP WDS Status, verifique se o AP do WDS é exibido na área WDS Information no estado ACTIVE. O AP também é exibido na área AP Information, com estado REGISTERED.

7.

Se o AP não for exibido como REGISTERED ou ACTIVE, verifique se há erros ou falhas em tentativas de autenticação no servidor. a.

Quando o AP for registrado corretamente, adicione um AP de infra-estrutura para usar os serviços do WDS. b.

(10)

WDS_AP#show wlccp wds ap

MAC-ADDR IP-ADDR STATE LIFETIME 0005.9a38.429f 10.0.0.102 REGISTERED 261 WDS_AP#show wlccp ap WDS = 0005.9a38.429f, 10.0.0.102 state = wlccp_ap_st_registered IN Authenticator = 10.0.0.102 MN Authenticator = 10.0.0.102 WDS_AP#

Nota: Você não pode testar associações de clientes porque a autenticação de cliente ainda não tem provisões.

Designar um WLSM como WDS

Esta seção explica como configurar um WLSM como um WDS. O WDS é o único dispositivo que se comunica com o servidor de autenticação. Nota: Execute estes comandos no prompt enable do WLSM, e não no do Supervisor Engine 720. Para obter o prompt de comandos do WLSM, execute estes comandos em um prompt enable do Supervisor Engine 720:

c6506#session slot x proc 1

!--- Nesse comando, x é o número do slot em que está o WLSM.

The default escape character is Ctrl-^, then x.

You can also type 'exit' at the remote prompt to end the session Trying 127.0.0.51 ... Open

User Access Verification Username: <username> Password: <password> wlan>enable

Password: <enable password> wlan#

Nota: Para fazer troubleshooting e a manutenção do WLSM mais facilmente, configure o acesso remoto por Telnet ao WLSM. Consulte

Configurando o Acesso Remoto por Telnet.

Para designar um WLSM com WDS:

Na CLI do WLSM, execute estes comandos e estabeleça uma relação com o servidor de autenticação: 1.

wlan#configure terminal

Enter configuration commands, one per line. End with CNTL/Z. wlan(config)#aaa new-model

wlan(config)#aaa authentication login leap-devices group radius wlan(config)#aaa authentication login default enable

wlan(config)#radius-server host ip_address_of_authentication_server

auth-port 1645 acct-port 1646

!--- Este comando deve permanecer em uma única linha.

wlan(config)#radius-server key shared_secret_with_server wlan(config)#end

wlan#write memory

Nota: Não há controle de prioridade no WLSM. Se a rede contiver vários módulos WLSM, o WLSM usará a configuração de redundância para determinar o módulo principal.

Configure o WLSM no servidor de autenticação como um cliente AAA. 2.

(11)

Nome Endereço IP

Segredo compartilhado Método de autenticação

RADIUS Cisco Aironet RADIUS IETF

Para obter informações sobre outros servidores de autenticação não-ACS, consulte a documentação do fabricante.

Além disso, no Cisco Secure ACS, configure o ACS para executar a autenticação LEAP na página Configuração do Sistema -Configuração de Autenticação Global. Primeiro, clique em System Configuration e, em seguida, em Global Authentication Setup.

a.

Role a página para baixo até a configuração de LEAP. Quando a caixa é selecionada, o ACS autentica o LEAP. b.

(12)

No WLSM, defina um método que autentique outros pontos de acesso (um grupo de servidores de infra-estrutura). 3.

Enter configuration commands, one per line. End with CNTL/Z. wlan(config)#wlccp authentication-server infrastructure leap-devices wlan(config)#end

No WLSM, defina um método que autentique os dispositivos clientes (um grupo de clientes-servidores) e os tipos de EAP que esses clientes usam.

4.

Enter configuration commands, one per line. End with CNTL/Z. wlan(config)#wlccp authentication-server client any leap-devices wlan(config)#end

Nota: Este passo elimina a necessidade do processo Definir Método de Autenticação de Cliente.

Defina uma única VLAN entre o Supervisor Engine 720 e o WLSM para permitir que o WLSM se comunique com entidades externas, como pontos de acesso e servidores de autenticação. Esta VLAN não está sendo usada em nenhum outro lugar ou para qualquer outra 5.

(13)

finalidade na rede. Primeiramente, crie a VLAN no Supervisor Engine 720 e, depois, execute estes comandos: No Supervisor Engine 720:

c6506#configure terminal

Enter configuration commands, one per line. End with CNTL/Z. c6506(config)#wlan module slot_number allowed-vlan vlan_number c6506(config)#vlan vlan_number

c6506(config)#interface vlan vlan_number

c6506(config-if)#ip address ip_address subnet_mask c6506(config-if)#no shut

c6506(config)#end c6506#write memory

No WLSM:

Enter configuration commands, one per line. End with CNTL/Z. wlan(config)#wlan vlan vlan_number

wlan(config)#ipaddr ip_address subnet_mask

wlan(config)#gateway ip_address_of_vlan_interface_on_Sup720_created_above wlan(config)#ip route 0.0.0.0 0.0.0.0

!--- Geralmente, esse é o mesmo endereço da instrução do gateway.

wlan(config)#admin wlan(config)#end wlan#write memory

Verifique a função do WLSM com estes comandos: 6.

No WLSM:

wlan#show wlccp wds mobility LCP link status: up

HSRP state: Not Applicable Total # of registered AP: 0 Total # of registered MN: 0 Tunnel Bindings:

Network ID Tunnel IP MTU FLAGS ========== =============== ========= =====

<vlan> <ip address> 1476 T

Flags: T=Trusted, B=IP Broadcast enabled, N=Nonexistent wlan#

No Supervisor Engine 720:

c6506#show mobility status

WLAN Module is located in Slot: 5 (HSRP State: Active) LCP Communication status : up

Number of Wireless Tunnels : 0 Number of Access Points : 0 Number of Access Points : 0

(14)

A seguir, você precisa designar pelo menos um AP de estrutura e relacioná-lo ao WDS. Os clientes se associam a pontos de acesso de infra-estrutura. Os pontos de acesso de infra-estrutura solicitam que o AP do WDS ou WLSM execute a autenticação para eles.

Execute estes passos para adicionar um AP de infra-estrutura que use os serviços do WDS:

Nota: Esta configuração se aplica somente aos pontos de acesso de infra-estrutura e não ao AP do WDS.

Escolha Wireless Services > AP. No AP de infra-estrutura, selecione Enable para a opção Wireless Services. Em seguida, digite o nome de usuário e a senha do WDS.

1.

Você deve definir um nome de usuário e uma senha de WDS no servidor de autenticação para todos os dispositivos que serão membros do WDS.

Enter configuration commands, one per line. End with CNTL/Z.

Infrastructure_AP(config)#wlccp ap username infrastructureap password infrastructureap Infrastructure_AP(config)#end

Infrastructure_AP#write memory

Escolha Wireless Services > WDS. Na guia WDS AP WDS Status, o novo AP de infra-estrutura aparece na área WDS Information com estado ACTIVE e na área AP Information com estado REGISTERED.

2.

Se o AP não for exibido como ACTIVE ou REGISTERED, verifique se há erros ou falhas em tentativas de autenticação no servidor. a.

Depois que o AP for exibido como ACTIVE ou REGISTERED, adicione um método de autenticação de clientes ao WDS. b.

(15)

Como alternativa, execute este comando na CLI:

WDS_AP#show wlccp wds ap

MAC-ADDR IP-ADDR STATE LIFETIME 000c.8547.b6c7 10.0.0.108 REGISTERED 194 0005.9a38.429f 10.0.0.102 REGISTERED 76

Como alternativa, execute este comando no WLSM:

wlan#show wlccp wds ap

MAC-ADDR IP-ADDR STATE LIFETIME 000c.8547.b6c7 10.0.0.108 REGISTERED 194 0005.9a38.429f 10.0.0.102 REGISTERED 76 wlan#

Em seguida, execute este comando no AP de infra-estrutura:

Infrastructure_AP#show wlccp ap WDS = 0005.9a38.429f, 10.0.0.102 state = wlccp_ap_st_registered IN Authenticator = 10.0.0.102 MN Authenticator = 10.0.0.102 Infrastructure_AP#

Nota: Você não pode testar associações de clientes porque a autenticação de cliente ainda não tem provisões.

Definir o Método de Autenticação de Clientes

Por fim, defina um método de autenticação de clientes.

Execute estes passos para adicionar um método de autenticação de clientes:

Escolha Wireless Services > WDS. Siga estes passos na guia Server Groups do AP do WDS: 1.

Defina um grupo de servidores que autentique clientes (um grupo de clientes). a.

(16)

Defina Priority 1 para o servidor de autenticação configurado anteriormente. b.

Defina o tipo aplicável de autenticação (LEAP, EAP, MAC, etc.). c.

Aplique as definições aos SSIDs relevantes. d.

Enter configuration commands, one per line. End with CNTL/Z. WDS_AP(config)#wlccp authentication-server client eap method_Client WDS_AP(config)#wlccp authentication-server client leap method_Client WDS_AP(config)#aaa group server radius Client

WDS_AP(config-sg-radius)#server 10.0.0.3 auth-port 1645 acct-port 1646 WDS_AP(config-sg-radius)#exit

WDS_AP(config)#aaa authentication login method_Client group Client WDS_AP(config)#end

WDS_AP#write memory

Nota: O AP do WDS de exemplo é dedicado e não aceita associações de clientes.

Nota: Não configure nos pontos de acesso de infra-estrutura dos grupos de servidores porque esses tipos de AP encaminham todos os pedidos para o WDS para que sejam processados.

Nos pontos de acesso de infra-estrutura: 2.

No item de menu Security > Encryption Manager, clique em WEP Encryption ou Cipher, conforme exigido pelo protocolo de autenticação usado.

(17)

No item de menu Security > SSID Manager, selecione métodos de autenticação conforme exigido pelo protocolo de autenticação usado.

b.

Agora você pode testar com êxito se os clientes podem ser autenticados em pontos de acesso de infra-estrutura. O AP do WDS na guia WDS Status (no item de menu Wireless Services > WDS) indica que o cliente é exibido na área Mobile Node Information e possui o estado REGISTERED.

3.

(18)

WDS_AP#show wlccp wds

MAC: 0005.9a38.429f, IP-ADDR: 10.0.0.102 , Priority: 254 Interface BVI1, State: Administratively StandAlone - ACTIVE AP Count: 2 , MN Count: 1

WDS_AP#show wlccp wds mn

MAC-ADDR IP-ADDR Cur-AP STATE 0030.6527.f74a 10.0.0.25 000c.8547.b6c7 REGISTERED WDS_AP#

Nota: Se você precisar depurar a autenticação, certifique-se de depurar no AP do WDS, pois este é o dispositivo que se comunica com o servidor de autenticação.

Verificação

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Esta seção fornece informações que você pode utilizar para solucionar problemas de configuração. Esta lista mostra algumas perguntas freqüentes relacionadas ao comando WDS para esclarecer ainda mais a utilidade desses comandos:

Pergunta: No AP do WDS, quais são as definições recomendadas para estes itens? radius-server timeout

radius-server deadtime

Temporal Key Integrity Protocol (TKIP) message integrity check (MIC) Failure Holdoff Time Client Holdoff Time

EAP or MAC Reauthentication Interval EAP Client Timeout (opcional)

(19)

Resposta: Recomenda-se que você mantenha a configuração com os valores padrão no caso dessas definições especiais e as utilize somente quando houver um problema relacionado a tempo.

Estas são as definições recomendadas para o AP do WDS:

Desabilite radius-server timeout. Este é o número de segundos que um AP espera para responder a uma solicitação RADIUS antes que ele reenvie a solicitação. O padrão é 5 segundos.

Desabilite radius-server deadtime. O RADIUS será ignorado por solicitações adicionais durante alguns minutos, a não ser que todos os servidores estejam marcados com dead.

Por padrão, o TKIP MIC Failure Holdoff Time é habilitado como 60 segundos. Se você habilitar o tempo de espera, será possível digitar o intervalo em segundos. Se o AP detectar duas falhas de MIC em 60 segundos, ele bloqueará todos os clientes TKIP nessa interface pelo período de espera especificado aqui.

A opção Client Holdoff Time deve ser desabilitada por padrão. Se você habilitar a espera, digite o número de segundos que o AP deverá aguardar após a falha de autenticação antes que um pedido de autenticação subseqüente seja processado.

Por padrão, a opção MAC Reauthentication Interval está desabilitada. Se você habilitar a reautenticação, será possível especificar o intervalo ou aceitar o intervalo fornecido pelo servidor de autenticação. Se você decidir especificar o intervalo, digite o intervalo em segundos que o AP aguardará antes de forçar uma reautenticação de um cliente autenticado.

Por padrão, EAP Client Timeout (optional) é 120 segundos. Insira a quantidade de tempo que o AP aguardará para que clientes wireless respondam aos pedidos de autenticação EAP.

Pergunta: Em relação ao tempo de espera do TKIP, eu li que ele deve ser definido como 100 ms e não como 60 segundos. Devo presumir que ele é definido como um segundo a partir do navegador porque esse é o menor número que pode ser selecionado? Resposta: Não há uma recomendação específica para defini-lo como 100 ms, a menos que seja relatada uma falha em que a única solução seja aumentar esse tempo. Um segundo é a definição mais baixa.

Pergunta: Estes dois comandos ajudam na autenticação de cliente de algum modo e eles são necessários no AP de infra-estrutura ou do WDS?

radius-server attribute 6 on-for-login-auth radius-server attribute 6 support-multiple

Resposta: Esses comandos não ajudam no processo de autenticação e não são necessários no WDS nem no AP.

Pergunta: No AP de infra-estrutura, eu presumo que nenhuma das definições de Server Manager e Global Properties são necessárias porque o AP recebe informação do WDS. Alguns destes comandos específicos são necessários para o AP de infra-estrutura?

radius-server attribute 6 on-for-login-auth radius-server attribute 6 support-multiple radius-server timeout

Resposta: Não é necessário possuir definições de Server Manager e Global Properties para os pontos de acesso de infra-estrutura. O WDS cuida dessa tarefa e não há necessidade de possuir tais definições:

radius-server attribute 6 on-for-login-auth radius-server attribute 6 support-multiple radius-server timeout

A definição radius-server attribute 32 include-in-access-req format %h permanece por padrão e é necessária.

Um AP é um dispositivo da Camada 2. Assim, o AP não oferece suporte à mobilidade da Camada 3 quando o AP está configurado para agir como um dispositivo WDS. Você pode obter mobilidade da Camada 3 apenas quando configura o WLSM como o dispositivo WDS. Consulte a seção Arquitetura de Mobilidade da Camada 3 do Cisco Catalyst 6500 Series Wireless LAN Services Module: White Paper para obter mais informações.

(20)

Portanto, quando você configurar um AP como dispositivo WDS, não use o comando mobility network-id. Esse comando se aplica à mobilidade da Camada 3 e você precisa ter um WLSM como dispositivo WDS para configurar corretamente a mobilidade da Camada 3. Se o comando mobility network-id for usado incorretamente, você poderá perceber alguns destes sintomas:

Os clientes wireless não conseguem se associar ao AP.

Os clientes wireless conseguem se associar ao AP, mas não recebem um endereço IP do servidor DHCP. Um telefone wireless não é autenticado quando há uma implementação de voz sobre WLAN.

Autenticação de EAP não ocorre. Com o comando mobility network-id configurado, o AP tenta construir um túnel GRE (Generic Routing Encapsulation) para encaminhar pacotes EAP. Se nenhum túnel for estabelecido, os pacotes não irão para lugar nenhum.

Um AP configurado como dispositivo WDS não funciona como esperado e a configuração do WDS não funciona.

Nota: Não é possível configurar o Cisco Aironet 1300 AP/Bridge como um WDS mestre. O 1300 AP/Bridge não oferece suporte a essa funcionalidade. O 1300 AP/Bridge pode participar de uma rede WDS como um dispositivo de infra-estrutura em que algum outro AP ou WLSM esteja configurado como WDS mestre.

Comandos para Troubleshooting

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

debug dot11 aaa authenticator all — Mostra as diversas negociações pelas quais um cliente passa à medida que se associa e se autentica por meio do processo 802.1x ou EAP. Essa depuração foi introduzida no Cisco IOS Software Release 12.2(15)JA. Esse comando torna obsoleto debug dot11 aaa dot1x all nesta release e em releases posteriores.

debug aaa authentication — Mostra o processo de autenticação de um ponto de vista AAA genérico. debug wlccp ap — Mostra as negociações WLCCP envolvidas quando um AP ingressa em um WDS. debug wlccp packet — Mostra informações detalhadas sobre negociações WLCCP.

debug wlccp leap-client — Mostra os detalhes à medida que um dispositivo de infra-estrutura ingressa em um WDS.