CISCO WIRELESS: Configuración del controlador + freeradius con 802.1x

  • Para este caso vamos a configurar el punto de acceso Aironet 2802i esta configuración ya ha sido probada también en los modelos 1832i, 3802e, cuando se conecta un nuevo AP a la red con su configuración de fabrica y este no detecta ningún controlador inalámbrico en la red a la que ha sido conectado, este punto de acceso asumirá el rol de controlador, siempre y cuando esten configurados como MOBILITY EXPRESS, tenemos garantía de que los modelos 2802i, 3802e,1832i pueden asumir dicho rol, se debe verificar que el punto de acceso pueda trabajar como controlador.
  • Para que los puntos de acceso se puedan asociar al controlador deben tener la versión del software, de otro modo no se van asociar, en este caso vamos a trabajar con la versión 8.3.143.0.
  • Paso 1: Se conecta el punto de acceso con un cable de red a un equipo de nuestra red que tenga PoE y que sea capaz de alimentar al dispositivo.
  • Paso 2: Se conecta el cable en el puerto consola.
  • Paso 3: El puerto del switch se debe configurar como puerto troncal que permita las vlans con las que van a trabajar las redes inalambrica (UGIT utiliza «permit all» permite todas las etiquetas vlan 1-4096), la vlan nativa debe ser la VLAN en la que va trabajar el controlador en nuestro caso vamos a usar una red de pruebas como vlan nativa con el ID 251, y vamos a redirigir a los clientes como sigue, si se loguea como estudiante:estudiante(user:password) va a la vlan ID 155, si se loguean como admin:AA2 va a la vlan ID 168, si se loguea como WTEC:WTEC va a la vlan ID 130 (manejada por computación TEC).
  • Paso 4: Cuando el dispositivo termina de cargar el software nos va a preguntar si deseamos terminar el autoinstall, le decimos que si.
  • Paso 5: Ahora nos seguirá preguntando datos para finalizar la configuración, estos datos se deben llenar como se muestra:
  • user: ugit
  • pass: AAd_0

NOTA:

En el código de país seleccionamos US (Estado Unidos), esto es así porque en nuestro caso tenemos una combinación de versiones de puntos de acceso, unos con «Regulatory domain» A y otros con «Regulatory domain» B, para que funcionen los radios 2.4GHz y 5GHz en todos los AP debemos escoger el código de país US donde no hay restricción de ninguno de estos radios, si escogemos CR los AP funcionaran solamente con el radio de 2.4GHz.

  • Paso 5: Al finalizar nos pregunta si la configuración es correcta y si la deseamos salvar, le decimos que si, el dispositivo se reiniciará y ya podemos accesar al controlador vía web

https://10.20.251.2

  • Paso 6: Al ingresar a la dirección nos pedirá el usuario ugit y la contraseña AAd0

TODO LISTO!

Al ingresar veremos el dashboard del controlador y ahora cada nuevo AP que se conecte a la misma VLAN que el controlador y tenga la versión de software 8.3.143.0 se asociará de manera automática y se le copiará la configuración.

Que pasa si el AP que quiero asociar tiene una versión diferente de software?

En este caso tenemos que actualizar el AP a la versión del controlador en este caso a la versión 8.3.143.0, existen diferentes métodos dependiendo de la versión de software y el modo en que este configurado el AP, el siguiente coman sirve para cuando el AP esta en modo CAPWAP y en modo MOBILITY EXPRESS, conectamos el AP a un puerto configurado en la misma vlan que el servidor tftp, desde la CLI en modo enable, ejecutamos el comando

archive download-sw /reload tftp://10.20.253.1/ap3g3

En este caso el servidor tftp tiene la dirección IP 10.20.253.1 y la imagen es ap3g3 que corresponde a los modelos Aironet 2802 y 3802. La salida del comando muestra lago similar al lo siguiente:

El AP comenzará la descarga de la imagen y se reiniciará, luego se podrá asociar correctamente con el controlador.

Ahora vamos a crear la red inalámbrica

En la VlanID ponemos la etiqueta de Vlan que vamos a usar por defecto, si falla la asignación de vlan al usuario por alguna razón pero la autenticación es exitosa entonces se le asignará esta vlan al usuario.

En la versión del software 8.3.143.0 los comandos para habilitar AAA OVERRIDE necesitan ser aplicados mediante la CLI dado que en la GUI no están disponibles y son necesarios para que la configuración deseada funcione.

Para ello nos logeamos por ssh a la controladora o nos conectamos a ella por cable de consola, en este caso lo vamos hacer por cable de consola y aplicamos los comandos que se muestran a continuación

  • Apagamos el SSID al que se la aplicará «AAA OVERRIDE»
    • >config wlan disable <wlan-id>
  • Habilitamos «AAA OVERRIDE» en el SSID deseado
    • >config wlan aaa-override enable <wlan-id>
  • Habilitamos el SSID de nuevo
    • >config wlan enable <wlan-id>
  •  Agregamos las vlan necesarias al grupo flexconnect en este caso al default
    • >config flexconnect group default-flexgroup vlan add <vlan-id>
    • En nuestro caso son las vlan 155,168 y 130

Ahora solo resta configurar el servidor FreeRadius, en la guía, PfSense: FreeRadius 802.1x

Limitar la velocidad de carga y de descarga para cada cliente

Si así lo deseamos podemos establecer la velocidad de carga y descarga de cada usuario o de cada SSID, en nuestro nos interesa limitar la velocidad en cada usuario conectado a la red SIUA_ADM, vamos a otorgar 7Mbps de descarga y 5Mbps para la carga esto para cada usuario conectado a SIUA_ADM por ejemplo. (Puede ser cualquier SSID solo se necesita el Id).

Primero obtenemos el id de SSID donde vamos a usar la limitación

(Cisco Controller) >show wlan summary

En este caso el id para SIUA_ADM es 2, ahora procedemos a hacer la limitación de velocidad

Son en total 4 «rates» los que debemos establecer pero debemos hacerlo tanto para carga como para descarga por lo que al final necesitaremos 8 comandos para establecer la limitación.

Podemos corroborar que actualmente no hay limitación en SIUA_ADM

(Cisco Controller) >show wlan 2

Ahora aplicamos los comandos

(Cisco Controller) >config wlan override-rate-limit 2 average-data-rate per-client downstream 7168
(Cisco Controller) >config wlan override-rate-limit 2 average-data-rate per-client upstream 5120

(Cisco Controller) >config wlan override-rate-limit 2 average-realtime-rate per-client downstream 7168
(Cisco Controller) >config wlan override-rate-limit 2 average-realtime-rate per-client upstream 5120

(Cisco Controller) >config wlan override-rate-limit 2 burst-data-rate per-client downstream 15360
(Cisco Controller) >config wlan override-rate-limit 2 burst-data-rate per-client upstream 10240

(Cisco Controller) >config wlan override-rate-limit 2 burst-realtime-rate per-client downstream 15360
(Cisco Controller) >config wlan override-rate-limit 2 burst-realtime-rate per-client upstream 10240

Para poder aplicar los comandos debemos desabilitar la SSID previamente de lo contrario vamos a obtener un error

(Cisco Controller) >config wlan disable 2

Luego de aplicar los comando debemos habilitar de nuevo el SSID

(Cisco Controller) >config wlan enable 2

Podemos comprobar que se aplicaron las limitaciones

(Cisco Controller) >show wlan 2