Configuração do Wireless Domain Services
Índice
Introdução
Pré-requisitos
Requisitos
Componentes Utilizados
Convenções
Wireless Domain Services
Função do Dispositivo WDS
Função dos Pontos de Acesso Usando o Dispositivo WDS
Configuração
Designar um AP como WDS
Designar um WLSM como WDS
Designar um AP como Dispositivo de Infra-estrutura
Definir o Método de Autenticação de Clientes
Verificação
Troubleshooting
Comandos para Troubleshooting
Introdução
Este documento introduz o conceito de Wireless Domain Services (WDS). O documento também descreve como configurar um ponto de acesso
(AP) ou o Wireless LAN Services Module (WLSM) como o WDS e pelo menos um outro como um AP de infra-estrutura. O procedimento
descrito neste documento o orienta sobre um WDS funcional e permite que clientes se associem ao AP do WDS ou a um AP da infra-estrutura. O
objetivo deste documento é estabelecer uma base para que você possa configurar o Fast Secure Roaming ou introduzir um Wireless LAN
Solutions Engine (WLSE) na rede, a fim de usar os recursos.
Pré-requisitos
Requisitos
Verifique se você atende a estes requisitos antes de tentar esta configuração:
Possua conhecimento profundo sobre LANs wireless e problemas de segurança wireless.
Possua conhecimento sobre os métodos de segurança atuais do Extensible Authentication Protocol (EAP).
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
Pontos de acesso com Cisco IOS® Software
Cisco IOS Software Release 12.3(2)JA2 ou posterior
Catalyst 6500 Series Wireless LAN Services Module
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos
utilizados neste documento foram iniciados com uma configuração padrão e um endereço IP na interface BVI1, para que a unidade seja acessível
através da interface do Cisco IOS Software ou da interface de linha de comando (CLI). Se a sua rede estiver em um ambiente de produção, esteja
ciente do impacto potencial de qualquer comando.
Convenções
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Wireless Domain Services
O WDS é um novo recurso para pontos de acesso no Cisco IOS Software e a base do Catalyst 6500 Series WLSM. O WDS é uma função central
que permite o uso de outros recursos como estes:
Fast Secure Roaming
Interação do WLSE
Gerenciamento de rádio
Você precisa estabelecer relações entre os pontos de acesso que participam do WDS e o WLSM antes que qualquer outro recurso baseado em
WDS funcione. Uma das finalidades do WDS é eliminar a necessidade de validação de credenciais de usuário pelo servidor de autenticação e
reduzir o tempo necessário para as autenticações de cliente.
Para usar o WDS, você deve designar um AP ou o WLSM como o WDS. Um AP do WDS deve usar um nome de usuário e uma senha do WDS
para estabelecer um relacionamento com um servidor de autenticação. O servidor de autenticação pode ser um servidor RADIUS externo ou o
recurso de Servidor RADIUS Local no AP do WDS. O WLSM deve estabelecer uma relação com o servidor de autenticação, mesmo que não
precise ser autenticado no servidor.
Outros pontos de acesso, chamados de pontos de acesso de infra-estrutura, comunicam-se com o WDS. Antes que o registro ocorra, os pontos de
acesso de infra-estrutura precisam autenticar a si próprios no WDS. Um grupo de servidores de infra-estrutura no WDS define essa autenticação
de infra-estrutura.
Um ou mais grupos de clientes-servidores no WDS definem a autenticação de clientes.
Quando um cliente tenta se associar a um AP de infra-estrutura, esse AP passa as credenciais do usuário para o WDS para validação. Se for a
primeira vez em que as credenciais são fornecidas ao WDS, ele recorrerá ao servidor de autenticação para validá-las. Em seguida, o WDS
armazenará em cache as credenciais, de modo a não precisar retornar ao servidor de autenticação quando o mesmo usuário tentar novamente a
autenticação. Os exemplos de reautenticação incluem:
Re-keying
Roaming
Quando o usuário inicia o dispositivo cliente
Qualquer protocolo de autenticação EAP baseado em RADIUS pode ser enviado por túnel através do WDS, como por exemplo:
Lightweight EAP (LEAP)
Protected EAP (PEAP)
EAP-Transport Layer Security (EAP-TLS)
EAP-Flexible Authentication through Secure Tunneling (EAP-FAST)
A autenticação de endereço MAC também pode estabelecer um túnel para um servidor de autenticação externo ou para uma lista local em um AP
do WDS. O WLSM não oferece suporte à autenticação de endereço MAC.
O WDS e os pontos de acesso de infra-estrutura se comunicam através de um protocolo de multicast denominado WLAN Context Control
Protocol (WLCCP). Essas mensagens de multicast não podem ser roteadas, portanto, o WDS e seus pontos de acesso de infra-estrutura
associados devem estar na mesma sub-rede IP e no mesmo segmento de LAN. Entre o WDS e o WLSE, o WLCCP usa TCP e User Datagram
Protocol (UDP) na porta 2887. Quando o WDS e o WLSE estão em sub-redes diferentes, um protocolo como Network Address Translation
(NAT) não pode converter os pacotes.
Um AP configurado como o dispositivo WDS oferece suporte a até 60 pontos de acesso participantes. Um ISR (Integrated Services Router)
configurado como o dispositivo WDS oferece suporte a até 100 pontos de acesso participantes. E um switch equipado com WLSM oferece
suporte a até 600 pontos de acesso participantes e até 240 grupos de mobilidade. Um único AP oferece suporte a até 16 grupos de mobilidade.
Nota: A Cisco recomenda que os pontos de acesso de infra-estrutura executem a mesma versão do IOS que o dispositivo WDS. Se você usar uma
versão mais antiga do IOS, é possível que os pontos de acesso não consigam fazer a autenticação no dispositivo WDS. Além disso, a Cisco
recomenda a utilização da versão mais recente do Cisco IOS. Você pode encontrar essa versão na página Downloads Wireless.
Função do Dispositivo WDS
O dispositivo WDS executa várias tarefas na LAN wireless:
Anuncia seu recurso WDS e participa da seleção do melhor dispositivo WDS para a LAN wireless. Ao configurar a LAN wireless para
WDS, configure um dispositivo como o candidato WDS principal e um ou mais dispositivos adicionais como candidatos WDS alternativos.
Se o dispositivo WDS principal se tornar off-line, um dos dispositivos WDS alternativos tomará seu lugar.
Autentica todos os pontos de acesso na sub-rede e estabelece um canal de comunicação seguro com cada um deles.
Coleta dados de rádio dos pontos de acesso na sub-rede, agrega os dados e encaminha-os ao dispositivo WLSE na rede.
Atua como passagem para todos os dispositivos clientes autenticados por 802.1x associados aos pontos de acesso participantes.
Registra todos os dispositivos clientes da sub-rede que usam chaves dinâmicas, estabelece chaves de sessão para eles e armazena em cache
suas credenciais de segurança. Quando um cliente faz roaming para outro AP, o dispositivo WDS encaminha as credenciais de segurança
do cliente para novo AP.
Função dos Pontos de Acesso Usando o Dispositivo WDS
Os pontos de acesso da LAN wireless interagem com o dispositivo WDS nestas atividades:
Descobrir e rastrear o dispositivo WDS atual e retransmitir anúncios WDS para a LAN wireless.
Fazer a autenticação no dispositivo WDS e estabelecer um canal de comunicação seguro com ele.
Registrar os dispositivos clientes associados no dispositivo WDS.
Relatar os dados de rádio para o dispositivo WDS.
Configuração
O WDS apresenta a configuração de forma modular e ordenada. Cada conceito se baseia no conceito que o precede. O WDS omite outros itens de
configuração como senhas, acesso remoto e configurações de rádio por motivos de clareza e para se concentrar no assunto principal.
Esta seção apresenta as informações necessárias para configurar os recursos descritos neste documento.
Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.
Designar um AP como WDS
O primeiro passo é designar um AP como o WDS. O AP do WDS é o único que se comunica com o servidor de autenticação.
Execute estes passos para designar um AP como WDS:
1. Para configurar o servidor de autenticação no AP do WDS, escolha Security > Server Manager para exibir a guia Server Manager:
a. Em Corporate Servers, digite o endereço IP do servidor de autenticação no campo Server.
b. Especifique o segredo compartilhado e as portas.
c. Em Default Server Priorities, defina o campo Priority 1 como o endereço IP do servidor, no tipo de autenticação adequado.
Como alternativa, execute estes comandos na CLI:
WDS_AP#configure terminal
Enter configuration commands, one per line.
End with CNTL/Z.
WDS_AP(config)#aaa group server radius rad_eap
WDS_AP(config-sg-radius)#server 10.0.0.3 auth-port 1645 acct-port 1646
WDS_AP(config-sg-radius)#exit
WDS_AP(config)#aaa new-model
WDS_AP(config)#aaa authentication login eap_methods group rad_eap
WDS_AP(config)#radius-server host 10.0.0.3 auth-port 1645
acct-port 1646 key labap1200ip102
!--- Este comando é exibido aqui em duas linhas devido a limitações de espaço.
WDS_AP(config)#end
WDS_AP#write memory
2. O próximo passo é configurar o AP do WDS no servidor de autenticação como um cliente de autenticação, autorização e contabilidade
(AAA). Para isso, é necessário adicionar o AP do WDS como um cliente AAA. Execute estes passos:
Nota: Este documento usa o servidor Cisco Secure ACS como o servidor de autenticação.
a. No Cisco Secure Access Control Server (ACS), isso ocorre na página Configuração de Rede, onde você define estes atributos para o
AP do WDS:
Nome
Endereço IP
Segredo compartilhado
Método de autenticação
RADIUS Cisco Aironet
RADIUS Internet Engineering Task Force [IETF]
Clique em Submit.
Para obter informações sobre outros servidores de autenticação não-ACS, consulte a documentação do fabricante.
b. Além disso, no Cisco Secure ACS, configure o ACS para executar a autenticação LEAP na página Configuração do Sistema Configuração de Autenticação Global. Primeiro, clique em System Configuration e, em seguida, em Global Authentication Setup.
c. Role a página para baixo até a configuração de LEAP. Quando a caixa é selecionada, o ACS autentica o LEAP.
3. Para configurar as definições de WDS no AP do WDS, escolha Wireless Services > WDS nesse AP e clique na guia General Set-Up.
Execute estes passos:
a. Em WDS-Wireless Domain Services - Global Properties, selecione Use this AP as Wireless Domain Services.
b. Defina o valor do campo Wireless Domain Services Priority como aproximadamente 254, pois ele é o primeiro. Você pode
configurar um ou mais pontos de acesso ou switches como candidatos para fornecer o WDS. O dispositivo com a prioridade mais
alta fornecerá esse serviço.
Como alternativa, execute estes comandos na CLI:
WDS_AP#configure terminal
Enter configuration commands, one per line.
End with CNTL/Z.
WDS_AP(config)#wlccp wds priority 254 interface BVI1
WDS_AP(config)#end
WDS_AP#write memory
4. Escolha Wireless Services > WDS e vá para a guia Server Groups:
a. Defina um Nome de Grupo de Servidor que autentique os outros pontos de acesso, um grupo de infra-estrutura.
b. Defina Priority 1 para o servidor de autenticação configurado anteriormente.
c. Clique no botão de opção Use Group For: Infrastructure Authentication.
d. Aplique essas definições aos Service Set Identifiers (SSIDs) relevantes.
Como alternativa, execute estes comandos na CLI:
WDS_AP#configure terminal
Enter configuration commands, one per line.
End with CNTL/Z.
WDS_AP(config)#wlccp authentication-server infrastructure
method_Infrastructure
WDS_AP(config)#aaa group server radius Infrastructure
WDS_AP(config-sg-radius)#server 10.0.0.3 auth-port 1645
acct-port 1646
WDS_AP(config-sg-radius)#exit
WDS_AP(config)#aaa authentication login method_Infrastructure
group Infrastructure
WDS_AP(config)#end
WDS_AP#write memory
!--- Alguns dos comandos nesta tabela são exibidos em duas linhas devido a
!--- limitações de espaço. Certifique-se de digitar esses comandos em uma única linha.
5. Configure o nome de usuário e a senha do WDS como um usuário do servidor de autenticação.
No Cisco Secure ACS, isso ocorre na página Configuração do Usuário, onde você define o nome de usuário e a senha do WDS. Para obter
informações sobre outros servidores de autenticação não-ACS, consulte a documentação do fabricante.
Nota: Não coloque o usuário do WDS em um grupo ao qual estejam atribuídos muitos direitos e privilégios: o WDS exige apenas
autenticação limitada.
6. Escolha Wireless Services > AP e clique em Enable para a opção Participate in SWAN infrastructure. Em seguida, digite o nome de
usuário e a senha do WDS.
Você deve definir um nome de usuário e uma senha do WDS no servidor de autenticação para todos os dispositivos que designam
membros do WDS.
Como alternativa, execute estes comandos na CLI:
WDS_AP#configure terminal
Enter configuration commands, one per line.
End with CNTL/Z.
WDS_AP(config)#wlccp ap username wdsap password wdsap
WDS_AP(config)#end
WDS_AP#write memory
7. Escolha Wireless Services > WDS. Na guia WDS AP WDS Status, verifique se o AP do WDS é exibido na área WDS Information no
estado ACTIVE. O AP também é exibido na área AP Information, com estado REGISTERED.
a. Se o AP não for exibido como REGISTERED ou ACTIVE, verifique se há erros ou falhas em tentativas de autenticação no servidor.
b. Quando o AP for registrado corretamente, adicione um AP de infra-estrutura para usar os serviços do WDS.
Como alternativa, execute estes comandos na CLI:
WDS_AP#show wlccp wds ap
MAC-ADDR
0005.9a38.429f
IP-ADDR
10.0.0.102
STATE
REGISTERED
LIFETIME
261
WDS_AP#show wlccp ap
WDS = 0005.9a38.429f, 10.0.0.102
state = wlccp_ap_st_registered
IN Authenticator = 10.0.0.102
MN Authenticator = 10.0.0.102
WDS_AP#
Nota: Você não pode testar associações de clientes porque a autenticação de cliente ainda não tem provisões.
Designar um WLSM como WDS
Esta seção explica como configurar um WLSM como um WDS. O WDS é o único dispositivo que se comunica com o servidor de autenticação.
Nota: Execute estes comandos no prompt enable do WLSM, e não no do Supervisor Engine 720. Para obter o prompt de comandos do WLSM,
execute estes comandos em um prompt enable do Supervisor Engine 720:
c6506#session slot x proc 1
!--- Nesse comando, x é o número do slot em que está o WLSM.
The default escape character is Ctrl-^, then x.
You can also type 'exit' at the remote prompt to end the session
Trying 127.0.0.51 ... Open
User Access Verification
Username: <username>
Password: <password>
wlan>enable
Password: <enable password>
wlan#
Nota: Para fazer troubleshooting e a manutenção do WLSM mais facilmente, configure o acesso remoto por Telnet ao WLSM. Consulte
Configurando o Acesso Remoto por Telnet.
Para designar um WLSM com WDS:
1. Na CLI do WLSM, execute estes comandos e estabeleça uma relação com o servidor de autenticação:
wlan#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
wlan(config)#aaa new-model
wlan(config)#aaa authentication login leap-devices group radius
wlan(config)#aaa authentication login default enable
wlan(config)#radius-server host ip_address_of_authentication_server
auth-port 1645 acct-port 1646
!--- Este comando deve permanecer em uma única linha.
wlan(config)#radius-server key shared_secret_with_server
wlan(config)#end
wlan#write memory
Nota: Não há controle de prioridade no WLSM. Se a rede contiver vários módulos WLSM, o WLSM usará a configuração de redundância
para determinar o módulo principal.
2. Configure o WLSM no servidor de autenticação como um cliente AAA.
No Cisco Secure ACS, isso ocorre na página Configuração de Rede, onde você define estes atributos para o WLSM:
Nome
Endereço IP
Segredo compartilhado
Método de autenticação
RADIUS Cisco Aironet
RADIUS IETF
Para obter informações sobre outros servidores de autenticação não-ACS, consulte a documentação do fabricante.
a. Além disso, no Cisco Secure ACS, configure o ACS para executar a autenticação LEAP na página Configuração do Sistema Configuração de Autenticação Global. Primeiro, clique em System Configuration e, em seguida, em Global Authentication Setup.
b. Role a página para baixo até a configuração de LEAP. Quando a caixa é selecionada, o ACS autentica o LEAP.
3. No WLSM, defina um método que autentique outros pontos de acesso (um grupo de servidores de infra-estrutura).
wlan#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
wlan(config)#wlccp authentication-server infrastructure leap-devices
wlan(config)#end
wlan#write memory
4. No WLSM, defina um método que autentique os dispositivos clientes (um grupo de clientes-servidores) e os tipos de EAP que esses
clientes usam.
wlan#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
wlan(config)#wlccp authentication-server client any leap-devices
wlan(config)#end
wlan#write memory
Nota: Este passo elimina a necessidade do processo Definir Método de Autenticação de Cliente.
5. Defina uma única VLAN entre o Supervisor Engine 720 e o WLSM para permitir que o WLSM se comunique com entidades externas,
como pontos de acesso e servidores de autenticação. Esta VLAN não está sendo usada em nenhum outro lugar ou para qualquer outra
finalidade na rede. Primeiramente, crie a VLAN no Supervisor Engine 720 e, depois, execute estes comandos:
No Supervisor Engine 720:
c6506#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
c6506(config)#wlan module slot_number allowed-vlan vlan_number
c6506(config)#vlan vlan_number
c6506(config)#interface vlan vlan_number
c6506(config-if)#ip address ip_address subnet_mask
c6506(config-if)#no shut
c6506(config)#end
c6506#write memory
No WLSM:
wlan#configure terminal
Enter configuration commands, one per line.
wlan(config)#wlan vlan vlan_number
End with CNTL/Z.
wlan(config)#ipaddr ip_address subnet_mask
wlan(config)#gateway ip_address_of_vlan_interface_on_Sup720_created_above
wlan(config)#ip route 0.0.0.0 0.0.0.0
!--- Geralmente, esse é o mesmo endereço da instrução do gateway.
wlan(config)#admin
wlan(config)#end
wlan#write memory
6. Verifique a função do WLSM com estes comandos:
No WLSM:
wlan#show wlccp wds mobility
LCP link status: up
HSRP state: Not Applicable
Total # of registered AP: 0
Total # of registered MN: 0
Tunnel Bindings:
Network ID
Tunnel IP
========== ===============
<vlan>
<ip address>
MTU
=========
1476
FLAGS
=====
T
Flags: T=Trusted, B=IP Broadcast enabled, N=Nonexistent
wlan#
No Supervisor Engine 720:
c6506#show mobility status
WLAN Module is located in Slot:
LCP Communication status
:
Number of Wireless Tunnels
:
Number of Access Points
:
Number of Access Points
:
5 (HSRP State: Active)
up
0
0
0
Designar um AP como Dispositivo de Infra-estrutura
A seguir, você precisa designar pelo menos um AP de infra-estrutura e relacioná-lo ao WDS. Os clientes se associam a pontos de acesso de infraestrutura. Os pontos de acesso de infra-estrutura solicitam que o AP do WDS ou WLSM execute a autenticação para eles.
Execute estes passos para adicionar um AP de infra-estrutura que use os serviços do WDS:
Nota: Esta configuração se aplica somente aos pontos de acesso de infra-estrutura e não ao AP do WDS.
1. Escolha Wireless Services > AP. No AP de infra-estrutura, selecione Enable para a opção Wireless Services. Em seguida, digite o nome
de usuário e a senha do WDS.
Você deve definir um nome de usuário e uma senha de WDS no servidor de autenticação para todos os dispositivos que serão membros do
WDS.
Como alternativa, execute estes comandos na CLI:
WDS_AP#configure terminal
Enter configuration commands, one per line.
End with CNTL/Z.
Infrastructure_AP(config)#wlccp ap username infrastructureap password infrastructureap
Infrastructure_AP(config)#end
Infrastructure_AP#write memory
2. Escolha Wireless Services > WDS. Na guia WDS AP WDS Status, o novo AP de infra-estrutura aparece na área WDS Information com
estado ACTIVE e na área AP Information com estado REGISTERED.
a. Se o AP não for exibido como ACTIVE ou REGISTERED, verifique se há erros ou falhas em tentativas de autenticação no servidor.
b. Depois que o AP for exibido como ACTIVE ou REGISTERED, adicione um método de autenticação de clientes ao WDS.
Como alternativa, execute este comando na CLI:
WDS_AP#show wlccp wds ap
MAC-ADDR
000c.8547.b6c7
0005.9a38.429f
IP-ADDR
10.0.0.108
10.0.0.102
STATE
REGISTERED
REGISTERED
LIFETIME
194
76
Como alternativa, execute este comando no WLSM:
wlan#show wlccp wds ap
MAC-ADDR
IP-ADDR
000c.8547.b6c7
10.0.0.108
0005.9a38.429f
10.0.0.102
wlan#
STATE
REGISTERED
REGISTERED
LIFETIME
194
76
Em seguida, execute este comando no AP de infra-estrutura:
Infrastructure_AP#show wlccp ap
WDS = 0005.9a38.429f, 10.0.0.102
state = wlccp_ap_st_registered
IN Authenticator = 10.0.0.102
MN Authenticator = 10.0.0.102
Infrastructure_AP#
Nota: Você não pode testar associações de clientes porque a autenticação de cliente ainda não tem provisões.
Definir o Método de Autenticação de Clientes
Por fim, defina um método de autenticação de clientes.
Execute estes passos para adicionar um método de autenticação de clientes:
1. Escolha Wireless Services > WDS. Siga estes passos na guia Server Groups do AP do WDS:
a. Defina um grupo de servidores que autentique clientes (um grupo de clientes).
b. Defina Priority 1 para o servidor de autenticação configurado anteriormente.
c. Defina o tipo aplicável de autenticação (LEAP, EAP, MAC, etc.).
d. Aplique as definições aos SSIDs relevantes.
Como alternativa, execute estes comandos na CLI:
WDS_AP#configure terminal
Enter configuration commands, one per line.
End with CNTL/Z.
WDS_AP(config)#wlccp authentication-server client eap method_Client
WDS_AP(config)#wlccp authentication-server client leap method_Client
WDS_AP(config)#aaa group server radius Client
WDS_AP(config-sg-radius)#server 10.0.0.3 auth-port 1645 acct-port 1646
WDS_AP(config-sg-radius)#exit
WDS_AP(config)#aaa authentication login method_Client group Client
WDS_AP(config)#end
WDS_AP#write memory
Nota: O AP do WDS de exemplo é dedicado e não aceita associações de clientes.
Nota: Não configure nos pontos de acesso de infra-estrutura dos grupos de servidores porque esses tipos de AP encaminham todos
os pedidos para o WDS para que sejam processados.
2. Nos pontos de acesso de infra-estrutura:
a. No item de menu Security > Encryption Manager, clique em WEP Encryption ou Cipher, conforme exigido pelo protocolo de
autenticação usado.
b. No item de menu Security > SSID Manager, selecione métodos de autenticação conforme exigido pelo protocolo de autenticação
usado.
3. Agora você pode testar com êxito se os clientes podem ser autenticados em pontos de acesso de infra-estrutura. O AP do WDS na guia
WDS Status (no item de menu Wireless Services > WDS) indica que o cliente é exibido na área Mobile Node Information e possui o
estado REGISTERED.
Se o cliente não for exibido, verifique se há erros ou falhas em tentativas de autenticação dos clientes no servidor.
Como alternativa, execute estes comandos na CLI:
WDS_AP#show wlccp wds
MAC: 0005.9a38.429f, IP-ADDR: 10.0.0.102
, Priority: 254
Interface BVI1, State: Administratively StandAlone - ACTIVE
AP Count: 2
, MN Count: 1
WDS_AP#show wlccp wds mn
MAC-ADDR
0030.6527.f74a
IP-ADDR
10.0.0.25
Cur-AP
000c.8547.b6c7
STATE
REGISTERED
WDS_AP#
Nota: Se você precisar depurar a autenticação, certifique-se de depurar no AP do WDS, pois este é o dispositivo que se comunica com o
servidor de autenticação.
Verificação
No momento, não há procedimento de verificação disponível para esta configuração.
Troubleshooting
Esta seção fornece informações que você pode utilizar para solucionar problemas de configuração. Esta lista mostra algumas perguntas freqüentes
relacionadas ao comando WDS para esclarecer ainda mais a utilidade desses comandos:
Pergunta: No AP do WDS, quais são as definições recomendadas para estes itens?
radius-server timeout
radius-server deadtime
Temporal Key Integrity Protocol (TKIP) message integrity check (MIC) Failure Holdoff Time
Client Holdoff Time
EAP or MAC Reauthentication Interval
EAP Client Timeout (opcional)
Resposta: Recomenda-se que você mantenha a configuração com os valores padrão no caso dessas definições especiais e as utilize
somente quando houver um problema relacionado a tempo.
Estas são as definições recomendadas para o AP do WDS:
Desabilite radius-server timeout. Este é o número de segundos que um AP espera para responder a uma solicitação RADIUS antes
que ele reenvie a solicitação. O padrão é 5 segundos.
Desabilite radius-server deadtime. O RADIUS será ignorado por solicitações adicionais durante alguns minutos, a não ser que
todos os servidores estejam marcados com dead.
Por padrão, o TKIP MIC Failure Holdoff Time é habilitado como 60 segundos. Se você habilitar o tempo de espera, será possível
digitar o intervalo em segundos. Se o AP detectar duas falhas de MIC em 60 segundos, ele bloqueará todos os clientes TKIP nessa
interface pelo período de espera especificado aqui.
A opção Client Holdoff Time deve ser desabilitada por padrão. Se você habilitar a espera, digite o número de segundos que o AP
deverá aguardar após a falha de autenticação antes que um pedido de autenticação subseqüente seja processado.
Por padrão, a opção MAC Reauthentication Interval está desabilitada. Se você habilitar a reautenticação, será possível especificar o
intervalo ou aceitar o intervalo fornecido pelo servidor de autenticação. Se você decidir especificar o intervalo, digite o intervalo em
segundos que o AP aguardará antes de forçar uma reautenticação de um cliente autenticado.
Por padrão, EAP Client Timeout (optional) é 120 segundos. Insira a quantidade de tempo que o AP aguardará para que clientes
wireless respondam aos pedidos de autenticação EAP.
Pergunta: Em relação ao tempo de espera do TKIP, eu li que ele deve ser definido como 100 ms e não como 60 segundos. Devo
presumir que ele é definido como um segundo a partir do navegador porque esse é o menor número que pode ser selecionado?
Resposta: Não há uma recomendação específica para defini-lo como 100 ms, a menos que seja relatada uma falha em que a única solução
seja aumentar esse tempo. Um segundo é a definição mais baixa.
Pergunta: Estes dois comandos ajudam na autenticação de cliente de algum modo e eles são necessários no AP de infra-estrutura
ou do WDS?
radius-server attribute 6 on-for-login-auth
radius-server attribute 6 support-multiple
Resposta: Esses comandos não ajudam no processo de autenticação e não são necessários no WDS nem no AP.
Pergunta: No AP de infra-estrutura, eu presumo que nenhuma das definições de Server Manager e Global Properties são
necessárias porque o AP recebe informação do WDS. Alguns destes comandos específicos são necessários para o AP de infraestrutura?
radius-server attribute 6 on-for-login-auth
radius-server attribute 6 support-multiple
radius-server timeout
radius-server deadtime
Resposta: Não é necessário possuir definições de Server Manager e Global Properties para os pontos de acesso de infra-estrutura. O WDS
cuida dessa tarefa e não há necessidade de possuir tais definições:
radius-server attribute 6 on-for-login-auth
radius-server attribute 6 support-multiple
radius-server timeout
radius-server deadtime
A definição radius-server attribute 32 include-in-access-req format %h permanece por padrão e é necessária.
Um AP é um dispositivo da Camada 2. Assim, o AP não oferece suporte à mobilidade da Camada 3 quando o AP está configurado para agir
como um dispositivo WDS. Você pode obter mobilidade da Camada 3 apenas quando configura o WLSM como o dispositivo WDS. Consulte a
seção Arquitetura de Mobilidade da Camada 3 do Cisco Catalyst 6500 Series Wireless LAN Services Module: White Paper para obter mais
informações.
Portanto, quando você configurar um AP como dispositivo WDS, não use o comando mobility network-id. Esse comando se aplica à mobilidade
da Camada 3 e você precisa ter um WLSM como dispositivo WDS para configurar corretamente a mobilidade da Camada 3. Se o comando
mobility network-id for usado incorretamente, você poderá perceber alguns destes sintomas:
Os clientes wireless não conseguem se associar ao AP.
Os clientes wireless conseguem se associar ao AP, mas não recebem um endereço IP do servidor DHCP.
Um telefone wireless não é autenticado quando há uma implementação de voz sobre WLAN.
Autenticação de EAP não ocorre. Com o comando mobility network-id configurado, o AP tenta construir um túnel GRE (Generic Routing
Encapsulation) para encaminhar pacotes EAP. Se nenhum túnel for estabelecido, os pacotes não irão para lugar nenhum.
Um AP configurado como dispositivo WDS não funciona como esperado e a configuração do WDS não funciona.
Nota: Não é possível configurar o Cisco Aironet 1300 AP/Bridge como um WDS mestre. O 1300 AP/Bridge não oferece suporte a essa
funcionalidade. O 1300 AP/Bridge pode participar de uma rede WDS como um dispositivo de infra-estrutura em que algum outro AP ou
WLSM esteja configurado como WDS mestre.
Comandos para Troubleshooting
A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da
saída do comando show.
Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.
debug dot11 aaa authenticator all — Mostra as diversas negociações pelas quais um cliente passa à medida que se associa e se autentica
por meio do processo 802.1x ou EAP. Essa depuração foi introduzida no Cisco IOS Software Release 12.2(15)JA. Esse comando torna
obsoleto debug dot11 aaa dot1x all nesta release e em releases posteriores.
debug aaa authentication — Mostra o processo de autenticação de um ponto de vista AAA genérico.
debug wlccp ap — Mostra as negociações WLCCP envolvidas quando um AP ingressa em um WDS.
debug wlccp packet — Mostra informações detalhadas sobre negociações WLCCP.
debug wlccp leap-client — Mostra os detalhes à medida que um dispositivo de infra-estrutura ingressa em um WDS.
© 1992-2014 Cisco Systems Inc. Todos os direitos reservados.
Data da Geração do PDF: 17 Julho 2008
http://www.cisco.com/cisco/web/support/BR/8/86/86204_WDS.html