En un entorno empresarial en constante cambio, la red de su pequeña empresa debe ser potente, flexible, accesible y altamente fiable, especialmente cuando el crecimiento es una prioridad. La popularidad de los dispositivos inalámbricos ha crecido exponencialmente, lo que no sorprende. Las redes inalámbricas son rentables, fáciles de implementar, flexibles, escalables y móviles, y proporcionan recursos de red sin problemas. La autenticación permite que los dispositivos de red comprueben y garanticen la legitimidad de un usuario al tiempo que protegen la red de usuarios no autorizados. Es importante implementar una infraestructura de red inalámbrica segura y manejable.
El router VPN para WAN Dual Gigabit Cisco RV320 proporciona una conectividad de acceso fiable y muy segura para usted y sus empleados. El Cisco WAP321 Wireless-N Selectable-Band Access Point con Single Point Setup admite conexiones de alta velocidad con Gigabit Ethernet. Los puentes conectan las LAN de forma inalámbrica, lo que facilita la expansión de las redes de las pequeñas empresas.
En este artículo se proporciona una guía paso a paso para la configuración necesaria para habilitar el acceso inalámbrico en una red de Cisco para pequeñas empresas, incluido el enrutamiento entre redes de área local (VLAN), varios identificadores de conjunto de servicios (SSID) y parámetros de seguridad inalámbrica en el router, el switch y los puntos de acceso.
Router VPN · RV320
· punto de acceso Wireless-N WAP321
Switch · Serie Sx300
· 1.1.0.09 (RV320)
· 1.0.4.2 (WAP321)
· 1.3.5.58 (Sx300)
La imagen anterior ilustra una implementación de ejemplo para el acceso inalámbrico usando varios SSID con un WAP, switch y router Cisco Small Business. El WAP se conecta al switch y utiliza la interfaz troncal para transportar varios paquetes VLAN. El switch se conecta al router WAN a través de la interfaz troncal y el router WAN realiza un ruteo entre VLAN. El router WAN se conecta a Internet. Todos los dispositivos inalámbricos se conectan al WAP.
La combinación de la función de ruteo entre VLAN proporcionada por el router RV de Cisco con la función de aislamiento SSID inalámbrico proporcionada por un punto de acceso para pequeñas empresas proporciona una solución sencilla y segura para el acceso inalámbrico en cualquier red existente de Cisco para pequeñas empresas.
Los dispositivos de red en diferentes VLAN no pueden comunicarse con cada uno sin un router para rutear el tráfico entre las VLAN. En una red de pequeña empresa, el router realiza el ruteo Inter-VLAN para las redes por cable e inalámbricas. Cuando se inhabilita el ruteo entre VLAN para una VLAN específica, los hosts en esa VLAN no podrán comunicarse con los hosts o dispositivos en otra VLAN.
Hay dos tipos de aislamiento SSID inalámbrico. Cuando se habilita el aislamiento inalámbrico (dentro de SSID), los hosts del mismo SSID no podrán verse entre sí. Cuando se habilita el aislamiento inalámbrico (entre SSID), el tráfico en un SSID no se reenvía a ningún otro SSID.
El estándar IEEE 802.1x especifica los métodos utilizados para implementar el control de acceso de redes basadas en puertos que se utiliza para proporcionar acceso de red autenticado a las redes Ethernet. La autenticación basada en puerto es un proceso que permite que solamente los intercambios de credenciales atraviesen la red hasta que el usuario conectado al puerto se autentica. El puerto se denomina puerto no controlado durante el intercambio de credenciales. El puerto se denomina puerto controlado después de completar la autenticación. Esto se basa en dos puertos virtuales existentes en un único puerto físico.
Esto utiliza las características físicas de la infraestructura LAN conmutada para autenticar los dispositivos conectados a un puerto LAN. El acceso al puerto se puede denegar si falla el proceso de autenticación. Este estándar se diseñó originalmente para redes Ethernet por cable, pero se ha adaptado para su uso en redes LAN inalámbricas 802.11.
En este escenario, queremos que el RV320 actúe como servidor DHCP para la red, así que necesitaremos configurarlo así como configurar VLAN separadas en el dispositivo. Para comenzar, inicie sesión en el router conectándose a uno de los puertos Ethernet y vaya a 192.168.1.1 (suponiendo que no haya cambiado la dirección IP del router).
Paso 1. Inicie sesión en la utilidad de configuración web y elija Administración de puertos > Afiliación VLAN. Se abre una nueva página. Estamos creando 3 VLAN independientes para representar a diferentes audiencias objetivo. Haga clic en Agregar para agregar una nueva línea y editar el ID de VLAN y la Descripción. También deberá asegurarse de que la VLAN esté configurada en Etiquetado en cualquier interfaz en la que deban viajar.
Paso 2. Inicie sesión en la utilidad de configuración web y seleccione Menú DHCP > DHCP Setup. Se abre la página DHCP Setup:
Paso 3. En el panel de navegación, seleccione Administración de puertos > Configuración 802.1x. Se abre la página Configuración 802.1X:
El switch SG300-10MP funciona como intermediario entre el router y el WAP321 para simular un entorno de red realista. La configuración en el switch es la siguiente.
Paso 1. Inicie sesión en la utilidad de configuración web y seleccione VLAN Management > Create VLAN. Se abre una nueva página:
Paso 2. Haga clic en Add (Agregar). Aparece una nueva ventana. Introduzca el ID de VLAN y el nombre de VLAN (utilice el mismo que la descripción de la sección I). Haga clic en Apply (Aplicar) y, a continuación, repita este paso para las VLAN 20 y 30.
Paso 3. En el panel de navegación, seleccione Administración de VLAN > Puerto a VLAN. Se abre una nueva página:
Paso 4. En el panel de navegación, seleccione Seguridad > Radio . Se abre la página RADIUS:
Paso 5. En la ventana que aparece, configurará la dirección IP del servidor, en este caso 192.168.1.32. Tendrá que establecer una prioridad para el servidor, pero dado que en este ejemplo sólo tenemos un servidor para autenticar la prioridad no importa. Esto es importante si tiene varios servidores RADIUS entre los que elegir. Configure la clave de autenticación y el resto de los parámetros se pueden dejar como predeterminados.
Paso 6. En el panel de navegación, seleccione Seguridad > 802.1X > Propiedades. Se abre una nueva página:
Paso 7. Elija una de las VLAN y haga clic en Editar. Aparece una nueva ventana. Marque Enable para permitir la autenticación en esa VLAN y haga clic en Apply. Repita el procedimiento para cada VLAN.
Los puntos de acceso virtuales (VAP) segmentan la LAN inalámbrica en varios dominios de difusión que son el equivalente inalámbrico de las VLAN Ethernet. Los VAP simulan varios puntos de acceso en un dispositivo WAP físico. El WAP121 admite hasta cuatro VAP y el WAP321 admite hasta ocho VAP.
Cada VAP se puede habilitar o inhabilitar de forma independiente, con la excepción de VAP0. VAP0 es la interfaz de radio física y permanece habilitada mientras la radio esté habilitada. Para inhabilitar el funcionamiento de VAP0, la radio misma debe ser inhabilitada.
Cada VAP se identifica mediante un identificador de conjunto de servicios (SSID) configurado por el usuario. Varios VAP no pueden tener el mismo nombre SSID. Los broadcasts SSID se pueden activar o desactivar de forma independiente en cada VAP. La difusión SSID está activada de forma predeterminada.
Paso 1. Inicie sesión en la utilidad de configuración web y seleccione Wireless > Radio. Se abre la página Radio:
Paso 2.En el panel de navegación, seleccione Inalámbrico > Redes. Se abre la página Red:
Nota: El SSID predeterminado para VAP0 es ciscosb. Cada VAP adicional creado tiene un nombre SSID en blanco. Los SSID para todos los VAP se pueden configurar a otros valores.
Paso 3. Cada VAP se asocia a una VLAN, que se identifica mediante un ID de VLAN (VID). Un VID puede ser cualquier valor entre 1 y 4094, ambos inclusive. El WAP121 admite cinco VLAN activas (cuatro para WLAN más una VLAN de administración). El WAP321 admite nueve VLAN activas (ocho para WLAN más una VLAN de administración).
De forma predeterminada, el VID asignado a la utilidad de configuración para el dispositivo WAP es 1, que también es el VID sin etiqueta predeterminado. Si el VID de administración es el mismo que el VID asignado a un VAP, entonces los clientes WLAN asociados con este VAP específico pueden administrar el dispositivo WAP. Si es necesario, se puede crear una lista de control de acceso (ACL) para inhabilitar la administración de los clientes WLAN.
En esta pantalla, se deben realizar los siguientes pasos:Paso 4. En el panel de navegación, seleccione Seguridad del sistema > Suplicante 802.1X. Se abre la página 802.1X Supplicant:
Nota: El área Estado del archivo de certificado muestra si el archivo de certificado está presente o no. El certificado SSL es un certificado firmado digitalmente por una autoridad certificadora que permite al navegador web tener una comunicación segura con el servidor web. Para administrar y configurar el certificado SSL, consulte el artículo Administración de certificados de capa de socket seguro (SSL) en puntos de acceso WAP121 y WAP321
Paso 5. En el panel de navegación, seleccione Security > RADIUS Server. Se abre la página Servidor RADIUS. Ingrese los parámetros y haga clic en el botón Guardar una vez que se hayan ingresado los parámetros del servidor Radius.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
11-Dec-2018 |
Versión inicial |