Wlc Slides

Introduccion a una red Wireless de CampusProtocolo LWAPP/CAPWAP

ConfiguracionConclusiones y Consideraciones

Referencias

Red Wireless Universitaria

Andres Barbieri, Matas Robles, Leandro Bilbao

CeSPI - UNLP

Marzo de 2010

Andres Barbieri, Matas Robles, Leandro Bilbao Red Wireless Universitaria



Referencias

IntroduccionObjetivos CaractersticasSolucion

Introduccion, Problematica

Las redes Wireless hoy estan muy difundidas y forman partede la infraestructura de red de casi cualquier organizacion.

Cada vez hay mas casos en los cuales se tienen redes wirelessde gran tamano para brindar el servicio.

Las soluciones de APs (Access Points) autonomosdiseminados por el area no escala bien, se suma la naturalezadinamica de las redes wireless.

La integracion con el resto de la red principal no debera serun problema.Problemas habituales:

Resolucion de problemas, localizacion y control de los APs.Actualizacion, Configuracion de los APs.Expansion de la red.Control de Acceso a la red (AAA).




Referencias


Objetivo: Red Wireless Universitaria

Desplegar una red wireless con administracion centralizadapara cubrir las dependencias de la Universidad Nacional de LaPlata (UNLP).

17 Facultades mas otras dependencias distribuidas en laciudad.

Dotar de acceso wireless a todas las personas que trabajan,estudian o desempenan alguna actividad en el ambito de laUniversidad.

El acceso debe ser homogeneo sin importar en la dependenciade la Universidad en la que se encuentren.

La mayora de las dependencias se encuentran conectadas deforma alambrica (cableadas por FO). Permite Implementaresquema centralizado.




Referencias


Mapa de la Red




Referencias


Caractersticas Necesarias

Proveer diferentes WLAN (redes wireless virtuales) condiferentes objetivos (targets) sobre los mismos APs.

Concentrar la administracion/configuracion de toda la red enuno o mas dispositivos y que el servicio sea consistente.

Debe ser transparente para los clientes.

Debe proveer seguridad.

Ofrecer un esquema de autenticacion y autorizacioncentralizado.

Proveer portales Captivos/Cautivos para brindar acceso.

Brindar QoS al trafico wireless.

Poder tener interoperabilidad.




Referencias


Algunas Soluciones en el Mercado

Varios fabricantes han desarrollado nuevas arquitecturas ysoluciones.

Las arquitecturas que se imponen son las que tienen uncontrolador centralizado, con diferentes grados de distribucionde la capa MAC:

Local MAC: los AP son mas autonomos en el Data Plane.Split MAC: tareas sobre el controlador. Centralizada.

Cisco provee WLC (Wireless LAN Controllers) y LAPs(Lightweight APs).

3Com provee WSM (Wireless Switch Manager) y MAP(Managed APs).

Lucent-Alcatel con Wireless LAN Family.

Mikrotik integracion con Radius Manager y virtual APs.




Referencias


Solucion Seleccionada

Se selecciono: Cisco WLC.

Buen soporte, mucha documentacion, solucion difundida.

Desarrolladores del protocolo CAPWAP que tiene comoobjetivo interoperabilidad.

Una de las de mas costosas.

Soporte de IPv6 o al menos IPv6 pass-through.

Solucion centralizada, con posibilidad de delegar mas tareas alos AP.

Hbrido de red cableada para distribucion/transporte y redwireless para acceso.




Referencias

Comunicacion entre AC y APFases del Protocolo y TunelTrafico sobre el Tunel

Comunicacion entre Controladora y APs

Protocolo que define la comunicacion entre AC (AccessController) y APs.

Primeras implementaciones (Hasta sw version 5.2): protocolopropietario LightWeight Access Point Protocol (LWAPP).

Luego protocolo estandarizado en el la IETF: Control andProvisioning of Wireless Access Points protocol (CAPWAP):[RFC-4564], [RFC-5415], [RFC-5416].

Permite inter-operar con AP de otros fabricantes.

Aun muy nuevo, no mucha compatibilidad.




Referencias


Componentes de LWAPP/CAPWAP

WTP (Wireless Termination Points): APs (Access Point)administrados por controladoras centrales.Nombrados tambien como LAP (Lightweight AP).

AC (Access Controller): nombrados como WLC o WSM. Entidadde la red que provee acceso a los AP a lainfraestructura de la red en el plano de control y enel plano de datos.

STA Clientes/Estaciones: usuarios de la infraestructura wireless.




Referencias


Protocolo LWAPP/CAPWAP

CAPWAP Define como los WTPs (LAPs) se comunican con elAC (WLC).

Montado sobre UDP:

CAPWAP: 5246 y 5247 (control y datos).LWAPP: 12222 y 12223 (datos y control).

Tipos de Mensajes:

Data Plane: Protocolo de Datos.Control Plane: Protocolo de Control.

Protocolo de control cifrado: AES-CCM. Los mensajes dediscovery no.

Protocolo de Datos de LWAPP no cifrado, si para CAPWAP.




Referencias


Protocolo LWAPP/CAPWAP (Contd)

Se crea un tunel UDP, aunque podra trabajar en L2(directamente sobre capa de enlace).Debido a que los PDUs pueden exceder el MTU, el protocolodebe manejar la fragmentacion.




Referencias


Fases LWAPP/CAPWAP

1 Encendido del WTP (LAP).

2 Descubrimiento y union al AC (WLC) por parte del WTP.Establecimiento del tunel. Se establece un canal seguro.

3 Acuerdo en el OS (firmware del WTP), posibleupgrade/downgrade.

4 Configuracion del WTP por parte del AC.

5 El WTP puede comenzar a dar servicio de datos.

6 Mensajes de control, keep-alive y estadsticas se intercambiancon el AC.




Referencias


Fases LWAPP/CAPWAP (Contd)




Referencias


Modos de Tunel LWAPP/CAPWAP

LWAPP Layer 2 Transport Mode (NO recomendado):

Crea el tunel sin utilizar protocolo de L3.Encapsula datos de LWAPP en tramas Ethernet con Ethertype0x88BB. En documentacion se ha encontrado el valor0xBBBB.

LWAPP Layer 3 Transport Mode y CAPWAP:

Crea el tunel utilizando UDP (0x11).Encapsula datos de CAPWAP/LWAPP en datagramas UDP,permite rutearse.




Referencias


LWAPP L3TM: Proceso de Discovery

1 Implementacion de Cisco de CAPWAP.2 El WTP intenta obtener una configuracion va DHCP (Podra

tener IP estatica).3 El DHCP podra entregar la IP del AC, opcion 0x43.4 WTP Broadcast LWAPP Discovery Request (L3).5 Los ACs que esten en la red responden Unicast LWAPP

Discovery Reply. Le responde con la IP primaria, pero le da laIP de management para que se conecte.

6 El WTP puede intentar resolver va DNS (Unicast/Bcast) elnombre CISCO-LWAPP-CONTROLLER.localdomain oCISCO-CAPWAP-CONTROLLER, dependiendo de laversion y/o implementacion.

7 Si no reciben LWAPP Discovery Reply, reset y vuelven aarrancar.




Referencias


LWAPP L3TM: Proceso de Join

1 El WTP selecciona un AC al cual unirse y enva UnicastLWAPP Join Request.

2 Si tiene configurado en NVRAM orden de controladores,intenta unirse en ese orden.

3 Si no tiene o falla busca en los Reply quien es MASTERCONTROLLER.

4 Una vez que selecciono uno enva Unicast LWAPP JoinRequest con su certificado.

5 El AC acepta con LWAPP Join Reply.




Referencias


Fases LWAPP/CAPWAP y Capturas




Referencias


Camino que realiza el trafico

El WTP recibe la trama 802.11 desde el cliente.

El WTP encapsula la trama 802.11 en el mensaje UDP (tunelLWAPP, CAPWAP).

El AC recibe el mensaje mediante el tunel, lo desencapsula,analiza, valida y switchea:

El switching se realiza a traves de la direccion MAC destino dela trama 802.11.Si el mensaje era para un cliente de la misma WLAN en elmismo WTP, se re-encapsula y regresa.Si el mensaje era para un cliente de la misma WLAN en otroWTP, lo enva al otro WTP switchendolo y encapsulandolo enotro tunel.




Referencias


Camino que realiza el trafico (Contd)

El AC recibe el mensaje mediante el tunel, lo desencapsula,analiza, valida y switchea:

Si el mensaje es para una red externa o para otra WLAN, eneste caso la MAC destino es la del router en la VLAN local,primero se desencapsulo del tunel y luego se saco elencabezado 802.11, por ultimo se enva por una VLANparticular al router encargado del ruteo encapsulandolo en latrama Ethernet. El router lo recibe y lo procesa como unmensaje tradicional.




Referencias


Camino que realiza el trafico (Contd)




Referencias

ImplementacionConfiguracion del AC (WLC)Configuracion RouterConfiguracion Switch(es)

Configuracion del AC (WLC)

Interfaces:

Management: es la interfaz para configuracion in-band. L2comunicacion entre WTP y AC.

AP Management: puede tener varias. Interfaces paracomunicarse con los APs en L3. Terminacion deLWAPP tunel.

Virtual Interface: es la utilizada para DHCP relay y comofront-end del portal captivo/cautivo y para lamovilidad. Esta debe ser la misma para todoslos AC.

Interfaces Dinamicas: asocia VLANs y WLANs.




Referencias


Configuracion del AC (WLC) (Contd)

Interfaces:Management: es la interfaz para configuracion in-band. L2

comunicacion entre WTPs y AC.AP Management: puede tener varias. Interfaces para

comunicarse con los APs en L3. Terminacion deLWAPP tunel.

Virtual Interface: es la utilizada para DHCP Relay y comofront-end del portal captivo/cautivo. NOdebera ser una dir. IP enrutable. Cisco sugiere:1.1.1.1. Antiguamente Bogon network. Hoy yano, se debera cambiar.

inetnum: 1.0.0.0 - 1.0.0.255 netname: Debogon-prefix

descr: APNIC Debogon Project

Interfaces Dinamicas: asocia VLANs y WLANs.Andres Barbieri, Matas Robles, Leandro Bilbao Red Wireless Universitaria



Referencias


Esquema Implementado




Referencias


Configuracion de Interfaces AC (WLC)

(Cisco Controller) >show run-config commands

...

interface create 511-alumnos 511

interface create 512-docentes 512

interface create 513-nodocentes 513

interface create 514-autoridades 514

interface create 515-invitados 515

interface address dynamic-interface 511-alumnos 192.168.11.254 255.255.255.0

interface address dynamic-interface 512-docentes 192.168.12.254 255.255.255.0

interface address dynamic-interface 513-nodocentes 192.168.13.254 255.255.255.0

interface address dynamic-interface 514-autoridades 192.168.14.254 255.255.255.0

interface address dynamic-interface 515-invitados 192.168.15.254 255.255.255.0

interface address ap-manager 192.168.1.253 255.255.255.0 192.168.1.254

interface address management 192.168.1.254 255.255.255.0 192.168.1.1

interface address virtual 1.1.1.1

...




Referencias


Configuracion de Interfaces del AC (WLC) (Contd)

(Cisco Controller) >show interface summary

Interface Name Port Vlan Id IP Address Type ApMgr

-----------------------------------------------------------

511-alumnos 2 511 192.168.11.254 Dynamic No

512-docentes 2 512 192.168.12.254 Dynamic No

513-nodocentes 2 513 192.168.13.254 Dynamic No

514-autoridades 2 514 192.168.14.254 Dynamic No

515-invitados 2 515 192.168.15.254 Dynamic No

ap-manager 2 untagged 192.168.1.253 Static Yes

management 2 untagged 192.168.1.254 Static No

virtual N/A N/A 1.1.1.1 Static No




Referencias


Configuracion de VLANs y Puertos del AC (WLC)


...

interface vlan 511-alumnos 511

interface vlan 512-docentes 512

interface vlan 513-nodocentes 513

interface vlan 514-autoridades 514

interface vlan 515-invitados 515

interface port 511-alumnos 2

interface port 512-docentes 2

interface port 513-nodocentes 2

interface port 514-autoridades 2

interface port 515-invitados 2

interface port ap-manager 2

interface port management 2

...Andres Barbieri, Matas Robles, Leandro Bilbao Red Wireless Universitaria



Referencias


Configuracion de WLANs en AC (WLC)


...

wlan create 1 VLAN Alumnos 511-alumnos

wlan create 2 VLAN Docentes 512-docentes

wlan create 3 VLAN No Docentes 513-nodocentes

wlan create 4 VLAN Autoridades 514-autoridades

wlan create 5 VLAN Invitados 515-invitados

wlan interface 1 511-alumnos

wlan interface 2 512-docentes

wlan interface 3 513-nodocentes

wlan interface 4 514-autoridades

wlan interface 5 515-invitados

...




Referencias


WLANs

Cisco Controller) >show wlan summary

Number of WLANs.................................. 5

WLANID WLAN Profile Name / SSID Status Interface Name

------------------------------------------------------------

1 VLAN Alumnos/511-alumnos Enabled 511-alumnos

2 VLAN Docentes/512-docentes Enabled 512-docentes

3 VLAN No Docentes/513-nodocentes Enabled 513-nodocentes

4 VLAN Autoridades/514-autoridades Enabled 514-autoridades

5 VLAN Invitados/515-invitados Enabled 515-invitados




Referencias


WLANs (Contd)

(Cisco Controller) >show wlan 1

WLAN Identifier.................................. 1

Profile Name..................................... VLAN Alumnos

Network Name (SSID).............................. 511-alumnos

Status........................................... Enabled

MAC Filtering.................................... Disabled

Broadcast SSID................................... Enabled

AAA Policy Override.............................. Disabled

Network Admission Control ...




Referencias


QoS en WLAN


! ### Per User BW Control

...

qos description bronze VLAN-511-Alumnos

qos average-data-rate bronze 10 ! ### TCP

qos burst-data-rate bronze 15 ! ### UDP

qos protocol-type bronze dot1p

...




Referencias


Configuracion de DHCP Relay en AC (WLC)


...

interface dhcp dynamic-interface 511-alumnos

primary 192.168.1.1

interface dhcp dynamic-interface 512-docentes

primary 192.168.1.1

interface dhcp dynamic-interface 513-nodocentes

primary 192.168.1.1

...

interface dhcp ap-manager primary 192.168.1.1

interface dhcp management primary 192.168.1.254

...




Referencias


Configuracion de Autenticacion en AC (WLC)


...

ldap add 1 192.10.41.48 38911 ou=511-alumnos,...

ldap add 2 192.10.41.48 38912 ou=512-docentes.

ldap add 3 192.10.41.48 38913 ou=513-nodocent.

ldap add 4 192.10.41.48 38914 ou=514-autorida.

ldap add 5 192.10.41.48 38915 ou=515-invitado.

ldap retransmit-timeout 3 5

ldap retransmit-timeout 4 5

wlan ldap add 1 1

wlan ldap add 2 1

...

wlan ldap add 5 1




Referencias


Configuracion de Autenticacion en AC (WLC)


...

wlan security web-auth enable 1


...


wlan security web-auth server-precedence 1 ldap


...


...




Referencias


APs Asociados al AC (WLC)

(Cisco Controller) >show ap summary

Number of APs.................................... 4

Global AP User Name......................... Not Configured

Global AP Dot1x User Name................... Not Configured

AP Name Slots AP Model Ethernet MAC

----------------------------------------------------------

APOD4-0026.0b4d.ce1a 2 AIR-LAP1242G-A-K9 00:26:0b:4d:ce:1a

APOD2-0026.0b4d.cdfc 2 AIR-LAP1242G-A-K9 00:26:0b:4d:cd:fc

APOD3-0026.0b4d.ce0c 2 AIR-LAP1242G-A-K9 00:26:0b:4d:ce:0c

APOD1-0026.0b4d.ce0e 2 AIR-LAP1242G-A-K9 00:26:0b:4d:ce:0e




Referencias


AP Asociados al AC (WLC) (Contd)

Cisco Controller) >show ap summary

Location Port Country Priority

---------------- ---- ------- ---------

Subsuelo Odontol 2 AR 1

Pasillo Calle 50 2 AR 1

Pasillo Calle 1 2 AR 1

Edificio Nuevo d 2 AR 1




Referencias


Clientes Wireless




Referencias


Configuracion Router (DHCP Server)

UNLP-WLCRouter#show running-config

...

ip dhcp excluded-address 192.168.11.1 192.168.11.9

...

ip dhcp excluded-address 192.168.11.100 192.168.11.254

...

ip dhcp pool POOL-DHCP-VLAN511

network 192.168.11.0 255.255.255.0

dns-server 163.10.0.65 163.10.0.67

default-router 192.168.11.1

!

ip dhcp pool POOL-DHCP-VLAN512

...

ip dhcp pool POOL-DHCP-APS

origin file flash:/DHCP-APS-static.txt




Referencias


Configuracion Router (DHCP Server) (Contd)

UNLP-WLCRouter#more flash:DHCP-APS-static.txt

*time* Mar 12 2010 01:52 PM

*version* 2

!IP address Type Hardware address Lease expiration

! Odonto 1,2,3,4

192.168.1.11 /24 id 0100.260b.4dce.0e Infinite

192.168.1.12 /24 id 0100.260b.4dcd.fc Infinite

...




Referencias


Configuracion Router (Firewall, QoS)


...

ip inspect name IN-FWALL-VLAN511 icmp

ip inspect name IN-FWALL-VLAN511 tcp

ip inspect name IN-FWALL-VLAN511 udp timeout 300

ip inspect name IN-FWALL-VLAN512 ...

class-map match-any CLASS-VLAN-511-WLAN-ALUMNOS

match input-interface Vlan511

...

policy-map POL-WIRELESS-OUTPUT

class CLASS-VLAN-511-WLAN-ALUMNOS

bandwidth 3000

police 4000000

class CLASS-VLAN-512-WLAN-AUTORIDADES

...

class CLASS-VLAN-513-WLAN-DOCENTES




Referencias


Configuracion Router (NAT)

ip nat inside source list ACL-NAT interface

FastEthernet0/1 overload

!

ip access-list standard ACL-NAT

...

permit 192.168.1.254

permit 192.168.11.0 0.0.0.255

permit 192.168.12.0 0.0.0.255

permit 192.168.13.0 0.0.0.255

permit 192.168.14.0 0.0.0.255

permit 192.168.15.0 0.0.0.255

!

...




Referencias


Configuracion Router (Interfaces)


...

interface FastEthernet0/1

description #### Upstream WAN - CoreL3cisco.G0/31 ####

ip address #### PUBLIC-IP/MASK ####

ip nat outside

service-policy output POL-WIRELESS-OUTPUT

!

interface FastEthernet0/1/2

description #### WLC-1 F0/2 ####

switchport trunk native vlan 510

switchport trunk allowed vlan 1,510-515,1002-1005

switchport mode trunk

...




Referencias


Configuracion Router (Interfaces) (Contd)

!

interface FastEthernet0/1/3

description #### Downstream-APs - CoreL3.G0/32 ####

switchport trunk allowed vlan 1,510,1002-1005

switchport mode trunk

!

...




Referencias


Configuracion Router (VLANs)


...

interface Vlan510

description #### VLAN WLC Management ####

ip address 192.168.1.1 255.255.255.0

ip nat inside

!

interface Vlan511

description #### WLAN 511-Alumnos ####

ip address 192.168.11.1 255.255.255.0

ip access-group ACL-FIREWALL-VLAN511-IN in

ip access-group ACL-FIREWALL-VLAN511-OUT out

ip nat inside

ip inspect IN-FWALL-VLAN511 in

service-policy output POL-WLAN-511

!

interface Vlan512Andres Barbieri, Matas Robles, Leandro Bilbao Red Wireless Universitaria



Referencias


Configuracion de Switch

UNLP-Odontologia#show running-config

...

interface ethernet 1/g22

description #####_WLESS_UNLP_AP-1_#####

sflow 1 polling 5

switchport access vlan 510

!

interface ethernet 1/g24

description ####_Port_de_Trunk_UpStream_####

sflow 1 polling 5

switchport mode general

switchport general allowed vlan add 456,500,510,656 tagged

...

interface vlan 510

name "VLAN-WIRELESS"




Referencias

Conclusiones y Consideraciones

Facil de Implementar.

Solucion de mayor costo.

Ubicacion de la controladora.

Alimentacion electrica de los AP.

Servidor de autenticacion y autorizacion.

Necesidad de Servicio de Directorio para las informacion delos usuarios.




Referencias

Propuesta

Discutir la implementacion de una red Wirelessinter-universitaria.

Ejemplo: EDUROAM.

Red wireless con inicio en Europa, expandida a otros lugaresdel mundo, permite a los usuarios (investigadores, profesores,estudiantes, personal) de las instituciones participantes(Universidades y centros de investigacion) tener acceso aInternet desde cualquier institucion con EDUROAMhabilitado.




Referencias

Propuesta (Contd)

El principio de EDUROAM se basa en el hecho de que laautenticacion del usuario es realizada por la institucion deorigen del usuario, mientras que la decision de autorizacionque permite el acceso a los recursos es realizada por la redvisitada.

Utilizacion de CAs para certificados.

Existe el proyecto EDUROAM-LA.

Servidor de autenticacion y autorizacion.




Referencias

Requerimientos para Implementar Propuesta

Conceptos basicos de administracion de redes wireless (Si lared es extensa ver la posibilidad de implementar de formacentralizada).

Capacidades administrativas de protocolos de autenticacionRADIUS, LDAP u otros.

Conocimientos de Firewall, ACL, etc.

Conformar la infraestructura wireless.

Servicio de Directorio/Autenticacion distribuido.




Referencias

Referencias

RFC-4564: http://www.ietf.org/rfc/rfc4564.txt.

Objectives for Control and Provisioning of Wireless Access Points (CAPWAP). S. Govindan, H. Cheng, ZH.Yao, WH. Zhou, L. Yang. 2006.


Control And Provisioning of Wireless Access Points (CAPWAP) Protocol Specification. P. Calhoun, M.Montemurro, D. Stanley. 2009.


Control and Provisioning of Wireless Access Points (CAPWAP) Protocol Binding for IEEE 802.11. P.Calhoun, M. Montemurro, D. Stanley. 2009.

Cisco 440X Series Wireless LAN Controllers Deployment Guide.

Cisco LWAPP Traffic Study.

Eduroam (education roaming). www.eduroam.org.


Introduccin a una red Wireless de CampusIntroduccinObjetivos CaractersticasSolucin

Protocolo LWAPP/CAPWAPComunicacin entre AC y APFases del Protocolo y TnelTrfico sobre el Tnel

ConfiguracinImplementacinConfiguracin del AC (WLC)Configuracin RouterConfiguracin Switch(es)

Conclusiones y ConsideracionesReferencias

Documents

Wlc Slides